TOP > 国内特許検索 > パケットデータ抽出装置、パケットデータ抽出装置の制御方法、制御プログラム、コンピュータ読み取り可能な記録媒体

パケットデータ抽出装置、パケットデータ抽出装置の制御方法、制御プログラム、コンピュータ読み取り可能な記録媒体

国内特許コード P150011275
掲載日 2015年2月4日
出願番号 特願2013-544236
登録番号 特許第5536962号
出願日 平成24年11月8日(2012.11.8)
登録日 平成26年5月9日(2014.5.9)
国際出願番号 JP2012079000
国際公開番号 WO2013073448
国際出願日 平成24年11月8日(2012.11.8)
国際公開日 平成25年5月23日(2013.5.23)
優先権データ
  • 特願2011-250179 (2011.11.15) JP
発明者
  • 河野 健二
  • 山田 浩史
出願人
  • 国立研究開発法人科学技術振興機構
発明の名称 パケットデータ抽出装置、パケットデータ抽出装置の制御方法、制御プログラム、コンピュータ読み取り可能な記録媒体
発明の概要 本発明のパケットデータ抽出装置(10)は、対象パケット(P)のペイロードに含まれるメッセージのプロシージャ名を確認するプロシージャ名確認部(12)と、プロシージャ名にあらかじめ対応付けられたデータ位置情報(14b)に従って、該データ位置情報によって特定される目的パケットのペイロードから目的データを取得するデータ取得部(13)とを備える。
従来技術、競合技術の概要



例えば、ファイルメタデータ改竄型ルートキット(rootkit)は、コンピュータウィルスの一形態であり、感染するとサービスの停止や情報漏洩に繋がり、サービスの品質に深刻な被害を与える。ファイルメタデータ改竄型ルートキットは、オペレーティングシステムカーネル内のデータを変更するため、一般的なアンチウィルスソフトでの検出が極めて困難である。このルートキットを検出するためには、ネットワークシステムを構築して、仮想マシンモニタでやり取りされるパケットを監視することが極めて有効である。この例のように、従来、通信中のパケットから情報を抽出することが行われている。





ここで、図6を参照して、パケットを用いた通常のメッセージ送受信の概略について説明する。





図6に示すように、メッセージの送信の場合、まず、送信側のアプリケーション(図中左側のApplication)が、メッセージを作成し(S51)、OS(operating system)(図中左側のOS)にメッセージ送信をリクエストする(S52)。そして、OSが、取得したメッセージをパケットに分割し、ヘッダを付けて(S53)、受信側へ送信する(S54)。





また、メッセージの受信の場合、受信側のOS(図中右側のOS)が、パケットを受信し(S54)、ヘッダを外すとともに、ヘッダに従ってメッセージを作成し(S55)、作成したメッセージをアプリケーション(図中右側のApplication)へ送信する(S56)。そして、アプリケーションが、OSから取得したメッセージをメモリに格納する(S57)。





このように、メッセージの送信側のOSは、NIC(Network Interface Card)に送る際に、メッセージをパケットに変換する。このとき、OSは、送信先でメッセージの復元する際に必要な情報、例えば、シーケンス番号(順番),ポート番号(接続の識別子)等を含むヘッダをパケットに付与する。一方、メッセージの受信側のOSは、パケットのヘッダを参照して、パケットからメッセージを構築する。





つづいて、図7および図8を参照して、パケットを用いて送受信されるメッセージからデータを抽出する従来手法について説明する。ここでは、VMM(Virtual Machine Monitor)において、メッセージから目的とするデータを抽出する場合を例に説明する。





図7に示すように、送信側のOS(図中左側のOS)は、VMMが提供する仮想Network Interface Cardにパケットを送る。つまり、VMMは、OSによって分割されたパケットを取得する。そして、VMMは、取得したパケットを受信側のOS(図中右側のOS)へ送信するとともに、取得したパケットからメッセージを再構成して、得たい情報である目的データを得る。





具体的には、図8に示すように、VMMは、取得したパケットのヘッダ情報を確認し(S61)、ヘッダ以外(ペイロード)をコピーし(S62)、その後、パケットを送信する(S63)。これと同時に、VMMは、コピーしたデータからメッセージを構築し(S64)、メッセージから目的データを抽出する(S65)。





このように、VMMは、パケットのペイロードのコピーを生成して、パケットのヘッダ情報を基に配置する。すなわち、VMMは、パケットに分割されていたメッセージを再構成した後で、目的データを抽出する。

産業上の利用分野



本発明は、通信途中のパケットから目的とするデータを抽出するパケットデータ抽出装置、パケットデータ抽出装置の制御方法、制御プログラム、コンピュータ読み取り可能な記録媒体に関する。

特許請求の範囲 【請求項1】
通信途中のパケットから目的とするデータを抽出するパケットデータ抽出装置であって、
通信途中のパケットを一時的に記憶する一時記憶部に格納されている対象パケットのペイロードを参照して、当該対象パケットのペイロードに含まれるメッセージのプロシージャ名を確認するプロシージャ名確認手段と、
上記プロシージャ名確認手段によって確認されたプロシージャ名にあらかじめ対応付けられた、目的データの格納位置を示すデータ位置情報に従って、該データ位置情報によって特定される目的パケットのペイロードから目的データを取得する目的データ取得手段と、を備えることを特徴とするパケットデータ抽出装置。

【請求項2】
対象パケットがメッセージの先頭部分を格納しているパケットであるか否かを確認するパケット確認手段をさらに備え、
上記プロシージャ名確認手段は、上記パケット確認手段によって、対象パケットがメッセージの先頭部分を格納していることが確認された場合のみ、当該対象パケットのペイロードに含まれるメッセージのプロシージャ名を確認するものであることを特徴とする請求項1に記載のパケットデータ抽出装置。

【請求項3】
上記目的データ取得手段は、上記データ位置情報によって指定された位置のデータのみを取得することを特徴とする請求項1または2に記載のパケットデータ抽出装置。

【請求項4】
VMMに設けられることを特徴とする請求項1または2に記載のパケットデータ抽出装置。

【請求項5】
通信途中のパケットから目的とするデータを抽出するパケットデータ抽出装置の制御方法であって、
通信途中のパケットを一時的に記憶する一時記憶部に格納されている対象パケットのペイロードを参照して、当該対象パケットのペイロードに含まれるメッセージのプロシージャ名を確認するプロシージャ名確認ステップと、
上記プロシージャ名確認ステップにて確認されたプロシージャ名にあらかじめ対応付けられた、目的データの格納位置を示すデータ位置情報に従って、該データ位置情報によって特定される目的パケットのペイロードから目的データを取得する目的データ取得ステップと、を含むことを特徴とするパケットデータ抽出装置の制御方法。

【請求項6】
請求項1または2に記載のパケットデータ抽出装置の上記各手段としてコンピュータを機能させるための制御プログラム。

【請求項7】
請求項6に記載の制御プログラムを記録したコンピュータ読み取り可能な記録媒体。
産業区分
  • 電信
国際特許分類(IPC)
Fターム
画像

※ 画像をクリックすると拡大します。

JP2013544236thum.jpg
出願権利状態 登録
ライセンスをご希望の方、特許の内容に興味を持たれた方は、問合せボタンを押してください。


PAGE TOP

close
close
close
close
close
close
close