JP2008079028A - 不正アクセス情報記録システム及び方法 - Google Patents
不正アクセス情報記録システム及び方法 Download PDFInfo
- Publication number
- JP2008079028A JP2008079028A JP2006256102A JP2006256102A JP2008079028A JP 2008079028 A JP2008079028 A JP 2008079028A JP 2006256102 A JP2006256102 A JP 2006256102A JP 2006256102 A JP2006256102 A JP 2006256102A JP 2008079028 A JP2008079028 A JP 2008079028A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- information
- unauthorized access
- recording
- setting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】過大な記憶サイズの記憶装置を用意することなく、不正アクセスの解析に必要なパケット情報を適切かつ容易に記録することができるようにする。
【解決手段】本発明の不正アクセス情報記録システムは、ネットワーク上の全てのパケットを取得し、一時的に保存するパケット情報一時保存手段と、1又は複数の不正アクセス態様に応じて、記録するパケット情報を選出するための設定条件を規定したパケット設定情報を保持するパケット設定情報保持手段と、不正アクセス検知手段から不正アクセス検知情報を受け取ると、パケット設定情報を参照して、不正アクセス検知情報に対応するパケットの設定条件を決定する保存パケット設定条件決定手段と、決定されたパケットの設定条件に従ったパケットを一時的に保存されているパケットの中から選択する保存パケット選択手段と、選択されたパケットを記録するパケット記録手段とを備える。
【選択図】 図1
【解決手段】本発明の不正アクセス情報記録システムは、ネットワーク上の全てのパケットを取得し、一時的に保存するパケット情報一時保存手段と、1又は複数の不正アクセス態様に応じて、記録するパケット情報を選出するための設定条件を規定したパケット設定情報を保持するパケット設定情報保持手段と、不正アクセス検知手段から不正アクセス検知情報を受け取ると、パケット設定情報を参照して、不正アクセス検知情報に対応するパケットの設定条件を決定する保存パケット設定条件決定手段と、決定されたパケットの設定条件に従ったパケットを一時的に保存されているパケットの中から選択する保存パケット選択手段と、選択されたパケットを記録するパケット記録手段とを備える。
【選択図】 図1
Description
本発明は、不正アクセス情報記録システム及び方法に関し、例えば、侵入検知システムにより検知された不正アクセスに関するパケット情報を記録するシステムに適用し得る。
近年、ネットワーク通信技術の進展と共に、システムに対する意図的な妨害や不正な攻撃などが増大している。そのため、このようなシステムへの不正アクセスを早期に検知・解析し、不正アクセスへの対応措置を図ることが求められている。
従来、システムへの不正アクセスを検知する侵入検知システムの技術として種々の方式があるが、例えば特許文献1〜3に記載された技術がある。
特許文献1〜3に記載された技術はいずれも、ネットワーク上を流れるパケットを監視し、不正アクセスと思われるパケットを発見した場合に、その発見した不正アクセスに関する情報(例えば不正アクセスの名称やIPアドレス等)を記録するものであり、その後の不正アクセスのパケットの検知に寄与させたり、当該不正アクセスについての解析をしたりすることが記載されている。
このような観点から、従来の不正アクセスを検知する侵入検知システムは、不正アクセスとするパケットを記録することが行なわれている。
しかしながら、従来の侵入検知システムが記録するパケット情報は、不正アクセスを含むパケット情報のみであり、不正アクセス元からの通信を全て解析するには不十分であった。
この従来の侵入検知システムによる不正アクセス情報の記録方式を、図2を参照して説明する。図2は、TCP/IPネットワークにおいて、サーバへの不正アクセスを侵入検知システムが検知する流れを説明する図である。
図2において、不正者は、不正アクセス端末4を利用して例えばポートスキャンなどを行ない、侵入可能なサーバであるか否かを判断し、侵入可能なサーバであると判断すると、不正アクセス端末4は、侵入可能な脆弱性(例ではHTTP)を利用してサーバ5にアクセスし、不正にパスワードファイルなどの情報を入手する(S1)。
不正者は、不正アクセス端末4を操作して、不正に入手したパスワードを用いて、telnet(S2〜S4)やftp(S5)を行ない、ファイルの改ざんなどの不正行為を行なう。
図2に示すような不正アクセスがあった場合において、侵入検知システム3が、S5の不正アクセス端末4からの不正なパケット情報を検知したものとする。このとき、従来の侵入検知システム3は、検知したS5における不正アクセス端末4からのパケット情報のみを記録するものとし、それ以外のS1〜S4の不正なパケット情報については記録することができないのが一般的であった。従って、例えばどのようにしてパスワード等を入手したのか等の不正アクセスに対する事後的な詳細解析ができない。
これに対して、ネットワーク上を流れるパケットを全て記録する侵入検知システムも存在する。
しかしながら、この種の侵入検知システムは、ネットワーク上の全てのパケットを記録するため、ネットワークを流れるトラフィックが多い場合には、記録するパケット情報の情報量が大量となってしまい、大容量の記憶装置(例えばHDD等)を用意したとしても、数日分程度しか記録することができない。そうすると、パケット情報が記録されている数日分の間に、管理者は不正アクセス検出から不正アクセス解析までを行なわなければならず、管理者の負担が大きいという問題がある。
また、長期間パケット情報を保存しておくためには、テラバイトサイズの記憶装置を必要とするため現実的ではなく、現実の運用を考えた場合に、従来の侵入検知システムでは、事後の解析のためのパケットの記録が十分に行なえなかった。
そのため、不正アクセスの詳細な解析のために、過大な記憶サイズの記憶装置を用意することなく、不正アクセスの解析に必要なパケット情報を適切かつ容易に記録することができる不正アクセス情報記録システム及び方法が求められている。
かかる課題を解決するために、第1の本発明の不正アクセス情報記録システムは、不正アクセス検知手段により検知された対象システムへの不正アクセスに関するパケット情報を記録する不正アクセス情報記録システムにおいて、(1)ネットワーク上を流れる全てのパケットを取得し、全パケットのパケット情報を一時的に保存するパケット情報一時保存手段と、(2)1又は複数の不正アクセス態様に応じて、記録するパケット情報を選出するための設定条件を規定したパケット設定情報を保持するパケット設定情報保持手段と、(3)不正アクセス検知手段から不正アクセス検知情報を受け取ると、パケット設定情報を参照して、不正アクセス検知情報に対応するパケットの設定条件を決定する保存パケット設定条件決定手段と、(4)保存パケット設定条件決定手段により決定されたパケットの設定条件に従ったパケットを、パケット一時保存手段に保存されているパケットの中から選択する保存パケット選択手段と、(5)保存パケット選択手段により選択されたパケットのパケット情報を記録するパケット記録手段とを備えることを特徴とする。
第2の本発明の不正アクセス情報記録方法は、不正アクセス検知手段により検知された対象システムへの不正アクセスに関するパケット情報を記録する不正アクセス情報記録方法において、(1)パケット情報一時保存手段が、ネットワーク上を流れる全てのパケットを取得し、全パケットのパケット情報を一時的に保存するパケット情報一時保存工程と、(2)パケット設定情報保持手段が、1又は複数の不正アクセス態様に応じて、記録するパケット情報を選出するための設定条件を規定したパケット設定情報を保持するパケット設定情報保持工程と、(3)保存パケット設定条件決定手段が、不正アクセス検知手段から不正アクセス検知情報を受け取ると、パケット設定情報を参照して、不正アクセス検知情報に対応するパケットの設定条件を決定する保存パケット設定条件決定工程と、(4)保存パケット選択手段が、保存パケット設定条件決定手段により決定されたパケットの設定条件に従ったパケットを、パケット一時保存手段に保存されているパケットの中から選択する保存パケット選択工程と、(5)パケット記録手段が、上記保存パケット選択手段により選択されたパケットのパケット情報を記録するパケット記録工程とを備えることを特徴とする。
本発明によれば、不正アクセスの詳細な解析のために、過大な記憶サイズの記憶装置を用意することなく、不正アクセスの解析に必要なパケット情報を適切かつ容易に記録することができる。
(A)第1の実施形態
以下、本発明の不正アクセス情報記録システム及び方法の第1の実施形態を図面を参照しながら詳細に説明する。
以下、本発明の不正アクセス情報記録システム及び方法の第1の実施形態を図面を参照しながら詳細に説明する。
第1の実施形態は、侵入検知システムから不正アクセスの通知を受けて、その不正アクセスに係るパケット情報を記録する不正アクセス情報記録システムに本発明の不正アクセス情報記録システム及び方法を適用した場合を説明する。
(A−1)第1の実施形態の構成
図1は、侵入検知システム及び不正アクセス情報記録システムを備えたシステムの構成を示す構成図である。図1に示すシステムは、不正アクセス情報記録システム1、管理者端末2、侵入検知システム3を有して構成されるものである。
図1は、侵入検知システム及び不正アクセス情報記録システムを備えたシステムの構成を示す構成図である。図1に示すシステムは、不正アクセス情報記録システム1、管理者端末2、侵入検知システム3を有して構成されるものである。
不正アクセス情報記録システム1は、通信回線6を流れる全てのパケットを取得して一時的に記録するものであり、侵入検知システム3から侵入検知情報が通知されると、所定のパケット保存設定条件及び不正侵入検知時刻に基づいて、一時的に記録している全パケットの中から保存するパケットを選出し、保存するものである。これにより、侵入検知をしたパケット情報だけでなく、不正アクセスに係るパケット情報を選出して保存することができるので、不正アクセスに対する詳細な解析を行なうことができる。
管理者端末3は、システム管理者が操作する情報処理装置であり、システム管理者が操作した情報を取り込み、不正アクセス情報記録システム1との間で情報の授受を行なうものである。管理者端末3は、例えば、パーソナルコンピュータ等の情報処理装置が該当する。図1では、管理者端末3は、不正アクセス情報記録システム1にのみ接続しているものとして示しているが、侵入検知システム3と接続可能とし、侵入検知システム3との間でも情報の授受を行なえるようにしてもよい。
侵入検知システム3は、図示しない監視対象システムへの不正アクセスを検知するものである。侵入検知システム3による不正アクセスの検知方式は、特に限定されるものではなく種々の方式を適用することができ、例えば異常検出に関する技術やマッチングによる不正アクセス検出に関する技術など広く既存の技術を適用することができる。侵入検知システム3は、監視対象システムへの不正アクセスを検知すると、不正アクセス情報記録システム1の管理用LANインターフェース部18を通じて、侵入検知情報をパケット指示部13に与えるものである。
ここで、侵入検知情報としては、例えば、不正なパケット情報を検知した検知時刻、不正アクセス名、不正アクセス元、不正アクセス先、危険レベルなどを含む情報である。勿論、これら情報以外の情報(例えば、プロトコルタイプ、ポート番号等)を含むものであってもよい。
続いて、不正アクセス情報記録システム1の内部構成を図1を参照しながら詳細に説明する。図1に示すように、不正アクセス情報記録システム1は、管理制御部11、パケット保存指示部13、パケット記録部14、パケット一部保存部15、パケット選択・保存部16、パケット保存部17、管理用LANインターフェース部18、パケット取得用LANインターフェース部19を少なくとも有して構成されるものである。
管理用LANインターフェース部18は、不正アクセス情報記録システム1と、管理者端末2及び侵入検知システム3との間で情報の授受を行なう接続インターフェース部である。
管理制御部11は、管理用LANインターフェース部18を通じて管理者端末2との間で情報の授受を行なうものであり、管理者端末2との間で情報の授受をしてパケット保存設定情報12の設定・変更機能11a、管理者端末2に対して保存パケット情報を表示する表示機能11b等を行なうものである。また、第1の実施形態で説明する各種機能の実現のために必要な各種処理プログラムを通信回線を通じて取り込む場合には、管理制御部11が当該各種処理を取り込み実行可能にするダウンロード機能を有することとしてもよい。
パケット保存設定情報の設定・変更機能11aは、管理用LANインターフェース部18を通じて管理者端末2から受け取った情報に基づいて、パケット保存設定情報12を設定するものである。
ここで、パケット保存設定情報12は、侵入検知システム3が検知した不正アクセスに係るパケットの選出条件や保存範囲条件等を示す情報であり、複数の設定情報を設定することができる。
例えば、図3はパケット保存設定情報12の構成例を示す図である。図3において、パケット保存設定情報12は、大別して、「侵入検知システムからの通知項目」と、パケットの保存範囲条件としての「記録範囲」と、パケットの選定条件としての「記録開始時刻」及び「記録終了時刻」とを有して構成される。
「侵入検知システムからの通知項目」は、不正アクセス検知時に侵入検知システム3から通知される情報の項目であり、当該不正アクセスに係るパケットの選出条件や保存範囲条件を選びだすためのキー情報として寄与するものである。
「侵入検知システムからの通知項目」としては、例えば、「不正アクセス名」、「危険レベル」、「不正アクセス元」、「不正アクセス先」があり、「不正アクセス元」や「不正アクセス先」の項目には例えばIPアドレス等の識別情報が挿入される。また、「侵入検知システムからの通知項目」は、適用する侵入検知システム3との関係で、設定する情報の項目を設定することができ、一度設定した情報の項目を変更(追加、削除等)するようにしてもよい。
「記録範囲」は、保存パケットを選出する際、パケットを選出する範囲、すなわち保存する範囲を示す情報である。また、「記録開始時刻」及び「記録終了時刻」は、侵入検知システム3による不正アクセスの侵入検知時刻を基準として、パケットを選出する時間を規定するものである。
例えば、図3において、第1の設定情報は、不正アクセスによる危害の危険性を示す「危険レベル」が「HIGH」であることを条件とするが、それ以外の「不正アクセス名」、「不正アクセス元」及び「不正アクセス先」については特に限定されない「*(アスタリスク)」とするものである。従って、侵入検知システム3から「危険レベル:HIGH」とする侵入検知情報の通知が与えられると、パケットの保存範囲条件としての「記録範囲」を「不正アクセス元からのパケットのみを記録」とし、パケットの選出条件としての「記録開始時刻」を侵入検知時刻から15分前を示す「−15分」とし、「記録終了時刻」を侵入検知時刻から15分後を示す「+15分」とするものである。
また例えば、図3において、第2の設定情報は、「不正アクセス名」が「BAD−CGI」であり、かつ、「不正アクセス先」が「10.0.0.*」であることを条件とするが、それ以外の項目の条件は特に限定されないというものである。そして、侵入検知システム3から「不正アクセス先:10.0.0.*」に対して「不正アクセス名:BAD−CGI」の侵入検知情報の通知が与えられると、パケットの保存範囲条件としての「記録範囲」を「該当する時刻のパケット全て記録」とし、パケットの選出条件としての「記録開始時刻」を侵入検知時刻から30分前を示す「−30分」とし、「記録終了時刻」を侵入検知時刻までを示す「+0分」とするものである。
パケット保存指示部13は、管理用LANインターフェース部18を通じて、侵入検知システム3から不正アクセスによる侵入検知情報の通知を受けると、受け取った侵入検知情報に基づいてパケット保存設定情報12を参照し、当該不正アクセスに係るパケットの選出条件及び保存範囲条件を求めるものである。また、パケット保存指示部13は、不正アクセスに係るパケットの選出条件及び保存範囲条件をパケット選択・保存部16に与え、パケット一時保存部15に保存されているパケットの中から条件に合うパケットを選択させるよう指示するものである。
パケット取得用LANインターフェース部19は、パケット記録部14の制御の下、通信回線6上を通過する全てのパケットを取り込み、その取り込んだ全てのパケットをパケット一時保存部15に与えるものである。
パケット一時保存部15は、パケット取得用LANインターフェース部19が取り込んだ全てのパケットを一時的に保存する記憶領域である。パケット一時保存部15の記憶容量は、例えば、ネットワークのトラフィック量やパケット保存設定情報12に基づくパケットの選出条件の内容(すなわち、記録開始時刻が検知時刻からどのくらい前にするか等)に応じて任意に設定することができる。パケット一時保存部15は、所定の記憶容量を超えたときには、記憶時期の古いパケットから順に削除するものとする。このように、所定の記憶容量を超えたときに順次パケットを削除していくことにより、過大な記憶容量の記憶装置を用意する必要がなくなる。
パケット記録部14は、パケット取得用LANインターフェース部19が取得したパケットを、パケット一時保存部15に保存するよう指示するものである。また、パケット記録部14は、パケット一時保存部15に一時的に保存するパケットの保存時刻などを管理するものである。
パケット選択・保存部16は、パケット保存指示部13から保存するパケットの選出条件や保存範囲条件を受け取り、パケット一時保存部15に保存されているパケットの中から選出条件及び保存範囲条件に合うパケットを選択し、選択したパケットをパケット保存部17に保存するものである。
パケット保存部17は、パケット選択・保存部16により選択されたパケットを保存するものである。
(A−2)第1の実施形態の動作
次に、第1の実施形態の不正アクセス情報記録システムによる不正アクセス情報の保管処理に関する動作を図面を参照しながら説明する。
次に、第1の実施形態の不正アクセス情報記録システムによる不正アクセス情報の保管処理に関する動作を図面を参照しながら説明する。
(A−1−1)パケット保存設定情報の作成
まず、不正アクセス情報記録システム1において用いられるパケット保存設定情報12の作成処理を図4を参照しながら説明する。
まず、不正アクセス情報記録システム1において用いられるパケット保存設定情報12の作成処理を図4を参照しながら説明する。
パケット保存設定情報12は、管理者端末2から設定情報を受け取った管理制御部11の制御により作成される。
システム管理者が管理者端末2を操作し、パケット保存設定情報12に係る設定情報が入力されると、その入力された設定情報は、管理用LANインターフェース部18を通じて、不正アクセス情報記録システム1の管理制御部11に与えられる(S11)。
このとき、システム管理者により管理者端末2に入力される設定情報としては、例えば、侵入検知システム3が検知した不正アクセスに関する情報(不正アクセス名、不正アクセス元、不正アクセス先、危険レベルなど)や、不正アクセスに係るパケットを保存するための条件情報(例えば、記録範囲、記録開始時刻、記録終了時刻など)が該当する。
設定情報が管理制御部11に与えられると、管理制御部11により、設定情報がパケット保存設定情報12の各項目の内容情報として取り込まれ、パケット保存設定情報が作成される(S12)。
以上のようにして、パケット保存設定情報12が作成される。なお、パケット保存設定情報12は、侵入検知システム3による侵入検知前に、予め設定しておき、既知の不正アクセスに係るパケットを保存できるようにする。
(A−1−2)パケット保存動作
続いて、第1の実施形態の不正アクセス情報記録システム1によるパケットの保存処理を図面を参照しながら説明する。
続いて、第1の実施形態の不正アクセス情報記録システム1によるパケットの保存処理を図面を参照しながら説明する。
まず、通信回線6上を流れる全てのパケットは、パケット取得用LANインターフェース部19を通じてパケット一時保存部15に与えられ一時的に保存される。パケット一時保存部15は、例えば、ハードディスク記憶装置上に存在する記憶領域であり、所定の記憶サイズを超えると、記憶時期が古いデータから順に削除され、その後新しいデータが記憶される。
また、侵入検知システム3は、通信回線6上又は図示しないサーバに対する不正アクセスを監視しており、不正アクセスを検出すると、所定の通知方法(例えば電子メールやSNMPTRAP等)により、当該不正アクセスに係る侵入検知情報を不正アクセス情報記録システム1のパケット保存指示部13に通知する。
侵入検知システム3からの侵入検知情報がパケット保管指示部13に与えられると、不正アクセス情報記録システム1は、図5に示す動作を実行する。
図5において、パケット保管指示部13が侵入検知システム3からの侵入検知情報を取得すると(S21)、パケット保存指示部13は、パケット保存設定情報12を参照し、侵入検知情報に基づいて保存するパケットの選出条件及び保存範囲条件を決定する(S22)。
例えば、侵入検知システム3により「危険レベル:HIGH」の不正アクセスが検出され、その侵入検知情報がパケット保存指示部13に与えられると、パケット保存指示部13は図3に示すパケット保存設定情報12を参照する。そうすると、当該侵入検知情報が「危険レベル:HIGH」であるから、図3のパケット保存設定情報12のうち第1の設定情報より、パケット保存指示部13は、選定条件及び保存範囲条件として、「記録範囲:不正アクセス元からのパケットのみを記録」、「記録開始時刻:−15分」及び「記録終了時刻:+15分」を決定する。
パケット保存指示部13が選定条件及び保存範囲条件を決定すると、決定された選定条件及び保存範囲条件がパケット選択・保存部16に与えられ、パケット選択・保存部16はそれら条件に従ったパケットをパケット一時保存部15から選択し(S23)、選択したパケットをパケット保存部17に保存する(S24)。
図6は、第1の実施形態に係るパケット保存処理を説明するイメージ図である。例えば、上記の例の場合、図6(A)において、侵入検知システム3による侵入検知時刻が時刻t1である場合には、この侵入検知時刻t1を基準として、この時刻t1の15分前から15分後までの間のパケット一時保存部15に記録されたパケットであって、かつ、侵入検知情報で示された不正アクセス元からのパケットが選出される。そして、選出されたパケットが、図6(B)に示すように、当該不正アクセスに係る保存パケットとしてパケット保存部17に保存される。
また例えば、図6(A)において、侵入検知時刻t2に検知された不正アクセスに対する保存パケットの選出条件及び保存範囲条件が、図3に示す第2の設定情報であって、「記録範囲:該当する時刻の全てのパケットを記録」、「記録開始時刻:−30分」及び「記録終了時刻:+0分」と決定する。
この場合、図6(A)において、侵入検知時刻t2を基準として、この時刻t2の30分前から侵入検知時刻t2までの全通信パケットを選出し、この選出した全通信パケットを図6(B)に示すように、当該不正アクセスに係る保存パケットとしてパケット保存部17に保存される。
(A−3)第1の実施形態の効果
以上のように、第1の実施形態によれば、パケット保存設定情報12を設定し、侵入検知システム3からの侵入検知情報に対応する保存パケットの選定条件及び保存範囲条件に従って、保存パケットを選定し、保存することにより、限られた保存領域においてもパケットを長期間保存することができる。その結果、大容量の記憶領域を用意することなく、管理者は、不正アクセスの事後解析に必要なパケット情報を記録しておくことができ、また過去に生じた不正アクセスに係るパケット情報をも記録しておくことができる。
以上のように、第1の実施形態によれば、パケット保存設定情報12を設定し、侵入検知システム3からの侵入検知情報に対応する保存パケットの選定条件及び保存範囲条件に従って、保存パケットを選定し、保存することにより、限られた保存領域においてもパケットを長期間保存することができる。その結果、大容量の記憶領域を用意することなく、管理者は、不正アクセスの事後解析に必要なパケット情報を記録しておくことができ、また過去に生じた不正アクセスに係るパケット情報をも記録しておくことができる。
(B)他の実施形態
(B−1)第1の実施形態において、不正アクセス情報記録システムは、侵入検知システムとは異なる別の構成として説明したが、侵入検知システム上の実装、又は侵入検知システムを搭載する同一装置内に搭載されるものとしてもよい。
(B−1)第1の実施形態において、不正アクセス情報記録システムは、侵入検知システムとは異なる別の構成として説明したが、侵入検知システム上の実装、又は侵入検知システムを搭載する同一装置内に搭載されるものとしてもよい。
また、第1の実施形態では、不正アクセス情報記録システムの各構成要素が同一装置内に設けられたものとして説明したが、第1の実施形態で説明した不正アクセス情報記録システムと同一の機能を実現することができるのであれば、不正アクセス情報記録システムの各構成要素がそれぞれ分散配置されるものとしてもよい。すなわち、例えば、パケット一時保存部15やパケット保存部17が接続可能な別構成となってもよい。
(B−2)第1の実施形態では、不正アクセス情報記録システムは、1つの侵入検知システムからの侵入検知情報に基づいて保存パケットを選出・保存するものとして説明したが、複数の侵入検知システムと接続し、複数の侵入検知システムからの侵入検知情報に基づいてパケット情報を保存するようにしてもよい。
この場合、不正アクセス情報記録システムは、例えば各侵入検知システムを識別する識別情報毎に保存パケットを保存するようにし、侵入検知システム毎の保存パケットを区別できるようにしてもよい。
(B−3)不正アクセス情報記録システムは、複数のパケット取得用LANインターフェース部を備えるものとし、複数のシステム(通信回線)に流れるパケットを取得できるようにしてもよい。これにより、複数のシステム(通信回線)についての不正アクセスに係るパケット情報を記録することができる。
(B−4)第1の実施形態では、侵入検知時刻を基準とした相対的な時間内のパケットを記録対象とし、図3の例では、不正アクセス元からのパケットのみや全パケットを記録する場合を説明したが、図3の例以外の例として、侵入検知時刻を基準とした相対的な時間内のパケットのうち、不正アクセス先へのパケットのみとしたりしてもよい。また、ある程度の記憶容量を必要とするが、プロトコルやポート番号を用いてパケットを選出するようにしてもよい。
また、保存パケットを選出するために1又は複数の条件を用いて行なうようにしてもよく、複数の条件を用いてパケット選出する際、複数段階でパケットを選出するようにしてもよい。
1…不正アクセス情報記録システム、11…管理制御部、11a…パケット保存設定情報設定・変更機能、12…パケット保存設定情報、13…パケット保存指示部、14…パケット記録部、15…パケット一時保存部、16…パケット選択・保存部、17…パケット保存部、18…管理用LANインターフェース部、19…パケット取得用LANインターフェース部、2…管理者端末、3…侵入検知システム。
Claims (3)
- 不正アクセス検知手段により検知された対象システムへの不正アクセスに関するパケット情報を記録する不正アクセス情報記録システムにおいて、
ネットワーク上を流れる全てのパケットを取得し、全パケットのパケット情報を一時的に保存するパケット情報一時保存手段と、
1又は複数の不正アクセス態様に応じて、記録するパケット情報を選出するための設定条件を規定したパケット設定情報を保持するパケット設定情報保持手段と、
上記不正アクセス検知手段から不正アクセス検知情報を受け取ると、上記パケット設定情報を参照して、上記不正アクセス検知情報に対応するパケットの設定条件を決定する保存パケット設定条件決定手段と、
上記保存パケット設定条件決定手段により決定されたパケットの設定条件に従ったパケットを、上記パケット一時保存手段に保存されているパケットの中から選択する保存パケット選択手段と、
上記保存パケット選択手段により選択されたパケットのパケット情報を記録するパケット記録手段と
を備えることを特徴とする不正アクセス情報記録システム。 - 上記パケット設定情報は、上記不正アクセス検知手段による不正アクセス検知時刻を基準とする相対的な記録時間を設定条件として有することを特徴とする請求項1に記載の不正アクセス情報記録システム。
- 不正アクセス検知手段により検知された対象システムへの不正アクセスに関するパケット情報を記録する不正アクセス情報記録方法において、
パケット情報一時保存手段が、ネットワーク上を流れる全てのパケットを取得し、全パケットのパケット情報を一時的に保存するパケット情報一時保存工程と、
パケット設定情報保持手段が、1又は複数の不正アクセス態様に応じて、記録するパケット情報を選出するための設定条件を規定したパケット設定情報を保持するパケット設定情報保持工程と、
保存パケット設定条件決定手段が、上記不正アクセス検知手段から不正アクセス検知情報を受け取ると、上記パケット設定情報を参照して、上記不正アクセス検知情報に対応するパケットの設定条件を決定する保存パケット設定条件決定工程と、
保存パケット選択手段が、上記保存パケット設定条件決定手段により決定されたパケットの設定条件に従ったパケットを、上記パケット一時保存手段に保存されているパケットの中から選択する保存パケット選択工程と、
パケット記録手段が、上記保存パケット選択手段により選択されたパケットのパケット情報を記録するパケット記録工程と
を備えることを特徴とする不正アクセス情報記録方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006256102A JP2008079028A (ja) | 2006-09-21 | 2006-09-21 | 不正アクセス情報記録システム及び方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006256102A JP2008079028A (ja) | 2006-09-21 | 2006-09-21 | 不正アクセス情報記録システム及び方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008079028A true JP2008079028A (ja) | 2008-04-03 |
Family
ID=39350617
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006256102A Pending JP2008079028A (ja) | 2006-09-21 | 2006-09-21 | 不正アクセス情報記録システム及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008079028A (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013074489A (ja) * | 2011-09-28 | 2013-04-22 | Denso Corp | バス監視セキュリティ装置及びバス監視セキュリティシステム |
JP2015115842A (ja) * | 2013-12-12 | 2015-06-22 | 富士通株式会社 | パケット保存方法、パケット保存プログラム及びパケット保存装置 |
JP6007308B1 (ja) * | 2015-12-25 | 2016-10-12 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP6063593B1 (ja) * | 2016-05-17 | 2017-01-18 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
WO2017110100A1 (ja) * | 2015-12-25 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP2017118484A (ja) * | 2016-08-08 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
-
2006
- 2006-09-21 JP JP2006256102A patent/JP2008079028A/ja active Pending
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013074489A (ja) * | 2011-09-28 | 2013-04-22 | Denso Corp | バス監視セキュリティ装置及びバス監視セキュリティシステム |
US9038132B2 (en) | 2011-09-28 | 2015-05-19 | Denso Corporation | Bus monitoring security device and bus monitoring security system |
JP2015115842A (ja) * | 2013-12-12 | 2015-06-22 | 富士通株式会社 | パケット保存方法、パケット保存プログラム及びパケット保存装置 |
US10009151B2 (en) | 2013-12-12 | 2018-06-26 | Fujitsu Limited | Packet storage method, information processing apparatus, and non-transitory computer-readable storage medium |
JP6007308B1 (ja) * | 2015-12-25 | 2016-10-12 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
WO2017110099A1 (ja) * | 2015-12-25 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
WO2017110100A1 (ja) * | 2015-12-25 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP2017117255A (ja) * | 2015-12-25 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP6063593B1 (ja) * | 2016-05-17 | 2017-01-18 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP2017117429A (ja) * | 2016-05-17 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP2017118484A (ja) * | 2016-08-08 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108881211B (zh) | 一种违规外联检测方法及装置 | |
JP7157222B2 (ja) | セッションセキュリティ分割およびアプリケーションプロファイラ | |
US7647631B2 (en) | Automated user interaction in application assessment | |
EP1805641B1 (en) | A method and device for questioning a plurality of computerized devices | |
JP5917573B2 (ja) | リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法 | |
Simon et al. | Recovery of skype application activity data from physical memory | |
US20150128267A1 (en) | Context-aware network forensics | |
Thethi et al. | Digital forensics investigations in the cloud | |
US20170214718A1 (en) | Intelligent security context aware elastic storage | |
US10091225B2 (en) | Network monitoring method and network monitoring device | |
US8146146B1 (en) | Method and apparatus for integrated network security alert information retrieval | |
JP2008079028A (ja) | 不正アクセス情報記録システム及び方法 | |
JP2010146457A (ja) | 情報処理システムおよびプログラム | |
CN105743732B (zh) | 一种记录局域网文件传输路径和分布情况的方法及系统 | |
US20210152585A1 (en) | Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
KR101823421B1 (ko) | 화이트리스트 기반의 네트워크 보안 장치 및 방법 | |
JP2001313640A (ja) | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 | |
CN109040016A (zh) | 一种信息处理方法、设备及计算机可读存储介质 | |
JP2005323322A (ja) | ログ情報の蓄積および解析システム | |
CN115801305B (zh) | 一种网络攻击的检测识别方法及相关设备 | |
JP2009017414A (ja) | 情報漏洩監視システム | |
JP2008310780A (ja) | 画面再生システム | |
Grispos et al. | Calm before the storm: The emerging challenges of cloud computing in digital forensics | |
JP2009048359A (ja) | 情報処理装置の監視・管理システム | |
Altschaffel et al. | From the computer incident taxonomy to a computer forensic examination taxonomy |