JP2008022498A - Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system - Google Patents
Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system Download PDFInfo
- Publication number
- JP2008022498A JP2008022498A JP2006194824A JP2006194824A JP2008022498A JP 2008022498 A JP2008022498 A JP 2008022498A JP 2006194824 A JP2006194824 A JP 2006194824A JP 2006194824 A JP2006194824 A JP 2006194824A JP 2008022498 A JP2008022498 A JP 2008022498A
- Authority
- JP
- Japan
- Prior art keywords
- data
- input
- network
- abnormality
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システムに係り、特に、ネットワーク上を流れるトラフィックの異常を検知するネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システムに関する。 The present invention relates to a network abnormality detection device, a network abnormality detection method, and a network abnormality detection system, and more particularly to a network abnormality detection device, a network abnormality detection method, and a network abnormality detection system that detect an abnormality in traffic flowing on a network.
従来より、ウイルスやワームなどからコンピュータやネットワークを保護し、侵入を早期に検知して感染の拡大を防止するための様々な技術が研究されている。近年では、感染した端末を悪用して様々な被害を与えるボットと呼ばれるワームが多数出現しており、このようなボットのネットワークへの侵入や侵入したボットによるスパムメール送信、DDoS(DDoS:Distributed Denial of Service)攻撃等の活動を早急に検知できるようにすることが必要とされている。 Conventionally, various techniques for protecting computers and networks from viruses and worms, detecting intrusions at an early stage, and preventing the spread of infection have been studied. In recent years, a number of worms called bots that cause various damages by exploiting infected terminals have appeared. Intrusion of such bots into the network, spam mail transmission by invaded bots, DDoS (DDoS: Distributed Denial) of Service) It is necessary to be able to detect activities such as attacks as soon as possible.
一般的に、ボットなどを含むウイルスへの対策として、ネットワークに接続されたコンピュータ上でウイルスを検出するウイルス対策ソフトと呼ばれるソフトウェアが用いられている。ウイルス対策ソフトは、予め用意されたウイルス検出パターンを用いたパターンマッチングにより、コンピュータ内に進入したウイルスを検出する。ウイルス検出パターンは定期的に更新され、インターネットなどを経由して最新のパターンファイルがユーザに提供されるようになっているものも多い。 Generally, software called anti-virus software that detects a virus on a computer connected to a network is used as a countermeasure against viruses including bots. The antivirus software detects a virus that has entered the computer by pattern matching using a virus detection pattern prepared in advance. Virus detection patterns are regularly updated, and many of the latest pattern files are provided to users via the Internet or the like.
また、ネットワーク上の個々の端末にインストールして用いられるパーソナルファイアウォールも、ウイルス対策の効果がある。パーソナルファイアウォールは、インストールされたコンピュータのネットワークインタフェースの入出力パケットを監視し、管理者が認めたプログラムの通信のみを許可するため、ウイルスやワームの侵入を未然に防止することができる。また、ワームに感染した場合でも、ワームによる通信を防ぐことによって拡散を防止することができる。 In addition, personal firewalls installed and used on individual terminals on the network also have an anti-virus effect. Since the personal firewall monitors the input / output packets of the network interface of the installed computer and permits only the communication of the program approved by the administrator, it can prevent the invasion of viruses and worms. Even when a worm is infected, spreading can be prevented by preventing communication by the worm.
一方、個々のコンピュータ上ではなく、ネットワーク側で異常を検知する方法として、侵入検知システム(IDS:Intrusion Detection System)と呼ばれるものがある。IDSは、ネットワーク上を通過するパケットのペイロード部分を分析し、登録されているパターンとのマッチングにより不正アクセスと思われるパケットを検出するシステムである。例えば、特許文献1には、外部ネットワークから受信されたインバウンドトラフィックから検知された不正侵入の検知情報と、内部ネットワークから発信されるアウトバウンドトラフィックから検出された不正侵入に対する応答信号とを照合して検証することにより、検知精度を高めた双方向型のIDSが開示されている。
On the other hand, there is a method called an intrusion detection system (IDS) as a method of detecting an abnormality on the network side, not on an individual computer. IDS is a system that analyzes a payload portion of a packet passing on a network and detects a packet that seems to be an unauthorized access by matching with a registered pattern. For example,
上述したような従来技術を用いる場合、現状ではいくつかの問題点がある。 When using the conventional technology as described above, there are several problems at present.
まず、ウイルス対策ソフトで用いられるパターンマッチングによるウイルス検出方法は、基本的に既知のウイルスに対するものであり、パターンが対応していない未知のウイルスを検出することはできない。また、ウイルスのオープンソース化が進んだ現状では、従来とは比較にならない速さで亜種ウイルスが出現するため、全ての亜種ウイルスに対応するパターンを用意することはさらに難しくなっている。ウイルス対策ソフトの他の問題点としては、ソフトウェアが特定のOS(OS:Operating System)に対してしか提供されないことも挙げられる。また、ウイルス対策ソフトの種類によって検出できるウイルスが異なっている場合もあり、ウイルス検出の可否がユーザの使用環境に依存するという問題がある。さらに、ウイルス対策ソフトそのものの活動を止めてしまうウイルスやワームが存在するため、ユーザが気づかないうちにウイルス検出が出来ない状態になってしまうこともある。 First, the virus detection method based on pattern matching used in anti-virus software is basically for known viruses, and cannot detect unknown viruses that do not correspond to patterns. In addition, in the current situation where viruses are becoming open source, subspecies viruses emerge at an unprecedented speed, making it more difficult to prepare patterns corresponding to all subspecies viruses. Another problem of the anti-virus software is that the software is provided only for a specific OS (OS: Operating System). In addition, there are cases where the viruses that can be detected differ depending on the type of antivirus software, and there is a problem that the availability of virus detection depends on the user's usage environment. Furthermore, since there are viruses and worms that stop the activity of anti-virus software itself, it may become impossible to detect viruses without the user's knowledge.
また、パーソナルファイアウォールも、ウイルス対策ソフトと同様に、OS依存であるという問題、ファイアウォールの機能を停止させるウイルスが存在する問題がある。また、設定項目や検知項目がユーザにとって分かりにくく、設定が難しいため、機能が有効に活用されてない場合もある。さらに、インターネットプロトコルの高度化により、ファイアウォールの制限を回避して通信するプロトコルも多数開発されており、そのようなプロトコルを用いた通信を遮断することが難しいという問題がある。 Also, personal firewalls, like anti-virus software, have a problem that they are dependent on the OS and a virus that stops the firewall function. In addition, since the setting items and detection items are difficult for the user to understand and are difficult to set, the function may not be used effectively. Furthermore, with the advancement of Internet protocols, many protocols have been developed that communicate by avoiding the limitations of firewalls, and there is a problem that it is difficult to block communication using such protocols.
また、特許文献1に開示されたようなIDSについても、ウイルス対策ソフトと同様にパターンマッチングによる手法を用いているため、新しいパターンへの対応が難しいという問題がある。また、特許文献1の方法では、インバウンドトラフィックの監視により不正侵入を検知した後、予め定めた時間内に応答信号が返されるか否かによって侵入検知を行っているため、予め定めた時間内に規定どおりの動作をするような場合にしか対応できない。
Further, IDS as disclosed in
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、OS等のコンピュータの使用環境に依存せず、未知のウイルスやワームが侵入した場合であってもそれによるトラフィックの異常を検出することが可能な、新規かつ改良されたネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システムを提供することにある。 Therefore, the present invention has been made in view of the above problems, and the object of the present invention is a case where an unknown virus or worm has entered without depending on the operating environment of a computer such as an OS. It is another object of the present invention to provide a new and improved network abnormality detection device, network abnormality detection method, and network abnormality detection system capable of detecting an abnormality in traffic.
上記課題を解決するために、本発明のある観点によれば、ネットワーク上を流れるトラフィックの異常を検知するネットワーク異常検知装置であって、内部ネットワークに対してデータの入出力を行う第1入出力部と、外部ネットワークに対してデータの入出力を行う第2入出力部と、第1入出力部及び第2入出力部から入力されたデータに基づき、トラフィックの異常を検知するためのデータを集計するデータ集計部と、データ集計部によって過去一定期間の間に集計されたデータを、トラフィックの異常度を計算する際の指標として用いる指標データとして保持する指標データ保持部と、トラフィックの異常を検知するためにデータ集計部によって異常度計算時刻に集計された評価データと、指標データ保持部から取得した指標データとを用いてトラフィックの異常度を計算する異常度計算部と、を含むことを特徴とする、ネットワーク異常検知装置が提供される。 In order to solve the above-described problem, according to an aspect of the present invention, there is provided a network abnormality detection device for detecting an abnormality of traffic flowing on a network, wherein the first input / output performs data input / output with respect to an internal network. A second input / output unit for inputting / outputting data to / from an external network, and data for detecting traffic anomalies based on data input from the first input / output unit and the second input / output unit. A data totaling unit that aggregates data, an index data holding unit that stores data aggregated during a certain period in the past by the data totaling unit as index data used as an index when calculating the degree of traffic abnormality, and a traffic abnormality Evaluation data collected at the time of abnormality calculation by the data aggregation unit for detection, and index data acquired from the index data holding unit Characterized in that it comprises an abnormality calculating unit for calculating a degree of abnormality traffic, the use, the network anomaly detector is provided.
かかる構成により、OSなどの使用環境に関わらず、ネットワーク上の監視したいポイントで異常が発生しているかどうかを知ることができる。さらに、計算されたトラフィックの異常度のレベルをディスプレイやLED(LED:Light Emitting Diode)などで表示することにより、ユーザや管理者が、監視ポイントにおいて正常な通信が行われているか否かを即座に認識することができる。 With this configuration, it is possible to know whether an abnormality has occurred at a point to be monitored on the network, regardless of the operating environment such as the OS. Further, by displaying the calculated level of traffic anomaly on a display or LED (LED: Light Emitting Diode), the user or administrator can immediately determine whether normal communication is being performed at the monitoring point. Can be recognized.
また、データ集計部は、第1入出力部から入力されたデータを第2入出力部に送信し、第2入出力部から入力されたデータを第1入出力部に送信するようにしてもよい。あるいは、第1入出力部は、内部ネットワークから入力されたデータを複製して第2入出力部にデータの一方を送信し、第2入出力部は、外部ネットワークから入力されたデータを複製して第1入出力部にデータの一方を送信するようにしてもよい。後者の場合は、前者の場合と比較してデータ集計部の負荷を減らすことができ、大容量トラフィックにも対応可能となる。さらに、第1入出力部と第2入出力部との間で直接データ転送を行うため、通信速度への影響を少なくすることができるという効果がある。 Further, the data totaling unit transmits data input from the first input / output unit to the second input / output unit, and transmits data input from the second input / output unit to the first input / output unit. Good. Alternatively, the first input / output unit replicates data input from the internal network and transmits one of the data to the second input / output unit, and the second input / output unit replicates data input from the external network. Then, one of the data may be transmitted to the first input / output unit. In the latter case, the load on the data totaling unit can be reduced as compared with the former case, and it becomes possible to cope with a large volume of traffic. Furthermore, since direct data transfer is performed between the first input / output unit and the second input / output unit, there is an effect that the influence on the communication speed can be reduced.
また、1または2以上の第1入出力部及び第2入出力部に接続されるスイッチ部をさらに含み、スイッチ部は、1または2以上の第1入出力部からそれぞれ入力されたデータを第2入出力部に送信するとともに、第2入出力部から入力されたデータの宛先に該当する第1入出力部を判別し、当該第1入出力部に対しデータを送信するようにしてもよい。スイッチ部は、レイヤ2スイッチであっても、レイヤ3スイッチであってもよく、ソフトウェアスイッチ、いわゆるルータ装置であってもよい。これにより、既存のスイッチ等の装置との置き換えによってトラフィックの異常を検知できる効果が得られ、新たに機器を設置するのと比較して、設置や管理が容易であるという効果がある。 The switch unit further includes one or more first input / output units and a switch unit connected to the second input / output unit, and the switch unit receives data input from the one or more first input / output units respectively. The first input / output unit corresponding to the destination of the data input from the second input / output unit may be determined, and the data may be transmitted to the first input / output unit. . The switch unit may be a layer 2 switch, a layer 3 switch, or a software switch, a so-called router device. As a result, an effect of detecting an abnormality in traffic can be obtained by replacing an existing device such as a switch, and there is an effect that installation and management are easier than installing a new device.
また、異常度計算部によって計算された計算結果データを外部機器に対して送信する外部インタフェース部をさらに含んでもよい。これにより、PCやサーバなどの外部機器において、トラフィックの異常についてさらに詳細に分析を行うことが可能となる。さらに、異常が確認された場合には、その旨をユーザにメール等で通知し対策を指示する等の対応を行うことも可能となる。 In addition, an external interface unit that transmits the calculation result data calculated by the abnormality degree calculation unit to an external device may be further included. As a result, it becomes possible to analyze the traffic abnormality in more detail in an external device such as a PC or a server. Furthermore, when an abnormality is confirmed, it is possible to take measures such as notifying the user by e-mail and instructing countermeasures.
また、異常度計算部によって計算された計算結果データを保持する結果データ保持部をさらに含み、外部インタフェース部は、外部機器からの要求に応じて、結果データ保持部から取得した計算結果データと、指標データ保持部から取得した、計算結果データの計算に用いられた指標データとを外部機器に送信するようにしてもよい。これにより、ユーザや管理者が任意のタイミングで、PCやサーバなどを接続して異常の原因を詳細に見ることができるようになる。また、ネットワーク管理者等であれば、送信されたデータを基に、トラフィックの異常についてある程度の推測を立て、対策を検討することが可能になる。 Further, it further includes a result data holding unit that holds the calculation result data calculated by the abnormality degree calculation unit, and the external interface unit, in response to a request from the external device, calculation result data acquired from the result data holding unit, The index data acquired from the index data holding unit and used for calculating the calculation result data may be transmitted to the external device. Thereby, a user or an administrator can connect a PC or a server at an arbitrary timing to see the cause of the abnormality in detail. Further, a network administrator or the like can make a certain guess about the traffic abnormality based on the transmitted data and examine the countermeasure.
また、データ集計部は、第1入出力部または第2入出力部から入力された入力データの一部または全部を指標データ保持部に渡し、指標データ保持部は、データ集計部において入力データを集計して得られた指標データと入力データの一部または全部とを対応付けして保持するようにしてもよい。さらに、外部インタフェース部は、計算結果データ及び指標データとともに、指標データと対応付けされた入力データの一部または全部を外部機器に送信するようにしてもよい。これにより、外部機器によってネットワーク上を流れるパケットデータをモニタリングして解析することが可能となる。また、トラフィックの異常度のデータと対応付けされてパケットデータが送られてくるため、単にパケットをモニタリングするだけでなく、確認したい異常度のデータとそれに対応するパケットの解析ができ、非常に効率が良いというメリットがある。 The data totaling unit passes a part or all of the input data input from the first input / output unit or the second input / output unit to the index data holding unit, and the index data holding unit receives the input data in the data totaling unit. You may make it hold | maintain by matching the index data obtained by totaling, and a part or all of input data. Further, the external interface unit may transmit a part or all of the input data associated with the index data to the external device together with the calculation result data and the index data. Thereby, it becomes possible to monitor and analyze packet data flowing on the network by an external device. In addition, packet data is sent in association with traffic anomaly data, so you can not only monitor packets, but also analyze the anomaly data you want to check and the corresponding packets, which is very efficient There is a merit that is good.
また、第1入出力部、第2入出力部、及び外部インタフェース部と接続されるパケットフィルタ部をさらに含み、パケットフィルタ部は、外部インタフェース部を通じて受信される外部機器からのフィルタリング要求に応じて、第1入出力部及び第2入出力部によって入出力されるデータのフィルタリング制御を行うようにしてもよい。これにより、外部機器でトラフィックの異常について解析した結果、すぐに対策が必要であると判断した部分に関しては、外部機器からパケットフィルタの制御を行うことによって、即時にネットワークをワームの感染やDDoS攻撃から防御することができる。ワームの波及に要する時間は非常に短いため、ユーザにメール等で通知する方法では対応が間に合わないような場合に、非常に効果がある。 The packet filter unit further includes a packet filter unit connected to the first input / output unit, the second input / output unit, and the external interface unit, the packet filter unit responding to a filtering request from an external device received through the external interface unit. The filtering of data input / output by the first input / output unit and the second input / output unit may be performed. As a result, as a result of analyzing the traffic abnormality in the external device, the portion that is determined to require immediate countermeasures is used to control the packet filter from the external device, so that the network can be immediately infected with the worm or DDoS attack. Can defend against. Since the time required for spreading the worm is very short, the method of notifying the user by e-mail or the like is very effective when the response cannot be made in time.
また、上記課題を解決するために、本発明の別の観点によれば、ネットワーク上を流れるトラフィックの異常を検知するネットワーク異常検知方法であって、内部ネットワーク及び外部ネットワークから入力されたデータに基づき、トラフィックの異常を検知するためのデータを集計するデータ集計段階と、データ集計段階で集計されたデータを、トラフィックの異常度を計算する際の指標として用いる指標データとして保持する指標データ保持段階と、過去一定期間の間に集計された指標データを取得する指標データ取得段階と、指標データ取得段階において取得された指標データと、トラフィックの異常度計算時刻にデータ集計段階で集計された評価データとを用いてトラフィックの異常度を計算する異常度計算段階と、を含むことを特徴とする、ネットワーク異常検知方法が提供される。 In order to solve the above problem, according to another aspect of the present invention, there is provided a network abnormality detection method for detecting an abnormality of traffic flowing on a network, based on data input from an internal network and an external network. A data aggregation stage that aggregates data for detecting traffic anomalies, and an index data retention stage that retains the data aggregated in the data aggregation stage as index data used as an index when calculating the degree of traffic abnormality An index data acquisition stage for acquiring index data aggregated during a certain period in the past, index data acquired in the index data acquisition stage, and evaluation data aggregated in the data aggregation stage at the time of traffic abnormality calculation An anomaly calculation stage that calculates traffic anomalies using And, the network anomaly detection method is provided.
かかる構成により、OSなどの使用環境に関わらず、ネットワーク上の監視したいポイントで異常が発生しているかどうかを知ることができる。さらに、計算されたトラフィックの異常度のレベルをディスプレイやLED等で表示することにより、ユーザや管理者が、監視ポイントにおいて正常な通信が行われているか否かを即座に認識することができる。 With this configuration, it is possible to know whether an abnormality has occurred at a point to be monitored on the network, regardless of the operating environment such as the OS. Further, by displaying the calculated level of traffic anomaly on a display or LED, the user or administrator can immediately recognize whether or not normal communication is being performed at the monitoring point.
また、異常度計算段階で計算された結果である計算結果データを、外部機器に対して送信する結果データ送信段階をさらに含んでもよい。これにより、PCやサーバなどの外部機器において、トラフィックの異常についてさらに詳細に分析を行うことが可能となる。さらに、異常が確認された場合には、その旨をユーザにメール等で通知し対策を指示する等の対応を行うことも可能となる。 Further, a result data transmission step of transmitting calculation result data, which is a result calculated in the abnormality degree calculation step, to an external device may be further included. As a result, it becomes possible to analyze the traffic abnormality in more detail in an external device such as a PC or a server. Furthermore, when an abnormality is confirmed, it is possible to take measures such as notifying the user by e-mail and instructing countermeasures.
また、異常度計算段階で計算された結果を計算結果データとして保持する結果データ保持段階と、外部機器からの問い合わせに応じて、計算結果データと、計算結果データの計算に用いられた指標データとを取得する結果データ取得段階とをさらに含んでもよい。さらに、結果データ送信段階において、結果データ取得段階で取得された指標データを計算結果データとともに外部機器に送信するようにしてもよい。これにより、ユーザや管理者が任意のタイミングで、PCやサーバなどを接続して異常の原因を詳細に見ることができるようになる。また、ネットワーク管理者等であれば、送信されたデータを基に、トラフィックの異常についてある程度の推測を立て、対策を検討することが可能になる。 In addition, a result data holding stage that holds the result calculated in the degree of abnormality calculation stage as calculation result data, and in response to an inquiry from an external device, calculation result data, and index data used to calculate the calculation result data; And a result data acquisition step of acquiring. Furthermore, in the result data transmission stage, the index data acquired in the result data acquisition stage may be transmitted together with the calculation result data to the external device. Thereby, a user or an administrator can connect a PC or a server at an arbitrary timing to see the cause of the abnormality in detail. Further, a network administrator or the like can make a certain guess about the traffic abnormality based on the transmitted data and examine the countermeasure.
また、内部ネットワーク及び外部ネットワークから入力される入力データの一部または全部を、入力データを集計して得られた指標データと対応付けして保持するパケットデータ保持段階をさらに含み、結果データ送信段階において、計算結果データ及び指標データとともに、指標データと対応付けされた入力データの一部または全部を外部機器に送信するようにしてもよい。これにより、外部機器によってネットワーク上を流れるパケットデータをモニタリングして解析することが可能となる。また、トラフィックの異常度のデータと対応付けされてパケットデータが送られてくるため、単にパケットをモニタリングするだけでなく、確認したい異常度のデータとそれに対応するパケットの解析ができ、非常に効率が良いというメリットがある。 The method further includes a packet data holding step for holding a part or all of input data input from the internal network and the external network in association with index data obtained by aggregating the input data, and a result data transmission step , Part or all of the input data associated with the index data may be transmitted to the external device together with the calculation result data and the index data. Thereby, it becomes possible to monitor and analyze packet data flowing on the network by an external device. In addition, packet data is sent in association with traffic anomaly data, so you can not only monitor packets, but also analyze the anomaly data you want to check and the corresponding packets, which is very efficient There is a merit that is good.
また、外部機器からのフィルタリング要求に応じて、入出力されるデータのフィルタリング制御を行うフィルタリング制御段階をさらに含んでもよい。これにより、外部機器でトラフィックの異常について解析した結果、すぐに対策が必要であると判断した部分に関しては、外部機器からパケットフィルタの制御を行うことによって、即時にネットワークをワームの感染やDDoS攻撃から防御することができる。ワームの波及に要する時間は非常に短いため、ユーザにメール等で通知する方法では対応が間に合わないような場合に、非常に効果がある。 In addition, a filtering control step for performing filtering control of input / output data in response to a filtering request from an external device may be further included. As a result, as a result of analyzing the traffic abnormality in the external device, the portion that is determined to require immediate countermeasures is used to control the packet filter from the external device, so that the network can be immediately infected with the worm or DDoS attack. Can defend against. Since the time required for spreading the worm is very short, the method of notifying the user by e-mail or the like is very effective when the response cannot be made in time.
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークから入力されるデータを集計し、集計されたデータからトラフィックの異常度を計算する複数のネットワーク異常検知装置と、ネットワークを介して複数のネットワーク異常検知装置と接続され、複数のネットワーク異常検知装置からそれぞれ送信された複数の異常度データを比較することにより、トラフィックの異常を検知する解析サーバとを含み、解析サーバは、複数の異常度データのうち、同一の要素から異常が検出された異常度データが複数存在する場合に、トラフィックに異常が発生していると判断することを特徴とする、ネットワーク異常検知システムが提供される。 In order to solve the above problem, according to another aspect of the present invention, a plurality of network abnormality detection devices that aggregate data input from a network and calculate a traffic abnormality degree from the aggregated data; Including an analysis server connected to a plurality of network abnormality detection devices via a network and detecting a traffic abnormality by comparing a plurality of abnormality degree data respectively transmitted from the plurality of network abnormality detection devices. Is a network anomaly detection system, characterized in that when there is a plurality of anomaly data in which anomalies are detected from the same element among a plurality of anomaly data, it is determined that an anomaly has occurred in traffic. Is provided.
かかる構成により、広域にワームが発生して異常トラフィックを発生させた場合に、同種の異常が複数のネットワーク異常検知装置で検知されることにより、複数のネットワーク異常検知装置の異常度のデータを比較することで、より早急に精度の高い異常検知ができるようになる。 With this configuration, when a worm is generated in a wide area and abnormal traffic is generated, the same kind of abnormality is detected by multiple network abnormality detection devices, so that the data on the degree of abnormality of multiple network abnormality detection devices is compared. By doing so, it becomes possible to detect anomalies with high accuracy as soon as possible.
以上説明したように本発明によれば、OS等のコンピュータの使用環境に依存せず、未知のウイルスやワームが侵入した場合であってもそれによるトラフィックの異常を検出することが可能である。 As described above, according to the present invention, it is possible to detect a traffic abnormality caused by an unknown virus or worm, regardless of the operating environment of a computer such as an OS.
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。 Exemplary embodiments of the present invention will be described below in detail with reference to the accompanying drawings. In addition, in this specification and drawing, about the component which has the substantially same function structure, duplication description is abbreviate | omitted by attaching | subjecting the same code | symbol.
(第1の実施形態)
まず、図1及び図2に基づいて、本発明の第1の実施形態にかかるネットワーク異常検知装置について説明する。ここで、図1は、本発明の第1の実施形態にかかるネットワーク異常検知装置100の概略構成を示すブロック図であり、図2は本実施形態にかかるネットワーク異常検知装置100を示す概略図である。
(First embodiment)
First, based on FIG.1 and FIG.2, the network abnormality detection apparatus concerning the 1st Embodiment of this invention is demonstrated. Here, FIG. 1 is a block diagram illustrating a schematic configuration of the network
本実施形態にかかるネットワーク異常検知装置100は、図1に示すように、第1入出力部110、第2入出力部120、データ集計部130、指標データ保持部140、異常度計算部150及び結果出力部160から構成される。さらに、図1及び図2に示すように、ネットワーク異常検知装置100は、第1入出力部110を通じてLAN(LAN:Local Area Network)170などのような内部ネットワークに接続され、第2入出力部120を通じてインターネット190などのような外部ネットワークに接続される。ここで、内部ネットワークは、ユーザが使用するコンピュータの存在するネットワークであり、外部ネットワークは、本実施形態にかかるネットワーク異常検知装置100からみて、内部ネットワークの反対側に位置するものとする。
As shown in FIG. 1, the network
次に、ネットワーク異常検知装置100の各部についてそれぞれ説明する。
Next, each part of the network
第1入出力部110は、内部ネットワークであるLAN170と接続され、LAN170に接続されたユーザ端末180に対し送受信されるデータの入出力を行う機能部である。第1入出力部110には、LAN170内のユーザ端末180から発信され、インターネット190などの外部ネットワークに対して送信されるトラフィック(アウトバウンドトラフィックという)が入力される。また逆に、インターネット190から発信されユーザ端末180に対して送信されるトラフィック(インバウンドトラフィックという)を出力する。第1入出力部110は、入力されたアウトバウンドトラフィックをデータ集計部130に渡し、データ集計部130からインバウンドトラフィックを受け取り、LAN170に対して送信する。なお、本実施形態においては、LAN170を介してユーザ端末180などとに接続されたものとして説明するが、ユーザ端末180のようなコンピュータと直接接続され、データ入出力を行うものであってもよい。
The first input /
第2入出力部120は、インターネット190などの外部ネットワークに接続され、インターネット190に対してデータの入出力を行う機能部である。第2入出力部120は、第1入出力部と逆に、インターネット190などの外部ネットワークから発信されたインバウンドトラフィックを受信してデータ集計部130に渡し、データ集計部130から入力されるアウトバウンドトラフィックを受け取ってインターネット190に対して送信する。
The second input /
データ集計部130は、インバウンド及びアウトバウンド両方のトラフィックを受け取り、パケットデータからネットワークの異常度を計算するためのデータを抽出して集計するための機能部である。データ集計部130は、第1入出力部110及び第2入出力部120と接続されて、第1入出力部110からアウトバウンドトラフィックを受け取って第2入出力部120に送り、第2入出力部120からインバウンドトラフィックを受け取って第1入出力部110に送る。すなわち、入力されたトラフィックはデータ集計部130を通過して、第1入出力部110及び第2入出力部120を通じ入出力される。さらに、データ集計部130は、入力されたトラフィックの所定のパラメータの値を検出して集計し、集計結果を指標データ保持部140及び異常度計算部150に送る。
The
指標データ保持部140は、データ集計部130から送られた集計結果のデータを蓄積し、異常度計算時点において集計された異常度計算の対象となるデータ(以下、評価データという)から異常度を計算するための指標となるデータ(以下、指標データという)として保持する記憶部である。指標データ保持部140は異常度計算部150からデータ要求があれば、保持している指標データのうち要求されているデータを検索し、指標データ保持部140に渡す。
The index
異常度計算部150は、トラフィックの異常度を計算し、異常が発生しているか否かを判定する機能部である。異常度計算部150は、データ集計部130から集計結果である評価データが渡されると、集計データを指標データ保持部140に対し保存されている過去一定期間の指標データを要求する。要求される指標データは、例えば、評価データの取得日時の過去1週間の同時刻に取得した指標データ7個などであってもよい。異常度計算部150は、指標データを取得後、評価データと指標データとを用いて所定の計算方法によりトラフィックの異常度を計算し、計算結果データを結果出力部160に渡す。
The abnormality
結果出力部160は、異常度計算部150で計算されたトラフィックの異常度の値を出力するための機能部である。結果出力部160は、ユーザに異常度計算部150で計算された結果を通知するためのものであって、LEDやディスプレイ等の表示部、プリンタ、電子メール、ブザー等であってもよい。例えば、計算結果データの各パラメータの値をLEDで段階的に表示して異常度のレベルを示したり、あるいは正常レベルを緑、異常レベルを赤のLEDで表示するなどして、ユーザがトラフィックの異常をより直感的に認識可能に構成してもよい。
The
以上、本実施形態にかかるネットワーク異常検知装置100の構成について説明した。次に、図3に基づいて、本実施形態にかかるネットワーク異常検知処理について説明する。ここで、図3は、LAN170及びインターネット190から伝送されるパケットデータよりトラフィックの異常を検知する処理の流れを示すフローチャートである。
The configuration of the network
図3に示すように、まず、ステップS101では、インターネット190からLAN170に伝送されるパケットデータ、またはLAN170からインターネット190に伝送されるパケットデータが、ネットワーク異常検知装置100に入力される。
As shown in FIG. 3, first, in step S <b> 101, packet data transmitted from the
次いで、ステップS102では、入力されたパケットデータに含まれるデータから、異常度の計算に用いられるパラメータの集計が行われる。異常度の計算に用いられるパラメータとしては、上位層のプロトコルタイプ(IP、ARP、RARP、TCP、UDP、ICMPなど)、TCPパケットのURG、ACK、PSH、SYN、RST及びFINのフラグなどが用いられるが、上述した以外のパラメータ、例えばトラフィック量、送信元アドレス、送信先アドレスなどを用いてもよい。 Next, in step S102, parameters used for calculating the degree of abnormality are aggregated from the data included in the input packet data. As parameters used for calculating the degree of abnormality, upper layer protocol types (IP, ARP, RARP, TCP, UDP, ICMP, etc.), TCP packet URG, ACK, PSH, SYN, RST and FIN flags are used. However, parameters other than those described above, such as traffic volume, transmission source address, transmission destination address, etc. may be used.
次いで、ステップS103では、ステップS102で集計されたデータを、次回以降の異常度計算時に指標データとして用いるために保存する。 Next, in step S103, the data aggregated in step S102 is stored for use as index data when calculating the degree of abnormality after the next time.
次に、ステップS104では、異常度の計算に用いる指標データを取得する。取得する指標データは、例えば、異常度計算時の過去1週間の同時刻に取得された指標データ7個などであってもよい。 Next, in step S104, index data used for calculating the degree of abnormality is acquired. The index data to be acquired may be, for example, seven index data acquired at the same time in the past week when calculating the degree of abnormality.
次いで、ステップS105では、ステップS102で集計された評価データを、ステップS104で取得した指標データ(教師データともいう)と比較してどの程度乖離しているかを所定の計算方法により算出する。ここで算出される値を異常度と呼ぶ。 Next, in step S105, the degree of difference between the evaluation data collected in step S102 and the index data (also referred to as teacher data) acquired in step S104 is calculated by a predetermined calculation method. The value calculated here is called the degree of abnormality.
また、ステップS105で用いられる異常度の計算方法には、例えば、以下に述べるような方法が用いることができる。 Further, for example, a method as described below can be used as the degree of abnormality calculation method used in step S105.
まず、数式(1)により、指標データの各パラメータ間の値の差を解消するために、例えば各パラメータの平均値と分散とを用いて正規化を行う。次に、指標データの正規化の際に用いた各パラメータの平均値と分散とを用いて、数式(2)により評価データの値を計算する。この計算により得られた値を各パラメータの異常値と呼ぶ。このようにして得られた各パラメータの異常値の絶対値の和を計算した値が、トラフィックの異常度と定義される。異常度の値は、評価データの各パラメータの値が指標データと比較して差が少ないときは0に近づき、指標データと大きく異なるときは0よりも大きな値をとることになる。 First, normalization is performed using, for example, the average value and variance of each parameter in order to eliminate the difference in value between the parameters of the index data using Equation (1). Next, the value of the evaluation data is calculated by Equation (2) using the average value and the variance of each parameter used in normalizing the index data. A value obtained by this calculation is called an abnormal value of each parameter. The value obtained by calculating the sum of the absolute values of the abnormal values of the parameters obtained in this way is defined as the traffic abnormality level. The value of the degree of abnormality approaches 0 when the value of each parameter of the evaluation data is small compared to the index data, and takes a value greater than 0 when the parameter value differs greatly from the index data.
次いで、ステップS106では、ステップS105の計算結果を出力し、ユーザに計算結果を通知する。出力方法としては、LEDやディスプレイ等の表示部、プリンタ、電子メール、ブザー等、様々な手段を用いることができる。 Next, in step S106, the calculation result of step S105 is output, and the calculation result is notified to the user. As an output method, various means such as a display unit such as an LED or a display, a printer, an e-mail, a buzzer, and the like can be used.
以上、本実施形態にかかるネットワークの異常検知方法について説明した。かかる方法により、OSなどの使用環境に関わらず、ネットワーク上の監視したいポイントでトラフィックに異常が発生しているかどうかを知ることができる。さらに、計算結果がディスプレイやLED等で表示されることにより、ユーザや管理者は、監視ポイントにおいて正常な通信が行われているか否かを即座に認識することができる。 The network abnormality detection method according to the present embodiment has been described above. With this method, it is possible to know whether or not an abnormality has occurred in traffic at a point to be monitored on the network regardless of the operating environment such as the OS. Furthermore, by displaying the calculation result on a display, LED, or the like, the user or administrator can immediately recognize whether or not normal communication is performed at the monitoring point.
(第2の実施形態)
次に、図4に基づいて、本発明の第2の実施形態にかかるネットワーク異常検知装置200について説明する。図4は、本発明の第2の実施形態にかかるネットワーク異常検知装置200の概略構成を示すブロック図である。
(Second Embodiment)
Next, a network
本実施形態にかかるネットワーク異常検知装置200は、図4に示すように、第1入出力部210、第2入出力部220、データ集計部230、指標データ保持部240、異常度計算部250、結果出力部260、結果データ保持部270及び外部インタフェース部280から構成される。また、図4に示すように、ネットワーク異常検知装置200は、外部インタフェース部280を通じてPCなどのような外部機器290と接続される。さらに、図示していないが、上述した第1の実施形態(図1参照)と同様に、第1入出力部210を通じてLANなどの内部ネットワークと接続され、第2入出力部220を通じてインターネットなどの外部ネットワークと接続されているものとする。本実施形態では、異常度の計算結果を保持しておき、外部からの問い合わせに対して計算結果データ及び計算に用いた指標データ等を出力することを特徴とする。
As shown in FIG. 4, the network
なお、この第2の実施形態にかかるネットワーク異常検知装置200の第1入出力部210、第2入出力部220、データ集計部230、指標データ保持部240、異常度計算部250及び結果出力部260は、それぞれ上述した第1の実施形態にかかるネットワーク異常検知装置100の第1入出力部110、第2入出力部120、データ集計部130、指標データ保持部140、異常度計算部150及び結果出力部160と実質的に同一の構成を有するものであるため詳細説明は省略する。以下、本実施形態にかかるネットワーク異常検知装置200の結果データ保持部270及び外部インタフェース部280について説明する。
The first input /
結果データ保持部270は、異常度計算部250において計算された異常度に関する計算結果データを保持するための記憶部である。結果データ保持部270は、外部からの問い合わせに対し、保持している計算結果データを出力する。保持される計算結果データは、最新のデータのみとしてもよいし、古いデータを保持したまま新しいデータをさらに追加してデータが順次蓄積されるようにしてもよい。
The result
外部インタフェース部280は、データを外部機器290に送信し、外部機器290からの要求を受け取るための機能部である。外部インタフェース部280は、例えば、RC−232C、USB、RJ45等のインタフェースを備え、コンピュータ等の外部機器290と接続されてデータの送受信を行うことができる。外部インタフェース部280は、外部機器290からのデータ要求信号を受信したら、指標データ保持部240または結果データ保持部270に対しデータ要求を行い、取得したデータを外部機器290に対して送信する。また、送信の際には、データの安全性を高めるために、暗号化処理を行ってからデータを送信するようにしてもよい。
The
外部インタフェース部280から外部機器290に送信されるデータは、結果データ保持部270に保持されている異常度の計算結果データを少なくとも含む。それ以外に、例えば、異常度の計算に用いた指標データやその指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。指標データの元となるパケットデータを送信するために、データ集計部230は、指標データの元となるパケットデータの一部または全部を複製して指標データ保持部240に送り、指標データ保持部240は、受け取ったパケットデータを指標データと対応付けて保持するようにしてもよい。
The data transmitted from the
次に、図5に基づいて、本実施形態にかかるネットワーク異常検知処理について説明する。ここで、図5は、内部及び外部ネットワークから伝送されるパケットデータよりトラフィックの異常を検知する処理の流れを示すフローチャートである。図5において、S201〜S209は、本実施形態にかかるネットワーク異常検知装置200における処理を示し、S291〜S292は、本実施形態にかかるネットワーク異常検知装置200と接続されたPCなどの外部機器290における処理を示す。
Next, the network abnormality detection process according to the present embodiment will be described with reference to FIG. Here, FIG. 5 is a flowchart showing a flow of processing for detecting a traffic abnormality from packet data transmitted from the internal and external networks. 5, S201 to S209 indicate processing in the network
図5に示すように、まず、ステップS201では、インターネットなどの外部ネットワーク、またはLANなどの内部ネットワークからに伝送されるパケットデータが、ネットワーク異常検知装置200に入力される。
As shown in FIG. 5, first, in step S <b> 201, packet data transmitted from an external network such as the Internet or an internal network such as a LAN is input to the network
次いで、ステップS202では、入力されたパケットデータに含まれるデータから、異常度の計算に用いられるパラメータの集計が行われる。異常度の計算に用いられるパラメータとしては、例えば、上位層のプロトコルタイプ(IP、ARP、RARP、TCP、UDP、ICMPなど)、TCPパケットのURG、ACK、PSH、SYN、RST及びFINのフラグなどが用いられるが、上述した以外のパラメータ、例えばトラフィック量、送信元アドレス、送信先アドレスなどを用いてもよい。 Next, in step S202, the parameters used for calculating the degree of abnormality are tabulated from the data included in the input packet data. Parameters used for calculating the degree of abnormality include, for example, higher layer protocol types (IP, ARP, RARP, TCP, UDP, ICMP, etc.), TCP packet URG, ACK, PSH, SYN, RST and FIN flags, etc. However, parameters other than those described above, for example, traffic volume, transmission source address, transmission destination address, etc. may be used.
次いで、ステップS203では、ステップS202で集計されたデータを、次回以降の異常度計算時に指標データとして用いるためにを記憶領域に格納する。また、指標データの生成に用いられたパケットデータの一部または全部を複製し、指標データとともに保存してもよい。この際、指標データとパケットデータとを対応付けして格納し、指標データからそれに関連するパケットデータを検索できるようにしてもよい。 Next, in step S203, the data accumulated in step S202 is stored in the storage area for use as index data in the next and subsequent calculation of the degree of abnormality. Further, part or all of the packet data used for generating the index data may be copied and stored together with the index data. At this time, the index data and the packet data may be stored in association with each other so that the packet data related to the index data can be retrieved from the index data.
次に、ステップS204では、異常度の計算に用いる指標データを取得する。取得する指標データは、例えば、異常度計算時の過去1週間の同時刻に取得された指標データ7個などであってもよい。 Next, in step S204, index data used for calculating the degree of abnormality is acquired. The index data to be acquired may be, for example, seven index data acquired at the same time in the past week when calculating the degree of abnormality.
次いで、ステップS205では、ステップS202で集計された評価データを、ステップS204で取得した指標データと比較してどの程度乖離しているかを所定の計算方法により算出する。ここで算出される値を異常度と呼ぶ。ここで用いられる異常度の計算方法には、上述した第1の実施形態で用いられるのと同様の方法を用いることができる。 Next, in step S205, how much the evaluation data collected in step S202 differs from the index data acquired in step S204 is calculated by a predetermined calculation method. The value calculated here is called the degree of abnormality. As a method for calculating the degree of abnormality used here, a method similar to that used in the first embodiment described above can be used.
次いで、ステップS206では、ステップS205の計算結果を出力し、ユーザに計算結果を通知する。出力方法としては、LEDやディスプレイ等の表示部、プリンタ、電子メール、ブザー等、様々な手段を用いることができる。 Next, in step S206, the calculation result of step S205 is output to notify the user of the calculation result. As an output method, various means such as a display unit such as an LED or a display, a printer, an e-mail, a buzzer, and the like can be used.
ステップS207では、ステップS205において計算された異常度の計算結果のデータを記憶領域に格納する。 In step S207, the calculation result data of the degree of abnormality calculated in step S205 is stored in the storage area.
外部機器290からは、ユーザの操作等により任意のタイミングで計算結果のデータを要求する要求信号がネットワーク異常検知装置200に対して送信される(ステップS291)。
From the
ネットワーク異常検知装置200は、外部機器290からのデータ要求信号を受信したら、要求されたデータを、データが格納されている記憶領域から取得する(ステップS208)。ここで、取得されるデータは、少なくともステップS207で格納された異常度の計算結果データを含み、それ以外に、異常度の計算に用いた指標データ、その指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。
When receiving the data request signal from the
次いで、ステップS209で、ステップS208で取得されたデータを外部機器290に対して送信する。また、送信の際に、データの安全性を高めるために、暗号化処理を施してもよい。
Next, in step S209, the data acquired in step S208 is transmitted to the
外部機器290では、データを受信したら、異常度のデータを分析し、検知すべき異常の有無を判定する(ステップS292)。さらに必要であれば、データをグラフ化して表示したり、異常と判定した際の対処方法などをユーザに対して電子メール等の手段により通知するなどしてもよい。
When the
以上、本実施形態にかかるネットワークの異常検知方法について説明した。かかる方法により、本実施形態にかかるネットワーク異常検知装置に接続したPCやサーバなどから、ユーザや管理者が任意のタイミングで異常の原因を詳細に調べるためのデータを取得することができる。また、ネットワーク管理者等であれば、送信されたデータを基に、トラフィックの異常についてある程度の推測を立てて対策を検討し、ユーザに通知するなど対応を取ることが可能になる。 The network abnormality detection method according to the present embodiment has been described above. With this method, data for a user or administrator to investigate the cause of an abnormality in detail at an arbitrary timing can be acquired from a PC or server connected to the network abnormality detection device according to the present embodiment. Further, a network administrator or the like can take measures such as making a certain guess about traffic abnormality based on the transmitted data, examining countermeasures, and notifying the user.
(第3の実施形態)
次に、図6、図7に基づいて、本発明の第3の実施形態にかかるネットワーク異常検知装置300について説明する。図6は、本発明の第3の実施形態にかかるネットワーク異常検知装置300の概略構成を示すブロック図であり、図7は、本実施形態にかかるネットワーク異常検知装置300の変形例の概略構成を示すブロック図である。
(Third embodiment)
Next, a network
本実施形態にかかるネットワーク異常検知装置300は、図6に示すように、第1入出力部310、第2入出力部320、データ集計部330、指標データ保持部340、異常度計算部350及び外部インタフェース部360から構成される。また、図6に示すように、ネットワーク異常検知装置300は、外部インタフェース部360を通じてPCなどのような外部機器390と接続される。さらに、図示していないが、上述した第1の実施形態(図1参照)と同様に、ネットワーク異常検知装置300は、第1入出力部310を通じてLANなどの内部ネットワークと接続され、第2入出力部320を通じてインターネットなどの外部ネットワークと接続されているものとする。本実施形態では、異常度の計算が終了した段階で、ネットワーク異常検知装置300が計算結果を外部機器390に送信するように構成したことを特徴とする。
As shown in FIG. 6, the network
なお、この第3の実施形態にかかるネットワーク異常検知装置300の第1入出力部310、第2入出力部320、データ集計部330、指標データ保持部340及び異常度計算部350は、それぞれ上述した第1及び第2の実施形態にかかるネットワーク異常検知装置100及び200の第1入出力部110及び210、第2入出力部120及び220、データ集計部130及び230、指標データ保持部140及び240、異常度計算部150及び250と実質的に同一の構成を有するものであるため詳細説明は省略する。以下、本実施形態にかかるネットワーク異常検知装置300の外部インタフェース部360について説明する。
The first input /
外部インタフェース部360は、上述した第2実施形態にかかる外部インタフェース部280と同様に、データを外部機器390に送信し、外部機器390からの要求を受け取るための機能部である。外部インタフェース部360は、例えば、RC−232C、USB、RJ45等のインタフェースを備え、コンピュータ等の外部機器390と接続されてデータの送受信を行うことができる。外部インタフェース部360は、異常度計算部350で計算された異常度の計算結果を受け取り、接続されている外部機器390に結果データを送信する。外部インタフェース部360が送信するデータは、少なくとも異常度の計算結果データを含み、それ以外に、異常度の計算に用いた指標データ、その指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。また、送信の際に、データの安全性を高めるために、暗号化処理を行うようにしてもよい。
Similar to the
さらに、図7に示した変形例のように、本実施形態にかかるネットワーク異常検知装置300は、上述した構成に加えてパケットフィルタ部370を含んで構成されてもよい。
Further, as in the modification shown in FIG. 7, the network
パケットフィルタ部370は、外部インタフェース部360と接続されており、外部機器390からのフィルタリング要求に従い、第1入出力部310及び第2入出力部320に対して入出力データのフィルタリング設定を行う機能部である。外部機器390からのフィルタリング要求は、外部インタフェース部360を通じてパケットフィルタ部370に送信される。パケットフィルタ部370は、外部インタフェース部360からフィルタリング要求信号を受け取ると、第1入出力部310及び第2入出力部320に対してフィルタリング情報を送信する。フィルタリング情報には、プロトコル、送信元アドレス、送信先アドレスまたはポート番号などにより、送信を許可あるいは遮断すべきデータであるか否かを判別するための情報が含まれる。
The
第1入出力部310及び第2入出力部320は、パケットフィルタ部370から渡されるフィルタリング情報に基づいて入出力するデータのフィルタリングを行う。具体的には、送信を許可あるいは遮断すべきプロトコル、送信元アドレス、送信先アドレスまたはポート番号などの情報をフィルタリング情報から参照し、入力されたデータが該当するものであるか否かを判断し、送信を許可または遮断する。データが送信を許可された場合は、第1入出力部310及び第2入出力部320により入出力が行われる。また、データが遮断される場合は、送信元にその旨を通知したり、入力されたデータを破棄したりするようにしてもよい。
The first input /
なお、図示していないが、本実施形態にかかるネットワーク異常検知装置300は、上述した第1及び第2の実施形態と同様に異常度の計算結果を出力するための結果出力部をさらに含んで構成されてもよい。また、第2の実施形態と同様、計算結果データを保持するための結果データ保持部をさらに含み、任意のタイミングで計算結果データを外部に送信可能としてもよい。
Although not shown, the network
次に、図8に基づいて、本実施形態にかかるネットワーク異常検知処理について説明する。ここで、図8は、内部及び外部ネットワークから伝送されるパケットデータよりトラフィックの異常を検知する処理の流れを示すフローチャートである。図8において、S301〜S307は、本実施形態にかかるネットワーク異常検知装置300における処理を示し、S391〜S393は、本実施形態にかかるネットワーク異常検知装置300と接続されたPCなどの外部機器390における処理を示す。
Next, the network abnormality detection processing according to the present embodiment will be described based on FIG. Here, FIG. 8 is a flowchart showing a flow of processing for detecting a traffic abnormality from packet data transmitted from the internal and external networks. 8, S301 to S307 indicate processing in the network
なお、本実施形態にかかるネットワーク異常検知処理のうち、S301〜S305の処理は、それぞれ上述した第1及び第2の実施形態にかかるネットワーク異常検知処理のうち、S101〜S105及びS201〜S205(図3、図5参照)の処理と実質的に同一であるため、詳細説明は省略する。以下、S306〜S307、S391〜S393の処理について説明する。 Of the network abnormality detection processes according to the present embodiment, the processes of S301 to S305 are the same as S101 to S105 and S201 to S205 of the network abnormality detection processes according to the first and second embodiments described above (FIG. 3 and FIG. 5), the detailed description is omitted. Hereinafter, the processes of S306 to S307 and S391 to S393 will be described.
ステップS306では、ステップS305において計算された異常度の計算結果のデータを外部機器390に対して送信する。送信されるデータは、少なくとも異常度の計算結果データを含み、それ以外に、異常度の計算に用いた指標データ、その指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。また、送信の際に、データの安全性を高めるために、暗号化処理を施してもよい。
In step S306, the data of the abnormality degree calculation result calculated in step S305 is transmitted to the
外部機器390では、データを受信したら、異常度のデータを分析し、検知すべき異常の有無を判定する(ステップS391)。さらに必要であれば、データをグラフ化して表示したり、異常と判定した際の対処方法などをユーザに対して電子メール等の手段により通知するなどしてもよい。
When the
さらに、ステップS392では、異常と判定された場合、その異常が緊急度の高いものであるか否かなどによって、パケットフィルタリングを行うか否かを決定する。 In step S392, if it is determined that there is an abnormality, whether to perform packet filtering is determined based on whether the abnormality is highly urgent.
パケットフィルタリングを行う場合、ステップS393で、ネットワーク異常検知装置300に対して外部機器390からパケットフィルタリングを要求する信号が送信される。
When performing packet filtering, in step S393, a signal requesting packet filtering is transmitted from the
ネットワーク異常検知装置300は、外部機器390からのパケットフィルタリングの要求信号を受信したら、入出力部において、フィルタリング制御を行うための設定を行う(ステップS307)。
Upon receiving the packet filtering request signal from the
以上、本実施形態にかかるネットワークの異常検知方法について説明した。かかる方法により、外部機器でトラフィックの異常について解析した結果、すぐに対策が必要であると判断した部分に関しては、外部機器からパケットフィルタの制御を行うことによって、即時にネットワークをワームの感染やDDoS攻撃から防御することができる。ワームの波及に要する時間は非常に短いため、ユーザにメール等で通知する方法では対応が間に合わないような場合に、非常に効果がある。 The network abnormality detection method according to the present embodiment has been described above. With this method, as a result of analyzing the traffic abnormality in the external device, the part that is determined to require immediate countermeasures can immediately control the network by performing packet filter control from the external device. Can defend against attacks. Since the time required for spreading the worm is very short, the method of notifying the user by e-mail or the like is very effective when the response cannot be made in time.
(第1の変形例)
次に、図9に基づいて、第1〜第3の実施形態にかかるネットワーク異常検知装置100〜300の第1の変形例について説明する。本変形例では、ネットワーク異常検知装置を通過するデータがデータ集計部を通過しないようにする構成であるネットワーク異常検知装置400について説明する。ここで、図9は、第1〜第3の実施形態にかかるネットワーク異常検知装置100〜300の第1の変形例を示すブロック図である。なお、ネットワーク異常検知装置400を構成する各構成要素については、第1〜第3の実施形態と同様であるので、各構成要素の詳細な説明は省略する。
(First modification)
Next, based on FIG. 9, the 1st modification of the network abnormality detection apparatuses 100-300 concerning the 1st-3rd embodiment is demonstrated. In the present modification, a network
なお、本変形例では、変形部分以外のネットワーク異常検知装置の構成は、第1の実施形態にかかるネットワーク異常検知装置の構成(図1)と同様であるとして説明するが、第2および第3の実施形態の構成であってもよい。 In the present modification, the configuration of the network abnormality detection device other than the modified portion will be described as being the same as the configuration of the network abnormality detection device according to the first embodiment (FIG. 1). The configuration of the embodiment may be used.
本変形例にかかるネットワーク異常検知装置400においては、第1入出力部410と第2入出力部420とが接続され、第1入出力部410及び第2入出力部420を通じて装置に入出力されるデータが第1入出力部410と第2入出力部420との間で直接伝送される。
In the network
より詳細には、第1入出力部410は、ネットワークから入力されたデータを複製し、一方を第2入出力部420に送り、他方をデータ集計部430に送る。同様に、第2入出力部420は、ネットワークから入力されたデータを複製し、一方を第1入出力部410に送り、他方をデータ集計部430に送る。データ集計部430は、指標データ保持部440及び異常度計算部450に対してのみ、データを出力し、第1入出力部410及び第2入出力部420に対してデータを送ることはない。
More specifically, the first input /
かかる構成により、データ集計部の負荷を減らすことができ、大容量トラフィックにも対応可能となる。さらに、第1入出力部と第2入出力部との間で直接データ転送を行うため、通信速度への影響を少なくすることができるという効果がある。 With such a configuration, it is possible to reduce the load on the data totaling unit, and it is possible to deal with large-capacity traffic. Furthermore, since direct data transfer is performed between the first input / output unit and the second input / output unit, there is an effect that the influence on the communication speed can be reduced.
(第2の変形例)
次に、図10に基づいて、第1〜第3の実施形態にかかるネットワーク異常検知装置100〜300の第2の変形例について説明する。本変形例では、ネットワーク異常検知装置を通過するトラフィックの行き先を振り分けるスイッチ部を設けた構成であるネットワーク異常検知装置500について説明する。ここで、図10は、第1〜第3の実施形態にかかるネットワーク異常検知装置100〜300の第2の変形例を示すブロック図である。なお、ネットワーク異常検知装置500を構成する各構成要素については、第1〜第3の実施形態と同様であるので、各構成要素の詳細な説明は省略する。
(Second modification)
Next, a second modification of the network
なお、本変形例も上述した第1の変形例と同様に、変形部分以外のネットワーク異常検知装置の構成は、第1の実施形態にかかるネットワーク異常検知装置の構成(図1)と同様であるとして説明するが、第2および第3の実施形態の構成であってもよい。 Note that, in the present modification as well, the configuration of the network abnormality detection device other than the modification is the same as the configuration of the network abnormality detection device according to the first embodiment (FIG. 1). However, the configurations of the second and third embodiments may be used.
本変形例にかかるネットワーク異常検知装置500は、第1入出力部510、511及び第2入出力部520と接続されるスイッチ部570を含んで構成される。スイッチ部570は、第1入出力部510、511からそれぞれ入力されたデータを第2入出力部520に送信する。また、スイッチ部570は、第2入出力部から入力されたデータから、送信先を抽出し、第1入出力部510、511のいずれかより送信先に該当するものを選択し、選択した第1入出力部に対しデータを送信する。スイッチ部570は、レイヤ2スイッチであっても、レイヤ3スイッチであってもよく、ソフトウェアスイッチ、いわゆるルータ装置であってもよい。
The network
なお、ここでは説明を簡単にするため、第1入出力部は2つであるものとして説明したが、3つ以上であってもよい。 In addition, here, in order to simplify the description, the first input / output unit is described as being two, but may be three or more.
かかる構成により、既存のスイッチ等の装置との置き換えによってトラフィックの異常を検知できる効果が得られ、新たに機器を設置するのと比較して、設置や管理が容易であるという効果がある。 With such a configuration, an effect of detecting a traffic abnormality can be obtained by replacing an existing device such as a switch, and there is an effect that installation and management are easier than installing a new device.
(第4の実施形態)
次に、図11に基づいて、本発明の第4の実施形態にかかるネットワーク異常検知システムについて説明する。図11は、本発明の第4の実施形態にかかるネットワーク異常検知システム600の概略構成を示すブロック図である。
(Fourth embodiment)
Next, a network abnormality detection system according to a fourth embodiment of the present invention will be described based on FIG. FIG. 11 is a block diagram showing a schematic configuration of a network
本発明の第4の実施形態にかかるネットワーク異常検知システム600は、図11に示すように、ネットワーク異常検知装置610〜630と、解析サーバ660とから構成される。ネットワーク異常検知装置610〜630と、解析サーバ660とは、ネットワーク650を介して接続されている。ネットワーク異常検知装置は、ネットワーク異常検知装置610及び620のように直接ネットワークに接続されてもよく、ネットワーク異常検知装置630のようにPC640などの情報処理装置を介してネットワークに接続されてもよい。
As shown in FIG. 11, the network
本実施形態にかかるネットワーク異常検知システム600は、トラフィックの異常を検知することが可能なネットワーク異常検知装置をネットワーク上の複数の監視ポイントに設置することによって、複数の装置から得られた異常度のデータを相互利用し、より精度の高い異常検知を行うようにしたものである。以下、ネットワーク異常検知装置610〜630及び解析サーバ660についてそれぞれ説明する。
The network
ネットワーク異常検知装置610〜630は、上述した本発明の第2〜第3実施形態にかかるネットワーク異常検知装置200〜300と同一の構成を有するものであり、その構成要素の詳細な説明は省略する。ネットワーク異常検知装置610〜630は、解析サーバ660に対し、ネットワーク650を介してトラフィックの異常度に関する計算結果データを送信する。データが送信されるタイミングは、ネットワーク異常検知装置610〜630が計算処理を行った後すぐに、あるいは所定の時間間隔をおいて自動的に送信されるようにしてもよく、解析サーバからのデータ要求信号に応答して送信されるようにしてもよい。送信されるデータは、少なくとも異常度の計算結果データを含み、それ以外に、異常度の計算に用いた指標データ、その指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。
The network
解析サーバ660は、ネットワーク異常検知装置610〜630から送信された異常度データの解析し、各データのパラメータ値の推移を基に異常判定を行う。例えば、2つ以上のネットワーク異常検知装置で同時に異常が検知されている場合、それぞれの異常の原因が同種の要素において発生しているものかどうかを判定し、同種の要素によるものであれば、同種のワームなど同じ原因による異常である可能性が高いと判断する。
The
これにより、広域にワームが発生して異常トラフィックを発生させた場合に、同種の異常が複数のネットワーク異常検知装置で検知されることにより、複数のネットワーク異常検知装置の異常度のデータを比較することで、より早急に精度の高い異常検知が可能となる。 Thus, when a worm is generated in a wide area and abnormal traffic is generated, the same kind of abnormality is detected by a plurality of network abnormality detection devices, thereby comparing the abnormality degree data of the plurality of network abnormality detection devices. This makes it possible to detect anomalies with high accuracy as soon as possible.
以上、本実施形態にかかるネットワーク異常検知システム600について説明した。なお、本実施形態においては、ネットワーク異常検知装置が3つ、解析サーバが1つであるものとして説明したが、それ以上であってもよい。
The network
以上、添付図面を参照しながら本発明の好適な実施形態について説明したが、本発明は係る例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。 As mentioned above, although preferred embodiment of this invention was described referring an accompanying drawing, it cannot be overemphasized that this invention is not limited to the example which concerns. It will be apparent to those skilled in the art that various changes and modifications can be made within the scope of the claims, and these are naturally within the technical scope of the present invention. Understood.
100 ネットワーク異常検知装置
110 第1入出力部
120 第2入出力部
130 データ集計部
140 指標データ保持部
150 異常度計算部
160 結果出力部
170 LAN
180 ユーザ端末
190 インターネット
DESCRIPTION OF
180
Claims (14)
内部ネットワークに対してデータの入出力を行う第1入出力部と、
外部ネットワークに対してデータの入出力を行う第2入出力部と、
前記第1入出力部及び前記第2入出力部から入力されたデータに基づき、トラフィックの異常を検知するためのデータを集計するデータ集計部と、
前記データ集計部によって過去一定期間の間に集計されたデータを、トラフィックの異常度を計算する際の指標として用いる指標データとして保持する指標データ保持部と、
トラフィックの異常を検知するために前記データ集計部によって異常度計算時刻に集計された評価データと、前記指標データ保持部から取得した前記指標データとを用いてトラフィックの異常度を計算する異常度計算部と、
を含むことを特徴とする、ネットワーク異常検知装置。 A network anomaly detection device that detects anomalies in traffic flowing on the network,
A first input / output unit for inputting / outputting data to / from the internal network;
A second input / output unit for inputting / outputting data to / from an external network;
A data totaling unit for totaling data for detecting traffic abnormality based on data input from the first input / output unit and the second input / output unit;
An index data holding unit that holds data aggregated during a certain period in the past by the data aggregation unit as index data used as an index when calculating the degree of traffic abnormality;
Abnormality calculation for calculating traffic abnormality using the evaluation data collected at the abnormality degree calculation time by the data aggregation unit to detect traffic abnormality and the indicator data acquired from the indicator data holding unit And
A network abnormality detection device comprising:
前記スイッチ部は、
前記1または2以上の第1入出力部からそれぞれ入力されたデータを前記第2入出力部に送信するとともに、
前記第2入出力部から入力されたデータの宛先に該当する前記第1入出力部を判別し、当該第1入出力部に対しデータを送信することを特徴とする、請求項1〜3のいずれかに記載のネットワーク異常検知装置。 A switch unit connected to one or more of the first input / output unit and the second input / output unit;
The switch part is
Transmitting data input from each of the one or more first input / output units to the second input / output unit;
The first input / output unit corresponding to a destination of data input from the second input / output unit is determined, and data is transmitted to the first input / output unit. The network abnormality detection device according to any one of the above.
前記外部インタフェース部は、前記外部機器からの要求に応じて、前記結果データ保持部から取得した前記計算結果データと、前記指標データ保持部から取得した、前記計算結果データの計算に用いられた前記指標データとを前記外部機器に送信することを特徴とする、請求項5に記載のネットワーク異常検知装置。 A result data holding unit that holds calculation result data calculated by the abnormality degree calculation unit;
The external interface unit is used to calculate the calculation result data acquired from the result data holding unit and the calculation result data acquired from the index data holding unit in response to a request from the external device. The network abnormality detection device according to claim 5, wherein index data is transmitted to the external device.
前記指標データ保持部は、前記データ集計部において前記入力データを集計して得られた前記指標データと前記入力データの一部または全部とを対応付けして保持し、
前記外部インタフェース部は、前記計算結果データ及び前記指標データとともに、前記指標データと対応付けされた前記入力データの一部または全部を前記外部機器に送信することを特徴とする、請求項6に記載のネットワーク異常検知装置。 The data totaling unit passes a part or all of input data input from the first input / output unit or the second input / output unit to the index data holding unit,
The index data holding unit holds the index data obtained by totaling the input data in the data totaling unit and a part or all of the input data in association with each other,
The external interface unit transmits part or all of the input data associated with the index data together with the calculation result data and the index data to the external device. Network error detection device.
前記パケットフィルタ部は、前記外部インタフェース部を通じて受信される前記外部機器からのフィルタリング要求に応じて、前記第1入出力部及び前記第2入出力部によって入出力されるデータのフィルタリング制御を行うことを特徴とする、請求項5〜7のいずれかに記載のネットワーク異常検知装置。 A packet filter unit connected to the first input / output unit, the second input / output unit, and the external interface unit;
The packet filter unit performs filtering control of data input / output by the first input / output unit and the second input / output unit in response to a filtering request received from the external device through the external interface unit. The network abnormality detection device according to claim 5, wherein:
内部ネットワーク及び外部ネットワークから入力されたデータに基づき、トラフィックの異常を検知するためのデータを集計するデータ集計段階と、
前記データ集計段階で集計されたデータを、トラフィックの異常度を計算する際の指標として用いる指標データとして保持する指標データ保持段階と、
過去一定期間の間に集計された前記指標データを取得する指標データ取得段階と、
前記指標データ取得段階において取得された前記指標データと、トラフィックの異常度計算時刻に前記データ集計段階で集計された評価データとを用いてトラフィックの異常度を計算する異常度計算段階と、
を含むことを特徴とする、ネットワーク異常検知方法。 A network anomaly detection method for detecting an anomaly in traffic flowing on a network,
A data aggregation stage for aggregating data for detecting traffic anomalies based on data input from internal and external networks;
An index data holding stage for holding the data aggregated in the data aggregation stage as index data used as an index when calculating the degree of traffic abnormality;
An index data acquisition stage for acquiring the index data aggregated during the past certain period;
An anomaly degree calculation step of calculating an anomaly degree of traffic using the index data acquired in the indicator data acquisition stage and the evaluation data aggregated in the data aggregation stage at a traffic anomaly degree calculation time;
A network abnormality detection method comprising:
前記外部機器からの問い合わせに応じて、前記計算結果データと前記計算結果データの計算に用いられた前記指標データとを取得する結果データ取得段階と、
をさらに含み、
前記結果データ送信段階において、前記結果データ取得段階で取得された前記指標データを前記計算結果データとともに前記外部機器に送信することを特徴とする、請求項10に記載のネットワーク異常検知方法。 A result data holding step for holding the result calculated in the abnormality degree calculation step as calculation result data;
In response to an inquiry from the external device, a result data acquisition step of acquiring the calculation result data and the index data used for the calculation of the calculation result data;
Further including
The network abnormality detection method according to claim 10, wherein in the result data transmission step, the index data acquired in the result data acquisition step is transmitted to the external device together with the calculation result data.
前記結果データ送信段階において、前記計算結果データ及び前記指標データとともに、前記指標データと対応付けされた前記入力データの一部または全部を前記外部機器に送信することを特徴とする、請求項11に記載のネットワーク異常検知方法。 A packet data holding step of holding a part or all of input data input from the internal network and the external network in association with the index data obtained by aggregating the input data;
12. The result data transmission step, wherein a part or all of the input data associated with the index data is transmitted to the external device together with the calculation result data and the index data. The network abnormality detection method described.
ネットワークを介して前記複数のネットワーク異常検知装置と接続され、前記複数のネットワーク異常検知装置からそれぞれ送信された複数の異常度データを比較することにより、トラフィックの異常を検知する解析サーバと、
を含み、
前記解析サーバは、前記複数の異常度データのうち、同一の要素から異常が検出された前記異常度データが複数存在する場合に、トラフィックに異常が発生していると判断することを特徴とする、ネットワーク異常検知システム。 A plurality of network anomaly detection devices that aggregate data input from the network and calculate traffic anomalies from the aggregated data;
An analysis server connected to the plurality of network abnormality detection devices via a network and detecting a traffic abnormality by comparing a plurality of abnormality degree data respectively transmitted from the plurality of network abnormality detection devices;
Including
The analysis server determines that an abnormality has occurred in traffic when there is a plurality of abnormality degree data in which an abnormality is detected from the same element among the plurality of abnormality degree data. Network anomaly detection system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006194824A JP2008022498A (en) | 2006-07-14 | 2006-07-14 | Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006194824A JP2008022498A (en) | 2006-07-14 | 2006-07-14 | Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008022498A true JP2008022498A (en) | 2008-01-31 |
Family
ID=39078101
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006194824A Pending JP2008022498A (en) | 2006-07-14 | 2006-07-14 | Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008022498A (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013200144A (en) * | 2012-03-23 | 2013-10-03 | Mitsubishi Electric Corp | Abnormal sound diagnosis device |
JP2014505301A (en) * | 2011-01-13 | 2014-02-27 | タタ コンサルタンシー サービシズ リミテッド | Credit management method and system in distributed computing system |
WO2016135822A1 (en) * | 2015-02-23 | 2016-09-01 | 三菱電機株式会社 | Communication monitor system, gateway device, and communication monitor device |
JP2016181265A (en) * | 2012-05-01 | 2016-10-13 | ターセーラ, インコーポレイテッド | Systems and methods for provision of mobile security based on dynamic attestation |
JP2020024650A (en) * | 2018-08-06 | 2020-02-13 | 沖電気工業株式会社 | Security information processing device, program, and method |
CN113746686A (en) * | 2020-05-27 | 2021-12-03 | 阿里巴巴集团控股有限公司 | Network flow state determination method, computing device and storage medium |
-
2006
- 2006-07-14 JP JP2006194824A patent/JP2008022498A/en active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014505301A (en) * | 2011-01-13 | 2014-02-27 | タタ コンサルタンシー サービシズ リミテッド | Credit management method and system in distributed computing system |
JP2013200144A (en) * | 2012-03-23 | 2013-10-03 | Mitsubishi Electric Corp | Abnormal sound diagnosis device |
JP2016181265A (en) * | 2012-05-01 | 2016-10-13 | ターセーラ, インコーポレイテッド | Systems and methods for provision of mobile security based on dynamic attestation |
WO2016135822A1 (en) * | 2015-02-23 | 2016-09-01 | 三菱電機株式会社 | Communication monitor system, gateway device, and communication monitor device |
JPWO2016135822A1 (en) * | 2015-02-23 | 2017-08-24 | 三菱電機株式会社 | Communication monitoring system, gateway device, and communication monitoring device |
JP2020024650A (en) * | 2018-08-06 | 2020-02-13 | 沖電気工業株式会社 | Security information processing device, program, and method |
CN113746686A (en) * | 2020-05-27 | 2021-12-03 | 阿里巴巴集团控股有限公司 | Network flow state determination method, computing device and storage medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1905197B1 (en) | System and method for detecting abnormal traffic based on early notification | |
US7624447B1 (en) | Using threshold lists for worm detection | |
US7752668B2 (en) | Network virus activity detecting system, method, and program, and storage medium storing said program | |
US7197762B2 (en) | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits | |
US8087085B2 (en) | Wireless intrusion prevention system and method | |
JP5518594B2 (en) | Internal network management system, internal network management method and program | |
US7617533B1 (en) | Self-quarantining network | |
KR101574193B1 (en) | Apparatus and method for defending DDoS attack | |
WO2014129587A1 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
JP2006350561A (en) | Attack detection device | |
JP2007179131A (en) | Event detection system, management terminal and program, and event detection method | |
JP2006243878A (en) | Unauthorized access detection system | |
CN114006723B (en) | Network security prediction method, device and system based on threat information | |
JP2008022498A (en) | Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system | |
US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
CN114006722B (en) | Situation awareness verification method, device and system for detecting threat | |
JP6470201B2 (en) | Attack detection device, attack detection system, and attack detection method | |
JP4161989B2 (en) | Network monitoring system | |
JP4437107B2 (en) | Computer system | |
CN114189361A (en) | Situation awareness method, device and system for defending threats | |
CN114172881B (en) | Network security verification method, device and system based on prediction | |
JP2004328307A (en) | Attack defense system, attack defense control server, and attack defense method | |
JP2004030287A (en) | Bi-directional network intrusion detection system and bi-directional intrusion detection program | |
JP2006018527A (en) | Method, device and program for monitoring operation of computer network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080814 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080902 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090407 |