JP7777471B2 - Information processing system, estimation method and program - Google Patents
Information processing system, estimation method and programInfo
- Publication number
- JP7777471B2 JP7777471B2 JP2022029028A JP2022029028A JP7777471B2 JP 7777471 B2 JP7777471 B2 JP 7777471B2 JP 2022029028 A JP2022029028 A JP 2022029028A JP 2022029028 A JP2022029028 A JP 2022029028A JP 7777471 B2 JP7777471 B2 JP 7777471B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- encrypted
- communication
- encrypted communication
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本開示は、不審な電子証明書の利用を検出するための技術に関する。 This disclosure relates to technology for detecting the use of suspicious digital certificates.
従来、ネットワークに接続された第一の端末と第二の端末との間の通信に係るデータを、相手側端末へ到達する前に取得する通信取得部と、取得されたデータに係る通信のプロトコルを解析することで、当該データに含まれる、秘匿化の対象となるセッションにおける通信相手の電子証明書を含むセッション確立用メッセージを特定するプロトコル解析部と、特定されたセッション確立用メッセージから電子証明書を抽出する証明書抽出部と、抽出された電子証明書及び前記セッションにおける通信相手の正当性を検査する検査部と、通信取得部によって取得されたデータのうち、前記セッション確立用メッセージの送受信の前に第一の端末と第二の端末との間で送受信されるデータから、前記通信相手の識別情報を抽出する識別情報抽出部と、を備え、検査部は、識別情報抽出部によって抽出された前記通信相手の識別情報と、前記電子証明書に含まれる対象サーバー情報とを比較することで、前記セッションにおける通信相手の正当性を検査する情報処理装置が提案されている(特許文献1を参照)。 Conventionally, an information processing device has been proposed that includes a communication acquisition unit that acquires data related to communications between a first terminal and a second terminal connected to a network before it reaches the other terminal; a protocol analysis unit that analyzes the communication protocol related to the acquired data to identify a session establishment message included in the data, the message containing the digital certificate of the communication partner in the session to be concealed; a certificate extraction unit that extracts the digital certificate from the identified session establishment message; an inspection unit that verifies the legitimacy of the extracted digital certificate and the communication partner in the session; and an identification information extraction unit that extracts identification information of the communication partner from data acquired by the communication acquisition unit that is sent between the first terminal and the second terminal before the sending and receiving of the session establishment message. The inspection unit verifies the legitimacy of the communication partner in the session by comparing the identification information of the communication partner extracted by the identification information extraction unit with target server information included in the digital certificate (see Patent Document 1).
従来、SSL(Secure Sockets Layer)/TLS(Transport Layer Security)等の暗号化通信では、攻撃者による不審な通信を検出するために、通信相手の電子証明書を検査する方法が用いられている。この方法では、例えば、検査の結果、検査対象の電子証明書が自己署名証明書(所謂、オレオレ証明書)等であった場合に、当該電子証明書を利用する通信を不審な通信として検出する。 Conventionally, in encrypted communications such as SSL (Secure Sockets Layer)/TLS (Transport Layer Security), a method of inspecting the electronic certificate of the communication partner has been used to detect suspicious communications by attackers. With this method, for example, if the inspection reveals that the electronic certificate being inspected is a self-signed certificate (a so-called "self-signed certificate"), communications using that electronic certificate are detected as suspicious.
しかし、近年普及が進んでいる暗号化技術であるTLS1.3では、TLS1.2等の従来の暗号化技術と比較し、セッション確立の際に暗号化されるパラメータ(ハンドシェイクパラメータ)が増加しており、電子証明書についても、他のパラメータと同様に、暗号化されて受け渡しが行われる仕様になっている。このように電子証明書が暗号化される暗号化通信では、一旦暗号化通信を復号化した上で解析を行うことも可能であるが、暗号化通信を復号化するために高価な装置を導入する等、セキュリティ対策にかかる負担が増大してしまうという問題がある。 However, TLS 1.3, an encryption technology that has become increasingly popular in recent years, encrypts an increased number of parameters (handshake parameters) when establishing a session compared to conventional encryption technologies such as TLS 1.2, and electronic certificates, like other parameters, are also encrypted before being transferred. In encrypted communications in which electronic certificates are encrypted in this way, it is possible to decrypt the encrypted communications and then analyze them, but this poses the problem of increasing the burden on security measures, such as the need to introduce expensive equipment to decrypt the encrypted communications.
本開示は、上記した問題に鑑み、電子証明書が暗号化される暗号化通信の場合にも、暗号化された通信を復号化することなく、不審な電子証明書の利用を推定することを課題とする。 In view of the above-mentioned problems, the present disclosure aims to estimate the use of suspicious electronic certificates without decrypting encrypted communications, even in the case of encrypted communications in which electronic certificates are encrypted.
本開示の一例は、ネットワークに接続された第一の端末と第二の端末との間で行われる暗号化通信に係るデータを取得するデータ取得手段と、取得された前記データのうち、前記暗号化通信を確立するために前記第二の端末から前記第一の端末に送信される暗号化メッセージが、データサイズに係る所定の条件を満たす場合に、該暗号化メッセージに前記第二の端末に係る不審な電子証明書が含まれていると推定する推定手段と、を備える情報処理システムである。 One example of the present disclosure is an information processing system including: a data acquisition means for acquiring data related to encrypted communication between a first terminal and a second terminal connected to a network; and an estimation means for, if an encrypted message sent from the second terminal to the first terminal to establish the encrypted communication among the acquired data satisfies a predetermined condition related to data size, inferring that the encrypted message contains a suspicious digital certificate related to the second terminal.
本開示は、情報処理装置、システム、コンピュータによって実行される方法またはコンピュータに実行させるプログラムとして把握することが可能である。また、本開示は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものとしても把握できる。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的又は化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。 The present disclosure can be understood as an information processing device, a system, a method executed by a computer, or a program executed by a computer. The present disclosure can also be understood as such a program recorded on a recording medium readable by a computer or other device, machine, etc. Here, a recording medium readable by a computer, etc. refers to a recording medium that stores information such as data or programs through electrical, magnetic, optical, mechanical, or chemical action and can be read by a computer, etc.
本開示によれば、電子証明書が暗号化される暗号化通信の場合にも、暗号化された通信を復号化することなく、不審な電子証明書の利用を推定することが可能となる。 According to the present disclosure, even in the case of encrypted communications in which electronic certificates are encrypted, it is possible to infer the use of suspicious electronic certificates without decrypting the encrypted communications.
以下、本開示に係る情報処理システム、情報処理装置、方法及びプログラムの実施の形態を、図面に基づいて説明する。但し、以下に説明する実施の形態は、実施形態を例示するものであって、本開示に係る情報処理システム、情報処理装置、方法及びプログラムを以下に説明する具体的構成に限定するものではない。実施にあたっては、実施の態様に応じた具体的構成が適宜採用され、また、種々の改良や変形が行われてよい。 Embodiments of an information processing system, information processing device, method, and program according to the present disclosure will be described below with reference to the drawings. However, the embodiments described below are merely examples, and the information processing system, information processing device, method, and program according to the present disclosure are not limited to the specific configurations described below. When implementing the present disclosure, specific configurations may be adopted as appropriate depending on the implementation mode, and various improvements and modifications may be made.
[第一の実施形態]
本実施形態では、本開示に係る情報処理システム、情報処理装置、方法及びプログラムを、ネットワークを監視するためのシステムにおいて実施した場合の実施の形態について説明する。但し、本開示に係る情報処理システム、情報処理装置、方法及びプログラムは、不審な電子証明書であるか否かを推定するための技術について広く用いることが可能であり、本開示の適用対象は、実施形態において示した例に限定されない。なお、本実施形態及び後述する他の実施形態において、「不審な電子証明書」とは、正当な電子証明書であるか疑わしい電子証明書である。
[First embodiment]
In this embodiment, an embodiment will be described in which an information processing system, an information processing device, a method, and a program according to the present disclosure are implemented in a system for monitoring a network. However, the information processing system, the information processing device, the method, and the program according to the present disclosure can be widely used as a technology for estimating whether or not a digital certificate is suspicious, and the application of the present disclosure is not limited to the examples shown in the embodiment. Note that in this embodiment and other embodiments described later, a "suspicious digital certificate" refers to a digital certificate that is questionable as to whether it is a legitimate digital certificate.
<システムの構成>
図1は、本実施形態に係るシステムの構成を示す概略図である。本実施形態に係るシステム9は、1又は複数のクライアント端末装置8、クライアント端末装置8に係る通信を監視するためのネットワーク監視装置1、クライアント端末装置8が接続されるネットワークセグメント2、ルータ3、スイッチ4、及び1又は複数のサーバ装置7を備える。ネットワークセグメント2内のクライアント端末装置8は、インターネットや広域ネットワークを介して遠隔地において接続された各種のサーバ装置7と、プロキシ(プロキシサーバ)又はルータ(図1の例では、ルータ3)を介して通信可能である。本実施形態において、ネットワーク監視装置1は、プロキシ又はルータ(図1の例では、ルータ3)と、その上位にあるネットワークセグメント2のスイッチ(スイッチングハブ)、ルータ又はゲートウェイ(図1の例では、スイッチ4)との間に接続されることで、通過するパケットやフレーム等を取得する。図1に示されたシステム構成の場合、ネットワーク監視装置1は、取得したパケットのうち、遮断しなくてもよいパケットについては転送するインラインモードで動作する。
<System configuration>
FIG. 1 is a schematic diagram showing the configuration of a system according to the present embodiment. The system 9 according to the present embodiment includes one or more client terminal devices 8, a network monitoring device 1 for monitoring communications related to the client terminal devices 8, a network segment 2 to which the client terminal devices 8 are connected, a router 3, a switch 4, and one or more server devices 7. The client terminal devices 8 in the network segment 2 can communicate with various server devices 7 connected in remote locations via the Internet or a wide area network via a proxy (proxy server) or a router (router 3 in the example of FIG. 1). In this embodiment, the network monitoring device 1 is connected between the proxy or router (router 3 in the example of FIG. 1) and an upstream switch (switching hub), router, or gateway (switch 4 in the example of FIG. 1) of the network segment 2, thereby acquiring packets, frames, and the like passing through the proxy or router. In the system configuration shown in FIG. 1, the network monitoring device 1 operates in an inline mode, forwarding acquired packets that do not need to be blocked.
図2は、本実施形態に係るシステムのハードウェア構成を示す図である。ネットワーク監視装置1は、クライアント端末装置8とサーバ装置7との間で行われる通信を監視するための装置である。本実施形態では、ネットワーク監視装置1は、クライアント端末装置8とサーバ装置7の間で送受信されるデータを取得し、取得されたデータを解析することにより、クライアント端末装置8とサーバ装置7との間で行われる暗号化通信に不審な電子証明書(サーバ証明書)が利用されているか否かを推定する。 Figure 2 shows the hardware configuration of a system according to this embodiment. The network monitoring device 1 is a device for monitoring communications between a client terminal device 8 and a server device 7. In this embodiment, the network monitoring device 1 acquires data sent and received between the client terminal device 8 and the server device 7, and by analyzing the acquired data, estimates whether a suspicious electronic certificate (server certificate) is being used in encrypted communications between the client terminal device 8 and the server device 7.
ネットワーク監視装置1は、CPU(Central Processing Unit)11、ROM(Read Only Memory)12、RAM(Random Access Memory)13、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14、及びNIC(Network Interface Card)等の通信ユニット15、等を備えるコンピュータである。但し、ネットワーク監視装置1の具体的なハードウェア構成に関しては、実施の態様に応じて適宜省略や置換、追加が可能である。また、ネットワーク監視装置1は、単一の筐体からなる装置に限定されない。ネットワーク監視装置1は、所謂クラウドや分散コンピューティングの技術等を用いた、複数の装置によって実現されてよい。なお、ネットワーク監視装置1は、L2ブリッジ、L3ルータ、NAT(Network Address Translation)装置、スイッチ、又はプロキシに内包されてもよい。 The network monitoring device 1 is a computer comprising a CPU (Central Processing Unit) 11, a ROM (Read Only Memory) 12, a RAM (Random Access Memory) 13, a storage device 14 such as an EEPROM (Electrically Erasable and Programmable Read Only Memory) or an HDD (Hard Disk Drive), and a communication unit 15 such as a NIC (Network Interface Card). However, the specific hardware configuration of the network monitoring device 1 can be omitted, replaced, or added as appropriate depending on the implementation. Furthermore, the network monitoring device 1 is not limited to a device consisting of a single housing. The network monitoring device 1 may be realized by multiple devices using so-called cloud or distributed computing technology. The network monitoring device 1 may also be included in an L2 bridge, L3 router, NAT (Network Address Translation) device, switch, or proxy.
サーバ装置7は、ユーザに対して様々なサービスを提供するためのコンピュータである。サーバ装置7は、CPU、ROM、RAM、記憶装置、通信ユニット等(図示は省略)を備えるコンピュータである。但し、サーバ装置7の具体的なハードウェア構成に関しては、実施の態様に応じて適宜省略や置換、追加が可能である。また、サーバ装置7は、単一の筐体からなる装置に限定されない。サーバ装置7は、所謂クラウドや分散コンピューティングの技術等を用いた、複数の装置によって実現されてよい。 The server device 7 is a computer that provides various services to users. The server device 7 is a computer that includes a CPU, ROM, RAM, a storage device, a communication unit, etc. (not shown). However, the specific hardware configuration of the server device 7 can be omitted, replaced, or added as appropriate depending on the implementation. Furthermore, the server device 7 is not limited to a device consisting of a single housing. The server device 7 may be realized by multiple devices using so-called cloud or distributed computing technology, etc.
クライアント端末装置8は、ユーザによって使用されるコンピュータであり、ユーザは、これらのクライアント端末装置8を介してサーバ装置7によって提供される各種サービスを利用する。クライアント端末装置8は、CPU、ROM、RAM、記憶装置、通信ユニット、入力装置、出力装置等(図示は省略)を備えるコンピュータである。但し、クライアント端末装置8の具体的なハードウェア構成に関しては、実施の態様に応じて適宜省略や置換、追加が可能である。また、クライアント端末装置8は、単一の筐体からなる装置に限定されない。クライアント端末装置8は、所謂クラウドや分散コンピューティングの技術等を用いた、複数の装置によって実現されてよい。 The client terminal device 8 is a computer used by a user, and the user uses the various services provided by the server device 7 via this client terminal device 8. The client terminal device 8 is a computer equipped with a CPU, ROM, RAM, storage device, communication unit, input device, output device, etc. (not shown). However, the specific hardware configuration of the client terminal device 8 can be omitted, replaced, or added as appropriate depending on the embodiment. Furthermore, the client terminal device 8 is not limited to a device consisting of a single housing. The client terminal device 8 may be realized by multiple devices using so-called cloud or distributed computing technology, etc.
図3は、本実施形態に係るネットワーク監視装置(情報処理システム)の機能構成の概略を示す図である。なお、図3においては、ネットワーク監視装置1以外の構成(ルータ3、スイッチ4、サーバ装置7、クライアント端末装置8等)については、図示を省略している。ネットワーク監視装置1は、記憶装置14に記録されているプログラムが、RAM13に読み出され、CPU11によって実行されて、ネットワーク監視装置1に備えられた各ハードウェアが制御されることで、データ取得部21、プロトコル判定部22、セッション再開判定部23、特定部24及び推定部25を備える装置として機能する。なお、本実施形態及び後述する他の実施形態では、ネットワーク監視装置1の備える各機能は、汎用プロセッサであるCPU11によって実行されるが、これらの機能の一部又は全部は、1又は複数の専用プロセッサによって実行されてもよい。また、ネットワーク監視装置1が備える各機能部は、単一の筐体からなる装置(1の装置)に実装されるものに限定されず、遠隔に及び/又は分散して(例えば、クラウド上に)実装されてもよい。 Figure 3 is a diagram illustrating an outline of the functional configuration of a network monitoring device (information processing system) according to this embodiment. Note that components other than the network monitoring device 1 (such as the router 3, switch 4, server device 7, and client terminal device 8) are not illustrated in Figure 3. The network monitoring device 1 functions as a device including a data acquisition unit 21, protocol determination unit 22, session resumption determination unit 23, identification unit 24, and estimation unit 25, with programs stored in the storage device 14 read into the RAM 13 and executed by the CPU 11, controlling the various hardware components of the network monitoring device 1. Note that in this embodiment and other embodiments described below, the functions of the network monitoring device 1 are executed by the CPU 11, which is a general-purpose processor; however, some or all of these functions may be executed by one or more dedicated processors. Furthermore, the functional units of the network monitoring device 1 are not limited to being implemented in a device (a single device) consisting of a single housing, but may be implemented remotely and/or distributedly (e.g., on the cloud).
データ取得部21は、ネットワークに接続されたサーバ装置7とクライアント端末装置8との間で送受信されるデータを取得する。データ取得部21は、パケット受信部21A及びパケット組み立て部21Bを備える。パケット受信部21Aは、サーバ装置7とクライアント端末装置8との間で送受信される複数のパケットを、相手先に到達する前に受信する。パケット組み立て部21Bは、パケット受信部21Aにより受信されたパケットが、送信時にフラグメント化(分割)されたパケットである場合、当該パケットのヘッダ等を参照することで、分割されたパケットを元のパケットに組み立てる(再構成する)。 The data acquisition unit 21 acquires data transmitted and received between the server device 7 and the client terminal device 8 connected to the network. The data acquisition unit 21 includes a packet receiving unit 21A and a packet assembling unit 21B. The packet receiving unit 21A receives multiple packets transmitted and received between the server device 7 and the client terminal device 8 before they reach their destination. If the packets received by the packet receiving unit 21A are packets that were fragmented (divided) during transmission, the packet assembling unit 21B assembles (reconstructs) the divided packets into the original packet by referencing the headers of the packets, etc.
例えば、あるパケットが送信時に複数のパケットに分割されると、分割後の各パケットのヘッダには、同一の識別番号や、元のパケットのどの部分に相当するかを示す情報等が含まれるため、パケット組み立て部21Bは、これらの情報を基にパケットの組み立てを行う。なお、パケット組み立て処理は、通信フロー(セッション)毎に行われる。通信フローは、2つのノード間のセッションの開始から終了までの一連の通信を示す単位である。具体的には、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、及びプロトコル等の属性が同じものは同一の通信フローとして識別される。そのため、通信フローは、パケットのヘッダを参照することで識別される。以上より、データ取得部21は、サーバ装置7とクライアント端末装置8との間で送受信されるデータ(TLSメッセージ)を取得する。 For example, if a packet is split into multiple packets during transmission, the headers of each resulting packet contain the same identification number and information indicating which part of the original packet it corresponds to. The packet assembly unit 21B then assembles the packets based on this information. The packet assembly process is performed for each communication flow (session). A communication flow is a unit representing a series of communications between two nodes, from the start to the end of a session. Specifically, packets with the same attributes, such as the source IP address, destination IP address, source port number, destination port number, and protocol, are identified as the same communication flow. Therefore, communication flows are identified by referencing the packet headers. As described above, the data acquisition unit 21 acquires data (TLS messages) sent and received between the server device 7 and the client terminal device 8.
プロトコル判定部22は、サーバ装置7とクライアント端末装置8との間で行われる暗号化通信のプロトコルを判定する。本実施形態では、プロトコル判定部22は、取得されたデータに係る暗号化通信のプロトコルが、電子証明書を暗号化する暗号化通信プロトコルである、TLS1.3であるか否かを判定する。このプロトコルの判定処理は、暗号化通信を確立するために、暗号化通信に先んじて行われるハンドシェイクにおいて送受信されるメッセージ(以下、「ハンドシェイクメッセージ」と称する)を参照することで行われる。 The protocol determination unit 22 determines the protocol of the encrypted communication performed between the server device 7 and the client terminal device 8. In this embodiment, the protocol determination unit 22 determines whether the protocol of the encrypted communication related to the acquired data is TLS 1.3, which is an encrypted communication protocol that encrypts electronic certificates. This protocol determination process is performed by referring to the messages (hereinafter referred to as "handshake messages") sent and received in the handshake that is performed prior to the encrypted communication to establish the encrypted communication.
本実施形態では、プロトコル判定部22は、データ取得部21により取得されたTLSメッセージのうち、暗号化されていないハンドシェイクメッセージである、ClientHelloメッセージ(以下、「ClientHello」と称する)及びServerHelloメッセージ(以下、「ServerHello」と称する)を参照することで、プロトコルを判定する。具体的には、プロトコル判定部22は、ClientHello及びServerHello内の「extension(拡張)」フィールドの「supported_version」を参照し、夫々の「supported_version」にTLS1.3を示す情報が含まれている場合、当該ハンドシェイクメッセージにより確立される暗号化通信のプロトコルを、TLS1.3と判定する。 In this embodiment, the protocol determination unit 22 determines the protocol by referring to the ClientHello message (hereinafter referred to as "ClientHello") and the ServerHello message (hereinafter referred to as "ServerHello"), which are unencrypted handshake messages among the TLS messages acquired by the data acquisition unit 21. Specifically, the protocol determination unit 22 refers to the "supported_version" in the "extension" field in the ClientHello and ServerHello, and if the respective "supported_version" fields contain information indicating TLS 1.3, it determines that the protocol of the encrypted communication established by the handshake message is TLS 1.3.
本実施形態では、上述した判定処理により、サーバ装置7とクライアント端末装置8との間で行われる暗号化通信のプロトコルが、所定の暗号化通信プロトコル(TLS1.3)と判定された場合に、後述する推定処理(不審な証明書を利用しているかを推定する処理)が行われる。 In this embodiment, if the above-described determination process determines that the protocol for encrypted communication between the server device 7 and the client terminal device 8 is a specified encrypted communication protocol (TLS 1.3), the estimation process (process to estimate whether a suspicious certificate is being used) described below is performed.
なお、本実施形態では、TLS1.3による暗号化通信であるかを判定する際、上述の通り、ClientHello及びServerHelloを参照するが、TLS1.3であるか否かを判定可能であれば、この例に限定されない。そのため、例えば、ClientHello及びServerHelloの一方のみを参照するようにしてよい。また、本実施形態では、上述の通り、後述する推定処理を行う対象の暗号化プロトコルを、TLS1.3とするが、電子証明書を暗号化するプロトコルであれば、他の任意のプロトコルであってもよい。 In this embodiment, as described above, when determining whether communication is encrypted using TLS 1.3, ClientHello and ServerHello are referenced, but this is not limited to this example as long as it is possible to determine whether or not it is TLS 1.3. Therefore, for example, it is possible to reference only one of ClientHello and ServerHello. Also, in this embodiment, as described above, the encryption protocol to be subjected to the estimation process described below is TLS 1.3, but any other protocol that encrypts electronic certificates may be used.
セッション再開判定部23は、サーバ装置7とクライアント端末装置8との間で行われる暗号化通信が、フルネゴシエーションにより確立される通信であるか、つまり、セッションを再開することで行われる通信(セッション再開シーケンス)でないかを判定する。例えば、TLS1.3の場合は、PSK(Pre-Shared Key、事前共有鍵)を用いてセッションを再開することにより、ハンドシェイクを完全に実行しなくても新規の接続(暗号化通信)を行うことが可能である。このPSKを用いてセッションを再開する場合は、ハンドシェイクにおいて電子証明書を送信する必要がないため、この場合には、ハンドシェイクメッセージには電子証明書が含まれない。そのため、本実施形態では、暗号化通信を確立する際にPSKが用いられているか否かを判定し、PSKが用いられていない場合(セッション再開でない場合)、つまり、フルネゴシエーションが行われる場合(セッションを確立する場合)にのみ、後述する推定処理が行われることとする。 The session resumption determination unit 23 determines whether the encrypted communication between the server device 7 and the client terminal device 8 is established by full negotiation, i.e., whether it is communication established by resuming a session (session resumption sequence). For example, in the case of TLS 1.3, by resuming a session using a PSK (Pre-Shared Key), it is possible to establish a new connection (encrypted communication) without performing a full handshake. When resuming a session using this PSK, there is no need to send a digital certificate in the handshake, and in this case, the digital certificate is not included in the handshake message. Therefore, in this embodiment, it is determined whether a PSK was used when establishing encrypted communication, and the estimation process described below is performed only if a PSK was not used (if the session was not resumed), i.e., if full negotiation was performed (if a session was established).
本実施形態では、セッション再開判定部23は、サーバ装置7とクライアント端末装置8との間で送受信されるハンドシェイクメッセージを参照することで、フルネゴシエーションであるかを判定する。例えば、セッション再開判定部23は、セッション再開要求に係るメッセージであるClientHelloを参照し、ClientHello内の「extension」フィールドに「pre_shared_key」が存在しないか、又は、「pre_shared_key」は存在するがそのデータの長さ(Length)がゼロである場合に、当該ハンドシェイクメッセージにより確立される暗号化通信を、フルネゴシエーションにより確立される通信であると判定する。 In this embodiment, the session resumption determination unit 23 determines whether full negotiation is being performed by referencing the handshake message transmitted and received between the server device 7 and the client terminal device 8. For example, the session resumption determination unit 23 references ClientHello, which is a message related to a session resumption request, and if "pre_shared_key" is not present in the "extension" field in ClientHello, or if "pre_shared_key" is present but its data length (Length) is zero, determines that the encrypted communication established by the handshake message is communication established by full negotiation.
特定部24は、データ取得部21により取得されたデータから、サーバ装置7とクライアント端末装置8との間で送受信されるハンドシェイクメッセージを特定する。特に、特定部24は、サーバ装置7の電子証明書を含み得る、サーバ装置7からクライアント端末装置8に送信される暗号化されたハンドシェイクメッセージを特定する。TLS1.3の場合、ServerHello以降のメッセージが全て暗号化されるため、例えば、パケットのヘッダ等により、どのTLSメッセージに電子証明書が含まれるかを特定することが困難である。以下、TLS1.2とTLS1.3とのハンドシェイク(暗号化通信(TLSコネクション)を開始するためのネゴシエーション)の違いについて説明する。 The identification unit 24 identifies handshake messages transmitted and received between the server device 7 and the client terminal device 8 from the data acquired by the data acquisition unit 21. In particular, the identification unit 24 identifies encrypted handshake messages transmitted from the server device 7 to the client terminal device 8, which may include the server device 7's digital certificate. In the case of TLS 1.3, all messages after Server Hello are encrypted, making it difficult to identify which TLS messages contain a digital certificate, for example, from the packet header. Below, we will explain the differences between the handshakes (negotiations to start encrypted communication (TLS connection)) between TLS 1.2 and TLS 1.3.
図4は、従来のTLS1.2におけるハンドシェイクの流れを示すシーケンス図である。図4では、TLS1.2におけるハンドシェイクにおいて、サーバとクライアントとの間で送受信されるTLSメッセージを示す。また、図4では、暗号化されるメッセージについて、その矢印を破線で表す。図4に示す通り、TLS1.2では、サーバ証明書(電子証明書)を含む「ServerCertificate」メッセージは、暗号化されることなくクライアントに送信される。そのため、電子証明書を含むメッセージか否かは、受信したメッセージ(パケット)のTLSヘッダを参照することで特定することが可能である。具体的には、パケットのペイロード(TLSペイロード)に格納されているデータの種類を示す、TLSヘッダ内の「Content Type(Handshake Type)」を参照することにより、電子証明書を含むメッセージか否かを特定することが可能である。 Figure 4 is a sequence diagram showing the flow of a handshake in conventional TLS 1.2. Figure 4 shows TLS messages sent and received between a server and a client during a handshake in TLS 1.2. Also, in Figure 4, arrows indicating encrypted messages are indicated by dashed lines. As shown in Figure 4, in TLS 1.2, a "ServerCertificate" message containing a server certificate (digital certificate) is sent to the client without encryption. Therefore, it is possible to determine whether a message contains a digital certificate by referencing the TLS header of the received message (packet). Specifically, it is possible to determine whether a message contains a digital certificate by referencing the "Content Type (Handshake Type)" in the TLS header, which indicates the type of data stored in the packet payload (TLS payload).
図5は、本実施形態に係るTLS1.3におけるハンドシェイクの流れを示すシーケンス図である。図5では、TLS1.3におけるハンドシェイクにおいて、サーバとクライアントとの間で送受信されるTLSメッセージを示すが、図5に示されていないTLSメッセージが含まれていてもよい。また、図5でも、暗号化されるメッセージについて、その矢印を破線で表す。図5に示す通り、TLS1.3では、電子証明書を含む「Certificate」メッセージは、暗号化された上でクライアントに送信される。そのため、電子証明書を含むメッセージか否かを、受信したメッセージ(パケット)のTLSヘッダを参照することで特定することは困難である。具体的には、ハンドシェイクに係るメッセージ(Certificate)であるにも関わらず、TLSヘッダ内の「Content Type(Handshake Type)」は、アプリケーションデータ(暗号化データ)であることを示す情報となるため、TLSヘッダによりサーバ証明書を特定することは困難である。 Figure 5 is a sequence diagram showing the flow of a handshake in TLS 1.3 according to this embodiment. Figure 5 shows TLS messages sent and received between a server and a client during a handshake in TLS 1.3, but TLS messages not shown in Figure 5 may also be included. Also in Figure 5, arrows indicating encrypted messages are indicated by dashed lines. As shown in Figure 5, in TLS 1.3, a "Certificate" message containing a digital certificate is encrypted before being sent to the client. Therefore, it is difficult to determine whether a message contains a digital certificate by referencing the TLS header of a received message (packet). Specifically, even though the message is related to a handshake (Certificate), the "Content Type (Handshake Type)" in the TLS header indicates application data (encrypted data), making it difficult to identify the server certificate from the TLS header.
そのため、本実施形態では、暗号化通信を確立する際のハンドシェイクメッセージにおけるメッセージの順番から、サーバ装置7からクライアント端末装置8に送信される暗号化されたハンドシェイクメッセージを特定する。そして、少なくともこの特定されたハンドシェイクメッセージの中に、電子証明書を含むメッセージ(Certificate)が含まれると推定することが可能である。 For this reason, in this embodiment, the encrypted handshake message sent from the server device 7 to the client terminal device 8 is identified from the order of messages in the handshake message when establishing encrypted communication. It is then possible to estimate that at least one of these identified handshake messages contains a message (Certificate) that includes an electronic certificate.
図5に示すように、TLS1.3では、ServerHelloの後、サーバから、「Certificate」メッセージを含む各種TLSメッセージ(ハンドシェイクメッセージ)がクライアントに送信されると、クライアントから「Finished」メッセージが送信される。なお、クライアントから送信されるメッセージは「Finished」メッセージに限定されず、状況に応じて、「Alart」メッセージ等がサーバに送信される。そのため、特定部24は、ServerHelloが送信されてから、クライアントからデータ(TCPパケット)が送信されるまでの間に送受信された暗号化メッセージを、サーバ装置7からクライアント端末装置8に送信される暗号化されたハンドシェイクメッセージ(電子証明書を含み得るTLSメッセージ)と特定することが可能である。 As shown in FIG. 5, in TLS 1.3, after Server Hello, the server sends various TLS messages (handshake messages) including a "Certificate" message to the client, and the client then sends a "Finished" message. Note that the message sent from the client is not limited to the "Finished" message; depending on the situation, an "Alert" message or other message may be sent to the server. Therefore, the identification unit 24 can identify encrypted messages sent and received between the time Server Hello is sent and the time data (TCP packets) is sent from the client as encrypted handshake messages (TLS messages that may include an electronic certificate) sent from the server device 7 to the client terminal device 8.
推定部25は、不審な電子証明書を含むメッセージを推定する。本実施形態では、メッセージのデータサイズに基づき、不審な電子証明書を含むメッセージを推定する。推定部25は、例えば、(1)暗号化メッセージのデータサイズに基づき、電子証明書を含むメッセージを推定した上で、(2)推定された当該メッセージのデータサイズに基づき、当該推定されたメッセージに含まれる電子証明書が不審なものであるか(当該メッセージに不審な電子証明書が含まれるか)を推定する。以下、(1)と(2)夫々の推定方法について、説明する。 The estimation unit 25 estimates whether a message contains a suspicious electronic certificate. In this embodiment, the estimation unit 25 estimates whether a message contains a suspicious electronic certificate based on the data size of the message. For example, the estimation unit 25 (1) estimates whether a message contains a suspicious electronic certificate based on the data size of the encrypted message, and then (2) estimates whether the electronic certificate included in the estimated message is suspicious (whether the message contains a suspicious electronic certificate) based on the estimated data size of the message. The estimation methods for (1) and (2) are described below.
<(1)電子証明書を含むメッセージの推定>
通常、サーバ装置7から送信される暗号化されたハンドシェイクメッセージのうち、Certificateメッセージ以外のメッセージは、Certificateメッセージに比べてデータサイズが小さくなる。そのため、特定部24により特定された暗号化メッセージのうち、所定のデータサイズ(第二の閾値)を超えるメッセージを、電子証明書を含むメッセージと推定することが可能である。例えば、推定部25は、特定部24により特定された暗号化メッセージのデータサイズが400バイトを超える場合に、当該暗号化メッセージを、電子証明書を含むメッセージと推定する。なお、第二の閾値は、400バイトに限定されず、任意の値に設定可能である。また、暗号化メッセージのデータサイズは、TLSペイロードの長さを示す、TLSヘッダ内の「Length」を参照することで取得することが可能である。
(1) Estimation of message containing digital certificate
Typically, among the encrypted handshake messages transmitted from the server device 7, messages other than the Certificate message have smaller data sizes than the Certificate message. Therefore, among the encrypted messages identified by the identification unit 24, a message exceeding a predetermined data size (second threshold) can be estimated to be a message containing a digital certificate. For example, if the data size of the encrypted message identified by the identification unit 24 exceeds 400 bytes, the estimation unit 25 estimates that the encrypted message contains a digital certificate. The second threshold is not limited to 400 bytes and can be set to any value. The data size of the encrypted message can be obtained by referencing "Length" in the TLS header, which indicates the length of the TLS payload.
<(2)電子証明書が不審であるかの推定>
一般的に、自己署名証明書(オレオレ証明書)等の不正なサーバ証明書は、正当なサーバ証明書と比べて情報が少なく、データサイズが小さくなる傾向がある。この特徴に着目し、上述した第二の閾値を超える暗号化メッセージのうち、所定のデータサイズ(第一の閾値)未満であるメッセージを、不審な電子証明書を含むメッセージであると推定することが可能である。例えば、推定部25は、特定部24により特定された暗号化メッセージのデータサイズが、400バイトを超過し且つ1200バイト未満である場合に、当該暗号化メッセージを、不審な電子証明書を含むメッセージと推定する。なお、第一の閾値は、1200バイトに限定されず、任意の値に設定可能である。なお、暗号化メッセージのデータサイズは、上述した通り、TLSヘッダ内の「Length」を、参照することで取得することが可能である。
<(2) Presuming whether a digital certificate is suspicious>
Generally, fraudulent server certificates, such as self-signed certificates (self-signed certificates), tend to contain less information and have a smaller data size than legitimate server certificates. Focusing on this characteristic, it is possible to estimate that, among encrypted messages exceeding the second threshold described above, a message that is less than a predetermined data size (first threshold) is a message containing a suspicious digital certificate. For example, if the data size of an encrypted message identified by the identification unit 24 exceeds 400 bytes but is less than 1200 bytes, the estimation unit 25 estimates that the encrypted message contains a suspicious digital certificate. Note that the first threshold is not limited to 1200 bytes and can be set to any value. Note that the data size of the encrypted message can be obtained by referencing the "Length" in the TLS header, as described above.
上述の通り、推定部25は、特定部24により特定された暗号化メッセージが、データサイズに係る所定の条件を満たす場合に、当該暗号化メッセージに不審な電子証明書が含まれていると推定する。なお、上述した例では、データサイズに係る所定の条件を、暗号化メッセージのデータサイズが所定の範囲内(第二の閾値を超過し且つ第一の閾値未満)の大きさであることとして説明した。但し、データサイズに係る所定の条件は、上述した例に限定されず、例えば、暗号化メッセージのデータサイズが所定の大きさ(例えば、1000バイト)であること、としてもよい。 As described above, if the encrypted message identified by the identification unit 24 satisfies a predetermined condition related to data size, the estimation unit 25 estimates that the encrypted message contains a suspicious digital certificate. In the example described above, the predetermined condition related to data size was described as the data size of the encrypted message being within a predetermined range (exceeding the second threshold and being less than the first threshold). However, the predetermined condition related to data size is not limited to the example described above, and may be, for example, the data size of the encrypted message being a predetermined size (e.g., 1,000 bytes).
<処理の流れ>
次に、本実施形態に係るネットワーク監視装置(情報処理システム)によって実行される処理の流れを説明する。なお、以下に説明する処理の具体的な内容及び処理順序は、本開示を実施するための一例である。具体的な処理内容及び処理順序は、本開示の実施の態様に応じて適宜選択されてよい。
<Processing flow>
Next, the flow of processing executed by the network monitoring device (information processing system) according to this embodiment will be described. Note that the specific content and processing order of the processing described below are an example for implementing the present disclosure. The specific content and processing order may be selected as appropriate depending on the embodiment of the present disclosure.
図6は、本実施形態に係るデータ処理の流れの概要を示すフローチャートである。本フローチャートに示された処理は、ネットワーク監視装置1において、データ取得部21によりパケットの受信及び組み立てが行われた結果、ClientHello及びServerHelloが取得されたこと等を契機として開始される。つまり、本フローチャートに示された処理は、ネゴシエーション毎に実行される。なお、以下の説明(図6の説明)で用いられる「ClientHello」及び「ServerHello」は、本フローチャートの開始の契機となったClientHello及びServerHelloを示す。 Figure 6 is a flowchart showing an overview of the data processing flow according to this embodiment. The processing shown in this flowchart is initiated when a ClientHello and ServerHello are acquired as a result of packets being received and assembled by the data acquisition unit 21 in the network monitoring device 1. In other words, the processing shown in this flowchart is executed for each negotiation. Note that the terms "ClientHello" and "ServerHello" used in the following explanation (of Figure 6) refer to the ClientHello and ServerHello that triggered the start of this flowchart.
ステップS101では、サーバ装置7とクライアント端末装置8との間で行われる暗号化通信のプロトコルが、TLS1.3であるかが判定される。プロトコル判定部22は、ClientHello及びServerHello(「supported_version」)を参照することで、暗号化プロトコルがTLS1.3であるかを判定する。サーバ装置7とクライアント端末装置8との間で行われる暗号化通信のプロトコルがTLS1.3と判定された場合(ステップS101のYES)、処理はステップS103へ進む。一方、TLS1.3でないと判定された場合(ステップS101のNO)、推定処理を行わないため、本フローチャートに示された処理は終了する。 In step S101, it is determined whether the protocol for encrypted communication between the server device 7 and the client terminal device 8 is TLS 1.3. The protocol determination unit 22 determines whether the encryption protocol is TLS 1.3 by referencing ClientHello and ServerHello ("supported_version"). If it is determined that the protocol for encrypted communication between the server device 7 and the client terminal device 8 is TLS 1.3 (YES in step S101), processing proceeds to step S103. On the other hand, if it is determined that it is not TLS 1.3 (NO in step S101), estimation processing is not performed, and the processing shown in this flowchart ends.
ステップS103では、サーバ装置7とクライアント端末装置8との間で行われる暗号化通信が、フルネゴシエーションにより確立される通信であるか(セッション再開に係る通信でないか)が判定される。セッション再開判定部23は、ClientHello(「pre_shared_key」)を参照することで、フルネゴシエーションが行われるかを判定する。サーバ装置7とクライアント端末装置8との間で行われる暗号化通信が、フルネゴシエーションにより確立される通信であると判定された場合(ステップS103のYES)、処理はステップS106へ進む。一方、フルネゴシエーションが行われないと判定された場合(ステップS103のNO)、推定処理を行わないため、本フローチャートに示された処理は終了する。なお、ステップS101及びステップS103は、順不同である。 In step S103, it is determined whether the encrypted communication between the server device 7 and the client terminal device 8 is communication established by full negotiation (whether it is communication related to session resumption). The session resumption determination unit 23 determines whether full negotiation is to be performed by referencing ClientHello ("pre_shared_key"). If it is determined that the encrypted communication between the server device 7 and the client terminal device 8 is communication established by full negotiation (YES in step S103), the process proceeds to step S106. On the other hand, if it is determined that full negotiation is not to be performed (NO in step S103), estimation processing is not performed, and the process shown in this flowchart ends. Note that steps S101 and S103 can be performed in any order.
ステップS106では、ClientHello及びServerHelloに続くTLSメッセージ(TLSレコード)に対して推定処理が行われる。推定処理の詳細は、図7を用いて後述する。その後、本フローチャートに示された処理は終了する。 In step S106, estimation processing is performed on the TLS message (TLS record) following the Client Hello and Server Hello. Details of the estimation processing will be described later using Figure 7. After that, the processing shown in this flowchart ends.
図7は、本実施形態に係る推定処理の流れの概要を示すフローチャートである。本フローチャートに示された処理は、図6におけるステップS103で、フルネゴシエーションと判定されたことを契機として開始される。なお、以下の説明(図7の説明)で用いられる「ClientHello」及び「ServerHello」は、図6に示されたフローチャートの開始の契機となったClientHello及びServerHelloを示す。 Figure 7 is a flowchart showing an overview of the estimation process flow according to this embodiment. The process shown in this flowchart is initiated when full negotiation is determined in step S103 in Figure 6. Note that the terms "ClientHello" and "ServerHello" used in the following explanation (the explanation of Figure 7) refer to the ClientHello and ServerHello that triggered the start of the flowchart shown in Figure 6.
ステップS201では、サーバ装置7とクライアント端末装置8との間で送受信されるデータが取得される。データ取得部21は、ServerHelloに続くパケット(TLSメッセージ)を取得する。その後、処理はステップS202へ進む。 In step S201, data transmitted and received between the server device 7 and the client terminal device 8 is acquired. The data acquisition unit 21 acquires the packet (TLS message) following the Server Hello. Processing then proceeds to step S202.
ステップS202では、取得されたデータが、クライアント端末装置8からサーバ装置7に送信されたデータ(TCPパケット)であるかが判定される。特定部24は、ステップS201で取得されたパケットのIPヘッダ等を参照することにより、当該取得されたパケットが、クライアント端末装置8からサーバ装置7へ送信されたパケットであるかを判定する。取得されたパケットが、クライアント端末装置8からサーバ装置7へ送信されたパケットであると判定された場合(ステップS202のYES)、暗号化されたハンドシェイクメッセージについては既に検査済みであるため、本フローチャートに示された処理は終了する。一方、クライアント端末装置8からサーバ装置7へ送信されたパケットでないと判定された場合(ステップS202のNO)、処理はステップS203へ進む。 In step S202, it is determined whether the acquired data is data (TCP packet) sent from the client terminal device 8 to the server device 7. The identification unit 24 determines whether the acquired packet was sent from the client terminal device 8 to the server device 7 by referencing the IP header, etc., of the packet acquired in step S201. If it is determined that the acquired packet was sent from the client terminal device 8 to the server device 7 (YES in step S202), the encrypted handshake message has already been inspected, and the processing shown in this flowchart ends. On the other hand, if it is determined that the packet was not sent from the client terminal device 8 to the server device 7 (NO in step S202), the processing proceeds to step S203.
ステップS203では、取得されたデータが、サーバ装置7からクライアント端末装置8に送信されたアプリケーションデータ(暗号化データ)であるかが判定される。特定部24は、ステップS201で取得されたパケットのヘッダ(TLSヘッダ)を参照し、ヘッダ内の「Content Type」が、アプリケーションデータであることを示す情報である場合に、アプリケーションデータ(暗号化データ)であると判定する。また、特定部24は、ステップS201で取得されたパケットのIPヘッダ等を参照することにより、当該取得されたパケットが、サーバ装置7からクライアント端末装置8へ送信されたパケットであるかを判定する。 In step S203, it is determined whether the acquired data is application data (encrypted data) sent from the server device 7 to the client terminal device 8. The identification unit 24 references the header (TLS header) of the packet acquired in step S201, and determines that the data is application data (encrypted data) if the "Content Type" in the header is information indicating that the data is application data. The identification unit 24 also references the IP header, etc., of the packet acquired in step S201 to determine whether the acquired packet is a packet sent from the server device 7 to the client terminal device 8.
取得されたデータが、サーバ装置7からクライアント端末装置8に送信されたアプリケーションデータであると判定された場合(ステップS203のYES)、処理はステップS204へ進む。一方、サーバ装置7からクライアント端末装置8に送信されたアプリケーションデータでないと判定された場合(ステップS203のNO)、ステップS201に戻り、後続するデータ(パケット)が取得される。なお、ステップS203でNOに進む場合とは、サーバ装置7からクライアント端末装置8に送信される、暗号化されていないハンドシェイクメッセージに該当する場合であり、当該ハンドシェイクメッセージとしては、ChangeCipherSpecメッセージが例示される。 If it is determined that the acquired data is application data sent from the server device 7 to the client terminal device 8 (YES in step S203), the process proceeds to step S204. On the other hand, if it is determined that the acquired data is not application data sent from the server device 7 to the client terminal device 8 (NO in step S203), the process returns to step S201, and the subsequent data (packet) is acquired. Note that the case where the result in step S203 is NO means that the acquired data corresponds to an unencrypted handshake message sent from the server device 7 to the client terminal device 8; an example of such a handshake message is a ChangeCipherSpec message.
ステップS204では、アプリケーションデータ(暗号化メッセージ)のデータサイズが第二の閾値を超過しているかが判定される。推定部25は、例えば、ステップS201で取得されたパケットのTLSヘッダ内の「Length」を参照することで、暗号化メッセージのデータサイズが第二の閾値を超過するかを判定する。 In step S204, it is determined whether the data size of the application data (encrypted message) exceeds the second threshold. The estimation unit 25 determines whether the data size of the encrypted message exceeds the second threshold, for example, by referring to "Length" in the TLS header of the packet acquired in step S201.
暗号化メッセージのデータサイズが第二の閾値を超過すると判定された場合(ステップS204のYES)、当該暗号化メッセージに電子証明書が含まれると推定され、処理はステップS205へ進む。一方、第二の閾値を超過しないと判定された場合(ステップS204のNO)、サーバ装置7からクライアント端末装置8に送信されるCertiicateメッセージ以外の暗号化メッセージ(CertificateVerifyメッセージやFinishedメッセージ等)と推定され、ステップS201に戻り、後続するデータ(パケット)が取得される。 If it is determined that the data size of the encrypted message exceeds the second threshold (YES in step S204), it is assumed that the encrypted message contains a digital certificate, and processing proceeds to step S205. On the other hand, if it is determined that the data size does not exceed the second threshold (NO in step S204), it is assumed that the encrypted message is an encrypted message other than a Certificate message sent from the server device 7 to the client terminal device 8 (such as a CertificateVerify message or a Finished message), and processing returns to step S201, where subsequent data (packets) are acquired.
ステップS205では、暗号化メッセージ(アプリケーションデータ)のデータサイズが第一の閾値未満であるかが判定される。推定部25は、例えば、ステップS201で取得されたパケットのTLSヘッダ内の「Length」を参照することで、暗号化メッセージのデータサイズが第一の閾値未満であるかを判定する。暗号化メッセージのデータサイズが第一の閾値未満と判定された場合(ステップS205のYES)、処理はステップS206へ進む。一方、第一の閾値未満でないと判定された場合(ステップS205のNO)、正当な電子証明書を含むメッセージであると推定され、本フローチャートに示された処理は終了する。 In step S205, it is determined whether the data size of the encrypted message (application data) is less than a first threshold. The estimation unit 25 determines whether the data size of the encrypted message is less than the first threshold, for example, by referring to "Length" in the TLS header of the packet acquired in step S201. If it is determined that the data size of the encrypted message is less than the first threshold (YES in step S205), processing proceeds to step S206. On the other hand, if it is determined that the data size is not less than the first threshold (NO in step S205), it is estimated that the message contains a valid electronic certificate, and the processing shown in this flowchart ends.
ステップS206では、不審な電子証明書が利用されていると推定される。推定部25は、ステップS201で取得されたパケット(暗号化メッセージ)を、不審な電子証明書を含むメッセージと推定する。その後、本フローチャートに示された処理は終了する。 In step S206, it is estimated that a suspicious electronic certificate is being used. The estimation unit 25 estimates that the packet (encrypted message) acquired in step S201 is a message that includes a suspicious electronic certificate. Then, the processing shown in this flowchart ends.
上述の通り、本実施形態に係る情報処理システムによれば、暗号化メッセージのデータサイズに基づき不審な証明書か否かを判定することで、TLS1.3のように電子証明書が暗号化される暗号化通信の場合にも、暗号化された通信を復号化することなく、不審な電子証明書の利用を推定すること(マルウェア通信を検出すること)が可能となる。そのため、本実施形態に係る情報処理システムによれば、暗号化通信を復号化するために高価な装置を導入する等の負担が生じず、セキュリティ対策を容易に行うことが可能である。 As described above, the information processing system according to this embodiment determines whether a certificate is suspicious based on the data size of the encrypted message, making it possible to infer the use of a suspicious electronic certificate (detect malware communications) without decrypting the encrypted communications, even in the case of encrypted communications in which the electronic certificate is encrypted, such as TLS 1.3. Therefore, the information processing system according to this embodiment makes it possible to easily implement security measures without incurring the burden of introducing expensive equipment to decrypt encrypted communications.
[第二の実施形態]
上記説明した第一の実施形態では、暗号化されたメッセージのデータサイズに基づくことで、当該メッセージに不審な証明書が含まれているかを推定する例について説明した。但し、ハンドシェイク中に送信される電子証明書(サーバ証明書)は、証明書を圧縮する拡張(TLS1.3の場合、「compress_certificate」拡張)を用いることにより、データが圧縮された上で送信される場合がある。この場合、圧縮後の電子証明書は圧縮前よりそのデータサイズが小さくなる。そのため、不審な証明書であるかを推定するために用いられる所定の条件(データサイズ)は、電子証明書を圧縮する場合としない場合とで異なることが望ましい。よって、以下に説明する第二の実施形態では、電子証明書が圧縮される場合を考慮した、不審な証明書の推定方法の例について説明する。なお、第一の実施形態において説明した構成及び処理内容については、同一の符号を付し、説明を省略する。
[Second embodiment]
In the first embodiment described above, an example was described in which whether a message contains a suspicious certificate was estimated based on the data size of the encrypted message. However, the digital certificate (server certificate) transmitted during the handshake may be compressed using an extension that compresses the certificate (in the case of TLS 1.3, the "compress_certificate" extension). In this case, the data size of the compressed digital certificate is smaller than that of the uncompressed digital certificate. Therefore, it is desirable that the predetermined condition (data size) used to estimate whether a certificate is suspicious be different depending on whether the digital certificate is compressed or not. Therefore, in the second embodiment described below, an example of a method for estimating whether a certificate is suspicious will be described, taking into account the case in which the digital certificate is compressed. Note that the same reference numerals are used for the configurations and processing contents described in the first embodiment, and descriptions thereof will be omitted.
<システムの構成>
本実施形態に係るシステムの構成及びハードウェア構成は、図1及び図2を参照して説明した第一の実施形態と概略同様であるため、説明を省略する。
<System configuration>
The system configuration and hardware configuration according to this embodiment are generally similar to those of the first embodiment described with reference to FIGS. 1 and 2, and therefore a description thereof will be omitted.
図8は、本実施形態に係るネットワーク監視装置(情報処理システム)の機能構成の概略を示す図である。なお、図8においては、ネットワーク監視装置1以外の構成については、図示を省略している。ネットワーク監視装置1は、記憶装置14に記録されているプログラムが、RAM13に読み出され、CPU11によって実行されて、ネットワーク監視装置1に備えられた各ハードウェアが制御されることで、データ取得部21、プロトコル判定部22、セッション再開判定部23、特定部24及び推定部25に加え、圧縮判定部26及び条件管理部27を備える装置として機能する。以下、圧縮判定部26及び条件管理部27について説明するが、その他の機能部については、第一の実施形態と概略同様であるため、説明を省略する。 Figure 8 is a diagram showing an outline of the functional configuration of a network monitoring device (information processing system) according to this embodiment. Note that in Figure 8, configuration other than the network monitoring device 1 is omitted from the illustration. The network monitoring device 1 functions as a device including a data acquisition unit 21, protocol determination unit 22, session resumption determination unit 23, identification unit 24, estimation unit 25, as well as a compression determination unit 26 and condition management unit 27, by having a program recorded in the storage device 14 read into the RAM 13 and executed by the CPU 11, which controls each piece of hardware provided in the network monitoring device 1. The compression determination unit 26 and condition management unit 27 will be described below, but as the other functional units are generally similar to those in the first embodiment, description thereof will be omitted.
圧縮判定部26は、サーバ装置7とクライアント端末装置8との間で行われる暗号化通信が、圧縮された電子証明書を利用する通信(電子証明書を圧縮する拡張(以下、「圧縮拡張」と称する)を利用する通信)であるかを判定する。本実施形態では、圧縮判定部26は、TLS1.3以上で利用可能な圧縮拡張である「TLS Certificate Compress」を利用する通信か否かを判定する。具体的には、圧縮判定部26は、ClientHelloを参照し、ClientHello内の「extension」フィールドに「compress_certificate」拡張が存在する場合に、サーバ装置7とクライアント端末装置8との間で行われる暗号化通信を、圧縮拡張を利用する通信であると判定する。 The compression determination unit 26 determines whether the encrypted communication between the server device 7 and the client terminal device 8 is communication that uses a compressed digital certificate (communication that uses an extension that compresses digital certificates (hereinafter referred to as "compression extension")). In this embodiment, the compression determination unit 26 determines whether the communication uses "TLS Certificate Compress," a compression extension that is available in TLS 1.3 and higher. Specifically, the compression determination unit 26 references the ClientHello, and if the "compress_certificate" extension is present in the "extension" field in the ClientHello, determines that the encrypted communication between the server device 7 and the client terminal device 8 is communication that uses compression extension.
条件管理部27は、不審な証明書か否かを推定するために用いられる所定の条件(閾値)を管理する。本実施形態では、条件管理部27は、圧縮拡張を利用しない通信の場合に利用される第一の閾値と、圧縮拡張を利用する通信の場合に利用される第三の閾値とを管理する。具体的には、条件管理部27は、サーバ装置7とクライアント端末装置8との間で行われる暗号化通信が圧縮拡張を利用する通信であると判定された場合に、第一の閾値よりも小さい値である第三の閾値を設定(算出)する。つまり、圧縮拡張を利用する通信の場合は、不審な証明書か否かの推定を行うための第一の閾値を、より小さい値に変更することになる。例えば、条件管理部27は、第三の閾値を、第一の閾値(例えば、1200バイト)を0.8倍した値(例えば、960バイト)に設定する。 The condition management unit 27 manages predetermined conditions (thresholds) used to determine whether a certificate is suspicious. In this embodiment, the condition management unit 27 manages a first threshold used in communications that do not use compression/expansion, and a third threshold used in communications that do use compression/expansion. Specifically, when the condition management unit 27 determines that encrypted communications between the server device 7 and the client terminal device 8 use compression/expansion, it sets (calculates) a third threshold that is smaller than the first threshold. In other words, in communications that use compression/expansion, the first threshold used to determine whether a certificate is suspicious is changed to a smaller value. For example, the condition management unit 27 sets the third threshold to a value (e.g., 960 bytes) that is 0.8 times the first threshold (e.g., 1200 bytes).
これより、圧縮拡張を利用しない通信の場合は、不審な証明書の推定処理に第一の閾値(例えば、1200バイト)が用いられ、圧縮拡張を利用する通信の場合は、不審な証明書の推定処理に第三の閾値(例えば、960バイト)が用いられる。なお、所定の条件が、暗号化メッセージのデータサイズが所定の大きさであること、である場合は、例えば、圧縮拡張を利用しない通信の場合は、データサイズが1000バイトである場合に不審な電子証明書と推定し、圧縮拡張を利用しない通信の場合は、データサイズが800バイトである場合に不審な電子証明書と推定する。 As a result, in the case of communication that does not use compression and extension, a first threshold (e.g., 1200 bytes) is used in the process of inferring a suspicious certificate, and in the case of communication that does use compression and extension, a third threshold (e.g., 960 bytes) is used in the process of inferring a suspicious certificate. If the specified condition is that the data size of the encrypted message is a specified size, for example, in the case of communication that does not use compression and extension, a data size of 1000 bytes will be inferred as a suspicious electronic certificate, and in the case of communication that does not use compression and extension, a data size of 800 bytes will be inferred as a suspicious electronic certificate.
以上の通り、圧縮拡張を利用する通信でない場合と、圧縮拡張を利用する通信である場合とで、推定処理に利用される所定の条件を異ならせることが可能となる。具体的には、圧縮拡張を利用する通信でない場合に用いられる所定の条件(第一の条件)は、暗号化メッセージのデータサイズが、第一の所定の範囲内(第二の閾値を超過し且つ第一の閾値未満)の大きさであることである。一方、圧縮拡張を利用する通信である場合に用いられる所定の条件(第二の条件)は、例えば、暗号化メッセージのデータサイズが、第二の所定の範囲内(第二の閾値を超過し且つ第三の閾値未満)の大きさであることである。 As described above, it is possible to differentiate the predetermined conditions used in the estimation process between communications that do not use compression and extension and communications that do. Specifically, the predetermined condition (first condition) used when communications do not use compression and extension is that the data size of the encrypted message is within a first predetermined range (exceeding the second threshold and being less than the first threshold). On the other hand, the predetermined condition (second condition) used when communications use compression and extension is, for example, that the data size of the encrypted message is within a second predetermined range (exceeding the second threshold and being less than the third threshold).
また、所定の条件が、暗号化メッセージのデータサイズが所定の大きさであること、である場合は、例えば、第一の条件は、データサイズが第一の所定の大きさ(例えば、1000バイト)であることであり、第二の条件は、データサイズが第一の大きさより小さい第二の所定の大きさ(例えば、800バイト)である。これより、圧縮された電子証明書に対しても、不審な電子証明書か否かを適切に推定することが可能となる。つまり、電子証明書が圧縮される場合を考慮した、不審な証明書の推定処理を行うことが可能となる。 Furthermore, if the predetermined condition is that the data size of the encrypted message is a predetermined size, then, for example, the first condition is that the data size is a first predetermined size (e.g., 1000 bytes), and the second condition is that the data size is a second predetermined size (e.g., 800 bytes) that is smaller than the first size. This makes it possible to appropriately estimate whether a compressed electronic certificate is suspicious or not. In other words, it becomes possible to perform a suspicious certificate estimation process that takes into account cases where the electronic certificate is compressed.
なお、第三の閾値を第一の閾値に比べてどの程度小さくするか(小さくする割合)は、任意に設定可能であるため、上述した0.8倍に限定されるものではない。また、第一の閾値と同様に、第二の閾値についても、圧縮拡張を利用する通信である場合に、より小さい値に変更した閾値(第四の閾値)が設定されるようにしてもよい。この場合、推定部25は、当該閾値(第四の閾値)を用いることで、電子証明書を含むメッセージか否かを推定する。更に、本実施形態では、圧縮拡張を利用する通信と判定された場合に、第一の閾値をより小さい値に変更する(第三の閾値を算出する)処理を行うが、第三の閾値が算出されるタイミングはこの例に限定されない。そのため、例えば、事前準備において、第一の閾値と同様に、第三の閾値についても設定されておくようにしてもよい。 The degree to which the third threshold is made smaller than the first threshold (the rate at which it is made smaller) can be set arbitrarily and is not limited to the above-mentioned 0.8 times. Furthermore, like the first threshold, the second threshold may also be set to a smaller value (fourth threshold) when the communication uses compression/expansion. In this case, the estimation unit 25 uses this threshold (fourth threshold) to estimate whether the message contains a digital certificate. Furthermore, in this embodiment, when the communication is determined to use compression/expansion, the first threshold is changed to a smaller value (the third threshold is calculated), but the timing at which the third threshold is calculated is not limited to this example. Therefore, for example, the third threshold may also be set in advance, like the first threshold.
<処理の流れ>
次に、本実施形態に係るネットワーク監視装置(情報処理システム)によって実行される処理の流れを説明する。なお、以下に説明する処理の具体的な内容及び処理順序は、本開示を実施するための一例である。具体的な処理内容及び処理順序は、本開示の実施の態様に応じて適宜選択されてよい。
<Processing flow>
Next, the flow of processing executed by the network monitoring device (information processing system) according to this embodiment will be described. Note that the specific content and processing order of the processing described below are an example for implementing the present disclosure. The specific content and processing order may be selected as appropriate depending on the embodiment of the present disclosure.
図9は、本実施形態に係るデータ処理の流れの概要を示すフローチャートである。図9に示したデータ処理は、図6を参照して第一の実施形態において説明した処理(ステップ)と、ステップS104及びステップS105を追加した点が異なる。なお、これらの処理(ステップ)以外の処理については、第一の実施形態(図6)と同一の符号を付し、説明を省略する。以下、本実施形態において追加された処理である、ステップS104及びステップS105について説明する。 Figure 9 is a flowchart showing an overview of the data processing flow according to this embodiment. The data processing shown in Figure 9 differs from the processing (steps) described in the first embodiment with reference to Figure 6 in that steps S104 and S105 have been added. Note that processing steps other than these steps have been assigned the same reference numerals as in the first embodiment (Figure 6), and their explanation will be omitted. Below, we will explain steps S104 and S105, which are added in this embodiment.
ステップS104では、サーバ装置7とクライアント端末装置8との間で行われる暗号化通信が、圧縮拡張を利用する通信(圧縮された電子証明書を利用する通信)であるか判定される。例えば、圧縮判定部26は、ClientHelloを参照し、ClientHello内の「extension」フィールドに「compress_certificate」拡張が存在する場合に、圧縮拡張を利用する通信であると判定する。圧縮拡張が利用されると判定された場合(ステップS104のYES)、処理はステップS105へ進む。一方、圧縮拡張が利用されないと判定された場合(ステップS104のNO)、処理はステップS106へ進む。 In step S104, it is determined whether the encrypted communication between the server device 7 and the client terminal device 8 is communication that uses compression and extension (communication that uses a compressed digital certificate). For example, the compression determination unit 26 references the ClientHello and determines that the communication uses compression and extension if the "compress_certificate" extension is present in the "extension" field in the ClientHello. If it is determined that compression and extension will be used (YES in step S104), processing proceeds to step S105. On the other hand, if it is determined that compression and extension will not be used (NO in step S104), processing proceeds to step S106.
ステップS105では、閾値(第一の閾値)が変更される。条件管理部27は、ステップS106(図7のステップS205)で用いられる第一の閾値を、より小さい値に変更する(第三の閾値の設定)。その後、処理はステップS106へ進む。ステップS105の処理により、圧縮拡張を利用する通信の場合(ステップS104のYESから、ステップS106に進む場合)は、ステップS205の処理において、第三の閾値(第一の閾値より小さい値)が用いられる。一方、圧縮拡張を利用しない通信の場合(ステップS104のNOから、ステップS106に進む場合)は、ステップS205の処理において、第一の閾値が用いられることとなる。なお、ステップS101、ステップS103、並びにステップS104及びステップS105は、順不同である。 In step S105, the threshold (first threshold) is changed. The condition management unit 27 changes the first threshold used in step S106 (step S205 in FIG. 7) to a smaller value (setting the third threshold). Processing then proceeds to step S106. As a result of the processing in step S105, in the case of communication that uses compression/expansion (when processing proceeds from YES in step S104 to step S106), the third threshold (a value smaller than the first threshold) is used in the processing in step S205. On the other hand, in the case of communication that does not use compression/expansion (when processing proceeds from NO in step S104 to step S106), the first threshold is used in the processing in step S205. Note that steps S101, S103, S104, and S105 can be performed in any order.
なお、本実施形態に係る推定処理については、第一の実施形態において図7を参照して説明した内容と概略同様であるため、説明を省略する。但し、上述した通り、本実施形態では、ステップS205において用いられる第一の閾値が、圧縮拡張を利用する通信と圧縮拡張を利用しない通信とで異なる点が、第一の実施形態とは異なる。 Note that the estimation process according to this embodiment is generally similar to that described with reference to FIG. 7 in the first embodiment, and therefore will not be described again. However, as mentioned above, this embodiment differs from the first embodiment in that the first threshold value used in step S205 differs between communications that use compression/extension and communications that do not use compression/extension.
[第三の実施形態]
上記説明した第一の実施形態では、暗号化されたメッセージのデータサイズに基づくことで、当該メッセージに不審な証明書が含まれているかを推定する例について説明した。具体的には、第一の実施形態では、暗号化メッセージのデータサイズが所定の範囲内(第二の閾値を超過し、且つ、第一の閾値未満)の大きさである場合に、当該暗号化メッセージに不審な電子証明書が含まれていると推定する例について示した。
[Third embodiment]
In the first embodiment described above, an example has been described in which it is estimated whether an encrypted message contains a suspicious certificate based on the data size of the message. Specifically, in the first embodiment, an example has been described in which it is estimated that an encrypted message contains a suspicious digital certificate if the data size of the encrypted message is within a predetermined range (exceeding the second threshold and being less than the first threshold).
但し、この所定の範囲内の大きさ(長さ)を有する暗号化メッセージであっても、正当な電子証明書である可能性がある。このように、不審な証明書と推定される所定の条件を満たすようなメッセージ(電子証明書)であっても、正当な電子証明書については、不審な証明書と推定されないことが望ましい。よって、以下に説明する第三の実施形態では、正当な証明書に関する情報を予めホワイトリストに登録しておくことで、正当な証明書を検査対象から除外した上で、不審な証明書を推定する方法の例について説明する。なお、第一の実施形態において説明した構成及び処理内容については、同一の符号を付し、説明を省略する。 However, even an encrypted message with a size (length) within this specified range may still be a legitimate digital certificate. In this way, even if a message (digital certificate) meets the specified conditions for being presumed to be a suspicious certificate, it is desirable that the legitimate digital certificate not be presumed to be a suspicious certificate. Therefore, in the third embodiment described below, an example of a method for presuming a suspicious certificate by registering information about legitimate certificates in a whitelist in advance and excluding legitimate certificates from inspection targets will be described. Note that the same reference numerals will be used for the configuration and processing content described in the first embodiment, and a description thereof will be omitted.
<システムの構成>
本実施形態に係るシステムの構成及びハードウェア構成は、図1及び図2を参照して説明した第一の実施形態と概略同様であるため、説明を省略する。
<System configuration>
The system configuration and hardware configuration according to this embodiment are generally similar to those of the first embodiment described with reference to FIGS. 1 and 2, and therefore a description thereof will be omitted.
図10は、本実施形態に係るネットワーク監視装置(情報処理システム)の機能構成の概略を示す図である。なお、図10においては、ネットワーク監視装置1以外の構成については、図示を省略している。ネットワーク監視装置1は、記憶装置14に記録されているプログラムが、RAM13に読み出され、CPU11によって実行されて、ネットワーク監視装置1に備えられた各ハードウェアが制御されることで、データ取得部21、プロトコル判定部22、セッション再開判定部23、特定部24及び推定部25に加え、正当条件保持部28及び正当判定部29を備える装置として機能する。以下、正当条件保持部28及び正当判定部29について説明するが、その他の機能部については、第一の実施形態と概略同様であるため、説明を省略する。 Figure 10 is a diagram showing an outline of the functional configuration of a network monitoring device (information processing system) according to this embodiment. Note that in Figure 10, configuration other than that of the network monitoring device 1 is omitted. The network monitoring device 1 functions as a device including a data acquisition unit 21, protocol determination unit 22, session resumption determination unit 23, identification unit 24, and estimation unit 25, as well as a validity condition holding unit 28 and validity determination unit 29, by having a program recorded in the storage device 14 read into the RAM 13 and executed by the CPU 11, which controls each piece of hardware provided in the network monitoring device 1. The validity condition holding unit 28 and validity determination unit 29 will be described below, but as the other functional units are generally similar to those in the first embodiment, description thereof will be omitted.
正当条件保持部28は、正当な電子証明書を利用する通信を識別するための条件(不審な電子証明書か否かを推定する対象(検査対象)から除外する条件)を保持する。ユーザは、予め、正当な電子証明書が利用される通信を特定することが可能である場合、当該通信を識別可能とするため、ホワイトリストに、当該通信を識別するための条件(通信情報)を登録する。そして、ホワイトリストに登録された条件に合致する通信においては、不審な電子証明書かを推定する処理が行われないようにすることが可能である。正当条件保持部28は、このようにユーザにより登録された、正当な電子証明書を利用する通信を識別するための条件(以下、「正当条件」と称する)を保持する。但し、正当条件は、予めユーザにより登録される場合に限定されず、その他の方法により登録されるようにしてもよい。以下、保持される正当条件の例について説明する。 The validity conditions holding unit 28 holds conditions for identifying communications that use valid electronic certificates (conditions for excluding communications from targets (inspection targets) for estimating whether or not an electronic certificate is suspicious). If a user is able to identify communications that use valid electronic certificates in advance, the user registers the conditions (communication information) for identifying the communications in a whitelist to enable identification of the communications. Then, for communications that match the conditions registered in the whitelist, it is possible to prevent processing for estimating whether the electronic certificate is suspicious. The validity conditions holding unit 28 holds the conditions for identifying communications that use valid electronic certificates (hereinafter referred to as "validity conditions") registered by the user in this way. However, validity conditions are not limited to being registered by the user in advance, and may be registered using other methods. Examples of validity conditions that are held are described below.
正当条件保持部28は、例えば、正当条件として、以下に示した通信情報(1)~(3)のうち少なくとも一の情報に係る条件を保持する。以下、各条件(通信情報)について夫々説明する。
(1)SNI(ドメイン名)
(2)IPアドレス(IPv4/IPv6アドレス)
(3)TLSフィンガープリント(Fingerprint)
The validity condition holding unit 28 holds, as validity conditions, conditions relating to at least one of the following communication information (1) to (3): Each condition (communication information) will be explained below.
(1) SNI (Domain Name)
(2) IP address (IPv4/IPv6 address)
(3) TLS Fingerprint
<(1)SNI>
SNI(Server Name Identification)は、1つのIPアドレスで複数のドメイン名(ホスト名)のサーバ証明書を運用可能とするTLSの拡張機能である。具体的には、ハンドシェイク時に、クライアントがアクセスしたいドメイン名を伝えることで、サーバ側がIPアドレス毎ではなくドメイン名によって異なる電子証明書を使い分けることが可能となる。よって、本実施形態では、正当な証明書を利用するドメイン名をホワイトリストに登録しておくことで、当該ドメイン名による電子証明書を含むメッセージを、検査対象から除外することが可能となる。この場合の正当条件は、「クライアントによりアクセスされるドメイン名が、登録(保持)されているドメイン名に合致すること」である。
<(1) Systemic Neural Networks (SNI)>
SNI (Server Name Identification) is an extension of TLS that allows server certificates for multiple domain names (host names) to be used with a single IP address. Specifically, during a handshake, the client communicates the domain name it wishes to access, allowing the server to use different digital certificates for each domain name rather than each IP address. Therefore, in this embodiment, by registering domain names that use legitimate certificates in a whitelist, messages containing digital certificates for those domain names can be excluded from inspection. The condition for legitimacy in this case is that "the domain name accessed by the client matches a registered (held) domain name."
<(2)IPアドレス>
正当な証明書を利用するサーバ装置7を予め特定することが可能である場合、当該サーバ装置7のIPアドレス(IPv4アドレスやIPv6アドレス等)をホワイトリストに登録しておくことで、当該IPアドレスから送信されるメッセージを、検査対象から除外することが可能となる。この場合の正当条件は、「メッセージの宛先又は送信元のIPアドレスが、登録(保持)されているIPアドレスに合致すること」である。
<(2) IP Address>
If it is possible to identify in advance the server device 7 that uses a legitimate certificate, it is possible to exclude messages sent from that IP address from inspection by registering the IP address (such as an IPv4 address or an IPv6 address) of that server device 7 in a whitelist. The validity condition in this case is that "the IP address of the message destination or sender matches a registered (retained) IP address."
<(3)TLSフィンガープリント>
フィンガープリンティング(Fingerprinting)は、通信の特徴から、人の指紋のようにデバイス(端末)を識別する技術であり、TLSフィンガープリンティングは、サーバにアクセスしてきたクライアントを、受信パケット(ClientHello)の特徴を用いることで識別する(ブラウザの種類まで識別可能)技術である。予め、正常な通信(正当な証明書が利用される通信)に係る特徴をフィンガープリント(ClientHelloから得られる情報)により取得可能である場合、当該フィンガープリントの情報をホワイトリストに登録しておくことで、正常な通信に係るメッセージを、検査対象から除外することが可能となる。この場合の正当条件は、「受信されたClientHello内の情報(フィンガープリント)が、登録(保持)されているフィンガープリントに合致すること」である。
<(3) TLS Fingerprint>
Fingerprinting is a technology that identifies devices (terminals) from communication characteristics, like a person's fingerprint, and TLS fingerprinting is a technology that identifies clients accessing a server by using the characteristics of received packets (Client Hello) (even the type of browser can be identified). If the characteristics of normal communication (communication using a valid certificate) can be obtained in advance from a fingerprint (information obtained from Client Hello), then by registering the fingerprint information in a whitelist, it becomes possible to exclude messages related to normal communication from inspection. The validity condition in this case is that "the information (fingerprint) in the received Client Hello matches the registered (stored) fingerprint."
例えば、主要ブラウザによるSSL/TLS通信と、マルウェアによるSSL/TLS通信とでは、ClientHelloで利用される拡張(extension)に異なる点がある。具体的には、主要ブラウザでは様々な拡張が用いられるのに対し、マルウェアでは、特定用途である等の理由で、限られた拡張のみが用いられる。そのため、主要ブラウザによる通信の特徴として、主要ブラウザによる通信の場合にClientHelloで利用される拡張の数や種類等をホワイトリストに登録しておくことで、主要ブラウザによる通信に係るメッセージを、検査対象から除外することが可能となる。 For example, there are differences in the extensions used in Client Hello between SSL/TLS communications by major browsers and SSL/TLS communications by malware. Specifically, major browsers use a variety of extensions, whereas malware only uses a limited number of extensions due to specific applications, etc. Therefore, by registering the number and types of extensions used in Client Hello when communicating using major browsers as a characteristic of communications using major browsers in a whitelist, it is possible to exclude messages related to communications using major browsers from inspection.
なお、正当条件保持部28は、上記説明した通信情報(1)~(3)のうち少なくとも何れか一つの通信情報(例えば、(1)のみ)を利用した条件を保持すればよい。また、(1)~(3)は、正当条件に用いられる通信情報の一例であり、(1)~(3)以外の通信情報が正当条件に用いられてよい。 The validity condition holding unit 28 only needs to hold a condition that uses at least one of the communication information (1) to (3) described above (for example, only (1)). (1) to (3) are examples of communication information that can be used as validity conditions, and communication information other than (1) to (3) may also be used as validity conditions.
正当判定部29は、サーバ装置7とクライアント端末装置8との間で行われる暗号化通信が、正当な電子証明書を利用する通信であるかを判定する。具体的には、データ取得部21により取得されたデータが、正当条件保持部28により保持されている正当条件を満たすか(正当条件に合致するか)を判定し、正当条件を満たす場合に、正当な電子証明書を利用する通信であると判定する。 The validity determination unit 29 determines whether the encrypted communication between the server device 7 and the client terminal device 8 is communication that uses a valid electronic certificate. Specifically, it determines whether the data acquired by the data acquisition unit 21 satisfies the validity conditions stored in the validity condition storage unit 28 (whether it matches the validity conditions), and if the validity conditions are satisfied, it determines that the communication uses a valid electronic certificate.
例えば、正当条件が上記(1)の通信情報を利用した条件である場合、正当判定部29は、ClientHelloを参照し、ClientHello内の「server_name」に格納されたドメイン名が、ホワイトリストに登録されたドメイン名の何れかに合致する場合に、正当な電子証明書を利用する通信であると判定する。 For example, if the validity condition is a condition using the communication information described above in (1), the validity determination unit 29 references the ClientHello, and if the domain name stored in "server_name" in the ClientHello matches any of the domain names registered in the whitelist, it determines that the communication uses a valid electronic certificate.
また、例えば、正当条件が上記(2)の通信情報を利用した条件である場合、正当判定部29は、ClientHelloを含むパケットのヘッダ内にある宛先IPアドレス及び/又はServerHelloを含むパケットのヘッダ内にある送信元IPアドレスを参照することで、正当な電子証明書を利用する通信であるかを判定する。例えば、正当判定部29は、ClientHelloに該当するパケットのヘッダ内の宛先IPアドレスが、ホワイトリストに登録されたIPアドレスの何れかに合致する場合に、正当な電子証明書を利用する通信であると判定する。 Furthermore, for example, if the validity condition is a condition using the communication information described in (2) above, the validity determination unit 29 determines whether the communication uses a valid electronic certificate by referring to the destination IP address in the header of the packet containing Client Hello and/or the source IP address in the header of the packet containing Server Hello. For example, the validity determination unit 29 determines that the communication uses a valid electronic certificate if the destination IP address in the header of the packet corresponding to Client Hello matches any of the IP addresses registered in the whitelist.
また、例えば、正当条件が上記(3)の通信情報を利用した条件である場合、正当判定部29は、ClientHelloを参照し、ClientHello内の「extension」フィールドに含まれる拡張の数やパラメータ値等が、ホワイトリストに登録された拡張の数やパラメータ値に合致する場合に、正当な電子証明書を利用する通信であると判定する。 Furthermore, for example, if the validity condition is a condition using the communication information described above in (3), the validity determination unit 29 references the Client Hello, and if the number of extensions and parameter values contained in the "extension" field in the Client Hello match the number of extensions and parameter values registered in the whitelist, determines that the communication uses a valid electronic certificate.
本実施形態では、上述した判定処理により、サーバ装置7とクライアント端末装置8との間で行われる暗号化通信が、予めホワイトリストに登録されている正当な電子証明書を利用する通信でないと判定された場合に、不審な証明書を利用しているかを推定する処理が行われる。 In this embodiment, if the above-described determination process determines that the encrypted communication between the server device 7 and the client terminal device 8 does not use a legitimate electronic certificate that has been registered in advance on a whitelist, a process is performed to estimate whether a suspicious certificate is being used.
これより、正当な電子証明書が利用されると予め特定されている通信に係るデータを検査対象から除外した上で、不審な証明書を推定する処理を行うことが可能である。つまり、不審な証明書と推定される条件(所定の条件)を満たすようなメッセージ(電子証明書)であっても、正当な電子証明書については不審な証明書と推定されないようにすることが可能である。 This makes it possible to exclude data related to communications that have been previously identified as using legitimate digital certificates from inspection, and then perform processing to identify suspicious certificates. In other words, even if a message (digital certificate) meets the conditions (predetermined conditions) for being suspected as a suspicious certificate, it is possible to prevent legitimate digital certificates from being suspected as suspicious.
<処理の流れ>
次に、本実施形態に係るネットワーク監視装置(情報処理システム)によって実行される処理の流れを説明する。なお、以下に説明する処理の具体的な内容及び処理順序は、本開示を実施するための一例である。具体的な処理内容及び処理順序は、本開示の実施の態様に応じて適宜選択されてよい。
<Processing flow>
Next, the flow of processing executed by the network monitoring device (information processing system) according to this embodiment will be described. Note that the specific content and processing order of the processing described below are an example for implementing the present disclosure. The specific content and processing order may be selected as appropriate depending on the embodiment of the present disclosure.
図11は、本実施形態に係るデータ処理の流れの概要を示すフローチャートである。図11に示したデータ処理は、図6を参照して第一の実施形態において説明した処理(ステップ)と、ステップS102を追加した点が異なる。なお、ステップS102以外の処理については、第一の実施形態(図6)と同一の符号を付し、説明を省略する。以下、本実施形態において追加された処理である、ステップS102について説明する。 Figure 11 is a flowchart showing an overview of the data processing flow according to this embodiment. The data processing shown in Figure 11 differs from the processing (steps) described in the first embodiment with reference to Figure 6 in that step S102 has been added. Note that the processing steps other than step S102 are given the same reference numerals as in the first embodiment (Figure 6) and will not be described further. Below, we will explain step S102, the processing step added in this embodiment.
ステップS102では、ホワイトリストの条件に合致するかが判定される。正当判定部29は、サーバ装置7とクライアント端末装置8との間で行われる暗号化通信が、予め登録した、正当な電子証明書を利用する通信であるかを、ホワイトリストの条件(正当条件)に合致するか否かで判定する。ホワイトリストの条件に合致する(予め登録した正当な電子証明書利用である)場合(ステップS102のYES)、推定処理を行う必要はないため、本フローチャートに示された処理は終了する。一方、ホワイトリストの条件に合致しない(予め登録した正当な電子証明書利用でない)場合(ステップS102のNO)、処理はステップS103へ進む。なお、ステップS101~ステップS103は、順不同である。 In step S102, it is determined whether the conditions of the whitelist are met. The validity determination unit 29 determines whether the encrypted communication between the server device 7 and the client terminal device 8 is communication that uses a pre-registered valid electronic certificate based on whether the conditions of the whitelist (validity conditions) are met. If the conditions of the whitelist are met (a pre-registered valid electronic certificate is used) (YES in step S102), there is no need to perform estimation processing, and the processing shown in this flowchart ends. On the other hand, if the conditions of the whitelist are not met (a pre-registered valid electronic certificate is not used) (NO in step S102), the processing proceeds to step S103. Note that steps S101 to S103 can be performed in any order.
以上より、予め正当な電子証明書と判断されている電子証明書を利用する通信については、推定処理が行われないようにすることが可能となる。なお、本実施形態に係る推定処理については、第一の実施形態において図7を参照して説明した内容と概略同様であるため、説明を省略する。 As a result, it is possible to prevent the estimation process from being performed for communications that use electronic certificates that have been determined to be legitimate in advance. Note that the estimation process according to this embodiment is roughly the same as that described with reference to FIG. 7 in the first embodiment, and therefore will not be described here.
[第四の実施形態]
本実施形態は、上記説明した第二の実施形態及び第三の実施形態を組み合わせた実施形態である。本実施形態に係るシステムの構成及びハードウェア構成は、図1及び図2を参照して説明した第一の実施形態と概略同様であるため、説明を省略する。また、本実施形態に係るネットワーク監視装置の機能構成は、図8の機能構成に、図10で示した正当条件保持部28及び正当判定部29を追加した構成であり、各機能部の概要は、第一の実施形態~第三の実施形態で説明した機能部の概要と概略同様であるため、説明を省略する。また、本実施形態に係るデータ処理では、第二の実施形態において図9を参照して説明した処理と、第三の実施形態において図11を参照して説明した処理が組み合わされた処理となる。具体的には、本実施形態に係るデータ処理では、ステップS101~ステップS106の処理(6つの処理)が実行される。夫々の処理(ステップ)については、第一の実施形態~第三の実施形態において説明した内容と概略同様であるため、説明を省略する。
[Fourth embodiment]
This embodiment is a combination of the second and third embodiments described above. The system configuration and hardware configuration of this embodiment are generally similar to those of the first embodiment described with reference to FIGS. 1 and 2 , and therefore will not be described here. The functional configuration of the network monitoring device of this embodiment is the functional configuration of FIG. 8 , to which the validity condition holding unit 28 and validity determination unit 29 shown in FIG. 10 have been added. The overview of each functional unit is generally similar to the overview of the functional units described in the first to third embodiments, and therefore will not be described here. The data processing of this embodiment is a combination of the processing described in the second embodiment with reference to FIG. 9 and the processing described in the third embodiment with reference to FIG. 11 . Specifically, the data processing of this embodiment involves the execution of six processes (steps S101 to S106). The individual processes (steps) are generally similar to those described in the first to third embodiments, and therefore will not be described here.
[第五の実施形態]
上記実施形態では、ネットワーク監視装置1が、ルータ3とその上位にあるスイッチ4との間に接続されることで、クライアント端末装置8によって送受信されるパケットやフレーム等を取得し、遮断しなくてもよいパケットについては転送するインラインモードで動作する例について説明した(図1を参照)。但し、上記実施形態に示したネットワーク構成は、本開示を実施するための一例であり、実施にあたってはその他のネットワーク構成が採用されてもよい。以下、他のネットワーク構成の一例について説明する。
[Fifth embodiment]
In the above embodiment, an example has been described in which the network monitoring device 1 is connected between the router 3 and the switch 4 above it, thereby acquiring packets, frames, etc. sent and received by the client terminal device 8 and forwarding packets that do not need to be blocked (see FIG. 1 ). However, the network configuration shown in the above embodiment is an example for implementing the present disclosure, and other network configurations may be adopted for implementation. An example of another network configuration will be described below.
図12は、本実施形態に係るシステムの構成を示す概略図である。本実施形態に係るシステム9では、上記実施形態と同様に、ネットワークセグメント2内のクライアント端末装置8は、インターネットや広域ネットワークを介して遠隔地において接続された各種のサーバ装置7と、ルータ3を介して通信可能である。そして、本バリエーションでは、ネットワーク監視装置1は、ネットワークセグメント2のスイッチ、ルータ又はゲートウェイ(図12の例では、スイッチ4)のモニタリングポート(ミラーポート)に接続されることで、クライアント端末装置8によって送受信されるパケットやフレーム等を取得する。この場合、ネットワーク監視装置1は、取得したパケットを転送しないパッシブモードで動作する。 Figure 12 is a schematic diagram showing the configuration of a system according to this embodiment. In a system 9 according to this embodiment, similar to the above embodiment, client terminal devices 8 within a network segment 2 can communicate via a router 3 with various server devices 7 connected in remote locations via the Internet or a wide area network. In this variation, a network monitoring device 1 is connected to a monitoring port (mirror port) of a switch, router, or gateway (switch 4 in the example of Figure 12) in the network segment 2, thereby acquiring packets, frames, etc. sent and received by the client terminal devices 8. In this case, the network monitoring device 1 operates in a passive mode in which it does not forward acquired packets.
また、例えば、ネットワーク監視装置1は、モニタリングポート(ミラーポート)に接続されず、単にネットワークセグメント2に接続されている場合であっても、ネットワークセグメント2を流れるフレームを、自身のMACアドレス宛でないものも含めて全て取得することで、クライアント端末装置8によって送受信されるパケットやフレーム等を取得することが出来る。この場合も、ネットワーク監視装置1は、パッシブモードで動作する。また、上記実施形態と同様に、ネットワーク監視装置1は、L2ブリッジ、L3ルータ、NAT(Network Address Translation)装置、スイッチ、又はプロキシ等に内包されてもよい。 Furthermore, for example, even if the network monitoring device 1 is not connected to a monitoring port (mirror port) but is simply connected to the network segment 2, it can acquire packets and frames sent and received by the client terminal device 8 by acquiring all frames flowing through the network segment 2, including those not addressed to its own MAC address. In this case, the network monitoring device 1 also operates in passive mode. Also, as in the above embodiment, the network monitoring device 1 may be included in an L2 bridge, L3 router, NAT (Network Address Translation) device, switch, proxy, etc.
1 ネットワーク監視装置
7 サーバ装置
8 クライアント端末装置
9 システム
1 Network monitoring device 7 Server device 8 Client terminal device 9 System
Claims (16)
取得された前記データのうち、前記暗号化通信を確立するために前記第二の端末から前記第一の端末に送信される暗号化メッセージが、データサイズに係る所定の条件を満たす場合に、該暗号化メッセージに前記第二の端末に係る不審な電子証明書が含まれていると推定する推定手段と、
を備える情報処理システム。 a data acquisition means for acquiring data relating to encrypted communication performed between a first terminal and a second terminal connected to a network;
an estimation means for estimating that an encrypted message transmitted from the second terminal to the first terminal to establish the encrypted communication among the acquired data satisfies a predetermined condition related to data size, and the encrypted message includes a suspicious digital certificate related to the second terminal;
An information processing system comprising:
請求項1に記載の情報処理システム。 The predetermined condition is that the data size of the encrypted message is within a predetermined range.
The information processing system according to claim 1 .
前記特定手段は、取得された前記データのうち、前記暗号化通信を確立するために前記第一の端末と前記第二の端末との間で送受信される非暗号化メッセージが送信されてから、前記第一の端末から前記第二の端末にデータが送信されるまでの間に送受信された暗号化メッセージを、前記暗号化通信を確立するために前記第二の端末から前記第一の端末に送信される暗号化メッセージと特定する、
請求項1又は2に記載の情報処理システム。 further comprising a specifying means for specifying an encrypted message to be transmitted from the second terminal to the first terminal in order to establish the encrypted communication;
the identification means identifies, among the acquired data, an encrypted message transmitted and received between the first terminal and the second terminal in the period from the transmission of an unencrypted message to be transmitted between the first terminal and the second terminal in order to establish the encrypted communication until the transmission of data from the first terminal to the second terminal, as an encrypted message to be transmitted from the second terminal to the first terminal in order to establish the encrypted communication;
3. The information processing system according to claim 1 or 2.
前記暗号化通信のプロトコルが前記所定の暗号化通信プロトコルであると判定された場合に、前記推定手段による処理が実行される、
請求項1~3の何れか一項に記載の情報処理システム。 further comprising a protocol determination means for determining whether the encrypted communication is encrypted communication according to a predetermined encrypted communication protocol;
When it is determined that the protocol of the encrypted communication is the predetermined encrypted communication protocol, the processing by the estimation means is executed.
4. The information processing system according to claim 1.
請求項4に記載の情報処理システム。 The predetermined encrypted communication protocol is TLS 1.3.
The information processing system according to claim 4 .
請求項4又は5に記載の情報処理システム。 the protocol determination means determines whether the protocol of the encrypted communication is the predetermined encrypted communication protocol by referring to at least one message among unencrypted messages transmitted and received between the first terminal and the second terminal to establish the encrypted communication, which are included in the acquired data;
6. The information processing system according to claim 4 or 5.
前記暗号化通信が前記セッションを再開することで行われる通信でないと判定された場合に、前記推定手段による処理が実行される、
請求項1~6の何れか一項に記載の情報処理システム。 further comprising a session resumption determination means for determining whether the encrypted communication is a communication performed by resuming a session;
When it is determined that the encrypted communication is not a communication performed by resuming the session, the estimation means executes a process.
7. The information processing system according to claim 1.
請求項7に記載の情報処理システム。 the session resumption determination means determines whether the encrypted communication is a communication to be performed by resuming the session by referring to a message related to a session resumption request among unencrypted messages transmitted and received between the first terminal and the second terminal to establish the encrypted communication, which are included in the acquired data;
The information processing system according to claim 7 .
前記推定手段は、
前記暗号化通信が、前記圧縮された電子証明書を利用する通信でないと判定された場合、前記データサイズに係る所定の条件として、第一の条件を使用し、
前記暗号化通信が、前記圧縮された電子証明書を利用する通信であると判定された場合、前記データサイズに係る所定の条件として、前記第一の条件とは異なる第二の条件を使用する、
請求項1~8の何れか一項に記載の情報処理システム。 further comprising a compression determination means for determining whether the encrypted communication is a communication using a compressed digital certificate;
The estimation means
If it is determined that the encrypted communication is not communication using the compressed digital certificate, a first condition is used as the predetermined condition related to the data size,
If it is determined that the encrypted communication is communication that uses the compressed digital certificate, a second condition different from the first condition is used as the predetermined condition related to the data size.
9. The information processing system according to claim 1.
前記第二の条件は、前記暗号化メッセージのデータサイズが、前記第一の所定の範囲とは異なる第二の所定の範囲内の大きさであることである、
請求項9に記載の情報処理システム。 the first condition is that the data size of the encrypted message is within a first predetermined range;
the second condition is that the data size of the encrypted message is within a second predetermined range that is different from the first predetermined range;
The information processing system according to claim 9 .
請求項10に記載の情報処理システム。 an upper limit value defining the second predetermined range is a value smaller than an upper limit value defining the first predetermined range;
The information processing system according to claim 10.
前記暗号化通信が、前記正当な電子証明書を利用する通信であるかを、保持された前記条件に基づき判定する正当判定手段と、を更に備え、
前記暗号化通信が、前記正当な電子証明書を利用する通信でないと判定された場合に、前記推定手段による処理が実行される、
請求項1~11の何れか一項に記載の情報処理システム。 a validity condition holding means for holding conditions for identifying communications using valid digital certificates;
and a validity determination means for determining whether the encrypted communication is a communication that uses the valid electronic certificate based on the stored conditions,
When it is determined that the encrypted communication does not use the valid digital certificate, the estimation means executes a process.
12. The information processing system according to claim 1.
請求項3、6、及び8の何れか一項に記載の情報処理システム。 the unencrypted messages transmitted and received between the first terminal and the second terminal to establish the encrypted communication are a ClientHello message and a ServerHello message;
9. The information processing system according to claim 3, 6, or 8.
請求項1~13の何れか一項に記載の情報処理システム。 the data acquisition means acquires data relating to the encrypted communication performed between the first terminal and the second terminal before the data reaches a destination.
The information processing system according to any one of claims 1 to 13.
ネットワークに接続された第一の端末と第二の端末との間で行われる暗号化通信に係るデータを取得するデータ取得ステップと、
取得された前記データのうち、前記暗号化通信を確立するために前記第二の端末から前記第一の端末に送信される暗号化メッセージが、データサイズに係る所定の条件を満たす場合に、該暗号化メッセージに前記第二の端末に係る不審な電子証明書が含まれていると推定する推定ステップと、を実行する、
推定方法。 The computer
a data acquisition step of acquiring data relating to encrypted communication performed between a first terminal and a second terminal connected to a network;
and an estimation step of estimating, when an encrypted message transmitted from the second terminal to the first terminal to establish the encrypted communication among the acquired data satisfies a predetermined condition related to data size, that the encrypted message contains a suspicious digital certificate related to the second terminal.
Estimation method.
ネットワークに接続された第一の端末と第二の端末との間で行われる暗号化通信に係るデータを取得するデータ取得手段と、
取得された前記データのうち、前記暗号化通信を確立するために前記第二の端末から前記第一の端末に送信される暗号化メッセージが、データサイズに係る所定の条件を満たす場合に、該暗号化メッセージに前記第二の端末に係る不審な電子証明書が含まれていると推定する推定手段と、として機能させる、
プログラム。 Computer,
a data acquisition means for acquiring data relating to encrypted communication performed between a first terminal and a second terminal connected to a network;
and when an encrypted message transmitted from the second terminal to the first terminal to establish the encrypted communication satisfies a predetermined condition related to data size, the device functions as an estimation means for estimating that the encrypted message contains a suspicious electronic certificate related to the second terminal.
program.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022029028A JP7777471B2 (en) | 2022-02-28 | 2022-02-28 | Information processing system, estimation method and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022029028A JP7777471B2 (en) | 2022-02-28 | 2022-02-28 | Information processing system, estimation method and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023125089A JP2023125089A (en) | 2023-09-07 |
| JP7777471B2 true JP7777471B2 (en) | 2025-11-28 |
Family
ID=87887826
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022029028A Active JP7777471B2 (en) | 2022-02-28 | 2022-02-28 | Information processing system, estimation method and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7777471B2 (en) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002533740A (en) | 1998-12-22 | 2002-10-08 | イーストマン コダック カンパニー | Hydrophilic colloid composition |
| US20120167212A1 (en) | 2009-01-20 | 2012-06-28 | Check Point Software Technologies, Ltd. | Methods for inspecting security certificates by network security devices to detect and prevent the use of invalid certificates |
| JP6084278B1 (en) | 2015-11-27 | 2017-02-22 | 株式会社Pfu | Information processing apparatus, method, and program |
| JP2020167469A (en) | 2019-03-28 | 2020-10-08 | キヤノン株式会社 | Communication equipment, control methods, and programs |
| JP2020173633A (en) | 2019-04-11 | 2020-10-22 | 京セラドキュメントソリューションズ株式会社 | Information processing device, information processing method, program, and electronic device |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6839841B1 (en) * | 1999-01-29 | 2005-01-04 | General Instrument Corporation | Self-generation of certificates using secure microprocessor in a device for transferring digital information |
-
2022
- 2022-02-28 JP JP2022029028A patent/JP7777471B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002533740A (en) | 1998-12-22 | 2002-10-08 | イーストマン コダック カンパニー | Hydrophilic colloid composition |
| US20120167212A1 (en) | 2009-01-20 | 2012-06-28 | Check Point Software Technologies, Ltd. | Methods for inspecting security certificates by network security devices to detect and prevent the use of invalid certificates |
| JP6084278B1 (en) | 2015-11-27 | 2017-02-22 | 株式会社Pfu | Information processing apparatus, method, and program |
| JP2020167469A (en) | 2019-03-28 | 2020-10-08 | キヤノン株式会社 | Communication equipment, control methods, and programs |
| JP2020173633A (en) | 2019-04-11 | 2020-10-22 | 京セラドキュメントソリューションズ株式会社 | Information processing device, information processing method, program, and electronic device |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023125089A (en) | 2023-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11848961B2 (en) | HTTPS request enrichment | |
| EP2850770B1 (en) | Transport layer security traffic control using service name identification | |
| US9077692B1 (en) | Blocking unidentified encrypted communication sessions | |
| CN112468518B (en) | Access data processing method and device, storage medium and computer equipment | |
| US8266267B1 (en) | Detection and prevention of encapsulated network attacks using an intermediate device | |
| US9398043B1 (en) | Applying fine-grain policy action to encapsulated network attacks | |
| CN1765079B (en) | Packet encryption substituting device | |
| CN106815511B (en) | Information processing device and method | |
| CN102014110A (en) | Method for authenticating communication flows, communication system and protective device | |
| Touil et al. | Secure and guarantee QoS in a video sequence: a new approach based on TLS protocol to secure data and RTP to ensure real-time exchanges | |
| JP2025530746A (en) | Applying subscriber ID-based security, device ID-based security, and/or network slice ID-based security using user ID and SYSLOG messages in mobile networks | |
| CN111935212A (en) | Security router and Internet of things security networking method based on security router | |
| CN114139192B (en) | Encrypted traffic processing method, encrypted traffic processing apparatus, electronic device, medium, and program | |
| CN110581836A (en) | A data processing method, device and equipment | |
| CN107113304A (en) | The intermediary that encryption data is exchanged appoints | |
| CN111953693A (en) | Tor network traffic identification and analysis method | |
| JP7777471B2 (en) | Information processing system, estimation method and program | |
| Vanderavero et al. | The HoneyTank: a scalable approach to collect malicious Internet traffic | |
| EP2860911B1 (en) | Method and device for classifying encrypted data flows between at least one web client and at least one web server | |
| Hoogstraaten | Evaluating server-side internet proxy detection methods | |
| WO2018112796A1 (en) | Service data policy control method, operator device and server | |
| US20160337402A1 (en) | Method of slowing down a communication in a network | |
| CN117118859B (en) | Network traffic filtering method and apparatus based on encrypted traffic | |
| CN117692277A (en) | Data transmission method, device, equipment and readable storage medium | |
| CN118573424A (en) | Industrial data forwarding method and device and computing equipment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20250121 |
|
| TRDD | Decision of grant or rejection written | ||
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20251022 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20251029 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20251117 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7777471 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |