JP2007019981A - ネットワーク監視システム - Google Patents
ネットワーク監視システム Download PDFInfo
- Publication number
- JP2007019981A JP2007019981A JP2005200532A JP2005200532A JP2007019981A JP 2007019981 A JP2007019981 A JP 2007019981A JP 2005200532 A JP2005200532 A JP 2005200532A JP 2005200532 A JP2005200532 A JP 2005200532A JP 2007019981 A JP2007019981 A JP 2007019981A
- Authority
- JP
- Japan
- Prior art keywords
- unit
- network
- application
- monitoring
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】未知の不正プログラム活動を早期に発見することができるネットワーク監視システムを提供する。
【解決手段】インタフェース210が抽出したパケットについて、アプリケーション特定部221が送信アプリケーションを特定し、ヘッダ解析抽出部222がヘッダ情報を解析し、さらに、これらの解析結果に応じて帯域解析部223が通信帯域を解析する。これらの解析結果は、データベース230に保存され、出力処理部240に統計処理される。アプリケーション毎の解析ができるので、未知或いは既知の不正プログラムが既知のアプリケーションを利用して行う不正活動を早期発見できる。
【選択図】図2
【解決手段】インタフェース210が抽出したパケットについて、アプリケーション特定部221が送信アプリケーションを特定し、ヘッダ解析抽出部222がヘッダ情報を解析し、さらに、これらの解析結果に応じて帯域解析部223が通信帯域を解析する。これらの解析結果は、データベース230に保存され、出力処理部240に統計処理される。アプリケーション毎の解析ができるので、未知或いは既知の不正プログラムが既知のアプリケーションを利用して行う不正活動を早期発見できる。
【選択図】図2
Description
この発明は、ネットワークの状態を監視して、例えばワーム(Worm)やDDoS攻撃(Distributed Denial of Service attacks) 等の不正プログラム活動を検知するシステムに関する。
インターネット等の通信ネットワークでは、コンピュータ・プログラムの不正な活動に起因して障害が発生する場合がある。不正な活動を行うコンピュータ・プログラムとしては、例えば、ワームやDDoS攻撃プログラム等が知られている。
ワームとは、自己増殖を繰り返しながらコンピュータの破壊活動を行う不正プログラムであり、広義のコンピュータウイルスに分類される。ワームは、感染したコンピュータの電子メール用ソフトウエア等を利用して、多数の他のコンピュータに当該ワームのコピーを送信しようとする。このため、ワームは、多数のコンピュータを破壊するだけでなく、ネットワークの輻輳障害を発生させる場合がある。
DDoS攻撃は、多数のコンピュータで同時にDDoS攻撃用プログラムを動作させることによって、標的となる特定のコンピュータに大量のデータを送りつける攻撃である。DDoS攻撃は、標的となったコンピュータに障害を発生させるだけでなく、ネットワークの輻輳障害を発生させる場合がある。
このような不正プログラム活動からコンピュータやネットワークを防御する技術としては、例えば、インターネット定点観測システムや、アプリケーション識別技術を用いた防御システム、ファイアウォールを用いた防御システム等が知られている。
インターネット定点観測システムを開示する文献としては、例えば下記非特許文献1が知られている。インターネット定点観測システムとは、インターネットに接続されたネットワーク機器を用いてトラフィックを監視・解析するシステムである。このシステムでは、トラフィックの状態を目視で監視することにより、不正プログラム活動に起因するネットワーク障害の発生を検知することができる。
アプリケーション識別技術を用いた防御システムとしては、例えば下記非特許文献2が知られている。このシステムは、受信パケットから、そのパケットの送信に使用されたアプリケーションを特定する。そして、既知の不正プログラムを用いて送信されてきたパケットをフィルタリングすることにより、コンピュータを防御することができる。
ファイアウォールを用いた防御システムを開示する文献としては、例えば下記特許文献1が知られている。特許文献1の技術では、管理対象となるサーバとネットワークとの接続部分にファイアウォールを設けるとともに、該ネットワークと他のネットワークとのボーダ部分にフィルタ装置を設ける。そして、ファイアウォールは、攻撃パケットを受信した際にその攻撃パケットをフィルタリングするとともに、その攻撃パケットの情報を各フィルタ装置に通知する。これにより、攻撃パケットがネットワークに侵入できなくなるので、そのネットワークにおける輻輳障害の発生を防止することができる。
小池英樹、外2名、"広域ネットワーク監視のための視覚化手法の提案と実装"、[online]、日本ソフトウエア科学会第21回大会(2004年度)論文集、[2005年5月19日検索]、インターネット<URL:http://www.vogue.is.uec.ac.jp/~koike/ipmatrix/jssst2004.pdf> Net Agent、"One Point Wall"[online]、ネットエージェント株式会社、[2005年5月19日検索]、インターネット<URL:http://www.netagent.co.jp/onepoint/> 特開2005−130190号公報
小池英樹、外2名、"広域ネットワーク監視のための視覚化手法の提案と実装"、[online]、日本ソフトウエア科学会第21回大会(2004年度)論文集、[2005年5月19日検索]、インターネット<URL:http://www.vogue.is.uec.ac.jp/~koike/ipmatrix/jssst2004.pdf> Net Agent、"One Point Wall"[online]、ネットエージェント株式会社、[2005年5月19日検索]、インターネット<URL:http://www.netagent.co.jp/onepoint/>
これらのシステムでは、既知の不正プログラム活動に対しては、予めインターネット・サービス・プロバイダ間で連携してフィルタやブラックホール・ルータを設定することなどにより、被害の防止や軽減を図ることができる。また、DDoS攻撃の標的となるコンピュータのIPアドレスが判明している場合等には、予めドメイン・ネーム・サーバを書き換えてIPアドレスを変更することにより対処することもできる。
しかしながら、未知の不正プログラム活動に対しては、ネットワークのトラフィック量や特定ポートへのアクセス数を解析することによって対応するしかないため、不正プログラム活動の発生を早期に発見することが困難であった。
この発明の課題は、未知の不正プログラム活動を早期に発見することができるネットワーク監視システムを提供することにある。
この発明に係るネットワーク監視システムは、監視ポイントのネットワーク・トラフィックからパケットを順次抽出するインタフェース部と、インタフェース部が抽出した1以上のパケットを解析することによりパケットの通信に使用されているアプリケーションを特定するアプリケーション特定部と、インタフェース部が抽出したパケットのヘッダ情報を抽出して解析するヘッダ解析抽出部と、アプリケーション特定部およびヘッダ解析抽出部の解析結果に応じて通信帯域を解析する帯域解析部と、アプリケーション特定部、ヘッダ解析抽出部および帯域解析部の解析結果を含む監視データを保存する保存部と、保存部に保存された監視データを統計的に処理することにより統計データを生成する出力処理部とを備える。
この発明に係るネットワーク監視システムによれば、ヘッダ情報や通信帯域の解析を、パケット通信に使用されているアプリケーション毎に行うことができるので、不正プログラムの未知/既知に拘わらず、不正活動を早期に発見することができる。
以下、この発明の実施の形態について、図面を用いて説明する。なお、図中、各構成成分の大きさ、形状および配置関係は、この発明が理解できる程度に概略的に示してあるにすぎず、また、以下に説明する数値的条件は単なる例示にすぎない。
第1の実施形態
この発明の第1の実施形態に係るネットワーク監視システムについて、図1〜図6を用いて説明する。
この発明の第1の実施形態に係るネットワーク監視システムについて、図1〜図6を用いて説明する。
図1は、この実施形態に係るネットワークの構成を示す概念図である。図1に示したように、監視対象となるネットワーク110は、複数のルータ111,112,113や、ファイアウォール114を含む。ルータ111〜113やファイアウォール114は、この実施形態に係るネットワーク監視システム(図1では図示せず)の監視ポイントとなる。また、外部ネットワーク120は、ルータ121を含む。ルータ111とルータ121とは、通信回線130で接続されている。以下の説明では、ネットワーク110側からネットワーク120側への通信方向を「アウトバウンド」と称し、ネットワーク120側からネットワーク110側への通信方向を「インバウンド」と称する。この実施形態に係るネットワーク監視システムは、例えば、ネットワーク110,120を接続するルータ111内に設置される。
図2は、この実施形態に係るネットワーク監視システム200の構成を概略的に示すブロック図である。図2に示したように、ネットワーク監視システム200は、インタフェース210と、解析部220と、データベース230と、出力処理部240とを備えている。また、解析部220は、アプリケーション特定部221と、ヘッダ解析抽出部222と、帯域解析部223とを備える。
インタフェース210は、監視ポイント(ここではルータ111とする)のネットワーク・トラフィックからパケットを順次抽出する。また、インタフェース210は、管理者の操作に基づき、特定のパケットをフィルタリング(監視ポイントがファイアウォールの場合はパッチの適用によるパケットの遮断)することができる。
アプリケーション特定部221は、インタフェース210が抽出したパケットを解析して、それらのパケットの送信に使用されているアプリケーションを特定する。この実施形態で特定されるアプリケーションは、ワームやDDoS攻撃用プログラム等の不正なアプリケーションだけでなく、電気メール用ソフトウエア、ファイル交換用ソフトウエア等の合法的通信アプリケーションを含む。アプリケーションは、1個のパケットのみから特定できる場合もあり、また、複数個のパケットを用いて特定できる場合もある。アプリケーションの特定は、例えば、パケットのペイロード部(通信データを格納する部分)から読み出した情報の特徴や通信プロトコルの特徴などを利用して行うことが望ましい。例えば、オペレーティング・システムの脆弱性を利用するワームの場合、その脆弱性を利用するための不正コードによってそのワームであると特定できる場合がある。また、独自のピア・ツー・ピア通信方式を用いたファイル交換用ソフトウエアの場合、その独自性に基づく通信データの特徴からそのソフトウエアであると特定できる場合がある。このような特定方法によれば、ヘッダ情報や送受信ポート番号のみを使用して特定する方法よりも、特定の精度を向上させることができる。なぜなら、不正プログラムによってヘッダ情報が改ざんされる場合があり、また、アプリケーションによってはポート番号を変更できる場合があるからである。アプリケーションを特定するための特徴情報は、予め作成されて、アプリケーション特定部221内に格納される。この特徴情報は、新しいアプリケーションが知得されるたびに更新されることが望ましい。アプリケーションを特定するソフトウエアとしては、例えば上述の非特許文献2で開示されたものが知られている。
ヘッダ解析抽出部222は、インタフェース210が抽出したパケットから、所定のヘッダ情報を抽出して解析する。複数のパケットからアプリケーションが特定された場合、ヘッダ解析抽出部222は、これらのパケットを一括して処理する。この実施形態では、ヘッダ情報として、送信元アドレス、宛先アドレス、使用プロトコル、TCP/UDP(Transmission Control Protocol/User datagram Protocol)の送信元ポート番号および宛先ポート番号を抽出する。さらに、ヘッダ解析抽出部222は、、抽出された送信元アドレスや宛先アドレスと、監視対象となるネットワーク110のIPアドレス情報(図示せず)とを用いて、ネットワーク110内のアドレスと、ネットワーク110外のアドレスと、通信方向(インバウンド/アウトバウンド)とを解析する。そして、ヘッダ解析抽出部222は、使用プロトコル、送信元ポート番号、宛先ポート番号、ネットワーク110内のアドレス、ネットワーク110外のアドレスおよび通信方向を、解析結果として出力する。なお、ヘッダ解析抽出部222が抽出、解析するヘッダ情報の種類は、特に限定されず、ネットワーク監視システム200の製造者或いは使用者が任意に決定できる。例えば、ネットワーク110内のアドレスおよびネットワーク110外のアドレスに代えて、送信元アドレスや宛先アドレスをそのまま用いることにしてもよい。
帯域解析部223は、アプリケーション特定部およびヘッダ情報解析抽出部の解析結果に基づいて通信帯域を解析する。帯域解析部223は、例えば、アプリケーション特定部221で特定されたアプリケーション毎に使用帯域を解析してもよいし、ヘッダ解析抽出部222が解析した送信元アドレス・ポート番号および宛先アドレス・ポート番号がともに一致する通信毎に使用帯域を解析してもよい。この実施形態では、送信元アドレス・ポート番号および宛先アドレス・ポート番号がともに一致する通信毎の使用帯域を、帯域解析部223に解析させることにする。一方、アプリケーション毎の使用帯域は、アプリケーション特定部221、ヘッダ解析抽出部222および帯域解析部223の解析結果を用いた演算処理によって、出力処理部240に算出させる(後述)。
データベース230は、ハードディスク等の記憶装置内に構築され、アプリケーション特定部221、ヘッダ解析抽出部222および帯域解析部223の解析結果を含む監視データを保存する(後述の図3参照)。
出力処理部240は、データベース230から監視データを読み出すとともに、かかる監視データに統計処理や視覚処理を施して、監視者用の表示装置に表示させる。後述するように、この実施形態では、出力処理部240が行う統計処理として、アプリケーション毎の使用帯域および帯域占有率、アプリケーション毎の通信ホスト数、インバウンドの通信におけるアプリケーション毎の使用帯域および帯域占有率、アウトバウンドの通信におけるアプリケーション毎の使用帯域および帯域占有率、アドレスおよびポート番号がともに一致する通信毎の使用帯域および帯域占有率、および、これらの使用帯域や帯域占有率の時間変化等を採用することにする。また、視覚処理として、それぞれの使用帯域、帯域占有率の時間変化をグラフ化する(後述の図4〜図6参照)。
次に、図2に示したネットワーク監視システム200の動作について、図3〜図6を用いて説明する。
まず、上述のように、インタフェース210が、ルータ111からパケットを抽出する。抽出されたパケットは、解析部220に送られる。
解析部220内のアプリケーション特定部221は、上述のようにして通信パケットを解析し、そのパケット通信に使用されているアプリケーションを特定する。上述のように、アプリケーションは、1個のパケットのみから特定できる場合もあり、また、複数個のパケットを用いて特定しなければならない場合もある。複数のパケットから特定する場合、アプリケーション特定部221は、パケットのヘッダ情報(例えば送信元アドレス、宛先アドレス、ポート番号、シーケンス番号等)から関連するパケットを判断して、アプリケーションを特定する。続いて、ヘッダ解析抽出部222が、これらのパケットから、送信元アドレス、宛先アドレス、プロトコルの種類、送信元ポート番号および宛先ポート番号を抽出・解析する。さらに、帯域解析部223が、アプリケーション、送信元アドレス・ポート番号および宛先アドレス・ポート番号がすべて一致するパケット毎に使用帯域を解析する。これらの解析結果は、監視データとして、データベース230に送られる。
なお、この実施形態では、アプリケーション特定部221がアプリケーションを特定できなかったパケットについてはヘッダ解析抽出部222および帯域解析部223による解析を行わないが、上述したように、アプリケーション特定部221内の特徴情報を随時更新することによって、特定できるアプリケーションの種類を増やすことができる。
データベース230は、監視データを、テーブル化して保存する。データベース230内のテーブル構成を、図3に示す。図3に示したように、ネットワーク110内のアドレス、ネットワーク110外のアドレス、使用プロトコル、送信元ポート番号、宛先ポート番号、使用帯域、使用アプリケーションおよび通信方向の各項目が、データベース230に格納される。
出力処理部240は、データベース230から各監視データを読み出し、以下のような統計処理・視覚処理を施して、表示装置に表示させる。
図4(A)は、アプリケーション毎の使用帯域および帯域占有率を統計処理により算出して表示した例である。アプリケーション毎の使用帯域は、監視データ(図3参照)を用い、同じアプリケーションに対応する使用帯域を加算することにより得ることができる。また、帯域占有率は、このようにして算出された使用帯域を回線容量で除算することによって得ることができる。
図4(B)は、アプリケーション毎の使用帯域および帯域占有率の時間変化を視覚処理によりグラフ化した例である。このようなグラフにより、かかる使用帯域や帯域占有率の変動を視覚的に把握しやすくなる。特定アプリケーションの使用帯域が短時間に急増した場合、そのアプリケーションを利用した不正プログラム活動が行われている可能性が高い。また、特定アプリケーションの帯域占有率が急増した場合、不正プログラム活動によりネットワーク110に輻輳障害が発生する可能性が高くなる。
図5(A)は、アプリケーション毎の通信ホスト数を統計処理により算出して表示した例である。ここで、通信ホスト数とは、そのアプリケーションを利用してサービスを行っているサーバ・コンピュータの台数である。通信ホスト数は、それぞれの監視データ(図3参照)について、ネットワーク110内のアドレス、ネットワーク110外のアドレスおよび通信方向から送信元アドレスを判断し、さらに、異なる送信アドレスの個数を計数することによって、算出することができる。
図5(B)は、アプリケーション毎の通信ホスト数の時間変化を視覚処理によりグラフ化した例である。通信ホスト数が短時間に急増した場合、その通信を行うアプリケーションが多数の他のコンピュータに自己のコピーを送信している可能性が高く、したがってワーム等の不正プログラムである可能性が高い。
図6(A)は、特定のアプリケーションについて、アウトバウンドの通信における使用帯域および帯域占有率と、インバウンドの通信における使用帯域および帯域占有率とを統計処理により算出した例である。これらの使用帯域は、監視データ(図3参照)を用い、同じアプリケーションに対応し且つ通信方向が同一の使用帯域を加算することにより、それぞれ算出することができる。また、これらの帯域占有率は、このようにして算出された使用帯域をアウトバウンド或いはインバウンドの回線容量で除算することによって、それぞれ算出することができる。使用帯域や帯域占有率のアウトバウンド/インバウンド比が急激に変化している場合、そのアプリケーションを利用したDDoS攻撃等が行われている可能性がある。なお、図6(A)に示した統計処理結果の時間変化を、図4(B)や図5(B)と同様にグラフ化して表示してもよい。
図6(B)は、特定のアプリケーションについて、インバウンドの通信における使用帯域および帯域占有率を、ネットワーク110内のアドレス毎に算出して表示した例である。このような使用帯域および帯域占有率が短時間で急増した場合、そのアドレスに対応するコンピュータが、そのアプリケーションを利用したDDoS攻撃等を受けている可能性がある。図6(B)に示した統計処理結果の時間変化を、図4(B)や図5(B)と同様にグラフ化して表示してもよい。
ネットワーク110の管理者は、図4〜図6のような統計処理情報から異常を発見した場合、その監視点(ここではルータ111、図1参照)のフィルタ設定等によって、その不正プログラム活動に係る通信パケットを遮断する。これにより、かかる不正プログラム活動からネットワーク110を防御することができる。また、ルータ112,113やファイアウォール114等で異常を発見した場合に、他のルータ(特に他のネットワーク120等との接続ポイントに近いルータ)でもフィルタリングを行うことにより、特許文献1と同様にして、ネットワーク全体における障害の発生を防止することとしてもよい。さらには、不正でないアプリケーション(例えば一般の電子メール用ソフトウエア等)を利用して不正プログラム活動が行われている場合には、フィルタリングにより正常な通信まで損なわれてしまうことを防ぐために、そのアプリケーションを利用した通信の帯域制限を行うこととしてもよい。
以上説明したように、この実施形態に係るネットワーク監視システム200によれば、トラフィックの状態をアプリケーション毎に監視することができる。したがって、この実施形態によれば、不正プログラム活動の発生を早期に発見できるとともに、その不正プログラム活動によるネットワーク110の被害状況を迅速且つ詳細に把握することが可能である。
また、この実施形態に係るネットワーク監視システム200によれば、不正プログラムだけでなく合法的アプリケーションの特定も行うので、未知或いは既知の不正プログラムが合法的プリケーションを用いて不正活動を行っているような場合にも、かかる不正活動を早期に発見することが可能であり、また、その不正活動によるネットワーク110の被害状況を迅速且つ詳細に把握することが可能である。
また、実際にネットワーク輻輳障害が発生した場合にも、アプリケーションを特定することにより、その不正プログラム活動に起因する輻輳と、同時に発生した他の要因による輻輳とを区別し易くなるので、正確な分析が可能になる。
第2の実施形態
次に、この発明の第2の実施形態に係るネットワーク監視システムについて、図7を用いて説明する。
次に、この発明の第2の実施形態に係るネットワーク監視システムについて、図7を用いて説明する。
この実施形態に係るネットワーク構成は、第1の実施形態のネットワーク構成(図1参照)と同様であるので、説明を省略する。
図7は、この実施形態に係るネットワーク監視システム700の構成を概略的に示すブロック図である。図7において、図2と同じ符号を付した構成要素は、それぞれ図2の場合と同じものを示している。
図7において、出力処理部710は、第1の実施形態に係る出力処理部240と同様、データベース230から監視データを読み出すとともに、かかる監視データに統計処理や視覚処理を施して監視者用の表示装置に表示させる(図4〜図6参照)。加えて、出力処理部710は、統計処理結果を、異常検知部720からの要求に応じて出力する。
異常検知部720は、出力処理部710から受信した統計処理結果を用いて、不正プログラム活動を検知する。例えば、異常検知部720は、同一アプリケーションに対応する送信アドレス数または宛先アドレス数の時間変化が所定値を超えた場合に、不正プログラム活動が行われていると判断することができる。また、同一アプリケーションによる帯域使用量の時間変化が所定値を超えた場合に、不正プログラム活動が行われていると判断することもできる。
防御実行部730は、異常検知部720によって不正プログラム活動が検知されたときに、インタフェース210を制御してフィルタリング設定またはパッチの適用を行わせることにより、その不正プログラム活動に係るパケットを遮断する。
次に、図7に示したネットワーク監視システム700の動作を説明する。
第1の実施形態と同様、インタフェース210は、ルータ111からパケットを抽出する。解析部220内のアプリケーション特定部221は、第1の実施形態と同様にして、受信パケットの通信に使用されているアプリケーションを特定する。続いて、ヘッダ解析抽出部222が、これらのパケットから、第1の実施形態と同様のヘッダ情報を抽出して解析する。さらに、帯域解析部223が、送信元アドレス・ポート番号および宛先アドレス・ポート番号がともに一致する通信毎に使用帯域を解析する。これらの解析結果は、監視データとして、データベース230に送られる。データベース230は、監視データを、テーブル化して保存する。
出力処理部710は、データベース230から各監視データを読み出し、第1の実施形態と同様の統計処理・視覚処理を施して、表示装置に表示させる。加えて、出力処理部710は、異常検知部720から要求信号を受信すると、所定の統計処理結果を異常検知部720に送信する。
異常検知部720は、上述のようにして、受信した統計処理結果から不正プログラム活動の発生/非発生を判断する。そして、不正プログラム活動が検知された場合、検知結果を示す信号を、防御実行部730に送る。
防御実行部730は、異常検知部720によって不正プログラム活動が検知されたときに、インタフェース210を制御して、フィルタリング設定またはパッチの適用を行わせる。これにより、その不正プログラム活動に係るパケットを、そのルータまたはファイアウォールで遮断することができる。
また、これと併せて、出力処理部710の表示に基づいてネットワーク110の管理者が人為的にフィルタ設定等を行えるようにしてもよい。
さらに、ルータ112,113等で異常を発見された場合に、他のルータ(特に他のネットワーク120等との接続ポイントに近いルータ)でもフィルタリングを行うことにより、特許文献1と同様にして、ネットワーク全体における障害の発生を防止することとしてもよい。この防御処理は、防御実行部730が自動で行うこととしてもよいし、管理者が行うこととしてもよい。
加えて、不正でないアプリケーション(例えば一般の電子メール用ソフトウエア等)を利用して不正プログラム活動が行われている場合には、フィルタリングにより正常な通信まで損なわれてしまうことを防ぐために、防御実行部730または管理者が、そのアプリケーションを利用した通信の帯域制限を行うこととしてもよい。
この実施形態によれば、第1の実施形態と同様の理由により、不正プログラムの未知/既知に拘わらず、不正プログラム活動の早期発見や、被害状況の迅速且つ詳細な把握、被害原因の正確な分析等が可能になる。
加えて、この実施形態によれば、異常検知および対策を自動で行うことができるので、管理の人的コスト削減や人的ミス削減を図ることができる。
第3の実施形態
次に、この発明の第3の実施形態に係るネットワーク監視システムについて、図8〜図10を用いて説明する。
次に、この発明の第3の実施形態に係るネットワーク監視システムについて、図8〜図10を用いて説明する。
図8は、この実施形態に係るネットワーク構成を示す概念図である。図8に示したように、監視対象となるネットワーク800は、ルータ811,812,813やファイアウォール814を含む。ルータ811,812,813およびファイアウォール814は、ネットワーク監視装置821,822,823,824を備えている。加えて、ネットワーク800は、統括監視センタ830を備えている。
図9は、ネットワーク監視装置821〜824の内部構成を示すブロック図である。図9において、図2と同じ符号を付した構成要素は、それぞれ図2の場合と同じものを示している。
出力処理部910は、第1の実施形態に係る出力処理部240と同様、データベース230から監視データを読み出すとともに、かかる監視データに統計処理や視覚処理を施して監視者用の表示装置に表示させる(図4〜図6参照)。加えて、出力処理部910は、データベース230から読み出した監視データ(すなわち、統計・視覚処理前のデータ)を、統括監視センタ830からの要求に応じて出力する。
図10は、統括監視センタ830の内部構成を示すブロック図である。図10に示したように、統括監視センタ830は、インタフェース1010と、入力処理部1020と、統括データベース1030と、統括出力処理部1040とを備えている。
インタフェース1010は、入力処理部1020から受信した要求信号をネットワーク監視装置821〜824に送るとともに、ネットワーク監視装置821〜824から受信した監視データを入力処理部1020に送る。
入力処理部1020は、要求信号を生成してインタフェース1010に送るとともに、インタフェース1010から受信した監視データを統括データベース1030に格納する。
統括データベース1030は、入力処理部1020から受信した監視データ(図3参照)に、ネットワーク監視装置821〜824を識別するための情報を付加し、テーブル化して保存する。
統括出力処理部1040は、統括データベース1030から監視データを読み出すとともに、かかる監視データに、統計処理・視覚処理を施す。この処理により、ネットワーク800全体についての統計処理データが生成される。例えば、アプリケーション毎の通信ホスト数やその時間変化(図5参照)を、ネットワーク監視装置821〜824毎ではなく、ネットワーク800全体について統計処理することができる。そして、統括出力処理部1040は、この処理データを、統括監視センタ830の表示装置(図示せず)に表示させる。
次に、この実施形態に係るネットワーク監視システムの動作を説明する。
第1の実施形態と同様、ネットワーク監視装置821〜824のインタフェース210は、ルータ111からパケットを抽出する。解析部220内のアプリケーション特定部221は、第1の実施形態と同様にして、受信パケットの通信に使用されているアプリケーションを特定する。続いて、ヘッダ解析抽出部222が、これらのパケットから、第1の実施形態と同様のヘッダ情報を抽出して解析する。さらに、帯域解析部223が、送信元アドレス・ポート番号および宛先アドレス・ポート番号がともに一致するパケット毎に使用帯域を解析する。これらの解析結果は、監視データとして、データベース230に送られる。データベース230は、監視データをテーブル化して、保存する。出力処理部910は、第1の実施形態と同様の統計処理および視覚化処理を行って、統計データを表示する。
統括監視センタ830の入力処理部1020は、要求信号を、適宜生成する。この要求信号は、インタフェース1010を介して、対応するネットワーク監視装置821〜824に送信される。ネットワーク監視装置821〜824の出力処理部910は、統括監視センタ830からの要求信号に応じてデータベース230から監視データを読み出し、送信する。送信された監視データは、インタフェース1010を介して、入力処理部1020に受信される。入力処理部1020は、この監視データを、データベース1030に保存する。
統括出力処理部1040は、上述したように、統括データベース1030から監視データを読み出すとともに、かかる監視データに統計処理や視覚処理を施して監視者用の表示装置に表示させる。
この実施形態によれば、第1の実施形態と同様の理由により、不正プログラムの未知/既知に拘わらず、不正プログラム活動の早期発見や、被害状況の迅速且つ詳細な把握、被害原因の正確な分析等が可能になる。
加えて、この実施形態によれば、ネットワーク内の各ルータやファイアウォールを統括的に監視することができる。このため、この実施形態によれば、被害の拡散を迅速且つ詳細に把握・分析できることに加えて、人為的な設定ミス等に起因する局所的な異常を発見し易くなる。
なお、この実施形態に係るネットワーク監視システムの各ネットワーク監視装置821〜824に、第2の実施形態と同様の異常検知部および防御実行部(図7参照)を設け、不正プログラム活動の発生と防御とを自動的に行わせることとしてもよい。
第4の実施形態
次に、この発明の第4の実施形態に係るネットワーク監視システムについて、図11を用いて説明する。
次に、この発明の第4の実施形態に係るネットワーク監視システムについて、図11を用いて説明する。
この実施形態に係るネットワークの全体構成および各ネットワーク監視装置の構成は、第3の実施形態の場合(図8および図9参照)と同様であるので、説明を省略する。
図11は、この実施形態に係る統括監視センタの内部構成を示すブロック図である。図11に示したように、この統括監視センタ1100は、統括防御実行部1110を備えている点で、第3の実施形態と異なる。
統括防御実行部1110は、統括監視センタの管理者が不正プログラム活動を検知したときに、その管理者の操作により、各ネットワーク監視装置のインタフェース210を統括的に制御して、フィルタリング設定やパッチの適用を行う。これにより、その不正プログラム活動に係るパケットをそのルータまたはファイアウォールで遮断或いは帯域制限することができる。加えて、この統括防御実行部1110は、一部のルータ等で異常が発見された場合に、管理者の操作により、他のルータ(特に他のネットワーク120等との接続ポイントに近いルータ)の遮断や帯域制限を行って、ネットワーク全体における障害の発生を防止することができる。
この実施形態によれば、第1の実施形態と同様の理由により、不正プログラムの未知/既知に拘わらず、不正プログラム活動の早期発見や、被害状況の迅速且つ詳細な把握、被害原因の正確な分析等が可能になる。
また、この実施形態によれば、第3の実施形態と同様の理由により、人為的な設定ミス等に起因する局所的な異常を発見し易くなる。
加えて、この実施形態によれば、各ネットワーク監視装置のインタフェースにおけるパケットの遮断や帯域制限を統括監視センタ1100で統括的に行うことができるので、不正プログラム活動に対するネットワーク全体の防御処置を、迅速且つ有効に行うことができる。
110,120 ネットワーク
111,112,113,121 ルータ
114 ファイアウォール
130 通信回線
200 ネットワーク監視システム
210 インタフェース
220 解析部
221 アプリケーション特定部
222 ヘッダ解析抽出部
223 帯域解析部
230 データベース
240 出力処理部
111,112,113,121 ルータ
114 ファイアウォール
130 通信回線
200 ネットワーク監視システム
210 インタフェース
220 解析部
221 アプリケーション特定部
222 ヘッダ解析抽出部
223 帯域解析部
230 データベース
240 出力処理部
Claims (7)
- 監視ポイントのネットワーク・トラフィックからパケットを順次抽出するインタフェース部と、
該インタフェース部が抽出した1以上の前記パケットを解析することにより該パケットの通信に使用されているアプリケーションを特定するアプリケーション特定部と、
前記インタフェース部が抽出した前記パケットのヘッダ情報を抽出して解析するヘッダ解析抽出部と、
前記アプリケーション特定部および前記ヘッダ解析抽出部の解析結果に応じて通信帯域を解析する帯域解析部と、
前記アプリケーション特定部、前記ヘッダ解析抽出部および前記帯域解析部の解析結果を含む監視データを保存する保存部と、
前記保存部に保存された前記監視データを統計的に処理することにより統計データを生成する出力処理部と、
を備えることを特徴とするネットワーク監視システム。 - 前記統計データを用いて不正プログラム活動を検知する異常検知部をさらに備えることを特徴とする請求項1に記載のネットワーク監視システム。
- 前記異常検知部が、同一アプリケーションに対応するアドレス数の時間変化が所定値を超えた場合に、前記不正プログラム活動が行われていると判断することを特徴とする請求項2に記載のネットワーク監視システム。
- 前記異常検知部が、同一アプリケーションによる帯域使用量の時間変化が所定値を超えた場合に、前記不正プログラム活動が行われていると判断することを特徴とする請求項2または3に記載のネットワーク監視システム。
- 前記異常検知部によって前記不正プログラム活動が検知されたときに、該不正プログラム活動に係るパケットを前記インタフェース部に遮断または帯域制限させる防御実行部をさらに備えることを特徴とする請求項2〜4のいずれかに記載のネットワーク監視システム。
- 複数の前記監視ポイントに対応して生成された複数の前記監視データを統括的に保存する統括保存部と、
該統括保存部に保存された前記監視データを統計処理することにより統括的な統計データを生成する統括出力処理部と、
を有する統括監視装置をさらに備えることを特徴とする請求項1〜5のいずれかに記載のネットワーク監視システム。 - 前記統括監視装置が、前記複数の監視ポイントに対応するそれぞれの前記インタフェース部に該不正プログラム活動に係るパケットを遮断または帯域制限させる統括防御実行部をさらに備えることを特徴とする請求項6に記載のネットワーク監視システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005200532A JP4161989B2 (ja) | 2005-07-08 | 2005-07-08 | ネットワーク監視システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005200532A JP4161989B2 (ja) | 2005-07-08 | 2005-07-08 | ネットワーク監視システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007019981A true JP2007019981A (ja) | 2007-01-25 |
| JP4161989B2 JP4161989B2 (ja) | 2008-10-08 |
Family
ID=37756718
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005200532A Expired - Fee Related JP4161989B2 (ja) | 2005-07-08 | 2005-07-08 | ネットワーク監視システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4161989B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009044665A (ja) * | 2007-08-10 | 2009-02-26 | Fujitsu Ltd | 通信装置を制御するプログラム及び通信装置 |
| JP2010108237A (ja) * | 2008-10-30 | 2010-05-13 | Nec Corp | 情報処理システム |
| JP2011154727A (ja) * | 2011-04-28 | 2011-08-11 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法および解析プログラム |
| JP5565511B1 (ja) * | 2013-08-09 | 2014-08-06 | 富士ゼロックス株式会社 | 情報処理システム及び情報処理プログラム |
| JP2018049640A (ja) * | 2017-10-25 | 2018-03-29 | 富士通株式会社 | 監視支援装置、監視支援方法および監視支援プログラム |
| JP2019525528A (ja) * | 2016-07-15 | 2019-09-05 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 攻撃に対する防御のためのネットワークトラフィックの処理 |
-
2005
- 2005-07-08 JP JP2005200532A patent/JP4161989B2/ja not_active Expired - Fee Related
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009044665A (ja) * | 2007-08-10 | 2009-02-26 | Fujitsu Ltd | 通信装置を制御するプログラム及び通信装置 |
| JP2010108237A (ja) * | 2008-10-30 | 2010-05-13 | Nec Corp | 情報処理システム |
| US8276187B2 (en) | 2008-10-30 | 2012-09-25 | Nec Corporation | Information processing system |
| JP2011154727A (ja) * | 2011-04-28 | 2011-08-11 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法および解析プログラム |
| JP5565511B1 (ja) * | 2013-08-09 | 2014-08-06 | 富士ゼロックス株式会社 | 情報処理システム及び情報処理プログラム |
| JP2015035125A (ja) * | 2013-08-09 | 2015-02-19 | 富士ゼロックス株式会社 | 情報処理システム及び情報処理プログラム |
| US9473564B2 (en) | 2013-08-09 | 2016-10-18 | Fuji Xerox Co., Ltd. | Information processing system, information processing method, and non-transitory computer readable medium for specifying installed software application |
| JP2019525528A (ja) * | 2016-07-15 | 2019-09-05 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 攻撃に対する防御のためのネットワークトラフィックの処理 |
| US10587637B2 (en) | 2016-07-15 | 2020-03-10 | Alibaba Group Holding Limited | Processing network traffic to defend against attacks |
| JP2018049640A (ja) * | 2017-10-25 | 2018-03-29 | 富士通株式会社 | 監視支援装置、監視支援方法および監視支援プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4161989B2 (ja) | 2008-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2019216687B2 (en) | Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness | |
| US10097578B2 (en) | Anti-cyber hacking defense system | |
| JP5844938B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
| AU2004282937B2 (en) | Policy-based network security management | |
| JP5886422B2 (ja) | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 | |
| US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
| JP4827972B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
| US9253153B2 (en) | Anti-cyber hacking defense system | |
| JP4161989B2 (ja) | ネットワーク監視システム | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| EP1754348B1 (en) | Using address ranges to detect malicious activity | |
| JP4825767B2 (ja) | 異常検知装置、プログラム、および記録媒体 | |
| Choi et al. | PCAV: Internet attack visualization on parallel coordinates | |
| WO2013189723A1 (en) | Method and system for malware detection and mitigation | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| Bashah et al. | Proactive DDoS attack detection in software-defined networks with Snort rule-based algorithms | |
| KR101236129B1 (ko) | 비정상 트래픽 제어 장치 및 방법 | |
| KR100938647B1 (ko) | 플로우 데이터 분석 결과에 따라 이를 저장하는 장치 및방법 | |
| KR20100071763A (ko) | 분산서비스거부 공격 탐지 장치 및 그 방법 | |
| Mukhopadhyay et al. | HawkEye solutions: a network intrusion detection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070726 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070807 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071009 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080226 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080324 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20080501 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080701 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080714 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110801 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4161989 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120801 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130801 Year of fee payment: 5 |
|
| LAPS | Cancellation because of no payment of annual fees |