JP2008227931A - Ip address visualizing apparatus, program, and recording medium - Google Patents
Ip address visualizing apparatus, program, and recording medium Download PDFInfo
- Publication number
- JP2008227931A JP2008227931A JP2007063528A JP2007063528A JP2008227931A JP 2008227931 A JP2008227931 A JP 2008227931A JP 2007063528 A JP2007063528 A JP 2007063528A JP 2007063528 A JP2007063528 A JP 2007063528A JP 2008227931 A JP2008227931 A JP 2008227931A
- Authority
- JP
- Japan
- Prior art keywords
- address
- communication
- display
- axis
- block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ネットワーク上で実行された通信に係るIPアドレスを視覚化するIPアドレス視覚化装置に関する。また、本発明は、本IPアドレス視覚化装置としてコンピュータを機能させるためのプログラム、およびそのプログラムを記録した記録媒体にも関する。 The present invention relates to an IP address visualization device that visualizes an IP address related to communication executed on a network. The present invention also relates to a program for causing a computer to function as the IP address visualization device, and a recording medium on which the program is recorded.
多種多様なコンピュータウィルスや攻撃が現れる中、Intrusion Detection System(IDS)やAnti Virus(AV)による検知から逃れるために、パケットやファイルに含まれる攻撃シグネチャを変化させるような攻撃が現れてきた。こうした攻撃を見つける手法として、攻撃時の通信に係る送信側・受信側双方のIPアドレスの関係を視覚化して異常を把握する手法が提案されている(例えば非特許文献1〜4参照)。
With various computer viruses and attacks appearing, attacks that change the attack signature included in packets and files have emerged in order to escape detection by Intrusion Detection System (IDS) and Anti Virus (AV). As a technique for finding such an attack, a technique has been proposed in which the relationship between IP addresses on both the transmitting side and the receiving side related to communication at the time of the attack is visualized to grasp an abnormality (for example, see Non-Patent
非特許文献1〜3では、IPアドレスの2次元表記が実現されている。一般に、IPv4プロトコルでは約4.3×109個のIPアドレスの表現が可能であり、Source IP(送信側IPアドレス)とDestination IP(受信側IPアドレス)の全てを同時に視覚化することが困難である。IPv4プロトコルでは、IPアドレスは例えば192.168.0.1(32ビット)と表現され、8ビットずつの4ブロックのアドレス値で構成される。非特許文献1〜3では、これを利用してSource IPとDestination IPを4ブロックずつに分けて、特定の2ブロックのアドレス値を縦軸と横軸にしたグラフ上に、観測された通信に係るアドレス値がプロットされる。
In
また、非特許文献4では、EtherApeというツールが紹介されている。このツールは、Source IPとDestination IPを区別することなく、観測されたIPアドレスを円状に配置して、実行された通信に係る送信側と受信側のIPアドレスの組を線で繋ぐものである。
しかし、非特許文献1〜3では、1つのグラフで2つのブロックのアドレス値しか表現できないので、ネットワーク管理者がSource IPとDestination IPの関係を把握するためには、表示された複数のグラフを同時に参照しなければならない。このため、送信側と受信側のIPアドレスの関係を把握することが困難である。
However, in
また、通信の異常性をグラフから把握することも困難である。さらに、異常な通信の規則性を把握することも困難であるため、フィルタリングルール(攻撃の防御を目的としてルータ等のネットワーク機器に設定するもの)を作成することも困難である。IPv6プロトコルでは、表現可能なIPアドレスがさらに増えて約3.4×1038個になるため、多数の通信が混在する状況では送信側・受信側双方のIPアドレスの関係を視覚化することがさらに難しくなる。 It is also difficult to grasp the abnormality of communication from the graph. Furthermore, since it is difficult to grasp the regularity of abnormal communication, it is also difficult to create a filtering rule (set in a network device such as a router for the purpose of attack protection). In the IPv6 protocol, the number of IP addresses that can be expressed further increases to about 3.4 × 10 38 , so it is more difficult to visualize the relationship between the IP addresses on both the sending and receiving sides in a situation where many communications are mixed. Become.
非特許文献4では、非特許文献1〜3と比べて、送信側と受信側のIPアドレスの関係を把握することは容易となるが、多数のIPアドレスが観測された場合に、通信の異常性を把握すること、およびフィルタリングルールを作成することが困難である。
In
本発明は、上述した課題に鑑みてなされたものであって、送信側と受信側のIPアドレスの関係を把握することが容易となるIPアドレス視覚化装置、プログラム、および記録媒体を提供することを第1の目的とする。また、本発明は、通信の異常性を把握すること、およびフィルタリングルールを作成することが容易となるIPアドレス視覚化装置、プログラム、および記録媒体を提供することを第2の目的とする。 The present invention has been made in view of the above-described problems, and provides an IP address visualization device, a program, and a recording medium that make it easy to grasp the relationship between the IP addresses on the transmission side and the reception side. Is the first purpose. A second object of the present invention is to provide an IP address visualization device, a program, and a recording medium that make it easy to grasp the abnormality of communication and to create a filtering rule.
本発明は、上記の課題を解決するためになされたもので、情報を表示する表示手段(図1の画像表示部37に対応)と、ネットワーク上で実行された通信に係る送受信の関係を示す第1のIPアドレスおよび第2のIPアドレスを通信毎に関連付けて記憶する記憶手段(図1の通信情報記憶部11に対応)と、前記第1のIPアドレスを構成するブロックのアドレス値を表示する第1の軸(図2の軸4a,4b,4c,4dに対応)、および前記第2のIPアドレスを構成するブロックのアドレス値を表示する第2の軸(図2の軸4e,4f,4g,4hに対応)を前記表示手段に表示させる処理を実行する軸表示処理手段(図1の表示処理制御部31、軸表示処理部33、表示画像生成部36に対応)と、前記第1のIPアドレスを構成する各ブロックのアドレス値に対応した前記第1の軸上の点同士を結ぶ第1の線(図2の線5a,5b,5cに対応)、および前記第2のIPアドレスを構成する各ブロックのアドレス値に対応した前記第2の軸上の点同士を結ぶ第2の線(図2の線5e,5f,5gに対応)を前記表示手段に表示させる処理を実行する線表示処理手段(図1の表示処理制御部31、線表示処理部34、表示画像生成部36に対応)と、を備えたことを特徴とするIPアドレス視覚化装置である。
The present invention has been made to solve the above problems, and shows a relationship between display means for displaying information (corresponding to the
また、本発明のIPアドレス視覚化装置は、ネットワーク上で実行された通信の特徴を示す通信特徴情報に基づいて異常な通信を検知する異常検知手段(図1の通信解析部21に対応)と、前記記憶手段が記憶している前記第1のIPアドレスおよび前記第2のIPアドレスのうち、前記異常検知手段によって検知された前記異常な通信に係るIPアドレスを抽出する抽出手段(図1の通信情報抽出部30に対応)とをさらに備え、前記軸表示処理手段および前記線表示処理手段は、前記抽出手段によって抽出された前記IPアドレスを処理に使用することを特徴とする。
The IP address visualization device of the present invention includes an abnormality detection means (corresponding to the
また、本発明のIPアドレス視覚化装置において、前記線表示処理手段はさらに、少なくとも最上位のブロックのアドレス値が同一である複数の前記第1のIPアドレスを表示する場合に、隣接するいずれか2つのブロックのアドレス値が同一であるIPアドレスの頻度に応じて、前記隣接するブロックのアドレス値に対応した前記第1の軸上の点同士を結ぶ前記第1の線の表示形態を制御することを特徴とする。 In the IP address visualization device according to the present invention, the line display processing unit may further include any one of adjacent ones when displaying a plurality of the first IP addresses having the same address value of at least the highest block. The display form of the first line connecting the points on the first axis corresponding to the address value of the adjacent block is controlled according to the frequency of the IP address having the same address value of the two blocks. It is characterized by that.
また、本発明のIPアドレス視覚化装置において、前記線表示処理手段はさらに、少なくとも最上位のブロックのアドレス値が同一である複数の前記第2のIPアドレスを表示する場合に、隣接するいずれか2つのブロックのアドレス値が同一であるIPアドレスの頻度に応じて、前記隣接するブロックのアドレス値に対応した前記第2の軸上の点同士を結ぶ前記第2の線の表示形態を制御することを特徴とする。 In the IP address visualization device according to the present invention, the line display processing unit may further display any one of the adjacent second IP addresses when displaying a plurality of the second IP addresses having the same address value of at least the highest block. The display form of the second line connecting the points on the second axis corresponding to the address value of the adjacent block is controlled according to the frequency of the IP address having the same address value of the two blocks. It is characterized by that.
また、本発明のIPアドレス視覚化装置において、前記軸表示処理手段はさらに、少なくとも最上位のブロックのアドレス値が同一である複数の前記第1のIPアドレスを表示する場合に、いずれかのブロックのアドレス値がどのIPアドレスについても同一のときには、当該ブロックの下位のブロックに対応した前記第1の軸の表示を省略することを特徴とする。 In the IP address visualization device according to the present invention, the axis display processing means may further display any one of the blocks when displaying a plurality of the first IP addresses having the same address value in at least the highest block. When the address value is the same for any IP address, the display of the first axis corresponding to the lower block of the block is omitted.
また、本発明のIPアドレス視覚化装置において、前記軸表示処理手段はさらに、少なくとも最上位のブロックのアドレス値が同一である複数の前記第2のIPアドレスを表示する場合に、いずれかのブロックのアドレス値がどのIPアドレスについても同一のときには、当該ブロックの下位のブロックに対応した前記第2の軸の表示を省略することを特徴とする。 In the IP address visualization device according to the present invention, the axis display processing means may further display any one of the blocks when displaying a plurality of the second IP addresses having the same address value in at least the highest block. When the address value is the same for any IP address, the display of the second axis corresponding to the lower block of the block is omitted.
また、本発明のIPアドレス視覚化装置は、ユーザがIPアドレスの検索条件を入力するための入力手段(図1の入力部32に対応)をさらに備え、前記軸表示処理手段および前記線表示処理手段は、前記抽出手段によって抽出された前記第1のIPアドレスおよび前記第2のIPアドレスの中から、前記検索条件を満たすIPアドレスを処理に使用することを特徴とする。
The IP address visualization device of the present invention further includes input means (corresponding to the
また、本発明のIPアドレス視覚化装置において、前記線表示処理手段はさらに、第1の通信および第2の通信を含む複数の通信に係る前記第1のIPアドレスおよび前記第2のIPアドレスを表示する場合に、前記第1の通信に係る送信側のIPアドレスと、前記第2の通信に係る受信側のIPアドレスとが同一であったときは、同一であったIPアドレスを前記第1のIPアドレスおよび前記第2のIPアドレスの一方に固定して処理を実行することを特徴とする。 In the IP address visualization device according to the present invention, the line display processing unit further includes the first IP address and the second IP address related to a plurality of communications including the first communication and the second communication. When the IP address on the transmitting side related to the first communication and the IP address on the receiving side related to the second communication are the same when displayed, the IP address that was the same is set to the first IP address. The processing is executed by fixing to one of the IP address and the second IP address.
また、本発明のIPアドレス視覚化装置において、前記記憶手段はさらに、前記第1のIPアドレスおよび前記第2のIPアドレスを通信毎に時刻情報と関連付けて記憶し、前記線表示処理手段はさらに、前記時刻情報に基づいて、前記表示手段が表示する前記第1の線および前記第2の線の表示タイミングを制御することを特徴とする。 In the IP address visualization device of the present invention, the storage unit further stores the first IP address and the second IP address in association with time information for each communication, and the line display processing unit further includes The display timing of the first line and the second line displayed by the display means is controlled based on the time information.
また、本発明のIPアドレス視覚化装置において、前記記憶手段はさらに、ネットワーク上で実行された通信に係る第1のPort番号および第2のPort番号を通信毎に前記第1のIPアドレスおよび前記第2のIPアドレスと関連付けて記憶し、前記抽出手段はさらに、前記記憶手段が記憶している前記第1のPort番号および前記第2のPort番号のうち、前記異常検知手段によって検知された前記異常な通信に係るPort番号を抽出し、前記軸表示処理手段はさらに、前記第1のPort番号を表示する第3の軸(図13の軸4iに対応)、および前記第2のPort番号を表示する第4の軸(図13の軸4jに対応)を前記表示手段に表示させる処理を実行し、前記線表示処理手段はさらに、前記第1のIPアドレスを構成するいずれかのブロックのアドレス値に対応した前記第1の軸上の点(図13の点1301に対応)と、前記第1のPort番号に対応した前記第3の軸上の点(図13の点1300に対応)とを結ぶ第3の線、および前記第2のIPアドレスを構成するいずれかのブロックのアドレス値に対応した前記第2の軸上の点(図13の点1303に対応)と、前記第2のPort番号に対応した前記第4の軸上の点(図13の点1302に対応)とを結ぶ第4の線を前記表示手段に表示させる処理を実行することを特徴とする。
In the IP address visualization device according to the present invention, the storage means may further include a first port number and a second port number relating to communication executed on a network for each communication, the first IP address and the second port number. And storing the second IP address in association with a second IP address, wherein the extracting means further detects the abnormality detected by the abnormality detecting means out of the first port number and the second port number stored in the storing means. A port number related to abnormal communication is extracted, and the axis display processing means further determines a third axis (corresponding to the
また、本発明のIPアドレス視覚化装置において、前記線表示処理手段はさらに、いずれかの前記第1の軸および前記第1の線が交差する第1の交点(図2の点202に対応)と、いずれかの前記第2の軸および前記第2の線が交差する第2の交点(図2の点203に対応)とを結ぶ線であって、通信方向を示す矢印が付いた線(図2の線5dに対応)を前記表示手段に表示させる処理を実行することを特徴とする。
In the IP address visualization device according to the present invention, the line display processing unit further includes a first intersection where any one of the first axes and the first line intersects (corresponding to the
また、本発明は、上記のIPアドレス視覚化装置としてコンピュータを機能させるためのプログラムである。 Further, the present invention is a program for causing a computer to function as the above IP address visualization device.
また、本発明は、上記のプログラムを記録したコンピュータ読み取り可能な記録媒体である。 The present invention is a computer-readable recording medium on which the above program is recorded.
上記において、括弧で括った部分の記述は、後述する本発明の実施形態と本発明の構成要素とを便宜的に対応付けるためのものであり、この記述によって本発明の内容が限定されるわけではない。 In the above description, the description in parentheses is for the purpose of associating the embodiment of the present invention described later with the components of the present invention for convenience, and the contents of the present invention are not limited by this description. Absent.
本発明によれば、ブロック毎にアドレス値を表示するための軸と、各軸上の点を結ぶ線とで送信側と受信側のそれぞれのIPアドレスを表示することによって、送信側と受信側のIPアドレスの関係を把握することが容易となるという効果が得られる。また、本発明によれば、異常な通信に係るIPアドレスを表示することによって、通信の異常性を把握すること、およびフィルタリングルールを作成することが容易となるという効果が得られる。 According to the present invention, the transmission side and the reception side are displayed by displaying the respective IP addresses of the transmission side and the reception side by the axis for displaying the address value for each block and the line connecting the points on each axis. The effect that it becomes easy to grasp the relationship of the IP address of is obtained. In addition, according to the present invention, it is possible to obtain an effect that it is easy to grasp the abnormality of communication and create a filtering rule by displaying an IP address related to abnormal communication.
以下、図面を参照し、本発明の一実施形態を説明する。通信に係る送信側・受信側双方のIPアドレスの関係を視覚化する主要な目的として、異常な通信の検知とフィルタリングルールの作成が挙げられる。異常な通信の検知には、通信の集中性と拡散性を表現できる視覚化手法が必要である。特に、DDos(Distributed Denial of Service)攻撃による通信の集中性、あるいはウィルスへの感染の拡大による通信の拡散性を、IPアドレスの偏り(分散)の度合いとして視覚化する手法が望まれる。また、フィルタリングルールの作成には、出現頻度の高いIPアドレスやTCP/UDPプロトコルのPort番号を視覚化する手法が望まれる。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings. The main purpose of visualizing the relationship between IP addresses on both the sending and receiving sides involved in communication is detection of abnormal communication and creation of filtering rules. In order to detect abnormal communication, a visualization method that can express the concentration and diffusion of communication is required. In particular, a technique for visualizing the concentration of communication due to DDos (Distributed Denial of Service) attacks or the spread of communication due to the spread of virus infection as the degree of IP address bias (distribution) is desired. For creating filtering rules, it is desirable to visualize IP addresses and TCP / UDP protocol port numbers that appear frequently.
図2等を参照して後述するが、本実施形態では、IPアドレスを構成するブロック毎にそのアドレス値を表示するための軸を表示し、各ブロックのアドレス値に対応した軸上の点同士を線で結ぶことによりIPアドレスを視覚化する手法が用いられている。また、Port番号についても、Port番号を表示するための軸を表示し、Port番号に対応した軸上の点とIPアドレスの表示軸上の点とを線で結ぶことによりPort番号を視覚化する手法が用いられている。IPアドレスに関して、本実施形態ではIPv4アドレスを用いて説明を行うが、IPv6アドレスについても同様である。以下では、IPv4アドレスをA.B.C.Dとしたときに、アドレス値Aを有するブロックを第1ブロック(最上位ブロック)、アドレス値Bを有するブロックを第2ブロック、アドレス値Cを有するブロックを第3ブロック、アドレス値Dを有するブロックを第4ブロック(最下位ブロック)と表現する。 As will be described later with reference to FIG. 2 and the like, in this embodiment, an axis for displaying the address value is displayed for each block constituting the IP address, and points on the axis corresponding to the address value of each block are displayed. A technique is used to visualize IP addresses by connecting lines with lines. Also, for the port number, the axis for displaying the port number is displayed, and the point on the axis corresponding to the port number and the point on the display axis of the IP address are connected by a line to visualize the port number. The method is used. The IP address will be described using an IPv4 address in the present embodiment, but the same applies to an IPv6 address. In the following, when the IPv4 address is ABCD, the block having the address value A is the first block (the most significant block), the block having the address value B is the second block, the block having the address value C is the third block, A block having the address value D is expressed as a fourth block (least significant block).
図1は、本実施形態によるIPアドレス視覚化装置の構成を示している。図1に示すIPアドレス視覚化装置は、通信情報管理部1、異常検知部2、および表示処理部3を備えている。通信情報管理部1は、ネットワーク上で実行される通信を監視して取得した通信情報(IPアドレスやPort番号等)を管理する。異常検知部2は、通信情報管理部1によって管理される通信情報に基づいて、異常な通信を検知する。表示処理部3は、異常検知部2によって検知された異常な通信に係るIPアドレスやPort番号を抽出し、それらを表示(視覚化)する処理を実行する。
FIG. 1 shows the configuration of an IP address visualization device according to the present embodiment. The IP address visualization apparatus shown in FIG. 1 includes a communication
通信情報管理部1において、通信監視部10は、ネットワーク上を伝送するパケットを取得し、そのパケットから通信情報を抽出する。通信情報記憶部11は、通信監視部10によって抽出された通信情報を記憶する。通信情報は、通信の実行に係る送信側と受信側の関係を把握するのに必要な情報である。また、通信情報は、ネットワーク上で実行された通信の特徴を示す情報でもあり、この通信情報に基づいて異常な通信を検知することが可能である。本実施形態の通信情報は、時刻(Start Time,End Time)、通信プロトコル(ICMP,TCP,UDP)、IPアドレス(Source IP,Destination IP)、Port番号(送信側・受信側のTCP Port,UDP Port)、およびIPアドレス視覚化装置内で通信毎に付与される通信ID(通信セッション毎に異なる)で構成されている。
In the communication
異常検知部2において、解析対象情報取得部20は、異常な通信を検知するための解析処理の対象となる情報を取得するため、通信情報記憶部11から通信情報を読み出し、特定のパラメータを抽出する。通信解析部21は、解析対象情報取得部20によって通信情報記憶部11から読み出された通信情報のパラメータに基づいて、異常な通信を検知する処理を実行する。上記の手法に基づいた処理により異常な通信を検知した場合、通信解析部21は異常な通信に係る通信IDを表示処理部3の通信情報抽出部30に通知する。
In the
通信の異常検知の手法として、例えば特開2004−318552号公報、特開2005−128947号公報、および特開2005−151289号公報に記載されている手法を本実施形態に適用することが可能である。 As a communication abnormality detection method, for example, the methods described in JP-A-2004-318552, JP-A-2005-128947, and JP-A-2005-151289 can be applied to this embodiment. is there.
特開2004−318552号公報には、IDSから出力されるログに含まれるAttack Signature、Source/Destination IP、Destination Port等のパラメータについて、単位時間当たりの頻度が急増する程度を、過去の統計分布を用いて評価する手法が記載されている。この手法により、攻撃頻度の変化量に着目して、ログに含まれる多数のイベントの中から、注目すべき異常なイベントを抽出することが可能となる。 Japanese Patent Laid-Open No. 2004-318552 discloses past statistical distributions to the extent that the frequency per unit time increases rapidly for parameters such as Attack Signature, Source / Destination IP, and Destination Port included in the log output from IDS. The method used and evaluated is described. With this method, it is possible to extract an abnormal event to be noticed from among a large number of events included in the log by paying attention to the change amount of the attack frequency.
特開2005−128947号公報には、Source/Destination IPやDestination Portの広がりの程度(分散度)を情報エントロピーとして算出し、上記の特開2004−318552号公報に記載の手法により異常を検知する手法が記載されている。この手法により、ウィルス感染の拡大や、DDos(Distributed Denial of Service)攻撃による通信の集中の程度を簡易に算出することが可能となる。 In Japanese Patent Laid-Open No. 2005-128947, the degree of spread (dispersity) of Source / Destination IP and Destination Port is calculated as information entropy, and an abnormality is detected by the method described in Japanese Patent Laid-Open No. 2004-318552. The method is described. With this method, it is possible to easily calculate the degree of concentration of communication due to the spread of virus infections and DDos (Distributed Denial of Service) attacks.
特開2005−151289号公報には、Attack Signature、Source/Destination IP、Destination Port等のパラメータの検知頻度の周期性に注目して異常を検知する手法が記載されている。この手法により、上記の特開2004−318552号公報に記載の手法で検知できないような、ゆっくり増加する攻撃や、頻度が小さく隠れがちな攻撃を検知することが可能となる。 Japanese Patent Laid-Open No. 2005-151289 describes a method for detecting an abnormality by paying attention to the periodicity of the detection frequency of parameters such as Attack Signature, Source / Destination IP, and Destination Port. By this method, it is possible to detect a slowly increasing attack and an attack that tends to be hidden with low frequency, which cannot be detected by the method described in the above-mentioned JP-A-2004-318552.
表示処理部3において、通信情報抽出部30は、通信解析部21および入力部32から通知される所定の条件を満たす通信情報を通信情報管理部1の通信情報記憶部11から読み出すことによって、IPアドレスやPort番号の表示に必要な通信情報を抽出する。表示処理制御部31は、IPアドレスやPort番号の表示に係る処理を制御する。入力部32は、ユーザによって操作されるマウスやキーボード等を備えており、ユーザによる情報の入力結果を示す信号を通信情報抽出部30および表示処理制御部31へ出力する。ユーザは、入力部32に情報を入力することにより、IPアドレスやPort番号の表示条件(Port番号の表示の有無や単一通信・複数通信の指定条件、通信時刻の指定条件等)を指定することが可能である。
In the
本実施形態の通信情報抽出部30は、異常な通信に係る通信情報を抽出することも可能であるし、異常の有無に関わらずユーザが指定した条件を満たす通信情報を抽出することも可能である。異常な通信に係る通信情報を抽出する設定がなされている場合、通信情報抽出部30は、異常検知部2の通信解析部21から通知された通信IDが付与されている通信情報を通信情報記憶部11から読み出す。また、異常の有無に関わらずユーザが指定した条件を満たす場合、通信情報抽出部30は、入力部32に入力された情報に基づいて、通信情報を通信情報記憶部11から読み出す。例えば、ユーザが時刻の範囲(Start Time,End Time)を指定した場合、通信情報抽出部30は、その範囲内の時刻に行われた通信に係る通信情報を通信情報記憶部11から読み出す。
The communication
軸表示処理部33は、IPアドレスを構成するブロック毎のアドレス値を表示するアドレス値用の軸、およびPort番号を表示するPort番号用の軸を表示するための処理を実行する。線表示処理部34は、アドレス値用の軸およびPort番号用の軸を結ぶ線を表示するための処理を実行する。文字表示処理部35は、IPアドレスやPort番号の値等を示す文字(数字を含む)を表示するための処理を実行する。
The axis
表示画像生成部36は、軸表示処理部33からアドレス表示用の軸およびPort番号表示用の軸の表示位置等を示す情報を受け取り、線表示処理部34から線の表示位置等を示す情報を受け取り、文字表示処理部35から文字の表示位置等を示す情報を受け取り、各情報に基づいて表示画像を生成し、画像表示部37へ出力する。画像表示部37は表示画像を表示する。これによって、画像表示部37の画面に、IPアドレスやPort番号を視覚化したグラフが表示される。
The display
次に、本実施形態におけるIPアドレスの視覚化手法を説明する。図2は、IPアドレスを表示する基本的なグラフを示している。このグラフは、単一の通信(1対1通信)に係るIPアドレスを視覚化したものである。グラフの左側がSource IPを示しており、右側がDestination IPを示している。軸4a,4b,4c,4dは、Source IPを構成する各ブロックに対応しており、軸4e,4f,4g,4hは、Destination IPを構成する各ブロックに対応している。各軸の上端は、8bitで表されるアドレス値の000に対応し、各軸の下端はアドレス値の255に対応している。各軸の上には各ブロックのアドレス値が表示されている。
Next, the IP address visualization method in this embodiment will be described. FIG. 2 shows a basic graph displaying IP addresses. This graph visualizes an IP address related to a single communication (one-to-one communication). The left side of the graph shows Source IP, and the right side shows Destination IP. The
軸4a,4bは線5aで結ばれ、軸4b,4cは線5bで結ばれ、軸4c,4dは線5cで結ばれ、軸4d,4eは線5dで結ばれ、軸4e,4fは線5eで結ばれ、軸4f,4gは線5fで結ばれ、軸4g,4hは線5gで結ばれている。各線は、各ブロックのアドレス値に対応した位置にある各軸上の点を結んでいる。例えば、線5aは、Source IPの第1ブロックのアドレス値に対応した軸4a上の点200と、第2ブロックのアドレス値に対応した軸4b上の点201とを結んでいる。
The
線5dは、Source IPの第4ブロックのアドレス値に対応した軸4d上の点202と、Destination IPの第1ブロックのアドレス値に対応した軸4e上の点203とを結んでおり、点202から点203への方向を向いた矢印が付いている。この方向は通信方向を示しており、線5dによって通信方向が視覚的に分かりやすくなる。通信方向を視覚的により分かりやすくする他の方法として、線が左から右へゆっくりと描かれるようにしてもよい。
A
図3は、Port番号を文字で付加表示するグラフを示している。図3では、送信側のTCP Portの番号が軸4aの近傍に文字で表示され、受信側のTCP Portの番号が軸4hの近傍に文字で表示されている。また、軸4aの上端付近および下端付近には、ブロックのアドレス値の目盛となる文字(000,255)が表示されている。
FIG. 3 shows a graph for additionally displaying the port number in characters. In FIG. 3, the TCP port number on the transmitting side is displayed in characters near the
以下、図4を参照しながら、図2および図3に示したグラフを表示する手順を説明する。表示処理制御部31は、通信情報抽出部30によって抽出された通信情報を通信情報抽出部30から受け取る。単一の通信に係るIPアドレスを視覚化する場合、表示処理制御部31は、単一の通信情報に含まれるSource IP、Destination IP、および必要であればPort番号を軸表示処理部33、線表示処理部34、文字表示処理部35に通知する(ステップS100)。
The procedure for displaying the graphs shown in FIGS. 2 and 3 will be described below with reference to FIG. The display
軸表示処理部33は各軸の表示位置を計算し、その情報を表示画像生成部36へ出力する。線表示処理部34は各線の表示位置を計算し、その情報を表示画像生成部36へ出力する。文字表示処理部35は各文字の表示位置を計算し、その情報を文字情報と共に表示画像生成部36へ出力する(以上、ステップS110)。表示画像生成部36は、各表示処理部から出力された情報に基づいて表示画像を生成し、画像表示部37へ出力する(ステップS120)。画像表示部37は表示画像を生成する(ステップS130)。
The axis
次に、複数の通信に係るIPアドレスを視覚化する手法を説明する。図5は、2種類の通信に係るIPアドレスを表示するグラフを示している。Source IPが192.168.0.20でありDestination IPが192.26.48.201である通信(以下、通信Aとする)と、Source IPが31.41.128.110でありDestination IPが211.225.190.22である通信(以下、通信Bとする)とに係るIPアドレスが表示されている。また、各軸のアドレス値を明示するため、アドレス値が各軸の右側に文字で表示されている。 Next, a method for visualizing IP addresses related to a plurality of communications will be described. FIG. 5 shows a graph displaying IP addresses related to two types of communication. Communication with Source IP 192.168.0.20 and Destination IP 192.26.48.201 (hereinafter referred to as Communication A) and Communication with Source IP 31.41.128.110 and Destination IP 211.225.190.22 (hereinafter referred to as Communication B) )) Is displayed. Further, in order to clearly indicate the address value of each axis, the address value is displayed in characters on the right side of each axis.
図6は、通信頻度を視覚化したグラフを示している。通信Bを示す線が図5よりも太くなっている。線表示処理部34は、通信頻度に応じて線の太さを制御する。図5のように通信を視覚化することによって、IPアドレスの偏り(分散)の程度が把握しやすくなる。通信頻度は表示処理制御部31から線表示処理部34に通知される。表示処理制御部31は以下のようにして通信頻度の情報を取得する。
FIG. 6 shows a graph visualizing the communication frequency. The line indicating communication B is thicker than that in FIG. The line
図7は、表示処理制御部31が、通信に係る情報の管理に用いるテーブルを示している。テーブル700は、通信A(Source IP:192.168.0.20、Destination IP:192.26.48.201)に係る情報を管理するためのテーブルであり、テーブル710は、通信B(Source IP:31.41.128.110、Destination IP:211.225.190.22)に係る情報を管理するためのテーブルである。以下、テーブル700を例としてテーブルの構造を説明する。
FIG. 7 shows a table used by the display
テーブル700は、隣接するブロックのアドレス値の対応関係と頻度を示す部分テーブル701〜706、Source IP707、およびDestination IP708で構成される。部分テーブル701は、Source IPの第1ブロックおよび第2ブロックのアドレス値と頻度を関連付けたものである。部分テーブル702は、Source IPの第2ブロックおよび第3ブロックのアドレス値と頻度を関連付けたものである。部分テーブル703は、Source IPの第3ブロックおよび第4ブロックのアドレス値と頻度を関連付けたものである。部分テーブル704,705,706は、Destination IPについての同様の部分テーブルである。また、図示していないがPort番号についても、適宜、テーブル700に情報が付加される。
The table 700 is composed of partial tables 701 to 706, a
以下、図8を参照しながら、表示処理制御部31の動作を説明する。図8に示した処理の開始前は上記のテーブルがまだ作成されていないものとする。表示処理制御部31は、通信情報抽出部30によって抽出された通信情報の中から、1つの通信IDについての通信情報を参照する(ステップS200)。続いて、表示処理制御部31は、上記のテーブルに係る処理(テーブルの作成または更新処理)を実行する(ステップS210)。
Hereinafter, the operation of the display
ステップS210において、表示処理制御部31は、通信情報に含まれるSource IPおよびDestination IPを参照し、それらのIPアドレスと一致するIPアドレスが格納されたテーブルを既に作成したか否かを判定する。図8に示した処理を開始してから初めてステップS210を実行した場合、あるいは通信情報に含まれるIPアドレスと一致するIPアドレスを有するテーブルをまだ作成していない場合、表示処理制御部31は新規にテーブルを作成して、Source IP、Destination IP、および各ブロックのアドレス値をそれぞれテーブルに格納し、頻度を1とする。また、通信情報に含まれるIPアドレスと一致するIPアドレスを有するテーブルを既に作成している場合には、表示処理制御部31は頻度に1を加算することによってテーブルを更新する。
In step S210, the display
ステップS210に続いて、表示処理制御部31は、通信情報抽出部30によって抽出された全ての通信情報を処理したか否かを判定する(ステップS220)。処理していない通信情報が存在する場合には、処理がステップS200に戻り、まだ処理していない通信情報の処理が実行される。また、全ての通信情報を処理した場合には、表示処理制御部31は、Source IP、Destination IP、必要なPort番号、および通信頻度を軸表示処理部33、線表示処理部34、文字表示処理部35に通知する(ステップS230)。
Subsequent to step S210, the display
図6では、具体的な通信頻度の値は表示されていないが、通信頻度の値が表示されるようにしてもよい。例えば、各軸を結ぶ線の近傍に通信頻度の値を文字で常に表示してもよいし、入力部32が備えるマウス等の操作によりユーザが画面上のカーソルを移動させ、カーソルが線の上に重なったときに通信頻度の値を文字で表示してもよい。また、上記では、線表示処理部34が通信頻度に応じて線の太さを制御しているが、通信頻度に応じて線の色を制御してもよい。
In FIG. 6, a specific communication frequency value is not displayed, but a communication frequency value may be displayed. For example, the value of the communication frequency may always be displayed in the vicinity of a line connecting the axes, or the user moves the cursor on the screen by operating the mouse provided in the
次に、1つのSource IPと複数のDestination IPの間で実行される通信(1対多通信)、複数のSource IPと1つのDestination IPの間で実行される通信(多対1通信)、および複数のSource IPと複数のDestination IPの間で実行される通信(多対多通信)に係るIPアドレスを視覚化する手法を説明する。 Next, communication performed between one source IP and multiple destination IPs (one-to-many communication), communication performed between multiple source IPs and one destination IP (many-to-one communication), and A method for visualizing IP addresses related to communication (many-to-many communication) executed between a plurality of source IPs and a plurality of destination IPs will be described.
図9は、1対多通信に係るIPアドレスを表示するグラフを示している。図9で視覚化された複数の通信のSource IPは同一であるが、Destination IPが異なっている。より詳細には、Destination IPの第1ブロック〜第3ブロックのアドレス値は同一であるが、第4ブロックのアドレス値のみが異なっている。このため、軸4g,4hは複数の線で結ばれている。また、軸4g,4hを結ぶ線は、軸4a〜4gを結ぶ線よりも細くなっている。多対1通信の場合も、Source IPとDestination IPの集中性および拡散性が逆になるだけで、同様のグラフを表示することが可能である。
FIG. 9 shows a graph displaying IP addresses related to one-to-many communication. The source IPs of the plurality of communications visualized in FIG. 9 are the same, but the destination IPs are different. More specifically, the address values of the first to third blocks of Destination IP are the same, but only the address values of the fourth block are different. For this reason, the
図10は、多対多通信に係るIPアドレスを表示するグラフを示している。図10で視覚化された複数の通信では、Source IPおよびDestination IPは共に1種類ではなく、複数種類となっている。ただし、各IPアドレスの少なくとも第1ブロックのアドレス値は同一である。Source IPおよびDestination IPの第4ブロックのアドレス値が複数であるため、軸4d,4hは複数の線と交差している。フィルタリングルールとなるIPアドレスの範囲を明確にするため、アドレス値が拡散している第4ブロックの軸4d,4hの右側には、全てのアドレス値ではなく、拡散範囲の両端のアドレス値だけが表示されている。
FIG. 10 shows a graph displaying IP addresses related to many-to-many communication. In the plurality of communications visualized in FIG. 10, the source IP and the destination IP are not one type but a plurality of types. However, the address value of at least the first block of each IP address is the same. Since there are a plurality of address values in the fourth block of Source IP and Destination IP, axes 4d and 4h intersect with a plurality of lines. In order to clarify the IP address range as a filtering rule, on the right side of the
図11も、多対多通信に係るIPアドレスを表示するグラフを示している。図11で視覚化された通信では、Source IPおよびDestination IPのいずれについても、第4ブロックのアドレス値が拡散しているが、アドレス値毎の通信頻度に偏りがある。すなわち、Source IPの第4ブロックのアドレス値が64でありDestination IPの第4ブロックのアドレス値が156である通信は他の通信よりも頻度が高い。図9〜図11のように通信を視覚化することによって、通信の集中性と拡散性が把握しやすくなる。 FIG. 11 also shows a graph that displays IP addresses related to many-to-many communication. In the communication visualized in FIG. 11, the address value of the fourth block is spread for both the Source IP and Destination IP, but the communication frequency for each address value is biased. That is, the communication in which the address value of the fourth block of Source IP is 64 and the address value of the fourth block of Destination IP is 156 is more frequent than other communications. By visualizing communication as shown in FIGS. 9 to 11, it becomes easy to grasp the concentration and diffusion of communication.
以下、図9〜図11に示したような通信の視覚化を行う場合に、表示処理制御部31が通信に係る情報の管理に用いるテーブルを説明する。以下では、図11に示した通信を視覚化する場合を例として、図12を参照して説明する。図12に示したテーブル1200では、第3ブロックおよび第4ブロックのアドレス値と頻度の関係を示す部分テーブルが複数個ある。Source IPおよびDestination IPが複数個あるため、テーブル1200のSource IP1210およびDestination IP1220には複数のIPアドレスが格納される。
Hereinafter, a table used by the display
以下、1つの通信情報(Source IP:192.168.0.64、Destination IP:192.26.48.156)を処理対象とした例を用いて、表示処理制御部31の処理内容を説明する。図8のステップS210において表示処理制御部31は、Source IPの第1ブロックのアドレス値とテーブル1200のSource IP1210の第1ブロックのアドレス値(あるいは部分テーブル1230の第1ブロックのアドレス値)を比較すると共に、通信情報に含まれるDestination IPの第1ブロックのアドレス値とテーブル1200のDestination IP1220の第1ブロックのアドレス値(あるいは部分テーブル1260の第1ブロックのアドレス値)を比較する。
Hereinafter, processing contents of the display
共にアドレス値が一致するので、表示処理制御部31は、処理対象の通信情報に対応したテーブルがテーブル1200であると認識する。もし、いずれかのアドレス値が一致しなかった場合には、他のテーブルについて同様の処理を行うことになる。また、全てのテーブルについて同様の処理を行っても、アドレス値が一致するテーブルが存在しなかった場合には、新たなテーブルの作成が必要となる。
Since both address values match, the display
続いて、表示処理制御部31はSource IPの第1ブロックおよび第2ブロックのアドレス値の組合せと、部分テーブル1230の第1ブロックおよび第2ブロックのアドレス値の組合せとを比較する。両者が一致するので、表示処理制御部31は部分テーブル1230の頻度に1を加算する。もし、両者が一致しなかった場合には、新たな部分テーブルの追加が必要となる。
Subsequently, the display
続いて、表示処理制御部31は同様にSource IPの第2ブロックおよび第3ブロックのアドレス値の組合せと、部分テーブル1240の第2ブロックおよび第3ブロックのアドレス値の組合せとを比較する。両者が一致するので、表示処理制御部31は部分テーブル1240の頻度に1を加算する。
Subsequently, the display
続いて、表示処理制御部31はSource IPの第3ブロックおよび第4ブロックのアドレス値の組合せと、第3ブロックおよび第4ブロックに関する部分テーブル1250の第3ブロックおよび第4ブロックのアドレス値の組合せとを比較する。第3ブロックおよび第4ブロックに関する部分テーブル1250が複数個あるため、表示処理制御部31は各部分テーブルについて比較処理を実行する。その結果、表示処理制御部31は部分テーブル1251の頻度に1を加算する。これ以降、同様にして部分テーブル1260,1270,1281の頻度に1が加算される。
Subsequently, the display
図11では、軸4d,4hに関して、通信頻度が高いアドレス値(64,156)を省略せずに表示するようにしている。アドレス値を省略せずに表示するか否かを決定するには、同一のブロックのアドレス値の頻度分布(図12に示したテーブル1200から作成することが可能)に基づいた処理を行えばよい。例えば、頻度分布の上位N個のアドレス値を省略せずに表示するようにすればよい。あるいは、頻度の理論的な統計分布を作成し、95%信頼区間から外れる高い頻度を有するアドレス値を省略せずに表示するようにすればよい。
In FIG. 11, the address values (64, 156) with high communication frequency are displayed without being omitted for the
次に、IPアドレスと共にPort番号を視覚化する手法を説明する。図13は、IPアドレスおよびPort番号を表示するグラフを示している。軸4iは、送信側のPort番号に対応しており、軸4jは、受信側のPort番号に対応している。また、送信側のPort番号に対応した軸4i上の点1300と、Source IPの第1ブロックのアドレス値に対応した軸4a上の点1301とが線5hで結ばれている。同様に、軸4j上の点1302と軸4h上の点1303とが線5iで結ばれている。IPアドレスとPort番号を区別しやすくするため、軸4a〜4hと軸4i,4jとを色で識別するようにしてもよい。
Next, a method for visualizing the port number along with the IP address will be described. FIG. 13 shows a graph displaying the IP address and the Port number. The
次に、一部のブロックに対応した軸の表示を省略する手法を説明する。図14に示すグラフでは、Source IPに関しては軸4aのみが表示され、Destination IPに関しては軸4e,4hのみが表示されている。Source IPに関して軸4aのみが表示されているのは、全ての通信に係るSource IPが同一であったためである。また、Destination IPに関して軸4e,4hのみが表示されているのは、Destination IPの第1ブロックから第3ブロックまでのアドレス値が全ての通信で同一であり、第4ブロックのアドレス値のみが異なっていたためである。
Next, a method for omitting display of axes corresponding to some blocks will be described. In the graph shown in FIG. 14, only the
軸4aの上には、省略された軸に対応した第2ブロックから第4ブロックまでのアドレス値を含むSource IPの全体が文字で表示される。また、軸4eの上には、省略された軸に対応した第2ブロックと第3ブロックのアドレス値を含む第1ブロックから第3ブロックまでのアドレス値が文字で表示される。図14に示したように軸の表示を省略することによって、グラフが見やすくなり、通信の集中性および拡散性がより把握しやすくなる。また、軸表示の省略を行った場合、グラフの見やすさを考慮して、軸表示が省略されたブロックの上位ブロックに対応した軸の中央位置の点(点1400,1401)を通るように線が描画される。
On the
図15に示すグラフは、IPアドレスのブロックのアドレス値やPort番号が拡散している場合に、その表示を省略した例を示している。例えば、送信側のPort番号を表示する軸4iと軸4aを結ぶ線が省略され、軸4iの上に「xxx」と表示されている。「xxx」は、値の表示を省略していることを意味している。また、アドレス値が拡散しているSource IPの第4ブロックとDestination IPの第4ブロックに対応した軸が省略され、軸4c,4g上に「xxx」と表示されている。
The graph shown in FIG. 15 shows an example in which the display is omitted when the address value and the port number of the block of the IP address are spread. For example, the line connecting the
Port番号に関しては、表示が省略された場合でも、軸が残るようにしている。IPアドレスに関しては、表示が省略されるブロックに対応した軸が、その上位ブロックに対応した軸に統合される。図15に示したように、拡散しているアドレス値やPort番号に係る軸の表示を省略することによって、グラフが見やすくなり、通信の集中性がより把握しやすくなる。 As for the port number, even if the display is omitted, the axis remains. Regarding the IP address, the axis corresponding to the block whose display is omitted is integrated with the axis corresponding to the upper block. As shown in FIG. 15, by omitting the display of the axes related to the spread address values and port numbers, the graph becomes easier to see and the concentration of communication becomes easier to grasp.
図14と図15のどちらの表示形式でグラフを表示するのかは、ユーザが適宜選択してもよいし、アドレス値やPort番号の分散の程度から決定してもよい。アドレス値やPort番号の分散の程度から決定する場合、情報の分散(ばらつき)の程度を示す情報エントロピー値をアドレス値やPort番号について算出し、分散の程度が低い場合には表示を省略せず、分散の程度が高い場合には表示を省略するようにすればよい。 Whether to display the graph in the display format of FIG. 14 or FIG. 15 may be selected by the user as appropriate, or may be determined from the degree of dispersion of the address values and port numbers. When determining from the degree of dispersion of address values and port numbers, the information entropy value indicating the degree of information dispersion (variation) is calculated for the address values and port numbers. If the degree of dispersion is low, the display is not omitted. The display may be omitted when the degree of dispersion is high.
図14、図15のいずれにおいても、少なくとも第1ブロックのアドレス値が同一である複数のIPアドレスを表示する場合に、第1ブロック〜第3ブロックのいずれかのブロックのアドレス値がどのIPアドレスについても同一のときには、そのブロックの下位のブロックに対応した軸の表示を省略していることになる。このような表示を行うため、表示処理制御部31は軸の表示を省略するか否かを判定する処理を実行する。
14 and 15, when displaying a plurality of IP addresses having at least the same address value of the first block, which IP address is the address value of any of the first to third blocks. In the case of the same, the display of the axis corresponding to the lower block of the block is omitted. In order to perform such display, the display
図14に示したような通信の視覚化を行う場合、表示処理制御部31は、軸の表示を省略するか否かの判定処理を以下のようにして実行する。図16は、図14に示した通信に係る情報を管理するためのテーブルを示している。図16に示すテーブル1600の形式は、図7に示したテーブル700や、図12に示したテーブル1200とほぼ同様であるが、Source Port1610(送信側)およびDestination Port1620(受信側)がテーブルに追加されている。
When visualizing communication as illustrated in FIG. 14, the display
表示処理制御部31は、隣接するブロックのアドレス値の対応関係を示す部分テーブルの数に基づいて、軸の表示を省略するか否かを判定する。図16のテーブル1600では、Source IPに関して、第nブロックと第(n−1)ブロック(n=2,3,4)の関係を示す部分テーブル1630,1640が1個ずつであるため、表示処理制御部31は、ブロックのアドレス値が拡散しておらず、軸の表示が省略可能であると判定する。
The display
また、Destination IPに関して、第2ブロックと第3ブロックの対応関係を示す部分テーブル1650が1個であるため、表示処理制御部31は、ブロックのアドレス値が拡散しておらず、軸の表示が省略可能であると判定する。さらに、第3ブロックと第4ブロックの対応関係を示す部分テーブル1660が複数個であるため、表示処理制御部31は、第4ブロックのアドレス値が拡散しており、第4ブロックに対応した軸の表示を省略しないと判定する。
Further, since there is only one partial table 1650 indicating the correspondence between the second block and the third block with respect to the Destination IP, the display
図15に示したような通信の視覚化を行う場合も、表示処理制御部31は、隣接するブロックのアドレス値の対応関係を示す部分テーブルの数に基づいて、軸の表示を省略するか否かを判定する。ただし、部分テーブルが複数個であり、ブロックのアドレス値が拡散している場合には、そのブロックに対応した軸の表示を省略すると判定し、部分テーブルが1個であり、ブロックのアドレス値が拡散していない場合には、そのブロックに対応した軸の表示を省略しないと判定することになる。
Also in the case of visualizing communication as shown in FIG. 15, the display
次に、所望の検索条件に合致したIPアドレスやPort番号を検索して視覚化する手法を説明する。図17に示すグラフでは、ユーザが検索条件を指定するためのプルダウンメニュー(以下、メニューと記す)が表示されている。メニュー1700は、通信プロトコルを選択するためのものである。メニュー1710は、Port番号(Source Port)を選択するためのものであり、ユーザがメニュー1710の中から所望のPort番号を選択すると、そのPort番号に関するグラフが表示される。
Next, a method for searching and visualizing an IP address or a port number that matches a desired search condition will be described. In the graph shown in FIG. 17, a pull-down menu (hereinafter referred to as a menu) for the user to specify a search condition is displayed. A
メニュー1720は、IPアドレスのブロックのアドレス値を選択するためのものであり、ユーザがメニュー1720の中から所望のアドレス値を選択すると、そのアドレス値に関するグラフが表示される。複数のメニューで検索条件が指定された場合、各メニューで指定された検索条件をAND条件としてIPアドレスやPort番号が検索される。DDos攻撃やウィルスへの感染等に関係するIPアドレスやPort番号を特定できた場合等に、ユーザが上記のような検索条件を指定することによって、それに係る通信のみを抽出して視覚化することができる。 The menu 1720 is for selecting an address value of a block of IP addresses. When the user selects a desired address value from the menu 1720, a graph regarding the address value is displayed. When search conditions are specified in a plurality of menus, IP addresses and port numbers are searched using the search conditions specified in each menu as AND conditions. When the IP address or port number related to DDos attacks or virus infections can be identified, etc., the user can specify the search conditions as described above to extract and visualize only the relevant communication. Can do.
アドレス値やPort番号の検索条件を示す情報をユーザが入力部32に入力すると(例えば入力部32が備えるマウス等によりユーザが上記のメニューを操作すると)、表示処理制御部31は、入力部32に入力された情報に基づいて、ユーザが指定した検索条件を満たすIPアドレスやPort番号について処理を実行する。
When the user inputs information indicating a search condition for an address value or a port number to the input unit 32 (for example, when the user operates the above menu with a mouse or the like provided in the input unit 32), the display
図18に示すグラフは、各軸で表現されるブロックのアドレス値やPort番号の頻度に関して上位N件の情報を表示するものである。メニュー1800で「5」という数字が選択されているが、これは、軸4aに対応した第1ブロックのアドレス値について頻度が高い上位5件のみを表示することを示している。同様にメニュー1810,1820,1830でも頻度の検索条件が選択されており、これらの検索条件をAND条件として、IPアドレスやPort番号が検索される。これによって、頻度の高い通信のみが視覚化されるので、頻度の高い通信の状況を把握することができる。
The graph shown in FIG. 18 displays information on the top N items regarding the address value of the block represented by each axis and the frequency of the port number. The number “5” is selected in the
図19に示すグラフは、各軸で表現されるブロックのアドレス値やPort番号の頻度に関して、頻度の含有率が高いものの情報を表示するものである。メニュー1900で「10%」という数字が選択されているが、これは、軸4aに対応した第1ブロックのアドレス値について、各アドレス値の頻度の合計値の10%以上となる頻度を有するアドレス値のみを表示することを示している。同様にメニュー1910,1920,1930でも頻度に関する検索条件が選択されており、これらの検索条件をAND条件として、IPアドレスやPort番号が検索される。これによって、頻度の高い通信のみが視覚化されるので、頻度の高い通信の状況を把握することができる。
The graph shown in FIG. 19 displays information on a high frequency content rate regarding the address value of the block and the frequency of the port number represented by each axis. The number “10%” is selected in the
次に、双方向の通信に係るIPアドレスを視覚化する手法を説明する。図2等に示したグラフでは、左(Source IP)から右(Destination IP)へ向かう通信が視覚化されている。この通信方向は、TCPプロトコルの場合、例えば通信の開始を意味するSYNパケットが流れた方向を意味する。UDPプロトコルやTCPプロトコルのFTPサービス等では、通信方向が頻繁に入れ替わる通信がある。通信方向が入れ替わった場合でも、双方向の通信を統合的に一組の線で表示することで、通信の接続状況を簡易に表現できるようになる。 Next, a method for visualizing an IP address related to bidirectional communication will be described. In the graph shown in FIG. 2 and the like, communication from the left (Source IP) to the right (Destination IP) is visualized. In the case of the TCP protocol, this communication direction means, for example, the direction in which a SYN packet indicating the start of communication flows. In the FTP service of the UDP protocol or the TCP protocol, there is communication in which the communication direction is frequently switched. Even when the communication direction is switched, it is possible to easily express the connection state of communication by displaying bidirectional communication integrally with a set of lines.
以下、DDos攻撃を例として、双方向の通信に係るIPアドレスを視覚化する手法を説明する。図20は、DDos攻撃に係る通信の様子を示している。まず、侵入者2000の端末から注目端末2010へ侵入のための通信が行われ、侵入された注目端末2010が踏み台となって、攻撃の指示を受け取るため、攻撃指令者2020の端末へアクセスする。続いて、攻撃指令者2020の端末から受信した攻撃指示に基づいて、注目端末2010が複数の端末2030へDDos攻撃を仕掛ける。
Hereinafter, a technique for visualizing an IP address related to bidirectional communication will be described using a DDos attack as an example. FIG. 20 shows a state of communication related to the DDos attack. First, communication for intrusion from the terminal of the
このDDos攻撃の通信に係るIPアドレスは以下のようにして視覚化される。DDos攻撃は以下の3つのステップからなる。
Step1. 侵入者が注目端末の脆弱性を突いて侵入に成功し、踏み台のためのウィルスコードを注目端末に埋め込む。
Step2. 複数の端末に感染コードを埋め込む攻撃の指令を受け取るために注目端末が攻撃指令者の端末に接続する。
Step3. 指令に従い、注目端末が他の端末に向けて攻撃を行う。
The IP address related to this DDos attack communication is visualized as follows. The DDos attack consists of the following three steps.
Step1. The intruder exploits the vulnerability of the device of interest and succeeds in the intrusion, and embeds the virus code for the platform on the device of interest.
Step2. In order to receive an attack command for embedding an infected code in a plurality of terminals, the target terminal connects to the terminal of the attack commander.
Step3. According to the command, the target terminal attacks the other terminal.
図21(a)はStep1の通信の様子を示しており、図21(b)は通信に係るIPアドレスを表示するグラフを示している。グラフの左側が侵入者の端末(IPアドレス:60.0.84.57)を示しており、グラフの右側が注目端末(IPアドレス:192.26.48.201)を示している。
FIG. 21A shows the state of communication in
図22(a)はStep2までの通信の様子を示しており、図22(b)は通信に係るIPアドレスを表示するグラフを示している。攻撃の指令を受け取るため、注目端末が攻撃指令者の端末(IPアドレス:80.151.182.10)に接続する様子が示されている。図2等では、グラフの左側が送信側、グラフの右側が受信側を示していたが、図22(b)では、送信と受信を行った注目端末のIPアドレスがグラフの右側に固定表示される。また、通信方向を示す矢印は、最初の通信の開始方向(TCPプロトコルの場合、SYNパケットの送信方向)を示しており、送信パケットに対する返信パケットは同一の線で視覚化されている。
FIG. 22A shows a state of communication up to
表示処理制御部31は、2種類の通信間で、一方の通信に係るSource IPと他方の通信に係るDestination IPとが同一であった場合には、同一であったIPアドレスをグラフの右側と左側の一方のみに固定して視覚化するように各表示処理部を制御する。例えば図22(b)に示したグラフを表示する場合、表示処理制御部31は、軸4e〜4h上に表示すべきIPアドレスとして注目端末のIPアドレスを固定し、線や文字の表示処理を制御する。
When the source IP related to one communication and the destination IP related to the other communication are the same between the two types of communication, the display
図23(a)はStep3までの通信の様子を示しており、図23(b)は通信に係るIPアドレスを表示するグラフを示している。注目端末が複数の端末へ攻撃を仕掛ける様子が示されている。図21(b)、図22(b)、図23(b)に示したグラフは順番に動画として表示される。これによって、攻撃の流れを把握することができるようになる。
FIG. 23A shows a state of communication up to
上記のような通信の視覚化を行う場合、表示処理制御部31は以下の処理を実行する。図24は、上記の通信に係る情報を管理するためのテーブルを示している。図24に示すテーブル2400,2410,2420では、前述したテーブルと比較して、時刻2401,2411,2421が追加されている。テーブルの作成方法は前述した通りであり、通信情報に含まれる時刻が各テーブルの時刻2401,2411,2421に格納される。テーブルに複数の通信情報が格納される場合には、複数の時刻がテーブルに格納される。
When visualizing communication as described above, the display
表示処理制御部31は一連の通信の流れを時刻2401,2411,2421によって識別する。また、時刻2401,2411,2421に基づいて、動画表示における通信の表示のタイミングが制御される。表示処理制御部31は、まずテーブル2400の情報を視覚化するため、軸表示処理部33、線表示処理部34、文字表示処理部35にテーブル2400の情報を通知する。各表示処理部は各情報の表示に必要な処理を実行し、処理結果を示す情報を表示画像生成部36へ出力する。表示画像生成部36は、各表示処理部から出力された情報に基づいて表示画像を生成し、画像表示部37へ出力する。画像表示部37は表示画像を生成する。これによって、図21(b)に示したグラフが表示される。
The display
続いて、表示処理制御部31は、テーブル2410の情報を視覚化するため、軸表示処理部33、線表示処理部34、文字表示処理部35にテーブル2410の情報を通知する。各表示処理部は、テーブル2400と共にテーブル2410に含まれる各情報の表示に必要な処理を実行し、処理結果を示す情報を表示画像生成部36へ出力する。表示画像生成部36は、各表示処理部から出力された情報に基づいて表示画像を生成し、画像表示部37へ出力する。画像表示部37は表示画像を生成する。これによって、図22(b)に示したグラフが表示される。
Subsequently, the display
続いて、表示処理制御部31は、テーブル2420の情報を視覚化するため、軸表示処理部33、線表示処理部34、文字表示処理部35にテーブル2420の情報を通知する。各表示処理部は、テーブル2400,2410と共にテーブル2420に含まれる各情報の表示に必要な処理を実行し、処理結果を示す情報を表示画像生成部36へ出力する。表示画像生成部36は、各表示処理部から出力された情報に基づいて表示画像を生成し、画像表示部37へ出力する。画像表示部37は表示画像を生成する。これによって、図23(b)に示したグラフが表示される。
Subsequently, the display
図21(b)、図22(b)、図23(b)において、新たに視覚化された通信に係る線は実像として表示し、それよりも前に行われた通信に係る線を残像として表示してもよい。例えば、実像として表示する線を明るく表示し、残像として表示する線を暗く表示するようにすればよい。また、動画表示の速度を変更することも可能であり、通常の表示速度(例えば30フレーム/秒)で表示したり、早送りまたは遅送りで表示したりすることが可能である。 In FIG. 21 (b), FIG. 22 (b), and FIG. 23 (b), the line related to the newly visualized communication is displayed as a real image, and the line related to communication performed before that is used as an afterimage. It may be displayed. For example, a line displayed as a real image may be displayed brightly and a line displayed as an afterimage may be displayed darkly. It is also possible to change the speed of the moving image display, and it is possible to display at a normal display speed (for example, 30 frames / second), or display with fast forward or slow forward.
上述したように、本実施形態によれば、ブロック毎にアドレス値を表示するための軸と、各軸上の点を結ぶ線とで送信側と受信側のそれぞれのIPアドレスを表示することによって、1つのグラフを見るだけで送信側と受信側のIPアドレスの関係を把握することが容易となる。さらに、通信方向を示す矢印が付いた線で送信側と受信側の軸を結ぶことによって、通信方向が分かりやすくなる。さらに、Port番号についても視覚化することによって、Port番号に関するPort番号に関する異常性の把握およびフィルタリングルールの作成が容易になる。 As described above, according to the present embodiment, by displaying the IP addresses of the transmitting side and the receiving side with the axis for displaying the address value for each block and the line connecting the points on each axis, It becomes easy to grasp the relationship between the IP address of the transmission side and the reception side only by looking at one graph. Furthermore, the communication direction can be easily understood by connecting the axes of the transmission side and the reception side with a line with an arrow indicating the communication direction. In addition, by visualizing the port number, it becomes easy to understand the abnormality related to the port number and create a filtering rule.
また、通信解析部21と通信情報抽出部30が連携して動作することによって抽出された異常な通信に係るIPアドレスを表示することによって、通信の異常性を把握することが容易となる。さらに、異常な通信の規則性が把握しやすくなるので、フィルタリングルールを作成することが容易となる。
Further, by displaying the IP address related to the abnormal communication extracted by the
また、通信頻度に応じて線の表示形態(太さや色)を制御することによって、通信の集中性と拡散性が分かりやすくなるので、通信の異常性を把握することおよびフィルタリングルールを作成することがより容易になる。さらに、図14や図15に示したように軸の表示を省略することによって、グラフが見やすくなるので、通信の異常性を把握することおよびフィルタリングルールを作成することがより容易になる。 Also, by controlling the display mode (thickness and color) of the line according to the communication frequency, it becomes easy to understand the concentration and diffusion of communication, so it is possible to grasp the abnormalities of communication and create filtering rules Becomes easier. Furthermore, omitting the display of the axes as shown in FIG. 14 and FIG. 15 makes it easier to see the graph, making it easier to grasp the abnormalities of communication and create filtering rules.
また、図17〜図19に示したように、検索条件を満たすIPアドレスおよびPort番号を表示することによって、注目したい通信や頻度の高い通信の挙動をより明確に把握することができるようになる。 In addition, as shown in FIGS. 17 to 19, by displaying the IP address and the port number satisfying the search condition, it becomes possible to more clearly grasp the behavior of the communication that is desired to be noticed or frequently communicated. .
また、図21〜図23に示したように、同じIPアドレスが送信側と受信側の両方に現れる複数の通信を視覚化する場合に、そのIPアドレスをグラフの右側または左側に固定して表示処理を実行することによって、通信方向が入れ替わる複数の通信の状況が把握しやすくなる。さらに、通信の時刻に基づいてIPアドレスおよびPort番号の表示タイミングを制御し、動画表示を行うことによって、攻撃に関する一連の通信の流れを把握することができるようになる。 As shown in FIGS. 21 to 23, when visualizing a plurality of communications in which the same IP address appears on both the transmission side and the reception side, the IP address is fixed and displayed on the right or left side of the graph. By executing the process, it becomes easier to grasp the status of a plurality of communications in which the communication directions are switched. Furthermore, by controlling the display timing of the IP address and the Port number based on the communication time and displaying the moving image, it becomes possible to grasp a series of communication flows related to the attack.
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態によるIPアドレス視覚化装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。 As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the above-described embodiments, and includes design changes and the like without departing from the gist of the present invention. . For example, a program for realizing the operation and function of the IP address visualization device according to the above-described embodiment is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read by the computer and executed. May be.
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。 Here, the “computer” includes a homepage providing environment (or display environment) if the WWW system is used. The “computer-readable recording medium” refers to a storage device such as a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a hard disk built in the computer. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 The program described above may be transmitted from a computer storing the program in a storage device or the like to another computer via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the above-described program may be for realizing a part of the above-described function. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer, what is called a difference file (difference program) may be sufficient.
1・・・通信情報管理部、2・・・異常検知部、3・・・表示処理部、10・・・通信監視部、11・・・通信情報記憶部、20・・・解析対象情報取得部、21・・・通信解析部、30・・・通信情報抽出部、31・・・表示処理制御部、32・・・入力部、33・・・軸表示処理部、34・・・線表示処理部、35・・・文字表示処理部、36・・・表示画像生成部、37・・・画像表示部
DESCRIPTION OF
Claims (13)
ネットワーク上で実行された通信に係る送受信の関係を示す第1のIPアドレスおよび第2のIPアドレスを通信毎に関連付けて記憶する記憶手段と、
前記第1のIPアドレスを構成するブロックのアドレス値を表示する第1の軸、および前記第2のIPアドレスを構成するブロックのアドレス値を表示する第2の軸を前記表示手段に表示させる処理を実行する軸表示処理手段と、
前記第1のIPアドレスを構成する各ブロックのアドレス値に対応した前記第1の軸上の点同士を結ぶ第1の線、および前記第2のIPアドレスを構成する各ブロックのアドレス値に対応した前記第2の軸上の点同士を結ぶ第2の線を前記表示手段に表示させる処理を実行する線表示処理手段と、
を備えたことを特徴とするIPアドレス視覚化装置。 Display means for displaying information;
Storage means for storing a first IP address and a second IP address indicating a transmission / reception relationship relating to communication executed on a network in association with each communication;
Processing for causing the display means to display a first axis for displaying an address value of a block constituting the first IP address and a second axis for displaying an address value of a block constituting the second IP address Axis display processing means for executing
Corresponding to the first line connecting the points on the first axis corresponding to the address value of each block constituting the first IP address, and the address value of each block constituting the second IP address Line display processing means for executing processing for displaying the second line connecting the points on the second axis on the display means;
An IP address visualization device characterized by comprising:
前記記憶手段が記憶している前記第1のIPアドレスおよび前記第2のIPアドレスのうち、前記異常検知手段によって検知された前記異常な通信に係るIPアドレスを抽出する抽出手段とをさらに備え、
前記軸表示処理手段および前記線表示処理手段は、前記抽出手段によって抽出された前記IPアドレスを処理に使用する
ことを特徴とする請求項1に記載のIPアドレス視覚化装置。 An abnormality detection means for detecting abnormal communication based on communication characteristic information indicating characteristics of communication executed on the network;
An extraction means for extracting an IP address related to the abnormal communication detected by the abnormality detection means out of the first IP address and the second IP address stored in the storage means;
The IP address visualization device according to claim 1, wherein the axis display processing unit and the line display processing unit use the IP address extracted by the extraction unit for processing.
前記軸表示処理手段および前記線表示処理手段は、前記抽出手段によって抽出された前記第1のIPアドレスおよび前記第2のIPアドレスの中から、前記検索条件を満たすIPアドレスを処理に使用する
ことを特徴とする請求項2〜請求項6のいずれかに記載のIPアドレス視覚化装置。 It further comprises an input means for the user to enter IP address search conditions,
The axis display processing means and the line display processing means use an IP address satisfying the search condition from the first IP address and the second IP address extracted by the extraction means for processing. The IP address visualization device according to any one of claims 2 to 6, wherein:
前記線表示処理手段はさらに、前記時刻情報に基づいて、前記表示手段が表示する前記第1の線および前記第2の線の表示タイミングを制御する
ことを特徴とする請求項2〜請求項8のいずれかに記載のIPアドレス視覚化装置。 The storage means further stores the first IP address and the second IP address in association with time information for each communication,
The line display processing means further controls display timing of the first line and the second line displayed by the display means based on the time information. The IP address visualization device according to any one of the above.
前記抽出手段はさらに、前記記憶手段が記憶している前記第1のPort番号および前記第2のPort番号のうち、前記異常検知手段によって検知された前記異常な通信に係るPort番号を抽出し、
前記軸表示処理手段はさらに、前記第1のPort番号を表示する第3の軸、および前記第2のPort番号を表示する第4の軸を前記表示手段に表示させる処理を実行し、
前記線表示処理手段はさらに、前記第1のIPアドレスを構成するいずれかのブロックのアドレス値に対応した前記第1の軸上の点と、前記第1のPort番号に対応した前記第3の軸上の点とを結ぶ第3の線、および前記第2のIPアドレスを構成するいずれかのブロックのアドレス値に対応した前記第2の軸上の点と、前記第2のPort番号に対応した前記第4の軸上の点とを結ぶ第4の線を前記表示手段に表示させる処理を実行する
ことを特徴とする請求項2〜請求項9のいずれかに記載のIPアドレス視覚化装置。 The storage means further stores a first port number and a second port number related to communication executed on the network in association with the first IP address and the second IP address for each communication,
The extraction means further extracts a port number related to the abnormal communication detected by the abnormality detection means from the first port number and the second port number stored in the storage means,
The axis display processing means further executes a process of causing the display means to display a third axis for displaying the first Port number and a fourth axis for displaying the second Port number,
The line display processing means further includes a point on the first axis corresponding to an address value of any block constituting the first IP address, and the third port corresponding to the first port number. Corresponding to the second port number and the third line connecting the point on the axis and the point on the second axis corresponding to the address value of any block constituting the second IP address The IP address visualization apparatus according to any one of claims 2 to 9, wherein a process of displaying a fourth line connecting the point on the fourth axis on the display unit is executed. .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007063528A JP4713524B2 (en) | 2007-03-13 | 2007-03-13 | IP address visualization device, program, and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007063528A JP4713524B2 (en) | 2007-03-13 | 2007-03-13 | IP address visualization device, program, and recording medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008227931A true JP2008227931A (en) | 2008-09-25 |
JP4713524B2 JP4713524B2 (en) | 2011-06-29 |
Family
ID=39846005
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007063528A Expired - Fee Related JP4713524B2 (en) | 2007-03-13 | 2007-03-13 | IP address visualization device, program, and recording medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4713524B2 (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009089224A (en) * | 2007-10-02 | 2009-04-23 | Kddi Corp | Abnormality detection apparatus, program, and recording medium |
JP2010092235A (en) * | 2008-10-07 | 2010-04-22 | Kddi Corp | Information processing apparatus, program, and recording medium |
EP2950228A1 (en) | 2014-05-28 | 2015-12-02 | Fujitsu Limited | Authentication information theft detection method, authentication information theft detection device, and program for the same |
JP2016066282A (en) * | 2014-09-25 | 2016-04-28 | 株式会社日立製作所 | Virus detection system and method |
JP2016154396A (en) * | 2016-06-03 | 2016-08-25 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Attack detection device, attack detection method, and attack detection program |
US9921715B2 (en) | 2015-02-26 | 2018-03-20 | Red Hat, Inc. | Visual representation of network-discovered components |
JP2018157373A (en) * | 2017-03-17 | 2018-10-04 | 日本電気通信システム株式会社 | Unauthorized communication monitoring device, unauthorized communication monitoring method, unauthorized communication monitoring program, and unauthorized communication monitoring system |
-
2007
- 2007-03-13 JP JP2007063528A patent/JP4713524B2/en not_active Expired - Fee Related
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009089224A (en) * | 2007-10-02 | 2009-04-23 | Kddi Corp | Abnormality detection apparatus, program, and recording medium |
JP2010092235A (en) * | 2008-10-07 | 2010-04-22 | Kddi Corp | Information processing apparatus, program, and recording medium |
EP2950228A1 (en) | 2014-05-28 | 2015-12-02 | Fujitsu Limited | Authentication information theft detection method, authentication information theft detection device, and program for the same |
JP2016066282A (en) * | 2014-09-25 | 2016-04-28 | 株式会社日立製作所 | Virus detection system and method |
US9921715B2 (en) | 2015-02-26 | 2018-03-20 | Red Hat, Inc. | Visual representation of network-discovered components |
US10761681B2 (en) | 2015-02-26 | 2020-09-01 | Red Hat, Inc. | Visual representation of network-discovered components |
JP2016154396A (en) * | 2016-06-03 | 2016-08-25 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Attack detection device, attack detection method, and attack detection program |
JP2018157373A (en) * | 2017-03-17 | 2018-10-04 | 日本電気通信システム株式会社 | Unauthorized communication monitoring device, unauthorized communication monitoring method, unauthorized communication monitoring program, and unauthorized communication monitoring system |
Also Published As
Publication number | Publication date |
---|---|
JP4713524B2 (en) | 2011-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4713524B2 (en) | IP address visualization device, program, and recording medium | |
US8331374B2 (en) | Packet processing in a multiple processor system | |
US20120137361A1 (en) | Network security control system and method, and security event processing apparatus and visualization processing apparatus for network security control | |
CN105099881B (en) | Information sharing method and device in instant messaging | |
Lee et al. | Visual firewall: real-time network security monitor | |
US10805340B1 (en) | Infection vector and malware tracking with an interactive user display | |
JP2019021294A (en) | SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS | |
US9866575B2 (en) | Management and distribution of virtual cyber sensors | |
CN111526121A (en) | Intrusion prevention method and device, electronic equipment and computer readable medium | |
Oline et al. | Exploring three-dimensional visualization for intrusion detection | |
CN113660221B (en) | Joint anti-attack method, device and system combined with game | |
Nunnally et al. | Navsec: A recommender system for 3d network security visualizations | |
US10462158B2 (en) | URL selection method, URL selection system, URL selection device, and URL selection program | |
JP4825767B2 (en) | Abnormality detection device, program, and recording medium | |
JP2008017179A (en) | Access control system, access control method, and access control program | |
JP2009087208A (en) | Fraudulence detection device, program, and recording medium | |
CN111988322A (en) | Attack event display system | |
JPWO2016038662A1 (en) | Information processing apparatus, information processing method, and program | |
US8108924B1 (en) | Providing a firewall's connection data in a comprehendible format | |
US20210390519A1 (en) | Storage medium, detection method, and detection device | |
CN113630400A (en) | Communication method, device and system for joint attack prevention in network security | |
JP2016526746A (en) | Data processing system, center apparatus, and program | |
Bhuyan et al. | Practical tools for attackers and defenders | |
JP2008165601A (en) | Communication monitoring system, communication monitoring device and communication control device | |
KR20120038882A (en) | Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20090710 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090710 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110222 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110315 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110324 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |