JP2008085819A - ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム - Google Patents

ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム Download PDF

Info

Publication number
JP2008085819A
JP2008085819A JP2006265028A JP2006265028A JP2008085819A JP 2008085819 A JP2008085819 A JP 2008085819A JP 2006265028 A JP2006265028 A JP 2006265028A JP 2006265028 A JP2006265028 A JP 2006265028A JP 2008085819 A JP2008085819 A JP 2008085819A
Authority
JP
Japan
Prior art keywords
traffic
network
traffic flow
abnormality detection
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006265028A
Other languages
English (en)
Inventor
Kazuhide Tsuchiya
和英 土屋
Takuhiko Miura
卓彦 三浦
Yoshitane Tachibana
喜胤 橘
Masao Shihongi
正男 四本木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2006265028A priority Critical patent/JP2008085819A/ja
Publication of JP2008085819A publication Critical patent/JP2008085819A/ja
Withdrawn legal-status Critical Current

Links

Images

Abstract

【課題】通常とは異なるトラフィック特性を検出することができるネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラムを提供する。
【解決手段】本発明のネットワーク異常検出システムは、ネットワークシステムのトラフィックフロー情報に基づいて、ネットワーク異常を検出するネットワーク異常検出システムであって、ネットワークシステム上を流れる通信データを取得し、観測対象のトラフィックフロー情報を収集する複数の収集手段と、各収集手段からのトラフィックフロー情報を集計する集計手段と、あらかじめ通信アプリケーション別のトラフィックフロー特性が定義されたトラフィックルールを少なくとも記憶するトラフィックルール記憶手段と、トラフィックルールに定義されている内容とは異なるトラフィックフローを検出したとき、ネットワークの異常を検出するネットワーク異常検出手段とを備えることを特徴とする。
【選択図】 図1

Description

本発明は、ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラムに関し、例えば、ネットワークウィルスを検出するネットワーク異常検出システム、方法及びプログラムに適用し得る。
近年、ネットワーク技術の発展に伴い、その重要性が高まり、ネットワークシステムが社会基盤として浸透している。その一方で、高度化・複雑化した新しいウィルスが日々発生しており、ウィルス感染等の脅威がネットワーク障害を引き起こし、その被害はネットワークの規模に応じて大きくなる。そこで、ネットワークのトラフィックを監視し、異常を検出するシステムが強く望まれている。
従来、ネットワークにおける異常を検出するシステムとして、特許文献1に示す技術がある。
特許文献1には、ネットワーク内に配置された複数の監視対象機器から内部におけるトラフィック流量情報を取得し、正常なトラフィックと、正常でないトラフィックの総量とを比較し、正常でないトラフィックの総量が所定の比率を超えた場合に異常と判定する障害検出装置が記載されている。
特開2005−72723号公報
ところで、ネットワークウィルスの中で、利用者の意図と異なる処理を実行させ、攻撃者に成り代わり、感染した利用者端末がシステムに対し攻撃を行なうというものがある。例えば「ボット」と呼ばれるウィルス等がこれに当たる。
この種のウィルスが利用者端末に感染すると、利用者が知らないうちに、利用者端末が感染プログラムを起動し、例えば、特定のサーバやPC(パーソナルコンピュータ)等からの攻撃者の命令を受けて、特定の送信先に対する迷惑メールの送信や、特定の送信先に対する大量データの送信等の攻撃を行なう。
一般に、上記のような広帯域ネットワークにおいて、利用者端末は、クライアントとして機能するのが主であり、サーバに対してリクエストを送信し、サーバからレスポンスを受信する。一方、サーバは、クライアントからのリクエストを受信し、レスポンスを送信する。
しかしながら、この種のウィルスに感染した利用者端末は、サーバと同等の動作をすることが多く、特定の送信先に対してデータサイズやデータ量が大きい通信データを送りつける場合が多い。
また、この種のウィルスを感染させる感染元を特定することは難しく、上記のような広帯域ネットワークのようにネットワーク規模が大きくなると更に困難である。
そのため、上記のようなウィルス種による被害を少なくする観点から、通常とは異なるトラフィック特性を検出することができるネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラムが求められている。
かかる課題を解決するために、第1の本発明のネットワーク異常検出システムは、ネットワークシステムのトラフィックフロー情報に基づいて、ネットワーク異常を検出するネットワーク異常検出システムであって、(1)ネットワークシステム上を流れる通信データを取得し、観測対象のトラフィックフロー情報を収集する複数の収集手段と、(2)各収集手段からのトラフィックフロー情報を集計する集計手段と、(3)あらかじめ通信アプリケーション別のトラフィックフロー特性が定義されたトラフィックルールを少なくとも記憶するトラフィックルール記憶手段と、(4)トラフィックルールに定義されている内容とは異なるトラフィックフローを検出したとき、ネットワークの異常を検出するネットワーク異常検出手段とを備えることを特徴とする。
第2の本発明のネットワーク異常検出方法は、ネットワークシステムのトラフィックフロー情報に基づいて、ネットワーク異常を検出するネットワーク異常検出方法であって、(1)あらかじめ通信アプリケーション別のトラフィックフロー特性が定義されたトラフィックルールを少なくとも記憶するトラフィックルール記憶手段を備え、(2)複数の収集手段が、ネットワークシステム上を流れる通信データを取得し、観測対象のトラフィックフロー情報を収集する収集工程と、(3)集計手段が、各収集手段からの上記トラフィックフロー情報を集計する集計工程と、(4)ネットワーク異常検出手段が、トラフィックルールに定義されている内容とは異なるトラフィックフローを検出したとき、ネットワークの異常を検出するネットワーク異常検出工程とを備えることを特徴とする。
第3の本発明のネットワーク異常検出プログラムは、ネットワークシステムのトラフィックフロー情報に基づいて、ネットワーク異常を検出するネットワーク異常検出プログラムであって、(1)あらかじめ通信アプリケーション別のトラフィックフロー特性が定義されたトラフィックルールを少なくとも記憶するトラフィックルール記憶手段を備え、コンピュータに、(2)ネットワークシステム上を流れる通信データを取得し、観測対象のトラフィックフロー情報を収集する収集手段、(3)各収集手段からのトラフィックフロー情報を集計する集計手段、(4)トラフィックルールに定義されている内容とは異なるトラフィックフローを検出したとき、ネットワークの異常を検出するネットワーク異常検出手段として機能させるプログラムである。
本発明のネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラムによれば、ネットワークウィルスによる被害を少なくする観点から、通常とは異なるトラフィック特性を検出することで、ネットワーク異常を検出することができる。
(A)第1の実施形態
以下、本発明のネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムの第1の実施形態について図面を参照して説明する。
第1の実施形態は、広帯域ネットワークのトラフィックを監視するシステムに、本発明のネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムを適用する場合を説明する。
(A−1)第1の実施形態の構成
図1は、第1の実施形態のネットワーク監視システムの全体的な構成を示す構成図である。
図1において、第1の実施形態のネットワーク監視システム5は、例えば、LANやWANなどを構成する通信回線を監視回線とし、それら監視回線を流れる通信データを収集し、更にこれら収集情報を集計した集約データに基づいて、統括的及び又は個別的に、広帯域ネットワークのトラフィックを分析するものである。
図1に示すように、第1の実施形態のネットワーク監視システム5は、複数の監視回線3(3−1〜3−3)と、それぞれの監視回線3−1〜3−3を観測する収集装置2(2−1〜2−3)と、統合管理装置1と、管理者端末4と、を少なくとも有して構成される。
監視回線3は、収集装置2により監視される通信回線であり、OSI基本参照モデルのトランスポート層に対応する層に採用するプロトコルは特に限定されないが、例えば、TCP、UDP、ICMPなどを適用することができるものである。また、監視回線3の回線媒体は、例えば、電気回線や光ファイバ回線などの有線回線や、一部又は全部に無線回線を有するものを適用できる。また、図1では省略しているが、各監視回線3−1〜3−3の構成要素としては、複数のユーザ通信端末や、音声通信端末(ソフトフォンを実現する通信端末、携帯電話機等を含む概念)や、ネットワーク機器などを有して構成されるものである。
収集装置2−1〜2−3は、監視回線3−1〜3−3上を流れる全ての通信データを取得し、全通信データを記憶し、監視回線3−1〜3−3のトラフィック量を解析したり、解析したトラフィック量に基づいてトラフィック異常を検出したり、通信データのヘッダ情報に基づいて所定のネットワーク異常を検出したり、通信データのヘッダ情報に基づいて所定内容の統計処理を行ない、その統計データを記憶したりするものである。また、収集装置2−1〜2−3は、定期的に、通信データの解析結果としての統計データを統合管理装置1に与えるものである。これにより、監視ネットワークA〜C上の通信状況に関する解析結果を収集することができると共に、その解析結果を統合管理装置1に与え、統合的に集約したネットワークの分析をさせることができる。なお、図1では1つのネットワークを監視するものとして示しているが、収集装置2は複数のネットワークを監視するものとしても良い。
なお、収集装置2−1〜2−3は、図1では省略しているが、例えば、TAP装置や、転送装置のミラー回線などと接続しており、このTAP装置や転送装置のミラー回線から、転送装置が扱う通信データを取得できる。
統合管理装置1は、複数の収集装置2−1〜2−3からの収集情報(統計データ)を取得し、所定の集約方法に従って収集情報(統計データ)を集約するものである。統合管理装置1における統計データの集約方法の詳細は後述するが、統合管理装置1を備えることにより、常時監視回線を監視することができ、その監視結果に基づいて複数の監視ポイントを集計した集計情報を作成させたり、それぞれの監視ポイントの統計情報を作成させたり、監視回線の回線プロトコル毎の集計情報を作成させたりすることができる。また、統合管理装置1は、監視回線3−1〜3−3に異常が検出された場合に、管理者端末4に対してアラームを通知するアラーム通知機能を有する。
また、統合管理装置1は、管理者端末4からの指示に基いて、監視対象の設定、異常検出の設定など各種分析設定をする設定機能、統合管理装置1から集約情報を取得し、各種設定に従って集約情報を分析し、分析結果を管理者端末4に与える分析機能を有する。これにより、監視対象となる監視回線を常時監視することができ、ネットワーク異常が生じた場合だけでなく、正常時のトラフィック解析等をすることができる。
管理者端末4は、ネットワークを管理する管理者が操作する端末であり、統合管理装置1に対して異常検出、ネットワーク監視等に関する設定情報の設定や分析結果の表示などその他各種操作をするための端末である。
図2は、収集装置2のハードウェア構成を示すブロック図である。また、図3は、収集装置2が実現する機能を示す機能ブロック図である。
図2に示すように、収集装置2は、CPU21、記憶部22、通信部23を少なくとも有する。CPU21は、収集装置2における全体の制御機能を司っているものである。記憶部22は、例えば、ROM、RAM(EEPROMなどの不揮発性の書き込み可能メモリを含む概念である)等により構成されているものである。例えば、CPU21は、ROMに格納されている固定データやRAMに格納されているテンポラリーデータを用い、RAMをワーキングメモリとして、ROMに格納されている処理プログラムを実行することにより、収集装置2の機能を制御する。また、通信部23は、所定の通信プロトコルに従って、統合管理装置1との間で情報の送受信をするものである。
図3において、この実施形態の収集装置2が実現する主な機能部としては、通信データ収集機能部221、観測設定情報取得機能222、データ保存管理機能部223、異常検出機能部224、一時蓄積機能部225、通信データ記憶部226、統計データ記憶部227、一時蓄積データ記憶部228、観測設定情報記憶部229、異常検出ルール記憶部230を少なくとも有する。
通信データ収集機能部221は、監視回線3を流れる通信データを全て取得し、全ての通信データ情報を通信データ記憶部226に記憶するものである。また、通信データ収集機能部221は、観測設定情報記憶部229に設定されている観測設定に従って、通信データに基づくトラフィックフローの統計処理を行なうものであり、その統計処理により得られたトラフィックフローの統計データを統計データ記憶部227に記憶するものである。また、通信データ収集機能部221は、所定のトラフィックフローの統計データを統合管理装置1に通知する。
ここで、観測設定の情報としては、例えば、特定アプリケーションの名称や、特定送信元又は送信先のアドレス情報(例えば、OSI基本参照モデルの第3層、第4層におけるアドレス情報)や、異常検出の条件情報等が該当する。
これにより、通信データ収集機能部221は、観測設定情報に従って、監視回線のトラフィックフローの統計データを収集することができる。すなわち、通信データ収集機能部221は、記憶している通信データのヘッダ情報に基づいて、アプリケーションプロトコルの判別、送信元アドレスの判別、送信先アドレスの判別などを行ない、所定時間内において、観測対象のアプリケーション別のトラフィック情報、観測対象の送信元アドレス別のトラフィック情報、観測対象の送信先アドレス別のトラフィック情報、監視対象の経路別のトラフィック情報等を収集し、観測対象のトラフィック情報を把握することができる。
観測設定情報取得機能部222は、統合管理装置1から観測設定に関するリクエスト情報を受信すると、受信した観測設定に関するリクエスト情報に含まれている観測設定情報を観測設定情報記憶部229に設定するものである。なお、観測設定情報の配信に所定の暗号化処理(例えばSSL通信)を利用してもよい。
データ保存管理機能部223は、通信データ記憶部226の記憶容量を監視し、所定の記憶量を超えると、古いデータから削除するものである。これにより、全ての通信データを取得するために、過大な記憶容量の記憶装置を用意することなく、通信データを記憶することができる。
異常検出機能部224は、異常検出ルール記憶部230に記憶されている異常検出ルールを参照して、通信データ記憶部226に記憶されている通信データに基づいて、特定の送信先へのトラフィック量や、特定の送信元からのトラフィック量や、送信先や送信元に関係なくポート種別毎のトラフィック量を監視し、それぞれのトラフィック量が、それぞれの設定された閾値を超えた場合にトラフィック異常を検出する機能である。これにより、例えば、いわゆるPortScanやいわゆるIPスイープやポート種別毎のトラフィック異常を判定できる。また、異常検出機能部224が異常を検出すると、検出した異常に関する異常検出情報を統合管理装置1に対し通知する。このとき、異常検出情報としては、例えば、収集装置2の識別情報、監視ネットワークの識別情報、閾値条件(例えば、アプリケーションプロトコル名や閾値の値や単位など)、異常時のトラフィック量、検知時刻などとする。また、異常検出情報の通知方法としては、例えば、メール通知やSNMPTRAP通知などを適用することができる。
一時蓄積機能部225は、異常検出機能部224により異常が検出されると、異常検出時の通信データ情報を一時的に蓄積するものである。これにより、異常検出時の通信データ情報を別に保存することができる。一時蓄積機能部225は、例えば、異常検出時の通信データにハードリンク等を設置することで実現することができ、また通常の通信データの保存期間が経過しても消去できないようにしても良い。このように、蓄積機能部225は、いわゆるスナップショット機能として、集約の効率化を図るためのものであり、収集情報(統計データ)の転送軽減ができれば分散配置しても良い。
通信データ記憶部226は、データ保存管理機能部223の管理の下、通信データ収集機能部221が取得した全ての通信データを記憶するものである。統計データ記憶部227は、通信データ収集機能部221が収集した監視回線のトラフィックフローの統計データを記憶するものである。一時蓄積データ記憶部228は、一時蓄積機能部225の指示の下、異常検出時の通信データ情報を一時的に記憶するものである。
次に、統合管理装置1のハードウェア構成及び機能を図面を参照しながら説明する。図4は、統合管理装置1のハードウェア構成を示すブロック図である。また、図5は、統合管理装置1が実現する機能を示す機能ブロック図である。
図4に示すように、統合管理装置1は、CPU11、記憶部12、通信部13を少なくとも有する。CPU11は、統合管理装置1における全体の制御機能を司っているものである。記憶部12は、例えば、ROM、RAM(EEPROMなどの不揮発性の書き込み可能メモリを含む概念である)等により構成されているものである。例えば、CPU11は、ROMに格納されている固定データやRAMに格納されているテンポラリーデータを用い、RAMをワーキングメモリとして、ROMに格納されている処理プログラムを実行することにより、統合管理装置1の機能を制御する。また、通信部13は、所定の通信プロトコルに従って、収集装置2との間で情報を送受信するものである。
図5において、この実施形態の統合管理装置1が実現する主な機能は、観測設定機能部121、統計データ収集機能部122、統計データ集約機能部123、トラフィック分析機能部124、異常情報記憶部125、統計データ記憶部126、集約データ記憶部127、トラフィックルール格納部128、を少なくとも有する。
観測設定機能部121は、各収集装置2−1〜2−3の観測設定や当該統合管理装置1の観測設定を行なうものである。観測設定機能部121は、例えば、収集装置2の通信データの取得サンプリング速度の指示(例えば、監視回線が超高速回線の場合、収集装置の処理負荷軽減のため、通常時のサンプリング速度を遅くし、トラフィック観測が必要と判断した場合、超高速のサンプリング速度とするよう指示する)、特定のアプリケーションのトラフィック情報の観測、特定の送信先からのトラフィック情報の取得、特定の送信元へのトラフィック情報の取得などを適用し得る。
統計データ収集機能部122は、各収集装置2からの統計データを取得し、取得した統計データを統計データ記憶部126に与えて記憶するものである。
統計データ集約機能部123は、統計データ記憶部126に記憶されている統計データに基づいて、所定の観測設定に従った集約データを作成し、作成した集約データを集約データ記憶部127に記憶するものである。
ここで、統計データ集約機能部123は、観測設定に従って観測対象のトラフィック情報を集約するが、その集約方法としては、例えば、物理的な観点から集約する方法、論理的な観点から集約する方法、時間的な観点から集約する方法、若しくは、これら上記の集約方法を組み合わせた集約方法などがある。
物理的な観点からの集約方法は、例えば、(a)監視回線毎の集約、(b)監視回線が採用するプロトコル毎の集約、(c)特定接続先の複数の監視回線毎の集約、(d)接続先全ての監視回線毎の集約などのように物理的に有形なものを集約の対象とし、統計データを集約する方法をいう。
(a)監視回線毎の集約は、監視回線毎に統計データを集約する方法であり、例えば、収集装置2からの統計データに当該収集装置2が監視したネットワークの識別情報を含ませるようにし、そのネットワーク識別情報に基づいてネットワーク別の統計データを識別し、各監視回線毎に統計データを集計(例えば、パケット数の集計、帯域(データ量)の集計等)することでき実現できる。これにより、例えば、光回線と電気回線等のように媒体が異なるネットワークを監視する収集装置2と、各ネットワーク上の設置ロケーションの異なる収集装置2からの統計データであっても、各ネットワーク毎の集約データを集計することができ、回線媒体の違いによるトラフィック量の差分や物理的に離れているネットワークのトラフィック量を集計することができる。
(b)監視回線プロトコル毎の集約は、例えば、TCP/IP、ATM、OC3、SONETなどそれぞれ監視回線プロトコルが異なる収集装置2をグループ化し、各プロトコルの違いによるトラフィック量の差分や同一プロトコルのトラフィック量の集約を集計するものである。これにより、アプリケーションプロトコル毎のトラフィック量の違いを示すことができる。
(c)特定接続先の複数の監視回線毎の集約は、例えば、ある特定の送信先(宛先)に対する通信があった複数の監視回線のトラフィック量を集計するものである。これにより、ある特定の送信先に対する通信を監視することができる。これは、特定のネットワークアドレスや特定のTCPポート番号、特定のUDPポート番号を識別することにより、実現することができる。
(d)接続先全ての監視回線毎の集約は、例えば、同一の送信元から全接続先に対する回線6をグループ化し、その同一の送信元からのトラフィック量を集計するものである。これにより、ある特定の送信元からの通信を監視することができる。
論理的な観点からの集約方法は、例えば、(e)特定の送受信先の通信毎の集約、(f)セキュリティ攻撃に使用される特殊なデータ毎の集約などのように論理的なものを集約の対象として、統計データを集約する方法をいう。
(e)特定送受信先通信毎の集約は、特定の宛先への通信、若しくは特定の発信元からの通信の統計データを集約する。
(f)特殊データのみの集約は、セキュリティ攻撃に使用される特殊な攻撃用パケットデータ(例えば、Synパケットや、属性の誤ったパケット等)の統計データを集約する。
時間的な観点からの集約方法は、(g)例えば、分、時、日、月などの時間間隔で収集情報を集約する方法をいう。例えば、5分毎、1時間毎、1日毎、1週間毎、1ヶ月毎の集約情報を作成できる。
トラフィック分析機能部124は、集約データ記憶部127に記憶されている集約データに基づいて、様々な観点からのトラフィック情報を分析するものである。トラフィック分析機能部124は、トラフィックルール格納部128に格納されているトラフィックルール(通信アプリケーション別トラフィックルール128a及びIPノード別トラフィックルール128b)を満たしていないトラフィックを検出すると、管理者端末4にアラートを発すると共に、検出したトラフィック情報を異常情報として異常情報記憶部125に記憶するものである。なお、トラフィック分析機能部124によるトラフィックルールを用いたトラフィック分析処理については後述する。
また、トラフィック分析機能部124は、集約データ記憶部127に記憶されている集約データに基づいて、例えば、ppsやbpsで表わされるトラフィックの流量や、単位時間当たりのスキャン数及び又はスイープホスト数などが閾値を超過していないか、通常と大きく乖離していないか判断し、通知データの異常の度合いを数値化(例えば、%表示)し、異常が検出された場合に、各収集装置2の設定ファイルを配布し、特定の送信元若しくは送信先のデータを監視する設定や、グループ化範囲の設定、閾値の更新などを行なうものである。この設定値は、各収集装置2に反映され、新たな設定での監視を継続することができる。
統計データ記憶部126は、各収集装置121からの統計データを記憶するものであり、集約データ記憶部127は、統計データ集約機能部123により集約された集約データを記憶するものである。
トラフィックルール格納部128は、トラフィックルールを格納するものである。トラフィックルールとしては、通信アプリケーション別トラフィックルール128aと、IPノード別トラフィックルール128bとを適用する。
通信アプリケーション別トラフィックルール128aは、例えばTCPやUDPやICMPなどの通信アプリケーション別で、送信元と送信先との間のトラフィック情報に基づいて、トラフィック異常を検出するためのルールである。
IPノード別トラフィックルール128bは、送信先又は送信元のアドレス情報(例えば、IPアドレス等)を利用してノード別のトラフィック情報に基づいて、トラフィック異常を検出するためのルールである。
図6は、通信アプリケーション別トラフィックルール128aの構成例を示す図であり、図7は、IPノード別トラフィックルール128bの構成例を示す図である。
図6に示すように、通信アプリケーション別トラフィックルール128aは、例えば、TCP、UDP、ICMPなどの通信アプリケーション毎に定義されている。また、通信アプリケーショントラフィックルール128aは、「リクエストの送信元のポート番号31」、送信元からの「送信データサイズ32」、「リクエストの送信先のポート番号33」、リクエストに対する「応答データのサイズ34」、リクエスト若しくはレスポンスの「送信頻度(回/s)35」を項目として有する。
「リクエストの送信元のポート番号31」は、当該通信アプリケーションに使用する送信元のポート番号が定義されており、この定義されているポート番号以外のポート番号を使用して送信元が送信データを送信している場合、当該ルールに違反しているものとトラフィック分析機能部124は判断する。
「送信データサイズ32」は、当該通信アプリケーションを使用する送信元から送信される送信データのサイズが定義されており、この定義されているサイズ以上のデータサイズが送信されている場合、当該ルールに違反しているものとトラフィック分析機能部124は判断する。なお、「送信データサイズ32」に定義される送信データのサイズは、それぞれのパケット毎のサイズであっても良いし、所定時間の平均的なサイズであっても良い。
「リクエストの送信先のポート番号33」は、当該通信アプリケーションに使用する送信先のポート番号が定義されており、この定義されているポート番号以外のポート番号を使用して送信先が受信している場合、当該ルールに違反しているものとトラフィック分析機能部124は判断する。
「応答データのサイズ34」は、当該通信アプリケーションを使用する送信元からのデータに対し、送信先が応答するデータのサイズが定義されており、この定義されているサイズ以上のデータサイズを返信している場合、当該ルールに違反しているものとトラフィック分析機能部124は判断する。なお、「応答データサイズ34」に定義される応答するデータのサイズは、それぞれのパケット毎のサイズであっても良いし、所定時間の平均的なサイズであっても良い。
「送信頻度35」は、当該通信アプリケーションを使用する送信元が送信データを送信する頻度が定義されており、送信元からの送信データの送信頻度が定義されている頻度以上である場合、当該ルールに違反しているものとトラフィック分析機能部124は判断する。
図7に示すように、IPノード別トラフィックルール128bは、後述するようにルール1〜ルール6が定義されている。
ルール1は、感染したクライアント端末を検出するルールであり、同一の通信アプリケーションによる通信であって、特定の送信元から所定数を超えたノード(すなわち、不特定多数のノード)に向けたトラフィックを検出することが定義されている。
ルール2は、感染ノードからサーバへの攻撃を検出するルールであり、同一の通信アプリケーションによる通信であって、所定数を超えたノード(すなわち、不特定多数のノード)を送信元とし、特定の送信先に対するトラフィックを検出することが定義されている。
ルール3は、感染ノードからサーバへの攻撃を検出するルールであり、特定の送信元から特定の送信先に対し、連続性をもつポート番号でのトラフィックを検出することが定義されている。
ルール4は、感染されたクライアント端末から情報流出を抑止するルールであり、特定の送信元から同一の送信先へのパケット量の多いリクエスト通信を検出することが定義されている。
ルール5は、感染されたクライアント端末から情報流出を抑止するルールであり、特定の送信元から複数の送信先へのレスポンス通信を検出することが定義されている。
ルール6は、感染したクライアント端末を検出するルールであり、許可されたホスト以外のホストからの特定のアプリケーションの通信を検出することが定義されている。
(A−2)第1の実施形態の動作
次に、第1の実施形態のネットワーク監視システム5におけるトラフィック分析処理の動作を、図面を参照しながら詳細に説明する。
図8は、第1の実施形態のネットワーク監視システム5のネットワーク監視動作の流れを示すフローチャートである。
図8において、管理者は管理者端末4を操作し、観測対象とする観測設定情報の入力を行ない、入力された観測対象の設定情報が統合管理装置1に与えられ、観測設定情報が、統合管理装置1の観測設定機能部121から、各収集装置2の観測設定情報取得機能部222に与えられる。観測設定情報取得機能部222により取得された観測設定情報は、観測設定情報記憶部229に記憶されて観測設定がなされる(ステップS101)。
次に、各収集装置2は、それぞれの各監視回線3上を流れる全通信データを取得し(ステップS102)、各収集装置2により取得された全通信データは、通信データ記憶部226に記憶される。
通信データが通信データ記憶部226に記憶されると、通信データ記憶部226に記憶されている通信データに基づいて、通信データ収集機能部221により、観測設定に従った統計処理が行なわれる(ステップS103)。
ここで、通信データ収集機能部221による統計処理は、観測設定に従って行ない、例えば、収集した通信データの通信プロトコル別のトラフィックフロー情報や、送信元別のトラフィックフロー情報や、送信先別のトラフィックフロー情報等、の統計処理をする。
各収集装置2により統計処理がなされた統計データは、定期的に、統合管理装置1の統計データ収集機能部122により収集され、収集された統計データは、統合管理装置1の統計データ記憶部126に記憶される。また、統合管理装置1において、統計データ集約機能部123により、統計データ記憶部126に記憶された統計データが集計され、集計された集約データが、集約データ記憶部127に記憶される(ステップS104)。
集約データが集約データ記憶部127に記憶されると、トラフィック分析機能部124は、トラフィックルール格納部128に格納されているトラフィックルール(通信アプリケーショントラフィックルール128a及びIPノード属性トラフィックルール128b)を用いて、トラフィック分析処理を行ない、トラフィックルールに反するトラフィック情報を検出する(ステップS105)。
ここで、図9は、トラフィック分析機能部124によるトラフィック分析処理を示す説明図である。
まず、トラフィック分析機能部124は、集約データ記憶部127に記憶されている集約データを読み出すと(ステップS201)、読み出した集約データが、トラフィックルール格納部128の通信アプリケーション別トラフィックルール128aに定義されているルールを満たしているか否かを分析する(ステップS202)。
この通信アプリケーション別トラフィックルール128aを用いた分析では、利用者端末が例えばボットなどのウィルスに感染した場合に起こりうる、通常とは異なるトラフィックフローを、通信アプリケーション別のトラフィックフローの集約データに基づいて検出する分析処理である。
例えば、ウィルスに感染した利用者端末は、ある通信アプリケーションを使用してリクエストメッセージを大量に特定ノード又は不特定ノードに送りつけたり、あるレスポンスメッセージを特定ノード又は不特定ノードに送りつけたりする。
そこで、通信アプリケーション別トラフィックルール128aを用いたトラフック分析では、トラフィック分析機能部124が、RFC若しくは内部ネットワークで使用する独自の通信アプリケーション別のトラフィックフローの集約データを見て、クライアント端末からのリクエスト処理で要する送信元の通信ポート番号、リクエストメッセージの送信データサイズ、サーバ側の受信用の通信ポート番号、サーバが応答時に送信する応答データのデータサイズ、送信頻度が、通信アプリケーション別トラフィックルール128aに定義されているものに反しているか否かを判断し、定義に反している場合、トラフィック異常であると判断する。
次に、トラフィック分析機能部124は、トラフィックルール格納部128のIPノード別トラフィックルール128bに定義されているルールを満たしているか否かを分析する(ステップS203)。
このIPノード別トラフィックルール128bを用いた分析では、通常とは異なるトラフィックフローを、ノード別のトラフィックフローの集約データに基づいて検出する分析処理である。
トラフィック分析機能部124が、ノード別(すなわち、送信元又は送信先別)のトラフィックフローの集約データを見て、ノード別のトラフィックフローの集約データが、ルール1〜ルール6の定義に反しているか否かを判断し、ルール1〜ルール6のいずれか1つにでも反している場合、トラフィック異常であると判断する。
トラフィック分析機能部124により通信アプリケーション別トラフィックルール128a及びIPノード別トラフィックルール128bを用いたトラフィック分析処理を行い、いずれかのトラフィックルールに1つでも反している場合、トラフィック異常であるとし(ステップS204)、トラフィック分析機能部124は、アラーム通知を行ない(ステップS205)、検出したトラフィックフローの集計データを異常情報として異常情報記憶部125に記憶し、異常情報の確保を行なう(ステップS206)。
(A−3)第1の実施形態の効果
以上のように、第1の実施形態によれば、通信アプリケーション別トラフィックルール128a及びIPノード別トラフィックルールを用いて、通常の通信アプリケーションを使用したトラフィックとは異なるトラフィック特性を検出することにより、例えばボットや新種のネットワークウィルスを検出することができる。
(B)他の実施形態
第1の実施形態において、収集装置、統合管理装置の機能構成は、ネットワーク上で接続可能であり、上記第1の実施形態で説明した機能を実現できるのであれば、それぞれの機能を実現するサーバとして分散配置されるようにしても良いし、また同一サーバ内に備えるようにしても良い。
上述した収集装置、統合管理装置及び観測設定管理装置の各機能は、ソフトウェアとしてコンピュータにより実行され得る処理プログラムとして実現されるが、ハードウェアとして実現するようにしても良い。
第1の実施形態のネットワーク監視システムの全体構成図である。 第1の実施形態の収集装置のハードウェア構成を示すブロック図である。 第1の実施形態の収集装置が実現する機能を示す機能ブロック図である。 第1の実施形態の統合管理装置のハードウェア構成を示すブロック図である。 第1の実施形態の統合管理装置が実現する機能を示す機能ブロック図である。 第1の実施形態の通信アプリケーション別トラフィックルールの構成例を示す説明図である。 第1の実施形態のIPノード別トラフィックルールの構成例を示す説明図である。 第1の実施形態の全体的な動作の流れを示すフローチャートである。 第1の実施形態のトラフィック分析処理を示すフローチャートである。
符号の説明
1…統合管理装置、2(2−1〜2−3)…収集装置、3(3−1〜3−3)…収集装置、4…管理者端末、5…ネットワーク監視システム。

Claims (5)

  1. ネットワークシステムのトラフィックフロー情報に基づいて、ネットワーク異常を検出するネットワーク異常検出システムであって、
    上記ネットワークシステム上を流れる通信データを取得し、観測対象のトラフィックフロー情報を収集する複数の収集手段と、
    上記各収集手段からの上記トラフィックフロー情報を集計する集計手段と、
    あらかじめ通信アプリケーション別のトラフィックフロー特性が定義されたトラフィックルールを少なくとも記憶するトラフィックルール記憶手段と、
    上記トラフィックルールに定義されている内容とは異なるトラフィックフローを検出したとき、ネットワークの異常を検出するネットワーク異常検出手段と
    を備えることを特徴とするネットワーク異常検出システム。
  2. 上記ネットワーク異常検出手段が、送信元から送信先への一方向のトラフィックフローの集計情報と、送信先から送信元への他方向の応答トラフィックフローの集計情報とに基づいて、トラフィックフローの異常性を分析することを特徴とする請求項1に記載のネットワーク異常検出システム
  3. 上記トラフィックルールには、送信元及び送信先のポート番号、送信元から送信先への一方向に送信される通信データのサイズ、送信先から送信元への他方向に送信される通信データのサイズ、上記一方向又は他方向の通信データの送信頻度について、通信アプリケーション別に定義されていることを特徴とする請求項1又は2に記載のネットワーク異常検出システム。
  4. ネットワークシステムのトラフィックフロー情報に基づいて、ネットワーク異常を検出するネットワーク異常検出方法であって、
    あらかじめ通信アプリケーション別のトラフィックフロー特性が定義されたトラフィックルールを少なくとも記憶するトラフィックルール記憶手段を備え、
    複数の収集手段が、上記ネットワークシステム上を流れる通信データを取得し、観測対象のトラフィックフロー情報を収集する収集工程と、
    集計手段が、上記各収集手段からの上記トラフィックフロー情報を集計する集計工程と、
    ネットワーク異常検出手段が、上記トラフィックルールに定義されている内容とは異なるトラフィックフローを検出したとき、ネットワークの異常を検出するネットワーク異常検出工程と
    を備えることを特徴とするネットワーク異常検出方法。
  5. ネットワークシステムのトラフィックフロー情報に基づいて、ネットワーク異常を検出するネットワーク異常検出プログラムであって、
    あらかじめ通信アプリケーション別のトラフィックフロー特性が定義されたトラフィックルールを少なくとも記憶するトラフィックルール記憶手段を備え、
    コンピュータに、
    上記ネットワークシステム上を流れる通信データを取得し、観測対象のトラフィックフロー情報を収集する収集手段、
    上記各収集手段からの上記トラフィックフロー情報を集計する集計手段、
    上記トラフィックルールに定義されている内容とは異なるトラフィックフローを検出したとき、ネットワークの異常を検出するネットワーク異常検出手段
    として機能させるネットワーク異常検出プログラム。
JP2006265028A 2006-09-28 2006-09-28 ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム Withdrawn JP2008085819A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006265028A JP2008085819A (ja) 2006-09-28 2006-09-28 ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006265028A JP2008085819A (ja) 2006-09-28 2006-09-28 ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム

Publications (1)

Publication Number Publication Date
JP2008085819A true JP2008085819A (ja) 2008-04-10

Family

ID=39356182

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006265028A Withdrawn JP2008085819A (ja) 2006-09-28 2006-09-28 ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム

Country Status (1)

Country Link
JP (1) JP2008085819A (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009132552A1 (zh) * 2008-04-30 2009-11-05 华为技术有限公司 一种入侵检测方法、系统和装置
JP2010152773A (ja) * 2008-12-26 2010-07-08 Mitsubishi Electric Corp 攻撃判定装置及び攻撃判定方法及びプログラム
JP2013115778A (ja) * 2011-11-30 2013-06-10 Murata Mach Ltd 中継サーバ及び中継通信システム
DE102013002593A1 (de) 2012-02-15 2013-08-29 Hitachi, Ltd. Sicherheitsüberwachungssystem und Sicherheitsüberwachungsverfahren
WO2019117052A1 (ja) 2017-12-13 2019-06-20 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体
WO2019116973A1 (ja) * 2017-12-15 2019-06-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知装置、車載ネットワークシステム、および、不正検知方法
KR20200007912A (ko) * 2017-05-23 2020-01-22 후아웨이 테크놀러지 컴퍼니 리미티드 데이터 트래픽을 모니터링하기 위한 방법, 장치 및 시스템
JP2020022208A (ja) * 2014-07-11 2020-02-06 ドイッチェ テレコム アーゲー 通信ネットワークに接続された作業環境への攻撃を検出する方法
CN111752936A (zh) * 2020-06-30 2020-10-09 中国科学院西北生态环境资源研究院 数据检测管理方法、装置、服务器及可读存储介质
JP2021517417A (ja) * 2018-03-29 2021-07-15 華為技術有限公司Huawei Technologies Co.,Ltd. データ伝送方法および関連装置
CN111752936B (zh) * 2020-06-30 2024-04-26 中国科学院西北生态环境资源研究院 数据检测管理方法、装置、服务器及可读存储介质

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009132552A1 (zh) * 2008-04-30 2009-11-05 华为技术有限公司 一种入侵检测方法、系统和装置
JP2010152773A (ja) * 2008-12-26 2010-07-08 Mitsubishi Electric Corp 攻撃判定装置及び攻撃判定方法及びプログラム
JP2013115778A (ja) * 2011-11-30 2013-06-10 Murata Mach Ltd 中継サーバ及び中継通信システム
DE102013002593A1 (de) 2012-02-15 2013-08-29 Hitachi, Ltd. Sicherheitsüberwachungssystem und Sicherheitsüberwachungsverfahren
US8850582B2 (en) 2012-02-15 2014-09-30 Hitachi, Ltd. Security monitoring system and security monitoring method
JP2020022208A (ja) * 2014-07-11 2020-02-06 ドイッチェ テレコム アーゲー 通信ネットワークに接続された作業環境への攻撃を検出する方法
KR20200007912A (ko) * 2017-05-23 2020-01-22 후아웨이 테크놀러지 컴퍼니 리미티드 데이터 트래픽을 모니터링하기 위한 방법, 장치 및 시스템
KR102397346B1 (ko) 2017-05-23 2022-05-13 후아웨이 테크놀러지 컴퍼니 리미티드 데이터 트래픽을 모니터링하기 위한 방법, 장치 및 시스템
WO2019117052A1 (ja) 2017-12-13 2019-06-20 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体
US11461463B2 (en) 2017-12-13 2022-10-04 Nec Corporation Information processing device, information processing method, and recording medium
WO2019116973A1 (ja) * 2017-12-15 2019-06-20 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 不正検知装置、車載ネットワークシステム、および、不正検知方法
US11546363B2 (en) 2017-12-15 2023-01-03 Panasonic Intellectual Property Corporation Of America Anomaly detection device, in-vehicle network system, and anomaly detection method
JP2021517417A (ja) * 2018-03-29 2021-07-15 華為技術有限公司Huawei Technologies Co.,Ltd. データ伝送方法および関連装置
JP7085638B2 (ja) 2018-03-29 2022-06-16 華為技術有限公司 データ伝送方法および関連装置
US11665070B2 (en) 2018-03-29 2023-05-30 Huawei Technologies Co., Ltd. Data transmission method and related apparatus
CN111752936A (zh) * 2020-06-30 2020-10-09 中国科学院西北生态环境资源研究院 数据检测管理方法、装置、服务器及可读存储介质
CN111752936B (zh) * 2020-06-30 2024-04-26 中国科学院西北生态环境资源研究院 数据检测管理方法、装置、服务器及可读存储介质

Similar Documents

Publication Publication Date Title
US10397260B2 (en) Network system
JP2008085819A (ja) ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム
JP2007013590A (ja) ネットワーク監視システム、ネットワーク監視装置及びプログラム
US10135841B2 (en) Integrated security system having threat visualization and automated security device control
US7752307B2 (en) Technique of analyzing an information system state
JP5088403B2 (ja) 不正通信検出システム
KR20140106547A (ko) 네트워크 메타데이터를 처리하기 위한 스트리밍 방법 및 시스템
EP2194677A1 (en) Network monitoring device, network monitoring method, and network monitoring program
WO2013035181A1 (ja) 脆弱性対策装置、および脆弱性対策方法
CN106471778B (zh) 攻击检测装置和攻击检测方法
US10693890B2 (en) Packet relay apparatus
JP5015014B2 (ja) トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
WO2006043310A1 (ja) 不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プログラムおよび不正アクセスプログラム対策プログラム
JP4425255B2 (ja) ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム
JP4161989B2 (ja) ネットワーク監視システム
JP2008072496A (ja) ネットワーク監視システム、通信品質測定システム及び通信品質測定方法
US11700271B2 (en) Device and method for anomaly detection in a communications network
JP2008219149A (ja) トラヒック制御システムおよびトラヒック制御方法
JP2008022498A (ja) ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム
JP2008092069A (ja) 観測設定管理システム、観測設定管理方法及び観測設定プログラム
KR20110067871A (ko) Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법
WO2016170664A1 (ja) 異常パケットフィルタリング装置、及び、異常パケットフィルタリング方法
JP2004328307A (ja) 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法
JP2008135871A (ja) ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム
JP6629174B2 (ja) 通信監視装置、通信監視方法及び通信監視プログラム

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20091201