JP2005223870A - 通信パケットのログから不正通信を発見する方法とそのシステム - Google Patents
通信パケットのログから不正通信を発見する方法とそのシステム Download PDFInfo
- Publication number
- JP2005223870A JP2005223870A JP2004063132A JP2004063132A JP2005223870A JP 2005223870 A JP2005223870 A JP 2005223870A JP 2004063132 A JP2004063132 A JP 2004063132A JP 2004063132 A JP2004063132 A JP 2004063132A JP 2005223870 A JP2005223870 A JP 2005223870A
- Authority
- JP
- Japan
- Prior art keywords
- data
- communication
- definition
- port number
- search
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】膨大な量のパケットキャプチャのデータについて、最小の情報検索から異常を見つけ、そこから段階的に元のパケットキャプチャのデータを調査する方法を実現する。
【解決手段】パケットキャプチャからデータを取得して累積ログデータへ貯める通信ログ取得累積機構と累積ログデータから必要とされるデータを取り出し、用途に応じて、データ通信関連のデータと通信確認関連のデータとルーティング関連のデータに分配するログ取り出し・分類機構と、特に、ログ取り出し・分類機構はデータ通信関連のデータを読み、サービス提供タイプのデータとサービス要求タイプのデータに分配する。これらのデータをデータベースへ登録するデータの索引化機構がポート番号アクセス定義とカウント記録領域を使い、通信パケットをカウントし、このデータを並べ替えポート番号カウントファイルへ書き出す。
【選択図】なし
【解決手段】パケットキャプチャからデータを取得して累積ログデータへ貯める通信ログ取得累積機構と累積ログデータから必要とされるデータを取り出し、用途に応じて、データ通信関連のデータと通信確認関連のデータとルーティング関連のデータに分配するログ取り出し・分類機構と、特に、ログ取り出し・分類機構はデータ通信関連のデータを読み、サービス提供タイプのデータとサービス要求タイプのデータに分配する。これらのデータをデータベースへ登録するデータの索引化機構がポート番号アクセス定義とカウント記録領域を使い、通信パケットをカウントし、このデータを並べ替えポート番号カウントファイルへ書き出す。
【選択図】なし
Description
本発明は通信分野における通信記録の分析装置に関する発明である。
従来、通信パケットを分析する装置には、特定のパターンに一致する通信パケットを処理の対象にするIDS(Intrusion Detection System)と通信に使われる通信パケットすべてを記録するパケットキャプチャという2つの種類のソフトウェアがあった。
通信速度の速い回線においてパケットキャプチャを使うと、すべての通信を記録するため膨大なデータ量になる。このデータを直接、検索の対象にすると時間がかかり現実的ではなかった。それゆえ、索引化するなど特殊な仕組みが必要となった。また、IDS(Intrusion Detection System)は正常な通信であっても、定義したパターンに一致すれば異常だと検知し、異常な通信でも定義したパターンに一致しなければ、正常な通信として処理対象から外されるという弱点があった。この状態では、データから異常な通信を検索することができない。
上記の問題を解決するには、パケットキャプチャのデータの重要な部分を抽出、索引化し、それに付随した処理により異常な通信を効果的に検索する環境を作るしかない。図1と図2は本発明の構成を示すブロック図である。図1はパケットキャプチャ1のデータを索引化する仕組みであり、図2は索引化されたデータから検索表示を行う仕組みである。
図1は、パケットキャプチャ1からデータを取得して累積ログデータ3へ貯める通信ログ取得累積機構2と累積ログデータ3から必要とされるデータを取り出し、用途に応じて、TCPやUDPなどデータ通信関連のデータ5とICMPなどの通信確認関連のデータ8とARPやPPPOEなどルーティング関連のデータ9に分配するログ取り出し・分類機構4と、特に、ログ取り出し・分類機構4はデータ通信関連のデータ5を読み、サービス提供タイプのデータ6とサービス要求タイプのデータ7に分配する。これらのデータをデータベース(通信パケットテーブル)13へ登録するデータの索引化機構10により実現される。このとき、データの索引化機構10はポート番号アクセス定義11とカウント記録領域12を使い通信パケットをカウントし、すべての登録が終了した時に、カウント記録領域12のデータを並べ替えポート番号カウントファイル14へ記録領域12の内容を書き出す。
図2は、検索選択メニューのポート番号の表示順を決めるポート番号カウントファイル14と検索定義18と異常な通信の検索時、除外条件生成に利用するポート番号アクセス定義11と指令を入力する入力装置15とその指令を受け取り、データベース(通信パケットテーブル)13を検索し時系列表示の指示があれば、検索結果を時間順にまとめて表示装置16に表示する検索・時系列表示機構17により構成される。検索・時系列表示機構17はデータベース(通信パケットテーブル)13の元になったデータ通信関連のデータ5、通信確認関連のデータ8、ルーティング関連のデータ9、累積ログデータ3を表示する。
図1は、パケットキャプチャ1からデータを取得して累積ログデータ3へ貯める通信ログ取得累積機構2と累積ログデータ3から必要とされるデータを取り出し、用途に応じて、TCPやUDPなどデータ通信関連のデータ5とICMPなどの通信確認関連のデータ8とARPやPPPOEなどルーティング関連のデータ9に分配するログ取り出し・分類機構4と、特に、ログ取り出し・分類機構4はデータ通信関連のデータ5を読み、サービス提供タイプのデータ6とサービス要求タイプのデータ7に分配する。これらのデータをデータベース(通信パケットテーブル)13へ登録するデータの索引化機構10により実現される。このとき、データの索引化機構10はポート番号アクセス定義11とカウント記録領域12を使い通信パケットをカウントし、すべての登録が終了した時に、カウント記録領域12のデータを並べ替えポート番号カウントファイル14へ記録領域12の内容を書き出す。
図2は、検索選択メニューのポート番号の表示順を決めるポート番号カウントファイル14と検索定義18と異常な通信の検索時、除外条件生成に利用するポート番号アクセス定義11と指令を入力する入力装置15とその指令を受け取り、データベース(通信パケットテーブル)13を検索し時系列表示の指示があれば、検索結果を時間順にまとめて表示装置16に表示する検索・時系列表示機構17により構成される。検索・時系列表示機構17はデータベース(通信パケットテーブル)13の元になったデータ通信関連のデータ5、通信確認関連のデータ8、ルーティング関連のデータ9、累積ログデータ3を表示する。
本発明を利用することで膨大な量のパケットキャプチャのデータを初めから調べることはなくなり、最少の情報検索から通信の異常を見つけることが可能になる。データベースに登録されるデータは用途により分けられたものが登録されるので、その用途に特有な異常を別々に検索することが可能となり、異常発見の精度が向上する。同じ送信先ポート番号を持つ通信パケットをカウントすることで、自分のセンターに設置してあるサーバの通信において許されていないポート番号のアクセス量がわかり、それがポート番号の選択メニューの順番に反映されるので、アクセス(攻撃)の多いポート番号から調べる。若しくはアクセス(攻撃)の少ないポート番号から調べることが可能になる。また、異常な通信を検索する場合、正常な通信が除外される検索条件が生成されるので、より精度の高い検索を実行することができる。また、発見の難しいポートスキャンの検索条件が生成できるので、データベースの検索により、ピンポイントでポートスキャンの実態を把握できるようになる。
累積ログデータ3をそのままデータベース(通信パケットテーブル)13へ登録すると、データ量が多いため検索性能が低下する。そこで、ログ取り出し・分類機構4が累積ログデータ3から図18に示される代表的な部分を抽出すると共に通信の性質上、3つに分類しデータを生成する。1つはARP、PPPoEなど接続や通信経路に属する手順の通信で、ルーティング関連のデータ9である。2つ目はICMPなど接続の確認を目的とする手順の通信で、通信確認関連のデータ8である。3つ目はTCPやUDPなどデータ通信に重点を置いた手順の通信で、データ通信関連のデータ5である。このように用途に応じてデータを分離することによりデータ通信の異常を発見しやすくなる。通常のデータは異なるプロトコルが混合しているため、通信の前後関係が把握しにくかった。以上の分類は用途により分離しているわけで、プロトコルを固定しているわけではない。新たな手順が発明され利用されても、用途から見て、どれかの分類に入れられ処理する方式である。次に、データ通信関連のデータ5をサービス提供タイプのデータ6とサービス要求タイプのデータ7に分離する。
サービス提供タイプのデータ6とは自分のセンターでサーバを運用しインターネットへサービスを公開している時、これらサーバの通信を取り出したもの。逆に、サービス要求タイプのデータ7とは、自分のセンター内部のクライアントからファイアウォールを抜けてインターネット上のサーバと交信している通信を取り出したものを言う。
このように、データ通信関連のデータ5を2つのタイプに分離することで、異常な通信を検索しやすくなる。本発明は、上記の逆の場合、すなわち、初めにサービス提供タイプのデータ6とサービス要求タイプのデータ7に分離し、それを処理対象にする方式やサービス提供タイプのデータ6とサービス要求タイプのデータ7に分離後、さらに用途別に分離しデータ登録する場合も含むものとする。
サービス提供タイプのデータ6とサービス要求タイプのデータ7をデータベース(通信パケットテーブル)13へ登録する場合、サービス提供タイプのデータ6の場合は受信データ、サービス要求タイプのデータ7の場合は送信データを対象に登録する。これらのデータはインターネット上の攻撃や情報漏洩で良く利用されるリクエスト(要求)データを含むため、このデータを索引化することは、データベースのデータ量の削減と異常発見の近道となる。
データの索引化機構10はこれらのデータをデータベース(通信パケットテーブル)13に登録するが、このとき、登録するデータがサービス提供タイプのデータ6の場合、自分のセンターにあるサーバの通信記録なので、攻撃情報を把握しておく必要がある。
そのため、データの索引化機構10はポート番号アクセス定義11を参照し、カウント記録領域12を利用し、図4に示す手順により通信パケットの数をカウントする。この時、カウント記録領域12にある「送信先IPアドレスと送信先ポート番号」又は「プロトコル名と送信先ポート番号」と対になったカウンタが利用される。データの登録処理が終了した時、カウント記録領域12の情報をカウントの多い順又は少ない順に並べ替えポート番号カウントファイル14へ書き出す。
検索・時系列表示機構17はデータベース(通信パケットテーブル)13を検索する機能を持つが、データベースを構成するデータの検索だけでなく、ポート番号カウントファイル14により、通信を許していない送信先ポート番号を指定する検索選択メニューにおいてアクセスカウントの多い順又は少ない順で送信先ポート番号を表示できる。これにより、自分のセンターに設置してあるサーバの通信を許していないポート番号において、アクセスの多い順又は少ない順に送信先ポート番号をキーにした検索が行えるようになる。
検索定義18には「WEBアクセスの検索定義(図15)」、「WEB攻撃の検索定義(図16)」、「ユーザ専用の検索定義(図17)」の種類が存在し、検索・時系列表示機構17はこの定義を読み、選択メニューを表示装置16に表示する。この選択メニューから選択することで、これらの検索条件をデータベース(通信パケットテーブル)13を構成するデータの検索条件に追加して利用する。
特に「WEB攻撃の検索定義(図16)」、「ユーザ専用の検索定義(図17)」は異常な通信の検索に利用する場合が多い。この場合、正常な通信とみなされる通信パケットは検索から除外する必要がある。そこで検索・時系列表示機構17はポート番号アクセス定義11の「通常通信の定義(図10)」と「認可通信の定義(図11)」をもとに検索から除外する条件を生成し、異常な通信を検索する検索条件に付加する機能を持つ。この機能により高い検索精度が実現される。
検索・時系列表示機構17は他に、発見の難しいポートスキャンの検索条件の生成も行う。ポートスキャンとは、悪意を持つ者が目標のサーバへ侵入する場合、最初に行うもので、目標のサーバのポート番号が使用可能か判定する行為である。これは目標のサーバのポート番号へアクセスする形で行われる。短時間に目標のサーバのポート番号を変えてアクセスする行為もあれば、時間をおいて目標のサーバのポート番号を少しずつ変えアクセスする行為もある。一般に後者の発見が難しいとされている。このポートスキャンの特徴を参考にし「送信元IPアドレスが同じであり、送信先ポート番号が同じである通信パケットの数が一定数以下、且つ異なる送信先ポート番号の数が一定数以上」の検索条件を生成するか、データベース(通信パケットテーブル)13の通信パケットデータの送信元IPアドレスに範囲を持たせていた場合、「送信元IPアドレスが同じIPアドレス範囲にあり、送信先ポート番号が同じである通信パケットの数が一定数以下且つ異なる送信先ポート番号の数が一定数以上」の検索条件を生成し検索を行うことでポートスキャンを発見することができる。
検索・時系列表示機構17は図5の流れ図に示されるようにデータベース(通信パケットテーブル)13の元になったデータ通信関連のデータ5、通信確認関連のデータ8、ルーティング関連のデータ9、それらデータの元である累積ログデータ3へさかのぼりデータ表示ができる。
また、検索時に累積ログデータ3やデータ通信関連のデータ5、通信確認関連のデータ8、ルーティング関連のデータ9は必ずしも必要ではなく、参照の必要がない場合、別媒体に退避しておく。つまり、異常な通信の検索はデータベース(通信パケットテーブル)13のみあれば実行できる。そこから詳細な情報であるデータ通信関連のデータ5、通信確認関連のデータ8、ルーティング関連のデータ9、累積ログデータ3を参照したい場合、別媒体に退避したデータを復元して参照すればよい。別々のデータに分離する目的は、それぞれが退避可能であることも意味している。
以上の仕組みにより、膨大な量のパケットキャプチャのデータを初めから調べることをせず、最少の情報検索から異常を見つけ、そこから段階的に元のパケットキャプチャのデータを調査する方法を実現したのが本発明の主な特徴である。
サービス提供タイプのデータ6とは自分のセンターでサーバを運用しインターネットへサービスを公開している時、これらサーバの通信を取り出したもの。逆に、サービス要求タイプのデータ7とは、自分のセンター内部のクライアントからファイアウォールを抜けてインターネット上のサーバと交信している通信を取り出したものを言う。
このように、データ通信関連のデータ5を2つのタイプに分離することで、異常な通信を検索しやすくなる。本発明は、上記の逆の場合、すなわち、初めにサービス提供タイプのデータ6とサービス要求タイプのデータ7に分離し、それを処理対象にする方式やサービス提供タイプのデータ6とサービス要求タイプのデータ7に分離後、さらに用途別に分離しデータ登録する場合も含むものとする。
サービス提供タイプのデータ6とサービス要求タイプのデータ7をデータベース(通信パケットテーブル)13へ登録する場合、サービス提供タイプのデータ6の場合は受信データ、サービス要求タイプのデータ7の場合は送信データを対象に登録する。これらのデータはインターネット上の攻撃や情報漏洩で良く利用されるリクエスト(要求)データを含むため、このデータを索引化することは、データベースのデータ量の削減と異常発見の近道となる。
データの索引化機構10はこれらのデータをデータベース(通信パケットテーブル)13に登録するが、このとき、登録するデータがサービス提供タイプのデータ6の場合、自分のセンターにあるサーバの通信記録なので、攻撃情報を把握しておく必要がある。
そのため、データの索引化機構10はポート番号アクセス定義11を参照し、カウント記録領域12を利用し、図4に示す手順により通信パケットの数をカウントする。この時、カウント記録領域12にある「送信先IPアドレスと送信先ポート番号」又は「プロトコル名と送信先ポート番号」と対になったカウンタが利用される。データの登録処理が終了した時、カウント記録領域12の情報をカウントの多い順又は少ない順に並べ替えポート番号カウントファイル14へ書き出す。
検索・時系列表示機構17はデータベース(通信パケットテーブル)13を検索する機能を持つが、データベースを構成するデータの検索だけでなく、ポート番号カウントファイル14により、通信を許していない送信先ポート番号を指定する検索選択メニューにおいてアクセスカウントの多い順又は少ない順で送信先ポート番号を表示できる。これにより、自分のセンターに設置してあるサーバの通信を許していないポート番号において、アクセスの多い順又は少ない順に送信先ポート番号をキーにした検索が行えるようになる。
検索定義18には「WEBアクセスの検索定義(図15)」、「WEB攻撃の検索定義(図16)」、「ユーザ専用の検索定義(図17)」の種類が存在し、検索・時系列表示機構17はこの定義を読み、選択メニューを表示装置16に表示する。この選択メニューから選択することで、これらの検索条件をデータベース(通信パケットテーブル)13を構成するデータの検索条件に追加して利用する。
特に「WEB攻撃の検索定義(図16)」、「ユーザ専用の検索定義(図17)」は異常な通信の検索に利用する場合が多い。この場合、正常な通信とみなされる通信パケットは検索から除外する必要がある。そこで検索・時系列表示機構17はポート番号アクセス定義11の「通常通信の定義(図10)」と「認可通信の定義(図11)」をもとに検索から除外する条件を生成し、異常な通信を検索する検索条件に付加する機能を持つ。この機能により高い検索精度が実現される。
検索・時系列表示機構17は他に、発見の難しいポートスキャンの検索条件の生成も行う。ポートスキャンとは、悪意を持つ者が目標のサーバへ侵入する場合、最初に行うもので、目標のサーバのポート番号が使用可能か判定する行為である。これは目標のサーバのポート番号へアクセスする形で行われる。短時間に目標のサーバのポート番号を変えてアクセスする行為もあれば、時間をおいて目標のサーバのポート番号を少しずつ変えアクセスする行為もある。一般に後者の発見が難しいとされている。このポートスキャンの特徴を参考にし「送信元IPアドレスが同じであり、送信先ポート番号が同じである通信パケットの数が一定数以下、且つ異なる送信先ポート番号の数が一定数以上」の検索条件を生成するか、データベース(通信パケットテーブル)13の通信パケットデータの送信元IPアドレスに範囲を持たせていた場合、「送信元IPアドレスが同じIPアドレス範囲にあり、送信先ポート番号が同じである通信パケットの数が一定数以下且つ異なる送信先ポート番号の数が一定数以上」の検索条件を生成し検索を行うことでポートスキャンを発見することができる。
検索・時系列表示機構17は図5の流れ図に示されるようにデータベース(通信パケットテーブル)13の元になったデータ通信関連のデータ5、通信確認関連のデータ8、ルーティング関連のデータ9、それらデータの元である累積ログデータ3へさかのぼりデータ表示ができる。
また、検索時に累積ログデータ3やデータ通信関連のデータ5、通信確認関連のデータ8、ルーティング関連のデータ9は必ずしも必要ではなく、参照の必要がない場合、別媒体に退避しておく。つまり、異常な通信の検索はデータベース(通信パケットテーブル)13のみあれば実行できる。そこから詳細な情報であるデータ通信関連のデータ5、通信確認関連のデータ8、ルーティング関連のデータ9、累積ログデータ3を参照したい場合、別媒体に退避したデータを復元して参照すればよい。別々のデータに分離する目的は、それぞれが退避可能であることも意味している。
以上の仕組みにより、膨大な量のパケットキャプチャのデータを初めから調べることをせず、最少の情報検索から異常を見つけ、そこから段階的に元のパケットキャプチャのデータを調査する方法を実現したのが本発明の主な特徴である。
図1と図2は本発明の構成を示すブロック図である。図1はパケットキャプチャ1のデータを索引化する仕組みであり、図2は索引化されたデータから検索表示を行う仕組みである。まず、図1のデータを索引化する仕組みを説明する。図1のブロック図を構成する機構は図3と図4に示す流れ図に従って動作する。
処理ステップ1で、通信ログ取得累積機構2がパケットキャプチャ1からデータを取得し累積ログデータ3へ累積する。
処理ステップ2で、ログ取り出し・分類機構4が累積ログデータ3を読み、代表的なデータを取り出し、ルーティング関連のデータ9と通信確認関連のデータ8とデータ通信関連のデータ5に分ける。取り出されたデータの構成を図18に示す。
処理ステップ3で、ログ取り出し・分類機構4がデータ通信関連のデータ5を読み、サービス提供タイプのデータ6とサービス要求タイプのデータ7に分ける。具体的に言うとサービス提供タイプのデータ6とは自分のセンターに設置してあるサーバの通信データであり、サービス要求タイプのデータ7とは自分のセンター内部のクライアントからファイアウォールを抜けてインターネット上のサーバと通信するデータを言う。
処理ステップ4で、データの索引化機構10がポート番号アクセス定義11を読む。ポート番号アクセス定義11には「通常通信の定義(図10)」、「認可通信の定義(図11)」、「各ポート番号に対する通信の定義(図12)」がある。
処理ステップ5で、データの索引化機構10が「通常通信の定義(図10)」からカウント記録領域12上に図13の構成をもつカウンタを、「各ポート番号に対する通信の定義(図12)」から図14の構成をもつカウンタを作成し、カウント記録領域12に「認可通信の定義(図11)」を複製する。
以降、データの索引化機構10のカウント処理はカウント記録領域12を使って行われる。
以降、データの索引化機構10のカウント処理はカウント記録領域12を使って行われる。
処理ステップ6で、データの索引化機構10がサービス提供タイプのデータ6、サービス要求タイプのデータ7、通信確認関連のデータ8、ルーティング関連のデータ9を読み込み、データベース(通信パケットテーブル)13へ登録する。このとき、サービス提供タイプのデータ6の場合、図4の流れ図に従い、送信先ポート番号に着目し、該当する通信パケットの数を数え、カウント記録領域12上に記録する。
サービス提供タイプのデータ6の登録では受信データが登録され、サービス要求タイプのデータ7の登録では送信データが登録される。データベース(通信パケットテーブル)13は図19に示す構成になっている。
サービス提供タイプのデータ6の登録では受信データが登録され、サービス要求タイプのデータ7の登録では送信データが登録される。データベース(通信パケットテーブル)13は図19に示す構成になっている。
サービス提供タイプのデータ6をデータベース(通信パケットテーブル)13へ登録する場合、図4の流れ図に従い、登録する通信パケットを数える。
以降、図4の流れ図を説明する。処理ステップ8で、通信パケットがカウント記録領域12上の図13の項2(送信先IPアドレス)と項3(送信先ポート番号)に一致するか判定する。
一致(YES)の場合、処理ステップ9へ進む。
NOの場合、処理ステップ10へ進む。
一致(YES)の場合、処理ステップ9へ進む。
NOの場合、処理ステップ10へ進む。
処理ステップ9で、カウント記録領域12の図13の項2(送信先IPアドレス)と項3(送信先ポート番号)に対応するデータの項4(カウント数)をカウンアップする。
処理ステップ10で、通信パケットがカウント記録領域12上の「認可通信の定義(図11)」の項2(送信元ポート番号)と項3(送信先IPアドレス)に一致するか判定する。
一致(YES)の場合、通信パケットは異常とみなされないので図4の終了へ進む。NOの場合、処理ステップ11へ進む。
一致(YES)の場合、通信パケットは異常とみなされないので図4の終了へ進む。NOの場合、処理ステップ11へ進む。
処理ステップ11で、通信パケットがカウント記録領域12上の図14の項3(プロトコル名)と項4(送信先ポート番号)に一致するか判定する。
一致(YES)の場合、処理ステップ12へ進む。
NOの場合、処理ステップ13へ進む。
一致(YES)の場合、処理ステップ12へ進む。
NOの場合、処理ステップ13へ進む。
処理ステップ12で、カウント記録領域12の図14の項3(プロトコル名)と項2(送信先ポート番号)に対応するデータの項5(カウント数)をカウントアップする。
処理ステップ13で、通信パケットのプロトコル名、送信先ポート番号を図14の項3、項4に設定、項1に識別コード、項5に1、項2に「定義なし」を設定し、カウント記録領域12に新規カウンタを作成する。
以上、データの索引化機構10がサービス提供タイプのデータ6をデータベース(通信パケットテーブル)13へ登録する場合、図4の流れ図に従って、通信パケットをカウントしていく。すべてのデータの登録が終了すると、図3の処理ステップ7へ進む。
処理ステップ7で、データの索引化機構10がカウント記録領域12のデータをカウントの多い順又は少ない順に並べ替え、ポート番号カウントファイル14へ書き出す。以上が、図1のブロック図を構成する機構の処理の流れである。
次に、図2の索引化されたデータから検索表示を行う仕組みを説明する。図2のブロック図を構成する機構は図5に示す流れ図に従って動作する。図5はまた、図5の検索指令に対する前処理の流れ図図6と、図5の検索指令に対する本処理の流れ図図7と、図5のポートスキャンの検索指令に対する処理の流れ図図8と、図5のログ取り出し・分類機構が出力したデータの表示処理の流れ図図9を呼び出す。
処理ステップ14で、検索・時系列表示機構17がポート番号カウントファイル14を読み、ポート番号の検索選択メニューを表示装置16に表示する。
この時、データベース(通信パケットテーブル)13を構成するデータの検索選択メニューも同時に表示される。
この時、データベース(通信パケットテーブル)13を構成するデータの検索選択メニューも同時に表示される。
処理ステップ15で、検索・時系列表示機構17が検索定義18を読み、検索選択メニューを表示装置16に表示する。
処理ステップ16で、利用者が入力装置15から指示を入力する。
処理ステップ17で、処理ステップ16で入力された指令が終了か判定する。
終了(YES)の場合、検索・時系列表示機構17は終了する。
NOの場合、処理ステップ18へ進む。
終了(YES)の場合、検索・時系列表示機構17は終了する。
NOの場合、処理ステップ18へ進む。
処理ステップ18で、処理ステップ16で入力された指令が検索指令か判定する。
検索指令(YES)の場合、図6の処理ステップ23へ進む。
NOの場合、処理ステップ19へ進む。
検索指令(YES)の場合、図6の処理ステップ23へ進む。
NOの場合、処理ステップ19へ進む。
図6の処理ステップ23で、指令が「検索定義」の指定か判定する。ここから図6の流れを説明する。
「検索定義」の指定(YES)の場合、処理ステップ24へ進む。
NOの場合、処理ステップ25へ進む。
「検索定義」の指定(YES)の場合、処理ステップ24へ進む。
NOの場合、処理ステップ25へ進む。
処理ステップ24で、検索・時系列表示機構17が検索定義18の該当する定義から検索条件を生成し、もとの検索条件に追加する。検索定義18とは「WEBアクセスの検索定義(図15)」、「WEB攻撃の検索定義(図16)」「ユーザ専用の検索定義(図17)」である。指令には処理の対象にする検索定義が指定してあり、指定された検索定義から検索条件が作成され、データベース(通信パケットテーブル)13を構成するデータの検索条件に追加される。
処理ステップ25で、指令が異常な通信の検索か判定する。
異常な通信の検索の指定がある(YES)の場合、処理ステップ26へ進む。
NOの場合、図7の処理ステップ27へ進む。
異常な通信の検索の指定は検索定義11の「WEB攻撃の検索定義(図16)」と「ユーザ専用の検索定義(図17)」により指令が付加される場合、表示装置16に表示された選択から指定する場合と、図8の処理ステップ31に示すように処理の延長上で設定される場合がある。
異常な通信の検索の指定がある(YES)の場合、処理ステップ26へ進む。
NOの場合、図7の処理ステップ27へ進む。
異常な通信の検索の指定は検索定義11の「WEB攻撃の検索定義(図16)」と「ユーザ専用の検索定義(図17)」により指令が付加される場合、表示装置16に表示された選択から指定する場合と、図8の処理ステップ31に示すように処理の延長上で設定される場合がある。
処理ステップ26で、検索・時系列表示機構17が「通常通信の定義(図10)」と「認可通信の定義(図11)」を読み、「通常通信の定義(図10)」から「送信先IPアドレスと送信先ポート番号に一致しない」という検索条件と「認可通信の定義(図11)」から「送信先IPアドレスと送信元ポート番号に一致しない」という検索条件を生成し、現在までに構築された条件条件に追加する。
処理の流れは図7へ進む。
処理の流れは図7へ進む。
図7の処理ステップ27で、指令が時系列表示付きか判定する。
以降、図7で処理の流れを説明する。
指令が時系列表示付き(YES)の場合、処理ステップ28へ進む。
NOの場合、処理ステップ29へ進む。
時系列表示付きの検索指令は表示装置16に表示された選択から指定される。
以降、図7で処理の流れを説明する。
指令が時系列表示付き(YES)の場合、処理ステップ28へ進む。
NOの場合、処理ステップ29へ進む。
時系列表示付きの検索指令は表示装置16に表示された選択から指定される。
処理ステップ28で、上記処理により作成された条件を使い、検索・時系列表示機構17がデータベース(通信パケットテーブル)13を検索し、検索条件に該当するデータを時刻系列にまとめ、表示装置16に表示する。表示後は図5の処理ステップ16へ戻る。
図7の処理ステップ29で、上記処理により作成された条件を使い、検索・時系列表示機構17がデータベース(通信パケットテーブル)13を検索し、検索条件に該当するデータを表示装置16に表示する。表示後は図5の処理ステップ16へ戻る。
図5の処理ステップ19で、図5の処理ステップ16で入力された指令がポートスキャンの検索指令か判定する。
ポートスキャンの検索指令(YES)の場合、図8の処理ステップ30へ進む。NOの場合、図5の処理ステップ20へ進む。
ポートスキャンの検索指令(YES)の場合、図8の処理ステップ30へ進む。NOの場合、図5の処理ステップ20へ進む。
図8の処理ステップ30で、検索・時系列表示機構17が、「送信元IPアドレスが同じか又は送信元IPアドレスが同じIPアドレス範囲にあり、送信先ポート番号が同じである通信パケットの数が一定数以下、且つ異なる送信先ポート番号の数が一定数以上」という検索条件を生成し図8の処理ステップ31へ進む。
図8の処理ステップ31で、検索・時系列表示機構17が異常な通信の検索のフラグをオンにし、処理を図6の処理ステップ23へ進める。これにより、前述の流れに従い検索・時系列表示機構17が検索条件に該当するデータを検索し、表示装置16に表示する。
図5の処理ステップ20で、図5の処理ステップ16で入力された指令が、ログ取り出し・分類機構4が出力したデータの表示指令か判定する。
ログ取り出し・分類機構4が出力したデータの表示指令(YES)の場合、図9の処理ステップ32へ進む。NOの場合、図5の処理ステップ21へ進む。
ログ取り出し・分類機構4が出力したデータの表示指令(YES)の場合、図9の処理ステップ32へ進む。NOの場合、図5の処理ステップ21へ進む。
図9の処理ステップ32で、検索・時系列表示機構17がデータベース(通信パケットテーブル)13の元となるデータ通信関連のデータ5又は通信確認関連のデータ8又はルーティング関連のデータ9を読み、表示指令にある通信パケットの記録時刻をキーにして該当データを探し、そこから一定数の通信パケットを表示装置16に表示する。
検索・時系列表示機構17はデータベース(通信パケットテーブル)13へ格納する形態によりデータベース内のデータ(通信パケット)がデータ通信関連のデータ5に所属するのか、通信確認関連のデータ8に所属するのか、ルーティング関連のデータ9に所属するのか把握している。表示後は図5の処理ステップ16へ戻る。
検索・時系列表示機構17はデータベース(通信パケットテーブル)13へ格納する形態によりデータベース内のデータ(通信パケット)がデータ通信関連のデータ5に所属するのか、通信確認関連のデータ8に所属するのか、ルーティング関連のデータ9に所属するのか把握している。表示後は図5の処理ステップ16へ戻る。
図5の処理ステップ21で、図5の処理ステップ16で入力された指令が、累積ログデータ3の表示指令か判定する。
累積ログデータ3の表示指令(YES)の場合、図5の処理ステップ22へ進む。NOの場合、図5の処理ステップ16へ戻る。
累積ログデータ3の表示指令(YES)の場合、図5の処理ステップ22へ進む。NOの場合、図5の処理ステップ16へ戻る。
図5の処理ステップ22で、検索・時系列表示機構17が累積ログデータ3を読み、表示指令にある通信パケットの記録時刻とプロトコル名、それに付随する情報をキーに該当データを探し、通信パケットの内容を表示装置16に表示する。表示後は図5の処理ステップ16へ戻る。
Claims (4)
- ネットワークに設置された通信パケット記録装置の通信パケットの記録から代表的な部分を取り出すと共に、用途別にルーティング関連のデータと通信確認関連のデータとデータ通信関連のデータに分け、さらにデータ通信関連のデータをサービス提供タイプのデータとサービス要求タイプのデータに分け、サービス提供タイプのデータでは受信データを、サービス要求タイプのデータでは送信データをデータベースへ登録する点を特徴としたデータ登録方法を有し、データベースの元データであるルーティング関連のデータ、通信確認関連のデータ、データ通信関連のデータの表示と通信パケットの記録の表示が可能なシステム。
- データ通信関連のデータである通信パケットをデータベースへ登録するとき、IPアドレスとポート番号を識別する定義である「通常通信の定義」、「認可通信の定義」、「各ポート番号に対する通信の定義」をそれぞれ用意し、通信パケットのIPアドレスとポート番号とこの定義の示すIPアドレスとポート番号を照合させる。「通常通信の定義」は通信を許しているIPアドレスとポート番号の定義であり、「各ポート番号に対する通信の定義」は通信を許していないポート番号の定義である。通信パケットの送信先IPアドレスと送信先ポート番号が「通常通信の定義」の送信先IPアドレスと送信先ポート番号と一致した場合、正常なアクセスとして「通常通信の定義」に対応するカウンタをカウントアップし、それ以外の通信パケットは「認可通信の定義」の送信先IPアドレスと送信元ポート番号と一致するか調べ、一致しない通信パケットは「各ポート番号に対する通信の定義」の送信先ポート番号と照合し、一致した場合、この定義に対応するカウンタをカウントアップする。一致しない場合、未定義の(未知の)攻撃として、新規にカウンタを生成し、以降、該当する通信パケットをカウントする。
この結果、通信を許している送信先IPアドレスと送信先ポート番号ごとのアクセス数と通信を許していない送信先ポート番号ごとのアクセス数が判明するので、これらデータをカウント数の多い順又は少ない順で並べ替え、ファイルへ書き出すことで、後に、通信を許している送信先IPアドレスと送信先ポート番号の検索選択メニュー及び通信を許していない送信先ポート番号を指定する検索選択メニューにおいてカウントの多い順又は少ない順に送信先ポート番号を表示させることを目的とするデータのカウント方法とその結果の利用方法。 - データベースに格納されたデータを検索する場合、データベースに属する検索条件又はこの条件に利用者が独自に定義できる「検索定義」を追加する時、この検索条件が異常な通信の検索を行うものであったなら正常とみなす通信は検索から除外する必要がある。この時、請求項2で使用した「通常通信の定義」と「認可通信の定義」から検索の除外条件、すなわち、「通常通信の定義」からは「送信先IPアドレスと送信先ポート番号に一致しない」という検索条件と「認可通信の定義」からは「送信先IPアドレスと送信元ポート番号に一致しない」という検索条件を生成し、この検索条件を元の検索条件に付加して検索実行する方法とその方法をもつシステム。
- 通信パケットが格納されたデータベースを検索する場合、「ポートスキャン」という異常な通信を検索する目的で「送信元IPアドレスが同じか又は送信元IPアドレスが同じIPアドレス範囲にあり、送信先ポート番号が同じである通信パケットの数が一定数以下且つ異なる送信先ポート番号の数が一定数以上」の検索条件を生成し、請求項3で示す検索除外条件を加え、データベースを検索する方法とその方法をもつシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004063132A JP2005223870A (ja) | 2004-02-05 | 2004-02-05 | 通信パケットのログから不正通信を発見する方法とそのシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004063132A JP2005223870A (ja) | 2004-02-05 | 2004-02-05 | 通信パケットのログから不正通信を発見する方法とそのシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005223870A true JP2005223870A (ja) | 2005-08-18 |
Family
ID=34999134
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004063132A Pending JP2005223870A (ja) | 2004-02-05 | 2004-02-05 | 通信パケットのログから不正通信を発見する方法とそのシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005223870A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012095038A (ja) * | 2010-10-26 | 2012-05-17 | Kinki Univ | パケット通信処理装置及びその制御方法並びにプログラム及び記録媒体 |
| US9608879B2 (en) | 2014-12-02 | 2017-03-28 | At&T Intellectual Property I, L.P. | Methods and apparatus to collect call packets in a communications network |
| JP2018074465A (ja) * | 2016-11-01 | 2018-05-10 | 株式会社日立製作所 | ログ解析システムおよびその方法 |
-
2004
- 2004-02-05 JP JP2004063132A patent/JP2005223870A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012095038A (ja) * | 2010-10-26 | 2012-05-17 | Kinki Univ | パケット通信処理装置及びその制御方法並びにプログラム及び記録媒体 |
| US9608879B2 (en) | 2014-12-02 | 2017-03-28 | At&T Intellectual Property I, L.P. | Methods and apparatus to collect call packets in a communications network |
| US10691748B2 (en) | 2014-12-02 | 2020-06-23 | At&T Intellectual Property I, L.P. | Methods and apparatus to process call packets collected in a communications network |
| JP2018074465A (ja) * | 2016-11-01 | 2018-05-10 | 株式会社日立製作所 | ログ解析システムおよびその方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7685637B2 (en) | System security approaches using sub-expression automata | |
| US8762386B2 (en) | Method and apparatus for data capture and analysis system | |
| CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
| KR101239401B1 (ko) | 보안 시스템의 로그 분석 시스템 및 방법 | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| US8336098B2 (en) | Method and apparatus for classifying harmful packet | |
| CN107145779B (zh) | 一种离线恶意软件日志的识别方法和装置 | |
| CN107247902A (zh) | 恶意软件分类系统及方法 | |
| RU2757597C1 (ru) | Системы и способы сообщения об инцидентах компьютерной безопасности | |
| CN108353083A (zh) | 用于检测域产生算法(dga)恶意软件的系统及方法 | |
| CN111028085A (zh) | 一种基于主被动结合的网络靶场资产信息采集方法及装置 | |
| US7216364B2 (en) | System security approaches using state tables | |
| CN112511561A (zh) | 网络攻击路径确定方法、设备、存储介质及装置 | |
| CN113923003A (zh) | 一种攻击者画像生成方法、系统、设备以及介质 | |
| CN116451215A (zh) | 关联分析方法及相关设备 | |
| Aldwairi et al. | Exscind: Fast pattern matching for intrusion detection using exclusion and inclusion filters | |
| CN106528805B (zh) | 基于用户的移动互联网恶意程序url智能分析挖掘方法 | |
| US7779464B2 (en) | System security approaches utilizing a hierarchical memory system | |
| CN117454376A (zh) | 工业互联网数据安全检测响应与溯源方法及装置 | |
| JP2005223870A (ja) | 通信パケットのログから不正通信を発見する方法とそのシステム | |
| CN116248397A (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| CN114430344A (zh) | 基于工控流量和威胁情报关联分析的攻击组织识别方法 | |
| CN113572776A (zh) | 非法侵入检测装置及方法 | |
| CN115865525B (zh) | 日志数据处理方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060210 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070921 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071016 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071225 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080415 |