Pat

J-GLOBAL ID：201103014748356678

監視装置、監視システム、監視方法及び監視プログラム

Inventor： 武藏 泰雄
Applicant, Patent owner： 国立大学法人 熊本大学
Agent (2)： 河野 登夫 ,  河野 英仁
Gazette classification：公開公報
Application number (International application number)：2009251131
Publication number (International publication number)：2011097468
Application date： Oct. 30, 2009
Publication date： May. 12, 2011
Summary：

【課題】SSHサーバ装置等の装置に対する不正な攻撃の発見及び対策を、小さい処理負荷、かつ短時間で実現する監視装置、監視システム、監視方法及び監視プログラムを提供する。【解決手段】監視装置1は、ドメイン名システムに対する照会に用いられるパケットに係るキー情報を取得し(S201)、取得した複数のパケットに係るキー情報に基づいて、対応するIPアドレス及びドメイン名をキー情報とする逆引きのDNSクエリパケット及び正引きのDNSクエリパケットの組の数を、対応するIPアドレス及びドメイン名の組み合わせ毎に組数として計数する(S203)。そして、監視装置1は、計数した組数が、所定の閾値を超える場合(S204:YES)、組数を計数した組み合わせに係るIPアドレスを出力する(S205)。【選択図】図5

Claim (excerpt)：

ドメイン名又はIPアドレスをキー情報とする照会の要求に対し、ドメイン名及びIPアドレスの対応関係に基づいて応答するドメイン名システムとの通信に用いられるパケットを監視する監視装置において、 ドメイン名システムに対する照会に用いられるパケットに係るキー情報を取得する取得手段と、 該取得手段が取得した複数のパケットに係るキー情報に基づいて、IPアドレスをキー情報としてドメイン名の照会を要求するパケット、及び該パケットにてキー情報としたIPアドレスに対応するドメイン名をキー情報としてIPアドレスの照会を要求するパケットの組の数を、対応するIPアドレス及びドメイン名の組み合わせ毎に組数として計数する手段と、 計数した組数が、所定の閾値を超えるか否かを判定する手段と、 所定の閾値を超えると判定した場合に、組数を計数した組み合わせに係るIPアドレスを出力する出力手段と を備えることを特徴とする監視装置。

IPC (1)：

H04L 12/56

FI (2)：

H04L12/56 400Z ,  H04L12/56 B

F-Term (6)：

5K030GA15 ,  5K030HA08 ,  5K030JA10 ,  5K030LC13 ,  5K030MA04 ,  5K030MC08