JP2005301766A - Communication recording system, relay apparatus and communication recording method used for them - Google Patents

Communication recording system, relay apparatus and communication recording method used for them Download PDF

Info

Publication number
JP2005301766A
JP2005301766A JP2004118462A JP2004118462A JP2005301766A JP 2005301766 A JP2005301766 A JP 2005301766A JP 2004118462 A JP2004118462 A JP 2004118462A JP 2004118462 A JP2004118462 A JP 2004118462A JP 2005301766 A JP2005301766 A JP 2005301766A
Authority
JP
Japan
Prior art keywords
packet
specific action
recording
sign
relay device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004118462A
Other languages
Japanese (ja)
Inventor
Kazuhide Nagare
一秀 流
Ko Itonaga
航 糸永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004118462A priority Critical patent/JP2005301766A/en
Publication of JP2005301766A publication Critical patent/JP2005301766A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a communication recording system, which can reduce use capacity of recording media and efficiently analyze occurrence situations or logs for particular actions. <P>SOLUTION: A relay apparatus 1, which relays packets on networks 100 and 200, transfers packets to an action monitor system 2 at any time or at appropriate time, and the action monitor system 2 detects particular actions or their signs from the packets received from the relay apparatus 1. If detecting particular actions or their signs, the action monitor system 2 transmits information related to the particular actions to the relay apparatus 1. When receiving detection information on the particular actions from the action monitor system 2, the relay apparatus 1 mirrors packets, which are matched to all or parts of the information, to a storage device 2. In the storage device 2, only packets, which are instructed to be mirrored by the relay apparatus 1, are recorded, so that only the packet information related to the particular actions is recorded. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は通信記録システム、中継装置及びそれらに用いる通信記録方法に関し、特に特定行動に関する通信の記録方法に関する。   The present invention relates to a communication recording system, a relay device, and a communication recording method used for them, and more particularly to a communication recording method related to a specific action.

近年、ネットワークを通過するパケットにおいては、ネットワーク内部への不正アクセス、特定のWebページへのアクセス、コンピュータウイルス等の特定プログラムへのアクセスまたは起動等の特定行動を実行するためのパケットが含まれていることがある。   In recent years, packets passing through the network include packets for executing specific actions such as unauthorized access to the inside of the network, access to specific Web pages, access to specific programs such as computer viruses, or activation. There may be.

これら特定行動を実行するためのパケットの発信元を分析するためには、ネットワークを通過するパケット全てを記録しておく方法がとられている(例えば、特許文献1参照)。この方法はインタネットへのアクセス環境を提供するプロバイダにおいて用いられることが知られている。   In order to analyze the source of a packet for executing these specific actions, a method of recording all the packets passing through the network is used (for example, see Patent Document 1). This method is known to be used in providers that provide an internet access environment.

特開2001−217834号公報JP 2001-217834 A

上述した従来の通信の記録方法では、ネットワークを通過するパケット全てを記録しておかねばならない。しかしながら、ブロードバンドの普及に伴う回線の高速化によって、中継装置を通過するパケットが膨大になり、全てのパケットを記録して保持することが困難となりつつある。   In the conventional communication recording method described above, all packets passing through the network must be recorded. However, as the speed of the line increases with the spread of broadband, the number of packets passing through the relay apparatus becomes enormous, and it is becoming difficult to record and hold all packets.

そこで、本発明の目的は上記の問題点を解消し、記録媒体の使用容量を削減することができ、特定行動の発生状況やログの分析等を効率よく行うことができる通信記録システム、中継装置及びそれらに用いる通信記録方法を提供することにある。   Accordingly, an object of the present invention is to solve the above-described problems, reduce the usage capacity of the recording medium, and perform a communication recording system and a relay device that can efficiently analyze the occurrence of specific actions, logs, etc. And providing a communication recording method used for them.

本発明による通信記録システムは、ネットワーク上のパケットを中継する中継装置を含み、前記ネットワークを通過するパケットを記憶媒体に記録する通信記録システムであって、
前記パケットから少なくとも予め設定された特定行動及び当該特定行動の予兆のいずれかを検出する検出手段と、前記特定行動及び当該特定行動の予兆のいずれかが検出されたパケットの少なくとも一部を前記記憶媒体に記録させる手段とを備えている。 A communication recording system according to the present invention includes a relay device that relays a packet on a network, and records the packet passing through the network on a storage medium,
Detecting means for detecting at least one of a specific action set in advance from the packet and a sign of the specific action; and storing at least a part of the packet in which either the specific action or the sign of the specific action is detected Means for recording on a medium.

本発明による中継装置は、ネットワーク上のパケットを中継する中継装置であって、
前記パケットから少なくとも予め設定された特定行動及び当該特定行動の予兆のいずれかが検出されたパケットの少なくとも一部を記憶媒体に記録させる手段を備えている。 A relay device according to the present invention is a relay device that relays a packet on a network,
There is provided means for recording in a storage medium at least a part of a packet in which at least one of a specific action set in advance and a sign of the specific action is detected from the packet.

本発明による通信記録方法は、ネットワーク上のパケットを中継する中継装置を含むシステムにおいて、前記ネットワークを通過するパケットを記憶媒体に記録する通信記録方法であって、前記中継装置側に、前記パケットから少なくとも予め設定された特定行動及び当該特定行動の予兆のいずれかが検出されたパケットの少なくとも一部を記憶媒体に記録させるステップを備えている。   The communication recording method according to the present invention is a communication recording method for recording a packet passing through the network in a storage medium in a system including a relay device that relays a packet on a network, and from the packet to the relay device side. There is provided a step of recording at least a part of a packet in which at least one of the specific action set in advance and a sign of the specific action is detected in a storage medium.

すなわち、本発明の通信記録システムは、ネットワークを通過するパケットのうち、予め設定された特定行動に関するパケットのみを記憶装置に記録することを特徴としている。
本発明の通信記録システムでは、ネットワーク上のパケットを中継する中継装置が常時または適時、行動監視システムへパケットを転送し、行動監視システムにおいて中継装置から受取ったパケットから特定行動または特定行動の予兆を検出する。 That is, the communication recording system of the present invention is characterized in that only packets relating to a specific action set in advance among packets passing through the network are recorded in the storage device.
In the communication recording system of the present invention, a relay device that relays a packet on the network always or appropriately transfers the packet to the behavior monitoring system, and the behavior monitoring system receives a specific action or a sign of a specific behavior from the packet received from the relay device. To detect.

行動監視システムは特定行動または特定行動の予兆を検出すると、中継装置へ特定行動に関係すると判断される情報を伝達する。中継装置は行動監視システムから特定行動の検出情報を受けると、それらの情報の全てまたは一部適合するパケットの記憶装置へのミラーリングを行う。   When the behavior monitoring system detects a specific behavior or a sign of the specific behavior, the behavior monitoring system transmits information determined to be related to the specific behavior to the relay device. When the relay device receives the detection information of the specific behavior from the behavior monitoring system, the relay device mirrors a packet that matches all or part of the information to the storage device.

記憶装置では中継装置からミラーリング指示されたパケットのみを記録することで、特定行動に関するパケットの情報のみを記録することが可能となる。   The storage device records only the packet for which the mirroring is instructed from the relay device, so that it is possible to record only the packet information related to the specific action.

これによって、本発明の通信記録システムでは、特定行動に関係するパケットのみを記録することで、記録媒体の使用容量が削減可能となり、特定行動の発生状況やログの分析等を効率よく行うことが可能になる。   As a result, in the communication recording system of the present invention, it is possible to reduce the use capacity of the recording medium by recording only the packets related to the specific action, and to efficiently analyze the occurrence state of the specific action and the log. It becomes possible.

また、本発明の通信記録システムでは、ミラーリング期限中、特定行動の有無に関係なくパケットを記憶装置に記録するので、特定行動の行動監視システムの負荷を下げることが可能になる。行動監視システムが十分、負荷に耐えられる場合、ミラーリング期限中を「0」とすることで、全てのアクセスを監視しつつ特定行動に関するものだけを記録することも可能である。   Further, in the communication recording system of the present invention, since the packet is recorded in the storage device regardless of the presence or absence of the specific action during the mirroring time limit, it is possible to reduce the load of the action monitoring system for the specific action. If the behavior monitoring system can sufficiently withstand the load, it is possible to record only the specific behavior while monitoring all accesses by setting the mirroring deadline to “0”.

さらに、本発明の通信記録システムでは、ミラーリング対象パケットの全てまたは一部をミラーリングすることで、記録媒体の使用容量をより削減することが可能になり、効率よく記憶容量を使用可能となる。   Furthermore, in the communication recording system of the present invention, by mirroring all or part of the mirroring target packet, the used capacity of the recording medium can be further reduced, and the storage capacity can be used efficiently.

本発明は、以下に述べるような構成及び動作とすることで、記録媒体の使用容量を削減することができ、特定行動の発生状況やログの分析等を効率よく行うことができるという効果が得られる。   With the configuration and operation described below, the present invention can reduce the usage capacity of the recording medium, and can effectively analyze the occurrence of specific actions and logs. It is done.

次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例による通信記録システムの構成を示すブロック図である。図1において、本発明の一実施例による通信記録システムはネットワーク100,200上を流れるパケットを中継する中継装置1と、ネットワーク100,200上のパケットを監視して特定行動または特定行動の予兆を検出する行動監視システム2と、ネットワーク100,200上を流れるパケットを記録する記録装置3とから構成されている。   Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing the configuration of a communication recording system according to an embodiment of the present invention. In FIG. 1, a communication recording system according to an embodiment of the present invention relays a packet flowing on networks 100 and 200, and monitors a packet on networks 100 and 200 to indicate a specific action or a sign of a specific action. It comprises an action monitoring system 2 to detect and a recording device 3 that records packets flowing on the networks 100 and 200.

中継装置1はネットワーク100,200上のパケットを中継し、受取ったパケットの一部または全てをコピーして別ポートへ送信したり、またはカプセル化することによって別の宛先へ送信したりしている。記憶措置3はネットワーク100,200上を流れるパケットを記録する。   The relay device 1 relays packets on the networks 100 and 200, and copies a part or all of the received packets and transmits them to another port, or transmits them to another destination by encapsulating them. . The storage unit 3 records packets that flow on the networks 100 and 200.

行動監視システム2はネットワーク100,200上のパケットを監視し、予め設定された特定行動またはその予兆を検出する。ここで、特定行動とは、例えば不正アクセス、特定のWebページへのアクセス、特定プログラムへのアクセスまたは起動を指している。特定行動には上記の行動以外にも、システムにおいて何らかの支障をきたす要因となる行動を含んでいる。   The behavior monitoring system 2 monitors packets on the networks 100 and 200 and detects a specific behavior set in advance or a sign thereof. Here, the specific action refers to, for example, unauthorized access, access to a specific Web page, access to a specific program, or activation. In addition to the above-mentioned behavior, the specific behavior includes a behavior that causes some trouble in the system.

図2は図1の中継装置1の構成を示すブロック図である。図2において、中継装置1はネットワーク100,200上のパケットを中継するパケット中継機能11と、受取ったパケットの一部または全てをコピーして別ポートへ送信するコピー機能12と、受取ったパケットの一部または全てをカプセル化することによって別の宛先へ送信するカプセル化機能13とから構成されている。   FIG. 2 is a block diagram showing a configuration of the relay apparatus 1 of FIG. In FIG. 2, the relay apparatus 1 has a packet relay function 11 that relays packets on the networks 100 and 200, a copy function 12 that copies a part or all of the received packet and transmits it to another port, and a received packet It consists of an encapsulation function 13 that transmits a part or all of it to another destination by encapsulating it.

尚、本実施例では中継装置1にコピー機能12とカプセル化機能13とを備えているが、これらコピー機能12とカプセル化機能13とのうち一方を備えるものに対しても、本発明を適用することが可能である。   In this embodiment, the relay apparatus 1 is provided with the copy function 12 and the encapsulation function 13. However, the present invention is also applied to an apparatus having one of the copy function 12 and the encapsulation function 13. Is possible.

図3は図1の行動監視システム2の構成を示すブロック図である。図3において、行動監視システム2はネットワーク100,200上のパケットを監視して特定行動またはその予兆を検出するパケット監視機能21を備えている。   FIG. 3 is a block diagram showing a configuration of the behavior monitoring system 2 of FIG. In FIG. 3, the behavior monitoring system 2 includes a packet monitoring function 21 that monitors packets on the networks 100 and 200 and detects a specific behavior or a sign thereof.

パケット監視機能21は中継装置1から転送されてきたパケットに付加されている送信元や宛先等の情報に基づいて、認証失敗回数が一定値以上となっていないか、勤務時間外のアクセスか、キーストローク速度が通常と異ならないか、特定ユーザからのアクセスか、IPアドレスとユーザ名とが一致しているか、通常経路以外からのアクセスか、特定(キー)情報の送受信か、特定サイズ以上の情報の送受信か等を判定し、その判定結果を基に特定行動またはその予兆を検出する。   The packet monitoring function 21 is based on information such as a transmission source and a destination added to the packet transferred from the relay device 1, whether the number of authentication failures is a predetermined value or more, whether the access is outside work hours, Keystroke speed is not different from normal, access from a specific user, IP address and user name match, access from other than normal route, transmission / reception of specific (key) information, or larger than a specific size It is determined whether the information is transmitted or received, and the specific action or its sign is detected based on the determination result.

図4は本発明の一実施例にて用いられるミラーリング条件追加メッセージの構成を示す図である。図4において、ミラーリング条件追加メッセージは送信元と、宛先と、ミラーリング用のパケットのコピー部分指定等のその他の条件と、ミラーリング期限と、ミラーリング継続判断期限とから構成されている。   FIG. 4 is a diagram showing the configuration of a mirroring condition addition message used in one embodiment of the present invention. In FIG. 4, the mirroring condition addition message is composed of a transmission source, a destination, other conditions such as a copy part designation of a packet for mirroring, a mirroring time limit, and a mirroring continuation determination time limit.

ミラーリング期限とは中継装置1がミラーリング条件に該当するパケットを記憶装置3へとミラーリングを行い、その間は該当するパケットを行動監視システム2に転送しない期間を表している。ミラーリング継続判断期限とは記憶装置3へとパケットのミラーリングを行うが、行動監視システム2へパケットを転送する期限を表している。   The mirroring time limit represents a period during which the relay device 1 mirrors a packet corresponding to the mirroring condition to the storage device 3 and does not transfer the packet to the behavior monitoring system 2 during that time. The mirroring continuation determination time limit represents a time limit for transferring a packet to the behavior monitoring system 2 although the packet is mirrored to the storage device 3.

図5〜図7は本発明の一実施例による通信記録システムの動作を示すシー県スチャーとである。これら図1〜図7を参照して本発明の一実施例による通信記録システムの動作について説明する。   FIGS. 5 to 7 show the Shi prefecture steamer showing the operation of the communication recording system according to one embodiment of the present invention. The operation of the communication recording system according to one embodiment of the present invention will be described with reference to FIGS.

図5は本実施例において、記憶装置3へ特定行動に関するパケットのみをミラーリングするためにミラーリング条件を中継装置1が設定するまでの流れを示している。この図5を参照して上記の流れについて説明する。   FIG. 5 shows a flow until the relay device 1 sets a mirroring condition in order to mirror only the packet related to the specific action to the storage device 3 in this embodiment. The above flow will be described with reference to FIG.

まず、中継装置1はネットワーク100からパケットを受信すると(図5のa1)、受信したパケットを本来の宛先とは異なる行動監視システム2へと転送する(図5のa2)。   First, when receiving a packet from the network 100 (a1 in FIG. 5), the relay device 1 transfers the received packet to the behavior monitoring system 2 different from the original destination (a2 in FIG. 5).

行動監視システム2はそのパケットから特定行動または特定行動の予兆を検出すると、中継装置1へ図4に示すミラーリング条件追加メッセージを送信する(図5のa3)。その後、行動監視システム2は中継装置1から受信したパケットを中継装置1へ返信する(図5のa4)。   When the behavior monitoring system 2 detects the specific behavior or the sign of the specific behavior from the packet, the behavior monitoring system 2 transmits a mirroring condition addition message shown in FIG. 4 to the relay device 1 (a3 in FIG. 5). Thereafter, the behavior monitoring system 2 returns the packet received from the relay device 1 to the relay device 1 (a4 in FIG. 5).

中継装置1は受取ったパケットがミラーリング条件に該当する場合、コピー機能12にてパケットの一部または全てをコピーし、それを記憶装置3へ送信し(図5のa5)、そのパケットを該当するパケットの本来の宛先へと送信する(図5のa6)。   When the received packet satisfies the mirroring condition, the relay device 1 copies a part or all of the packet by the copy function 12 and transmits it to the storage device 3 (a5 in FIG. 5). The packet is transmitted to the original destination (a6 in FIG. 5).

図6は本実施例において、中継装置1がミラーリング期限内にミラーリング条件に該当するパケットを受信した場合の流れを示している。この図6を参照して上記の流れについて説明する。   FIG. 6 shows a flow when the relay apparatus 1 receives a packet corresponding to the mirroring condition within the mirroring time limit in this embodiment. The above flow will be described with reference to FIG.

中継装置1はミラーリング期限内にミラーリング条件に該当するパケットを受信すると(図6のb1)、コピー機能12にて該当するパケットの一部または全てをコピーし、それを記憶装置3へ送信する(図6のb2)。その後、中継装置1はこのパケットを該当するパケットの本来の宛先へと送信する(図6のb3)。   When the relay device 1 receives a packet that satisfies the mirroring condition within the mirroring time limit (b1 in FIG. 6), the copy function 12 copies part or all of the corresponding packet and transmits it to the storage device 3 ( B2) of FIG. Thereafter, the relay device 1 transmits this packet to the original destination of the corresponding packet (b3 in FIG. 6).

図7は本実施例において、中継装置1がミラーリング期限外にミラーリング条件に該当するパケットを受信した場合の流れを示している。この図7を参照して上記の流れについて説明する。   FIG. 7 shows a flow when the relay apparatus 1 receives a packet corresponding to the mirroring condition outside the mirroring time limit in this embodiment. The above flow will be described with reference to FIG.

中継装置1はミラーリング継続判断期限にミラーリング条件に該当するパケットを受信すると(図7のc1)、受信したパケットを本来の宛先とは異なる行動監視システム2へと転送する(図7のc2)。   When the relay device 1 receives a packet that satisfies the mirroring condition within the mirroring continuation determination time limit (c1 in FIG. 7), the relay device 1 transfers the received packet to the behavior monitoring system 2 that is different from the original destination (c2 in FIG. 7).

行動監視システム2は中継装置1から受信したパケットを中継装置1へ返信する(図7のc3)。この時、行動監視システム2はパケット監視機能21にてそのパケットから特定行動または特定行動の予兆が検出されると、中継装置1へミラーリング条件追加メッセージを送信する。   The behavior monitoring system 2 returns the packet received from the relay device 1 to the relay device 1 (c3 in FIG. 7). At this time, the behavior monitoring system 2 transmits a mirroring condition addition message to the relay device 1 when the packet monitoring function 21 detects the specific behavior or a sign of the specific behavior from the packet.

中継装置1はミラーリング条件追加メッセージを受けると、そのメッセージの内容にしたがってリストの期間を延長する。中継装置1は記憶装置3へラフィックのコピーを送信し(図7のc4)、該当するパケットの本来の宛先へとパケットを送信する(図7のc5)。   When receiving the mirroring condition addition message, the relay device 1 extends the period of the list according to the content of the message. The relay device 1 transmits a copy of the traffic to the storage device 3 (c4 in FIG. 7), and transmits the packet to the original destination of the corresponding packet (c5 in FIG. 7).

図8及び図9は図1の中継装置1の動作を示すフローチャートであり、図10は図1の行動監視システム2の動作を示すフローチャートであり、図11は図1の記憶装置3の動作を示すフローチャートである。これら図8〜図11を参照して中継装置1、行動監視システム2、記憶装置3各々の動作について説明する。   8 and 9 are flowcharts showing the operation of the relay device 1 in FIG. 1, FIG. 10 is a flowchart showing the operation of the behavior monitoring system 2 in FIG. 1, and FIG. 11 shows the operation of the storage device 3 in FIG. It is a flowchart to show. With reference to FIGS. 8 to 11, operations of the relay device 1, the behavior monitoring system 2, and the storage device 3 will be described.

中継装置1は隣接するネットワーク100,200または行動監視システム2からネットワーク100,200上を流れるパケットを受信すると(図8ステップS1)、そのパケットが行動監視システム2から送信されたミラーリング条件追加メッセージかどうかをチェックする(図8ステップS2)。   When the relay device 1 receives a packet flowing on the network 100, 200 from the adjacent network 100, 200 or the behavior monitoring system 2 (step S1 in FIG. 8), the relay device 1 is a mirroring condition addition message transmitted from the behavior monitoring system 2 or not. Whether or not is checked (step S2 in FIG. 8).

中継装置1はミラーリング条件追加メッセージである場合、メッセージの内容にしたがってミラーリングを行うパケットの条件を追加する(図8ステップS3)。また、中継装置1はミラーリング条件追加メッセージでない場合、そのパケットが行動監視システム2からの検査済みパケットどうかをチェックする(図8ステップS4)。   When the relay apparatus 1 is a mirroring condition addition message, the relay apparatus 1 adds a condition for a packet to be mirrored according to the content of the message (step S3 in FIG. 8). If the relay apparatus 1 is not a mirroring condition addition message, the relay apparatus 1 checks whether the packet is an inspected packet from the behavior monitoring system 2 (step S4 in FIG. 8).

中継装置1はパケットが行動監視システム2からのパケットであった場合、つまり行動監視システム2で既に検査済みのパケットの場合、そのパケットがミラーリング条件に該当するか否かをチェックする(図9ステップS10)。   If the packet is a packet from the behavior monitoring system 2, that is, if the packet has already been inspected by the behavior monitoring system 2, the relay device 1 checks whether the packet meets the mirroring condition (step in FIG. 9). S10).

中継装置1はそのパケットがミラーリング条件に該当する場合、そのパケットの一部または全てをコピーし、本来の出力ポートではない記憶装置3の存在するポート、またはカプセル化を利用して本来の宛先ではない記憶装置3宛にコピーしたパケットを送信し(図9ステップS11)、そのパケットを本来の宛先へ送信する(図9ステップS12)。   When the packet satisfies the mirroring condition, the relay device 1 copies a part or all of the packet, and uses the port where the storage device 3 which is not the original output port exists or the original destination by using the encapsulation. The copied packet is transmitted to the storage device 3 not present (step S11 in FIG. 9), and the packet is transmitted to the original destination (step S12 in FIG. 9).

一方、中継装置1はそのパケットがミラーリング条件に該当しない場合、そのパケットを本来の宛先へ送信する(図9ステップS12)。   On the other hand, when the packet does not satisfy the mirroring condition, the relay device 1 transmits the packet to the original destination (step S12 in FIG. 9).

中継装置1はパケットが行動監視システム2からのパケットでなかった場合、つまり行動監視システム2でまだ検査を受けていないパケットの場合、そのパケットがミラーリング条件に該当するか否かをチェックする(図8ステップS5)。   If the packet is not a packet from the behavior monitoring system 2, that is, if the packet is not yet inspected by the behavior monitoring system 2, the relay device 1 checks whether the packet meets the mirroring condition (see FIG. 8 step S5).

中継装置1はそのパケットがミラーリング条件に該当しなかった場合、そのパケットを本来の宛先ではない行動監視システム2の存在するポート、またはカプセル化を利用して本来の宛先ではない行動監視システム2宛にパケットを常時または適時送信する(図8ステップS9)。   When the packet does not meet the mirroring condition, the relay apparatus 1 uses the port where the behavior monitoring system 2 which is not the original destination exists or the encapsulation to the behavior monitoring system 2 which is not the original destination. The packet is transmitted constantly or timely (step S9 in FIG. 8).

中継装置1はそのパケットがミラーリング条件に該当する場合、そのミラーリング条件がミラーリング期限を超過していないかどうかをチェックする(図8ステップS6)。   When the packet satisfies the mirroring condition, the relay apparatus 1 checks whether the mirroring condition has exceeded the mirroring deadline (step S6 in FIG. 8).

中継装置1はミラーリング期限を超過していない場合、そのパケットの一部または全てをコピーし、本来の出力ポートではない記憶装置3の存在するポート、またはカプセル化を利用して本来の宛先ではない記憶装置3宛にコピーしたパケットを送信し(図9ステップS11)、そのパケットを本来の宛先へ送信する(図9ステップS12)。   When the mirroring time limit has not been exceeded, the relay device 1 copies a part or all of the packet, and is not the original destination by using the port where the storage device 3 that is not the original output port exists or by using the encapsulation. The copied packet is transmitted to the storage device 3 (step S11 in FIG. 9), and the packet is transmitted to the original destination (step S12 in FIG. 9).

中継装置1はミラーリング有効期限を超過している場合、そのミラーリング条件がミラーリング持続判定期限を超過していないかどうかチェックする(図8ステップS7)。   When the mirroring expiration date has been exceeded, the relay device 1 checks whether the mirroring condition has exceeded the mirroring duration determination time limit (step S7 in FIG. 8).

中継装置1はミラーリング有効期限を超過していない場合、そのパケットを本来の宛先ではない行動監視システム2の存在するポート、またはカプセル化を利用して本来の宛先ではない行動監視システム2宛にパケットを常時または適時送信する(図8ステップS9)。   If the relay device 1 has not exceeded the mirroring expiration date, the packet is sent to the port where the behavior monitoring system 2 which is not the original destination exists, or to the behavior monitoring system 2 which is not the original destination using encapsulation. Is always or timely transmitted (step S9 in FIG. 8).

中継装置1はミラーリング有効期限を超過している場合、ミラーリング条件リストからミラーリング持続判定期限を超過した条件を削除し(図8ステップS8)、そのパケットを本来の宛先ではない行動監視システム2の存在するポート、またはカプセル化を利用して本来の宛先ではない行動監視システム2宛にパケットを常時または適時送信する(図8ステップS9)。   If the relay device 1 has exceeded the mirroring expiration date, the relay device 1 deletes the condition that exceeded the mirroring duration determination time limit from the mirroring condition list (step S8 in FIG. 8), and the presence of the behavior monitoring system 2 that is not the original destination of the packet The packet is always or timely transmitted to the behavior monitoring system 2 that is not the original destination using the port to be used or encapsulation (step S9 in FIG. 8).

行動監視システム2は中継装置1からパケットを受信すると(図10ステップS21)、受信したパケットから特定行動または特定行動の予兆であるかを検出する(図10ステップS22)。   When the behavior monitoring system 2 receives a packet from the relay device 1 (step S21 in FIG. 10), the behavior monitoring system 2 detects whether the behavior is a specific behavior or a sign of the specific behavior (step S22 in FIG. 10).

行動監視システム2はそのパケットから特定行動または特定行動の予兆を検出すると、中継装置1へ適切なミラーリング条件と、ミラーリング期限と、ミラーリング持続判定期限とをミラーリング条件追加メッセージとして送信する(図10ステップS23)。   When the behavior monitoring system 2 detects a specific behavior or a sign of the specific behavior from the packet, the behavior monitoring system 2 transmits an appropriate mirroring condition, a mirroring time limit, and a mirroring duration determination time limit to the relay device 1 as a mirroring condition addition message (step in FIG. 10). S23).

行動監視システム2はミラーリング条件追加メッセージを中継装置1へ送信した後、中継装置1から受信したパケットを中継装置1へ返信する(図10ステップS24)。   The behavior monitoring system 2 transmits a mirroring condition addition message to the relay device 1, and then returns the packet received from the relay device 1 to the relay device 1 (step S24 in FIG. 10).

行動監視システム2はそのパケットから特定行動または特定行動の予兆を検出しなかった場合、中継装置1から受信したパケットを中継装置1へ返信する(図10ステップS24)。   When the behavior monitoring system 2 does not detect the specific behavior or the sign of the specific behavior from the packet, the behavior monitoring system 2 returns the packet received from the relay device 1 to the relay device 1 (step S24 in FIG. 10).

記憶装置3は中継装置1によってコピーされたパケットを受信すると(図11ステップS31)、中継装置1から受信したパケットを記録する(図11ステップS32)。   When the storage device 3 receives the packet copied by the relay device 1 (step S31 in FIG. 11), it records the packet received from the relay device 1 (step S32 in FIG. 11).

このように、本実施例では、特定行動に関係するパケットのみを記憶装置3に記録することで、記録媒体の使用容量を削減することができ、特定行動の発生状況やログの分析等を効率よく行うことができる。   As described above, in this embodiment, by recording only the packets related to the specific action in the storage device 3, it is possible to reduce the use capacity of the recording medium, and it is possible to efficiently analyze the occurrence status of the specific action and the log. Can be done well.

また、本実施例では、ミラーリング期限中、特定行動の有無に関係なくパケットを記憶装置3に記録するので、特定行動の行動監視システム2の負荷を下げることが可能になる。行動監視システム2が十分、負荷に耐えられる場合、ミラーリング期限中を「0」とすることで、全てのアクセスを監視しつつ特定行動に関するものだけを記録することも可能である。   In this embodiment, since the packet is recorded in the storage device 3 regardless of the presence or absence of the specific action during the mirroring period, the load on the action monitoring system 2 for the specific action can be reduced. When the behavior monitoring system 2 can sufficiently withstand the load, it is possible to record only the specific behavior while monitoring all accesses by setting the mirroring deadline to “0”.

さらに、本実施例では、ミラーリング対象パケットの全てまたは一部をミラーリングすることが可能となるので、記録媒体の使用容量をより削減することが可能になり、効率よく記憶容量を使用することができる。   Furthermore, in this embodiment, all or part of the mirroring target packet can be mirrored, so that the used capacity of the recording medium can be further reduced and the storage capacity can be used efficiently. .

図12は本発明の他の実施例による通信記録システムの構成を示すブロック図である。図12において、本発明の他の実施例では、中継装置4に中継機能41と行動監視システム42とを搭載するようにした以外は図1に示す本発明の一実施例と同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は上述した本発明の一実施例と同様である。   FIG. 12 is a block diagram showing the configuration of a communication recording system according to another embodiment of the present invention. 12, in another embodiment of the present invention, the configuration is the same as that of the embodiment of the present invention shown in FIG. 1 except that the relay device 4 includes the relay function 41 and the behavior monitoring system 42. The same components are denoted by the same reference numerals. The operation of the same component is the same as that of the above-described embodiment of the present invention.

尚、中継機能41は図2に示す中継装置1と同様の構成及び動作となっており、行動監視システム42は図3に示す行動監視システム2と同様の構成及び動作となっている。   The relay function 41 has the same configuration and operation as the relay device 1 shown in FIG. 2, and the behavior monitoring system 42 has the same configuration and operation as the behavior monitoring system 2 shown in FIG.

図13は本発明の別の実施例による通信記録システムの構成を示すブロック図である。図13において、本発明の別の実施例では、中継装置5に中継機能51と行動監視システム52と記憶機能53とを搭載するようにした以外は図1に示す本発明の一実施例と同様の構成となっており、同一構成要素には同一符号を付してある。また、同一構成要素の動作は上述した本発明の一実施例と同様である。   FIG. 13 is a block diagram showing the configuration of a communication recording system according to another embodiment of the present invention. 13, another embodiment of the present invention is the same as the embodiment of the present invention shown in FIG. 1 except that the relay device 5 is provided with a relay function 51, an action monitoring system 52, and a storage function 53. The same components are denoted by the same reference numerals. The operation of the same component is the same as that of the above-described embodiment of the present invention.

尚、中継機能51は図2に示す中継装置1と同様の構成及び動作となっており、行動監視システム52は図3に示す行動監視システム2と同様の構成及び動作となっている。   The relay function 51 has the same configuration and operation as the relay device 1 shown in FIG. 2, and the behavior monitoring system 52 has the same configuration and operation as the behavior monitoring system 2 shown in FIG.

本発明の一実施例による通信記録システムの構成を示すブロック図である。It is a block diagram which shows the structure of the communication recording system by one Example of this invention. 図1の中継装置の構成を示すブロック図である。It is a block diagram which shows the structure of the relay apparatus of FIG. 図1の行動監視システムの構成を示すブロック図である。It is a block diagram which shows the structure of the action monitoring system of FIG. 本発明の一実施例にて用いられるミラーリング条件追加メッセージの構成を示す図である。It is a figure which shows the structure of the mirroring condition addition message used in one Example of this invention. 本発明の一実施例による通信記録システムの動作を示すシー県スチャーとである。FIG. 6 is a Shi prefecture steamer showing the operation of the communication recording system according to one embodiment of the present invention. 本発明の一実施例による通信記録システムの動作を示すシー県スチャーとである。FIG. 6 is a Shi prefecture steamer showing the operation of the communication recording system according to one embodiment of the present invention. 本発明の一実施例による通信記録システムの動作を示すシー県スチャーとである。FIG. 6 is a Shi prefecture steamer showing the operation of the communication recording system according to one embodiment of the present invention. 図1の中継装置の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the relay apparatus of FIG. 図1の中継装置の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the relay apparatus of FIG. 図1の行動監視システムの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the action monitoring system of FIG. 図1の記憶装置の動作を示すフローチャートである。3 is a flowchart showing an operation of the storage device of FIG. 1. 本発明の他の実施例による通信記録システムの構成を示すブロック図である。It is a block diagram which shows the structure of the communication recording system by the other Example of this invention. 本発明の別の実施例による通信記録システムの構成を示すブロック図である。It is a block diagram which shows the structure of the communication recording system by another Example of this invention.

符号の説明Explanation of symbols

1 中継装置
2,42,52 行動監視システム
3 記録装置
11 パケット中継機能
12 コピー機能
13 カプセル化機能
21 パケット監視機能
41,51 中継機能
53 記憶機能
100,200 ネットワーク
1 Relay device 2, 42, 52 Behavior monitoring system
3 Recording device
11 Packet relay function
12 Copy function
13 Encapsulation function
21 Packet monitoring function 41, 51 Relay function
53 Memory function 100,200 Network

Claims (12)

ネットワーク上のパケットを中継する中継装置を含み、前記ネットワークを通過するパケットを記憶媒体に記録する通信記録システムであって、
前記パケットから少なくとも予め設定された特定行動及び当該特定行動の予兆のいずれかを検出する検出手段と、前記特定行動及び当該特定行動の予兆のいずれかが検出されたパケットの少なくとも一部を前記記憶媒体に記録させる手段とを有することを特徴とする通信記録システム。 A communication recording system including a relay device that relays a packet on a network, and records a packet passing through the network on a storage medium,
Detecting means for detecting at least one of a specific action set in advance from the packet and a sign of the specific action; and storing at least a part of the packet in which either the specific action or the sign of the specific action is detected A communication recording system comprising means for recording on a medium. 前記検出手段は、前記中継装置から転送されてくるパケットにおいて前記特定行動及び当該特定行動の予兆のいずれかを検出することを特徴とする請求項1記載の通信記録システム。   The communication recording system according to claim 1, wherein the detection unit detects either the specific action or a sign of the specific action in a packet transferred from the relay device. 前記検出手段は、前記特定行動及び当該特定行動の予兆のいずれかを検出した時にその検出情報を前記記憶媒体に記録させる手段に伝達し、
前記記憶媒体に記録させる手段は、前記検出情報を受信した時に前記特定行動及び当該特定行動の予兆のいずれかが検出されたパケットの少なくとも一部の前記記憶媒体へのミラーリングを行うことを特徴とする請求項1または請求項2記載の通信記録システム。 When the detection means detects any one of the specific action and a sign of the specific action, the detection means transmits the detection information to the means for recording in the storage medium,
The means for recording in the storage medium mirrors at least a part of the packet in which any one of the specific action and a sign of the specific action is detected when the detection information is received to the storage medium. The communication recording system according to claim 1 or 2. 前記記憶媒体に記録させる手段は、前記記録媒体へのミラーリング期限中、前記特定行動及び当該特定行動の予兆のいずれかの検出の有無に関係なく前記パケットの少なくとも一部を前記記録媒体に記録することを特徴とする請求項1から請求項3のいずれか記載の通信記録システム。   The means for recording on the storage medium records at least a part of the packet on the recording medium regardless of whether or not the specific action or a sign of the specific action is detected during a mirroring period to the recording medium. The communication recording system according to any one of claims 1 to 3, wherein ネットワーク上のパケットを中継する中継装置であって、
前記パケットから少なくとも予め設定された特定行動及び当該特定行動の予兆のいずれかが検出されたパケットの少なくとも一部を記憶媒体に記録させる手段を有することを特徴とする中継装置。 A relay device that relays packets on a network,
A relay apparatus comprising: a storage medium that records at least a part of a packet in which at least one of a specific action set in advance and a sign of the specific action is detected from the packet. 前記特定行動及び当該特定行動の予兆のいずれかをする検出手段に前記パケットを転送することを特徴とする請求項5記載の中継装置。   The relay apparatus according to claim 5, wherein the packet is transferred to a detection unit that performs either the specific action or a sign of the specific action. 前記記憶媒体に記録させる手段は、前記検出手段から前記特定行動及び当該特定行動の予兆のいずれかを検出したことを示す検出情報を受信した時に前記特定行動及び当該特定行動の予兆のいずれかが検出されたパケットの少なくとも一部の前記記憶媒体へのミラーリングを行うことを特徴とする請求項6記載の中継装置。   The means for recording in the storage medium is one of the specific action and the sign of the specific action when receiving detection information indicating that either the specific action or the sign of the specific action has been detected from the detection means. The relay apparatus according to claim 6, wherein at least a part of the detected packet is mirrored to the storage medium. 前記記憶媒体に記録させる手段は、前記記録媒体へのミラーリング期限中、前記特定行動及び当該特定行動の予兆のいずれかの検出の有無に関係なく前記パケットの少なくとも一部を前記記録媒体に記録することを特徴とする請求項5から請求項7のいずれか記載の中継装置。   The means for recording on the storage medium records at least a part of the packet on the recording medium regardless of whether or not the specific action or a sign of the specific action is detected during a mirroring period to the recording medium. The relay device according to claim 5, wherein the relay device is a relay device. ネットワーク上のパケットを中継する中継装置を含むシステムにおいて、前記ネットワークを通過するパケットを記憶媒体に記録する通信記録方法であって、前記中継装置側に、前記パケットから少なくとも予め設定された特定行動及び当該特定行動の予兆のいずれかが検出されたパケットの少なくとも一部を記憶媒体に記録させるステップを有することを特徴とする通信記録方法。   In a system including a relay device that relays a packet on a network, a communication recording method for recording a packet passing through the network on a storage medium, wherein at least a specific action preset from the packet on the relay device side and A communication recording method comprising a step of recording at least a part of a packet in which any one of the signs of the specific action is detected on a storage medium. 前記中継装置から転送されてくるパケットにおいて前記特定行動及び当該特定行動の予兆のいずれかを検出することを特徴とする請求項1記載の通信記録方法。   The communication recording method according to claim 1, wherein either the specific action or a sign of the specific action is detected in a packet transferred from the relay apparatus. 前記記憶媒体に記録させるステップは、前記特定行動及び当該特定行動の予兆のいずれかを検出したことを示す検出情報を受信した時に前記特定行動及び当該特定行動の予兆のいずれかが検出されたパケットの少なくとも一部の前記記憶媒体へのミラーリングを行うことを特徴とする請求項9または請求項10記載の通信記録方法。   The step of recording in the storage medium is a packet in which either the specific action or the sign of the specific action is detected when detection information indicating that either the specific action or the sign of the specific action is detected is received. 11. The communication recording method according to claim 9, wherein mirroring is performed on at least a part of the storage medium. 前記記憶媒体に記録させるステップは、前記記録媒体へのミラーリング期限中、前記特定行動及び当該特定行動の予兆のいずれかの検出の有無に関係なく前記パケットの少なくとも一部を前記記録媒体に記録することを特徴とする請求項9から請求項11のいずれか記載の通信記録方法。
The step of recording on the storage medium records at least a part of the packet on the recording medium regardless of whether or not the specific action and a sign of the specific action are detected during a mirroring period to the recording medium. 12. The communication recording method according to claim 9, wherein the communication recording method is any one of claims 9 to 11.
JP2004118462A 2004-04-14 2004-04-14 Communication recording system, relay apparatus and communication recording method used for them Pending JP2005301766A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004118462A JP2005301766A (en) 2004-04-14 2004-04-14 Communication recording system, relay apparatus and communication recording method used for them

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004118462A JP2005301766A (en) 2004-04-14 2004-04-14 Communication recording system, relay apparatus and communication recording method used for them

Publications (1)

Publication Number Publication Date
JP2005301766A true JP2005301766A (en) 2005-10-27

Family

ID=35333205

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004118462A Pending JP2005301766A (en) 2004-04-14 2004-04-14 Communication recording system, relay apparatus and communication recording method used for them

Country Status (1)

Country Link
JP (1) JP2005301766A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012070106A (en) * 2010-09-22 2012-04-05 Nec Commun Syst Ltd Relay device, input line interface circuit, error data transfer processing method used in the same

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012070106A (en) * 2010-09-22 2012-04-05 Nec Commun Syst Ltd Relay device, input line interface circuit, error data transfer processing method used in the same

Similar Documents

Publication Publication Date Title
WO2009090723A1 (en) Packet transmission device and its control circuit
JP2009282907A (en) Database access server and database access system
JP4877145B2 (en) Program for controlling communication device and communication device
JP4566148B2 (en) Network communication monitoring system, network communication monitoring method, central device, relay device, and computer program
JP2005301766A (en) Communication recording system, relay apparatus and communication recording method used for them
JP4040045B2 (en) Data transfer device
JP2008282070A (en) Networking equipment and network system
Yamaguchi et al. iSCSI analysis system and performance improvement of sequential access in a long‐latency environment
JP2006330783A (en) Device and method for specifying overlay network generation application starting node
JP2001244946A (en) Network monitoring device
CN114257604A (en) Data processing method and system
JP4500085B2 (en) Test support apparatus and test support method
JP2007081938A (en) Apparatus diagnostic system
JP2005056347A (en) Method and program for succeeding server function
Cisco Using the CSS Logging Features
JP2002197005A (en) Service surrogate control method
JP3740038B2 (en) Public content provision system
JP2009284433A (en) System and method for detecting and controlling p2p terminal
JP4913002B2 (en) Web application monitoring device
JP2006236097A (en) Data exchange system, data exchange method, server, management server and data exchange program
JP2009081736A (en) Packet transfer apparatus and program
US11902404B1 (en) Retaining key parameters after a transmission control protocol (TCP) session flap
JP6179981B2 (en) Information processing system, information processing apparatus, information processing method, and program
JP2005284842A (en) Data backup system
JP2006195726A (en) Data exchange method, data exchange system, data exchange program, server and management server

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070313

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090527

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090901

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100112