JP2008022498A - Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system - Google Patents

Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system Download PDF

Info

Publication number
JP2008022498A
JP2008022498A JP2006194824A JP2006194824A JP2008022498A JP 2008022498 A JP2008022498 A JP 2008022498A JP 2006194824 A JP2006194824 A JP 2006194824A JP 2006194824 A JP2006194824 A JP 2006194824A JP 2008022498 A JP2008022498 A JP 2008022498A
Authority
JP
Japan
Prior art keywords
data
input
network
abnormality
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006194824A
Other languages
Japanese (ja)
Inventor
Nobuyuki Nakamura
信之 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2006194824A priority Critical patent/JP2008022498A/en
Publication of JP2008022498A publication Critical patent/JP2008022498A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To detect traffic abnormality caused by a worm, without depending on the use environment of a computer such as an OS, even when an unknown virus or the worm intrudes the computer. <P>SOLUTION: A network abnormality detection apparatus includes a first input/output section 110 for inputting/outputting data to/from an internal network, a second input/output section 120 for inputting/outputting data to/from an external network, and a data totalizing section 130 for totalizing data for detecting traffic abnormality from input data. Furthermore, the network abnormality detection apparatus includes an index data holding section 140 for holding data totalized during a fixed period of time in the past by the data totalizing section 130 as index data to be used as an index when calculating a traffic abnormality degree, and an abnormality degree calculating section 150 for calculating the traffic abnormality degree using evaluation data totalized at an abnormality degree calculation time by the data totalizing section 130 and the index data acquired from the index data holding section 140. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システムに係り、特に、ネットワーク上を流れるトラフィックの異常を検知するネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システムに関する。   The present invention relates to a network abnormality detection device, a network abnormality detection method, and a network abnormality detection system, and more particularly to a network abnormality detection device, a network abnormality detection method, and a network abnormality detection system that detect an abnormality in traffic flowing on a network.

従来より、ウイルスやワームなどからコンピュータやネットワークを保護し、侵入を早期に検知して感染の拡大を防止するための様々な技術が研究されている。近年では、感染した端末を悪用して様々な被害を与えるボットと呼ばれるワームが多数出現しており、このようなボットのネットワークへの侵入や侵入したボットによるスパムメール送信、DDoS(DDoS:Distributed Denial of Service)攻撃等の活動を早急に検知できるようにすることが必要とされている。   Conventionally, various techniques for protecting computers and networks from viruses and worms, detecting intrusions at an early stage, and preventing the spread of infection have been studied. In recent years, a number of worms called bots that cause various damages by exploiting infected terminals have appeared. Intrusion of such bots into the network, spam mail transmission by invaded bots, DDoS (DDoS: Distributed Denial) of Service) It is necessary to be able to detect activities such as attacks as soon as possible.

一般的に、ボットなどを含むウイルスへの対策として、ネットワークに接続されたコンピュータ上でウイルスを検出するウイルス対策ソフトと呼ばれるソフトウェアが用いられている。ウイルス対策ソフトは、予め用意されたウイルス検出パターンを用いたパターンマッチングにより、コンピュータ内に進入したウイルスを検出する。ウイルス検出パターンは定期的に更新され、インターネットなどを経由して最新のパターンファイルがユーザに提供されるようになっているものも多い。   Generally, software called anti-virus software that detects a virus on a computer connected to a network is used as a countermeasure against viruses including bots. The antivirus software detects a virus that has entered the computer by pattern matching using a virus detection pattern prepared in advance. Virus detection patterns are regularly updated, and many of the latest pattern files are provided to users via the Internet or the like.

また、ネットワーク上の個々の端末にインストールして用いられるパーソナルファイアウォールも、ウイルス対策の効果がある。パーソナルファイアウォールは、インストールされたコンピュータのネットワークインタフェースの入出力パケットを監視し、管理者が認めたプログラムの通信のみを許可するため、ウイルスやワームの侵入を未然に防止することができる。また、ワームに感染した場合でも、ワームによる通信を防ぐことによって拡散を防止することができる。   In addition, personal firewalls installed and used on individual terminals on the network also have an anti-virus effect. Since the personal firewall monitors the input / output packets of the network interface of the installed computer and permits only the communication of the program approved by the administrator, it can prevent the invasion of viruses and worms. Even when a worm is infected, spreading can be prevented by preventing communication by the worm.

一方、個々のコンピュータ上ではなく、ネットワーク側で異常を検知する方法として、侵入検知システム(IDS:Intrusion Detection System)と呼ばれるものがある。IDSは、ネットワーク上を通過するパケットのペイロード部分を分析し、登録されているパターンとのマッチングにより不正アクセスと思われるパケットを検出するシステムである。例えば、特許文献1には、外部ネットワークから受信されたインバウンドトラフィックから検知された不正侵入の検知情報と、内部ネットワークから発信されるアウトバウンドトラフィックから検出された不正侵入に対する応答信号とを照合して検証することにより、検知精度を高めた双方向型のIDSが開示されている。   On the other hand, there is a method called an intrusion detection system (IDS) as a method of detecting an abnormality on the network side, not on an individual computer. IDS is a system that analyzes a payload portion of a packet passing on a network and detects a packet that seems to be an unauthorized access by matching with a registered pattern. For example, Patent Document 1 verifies the detection information of unauthorized intrusion detected from inbound traffic received from an external network and the response signal for unauthorized intrusion detected from outbound traffic transmitted from the internal network. Thus, a bidirectional IDS with improved detection accuracy is disclosed.

特開2004−30287号公報JP 2004-30287 A

上述したような従来技術を用いる場合、現状ではいくつかの問題点がある。   When using the conventional technology as described above, there are several problems at present.

まず、ウイルス対策ソフトで用いられるパターンマッチングによるウイルス検出方法は、基本的に既知のウイルスに対するものであり、パターンが対応していない未知のウイルスを検出することはできない。また、ウイルスのオープンソース化が進んだ現状では、従来とは比較にならない速さで亜種ウイルスが出現するため、全ての亜種ウイルスに対応するパターンを用意することはさらに難しくなっている。ウイルス対策ソフトの他の問題点としては、ソフトウェアが特定のOS(OS:Operating System)に対してしか提供されないことも挙げられる。また、ウイルス対策ソフトの種類によって検出できるウイルスが異なっている場合もあり、ウイルス検出の可否がユーザの使用環境に依存するという問題がある。さらに、ウイルス対策ソフトそのものの活動を止めてしまうウイルスやワームが存在するため、ユーザが気づかないうちにウイルス検出が出来ない状態になってしまうこともある。   First, the virus detection method based on pattern matching used in anti-virus software is basically for known viruses, and cannot detect unknown viruses that do not correspond to patterns. In addition, in the current situation where viruses are becoming open source, subspecies viruses emerge at an unprecedented speed, making it more difficult to prepare patterns corresponding to all subspecies viruses. Another problem of the anti-virus software is that the software is provided only for a specific OS (OS: Operating System). In addition, there are cases where the viruses that can be detected differ depending on the type of antivirus software, and there is a problem that the availability of virus detection depends on the user's usage environment. Furthermore, since there are viruses and worms that stop the activity of anti-virus software itself, it may become impossible to detect viruses without the user's knowledge.

また、パーソナルファイアウォールも、ウイルス対策ソフトと同様に、OS依存であるという問題、ファイアウォールの機能を停止させるウイルスが存在する問題がある。また、設定項目や検知項目がユーザにとって分かりにくく、設定が難しいため、機能が有効に活用されてない場合もある。さらに、インターネットプロトコルの高度化により、ファイアウォールの制限を回避して通信するプロトコルも多数開発されており、そのようなプロトコルを用いた通信を遮断することが難しいという問題がある。   Also, personal firewalls, like anti-virus software, have a problem that they are dependent on the OS and a virus that stops the firewall function. In addition, since the setting items and detection items are difficult for the user to understand and are difficult to set, the function may not be used effectively. Furthermore, with the advancement of Internet protocols, many protocols have been developed that communicate by avoiding the limitations of firewalls, and there is a problem that it is difficult to block communication using such protocols.

また、特許文献1に開示されたようなIDSについても、ウイルス対策ソフトと同様にパターンマッチングによる手法を用いているため、新しいパターンへの対応が難しいという問題がある。また、特許文献1の方法では、インバウンドトラフィックの監視により不正侵入を検知した後、予め定めた時間内に応答信号が返されるか否かによって侵入検知を行っているため、予め定めた時間内に規定どおりの動作をするような場合にしか対応できない。   Further, IDS as disclosed in Patent Document 1 also has a problem that it is difficult to cope with a new pattern because a method using pattern matching is used in the same way as antivirus software. In addition, in the method of Patent Document 1, after detecting an unauthorized intrusion by monitoring inbound traffic, intrusion detection is performed depending on whether a response signal is returned within a predetermined time. It can only be used when it operates as specified.

そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、OS等のコンピュータの使用環境に依存せず、未知のウイルスやワームが侵入した場合であってもそれによるトラフィックの異常を検出することが可能な、新規かつ改良されたネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システムを提供することにある。   Therefore, the present invention has been made in view of the above problems, and the object of the present invention is a case where an unknown virus or worm has entered without depending on the operating environment of a computer such as an OS. It is another object of the present invention to provide a new and improved network abnormality detection device, network abnormality detection method, and network abnormality detection system capable of detecting an abnormality in traffic.

上記課題を解決するために、本発明のある観点によれば、ネットワーク上を流れるトラフィックの異常を検知するネットワーク異常検知装置であって、内部ネットワークに対してデータの入出力を行う第1入出力部と、外部ネットワークに対してデータの入出力を行う第2入出力部と、第1入出力部及び第2入出力部から入力されたデータに基づき、トラフィックの異常を検知するためのデータを集計するデータ集計部と、データ集計部によって過去一定期間の間に集計されたデータを、トラフィックの異常度を計算する際の指標として用いる指標データとして保持する指標データ保持部と、トラフィックの異常を検知するためにデータ集計部によって異常度計算時刻に集計された評価データと、指標データ保持部から取得した指標データとを用いてトラフィックの異常度を計算する異常度計算部と、を含むことを特徴とする、ネットワーク異常検知装置が提供される。   In order to solve the above-described problem, according to an aspect of the present invention, there is provided a network abnormality detection device for detecting an abnormality of traffic flowing on a network, wherein the first input / output performs data input / output with respect to an internal network. A second input / output unit for inputting / outputting data to / from an external network, and data for detecting traffic anomalies based on data input from the first input / output unit and the second input / output unit. A data totaling unit that aggregates data, an index data holding unit that stores data aggregated during a certain period in the past by the data totaling unit as index data used as an index when calculating the degree of traffic abnormality, and a traffic abnormality Evaluation data collected at the time of abnormality calculation by the data aggregation unit for detection, and index data acquired from the index data holding unit Characterized in that it comprises an abnormality calculating unit for calculating a degree of abnormality traffic, the use, the network anomaly detector is provided.

かかる構成により、OSなどの使用環境に関わらず、ネットワーク上の監視したいポイントで異常が発生しているかどうかを知ることができる。さらに、計算されたトラフィックの異常度のレベルをディスプレイやLED(LED:Light Emitting Diode)などで表示することにより、ユーザや管理者が、監視ポイントにおいて正常な通信が行われているか否かを即座に認識することができる。   With this configuration, it is possible to know whether an abnormality has occurred at a point to be monitored on the network, regardless of the operating environment such as the OS. Further, by displaying the calculated level of traffic anomaly on a display or LED (LED: Light Emitting Diode), the user or administrator can immediately determine whether normal communication is being performed at the monitoring point. Can be recognized.

また、データ集計部は、第1入出力部から入力されたデータを第2入出力部に送信し、第2入出力部から入力されたデータを第1入出力部に送信するようにしてもよい。あるいは、第1入出力部は、内部ネットワークから入力されたデータを複製して第2入出力部にデータの一方を送信し、第2入出力部は、外部ネットワークから入力されたデータを複製して第1入出力部にデータの一方を送信するようにしてもよい。後者の場合は、前者の場合と比較してデータ集計部の負荷を減らすことができ、大容量トラフィックにも対応可能となる。さらに、第1入出力部と第2入出力部との間で直接データ転送を行うため、通信速度への影響を少なくすることができるという効果がある。   Further, the data totaling unit transmits data input from the first input / output unit to the second input / output unit, and transmits data input from the second input / output unit to the first input / output unit. Good. Alternatively, the first input / output unit replicates data input from the internal network and transmits one of the data to the second input / output unit, and the second input / output unit replicates data input from the external network. Then, one of the data may be transmitted to the first input / output unit. In the latter case, the load on the data totaling unit can be reduced as compared with the former case, and it becomes possible to cope with a large volume of traffic. Furthermore, since direct data transfer is performed between the first input / output unit and the second input / output unit, there is an effect that the influence on the communication speed can be reduced.

また、1または2以上の第1入出力部及び第2入出力部に接続されるスイッチ部をさらに含み、スイッチ部は、1または2以上の第1入出力部からそれぞれ入力されたデータを第2入出力部に送信するとともに、第2入出力部から入力されたデータの宛先に該当する第1入出力部を判別し、当該第1入出力部に対しデータを送信するようにしてもよい。スイッチ部は、レイヤ2スイッチであっても、レイヤ3スイッチであってもよく、ソフトウェアスイッチ、いわゆるルータ装置であってもよい。これにより、既存のスイッチ等の装置との置き換えによってトラフィックの異常を検知できる効果が得られ、新たに機器を設置するのと比較して、設置や管理が容易であるという効果がある。   The switch unit further includes one or more first input / output units and a switch unit connected to the second input / output unit, and the switch unit receives data input from the one or more first input / output units respectively. The first input / output unit corresponding to the destination of the data input from the second input / output unit may be determined, and the data may be transmitted to the first input / output unit. . The switch unit may be a layer 2 switch, a layer 3 switch, or a software switch, a so-called router device. As a result, an effect of detecting an abnormality in traffic can be obtained by replacing an existing device such as a switch, and there is an effect that installation and management are easier than installing a new device.

また、異常度計算部によって計算された計算結果データを外部機器に対して送信する外部インタフェース部をさらに含んでもよい。これにより、PCやサーバなどの外部機器において、トラフィックの異常についてさらに詳細に分析を行うことが可能となる。さらに、異常が確認された場合には、その旨をユーザにメール等で通知し対策を指示する等の対応を行うことも可能となる。   In addition, an external interface unit that transmits the calculation result data calculated by the abnormality degree calculation unit to an external device may be further included. As a result, it becomes possible to analyze the traffic abnormality in more detail in an external device such as a PC or a server. Furthermore, when an abnormality is confirmed, it is possible to take measures such as notifying the user by e-mail and instructing countermeasures.

また、異常度計算部によって計算された計算結果データを保持する結果データ保持部をさらに含み、外部インタフェース部は、外部機器からの要求に応じて、結果データ保持部から取得した計算結果データと、指標データ保持部から取得した、計算結果データの計算に用いられた指標データとを外部機器に送信するようにしてもよい。これにより、ユーザや管理者が任意のタイミングで、PCやサーバなどを接続して異常の原因を詳細に見ることができるようになる。また、ネットワーク管理者等であれば、送信されたデータを基に、トラフィックの異常についてある程度の推測を立て、対策を検討することが可能になる。   Further, it further includes a result data holding unit that holds the calculation result data calculated by the abnormality degree calculation unit, and the external interface unit, in response to a request from the external device, calculation result data acquired from the result data holding unit, The index data acquired from the index data holding unit and used for calculating the calculation result data may be transmitted to the external device. Thereby, a user or an administrator can connect a PC or a server at an arbitrary timing to see the cause of the abnormality in detail. Further, a network administrator or the like can make a certain guess about the traffic abnormality based on the transmitted data and examine the countermeasure.

また、データ集計部は、第1入出力部または第2入出力部から入力された入力データの一部または全部を指標データ保持部に渡し、指標データ保持部は、データ集計部において入力データを集計して得られた指標データと入力データの一部または全部とを対応付けして保持するようにしてもよい。さらに、外部インタフェース部は、計算結果データ及び指標データとともに、指標データと対応付けされた入力データの一部または全部を外部機器に送信するようにしてもよい。これにより、外部機器によってネットワーク上を流れるパケットデータをモニタリングして解析することが可能となる。また、トラフィックの異常度のデータと対応付けされてパケットデータが送られてくるため、単にパケットをモニタリングするだけでなく、確認したい異常度のデータとそれに対応するパケットの解析ができ、非常に効率が良いというメリットがある。   The data totaling unit passes a part or all of the input data input from the first input / output unit or the second input / output unit to the index data holding unit, and the index data holding unit receives the input data in the data totaling unit. You may make it hold | maintain by matching the index data obtained by totaling, and a part or all of input data. Further, the external interface unit may transmit a part or all of the input data associated with the index data to the external device together with the calculation result data and the index data. Thereby, it becomes possible to monitor and analyze packet data flowing on the network by an external device. In addition, packet data is sent in association with traffic anomaly data, so you can not only monitor packets, but also analyze the anomaly data you want to check and the corresponding packets, which is very efficient There is a merit that is good.

また、第1入出力部、第2入出力部、及び外部インタフェース部と接続されるパケットフィルタ部をさらに含み、パケットフィルタ部は、外部インタフェース部を通じて受信される外部機器からのフィルタリング要求に応じて、第1入出力部及び第2入出力部によって入出力されるデータのフィルタリング制御を行うようにしてもよい。これにより、外部機器でトラフィックの異常について解析した結果、すぐに対策が必要であると判断した部分に関しては、外部機器からパケットフィルタの制御を行うことによって、即時にネットワークをワームの感染やDDoS攻撃から防御することができる。ワームの波及に要する時間は非常に短いため、ユーザにメール等で通知する方法では対応が間に合わないような場合に、非常に効果がある。   The packet filter unit further includes a packet filter unit connected to the first input / output unit, the second input / output unit, and the external interface unit, the packet filter unit responding to a filtering request from an external device received through the external interface unit. The filtering of data input / output by the first input / output unit and the second input / output unit may be performed. As a result, as a result of analyzing the traffic abnormality in the external device, the portion that is determined to require immediate countermeasures is used to control the packet filter from the external device, so that the network can be immediately infected with the worm or DDoS attack. Can defend against. Since the time required for spreading the worm is very short, the method of notifying the user by e-mail or the like is very effective when the response cannot be made in time.

また、上記課題を解決するために、本発明の別の観点によれば、ネットワーク上を流れるトラフィックの異常を検知するネットワーク異常検知方法であって、内部ネットワーク及び外部ネットワークから入力されたデータに基づき、トラフィックの異常を検知するためのデータを集計するデータ集計段階と、データ集計段階で集計されたデータを、トラフィックの異常度を計算する際の指標として用いる指標データとして保持する指標データ保持段階と、過去一定期間の間に集計された指標データを取得する指標データ取得段階と、指標データ取得段階において取得された指標データと、トラフィックの異常度計算時刻にデータ集計段階で集計された評価データとを用いてトラフィックの異常度を計算する異常度計算段階と、を含むことを特徴とする、ネットワーク異常検知方法が提供される。   In order to solve the above problem, according to another aspect of the present invention, there is provided a network abnormality detection method for detecting an abnormality of traffic flowing on a network, based on data input from an internal network and an external network. A data aggregation stage that aggregates data for detecting traffic anomalies, and an index data retention stage that retains the data aggregated in the data aggregation stage as index data used as an index when calculating the degree of traffic abnormality An index data acquisition stage for acquiring index data aggregated during a certain period in the past, index data acquired in the index data acquisition stage, and evaluation data aggregated in the data aggregation stage at the time of traffic abnormality calculation An anomaly calculation stage that calculates traffic anomalies using And, the network anomaly detection method is provided.

かかる構成により、OSなどの使用環境に関わらず、ネットワーク上の監視したいポイントで異常が発生しているかどうかを知ることができる。さらに、計算されたトラフィックの異常度のレベルをディスプレイやLED等で表示することにより、ユーザや管理者が、監視ポイントにおいて正常な通信が行われているか否かを即座に認識することができる。   With this configuration, it is possible to know whether an abnormality has occurred at a point to be monitored on the network, regardless of the operating environment such as the OS. Further, by displaying the calculated level of traffic anomaly on a display or LED, the user or administrator can immediately recognize whether or not normal communication is being performed at the monitoring point.

また、異常度計算段階で計算された結果である計算結果データを、外部機器に対して送信する結果データ送信段階をさらに含んでもよい。これにより、PCやサーバなどの外部機器において、トラフィックの異常についてさらに詳細に分析を行うことが可能となる。さらに、異常が確認された場合には、その旨をユーザにメール等で通知し対策を指示する等の対応を行うことも可能となる。   Further, a result data transmission step of transmitting calculation result data, which is a result calculated in the abnormality degree calculation step, to an external device may be further included. As a result, it becomes possible to analyze the traffic abnormality in more detail in an external device such as a PC or a server. Furthermore, when an abnormality is confirmed, it is possible to take measures such as notifying the user by e-mail and instructing countermeasures.

また、異常度計算段階で計算された結果を計算結果データとして保持する結果データ保持段階と、外部機器からの問い合わせに応じて、計算結果データと、計算結果データの計算に用いられた指標データとを取得する結果データ取得段階とをさらに含んでもよい。さらに、結果データ送信段階において、結果データ取得段階で取得された指標データを計算結果データとともに外部機器に送信するようにしてもよい。これにより、ユーザや管理者が任意のタイミングで、PCやサーバなどを接続して異常の原因を詳細に見ることができるようになる。また、ネットワーク管理者等であれば、送信されたデータを基に、トラフィックの異常についてある程度の推測を立て、対策を検討することが可能になる。   In addition, a result data holding stage that holds the result calculated in the degree of abnormality calculation stage as calculation result data, and in response to an inquiry from an external device, calculation result data, and index data used to calculate the calculation result data; And a result data acquisition step of acquiring. Furthermore, in the result data transmission stage, the index data acquired in the result data acquisition stage may be transmitted together with the calculation result data to the external device. Thereby, a user or an administrator can connect a PC or a server at an arbitrary timing to see the cause of the abnormality in detail. Further, a network administrator or the like can make a certain guess about the traffic abnormality based on the transmitted data and examine the countermeasure.

また、内部ネットワーク及び外部ネットワークから入力される入力データの一部または全部を、入力データを集計して得られた指標データと対応付けして保持するパケットデータ保持段階をさらに含み、結果データ送信段階において、計算結果データ及び指標データとともに、指標データと対応付けされた入力データの一部または全部を外部機器に送信するようにしてもよい。これにより、外部機器によってネットワーク上を流れるパケットデータをモニタリングして解析することが可能となる。また、トラフィックの異常度のデータと対応付けされてパケットデータが送られてくるため、単にパケットをモニタリングするだけでなく、確認したい異常度のデータとそれに対応するパケットの解析ができ、非常に効率が良いというメリットがある。   The method further includes a packet data holding step for holding a part or all of input data input from the internal network and the external network in association with index data obtained by aggregating the input data, and a result data transmission step , Part or all of the input data associated with the index data may be transmitted to the external device together with the calculation result data and the index data. Thereby, it becomes possible to monitor and analyze packet data flowing on the network by an external device. In addition, packet data is sent in association with traffic anomaly data, so you can not only monitor packets, but also analyze the anomaly data you want to check and the corresponding packets, which is very efficient There is a merit that is good.

また、外部機器からのフィルタリング要求に応じて、入出力されるデータのフィルタリング制御を行うフィルタリング制御段階をさらに含んでもよい。これにより、外部機器でトラフィックの異常について解析した結果、すぐに対策が必要であると判断した部分に関しては、外部機器からパケットフィルタの制御を行うことによって、即時にネットワークをワームの感染やDDoS攻撃から防御することができる。ワームの波及に要する時間は非常に短いため、ユーザにメール等で通知する方法では対応が間に合わないような場合に、非常に効果がある。   In addition, a filtering control step for performing filtering control of input / output data in response to a filtering request from an external device may be further included. As a result, as a result of analyzing the traffic abnormality in the external device, the portion that is determined to require immediate countermeasures is used to control the packet filter from the external device, so that the network can be immediately infected with the worm or DDoS attack. Can defend against. Since the time required for spreading the worm is very short, the method of notifying the user by e-mail or the like is very effective when the response cannot be made in time.

また、上記課題を解決するために、本発明の別の観点によれば、ネットワークから入力されるデータを集計し、集計されたデータからトラフィックの異常度を計算する複数のネットワーク異常検知装置と、ネットワークを介して複数のネットワーク異常検知装置と接続され、複数のネットワーク異常検知装置からそれぞれ送信された複数の異常度データを比較することにより、トラフィックの異常を検知する解析サーバとを含み、解析サーバは、複数の異常度データのうち、同一の要素から異常が検出された異常度データが複数存在する場合に、トラフィックに異常が発生していると判断することを特徴とする、ネットワーク異常検知システムが提供される。   In order to solve the above problem, according to another aspect of the present invention, a plurality of network abnormality detection devices that aggregate data input from a network and calculate a traffic abnormality degree from the aggregated data; Including an analysis server connected to a plurality of network abnormality detection devices via a network and detecting a traffic abnormality by comparing a plurality of abnormality degree data respectively transmitted from the plurality of network abnormality detection devices. Is a network anomaly detection system, characterized in that when there is a plurality of anomaly data in which anomalies are detected from the same element among a plurality of anomaly data, it is determined that an anomaly has occurred in traffic. Is provided.

かかる構成により、広域にワームが発生して異常トラフィックを発生させた場合に、同種の異常が複数のネットワーク異常検知装置で検知されることにより、複数のネットワーク異常検知装置の異常度のデータを比較することで、より早急に精度の高い異常検知ができるようになる。   With this configuration, when a worm is generated in a wide area and abnormal traffic is generated, the same kind of abnormality is detected by multiple network abnormality detection devices, so that the data on the degree of abnormality of multiple network abnormality detection devices is compared. By doing so, it becomes possible to detect anomalies with high accuracy as soon as possible.

以上説明したように本発明によれば、OS等のコンピュータの使用環境に依存せず、未知のウイルスやワームが侵入した場合であってもそれによるトラフィックの異常を検出することが可能である。   As described above, according to the present invention, it is possible to detect a traffic abnormality caused by an unknown virus or worm, regardless of the operating environment of a computer such as an OS.

以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。   Exemplary embodiments of the present invention will be described below in detail with reference to the accompanying drawings. In addition, in this specification and drawing, about the component which has the substantially same function structure, duplication description is abbreviate | omitted by attaching | subjecting the same code | symbol.

(第1の実施形態)
まず、図1及び図2に基づいて、本発明の第1の実施形態にかかるネットワーク異常検知装置について説明する。ここで、図1は、本発明の第1の実施形態にかかるネットワーク異常検知装置100の概略構成を示すブロック図であり、図2は本実施形態にかかるネットワーク異常検知装置100を示す概略図である。 (First embodiment)
First, based on FIG.1 and FIG.2, the network abnormality detection apparatus concerning the 1st Embodiment of this invention is demonstrated. Here, FIG. 1 is a block diagram illustrating a schematic configuration of the network abnormality detection device 100 according to the first embodiment of the present invention, and FIG. 2 is a schematic diagram illustrating the network abnormality detection device 100 according to the present embodiment. is there.

本実施形態にかかるネットワーク異常検知装置100は、図1に示すように、第1入出力部110、第2入出力部120、データ集計部130、指標データ保持部140、異常度計算部150及び結果出力部160から構成される。さらに、図1及び図2に示すように、ネットワーク異常検知装置100は、第1入出力部110を通じてLAN(LAN:Local Area Network)170などのような内部ネットワークに接続され、第2入出力部120を通じてインターネット190などのような外部ネットワークに接続される。ここで、内部ネットワークは、ユーザが使用するコンピュータの存在するネットワークであり、外部ネットワークは、本実施形態にかかるネットワーク異常検知装置100からみて、内部ネットワークの反対側に位置するものとする。   As shown in FIG. 1, the network abnormality detection device 100 according to the present embodiment includes a first input / output unit 110, a second input / output unit 120, a data totaling unit 130, an index data holding unit 140, an abnormality degree calculating unit 150, and The result output unit 160 is configured. Further, as shown in FIGS. 1 and 2, the network abnormality detection apparatus 100 is connected to an internal network such as a LAN (LAN: Local Area Network) 170 through a first input / output unit 110 and a second input / output unit. 120 is connected to an external network such as the Internet 190 through 120. Here, the internal network is a network in which a computer used by a user exists, and the external network is located on the opposite side of the internal network as viewed from the network abnormality detection device 100 according to the present embodiment.

次に、ネットワーク異常検知装置100の各部についてそれぞれ説明する。   Next, each part of the network abnormality detection device 100 will be described.

第1入出力部110は、内部ネットワークであるLAN170と接続され、LAN170に接続されたユーザ端末180に対し送受信されるデータの入出力を行う機能部である。第1入出力部110には、LAN170内のユーザ端末180から発信され、インターネット190などの外部ネットワークに対して送信されるトラフィック(アウトバウンドトラフィックという)が入力される。また逆に、インターネット190から発信されユーザ端末180に対して送信されるトラフィック(インバウンドトラフィックという)を出力する。第1入出力部110は、入力されたアウトバウンドトラフィックをデータ集計部130に渡し、データ集計部130からインバウンドトラフィックを受け取り、LAN170に対して送信する。なお、本実施形態においては、LAN170を介してユーザ端末180などとに接続されたものとして説明するが、ユーザ端末180のようなコンピュータと直接接続され、データ入出力を行うものであってもよい。   The first input / output unit 110 is a functional unit that is connected to the internal network LAN 170 and inputs / outputs data to be transmitted / received to / from the user terminal 180 connected to the LAN 170. The first input / output unit 110 receives traffic (referred to as outbound traffic) transmitted from the user terminal 180 within the LAN 170 and transmitted to an external network such as the Internet 190. Conversely, traffic transmitted from the Internet 190 and transmitted to the user terminal 180 (referred to as inbound traffic) is output. The first input / output unit 110 passes the input outbound traffic to the data totaling unit 130, receives inbound traffic from the data totaling unit 130, and transmits it to the LAN 170. In the present embodiment, description is made assuming that the terminal is connected to the user terminal 180 or the like via the LAN 170. However, the terminal may be directly connected to a computer such as the user terminal 180 to perform data input / output. .

第2入出力部120は、インターネット190などの外部ネットワークに接続され、インターネット190に対してデータの入出力を行う機能部である。第2入出力部120は、第1入出力部と逆に、インターネット190などの外部ネットワークから発信されたインバウンドトラフィックを受信してデータ集計部130に渡し、データ集計部130から入力されるアウトバウンドトラフィックを受け取ってインターネット190に対して送信する。   The second input / output unit 120 is a functional unit that is connected to an external network such as the Internet 190 and inputs / outputs data to / from the Internet 190. In contrast to the first input / output unit, the second input / output unit 120 receives inbound traffic transmitted from an external network such as the Internet 190 and passes it to the data totaling unit 130, and the outbound traffic input from the data totaling unit 130 Is transmitted to the Internet 190.

データ集計部130は、インバウンド及びアウトバウンド両方のトラフィックを受け取り、パケットデータからネットワークの異常度を計算するためのデータを抽出して集計するための機能部である。データ集計部130は、第1入出力部110及び第2入出力部120と接続されて、第1入出力部110からアウトバウンドトラフィックを受け取って第2入出力部120に送り、第2入出力部120からインバウンドトラフィックを受け取って第1入出力部110に送る。すなわち、入力されたトラフィックはデータ集計部130を通過して、第1入出力部110及び第2入出力部120を通じ入出力される。さらに、データ集計部130は、入力されたトラフィックの所定のパラメータの値を検出して集計し、集計結果を指標データ保持部140及び異常度計算部150に送る。   The data totaling unit 130 is a functional unit that receives both inbound and outbound traffic, and extracts and aggregates data for calculating the degree of network abnormality from the packet data. The data totaling unit 130 is connected to the first input / output unit 110 and the second input / output unit 120, receives outbound traffic from the first input / output unit 110, and sends the outbound traffic to the second input / output unit 120. The inbound traffic is received from 120 and sent to the first input / output unit 110. That is, the input traffic passes through the data totaling unit 130 and is input / output through the first input / output unit 110 and the second input / output unit 120. Further, the data aggregation unit 130 detects and aggregates the values of predetermined parameters of the input traffic, and sends the aggregation results to the index data holding unit 140 and the abnormality degree calculation unit 150.

指標データ保持部140は、データ集計部130から送られた集計結果のデータを蓄積し、異常度計算時点において集計された異常度計算の対象となるデータ(以下、評価データという)から異常度を計算するための指標となるデータ(以下、指標データという)として保持する記憶部である。指標データ保持部140は異常度計算部150からデータ要求があれば、保持している指標データのうち要求されているデータを検索し、指標データ保持部140に渡す。   The index data holding unit 140 accumulates the data of the aggregation results sent from the data aggregation unit 130, and calculates the abnormality level from the data (hereinafter referred to as evaluation data) that is the target of the abnormality level calculation aggregated at the time of abnormality level calculation. It is a storage unit that holds data as an index for calculation (hereinafter referred to as index data). When there is a data request from the abnormality degree calculation unit 150, the index data holding unit 140 searches for the requested data among the held index data and passes it to the index data holding unit 140.

異常度計算部150は、トラフィックの異常度を計算し、異常が発生しているか否かを判定する機能部である。異常度計算部150は、データ集計部130から集計結果である評価データが渡されると、集計データを指標データ保持部140に対し保存されている過去一定期間の指標データを要求する。要求される指標データは、例えば、評価データの取得日時の過去1週間の同時刻に取得した指標データ7個などであってもよい。異常度計算部150は、指標データを取得後、評価データと指標データとを用いて所定の計算方法によりトラフィックの異常度を計算し、計算結果データを結果出力部160に渡す。   The abnormality level calculation unit 150 is a functional unit that calculates the degree of traffic abnormality and determines whether an abnormality has occurred. When the evaluation data, which is the totalization result, is passed from the data totaling unit 130, the abnormality degree calculating unit 150 requests the index data for a certain period of time stored in the index data holding unit 140 for the total data. The required index data may be, for example, seven pieces of index data acquired at the same time in the past week of the acquisition date of evaluation data. After acquiring the index data, the abnormality level calculation unit 150 calculates the traffic abnormality level by using a predetermined calculation method using the evaluation data and the index data, and passes the calculation result data to the result output unit 160.

結果出力部160は、異常度計算部150で計算されたトラフィックの異常度の値を出力するための機能部である。結果出力部160は、ユーザに異常度計算部150で計算された結果を通知するためのものであって、LEDやディスプレイ等の表示部、プリンタ、電子メール、ブザー等であってもよい。例えば、計算結果データの各パラメータの値をLEDで段階的に表示して異常度のレベルを示したり、あるいは正常レベルを緑、異常レベルを赤のLEDで表示するなどして、ユーザがトラフィックの異常をより直感的に認識可能に構成してもよい。   The result output unit 160 is a functional unit for outputting the value of the traffic abnormality level calculated by the abnormality level calculation unit 150. The result output unit 160 is for notifying the user of the result calculated by the abnormality degree calculation unit 150, and may be a display unit such as an LED or a display, a printer, an e-mail, a buzzer, or the like. For example, each parameter value of the calculation result data is displayed step by step with the LED to indicate the level of abnormality, or the normal level is displayed with green and the abnormal level is displayed with red LED. You may comprise so that abnormality can be recognized more intuitively.

以上、本実施形態にかかるネットワーク異常検知装置100の構成について説明した。次に、図3に基づいて、本実施形態にかかるネットワーク異常検知処理について説明する。ここで、図3は、LAN170及びインターネット190から伝送されるパケットデータよりトラフィックの異常を検知する処理の流れを示すフローチャートである。   The configuration of the network abnormality detection device 100 according to the present embodiment has been described above. Next, the network abnormality detection processing according to the present embodiment will be described based on FIG. Here, FIG. 3 is a flowchart showing a flow of processing for detecting a traffic abnormality from packet data transmitted from the LAN 170 and the Internet 190.

図3に示すように、まず、ステップS101では、インターネット190からLAN170に伝送されるパケットデータ、またはLAN170からインターネット190に伝送されるパケットデータが、ネットワーク異常検知装置100に入力される。   As shown in FIG. 3, first, in step S <b> 101, packet data transmitted from the Internet 190 to the LAN 170 or packet data transmitted from the LAN 170 to the Internet 190 is input to the network abnormality detection device 100.

次いで、ステップS102では、入力されたパケットデータに含まれるデータから、異常度の計算に用いられるパラメータの集計が行われる。異常度の計算に用いられるパラメータとしては、上位層のプロトコルタイプ(IP、ARP、RARP、TCP、UDP、ICMPなど)、TCPパケットのURG、ACK、PSH、SYN、RST及びFINのフラグなどが用いられるが、上述した以外のパラメータ、例えばトラフィック量、送信元アドレス、送信先アドレスなどを用いてもよい。   Next, in step S102, parameters used for calculating the degree of abnormality are aggregated from the data included in the input packet data. As parameters used for calculating the degree of abnormality, upper layer protocol types (IP, ARP, RARP, TCP, UDP, ICMP, etc.), TCP packet URG, ACK, PSH, SYN, RST and FIN flags are used. However, parameters other than those described above, such as traffic volume, transmission source address, transmission destination address, etc. may be used.

次いで、ステップS103では、ステップS102で集計されたデータを、次回以降の異常度計算時に指標データとして用いるために保存する。   Next, in step S103, the data aggregated in step S102 is stored for use as index data when calculating the degree of abnormality after the next time.

次に、ステップS104では、異常度の計算に用いる指標データを取得する。取得する指標データは、例えば、異常度計算時の過去1週間の同時刻に取得された指標データ7個などであってもよい。   Next, in step S104, index data used for calculating the degree of abnormality is acquired. The index data to be acquired may be, for example, seven index data acquired at the same time in the past week when calculating the degree of abnormality.

次いで、ステップS105では、ステップS102で集計された評価データを、ステップS104で取得した指標データ(教師データともいう)と比較してどの程度乖離しているかを所定の計算方法により算出する。ここで算出される値を異常度と呼ぶ。   Next, in step S105, the degree of difference between the evaluation data collected in step S102 and the index data (also referred to as teacher data) acquired in step S104 is calculated by a predetermined calculation method. The value calculated here is called the degree of abnormality.

また、ステップS105で用いられる異常度の計算方法には、例えば、以下に述べるような方法が用いることができる。   Further, for example, a method as described below can be used as the degree of abnormality calculation method used in step S105.

まず、数式(1)により、指標データの各パラメータ間の値の差を解消するために、例えば各パラメータの平均値と分散とを用いて正規化を行う。次に、指標データの正規化の際に用いた各パラメータの平均値と分散とを用いて、数式(2)により評価データの値を計算する。この計算により得られた値を各パラメータの異常値と呼ぶ。このようにして得られた各パラメータの異常値の絶対値の和を計算した値が、トラフィックの異常度と定義される。異常度の値は、評価データの各パラメータの値が指標データと比較して差が少ないときは0に近づき、指標データと大きく異なるときは0よりも大きな値をとることになる。   First, normalization is performed using, for example, the average value and variance of each parameter in order to eliminate the difference in value between the parameters of the index data using Equation (1). Next, the value of the evaluation data is calculated by Equation (2) using the average value and the variance of each parameter used in normalizing the index data. A value obtained by this calculation is called an abnormal value of each parameter. The value obtained by calculating the sum of the absolute values of the abnormal values of the parameters obtained in this way is defined as the traffic abnormality level. The value of the degree of abnormality approaches 0 when the value of each parameter of the evaluation data is small compared to the index data, and takes a value greater than 0 when the parameter value differs greatly from the index data.

Figure 2008022498
(x:指標データ、x:xの平均、S:xの分散、y:正規化値)
Figure 2008022498
 (X: index data, x: average of x , S x : variance of x, y: normalized value)

Figure 2008022498
(a:評価データ、z:異常値)
Figure 2008022498
 (A: evaluation data, z: abnormal value)

次いで、ステップS106では、ステップS105の計算結果を出力し、ユーザに計算結果を通知する。出力方法としては、LEDやディスプレイ等の表示部、プリンタ、電子メール、ブザー等、様々な手段を用いることができる。   Next, in step S106, the calculation result of step S105 is output, and the calculation result is notified to the user. As an output method, various means such as a display unit such as an LED or a display, a printer, an e-mail, a buzzer, and the like can be used.

以上、本実施形態にかかるネットワークの異常検知方法について説明した。かかる方法により、OSなどの使用環境に関わらず、ネットワーク上の監視したいポイントでトラフィックに異常が発生しているかどうかを知ることができる。さらに、計算結果がディスプレイやLED等で表示されることにより、ユーザや管理者は、監視ポイントにおいて正常な通信が行われているか否かを即座に認識することができる。   The network abnormality detection method according to the present embodiment has been described above. With this method, it is possible to know whether or not an abnormality has occurred in traffic at a point to be monitored on the network regardless of the operating environment such as the OS. Furthermore, by displaying the calculation result on a display, LED, or the like, the user or administrator can immediately recognize whether or not normal communication is performed at the monitoring point.

(第2の実施形態)
次に、図4に基づいて、本発明の第2の実施形態にかかるネットワーク異常検知装置200について説明する。図4は、本発明の第2の実施形態にかかるネットワーク異常検知装置200の概略構成を示すブロック図である。 (Second Embodiment)
Next, a network abnormality detection device 200 according to the second embodiment of the present invention will be described with reference to FIG. FIG. 4 is a block diagram showing a schematic configuration of a network abnormality detection device 200 according to the second embodiment of the present invention.

本実施形態にかかるネットワーク異常検知装置200は、図4に示すように、第1入出力部210、第2入出力部220、データ集計部230、指標データ保持部240、異常度計算部250、結果出力部260、結果データ保持部270及び外部インタフェース部280から構成される。また、図4に示すように、ネットワーク異常検知装置200は、外部インタフェース部280を通じてPCなどのような外部機器290と接続される。さらに、図示していないが、上述した第1の実施形態(図1参照)と同様に、第1入出力部210を通じてLANなどの内部ネットワークと接続され、第2入出力部220を通じてインターネットなどの外部ネットワークと接続されているものとする。本実施形態では、異常度の計算結果を保持しておき、外部からの問い合わせに対して計算結果データ及び計算に用いた指標データ等を出力することを特徴とする。   As shown in FIG. 4, the network abnormality detection apparatus 200 according to the present embodiment includes a first input / output unit 210, a second input / output unit 220, a data totaling unit 230, an index data holding unit 240, an abnormality degree calculating unit 250, The result output unit 260, the result data holding unit 270, and the external interface unit 280 are configured. As shown in FIG. 4, the network abnormality detection device 200 is connected to an external device 290 such as a PC through the external interface unit 280. Further, although not shown, as in the first embodiment (see FIG. 1) described above, the first input / output unit 210 is connected to an internal network such as a LAN, and the second input / output unit 220 is connected to the Internet or the like. Assume that it is connected to an external network. The present embodiment is characterized in that the calculation result of the degree of abnormality is held, and calculation result data and index data used for the calculation are output in response to an external inquiry.

なお、この第2の実施形態にかかるネットワーク異常検知装置200の第1入出力部210、第2入出力部220、データ集計部230、指標データ保持部240、異常度計算部250及び結果出力部260は、それぞれ上述した第1の実施形態にかかるネットワーク異常検知装置100の第1入出力部110、第2入出力部120、データ集計部130、指標データ保持部140、異常度計算部150及び結果出力部160と実質的に同一の構成を有するものであるため詳細説明は省略する。以下、本実施形態にかかるネットワーク異常検知装置200の結果データ保持部270及び外部インタフェース部280について説明する。   The first input / output unit 210, the second input / output unit 220, the data totaling unit 230, the index data holding unit 240, the abnormality degree calculating unit 250, and the result output unit of the network abnormality detection device 200 according to the second embodiment. 260, the first input / output unit 110, the second input / output unit 120, the data totaling unit 130, the index data holding unit 140, the abnormality degree calculating unit 150, and the network anomaly detection apparatus 100 according to the first embodiment described above, respectively. Since it has substantially the same configuration as the result output unit 160, detailed description thereof will be omitted. Hereinafter, the result data holding unit 270 and the external interface unit 280 of the network abnormality detection device 200 according to the present embodiment will be described.

結果データ保持部270は、異常度計算部250において計算された異常度に関する計算結果データを保持するための記憶部である。結果データ保持部270は、外部からの問い合わせに対し、保持している計算結果データを出力する。保持される計算結果データは、最新のデータのみとしてもよいし、古いデータを保持したまま新しいデータをさらに追加してデータが順次蓄積されるようにしてもよい。   The result data holding unit 270 is a storage unit for holding calculation result data related to the degree of abnormality calculated by the degree of abnormality calculation unit 250. The result data holding unit 270 outputs the held calculation result data in response to an inquiry from the outside. The calculation result data to be held may be only the latest data, or new data may be added while the old data is held, and the data may be stored sequentially.

外部インタフェース部280は、データを外部機器290に送信し、外部機器290からの要求を受け取るための機能部である。外部インタフェース部280は、例えば、RC−232C、USB、RJ45等のインタフェースを備え、コンピュータ等の外部機器290と接続されてデータの送受信を行うことができる。外部インタフェース部280は、外部機器290からのデータ要求信号を受信したら、指標データ保持部240または結果データ保持部270に対しデータ要求を行い、取得したデータを外部機器290に対して送信する。また、送信の際には、データの安全性を高めるために、暗号化処理を行ってからデータを送信するようにしてもよい。   The external interface unit 280 is a functional unit for transmitting data to the external device 290 and receiving a request from the external device 290. The external interface unit 280 includes, for example, an interface such as RC-232C, USB, and RJ45, and can be connected to an external device 290 such as a computer to transmit and receive data. When the external interface unit 280 receives the data request signal from the external device 290, the external interface unit 280 sends a data request to the index data holding unit 240 or the result data holding unit 270 and transmits the acquired data to the external device 290. Further, at the time of transmission, in order to increase the safety of data, the data may be transmitted after performing an encryption process.

外部インタフェース部280から外部機器290に送信されるデータは、結果データ保持部270に保持されている異常度の計算結果データを少なくとも含む。それ以外に、例えば、異常度の計算に用いた指標データやその指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。指標データの元となるパケットデータを送信するために、データ集計部230は、指標データの元となるパケットデータの一部または全部を複製して指標データ保持部240に送り、指標データ保持部240は、受け取ったパケットデータを指標データと対応付けて保持するようにしてもよい。   The data transmitted from the external interface unit 280 to the external device 290 includes at least abnormality level calculation result data held in the result data holding unit 270. In addition, for example, the index data used for calculating the degree of abnormality and the data of all or part of the packet used when generating the index data may be included. In order to transmit the packet data that is the source of the index data, the data totaling unit 230 duplicates part or all of the packet data that is the source of the index data and sends it to the index data holding unit 240, and the index data holding unit 240 May hold the received packet data in association with the index data.

次に、図5に基づいて、本実施形態にかかるネットワーク異常検知処理について説明する。ここで、図5は、内部及び外部ネットワークから伝送されるパケットデータよりトラフィックの異常を検知する処理の流れを示すフローチャートである。図5において、S201〜S209は、本実施形態にかかるネットワーク異常検知装置200における処理を示し、S291〜S292は、本実施形態にかかるネットワーク異常検知装置200と接続されたPCなどの外部機器290における処理を示す。   Next, the network abnormality detection process according to the present embodiment will be described with reference to FIG. Here, FIG. 5 is a flowchart showing a flow of processing for detecting a traffic abnormality from packet data transmitted from the internal and external networks. 5, S201 to S209 indicate processing in the network abnormality detection device 200 according to the present embodiment, and S291 to S292 are processing in the external device 290 such as a PC connected to the network abnormality detection device 200 according to the present embodiment. Indicates processing.

図5に示すように、まず、ステップS201では、インターネットなどの外部ネットワーク、またはLANなどの内部ネットワークからに伝送されるパケットデータが、ネットワーク異常検知装置200に入力される。   As shown in FIG. 5, first, in step S <b> 201, packet data transmitted from an external network such as the Internet or an internal network such as a LAN is input to the network abnormality detection apparatus 200.

次いで、ステップS202では、入力されたパケットデータに含まれるデータから、異常度の計算に用いられるパラメータの集計が行われる。異常度の計算に用いられるパラメータとしては、例えば、上位層のプロトコルタイプ(IP、ARP、RARP、TCP、UDP、ICMPなど)、TCPパケットのURG、ACK、PSH、SYN、RST及びFINのフラグなどが用いられるが、上述した以外のパラメータ、例えばトラフィック量、送信元アドレス、送信先アドレスなどを用いてもよい。   Next, in step S202, the parameters used for calculating the degree of abnormality are tabulated from the data included in the input packet data. Parameters used for calculating the degree of abnormality include, for example, higher layer protocol types (IP, ARP, RARP, TCP, UDP, ICMP, etc.), TCP packet URG, ACK, PSH, SYN, RST and FIN flags, etc. However, parameters other than those described above, for example, traffic volume, transmission source address, transmission destination address, etc. may be used.

次いで、ステップS203では、ステップS202で集計されたデータを、次回以降の異常度計算時に指標データとして用いるためにを記憶領域に格納する。また、指標データの生成に用いられたパケットデータの一部または全部を複製し、指標データとともに保存してもよい。この際、指標データとパケットデータとを対応付けして格納し、指標データからそれに関連するパケットデータを検索できるようにしてもよい。   Next, in step S203, the data accumulated in step S202 is stored in the storage area for use as index data in the next and subsequent calculation of the degree of abnormality. Further, part or all of the packet data used for generating the index data may be copied and stored together with the index data. At this time, the index data and the packet data may be stored in association with each other so that the packet data related to the index data can be retrieved from the index data.

次に、ステップS204では、異常度の計算に用いる指標データを取得する。取得する指標データは、例えば、異常度計算時の過去1週間の同時刻に取得された指標データ7個などであってもよい。   Next, in step S204, index data used for calculating the degree of abnormality is acquired. The index data to be acquired may be, for example, seven index data acquired at the same time in the past week when calculating the degree of abnormality.

次いで、ステップS205では、ステップS202で集計された評価データを、ステップS204で取得した指標データと比較してどの程度乖離しているかを所定の計算方法により算出する。ここで算出される値を異常度と呼ぶ。ここで用いられる異常度の計算方法には、上述した第1の実施形態で用いられるのと同様の方法を用いることができる。   Next, in step S205, how much the evaluation data collected in step S202 differs from the index data acquired in step S204 is calculated by a predetermined calculation method. The value calculated here is called the degree of abnormality. As a method for calculating the degree of abnormality used here, a method similar to that used in the first embodiment described above can be used.

次いで、ステップS206では、ステップS205の計算結果を出力し、ユーザに計算結果を通知する。出力方法としては、LEDやディスプレイ等の表示部、プリンタ、電子メール、ブザー等、様々な手段を用いることができる。   Next, in step S206, the calculation result of step S205 is output to notify the user of the calculation result. As an output method, various means such as a display unit such as an LED or a display, a printer, an e-mail, a buzzer, and the like can be used.

ステップS207では、ステップS205において計算された異常度の計算結果のデータを記憶領域に格納する。   In step S207, the calculation result data of the degree of abnormality calculated in step S205 is stored in the storage area.

外部機器290からは、ユーザの操作等により任意のタイミングで計算結果のデータを要求する要求信号がネットワーク異常検知装置200に対して送信される(ステップS291)。   From the external device 290, a request signal for requesting calculation result data is transmitted to the network abnormality detection device 200 at an arbitrary timing by a user operation or the like (step S291).

ネットワーク異常検知装置200は、外部機器290からのデータ要求信号を受信したら、要求されたデータを、データが格納されている記憶領域から取得する(ステップS208)。ここで、取得されるデータは、少なくともステップS207で格納された異常度の計算結果データを含み、それ以外に、異常度の計算に用いた指標データ、その指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。   When receiving the data request signal from the external device 290, the network abnormality detection device 200 acquires the requested data from the storage area in which the data is stored (step S208). Here, the acquired data includes at least the abnormality degree calculation result data stored in step S207. In addition, the index data used for calculating the degree of abnormality and the packet used when generating the index data are used. All or part of the data may be included.

次いで、ステップS209で、ステップS208で取得されたデータを外部機器290に対して送信する。また、送信の際に、データの安全性を高めるために、暗号化処理を施してもよい。   Next, in step S209, the data acquired in step S208 is transmitted to the external device 290. Further, at the time of transmission, an encryption process may be performed in order to increase the safety of data.

外部機器290では、データを受信したら、異常度のデータを分析し、検知すべき異常の有無を判定する(ステップS292)。さらに必要であれば、データをグラフ化して表示したり、異常と判定した際の対処方法などをユーザに対して電子メール等の手段により通知するなどしてもよい。   When the external device 290 receives the data, it analyzes the abnormality degree data and determines whether there is an abnormality to be detected (step S292). Further, if necessary, the data may be displayed in a graph, or a user may be notified of a coping method when it is determined to be abnormal by means such as e-mail.

以上、本実施形態にかかるネットワークの異常検知方法について説明した。かかる方法により、本実施形態にかかるネットワーク異常検知装置に接続したPCやサーバなどから、ユーザや管理者が任意のタイミングで異常の原因を詳細に調べるためのデータを取得することができる。また、ネットワーク管理者等であれば、送信されたデータを基に、トラフィックの異常についてある程度の推測を立てて対策を検討し、ユーザに通知するなど対応を取ることが可能になる。   The network abnormality detection method according to the present embodiment has been described above. With this method, data for a user or administrator to investigate the cause of an abnormality in detail at an arbitrary timing can be acquired from a PC or server connected to the network abnormality detection device according to the present embodiment. Further, a network administrator or the like can take measures such as making a certain guess about traffic abnormality based on the transmitted data, examining countermeasures, and notifying the user.

(第3の実施形態)
次に、図6、図7に基づいて、本発明の第3の実施形態にかかるネットワーク異常検知装置300について説明する。図6は、本発明の第3の実施形態にかかるネットワーク異常検知装置300の概略構成を示すブロック図であり、図7は、本実施形態にかかるネットワーク異常検知装置300の変形例の概略構成を示すブロック図である。 (Third embodiment)
Next, a network abnormality detection device 300 according to the third embodiment of the present invention will be described with reference to FIGS. FIG. 6 is a block diagram showing a schematic configuration of a network abnormality detection device 300 according to the third embodiment of the present invention, and FIG. 7 shows a schematic configuration of a modified example of the network abnormality detection device 300 according to the present embodiment. FIG.

本実施形態にかかるネットワーク異常検知装置300は、図6に示すように、第1入出力部310、第2入出力部320、データ集計部330、指標データ保持部340、異常度計算部350及び外部インタフェース部360から構成される。また、図6に示すように、ネットワーク異常検知装置300は、外部インタフェース部360を通じてPCなどのような外部機器390と接続される。さらに、図示していないが、上述した第1の実施形態(図1参照)と同様に、ネットワーク異常検知装置300は、第1入出力部310を通じてLANなどの内部ネットワークと接続され、第2入出力部320を通じてインターネットなどの外部ネットワークと接続されているものとする。本実施形態では、異常度の計算が終了した段階で、ネットワーク異常検知装置300が計算結果を外部機器390に送信するように構成したことを特徴とする。   As shown in FIG. 6, the network abnormality detection apparatus 300 according to the present embodiment includes a first input / output unit 310, a second input / output unit 320, a data totaling unit 330, an index data holding unit 340, an abnormality degree calculating unit 350, and The external interface unit 360 is configured. As shown in FIG. 6, the network abnormality detection device 300 is connected to an external device 390 such as a PC through the external interface unit 360. Further, although not shown in the figure, as in the first embodiment (see FIG. 1) described above, the network abnormality detection device 300 is connected to an internal network such as a LAN through the first input / output unit 310, and the second input Assume that the output unit 320 is connected to an external network such as the Internet. The present embodiment is characterized in that the network abnormality detection device 300 is configured to transmit the calculation result to the external device 390 when the abnormality degree calculation is completed.

なお、この第3の実施形態にかかるネットワーク異常検知装置300の第1入出力部310、第2入出力部320、データ集計部330、指標データ保持部340及び異常度計算部350は、それぞれ上述した第1及び第2の実施形態にかかるネットワーク異常検知装置100及び200の第1入出力部110及び210、第2入出力部120及び220、データ集計部130及び230、指標データ保持部140及び240、異常度計算部150及び250と実質的に同一の構成を有するものであるため詳細説明は省略する。以下、本実施形態にかかるネットワーク異常検知装置300の外部インタフェース部360について説明する。   The first input / output unit 310, the second input / output unit 320, the data totaling unit 330, the index data holding unit 340, and the abnormality degree calculating unit 350 of the network abnormality detection device 300 according to the third embodiment are each described above. The first input / output units 110 and 210, the second input / output units 120 and 220, the data totaling units 130 and 230, the index data holding unit 140, and the network abnormality detection devices 100 and 200 according to the first and second embodiments. 240 and the degree-of-abnormality calculation units 150 and 250 have substantially the same configuration, and thus detailed description thereof is omitted. Hereinafter, the external interface unit 360 of the network abnormality detection device 300 according to the present embodiment will be described.

外部インタフェース部360は、上述した第2実施形態にかかる外部インタフェース部280と同様に、データを外部機器390に送信し、外部機器390からの要求を受け取るための機能部である。外部インタフェース部360は、例えば、RC−232C、USB、RJ45等のインタフェースを備え、コンピュータ等の外部機器390と接続されてデータの送受信を行うことができる。外部インタフェース部360は、異常度計算部350で計算された異常度の計算結果を受け取り、接続されている外部機器390に結果データを送信する。外部インタフェース部360が送信するデータは、少なくとも異常度の計算結果データを含み、それ以外に、異常度の計算に用いた指標データ、その指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。また、送信の際に、データの安全性を高めるために、暗号化処理を行うようにしてもよい。   Similar to the external interface unit 280 according to the second embodiment described above, the external interface unit 360 is a functional unit for transmitting data to the external device 390 and receiving a request from the external device 390. The external interface unit 360 includes, for example, an interface such as RC-232C, USB, and RJ45, and can be connected to an external device 390 such as a computer to transmit and receive data. The external interface unit 360 receives the calculation result of the abnormality level calculated by the abnormality level calculation unit 350 and transmits the result data to the connected external device 390. The data transmitted by the external interface unit 360 includes at least abnormality degree calculation result data, and in addition to that, index data used for calculating the degree of abnormality, and all or part of the packet used for generating the index data May also be included. Further, at the time of transmission, encryption processing may be performed in order to increase the safety of data.

さらに、図7に示した変形例のように、本実施形態にかかるネットワーク異常検知装置300は、上述した構成に加えてパケットフィルタ部370を含んで構成されてもよい。   Further, as in the modification shown in FIG. 7, the network abnormality detection device 300 according to the present embodiment may be configured to include a packet filter unit 370 in addition to the configuration described above.

パケットフィルタ部370は、外部インタフェース部360と接続されており、外部機器390からのフィルタリング要求に従い、第1入出力部310及び第2入出力部320に対して入出力データのフィルタリング設定を行う機能部である。外部機器390からのフィルタリング要求は、外部インタフェース部360を通じてパケットフィルタ部370に送信される。パケットフィルタ部370は、外部インタフェース部360からフィルタリング要求信号を受け取ると、第1入出力部310及び第2入出力部320に対してフィルタリング情報を送信する。フィルタリング情報には、プロトコル、送信元アドレス、送信先アドレスまたはポート番号などにより、送信を許可あるいは遮断すべきデータであるか否かを判別するための情報が含まれる。   The packet filter unit 370 is connected to the external interface unit 360, and functions to perform input / output data filtering settings for the first input / output unit 310 and the second input / output unit 320 in accordance with a filtering request from the external device 390. Part. A filtering request from the external device 390 is transmitted to the packet filter unit 370 through the external interface unit 360. When the packet filter unit 370 receives a filtering request signal from the external interface unit 360, the packet filter unit 370 transmits filtering information to the first input / output unit 310 and the second input / output unit 320. The filtering information includes information for determining whether or not the data should be permitted or blocked by the protocol, the transmission source address, the transmission destination address, or the port number.

第1入出力部310及び第2入出力部320は、パケットフィルタ部370から渡されるフィルタリング情報に基づいて入出力するデータのフィルタリングを行う。具体的には、送信を許可あるいは遮断すべきプロトコル、送信元アドレス、送信先アドレスまたはポート番号などの情報をフィルタリング情報から参照し、入力されたデータが該当するものであるか否かを判断し、送信を許可または遮断する。データが送信を許可された場合は、第1入出力部310及び第2入出力部320により入出力が行われる。また、データが遮断される場合は、送信元にその旨を通知したり、入力されたデータを破棄したりするようにしてもよい。   The first input / output unit 310 and the second input / output unit 320 perform filtering of input / output data based on the filtering information passed from the packet filter unit 370. Specifically, information such as the protocol to be permitted or blocked for transmission, the source address, the destination address or the port number is referenced from the filtering information to determine whether or not the input data is applicable. , Allow or block transmission. When transmission of data is permitted, input / output is performed by the first input / output unit 310 and the second input / output unit 320. Further, when data is blocked, it may be notified to the transmission source or the input data may be discarded.

なお、図示していないが、本実施形態にかかるネットワーク異常検知装置300は、上述した第1及び第2の実施形態と同様に異常度の計算結果を出力するための結果出力部をさらに含んで構成されてもよい。また、第2の実施形態と同様、計算結果データを保持するための結果データ保持部をさらに含み、任意のタイミングで計算結果データを外部に送信可能としてもよい。   Although not shown, the network abnormality detection device 300 according to the present embodiment further includes a result output unit for outputting the calculation result of the degree of abnormality as in the first and second embodiments described above. It may be configured. Further, similarly to the second embodiment, a result data holding unit for holding calculation result data may be further included so that the calculation result data can be transmitted to the outside at an arbitrary timing.

次に、図8に基づいて、本実施形態にかかるネットワーク異常検知処理について説明する。ここで、図8は、内部及び外部ネットワークから伝送されるパケットデータよりトラフィックの異常を検知する処理の流れを示すフローチャートである。図8において、S301〜S307は、本実施形態にかかるネットワーク異常検知装置300における処理を示し、S391〜S393は、本実施形態にかかるネットワーク異常検知装置300と接続されたPCなどの外部機器390における処理を示す。   Next, the network abnormality detection processing according to the present embodiment will be described based on FIG. Here, FIG. 8 is a flowchart showing a flow of processing for detecting a traffic abnormality from packet data transmitted from the internal and external networks. 8, S301 to S307 indicate processing in the network abnormality detection device 300 according to the present embodiment, and S391 to S393 are in the external device 390 such as a PC connected to the network abnormality detection device 300 according to the present embodiment. Indicates processing.

なお、本実施形態にかかるネットワーク異常検知処理のうち、S301〜S305の処理は、それぞれ上述した第1及び第2の実施形態にかかるネットワーク異常検知処理のうち、S101〜S105及びS201〜S205(図3、図5参照)の処理と実質的に同一であるため、詳細説明は省略する。以下、S306〜S307、S391〜S393の処理について説明する。   Of the network abnormality detection processes according to the present embodiment, the processes of S301 to S305 are the same as S101 to S105 and S201 to S205 of the network abnormality detection processes according to the first and second embodiments described above (FIG. 3 and FIG. 5), the detailed description is omitted. Hereinafter, the processes of S306 to S307 and S391 to S393 will be described.

ステップS306では、ステップS305において計算された異常度の計算結果のデータを外部機器390に対して送信する。送信されるデータは、少なくとも異常度の計算結果データを含み、それ以外に、異常度の計算に用いた指標データ、その指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。また、送信の際に、データの安全性を高めるために、暗号化処理を施してもよい。   In step S306, the data of the abnormality degree calculation result calculated in step S305 is transmitted to the external device 390. The transmitted data includes at least the calculation result data of the degree of abnormality. Besides that, the index data used for calculating the degree of abnormality, all or part of the data of the packet used to generate the index data, etc. May be included. Further, at the time of transmission, an encryption process may be performed in order to increase the safety of data.

外部機器390では、データを受信したら、異常度のデータを分析し、検知すべき異常の有無を判定する(ステップS391)。さらに必要であれば、データをグラフ化して表示したり、異常と判定した際の対処方法などをユーザに対して電子メール等の手段により通知するなどしてもよい。   When the external device 390 receives the data, it analyzes the abnormality level data and determines whether there is an abnormality to be detected (step S391). Further, if necessary, the data may be displayed in a graph, or a user may be notified of a coping method when it is determined to be abnormal by means such as e-mail.

さらに、ステップS392では、異常と判定された場合、その異常が緊急度の高いものであるか否かなどによって、パケットフィルタリングを行うか否かを決定する。   In step S392, if it is determined that there is an abnormality, whether to perform packet filtering is determined based on whether the abnormality is highly urgent.

パケットフィルタリングを行う場合、ステップS393で、ネットワーク異常検知装置300に対して外部機器390からパケットフィルタリングを要求する信号が送信される。   When performing packet filtering, in step S393, a signal requesting packet filtering is transmitted from the external device 390 to the network abnormality detection device 300.

ネットワーク異常検知装置300は、外部機器390からのパケットフィルタリングの要求信号を受信したら、入出力部において、フィルタリング制御を行うための設定を行う(ステップS307)。   Upon receiving the packet filtering request signal from the external device 390, the network abnormality detection device 300 performs setting for performing filtering control in the input / output unit (step S307).

以上、本実施形態にかかるネットワークの異常検知方法について説明した。かかる方法により、外部機器でトラフィックの異常について解析した結果、すぐに対策が必要であると判断した部分に関しては、外部機器からパケットフィルタの制御を行うことによって、即時にネットワークをワームの感染やDDoS攻撃から防御することができる。ワームの波及に要する時間は非常に短いため、ユーザにメール等で通知する方法では対応が間に合わないような場合に、非常に効果がある。   The network abnormality detection method according to the present embodiment has been described above. With this method, as a result of analyzing the traffic abnormality in the external device, the part that is determined to require immediate countermeasures can immediately control the network by performing packet filter control from the external device. Can defend against attacks. Since the time required for spreading the worm is very short, the method of notifying the user by e-mail or the like is very effective when the response cannot be made in time.

(第1の変形例)
次に、図9に基づいて、第1〜第3の実施形態にかかるネットワーク異常検知装置100〜300の第1の変形例について説明する。本変形例では、ネットワーク異常検知装置を通過するデータがデータ集計部を通過しないようにする構成であるネットワーク異常検知装置400について説明する。ここで、図9は、第1〜第3の実施形態にかかるネットワーク異常検知装置100〜300の第1の変形例を示すブロック図である。なお、ネットワーク異常検知装置400を構成する各構成要素については、第1〜第3の実施形態と同様であるので、各構成要素の詳細な説明は省略する。 (First modification)
Next, based on FIG. 9, the 1st modification of the network abnormality detection apparatuses 100-300 concerning the 1st-3rd embodiment is demonstrated. In the present modification, a network abnormality detection apparatus 400 that is configured to prevent data passing through the network abnormality detection apparatus from passing through the data totaling unit will be described. Here, FIG. 9 is a block diagram illustrating a first modification of the network abnormality detection devices 100 to 300 according to the first to third embodiments. In addition, about each component which comprises the network abnormality detection apparatus 400, since it is the same as that of 1st-3rd embodiment, detailed description of each component is abbreviate | omitted.

なお、本変形例では、変形部分以外のネットワーク異常検知装置の構成は、第1の実施形態にかかるネットワーク異常検知装置の構成(図1)と同様であるとして説明するが、第2および第3の実施形態の構成であってもよい。   In the present modification, the configuration of the network abnormality detection device other than the modified portion will be described as being the same as the configuration of the network abnormality detection device according to the first embodiment (FIG. 1). The configuration of the embodiment may be used.

本変形例にかかるネットワーク異常検知装置400においては、第1入出力部410と第2入出力部420とが接続され、第1入出力部410及び第2入出力部420を通じて装置に入出力されるデータが第1入出力部410と第2入出力部420との間で直接伝送される。   In the network abnormality detection device 400 according to this modification, the first input / output unit 410 and the second input / output unit 420 are connected, and input / output to / from the device through the first input / output unit 410 and the second input / output unit 420. Data is directly transmitted between the first input / output unit 410 and the second input / output unit 420.

より詳細には、第1入出力部410は、ネットワークから入力されたデータを複製し、一方を第2入出力部420に送り、他方をデータ集計部430に送る。同様に、第2入出力部420は、ネットワークから入力されたデータを複製し、一方を第1入出力部410に送り、他方をデータ集計部430に送る。データ集計部430は、指標データ保持部440及び異常度計算部450に対してのみ、データを出力し、第1入出力部410及び第2入出力部420に対してデータを送ることはない。   More specifically, the first input / output unit 410 duplicates data input from the network, sends one to the second input / output unit 420, and sends the other to the data totaling unit 430. Similarly, the second input / output unit 420 duplicates data input from the network, sends one to the first input / output unit 410, and sends the other to the data totaling unit 430. The data totaling unit 430 outputs data only to the index data holding unit 440 and the abnormality degree calculating unit 450 and does not send data to the first input / output unit 410 and the second input / output unit 420.

かかる構成により、データ集計部の負荷を減らすことができ、大容量トラフィックにも対応可能となる。さらに、第1入出力部と第2入出力部との間で直接データ転送を行うため、通信速度への影響を少なくすることができるという効果がある。   With such a configuration, it is possible to reduce the load on the data totaling unit, and it is possible to deal with large-capacity traffic. Furthermore, since direct data transfer is performed between the first input / output unit and the second input / output unit, there is an effect that the influence on the communication speed can be reduced.

(第2の変形例)
次に、図10に基づいて、第1〜第3の実施形態にかかるネットワーク異常検知装置100〜300の第2の変形例について説明する。本変形例では、ネットワーク異常検知装置を通過するトラフィックの行き先を振り分けるスイッチ部を設けた構成であるネットワーク異常検知装置500について説明する。ここで、図10は、第1〜第3の実施形態にかかるネットワーク異常検知装置100〜300の第2の変形例を示すブロック図である。なお、ネットワーク異常検知装置500を構成する各構成要素については、第1〜第3の実施形態と同様であるので、各構成要素の詳細な説明は省略する。 (Second modification)
Next, a second modification of the network abnormality detection devices 100 to 300 according to the first to third embodiments will be described with reference to FIG. In this modification, a network abnormality detection apparatus 500 having a configuration in which a switch unit that distributes the destination of traffic passing through the network abnormality detection apparatus will be described. Here, FIG. 10 is a block diagram illustrating a second modification of the network abnormality detection devices 100 to 300 according to the first to third embodiments. In addition, about each component which comprises the network abnormality detection apparatus 500, since it is the same as that of 1st-3rd embodiment, detailed description of each component is abbreviate | omitted.

なお、本変形例も上述した第1の変形例と同様に、変形部分以外のネットワーク異常検知装置の構成は、第1の実施形態にかかるネットワーク異常検知装置の構成(図1)と同様であるとして説明するが、第2および第3の実施形態の構成であってもよい。   Note that, in the present modification as well, the configuration of the network abnormality detection device other than the modification is the same as the configuration of the network abnormality detection device according to the first embodiment (FIG. 1). However, the configurations of the second and third embodiments may be used.

本変形例にかかるネットワーク異常検知装置500は、第1入出力部510、511及び第2入出力部520と接続されるスイッチ部570を含んで構成される。スイッチ部570は、第1入出力部510、511からそれぞれ入力されたデータを第2入出力部520に送信する。また、スイッチ部570は、第2入出力部から入力されたデータから、送信先を抽出し、第1入出力部510、511のいずれかより送信先に該当するものを選択し、選択した第1入出力部に対しデータを送信する。スイッチ部570は、レイヤ2スイッチであっても、レイヤ3スイッチであってもよく、ソフトウェアスイッチ、いわゆるルータ装置であってもよい。   The network abnormality detection device 500 according to this modification includes a switch unit 570 connected to the first input / output units 510 and 511 and the second input / output unit 520. The switch unit 570 transmits data input from the first input / output units 510 and 511 to the second input / output unit 520. In addition, the switch unit 570 extracts a transmission destination from the data input from the second input / output unit, selects a corresponding one of the first input / output units 510 and 511, and selects the selected first Data is transmitted to one input / output unit. The switch unit 570 may be a layer 2 switch, a layer 3 switch, or a software switch, a so-called router device.

なお、ここでは説明を簡単にするため、第1入出力部は2つであるものとして説明したが、3つ以上であってもよい。   In addition, here, in order to simplify the description, the first input / output unit is described as being two, but may be three or more.

かかる構成により、既存のスイッチ等の装置との置き換えによってトラフィックの異常を検知できる効果が得られ、新たに機器を設置するのと比較して、設置や管理が容易であるという効果がある。   With such a configuration, an effect of detecting a traffic abnormality can be obtained by replacing an existing device such as a switch, and there is an effect that installation and management are easier than installing a new device.

(第4の実施形態)
次に、図11に基づいて、本発明の第4の実施形態にかかるネットワーク異常検知システムについて説明する。図11は、本発明の第4の実施形態にかかるネットワーク異常検知システム600の概略構成を示すブロック図である。 (Fourth embodiment)
Next, a network abnormality detection system according to a fourth embodiment of the present invention will be described based on FIG. FIG. 11 is a block diagram showing a schematic configuration of a network abnormality detection system 600 according to the fourth embodiment of the present invention.

本発明の第4の実施形態にかかるネットワーク異常検知システム600は、図11に示すように、ネットワーク異常検知装置610〜630と、解析サーバ660とから構成される。ネットワーク異常検知装置610〜630と、解析サーバ660とは、ネットワーク650を介して接続されている。ネットワーク異常検知装置は、ネットワーク異常検知装置610及び620のように直接ネットワークに接続されてもよく、ネットワーク異常検知装置630のようにPC640などの情報処理装置を介してネットワークに接続されてもよい。   As shown in FIG. 11, the network abnormality detection system 600 according to the fourth embodiment of the present invention includes network abnormality detection devices 610 to 630 and an analysis server 660. The network abnormality detection devices 610 to 630 and the analysis server 660 are connected via a network 650. The network abnormality detection device may be directly connected to the network like the network abnormality detection devices 610 and 620, or may be connected to the network via an information processing device such as the PC 640 like the network abnormality detection device 630.

本実施形態にかかるネットワーク異常検知システム600は、トラフィックの異常を検知することが可能なネットワーク異常検知装置をネットワーク上の複数の監視ポイントに設置することによって、複数の装置から得られた異常度のデータを相互利用し、より精度の高い異常検知を行うようにしたものである。以下、ネットワーク異常検知装置610〜630及び解析サーバ660についてそれぞれ説明する。   The network abnormality detection system 600 according to the present embodiment has a degree of abnormality obtained from a plurality of devices by installing network abnormality detection devices capable of detecting a traffic abnormality at a plurality of monitoring points on the network. By using data mutually, anomaly detection with higher accuracy is performed. Hereinafter, each of the network abnormality detection devices 610 to 630 and the analysis server 660 will be described.

ネットワーク異常検知装置610〜630は、上述した本発明の第2〜第3実施形態にかかるネットワーク異常検知装置200〜300と同一の構成を有するものであり、その構成要素の詳細な説明は省略する。ネットワーク異常検知装置610〜630は、解析サーバ660に対し、ネットワーク650を介してトラフィックの異常度に関する計算結果データを送信する。データが送信されるタイミングは、ネットワーク異常検知装置610〜630が計算処理を行った後すぐに、あるいは所定の時間間隔をおいて自動的に送信されるようにしてもよく、解析サーバからのデータ要求信号に応答して送信されるようにしてもよい。送信されるデータは、少なくとも異常度の計算結果データを含み、それ以外に、異常度の計算に用いた指標データ、その指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。   The network abnormality detection devices 610 to 630 have the same configuration as the network abnormality detection devices 200 to 300 according to the second to third embodiments of the present invention described above, and detailed descriptions of the components are omitted. . The network abnormality detection devices 610 to 630 transmit calculation result data relating to the degree of traffic abnormality to the analysis server 660 via the network 650. The timing at which the data is transmitted may be transmitted immediately after the network abnormality detection devices 610 to 630 perform the calculation process or automatically at predetermined time intervals. It may be transmitted in response to the request signal. The transmitted data includes at least the calculation result data of the degree of abnormality. Besides that, the index data used for calculating the degree of abnormality, all or part of the data of the packet used to generate the index data, etc. May be included.

解析サーバ660は、ネットワーク異常検知装置610〜630から送信された異常度データの解析し、各データのパラメータ値の推移を基に異常判定を行う。例えば、2つ以上のネットワーク異常検知装置で同時に異常が検知されている場合、それぞれの異常の原因が同種の要素において発生しているものかどうかを判定し、同種の要素によるものであれば、同種のワームなど同じ原因による異常である可能性が高いと判断する。   The analysis server 660 analyzes the abnormality degree data transmitted from the network abnormality detection devices 610 to 630, and performs abnormality determination based on the transition of the parameter value of each data. For example, when two or more network abnormality detection devices detect an abnormality at the same time, determine whether the cause of each abnormality is occurring in the same type of element. Judge that there is a high possibility of an abnormality caused by the same cause, such as the same type of worm.

これにより、広域にワームが発生して異常トラフィックを発生させた場合に、同種の異常が複数のネットワーク異常検知装置で検知されることにより、複数のネットワーク異常検知装置の異常度のデータを比較することで、より早急に精度の高い異常検知が可能となる。   Thus, when a worm is generated in a wide area and abnormal traffic is generated, the same kind of abnormality is detected by a plurality of network abnormality detection devices, thereby comparing the abnormality degree data of the plurality of network abnormality detection devices. This makes it possible to detect anomalies with high accuracy as soon as possible.

以上、本実施形態にかかるネットワーク異常検知システム600について説明した。なお、本実施形態においては、ネットワーク異常検知装置が3つ、解析サーバが1つであるものとして説明したが、それ以上であってもよい。   The network abnormality detection system 600 according to the present embodiment has been described above. In the present embodiment, the description has been given assuming that there are three network abnormality detection devices and one analysis server, but the number may be more than that.

以上、添付図面を参照しながら本発明の好適な実施形態について説明したが、本発明は係る例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。   As mentioned above, although preferred embodiment of this invention was described referring an accompanying drawing, it cannot be overemphasized that this invention is not limited to the example which concerns. It will be apparent to those skilled in the art that various changes and modifications can be made within the scope of the claims, and these are naturally within the technical scope of the present invention. Understood.

本発明の第1の実施形態にかかるネットワーク異常検知装置の概略構成を示すブロック図である。It is a block diagram which shows schematic structure of the network abnormality detection apparatus concerning the 1st Embodiment of this invention. 同実施形態にかかるネットワーク異常検知装置を示す概略図である。It is the schematic which shows the network abnormality detection apparatus concerning the embodiment. 同実施形態にかかるネットワーク異常検知処理を示すフローチャートである。It is a flowchart which shows the network abnormality detection process concerning the embodiment. 本発明の第2の実施形態にかかるネットワーク異常検知装置の概略構成を示すブロック図である。It is a block diagram which shows schematic structure of the network abnormality detection apparatus concerning the 2nd Embodiment of this invention. 同実施形態にかかるネットワーク異常検知処理を示すフローチャートである。It is a flowchart which shows the network abnormality detection process concerning the embodiment. 本発明の第3の実施形態にかかるネットワーク異常検知装置の概略構成を示すブロック図である。It is a block diagram which shows schematic structure of the network abnormality detection apparatus concerning the 3rd Embodiment of this invention. 同実施形態にかかるネットワーク異常検知装置の変形例を示すブロック図である。It is a block diagram which shows the modification of the network abnormality detection apparatus concerning the embodiment. 同実施形態にかかるネットワーク異常検知処理を示すフローチャートである。It is a flowchart which shows the network abnormality detection process concerning the embodiment. 本発明の第1〜3の実施形態にかかるネットワーク異常検知装置の第1の変更例の概略構成を示すブロック図である。It is a block diagram which shows schematic structure of the 1st modification of the network abnormality detection apparatus concerning the 1st-3rd embodiment of this invention. 本発明の第1〜3の実施形態にかかるネットワーク異常検知装置の第2の変更例の概略構成を示すブロック図である。It is a block diagram which shows schematic structure of the 2nd modification of the network abnormality detection apparatus concerning the 1st-3rd embodiment of this invention. 本発明の第4の実施形態にかかるネットワーク異常検知システムの概略構成を示すブロック図である。It is a block diagram which shows schematic structure of the network abnormality detection system concerning the 4th Embodiment of this invention.

符号の説明Explanation of symbols

100 ネットワーク異常検知装置
110 第1入出力部
120 第2入出力部
130 データ集計部
140 指標データ保持部
150 異常度計算部
160 結果出力部
170 LAN
180 ユーザ端末
190 インターネット DESCRIPTION OF SYMBOLS 100 Network abnormality detection apparatus 110 1st input / output part 120 2nd input / output part 130 Data totaling part 140 Index data holding part 150 Abnormality degree calculation part 160 Result output part 170 LAN
180 User terminal 190 Internet

Claims (14)

ネットワーク上を流れるトラフィックの異常を検知するネットワーク異常検知装置であって、
内部ネットワークに対してデータの入出力を行う第1入出力部と、
外部ネットワークに対してデータの入出力を行う第2入出力部と、
前記第1入出力部及び前記第2入出力部から入力されたデータに基づき、トラフィックの異常を検知するためのデータを集計するデータ集計部と、
前記データ集計部によって過去一定期間の間に集計されたデータを、トラフィックの異常度を計算する際の指標として用いる指標データとして保持する指標データ保持部と、
トラフィックの異常を検知するために前記データ集計部によって異常度計算時刻に集計された評価データと、前記指標データ保持部から取得した前記指標データとを用いてトラフィックの異常度を計算する異常度計算部と、
を含むことを特徴とする、ネットワーク異常検知装置。 A network anomaly detection device that detects anomalies in traffic flowing on the network,
A first input / output unit for inputting / outputting data to / from the internal network;
A second input / output unit for inputting / outputting data to / from an external network;
A data totaling unit for totaling data for detecting traffic abnormality based on data input from the first input / output unit and the second input / output unit;
An index data holding unit that holds data aggregated during a certain period in the past by the data aggregation unit as index data used as an index when calculating the degree of traffic abnormality;
Abnormality calculation for calculating traffic abnormality using the evaluation data collected at the abnormality degree calculation time by the data aggregation unit to detect traffic abnormality and the indicator data acquired from the indicator data holding unit And
A network abnormality detection device comprising: 前記データ集計部は、前記第1入出力部から入力されたデータを前記第2入出力部に送信し、前記第2入出力部から入力されたデータを前記第1入出力部に送信することを特徴とする、請求項1に記載のネットワーク異常検知装置。   The data totaling unit transmits data input from the first input / output unit to the second input / output unit, and transmits data input from the second input / output unit to the first input / output unit. The network abnormality detection device according to claim 1, wherein: 前記第1入出力部は、前記内部ネットワークから入力されたデータを複製して前記第2入出力部にデータの一方を送り、前記第2入出力部は、前記外部ネットワークから入力されたデータを複製して前記第1入出力部にデータの一方を送ることを特徴とする、請求項1に記載のネットワーク異常検知装置。   The first input / output unit duplicates data input from the internal network and sends one of the data to the second input / output unit, and the second input / output unit receives data input from the external network. The network abnormality detection device according to claim 1, wherein one of the data is duplicated and sent to the first input / output unit. 1または2以上の前記第1入出力部及び前記第2入出力部に接続されるスイッチ部をさらに含み、
前記スイッチ部は、
前記1または2以上の第1入出力部からそれぞれ入力されたデータを前記第2入出力部に送信するとともに、
前記第2入出力部から入力されたデータの宛先に該当する前記第1入出力部を判別し、当該第1入出力部に対しデータを送信することを特徴とする、請求項1〜3のいずれかに記載のネットワーク異常検知装置。 A switch unit connected to one or more of the first input / output unit and the second input / output unit;
The switch part is
Transmitting data input from each of the one or more first input / output units to the second input / output unit;
The first input / output unit corresponding to a destination of data input from the second input / output unit is determined, and data is transmitted to the first input / output unit. The network abnormality detection device according to any one of the above. 前記異常度計算部によって計算された計算結果データを前記外部機器に対して送信する外部インタフェース部をさらに含むことを特徴とする、請求項1〜4のいずれかに記載のネットワーク異常検知装置。   The network abnormality detection device according to claim 1, further comprising an external interface unit that transmits calculation result data calculated by the abnormality degree calculation unit to the external device. 前記異常度計算部によって計算された計算結果データを保持する結果データ保持部をさらに含み、
前記外部インタフェース部は、前記外部機器からの要求に応じて、前記結果データ保持部から取得した前記計算結果データと、前記指標データ保持部から取得した、前記計算結果データの計算に用いられた前記指標データとを前記外部機器に送信することを特徴とする、請求項5に記載のネットワーク異常検知装置。 A result data holding unit that holds calculation result data calculated by the abnormality degree calculation unit;
The external interface unit is used to calculate the calculation result data acquired from the result data holding unit and the calculation result data acquired from the index data holding unit in response to a request from the external device. The network abnormality detection device according to claim 5, wherein index data is transmitted to the external device. 前記データ集計部は、前記第1入出力部または前記第2入出力部から入力された入力データの一部または全部を前記指標データ保持部に渡し、
前記指標データ保持部は、前記データ集計部において前記入力データを集計して得られた前記指標データと前記入力データの一部または全部とを対応付けして保持し、
前記外部インタフェース部は、前記計算結果データ及び前記指標データとともに、前記指標データと対応付けされた前記入力データの一部または全部を前記外部機器に送信することを特徴とする、請求項6に記載のネットワーク異常検知装置。 The data totaling unit passes a part or all of input data input from the first input / output unit or the second input / output unit to the index data holding unit,
The index data holding unit holds the index data obtained by totaling the input data in the data totaling unit and a part or all of the input data in association with each other,
The external interface unit transmits part or all of the input data associated with the index data together with the calculation result data and the index data to the external device. Network error detection device. 前記第1入出力部、前記第2入出力部、及び前記外部インタフェース部と接続されるパケットフィルタ部をさらに含み、
前記パケットフィルタ部は、前記外部インタフェース部を通じて受信される前記外部機器からのフィルタリング要求に応じて、前記第1入出力部及び前記第2入出力部によって入出力されるデータのフィルタリング制御を行うことを特徴とする、請求項5〜7のいずれかに記載のネットワーク異常検知装置。 A packet filter unit connected to the first input / output unit, the second input / output unit, and the external interface unit;
The packet filter unit performs filtering control of data input / output by the first input / output unit and the second input / output unit in response to a filtering request received from the external device through the external interface unit. The network abnormality detection device according to claim 5, wherein: ネットワーク上を流れるトラフィックの異常を検知するネットワーク異常検知方法であって、
内部ネットワーク及び外部ネットワークから入力されたデータに基づき、トラフィックの異常を検知するためのデータを集計するデータ集計段階と、
前記データ集計段階で集計されたデータを、トラフィックの異常度を計算する際の指標として用いる指標データとして保持する指標データ保持段階と、
過去一定期間の間に集計された前記指標データを取得する指標データ取得段階と、
前記指標データ取得段階において取得された前記指標データと、トラフィックの異常度計算時刻に前記データ集計段階で集計された評価データとを用いてトラフィックの異常度を計算する異常度計算段階と、
を含むことを特徴とする、ネットワーク異常検知方法。 A network anomaly detection method for detecting an anomaly in traffic flowing on a network,
A data aggregation stage for aggregating data for detecting traffic anomalies based on data input from internal and external networks;
An index data holding stage for holding the data aggregated in the data aggregation stage as index data used as an index when calculating the degree of traffic abnormality;
An index data acquisition stage for acquiring the index data aggregated during the past certain period;
An anomaly degree calculation step of calculating an anomaly degree of traffic using the index data acquired in the indicator data acquisition stage and the evaluation data aggregated in the data aggregation stage at a traffic anomaly degree calculation time;
A network abnormality detection method comprising: 前記異常度計算段階で計算された結果である計算結果データを、外部機器に対して送信する結果データ送信段階をさらに含むことを特徴とする、請求項9に記載のネットワーク異常検知方法。   The network abnormality detection method according to claim 9, further comprising a result data transmission step of transmitting calculation result data, which is a result calculated in the abnormality degree calculation step, to an external device. 前記異常度計算段階で計算された結果を計算結果データとして保持する結果データ保持段階と、
前記外部機器からの問い合わせに応じて、前記計算結果データと前記計算結果データの計算に用いられた前記指標データとを取得する結果データ取得段階と、
をさらに含み、
前記結果データ送信段階において、前記結果データ取得段階で取得された前記指標データを前記計算結果データとともに前記外部機器に送信することを特徴とする、請求項10に記載のネットワーク異常検知方法。 A result data holding step for holding the result calculated in the abnormality degree calculation step as calculation result data;
In response to an inquiry from the external device, a result data acquisition step of acquiring the calculation result data and the index data used for the calculation of the calculation result data;
Further including
The network abnormality detection method according to claim 10, wherein in the result data transmission step, the index data acquired in the result data acquisition step is transmitted to the external device together with the calculation result data. 前記内部ネットワーク及び前記外部ネットワークから入力される入力データの一部または全部を、前記入力データを集計して得られた前記指標データと対応付けして保持するパケットデータ保持段階をさらに含み、
前記結果データ送信段階において、前記計算結果データ及び前記指標データとともに、前記指標データと対応付けされた前記入力データの一部または全部を前記外部機器に送信することを特徴とする、請求項11に記載のネットワーク異常検知方法。 A packet data holding step of holding a part or all of input data input from the internal network and the external network in association with the index data obtained by aggregating the input data;
12. The result data transmission step, wherein a part or all of the input data associated with the index data is transmitted to the external device together with the calculation result data and the index data. The network abnormality detection method described. 前記外部機器からのフィルタリング要求に応じて、入出力されるデータのフィルタリング制御を行うフィルタリング制御段階をさらに含むことを特徴とする、請求項10〜12のいずれかに記載のネットワーク異常検知方法。   The network abnormality detection method according to claim 10, further comprising a filtering control step of performing filtering control of input / output data in response to a filtering request from the external device. ネットワークから入力されるデータを集計し、集計されたデータからトラフィックの異常度を計算する複数のネットワーク異常検知装置と、
ネットワークを介して前記複数のネットワーク異常検知装置と接続され、前記複数のネットワーク異常検知装置からそれぞれ送信された複数の異常度データを比較することにより、トラフィックの異常を検知する解析サーバと、
を含み、
前記解析サーバは、前記複数の異常度データのうち、同一の要素から異常が検出された前記異常度データが複数存在する場合に、トラフィックに異常が発生していると判断することを特徴とする、ネットワーク異常検知システム。 A plurality of network anomaly detection devices that aggregate data input from the network and calculate traffic anomalies from the aggregated data;
An analysis server connected to the plurality of network abnormality detection devices via a network and detecting a traffic abnormality by comparing a plurality of abnormality degree data respectively transmitted from the plurality of network abnormality detection devices;
Including
The analysis server determines that an abnormality has occurred in traffic when there is a plurality of abnormality degree data in which an abnormality is detected from the same element among the plurality of abnormality degree data. Network anomaly detection system.
JP2006194824A 2006-07-14 2006-07-14 Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system Pending JP2008022498A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006194824A JP2008022498A (en) 2006-07-14 2006-07-14 Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006194824A JP2008022498A (en) 2006-07-14 2006-07-14 Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system

Publications (1)

Publication Number Publication Date
JP2008022498A true JP2008022498A (en) 2008-01-31

Family

ID=39078101

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006194824A Pending JP2008022498A (en) 2006-07-14 2006-07-14 Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system

Country Status (1)

Country Link
JP (1) JP2008022498A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013200144A (en) * 2012-03-23 2013-10-03 Mitsubishi Electric Corp Abnormal sound diagnosis device
JP2014505301A (en) * 2011-01-13 2014-02-27 タタ コンサルタンシー サービシズ リミテッド Credit management method and system in distributed computing system
WO2016135822A1 (en) * 2015-02-23 2016-09-01 三菱電機株式会社 Communication monitor system, gateway device, and communication monitor device
JP2016181265A (en) * 2012-05-01 2016-10-13 ターセーラ, インコーポレイテッド Systems and methods for provision of mobile security based on dynamic attestation
JP2020024650A (en) * 2018-08-06 2020-02-13 沖電気工業株式会社 Security information processing device, program, and method
CN113746686A (en) * 2020-05-27 2021-12-03 阿里巴巴集团控股有限公司 Network flow state determination method, computing device and storage medium

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014505301A (en) * 2011-01-13 2014-02-27 タタ コンサルタンシー サービシズ リミテッド Credit management method and system in distributed computing system
JP2013200144A (en) * 2012-03-23 2013-10-03 Mitsubishi Electric Corp Abnormal sound diagnosis device
JP2016181265A (en) * 2012-05-01 2016-10-13 ターセーラ, インコーポレイテッド Systems and methods for provision of mobile security based on dynamic attestation
WO2016135822A1 (en) * 2015-02-23 2016-09-01 三菱電機株式会社 Communication monitor system, gateway device, and communication monitor device
JPWO2016135822A1 (en) * 2015-02-23 2017-08-24 三菱電機株式会社 Communication monitoring system, gateway device, and communication monitoring device
JP2020024650A (en) * 2018-08-06 2020-02-13 沖電気工業株式会社 Security information processing device, program, and method
CN113746686A (en) * 2020-05-27 2021-12-03 阿里巴巴集团控股有限公司 Network flow state determination method, computing device and storage medium

Similar Documents

Publication Publication Date Title
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
US7624447B1 (en) Using threshold lists for worm detection
US7752668B2 (en) Network virus activity detecting system, method, and program, and storage medium storing said program
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US8087085B2 (en) Wireless intrusion prevention system and method
JP5518594B2 (en) Internal network management system, internal network management method and program
US7617533B1 (en) Self-quarantining network
KR101574193B1 (en) Apparatus and method for defending DDoS attack
WO2014129587A1 (en) Network monitoring device, network monitoring method, and network monitoring program
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
JP2006350561A (en) Attack detection device
JP2007179131A (en) Event detection system, management terminal and program, and event detection method
JP2006243878A (en) Unauthorized access detection system
CN114006723B (en) Network security prediction method, device and system based on threat information
JP2008022498A (en) Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
CN114006722B (en) Situation awareness verification method, device and system for detecting threat
JP6470201B2 (en) Attack detection device, attack detection system, and attack detection method
JP4161989B2 (en) Network monitoring system
JP4437107B2 (en) Computer system
CN114189361A (en) Situation awareness method, device and system for defending threats
CN114172881B (en) Network security verification method, device and system based on prediction
JP2004328307A (en) Attack defense system, attack defense control server, and attack defense method
JP2004030287A (en) Bi-directional network intrusion detection system and bi-directional intrusion detection program
JP2006018527A (en) Method, device and program for monitoring operation of computer network

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080814

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080902

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090407