特許

J-GLOBAL ID：201103014748356678

監視装置、監視システム、監視方法及び監視プログラム

発明者： 武藏 泰雄
出願人/特許権者： 国立大学法人 熊本大学
代理人 (2件)： 河野 登夫 ,  河野 英仁
公報種別：公開公報
出願番号（国際出願番号）：特願2009-251131
公開番号（公開出願番号）：特開2011-097468
出願日： 2009年10月30日
公開日（公表日）： 2011年05月12日
要約：

【課題】SSHサーバ装置等の装置に対する不正な攻撃の発見及び対策を、小さい処理負荷、かつ短時間で実現する監視装置、監視システム、監視方法及び監視プログラムを提供する。【解決手段】監視装置1は、ドメイン名システムに対する照会に用いられるパケットに係るキー情報を取得し(S201)、取得した複数のパケットに係るキー情報に基づいて、対応するIPアドレス及びドメイン名をキー情報とする逆引きのDNSクエリパケット及び正引きのDNSクエリパケットの組の数を、対応するIPアドレス及びドメイン名の組み合わせ毎に組数として計数する(S203)。そして、監視装置1は、計数した組数が、所定の閾値を超える場合(S204:YES)、組数を計数した組み合わせに係るIPアドレスを出力する(S205)。【選択図】図5

請求項（抜粋）：

ドメイン名又はIPアドレスをキー情報とする照会の要求に対し、ドメイン名及びIPアドレスの対応関係に基づいて応答するドメイン名システムとの通信に用いられるパケットを監視する監視装置において、 ドメイン名システムに対する照会に用いられるパケットに係るキー情報を取得する取得手段と、 該取得手段が取得した複数のパケットに係るキー情報に基づいて、IPアドレスをキー情報としてドメイン名の照会を要求するパケット、及び該パケットにてキー情報としたIPアドレスに対応するドメイン名をキー情報としてIPアドレスの照会を要求するパケットの組の数を、対応するIPアドレス及びドメイン名の組み合わせ毎に組数として計数する手段と、 計数した組数が、所定の閾値を超えるか否かを判定する手段と、 所定の閾値を超えると判定した場合に、組数を計数した組み合わせに係るIPアドレスを出力する出力手段と を備えることを特徴とする監視装置。

IPC (1件)：

H04L 12/56

FI (2件)：

H04L12/56 400Z ,  H04L12/56 B

Fターム (6件)：

5K030GA15 ,  5K030HA08 ,  5K030JA10 ,  5K030LC13 ,  5K030MA04 ,  5K030MC08