Top > Search of Japanese Patents > (In Japanese)パケットデータ抽出装置、パケットデータ抽出装置の制御方法、制御プログラム、コンピュータ読み取り可能な記録媒体

(In Japanese)パケットデータ抽出装置、パケットデータ抽出装置の制御方法、制御プログラム、コンピュータ読み取り可能な記録媒体

Patent code P150011275
File No. AF10-03WO
Posted date Feb 4, 2015
Application number P2013-544236
Patent number P5536962
Date of filing Nov 8, 2012
Date of registration May 9, 2014
International application number JP2012079000
International publication number WO2013073448
Date of international filing Nov 8, 2012
Date of international publication May 23, 2013
Priority data
  • P2011-250179 (Nov 15, 2011) JP
Inventor
  • (In Japanese)河野 健二
  • (In Japanese)山田 浩史
Applicant
  • (In Japanese)国立研究開発法人科学技術振興機構
Title (In Japanese)パケットデータ抽出装置、パケットデータ抽出装置の制御方法、制御プログラム、コンピュータ読み取り可能な記録媒体
Abstract (In Japanese)本発明のパケットデータ抽出装置(10)は、対象パケット(P)のペイロードに含まれるメッセージのプロシージャ名を確認するプロシージャ名確認部(12)と、プロシージャ名にあらかじめ対応付けられたデータ位置情報(14b)に従って、該データ位置情報によって特定される目的パケットのペイロードから目的データを取得するデータ取得部(13)とを備える。
Outline of related art and contending technology (In Japanese)

例えば、ファイルメタデータ改竄型ルートキット(rootkit)は、コンピュータウィルスの一形態であり、感染するとサービスの停止や情報漏洩に繋がり、サービスの品質に深刻な被害を与える。ファイルメタデータ改竄型ルートキットは、オペレーティングシステムカーネル内のデータを変更するため、一般的なアンチウィルスソフトでの検出が極めて困難である。このルートキットを検出するためには、ネットワークシステムを構築して、仮想マシンモニタでやり取りされるパケットを監視することが極めて有効である。この例のように、従来、通信中のパケットから情報を抽出することが行われている。

ここで、図6を参照して、パケットを用いた通常のメッセージ送受信の概略について説明する。

図6に示すように、メッセージの送信の場合、まず、送信側のアプリケーション(図中左側のApplication)が、メッセージを作成し(S51)、OS(operating system)(図中左側のOS)にメッセージ送信をリクエストする(S52)。そして、OSが、取得したメッセージをパケットに分割し、ヘッダを付けて(S53)、受信側へ送信する(S54)。

また、メッセージの受信の場合、受信側のOS(図中右側のOS)が、パケットを受信し(S54)、ヘッダを外すとともに、ヘッダに従ってメッセージを作成し(S55)、作成したメッセージをアプリケーション(図中右側のApplication)へ送信する(S56)。そして、アプリケーションが、OSから取得したメッセージをメモリに格納する(S57)。

このように、メッセージの送信側のOSは、NIC(Network Interface Card)に送る際に、メッセージをパケットに変換する。このとき、OSは、送信先でメッセージの復元する際に必要な情報、例えば、シーケンス番号(順番),ポート番号(接続の識別子)等を含むヘッダをパケットに付与する。一方、メッセージの受信側のOSは、パケットのヘッダを参照して、パケットからメッセージを構築する。

つづいて、図7および図8を参照して、パケットを用いて送受信されるメッセージからデータを抽出する従来手法について説明する。ここでは、VMM(Virtual Machine Monitor)において、メッセージから目的とするデータを抽出する場合を例に説明する。

図7に示すように、送信側のOS(図中左側のOS)は、VMMが提供する仮想Network Interface Cardにパケットを送る。つまり、VMMは、OSによって分割されたパケットを取得する。そして、VMMは、取得したパケットを受信側のOS(図中右側のOS)へ送信するとともに、取得したパケットからメッセージを再構成して、得たい情報である目的データを得る。

具体的には、図8に示すように、VMMは、取得したパケットのヘッダ情報を確認し(S61)、ヘッダ以外(ペイロード)をコピーし(S62)、その後、パケットを送信する(S63)。これと同時に、VMMは、コピーしたデータからメッセージを構築し(S64)、メッセージから目的データを抽出する(S65)。

このように、VMMは、パケットのペイロードのコピーを生成して、パケットのヘッダ情報を基に配置する。すなわち、VMMは、パケットに分割されていたメッセージを再構成した後で、目的データを抽出する。

Field of industrial application (In Japanese)

本発明は、通信途中のパケットから目的とするデータを抽出するパケットデータ抽出装置、パケットデータ抽出装置の制御方法、制御プログラム、コンピュータ読み取り可能な記録媒体に関する。

Scope of claims (In Japanese)
【請求項1】
 
通信途中のパケットから目的とするデータを抽出するパケットデータ抽出装置であって、
通信途中のパケットを一時的に記憶する一時記憶部に格納されている対象パケットのペイロードを参照して、当該対象パケットのペイロードに含まれるメッセージのプロシージャ名を確認するプロシージャ名確認手段と、
上記プロシージャ名確認手段によって確認されたプロシージャ名にあらかじめ対応付けられた、目的データの格納位置を示すデータ位置情報に従って、該データ位置情報によって特定される目的パケットのペイロードから目的データを取得する目的データ取得手段と、を備えることを特徴とするパケットデータ抽出装置。

【請求項2】
 
対象パケットがメッセージの先頭部分を格納しているパケットであるか否かを確認するパケット確認手段をさらに備え、
上記プロシージャ名確認手段は、上記パケット確認手段によって、対象パケットがメッセージの先頭部分を格納していることが確認された場合のみ、当該対象パケットのペイロードに含まれるメッセージのプロシージャ名を確認するものであることを特徴とする請求項1に記載のパケットデータ抽出装置。

【請求項3】
 
上記目的データ取得手段は、上記データ位置情報によって指定された位置のデータのみを取得することを特徴とする請求項1または2に記載のパケットデータ抽出装置。

【請求項4】
 
VMMに設けられることを特徴とする請求項1または2に記載のパケットデータ抽出装置。

【請求項5】
 
通信途中のパケットから目的とするデータを抽出するパケットデータ抽出装置の制御方法であって、
通信途中のパケットを一時的に記憶する一時記憶部に格納されている対象パケットのペイロードを参照して、当該対象パケットのペイロードに含まれるメッセージのプロシージャ名を確認するプロシージャ名確認ステップと、
上記プロシージャ名確認ステップにて確認されたプロシージャ名にあらかじめ対応付けられた、目的データの格納位置を示すデータ位置情報に従って、該データ位置情報によって特定される目的パケットのペイロードから目的データを取得する目的データ取得ステップと、を含むことを特徴とするパケットデータ抽出装置の制御方法。

【請求項6】
 
請求項1または2に記載のパケットデータ抽出装置の上記各手段としてコンピュータを機能させるための制御プログラム。

【請求項7】
 
請求項6に記載の制御プログラムを記録したコンピュータ読み取り可能な記録媒体。
IPC(International Patent Classification)
F-term
Drawing

※Click image to enlarge.

JP2013544236thum.jpg
State of application right Registered
Reference ( R and D project ) CREST Dependable Operating Systems for Embedded Systems Aiming at Practical Applications AREA
Please contact us by E-mail or facsimile if you have any interests on this patent.


PAGE TOP

close
close
close
close
close
close
close