JP2006079587A - Unauthorized intrusion detecting device - Google Patents

Unauthorized intrusion detecting device Download PDF

Info

Publication number
JP2006079587A
JP2006079587A JP2005081124A JP2005081124A JP2006079587A JP 2006079587 A JP2006079587 A JP 2006079587A JP 2005081124 A JP2005081124 A JP 2005081124A JP 2005081124 A JP2005081124 A JP 2005081124A JP 2006079587 A JP2006079587 A JP 2006079587A
Authority
JP
Japan
Prior art keywords
log information
unauthorized
same
information
intrusion detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005081124A
Other languages
Japanese (ja)
Other versions
JP4434053B2 (en
Inventor
Satoshi Iokura
聡 五百蔵
Hidemi Nagashima
秀己 永島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2005081124A priority Critical patent/JP4434053B2/en
Publication of JP2006079587A publication Critical patent/JP2006079587A/en
Application granted granted Critical
Publication of JP4434053B2 publication Critical patent/JP4434053B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an unauthorized intrusion detecting device that processes the same packet as a single piece of log information irrespective of propagation paths. <P>SOLUTION: The unauthorized intrusion detecting device for detecting unauthorized access is provided with a processing means that monitors communications propagating on a network, collects pieces of log information relating to unauthorized communications upon receiving such unauthorized communications, and analyzes the pieces of log information collected. Where the times of recording of two pieces of log information are close to each other, where the nodes of transmission source and transmission destination of the two pieces of log information are the same, and furthermore where the packets are the same, the processing means integrates the two pieces of log information and records the information integrated. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、インターネットからの不正アクセスなどを検知するIDS(Intrusion Detection System:以下、不正侵入検知装置と呼ぶ。)に関し、特に同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理する不正侵入検知装置に関する。   The present invention relates to an IDS (Intrusion Detection System: hereinafter referred to as an unauthorized intrusion detection device) that detects unauthorized access from the Internet, and in particular, in the case of the same packet, it is processed as one log information regardless of the propagation path. The present invention relates to an unauthorized intrusion detection device.

従来のインターネットからの不正アクセスなどを検知する不正侵入検知装置に関連する先行技術文献としては次のようなものがある。   Prior art documents related to an unauthorized intrusion detection device that detects unauthorized access from the Internet and the like are as follows.

特開平11−282803号公報JP-A-11-282803 特開2001−184235号公報JP 2001-184235 A 特開2001−356939号公報JP 2001-356939 A 特開2003−067269号公報JP 2003-0667269 A 特開2003−204358号公報JP 2003-204358 A 特開2005−038116号公報Japanese Patent Laying-Open No. 2005-0381116

図12はこのような従来の不正侵入検知装置を用いたネットワークシステムの一例を示す構成ブロック図である。図12において1はクライアントであるコンピュータ、2はコンピュータ1に代わってサーバにサービスの提供を要求等するプロキシサーバ、3はサービスの提供等を行うサーバ、4は不正アクセスなどを検知する不正侵入検知手段、5はハードディスク等の記憶手段、100はインターネットやLAN(Local Area Network)等の汎用のネットワークである。また、不正侵入検知手段4及び記憶手段5は不正侵入検知装置50を構成している。   FIG. 12 is a configuration block diagram showing an example of a network system using such a conventional unauthorized intrusion detection apparatus. In FIG. 12, 1 is a computer that is a client, 2 is a proxy server that requests a server to provide services on behalf of the computer 1, 3 is a server that provides services, etc. 4 is unauthorized intrusion detection that detects unauthorized access, etc. Means 5 is a storage means such as a hard disk, and 100 is a general-purpose network such as the Internet or a LAN (Local Area Network). The unauthorized intrusion detection unit 4 and the storage unit 5 constitute an unauthorized intrusion detection device 50.

コンピュータ1はネットワーク100に相互に接続され、プロキシサーバ2及びサーバ3もまたネットワーク100に相互に接続される。また、不正侵入検知手段4はネットワーク100に相互に接続されると共にログ情報出力が記憶手段5に接続される。   The computer 1 is connected to the network 100, and the proxy server 2 and the server 3 are also connected to the network 100. The unauthorized intrusion detection unit 4 is connected to the network 100 and the log information output is connected to the storage unit 5.

ここで、図12に示す従来例の動作を図13、図14及び図15を用いて説明する。図13は不正侵入検知手段4の動作を説明するフロー図、図14及び図15はパケット等の情報の流れを説明する説明図である。   Here, the operation of the conventional example shown in FIG. 12 will be described with reference to FIGS. FIG. 13 is a flow diagram for explaining the operation of the unauthorized intrusion detection means 4, and FIGS. 14 and 15 are explanatory diagrams for explaining the flow of information such as packets.

図13中”S001”において不正侵入検知手段4は、ネットワーク100上を伝播する通信(パケット)を監視すると共に不正な通信(パケット)を受信したか否かを判断し、もし、不正な通信(パケット)を受信したと判断した場合には、図13中”S002”において不正侵入検知手段4は、不正な通信(パケット)に関する受信時刻、送信元IP(Internet Protocol)アドレス、送信先IP(Internet Protocol)アドレス等のログ情報を記憶手段5に記録する。   In “S001” in FIG. 13, the unauthorized intrusion detection means 4 monitors the communication (packet) propagating on the network 100 and determines whether an unauthorized communication (packet) has been received. When it is determined that the packet) has been received, the unauthorized intrusion detection unit 4 in “S002” in FIG. 13 receives the reception time, transmission source IP (Internet Protocol) address, transmission destination IP (Internet) regarding unauthorized communication (packet). Protocol) Log information such as an address is recorded in the storage means 5.

例えば、不正侵入検知手段4は、図14中”PC01”に示すようなコンピュータ1からプロキシサーバ2への不正な通信(パケット)を図14中”CP01”に示すように受信したと判断した場合には、図14中”SL01”に示すような受信した不正な通信(パケット)の受信時刻、送信元IPアドレス、送信先IPアドレス等のログ情報を記憶手段5に記録する。   For example, the unauthorized intrusion detection unit 4 determines that an unauthorized communication (packet) from the computer 1 to the proxy server 2 as indicated by “PC01” in FIG. 14 is received as indicated by “CP01” in FIG. In FIG. 14, log information such as the reception time, transmission source IP address, transmission destination IP address, etc. of the received illegal communication (packet) as indicated by “SL01” in FIG.

また、例えば、不正侵入検知手段4は、図15中”PC11”に示すようなプロキシサーバ2からサーバ3への不正な通信(パケット)を図15中”CP11”に示すように受信したと判断した場合には、図15中”SL11”に示すような受信した不正な通信(パケット)の受信時刻、送信元IPアドレス、送信先IPアドレス等のログ情報を記憶手段5に記録する。   Further, for example, the unauthorized intrusion detection means 4 determines that an unauthorized communication (packet) from the proxy server 2 to the server 3 as indicated by “PC11” in FIG. 15 has been received as indicated by “CP11” in FIG. In such a case, log information such as the reception time, transmission source IP address, transmission destination IP address, etc. of the received illegal communication (packet) as indicated by “SL11” in FIG.

この結果、不正侵入検知手段4がネットワーク100上を伝播する通信(パケット)を監視すると共に不正な通信(パケット)を受信したか否かを判断し、もし、不正な通信(パケット)を受信したと判断した場合に受信した不正な通信(パケット)の受信時刻、送信元IPアドレス、送信先IPアドレス等のログ情報を記憶手段5に記録することにより、ネットワークを伝播する不正な通信(パケット)のログ情報を収集蓄積することが可能になる。   As a result, the unauthorized intrusion detection means 4 monitors the communication (packet) propagating on the network 100 and determines whether or not the unauthorized communication (packet) has been received. When the log information such as the reception time, the source IP address, and the destination IP address of the illegal communication (packet) received when it is determined to be recorded in the storage means 5, the illegal communication (packet) propagating through the network Log information can be collected and accumulated.

しかし、図12に示す従来例では、コンピュータ1からの不正な通信(パケット)は、プロキシサーバ2を介してサーバ3に送信されるため、ログ情報としては、図14中”PC01”に示す不正な通信(パケット)に関するログ情報と図15中”PC11”に示す不正な通信(パケット)に関するログ情報との2つのログ情報が記録されることになる。   However, in the conventional example shown in FIG. 12, since unauthorized communication (packet) from the computer 1 is transmitted to the server 3 via the proxy server 2, the log information is shown as “PC01” in FIG. Two pieces of log information, that is, log information related to incorrect communication (packet) and log information related to unauthorized communication (packet) shown in “PC11” in FIG. 15 are recorded.

すなわち、内容的に同一の通信(同一パケット)であっても伝播経路によっては、内容的に同一の通信(同一パケット)に関するログ情報が重複して記録されてしまうことになり、記録蓄積されるログ情報の情報量が膨大になってしまうといった問題点があった。
従って本発明が解決しようとする課題は、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理する不正侵入検知装置を実現することにある。 That is, even if the content is the same communication (same packet), depending on the propagation path, the log information regarding the same content (same packet) will be recorded redundantly and recorded and accumulated. There is a problem that the amount of log information becomes enormous.
Therefore, the problem to be solved by the present invention is to realize an unauthorized intrusion detection device that processes the same packet as one log information regardless of the propagation path.

このような課題を達成するために、本発明のうち請求項1記載の発明は、
不正アクセスを検知する不正侵入検知装置において、
ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、収集したログ情報を解析して、2つのログ情報の記録時刻が近接し、2つのログ情報の送信元と送信先の同一ノードであり、且つ、同一パケットである場合に、当該2つのログ情報を統合して記録する処理手段を備えたことにより、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を提言させることが可能になる。 In order to achieve such a problem, the invention according to claim 1 of the present invention is:
In an intrusion detection device that detects unauthorized access,
When monitoring communications propagating on the network and receiving unauthorized communications, log information relating to unauthorized communications is collected, the collected log information is analyzed, and the recording times of the two log information are close to each other. Providing a processing means for recording the two log information in an integrated manner when the same packet is the same node as the transmission source and transmission destination of one log information, and is propagated in the case of the same packet It can be processed as one piece of log information regardless of the route. In addition, since the same packet is not recorded twice as two pieces of log information, the state of the network at the time of log information analysis can be accurately grasped, and the amount of log information recorded by deleting unnecessary log information can be reduced. It becomes possible to make recommendations.

請求項2記載の発明は、
請求項1記載の発明である不正侵入検知装置において、
前記処理手段が、
ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集する不正侵入検知手段と、記録手段と、収集した前記ログ情報を解析して、2つのログ情報の記録時刻が近接し、2つのログ情報の送信元と送信先の同一ノードであり、且つ、同一パケットである場合に、当該2つのログ情報を統合して前記記憶手段に記録するログ情報集約手段とから構成されたことにより、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を提言させることが可能になる。 The invention according to claim 2
In the unauthorized intrusion detection device according to claim 1,
The processing means is
Monitor the communication propagating on the network and, when receiving unauthorized communication, analyze the intrusion detection means, the recording means, and the collected log information to collect log information related to unauthorized communication. A log that records the log information in the storage means when the recording time of the log information is close, the transmission source and the transmission destination of the two log information are the same node, and the same packet. With the configuration of the information aggregation means, the same packet can be processed as one log information regardless of the propagation path. In addition, since the same packet is not recorded twice as two pieces of log information, the state of the network at the time of log information analysis can be accurately grasped, and the amount of log information recorded by deleting unnecessary log information can be reduced. It becomes possible to make recommendations.

請求項3記載の発明は、
請求項2記載の発明である不正侵入検知装置において、
前記不正侵入検知手段が、
前記ネットワーク上を伝播する通信を監視すると共に不正な通信を受信したと判断した場合に、不正な通信に関するログ情報を前記ログ情報集約手段に出力することにより、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を提言させることが可能になる。 The invention described in claim 3
In the unauthorized intrusion detection device according to claim 2,
The unauthorized intrusion detection means is
When monitoring the communication propagating on the network and determining that the unauthorized communication has been received, the log information relating to the unauthorized communication is output to the log information aggregating means, so that in the case of the same packet, the propagation path It becomes possible to process as one piece of log information regardless. In addition, since the same packet is not recorded twice as two pieces of log information, the state of the network at the time of log information analysis can be accurately grasped, and the amount of log information recorded by deleting unnecessary log information can be reduced. It becomes possible to make recommendations.

請求項4記載の発明は、
請求項2記載の発明である不正侵入検知装置において、
前記ログ情報集約手段が、
前記不正侵入検知手段から入力されるログ情報を解析すると共に記録時刻が近接しているか否かを判断し、記録時刻が近接していないと判断した場合には前記ログ情報を前記記憶手段に記録し、記録時刻が近接していると判断した場合には2つのログ情報の送信元と送信先のノードが同一であるか否かを判断し、2つのログ情報の送信元と送信先のノードが同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、2つのログ情報の送信元と送信先のノードが同一であると判断した場合には通信プロトコルに基づきパケットの同一性を解析すると共に通信プロトコルに基づくパケット解析により同一パケットであるか否かを判断し、同一パケットではないと判断した場合には前記ログ情報を前記記憶手段に記録し、同一パケットであると判断した場合には当該2つのログ情報を統合すると共に統合したログ情報を前記記憶手段に記録することにより、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を提言させることが可能になる。 The invention according to claim 4
In the unauthorized intrusion detection device according to claim 2,
The log information aggregation means includes
The log information input from the unauthorized intrusion detection unit is analyzed and it is determined whether or not the recording time is close. If it is determined that the recording time is not close, the log information is recorded in the storage unit. When it is determined that the recording times are close to each other, it is determined whether or not the two log information transmission source and transmission destination nodes are the same, and the two log information transmission source and transmission destination nodes are determined. Log information is recorded in the storage means, and if it is determined that the source and destination nodes of the two log information are the same, the packets are identical based on the communication protocol. And the packet analysis based on the communication protocol determines whether or not they are the same packet. If it is determined that they are not the same packet, the log information is recorded in the storage means and the same packet is recorded. If the two packets are determined, the two log information are integrated and the integrated log information is recorded in the storage unit, so that the same packet is processed as one log information regardless of the propagation path. Is possible. In addition, since the same packet is not recorded twice as two pieces of log information, the state of the network at the time of log information analysis can be accurately grasped, and the amount of log information recorded by deleting unnecessary log information can be reduced. It becomes possible to make recommendations.

請求項5記載の発明は、
不正アクセスを検知する不正侵入検知装置において、
ネットワーク上を伝播する通信を複数の地点で監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、複数の地点で収集したログ情報を解析して、2つのログ情報の記録時刻が近接し、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を統合して記録する処理手段
を備えたことにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。 The invention according to claim 5
In an intrusion detection device that detects unauthorized access,
Two types of log information are collected by monitoring the communication propagating on the network at multiple points and collecting log information on illegal communication when receiving illegal communication, analyzing the log information collected at multiple points Provided with processing means for integrating and recording the two log information when the recording times of the two log information are close, the source information of the two log information is the same, and the information of the destination is the same Thus, even if a single packet is propagated, it can be prevented that a plurality of unauthorized intrusion detection means records it repeatedly. Since the same packet is not recorded twice as two pieces of log information, it is possible to accurately grasp the network status at the time of log information analysis and to reduce the amount of log information recorded by deleting unnecessary log information. It becomes possible.

請求項6記載の発明は、
請求項5記載の発明である不正侵入検知装置において、
前記処理手段が、
ネットワーク上を伝播する通信を複数の地点で監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集する複数の不正侵入検知手段と、記録手段と、複数の地点で収集した前記ログ情報を解析して、2つのログ情報の記録時刻が近接し、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を統合して前記記憶手段に記録するログ情報集約手段とから構成されたことにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。 The invention described in claim 6
In the unauthorized intrusion detection device according to claim 5,
The processing means is
Monitors communications propagating on the network at multiple points, and collects log information about unauthorized communications when multiple unauthorized communications are received, recording means, and collected at multiple points When the log information is analyzed and the recording times of the two log information are close to each other, the transmission source information of the two log information is the same, and the transmission destination information is the same, the two log information And log information aggregating means for recording in the storage means, so that even if a single packet is propagated, it can be prevented from being duplicately recorded by a plurality of unauthorized intrusion detection means. . Since the same packet is not recorded twice as two pieces of log information, it is possible to accurately grasp the network status at the time of log information analysis and to reduce the amount of log information recorded by deleting unnecessary log information. It becomes possible.

請求項7記載の発明は、
請求項6記載の発明である不正侵入検知装置において、
前記複数の不正侵入検知手段が、
前記ネットワーク上を伝播する通信を監視すると共に不正な通信を受信したと判断した場合に、不正な通信に関するログ情報を前記ログ情報集約手段に出力することにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。 The invention described in claim 7
In the unauthorized intrusion detection device according to claim 6,
The plurality of unauthorized intrusion detection means,
By monitoring the communication propagating on the network and determining that the unauthorized communication has been received, the log information relating to the unauthorized communication is output to the log information aggregating means, so that a single packet is propagated. Can also be prevented from being duplicately recorded by a plurality of unauthorized intrusion detection means. Since the same packet is not recorded twice as two pieces of log information, it is possible to accurately grasp the network status at the time of log information analysis and to reduce the amount of log information recorded by deleting unnecessary log information. It becomes possible.

請求項8記載の発明は、
請求項6記載の発明である不正侵入検知装置において、
前記ログ情報集約手段が、
前記不正侵入検知手段から入力されるログ情報を解析すると共に記録時刻が近接しているか否かを判断し、記録時刻が近接していないと判断した場合には前記ログ情報を前記記憶手段に記録し、記録時刻が近接していると判断した場合には2つのログ情報の送信元の情報が同一であるか否かを判断し、2つのログ情報の送信元の情報が同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、2つのログ情報の送信元の情報が同一であると判断した場合には2つのログ情報の送信先の情報が同一であるか否かを判断し、2つのログ情報の送信先の情報が同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、2つのログ情報の送信先の情報が同一であると判断した場合には当該2つのログ情報を統合すると共に統合したログ情報を前記記憶手段に記録することにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。 The invention described in claim 8
In the unauthorized intrusion detection device according to claim 6,
The log information aggregation means includes
The log information input from the unauthorized intrusion detection unit is analyzed and it is determined whether or not the recording time is close. If it is determined that the recording time is not close, the log information is recorded in the storage unit. When it is determined that the recording times are close to each other, it is determined whether or not the information of the transmission sources of the two log information is the same, and it is determined that the information of the transmission sources of the two log information is not the same If the log information is recorded in the storage means, and it is determined that the transmission source information of the two log information is the same, whether the transmission destination information of the two log information is the same When it is determined that the information of the transmission destinations of the two log information is not the same, the log information is recorded in the storage means, and the information of the transmission destinations of the two log information is determined to be the same. In some cases, the two log information By recording the integrated log information in the storage means can be prevented even at a single packet propagation it would be redundantly recorded in a plurality of intrusion detection means. Since the same packet is not recorded twice as two pieces of log information, it is possible to accurately grasp the network status at the time of log information analysis and to reduce the amount of log information recorded by deleting unnecessary log information. It becomes possible.

本発明によれば次のような効果がある。
請求項1,2,3及び請求項4の発明によれば、ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、収集したログ情報を解析して、2つのログ情報の記録時刻が近接し、2つのログ情報の送信元と送信先の同一ノードであり、且つ、同一パケットである場合に、当該2つのログ情報を統合して記録することにより、同一パケットの場合には伝播経路に関わりなく1つのログとして処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を提言させることが可能になる。 The present invention has the following effects.
According to the first, second, third, and fourth aspects of the present invention, when the communication propagating on the network is monitored and the unauthorized communication is received, the log information relating to the unauthorized communication is collected, and the collected log information When the recording times of the two log information are close to each other, and the two log information are the same source and destination nodes and the same packet, the two log information are integrated. By recording, the same packet can be processed as one log regardless of the propagation path. In addition, since the same packet is not recorded twice as two pieces of log information, the network status at the time of log analysis can be accurately grasped, and the amount of log information that is recorded by deleting unnecessary log information is recommended. It becomes possible to make it.

また、請求項5,6,7及び請求項8の発明によれば、ログ情報集約手段が、複数の不正侵入検知手段がそれぞれ収集したログ情報を解析して、2つのログ情報の記録時刻が近接し、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を統合して記憶手段に記録することにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。   According to the inventions of claims 5, 6, 7 and 8, the log information aggregation means analyzes the log information collected by each of the plurality of unauthorized intrusion detection means, and the recording times of the two log information are determined. When the information of the transmission source of the two log information is the same and the information of the transmission destination is the same, the two log information is integrated and recorded in the storage means, so that a single packet is obtained. Can be prevented from being duplicately recorded by a plurality of unauthorized intrusion detection means. In addition, since the same packet is not recorded twice as two pieces of log information, the state of the network at the time of log information analysis can be accurately grasped, and the amount of log information recorded by deleting unnecessary log information can be reduced. It becomes possible to reduce.

以下本発明を図面を用いて詳細に説明する。図1は本発明に係る不正侵入検知装置を用いたネットワークシステムの一実施例を示す構成ブロック図である。   Hereinafter, the present invention will be described in detail with reference to the drawings. FIG. 1 is a configuration block diagram showing an embodiment of a network system using an unauthorized intrusion detection device according to the present invention.

図1において6はクライアントであるコンピュータ、7はコンピュータ6に代わってサーバにサービスの提供を要求等するプロキシサーバ、8はサービスの提供等を行うサーバ、9は不正アクセスなどを検知する不正侵入検知手段、10は重複したログ情報を集約するログ情報集約手段、11はハードディスク等の記憶手段、101はインターネットやLAN等の汎用のネットワークである。   In FIG. 1, 6 is a client computer, 7 is a proxy server that requests a server to provide services on behalf of the computer 6, 8 is a server that provides services, and 9 is unauthorized intrusion detection that detects unauthorized access and the like. Means 10 is log information aggregating means for aggregating duplicate log information, 11 is a storage means such as a hard disk, and 101 is a general-purpose network such as the Internet or LAN.

また、不正侵入検知手段9、ログ情報集約手段10及び記憶手段11は不正侵入検知装置51を構成している。   Further, the unauthorized intrusion detection means 9, the log information aggregation means 10 and the storage means 11 constitute an unauthorized intrusion detection device 51.

コンピュータ6はネットワーク101に相互に接続され、プロキシサーバ7及びサーバ8もまたネットワーク101に相互に接続される。また、不正侵入検知手段9はネットワーク101に相互に接続されると共にログ情報出力がログ情報集約手段10に接続され、ログ情報集約手段10の出力が記憶手段11に接続される。   The computer 6 is connected to the network 101, and the proxy server 7 and the server 8 are also connected to the network 101. Further, the unauthorized intrusion detection means 9 is connected to the network 101, the log information output is connected to the log information aggregation means 10, and the output of the log information aggregation means 10 is connected to the storage means 11.

ここで、図1に示す実施例の動作を図2、図3、図4及び図5を用いて説明する。図2は不正侵入検知手段9の動作を説明するフロー図、図3及び図4はパケット等の情報の流れを説明する説明図、図5はログ情報集約手段10の動作を説明するフロー図である。   Here, the operation of the embodiment shown in FIG. 1 will be described with reference to FIG. 2, FIG. 3, FIG. 4 and FIG. 2 is a flowchart for explaining the operation of the unauthorized intrusion detection means 9, FIGS. 3 and 4 are explanation diagrams for explaining the flow of information such as packets, and FIG. 5 is a flowchart for explaining the operation of the log information aggregating means 10. is there.

図2中”S101”において不正侵入検知手段9は、ネットワーク101上を伝播する通信(パケット)を監視すると共に不正な通信(パケット)を受信したか否かを判断し、もし、不正な通信(パケット)を受信したと判断した場合には、図2中”S102”において不正侵入検知手段9は、不正な通信(パケット)に関する受信時刻、送信元IP(Internet Protocol)アドレス、送信先IP(Internet Protocol)アドレス等のログ情報をログ情報集約手段10に出力する。   In FIG. 2, “S101”, the unauthorized intrusion detection means 9 monitors the communication (packet) propagating on the network 101 and determines whether or not the unauthorized communication (packet) has been received. If it is determined that the packet) has been received, the unauthorized intrusion detection means 9 in “S102” in FIG. 2 determines the reception time, transmission source IP (Internet Protocol) address, transmission destination IP (Internet) regarding unauthorized communication (packet). Protocol) log information such as an address is output to the log information aggregation means 10.

例えば、不正侵入検知手段9は、図3中”PC21”に示すようなコンピュータ6からプロキシサーバ7への不正な通信(パケット)を図3中”CP21”に示すように受信したと判断した場合には、図3中”SL21”に示すような受信した不正な通信(パケット)の受信時刻、送信元IPアドレス、送信先IPアドレス等のログ情報をログ情報集約手段10に出力する。   For example, when the unauthorized intrusion detection means 9 determines that an unauthorized communication (packet) from the computer 6 to the proxy server 7 as indicated by “PC21” in FIG. 3 has been received as indicated by “CP21” in FIG. In FIG. 3, log information such as the reception time, transmission source IP address, transmission destination IP address, etc. of the received illegal communication (packet) as indicated by “SL21” in FIG.

また、例えば、不正侵入検知手段9は、図4中”PC31”に示すようなプロキシサーバ7からサーバ8への不正な通信(パケット)を図4中”CP31”に示すように受信したと判断した場合には、図4中”SL31”に示すような受信した不正な通信(パケット)の受信時刻、送信元IPアドレス、送信先IPアドレス等のログ情報をログ情報集約手段10に出力する。   Further, for example, the unauthorized intrusion detection means 9 determines that an unauthorized communication (packet) from the proxy server 7 to the server 8 as indicated by “PC 31” in FIG. 4 has been received as indicated by “CP 31” in FIG. In such a case, log information such as the reception time, transmission source IP address, transmission destination IP address, etc. of the received illegal communication (packet) as indicated by “SL31” in FIG.

一方、図5中”S201”においてログ情報集約手段10は、不正侵入検知手段9から入力されるログ情報を解析すると共に図5中”S202”においてログ情報集約手段10は、記録時刻が近接しているか否かを判断する。   On the other hand, in “S201” in FIG. 5, the log information aggregating means 10 analyzes the log information input from the unauthorized intrusion detection means 9, and in “S202” in FIG. Judge whether or not.

例えば、ログ情報集約手段10は、ネットワークの負荷状況に応じて記録時刻が予め設定されている値である”n秒(nは任意の整数)”以内であれば2つのログ情報の記録時刻が近接していると判断する。   For example, the log information aggregating unit 10 determines that the recording times of the two log information are within the “n seconds (n is an arbitrary integer)” that is a value set in advance according to the load state of the network. Judged to be close.

もし、図5中”S202”において記録時刻が近接していないと判断した場合には図5中”S207”のステップに進み、記録時刻が近接していると判断した場合には、図5中”S203”においてログ情報集約手段10は、2つのログ情報の送信元と送信先のノードが同一であるか否かを判断する。   If it is determined in “S202” in FIG. 5 that the recording time is not close, the process proceeds to the step “S207” in FIG. 5. If it is determined that the recording time is close, in FIG. In “S203”, the log information aggregating unit 10 determines whether or not the transmission source and transmission destination nodes of the two log information are the same.

この場合、プロキシサーバ7は複数のネットワーク・インターフェースを有することがあり、同一ノードであっても同一のIPアドレスとはならない可能性があるため、IPアドレスの比較ではなく、ノードが同一であるか否かで判断する。   In this case, the proxy server 7 may have a plurality of network interfaces, and even the same node may not have the same IP address. Judge by no.

もし、図5中”S203”において2つのログ情報の送信元と送信先のノードが同一ではないと判断した場合には図5中”S207”のステップに進み、2つのログ情報の送信元と送信先のノードが同一であると判断した場合には、図5中”S204”においてログ情報集約手段10は、通信プロトコルに基づきパケットの同一性を解析すると共に図5中”S205”においてログ情報集約手段10は、通信プロトコルに基づくパケット解析により内容的に同一の通信(同一パケット)であるか否かを判断する。   If it is determined in “S203” in FIG. 5 that the source of the two log information and the destination node are not the same, the process proceeds to the step of “S207” in FIG. When it is determined that the destination nodes are the same, the log information aggregating means 10 analyzes the identity of the packet based on the communication protocol in “S204” in FIG. 5 and the log information in “S205” in FIG. The aggregation unit 10 determines whether or not the contents are the same communication (same packet) by packet analysis based on the communication protocol.

例えば、通信プロトコルがHTTP(HyperText Transfer Protocol)であればHTTPのヘッダの内容を比較して内容的に同一の通信(同一パケット)であるか否かを判断する。   For example, if the communication protocol is HTTP (HyperText Transfer Protocol), the contents of the HTTP header are compared to determine whether the contents are the same communication (the same packet).

そして、図5中”S205”において内容的に同一の通信(同一パケット)ではないと判断した場合には図5中”S207”のステップに進み、内容的に同一の通信(同一パケット)であると判断した場合には、図5中”S206”においてログ情報集約手段10は、当該2つのログ情報を1つのログ情報として統合する。   If it is determined in step S205 in FIG. 5 that the contents are not the same communication (same packet), the process proceeds to the step “S207” in FIG. 5 and the contents are the same communication (same packet). If it is determined that, in “S206” in FIG. 5, the log information aggregation unit 10 integrates the two pieces of log information as one piece of log information.

最後に、図5中”S207”においてログ情報集約手段10は、統合したログ情報或いは統合していないログ情報を記憶手段12に記録する。   Finally, in “S207” in FIG. 5, the log information aggregation unit 10 records the integrated log information or the non-integrated log information in the storage unit 12.

例えば、図4中”SL32”に示すように統合したログ情報或いは統合していないログ情報を記憶手段12に記録する。   For example, integrated log information or non-integrated log information is recorded in the storage unit 12 as indicated by “SL32” in FIG.

この結果、ログ情報集約手段10が、不正侵入検知手段9が収集したログ情報を解析して、2つのログ情報の記録時刻が近接し、2つのログ情報の送信元と送信先の同一ノードであり、且つ、同一パケットである場合に、当該2つのログ情報を統合して記憶手段11に記録することにより、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理することが可能になる。   As a result, the log information aggregating unit 10 analyzes the log information collected by the unauthorized intrusion detection unit 9, and the recording times of the two log information are close to each other, and the transmission source and the transmission destination of the two log information are the same node. Yes, if the same packet, the two log information is integrated and recorded in the storage means 11, so that the same packet can be processed as one log information regardless of the propagation path become.

また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。   In addition, since the same packet is not recorded twice as two pieces of log information, the state of the network at the time of log information analysis can be accurately grasped, and the amount of log information recorded by deleting unnecessary log information can be reduced. It becomes possible to reduce.

なお、図1に示す不正侵入検知装置51では説明の簡単のために、不正侵入検知手段10、ログ情報集約手段11及び記憶手段12とを別個に記述しているが、勿論、1つの処理手段として統合しても構わない。   In the unauthorized intrusion detection device 51 shown in FIG. 1, the unauthorized intrusion detection means 10, the log information aggregation means 11, and the storage means 12 are described separately for the sake of simplicity. Of course, one processing means is provided. Can be integrated as

また、図1に示すネットワークシステムでは説明の簡単のために、コンピュータ6、プロキシサーバ7及びサーバ8と、不正侵入検知装置51を例示しているが、勿論、コンピュータの台数やサーバの台数等は何らこれに限定されるものではない。   In the network system shown in FIG. 1, the computer 6, the proxy server 7 and the server 8, and the unauthorized intrusion detection device 51 are illustrated for simplicity of explanation. Of course, the number of computers, the number of servers, etc. It is not limited to this at all.

また、ネットワーク上の複数の地点において、複数の不正侵入検知手段で不正な通信に関するログ情報を収集した場合には、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまう。   In addition, when log information related to unauthorized communication is collected by multiple unauthorized intrusion detection means at multiple points on the network, even if a single packet is propagated, it is duplicated by multiple unauthorized intrusion detection means. It will be recorded.

図6はこのような状況を説明する構成ブロック図である。図6において12及び15はクライアントであるコンピュータ、13及び16はサービスの提供等を行うサーバ、14はネットワークとネットワークとを間に設けられ通信を中継するルータ、17及び18は不正アクセスなどを検知する不正侵入検知手段、19はハードディスク等の記憶手段、102及び103はインターネットやLAN等の汎用のネットワークである。   FIG. 6 is a block diagram illustrating such a situation. In FIG. 6, 12 and 15 are computers that are clients, 13 and 16 are servers that provide services, 14 is a router that is provided between networks and relays communication, 17 and 18 detect unauthorized access, and the like. The unauthorized intrusion detection means 19, 19 is a storage means such as a hard disk, and 102 and 103 are general-purpose networks such as the Internet and LAN.

コンピュータ12及びサーバ13はそれぞれネットワーク102に相互に接続され、コンピュータ15及びサーバ16はそれぞれネットワーク103に相互に接続される。また、不正侵入検知手段17及び18がそれぞれネットワーク102及び103に相互に接続されると共にそれぞれのログ情報出力が記憶手段19に接続される。さらに、ネットワーク102とネットワーク103との間にルータ14が設置される。   The computer 12 and the server 13 are connected to the network 102, and the computer 15 and the server 16 are connected to the network 103, respectively. Further, the unauthorized intrusion detection means 17 and 18 are connected to the networks 102 and 103, respectively, and the respective log information outputs are connected to the storage means 19. Further, a router 14 is installed between the network 102 and the network 103.

ここで、図6に示す事例の動作を図7を用いて説明する。図7はパケット等の情報の流れを説明する説明図である。   Here, the operation of the case shown in FIG. 6 will be described with reference to FIG. FIG. 7 is an explanatory diagram for explaining the flow of information such as packets.

図7中”PC41”に示すようにコンピュータ12からサーバ16への不正な通信(パケット)があった場合、不正侵入検知手段17は図7中”CP41”に示すように不正な通信(パケット)を検知し、不正侵入検知手段18は図7中”CP42”に示すように不正な通信(パケット)を検知する。   When there is an unauthorized communication (packet) from the computer 12 to the server 16 as indicated by “PC41” in FIG. 7, the unauthorized intrusion detection means 17 performs an unauthorized communication (packet) as indicated by “CP41” in FIG. The unauthorized intrusion detection means 18 detects unauthorized communication (packet) as indicated by “CP42” in FIG.

そして、不正侵入検知手段17及び18はそれぞれ図7中”SL41”及び”SL42”に示すように受信した不正な通信(パケット)の受信時刻、送信元IPアドレス、送信先IPアドレス等のログ情報を記憶手段19に記録する。   Then, the unauthorized intrusion detection means 17 and 18 log information such as the reception time, the transmission source IP address, and the transmission destination IP address of the unauthorized communication (packet) received as indicated by “SL41” and “SL42” in FIG. Is stored in the storage means 19.

このような場合、単一のパケットの伝播であっても2つの不正侵入検知手段17及び18によってログ情報が重複して記録されてしまうことになる。   In such a case, even if a single packet is propagated, the log information is recorded redundantly by the two unauthorized intrusion detection means 17 and 18.

図8は本発明に係る不正侵入検知装置を用いたネットワークシステムの第2の実施例を示す構成ブロック図であり、このようなログ情報の重複記録を防止するものである。   FIG. 8 is a configuration block diagram showing a second embodiment of the network system using the unauthorized intrusion detection apparatus according to the present invention, and prevents such duplication of log information.

図8において12,13,14,15,16,17,18,102及び103は図6と同一符号を付してあり、20重複したログ情報を集約するログ情報集約手段は、21はハードディスク等の記憶手段である。また、17,18,20及び21は不正侵入検知装置52を構成している。   In FIG. 8, 12, 13, 14, 15, 16, 17, 18, 102 and 103 are assigned the same reference numerals as in FIG. 6, and 20 is a log information aggregating means for aggregating duplicate log information. Storage means. Reference numerals 17, 18, 20, and 21 constitute an unauthorized intrusion detection device 52.

コンピュータ12及びサーバ13はそれぞれネットワーク102に相互に接続され、コンピュータ15及びサーバ16はそれぞれネットワーク103に相互に接続される。また、不正侵入検知手段17及び18がそれぞれネットワーク102及び103に相互に接続されると共にそれぞれのログ情報出力がログ情報集約手段20に接続され、ログ情報集約手段20の出力が記憶手段21に接続される。さらに、ネットワーク102とネットワーク103との間にルータ14が設置される。   The computer 12 and the server 13 are connected to the network 102, and the computer 15 and the server 16 are connected to the network 103, respectively. Further, the unauthorized intrusion detection means 17 and 18 are connected to the networks 102 and 103, respectively, the log information output is connected to the log information aggregation means 20, and the output of the log information aggregation means 20 is connected to the storage means 21. Is done. Further, a router 14 is installed between the network 102 and the network 103.

ここで、図8に示す第2の実施例の動作を図9、図10及び図11を用いて説明する。図9はログ情報集約手段20の動作を説明するフロー図、図10及び図11はパケット等の情報の流れを説明する説明図である。   Here, the operation of the second embodiment shown in FIG. 8 will be described with reference to FIGS. FIG. 9 is a flowchart for explaining the operation of the log information aggregating means 20, and FIGS. 10 and 11 are explanatory diagrams for explaining the flow of information such as packets.

図9中”S301”においてログ情報集約手段20は、不正侵入検知手段17及び18から入力されるログ情報を解析する。   In “S301” in FIG. 9, the log information aggregation unit 20 analyzes the log information input from the unauthorized intrusion detection units 17 and 18.

図10中”PC51”に示すようにコンピュータ12からサーバ16への不正な通信(パケット)があった場合、不正侵入検知手段17は図10中”CP51”に示すように不正な通信(パケット)を検知し、不正侵入検知手段18は図10中”CP52”に示すように不正な通信(パケット)を検知する。   When there is an unauthorized communication (packet) from the computer 12 to the server 16 as indicated by “PC51” in FIG. 10, the unauthorized intrusion detection means 17 performs an unauthorized communication (packet) as indicated by “CP51” in FIG. The unauthorized intrusion detection means 18 detects unauthorized communication (packet) as indicated by “CP52” in FIG.

そして、図11中”SL61”及び”SL62”に示すように受信した不正な通信(パケット)の受信時刻、送信元IPアドレス、送信先IPアドレス等のログ情報が不正侵入検知手段17及び18からログ情報集約手段20に出力される。   Then, as shown by “SL61” and “SL62” in FIG. 11, log information such as the reception time, the transmission source IP address, and the transmission destination IP address of the unauthorized communication (packet) received from the unauthorized intrusion detection means 17 and 18. It is output to the log information aggregation means 20.

図9中”S302”においてログ情報集約手段20は、不正侵入検知手段17及び18から出力されたログ情報の記録時刻が近接しているか否かを判断する。   In “S302” in FIG. 9, the log information aggregating unit 20 determines whether or not the log information recording times output from the unauthorized intrusion detection units 17 and 18 are close to each other.

例えば、ログ情報集約手段20は、ネットワークの負荷状況に応じて記録時刻が予め設定されている値である”n秒(nは任意の整数)”以内であれば2つのログ情報の記録時刻が近接していると判断する。   For example, the log information aggregating unit 20 determines that the recording times of the two log information are within the “n seconds (n is an arbitrary integer)” that is a value set in advance according to the load state of the network. Judged to be close.

もし、図9中”S302”において記録時刻が近接していないと判断した場合には図9中”S306”のステップに進み、記録時刻が近接していると判断した場合には、図9中”S303”においてログ情報集約手段20は、2つのログ情報の送信元の情報が同一であるか否かを判断する。   If it is determined in “S302” in FIG. 9 that the recording time is not close, the process proceeds to the step “S306” in FIG. 9. If it is determined that the recording time is close, in FIG. In “S303”, the log information aggregating unit 20 determines whether or not the transmission source information of the two log information is the same.

例えば、送信元の情報は、ログ情報に記録されている送信元のIPアドレスや送信元のポート番号等であり、ログ情報集約手段20はこれらの情報を比較して同一であるか否かを判断する。   For example, the transmission source information is a transmission source IP address, a transmission source port number, and the like recorded in the log information, and the log information aggregation unit 20 compares these pieces of information to determine whether or not they are the same. to decide.

もし、図9中”S303”において送信元の情報が同一ではないと判断した場合には図9中”S306”のステップに進み、送信元の情報が同一であると判断した場合には、図9中”S304”においてログ情報集約手段20は、2つのログ情報の送信先の情報が同一であるか否かを判断する。   If “S303” in FIG. 9 determines that the source information is not the same, the process proceeds to “S306” in FIG. 9. If it is determined that the source information is the same, 9 "S304", the log information aggregating means 20 determines whether or not the transmission destination information of the two log information is the same.

例えば、送信先の情報は、ログ情報に記録されている送信先のIPアドレスや送信先のポート番号等であり、ログ情報集約手段20はこれらの情報を比較して同一であるか否かを判断する。   For example, the destination information is the destination IP address and the destination port number recorded in the log information, and the log information aggregating means 20 compares these pieces of information to determine whether they are the same. to decide.

もし、図9中”S304”において送信先の情報が同一ではないと判断した場合には図9中”S306”のステップに進み、送信先の情報が同一であると判断した場合には、図9中”S305”においてログ情報集約手段20は、当該2つのログ情報を1つのログ情報として統合する。   If “S304” in FIG. 9 determines that the destination information is not the same, the process proceeds to “S306” in FIG. 9. If it is determined that the destination information is the same, 9 "S305", the log information aggregation means 20 integrates the two log information as one log information.

最後に、図9中”S306”においてログ情報集約手段20は、統合したログ情報或いは統合していないログ情報を記憶手段21に記録する。   Finally, in “S306” in FIG. 9, the log information aggregation unit 20 records the integrated log information or the non-integrated log information in the storage unit 21.

例えば、図11中”SL63”に示すようにログ情報集約手段20は、統合したログ情報或いは統合していないログ情報を記憶手段21に記録する。   For example, as indicated by “SL63” in FIG. 11, the log information aggregation unit 20 records the integrated log information or the non-integrated log information in the storage unit 21.

この結果、ログ情報集約手段20が、複数の不正侵入検知手段17及び18がそれぞれ収集したログ情報を解析して、2つのログ情報の記録時刻が近接し、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を統合して記憶手段21に記録することにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。   As a result, the log information aggregating unit 20 analyzes the log information collected by each of the plurality of unauthorized intrusion detection units 17 and 18, and the recording times of the two log information are close to each other. Are the same and the destination information is the same, the two log information are integrated and recorded in the storage means 21, thereby detecting a plurality of unauthorized intrusions even in the propagation of a single packet. It is possible to prevent duplicate recording by means.

また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。   In addition, since the same packet is not recorded twice as two pieces of log information, the state of the network at the time of log information analysis can be accurately grasped, and the amount of log information recorded by deleting unnecessary log information can be reduced. It becomes possible to reduce.

ちなみに、図8に示す不正侵入検知装置52では説明の簡単のために、不正侵入検知手段17及び18、ログ情報集約手段20、記憶手段21とを別個に記述しているが、勿論、1つの処理手段として統合しても構わない。   Incidentally, in the unauthorized intrusion detection device 52 shown in FIG. 8, the unauthorized intrusion detection means 17 and 18, the log information aggregation means 20, and the storage means 21 are described separately for the sake of simplicity. You may integrate as a processing means.

また、図8に示すネットワークシステムでは説明の簡単のために、コンピュータ12及び15、サーバ13及び16、ルータ14と、不正侵入検知装置52を例示しているが、勿論、コンピュータの台数やサーバの台数等は何らこれに限定されるものではない。   Further, in the network system shown in FIG. 8, for simplicity of explanation, the computers 12 and 15, the servers 13 and 16, the router 14, and the unauthorized intrusion detection device 52 are illustrated, but of course, the number of computers and the number of servers The number of units is not limited to this.

本発明に係る不正侵入検知装置を用いたネットワークシステムの一実施例を示す構成ブロック図である。1 is a configuration block diagram showing an embodiment of a network system using an unauthorized intrusion detection apparatus according to the present invention. 不正侵入検知手段の動作を説明するフロー図である。It is a flowchart explaining operation | movement of an unauthorized intrusion detection means. パケット等の情報の流れを説明する説明図である。It is explanatory drawing explaining the flow of information, such as a packet. パケット等の情報の流れを説明する説明図である。It is explanatory drawing explaining the flow of information, such as a packet. ログ情報集約手段の動作を説明するフロー図である。It is a flowchart explaining operation | movement of a log information aggregation means. 状況を説明する構成ブロック図である。It is a block diagram illustrating the situation. パケット等の情報の流れを説明する説明図である。It is explanatory drawing explaining the flow of information, such as a packet. 本発明に係る不正侵入検知装置を用いたネットワークシステムの第2の実施例を示す構成ブロック図である。It is a block diagram showing a second embodiment of the network system using the unauthorized intrusion detection apparatus according to the present invention. ログ情報集約手段の動作を説明するフロー図である。It is a flowchart explaining operation | movement of a log information aggregation means. パケット等の情報の流れを説明する説明図である。It is explanatory drawing explaining the flow of information, such as a packet. パケット等の情報の流れを説明する説明図である。It is explanatory drawing explaining the flow of information, such as a packet. 従来の不正侵入検知装置を用いたネットワークシステムの一例を示す構成ブロック図である。It is a configuration block diagram showing an example of a network system using a conventional unauthorized intrusion detection device. 不正侵入検知手段の動作を説明するフロー図である。It is a flowchart explaining operation | movement of an unauthorized intrusion detection means. パケット等の情報の流れを説明する説明図である。It is explanatory drawing explaining the flow of information, such as a packet. パケット等の情報の流れを説明する説明図である。It is explanatory drawing explaining the flow of information, such as a packet.

符号の説明Explanation of symbols

1,6,12,15 コンピュータ
2,7 プロキシサーバ
3,8,13,16 サーバ
4,9,17,18 不正侵入検知手段
5,11,19,21 記憶手段
10,20 ログ情報集約手段
14 ルータ
50,51,52 不正侵入検知装置
100,101,102,103 ネットワーク
1, 6, 12, 15 Computer 2, 7 Proxy server 3, 8, 13, 16 Server 4, 9, 17, 18 Unauthorized intrusion detection means 5, 11, 19, 21 Storage means 10, 20 Log information aggregation means 14 Router 50, 51, 52 Unauthorized Intrusion Detection Device 100, 101, 102, 103 Network

Claims (8)

不正アクセスを検知する不正侵入検知装置において、
ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、収集したログ情報を解析して、2つのログ情報の記録時刻が近接し、2つのログ情報の送信元と送信先の同一ノードであり、且つ、同一パケットである場合に、当該2つのログ情報を統合して記録する処理手段
を備えたことを特徴とする不正侵入検知装置。 In an intrusion detection device that detects unauthorized access,
When monitoring communications propagating on the network and receiving unauthorized communications, log information relating to unauthorized communications is collected, the collected log information is analyzed, and the recording times of the two log information are close to each other. An unauthorized intrusion detection apparatus comprising processing means for integrating and recording the two log information when the same log information is transmitted from and transmitted to the same node and the same packet. 前記処理手段が、
ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集する不正侵入検知手段と、
記録手段と、
収集した前記ログ情報を解析して、2つのログ情報の記録時刻が近接し、2つのログ情報の送信元と送信先の同一ノードであり、且つ、同一パケットである場合に、当該2つのログ情報を統合して前記記憶手段に記録するログ情報集約手段とから構成されたことを特徴とする
請求項1記載の不正侵入検知装置。 The processing means is
Unauthorized intrusion detection means for monitoring communication propagating on the network and collecting log information related to unauthorized communication when receiving unauthorized communication;
Recording means;
When the collected log information is analyzed and the recording times of the two log information are close to each other, the two log information transmission source and transmission destination are the same node, and the same packet, the two logs 2. The unauthorized intrusion detection apparatus according to claim 1, further comprising log information aggregating means for integrating and recording information in the storage means. 前記不正侵入検知手段が、
前記ネットワーク上を伝播する通信を監視すると共に不正な通信を受信したと判断した場合に、不正な通信に関するログ情報を前記ログ情報集約手段に出力することを特徴とする
請求項2記載の不正侵入検知装置。 The unauthorized intrusion detection means is
3. The unauthorized intrusion according to claim 2, wherein when the communication propagating on the network is monitored and it is determined that the unauthorized communication is received, log information relating to the unauthorized communication is output to the log information aggregating means. Detection device. 前記ログ情報集約手段が、
前記不正侵入検知手段から入力されるログ情報を解析すると共に記録時刻が近接しているか否かを判断し、
記録時刻が近接していないと判断した場合には前記ログ情報を前記記憶手段に記録し、
記録時刻が近接していると判断した場合には2つのログ情報の送信元と送信先のノードが同一であるか否かを判断し、
2つのログ情報の送信元と送信先のノードが同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、
2つのログ情報の送信元と送信先のノードが同一であると判断した場合には通信プロトコルに基づきパケットの同一性を解析すると共に通信プロトコルに基づくパケット解析により同一パケットであるか否かを判断し、
同一パケットではないと判断した場合には前記ログ情報を前記記憶手段に記録し、
同一パケットであると判断した場合には当該2つのログ情報を統合すると共に統合したログ情報を前記記憶手段に記録することを特徴とする
請求項2記載の不正侵入検知装置。 The log information aggregation means includes
Analyzing log information input from the unauthorized intrusion detection means and determining whether the recording time is close,
If it is determined that the recording time is not close, the log information is recorded in the storage means,
When it is determined that the recording times are close, it is determined whether the source and destination nodes of the two log information are the same,
If it is determined that the source and destination nodes of the two log information are not the same, the log information is recorded in the storage means,
When it is determined that the source and destination nodes of the two log information are the same, the identity of the packet is analyzed based on the communication protocol, and whether the same packet is determined by the packet analysis based on the communication protocol And
If it is determined that they are not the same packet, the log information is recorded in the storage means,
3. The unauthorized intrusion detection apparatus according to claim 2, wherein when the packets are determined to be the same packet, the two log information are integrated and the integrated log information is recorded in the storage unit. 不正アクセスを検知する不正侵入検知装置において、
ネットワーク上を伝播する通信を複数の地点で監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、複数の地点で収集したログ情報を解析して、2つのログ情報の記録時刻が近接し、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を統合して記録する処理手段
を備えたことを特徴とする不正侵入検知装置。 In an intrusion detection device that detects unauthorized access,
Two types of log information are collected by monitoring the communication propagating on the network at multiple points and collecting log information on illegal communication when receiving illegal communication, analyzing the log information collected at multiple points Provided with processing means for integrating and recording the two log information when the recording times of the two log information are close, the source information of the two log information is the same, and the information of the destination is the same An intrusion detection device characterized by 前記処理手段が、
ネットワーク上を伝播する通信を複数の地点で監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集する複数の不正侵入検知手段と、
記録手段と、
複数の地点で収集した前記ログ情報を解析して、2つのログ情報の記録時刻が近接し、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を統合して前記記憶手段に記録するログ情報集約手段とから構成されたことを特徴とする
請求項5記載の不正侵入検知装置。 The processing means is
A plurality of unauthorized intrusion detection means that collects log information related to unauthorized communications when monitoring communications transmitted on the network at a plurality of points and receiving unauthorized communications;
Recording means;
When the log information collected at a plurality of points is analyzed, the recording times of the two log information are close, the source information of the two log information is the same, and the destination information is the same 6. The unauthorized intrusion detection apparatus according to claim 5, further comprising: log information aggregating means for integrating the two log information and recording them in the storage means. 前記複数の不正侵入検知手段が、
前記ネットワーク上を伝播する通信を監視すると共に不正な通信を受信したと判断した場合に、不正な通信に関するログ情報を前記ログ情報集約手段に出力することを特徴とする
請求項6記載の不正侵入検知装置。 The plurality of unauthorized intrusion detection means,
7. The unauthorized intrusion according to claim 6, wherein when the communication propagating on the network is monitored and it is determined that the unauthorized communication is received, the log information relating to the unauthorized communication is output to the log information aggregating means. Detection device. 前記ログ情報集約手段が、
前記不正侵入検知手段から入力されるログ情報を解析すると共に記録時刻が近接しているか否かを判断し、
記録時刻が近接していないと判断した場合には前記ログ情報を前記記憶手段に記録し、
記録時刻が近接していると判断した場合には2つのログ情報の送信元の情報が同一であるか否かを判断し、
2つのログ情報の送信元の情報が同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、
2つのログ情報の送信元の情報が同一であると判断した場合には2つのログ情報の送信先の情報が同一であるか否かを判断し、
2つのログ情報の送信先の情報が同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、
2つのログ情報の送信先の情報が同一であると判断した場合には当該2つのログ情報を統合すると共に統合したログ情報を前記記憶手段に記録することを特徴とする
請求項6記載の不正侵入検知装置。
The log information aggregation means includes
Analyzing log information input from the unauthorized intrusion detection means and determining whether the recording time is close,
If it is determined that the recording time is not close, the log information is recorded in the storage means,
When it is determined that the recording times are close, it is determined whether or not the transmission source information of the two log information is the same,
If it is determined that the source information of the two log information is not the same, the log information is recorded in the storage means,
When it is determined that the information of the transmission source of the two log information is the same, it is determined whether the information of the transmission destination of the two log information is the same,
When it is determined that the information of the transmission destinations of the two log information is not the same, the log information is recorded in the storage means,
7. The fraud according to claim 6, wherein when it is determined that the transmission destination information of the two log information is the same, the two log information is integrated and the integrated log information is recorded in the storage means. Intrusion detection device.
JP2005081124A 2004-08-10 2005-03-22 Intrusion detection device Expired - Fee Related JP4434053B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005081124A JP4434053B2 (en) 2004-08-10 2005-03-22 Intrusion detection device

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004232880 2004-08-10
JP2005081124A JP4434053B2 (en) 2004-08-10 2005-03-22 Intrusion detection device

Publications (2)

Publication Number Publication Date
JP2006079587A true JP2006079587A (en) 2006-03-23
JP4434053B2 JP4434053B2 (en) 2010-03-17

Family

ID=36158952

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005081124A Expired - Fee Related JP4434053B2 (en) 2004-08-10 2005-03-22 Intrusion detection device

Country Status (1)

Country Link
JP (1) JP4434053B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010231275A (en) * 2009-03-25 2010-10-14 Nec Commun Syst Ltd Device, method and program for preparing sequence diagram
JP2012095038A (en) * 2010-10-26 2012-05-17 Kinki Univ Packet communication processing device and control method therefor, and program and recording medium
JP2013168763A (en) * 2012-02-15 2013-08-29 Hitachi Ltd Security monitoring system and security monitoring method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010231275A (en) * 2009-03-25 2010-10-14 Nec Commun Syst Ltd Device, method and program for preparing sequence diagram
JP2012095038A (en) * 2010-10-26 2012-05-17 Kinki Univ Packet communication processing device and control method therefor, and program and recording medium
JP2013168763A (en) * 2012-02-15 2013-08-29 Hitachi Ltd Security monitoring system and security monitoring method

Also Published As

Publication number Publication date
JP4434053B2 (en) 2010-03-17

Similar Documents

Publication Publication Date Title
JP4667437B2 (en) Abnormal traffic detection apparatus, abnormal traffic detection method, and abnormal traffic detection program
CN100474819C (en) A deep message detection method, network device and system
US9332020B2 (en) Method for tracking machines on a network using multivariable fingerprinting of passively available information
US9774517B2 (en) Correlative monitoring, analysis, and control of multi-service, multi-network systems
US8789135B1 (en) Scalable stateful firewall design in openflow based networks
US8533819B2 (en) Method and apparatus for detecting compromised host computers
US9392009B2 (en) Operating a network monitoring entity
US8130767B2 (en) Method and apparatus for aggregating network traffic flows
US20060067216A1 (en) Method and system for analyzing network traffic
US8850578B2 (en) Network intrusion detection
KR20110089179A (en) Network intrusion protection
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
JP4570652B2 (en) Unauthorized access monitoring apparatus and method
US20140149572A1 (en) Monitoring and diagnostics in computer networks
US20150071085A1 (en) Network gateway for real-time inspection of data frames and identification of abnormal network behavior
EP2053783A1 (en) Method and system for identifying VoIP traffic in networks
Mazhar Rathore et al. Exploiting encrypted and tunneled multimedia calls in high-speed big data environment
JP4434053B2 (en) Intrusion detection device
US20160248652A1 (en) System and method for classifying and managing applications over compressed or encrypted traffic
KR20100024723A (en) System and method for analyzing alternative internet traffic using routing based on policy
US20060067220A1 (en) Port tracking on dynamically negotiated ports
KR102442349B1 (en) System and method for network neutrality test
Rostami et al. Botnet evolution: Network traffic indicators
Roquero et al. Performance evaluation of client-based traffic sniffing for very large populations
Rathore Threshold-based generic scheme for encrypted and tunneled Voice Flows Detection over IP Networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071012

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090831

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090917

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091208

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091221

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130108

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees