特許

J-GLOBAL ID：200903072341052722

ボット検出装置、ボット検出方法、およびプログラム

発明者： 仲小路 博史
出願人/特許権者： 株式会社日立製作所
代理人 (1件)： 特許業務法人湘洋内外特許事務所
公報種別：公開公報
出願番号（国際出願番号）：特願2006-153795
公開番号（公開出願番号）：特開2007-323428
出願日： 2006年06月01日
公開日（公表日）： 2007年12月13日
要約：

【課題】ボットに感染している可能性の高いコンピュータを確実に検出することができる通信システムを提供する。【解決手段】本発明の通信システム10は、外部ネットワーク12から内部ネットワーク12へ同時期に流入した通信データであって、同一の送信元から複数のコンピュータ15へ送信された通信データを仮の指令通信情報として保持し、保持した仮の指令通信情報の宛先となっているコンピュータ15の中で、内部ネットワーク14から外部ネットワーク12へ同時期に通信データを送信したコンピュータ15をボットに感染している可能性の高いコンピュータと判定する。【選択図】図1

請求項（抜粋）：

外部のネットワークと内部のネットワークとの間に設けられるボット検知装置であって、 前記外部ネットワークから前記内部ネットワークへ流入する通信データである内向きデータを取得し、取得した内向きデータを、当該内向きデータを取得した日時を示す情報である内向きデータ取得日時と共に出力する内向きデータ取得手段と、 同一の送信元から所定の時間差以内に送信された内向きデータをグループ化して、当該内向きデータに含まれる宛先IPアドレスである内向き宛先アドレスを、グループを識別するグループIDに対応付けて格納する内向き通信情報格納手段と、 前記内部ネットワークから前記外部ネットワークへ流出する通信データである外向きデータを取得し、取得した外向きデータを、当該外向きデータを取得した日時を示す情報である外向きデータ取得日時と共に出力する外内向きデータ取得手段と、 前記外向きデータ取得手段から前記外向きデータおよび前記外向きデータ取得日時が出力された場合に、前記内向き通信情報格納手段を参照して、前記外向きデータに含まれる送信元IPアドレスが前記内向き通信情報格納手段内に内向き宛先アドレスとして格納されている場合に、当該内向き宛先アドレスと共に格納されている内向きデータ取得日時と、当該外向きデータ取得日時との差である応答時間を算出する応答時間算出手段と、 算出された応答時間を、当該内向き宛先アドレス、当該外向きデータの宛先を示す情報を含む外向き宛先情報、および当該内向き宛先アドレスに対応付けられて前記内向き通信情報格納手段内に格納されているグループIDに対応付けて格納する応答時間格納手段と、 前記応答時間格納手段を参照して、前記グループIDおよび前記外向き宛先情報が同一であり、かつ、応答時間の差が所定値以内の内向き宛先アドレスを抽出し、抽出した内向き宛先アドレスを、ボットに感染している可能性の高いコンピュータであるボット感染コンピュータのIPアドレスとして出力するボット情報出力手段と を備えることを特徴とするボット検知装置。

IPC (3件)：

G06F 21/20 ,  G06F 21/22 ,  H04L 12/66

FI (3件)：

G06F15/00 330A ,  G06F9/06 660N ,  H04L12/66 B

Fターム (20件)：

5B276FD08 ,  5B285AA05 ,  5B285AA06 ,  5B285AA07 ,  5B285BA01 ,  5B285CA32 ,  5B285CA34 ,  5B285CA37 ,  5B285DA05 ,  5B285DA06 ,  5K030GA15 ,  5K030HA08 ,  5K030HD03 ,  5K030KA04 ,  5K030KA05 ,  5K030LD18 ,  5K030LE16 ,  5K030MA04 ,  5K030MB12 ,  5K030MC07

引用特許：

出願人引用 (2件)

• 情報処理装置
  公報種別：公開公報   出願番号：特願平5-126226   出願人：日本電気ホームエレクトロニクス株式会社
• ネットワーク侵入検知システムおよびその方法
  公報種別：公開公報   出願番号：特願2001-148024   出願人：株式会社エヌ・ティ・ティ・データ, 株式会社サイバー・ソリューションズ