JP2002111667A - ログ保存装置 - Google Patents

ログ保存装置

Info

Publication number
JP2002111667A
JP2002111667A JP2000302014A JP2000302014A JP2002111667A JP 2002111667 A JP2002111667 A JP 2002111667A JP 2000302014 A JP2000302014 A JP 2000302014A JP 2000302014 A JP2000302014 A JP 2000302014A JP 2002111667 A JP2002111667 A JP 2002111667A
Authority
JP
Japan
Prior art keywords
data
recording
network
log storage
storage device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000302014A
Other languages
English (en)
Inventor
Eiki Arasawa
永樹 荒沢
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2000302014A priority Critical patent/JP2002111667A/ja
Publication of JP2002111667A publication Critical patent/JP2002111667A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)
  • Management Or Editing Of Information On Record Carriers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 インターネットやネットワーク上で得たデー
タを改竄されない状態で保存することができ、外部や内
部からの不正な使用や侵入の解析を可能にするログ保存
装置を提供する。 【解決手段】 ネットワーク30に接続されるログ保存
装置34は、ネットワーク30上のIPパケット及びヘ
ッダを含むデータをその種類に拘わらず記録する一次高
速メモリ43と、一次高速記憶媒体43に記録されたデ
ータを一時的に格納し、所定の大きさにブロック化して
出力する二次ストレージ45と、二次ストレージ45か
ら出力されたブロック化データを書き換え不能に記録す
るデータ書込み器51とを備えている。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、インターネットや
ネットワークにおけるセキュリティに好適に使用できる
ログ保存装置に関わるものである。
【0002】
【従来の技術】近年、インターネットや社内ネットワー
クは、外部からの攻撃や、内部からの不正アクセス等に
より、企業活動に影響を及ぼすほど重大な影響を受ける
基盤となってきた。ネットワーク・トラフィックの常時
監視とコンピュータの利用状況(ログ)の保存とは、上
記のような攻撃や不正アクセスに対するセキュリティを
確保するために欠くことができない要件となりつつあ
る。
【0003】例えば、ネットワークへの侵入やクラッキ
ングは、その手口が年々悪質かつ高度なものになってき
ており、発生した際の対応もさることながら、事後対策
を講じることが重要である。このため、ログを採取して
或る期間保存する等の処置が採られている。
【0004】図3に示すように、ネットワークのアクテ
ィビティでは、サーバ等のシステムロギングファイル
(以下Syslogという)を使ってどのようなIPパケット
の授受が行われたかを保存している。図3において、O
S・ソフトウェアシステム11は、NIC(Net Inter
face Card)12を介してネットワーク10に接続され
ている。NIC12、NIC用ドライバ13およびTC
P/IP・プロトコル・スタック15はIPアドレスや
ドメイン名を持ち、TCP/IP・プロトコルの管理や
ネットワークに参画している。なお以下の説明ではUN
IX(登録商標)の例を示すが、他のOSについても基
本的には同様である。
【0005】OS・ソフトウェアシステム11は、NI
C用ドライバ13と、TCP/IP・プロトコル・スタ
ック15と、TCP/IP・プロトコル・スタック15
に接続されたOSカーネル17とを備えている。OSカ
ーネル17は、OSの中核的部分であって、メモリー管
理、割込み管理、プロセス間通信といったシステムの基
本的な制御を行う。
【0006】また、OS・ソフトウェアシステム11
は、TCP/IP・プロトコル・スタック15及びOS
カーネル17と連係するアプリケーション16と、OS
カーネル17に接続されたSyslog(UNIXにおいてシ
ステムメッセージを書き込むコマンド(又はログファイ
ル))サービス19と、Syslogサービス19に接続され
たSyslogファイル20とを備える。Syslogファイル20
には、管理者権限により実行されるログ解析ツール21
が接続されている。
【0007】
【発明が解決しようとする課題】ところで、図3に示し
た従来のOS・ソフトウェアシステム11では、ログ解
析ツール21において管理者権限が奪われた場合、Sysl
og自体が消去、改竄される可能性がある。ネットワーク
・トラフィックにおけるログの記録は、ファイア・ウォ
ールや専用のサーバで行われるが、そのデータが正し
い、或いは、改竄されていないとは必ずしも断言するこ
とはできない。特に外部からの侵入者には、ログを消去
して痕跡を残さない者もいる。そのような場合、ログか
ら足取りを追って対策を講じるようとしても、適切な処
置を採ることができない。
【0008】また、記録媒体としてのハードディスク
(HDD)が用いられている場合、ハードディスクは、
記録内容の書き換え、或いは、ファイルシステムの破壊
が比較的容易に行え、しかもシステム内部からの改竄の
可能性もある。このため、クラッキングから記録情報を
できる限り確実に保護するためには、書き替え不可能な
メディアを用意する処置が必要になる。因みに、ネット
ワークの不正行為は、80%が内部犯行という調査記録
もある。
【0009】本発明は、上記したような従来の技術が有
する問題点を解決するためになされたものであり、イン
ターネットやネットワーク上で得たデータを改竄できな
い状態で保存することができ、外部や内部からの不正な
使用や侵入の解析を可能にするログ保存装置を提供する
ことを目的とする。
【0010】
【課題を解決するための手段】上記目的を達成するため
に、本発明のログ保存装置は、インターネット又はネッ
トワークに接続されるログ保存装置であって、インター
ネット又はネットワーク上のIPパケット及びヘッダを
含むデータをその種類に拘わらず記録する第1の記録手
段と、該第1の記録手段に記録されたデータを一時的に
格納し、所定の大きさにブロック化して出力する第2の
記録手段と、該第2の記録手段から出力されたブロック
化データを書き換え不能に記録する第3の記録手段とを
備えることを特徴とするログ保存装置を提供する。
【0011】本発明のログ保存装置では、インターネッ
ト又はネットワーク上で得られる全てのデータを第3の
記録手段に書き換え不能の状態で保存することにより、
保存した全てのデータの改竄を確実に阻止することがで
きる。
【0012】ここで、第3の記録手段は、1回の書込み
のみ可能なCD−R(CD-Recordable)及び/又はDVD
−R(DVD-Recordable)から成る記録媒体と、書込み処理
が終了したCD−R及び/又はDVD−Rを未使用のC
D−R及び/又はDVD−Rに交換するオートチェンジ
ャとを備えることが好ましい。この場合、データ解析の
ため全てのデータを記録する第3の記録手段を比較的廉
価に得ることができる。
【0013】また、第1、第2及び第3の記録手段を制
御する制御手段を更に備え、該制御手段は、オートチェ
ンジャを制御して、書き込み済みの読出しのみ可能な記
録媒体の順番を管理し、日付、時間、内容を検索するこ
とにより、問題発生時の前後のイベントを報知すること
も好ましい態様である。この場合、第3の記録手段に記
録されたデータを使用して、外部や内部からの不正な使
用や侵入の解析を円滑に行い、そのデータ解析に基づい
て、侵入に対する有効な対策を講じることができる。
【0014】
【発明の実施の形態】以下、図面を参照し、本発明の一
実施形態例に基づいて本発明を更に詳細に説明する。図
1は、本実施形態例に係るログ保存装置を示す図であ
る。
【0015】図1において、ネットワーク30には、O
S・ソフトウェアシステム31と、ログ保存装置34と
が接続されている。OS・ソフトウェアシステム31
は、IPアドレスを外部から特定できないように構成さ
れたNIC用ドライバ32と、NIC用ドライバ32を
介してネットワーク30に接続されたカーネル33と、
カーネル33に接続されたSyslog35とを備えている。
【0016】一方、ログ保存装置34は、ネットワーク
30に接続された物理層インターフェース(以下物理層
i/fという)36(MAC(Media Access Control)層
のうち送信機能を省いたもの)と、物理層i/f36に接
続されたリンク層37(受信のみ)とを備える。物理層
i/f36は、パケットの種類を問わずにネットワーク3
0からデータ(トラフィック)を取り込み、ヘッダを解
析してネットワーク層のレベルで扱う形でデータ化す
る。物理層i/f36は、IPアドレスが無い。また、リン
ク層37は、ヘッダを先頭としたパケット化される部分
である。
【0017】リンク層37には、処理系(LINK)3
9が接続され、処理系39を介して処理系40が接続さ
れている。処理系39、40は、Ethernet(登録商標)
STDに準ずるパケット処理系を構成している。処理系
39は、TCP/IP・プロトコル系のIP、ICP、UDP、
SNMP、ICPM、ARPを含み、処理系40は、TCP/IP
・プロトコル系のNFS、RPC、FTP、TELNET、SMTP、POP、
NNTP(rx)や、UNIX系のコマンドrlogin、rcp、finge
rを含む。
【0018】更に、処理系40には、タイマ42が接続
されたパケット・タイム・スタンプ41が接続され、パ
ケット・タイム・スタンプ41には、半導体メモリから
成る一次高速メモリ(RAM)43が接続されている。
一次高速メモリ43には、ディスクアレイ46、47を
有する二次ストレージ45が接続され、二次ストレージ
45にはデータ書込み器51が接続されている。これら
一次高速メモリ43、二次ストレージ45及びデータ書
込み器51は、コンソール50が接続された制御装置4
9によりそれぞれの動作が制御される。
【0019】一次高速メモリ43は、ネットワーク上の
IPパケット及びヘッダを含むデータをその種類に拘わ
らず記録する。
【0020】二次ストレージ45は、データを比較的低
速な記録デバイス(HDD等)に記録するもので、一次
高速メモリ43に記録されたデータを一時的に格納し、
所定の大きさにブロック化してデータ書込み器51に出
力する。記録デバイスは、RAID技術により複数台に
ディスクが分割されて書込み時間待ちが最小にされると
ともに、低速なデータ書込み器51へのバッファの役目
をするために複数のグループ(ディスクアレイ46、4
7)に分割されている。この構成により、或るグループ
への記録中、他のグループは低速書込み器であるデータ
書込み器51のバッファとなる。
【0021】データ書込み器51は、二次ストレージ4
5から出力されたブロック化データを書き換え不能に記
録するもので、複数設けられていてもよく、二次ストレ
ージ45からのブロック化データを、1回の書込みのみ
可能なCD−R及び/又はDVD−Rに書き換え不能に
書き込む。
【0022】データ書込み器51は、書込みが終了した
メディア(書込み済みのCD−R、DVD−R)とブラ
ンクメディア(未使用のCD−R、DVD−R)とを交
換するオートチェンジャ52を有している。
【0023】制御装置49はオートチェンジャ52を制
御して、書込み済みのメディア(記録媒体)の順番を管
理し、日付、時間、内容を検索することにより、問題が
発生した時間の前後のイベントを、図示しない表示部に
表示する。これにより、データ書込み器51でメディア
に記録されたデータを使用し、外部や内部からの不正な
使用や侵入の解析を円滑に行い、そのデータ解析に基づ
いて、侵入に対する有効な対策を講じることができる。
【0024】制御装置49は、メディアへの記録を全て
時間に対してシーケンシャルに行うが、細分化されたI
Pパケットの再生と特定イベントの拾い出しとを、ヘッ
ダの解析によって行う。
【0025】次に、本実施形態例に係るログ保存装置の
全体処理について説明する。まず、処理系39により、
IPパケットをパケット毎に切り出す(MAC、LIN
Kの動作)。この際、IPパケットの内容は関知せず、
パケット単位のみで切り出す。次いで、処理系40は、
フィルタリングを望む場合、例えばSMTP、POPの
み必要なe-mailのストレーンを行う場合にのみ動作す
る。
【0026】引き続き、パケット・タイム・スタンプ4
1が、切り出されたIPパケットにタイム・スタンプを
付ける。この際、タイマ42は絶対時間を付ける(yy,m
m,dd,hh,mm,sec,MS,ms)。そして、パケット毎に切り出
されたIPパケットは、一次高速メモリ43に高速で記
録される。これにより、一次高速メモリ43には、IP
パケット及びヘッダを含むデータがその種類に拘わらず
記録される。
【0027】例えば、最少46byteのデータを有するI
Pパケットが512バイト+プリアンブル64バイトの場合、
パケット間GAP0.96μsは「5.76+0.96μs =6.72μs/Pake
t」である。また、IPパケットが1500Byteの場合、パ
ケット間GAP0.96μsは「122μs+0.96μs=122.96μs/Pak
et」である。よって、一次高速メモリ43では、80ns/B
yte以上の書込み速度があれば良いことになる。
【0028】一次高速メモリ43に記録されたIPパケ
ットは、ディスクアレイの最大待ち時間、つまり、1ト
ラックの最大回転待ち時間+シークタイムであり、通常
7200rpmのディスクで12.3ms (8.3ms+4ms)をバッファさ
れた後、二次ストレージ45へ転送される。一次高速メ
モリ43は、書込みと読出しとがバンク構成とされて、
双方の動作が同時に実行可能に構成される。
【0029】二次ストレージ45は、複数のディスクに
対して並列に読み書きを行うストライピングにより書込
み/読出しが高速化されている。二次ストレージ45
は、1書込み毎にディスクの回転を待たされることのな
い構造、或いは、ディスク内に大容量のバッファを有す
る構造とすることができる。
【0030】二次ストレージ45では、ディスクアレイ
46、47に蓄積されるIPパケット等のデータが、デ
ータ書込み器51におけるメディアがCD−Rの場合に
約640MB単位で切り出してブロック化され、また、
メディアがDVD−Rの場合に4.7GB単位でブロッ
ク化されて、データ書込み器51へ転送される。つま
り、CD−Rの場合には、IPパケットは、タイマ42
で付与されるタイムスタンプを含む1単位が約640M
Bになるように切り出される。
【0031】次いで、データ書込み器51において、C
D−ROM及び/又はDVD−Rが、オートチェンジャ
52の自動チェンジャ機能により、1枚の書込みが終了
する毎にブランクメディアと交換される。
【0032】一方、読出し時には、データ記録済みのメ
ディアは、データ先頭のタイムスタンプで管理される。
複数枚のCD−ROM及び/又はDVD−ROMは、オ
ートチェンジャ52等で読み出され、IPパケットの本
来の状態を復元され、これにより、必要な流れを追うこ
とが可能になる。処理は、物理層i/f36、リンク層3
7、アプリケーションのレイヤに添って行う。検索は、
レイヤ毎、パケット種類、日時等で、ごく普通に行うデ
ータ検索が可能である。
【0033】次に、切り出しの対象となるIPパケット
等のレイヤ構造を説明する。図2に示すように、IPパ
ケットの記録データAは、8バイトのタイムスタンプ、
2バイトのタイプ、及び4バイトの番号から成る付加デ
ータと、所定バイト数のデータとを有している。
【0034】また、イーサネットデータBは、記録デー
タAにおける所定バイト数のデータを示すもので、8バ
イトのプリアンブルと、宛先MACアドレスと、6バイ
トの送元MACアドレスと、2バイトのタイプと、46
〜1500バイトのデータと、4バイトの誤り検出とを
有している。
【0035】IPデータCは、イーサネットBにおける
46〜1500バイトのデータを示すもので、2バイト
のバージョンと、所定バイトの送元IPアドレスと、所
定バイトの宛先IPアドレスと、所定バイトのデータと
を有している。
【0036】TCPデータDは、IPデータCにおける
所定バイトのデータを示すもので、2バイトの送元ポー
ト、2バイトの宛先ポート、4バイトの画素、4バイト
の受理番号、1バイトのフラグ、及び所定バイトのデー
タを有している。各レイヤにおける長さは、パケット長
を示す。
【0037】IPパケットは、パケット処理系の動作に
より、各レイヤにおけるa、b、cの選択が可能とされ
る。記録データAにおける8バイトのタイムスタンプ
は、本ログ保存装置34で付与するものであり、2バイ
トのタイプは、どのタイプの記録かを見るためのもの
で、最初の処理で設定しどのパケットに着目するかを指
定する。CD−Rには、シーケンシャルに書き込むた
め、先頭は必ずタイムスタンプとなる。
【0038】本実施形態例に係るログ保存装置34で
は、ネットワーク30上で得られる全てのデータをデー
タ書込み器51に書き換え不能の状態で保存することに
より、保存した全てのデータの改竄を確実に阻止するこ
とができる。また、制御装置49が、オートチェンジャ
52を制御して、書き込まれた読出しのみ可能な記録媒
体の順番の管理を行い、日付、時間、内容を検索するの
で、問題が発生した時間の前後のイベントを表示(報
知)することができる。これにより、データ書込み器5
1に記録されたデータを使用して、外部や内部からの不
正な使用や侵入の解析を円滑に行い、そのデータ解析に
基づいて、侵入に対する有効な対策を講じることができ
る。なお、ログ保存装置34は、ネットワークに限ら
ず、インターネット上においても同様に使用できること
は勿論である。
【0039】以上、本発明をその好適な実施形態例に基
づいて説明したが、本発明のログ保存装置は、上記実施
形態例の構成にのみ限定されるものでなく、上記実施形
態例の構成から種々の修正及び変更を施したログ保存装
置も、本発明の範囲に含まれる。
【0040】
【発明の効果】以上のように、本発明のログ保存装置に
よれば、インターネットやネットワーク上で得たデータ
を改竄されない状態で保存することができ、外部や内部
からの不正な使用や侵入の解析が可能になる。
【図面の簡単な説明】
【図1】本発明の一実施形態例に係るログ保存装置を示
すブロック図である。
【図2】本実施形態例における各レイヤを模式的に示す
図である。
【図3】従来のネットワークシステムにおけるログ解析
を示すブロック図である。
【符号の説明】
30 ネットワーク 31 OS・ソフトウェアシステム 32 NIC用ドライバ 33 カーネル 34 ログ保存装置 35 Syslog 36 物理層i/f 37 リンク層 39、40 処理系 41 パケット・タイム・スタンプ 42 タイマ 43 一次高速メモリ 45 二次ストレージ 49 制御装置 50 コンソール 51 データ書込み器 52 オートチェンジャ
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) G11B 20/10 311 H04L 11/08 27/00 11/26 H04L 12/22

Claims (3)

    【特許請求の範囲】
  1. 【請求項1】インターネット又はネットワークに接続さ
    れるログ保存装置であって、インターネット又はネット
    ワーク上のIPパケット及びヘッダを含むデータをその
    種類に拘わらず記録する第1の記録手段と、該第1の記
    録手段に記録されたデータを一時的に格納し、所定の大
    きさにブロック化して出力する第2の記録手段と、該第
    2の記録手段から出力されたブロック化データを書き換
    え不能に記録する第3の記録手段とを備えることを特徴
    とするログ保存装置。
  2. 【請求項2】第3の記録手段は、1回の書込みのみ可能
    なCD−R及び/又はDVD−Rから成る記録媒体と、
    書込み処理が終了したCD−R及び/又はDVD−Rを
    未使用のCD−R及び/又はDVD−Rに交換するオー
    トチェンジャとを備えることを特徴とする、請求項1に
    記載のログ保存装置。
  3. 【請求項3】第1、第2及び第3の記録手段を制御する
    制御手段を更に備え、該制御手段は、オートチェンジャ
    を制御して、書き込み済みの読出しのみ可能な記録媒体
    の順番を管理し、日付、時間、内容を検索することによ
    り、問題発生時の前後のイベントを報知することを特徴
    とする、請求項2に記載のログ保存装置。
JP2000302014A 2000-10-02 2000-10-02 ログ保存装置 Pending JP2002111667A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000302014A JP2002111667A (ja) 2000-10-02 2000-10-02 ログ保存装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000302014A JP2002111667A (ja) 2000-10-02 2000-10-02 ログ保存装置

Publications (1)

Publication Number Publication Date
JP2002111667A true JP2002111667A (ja) 2002-04-12

Family

ID=18783454

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000302014A Pending JP2002111667A (ja) 2000-10-02 2000-10-02 ログ保存装置

Country Status (1)

Country Link
JP (1) JP2002111667A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007058639A (ja) * 2005-08-25 2007-03-08 Hitachi Electronics Service Co Ltd 不正アクセス検知システム
JP2007096413A (ja) * 2005-09-27 2007-04-12 Seiko Instruments Inc パケット記録支援装置、パケット記録支援方法、及びパケット記録支援プログラム
JP2007173931A (ja) * 2005-12-19 2007-07-05 Mitsubishi Space Software Kk パケット解析システム、パケット解析方法およびパケット解析プログラム
US8214333B2 (en) 2005-10-18 2012-07-03 Hitachi, Ltd. Storage system for managing a log of access

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007058639A (ja) * 2005-08-25 2007-03-08 Hitachi Electronics Service Co Ltd 不正アクセス検知システム
JP2007096413A (ja) * 2005-09-27 2007-04-12 Seiko Instruments Inc パケット記録支援装置、パケット記録支援方法、及びパケット記録支援プログラム
US8214333B2 (en) 2005-10-18 2012-07-03 Hitachi, Ltd. Storage system for managing a log of access
US8732129B2 (en) 2005-10-18 2014-05-20 Hitachi, Ltd. Storage system for managing a log of access
JP2007173931A (ja) * 2005-12-19 2007-07-05 Mitsubishi Space Software Kk パケット解析システム、パケット解析方法およびパケット解析プログラム
JP4699893B2 (ja) * 2005-12-19 2011-06-15 三菱スペース・ソフトウエア株式会社 パケット解析システム、パケット解析プログラム、パケット解析方法及びパケット取得装置

Similar Documents

Publication Publication Date Title
US7561569B2 (en) Packet flow monitoring tool and method
US6453345B2 (en) Network security and surveillance system
EP3465987B1 (en) Logging of traffic in a computer network
US9143526B2 (en) Content filtering of remote file-system access protocols
US7051369B1 (en) System for monitoring network for cracker attack
EP2011013B1 (en) Merging multi-line log entries
US5778174A (en) Method and system for providing secured access to a server connected to a private computer network
US7552126B2 (en) Access record gateway
US7424735B2 (en) System and method for computer security using multiple cages
US7581136B2 (en) Method and apparatus for data recovery
TWI234707B (en) Method and system for responding to a computer intrusion
US8261349B2 (en) Router for preventing port scans and method utilizing the same
CN105005528B (zh) 一种日志信息提取方法及装置
CN110505235B (zh) 一种绕过云waf的恶意请求的检测系统及方法
JP4512179B2 (ja) ストレージ装置及びそのアクセス管理方法
JP2001057554A (ja) クラッカー監視システム
JP2002111667A (ja) ログ保存装置
US7565690B2 (en) Intrusion detection
JP2003208269A (ja) セキュリティ機構を備えた二次記憶装置およびそのアクセス制御方法
JP2006246195A (ja) ネットワーク情報収集システム、ネットワーク情報収集装置およびその制御方法
Grance et al. Guide to computer and network data analysis: Applying forensic techniques to incident response
JP4394806B2 (ja) バックアップ装置
CN108566377A (zh) 一种攻击事件取证方法、装置及存储介质
KR100868569B1 (ko) 네트워크 패킷 저장 장치 및 그 방법
CN106790241A (zh) 一种报文的处理方法及装置