JP4190508B2 - Network control system and network control method - Google Patents
Network control system and network control method Download PDFInfo
- Publication number
- JP4190508B2 JP4190508B2 JP2005047437A JP2005047437A JP4190508B2 JP 4190508 B2 JP4190508 B2 JP 4190508B2 JP 2005047437 A JP2005047437 A JP 2005047437A JP 2005047437 A JP2005047437 A JP 2005047437A JP 4190508 B2 JP4190508 B2 JP 4190508B2
- Authority
- JP
- Japan
- Prior art keywords
- event
- information
- control execution
- network
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、ネットワーク内で生成される各種イベントを評価して管理する装置に利用する。特に、不正アクセスを検知して防御する技術に関する。 The present invention is used in an apparatus for evaluating and managing various events generated in a network. In particular, it relates to a technique for detecting and protecting against unauthorized access.
近年、インターネットなどのネットワークに接続されたWebサーバ、FTPサーバに格納した情報に、リモートコンピュータからアクセスできるサービスが行われている。これらのサーバに対して、不正なリモートユーザからの侵入攻撃を検知する目的で侵入検知システム(IDS:Intrusion Detection System)を用いた監視が行われている(例えば、非特許文献1参照)。 In recent years, services that allow remote computers to access information stored in Web servers and FTP servers connected to networks such as the Internet have been provided. These servers are monitored using an intrusion detection system (IDS: Intrusion Detection System) for the purpose of detecting an intrusion attack from an unauthorized remote user (for example, see Non-Patent Document 1).
従来技術のIDSでは、得られる検知結果(アラート)をオペレータが人手で解析し、重要なアラートとそうでないアラートとを見分ける必要がある。しかし、IDSから得られるアラート量は膨大になり、上記の解析作業に膨大な時間がかかる問題があった。 In the IDS of the prior art, it is necessary for an operator to manually analyze a detection result (alert) to be obtained and distinguish an important alert from an alert that is not so. However, the amount of alerts obtained from IDS is enormous, and there is a problem that the above analysis work takes an enormous amount of time.
また、従来の監視目的、または人手解析によるIDSの運用では、サーバが不正なリモートユーザからの膨大な数の侵入攻撃を受けているとき、サーバが過負荷状態に陥り、リクエストを正常に処理できなくなるか、システムダウンを起こし、正常なユーザのトラヒック、リクエストまで無効にしてしまう状況が起きていた。 In addition, with conventional monitoring purposes or IDS operation by human analysis, when the server is subjected to a huge number of intrusion attacks from unauthorized remote users, the server is overloaded and the request can be processed normally. There was a situation where it was lost or the system went down, and normal user traffic and requests were invalidated.
また、一時に膨大な数のリクエストがサーバに集中した場合には、従来のIDSでは、リクエスト数を絞る(落とす)処理ができないため、サーバの過負荷状態を防げない問題があった。 In addition, when a large number of requests are concentrated on the server at a time, the conventional IDS cannot perform the process of narrowing down (dropping) the number of requests.
上記の従来技術では、Webなどのサーバ、IDSから得られる検知結果(アラート)やログなどの情報の重要度の分類や解析を人手で行っていたために、処理に時間がかかっていた。また、上記分類と解析の後、重要なアラートを基にしたトラヒック規制をかける必要性が生じても、人手でルータなどの被管理装置にトラヒック規制の設定を行う必要があり、時間がかかり、運用コストが大きくなる問題があった。また、IDSの誤検知による正常ユーザへの影響を回避することや、サーバ過負荷状態を回避することが困難である問題があった。 In the above prior art, since the classification and analysis of the importance of information such as detection results (alerts) and logs obtained from servers such as the Web and IDS are performed manually, processing takes time. In addition, after the above classification and analysis, even if it becomes necessary to apply traffic restrictions based on important alerts, it is necessary to manually set traffic restrictions on managed devices such as routers, which takes time, There was a problem that the operation cost would increase. In addition, there is a problem that it is difficult to avoid an influence on a normal user due to erroneous detection of IDS, or to avoid a server overload state.
本発明の目的は、Webサーバ、IDSなどの被評価装置から得られる情報の重要度を自動的に識別し、その重要度に応じたネットワーク制御を自動的に行うことにより、サーバの緊急事態における迅速な対応とネットワーク管理の運用コスト削減を実現するネットワーク制御システムを提供することにある。 It is an object of the present invention to automatically identify the importance of information obtained from a device under evaluation such as a Web server or IDS, and automatically perform network control according to the importance so that the server can be used in an emergency situation. The object is to provide a network control system that realizes quick response and reduction of operation cost of network management.
また、本発明の第二の目的は、サーバが過負荷に陥ったときに、不正リモートユーザのトラヒックを優先的に規制することによりサーバ運用を安定させるネットワーク制御システムを提供することにある。 A second object of the present invention is to provide a network control system that stabilizes server operation by preferentially restricting traffic of unauthorized remote users when the server is overloaded.
さらに、本発明は、サーバの負荷量の大きさに応じて、リモートユーザのトラヒックに規制をかけ、サーバが受信するリクエスト数を減らし、サーバの過負荷状態を回避し、システムダウンを回避するネットワーク制御システムの提供を目的としている。 Furthermore, the present invention provides a network that restricts the traffic of remote users according to the amount of load on the server, reduces the number of requests received by the server, avoids an overload condition of the server, and avoids system down. The purpose is to provide a control system.
本発明は、1つ以上の外部装置と直接、または、ネットワークを介して接続され、前記外部装置と被評価装置との間の通信を制御する1つ以上の被管理装置と、前記被管理装置を介して前記外部装置と通信し、該通信状況または通信障害発生状況を含むイベント通知を送出する被評価装置と、前記イベント通知を受信するネットワーク管理装置とから構成されるネットワーク制御システムである。 The present invention is directed to one or more managed devices that are connected to one or more external devices directly or via a network and control communication between the external devices and the evaluated device, and the managed devices The network control system includes an evaluated device that communicates with the external device via the network and transmits an event notification including the communication status or communication failure occurrence status, and a network management device that receives the event notification.
ここで、当該システムの特徴とするところは、前記ネットワーク管理装置は、受信した前記イベント通知に基づき当該イベントの種別を分類し、分類されたイベントの種別毎に単位時間当たりのイベント通知数を計数し、該計数結果がイベントの種別毎にそれぞれ定められた閾値を越えたときには当該イベントに関する情報を生成し、生成された前記イベントに関する情報に基づき予め定められた制御実行命令を生成して前記被管理装置に送出するところにある。 Here, the system is characterized in that the network management device classifies the event type based on the received event notification, and counts the number of event notifications per unit time for each classified event type. When the count result exceeds a threshold value determined for each event type, information related to the event is generated, and a control execution instruction determined in advance is generated based on the generated information related to the event to The data is sent to the management device.
前記被管理装置は、外部からの制御実行命令によりトラヒック規制の変更を行うことができる。また、前記被評価装置は、前記通信状況または通信障害発生状況を含むログまたはトラヒックの異常あるいは侵入攻撃を検知してその検知結果を含むアラートを生成することができる。前記イベント通知は、生成された前記ログまたは前記アラートを含むことができる。 The managed device can change the traffic restriction by an external control execution command. Further, the device to be evaluated can detect a log or traffic abnormality including the communication status or communication failure occurrence status or an intrusion attack and generate an alert including the detection result. The event notification may include the generated log or the alert.
当該システム構成により、一つの被評価装置を用いた簡単な構成によりアラートまたはログに基づく的確な制御実行命令を短時間に生成することができる。したがって、Webサーバ、IDSなどの被評価装置から得られる情報の重要度を自動的に識別し、その重要度に応じたネットワーク制御を自動的に行うことにより、サーバの緊急事態における迅速な対応とネットワーク管理の運用コスト削減(サーバの効率的運用によるコスト削減および人件費の削減)を実現することができる。 With this system configuration, an accurate control execution command based on an alert or log can be generated in a short time with a simple configuration using one device to be evaluated. Therefore, it is possible to quickly identify the importance of information obtained from the evaluated device such as a Web server, IDS, etc., and automatically perform network control according to the importance so that the server can respond quickly in an emergency situation. It is possible to reduce the operational cost of network management (cost reduction through efficient server operation and labor cost reduction).
あるいは、本発明は、1つ以上の外部装置と直接、または、ネットワークを介して接続され、前記外部装置と第一または第二の被評価装置との間の通信を制御する1つ以上の被管理装置と、前記被管理装置を介して前記外部装置と通信し、該通信状況または通信障害発生状況を含むイベント通知を送出する第一の被評価装置と、前記被管理装置を介して前記外部装置と通信し、前記外部装置に関わる負荷量の情報を送出する第二の被評価装置と、前記イベント通知または前記負荷量の情報を受信するネットワーク管理装置とから構成されるネットワーク制御システムとすることも可能である。 Alternatively, the present invention provides one or more devices that are connected to one or more external devices directly or via a network and that control communication between the external devices and the first or second device to be evaluated. A management device, a first evaluated device that communicates with the external device via the managed device, and sends an event notification including the communication status or communication failure occurrence status; and the external device via the managed device A network control system configured to include a second device to be evaluated that communicates with a device and transmits information on a load amount related to the external device, and a network management device that receives the event notification or the information on the load amount It is also possible.
ここで、当該システムの特徴とするところは、前記ネットワーク管理装置は、受信した前記イベント通知に基づき当該イベントの種別を分類し、分類されたイベントの種別毎に単位時間当たりのイベント通知数を計数し、該計数結果がイベントの種別毎にそれぞれ定められた閾値を越えたときには当該イベントに関する情報を生成し、生成された前記イベントに関する情報に基づき予め定められた制御実行命令を生成して前記被管理装置に送出する、または、受信した前記負荷量の情報に基づき該負荷量が閾値を越えたときには該負荷量の情報に基づき予め定められた制御実行命令を生成して前記被管理装置に送出するところにある。 Here, the system is characterized in that the network management device classifies the event type based on the received event notification, and counts the number of event notifications per unit time for each classified event type. When the count result exceeds a threshold value determined for each event type, information related to the event is generated, and a control execution instruction determined in advance is generated based on the generated information related to the event to Sends to the management device, or generates a predetermined control execution command based on the load amount information and sends it to the managed device when the load amount exceeds a threshold based on the received load amount information There is a place to do.
前記被管理装置は、外部からの制御実行命令によりトラヒック規制の変更を行うことができる。また、前記第一の被評価装置は、前記通信状況または通信障害発生状況を含むログまたはトラヒックの異常あるいは侵入攻撃を検知してその検知結果を含むアラートを生成する。前記イベント通知は、生成された前記ログまたは前記アラートを含むことができる。さらに、前記第二の被評価装置は、前記外部装置に関わる通信処理またはデータ演算処理を行う計算処理部を備え、前記負荷量の情報は、該計算処理部における負荷量の情報を含むことができる。 The managed device can change the traffic restriction by an external control execution command. The first device to be evaluated detects a log or traffic abnormality including the communication status or a communication failure occurrence status or an intrusion attack, and generates an alert including the detection result. The event notification may include the generated log or the alert. Furthermore, the second device to be evaluated includes a calculation processing unit that performs communication processing or data calculation processing related to the external device, and the load amount information includes load amount information in the calculation processing unit. it can.
例えば、前記イベントに関する情報が生成され、なおかつ、負荷量が閾値を越えたという条件が満たされたときに、前記イベントに関する情報に基づき予め定められた制御実行命令または前記負荷量の情報に基づき予め定められた制御実行命令を生成して前記被管理装置に送出するようにすることができる。 For example, when the information about the event is generated and the condition that the load amount exceeds a threshold is satisfied, the control execution instruction predetermined based on the information about the event or the information on the load amount A predetermined control execution command can be generated and sent to the managed device.
当該システム構成によれば、アラートおよび負荷量の情報の双方に基づき制御実行命令を生成することができるため、的確な制御実行命令を短時間に生成することができる。例えば、万が一、第一の被評価装置の判定が誤っていた場合には、第二の被評価装置であるサーバが過負荷でなく正常に動作していても、誤って正常ユーザのトラヒックを規制、または廃棄してしまう可能性があるが、これによれば、ネットワーク管理装置は、第一の被評価装置の誤判定を第二の被評価装置の負荷量の検知結果から認識することができるようになり、第一の被評価装置の誤判定の影響を除去し、不正トラヒックだけを優先的に廃棄することが可能となる(論理積(AND)的利用形態)。 According to the system configuration, since the control execution command can be generated based on both the alert and the load amount information, an accurate control execution command can be generated in a short time. For example, if the determination of the first device under evaluation is wrong, even if the server that is the second device under evaluation is operating normally instead of being overloaded, the traffic of normal users is erroneously restricted. However, according to this, the network management device can recognize the erroneous determination of the first device under evaluation from the detection result of the load amount of the second device under evaluation. Thus, it becomes possible to eliminate the influence of the erroneous determination of the first device under evaluation and to discard only the illegal traffic with priority (logical product (AND) usage form).
また、第一の被評価装置の判定結果または第二の被評価装置の負荷量の検知結果のいずれか一方でも異常を示した場合に制御実行命令を生成するようにすれば、異常の発生を多方面から監視することができるため、異常を見逃してしまう事態を回避することができる(論理和(OR)的利用形態)。 In addition, if either of the determination result of the first device under evaluation or the detection result of the load amount of the second device under evaluation shows an abnormality, the control execution command is generated, so that the occurrence of the abnormality Since monitoring can be performed from many directions, it is possible to avoid a situation in which an abnormality is overlooked (logical OR (OR) usage form).
したがって、Webサーバ、IDSなどの被評価装置から得られる情報の重要度を自動的に識別し、その重要度に応じたネットワーク制御を自動的に行うことにより、サーバの緊急事態における迅速な対応とネットワーク管理の運用コスト削減を実現することができると共に、サーバが過負荷に陥ったときに、不正リモートユーザのトラヒックを優先的に規制することによりサーバ運用を安定させることができる。さらに、サーバの負荷量の大きさに応じて、リモートユーザのトラヒックに規制をかけ、サーバが受信するリクエスト数を減らし、サーバの過負荷状態を回避し、システムダウンを回避することができる。 Therefore, it is possible to quickly identify the importance of information obtained from the evaluated device such as a Web server, IDS, etc., and automatically perform network control according to the importance so that the server can respond quickly in an emergency situation. The operational cost of network management can be reduced, and when the server is overloaded, the server operation can be stabilized by preferentially regulating the traffic of unauthorized remote users. Furthermore, according to the amount of load on the server, it is possible to restrict the traffic of the remote user, reduce the number of requests received by the server, avoid the server overload state, and avoid the system down.
また、前記ネットワーク管理装置は、前記制御実行命令の生成に際し、当該制御実行命令を生成する基となった前記イベントに関する情報に含まれる不正ユーザに関する情報を制御実行命令の一部に書き込み、前記被管理装置は、前記ネットワーク管理装置から受け取った前記制御実行命令に含まれる前記不正ユーザに関する情報に基づき不正ユーザのトラヒックを特定することができる。 In addition, when generating the control execution instruction, the network management device writes information on an unauthorized user included in the information on the event that is a basis for generating the control execution instruction in a part of the control execution instruction, The management device can specify the traffic of the unauthorized user based on the information related to the unauthorized user included in the control execution command received from the network management device.
すなわち、不正ユーザの個別IDであるIPアドレス、送信元電話番号等は、イベント(ログ、アラート)にしか格納されていない。よって、イベントに格納されている不正ユーザに関する情報を抽出して制御実行命令に書き込み、被管理装置に送出することにより、被管理装置では、不正ユーザのトラヒックを特定することができる。これにより被管理装置は、当該不正ユーザのトラヒックに対し、制御実行命令により指示された処置を集中的に効率良く実行することができる。 That is, an IP address, a sender telephone number, and the like, which are individual IDs of unauthorized users, are stored only in events (logs, alerts). Therefore, by extracting information on the unauthorized user stored in the event, writing it in the control execution command, and sending it to the managed device, the managed device can identify the traffic of the unauthorized user. As a result, the managed device can intensively and efficiently execute the treatment instructed by the control execution command for the traffic of the unauthorized user.
あるいは、本発明は、1つ以上の外部装置と直接、または、ネットワークを介して接続され、前記外部装置と被評価装置との間の通信を制御する1つ以上の被管理装置と、前記被管理装置を介して前記外部装置と通信し、前記外部装置に関わる負荷量の情報を送出する被評価装置と、前記負荷量の情報を受信するネットワーク管理装置とから構成されるネットワーク制御システムとすることも可能である。 Alternatively, the present invention provides one or more managed devices that are directly or via a network connected to one or more external devices and control communication between the external devices and the evaluated device. A network control system configured to include an evaluated device that communicates with the external device via a management device and transmits load amount information related to the external device, and a network management device that receives the load amount information It is also possible.
ここで、当該システムの特徴とするところは、前記ネットワーク管理装置は、受信した前記負荷量の情報に基づき該負荷量が閾値を越えたときには該負荷量の情報に基づき予め定められた制御実行命令を生成して前記被管理装置に送出するところにある。 Here, the feature of the system is that the network management device, based on the received information on the load amount, when the load amount exceeds a threshold value, a control execution command predetermined based on the load amount information. Is generated and sent to the managed device.
前記被管理装置は、外部からの制御実行命令によりトラヒック規制の変更を行うことができる。また、前記被評価装置は、前記外部装置に関わる通信処理またはデータ演算処理を行う計算処理部を備え、前記負荷量の情報は、該計算処理部における負荷量の情報を含むことができる。 The managed device can change the traffic restriction by an external control execution command. In addition, the device to be evaluated may include a calculation processing unit that performs communication processing or data calculation processing related to the external device, and the load amount information may include load amount information in the calculation processing unit.
当該システム構成によれば、負荷量の情報のみに基づいた簡単な構成および制御によって的確な制御実行命令を短時間に生成することができる。したがって、サーバが過負荷に陥ったときに、不正リモートユーザのトラヒックを優先的に規制することによりサーバ運用を安定させることができる。さらに、サーバの負荷量の大きさに応じて、リモートユーザのトラヒックに規制をかけ、サーバが受信するリクエスト数を減らし、サーバの過負荷状態を回避し、システムダウンを回避することができる。 According to the system configuration, an accurate control execution command can be generated in a short time by a simple configuration and control based only on load amount information. Therefore, when the server is overloaded, server operation can be stabilized by preferentially restricting traffic of unauthorized remote users. Furthermore, according to the amount of load on the server, it is possible to restrict the traffic of the remote user, reduce the number of requests received by the server, avoid the server overload state, and avoid the system down.
本発明のネットワーク制御システムによれば、以下のような効果がある。
(1)Webなどのサーバのログ、IDSのアラートやログなどのイベントからトラヒック規制をかける必要性がある重要なイベントを自動で判別し、実際にルータなどの被管理装置を制御するまでの時間を短くし、迅速な対応が可能となる。
(2)Webなどのサーバ過負荷時に、高い確率で不正ユーザのトラヒックだけを規制することが可能となり、サーバ運用を安定させることができる。
(3)Webなどのサーバ過負荷時に、全てのユーザのリクエストやトラヒックが無効になることを回避し、一部のユーザのリクエストの処理だけは正常に処理することが可能となり、システムダウンを回避することができる。
The network control system of the present invention has the following effects.
(1) Time required for automatically determining important events that need to be subject to traffic control from events such as server logs such as Web, IDS alerts and logs, and actually controlling managed devices such as routers This makes it possible to respond quickly.
(2) When a server overload such as Web is overloaded, it becomes possible to regulate only the traffic of unauthorized users with high probability, and server operation can be stabilized.
(3) When a server overload such as the Web is overloaded, it is possible to avoid invalidating all user requests and traffic, and only some user requests can be processed normally, avoiding system downtime. can do.
また、本発明のネットワーク制御システムによれば、効率的なネットワーク運用を行うことができるため、ネットワーク運用コストを削減することができる。さらに、本発明のネットワーク制御は人手を用いずに全て自動的に行われるため、人件費の削減によってもネットワーク運用コストを削減することができる。 Further, according to the network control system of the present invention, efficient network operation can be performed, so that the network operation cost can be reduced. Furthermore, since the network control of the present invention is all automatically performed without manual operation, the network operation cost can be reduced by reducing the labor cost.
(第一実施形態)
以下に、本発明の第一実施形態について図1および図2を参照して説明する。図1は、本発明の第一実施形態のネットワーク制御システムの構成を示すブロック図である。図2は第一実施形態のネットワーク制御システムの動作を示すフローチャートである。図1において、被評価装置1の第一の形態は、Webサーバ、または、FTPサーバ、などのサーバであり、リモートの外部装置7との通信状況やサーバの不具合等の情報をログとして生成する。被評価装置1の第二の形態は、侵入検知システム(IDS)であり、リモートの外部装置7から送られてくるトラヒックの異常性や侵入攻撃を検知し、検知結果(アラート)を生成する。被評価装置1は、これらのログやアラートをイベントとしてネットワーク管理装置2に通知する。また、侵入検知システムとしてはIDSの代わりに、アンチウィルスシステム、スパムフィルタなどを用いることができるが、本実施形態の説明では、これらを代表してIDSと呼ぶことにする。
(First embodiment)
Below, 1st embodiment of this invention is described with reference to FIG. 1 and FIG. FIG. 1 is a block diagram showing a configuration of a network control system according to the first embodiment of this invention. FIG. 2 is a flowchart showing the operation of the network control system of the first embodiment. In FIG. 1, the first form of the device under
イベント通知には、例えば、被評価装置1の第一の形態では、サーバの状態や処理内容を示す「システムがリブートしたことを現す情報」や、「通信するリモートの外部装置数の増加を示す情報」や、「リモートの外部装置が重要なデータにアクセスしたことを示す情報」や、「サーバの正常性が保たれている情報」などが格納される。 In the event notification, for example, in the first form of the device to be evaluated 1, “information indicating that the system has been rebooted” indicating the state of the server and processing contents, or “increase in the number of remote external devices to communicate with” is indicated. “Information”, “Information indicating that the remote external device has accessed important data”, “Information in which the normality of the server is maintained”, and the like are stored.
また、被評価装置1の第二の形態では、イベント通知に、「深刻な侵入攻撃が行われたことを示す情報」や、「無意味なアクセスが行われたことを示す情報」などが格納される。これらのイベントの重要度は、数値を用いて表現されたり、「緊急」、「やや緊急」、「注意」などの言葉を用いて表現されたりする。
In the second form of the device under
ネットワーク管理装置2は、イベント評価部3、イベント計数部4−1〜4−N、イベント処理部5から構成される。イベント評価部3は、被評価装置1からイベント通知を受信すると、イベントに格納された重要度を示す情報を基にイベント種別に分類し、イベント種別毎に用意したイベント計数部4−1〜4−Nにそのイベント通知を転送する。
The
イベント計数部4−1〜4−Nの最も基本的な動作では、イベント計数部4−1〜4−Nは単位時間当たりのイベント数を計数し、予め用意した閾値を超えた場合にイベント情報をイベント処理部5に伝送する。
In the most basic operation of the event counting units 4-1 to 4 -N, the event counting units 4-1 to 4 -N count the number of events per unit time, and event information when the threshold value prepared in advance is exceeded. Is transmitted to the
単位時間当たりのイベント数を計数するときに用いる計数法は、非特許文献2に記載のトークンバケット方式、リーキーバケット方式などが利用される。
As a counting method used when counting the number of events per unit time, a token bucket method, a leaky bucket method, or the like described in
イベント処理部5では、イベント計数部4−1〜4−Nよりイベント情報を受信すると、予め用意したそのイベントに対応する制御実行命令を被管理装置であるネットワーク装置6に送信する。
When the
また、ネットワーク管理装置2は、前記制御実行命令の生成に際し、当該制御実行命令を生成する基となった前記イベントに関する情報に含まれる不正ユーザに関する情報を制御実行命令の一部に書き込む手段をイベント処理部5に備え、ネットワーク装置6は、ネットワーク管理装置2から受け取った前記制御実行命令に含まれる前記不正ユーザに関する情報に基づき不正ユーザのトラヒックを特定する手段を備える。
In addition, when generating the control execution instruction, the
すなわち、不正ユーザの個別IDであるIPアドレス、送信元電話番号等は、イベント(ログ、アラート)にしか格納されていない。よって、ネットワーク管理装置2のイベント処理部5は、イベントに格納されている不正ユーザに関する情報を抽出して制御実行命令に書き込み、ネットワーク装置6に送出することにより、ネットワーク装置6では、不正ユーザのトラヒックを特定することができる。これによりネットワーク装置6は、当該不正ユーザのトラヒックに対し、制御実行命令により指示された処置を集中的に効率良く実行することができる。
That is, an IP address, a sender telephone number, and the like, which are individual IDs of unauthorized users, are stored only in events (logs, alerts). Therefore, the
被管理装置は、ルータ、スイッチ、ファイヤウォール、負荷分散装置などのネットワーク装置6であり、外部装置7と被評価装置1との間の通信における通信制御手段としてトラヒック規制を行う。制御実行命令としては特定のトラヒックの廃棄(規制)や、優先度の変更や、その解除等が含まれる。
The managed device is a
図1には、1台の外部装置7とこれに対応するネットワーク装置6とを図示したが、実際には、複数の外部装置7とこれに対応する複数のネットワーク装置6とが設置されており、特定のトラヒックの廃棄(規制)や、優先度の変更や、その解除等に応じて適宜、必要となる箇所に配置されたネットワーク装置6に対してのみ制御実行命令が下され、トラヒックの制御が不必要な箇所に配置されたネットワーク装置6に対しては制御実行命令は下されない。また、被評価装置1も1台とは限らない。複数の被評価装置1を複数の要所に配置することによって、トラヒックの監視精度を高めることができる。
FIG. 1 illustrates one
このような本実施形態のネットワーク制御システムを用いることにより、被評価装置1からのログやアラートなどのイベントからトラヒック規制をかける必要性がある重要なイベントを自動で判別し、実際にルータなどの被管理装置を制御するまでの時間を短くし、迅速な対応が可能となる。
By using such a network control system of the present embodiment, important events that need to be subject to traffic regulation are automatically determined from events such as logs and alerts from the device under
上に説明した動作で、イベント計数部4−1〜4−Nは、重要度の高いアラートやログに対しては小さな閾値を設定し、重要度の低いアラートやログに対しては大きな閾値を設定する。これにより、重要アラートやログは僅かな回数が発生しただけで直ちに情報がイベント処理部5に送られ、異常の原因となるトラヒックを規制できる。
In the operation described above, the event counting units 4-1 to 4-N set a small threshold for alerts and logs having high importance, and set a large threshold for alerts and logs having low importance. Set. As a result, only a small number of important alerts and logs are generated, information is immediately sent to the
これにより、従来技術の問題である人手によるイベント分類と解析の必要がなく、重要な攻撃や侵入に対し従来技術よりも迅速に自動的なトラヒック規制を実現でき、運用コスト低減が可能となる。また、被評価装置1がIDSの形態では、閾値を設定することによりIDSが稀に誤判定をしても、僅かな回数の誤判定ではイベント処理部5への情報転送がないため、トラヒックの規制は行われず、IDSの誤判定の影響を軽減できるという利点も生じる。
This eliminates the need for manual event classification and analysis, which is a problem of the prior art, and enables automatic traffic regulation for important attacks and intrusions more quickly than in the prior art, thereby reducing operational costs. Further, in the case where the device under
イベント計数部4−1〜4−Nの動作としては、特に重要度の高いイベント通知であれば受信する全ての通知に対して情報をイベント処理部5へ送ってもよい。逆に、重要度が低ければ受信したイベント通知の内、無作為に選んだ一つに対してイベント処理部5へ情報転送してもよい。
As an operation of the event counting units 4-1 to 4 -N, information may be sent to the
さらに、受信した複数のイベントに含まれる情報を処理して、これらのイベントの傾向や性質を示す要約情報(メタデータ)を作り、これをイベント情報としてイベント処理部5へ転送することもできる。これにより高度なログ/アラートの分析を自動的に行うトラヒック規制が可能となる。また、イベント計数部4−1〜4−Nからイベント処理部5へイベント情報を転送したときに、そのイベント計数部4−1〜4−Nの計数値を零にリセットし、イベント評価部3より受信する次のイベントから計数値を1として計数し直してもよい。
Furthermore, it is also possible to process information included in a plurality of received events, create summary information (metadata) indicating the trend and nature of these events, and transfer this to the
さらに、計数した単位時間当たりのイベント数が、閾値より小さい場合には、直前に実行した処理を取り消す「取消イベント情報」をイベント処理部5に転送することもできる。これにより状態が正常に戻ればトラヒック規制を解除することが可能となる。
Further, if the counted number of events per unit time is smaller than the threshold value, “cancel event information” for canceling the process executed immediately before can be transferred to the
イベント処理部5では、被管理装置であるネットワーク装置6に制御実行命令を送信したことを記憶しておく機能を持たせることができる。また、イベント計数部4−1〜4−Nより取消イベント情報を受信したとき、それ以前に対応するイベントの制御実行命令を送信していた場合には、イベント処理部5より対応する制御取消命令を送信してもよい。前述のように、これによって自動的に規制の解除ができ、運用コストの低減ができる。
The
イベント処理部5では、イベント計数部4−1〜4−Nより受信するイベントに対応する制御実行命令、および制御取消命令を格納する記憶装置であるデータベースを持ち、別途外部からの処理によりデータベースの内容を動的に変えるようにしてもよい。
The
これによって、極めて広範なログやアラート、制御実行命令に対応できるので、自動的なトラヒック制御の範囲が広がり、さらに運用コストも低減できる。 As a result, a wide range of logs, alerts, and control execution instructions can be handled, so the range of automatic traffic control can be expanded and the operation cost can be reduced.
以上説明した第一実施形態におけるネットワーク制御システムの動作を図2にフローチャートで示す。IDSまたはサーバである被評価装置1からイベント通知を受信すると(S1)、イベント評価部3は、そのイベント種別を分類し(S2)、イベント計数部4−1〜4−Nの該当するいずれかにそのイベント通知を入力する。イベント計数部4−1〜4−Nは、イベント評価部3からイベント通知を受け取ると、その種別毎に単位時間当たりのイベント通知数を計数する(S3)。イベント計数部4−1〜4−Nのいずれかにおいて、閾値を越えたイベント通知数が有る場合には(S4)、そのイベント計数部4−i(iは1〜Nのいずれか)は、閾値を越えたイベントに関する情報を生成し(S5)、この情報をイベント処理部5に転送する。イベント処理部5では、当該情報に基づき予め定められた制御実行命令を生成してネットワーク装置6に送出する(S6)。
FIG. 2 is a flowchart showing the operation of the network control system in the first embodiment described above. When an event notification is received from the device to be evaluated 1 that is an IDS or a server (S1), the event evaluation unit 3 classifies the event type (S2), and any of the event counting units 4-1 to 4-N is applicable. Enter the event notification in. When receiving event notifications from the event evaluation unit 3, the event counting units 4-1 to 4-N count the number of event notifications per unit time for each type (S3). If any of the event counting units 4-1 to 4-N has an event notification number exceeding the threshold (S4), the event counting unit 4-i (i is any one of 1 to N) Information about the event exceeding the threshold is generated (S5), and this information is transferred to the
また、イベント処理部5は、制御実行命令の生成に際し、当該制御実行命令を生成する基となった前記イベントに関する情報に含まれる不正ユーザに関する情報を制御実行命令の一部に書き込む。これにより、ネットワーク装置6は、ネットワーク管理装置2から受け取った前記制御実行命令に含まれる前記不正ユーザに関する情報に基づき不正ユーザのトラヒックを特定し、この特定されたトラヒックに対して制御実行命令により指示された処置を実行することができる。
In addition, when generating the control execution instruction, the
(第二実施形態)
以下に、本発明の第二実施形態について図3および図4を参照して説明する。図3は、本発明の第二実施形態のネットワーク制御システムの構成を示すブロック図である。図4は第二実施形態のネットワーク制御システムの動作を示すフローチャートである。
(Second embodiment)
Below, 2nd embodiment of this invention is described with reference to FIG. 3 and FIG. FIG. 3 is a block diagram showing the configuration of the network control system according to the second embodiment of this invention. FIG. 4 is a flowchart showing the operation of the network control system of the second embodiment.
図3において、被評価装置11は、Webサーバ、または、FTPサーバ、などのサーバであり、リモートの外部装置7との通信状況やサーバの不具合等の情報をログとして生成する。
In FIG. 3, a device under
被評価装置11のサーバは外部装置7との通信処理を行うと共に、負荷量の状態を自ら監視し、異常があればネットワーク管理装置12のイベント処理部15に通知する。被評価装置10は、侵入検知システム(IDS)であり、リモートの外部装置7から送られてくるトラヒックの異常性や侵入攻撃を検知し、検知結果(アラート)を生成する。
The server of the device under
被評価装置11のサーバと外部装置7との間のトラヒックの異常性を検知する場合には、ネットワーク装置6と被評価装置11との間のトラヒックが、ネットワーク装置6から被評価装置10のIDSへ複製されて転送されるようにネットワーク装置6を制御する手法を採ることができる。このような制御機能を通常、ミラーポート機能と呼ぶ。
When detecting an abnormality in the traffic between the server of the device under
被評価装置10であるIDSは、アラートをイベント通知としてネットワーク管理装置12に送信する。第一実施形態と同じく、イベントの重要度は、数値を用いて表現されたり、言葉を用いて表現されたりする。
The IDS that is the device under
ネットワーク管理装置12は、イベント評価部13、イベント計数部14−1〜14−N、イベント処理部15から構成される。イベント評価部13は、被評価装置10からイベントの発生を通知として検知すると、イベント通知に格納された重要度を示す情報を基に識別し、種別毎に用意したイベント計数部14−1〜14−Nにそのイベントを転送する。
The
イベント計数部14−1〜14−Nでは、単位時間当たりのイベント数を計数し、予め用意した閾値を超えた場合にイベント情報をイベント処理部15に伝送する。前述したように、単位時間当たりのイベント数を計数するときに用いる計数法は、非特許文献2に記載のトークンバケット方式、リーキーバケット方式などが利用される。
The event counting units 14-1 to 14-N count the number of events per unit time, and transmit event information to the
第一実施形態の場合と同じく、イベント計数部14−1〜14−Nよりイベント情報を受信すると、予め用意したそのイベントに対応する制御実行命令を被管理装置に送信する。被管理装置はルータ、スイッチ、ファイヤウォール、負荷分散装置などのネットワーク装置6である。
As in the case of the first embodiment, when event information is received from the event counting units 14-1 to 14-N, a control execution command corresponding to the prepared event is transmitted to the managed device. The managed device is a
制御実行命令としては特定のトラヒックの廃棄(規制)や、優先度の変更や、その解除等が含まれる。本実施形態では、これに加えて、イベント処理部15は、定期的に被評価装置11であるサーバの計算処理部16からその負荷量の情報も受信する。イベント処理部15は、もし被評価装置11であるサーバの負荷量が過剰なものであれば制御実行命令としては特定のトラヒックの廃棄(規制)や、優先度の変更を行う。
The control execution command includes discard (regulation) of specific traffic, change of priority, release of the priority, and the like. In the present embodiment, in addition to this, the
これによって、被評価装置10であるIDSからのアラートなどのイベントからトラヒック規制をかける必要性がある重要なイベントを自動で判別し、実際にルータなどの被管理装置を制御するまでの時間を短くし、迅速な対応が可能となると共に、被評価装置11であるサーバ過負荷時に、高い確率で不正ユーザのトラヒックだけを規制することが可能となり、サーバ運用を安定させることができる。さらに、サーバ過負荷時に、全てのユーザのリクエストやトラヒックが無効になることを回避し、一部のユーザのリクエストの処理だけは正常に処理することが可能となり、システムダウンを回避することができる。
As a result, important events that need to be subject to traffic regulation are automatically determined from events such as alerts from IDS, which is the device under
第二実施形態においても第一実施形態と同じく、イベント計数部14−1〜14−Nの動作としては、受信する全てのイベント通知毎に情報をイベント処理部15へ送ってもよい。受信したイベント通知の内、無作為に選んだ一つに対してイベント情報をイベント処理部15へ転送してもよい。
Also in the second embodiment, as in the first embodiment, as the operation of the event counting units 14-1 to 14-N, information may be sent to the
さらに、受信した複数のイベントに含まれる情報を処理して、これらのイベントの傾向や性質を示す要約情報(メタデータ)を作り、これをイベント情報としてイベント処理部15へ転送することもできる。
Furthermore, it is also possible to process information included in a plurality of received events to create summary information (metadata) indicating the trend and nature of these events, and transfer this to the
また、イベント計数部14−1〜14−Nからイベント処理部15へイベント情報を転送したときに、そのイベント計数部14−1〜14−Nの計数値を零にリセットし、イベント処理部15より受信する次のイベントから計数値を1として計数し直してもかまわない。さらに、計数した単位時間当たりのイベント数が、閾値より小さい場合には、直前に実行した処理を取り消す「取消イベント情報」をイベント処理部15に転送することもできる。
When event information is transferred from the event counting units 14-1 to 14-N to the
イベント処理部15では、被管理装置に制御実行命令を送信したことを記憶しておく機能を持たせることができる。また、イベント計数部14−1〜14−Nより取消イベント情報を受信したとき、それ以前に対応するイベントの制御実行命令を送信していた場合には、イベント処理部15より対応する制御取消命令を送信してもよい。
The
イベント処理部15では、イベント計数部14−1〜14−Nより受信するイベントに対応する制御実行命令、および制御取消命令を格納する記憶装置であるデータベースを持ち、別途外部からの処理によりデータベースの内容を動的に変えるようにしてもよい。
The
以上説明した第二実施形態におけるネットワーク制御システムの動作を図4のフローチャートに示す。イベント評価部13は、被評価装置10であるIDSからイベント通知(アラート)を受信すると(S10)、そのイベント種別を分類し(S11)、イベント計数部14−1〜14−Nに転送する。
The operation of the network control system in the second embodiment described above is shown in the flowchart of FIG. When the
イベント計数部14−1〜14−Nは、イベント評価部13から転送されたイベントについて、その種別毎に単位時間当たりのイベント通知数を計数する(S12)。閾値を越えたイベント通知数が有れば(S13)、閾値を越えたイベントに関する情報を生成し(S14)、当該情報をイベント処理部15に通知する。
The event counting units 14-1 to 14-N count the number of event notifications per unit time for each type of events transferred from the event evaluation unit 13 (S12). If there is the number of event notifications exceeding the threshold (S13), information about the event exceeding the threshold is generated (S14), and the information is notified to the
イベント処理部15は、イベント計数部14−iから通知された情報に基づき予め定められた制御実行命令を生成してネットワーク装置6に送出する(S15)。
The
また、イベント処理部15は、制御実行命令の生成に際し、当該制御実行命令を生成する基となった前記イベントに関する情報に含まれる不正ユーザに関する情報を制御実行命令の一部に書き込む。これにより、ネットワーク装置6は、ネットワーク管理装置12から受け取った前記制御実行命令に含まれる前記不正ユーザに関する情報に基づき不正ユーザのトラヒックを特定し、この特定されたトラヒックに対して制御実行命令により指示された処置を実行することができる。
In addition, when generating the control execution instruction, the
この処理と並行して被評価装置11であるサーバの計算処理部16は、自己の負荷量を監視し(S16)、その負荷量が閾値を越えると(S17)、負荷量が閾値を越えた旨の情報を生成し(S18)、当該情報をイベント処理部15に送出する。
In parallel with this processing, the
イベント処理部15は、被評価装置11であるサーバの負荷量が閾値を越えた旨の情報を受け取ると当該情報に基づき予め定められた制御実行命令をネットワーク装置6に送出する(S15)。
When the
図4におけるステップS15の処理は、ステップS10〜S14のフローおよびステップS16〜S18のフローの双方に対して共通に設けられ、S14またはS18のいずれか一方のステップにおける処理が完了したときに随時実行されるようにしてもよいし(論理和的フロー)、あるいは、ステップS15の処理として、イベント処理部15は、イベント計数部14−iによりイベントに関する情報が生成され、なおかつ、イベント処理部15が被評価装置11の計算処理部16から受信した負荷量の情報に基づき負荷量が閾値を越えたという条件が満たされたときに、イベント計数部14−iにより生成されたイベントに関する情報に基づき予め定められた制御実行命令または被評価装置11の計算処理部16から受信した負荷量の情報に基づき予め定められた制御実行命令を生成してネットワーク装置6に送出する手段を備えてもよい(論理積的フロー)。
The process of step S15 in FIG. 4 is provided in common to both the flow of steps S10 to S14 and the flow of steps S16 to S18, and is executed whenever the process in either step S14 or S18 is completed. The
これにより、アラートおよび負荷量の情報の双方に基づき制御実行命令を生成することができるため、的確な制御実行命令を短時間に生成することができる。例えば、後者(論理和的フロー)の場合には、万が一、被評価装置10の判定が誤っていた場合には、被評価装置11であるサーバが過負荷でなく正常に動作していても、誤って正常ユーザのトラヒックを規制、または廃棄してしまう可能性があるが、後者(論理積的フロー)によれば、ネットワーク管理装置12は、被評価装置10の誤判定を被評価装置11の負荷量の検知結果から認識することができるようになり、被評価装置10の誤判定の影響を除去し、不正トラヒックだけを優先的に廃棄することが可能となる。
As a result, the control execution command can be generated based on both the alert and the load amount information, so that an accurate control execution command can be generated in a short time. For example, in the case of the latter (logical flow), if the evaluation of the device under
また、後者(論理和的フロー)によれば、被評価装置10の判定結果または被評価装置11の負荷量の検知結果のいずれか一方でも異常を示した場合に制御実行命令を生成するので、異常の発生を多方面から監視することができるため、異常を見逃してしまう事態を回避することができる。
Further, according to the latter (logical OR flow), a control execution command is generated when either the determination result of the device under
ネットワーク環境に応じて、これらの利用形態を適応的に選択することができる。 These usage modes can be selected adaptively according to the network environment.
(第三実施形態)
以下に、本発明の第三実施形態について図5および図6を参照して説明する。図5は、本発明の第三実施形態のネットワーク制御システムの構成を示すブロック図である。図6は本発明の第三実施形態のネットワーク制御システムの動作を示すフローチャートである。図5において、被評価装置11は、Webサーバ、またはFTPサーバ、などのサーバであり、外部装置7との通信処理や、データ処理等の演算処理を行う計算処理部16を持つと共に、自らの負荷量の状態を監視し、負荷量をネットワーク管理装置22に通知することができる。
(Third embodiment)
Below, 3rd embodiment of this invention is described with reference to FIG. 5 and FIG. FIG. 5 is a block diagram showing the configuration of the network control system according to the third embodiment of this invention. FIG. 6 is a flowchart showing the operation of the network control system according to the third embodiment of the present invention. In FIG. 5, the device under
ネットワーク管理装置22は、イベント処理部25から構成される。イベント処理部25では、定期的に被評価装置11であるサーバの計算処理部16から計算処理部16の負荷量の情報を受信する。第三実施形態では、計算処理部16の負荷量の大きさが予め設けた閾値を超えた場合に、被評価装置11の計算処理部16がネットワーク管理装置22のイベント処理部25にその情報を伝送する。イベント処理部25は、計算処理部16の負荷量の大きさが予め用意した閾値を超えた場合に、前記閾値に対応する制御実行命令を被管理装置であるネットワーク装置6に送信する。
The
これによって、被評価装置11であるサーバ過負荷時に、高い確率で不正ユーザのトラヒックだけを規制することが可能となり、サーバ運用を安定させることができる。さらに、サーバ過負荷時に、全てのユーザのリクエストやトラヒックが無効になることを回避し、一部のユーザのリクエストの処理だけは正常に処理することが可能となり、システムダウンを回避することができる。
This makes it possible to regulate only the traffic of unauthorized users with high probability when the server being the device under
イベント処理部25では、ネットワーク装置6に制御実行命令を送信したことを記憶しておく機能を持たせてもよい。また、計算処理部16の負荷量の大きさが、閾値より小さい場合には、それ以前に送出した制御実行命令を取り消す命令をネットワーク装置6に送信してもよい。
The
以上説明した第三の実施形態におけるネットワーク制御システムの動作を図6のフローチャートに示す。被評価装置11であるサーバの計算処理部16は、自己の負荷量を監視し(S20)、その負荷量が閾値を越えると(S21)、負荷量が閾値を越えた旨の情報を生成し(S22)、当該情報をイベント処理部25に送出する。
The operation of the network control system in the third embodiment described above is shown in the flowchart of FIG. The
イベント処理部25は、被評価装置11であるサーバの負荷量が閾値を越えた旨の情報を受け取ると当該情報に基づき予め定められた制御実行命令をネットワーク装置6に送出する(S23)。
When the
(第四実施形態)
本実施例は、汎用の情報処理装置にインストールすることにより、その情報処理装置に第一〜第三実施形態のネットワーク管理装置2、12、22に相応する機能を実現させ、本発明のネットワーク制御方法に相応する手順を実行させるプログラムとして実現することができる。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、第一〜第三実施形態のネットワーク管理装置2、12、22に相応する機能を実現させることができる。
(Fourth embodiment)
In this embodiment, when installed in a general-purpose information processing apparatus, the information processing apparatus realizes functions corresponding to the
本発明のネットワーク制御システムによれば、トラヒック規制が必要な状況が発生してから実際にトラヒック規制が行われるまでの時間を短くし、迅速な対応が可能となる。また、高い確率で不正ユーザのトラヒックだけを規制することが可能となり、サーバ運用を安定させることができる。また、全てのユーザのリクエストやトラヒックが無効になることを回避し、一部のユーザのリクエストの処理だけは正常に処理することが可能となり、システムダウンを回避することができる。 According to the network control system of the present invention, it is possible to shorten the time from the occurrence of a situation where traffic regulation is necessary until the traffic regulation is actually performed, and to respond quickly. Further, it becomes possible to regulate only the traffic of unauthorized users with a high probability, and the server operation can be stabilized. Further, it is possible to avoid invalidating requests and traffic of all users, and it is possible to normally process only requests of some users, thereby avoiding a system down.
これにより、ネットワーク管理者の利便性を向上させることができると共に、ネットワークユーザに対するサービス品質を向上させることができる。 As a result, the convenience of the network administrator can be improved, and the service quality for the network user can be improved.
1、10、11 被評価装置
2、12、22 ネットワーク管理装置
3、13 イベント評価部
4−1〜4−N、14−1〜14−N イベント計数部
5、15、25 イベント処理部
6 ネットワーク装置
7 外部装置
16 計算処理部
1, 10, 11 Evaluated
Claims (6)
前記外部装置と第一または第二の被評価装置との間の通信を制御する通信制御手段と外部からの制御実行命令によりトラヒック規制の変更を行う手段とを備えた1つ以上の被管理装置と、
前記被管理装置を介して前記外部装置と通信し、トラヒックの異常あるいは侵入攻撃を検知してその検知結果を含むアラートを生成するアラート生成手段と該アラート生成手段により生成された前記アラートを含むイベント通知を送出するイベント通知手段を備えた第一の被評価装置と、
前記被管理装置を介して前記外部装置と通信し、該外部装置に関わる通信処理またはデータ演算処理を行う計算処理部と該計算処理部における負荷量の情報を送出する負荷量情報送出手段を備えた第二の被評価装置と、
前記イベント通知および前記負荷量の情報を受信するトラヒック情報受信手段を備えたネットワーク管理装置と
から構成されるネットワーク制御システムであって、
前記ネットワーク管理装置は、
前記トラヒック情報受信手段により受信した前記イベント通知に基づき当該イベントの種別を分類するイベント種別分類手段と、
前記イベント分類手段により分類されたイベントの種別毎に単位時間当たりのイベント通知数を計数し、該計数結果がイベントの種別毎にそれぞれ定められた閾値を越えたときには当該イベントに関する情報を生成するイベント情報生成手段と、
前記イベント情報生成手段により前記イベントに関する情報が生成され、かつ前記トラヒック情報受信手段により受信した前記負荷量の情報に基づき該負荷量が閾値を越えたという条件が満たされたときに、前記イベントに関する情報に基づき予め定められた制御実行命令または前記負荷量の情報に基づき予め定められた制御実行命令を生成して前記被管理装置に送出する制御実行命令送出手段と
を備えることを特徴とするネットワーク制御システム。 Connected to one or more external devices directly or via a network,
One or more managed devices comprising communication control means for controlling communication between the external device and the first or second device to be evaluated, and means for changing traffic regulation by an external control execution command When,
An event generating unit that communicates with the external device via the managed device, detects an abnormal traffic or an intrusion attack, and generates an alert including the detection result, and an event including the alert generated by the alert generating unit A first device to be evaluated comprising an event notification means for sending a notification;
A calculation processing unit that communicates with the external device via the managed device and performs communication processing or data calculation processing related to the external device, and load amount information sending means for sending load amount information in the calculation processing unit A second device to be evaluated,
A network management device comprising a traffic information receiving means for receiving the event notification and the load amount information,
The network management device includes:
Event type classification means for classifying the type of the event based on the event notification received by the traffic information receiving means;
An event that counts the number of event notifications per unit time for each event type classified by the event classification means, and generates information related to the event when the counting result exceeds a threshold value determined for each event type Information generating means;
When the event information on the event by the information generating means is generated, and the conditions referred to the load based on the load amount of information received has exceeded a threshold met by the traffic information receiving means, relating to the event network, characterized in that to generate a predetermined control execution command based on a predetermined control execution instruction or the load amount of information on the basis of the information and a control execution command sending means for sending to said managed device Control system.
前記被管理装置は、前記ネットワーク管理装置から受け取った前記制御実行命令に含まれる前記不正ユーザに関する情報に基づき不正ユーザのトラヒックを特定する不正ユーザ特定手段を備えた
ことを特徴とする請求項1記載のネットワーク制御システム。 The network management device, when generating the control execution command, writes unauthorized user information writing means that writes information related to an unauthorized user included in the information related to the event that is the basis for generating the control execution command in a part of the control execution command With
Said managed device, according to claim 1, characterized in that it comprises an unauthorized user specifying means for specifying traffic unauthorized user on the basis of the information related to fraud user included in the control execution instructions received from the network management device network control system.
前記ネットワーク管理装置は、
受信した前記イベント通知に基づき当該イベントの種別を分類するステップと、
該ステップにより分類されたイベントの種別毎に単位時間当たりのイベント通知数を計数し、該計数結果がイベントの種別毎にそれぞれ定められた閾値を越えたときには当該イベントに関する情報を生成するステップと、
該ステップにより生成された前記イベントに関する情報が生成され、かつ前記受信した前記負荷量の情報に基づき該負荷量が閾値を越えたという条件が満たされたされたときに、前記イベントに関する情報に基づき予め定められた制御実行命令または前記負荷量の情報に基づき予め定められた制御実行命令を生成して前記被管理装置に送出するステップを実行する
ことを特徴とするネットワーク制御方法。 A network control method applied to the network control system according to claim 1,
The network management device includes:
Classifying the event type based on the received event notification;
Counting the number of event notifications per unit time for each event type classified by the step, and generating information about the event when the counting result exceeds a threshold value determined for each event type;
Based on the information on the event when the information on the event generated by the step is generated and the condition that the load exceeds the threshold is satisfied based on the received information on the load. A network control method comprising: executing a step of generating a predetermined control execution command based on a predetermined control execution command or information on the load amount and sending the generated control execution command to the managed device.
前記被管理装置は、前記ネットワーク管理装置から受け取った前記制御実行命令に含まれる前記不正ユーザに関する情報に基づき不正ユーザのトラヒックを特定するステップを実行する
ことを特徴とする請求項3に記載のネットワーク制御方法。 The network management device, when generating the control execution instruction, executes a step of writing information on an unauthorized user included in the information on the event that is a basis for generating the control execution instruction in a part of the control execution instruction,
The network according to claim 3 , wherein the managed device executes a step of identifying traffic of an unauthorized user based on information on the unauthorized user included in the control execution command received from the network management device. Control method.
6. A recording medium readable by the information processing apparatus on which the program according to claim 5 is recorded.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005047437A JP4190508B2 (en) | 2005-02-23 | 2005-02-23 | Network control system and network control method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005047437A JP4190508B2 (en) | 2005-02-23 | 2005-02-23 | Network control system and network control method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006237842A JP2006237842A (en) | 2006-09-07 |
JP4190508B2 true JP4190508B2 (en) | 2008-12-03 |
Family
ID=37045041
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005047437A Active JP4190508B2 (en) | 2005-02-23 | 2005-02-23 | Network control system and network control method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4190508B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008113409A (en) * | 2006-10-04 | 2008-05-15 | Alaxala Networks Corp | Traffic control system and management server |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002123494A (en) * | 2000-10-17 | 2002-04-26 | International Network Securitiy Inc | System and method for providing security information |
JP3723076B2 (en) * | 2000-12-15 | 2005-12-07 | 富士通株式会社 | IP communication network system having illegal intrusion prevention function |
JP3893975B2 (en) * | 2002-01-07 | 2007-03-14 | 三菱電機株式会社 | Unauthorized intrusion detection apparatus, unauthorized intrusion detection method, and unauthorized intrusion detection program |
JP4033692B2 (en) * | 2002-03-08 | 2008-01-16 | 富士通株式会社 | Firewall security management method and management program thereof |
WO2003100619A1 (en) * | 2002-05-28 | 2003-12-04 | Fujitsu Limited | Unauthorized access detection apparatus, unauthorized access detection program, and unauthorized access detection method |
JP2004013411A (en) * | 2002-06-05 | 2004-01-15 | Yaskawa Electric Corp | Remote maintenance device |
JP2004030286A (en) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | Intrusion detection system and intrusion detection program |
JP4052983B2 (en) * | 2002-06-28 | 2008-02-27 | 沖電気工業株式会社 | Warning system and wide area network protection system |
JP2004038517A (en) * | 2002-07-03 | 2004-02-05 | Hitachi Ltd | Access control system and method, and program |
JP3934062B2 (en) * | 2003-01-07 | 2007-06-20 | 株式会社野村総合研究所 | Unauthorized access detection device |
JP3973563B2 (en) * | 2003-01-07 | 2007-09-12 | 株式会社野村総合研究所 | Login request receiving apparatus, login request receiving method, and program therefor |
JP4129207B2 (en) * | 2003-07-18 | 2008-08-06 | 株式会社日立製作所 | Intrusion analyzer |
-
2005
- 2005-02-23 JP JP2005047437A patent/JP4190508B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2006237842A (en) | 2006-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4373779B2 (en) | Stateful distributed event processing and adaptive maintenance | |
JP5960978B2 (en) | Intelligent system and method for mitigating cyber attacks in critical systems by controlling message latency in communication networks | |
CA2543291C (en) | Method and system for addressing intrusion attacks on a computer system | |
US6499107B1 (en) | Method and system for adaptive network security using intelligent packet analysis | |
US8949668B2 (en) | Methods and systems for use in identifying abnormal behavior in a control system including independent comparisons to user policies and an event correlation model | |
EP2835948B1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
JP2005229573A (en) | Network security system and its operating method | |
CN111327601B (en) | Abnormal data response method, system, device, computer equipment and storage medium | |
CN113839935B (en) | Network situation awareness method, device and system | |
US20150264071A1 (en) | Analysis system and analysis apparatus | |
JP4161989B2 (en) | Network monitoring system | |
US11882128B2 (en) | Improving incident classification and enrichment by leveraging context from multiple security agents | |
US11611584B2 (en) | Smart bits | |
JP2005202664A (en) | Unauthorized access integration correspondence system | |
JP5752020B2 (en) | Attack countermeasure device, attack countermeasure method, and attack countermeasure program | |
JP4190508B2 (en) | Network control system and network control method | |
CN114189361B (en) | Situation awareness method, device and system for defending threat | |
CN114172881B (en) | Network security verification method, device and system based on prediction | |
WO2023059938A1 (en) | Universal intrusion detection and prevention for vehicle networks | |
JP2004328307A (en) | Attack defense system, attack defense control server, and attack defense method | |
JP2006050442A (en) | Traffic monitoring method and system | |
JP6851211B2 (en) | Network monitoring system | |
JP2005293509A (en) | Automatically-set invasion detecting device of unauthorized communication, method and recording medium | |
US20100157806A1 (en) | Method for processing data packet load balancing and network equipment thereof | |
US20230396634A1 (en) | Universal intrusion detection and prevention for vehicle networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080205 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080404 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080916 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080916 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110926 Year of fee payment: 3 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 4190508 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120926 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130926 Year of fee payment: 5 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |