JP2006350654A - サーバ計算機 - Google Patents
サーバ計算機 Download PDFInfo
- Publication number
- JP2006350654A JP2006350654A JP2005175533A JP2005175533A JP2006350654A JP 2006350654 A JP2006350654 A JP 2006350654A JP 2005175533 A JP2005175533 A JP 2005175533A JP 2005175533 A JP2005175533 A JP 2005175533A JP 2006350654 A JP2006350654 A JP 2006350654A
- Authority
- JP
- Japan
- Prior art keywords
- log
- state
- communication
- inspection
- automaton
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】通信網上にある各計算機から収集した複数の情報をリアルタイムに、かつ高速に処理し、通信網の異常を検出することができるサーバ計算機を提供すること。
【解決手段】ログ受信部101A、101B、101Cが、計算機201A、202A、203B、204Cが送信した通信ログ21を受信して通信ログ検査部102に出力し、通信ログ検査部102は、文字列とつぎに遷移する状態との組が予め設定された複数の状態を有し、ログデータの中に前記文字列が含まれているか否かを検査し、ログデータの中に文字列が含まれている場合にはつぎに遷移する状態に遷移するオートマトンを備える状態マシンを用いて通信ログ21のログデータを検査して、オートマトンが終了状態に遷移した場合には検査結果をログ記憶装置103に記憶する。
【選択図】 図1
【解決手段】ログ受信部101A、101B、101Cが、計算機201A、202A、203B、204Cが送信した通信ログ21を受信して通信ログ検査部102に出力し、通信ログ検査部102は、文字列とつぎに遷移する状態との組が予め設定された複数の状態を有し、ログデータの中に前記文字列が含まれているか否かを検査し、ログデータの中に文字列が含まれている場合にはつぎに遷移する状態に遷移するオートマトンを備える状態マシンを用いて通信ログ21のログデータを検査して、オートマトンが終了状態に遷移した場合には検査結果をログ記憶装置103に記憶する。
【選択図】 図1
Description
この発明は、ネットワーク上に流れる通信/接続に関する履歴(通信ログ)の処理に関するものであり、特に、1以上の計算機が接続された通信網(ネットワーク)において、それぞれの計算機から送信される通信ログを用いて各計算機および通信網を管理するためのサーバ計算機に関するものである。
従来の計算機ネットワークでは、たとえば、UNIX(登録商標)/Linux(登録商標)のOS(オペレーティング・システム)で用いられる「syslog」や、Windows(登録商標)のOSで用いられる「Eventlog」、「SNMP」などのプロトコルを用いて、それぞれの計算機が通信を行った際の通信ログが送信され、これらの通信ログをサーバ計算機等に記録させることで、それぞれの計算機や、通信網を管理する手法が一般的に採用されている。
上記プロトコルの他にも、例えば、「Apache」などのアプリケーションが上述のOSなどに適用されており、これらのアプリケーションでは、通信ログが独自に生成され、通信網上にはさまざまなプロトコル、アプリケーションによる通信ログの送受信が行われている。
一方、通信網を経由して悪意ある情報(コンピュータウィルスやワーム)等を受信したり、不正なネットワーク接続(不正侵入行為そのものや、不正侵入を試みる行為)等が探知され、あるいは、通信障害等が発生した場合には、これらの記録された通信ログを調査することで、その悪意ある情報の発信元や接続元、あるいは障害の原因となっている装置・機器等を特定し、あるいは計算機および通信網を管理するなど、通信ログが積極的に利用されている。
また、通信ログ以外にも不正進入検出システム(Intrusion Detection System)などによる検出結果も通信ログと併せて悪意ある情報の発信元や接続元、あるいは障害の原因となっている装置・機器等を特定するための情報源として利用される。
さて、記録された通信ログや不正進入検出システムによる検査結果を用いて、悪意ある情報の発信元や接続元、あるいは障害の原因となっている装置・機器等を特定するためには管理者がそれぞれの情報を調査するか、ログ管理装置に含まれるログ検査機能によって調査するのが一般的である。
たとえば、通信ログをログ管理機能によって調査する従来技術として、特許文献1がある。特許文献1には、通信網に接続された1以上の計算機のそれぞれから受信した通信ログを所定の統一形式ログに変換し、この統一形式ログを人工ニューラルネットワークやファジイ理論による判断手法を用いて通信ログの異常を判定する技術が開示されている。
通信ログを用いたネットワークの異常性判断を行なうための表示手段においては、テキストファイル等の形式で記録された通信ログを調査し、通信ログの内容をグラフ化するなどして、異常性判断を視覚的に行うことを重視したアプリケーションが多数存在している。しかしながら、通信ログの異常性判断の本質的な点は、経験則等から知得した人為的な判断および作業によって行うか、過去の侵入形態に関する特徴をあらかじめ具体的に定義し、その定義された特徴と合致するものを自動的に抽出するという手法に頼らざるを得ない状況にある。
これに対して、上記特許文献1に記載の従来技術では、人工ニューラルネットワークやファジイ理論による判断手法を用いて通信ログの異常を判定するようにしている。しかしながら、一般的に、人工ニューラルネットワークは計算量が多く処理に時間がかかるため、通信ログを受信してからその通信ログの異常を検出するまでの処理時間が長くなるという問題があった。
また、ファジイ理論による判断手法では、一定の時間をかけて断続的に到達する複数の通信ログに基づいてリアルタイムに異常を検出することができないという問題があった。
すなわち、上記特許文献1に記載の従来技術では、人工ニューラルネットワークやファジイ理論による判断手法を用いて通信ログの異常を判定するようにしているため、複数の通信ログや挿入検出システムなどのセキュリティ機器から集められた複数の情報をリアルタイムに、高速に処理することができないという問題があった。
本発明は、上記に鑑みてなされたものであって、通信網上にある各計算機から収集した複数の情報をリアルタイムに、かつ高速に処理し、通信網の異常を検出することができるサーバ計算機を得ることを目的としている。
上述した課題を解決し、目的を達成するために、請求項1にかかる発明は、1以上の計算機が接続された通信網を管理するサーバ計算機であって、前記通信網に接続された計算機のそれぞれから送信された通信ログを受信するログ受信部と、前記ログ受信部によって受信された通信ログのログデータの中に予め定められた文字列が含まれているかを検査するオートマトンによる状態マシンを有し、前記オートマトンの検査結果に基づいて前記通信網、または前記計算機に異常が発生したかを判定し、異常が発生したと判定した場合には、前記計算機または/および所定の管理装置に異常が発生したことを通知する通信ログ検査部と、を備えることを特徴とするものである。
請求項2にかかる発明は、請求項1の発明において、前記オートマトンは、文字列とつぎに遷移する状態との組が予め設定された複数の状態を有し、前記ログデータの中に前記文字列が含まれているか否かを検査し、前記ログデータの中に前記文字列が含まれている場合には、前記つぎに遷移する状態に遷移すること、を特徴とするものである。
請求項3にかかる発明は、請求項1または2の発明において、前記状態マシンは、前記オートマトンを複数備える場合には、すべてのオートマトンに前記ログデータを入力し、ぞれぞれのオートマトンが独立して動作して並列に前記ログデータを検査すること、を特徴とするものである。
請求項4にかかる発明は、請求項2または3の発明において、前記オートマトンは、
前記検査終了を示す終了状態に遷移した場合には、前記ログデータの検査を終了すること、を特徴とするものである。
前記検査終了を示す終了状態に遷移した場合には、前記ログデータの検査を終了すること、を特徴とするものである。
請求項5にかかる発明は、請求項2〜4の発明において、前記オートマトンは、同一の状態のままで予め設定された期間を経過した場合には、検査を終了すること、を特徴とするものである。
請求項6にかかる発明は、請求項1〜5の発明において、前記通信ログ検査部は、前記状態マシンを複数備え、これらの状態マシンを前記通信網、または前記通信網とは異なる通信網を介して接続される1以上の通信ログ検査サーバに構築し、前記ログ受信部によって受信された通信ログのログデータを前記通信ログ検査サーバに送信して、前記通信ログ検査サーバに構築した状態マシンによって前記ログデータを検査させ、これらの検査結果を受信する通信ログ検査要求送受信部、をさらに備えることを特徴とするものである。
請求項1にかかる発明のサーバ計算機によれば、オートマトンによる状態マシンを用いて、通信網を介して接続された1以上の計算機から断続的に受信した通信ログのログデータの中に予め定められた文字列が含まれているか否かを検査し、この検査結果に基づいて通信網または計算機に異常が発生したかを判定するようにしているため、通信網上にある各計算機から収集した複数の通信ログをリアルタイムに、かつ高速に処理し、通信網の異常を検出することができるという効果を奏する。
以下に、本発明にかかるサーバ計算機の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
図1〜図4(図4−1,図4−2を示す)を参照してこの発明の実施例1を説明する。図1は、この発明における実施例1のサーバ計算機が適用される通信システムの構成を示す図である。図1において、サーバ計算機100は、通信網150と、通信網150に接続された計算機の管理を行うものであり、プロトコルの種類に対応して備えられるn(nは自然数であり、この場合はn=3)個のログ受信部101A、101B、101Cと、受信したログの検査を行う通信ログ検査部102と、ログ記憶装置103と、送信部104とを備えている。また、計算機201A、202A、203B、204Cは、サーバ計算機100と通信網150を介して接続され、通信網150や計算機201A、202A、203B、204Cの異常を管理する管理装置205は、サーバ計算機100と通信網150を介さずに接続されている。なお、通信ログ検査部102、およびログ記憶装置103は、サーバ計算機100に直接内蔵される構成として示しているが、サーバ計算機100の外部に接続される周辺機器として構成されていてもよい。また、ログ記憶装置103は、通信網150を介して接続された他の計算機(図示省略)の中に備えられた記憶装置として構成されていても機能上差し支えない。
つぎに、図2のフローチャートを参照して、図1に示した通信システムの動作について説明する。なお、図1において、計算機201A、202A、203B、204Cは、サーバ計算機100に対して、それぞれの計算機201A、202A、203B、204Cが通信ログ211A、212A、213B、214Cを出力しているが、これらの通信ログ211A、212A、213B、214Cをまとめて「通信ログ21」と称することにする。
計算機201A、202Aは、同一のプロトコル22Aに基づいた通信ログ211A、212Aをサーバ計算機100に対してそれぞれ送信する(ステップS101A)。計算機203Bは、プロトコル22Aとは異なる形式のプロトコル22Bに基づく通信ログ213Bをサーバ計算機100に対して送信する(ステップS101B)。計算機204Cは、これらの通信プロトコルとは異なる形式のプロトコル22Cに基づく通信ログ214Cをサーバ計算機100に対して送信する(ステップS101C)。
また、サーバ計算機100に備えられたログ受信部101A、101B、101Cは、それぞれの計算機から送信された異なるプロトコル(プロトコル22A、プロトコル22Bあるいはプロトコル22C)の通信ログ21を受信し(ステップS102)、記憶命令(データベースに応じた形式で)を出力して通信ログ21をログ記憶装置103に記憶させる(ステップS103)とともに、通信ログ21のログデータを通信ログ検査部102に出力する。
ログ記憶装置103が通信ログを記憶するのと平行して通信ログ検査部102は、ログ受信部101A、101B、101Cが受信した1以上の通信ログ21のログデータの検査処理を実行する(ステップS104)。
検査処理によって異常を検出した場合(ステップS105,Yes)、通信ログ検査部102は、異常結果をログ記憶装置103に記憶させる(ステップS106)。詳細は後述するが、通信ログ検査部102は、オートマトンによる状態マシンを用いてログデータの検査処理を実行する。オートマトンは、終了状態を示す状態コードを通信ログ検査部102に通知して検査処理を終了か、タイムアウトによって検査処理を終了する。通信ログ検査部102は、状態コードの通知を受けた場合、または通知された状態コードの値によって異常を検出する。
異常結果をログ記憶装置103に記憶させた後に通信ログ検査部102は、送信部104を介して、異常を検出したことを通知する異常検出通知160を通信網150、および/または管理装置205に出力する(ステップS107)。計算機201A,202A,203B,204Cは、通信網150から異常検出通知160を受信することで、通信システム内に異常があったことを認識し、管理装置205は直接サーバ計算機100からの異常検出通知160を受信することで、通信システム内に異常があったことを認識する。
一方、検査処理によって異常を検出しなかった場合(ステップS105,No)、通信ログ検査部102は、ログ受信部101A、101B、101Cが新たに受信した通信ログ21をログ記憶装置103に記憶させるとともに、新たに受信した通信ログ21のログデータの検査処理を実行する。
つぎに、図3および図4を参照して、通信ログ検査部102の構成および検査処理を詳細に説明する。通信ログ検査部102はオートマトンによる状態マシンで構成され、通信ログの検査処理を行なう。
オートマトンは、最低1つの開始状態と1以上の終了状態とを有し、開始状態と終了状態との間に任意の数の中間状態を有することができ、状態遷移において開始状態または中間状態から異なる中間状態または終了状態に遷移(分岐)する。
開始状態には、それぞれつぎの状態(中間状態または終了状態)に遷移するための条件(文字列)と、つぎに遷移する状態とが予め設定されており、中間状態には、それぞれつぎの状態(異なる中間状態または終了状態)に遷移するための条件(文字列)と、つぎに遷移する状態と、現在の状態であることができるタイムアウト時間とが予め設定されており、終了状態には、自身の状態を示す値(状態コード)が設定されている。
オートマトンは、入力されるログデータの中に現在の状態に設定されている条件と一致する文字列が含まれているか否かを検査し、ログデータの中に条件と一致する文字列が含まれている場合には、現在の状態に設定されているつぎに遷移する状態が示す状態に遷移する。ログデータの中に条件と一致する文字列が含まれていない場合には現在の状態のままとなる。
また、オートマトンは、遷移した状態が中間状態の場合には、通信ログ検査部102またはサーバ計算機100の計時機能を用いてタイムアウト時間の計測を行う。オートマトンは、遷移した状態が終了状態の場合には、設定されている状態コードを通信ログ検査部102に通知する。
たとえば、オートマトンは、開始状態と終了状態、または開始状態と中間状態と終了状態によって構成される計算機であり、現在の状態に設定されている条件である文字列がログデータに含まれているか否かを検査し、条件である文字列がログデータに含まれている場合には現在の状態に設定されているつぎに遷移する状態に遷移するプログラムを記憶媒体に記憶させておき、専用のCPU、またはサーバ計算機100のOSが実行されるCPUが実行することで実現する。
図3は、オートマトンの構成の一例を示す図である。図3において、オートマトンは、開始状態である状態A301と、中間状態である状態B302、状態C303と、終了状態である状態D304、状態E305との5個の状態によって構成されている。図3において、状態A301が状態B302に遷移する条件は「条件b」であり、状態B302が状態C303に遷移する条件は「条件c」であり、状態B302が状態E305に遷移する条件は「条件e」であり、状態C303が状態D304に遷移する条件は「条件d」である。
図4のフローチャートを参照して、図3に示したオートマトンによる状態マシンを用いた場合の通信ログ検査部102の検査処理の動作について説明する。初期状態において通信ログ検査部102の状態マシンによってオートマトンが起動され、オートマトンは開始状態である状態A301となって(図4−1のステップS201)ログデータの入力待ちとなる(図4−1のステップS202)。
ログデータが入力されると、オートマトンは、入力されたログデータが状態B302に遷移するための条件bと一致するか否かを検査する(図4−1のステップS203)。たとえば、条件bが、「AAA」という文字列である場合、入力されたログデータの中に「AAA」が含まれているか否かを検査する。
ログデータが条件bと不一致の場合、オートマトンは、入力されたログデータが条件bと一致するまで入力されたログデータと条件bと一致するか否かの検査を繰り返す(図4−1のステップS202,S203)。
ログデータが条件bと一致した場合、オートマトンは、現在の状態A301から状態B302に遷移して(図4−1のステップS204)、通信ログ検査部102またはサーバ計算機100の計時機能を用いてタイムアウト時間の計測を開始し(図4−1のステップS205)、ログデータの入力待ちとなる(図4−1のステップS206)。
ログデータが入力されると、オートマトンは、タイムアウト時間に達しているか否かを判定する(図4−1のステップS207)。タイムアウト時間に達している場合、検査処理を終了する。
タイムアウト時間に達していない場合、オートマトンは、入力されたログデータが状態B302から状態C303に遷移するための条件cと一致するか否かを検査する(図4−1のステップS208)。
ログデータが条件cと一致した場合、オートマトンは、現在の状態B302から状態C303に遷移して(図4−2のステップS209)、通信ログ検査部102またはサーバ計算機100の計時機能を用いてタイムアウト時間の計測を開始し(図4−2のステップS210)、通信ログの入力待ちとなる(図4−2のステップS211)。
ログデータが入力されると、オートマトンは、タイムアウト時間に達しているか否かを判定する(図4−2のステップS212)。タイムアウト時間に達している場合、オートマトンは検査処理を終了する。
タイムアウト時間に達していない場合、オートマトンは、入力されたログデータが状態C303から状態D304に遷移するための条件dと一致するか否かを判定する(図4−2のステップS213)。
ログデータが条件dと一致した場合、オートマトンは、現在の状態C303から状態D304に遷移する(図4−2のステップS214)。状態D304は、終了状態であるので、オートマトンは、状態D304に設定されている状態コードを通信ログ検査部102に通知して(図4−2のステップS215)検査処理を終了する。
一方、状態B302において通信ログが条件cと不一致の場合、オートマトンは、ログデータが現在の状態B302から状態E305に遷移する条件eと一致するか否かを判定する(図4−1のステップS216)。
ログデータが条件eと不一致の場合、オートマトンは、入力されたログデータが条件c、または条件eと一致するか、タイムアウト時間に達するまで、状態B302のままで入力されるログデータが条件cまたは条件eと一致するか否かの判定を繰り返す(図4−1のステップS206〜S208,S216)。
ログデータが条件eと一致した場合、オートマトンは、現在の状態B302から状態E305に遷移する(図4−2のステップS217)。状態E305は、終了状態であるので、オートマトンは、状態E305に設定されている状態コードを通信ログ検査部102に通知して(図4−1のステップS218)検査処理を終了する。
以上説明したように、この実施例1においては、オートマトンによる状態マシンを用いて、通信網を介して接続された1以上の計算機から断続的に受信した通信ログのログデータの中に予め定められた文字列が含まれているか否かを検査し、この検査結果に基づいて通信網または計算機に異常が発生したかを判定するようにしているため、通信網上にある各計算機から収集した複数の通信ログをリアルタイムに、かつ高速に処理し、通信網の異常を検出することができる。
具体的には、複数の通信ログを検査することで検出可能な、通信網を経由して悪意ある情報(コンピュータウィルスやワーム)等の受信や、不正なネットワーク接続(不正侵入行為そのものや、不正侵入を試みる行為)などを検出する場合に、通信ログを記録しておき、その履歴を検索することなく、リアルタイムにかつ高速に処理することができる。
また、この実施例1においては、オートマトンが、つぎの状態に遷移する条件である文字列とつぎに遷移する状態との組が予め設定された複数の状態を有し、ログデータの中に文字列が含まれているか否かを検査し、ログデータの中に前記文字列が含まれている場合にはつぎに遷移する状態に遷移するため、通信網を介して接続された1以上の計算機から受信した通信ログの履歴を検索することなく、受信した通信ログをリアルタイムに検査して通信網の異常を検出することができる。
さらに、この実施例1においては、オートマトンは、同一の状態のままで予め設定された期間を経過した場合には検査を終了するため、通信網上にある各計算機から収集した複数の通信ログの組合せによって通信網の異常を検出する場合に、通信ログを受信した時間を考慮して通信網に異常が発生したか否かを判定することができ、不正侵入の検出間違いを減少することができる。
なお、この実施例1では、サーバ計算機100と管理装置205とを通信網150を介さずに接続するようにしたが、サーバ計算機100と管理装置205とは、通信網150を介して接続してもかまわない。
図5〜図7を用いてこの発明の実施例2を説明する。先の実施例1では、通信ログ検査部102が1つのオートマトンからなる状態マシンを用いる場合について説明した。この実施例2では、通信ログ検査部102が複数のオートマトンからなる状態マシンを用いる場合について説明する。
なお、この発明における実施例2のサーバ計算機が適用される通信システムの構成は、先の図1に示した実施例1の通信システムと同じであるので、ここではその説明を省略する。
図5は、通信ログ検査部102を構成する複数のオートマトンを備えた状態マシンの構成を示す図である。図5において、状態マシン400は、開始状態である状態411−1、状態411−1が遷移する中間状態である状態411−2、状態411−2が遷移する中間状態である状態411−3、および状態411−3が遷移する終了状態である状態411−4を有するオートマトン401と、開始状態である状態412−1、状態412−1が遷移する中間状態である状態412−2、状態412−2が遷移する中間状態である状態412−3、および状態412−3が遷移する終了状態である状態412−4を有するオートマトン402と、開始状態である状態413−1、状態413−1が遷移する中間状態である状態413−2、状態413−2が遷移する中間状態である状態413−3、および状態413−3が遷移する終了状態である状態413−4を有するオートマトン403と、開始状態である状態414−1と、状態414−1が遷移する中間状態である状態414−2と、状態414−2が遷移する中間状態である状態414−3と、状態414−3が遷移する終了状態である状態414−4とを有するオートマトン404とを備え、オートマトン401〜404は、それぞれ独立して並列に動作する。
また、オートマトン401〜404には、予め状態マシン400がオートマトン401〜404を識別するための識別番号0〜3が付与されており、識別番号の若番順、すなわちオートマトン401、オートマトン402、オートマトン403、オートマトン404の順に、ログデータが伝達される。
つぎに、図6のフローチャートを参照して、図5に示した状態マシン400を用いた場合の通信ログ検査部102の検査処理の動作を説明する。ログデータが入力されると、状態マシン400は、識別番号0のオートマトン401を対象オートマトンとして選択し、対象オートマトンにログデータを出力する(ステップS301,S302)。
ログデータが入力される(ログデータを受信する)と(ステップS303)、対象オートマトンは、先の図3を参照して説明した検査処理のオートマトンの動作と同様に、ログデータが現在の状態からつぎの状態に遷移するための条件(ログデータを検査する条件)と一致するか否かを判定する。
ログデータが検査の条件と一致した場合(ステップS304,Yes)、状態マシン400は、対象オートマトンの現在の状態が開始状態であるか否かを判定する。対象オートマトンの現在の状態が開始状態の場合(ステップS305,Yes)、状態マシン400は、対象オートマトンのコピーを生成して対象オートマトンの後ろに挿入する(ステップS306)。具体的には、対象オートマトンがオートマトン401の場合、図7に示すように、オートマトン401をコピーして生成したオートマトン401Aに識別番号1を付与し、先の図5において識別番号1〜3が付与されていたオートマトン402〜404の識別番号を2〜4に変更する。これにより、オートマトン401とオートマトン402との間にオートマトン401Aが挿入されたことになる。
状態マシン400は、現在の対象オートマトンの識別番号に1を加算した識別番号を有するオートマトンを対象オートマトンに変更して(ステップS307)、変更した対象オートマトンの状態を現在の状態からつぎの状態に遷移させる(ステップS308)。この場合、状態マシン400は、オートマトン401Aの状態を状態411−1から状態411−2に遷移させる。
一方、ログデータが検査の条件と一致したときの対象オートマトンの現在の状態が開始状態ではない(中間状態)の場合(ステップS205,No)、状態マシン400は、対象オートマトンの状態を現在の状態からつぎの状態に遷移させる(ステップS308)。
状態マシン400は、現在の状態(遷移した後の状態)が終了状態であるか否かを判定する。現在の状態が終了状態の場合(ステップS309,Yes)、状態マシン400は、結果を通知して対象オートマトンを終了する(ステップS310)。
現在の状態が終了状態ではない場合(ステップS309,No)、対象オートマトンの現在の状態においてログデータが検査の条件と不一致の場合(ステップS304,No)、または対象オートマトンを終了した後に、状態マシン400は、対象オートマトンの識別番号に1を加算した識別番号を有するオートマトンが存在するか否かを判定する(ステップS311,S312)。
対象オートマトンの識別番号に1を加算した識別番号を有するオートマトンが存在する場合には、対象オートマトンの識別番号に1を加算した識別番号を有するオートマトンを対象オートマトンとして選択してログデータを出力して通信ログを検査するステップS302〜S312の動作を繰り返す。
対象オートマトンの識別番号に1を加算した識別番号を有するオートマトンが存在しない(状態マシン400内の全てのオートマトンを対象オートマトンとしてログデータの検査が終了した)場合、状態マシン400は処理を終了して、つぎのログデータの待ち状態となる。
以上説明したように、この実施例2においては、通信ログ検査部を構成する状態マシンが、複数のオートマトンを備える場合には、すべてのオートマトンにログデータを入力し、それぞれのオートマトンが独立して動作して並列にログデータを検査するようにしているため、通信網上にある各計算機から収集した複数の情報をリアルタイムに、かつ高速に処理し、通信網の異常を検出することができる。
図8を参照してこの発明の実施例3を説明する。先の実施例2では、通信ログ検査部が用いる状態マシンは複数のオートマトンからなり、各オートマトンが独立に動作した。したがって、状態マシンの複数のオートマトンをそれぞれ個別の計算機上に構成することも可能である。この実施例3では、通信ログ検査部を別計算機上に構成する場合について説明する。
図8は、この発明における実施例3のサーバ計算機が適用される通信システムの構成を示す図である。図7に示した通信システムは、先の図1に示した通信システムのサーバ計算機100の代わりにサーバ計算機100Aを備え、通信網151を介してサーバ計算機100Aと接続される通信ログ検査サーバ110,120,130が追加されている。図1に示した通信システムと同じ機能を持つ構成部分には同一符号を付し、重複する説明は省略する。
サーバ計算機100Aは、サーバ計算機100の通信ログ検査部102の代わりに、通信網151を介して通信ログ検査サーバ110,120,130と通信を行なう通信インタフェース機能を有する通信ログ検査要求送受信部105を備え、通信ログ検査要求送受信部105を介して通信ログ検査サーバ110,120,130と検査要求、通信ログ、および検査結果の送受信を行う。
通信ログ検査サーバ110,120,130はそれぞれログ収集管理を行うサーバ計算機100と検査要求とログデータの受信、検査結果の送信を行うための検査要求送受信部111,121,131と通信ログの検査を行う通信ログ検査部112,122,132を備えている。
通信ログ検査部112,122,132は、実施例1または2のサーバ計算機100の通信ログ検査部102と同様に、1以上のオートマトンを有する状態マシンによって構成されるが、通信ログ検査部112,122,132を構成する状態マシンのオートマトンは、それぞれ異なるオートマトンである。
つぎに、サーバ計算機100Aが計算機201A,202A,203B,204Cから通信ログ21を受信した場合の動作を説明する。サーバ計算機100Aのログ受信部101A,101B,101Cは、通信ログ21を受信すると、記憶命令(データベースに応じた形式で)を出力して通信ログをログ記憶装置103に記憶させるとともに、通信ログ21のログデータを通信ログ検査要求送受信部105に出力する。
ログ記憶装置103が通信ログ21を記憶するのと平行して通信ログ検査要求送受信部105は、ログデータおよび検査要求を通信ログ検査サーバ110,120,130に送信する。
通信ログ検査サーバ110,120,130の検査要求送受信部111,121,131は、サーバ計算機100Aの通信ログ検査要求送受信部105からのログデータおよび検査要求を受信し、受信したログデータを通信ログ検査部112,122,132に出力する。
通信ログ検査部112,122,132は、先の実施例1および2で説明したように検査処理を実行してログデータを検査する。通信ログ検査部112,122,132は、状態マシンのオートマトンの状態が終了状態まで遷移するか、中間状態においてタイムアウト時間に達した場合に、状態コード、またはタイムアウト時間に達したことを検査結果として検査要求送受信部111,121,131を介してサーバ計算機100Aの通信ログ検査要求送受信部105に送信する。
サーバ計算機100Aの通信ログ検査要求送受信部105は、受信した検査結果が異常を検出したことを示す場合、その検査結果(異常結果)をログ記憶装置103に記憶させる。
異常結果をログ記憶装置103に記憶させた後に通信ログ検査要求送受信部105は、送信部104を介して、異常を検出したことを通知する異常検出通知160を通信網150、および/または管理装置205に出力する。計算機201A,202A,203B,204Cは、通信網150から異常検出通知160を受信することで、通信システム内に異常があったことを認識し、管理装置205は直接サーバ計算機100からの異常検出通知160を受信することで、通信システム内に異常があったことを認識する。
以上説明したように、この実施例3では、通信ログ検査部が複数の状態マシンを備える場合、これらの状態マシンをサーバ計算機と各計算機とを接続する通信網、またはサーバ計算機と各計算機とを接続する通信網とは異なる通信網を介して接続される1以上の通信ログ検査サーバに構築し、通信ログ検査要求送受信部が、ログ受信部によって受信された通信ログのログデータを通信ログ検査サーバに送信して、通信ログ検査サーバに構築した状態マシンによってログデータを検査させ、これらの検査結果を受信するようにして、オートマトンによるログデータの検査処理を分散させるようにしているため、ログデータの検査処理の負荷を分散することができる。
なお、この実施例3では、サーバ計算機100Aと通信ログ検査サーバ110,120,130とを、サーバ計算機100Aと計算機201A,202A,203B,204Cとを接続する通信網150とは異なる通信網151で接続したが、サーバ計算機100Aと計算機201A,202A,203B,204Cとを接続する通信網150によって通信ログ検査サーバ110,120,130とサーバ計算機100Aとを接続してもかまわない。
以上のように、この発明にかかるサーバ計算機は、不正アクセスの検出装置や、通信障害の検出装置として有用であり、特に、複数の通信ログにわたって検査を行なうことによる異常を検出する場合に適している。
21,211A,212A,213B,214C 通信ログ
22A,22B,22C プロトコル
100,100A サーバ計算機
101A,101B,101C ログ受信部
102,112,122,132 通信ログ検査部
103 ログ記憶装置
104 送信部
105 通信ログ検査要求送受信部
110,120,130 通信ログ検査サーバ
111,121,131 検査要求送受信部
150,151 通信網
201A,202B,203B,204C 計算機
205 管理装置
301,302,303,304,411−1,411−2,411−3,411−4,412−1,412−2,412−3,412−4,413−1,413−2,413−3,413−4,414−1,414−2,414−3,414−4 状態
400 状態マシン
401,402,403,404,401A オートマトン
22A,22B,22C プロトコル
100,100A サーバ計算機
101A,101B,101C ログ受信部
102,112,122,132 通信ログ検査部
103 ログ記憶装置
104 送信部
105 通信ログ検査要求送受信部
110,120,130 通信ログ検査サーバ
111,121,131 検査要求送受信部
150,151 通信網
201A,202B,203B,204C 計算機
205 管理装置
301,302,303,304,411−1,411−2,411−3,411−4,412−1,412−2,412−3,412−4,413−1,413−2,413−3,413−4,414−1,414−2,414−3,414−4 状態
400 状態マシン
401,402,403,404,401A オートマトン
Claims (6)
- 1以上の計算機が接続された通信網を管理するサーバ計算機であって、
前記通信網に接続された計算機のそれぞれから送信された通信ログを受信するログ受信部と、
前記ログ受信部によって受信された通信ログのログデータの中に予め定められた文字列が含まれているかを検査するオートマトンによる状態マシンを有し、前記オートマトンの検査結果に基づいて前記通信網、または前記計算機に異常が発生したかを判定し、異常が発生したと判定した場合には、前記計算機または/および所定の管理装置に異常が発生したことを通知する通信ログ検査部と、
を備えることを特徴とするサーバ計算機。 - 前記オートマトンは、
文字列とつぎに遷移する状態との組が予め設定された複数の状態を有し、前記ログデータの中に前記文字列が含まれているか否かを検査し、前記ログデータの中に前記文字列が含まれている場合には、前記つぎに遷移する状態に遷移すること、
を特徴とする請求項1に記載のサーバ計算機。 - 前記状態マシンは、
前記オートマトンを複数備える場合には、すべてのオートマトンに前記ログデータを入力し、ぞれぞれのオートマトンが独立して動作して並列に前記ログデータを検査すること、
を特徴とする請求項1または2に記載のサーバ計算機。 - 前記オートマトンは、
前記検査終了を示す終了状態に遷移した場合には、前記ログデータの検査を終了すること、
を特徴とする請求項2または3に記載のサーバ計算機。 - 前記オートマトンは、
同一の状態のままで予め設定された期間を経過した場合には、検査を終了すること、
を特徴とする請求項2〜4の何れか一つに記載のサーバ計算機。 - 前記通信ログ検査部は、前記状態マシンを複数備え、これらの状態マシンを前記通信網、または前記通信網とは異なる通信網を介して接続される1以上の通信ログ検査サーバに構築し、
前記ログ受信部によって受信された通信ログのログデータを前記通信ログ検査サーバに送信して、前記通信ログ検査サーバに構築した状態マシンによって前記ログデータを検査させ、これらの検査結果を受信する通信ログ検査要求送受信部、
をさらに備えることを特徴とする請求項1〜5の何れか一つに記載のサーバ計算機。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005175533A JP2006350654A (ja) | 2005-06-15 | 2005-06-15 | サーバ計算機 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005175533A JP2006350654A (ja) | 2005-06-15 | 2005-06-15 | サーバ計算機 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006350654A true JP2006350654A (ja) | 2006-12-28 |
Family
ID=37646426
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005175533A Pending JP2006350654A (ja) | 2005-06-15 | 2005-06-15 | サーバ計算機 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006350654A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009064142A (ja) * | 2007-09-05 | 2009-03-26 | Kddi Corp | 推論規則生成方法およびプログラム |
| JP2010015513A (ja) * | 2008-07-07 | 2010-01-21 | Nippon Telegr & Teleph Corp <Ntt> | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
| WO2018079716A1 (ja) * | 2016-10-27 | 2018-05-03 | 国立大学法人名古屋工業大学 | 通信装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11259571A (ja) * | 1998-03-13 | 1999-09-24 | Nippon Telegr & Teleph Corp <Ntt> | 電子商取引システム不正利用検出方法及び装置 |
| JP2001331350A (ja) * | 2000-05-19 | 2001-11-30 | Mitsubishi Electric Corp | 保守管理装置 |
| WO2003100619A1 (fr) * | 2002-05-28 | 2003-12-04 | Fujitsu Limited | Dispositif, programme et procede de detection d'acces non autorise |
| WO2004061681A1 (ja) * | 2002-12-26 | 2004-07-22 | Fujitsu Limited | 運用管理方法および運用管理サーバ |
| JP2005128609A (ja) * | 2003-10-21 | 2005-05-19 | Yaskawa Information Systems Co Ltd | サーバ計算機、計算機および通信ログの処理方法 |
| JP2005136526A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
-
2005
- 2005-06-15 JP JP2005175533A patent/JP2006350654A/ja active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11259571A (ja) * | 1998-03-13 | 1999-09-24 | Nippon Telegr & Teleph Corp <Ntt> | 電子商取引システム不正利用検出方法及び装置 |
| JP2001331350A (ja) * | 2000-05-19 | 2001-11-30 | Mitsubishi Electric Corp | 保守管理装置 |
| WO2003100619A1 (fr) * | 2002-05-28 | 2003-12-04 | Fujitsu Limited | Dispositif, programme et procede de detection d'acces non autorise |
| WO2004061681A1 (ja) * | 2002-12-26 | 2004-07-22 | Fujitsu Limited | 運用管理方法および運用管理サーバ |
| JP2005128609A (ja) * | 2003-10-21 | 2005-05-19 | Yaskawa Information Systems Co Ltd | サーバ計算機、計算機および通信ログの処理方法 |
| JP2005136526A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
Non-Patent Citations (1)
| Title |
|---|
| 栗原純: "FPGA/ソフトウェア協調処理による侵入検知システムの提案", 電子情報通信学会技術研究報告, vol. 第102巻、第276号, JPN6010041856, 16 August 2002 (2002-08-16), JP, pages 11 - 16, ISSN: 0001679422 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009064142A (ja) * | 2007-09-05 | 2009-03-26 | Kddi Corp | 推論規則生成方法およびプログラム |
| JP2010015513A (ja) * | 2008-07-07 | 2010-01-21 | Nippon Telegr & Teleph Corp <Ntt> | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
| WO2018079716A1 (ja) * | 2016-10-27 | 2018-05-03 | 国立大学法人名古屋工業大学 | 通信装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8990938B2 (en) | Analyzing response traffic to detect a malicious source | |
| AU2005331434B2 (en) | Monitoring simulating device, method, and program | |
| US11789760B2 (en) | Alerting, diagnosing, and transmitting computer issues to a technical resource in response to an indication of occurrence by an end user | |
| US20110258315A1 (en) | Network analysis system and method utilizing collected metadata | |
| JP2009282983A (ja) | サーバーの脆弱点を点検するためのシステム及びその方法 | |
| CN103248625A (zh) | 一种网络爬虫运行异常监控方法和系统 | |
| CN101373447A (zh) | 计算机集群的健康度检测系统和方法 | |
| CN109273045B (zh) | 存储设备在线检测方法、装置、设备及可读存储介质 | |
| CN111541647A (zh) | 安全检测方法、装置、存储介质及计算机设备 | |
| JP2006350654A (ja) | サーバ計算機 | |
| CN103731315A (zh) | 一种服务器故障检测方法 | |
| JP4619867B2 (ja) | サーバ診断装置及びサーバ監視装置及びサーバ診断プログラム | |
| JP4317420B2 (ja) | サーバ計算機および通信ログの処理方法 | |
| You et al. | FuzzDocs: an automated security evaluation framework for IoT | |
| CN109039813B (zh) | 一种检测因特网接入的方法、系统及设备 | |
| JP2009182934A (ja) | 障害監視装置及び障害監視方法並びにそのためのプログラム | |
| CN109462503A (zh) | 一种数据检测方法和装置 | |
| CN112367326B (zh) | 车联网流量的识别方法及装置 | |
| JP4155208B2 (ja) | アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム | |
| JP7278561B2 (ja) | マシンラーニングセルフチェック機能を利用する非対面認証基盤ウェブファイアウォールメンテナンス方法および装置 | |
| JP2007249279A (ja) | サービス判定装置、脆弱性検査装置、攻撃検知装置、サービス判定方法、及びプログラム | |
| JP6441742B2 (ja) | セキュリティレベル管理システム、セキュリティレベル管理装置、セキュリティレベル管理方法およびプログラム | |
| CN105516193A (zh) | 网络安全配置核查管理系统 | |
| CN105718341A (zh) | 一种测试的方法及管理装置 | |
| CN117041114A (zh) | 一种终端通讯协议安全测试的自动化测试方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080515 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100119 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100727 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101207 |