CN105027510A - 网络监视装置、网络监视方法以及网络监视程序 - Google Patents
网络监视装置、网络监视方法以及网络监视程序 Download PDFInfo
- Publication number
- CN105027510A CN105027510A CN201480009739.7A CN201480009739A CN105027510A CN 105027510 A CN105027510 A CN 105027510A CN 201480009739 A CN201480009739 A CN 201480009739A CN 105027510 A CN105027510 A CN 105027510A
- Authority
- CN
- China
- Prior art keywords
- daily record
- information
- network
- log
- record data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
网络监视装置(100)具有日志收集部(151)和日志分析部(152)。日志收集部(151)针对在网络中传输的分组,收集与从网络中包含的FW(200)以及代理服务器(300)中的至少一方通过的分组相关的日志信息。日志分析部(152)随时间的经过,分析由日志收集部(151)收集到的日志信息,由此,提取在规定期间中满足规定条件的日志信息。
Description
技术领域
本发明涉及用于协助检测来自互联网等外部网络的网络攻击或向外部网络的信息泄漏的技术。
背景技术
近年来,对经由网络提供的各种服务或基础设施等进行攻击的非法通信(网络攻击)向使用多种各种方法的方式日益发展,威胁不断增大。作为针对这样的非法通信的对策技术,例如公知有FW(FireWall:防火墙)或IDS(Intrusion Detection System:入侵检测系统)、IPS(Intrusion Prevention System:入侵防御系统)等。图8是用于说明现有技术的对策技术的一例的图。
例如,如图8所示,FW作为路由器等网络装置的分组过滤功能或专用装置而配置在内部网络与外部网络的连接点。而且,例如,FW由内部网络中包含的终端的用户设定规则,以仅使内部网络中包含的终端向外部网络的终端提供的服务的分组以及用于供内部网络的终端利用外部网络的终端提供的服务的分组通过,将其它分组屏蔽。
此外,例如IDS或IPS作为路由器等网络装置的功能或专用装置而被提供。此处,例如,如图8所示,IDS或IPS存在如下类型:签名型,将取得的分组与预先定义的攻击分组的模式进行匹配,由此检测攻击;以及异常型,使用取得的分组或从网络设备收集到的各种日志、统计信息,来监视通信量,分析监视数据,由此检测异常的通信量。
举出一例,在签名型中,如图8所示,在FW通过后的地点取得分组,判定该分组中是否含有非法比特串,在存在非法比特串的情况下,检测为异常。此外,例如,在异常型中,对内部网络的终端中的资源的附加或通信量等行为定义正常状态,在偏离该状态的情况下,检测为异常。例如,如图8所示,在上述技术中检测出异常时,通过输出警报来向网络管理者通知异常。
现有技术文献
专利文献
专利文献1:日本特开2008-219149号公报
专利文献2:日本特开2006-115007号公报
专利文献3:日本特开2005-210601号公报
发明内容
发明要解决的问题
但是,在上述现有技术中,作为针对非法通信的对策技术,存在一定的限制。例如,在FW中,按每一分组决定能否通过,如果单一地观察关于攻击成功时通过的分组的日志,则不能区分出攻击者的通信等,作为对策技术,存在一定的限制。此外,例如,在IDS或IPS的签名型中,也基于预先定义的模式,因此,对未知的攻击应对迟缓,作为对策技术,存在一定的限制。此外,例如,在IDS或IPS的异常型中,如果将正常状态定义得较严格,则产生很多误检测,难以无遗漏地检测非法通信,作为对策技术,存在一定的限制。
因此,本申请的技术是鉴于上述现有技术问题而完成的,目的在于提供能够高精度地检测非法通信的网络监视装置、网络监视方法以及网络监视程序。
用于解决问题的手段
为了解决上述问题、达成目的,本申请的网络监视装置设置在网络内,检测有非法嫌疑的通信,所述网络具有设置在与外部网络之间的连接点以及内部的区段分割点中的至少一方的防火墙以及Web访问用的代理服务器,传输IP分组,该网络监视装置具有:日志收集部,其从所述防火墙及所述代理服务器中的至少一方收集日志数据并保存;以及日志分析部,其向所述日志收集部进行日志数据的询问,按照设定的分析条件分析所述日志数据,输出分析结果;由所述日志收集部保存的日志数据是包含五元组、发送大小、接收大小、从http报头提取出的信息、时间戳中的至少一个以上的信息,从所述http报头提取出的信息包含目的地URL、User-Agent名以及请求方法中的至少一个以上。
发明效果
本申请的网络监视装置能够高精度地检测非法通信。
附图说明
图1是示出包含第1实施方式的网络监视装置的网络的结构的一例的图。
图2是示出第1实施方式的网络监视装置的结构的一例的图。
图3是示出由第1实施方式的日志DB(数据库)存储的日志信息的一例的图。
图4是示出第1实施方式的网络监视装置的处理的步骤的流程图。
图5是示出用于检测非法访问或入侵而进行防御的系统的结构的一例的图。
图6是示出第2实施方式的检查装置的结构的框图。
图7是示出应用了第2实施方式的检查装置的网络的结构的一例的图。
图8是用于说明现有技术的对策技术的一例的图。
具体实施方式
以下参照附图,对本申请的网络监视装置、网络监视方法以及网络监视程序的实施方式进行详细说明。此外,本申请的网络监视装置、网络监视方法以及网络监视程序不受以下的实施方式限定。
(第1实施方式)
[包含第1实施方式的网络监视装置的网络的结构]
首先,对第1实施方式的包含网络监视装置100的网络的结构进行说明。图1是示出包含第1实施方式的网络监视装置100的网络的结构的一例的图。例如,包含第1实施方式的网络监视装置的网络为企业内NW(Network:网络),与互联网(适当记作外部网络)连接。
此处,如图1所示,企业内NW包含网络监视装置100、FW(FireWall)200、代理服务器300。此外,如图1所示,企业内NW包含用户PC、文件服务器、SW(Switch:交换机)/路由器、IDS/IPS等。例如,在企业内NW中,从用户PC访问文件服务器,或者,从用户PC经由FW 200访问互联网。此外,例如,在企业内NW中,从用户PC经由代理服务器300访问互联网。
FW 200监视在企业内NW中包含的用户PC以及文件服务器与互联网上的终端以及服务器之间执行的通信中的分组。具体而言,FW 200基于由用户预先定义的条件,控制互联网与企业内NW之间的分组的传输。例如,FW 200基于分组的5-tuple(五元组)的信息(目的地IP(互联网协议(Internet Protocol))地址、发送源IP地址、目的地端口、发送端口以及协议),判定是否是非法通信的分组,在判定为非法通信的情况下,丢弃分组。此外,FW 200将企业内NW中包含的用户PC、文件服务器与互联网的连接控制成经由代理服务器300的连接。即,FW 200将企业内NW中包含的用户PC、文件服务器控制成不直接与互联网连接。
此外,FW 200监视在企业内NW中包含的用户PC与文件服务器之间执行的通信中的分组。具体而言,FW 200基于由用户定义的条件,控制用户PC与文件服务器之间的分组的传输。例如,FW 200基于分组的5-tuple的信息,判定是否是非法通信的分组,在判定为非法通信的情况下,丢弃分组。
此处,FW 200针对通过自身的分组,输出各种日志。例如,FW 200输出通过自身的分组的5-tuple的信息、该分组的通过时刻(分组通过的时间戳)的信息、以及针对该分组的判定结果(能否通过的结果)的信息等。此外,上述信息只是一例,FW200能够根据设备适当输出其它信息。此外,FW 200也可以输出各种日志,存储各种日志。
代理服务器300代理企业内NW中包含的用户PC以及文件服务器与互联网中包含的终端以及服务器之间的通信。即,在企业内NW中包含的用户PC或文件服务器访问互联网的情况下,代理服务器300以代理的方式执行与访问目的地的终端或服务器之间的通信。
此外,代理服务器300在与互联网中包含的终端以及服务器的通信中,将一次读入的文件保持(缓存)一定期间,在从企业内NW中包含的用户PC或文件服务器发出相同的连接请求的情况下,提供缓存的文件。此外,代理服务器300基于分组的目的地URL(Uniform Resource Locator:统一资源定位符)等,限制互联网上的连接目的地的Web站点或连接源的用户终端。
此处,代理服务器300存储自身代理的通信中的分组的日志。例如,代理服务器300存储通信的连接时间、连接源的用户终端、连接结果、分组的收发大小、访问方法、访问目的地的URL的信息、进行通信的时刻(执行通信的时间戳)的信息等。此外,上述信息只是一例,代理服务器300也可以根据设备而适当存储其它信息。
网络监视装置100监视在企业内NW中传输的分组,高精度地检测非法通信。具体而言,如图1所示,网络监视装置100从FW 200以及代理服务器300收集分组的信息,检测非法通信。例如,如图1所示,网络监视装置100从FW 200或代理服务器300收集日志信息(适当记作“日志数据”)并进行分析,由此,进行如下检测等:“1:在企业内NW中,在感染了病毒等的感染用户PC与互联网上的恶意站点之间执行的通信”;“2:企业内NW的内部的非法通信的调查”;以及“3:互联网上的攻击者与企业内NW中包含的服务器等的通信以及攻击者的数据窃取”。
[第1实施方式的网络监视装置的结构]
接下来,对第1实施方式的网络监视装置的结构进行说明。图2是示出第1实施方式的网络监视装置100的结构的一例的图。如图2所示,网络监视装置100与FW200以及代理服务器300连接,监视企业内NW中的通信。此外,在图2中,FW 200以及代理服务器300分别各示出1台,而实际上,任意台数的FW 200以及代理服务器300与网络监视装置100连接。
如图2所示,网络监视装置100具有通信控制I/F部110、输入部120、显示部130、存储部140和控制部150。进而,网络监视装置100从企业内NW中包含的FW200以及代理服务器300收集日志信息,基于收集到的日志信息,监视企业内NW中的通信。
通信控制I/F部110控制关于在企业内NW中包含的FW 200以及代理服务器300与控制部150之间交换的各种信息的通信。例如,通信控制I/F部110控制与来自FW200以及代理服务器300的日志收集相关的通信。此外,通信控制I/F部110控制输入部120以及显示部130与控制部150之间的各种信息的交换。
输入部120例如为键盘或鼠标等,受理用户进行的各种信息的输入处理。举出一例,输入部120受理用于分析日志信息的条件等的输入处理等。此外,关于用于分析日志信息的条件,将在后面记述。显示部130例如为显示器等,向用户显示输出处理结果。举出一例,显示部130显示输出与用于分析日志信息的条件对应的日志信息。即,显示部130显示输出与企业内NW中的非法通信相关的日志信息。
如图1所示,存储部140具有日志DB141、分析信息DB142和分析结果DB143。存储部140例如为硬盘、光盘等存储装置、或者RAM(Random Access Memory:随机存取存储器)、闪速存储器(Flash Memory)等半导体存储器元件,存储由网络监视装置100执行的各种程序等。
日志DB141存储通过后述的控制部150从FW 200以及代理服务器300中的至少一方收集到的日志。具体而言,日志DB141存储由后述的控制部150从FW 200以及代理服务器300中的至少一方收集并进行标准化后的日志信息。例如,日志DB141存储如下这样的日志信息,该日志信息是对包含通过FW 200或代理服务器300的分组的5-tuple的信息(目的地IP地址、发送源IP地址、目的地端口、发送端口以及协议)或通信的连接时间、连接结果、分组的收发大小、访问目的地URL信息、时间戳的信息进行标准化而得到的。
图3是示出由第1实施方式的日志DB141存储的日志信息的一例的图。例如,如图3所示,日志DB141基于时间戳的信息,存储使各分组的信息按时间顺序排列而成的日志信息。即,如图3所示,在日志DB141中,存储如下这样的日志信息,在该日志信息中,目的地IP地址、发送源IP地址、目的地端口、发送端口、协议、发送大小、接收大小、目的地URL、用户代理、请求方法、判定结果与“日期/时刻”对应起来。
此处,图3所示的“日期/时刻”表示分组通过FW 200的时刻、或代理服务器300执行通信的时刻。此外,图3所示的“目的地IP地址”表示分组的目的地的终端(企业内NW的用户PC、互联网上的终端等)、或服务器(企业内NW的文件服务器、互联网上的服务器等)的IP地址。此外,图3所示的“发送源IP地址”表示分组的发送源的终端(企业内NW的用户PC、互联网上的终端等)或服务器(企业内NW的文件服务器、互联网上的服务器等)的IP地址。
此外,图3所示的“目的地端口”表示作为分组的目的地的终端(企业内NW的用户PC、互联网上的终端等)或服务器(企业内NW的文件服务器、互联网上的服务器等)的端口。此外,图3所示的“发送端口”表示作为分组的发送源的终端(企业内NW的用户PC、互联网上的终端等)或服务器(企业内NW的文件服务器、互联网上的服务器等)的端口。此外,图3所示的“协议”表示在分组的收发中使用的通信协议。
此外,图3所示的“发送大小”表示FW 200或代理服务器300发送的分组的大小。此外,图3所示的“接收大小”表示FW 200或代理服务器300接收到的分组的大小。此外,图3所示的“目的地URL”表示由终端(企业内NW的用户PC、互联网上的终端等)访问的服务器(企业内NW的文件服务器、互联网上的服务器等)上的站点的URL。
此外,图3所示的“用户代理”表示访问服务器(企业内NW的文件服务器或互联网上的服务器等)上的站点的终端(企业内NW的用户PC或互联网上的终端等)的浏览器的信息。例如,在用户请求阅览Web站点时,从浏览器向主管站点的服务器发送一系列的报头。各报头包含用于在服务器侧决定提供被请求阅览的信息的最佳方法的详细信息。此处,“用户代理”是用于识别向服务器请求信息的应用程序的报头。举出一例,在“用户代理”中包含请求阅览Web站点的终端的浏览器、浏览器的版本、OS等信息。
此外,图3所示的“请求方法”表示从终端(企业内NW的用户PC、互联网上的终端等)向(企业内NW的文件服务器、互联网上的服务器等)发送的请求。作为“请求方法”,例如有浏览器向服务器请求取得Web站点“GET”或仅请求报头的信息的“HEAD”、向服务器请求上传文件的“PUT”、“POST”等。
此外,图3所示的“判定结果”表示FW 200或代理服务器300的判定结果。例如,“判定结果”包含如下结果:基于由用户预先定义的条件的、用户PC与互联网之间的分组的传输控制的结果。此外,“判定结果”例如包含如下结果:基于分组的目的地URL等的、互联网上的连接目的地的Web站点或连接源的用户终端的连接限制的结果。
如上所述,日志DB141存储由后述的控制部150收集的、图3示出的日志信息。此处,图3所示的日志信息只是一例,实施方式不限于此。即,日志DB141也可以存储其它信息作为日志信息。此外,针对全部分组,并非收集图3所示的全部信息,例如,收集与输出日志的日志输出设备对应的日志。换言之,根据日志输出设备的种类,有时不收集某些信息。
返回图2,分析信息DB142存储后述的控制部150的分析中使用的信息。具体而言,分析信息DB142存储从由日志DB141存储的日志信息中提取满足规定条件的日志信息时的各种信息。例如,分析信息DB142存储根据分组的报头中包含的信息来提取日志信息的情况下的作为关键字(key)的信息。举出一例,分析信息DB142存储根据用户代理中包含的字符串来提取日志信息的情况下的作为关键字的信息。例如,分析信息DB142存储用于提取日志信息的规定字符串,该日志信息的用户代理中包含规定字符串以外的字符串。此外,上述例子只是一例,由分析信息DB142存储的信息不限于此。即,关于分析信息DB142,只要是能够在从日志DB141存储的日志信息中提取满足规定条件的日志信息时使用的信息,则可以存储任意的信息。
分析结果DB143存储后述的控制部150的分析结果。具体而言,分析结果DB143存储如下这样的日志信息:该日志信息是后述的控制部150根据规定的条件从存储在日志DB141的日志信息中提取的。更具体而言,分析结果DB143存储如下这样的日志信息:通过随时间的经过而分析日志DB141中存储的日志信息而提取出的、在规定期间中满足规定条件。
控制部150具有日志收集部151、日志分析部152和输出控制部153。控制部150例如为CPU(Central Processing Unit:中央处理器)、MPU(Micro Processing Unit:微处理单元)等电子电路、ASIC(Application Specific Integrated Circuit:专用集成电路)或FPGA(Field Programmable Gate Array:现场可编程门阵列)等集成电路,执行网络监视装置100的整体控制。
日志收集部151针对在企业内NW中传输的分组,从企业内NW中包含的从FW200以及代理服务器300中的至少一方,收集与通过的分组相关的日志。具体而言,日志收集部151从FW 200收集分组的5-tuple的信息、该分组的通过时刻(分组通过的时间戳)的信息、针对该分组的判定结果(是否为非法通信的结果)的信息等。此外,日志收集部151从代理服务器300收集通信的连接时间、连接源的用户终端、连接结果、分组的收发大小、访问方法、访问目的地的URL的信息、进行通信的时刻(执行通信的时间戳)的信息等。
然后,日志收集部151对收集到的信息进行标准化,由此,将形式不同的日志文件转换为统一的共通形式的日志信息。然后,日志收集部151将标准化后的日志信息保存在日志DB141中。例如,日志收集部151将对上述日志的信息进行标准化后的日志信息保存在日志DB141中(参照图3)。即,日志收集部151将包含有在企业内NW中传输的分组中的目的地IP地址、发送源IP地址、目的地端口、发送端口、协议、分组的收发大小、分组的目的地URL、用户代理、请求方法、FW 200或代理服务器300的判定结果和时刻信息的日志信息作为日志信息而保存在日志DB141中。
此处,日志收集部151还能够根据后述的日志分析部152的日志信息的分析条件,选择要收集的日志信息。例如,日志收集部151收集包含有在网络中传输的分组中的目的地IP地址、发送源IP地址、目的地端口、发送端口、协议和时刻信息(时间戳)的日志。或者,日志收集部151收集包含有在网络中传输的分组中的目的地IP地址、发送源IP地址、目的地端口、发送端口、协议、分组的收发大小和时刻信息(时间戳)的信息。或者,日志收集部151收集包含有在网络中传输的分组中的目的地IP地址、发送源IP地址、目的地端口、发送端口、协议、分组的目的地URL、用户代理、请求方法和时刻信息(时间戳)的信息作为日志信息。即,通过选择被收集的日志信息,由日志收集部151保存到日志DB141中的日志信息的结构适当变化。
日志分析部152随时间的经过而分析由日志收集部151收集到的日志信息,由此,提取在规定期间中满足规定条件的日志信息。具体而言,日志分析部152基于由日志收集部151收集到的日志信息,提取在规定期间中通信的连接数以及间隔满足规定条件的日志信息。例如,日志分析部152使用由日志收集部151收集到的日志信息的目的地IP地址、发送源IP地址、目的地端口、发送端口、协议和时刻信息,从日志DB141存储的日志信息中提取如下日志信息:通信的连接数为“10次”、且其时间间隔每“30秒”产生的通信持续了规定期间。然后,日志分析部152将提取出的日志信息保存在分析结果DB143中。
此外,日志分析部152基于由日志收集部151收集到的日志信息,提取在规定期间中分组的收发大小满足所述规定条件的日志信息。例如,日志分析部152使用由日志收集部151收集到的日志信息的目的地IP地址、发送源IP地址、目的地端口、发送端口、协议、分组的收发大小和时刻信息,从日志DB141存储的日志信息中提取分组的收发大小分别超过规定字节数的通信持续了规定期间的日志信息。然后,日志分析部152将提取出的日志信息保存在分析结果DB143中。
此外,日志分析部152基于由日志收集部151收集到的日志信息,提取在规定期间中日志包含的原始的通信的报头信息满足规定条件的日志信息。例如,日志分析部152使用由日志收集部151收集到的日志信息的目的地IP地址、发送源IP地址、目的地端口、发送端口、协议、分组的目的地URL、用户代理、请求方法和时刻信息,提取用户代理中包含的字符串为未存储在分析信息DB142中的字符串的通信持续了规定期间的日志信息。然后,日志分析部152将提取出的日志信息保存在分析结果DB143中。
这样,日志分析部152随时间的经过而分析由日志收集部151收集到的日志信息,由此,提取在规定期间中满足规定条件的日志信息。此处,上述提取的例子只是一例,用户能够任意设定提取日志信息的条件。例如,也可以对多个信息(例如图3所示的各信息)设定各种条件,提取满足设定的条件的通信持续规定期间的日志信息。此外,关于这些条件的设定,可以是如下情况:在分析日志信息时用户经由输入部120输入,或者也可以是如下情况:日志分析部152读出预先设定的条件。此处,用户通过设定各种被类推为非法通信的条件而进行分析,能够检测出非法通信的可能性较高的日志信息。
输出控制部153进行控制,以向显示部130显示输出由日志分析部152分析后存储在分析结果DB143中的分析结果。即,输出控制部153显示输出根据由用户设定的条件而提取出的日志信息。因此,用户通过设定各种被类推为非法通信的条件,由此,能够在显示部130中确认非法通信的可能性较高的信息。
[第1实施方式的网络监视装置的处理的步骤]
接下来,使用图4,对第1实施方式的网络监视装置100的处理的步骤进行说明。图4是示出第1实施方式的网络监视装置100的处理的步骤的流程图。如图4所示,在第1实施方式的网络监视装置100中,日志收集部151从FW 200以及代理服务器300收集日志信息(步骤S101),将收集到的日志信息标准化,保存在日志DB141中(步骤S102)。
然后,在输入部120从操作者受理了分析条件时(步骤S103:肯定),日志分析部152提取与受理的分析条件对应的日志信息(步骤S104)。然后,日志分析部152将作为提取出的日志信息的分析结果保存在分析结果DB143中(步骤S105)。此外,持续执行日志信息的收集,直到日志分析部152受理到分析条件为止(步骤S103:否定)。
然后,输出控制部153在显示部130中显示输出分析结果DB143中存储的分析结果(步骤S106)。
[第1实施方式的效果]
如上所述,根据第1实施方式,日志收集部151针对在企业NW中传输的分组,从企业NW中包含的FW 200以及代理服务器300的至少一方收集日志信息。然后,日志分析部152随时间的经过而分析由日志收集部151收集到的日志信息,由此,提取在规定期间中满足规定条件的日志信息。因此,第1实施方式的网络监视装置100基于满足规定条件的日志信息的随时间变化来提取日志信息,由此,能够检测出此前看漏的非法通信的候选,能够高效地确定非法通信。
例如,在现有技术的FW中,按每个分组决定能否通过,如果单一地观察关于攻击成功时的通过的分组的日志,则不能区分出攻击者的通信,有时对持续进化的未知的攻击应对迟缓。此外,例如,在现有技术的IDS或IPS的签名型中,也是基于预先定义的模式,因此,有时对未知的攻击的应对迟缓。与此相对,在本申请的网络监视装置100中,通过进行满足规定条件的日志信息的随时间经过的分析,能够检测出以往不能检测的攻击等,能够高效地确定非法通信。
此外,例如,在本申请的网络监视装置100中,通过灵活地改变与FW 200或代理服务器300中存储的多个日志的信息相关的规定条件,能够大范围地检测出非法通信。
此外,根据第1实施方式,日志收集部151收集包含有在企业NW中传输的分组中的目的地IP地址、发送源IP地址、目的地端口、发送端口、协议和时间戳的信息作为日志信息。进而,日志分析部152基于由日志收集部151收集到的日志信息,提取在规定期间中通信的连接数以及间隔满足规定条件的日志信息。因此,第1实施方式的网络监视装置100例如能够检测出与恶意站点持续执行的通信或互联网上的攻击者的数据窃取等非法通信。
此外,根据第1实施方式,日志收集部151收集包含有在网络中传输的分组中的目的地IP地址、发送源IP地址、目的地端口、发送端口、协议、分组的收发大小和时间戳的信息作为日志信息。此外,日志分析部152基于由日志收集部151收集到的日志信息,提取在规定期间中分组的收发大小满足规定条件的日志信息。因此,第1实施方式的网络监视装置100例如能够检测从互联网上的攻击者对企业NW内的文件服务器的攻击等非法通信。
此外,根据第1实施方式,日志收集部151收集包含有在企业NW中传输的分组中的目的地IP地址、发送源IP地址、目的地端口、发送端口、协议、分组的目的地URL、用户代理、请求方法和时间戳的信息作为日志信息。日志分析部152基于由日志收集部151收集到的日志信息,提取在规定期间中日志包含的原始的通信的报头信息满足规定条件的日志信息。因此,第1实施方式的网络监视装置100例如能够检测包含非法HTTP报头信息的非法通信。
(第2实施方式)
接下来,对第2实施方式的检查装置(对应于第1实施方式的网络监视装置)进行说明。在第2实施方式的检查装置中,能够检测出目前难以检测的网络攻击,此外,能够检测出攻击成功后的与攻击者之间的通信或信息泄漏等现象。
目前,使企业内网络等内部网络与互联网等外部网络连接来利用在外部网络上展开的各种服务是非常普遍的。另一方面,针对经由网络的各种服务或基础设施(社会基础设施)的网络攻击日益进化为使用多种各种方法的顽固的方式,这些威胁日益增大。
作为这些威胁的一例,存在如下方式:从外部网络非法地访问设置在内部网络内的服务器,盗取机密信息。还存在如下方式:不仅简单地从外部网络非法地访问内部网络,还对与内部网络连接的PC(个人计算机)非法地植入恶意软件,即,通过恶意软件感染PC,使用该感染后的软件从内部网络内的服务器非法收集信息,发送给外部。此外,还存在如下方式:通过从外部网络向内部网络发送非法分组,由此妨碍内部网络内的服务器的正常动作。
为了使内部网络防御这样的威胁,在外部网络与内部网络的连接点设置防火墙(FW),并配备IDS/IPS。IDS/IPS是如下系统:检测来自怀疑是外部的入侵的现象,此外,在检测出这样的现象的情况下,执行通信的切断等必要的防御对策。
图5是示出用于检测非法访问或入侵并进行防御的系统的结构的一例的图。此处,内部网络62与外部网络61连接。任意一个网络均传输IP分组,使用TCP(传输控制协议(Transmission Control Protocol))或UDP(用户数据协议(User DatagramProtocol))作为IP的上位层协议。
在外部网络61与内部网络62之间设置有防火墙71,防火墙71用于通过进行分组过滤来防止非法通信。防火墙71基于分组报头中包含的所谓五元组(5-tuple),执行分组过滤的处理。五元组是5个参数的组合,该5个参数由IP分组的报头中包含的发送源IP地址、目的地IP地址和协议、TCP分组或UDP分组的报头中包含的发送源端口编号以及目的地端口编号构成。防火墙71具有日志功能,能够向管理者提供与要通过的分组能否通过相关的日志。
在内部网络62内设置有例如服务器75、76,并且,为了检测和防御防火墙71无法阻止的非法访问或入侵等网络攻击,还设置有IDS/IPS73。IDS/IPS73在检测出非法访问或入侵等时,向网络的管理者63发出警报。
作为为了检测非法访问或入侵而在IDS/IPS73中使用的检测方法,大致分为签名型和异常型。在签名型的检测方法中,以非法访问或入侵等为特征的比特串是已知的,检查通过网络内的某地点的分组,在其中存在非法比特串的情况下,检测为异常。另一方面,在异常型中,针对资源的负载或通信量、用户的行为等定义正常状态,监视各种日志、统计信息、负载量或通信量等,在网络或与其连接的服务器的状态偏离正常状态的情况下,检测为异常。签名型基于与预先定义的模式之间的匹配,前提是非法比特串是已知的,因此,具有对未知的攻击的应对迟缓这样的问题。另一方面,在异常型中,在将正常状态定义得较严格时,误检测增多,因此,存在难以无遗漏地发现非法通信的问题。
网络攻击的方法在进化而变得多样化,如果依靠观察判断来自防火墙的日志或者通过使用IDS/IPS等与签名或模式文件的匹配来进行防御的方法,则难以应对持续进化的网络攻击。因此,依靠现有的防火墙或IDS/IPS这样的安全设备的防御是不够的,需要无遗漏地检测网络攻击的新技术。此外,也存在将通信流量超过阈值的情况或者偏离预先设定的模式的情况检测为异常的安全设备,但存在如下等问题:不能检测出内部网络上的感染终端(被植入了恶意软件的终端)与外部网络侧的攻击者之间的持续通信等。
因此,在第2实施方式的检查装置中,通过检测目前难以检测的上述进化的网络攻击并检测攻击成功后的与攻击者之间的通信或信息泄漏等现象,由此,解决上述问题。
接下来,参照附图,对第2实施方式的检查装置进行说明。图6是示出第2实施方式的检查装置的结构的框图。
图6所示的检查装置20设置在传输IP分组的内部网络中。内部网络经由防火墙41与作为外部网络的互联网连接,此外,在内部网络内设置有用于Web访问的代理服务器44。代理服务器44对从内部网络内的终端向互联网上的网站的访问进行代理,根据需要进行访问限制,尤其是,进行基于http(超文本传输协议:HypertextTransmission Protocol)或https(http secure)的消息的代理响应、传输控制。第2实施方式的检查装置20与IDS/IPS这样的现有安全设备独立地设置。检查装置20使用防火墙41和来自代理服务器44的日志,进行着眼于日志的时间顺序的相关分析,从其分析结果中提取非法模式,由此检测网络攻击或信息泄漏的产生。着眼于时间顺序的相关分析优选长期地进行。检查装置20在从防火墙41以及代理服务器44取得的日志中,特别使用五元组、发送大小、接收大小、目的地URL、User-Agent名、请求方法以及时间戳。此处,发送大小以及接收大小可以从防火墙41的日志中得到,也可以从http报头中得到。目的地URL、User-Agent名以及请求方法均从http报头或https报头中得到。时间戳是与防火墙41、代理服务器44等设备中的日志的记录相关的时刻信息,例如表示与日志对应的事件的产生时刻或实际记录日志的时刻。
如图6所示,这样的检查装置20大体由日志收集部21和日志分析部22构成,日志收集部21从防火墙41以及代理服务器44收集日志数据并进行存储,日志分析部22进行日志收集部21中存储的日志数据的分析。
日志收集部21具有:收集执行部31,其从防火墙41以及代理服务器44收集日志数据;标准化部32,其进行日志数据的标准化,以便容易地进行分析;日志管理存储部33,其保存标准化后的日志数据;以及日志提取部34,其根据来自日志分析部22的询问,检索日志管理存储部33内的日志数据,受理来自日志管理存储部33的检索结果的响应,发送给日志分析部22。收集执行部31收集的日志数据例如除了包含目的地IP地址、发送源IP地址、目的地端口、发送端口、协议的五元组的信息以外,还包含发送大小、接收大小、目的地URL、User-Agent名、请求方法、时间戳的信息。此外,日志数据还可以包含判定结果(将其称作设备判定结果)或者防火墙41和代理服务器44的各个装置ID等信息,其中,判定结果表示在防火墙41和代理服务器44中是使作为对象的分组或http消息通过了、还是视为非法而拒绝了。在从防火墙41或代理服务器44输出的日志数据的格式统一的情况下,即使不进行标准化处理也可容易地进行分析,因此,可以不设置标准化部32,而直接将收集执行部31收集到的日志数据保存在日志管理存储部33中。
另一方面,日志分析部22具有:日志取得部35,其向日志收集部21的日志提取部34进行询问,取得日志;分析执行部36,其向日志取得部35请求日志数据,受理其响应,根据设定的分析条件,进行日志数据的分析;以及分析结果DB(数据库)37,其保存从分析执行部36输出的分析结果。此外,为了进行灵活的分析以及提高分析精度,日志分析部22还可以具有保存网络(NW)信息的存储部38(适当记作“NW信息38”)以及保存各种分析规则作为分析条件的存储部39(适当记作“分析规则39”)。网络信息是监视对象的网络的拓扑或地址以及子网等的信息,被用于在日志取得部35从日志收集部21取得日志数据时,判别与日志数据相关的通信方向是哪个方向(是从内部网络朝向外部网络的通信、还是其反方向,或者是局限于内部网络的通信)。判别出的通信方向与日志数据一同被发送给分析执行部36。
在该检查装置20中,分析执行部36能够从存储部39读入多个分析规则,所述分析规则不针对单一的日志数据而针对多个日志数据分析时序相关性。在读入多个分析规则的情况下,分析执行部36将日志收集部21蓄积的日志数据中的由各分析规则规定的项目的值用于分析,输出各分析规则的分析结果。进而,分析执行部36根据各分析规则的分析结果的组合模式,识别非法通信的候选,输出该候选。
接下来,对该检查装置20的动作进行说明。
从内部网络内的防火墙41以及代理服务器44随时发送日志数据,在日志收集部21中,收集执行部31收集这些日志数据,传输给标准化部32,标准化部32进行日志数据的标准化,保存在日志管理存储部33内。另一方面,在日志分析部22中,分析执行部36向日志取得部35发送日志数据请求,日志取得部35基于日志数据请求,向日志收集部21内的日志提取部34进行询问,日志提取部34基于询问,检索日志管理存储部33内的日志数据。针对该检索的结果响应从日志管理存储部33发送给日志提取部34,由此,日志取得部35从日志提取部34取得日志数据。接下来,日志取得部35基于NW信息38内的网络信息,判定与取得的日志数据相关的通信的通信方向,将日志数据和通信方向的判定结果作为日志数据响应而发送给分析执行部36。于是,分析执行部36将从分析规则39读出的单一或多个分析规则应用于日志数据,通过时序相关分析,提取非法通信的候选。尤其是,在应用了多个分析规则的情况下,分析执行部36解析根据多个分析规则得到的分析结果的输出频度或模式,由此,更高精度地检测非法通信。提取出的非法通信的候选被蓄积在分析结果DB37中。
在企业内的多个内部网络中,能够通过防火墙的分组的协议或端口编号是受限定的。能够通过的数量少的协议/端口编号的代表性例子是用于Web访问的http消息。因此,可认为在使内部网络上的终端感染恶意的软件、使用该软件盗取内部网络上的终端或服务器内的数据的情况下,攻击者会利用http消息。在第2实施方式的检查装置20中,除了使用来自防火墙41的日志数据以外,还使用来自Web访问用的代理服务器44的日志数据,由此,能够检测出可疑的http通信,尤其是,能够检测出感染终端与攻击者之间的通信或者有可能发生信息泄漏的通信。
在第2实施方式的检查装置20中,作为其使用的日志数据自身,能够利用从现有的装置输出的日志数据,因此,能够在不会给网络结构带来较大影响的情况下导入。
以下,针对能够在第2实施方式的检查装置20中利用的分析规则的例子进行说明,特别是,对能够用于检测感染终端与攻击者之间的通信或有可能发生信息泄漏的通信、能够对日志数据分析时序相关的分析规则的例子进行说明。
(1)着眼于http连接的发送字节数,基于日志收集部21中蓄积的日志数据中的至少五元组的信息、发送字节数和时间戳的信息,参照时间戳的时刻信息,将在设定的期间内发送字节数的值与正常值存在差异的通信作为有非法嫌疑的通信。
(2)着眼于http连接的数量,基于日志收集部21中蓄积的日志数据中的至少五元组的信息和目的地URL、时间戳的信息,参照时间戳的时刻信息,将在设定的期间内同一通信的组的连接数与正常值存在差异的通信作为有非法嫌疑的通信。
(3)假定在内部网络预先设定有策略,着眼于违反策略的连接,基于日志收集部21中蓄积的日志数据中的至少五元组的信息、上述的设备判定结果、时间戳的信息,参照时间戳的时刻信息,将在设定的期间内同一通信的组的连接中的违反策略的产生频度与正常值存在差异的通信作为有非法嫌疑的通信。
(4)着眼于http连接的收发字节数的差分,基于日志收集部21中蓄积的日志数据中的至少五元组的信息、发送字节数、接收字节数和时间戳的信息,参照时间戳的时刻信息,将在设定的期间内发送字节数与接收字节数之差的值和正常值存在差异的通信作为有非法嫌疑的通信。
(5)着眼于http通信的报头的信息中的User-Agent名,基于日志收集部21中蓄积的日志数据中的至少五元组的信息、User-Agent名、时间戳的信息,参照时间戳的时刻信息,将在设定的期间内User-Agent名与正常值存在差异的通信作为有非法嫌疑的通信。
(6)着眼于http通信的报头的信息中的请求方法和收发字节数,基于日志收集部21中蓄积的日志数据中的至少五元组的信息、发送字节数、接收字节数、请求方法和时间戳的信息,参照时间戳的时刻信息,将在设定的期间内特定的请求方法以及伴随于其通信的收发字节数之差的值和正常值存在差异的通信作为有非法嫌疑的通信。
(7)着眼于目的地URL,基于日志收集部21中蓄积的日志数据中的至少五元组的信息、目的地URL和时间戳的信息,参照时间戳的时刻信息,将在设定的期间内目的地URL存在异常的通信作为有非法嫌疑的通信。
例如,第2实施方式的检查装置20可以构成为专用硬件,但也可以通过如下方式实现:利用具有微处理器或存储器、通信接口等的通用的计算机,使执行检查装置20的功能的计算机程序在该计算机上执行。此外,第1实施方式的网络监视装置100也相同。
图7是示出应用了第2实施方式的检查装置的网络的结构的一例的图。作为内部网络的企业内网络12与互联网11连接,在企业内网络12与互联网11的连接点设置有防火墙41。在企业内网络12内,设置有与防火墙41连接的交换机(SW)/路由器42,对于交换机/路由器42,设置有IDS/IPS43、代理服务器44、文件服务器45、46、作为终端的用户PC47~49。而且,上述检查装置20被设置为从防火墙41以及代理服务器44接收日志数据。虽未图示,在企业内网络12中,该网络也可以进一步分割为几个区段,在区段分割点设置有内部防火墙。如果内部防火墙的日志数据也被提供给检查装置20,则能够检测出以企业内网络12内为始点/终点的有非法嫌疑的通信。
假设在互联网11中存在恶意站点51,此外,还存在攻击者52。此处,用户PC47~49中的由双重线的框所示的用户PC49为被植入恶意软件的感染终端。在攻击者要从企业内网络12内窃取信息的情况下,在典型的例子中,首先,如[1]所示,用户PC49与恶意站点51进行通信,受到调查文件服务器45、46的指示,进而,如[2]所示,用户PC49进行内部的调查活动,从文件服务器45、46取得信息,最后,如[3]所示,作为感染终端的用户PC49作为攻击者52进行通信,将非法取得的数据发送给攻击者52,由此,将数据带出到互联网11侧。通过使用第2实施方式的检查装置20,应用上述那样的分析规则,无论在图中的[1]、[2]、[3]所示的哪个阶段,都能基于来自防火墙41以及内部防火墙中的至少一方的日志数据、来自代理服务器44的日志数据,检测出有非法嫌疑的通信。
这样,在第2实施方式的检查装置中,使用来自防火墙以及代理服务器这种现有的通常会设置在网络中的装置的日志数据,组合这些日志数据,由此,具有能够检测出有非法嫌疑的通信、尤其是能够检测出攻击成功后的与攻击者之间的通信或信息泄漏等现象的效果。
(第3实施方式)
至此,对第1实施方式以及第2实施方式进行了说明,但本申请的实施例不限于第1实施方式以及第2实施方式。即,这些实施例能够以其它各种各样方式来实施,能够进行各种省略、置换、变更。
例如,各装置的分散/整合的具体方式(例如图2的方式)不限于图示的方式,能够根据各种负载或使用状况等,以任意单位在功能上或物理上对其全部或一部分进行分散/整合。举出一例,可以将日志DB141和分析结果DB143整合为1个DB,另一方面,也可以是使日志收集部151分散成收集日志的收集部与进行标准化处理的标准化处理部。此外,关于存储部140,也可以是利用现有的管理系统或利用外部的DB的情况。即,也可以是如下情况:现有的管理系统的DB或外部的DB具有存储部140中包含的日志DB141、分析信息DB142以及分析结果DB143,控制部150访问现有的管理系统的DB或外部的DB,执行信息的读写。
此外,可以将控制部150作为网络监视装置100的外部装置,经由网络进行连接,或者,也可以是,不同的装置分别具有日志收集部151和日志分析部152,与网络连接而进行协作,由此,实现上述网络监视装置100的功能。
在上述第1实施方式中,以在互联网与企业NW之间收发分组的情况为1例而进行了说明。但是,实施方式不限于此,例如,如果是在多个网络之间收发分组的环境,则无论怎样的环境均可应用。
在上述第1实施方式中,如图1所示,对企业NW中包含2台FW 200和1台代理服务器300的情况进行了说明。但是,实施方式不限于此,各装置的台数可根据网络而任意变更。即,网络监视装置100从配置在监视的网络内的FW 200以及代理服务器300分别收集日志信息。
在上述第1实施方式中,对从FW 200以及代理服务器300分别收集日志信息的情况进行了说明。但是,实施方式不限于此,例如,也可以是从其中任意一方收集日志信息的情况。
这些实施例或其变形与本申请公开的技术中同样地包含在专利请求的范围所述的发明及其等同范围中。
标号说明
11互联网;12企业内网络;20检查装置;21、151日志收集部;22、152日志分析部;31收集执行部;32标准化部;33日志管理存储部;34日志提取部;35日志取得部;36分析执行部;37、143分析结果数据库(DB);38保存网络(NW)信息的存储部;39保存分析规则的存储部;41、200防火墙(FW);42开关/路由器;43IDS/IPS;44、300代理服务器;45、46文件服务器;47~49用户PC;100网络监视装置;141日志DB;142分析信息DB;153输出控制部。
Claims (9)
1.一种网络监视装置,其设置在网络内,检测有非法嫌疑的通信,所述网络具有设置在与外部网络之间的连接点以及内部的区段分割点中的至少一方的防火墙以及Web访问用的代理服务器,传输IP分组,所述网络监视装置的特征在于,该网络监视装置具有:
日志收集部,其从所述防火墙及所述代理服务器中的至少一方收集日志数据并保存;以及
日志分析部,其向所述日志收集部进行日志数据的询问,按照设定的分析条件分析所述日志数据,输出分析结果;
由所述日志收集部保存的日志数据是包含五元组、发送大小、接收大小、从http报头提取出的信息、时间戳中的至少一个以上的信息,从所述http报头提取出的信息包含目的地URL、User-Agent名以及请求方法中的至少一个以上。
2.根据权利要求1所述的网络监视装置,其特征在于,
所述日志分析部能够设定多个用于对多个所述日志数据分析时序相关性的分析条件,按照各分析条件执行分析。
3.根据权利要求2所述的网络监视装置,其特征在于,
所述日志分析部从所述各分析条件下的分析结果的组合模式中检测非法通信的候选并输出。
4.根据权利要求1~3中的任意一项所述的网络监视装置,其特征在于,
在所述日志分析部中基于针对作为监视对象的网络的信息,判别作为日志数据的对象的通信的方向,基于判别出的方向和该日志数据执行分析。
5.根据权利要求3所述的网络监视装置,其特征在于,
所述日志收集部收集包含所述五元组和所述时间戳的信息作为所述日志数据,
所述日志分析部基于由所述日志收集部收集到的日志数据,提取在规定期间中通信的连接数以及间隔满足规定条件的日志数据。
6.根据权利要求3所述的网络监视装置,其特征在于,
所述日志收集部收集包含所述五元组、所述发送大小、所述接收大小和所述时间戳的信息作为所述日志数据,
所述日志分析部基于由所述日志收集部收集到的日志数据,提取在规定期间中所述IP分组的收发大小满足规定条件的日志数据。
7.根据权利要求3所述的网络监视装置,其特征在于,
所述日志收集部收集包含所述五元组、所述目的地URL、所述User-Agent名、所述请求方法、所述时间戳的信息作为所述日志数据,
所述日志分析部基于由所述日志收集部收集到的日志数据,提取在规定期间中所述日志数据中包含的原始的通信的报头信息满足规定条件的日志数据。
8.一种网络监视方法,由网络监视装置执行,该网络监视装置设置在网络内,检测有非法嫌疑的通信,所述网络具有设置在与外部网络之间的连接点以及内部的区段分割点中的至少一方的防火墙以及Web访问用的代理服务器,传输IP分组,所述网络监视方法的特征在于,包含以下步骤:
日志收集步骤,从所述防火墙及所述代理服务器中的至少一方收集日志数据并保存;以及
日志分析步骤,向所述日志收集步骤进行日志数据的询问,按照设定的分析条件分析所述日志数据,输出分析结果,
通过所述日志收集步骤保存的日志数据为包含五元组、发送大小、接收大小、从http报头提取出的信息、时间戳中的至少一个以上的信息,从所述http报头提取出的信息包含目的地URL、User-Agent名以及请求方法中的至少一个以上。
9.一种网络监视程序,其设置在网络内,检测有非法嫌疑的通信,所述网络具有设置在与外部网络之间的连接点以及内部的区段分割点中的至少一方的防火墙以及Web访问用的代理服务器,传输IP分组,所述网络监视程序使计算机执行以下步骤:
日志收集步骤,从所述防火墙及所述代理服务器中的至少一方收集日志数据并保存;以及
日志分析步骤,向所述日志收集步骤进行日志数据的询问,按照设定的分析条件分析所述日志数据,输出分析结果,
通过所述日志收集步骤保存的日志数据是包含五元组、发送大小、接收大小、从http报头提取出的信息、时间戳中的至少一个以上的信息,从所述http报头提取出的信息包含目的地URL、User-Agent名以及请求方法中的至少一个以上。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013-032587 | 2013-02-21 | ||
| JP2013032587 | 2013-02-21 | ||
| JP2013-034529 | 2013-02-25 | ||
| JP2013034529 | 2013-02-25 | ||
| PCT/JP2014/054190 WO2014129587A1 (ja) | 2013-02-21 | 2014-02-21 | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105027510A true CN105027510A (zh) | 2015-11-04 |
| CN105027510B CN105027510B (zh) | 2018-06-12 |
Family
ID=51391367
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480009739.7A Active CN105027510B (zh) | 2013-02-21 | 2014-02-21 | 网络监视装置和网络监视方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9661008B2 (zh) |
| EP (1) | EP2961111B1 (zh) |
| JP (1) | JP5844938B2 (zh) |
| CN (1) | CN105027510B (zh) |
| WO (1) | WO2014129587A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113632421A (zh) * | 2019-04-19 | 2021-11-09 | 欧姆龙株式会社 | 通信监视系统以及通信监视方法 |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3011430A4 (en) * | 2013-06-19 | 2017-02-08 | Hewlett-Packard Enterprise Development LP | Unifying application log messages using runtime instrumentation |
| JP6252254B2 (ja) * | 2014-02-28 | 2017-12-27 | 富士通株式会社 | 監視プログラム、監視方法および監視装置 |
| KR101564644B1 (ko) * | 2014-07-03 | 2015-10-30 | 한국전자통신연구원 | 접근제어리스트 추출 방법 및 시스템 |
| JP6357093B2 (ja) * | 2014-12-11 | 2018-07-11 | Tis株式会社 | ログ解析方法、ログ解析プログラム及びログ解析装置 |
| US9667656B2 (en) * | 2015-03-30 | 2017-05-30 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
| CN106559241B (zh) * | 2015-09-29 | 2019-11-08 | 阿里巴巴集团控股有限公司 | 应用日志的收集、发送方法、装置、系统及日志服务器 |
| US10592566B2 (en) * | 2015-10-29 | 2020-03-17 | Ca, Inc. | Intelligent edge device for filtering internet of things (IoT) data |
| US10164990B2 (en) * | 2016-03-11 | 2018-12-25 | Bank Of America Corporation | Security test tool |
| US10313384B1 (en) * | 2016-08-11 | 2019-06-04 | Balbix, Inc. | Mitigation of security risk vulnerabilities in an enterprise network |
| JP6652912B2 (ja) * | 2016-12-21 | 2020-02-26 | アラクサラネットワークス株式会社 | ネットワーク装置および異常検知システム |
| US20180211252A1 (en) * | 2017-01-20 | 2018-07-26 | Jiko Group, Inc. | Systems and methods for private node-level data computing and reconciliation |
| JP7028559B2 (ja) * | 2017-01-25 | 2022-03-02 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
| JP6860161B2 (ja) * | 2017-03-17 | 2021-04-14 | 日本電気通信システム株式会社 | 不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム |
| WO2018225667A1 (ja) * | 2017-06-05 | 2018-12-13 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
| US11095678B2 (en) * | 2017-07-12 | 2021-08-17 | The Boeing Company | Mobile security countermeasures |
| JP6962374B2 (ja) * | 2017-08-30 | 2021-11-05 | 日本電気株式会社 | ログ分析装置、ログ分析方法及びプログラム |
| JP6973227B2 (ja) | 2018-03-23 | 2021-11-24 | 日本電信電話株式会社 | 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム |
| JP7172104B2 (ja) * | 2018-04-06 | 2022-11-16 | 富士通株式会社 | ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 |
| JP6962476B2 (ja) * | 2018-08-06 | 2021-11-05 | 日本電気株式会社 | 通信装置、通信方法、及び、通信プログラム |
| CN110838949B (zh) * | 2018-08-16 | 2023-09-29 | 阿里巴巴集团控股有限公司 | 一种网络流量日志记录方法及装置 |
| CN110062049A (zh) * | 2019-04-30 | 2019-07-26 | 深圳前海微众银行股份有限公司 | 一种办公网络的监控方法、装置、计算机设备及存储介质 |
| KR102295947B1 (ko) * | 2019-11-15 | 2021-08-30 | 한전케이디엔주식회사 | 사이버 보안관제의 실시간 모니터링 시스템 및 방법 |
| JP7388203B2 (ja) | 2020-01-20 | 2023-11-29 | 株式会社Ihi | コンテナ型仮想化環境における通信管理装置 |
| CN117061139A (zh) * | 2022-05-07 | 2023-11-14 | 华为技术有限公司 | 一种检测攻击的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090055919A1 (en) * | 2007-08-10 | 2009-02-26 | Fujitsu Limited | Unauthorized communication detection method |
| US20100050260A1 (en) * | 2008-08-25 | 2010-02-25 | Hitachi Information Systems, Ltd. | Attack node set determination apparatus and method, information processing device, attack dealing method, and program |
| CN102164129A (zh) * | 2011-03-19 | 2011-08-24 | 东北电力大学 | 防火墙与入侵检测系统的联动方法 |
| CN102394885A (zh) * | 2011-11-09 | 2012-03-28 | 中国人民解放军信息工程大学 | 基于数据流的信息分类防护自动化核查方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US7599939B2 (en) * | 2003-11-26 | 2009-10-06 | Loglogic, Inc. | System and method for storing raw log data |
| JP2005210601A (ja) | 2004-01-26 | 2005-08-04 | Nippon Telegr & Teleph Corp <Ntt> | 不正侵入検知装置 |
| JP4363650B2 (ja) | 2004-10-12 | 2009-11-11 | 日本電信電話株式会社 | 侵入検知処理装置、侵入検知処理方法および記録媒体 |
| JP2006295232A (ja) * | 2005-04-05 | 2006-10-26 | Lac Co Ltd | セキュリティ監視装置、セキュリティ監視方法、及びプログラム |
| US7661136B1 (en) * | 2005-12-13 | 2010-02-09 | At&T Intellectual Property Ii, L.P. | Detecting anomalous web proxy activity |
| JP4620070B2 (ja) | 2007-02-28 | 2011-01-26 | 日本電信電話株式会社 | トラヒック制御システムおよびトラヒック制御方法 |
-
2014
- 2014-02-21 US US14/769,666 patent/US9661008B2/en active Active
- 2014-02-21 WO PCT/JP2014/054190 patent/WO2014129587A1/ja active Application Filing
- 2014-02-21 CN CN201480009739.7A patent/CN105027510B/zh active Active
- 2014-02-21 JP JP2015501520A patent/JP5844938B2/ja active Active
- 2014-02-21 EP EP14754256.7A patent/EP2961111B1/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090055919A1 (en) * | 2007-08-10 | 2009-02-26 | Fujitsu Limited | Unauthorized communication detection method |
| US20100050260A1 (en) * | 2008-08-25 | 2010-02-25 | Hitachi Information Systems, Ltd. | Attack node set determination apparatus and method, information processing device, attack dealing method, and program |
| CN102164129A (zh) * | 2011-03-19 | 2011-08-24 | 东北电力大学 | 防火墙与入侵检测系统的联动方法 |
| CN102394885A (zh) * | 2011-11-09 | 2012-03-28 | 中国人民解放军信息工程大学 | 基于数据流的信息分类防护自动化核查方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113632421A (zh) * | 2019-04-19 | 2021-11-09 | 欧姆龙株式会社 | 通信监视系统以及通信监视方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9661008B2 (en) | 2017-05-23 |
| EP2961111A4 (en) | 2016-12-14 |
| CN105027510B (zh) | 2018-06-12 |
| JPWO2014129587A1 (ja) | 2017-02-02 |
| EP2961111A1 (en) | 2015-12-30 |
| EP2961111B1 (en) | 2018-01-31 |
| JP5844938B2 (ja) | 2016-01-20 |
| WO2014129587A1 (ja) | 2014-08-28 |
| US20160014146A1 (en) | 2016-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105027510A (zh) | 网络监视装置、网络监视方法以及网络监视程序 | |
| CN107454109B (zh) | 一种基于http流量分析的网络窃密行为检测方法 | |
| US9386036B2 (en) | Method for detecting and preventing a DDoS attack using cloud computing, and server | |
| US9860278B2 (en) | Log analyzing device, information processing method, and program | |
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| Pilli et al. | Network forensic frameworks: Survey and research challenges | |
| US20190034631A1 (en) | System and method for malware detection | |
| KR101391781B1 (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| CN105933268A (zh) | 一种基于全量访问日志分析的网站后门检测方法及装置 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| CN109428857B (zh) | 一种恶意探测行为的检测方法和装置 | |
| CN110035062A (zh) | 一种网络验伤方法及设备 | |
| Frye et al. | An ontology-based system to identify complex network attacks | |
| Baykara et al. | A novel hybrid approach for detection of web-based attacks in intrusion detection systems | |
| KR20070072835A (ko) | 실시간 웹로그 수집을 통한 웹해킹 대응 방법 | |
| KR101398740B1 (ko) | 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| Seo et al. | Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling | |
| CN113923021B (zh) | 基于沙箱的加密流量处理方法、系统、设备及介质 | |
| KR100977827B1 (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 | |
| Patel et al. | Analyzing network traffic data using Hive queries | |
| Cantanhede et al. | Computer network forensics assistance methodology focused on denial of service attacks | |
| KR100564438B1 (ko) | 시스템 침입 탐지 및 방지 장치 | |
| Kahai et al. | Forensic profiling system | |
| Xiao et al. | A Large-scale Measurement Study of Mobile Web Security Through Traffic Monitoring | |
| CN117792760A (zh) | 一种数据处理的方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |