JP2006005890A - アラート識別コード付加により除外された通信データの等値表示方法とシステム - Google Patents
アラート識別コード付加により除外された通信データの等値表示方法とシステム Download PDFInfo
- Publication number
- JP2006005890A JP2006005890A JP2004204013A JP2004204013A JP2006005890A JP 2006005890 A JP2006005890 A JP 2006005890A JP 2004204013 A JP2004204013 A JP 2004204013A JP 2004204013 A JP2004204013 A JP 2004204013A JP 2006005890 A JP2006005890 A JP 2006005890A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- data
- identification code
- alert
- communication data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】通信記録の分析装置において未知なるコンピュータウィルスの通信を通信データの内容を見て発見できるようにする。
【解決手段】「表示装置1」と「打鍵装置2」と「データ検索機構4」を利用し通信データの重要な情報が格納された「データベース(通信パケットテーブル)5」からデータを検索し一覧表示する「通信データ等値表示機構3」と「アラート定義ファイル7」の定義を行う「アラート定義設定機構8」と「アラート定義ファイル7」から定義を読み「データベース(通信パケットテーブル)5」へアラート識別コードを付加する「アラート識別コード付加機構6」により実現される。
【選択図】 図1
【解決手段】「表示装置1」と「打鍵装置2」と「データ検索機構4」を利用し通信データの重要な情報が格納された「データベース(通信パケットテーブル)5」からデータを検索し一覧表示する「通信データ等値表示機構3」と「アラート定義ファイル7」の定義を行う「アラート定義設定機構8」と「アラート定義ファイル7」から定義を読み「データベース(通信パケットテーブル)5」へアラート識別コードを付加する「アラート識別コード付加機構6」により実現される。
【選択図】 図1
Description
本発明は通信分野における通信記録の分析装置に関する発明である。
パケットキャプチャといわれるソフトウェアは通信の内容を出力するソフトウェアである。従来、この出力されたデータを分類化し、その中の重要な情報をデータベースへ登録し、検索するシステムがあった。
データベースに登録された各情報に対しそれぞれ検索ができても、コンピュータウィルスの行う異常な通信データを検索するにはコンピュータウィルスの送信する特有の送信データを検索条件として指定しなければ実態はわからない。これでは、新たに作られた未知なるコンピュータウィルスの通信を把握することは不可能であり、通信トラフィックの急激な増加で判断するしかなくなる。この方法だと仮に従来のコンピュータウィルスが原因で通信トラフィックが増加していた場合、未知なるコンピュータウィルスの発生と誤って判断することになる。
通信トラフィックの急激な増加により判断する方法に頼らず、未知なるコンピュータウィルスを発見する手法が課題となった。
通信トラフィックの急激な増加により判断する方法に頼らず、未知なるコンピュータウィルスを発見する手法が課題となった。
図1は本発明の構成を示すブロック図である。
本発明は、「表示装置1」と「打鍵装置2」と「データ検索機構4」を利用し通信データの重要な情報が格納された「データベース(通信パケットテーブル)5」からデータを検索し一覧表示する「通信データ等値表示機構3」と「アラート定義ファイル7」の定義を行う「アラート定義設定機構8」と「アラート定義ファイル7」から定義を読み「データベース(通信パケットテーブル)5」へアラート識別コードを付加する「アラート識別コード付加機構6」により実現される。
本発明は、「表示装置1」と「打鍵装置2」と「データ検索機構4」を利用し通信データの重要な情報が格納された「データベース(通信パケットテーブル)5」からデータを検索し一覧表示する「通信データ等値表示機構3」と「アラート定義ファイル7」の定義を行う「アラート定義設定機構8」と「アラート定義ファイル7」から定義を読み「データベース(通信パケットテーブル)5」へアラート識別コードを付加する「アラート識別コード付加機構6」により実現される。
本発明を利用することで、未知なるコンピュータウィルスの通信を通信データの内容を見て発見できるようになる。
異常な通信を定義する「アラート定義ファイル7」を設け、「データベース(通信パケットテーブル)5」において、これに一致する通信を持つデータにアラート識別コードを付加し、これを除外したデータを検索することで、正常な通信と未知なる異常な通信のデータに絞り込む。
上記データの通信パケットのデータ部分において、等値のデータをもつものを一覧表示させ、データの内容を評価することで異常な通信が発見できる。正常な通信を除外しないのは、異常な通信がしばしば、正常な通信に見せかけている場合があるので除外できない。すくなくとも2件以上同じものがあり、それが異常なデータを含んだものであれば、未知なるコンピュータウィルスの通信である可能性がある。
また、上記とは別に「2件以上でないもの」を表示させることで、単発で送信された異常な通信を把握できるようにした。
上記データの通信パケットのデータ部分において、等値のデータをもつものを一覧表示させ、データの内容を評価することで異常な通信が発見できる。正常な通信を除外しないのは、異常な通信がしばしば、正常な通信に見せかけている場合があるので除外できない。すくなくとも2件以上同じものがあり、それが異常なデータを含んだものであれば、未知なるコンピュータウィルスの通信である可能性がある。
また、上記とは別に「2件以上でないもの」を表示させることで、単発で送信された異常な通信を把握できるようにした。
図1は本発明の構成を示すブロック図である。
図1の各機構は図2に示す流れ図に従って動作する。
図1の各機構は図2に示す流れ図に従って動作する。
処理ステップ1で、通信データ等値表示機構3が通信データの検索条件を作成する。検索条件は以下の3条件をすべて満たすものである。
イ 「データベース(通信パケットテーブル)5」のアラート識別コードが未定義。「データベース(通信パケットテーブル)5」の構成要素図を図3に示す。項14がアラート識別コードである。
ロ 検索から除外する条件。例えばキャッシュサーバ経由でWWWサーバへ送信するリクエストは正常な通信でも、多種類で不特定な文字列がデータに入っている。このデータを検索から除外する条件。
ハ 通信パケットの通信内容(図3の項12および項13)が先頭部分以外、例えば16バイト以降のデータ部分において等値であるデータが2つ以上。
表示装置1に検索条件に一致する通信データ一覧を表示するため、あらかじめ利用者は「上記の検索条件」又は「以下のニかつホを満たす検索条件」のどちらかを指定しておく。
ニ 上記検索条件のイかつロの条件
ホ 通信パケットの通信内容(図3の項12および項13)が先頭部分以外、例えば16バイト以降のデータ部分において等値であるデータがない。
イ 「データベース(通信パケットテーブル)5」のアラート識別コードが未定義。「データベース(通信パケットテーブル)5」の構成要素図を図3に示す。項14がアラート識別コードである。
ロ 検索から除外する条件。例えばキャッシュサーバ経由でWWWサーバへ送信するリクエストは正常な通信でも、多種類で不特定な文字列がデータに入っている。このデータを検索から除外する条件。
ハ 通信パケットの通信内容(図3の項12および項13)が先頭部分以外、例えば16バイト以降のデータ部分において等値であるデータが2つ以上。
表示装置1に検索条件に一致する通信データ一覧を表示するため、あらかじめ利用者は「上記の検索条件」又は「以下のニかつホを満たす検索条件」のどちらかを指定しておく。
ニ 上記検索条件のイかつロの条件
ホ 通信パケットの通信内容(図3の項12および項13)が先頭部分以外、例えば16バイト以降のデータ部分において等値であるデータがない。
処理ステップ2で、通信データ等値表示機構3は検索条件をデータ検索機構4へ渡し検索の依頼をかける。
処理ステップ3で、データ検索機構4がデータベース(通信パケットテーブル)5を検索する。
処理ステップ4で、通信データ等値表示機構3はデータ検索機構4から検索結果を受け取り、表示装置1へ検索結果を一覧表にして表示する。
処理ステップ5で、打鍵装置2からの入力を待つ。
利用者が表示装置1で表示された一覧表に異常を発見し、アラート定義の追加を行う場合、ここで指令が投入される。
利用者が表示装置1で表示された一覧表に異常を発見し、アラート定義の追加を行う場合、ここで指令が投入される。
通信データ等値表示機構3は処理ステップ6で、アラート定義設定機構8の起動要求か判定する。
YESの場合、処理ステップ7へ進む。
NOの場合、処理ステップ5へ戻る。
YESの場合、処理ステップ7へ進む。
NOの場合、処理ステップ5へ戻る。
通信データ等値表示機構3はアラート定義設定機構8を起動する。
処理ステップ7で、アラート定義設定機構8が利用者のアラート定義の追加を受け付け、定義を追加する。ここで追加されるアラート定義はアラート定義ファイル7へ格納される。アラート定義ファイル7の構成要素図を図4に示す。後で、データベース(通信パケットテーブル)5へ付加されるアラート識別コードは図4の項2と同一のものである。
処理ステップ7で、アラート定義設定機構8が利用者のアラート定義の追加を受け付け、定義を追加する。ここで追加されるアラート定義はアラート定義ファイル7へ格納される。アラート定義ファイル7の構成要素図を図4に示す。後で、データベース(通信パケットテーブル)5へ付加されるアラート識別コードは図4の項2と同一のものである。
処理ステップ8で、打鍵装置からの入力を待つ。
アラート定義の追加を終了する指示を待つ。
アラート定義の追加を終了する指示を待つ。
アラート定義設定機構8が処理ステップ9で、定義終了要求か判定する。
YESの場合、処理ステップ10へ進む。アラート定義設定機構8は終了し、制御が通信データ等値表示機構3へ戻る。
NOの場合、処理ステップ7へ戻る。
YESの場合、処理ステップ10へ進む。アラート定義設定機構8は終了し、制御が通信データ等値表示機構3へ戻る。
NOの場合、処理ステップ7へ戻る。
通信データ等値表示機構3が処理ステップ10で、アラート識別コード付加要求か判定する。新規にアラート定義が追加された場合、アラート定義設定機構8がアラート識別コード付加要求を出す。
YESの場合、処理ステップ11へ進む。
NOの場合、処理ステップ1へ戻る。
YESの場合、処理ステップ11へ進む。
NOの場合、処理ステップ1へ戻る。
通信データ等値表示機構3がアラート識別コード付加機構6を起動する。
処理ステップ11で、アラート識別コード付加機構6がデータベース(通信パケットテーブル)5において新たに追加されたアラート定義の条件を満たすデータに対し、アラート識別コードを付加する。データベース(通信パケットテーブル)5の構成要素図を図3に示す。項14がアラート識別コードである。
処理が完了すると処理ステップ1へ戻る。
処理ステップ11で、アラート識別コード付加機構6がデータベース(通信パケットテーブル)5において新たに追加されたアラート定義の条件を満たすデータに対し、アラート識別コードを付加する。データベース(通信パケットテーブル)5の構成要素図を図3に示す。項14がアラート識別コードである。
処理が完了すると処理ステップ1へ戻る。
ここで新たにアラート識別コードが付与されたデータは処理ステップ1へ戻ることで、処理ステップ1で生成される検索条件から外れ、アラート識別コードが付与されたデータ以外のデータが表示対象になる。これにより表示が絞られ、異常な通信を発見しやすくなる。
Claims (1)
- データ通信のパケット内の情報をデータベースに登録したシステムにおいて、異常とみなす検索条件に一致するデータに対しアラート識別コードを付加し、このアラート識別コードが付加されていない通信データに対し、2件以上同じデータを持つものを一覧表示させるか、2件以上同じデータを持たないものを一覧表示させることにより、異常な通信データの内容を画面上で把握できるようにした点と、異常と判断した通信に一致する検索条件を新規に定義し、それをもとにデータベースへ新たにアラート識別コードを付加することで上記検索表示の表示精度を上げる方法。およびこの方法を使用したシステム
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004204013A JP2006005890A (ja) | 2004-06-14 | 2004-06-14 | アラート識別コード付加により除外された通信データの等値表示方法とシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004204013A JP2006005890A (ja) | 2004-06-14 | 2004-06-14 | アラート識別コード付加により除外された通信データの等値表示方法とシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006005890A true JP2006005890A (ja) | 2006-01-05 |
Family
ID=35773861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004204013A Pending JP2006005890A (ja) | 2004-06-14 | 2004-06-14 | アラート識別コード付加により除外された通信データの等値表示方法とシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006005890A (ja) |
-
2004
- 2004-06-14 JP JP2004204013A patent/JP2006005890A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11831523B2 (en) | Systems and methods for displaying adjustable metrics on real-time data in a computing environment | |
| US10474513B2 (en) | Cluster-based processing of unstructured log messages | |
| JP5689919B2 (ja) | 情報処理装置、情報処理方法、コンピュータプログラムおよびコンピュータ可読メモリ媒体 | |
| KR20160030351A (ko) | 정보 처리 방법 및 장치 | |
| US8954376B2 (en) | Detecting transcoding tables in extract-transform-load processes | |
| JP2019153271A5 (ja) | ||
| CN114385763A (zh) | 数据血缘分析方法、装置、系统及可读存储介质 | |
| KR100817562B1 (ko) | 대용량 로그파일의 인덱싱 방법, 이를 내장한 컴퓨터가판독 가능한 기록매체 및 이를 수행하기 위한 인덱싱시스템 | |
| US7756798B2 (en) | Extensible mechanism for detecting duplicate search items | |
| US10031932B2 (en) | Extending tags for information resources | |
| US20090204889A1 (en) | Adaptive sampling of web pages for extraction | |
| US8271493B2 (en) | Extensible mechanism for grouping search results | |
| JP2010282241A (ja) | ファイル管理装置、ファイル管理システム、ファイル管理方法、および、プログラム | |
| JP5295062B2 (ja) | 複合イベント処理向けクエリ自動生成装置 | |
| US10262061B2 (en) | Hierarchical data classification using frequency analysis | |
| JP2006005890A (ja) | アラート識別コード付加により除外された通信データの等値表示方法とシステム | |
| US10789238B2 (en) | Event management systems and event triggering methods and systems thereof applied to a version control server | |
| JP2002123516A (ja) | ウェブサイト評価システム、ウェブサイト評価方法、記録媒体 | |
| JP4810113B2 (ja) | データベースチューニング装置及びデータベースチューニング方法並びにプログラム | |
| JP4675986B2 (ja) | 情報共有装置及び情報共有プログラム | |
| JP2007199987A (ja) | 特許情報検索システム | |
| JP2018156328A (ja) | 検索支援プログラム、検索支援装置および検索支援方法 | |
| US20240037214A1 (en) | Information processing device, information processing method, and computer readable medium | |
| JP4550876B2 (ja) | 構造化文書検索システム及びプログラム | |
| JP6383298B2 (ja) | 文献調査支援装置および文献調査支援方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060502 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081111 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090512 |