JP2005012312A - イベントログ表示方法及びこれを用いた侵入検知システム - Google Patents
イベントログ表示方法及びこれを用いた侵入検知システム Download PDFInfo
- Publication number
- JP2005012312A JP2005012312A JP2003171759A JP2003171759A JP2005012312A JP 2005012312 A JP2005012312 A JP 2005012312A JP 2003171759 A JP2003171759 A JP 2003171759A JP 2003171759 A JP2003171759 A JP 2003171759A JP 2005012312 A JP2005012312 A JP 2005012312A
- Authority
- JP
- Japan
- Prior art keywords
- address
- event log
- events
- display
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】イベントログの把握を視覚的に容易に行うことが可能なイベントログ表示方法及びこれを用いた侵入検知システムを実現する。
【解決手段】インターネットからの不正アクセスを検知し不正アクセスを遮断する侵入検知システムのイベントログ表示方法であって、表示画面上の縦軸にイベントログから送信先IPアドレスを抽出して表示させ、表示画面上の横軸にイベントログから送信元IPアドレスを抽出して表示させ、イベントログから各IPアドレス間で発生したイベント数を計数し、各IPアドレス間に該当する表示画面上の縦軸と横軸との交差部分に計数したイベント数を表示させる。
【選択図】 図1
【解決手段】インターネットからの不正アクセスを検知し不正アクセスを遮断する侵入検知システムのイベントログ表示方法であって、表示画面上の縦軸にイベントログから送信先IPアドレスを抽出して表示させ、表示画面上の横軸にイベントログから送信元IPアドレスを抽出して表示させ、イベントログから各IPアドレス間で発生したイベント数を計数し、各IPアドレス間に該当する表示画面上の縦軸と横軸との交差部分に計数したイベント数を表示させる。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、インターネットからの不正アクセスを検知し当該不正アクセスを遮断する侵入検知システム(Intrusion Detection System:IDS)のイベントログ表示方法及びこれを用いた侵入検知システムに関し、特にイベントログの把握を視覚的に容易に行うことが可能なイベントログ表示方法及びこれを用いた侵入検知システムに関する。
【0002】
【従来の技術】
従来のインターネットからの不正アクセスを検知し当該不正アクセスを遮断する侵入検知システムのイベントログ表示方法及びこれを用いた侵入検知システムに関連する先行技術文献としては次のようなものがある。
【0003】
【特許文献1】
特開2001−217834号公報
【特許文献2】
特開2001−356939号公報
【特許文献3】
特開2003−067269号公報
【特許文献4】
特開2003−099339号公報
【0004】
図8はこのような従来のインターネットからの不正アクセスを検知し当該不正アクセスを遮断する侵入検知システムの一例を示す構成ブロック図である。
【0005】
図8において1はインターネット等の汎用のネットワーク、2は侵入検知システム、3は不正アクセスの対象となる機器の一例であるサーバである。侵入検知システム2の一方の入出力はネットワーク1に接続され、他方の入出力はサーバ3に接続される。
【0006】
ここで、図8に示す従来例の動作を図9及び図10を用いて説明する。図9は送信元IP(Internet Protocol)アドレス、送信先IPアドレス及びイベントの関係を示すイベントログ、図10は発生イベントと送信元IPアドレス及びポート、並びに、送信先IPアドレス及びポートの関係を示すイベントログである。
【0007】
侵入検知システム2はネットワーク1からのアクセスのイベントログを取得し、侵入検知システム2内の記憶手段(図示せず。)にイベントログを順次格納蓄積すると共に解析時には蓄積されたイベントログを図9若しくは図10に示すように表示手段(図示せず。)に適宜表示させる。
【0008】
例えば、図9中”LG11”に示すイベントログとしては、送信元のIPアドレス”23.10.32.57”から送信先のIPアドレス”10.0.100.13”に対してTCP(Transmission Control Protocol)ポートのスキャンが発生したことを示している。
【0009】
また、例えば、図9中”LG12”に示すイベントログとしては、送信元のIPアドレス”23.10.32.58”から送信先のIPアドレス”10.0.100.14”に対してHTTP(HyperText Transfer Protocol)によるデータの取得が発生したことを示している。
【0010】
一方、図10に示すイベントログでは、例えば、図10中”LG21”、”LG22”、”LG23”及び”LG24”に示すように複数のIPアドレス”10.0.0.100〜103”から1つのIPアドレス”10.0.1.10”に対してTCPポートのスキャンが発生したことを示している。
【0011】
侵入検知システム2では蓄積されたイベントログを解析して正常なアクセスであるか不正アクセスであるかを判断し、正常なアクセスを通過させ、不正アクセスを遮断させる措置を講じる。
【0012】
例えば、図8中”NA01”に示すネットワーク1からの正常なアクセスは、侵入検知システム2を通過して、図8中”NA02”に示すようにサーバ3まで到達し、一方、図8中”AA01”に示すネットワーク1からの不正アクセスは侵入検知システム2によって遮断され、サーバ3までは到達しない。
【0013】
この結果、侵入検知システム2ではアクセスのイベントログを格納蓄積して当該イベントログを解析して正常なアクセスであるか不正アクセスであるかを判断し、正常なアクセスを通過させ、不正アクセスを遮断させる措置を講じることにより、不正アクセスからサーバ3を守ることを可能にする。
【0014】
【発明が解決しようとする課題】
しかし、図8に示す従来例では図9に示すようなイベントログを表示した場合には各IPアドレス間の個別の発生イベントは把握できるものの、視覚的に各IPアドレス間で発生している全てのイベント数を的確に把握することは困難であると言った問題点があった。
【0015】
また、図8に示す従来例では図10に示すようなイベントログを表示した場合、非常に多数のIPアドレスからの1つのIPアドレスに不正アクセスを受けた際には非常に多くのイベントログが表示されることになり、表示手段(図示せず。)の表示画面上に収まらなかったりして、視覚的に1つのIPアドレスにおいて発生しているイベント数を的確に把握することは困難であると言った問題点があった。
従って本発明が解決しようとする課題は、イベントログの把握を視覚的に容易に行うことが可能なイベントログ表示方法及びこれを用いた侵入検知システムを実現することにある。
【0016】
【課題を解決するための手段】
このような課題を達成するために、本発明のうち請求項1記載の発明は、
インターネットからの不正アクセスを検知し不正アクセスを遮断する侵入検知システムのイベントログ表示方法であって、
表示画面上の縦軸にイベントログから送信先IPアドレスを抽出して表示させ、前記表示画面上の横軸に前記イベントログから送信元IPアドレスを抽出して表示させ、前記イベントログから各IPアドレス間で発生したイベント数を計数し、各IPアドレス間に該当する前記表示画面上の縦軸と横軸との交差部分に計数したイベント数を表示させることにより、送信先IPアドレスと送信元IPアドレスとの間で発生したアクセス数を視覚的に容易に把握することができる。
【0017】
請求項2記載の発明は、
請求項1記載の発明であるイベントログ表示方法であって、
発生したイベント数が閾値を超過した場合に前記交差部分を色分け表示させることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0018】
請求項3記載の発明は、
請求項1記載の発明であるイベントログ表示方法であって、
発生したイベント数が閾値を超過した場合に前記交差部分を強調表示させることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0019】
請求項4記載の発明は、
請求項1記載の発明であるイベントログ表示方法であって、
発生したイベント数が閾値を超過した場合に前記交差部分を点滅表示させることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0020】
請求項5記載の発明は、
インターネットからの不正アクセスを検知し当該不正アクセスを遮断する侵入検知システムのイベントログ表示方法であって、
イベントログから同一の送信元IPアドレス、若しくは、同一の送信先IPアドレスで同一イベントが複数発生していると判断した場合に、前記イベントログに基づき前記送信元IPアドレス、若しくは、前記送信先IPアドレスに対する同一イベント数を計数し、前記イベントログに基づき前記同一イベント数が発生した送信元IPアドレス、若しくは、送信先IPアドレスの数を計数し、表示画面上に前記イベント及び前記送信先IPアドレス、若しくは、前記送信元IPアドレスを表示させると共に同一行の前記送信元IPアドレス、若しくは、前記送信先IPアドレスの欄に複数箇所からのアクセスが存在する旨の表示させ、前記表示画面上のイベント数の欄に計数した前記イベント数を表示させ、前記表示画面上のホスト数の欄に計数した送信元IPアドレスの前記数を表示させることにより、視覚的に1つのIPアドレスにおいて発生しているイベント数を的確に把握することができる。
【0021】
請求項6記載の発明は、
請求項5記載の発明であるイベントログ表示方法であって、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を色分け表示させることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0022】
請求項7記載の発明は、
請求項5記載の発明であるイベントログ表示方法であって、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を強調表示させることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0023】
請求項8記載の発明は、
請求項5記載の発明であるイベントログ表示方法であって、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を点滅表示させることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0024】
請求項9記載の発明は、
請求項5記載の発明であるイベントログ表示方法であって、
前記複数箇所からのアクセスが存在する旨の表示を色分け表示させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【0025】
請求項10記載の発明は、
請求項5記載の発明であるイベントログ表示方法であって、
複数箇所からのアクセスが存在する旨の表示を強調表示させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【0026】
請求項11記載の発明は、
請求項5記載の発明であるイベントログ表示方法であって、
複数箇所からのアクセスが存在する旨の表示を点滅表示させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【0027】
請求項12記載の発明は、
インターネットからの不正アクセスを検知し不正アクセスを遮断する侵入検知システムにおいて、
前記インターネットと、前記不正アクセスの対象となる機器との間でそれぞれ通信を行う通信手段と、記憶手段と、表示手段と、前記通信手段を介してイベントログを取得して前記記憶手段に格納蓄積すると共に、前記表示手段の表示画面上の縦軸にイベントログから送信先IPアドレスを抽出して表示させ、前記表示画面上の横軸に前記イベントログから送信元IPアドレスを抽出して表示させ、前記イベントログから各IPアドレス間で発生したイベント数を計数し、各IPアドレス間に該当する前記表示画面上の縦軸と横軸との交差部分に計数したイベント数を表示させる演算制御手段とを備えたことにより、送信先IPアドレスと送信元IPアドレスとの間で発生したアクセス数を視覚的に容易に把握することができる。
【0028】
請求項13記載の発明は、
請求項12記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
発生したイベント数が閾値を超過した場合に前記交差部分を色分け表示させることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0029】
請求項14記載の発明は、
請求項12記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
発生したイベント数が閾値を超過した場合に前記交差部分を強調表示させることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0030】
請求項15記載の発明は、
請求項12記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
発生したイベント数が閾値を超過した場合に前記交差部分を点滅表示させることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0031】
請求項16記載の発明は、
インターネットからの不正アクセスを検知し不正アクセスを遮断する侵入検知システムにおいて、
前記インターネットと、前記不正アクセスの対象となる機器との間でそれぞれ通信を行う通信手段と、記憶手段と、表示手段と、前記通信手段を介してイベントログを取得して前記記憶手段に格納蓄積すると共に、イベントログから同一の送信元IPアドレス、若しくは、同一の送信先IPアドレスで同一イベントが複数発生していると判断した場合に、前記イベントログに基づき前記送信元IPアドレス、若しくは、前記送信先IPアドレスに対する同一イベント数を計数し、前記イベントログに基づき前記同一イベント数が発生した送信元IPアドレス、若しくは、送信先IPアドレスの数を計数し、前記表示手段の表示画面上に前記イベント及び前記送信先IPアドレス、若しくは、前記送信元IPアドレスを表示させると共に同一行の前記送信元IPアドレス、若しくは、前記送信先IPアドレスの欄に複数箇所からのアクセスが存在する旨の表示させ、前記表示画面上のイベント数の欄に計数した前記イベント数を表示させ、前記表示画面上のホスト数の欄に計数した送信元IPアドレスの前記数を表示させる演算制御手段とを備えたことにより、視覚的に1つのIPアドレスにおいて発生しているイベント数を的確に把握することができる。
【0032】
請求項17記載の発明は、
請求項16記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を色分け表示させることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0033】
請求項18記載の発明は、
請求項16記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を強調表示させることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0034】
請求項19記載の発明は、
請求項16記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を点滅表示させることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0035】
請求項20記載の発明は、
請求項16記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
前記複数箇所からのアクセスが存在する旨の表示を色分け表示させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【0036】
請求項21記載の発明は、
請求項16記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
複数箇所からのアクセスが存在する旨の表示を強調表示させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【0037】
請求項22記載の発明は、
請求項16記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
複数箇所からのアクセスが存在する旨の表示を点滅表示させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【0038】
【発明の実施の形態】
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るイベントログ表示方法及びこれを用いた侵入検知システムの一実施例を示す構成ブロック図である。
【0039】
図1において1及び3は図8と同一符号を付してあり、4はネットワーク1及びサーバ3との間でそれぞれ通信を行う通信手段、5はCPU(Central Processing Unit)等の演算制御手段、6はイベントログが格納蓄積等される記憶手段、7はCRT(Cathode Ray Tube)やLCD(Liquid Crystal Display)等の表示手段である。また、4,5,6及び7は侵入検知システム50を構成している。
【0040】
通信手段4の一方の入出力はネットワーク1に接続され、他方の入出力はサーバ3に接続され、通信手段4は演算制御手段5に相互に接続される。演算制御手段5の入出力は記憶手段6に接続され、演算制御手段5の出力は表示手段7に接続される。
【0041】
ここで、図1に示す実施例の動作を図2,図3,図4,図5,図6及び図7を用いて説明する。図2及び図6は演算制御手段5の動作を説明するフロー図、図3,図4,図5及び図7は表示手段7に表示されるイベントログの一例を示す説明図である。
【0042】
演算制御手段5はネットワーク1からサーバ3に対するアクセスのイベントログを通信手段4を介して取得し、記憶手段6に当該イベントログを順次格納蓄積すると共に解析時には蓄積されたイベントログを表示手段7に適宜表示させる。
【0043】
図2中”S001”において演算制御手段5は表示手段7の表示画面上の縦軸に記憶手段6に格納蓄積されているイベントログから送信先IPアドレスを抽出して表示させる。
【0044】
同時に、図2中”S002”において演算制御手段5は表示手段7の表示画面上の横軸に記憶手段6に格納蓄積されているイベントログから送信元IPアドレスを抽出して表示させる。
【0045】
例えば、図3に示すように演算制御手段5は表示手段7の表示画面上の縦軸に送信先IPアドレスを”23.10.32.56”、”10.0.100.13”…と言うように表示させると共に横軸に送信元IPアドレスを”10.0.100.12”、”23.10.32.57”…と言うように表示させる。
【0046】
そして、図2中”S003”において演算制御手段5は記憶手段6に格納蓄積されているイベントログから各IPアドレス間で発生したイベント数を計数し、各IPアドレス間に該当する表示手段7の表示画面上の縦軸と横軸との交差部分に計数したイベント数を表示させる。
【0047】
例えば,図3中”SR31”に示すように演算制御手段5はイベントログに基づき送信元IPアドレス”10.0.100.16”と、送信先IPアドレス”23.10.32.56”,”10.0.100.13”…”10.0.1100.96”との間でそれぞれ発生したイベント数を”0”,”20”,”50”,”25”,”31”,”99”、”0”及び”0”と表示させる。
【0048】
この場合、図3中”SR31”に示すように送信元IPアドレス”10.0.100.16”から、送信先IPアドレス”10.0.100.13”,”10.0.100.14”,”10.0.100.15”,”23.10.32.60”及び”23.10.32.61”に対して”20”,”50”,”25”,”31”及び”99”と言ったイベント数が発生していることを視覚的に把握することが可能になる。
【0049】
また、例えば、図4に示すように演算制御手段5は表示手段7の表示画面上の縦軸に送信先IPアドレスを”23.10.32.56”、”10.0.100.13”…と言うように表示させると共に横軸に送信元IPアドレスを”10.0.100.12”、”23.10.32.57”…と言うように表示させる。
【0050】
図4中”DS41”に示すように演算制御手段5はイベントログに基づき送信元IPアドレス”10.0.100.12”、”23.10.32.57”…”10.0.0.16”と、送信先IPアドレス”23.10.32.61”との間でそれぞれ発生したイベント数を”0”,”20”,”51”,”33”,”35”,”28”,”0”及び”0”と表示させる。
【0051】
この場合、図4中”DS41”に示すように複数の送信元IPアドレス”23.100.32.57”,”23.10.32.58”,”23.10.32.59”,”10.0.100.16”及び”10.0.100.17”から、1つの送信先IPアドレス”23.100.32.61”に対して”20”,”51”,”33”,”35”及び”28”と言ったイベント数が発生していることを視覚的に把握することが可能になる。
【0052】
また、発生したイベント数に応じて色分け表示、数字の太さやポイント数の変更による強調表示若しくは点滅表示等させることにより、所定の閾値を超過したイベント数を段階的に表示させたり、強調させたりしても構わない。
【0053】
例えば、図5中”CL51”に示すようにイベント数が”100”を超過したものに関してはイベント数として”##”と表示させると共に表示部分の色を”赤色”で表示させ、図5中”CL52”及び”CL53”に示すようにイベント数が”50”を超過したものに関してはイベント数をそのまま表示させると共に表示部分の色を”黄色”で表示させる。
【0054】
また、例えば、図5中”CL51”に示す部分に関しては点滅表示させてさらに強調しても良い。
【0055】
この場合には、各交差部分のイベント数を確認することなく、”表示色”や”点滅状況”を確認することにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0056】
この結果、縦軸及び横軸に送信先IPアドレス及び送信元IPアドレスを表示させて縦軸と横軸との交差部分に当該IPアドレス間で発生したイベント数を表示させることにより、図9に示す従来例と比較して送信先IPアドレスと送信元IPアドレスとの間で発生したアクセス数を視覚的に容易に把握することができる。
【0057】
また、発生したイベント数に応じて色分け表示、強調表示若しくは点滅表示等させることにより、具体的には、所定の閾値を超過したイベント数を色分けして段階的に表示させたり、強調させたりすることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0058】
一方、図6中”S101”において演算制御手段5は記憶手段6に格納蓄積されているイベントログを読み込み、同一の送信先IPアドレスで同一イベントが複数発生しているか否かを判断する。
【0059】
もし、図6中”S101”において同一の送信先IPアドレスで同一イベントが複数発生していると判断した場合には、図6中”S102”において演算制御手段5は読み込んだイベントログに基づき当該送信先IPアドレスに対する同一イベントの数を計数する。
【0060】
同時に、図6中”S103”において演算制御手段5は読み込んだイベントログに基づき当該同一イベント数を発生させた送信元IPアドレスの数(ホスト数)を計数する。
【0061】
例えば、図10に示す従来例では、送信先IPアドレス”10.0.1.10”に対して異なる4つの送信元IPアドレスから4件の”TCP_Port_Scan”という同一イベントが発生しているので、この場合には演算制御手段5はイベント数及びホスト数をそれぞれ”4”及び”4”と計数することになる。
【0062】
そして、図6中”S104”において演算制御手段5は表示手段7の表示画面上に”発生イベント”及び送信先IPアドレスを表示させると共に同一行の送信元IPアドレスの欄に複数箇所からのアクセスが存在する旨の”any”を表示させる。
【0063】
最後に、図6中”S105”において演算制御手段5は表示手段7の表示画面上のイベント数の欄に計数したイベント数を表示させ、図6中”S106”において演算制御手段5は表示手段7の表示画面上のホスト数の欄に計数した送信元IPアドレスの数(ホスト数)を表示させる。
【0064】
例えば、図10に示す従来例に適用すれば、図7中”SR61”に示す送信元IPアドレスの欄に”any”が表示され、図7中”EV61”及び”HS61”に示すイベント数の欄及びホスト数の欄に計数したイベント数”4”及び送信元IPアドレスの数(ホスト数)”4”が表示される。
【0065】
この結果、同一の送信先IPアドレスで同一イベントが複数発生している場合には、送信元IPアドレスを1つの”any”と言う表現で表示し、当該送信先IPアドレスに対する同一イベント数及び当該同一イベントを発生させた送信元IPアドレスの数(ホスト数)をそれぞれ計数して表示させることにより、図10に示す従来例と比較して視覚的に1つのIPアドレスにおいて発生しているイベント数を的確に把握することができる。
【0066】
なお、図3〜図5に示す実施例の表示例に際しては縦軸及び横軸に送信先IPアドレス及び送信元IPアドレスを表示させて縦軸と横軸との交差部分に当該IPアドレス間で発生したイベント数を表示させる、言い換えれば、2次元的に表示していたが、イベント数の部分を棒グラフ(ヒストグラム)的に表示して3次元的に表示しても構わない。
【0067】
また、図7に示す実施例の表示例に際しては、同一の送信先IPアドレスで同一イベントが複数発生している場合には、送信元IPアドレスを1つの”any”と言う表現で表示させているが、複数箇所からのアクセスが存在する旨の表示であれば、当該表現に関しては何ら”any”に限定されるものではない。
【0068】
また、図7に示す実施例の表示例に際しては、同一の送信先IPアドレスで同一イベントが複数発生している場合には、送信元IPアドレスを1つの”any”と言う表現で表示し、当該送信先IPアドレスに対する同一イベント数及び当該同一イベントを発生させた送信元IPアドレスの数(ホスト数)をそれぞれ計数して表示させているがその逆も勿論可能である。
【0069】
すなわち、同一の送信元IPアドレスからのアクセスで同一イベントが複数発生している場合には、送信先IPアドレスを1つの”any”と言う表現で表示し、当該送信元IPアドレスからのアクセスで発生した同一イベント数及び当該同一イベントが発生している送信先IPアドレスの数(ホスト数)をそれぞれ計数して表示させることも可能である。
【0070】
また、図7に示す表示に際して、図3〜図5に示す実施例の表示例と同様に発生したイベント数、若しくは、ホスト数に応じて色分け表示、強調表示若しくは点滅表示等させることにより、具体的には、イベント数、若しくは、ホスト数が所定の閾値を超過した場合にイベント数、若しくは、ホスト数を色分けして段階的に表示させたり、強調させたりすることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0071】
さらに、図7に示す表示に際して、送信元IPアドレス、或いは、送信先IPアドレスを1つで表現する”any”を色分け表示、強調表示若しくは点滅表示等させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【0072】
【発明の効果】
以上説明したことから明らかなように、本発明によれば次のような効果がある。
請求項1及び請求項12の発明によれば、縦軸及び横軸に送信先IPアドレス及び送信元IPアドレスを表示させて縦軸と横軸との交差部分に当該IPアドレス間で発生したイベント数を表示させることにより、送信先IPアドレスと送信元IPアドレス間で発生したアクセス数を視覚的に容易に把握することができる。
【0073】
また、請求項2,3,4,13,14及び請求項15の発明によれば、発生したイベント数に応じて色分け表示、強調表示若しくは点滅表示等させることにより、具体的には、所定の閾値を超過したイベント数を色分けして段階的に表示させたり、強調させたりすることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0074】
また、請求項5及び請求項16の発明によれば、同一の送信先IPアドレスで同一イベントが複数発生している場合には、送信元IPアドレスを1つの表現で表示し、当該送信先IPアドレスに対する同一イベント数及び当該同一イベントを発生させた送信元IPアドレスの数(ホスト数)をそれぞれ計数して表示させることにより、視覚的に1つのIPアドレスにおいて発生しているイベント数を的確に把握することができる。
【0075】
また、請求項6,7,8,17,18及び請求項19の発明によれば、発生したイベント数、若しくは、ホスト数に応じて色分け表示、強調表示若しくは点滅表示等させることにより、具体的には、イベント数、若しくは、ホスト数が所定の閾値を超過した場合にイベント数、若しくは、ホスト数を色分けして段階的に表示させたり、強調させたりすることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0076】
また、請求項9,10,11,20,21及び請求項22の発明によれば、送信元IPアドレス、或いは、送信先IPアドレスを1つで表現する表示を色分け表示、強調表示若しくは点滅表示等させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【図面の簡単な説明】
【図1】本発明に係るイベントログ表示方法及びこれを用いた侵入検知システムの一実施例を示す構成ブロック図である。
【図2】演算制御手段の動作を説明するフロー図である。
【図3】表示手段に表示されるイベントログの一例を示す説明図である。
【図4】表示手段に表示されるイベントログの一例を示す説明図である。
【図5】表示手段に表示されるイベントログの一例を示す説明図である。
【図6】演算制御手段の動作を説明するフロー図である。
【図7】表示手段に表示されるイベントログの一例を示す説明図である。
【図8】従来のインターネットからの不正アクセス等を検知し当該不正アクセス等を遮断する侵入検知システムの一例を示す構成ブロック図である。
【図9】送信元IPアドレス、送信先IPアドレス及びイベントの関係を示すイベントログである。
【図10】発生イベントと送信元IPアドレス及びポート、並びに、送信先IPアドレス及びポートの関係を示すイベントログである。
【符号の説明】
1 ネットワーク
2,50 侵入検知システム
3 サーバ
4 通信手段
5 演算制御手段
6 記憶手段
7 表示手段
【発明の属する技術分野】
本発明は、インターネットからの不正アクセスを検知し当該不正アクセスを遮断する侵入検知システム(Intrusion Detection System:IDS)のイベントログ表示方法及びこれを用いた侵入検知システムに関し、特にイベントログの把握を視覚的に容易に行うことが可能なイベントログ表示方法及びこれを用いた侵入検知システムに関する。
【0002】
【従来の技術】
従来のインターネットからの不正アクセスを検知し当該不正アクセスを遮断する侵入検知システムのイベントログ表示方法及びこれを用いた侵入検知システムに関連する先行技術文献としては次のようなものがある。
【0003】
【特許文献1】
特開2001−217834号公報
【特許文献2】
特開2001−356939号公報
【特許文献3】
特開2003−067269号公報
【特許文献4】
特開2003−099339号公報
【0004】
図8はこのような従来のインターネットからの不正アクセスを検知し当該不正アクセスを遮断する侵入検知システムの一例を示す構成ブロック図である。
【0005】
図8において1はインターネット等の汎用のネットワーク、2は侵入検知システム、3は不正アクセスの対象となる機器の一例であるサーバである。侵入検知システム2の一方の入出力はネットワーク1に接続され、他方の入出力はサーバ3に接続される。
【0006】
ここで、図8に示す従来例の動作を図9及び図10を用いて説明する。図9は送信元IP(Internet Protocol)アドレス、送信先IPアドレス及びイベントの関係を示すイベントログ、図10は発生イベントと送信元IPアドレス及びポート、並びに、送信先IPアドレス及びポートの関係を示すイベントログである。
【0007】
侵入検知システム2はネットワーク1からのアクセスのイベントログを取得し、侵入検知システム2内の記憶手段(図示せず。)にイベントログを順次格納蓄積すると共に解析時には蓄積されたイベントログを図9若しくは図10に示すように表示手段(図示せず。)に適宜表示させる。
【0008】
例えば、図9中”LG11”に示すイベントログとしては、送信元のIPアドレス”23.10.32.57”から送信先のIPアドレス”10.0.100.13”に対してTCP(Transmission Control Protocol)ポートのスキャンが発生したことを示している。
【0009】
また、例えば、図9中”LG12”に示すイベントログとしては、送信元のIPアドレス”23.10.32.58”から送信先のIPアドレス”10.0.100.14”に対してHTTP(HyperText Transfer Protocol)によるデータの取得が発生したことを示している。
【0010】
一方、図10に示すイベントログでは、例えば、図10中”LG21”、”LG22”、”LG23”及び”LG24”に示すように複数のIPアドレス”10.0.0.100〜103”から1つのIPアドレス”10.0.1.10”に対してTCPポートのスキャンが発生したことを示している。
【0011】
侵入検知システム2では蓄積されたイベントログを解析して正常なアクセスであるか不正アクセスであるかを判断し、正常なアクセスを通過させ、不正アクセスを遮断させる措置を講じる。
【0012】
例えば、図8中”NA01”に示すネットワーク1からの正常なアクセスは、侵入検知システム2を通過して、図8中”NA02”に示すようにサーバ3まで到達し、一方、図8中”AA01”に示すネットワーク1からの不正アクセスは侵入検知システム2によって遮断され、サーバ3までは到達しない。
【0013】
この結果、侵入検知システム2ではアクセスのイベントログを格納蓄積して当該イベントログを解析して正常なアクセスであるか不正アクセスであるかを判断し、正常なアクセスを通過させ、不正アクセスを遮断させる措置を講じることにより、不正アクセスからサーバ3を守ることを可能にする。
【0014】
【発明が解決しようとする課題】
しかし、図8に示す従来例では図9に示すようなイベントログを表示した場合には各IPアドレス間の個別の発生イベントは把握できるものの、視覚的に各IPアドレス間で発生している全てのイベント数を的確に把握することは困難であると言った問題点があった。
【0015】
また、図8に示す従来例では図10に示すようなイベントログを表示した場合、非常に多数のIPアドレスからの1つのIPアドレスに不正アクセスを受けた際には非常に多くのイベントログが表示されることになり、表示手段(図示せず。)の表示画面上に収まらなかったりして、視覚的に1つのIPアドレスにおいて発生しているイベント数を的確に把握することは困難であると言った問題点があった。
従って本発明が解決しようとする課題は、イベントログの把握を視覚的に容易に行うことが可能なイベントログ表示方法及びこれを用いた侵入検知システムを実現することにある。
【0016】
【課題を解決するための手段】
このような課題を達成するために、本発明のうち請求項1記載の発明は、
インターネットからの不正アクセスを検知し不正アクセスを遮断する侵入検知システムのイベントログ表示方法であって、
表示画面上の縦軸にイベントログから送信先IPアドレスを抽出して表示させ、前記表示画面上の横軸に前記イベントログから送信元IPアドレスを抽出して表示させ、前記イベントログから各IPアドレス間で発生したイベント数を計数し、各IPアドレス間に該当する前記表示画面上の縦軸と横軸との交差部分に計数したイベント数を表示させることにより、送信先IPアドレスと送信元IPアドレスとの間で発生したアクセス数を視覚的に容易に把握することができる。
【0017】
請求項2記載の発明は、
請求項1記載の発明であるイベントログ表示方法であって、
発生したイベント数が閾値を超過した場合に前記交差部分を色分け表示させることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0018】
請求項3記載の発明は、
請求項1記載の発明であるイベントログ表示方法であって、
発生したイベント数が閾値を超過した場合に前記交差部分を強調表示させることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0019】
請求項4記載の発明は、
請求項1記載の発明であるイベントログ表示方法であって、
発生したイベント数が閾値を超過した場合に前記交差部分を点滅表示させることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0020】
請求項5記載の発明は、
インターネットからの不正アクセスを検知し当該不正アクセスを遮断する侵入検知システムのイベントログ表示方法であって、
イベントログから同一の送信元IPアドレス、若しくは、同一の送信先IPアドレスで同一イベントが複数発生していると判断した場合に、前記イベントログに基づき前記送信元IPアドレス、若しくは、前記送信先IPアドレスに対する同一イベント数を計数し、前記イベントログに基づき前記同一イベント数が発生した送信元IPアドレス、若しくは、送信先IPアドレスの数を計数し、表示画面上に前記イベント及び前記送信先IPアドレス、若しくは、前記送信元IPアドレスを表示させると共に同一行の前記送信元IPアドレス、若しくは、前記送信先IPアドレスの欄に複数箇所からのアクセスが存在する旨の表示させ、前記表示画面上のイベント数の欄に計数した前記イベント数を表示させ、前記表示画面上のホスト数の欄に計数した送信元IPアドレスの前記数を表示させることにより、視覚的に1つのIPアドレスにおいて発生しているイベント数を的確に把握することができる。
【0021】
請求項6記載の発明は、
請求項5記載の発明であるイベントログ表示方法であって、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を色分け表示させることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0022】
請求項7記載の発明は、
請求項5記載の発明であるイベントログ表示方法であって、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を強調表示させることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0023】
請求項8記載の発明は、
請求項5記載の発明であるイベントログ表示方法であって、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を点滅表示させることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0024】
請求項9記載の発明は、
請求項5記載の発明であるイベントログ表示方法であって、
前記複数箇所からのアクセスが存在する旨の表示を色分け表示させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【0025】
請求項10記載の発明は、
請求項5記載の発明であるイベントログ表示方法であって、
複数箇所からのアクセスが存在する旨の表示を強調表示させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【0026】
請求項11記載の発明は、
請求項5記載の発明であるイベントログ表示方法であって、
複数箇所からのアクセスが存在する旨の表示を点滅表示させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【0027】
請求項12記載の発明は、
インターネットからの不正アクセスを検知し不正アクセスを遮断する侵入検知システムにおいて、
前記インターネットと、前記不正アクセスの対象となる機器との間でそれぞれ通信を行う通信手段と、記憶手段と、表示手段と、前記通信手段を介してイベントログを取得して前記記憶手段に格納蓄積すると共に、前記表示手段の表示画面上の縦軸にイベントログから送信先IPアドレスを抽出して表示させ、前記表示画面上の横軸に前記イベントログから送信元IPアドレスを抽出して表示させ、前記イベントログから各IPアドレス間で発生したイベント数を計数し、各IPアドレス間に該当する前記表示画面上の縦軸と横軸との交差部分に計数したイベント数を表示させる演算制御手段とを備えたことにより、送信先IPアドレスと送信元IPアドレスとの間で発生したアクセス数を視覚的に容易に把握することができる。
【0028】
請求項13記載の発明は、
請求項12記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
発生したイベント数が閾値を超過した場合に前記交差部分を色分け表示させることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0029】
請求項14記載の発明は、
請求項12記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
発生したイベント数が閾値を超過した場合に前記交差部分を強調表示させることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0030】
請求項15記載の発明は、
請求項12記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
発生したイベント数が閾値を超過した場合に前記交差部分を点滅表示させることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0031】
請求項16記載の発明は、
インターネットからの不正アクセスを検知し不正アクセスを遮断する侵入検知システムにおいて、
前記インターネットと、前記不正アクセスの対象となる機器との間でそれぞれ通信を行う通信手段と、記憶手段と、表示手段と、前記通信手段を介してイベントログを取得して前記記憶手段に格納蓄積すると共に、イベントログから同一の送信元IPアドレス、若しくは、同一の送信先IPアドレスで同一イベントが複数発生していると判断した場合に、前記イベントログに基づき前記送信元IPアドレス、若しくは、前記送信先IPアドレスに対する同一イベント数を計数し、前記イベントログに基づき前記同一イベント数が発生した送信元IPアドレス、若しくは、送信先IPアドレスの数を計数し、前記表示手段の表示画面上に前記イベント及び前記送信先IPアドレス、若しくは、前記送信元IPアドレスを表示させると共に同一行の前記送信元IPアドレス、若しくは、前記送信先IPアドレスの欄に複数箇所からのアクセスが存在する旨の表示させ、前記表示画面上のイベント数の欄に計数した前記イベント数を表示させ、前記表示画面上のホスト数の欄に計数した送信元IPアドレスの前記数を表示させる演算制御手段とを備えたことにより、視覚的に1つのIPアドレスにおいて発生しているイベント数を的確に把握することができる。
【0032】
請求項17記載の発明は、
請求項16記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を色分け表示させることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0033】
請求項18記載の発明は、
請求項16記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を強調表示させることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0034】
請求項19記載の発明は、
請求項16記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を点滅表示させることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0035】
請求項20記載の発明は、
請求項16記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
前記複数箇所からのアクセスが存在する旨の表示を色分け表示させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【0036】
請求項21記載の発明は、
請求項16記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
複数箇所からのアクセスが存在する旨の表示を強調表示させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【0037】
請求項22記載の発明は、
請求項16記載の発明である侵入検知システムにおいて、
前記演算制御手段が、
複数箇所からのアクセスが存在する旨の表示を点滅表示させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【0038】
【発明の実施の形態】
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るイベントログ表示方法及びこれを用いた侵入検知システムの一実施例を示す構成ブロック図である。
【0039】
図1において1及び3は図8と同一符号を付してあり、4はネットワーク1及びサーバ3との間でそれぞれ通信を行う通信手段、5はCPU(Central Processing Unit)等の演算制御手段、6はイベントログが格納蓄積等される記憶手段、7はCRT(Cathode Ray Tube)やLCD(Liquid Crystal Display)等の表示手段である。また、4,5,6及び7は侵入検知システム50を構成している。
【0040】
通信手段4の一方の入出力はネットワーク1に接続され、他方の入出力はサーバ3に接続され、通信手段4は演算制御手段5に相互に接続される。演算制御手段5の入出力は記憶手段6に接続され、演算制御手段5の出力は表示手段7に接続される。
【0041】
ここで、図1に示す実施例の動作を図2,図3,図4,図5,図6及び図7を用いて説明する。図2及び図6は演算制御手段5の動作を説明するフロー図、図3,図4,図5及び図7は表示手段7に表示されるイベントログの一例を示す説明図である。
【0042】
演算制御手段5はネットワーク1からサーバ3に対するアクセスのイベントログを通信手段4を介して取得し、記憶手段6に当該イベントログを順次格納蓄積すると共に解析時には蓄積されたイベントログを表示手段7に適宜表示させる。
【0043】
図2中”S001”において演算制御手段5は表示手段7の表示画面上の縦軸に記憶手段6に格納蓄積されているイベントログから送信先IPアドレスを抽出して表示させる。
【0044】
同時に、図2中”S002”において演算制御手段5は表示手段7の表示画面上の横軸に記憶手段6に格納蓄積されているイベントログから送信元IPアドレスを抽出して表示させる。
【0045】
例えば、図3に示すように演算制御手段5は表示手段7の表示画面上の縦軸に送信先IPアドレスを”23.10.32.56”、”10.0.100.13”…と言うように表示させると共に横軸に送信元IPアドレスを”10.0.100.12”、”23.10.32.57”…と言うように表示させる。
【0046】
そして、図2中”S003”において演算制御手段5は記憶手段6に格納蓄積されているイベントログから各IPアドレス間で発生したイベント数を計数し、各IPアドレス間に該当する表示手段7の表示画面上の縦軸と横軸との交差部分に計数したイベント数を表示させる。
【0047】
例えば,図3中”SR31”に示すように演算制御手段5はイベントログに基づき送信元IPアドレス”10.0.100.16”と、送信先IPアドレス”23.10.32.56”,”10.0.100.13”…”10.0.1100.96”との間でそれぞれ発生したイベント数を”0”,”20”,”50”,”25”,”31”,”99”、”0”及び”0”と表示させる。
【0048】
この場合、図3中”SR31”に示すように送信元IPアドレス”10.0.100.16”から、送信先IPアドレス”10.0.100.13”,”10.0.100.14”,”10.0.100.15”,”23.10.32.60”及び”23.10.32.61”に対して”20”,”50”,”25”,”31”及び”99”と言ったイベント数が発生していることを視覚的に把握することが可能になる。
【0049】
また、例えば、図4に示すように演算制御手段5は表示手段7の表示画面上の縦軸に送信先IPアドレスを”23.10.32.56”、”10.0.100.13”…と言うように表示させると共に横軸に送信元IPアドレスを”10.0.100.12”、”23.10.32.57”…と言うように表示させる。
【0050】
図4中”DS41”に示すように演算制御手段5はイベントログに基づき送信元IPアドレス”10.0.100.12”、”23.10.32.57”…”10.0.0.16”と、送信先IPアドレス”23.10.32.61”との間でそれぞれ発生したイベント数を”0”,”20”,”51”,”33”,”35”,”28”,”0”及び”0”と表示させる。
【0051】
この場合、図4中”DS41”に示すように複数の送信元IPアドレス”23.100.32.57”,”23.10.32.58”,”23.10.32.59”,”10.0.100.16”及び”10.0.100.17”から、1つの送信先IPアドレス”23.100.32.61”に対して”20”,”51”,”33”,”35”及び”28”と言ったイベント数が発生していることを視覚的に把握することが可能になる。
【0052】
また、発生したイベント数に応じて色分け表示、数字の太さやポイント数の変更による強調表示若しくは点滅表示等させることにより、所定の閾値を超過したイベント数を段階的に表示させたり、強調させたりしても構わない。
【0053】
例えば、図5中”CL51”に示すようにイベント数が”100”を超過したものに関してはイベント数として”##”と表示させると共に表示部分の色を”赤色”で表示させ、図5中”CL52”及び”CL53”に示すようにイベント数が”50”を超過したものに関してはイベント数をそのまま表示させると共に表示部分の色を”黄色”で表示させる。
【0054】
また、例えば、図5中”CL51”に示す部分に関しては点滅表示させてさらに強調しても良い。
【0055】
この場合には、各交差部分のイベント数を確認することなく、”表示色”や”点滅状況”を確認することにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0056】
この結果、縦軸及び横軸に送信先IPアドレス及び送信元IPアドレスを表示させて縦軸と横軸との交差部分に当該IPアドレス間で発生したイベント数を表示させることにより、図9に示す従来例と比較して送信先IPアドレスと送信元IPアドレスとの間で発生したアクセス数を視覚的に容易に把握することができる。
【0057】
また、発生したイベント数に応じて色分け表示、強調表示若しくは点滅表示等させることにより、具体的には、所定の閾値を超過したイベント数を色分けして段階的に表示させたり、強調させたりすることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0058】
一方、図6中”S101”において演算制御手段5は記憶手段6に格納蓄積されているイベントログを読み込み、同一の送信先IPアドレスで同一イベントが複数発生しているか否かを判断する。
【0059】
もし、図6中”S101”において同一の送信先IPアドレスで同一イベントが複数発生していると判断した場合には、図6中”S102”において演算制御手段5は読み込んだイベントログに基づき当該送信先IPアドレスに対する同一イベントの数を計数する。
【0060】
同時に、図6中”S103”において演算制御手段5は読み込んだイベントログに基づき当該同一イベント数を発生させた送信元IPアドレスの数(ホスト数)を計数する。
【0061】
例えば、図10に示す従来例では、送信先IPアドレス”10.0.1.10”に対して異なる4つの送信元IPアドレスから4件の”TCP_Port_Scan”という同一イベントが発生しているので、この場合には演算制御手段5はイベント数及びホスト数をそれぞれ”4”及び”4”と計数することになる。
【0062】
そして、図6中”S104”において演算制御手段5は表示手段7の表示画面上に”発生イベント”及び送信先IPアドレスを表示させると共に同一行の送信元IPアドレスの欄に複数箇所からのアクセスが存在する旨の”any”を表示させる。
【0063】
最後に、図6中”S105”において演算制御手段5は表示手段7の表示画面上のイベント数の欄に計数したイベント数を表示させ、図6中”S106”において演算制御手段5は表示手段7の表示画面上のホスト数の欄に計数した送信元IPアドレスの数(ホスト数)を表示させる。
【0064】
例えば、図10に示す従来例に適用すれば、図7中”SR61”に示す送信元IPアドレスの欄に”any”が表示され、図7中”EV61”及び”HS61”に示すイベント数の欄及びホスト数の欄に計数したイベント数”4”及び送信元IPアドレスの数(ホスト数)”4”が表示される。
【0065】
この結果、同一の送信先IPアドレスで同一イベントが複数発生している場合には、送信元IPアドレスを1つの”any”と言う表現で表示し、当該送信先IPアドレスに対する同一イベント数及び当該同一イベントを発生させた送信元IPアドレスの数(ホスト数)をそれぞれ計数して表示させることにより、図10に示す従来例と比較して視覚的に1つのIPアドレスにおいて発生しているイベント数を的確に把握することができる。
【0066】
なお、図3〜図5に示す実施例の表示例に際しては縦軸及び横軸に送信先IPアドレス及び送信元IPアドレスを表示させて縦軸と横軸との交差部分に当該IPアドレス間で発生したイベント数を表示させる、言い換えれば、2次元的に表示していたが、イベント数の部分を棒グラフ(ヒストグラム)的に表示して3次元的に表示しても構わない。
【0067】
また、図7に示す実施例の表示例に際しては、同一の送信先IPアドレスで同一イベントが複数発生している場合には、送信元IPアドレスを1つの”any”と言う表現で表示させているが、複数箇所からのアクセスが存在する旨の表示であれば、当該表現に関しては何ら”any”に限定されるものではない。
【0068】
また、図7に示す実施例の表示例に際しては、同一の送信先IPアドレスで同一イベントが複数発生している場合には、送信元IPアドレスを1つの”any”と言う表現で表示し、当該送信先IPアドレスに対する同一イベント数及び当該同一イベントを発生させた送信元IPアドレスの数(ホスト数)をそれぞれ計数して表示させているがその逆も勿論可能である。
【0069】
すなわち、同一の送信元IPアドレスからのアクセスで同一イベントが複数発生している場合には、送信先IPアドレスを1つの”any”と言う表現で表示し、当該送信元IPアドレスからのアクセスで発生した同一イベント数及び当該同一イベントが発生している送信先IPアドレスの数(ホスト数)をそれぞれ計数して表示させることも可能である。
【0070】
また、図7に示す表示に際して、図3〜図5に示す実施例の表示例と同様に発生したイベント数、若しくは、ホスト数に応じて色分け表示、強調表示若しくは点滅表示等させることにより、具体的には、イベント数、若しくは、ホスト数が所定の閾値を超過した場合にイベント数、若しくは、ホスト数を色分けして段階的に表示させたり、強調させたりすることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0071】
さらに、図7に示す表示に際して、送信元IPアドレス、或いは、送信先IPアドレスを1つで表現する”any”を色分け表示、強調表示若しくは点滅表示等させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【0072】
【発明の効果】
以上説明したことから明らかなように、本発明によれば次のような効果がある。
請求項1及び請求項12の発明によれば、縦軸及び横軸に送信先IPアドレス及び送信元IPアドレスを表示させて縦軸と横軸との交差部分に当該IPアドレス間で発生したイベント数を表示させることにより、送信先IPアドレスと送信元IPアドレス間で発生したアクセス数を視覚的に容易に把握することができる。
【0073】
また、請求項2,3,4,13,14及び請求項15の発明によれば、発生したイベント数に応じて色分け表示、強調表示若しくは点滅表示等させることにより、具体的には、所定の閾値を超過したイベント数を色分けして段階的に表示させたり、強調させたりすることにより、多数のイベントが発生しているIPアドレス間を的確に把握することができる。
【0074】
また、請求項5及び請求項16の発明によれば、同一の送信先IPアドレスで同一イベントが複数発生している場合には、送信元IPアドレスを1つの表現で表示し、当該送信先IPアドレスに対する同一イベント数及び当該同一イベントを発生させた送信元IPアドレスの数(ホスト数)をそれぞれ計数して表示させることにより、視覚的に1つのIPアドレスにおいて発生しているイベント数を的確に把握することができる。
【0075】
また、請求項6,7,8,17,18及び請求項19の発明によれば、発生したイベント数、若しくは、ホスト数に応じて色分け表示、強調表示若しくは点滅表示等させることにより、具体的には、イベント数、若しくは、ホスト数が所定の閾値を超過した場合にイベント数、若しくは、ホスト数を色分けして段階的に表示させたり、強調させたりすることにより、多数のイベント、若しくは、ホストからのアクセスが発生していることを的確に把握することができる。
【0076】
また、請求項9,10,11,20,21及び請求項22の発明によれば、送信元IPアドレス、或いは、送信先IPアドレスを1つで表現する表示を色分け表示、強調表示若しくは点滅表示等させることにより、同一の送信元IPアドレス、或いは、送信先IPアドレスにおいて同一イベントが複数発生していることを的確に把握することができる。
【図面の簡単な説明】
【図1】本発明に係るイベントログ表示方法及びこれを用いた侵入検知システムの一実施例を示す構成ブロック図である。
【図2】演算制御手段の動作を説明するフロー図である。
【図3】表示手段に表示されるイベントログの一例を示す説明図である。
【図4】表示手段に表示されるイベントログの一例を示す説明図である。
【図5】表示手段に表示されるイベントログの一例を示す説明図である。
【図6】演算制御手段の動作を説明するフロー図である。
【図7】表示手段に表示されるイベントログの一例を示す説明図である。
【図8】従来のインターネットからの不正アクセス等を検知し当該不正アクセス等を遮断する侵入検知システムの一例を示す構成ブロック図である。
【図9】送信元IPアドレス、送信先IPアドレス及びイベントの関係を示すイベントログである。
【図10】発生イベントと送信元IPアドレス及びポート、並びに、送信先IPアドレス及びポートの関係を示すイベントログである。
【符号の説明】
1 ネットワーク
2,50 侵入検知システム
3 サーバ
4 通信手段
5 演算制御手段
6 記憶手段
7 表示手段
Claims (22)
- インターネットからの不正アクセスを検知し不正アクセスを遮断する侵入検知システムのイベントログ表示方法であって、
表示画面上の縦軸にイベントログから送信先IPアドレスを抽出して表示させ、
前記表示画面上の横軸に前記イベントログから送信元IPアドレスを抽出して表示させ、
前記イベントログから各IPアドレス間で発生したイベント数を計数し、各IPアドレス間に該当する前記表示画面上の縦軸と横軸との交差部分に計数したイベント数を表示させる
ことを特徴とするイベントログ表示方法。 - 発生したイベント数が閾値を超過した場合に前記交差部分を色分け表示させることを特徴とする
請求項1記載のイベントログ表示方法。 - 発生したイベント数が閾値を超過した場合に前記交差部分を強調表示させることを特徴とする
請求項1記載のイベントログ表示方法。 - 発生したイベント数が閾値を超過した場合に前記交差部分を点滅表示させることを特徴とする
請求項1記載のイベントログ表示方法。 - インターネットからの不正アクセスを検知し当該不正アクセスを遮断する侵入検知システムのイベントログ表示方法であって、
イベントログから同一の送信元IPアドレス、若しくは、同一の送信先IPアドレスで同一イベントが複数発生していると判断した場合に、
前記イベントログに基づき前記送信元IPアドレス、若しくは、前記送信先IPアドレスに対する同一イベント数を計数し、
前記イベントログに基づき前記同一イベント数が発生した送信元IPアドレス、若しくは、送信先IPアドレスの数を計数し、
表示画面上に前記イベント及び前記送信先IPアドレス、若しくは、前記送信元IPアドレスを表示させると共に同一行の前記送信元IPアドレス、若しくは、前記送信先IPアドレスの欄に複数箇所からのアクセスが存在する旨の表示させ、
前記表示画面上のイベント数の欄に計数した前記イベント数を表示させ、
前記表示画面上のホスト数の欄に計数した送信元IPアドレスの前記数を表示させる
ことを特徴とするイベントログ表示方法。 - 前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を色分け表示させることを特徴とする
請求項5記載のイベントログ表示方法。 - 前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を強調表示させることを特徴とする
請求項5記載のイベントログ表示方法。 - 前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を点滅表示させることを特徴とする
請求項5記載のイベントログ表示方法。 - 前記複数箇所からのアクセスが存在する旨の表示を色分け表示させることを特徴とする
請求項5記載のイベントログ表示方法。 - 複数箇所からのアクセスが存在する旨の表示を強調表示させることを特徴とする
請求項5記載のイベントログ表示方法。 - 複数箇所からのアクセスが存在する旨の表示を点滅表示させることを特徴とする
請求項5記載のイベントログ表示方法。 - インターネットからの不正アクセスを検知し不正アクセスを遮断する侵入検知システムにおいて、
前記インターネットと、前記不正アクセスの対象となる機器との間でそれぞれ通信を行う通信手段と、
記憶手段と、
表示手段と、
前記通信手段を介してイベントログを取得して前記記憶手段に格納蓄積すると共に、前記表示手段の表示画面上の縦軸にイベントログから送信先IPアドレスを抽出して表示させ、前記表示画面上の横軸に前記イベントログから送信元IPアドレスを抽出して表示させ、前記イベントログから各IPアドレス間で発生したイベント数を計数し、各IPアドレス間に該当する前記表示画面上の縦軸と横軸との交差部分に計数したイベント数を表示させる演算制御手段と
を備えたことを特徴とする侵入検知システム。 - 前記演算制御手段が、
発生したイベント数が閾値を超過した場合に前記交差部分を色分け表示させることを特徴とする
請求項12記載の侵入検知システム。 - 前記演算制御手段が、
発生したイベント数が閾値を超過した場合に前記交差部分を強調表示させることを特徴とする
請求項12記載の侵入検知システム。 - 前記演算制御手段が、
発生したイベント数が閾値を超過した場合に前記交差部分を点滅表示させることを特徴とする
請求項12記載の侵入検知システム。 - インターネットからの不正アクセスを検知し不正アクセスを遮断する侵入検知システムにおいて、
前記インターネットと、前記不正アクセスの対象となる機器との間でそれぞれ通信を行う通信手段と、
記憶手段と、
表示手段と、
前記通信手段を介してイベントログを取得して前記記憶手段に格納蓄積すると共に、イベントログから同一の送信元IPアドレス、若しくは、同一の送信先IPアドレスで同一イベントが複数発生していると判断した場合に、前記イベントログに基づき前記送信元IPアドレス、若しくは、前記送信先IPアドレスに対する同一イベント数を計数し、前記イベントログに基づき前記同一イベント数が発生した送信元IPアドレス、若しくは、送信先IPアドレスの数を計数し、前記表示手段の表示画面上に前記イベント及び前記送信先IPアドレス、若しくは、前記送信元IPアドレスを表示させると共に同一行の前記送信元IPアドレス、若しくは、前記送信先IPアドレスの欄に複数箇所からのアクセスが存在する旨の表示させ、前記表示画面上のイベント数の欄に計数した前記イベント数を表示させ、前記表示画面上のホスト数の欄に計数した送信元IPアドレスの前記数を表示させる演算制御手段と
を備えたことを特徴とする侵入検知システム。 - 前記演算制御手段が、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を色分け表示させることを特徴とする
請求項16記載の侵入検知システム。 - 前記演算制御手段が、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を強調表示させることを特徴とする
請求項16記載の侵入検知システム。 - 前記演算制御手段が、
前記イベント数、若しくは、前記数が所定の閾値を超過した場合に前記イベント数の欄、若しくは、前記ホスト数の欄を点滅表示させることを特徴とする
請求項16記載の侵入検知システム。 - 前記演算制御手段が、
前記複数箇所からのアクセスが存在する旨の表示を色分け表示させることを特徴とする
請求項16記載の侵入検知システム。 - 前記演算制御手段が、
複数箇所からのアクセスが存在する旨の表示を強調表示させることを特徴とする
請求項16記載の侵入検知システム。 - 前記演算制御手段が、
複数箇所からのアクセスが存在する旨の表示を点滅表示させることを特徴とする
請求項16記載の侵入検知システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003171759A JP2005012312A (ja) | 2003-06-17 | 2003-06-17 | イベントログ表示方法及びこれを用いた侵入検知システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003171759A JP2005012312A (ja) | 2003-06-17 | 2003-06-17 | イベントログ表示方法及びこれを用いた侵入検知システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005012312A true JP2005012312A (ja) | 2005-01-13 |
Family
ID=34096113
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003171759A Pending JP2005012312A (ja) | 2003-06-17 | 2003-06-17 | イベントログ表示方法及びこれを用いた侵入検知システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005012312A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2006077666A1 (ja) * | 2004-12-28 | 2008-06-19 | 国立大学法人京都大学 | 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体 |
US7681132B2 (en) | 2006-07-13 | 2010-03-16 | International Business Machines Corporation | System, method and program product for visually presenting data describing network intrusions |
JP2018081440A (ja) * | 2016-11-15 | 2018-05-24 | 富士通株式会社 | プログラム、情報処理装置及び情報処理方法 |
-
2003
- 2003-06-17 JP JP2003171759A patent/JP2005012312A/ja active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPWO2006077666A1 (ja) * | 2004-12-28 | 2008-06-19 | 国立大学法人京都大学 | 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体 |
US7681132B2 (en) | 2006-07-13 | 2010-03-16 | International Business Machines Corporation | System, method and program product for visually presenting data describing network intrusions |
JP2018081440A (ja) * | 2016-11-15 | 2018-05-24 | 富士通株式会社 | プログラム、情報処理装置及び情報処理方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2019095719A1 (zh) | 网络流量异常检测方法、装置、计算机设备和存储介质 | |
KR100885293B1 (ko) | 네트워크 보안 상황 표시 장치 및 그 방법 | |
CN108768943A (zh) | 一种检测异常账号的方法、装置及服务器 | |
CN105530138B (zh) | 一种数据监控方法及装置 | |
CN105491055B (zh) | 一种基于移动代理的网络主机异常事件检测方法 | |
KR20090065668A (ko) | 아이피 주소 분할 표시 장치 및 방법 | |
CN111600865B (zh) | 一种异常通信检测方法、装置及电子设备和存储介质 | |
JP2006121143A (ja) | パケット解析システム | |
JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
CN104836694B (zh) | 网络监控方法及装置 | |
CN108111487A (zh) | 一种安全监控方法及系统 | |
CN107347047A (zh) | 攻击防护方法和装置 | |
JP2008172548A (ja) | 不正アクセス情報収集システム | |
CN105516390B (zh) | 域名管理的方法和装置 | |
CN109831462A (zh) | 一种病毒检测方法及装置 | |
CN112738099B (zh) | 一种检测慢速攻击的方法、装置、存储介质和电子设备 | |
EP3534232A1 (en) | A safety monitoring method and apparatus for an industrial control system | |
CN104092588B (zh) | 一种基于SNMP与NetFlow结合的网络异常流量检测方法 | |
KR20220164458A (ko) | 네트워크 스위치 내에서 유연하고 효율적인 분석을 위한 방법 및 장치 | |
CN106921671A (zh) | 一种网络攻击的检测方法及装置 | |
CN107332802B (zh) | 一种防火墙策略监控方法及装置 | |
JP2005012312A (ja) | イベントログ表示方法及びこれを用いた侵入検知システム | |
KR101384618B1 (ko) | 노드 분석 기법을 이용한 위험요소 추출 시스템 | |
KR102211503B1 (ko) | 유해 ip 판단 방법 | |
KR101940512B1 (ko) | 공격특성 dna 분석 장치 및 그 방법 |