JP2009117929A - Unauthorized access monitoring device and method thereof - Google Patents

Unauthorized access monitoring device and method thereof Download PDF

Info

Publication number
JP2009117929A
JP2009117929A JP2007285718A JP2007285718A JP2009117929A JP 2009117929 A JP2009117929 A JP 2009117929A JP 2007285718 A JP2007285718 A JP 2007285718A JP 2007285718 A JP2007285718 A JP 2007285718A JP 2009117929 A JP2009117929 A JP 2009117929A
Authority
JP
Japan
Prior art keywords
access
function
information
monitoring
specific
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007285718A
Other languages
Japanese (ja)
Other versions
JP4570652B2 (en
Inventor
Takeshi Kuwabara
健 桑原
Takeshi Yagi
毅 八木
Junji Kobayashi
淳史 小林
Junichi Murayama
純一 村山
Keisuke Ishibashi
圭介 石橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007285718A priority Critical patent/JP4570652B2/en
Publication of JP2009117929A publication Critical patent/JP2009117929A/en
Application granted granted Critical
Publication of JP4570652B2 publication Critical patent/JP4570652B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To solve a problem of the conventional technique in the case of providing an unauthorized access monitoring service in an ISP network. <P>SOLUTION: A statistic monitoring function 17 transmits suspicious access list information having application information corresponding to flow information of a plurality of accesses suspicious to be an unauthorized access to a cooperation control function 18. The cooperation control function 18 transmits a detail analysis instruction having the application information corresponding to the flow information to a detail analysis function 19, and transmits a specific access transfer instruction to a packet transfer device 20 accommodating a transmission source of flow. A specific access transfer function provided in the packet transfer device 20 extracts a specific access of a specific application and transmits the specific access to the detail analysis function 19. The detail analysis function 19 detects an unauthorized access of the application and returns unauthorized access information to the cooperation control function 18. The cooperation control function 18 outputs the unauthorized access information to an operator or an external system 21. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

この発明は、ISP(Internet Service Provider)のネットワーク上で、アプリケーションサーバ向けの不正アクセスの監視手段として、不正アクセス監視制御装置を用いた統計監視と詳細分析の連携監視制御方式を導入し、複数のアプリケーションサーバに対する不正アクセス監視サービスの提供において、機能配備の最適化と、監視装置の共有化によるコストの低減化を行う不正アクセス監視装置および方法に関する。   The present invention introduces a cooperative monitoring control method of statistical monitoring and detailed analysis using an unauthorized access monitoring control device as an unauthorized access monitoring means for an application server on an ISP (Internet Service Provider) network. The present invention relates to an unauthorized access monitoring apparatus and method for performing cost reduction by optimizing function deployment and sharing a monitoring apparatus in providing an unauthorized access monitoring service to an application server.

近年、インターネット上で公開されている各種アプリケーションサーバに対するサービス拒否攻撃DoS(Denial of Service)攻撃などの不正アクセスが多発している。また、一般ユーザによる利用が広がっているアプリケーションの一例としてVoIP(Voice over IP)が挙げられるが、VoIPにおいては、DoS攻撃だけではなく、SPIT(Spam over Internet Telephony)のようにアプリケーションサーバを直接攻撃しサービス提供に影響を及ぼすものではなく、着信者にとって不要な広告などをVoIPで自動的に送りつけてくるようなユーザ端末側に対する不正アクセスも存在する。   In recent years, unauthorized access such as a denial-of-service attack DoS (Denial of Service) attack on various application servers published on the Internet has frequently occurred. In addition, VoIP (Voice over IP) is an example of an application that is widely used by general users. In VoIP, not only DoS attacks, but also direct attacks on application servers such as SPIT (Spam over Internet Telephony). However, there is an unauthorized access to the user terminal side that does not affect service provision and automatically sends VoIP unnecessary advertisements and the like.

従来、アプリケーションサーバに対する不正アクセスの検出を目的として利用される不正アクセス監視装置として、IDS(Intrusion Detection System)が存在する。この実装例としては、非特許文献1に示すものがあり、予め装置内に記録している異常パケットデータと観測パケットデータの比較から異常検出を行うシグネチャマッチング技術により構成されている。   Conventionally, IDS (Intrusion Detection System) exists as an unauthorized access monitoring device used for the purpose of detecting unauthorized access to an application server. An example of this implementation is shown in Non-Patent Document 1, which is configured by a signature matching technique for detecting an abnormality by comparing abnormal packet data recorded in the apparatus with observation packet data.

また、VoIPにおける不正アクセスの監視技術としては、特許文献1等が公開されている。その他、SPITの対策システムとしては、非特許文献2のシステムが公開されているが、SIP ServerやSBC(Session Border Controller)などVoIPサービスを提供するサーバのモジュールとして機能配備され、通話相手が人間かSPAM生成ソフトかをチューリングテストを行うことで判定する技術により構成されている。   Further, as a technique for monitoring unauthorized access in VoIP, Patent Literature 1 and the like are disclosed. In addition, as a countermeasure system for SPIT, the system of Non-Patent Document 2 has been disclosed, but it is deployed as a module of a server that provides a VoIP service such as SIP Server or SBC (Session Border Controller), and whether the other party is a human being. It is configured by a technique for determining whether it is SPAM generation software by performing a Turing test.

上記のいずれの既存技術を用いた場合においても、ISPネットワーク側で不正アクセスの監視を行う場合、図1に示す通り、これら装置は、監視対象となるアプリケーションサーバを収容するアプリケーションサーバ収容ネットワーク14−1、14−2とISPネットワーク16との接続地点に位置するルータ等のパケット転送装置13−1、13−2もしくはアプリケーションサーバ10−1、10−2の近傍に配備される(IDS装置12−1、12−2参照)。つまり、アプリケーションサーバ収容ネットワーク14−1、14−2単位で設置され、監視対象となるアプリケーションサーバ向けの全トラヒックを監視対象とする。これにより、特定アプリケーションサーバ向けのパケットから不正アクセスを高い精度で検出する監視サービスの提供が可能となる。同様に、ユーザ端末11−1、11−2に対する直接的な不正アクセスを検出する場合、ユーザ端末11−1、11−2を収容するユーザ端末収容ネットワーク15−1、15−2毎に、IDS装置12−3、12−4等を配備する必要がある。   Even when any of the above existing technologies is used, when unauthorized access is monitored on the ISP network side, as shown in FIG. 1, these devices can be used as an application server accommodating network 14-accommodating an application server to be monitored. 1, 14-2 and the packet transfer devices 13-1 and 13-2 such as routers or the application servers 10-1 and 10-2 located at the connection point between the ISP network 16 (IDS device 12- 1, 12-2). In other words, all the traffic for the application server that is installed in the application server accommodating networks 14-1 and 14-2 and that is to be monitored is the monitoring target. As a result, it is possible to provide a monitoring service that detects unauthorized access from a packet for a specific application server with high accuracy. Similarly, when direct unauthorized access to the user terminals 11-1 and 11-2 is detected, an IDS is provided for each of the user terminal accommodating networks 15-1 and 15-2 accommodating the user terminals 11-1 and 11-2. Devices 12-3, 12-4, etc. need to be deployed.

一方、Dos攻撃やDDoS(Distributed Denial of Service)攻撃に対する監視方法として、非特許文献3および非特許文献4に記載されている、ネットワーク全域を広域に監視する広域監視機能により異常トラヒック発生を推定した上で、受信端末アドレス単位での詳細分析を行う階層型監視機能も公開されている。これらは、ネットワーク全域をサンプリングされたフロー情報により監視する方法であり、主としてレイヤ4以下を対象としている。   On the other hand, as a monitoring method for Dos attack and DDoS (Distributed Denial of Service) attack, the occurrence of abnormal traffic was estimated by the wide area monitoring function for monitoring the entire network area as described in Non-Patent Document 3 and Non-Patent Document 4. In addition, a hierarchical monitoring function for performing detailed analysis in units of receiving terminal addresses is also disclosed. These are methods for monitoring the entire network based on sampled flow information, and mainly target layers 4 and below.

米国Snort.org資料、[online]、The Snort Project、[2007年8月1日検索]、インターネット<http://www.snort.org/docs/snort_manual/2.6.1/snort_manual.pdf>US Snort. org, [online], The Snort Project, [searched August 1, 2007], Internet <http://www.snort.org/docs/snort_manual/2.6.1/snort_manual.pdf> IP電話におけるスパム(SPIT)防止法、NEC技法、vol.59、No.2/2006、126頁〜131頁、インターネット<http://www.nec.co.jp/techrep/ja/journal/g06/n02/t060233.pdf>IP phone spam (SPIT) prevention method, NEC technique, vol. 59, no. 2/2006, pp. 126-131, Internet <http://www.nec.co.jp/techrep/ja/journal/g06/n02/t060233.pdf> 廣川祐他、“次世代バックボーン向けトラヒック監視システムの開発”、2006電子情報通信学会総合大会、BS−5−11、March.2006Yuu Ninagawa et al., “Development of traffic monitoring system for next-generation backbone”, 2006 IEICE General Conference, BS-5-11, March. 2006 大倉一浩他、“階層型監視制御方式の設計”、2006電子情報通信学会総合大会、B−7−70、September.2006Kazuhiro Okura et al., “Design of Hierarchical Supervisory Control System”, 2006 IEICE General Conference, B-7-70, September. 2006 特開2006−100873号公報Japanese Patent Laid-Open No. 2006-100903

しかしながら、従来技術を用いて、ISPネットワークにおいて複数ユーザに対する不正アクセス監視サービスを提供する場合、以下の課題が存在する。   However, when using the conventional technology to provide an unauthorized access monitoring service for a plurality of users in an ISP network, the following problems exist.

まず、アプリケーションのレイヤで詳細な監視を行うことが可能なIDSは、パケット処理能力に限界があり、監視対象となるアプリケーションサーバもしくはそれを収容するネットワーク単位で配備する必要がある。従って、監視すべきアプリケーションサーバが増えるほど、該当アプリケーションサーバ収容ネットワークが増えるほど、装置コストが増加する問題を有する。特に、ISPネットワークにおいて、監視対象となるアプリケーションサーバが分散的に配置されている場合は、この装置コストに関する経済性の問題はより顕著となる。   First, IDS capable of performing detailed monitoring at the application layer has a limit in packet processing capability, and it is necessary to deploy an application server to be monitored or a network unit that accommodates it. Therefore, there is a problem that the device cost increases as the number of application servers to be monitored increases and the number of application server accommodation networks increases. In particular, in the ISP network, when application servers to be monitored are distributed in a distributed manner, the problem of economics related to the device cost becomes more prominent.

一方、広域監視装置や前記の階層型監視機能を利用する場合、ネットワーク内で単一のシステムを用いて不正アクセスの監視が可能であるが、サンプリングされたフロー情報を利用しているため、パケット単位やアプリケーションレイヤの不正アクセスの監視は、困難である。   On the other hand, when using a wide-area monitoring device or the above-described hierarchical monitoring function, it is possible to monitor unauthorized access using a single system in the network, but since sampled flow information is used, the packet It is difficult to monitor unauthorized access in units and application layers.

本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。   Of the inventions disclosed in this specification, the outline of typical ones will be briefly described as follows.

請求項1に係る発明は、ユーザ端末からアプリケーションサーバ向けの通過パケットを疎通するパケット転送装置を含んでいるネットワークにおいて不正アクセスを監視する不正アクセス監視装置であって、統計監視機能と、連携制御機能と、特定アクセス転送機能と、詳細分析機能とを有し、前記統計監視機能は、監視対象となるアプリケーションサーバとユーザ端末間のパケット転送経路上に配備され、前記ユーザ端末からアプリケーションサーバ向けの通過パケットを収集する手段と、収集された通過パケットから、指定された特定アプリケーションの特定パケットの統計情報を監視する手段と、特定パケットの統計情報から、不正アクセスの疑いのある懐疑アクセスのフロー情報と対応するアプリケーション情報を有する懐疑アクセスリスト情報を生成する手段と、生成した懐疑アクセスリスト情報を連携制御機能に送信する手段とを備え、前記連携制御機能は、前記懐疑アクセスリスト情報を受信する手段と、前記懐疑アクセスのフロー情報から、該当フローの送信元を収容するパケット転送装置を特定する手段と、特定されたパケット転送装置に対して、フロー情報と対応するアプリケーション情報を有する特定アクセス転送指示を送信する手段と、前記懐疑アクセスのフロー情報と対応するアプリケーション情報を有する詳細分析指示を生成する手段と、前記詳細分析指示を詳細分析機能へ送信し、詳細分析機能からの応答を待つ手段と、詳細分析機能から不正アクセス情報を受信した場合、当該不正アクセス情報に含まれるフロー情報とアプリケーション情報をオペレータまたは外部システムヘ出力する手段とを備え、前記特定アクセス転送機能は、パケット転送装置に具備される機能であり、連携制御機能から特定アクセス転送指示を受信した場合、パケットを中継転送する際に、受信パケットから、特定アクセス転送指示にて指定されるアプリケーションの特定アクセスを抽出する手段と、抽出した特定アクセスを詳細分析機能宛に送信する手段と、を備え、前記詳細分析機能は、前記パケット転送装置から特定アクセスを受信する手段と、前記連携制御機能から詳細分析指示を受信した場合、前記のパケット転送装置から受信した特定アクセスに対して、該当アプリケーションの不正アクセスを検出する手段と、不正アクセスを検出した場合は、不正アクセス情報として該当フロー情報とアプリケーション情報を、連携制御機能に返信する手段と、を備えることを特徴とする。   The invention according to claim 1 is an unauthorized access monitoring device that monitors unauthorized access in a network including a packet transfer device that communicates a passing packet from a user terminal to an application server, and includes a statistical monitoring function and a linkage control function And a specific access transfer function and a detailed analysis function, and the statistical monitoring function is provided on a packet transfer path between the application server to be monitored and the user terminal, and passes from the user terminal to the application server. Means for collecting packets, means for monitoring statistical information of specific packets of a specified specific application from collected passing packets, flow information of suspicious access suspected of unauthorized access from statistical information of specific packets, and Skeptical access with corresponding application information Means for generating list information; and means for transmitting the generated skeptical access list information to the cooperative control function, wherein the cooperative control function is configured to receive the skeptical access list information from the skeptical access flow information. Means for identifying a packet transfer device accommodating the transmission source of the flow, means for transmitting a specific access transfer instruction having application information corresponding to the flow information to the specified packet transfer device, and the skeptical access Means for generating detailed analysis instructions having application information corresponding to the flow information, means for transmitting the detailed analysis instructions to the detailed analysis function, waiting for a response from the detailed analysis function, and unauthorized access information from the detailed analysis function. If received, the flow information and application information included in the unauthorized access information will be turned off. And the specific access transfer function is a function provided in the packet transfer device, and when the specific access transfer instruction is received from the cooperation control function, the packet is relayed and transferred. And means for extracting the specific access of the application designated by the specific access transfer instruction from the received packet, and means for transmitting the extracted specific access to the detailed analysis function, wherein the detailed analysis function includes the packet Means for receiving specific access from the transfer device, means for detecting unauthorized access of the corresponding application for the specific access received from the packet transfer device when receiving a detailed analysis instruction from the cooperation control function, If access is detected, the flow information and application Means for returning the action information to the cooperation control function.

また、請求項2に係る発明は、ユーザ端末からアプリケーションサーバ向けの通過パケットを疎通するパケット転送装置を含んでいるネットワークにおいて不正アクセスを監視する不正アクセス監視装置における不正アクセス監視方法であって、前記不正アクセス監視装置は、統計監視機能と、連携制御機能と、特定アクセス転送機能と、詳細分析機能とを有し、前記統計監視機能は、監視対象となるアプリケーションサーバとユーザ端末間のパケット転送経路上に配備され、前記特定アクセス転送機能は、パケット転送装置に具備される機能であり、前記統計監視機能が、前記ユーザ端末からアプリケーションサーバ向けの通過パケットを収集する工程と、収集された通過パケットから、指定された特定アプリケーションの特定パケットの統計情報を監視する工程と、特定パケットの統計情報から、不正アクセスの疑いのある懐疑アクセスのフロー情報と対応するアプリケーション情報を有する懐疑アクセスリスト情報を生成する工程と、生成した懐疑アクセスリスト情報を連携制御機能に送信する工程と、前記連携制御機能が、前記懐疑アクセスリスト情報を受信する工程と、前記懐疑アクセスのフロー情報から、該当フローの送信元を収容するパケット転送装置を特定する工程と、特定されたパケット転送装置に対して、フロー情報と対応するアプリケーション情報を有する特定アクセス転送指示を送信する工程と、前記懐疑アクセスのフロー情報と対応するアプリケーション情報を有する詳細分析指示を生成する工程と、前記詳細分析指示を詳細分析機能に送信し、詳細分析機能からの応答を待つ工程と、前記特定アクセス転送機能が、連携制御機能から特定アクセス転送指示を受信した場合、パケットを中継転送する際に、受信パケットから、懐疑アクセスリスト情報にて指定されるアプリケーションの特定アクセスを抽出する工程と、抽出した特定アクセスを詳細分析機能宛に送信する工程と、前記詳細分析機能が、前記パケット転送機能から特定アクセスを受信する工程と、前記連携制御機能から詳細分析指示を受信した場合、前記のパケット転送装置から受信した特定アクセスに対して、該当アプリケーションの不正アクセスを検出する工程と、不正アクセスを検出した場合は、不正アクセス情報として該当フロー情報とアプリケーション情報を、連携制御機能に返信する工程と、前記連携制御機能が、詳細分析機能から不正アクセス情報を受信した場合、当該不正アクセス情報に含まれるフロー情報とアプリケーション情報をオペレータまたは外部システムヘ出力する工程とを含むことを特徴とする。   The invention according to claim 2 is an unauthorized access monitoring method in an unauthorized access monitoring device that monitors unauthorized access in a network including a packet transfer device that communicates a passing packet from a user terminal to an application server. The unauthorized access monitoring device has a statistical monitoring function, a linkage control function, a specific access transfer function, and a detailed analysis function, and the statistical monitoring function is a packet transfer path between an application server to be monitored and a user terminal. The specific access transfer function is a function provided in a packet transfer device, and the statistical monitoring function collects a pass packet for the application server from the user terminal, and the collected pass packet To a specific packet of a specified specific application A step of monitoring total information, a step of generating skeptical access list information having application information corresponding to flow information of suspicious access suspected of unauthorized access from statistical information of specific packets, and the generated skeptical access list information A step of transmitting to a cooperation control function; a step of receiving the skeptical access list information by the cooperation control function; and a step of identifying a packet transfer apparatus accommodating a transmission source of the corresponding flow from the flow information of the skeptical access; A step of transmitting a specific access transfer instruction having application information corresponding to the flow information to the specified packet transfer device; and a step of generating a detailed analysis instruction having application information corresponding to the flow information of the skeptic access The detailed analysis instruction is sent to the detailed analysis function to When waiting for a response from the function and when the specific access transfer function receives a specific access transfer instruction from the cooperation control function, it is specified by skeptical access list information from the received packet when relaying the packet The step of extracting the specific access of the application, the step of transmitting the extracted specific access to the detailed analysis function, the step of receiving the specific access from the packet transfer function by the detailed analysis function, and the details from the cooperation control function When an analysis instruction is received, a step of detecting unauthorized access of the corresponding application with respect to the specific access received from the packet transfer device, and when unauthorized access is detected, the corresponding flow information and application information as unauthorized access information Are returned to the cooperation control function and the cooperation control function is detailed. A step of outputting flow information and application information included in the unauthorized access information to an operator or an external system when unauthorized access information is received from the detailed analysis function.

また、請求項3に係る発明は、請求項2に記載の不正アクセス監視方法において、アプリケーションサーバとユーザ端末間のパケット転送経路上に統計監視機能が配備されていないアプリケーションサーバを収容するパケット転送装置の特定アクセス転送機能が、監視対象となるアプリケーションのアクセスを、指定の統計監視機能に転送する工程と、前記指定の統計監視機能が、前記パケット転送装置から転送された監視対象となるアプリケーションのアクセスを含む情報から、不正アクセスの疑いのある複数アクセスのフロー情報と対応するアプリケーション情報からなる懐疑アクセスリスト情報を生成する工程とを含むことを特徴とする。   The invention according to claim 3 is the packet transfer apparatus for accommodating the application server in which the statistical monitoring function is not provided on the packet transfer path between the application server and the user terminal in the unauthorized access monitoring method according to claim 2. The specific access transfer function transfers the access of the application to be monitored to the specified statistical monitoring function, and the specified statistical monitoring function accesses the monitoring target application transferred from the packet transfer device. Generating skeptical access list information including flow information of a plurality of accesses suspected of unauthorized access and corresponding application information.

また、請求項4に係る発明は、請求項2または請求項3に記載の不正アクセス監視方法において、前記統計監視機能が、監視対象となるアプリケーションサーバ向けの当該アプリケーションのシグナリングプロトコルのアクセスを監視対象とする工程と、前記のシグナリングプロトコルの監視から、不正アクセスの疑いのあるシグナリングプロトコルのアクセス情報を検出し、対応するメディアプロトコル情報を有する懐疑アクセスリスト情報を連携制御機能に通知する工程と、前記連携制御機能が、特定アクセス転送指示において、統計監視機能から受信した対応するメディアプロトコルの該当アクセスを詳細分析機能へ転送することを特定アクセス転送機能に指示する工程と、前記特定アクセス転送機能が、連携制御機能から受信した特定アクセス転送指示に基づき、指定されたメディアプロトコルの該当アクセスを詳細分析機能へ転送する工程と、前記詳細分析機能が、特定アクセス転送機能から受信したメディアプロトコルを監視し不正アクセスを検出する工程と、を含むことを特徴とする。   The invention according to claim 4 is the unauthorized access monitoring method according to claim 2 or claim 3, wherein the statistical monitoring function monitors the access of the signaling protocol of the application for the application server to be monitored. Detecting the signaling protocol access information suspected of unauthorized access from the monitoring of the signaling protocol, and notifying the link control function of the suspicious access list information having the corresponding media protocol information; and The step of instructing the specific access transfer function to transfer the corresponding access of the corresponding media protocol received from the statistical monitoring function to the detailed analysis function in the specific access transfer instruction, and the specific access transfer function, Special features received from the linkage control function A step of transferring a corresponding access of a designated media protocol to a detailed analysis function based on an access transfer instruction; a step of monitoring the media protocol received from the specific access transfer function by the detailed analysis function and detecting unauthorized access; It is characterized by including.

請求項1または2の発明によれば、統計監視機能により不正アクセスを監視対象となる全アプリケーションサーバに対して監視し、その後、検出した懐疑アクセスリストに基づき、特定アクセス転送機能により該当アクセスのみを詳細分析機能に転送することで、アプリケーションレイヤの詳細な不正アクセスの監視を可能としている。これにより、例えば、全ての監視対象であるアプリケーションサーバを収容するネットワーク毎には、機能の限定された統計監視機能を配備し、高度なアプリケーションレイヤの処理を必要とする詳細分析機能については集中的に配備し、複数のユーザで共用化することが可能となる。つまり、従来技術のように全てのアプリケーションサーバ毎に高度な処理を必要とする機能を配備する必要がなくなるため、ISPネットワーク全体で不正アクセス監視装置に関する導入コストおよび運用コストを削減することができるという効果を得る。   According to the invention of claim 1 or 2, unauthorized access is monitored for all application servers to be monitored by the statistical monitoring function, and then only the corresponding access is detected by the specific access transfer function based on the detected skeptic access list. By transferring to the detailed analysis function, detailed unauthorized access monitoring of the application layer is possible. As a result, for example, a statistical monitoring function with limited functions is deployed for each network that accommodates all application servers to be monitored, and a detailed analysis function that requires advanced application layer processing is concentrated. Can be deployed and shared by multiple users. In other words, since it is not necessary to deploy a function that requires advanced processing for every application server as in the prior art, it is possible to reduce introduction costs and operation costs related to unauthorized access monitoring devices throughout the ISP network. Get the effect.

また、請求項3の発明によれば、全てのアプリケーションサーバ収容ネットワーク毎に統計監視機能を配備する必要がなくなり、監視アプリケーションサーバの処理トラヒック量が少ない場合には統計監視機能についても共用効果が得られ、更なるコスト削減効果が得られる。   Further, according to the invention of claim 3, it is not necessary to provide a statistical monitoring function for every application server accommodating network, and when the processing traffic volume of the monitoring application server is small, a shared effect is also obtained for the statistical monitoring function. As a result, a further cost reduction effect can be obtained.

また、請求項1〜4の発明により、通常アプリケーションサーバ側にのみ不正アクセス監視装置を配備した場合には、ユーザ端末収容ネットワーク間の通信を監視することは該当アクセスが監視装置を通過しないため不可能であるが、本発明では、特定アクセス転送機能により、該当アクセスを不正アクセス監視装置に転送することで可能となる。   Further, according to the first to fourth aspects of the invention, when an unauthorized access monitoring device is deployed only on the normal application server side, it is not possible to monitor communication between user terminal accommodating networks because the relevant access does not pass through the monitoring device. However, according to the present invention, it is possible to transfer the corresponding access to the unauthorized access monitoring device by the specific access transfer function.

更に請求項4の発明によれば、統計監視機能においては、監視アプリケーションのシグナリングプロトコルを監視し、詳細分析機能によりメディアプロトコルを監視することで、例えば、VoIPにおけるSPITなどのシグナリングプロトコルだけでは検出不可能な不正アクセスの検出が可能となり、ユーザ端末側に高度な処理機能を配備することなく、検出可能な不正アクセスの種別が拡大する効果を得る。   Further, according to the invention of claim 4, in the statistical monitoring function, the signaling protocol of the monitoring application is monitored, and the media protocol is monitored by the detailed analysis function, so that detection is not possible only by a signaling protocol such as SPIT in VoIP. It is possible to detect possible unauthorized access, and the effect of expanding the types of unauthorized access that can be detected without deploying advanced processing functions on the user terminal side is obtained.

以下、本発明の実施形態の不正アクセス監視装置および監視方法について図を参照して詳細に説明する。
図2に、本発明の実施形態1の不正アクセス監視装置を示す。10−1、10−2はアプリケーションサーバ、11−1、11−2はユーザ端末、13−1、13−2はパケット転送装置、14−1、14−2はアプリケーションサーバ収容ネットワーク、15−1、15−2はユーザ端末収容ネットワーク、16はISPネットワーク、17−1、17−2は統計監視機能、18は連携制御機能、19は詳細分析機能、20−1、20−2は特定アクセス転送機能を有するパケット転送装置、21はオペレータ/外部システムである。
Hereinafter, an unauthorized access monitoring apparatus and a monitoring method according to an embodiment of the present invention will be described in detail with reference to the drawings.
FIG. 2 shows an unauthorized access monitoring apparatus according to the first embodiment of the present invention. 10-1, 10-2 are application servers, 11-1, 11-2 are user terminals, 13-1, 13-2 are packet transfer apparatuses, 14-1, 14-2 are application server accommodation networks, 15-1 , 15-2 is a user terminal accommodating network, 16 is an ISP network, 17-1 and 17-2 are statistical monitoring functions, 18 is a linkage control function, 19 is a detailed analysis function, and 20-1 and 20-2 are specific access transfers. A packet transfer apparatus 21 having a function is an operator / external system.

本実施形態は、統計監視機能17−1、17−2により、監視対象となるアプリケーションサーバ10−1、10−2向けの当該アプリケーションのアクセスを監視し不正アクセスの疑いのある懐疑アクセスリストを作成し、懐疑アクセスリストに該当するアクセスのみを、詳細分析機能19に転送し、詳細な監視を行う方法を採用する。これにより、監視対象毎に配備する機能を単純化し、高度な処理を必要とする機能は集中的に配備し複数ユーザで共有することが可能となる。本実施形態は、新たに導入する連携制御機能18によってなされる統計監視機能17−1、17−2と詳細分析機能19の連係動作によって実現される。   In this embodiment, the statistical monitoring functions 17-1 and 17-2 monitor access of the application for the application servers 10-1 and 10-2 to be monitored, and create a suspicious access list suspected of unauthorized access. Then, only the access corresponding to the skeptical access list is transferred to the detailed analysis function 19 and a detailed monitoring method is adopted. This simplifies the function to be deployed for each monitoring target, and functions that require advanced processing can be centrally deployed and shared by multiple users. The present embodiment is realized by the linked operation of the statistical monitoring functions 17-1 and 17-2 and the detailed analysis function 19 performed by the newly introduced cooperation control function 18.

本実施形態の不正アクセス監視装置は、ユーザ端末11−1、11−2からアプリケーションサーバ10−1、10−2向けの通過パケットを疎通する複数のパケット転送装置13−1、13−2を含んでいるネットワークにおいて不正アクセスを監視する装置であり、統計監視機能17−1、17−2と連携制御機能18と特定アクセス転送機能(パケット転送装置20−1、20−2が有する機能)と詳細分析機能19とを有している。   The unauthorized access monitoring apparatus according to the present embodiment includes a plurality of packet transfer apparatuses 13-1 and 13-2 that communicate passing packets from the user terminals 11-1 and 11-2 to the application servers 10-1 and 10-2. A device that monitors unauthorized access in a network that is running, and includes statistics monitoring functions 17-1 and 17-2, a linkage control function 18, a specific access transfer function (a function that the packet transfer apparatuses 20-1 and 20-2 have), and details. And an analysis function 19.

統計監視機能17−1、17−2は、監視対象となるアプリケーションサーバ10−1、10−2とユーザ端末11−1、11−2間のパケット転送経路上に配備され、ユーザ端末11−1、11−2からアプリケーションサーバ10−1、10−2向けの通過パケットを収集する手段と、収集された通過パケットから指定された特定アプリケーションの特定パケットの統計情報を監視する手段と、特定パケットの統計情報から不正アクセスの疑いのある懐疑アクセスのフロー情報と対応するアプリケーション情報からなる懐疑アクセスリスト情報を生成する手段と、懐疑アクセスリスト情報を連携制御機能18に送信する手段とを備える。   The statistics monitoring functions 17-1 and 17-2 are arranged on the packet transfer path between the application servers 10-1 and 10-2 to be monitored and the user terminals 11-1 and 11-2, and the user terminal 11-1 , 11-2 to collect the passing packets for the application servers 10-1 and 10-2, to monitor the statistical information of the specific packets of the specific application specified from the collected passing packets, Means for generating skeptical access list information consisting of application information corresponding to flow information of suspicious access suspected of unauthorized access from statistical information, and means for transmitting skeptical access list information to the linkage control function 18.

連携制御機能18は、統計監視機能17−1、17−2から懐疑アクセスリスト情報を受信した場合、状態管理番号を生成し、前記懐疑アクセスのフロー情報とアプリケーション情報を状態管理テーブルに蓄積する手段と、フロー情報から、該当フローの送信元を収容するパケット転送装置を特定する手段と、特定されたパケット転送装置20−1、20−2に対して、フロー情報と対応するアプリケーション情報からなる特定アクセス転送指示を送信する手段と、前記懐疑アクセスのフロー情報と対応するアプリケーション情報からなる詳細分析指示を生成する手段と、前記詳細分析指示を詳細分析機能19へ送信し、詳細分析機能19からの応答を待つ手段と、詳細分析機能19から不正アクセス情報を受信した場合、当該不正アクセス情報に含まれるフロー情報とアプリケーション情報をオペレータまたは外部システム21ヘ出力する手段を備える。   When the link control function 18 receives skeptical access list information from the statistics monitoring functions 17-1 and 17-2, it generates a status management number and stores the flow information and application information of the skeptic access in the status management table. And a means for specifying a packet transfer apparatus accommodating the transmission source of the corresponding flow from the flow information, and a specification consisting of application information corresponding to the flow information for the specified packet transfer apparatuses 20-1 and 20-2 Means for transmitting an access transfer instruction, means for generating a detailed analysis instruction comprising application information corresponding to the flow information of the skeptic access, and transmitting the detailed analysis instruction to the detailed analysis function 19; Means for waiting for a response, and when unauthorized access information is received from the detailed analysis function 19, the unauthorized access And means for outputting operator or external system 21 F flow information and application information included in the broadcast.

特定アクセス転送機能は、パケット転送装置20−1、20−2に具備される機能であり、連携制御機能18から特定アクセス転送指示情報を受信した場合、パケットを中継転送する際に受信パケットから特定アクセス転送指示にて指定される特定アプリケーションの特定アクセスを抽出する手段と、抽出した特定アクセスを指定された詳細分析機能19宛に送信する手段とを備える。   The specific access transfer function is a function provided in the packet transfer apparatuses 20-1 and 20-2. When specific access transfer instruction information is received from the cooperation control function 18, the specific access transfer function is specified from the received packet when relaying the packet. Means for extracting the specific access of the specific application specified by the access transfer instruction, and means for transmitting the extracted specific access to the specified detailed analysis function 19;

詳細分析機能19は、パケット転送装置20−1、20−2に具備された特定アクセス転送機能から特定アクセスを受信する手段と、連携制御機能18から詳細分析指示を受信した場合、パケット転送装置20−1、20−2に具備された特定アクセス転送機能から受信したアクセスに対して、詳細分析指示に基づいてアプリケーション情報を抽出し、該当アプリケーションの不正アクセスを検出する手段と、不正アクセスを検出した場合は、不正アクセス情報として該当フロー情報とアプリケーション情報を、連携制御機能19に返信する手段を備える。   When the detailed analysis function 19 receives a specific access from the specific access transfer function provided in the packet transfer apparatuses 20-1 and 20-2 and the detailed analysis instruction from the cooperation control function 18, the detailed analysis function 19 -1 and 20-2, application information is extracted based on a detailed analysis instruction for access received from the specific access transfer function, and means for detecting unauthorized access of the application and unauthorized access are detected. In this case, there is provided means for returning the flow information and application information as unauthorized access information to the cooperation control function 19.

不正アクセス監視装置における不正アクセス監視方法は次のとおりである。統計監視機能17−1、17−2が、収集された通過パケットから、指定された特定アプリケーションの特定パケットの統計情報を監視し、不正アクセスの疑いのある複数アクセスのフロー情報と対応するアプリケーション情報からなる懐疑アクセスリスト情報を生成し、生成した懐疑アクセスリスト情報を連携制御機能18に送信する。連携制御機能18が、懐疑アクセスリスト情報を受信した場合、前記のフロー情報と対応するアプリケーション情報からなる詳細分析指示を詳細分析機能19に送信し、詳細分析機能19からの応答を待つ。また、連携制御機能18が、前記懐疑アクセスリスト情報内のフロー情報から、該当フローの送信元を収容するパケット転送装置を特定し、当該パケット転送装置20−1、20−2に対して、特定アクセス転送指示を送信する。パケット転送装置20−1、20−2に具備された特定アクセス転送機能が、連携制御機能18から特定アクセス転送指示を受信した場合、パケットを中継転送する際に受信パケットから懐疑アクセスリスト情報にて指定される特定アプリケーションの特定アクセスを抽出し、詳細分析機能19宛に送信する。詳細分析機能19が、パケット転送装置20−1、20−2に具備された特定アクセス転送機能から特定アクセスを受信し、該当アプリケーションの不正アクセスを検出する。詳細分析機能19が不正アクセスを検出した場合は、不正アクセス情報として該当フロー情報とアプリケーション情報を、連携制御機能18に返信する。連携制御機能18が、不正アクセス情報を受信した場合、不正アクセス情報をオペレータまたは外部システム21ヘ出力する。   The unauthorized access monitoring method in the unauthorized access monitoring apparatus is as follows. The statistical monitoring functions 17-1 and 17-2 monitor the statistical information of the specific packet of the specified specific application from the collected passing packets, and the application information corresponding to the flow information of multiple accesses suspected of unauthorized access The skeptical access list information is generated, and the generated skeptical access list information is transmitted to the linkage control function 18. When the cooperation control function 18 receives skeptical access list information, it transmits a detailed analysis instruction including the flow information and application information corresponding to the flow information to the detailed analysis function 19 and waits for a response from the detailed analysis function 19. In addition, the cooperation control function 18 specifies a packet transfer device that accommodates the transmission source of the corresponding flow from the flow information in the skeptical access list information, and specifies the packet transfer device 20-1 or 20-2. Send an access transfer instruction. When the specific access transfer function provided in the packet transfer apparatuses 20-1 and 20-2 receives the specific access transfer instruction from the cooperation control function 18, the skeptical access list information is received from the received packet when relaying the packet. The specific access of the specified specific application is extracted and transmitted to the detailed analysis function 19. The detailed analysis function 19 receives specific access from the specific access transfer function provided in the packet transfer apparatuses 20-1 and 20-2, and detects unauthorized access of the corresponding application. When the detailed analysis function 19 detects unauthorized access, the flow information and application information are returned to the cooperation control function 18 as unauthorized access information. When the cooperation control function 18 receives unauthorized access information, it outputs the unauthorized access information to the operator or the external system 21.

図7に、本発明の実施形態2の不正アクセス監視装置を示す。本実施形態は統計監視機能が監視対象となるアプリケーションサーバとユーザ端末間のパケット転送経路上に配備できない場合の不正アクセス監視装置である。実施形態1の図2ではパケット転送装置13−2に統計監視機能17−2が配備されていたが、本実施形態の図7ではパケット転送装置20−3には統計監視機能は配備されていない。本実施形態ではパケット転送装置20−3は特定アクセス転送機能を具備している。   FIG. 7 shows an unauthorized access monitoring apparatus according to the second embodiment of the present invention. This embodiment is an unauthorized access monitoring apparatus when the statistical monitoring function cannot be deployed on a packet transfer path between an application server to be monitored and a user terminal. In FIG. 2 of the first embodiment, the statistical monitoring function 17-2 is provided in the packet transfer apparatus 13-2. However, in FIG. 7 of the present embodiment, the statistical monitoring function is not provided in the packet transfer apparatus 20-3. . In the present embodiment, the packet transfer device 20-3 has a specific access transfer function.

アプリケーションサーバ10−2を収容するパケット転送装置20−3は、その特定アクセス転送機能を利用し、監視対象となるアプリケーションのアクセスを指定の統計監視機能17−1に転送する。統計監視機能17−1は、パケット転送装置13−1で収集された通過パケットとパケット転送装置20−3から転送された監視対象となるアプリケーションのアクセスに基づいて、不正アクセスの疑いのある複数アクセスのフロー情報と対応するアプリケーション情報からなる懐疑アクセスリスト情報を生成し、生成した懐疑アクセスリスト情報を連携制御機能に送信する。   The packet transfer apparatus 20-3 that accommodates the application server 10-2 uses the specific access transfer function to transfer the access of the application to be monitored to the designated statistics monitoring function 17-1. The statistics monitoring function 17-1 is configured to make multiple accesses suspected of unauthorized access based on the passing packets collected by the packet transfer device 13-1 and the access of the monitoring target application transferred from the packet transfer device 20-3. The skeptical access list information including the flow information and the corresponding application information is generated, and the generated skeptical access list information is transmitted to the linkage control function.

また、実施形態1、2において、統計監視機能17が、監視対象となるアプリケーションサーバ向けの当該アプリケーションのシグナリングプロトコルのパケットを監視対象とし、連携制御機能18が、特定アクセス転送指示として、対応するメディアプロトコルの該当アクセスを詳細分析機能19へ転送することをパケット転送装置20に具備された特定アクセス転送機能に指示し、特定アクセス転送機能が連携制御機能18から受信した特定アクセス転送指示に基づき、指定されたメディアプロトコルの該当アクセスを詳細分析機能へ転送し、詳細分析機能19が、特定アクセス転送機能から受信したメディアプロトコルを監視し不正アクセスを検出するようにしても良い。   In the first and second embodiments, the statistical monitoring function 17 sets the monitoring protocol target application protocol packet for the application server to be monitored as the monitoring target, and the linkage control function 18 sets the corresponding media as the specific access transfer instruction. The specific access transfer function provided in the packet transfer device 20 is instructed to transfer the corresponding access of the protocol to the detailed analysis function 19, and the specific access transfer function is designated based on the specific access transfer instruction received from the cooperation control function 18. The corresponding access of the media protocol thus transferred may be transferred to the detailed analysis function, and the detailed analysis function 19 may monitor the media protocol received from the specific access transfer function and detect unauthorized access.

以下、不正アクセス監視装置および方法の実施例1〜2を説明する。   Examples 1 and 2 of the unauthorized access monitoring apparatus and method will be described below.

実施例1として、監視対象のアプリケーションをVoIPとした場合を図2〜図6を用いて説明する。   As a first embodiment, a case where an application to be monitored is VoIP will be described with reference to FIGS.

まず、図2においてISPネットワーク16上に、SIPサーバ(アプリケーションサーバ10)が設置されているものとする。ユーザ端末11はIP電話端末であるものとし、ユーザ端末収容ネットワーク15を介してパケット転送装置(特定アクセス転送機能)20に収容されている。なお、「アプリケーションサーバ10−1、10−2」等をまとめて「アプリケーションサーバ10」等と記載する。   First, it is assumed that a SIP server (application server 10) is installed on the ISP network 16 in FIG. The user terminal 11 is assumed to be an IP telephone terminal and is accommodated in the packet transfer device (specific access transfer function) 20 via the user terminal accommodation network 15. “Application servers 10-1, 10-2” and the like are collectively referred to as “application servers 10” and the like.

ここで、統計監視機能17は、ISPネットワーク16におけるエッジルータなどに相当するパケット転送装置13に、ポートミラーリングで接続され、ユーザ端末11からのSIPサーバ(アプリケーションサーバ10)向けのSIPアクセスを監視している。なお、このとき統計監視機能17は、パケット転送装置13にインラインで接続されていても良い。また、詳細分析機能19は、同様にISPネットワーク16に接続されている。統計監視機能17と詳細分析機能19の上位には、連携制御機能18がネットワークを介して接続されている。オペレータ/外部システム21は、連携制御機能18に接続されており、本連携制御装置の監視結果を受信する。   Here, the statistical monitoring function 17 is connected to the packet transfer apparatus 13 corresponding to an edge router or the like in the ISP network 16 by port mirroring, and monitors the SIP access from the user terminal 11 to the SIP server (application server 10). ing. At this time, the statistics monitoring function 17 may be connected to the packet transfer device 13 inline. The detailed analysis function 19 is similarly connected to the ISP network 16. A cooperation control function 18 is connected via a network above the statistical monitoring function 17 and the detailed analysis function 19. The operator / external system 21 is connected to the cooperation control function 18 and receives the monitoring result of the cooperation control apparatus.

ここで、ユーザ端末11−1がSPITの送信元であり、ユーザ端末11−2やその他のVoIP端末に対してSPITを多数送信しているケースを想定し、SPITを不正アクセスとして検出する動作例を説明する。この場合、例えば、ユーザ端末11−1からユーザ端末11−2宛のVoIP通信は、両者のSIPサーバであるアプリケーションサーバ10−1に対するSIP通信(シグナリングプロトコル)と、ユーザ端末11−1−ユーザ端末11−2間のRTP通信(メディアプロトコル)とに分けられる。   Here, assuming an example in which the user terminal 11-1 is a SPIT transmission source and a large number of SPITs are transmitted to the user terminal 11-2 or other VoIP terminals, an operation example of detecting SPIT as unauthorized access Will be explained. In this case, for example, the VoIP communication addressed from the user terminal 11-1 to the user terminal 11-2 includes SIP communication (signaling protocol) for the application server 10-1 that is both SIP servers, and the user terminal 11-1-user terminal. 11-2 and RTP communication (media protocol).

まず、統計監視機能(図2の17)の動作について説明する。図3は、統計監視機能の機能ブロック図である。統計監視機能30は、入出力インタフェース部31、監視パケットフィルタ機能部32、監視パケット情報蓄積部33、監視パケット量測定部34、懐疑アクセスリスト情報生成部35、懐疑アクセスリスト情報送信部36を備えている。入出力インタフェース部31は、LANやWAN用のネットワークインタフェースボードなどの通信デバイスであり、パケット転送装置や連携制御機能とデータの送受信を行う。   First, the operation of the statistical monitoring function (17 in FIG. 2) will be described. FIG. 3 is a functional block diagram of the statistical monitoring function. The statistical monitoring function 30 includes an input / output interface unit 31, a monitoring packet filter function unit 32, a monitoring packet information storage unit 33, a monitoring packet amount measurement unit 34, a skeptic access list information generation unit 35, and a skeptic access list information transmission unit 36. ing. The input / output interface unit 31 is a communication device such as a LAN or WAN network interface board, and transmits / receives data to / from the packet transfer apparatus and the cooperation control function.

ここで入出力インタフェース部31−1は、SIPアクセスの通過するパケット転送装置に接続されており、該当パケット転送装置を通過するパケットが、監視パケットフィルタ機能部32を介して、送受信される。監視パケットフィルタ機能部32では、あらかじめ設定されたフィルタ条件(例えば、SIPにおけるINVITEパケットを抽出)に基づき、通過パケットの中から該当するパケット情報を監視パケット情報蓄積部33に保存する。監視パケット量測定部34では、監視パケット情報蓄積部33の情報から、例えば、送信元IPアドレスやSIP URIによる統計情報を算出し、SIPアクセスの多い上位n番の送信元情報を懐疑アクセスリスト情報生成部35に通知する。懐疑アクセスリスト情報生成部35では、通知された当該統計情報から、付随するVoIP通信情報を監視パケット情報蓄積部33から取得し、懐疑アクセスリスト情報を生成する。懐疑アクセスリスト情報に含める情報としては、該当SIPアクセスの5−tuple情報(送信元/宛先IPアドレス、送信元/宛先ポート番号、プロトコル)や、対応するRTPの5−tuple情報とする。懐疑アクセスリストの例を図8に示す。懐疑アクセスリスト情報送信部36では、懐疑アクセスリスト生成部35にて生成された懐疑アクセスリスト情報を入出力インタフェース部31−2を介して、連携制御機能に送信する。このように統計監視機能では、SIP通信の監視を行うが本機能では、SIPプロトコルを終端し処理するのではなく、あくまでも特定パケットの統計情報を監視するため、比較的軽い処理の動作となり、機能の高速化もしくは実装装置の低コスト化が可能である。   Here, the input / output interface unit 31-1 is connected to a packet transfer device through which SIP access passes, and packets that pass through the corresponding packet transfer device are transmitted / received via the monitoring packet filter function unit 32. The monitoring packet filter function unit 32 stores corresponding packet information in the passing packet in the monitoring packet information storage unit 33 based on a preset filter condition (for example, extracting an INVITE packet in SIP). The monitoring packet amount measuring unit 34 calculates, for example, statistical information based on the source IP address or SIP URI from the information in the monitoring packet information storage unit 33, and the top n number of source information with the most SIP accesses is skeptical access list information. Notify the generation unit 35. The skeptical access list information generation unit 35 acquires accompanying VoIP communication information from the monitored packet information storage unit 33 from the notified statistical information, and generates skeptical access list information. Information included in the skeptical access list information includes 5-tuple information (source / destination IP address, source / destination port number, protocol) of the corresponding SIP access and corresponding RTP 5-tuple information. An example of a skeptic access list is shown in FIG. The skeptical access list information transmitting unit 36 transmits the skeptical access list information generated by the skeptical access list generating unit 35 to the cooperation control function via the input / output interface unit 31-2. As described above, in the statistical monitoring function, SIP communication is monitored. However, in this function, since the SIP protocol is not terminated and processed, the statistical information of a specific packet is only monitored. Can be speeded up or the cost of the mounting device can be reduced.

図8の懐疑アクセスリストリストの例について説明すると、例えば、1行目では、宛先IPアドレス(Dst.IP)は10.0.10.1であり、宛先ポート番号(Dst.port)は15008であり、送信元IPアドレス(Src.IP)は10.0.20.2であり、送信元ポート番号(Src.Port)は5004であり、プロトコルはRTPである。宛先ポート番号(Dst.port)、送信元IPアドレス(Src.IP)、送信元ポート番号(Src.Port)、プロトコルはフロー情報であり、SIP URI To、SIP URI Fromはフロー情報に対応するアプリケーション情報である。したがって、懐疑アクセスリストは、不正アクセスの疑いのあるアクセスのフロー情報と対応するアプリケーション情報を有している。   The example of the skeptical access list in FIG. 8 will be described. For example, in the first line, the destination IP address (Dst.IP) is 10.0.10.1, the destination port number (Dst.port) is 15008, and the transmission source The IP address (Src.IP) is 10.0.20.2, the source port number (Src.Port) is 5004, and the protocol is RTP. The destination port number (Dst.port), the source IP address (Src.IP), the source port number (Src.Port), the protocol is flow information, and SIP URI To and SIP URI From are applications corresponding to the flow information. Information. Therefore, the skeptical access list has application information corresponding to flow information of access suspected of unauthorized access.

次に連携制御機能(図2の18)の動作について説明する。図4は、連携制御機能の機能ブロック図である。連携制御機能40は、入出力インタフェース部41、懐疑アクセスリスト情報受信部42、状態管理テーブル43、特定アクセス転送指示生成部44、ネットワークトポロジ情報45、特定アクセス転送指示送信部46、詳細分析情報処理部47、詳細分析情報送受信部48、不正アクセス情報出力部49を備える。ここで、懐疑アクセスリスト情報受信部42は、前記の統計監視機能から、入出力インタフェース部41を介して、懐疑アクセスリスト情報を受信し、状態管理テーブル43に格納する。詳細分析情報処理部47は、状態管理テーブル43から、懐疑アクセスリスト情報を抽出し、詳細分析情報送受信部48により、詳細分析指示として、詳細分析機能に送信する。一方、特定アクセス転送指示生成部44では、状態管理テーブルから抽出した懐疑アクセスリスト情報から、送信元IPアドレスを抽出し、特定アクセス転送機能を有するパケット転送装置とそれが収容するIPアドレスの一覧であるネットワークトポロジ情報45から、送信元IPアドレスに対応するパケット転送装置を特定する。特定アクセス転送指示送信部46では、特定アクセス転送指示生成部44から、該当パケット転送装置と対応する懐疑アクセスリスト情報を取得し、パケット転送装置に対して特定アクセス転送指示を送信する。なお、この特定アクセス転送指示は、例えばルータに対してtelnetによるCLI(Command Line Interface)経由で設定コマンドを設定することに該当する。なお、詳細分析情報処理部47では、後述する詳細分析機能から受信した不正アクセス情報を不正アクセス情報出力部49により、オペレータまたは外部システムに通知することで、一連の不正アクセスの検出動作が完了する。   Next, the operation of the cooperation control function (18 in FIG. 2) will be described. FIG. 4 is a functional block diagram of the cooperation control function. The linkage control function 40 includes an input / output interface unit 41, a skeptical access list information receiving unit 42, a state management table 43, a specific access transfer instruction generating unit 44, a network topology information 45, a specific access transfer instruction transmitting unit 46, and a detailed analysis information processing. Unit 47, detailed analysis information transmission / reception unit 48, and unauthorized access information output unit 49. Here, the skeptical access list information receiving unit 42 receives the skeptical access list information from the statistical monitoring function via the input / output interface unit 41 and stores it in the state management table 43. The detailed analysis information processing unit 47 extracts skeptical access list information from the state management table 43, and transmits the skeptical access list information to the detailed analysis function as a detailed analysis instruction by the detailed analysis information transmitting / receiving unit 48. On the other hand, the specific access transfer instruction generation unit 44 extracts the source IP address from the skeptical access list information extracted from the state management table, and uses a list of packet transfer apparatuses having the specific access transfer function and the IP addresses accommodated by the packet transfer apparatus. From a certain network topology information 45, a packet transfer apparatus corresponding to the transmission source IP address is specified. The specific access transfer instruction transmission unit 46 acquires skeptical access list information corresponding to the packet transfer apparatus from the specific access transfer instruction generation unit 44 and transmits a specific access transfer instruction to the packet transfer apparatus. This specific access transfer instruction corresponds to setting a setting command via a CLI (Command Line Interface) by telnet, for example. The detailed analysis information processing unit 47 notifies the operator or an external system of unauthorized access information received from the later-described detailed analysis function by the unauthorized access information output unit 49, thereby completing a series of unauthorized access detection operations. .

続いて、パケット転送装置(特定アクセス転送機能)(図2の20)の動作について説明する。図5は、特定アクセス転送機能を有するパケット転送装置の機能ブロック図である。このパケット転送装置は、入出力インタフェース部51、特定アクセスフィルタ機能部52、ルーティング機能部53、特定アクセス生成部54、特定アクセス送信部55、特定アクセス転送指示受信部56を備えている。ここで、特定アクセス転送指示受信部56が、前記の特定アクセス転送指示を連携制御機能から受信すると、該当指示を特定アクセスフィルタ機能部52および特定アクセス生成部54に通知する。パケット転送装置50は、他のパケット転送装置と接続される入出力インタフェース部51−1とIPパケットの転送処理を行うルーティング機能部53を備えるルータであるが、入力パケットは特定アクセスフィルタ機能部52を通過して、ルーティング機能部53に転送される構造をとる。その際、特定アクセスフィルタ機能部52では、前記の通知された特定アクセス転送指示により指定された特定アクセスを抽出し、特定アクセス生成部54に送信する。特定アクセス生成部54では、特定アクセス転送指示によって指定された詳細分析機能宛のアクセスとして、抽出した特定アクセスを送信する。ここでは、特定アクセスの設定例として、懐疑アクセスリストのSIPアクセスに対応するRTPセッション情報を用いる。これにより、統計監視機能で検出した不正アクセスの疑いのあるSIPアクセスに対応するRTPアクセスを詳細分析機能に転送することが可能となる。   Next, the operation of the packet transfer device (specific access transfer function) (20 in FIG. 2) will be described. FIG. 5 is a functional block diagram of a packet transfer apparatus having a specific access transfer function. The packet transfer apparatus includes an input / output interface unit 51, a specific access filter function unit 52, a routing function unit 53, a specific access generation unit 54, a specific access transmission unit 55, and a specific access transfer instruction reception unit 56. When the specific access transfer instruction receiving unit 56 receives the specific access transfer instruction from the cooperation control function, the specific access transfer instruction receiving unit 56 notifies the specific access filter function unit 52 and the specific access generation unit 54 of the corresponding instruction. The packet transfer device 50 is a router including an input / output interface unit 51-1 connected to another packet transfer device and a routing function unit 53 that performs IP packet transfer processing. An input packet is a specific access filter function unit 52. Is taken and passed to the routing function unit 53. At that time, the specific access filter function unit 52 extracts the specific access specified by the notified specific access transfer instruction and transmits it to the specific access generation unit 54. The specific access generation unit 54 transmits the extracted specific access as an access addressed to the detailed analysis function designated by the specific access transfer instruction. Here, RTP session information corresponding to SIP access in the skeptical access list is used as an example of setting specific access. This makes it possible to transfer the RTP access corresponding to the SIP access that is suspected of unauthorized access detected by the statistical monitoring function to the detailed analysis function.

最後に、詳細分析機能(図2の19)の動作について説明する。図6は、詳細分析機能の機能ブロック図である。詳細分析機能60は、入出力インタフェース部61、アクセス情報蓄積部62、不正アクセス分析機能部63、不正アクセス情報生成部64、不正アクセス情報送信部65、詳細分析指示受信部66を備えている。アクセス情報蓄積部62は、前記のパケット転送装置(特定アクセス転送機能)から、RTP通信のアクセスを受信し、蓄積する。不正アクセス分析機能部63は、あらかじめ詳細分析指示受信部66を経由して通知された詳細分析指示に基づき、該当アクセスを監視する。例えば、指定されたRTPセッションのRTPパケットの受信間隔の異常などから不正アクセスを検出する。不正アクセス情報生成部64では、検出された不正アクセス情報を不正アクセス情報送信部65を介して、連携制御機能に通知する。   Finally, the operation of the detailed analysis function (19 in FIG. 2) will be described. FIG. 6 is a functional block diagram of the detailed analysis function. The detailed analysis function 60 includes an input / output interface unit 61, an access information storage unit 62, an unauthorized access analysis function unit 63, an unauthorized access information generation unit 64, an unauthorized access information transmission unit 65, and a detailed analysis instruction reception unit 66. The access information storage unit 62 receives and stores RTP communication accesses from the packet transfer device (specific access transfer function). The unauthorized access analysis function unit 63 monitors the corresponding access based on the detailed analysis instruction notified in advance via the detailed analysis instruction receiving unit 66. For example, unauthorized access is detected from an abnormality in the reception interval of RTP packets in a specified RTP session. The unauthorized access information generation unit 64 notifies the detected unauthorized access information to the cooperation control function via the unauthorized access information transmission unit 65.

上述のとおり、実施例1の説明では、統計監視機能、連携制御機能、特定アクセス転送機能、詳細分析機能が連携動作することで、VoIPの不正アクセスに対して、SIP通信を統計的に監視し、RTP通信を詳細に監視する動作例について説明することで、本発明の実施例1を構成する機能の詳細を説明した。   As described above, in the description of the first embodiment, the statistical monitoring function, the cooperation control function, the specific access transfer function, and the detailed analysis function operate in cooperation to statistically monitor SIP communication for unauthorized VoIP access. The details of the functions constituting the first embodiment of the present invention have been described by describing the operation example for monitoring the RTP communication in detail.

実施例2では、一部のアプリケーションサーバ向けのアクセスを特定アクセス転送機能によって統計監視機能宛に転送する場合を、実施例1と同様に監視対象のアプリケーションがVoIPのケースにて説明する。   In the second embodiment, a case where access for a part of application servers is transferred to the statistical monitoring function by the specific access transfer function will be described in the case where the application to be monitored is VoIP as in the first embodiment.

図7に実施例2の概要を示す。実施例1と異なる点は、この場合はSIPサーバであるアプリケーションサーバ10−2を直接監視する統計監視機能が無いため、アプリケーションサーバ収容ネットワーク14−2を介して当該SIPサーバを収容しているパケット転送装置(特定アクセス転送装置)20−3により、ユーザ端末11−2からSIPサーバ(アプリケーションサーバ10−2)宛のSIPアクセスが、統計監視機能17−1に転送されていることである。これにより、単一の統計監視機能17−1によって、2台のSIPサーバ(アプリケーションサーバ10−1およびアプリケーションサーバ10−2)の集中監視が可能となる。なお、実施例2においても統計監視機能以降の動作例は実施例1と同様となる。   FIG. 7 shows an outline of the second embodiment. The difference from the first embodiment is that, in this case, since there is no statistical monitoring function for directly monitoring the application server 10-2 which is a SIP server, the packet accommodating the SIP server via the application server accommodating network 14-2 The SIP access addressed to the SIP server (application server 10-2) from the user terminal 11-2 is transferred to the statistics monitoring function 17-1 by the transfer device (specific access transfer device) 20-3. Thereby, centralized monitoring of two SIP servers (application server 10-1 and application server 10-2) becomes possible by the single statistical monitoring function 17-1. In the second embodiment, the operation example after the statistical monitoring function is the same as that in the first embodiment.

なお、上述した実施形態および実施例の説明では、統計監視機能、連携制御機能、詳細監視機能、特定アクセス転送機能を、機能面から説明した。不正アクセス監視装置は、上述した各機能に加えて、CPU、メモリ、ハードディスクといったデバイスを備えているものとする。また、各機能はCPUによって処理されるプログラムのモジュールであってもよく、CPUがプログラムを処理することにより、統計監視手段、連携制御手段、詳細監視手段、特定アクセス転送手段が実現される。また、例えば、特定アクセス転送手段はパケット転送装置のCPUがプログラムを処理することにより実現されるようにしてもよい。   In the above description of the embodiments and examples, the statistical monitoring function, the linkage control function, the detailed monitoring function, and the specific access transfer function have been described from the functional aspect. The unauthorized access monitoring apparatus is assumed to include devices such as a CPU, a memory, and a hard disk in addition to the functions described above. Each function may be a module of a program processed by the CPU. When the CPU processes the program, a statistical monitoring unit, a linkage control unit, a detailed monitoring unit, and a specific access transfer unit are realized. Further, for example, the specific access transfer means may be realized by the CPU of the packet transfer apparatus processing a program.

以上のように、本発明に係る不正アクセス監視装置および方法は、ISPネットワークにおいてアプリケーションサーバおよびユーザ端末向けの不正アクセスを監視する手段として有用であり、統計監視機能と詳細分析機能を連携して動作させることで、複数のアプリケーションサーバに対する監視サービスの提供において、機能配備の最適化と監視装置の共有化により設備コストの低減化が可能となると共に、アプリケーションサーバ側のみに不正アクセス監視装置を設置する場合に検出可能な不正アクセス種別が拡大する点で有益である。   As described above, the unauthorized access monitoring apparatus and method according to the present invention are useful as means for monitoring unauthorized access for application servers and user terminals in an ISP network, and operate in cooperation with a statistical monitoring function and a detailed analysis function. As a result, in providing monitoring services for multiple application servers, it is possible to reduce facility costs by optimizing function deployment and sharing monitoring devices, and install unauthorized access monitoring devices only on the application server side. This is advantageous in that the types of unauthorized access that can be detected are expanded.

以上、本発明者によってなされた発明を、前記実施形態、実施例に基づき具体的に説明したが、本発明は、前記実施形態、実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。   As mentioned above, the invention made by the present inventor has been specifically described based on the above-described embodiments and examples. However, the present invention is not limited to the above-described embodiments and examples, and does not depart from the gist thereof. Of course, various changes can be made.

従来技術を用いた不正アクセス監視方法の概要を示す図である。It is a figure which shows the outline | summary of the unauthorized access monitoring method using a prior art. 本発明の実施形態1(実施例1)の不正アクセス監視装置の概要を示す図である。It is a figure which shows the outline | summary of the unauthorized access monitoring apparatus of Embodiment 1 (Example 1) of this invention. 統計監視機能の構成を示すブロック図である。It is a block diagram which shows the structure of a statistics monitoring function. 連携制御機能の構成を示すブロック図である。It is a block diagram which shows the structure of a cooperation control function. パケット転送装置(特定アクセス転送機能)の構成を示すブロック図である。It is a block diagram which shows the structure of a packet transfer apparatus (specific access transfer function). 詳細分析機能の構成を示すブロック図である。It is a block diagram which shows the structure of a detailed analysis function. 本発明の実施形態2(実施例2)の監視対象となるアプリケーションのアクセスを指定の統計監視機能に転送する工程の概要を示す図である。It is a figure which shows the outline | summary of the process of transferring the access of the application used as the monitoring object of Embodiment 2 (Example 2) of this invention to the designated statistics monitoring function. 懐疑アクセスリストの例を示す図である。It is a figure which shows the example of a skeptical access list.

符号の説明Explanation of symbols

10…アプリケーションサーバ、11…ユーザ端末、12…IDS装置、13…パケット転送装置、14…アプリケーションサーバ収容ネットワーク、15…ユーザ端末収容ネットワーク、16…ISPネットワーク、17…統計監視機能、18…連携制御機能、19…詳細分析機能、20…パケット転送装置(特定アクセス転送機能)、21…オペレータ/外部システム、30…統計監視機能、31…入出力インタフェース部、32…監視パケットフィルタ機能部、33…監視パケット情報蓄積部、34…監視パケット量測定部、35…懐疑アクセスリスト情報生成部、36…懐疑アクセスリスト情報送信部、40…連携制御機能、41…入出力インタフェース部、42…懐疑アクセスリスト情報受信部、43…状態管理テーブル、44…特定アクセス転送指示生成部、45…ネットワークトポロジ情報、46…特定アクセス転送指示送信部、47…詳細分析情報処理部、48…詳細分析情報送受信部、49…不正アクセス情報出力部、50…パケット転送装置(特定アクセス転送機能)、51…入出力インタフェース部、52…特定アクセスフィルタ機能部、53…ルーティング機能部、54…特定アクセス生成部、55…特定アクセス送信部、56…特定アクセス転送指示受信部、60…詳細分析機能、61…入出力インタフェース部、62…アクセス情報蓄積部、63…不正アクセス分析機能部、64…不正アクセス情報生成部、65…不正アクセス情報送信部、66…詳細分析指示受信部、80…懐疑アクセスリスト情報 DESCRIPTION OF SYMBOLS 10 ... Application server, 11 ... User terminal, 12 ... IDS apparatus, 13 ... Packet transfer apparatus, 14 ... Application server accommodation network, 15 ... User terminal accommodation network, 16 ... ISP network, 17 ... Statistics monitoring function, 18 ... Cooperation control Function: 19 ... Detailed analysis function, 20 ... Packet transfer device (specific access transfer function), 21 ... Operator / external system, 30 ... Statistics monitoring function, 31 ... I / O interface unit, 32 ... Monitoring packet filter function unit, 33 ... Monitoring packet information accumulating unit 34. Monitoring packet amount measuring unit 35. Skeptical access list information generating unit 36. Skeptical access list information transmitting unit 40. Cooperation control function 41. Input / output interface unit 42. Skeptical access list Information receiving unit, 43 ... state management table, 44 ... Fixed access transfer instruction generation unit, 45 ... network topology information, 46 ... specific access transfer instruction transmission unit, 47 ... detailed analysis information processing unit, 48 ... detailed analysis information transmission / reception unit, 49 ... unauthorized access information output unit, 50 ... packet transfer Device (specific access transfer function), 51 ... input / output interface unit, 52 ... specific access filter function unit, 53 ... routing function unit, 54 ... specific access generation unit, 55 ... specific access transmission unit, 56 ... reception of specific access transfer instruction , 60 ... Detailed analysis function, 61 ... I / O interface unit, 62 ... Access information storage unit, 63 ... Unauthorized access analysis function unit, 64 ... Unauthorized access information generation unit, 65 ... Unauthorized access information transmission unit, 66 ... Detailed analysis Instruction receiving unit, 80 ... Skeptical access list information

Claims (4)

ユーザ端末からアプリケーションサーバ向けの通過パケットを疎通するパケット転送装置を含んでいるネットワークにおいて不正アクセスを監視する不正アクセス監視装置であって、
統計監視機能と、連携制御機能と、特定アクセス転送機能と、詳細分析機能とを有し、
前記統計監視機能は、
監視対象となるアプリケーションサーバとユーザ端末間のパケット転送経路上に配備され、
前記ユーザ端末からアプリケーションサーバ向けの通過パケットを収集する手段と、
収集された通過パケットから、指定された特定アプリケーションの特定パケットの統計情報を監視する手段と、
特定パケットの統計情報から、不正アクセスの疑いのある懐疑アクセスのフロー情報と対応するアプリケーション情報を有する懐疑アクセスリスト情報を生成する手段と、
生成した懐疑アクセスリスト情報を連携制御機能に送信する手段と
を備え、
前記連携制御機能は、
前記懐疑アクセスリスト情報を受信する手段と、
前記懐疑アクセスのフロー情報から、該当フローの送信元を収容するパケット転送装置を特定する手段と、
特定されたパケット転送装置に対して、フロー情報と対応するアプリケーション情報を有する特定アクセス転送指示を送信する手段と、
前記懐疑アクセスのフロー情報と対応するアプリケーション情報を有する詳細分析指示を生成する手段と、
前記詳細分析指示を詳細分析機能へ送信し、詳細分析機能からの応答を待つ手段と、
詳細分析機能から不正アクセス情報を受信した場合、当該不正アクセス情報に含まれるフロー情報とアプリケーション情報をオペレータまたは外部システムヘ出力する手段と
を備え、
前記特定アクセス転送機能は、
パケット転送装置に具備される機能であり、
連携制御機能から特定アクセス転送指示を受信した場合、パケットを中継転送する際に、受信パケットから、特定アクセス転送指示にて指定されるアプリケーションの特定アクセスを抽出する手段と、
抽出した特定アクセスを詳細分析機能宛に送信する手段と、
を備え、
前記詳細分析機能は、
前記パケット転送装置から特定アクセスを受信する手段と、
前記連携制御機能から詳細分析指示を受信した場合、前記のパケット転送装置から受信した特定アクセスに対して、該当アプリケーションの不正アクセスを検出する手段と、
不正アクセスを検出した場合は、不正アクセス情報として該当フロー情報とアプリケーション情報を、連携制御機能に返信する手段と、
を備えることを特徴とする不正アクセス監視装置。
An unauthorized access monitoring device that monitors unauthorized access in a network including a packet transfer device that communicates a passing packet from an user terminal to an application server,
It has a statistics monitoring function, linkage control function, specific access transfer function, and detailed analysis function,
The statistical monitoring function is
Deployed on the packet transfer path between the application server to be monitored and the user terminal,
Means for collecting passing packets for the application server from the user terminal;
Means for monitoring statistics of specific packets of a specified specific application from collected transit packets;
Means for generating skeptical access list information having application information corresponding to flow information of suspicious access suspected of unauthorized access from statistical information of specific packets;
Means for transmitting the generated skeptical access list information to the linkage control function,
The cooperation control function is
Means for receiving said skeptical access list information;
Means for identifying a packet transfer apparatus accommodating a transmission source of the corresponding flow from the flow information of the skeptical access;
Means for transmitting a specific access transfer instruction having application information corresponding to the flow information to the specified packet transfer device;
Means for generating a detailed analysis instruction having application information corresponding to the flow information of the skeptic access;
Means for transmitting the detailed analysis instruction to the detailed analysis function and waiting for a response from the detailed analysis function;
When receiving unauthorized access information from the detailed analysis function, the flow information included in the unauthorized access information and means for outputting application information to an operator or an external system,
The specific access transfer function is:
A function provided in the packet transfer device,
Means for extracting the specific access of the application specified by the specific access transfer instruction from the received packet when relaying the packet when receiving the specific access transfer instruction from the cooperation control function;
A means for sending the extracted specific access to the detailed analysis function;
With
The detailed analysis function is
Means for receiving a specific access from the packet transfer device;
When receiving a detailed analysis instruction from the cooperation control function, with respect to the specific access received from the packet transfer device, means for detecting unauthorized access of the application,
When unauthorized access is detected, means for returning the flow information and application information as unauthorized access information to the linkage control function,
An unauthorized access monitoring device comprising:
ユーザ端末からアプリケーションサーバ向けの通過パケットを疎通するパケット転送装置を含んでいるネットワークにおいて不正アクセスを監視する不正アクセス監視装置における不正アクセス監視方法であって、
前記不正アクセス監視装置は、統計監視機能と、連携制御機能と、特定アクセス転送機能と、詳細分析機能とを有し、
前記統計監視機能は、監視対象となるアプリケーションサーバとユーザ端末間のパケット転送経路上に配備され、
前記特定アクセス転送機能は、パケット転送装置に具備される機能であり、
前記統計監視機能が、
前記ユーザ端末からアプリケーションサーバ向けの通過パケットを収集する工程と、
収集された通過パケットから、指定された特定アプリケーションの特定パケットの統計情報を監視する工程と、
特定パケットの統計情報から、不正アクセスの疑いのある懐疑アクセスのフロー情報と対応するアプリケーション情報を有する懐疑アクセスリスト情報を生成する工程と、
生成した懐疑アクセスリスト情報を連携制御機能に送信する工程と、
前記連携制御機能が、
前記懐疑アクセスリスト情報を受信する工程と、
前記懐疑アクセスのフロー情報から、該当フローの送信元を収容するパケット転送装置を特定する工程と、
特定されたパケット転送装置に対して、フロー情報と対応するアプリケーション情報を有する特定アクセス転送指示を送信する工程と、
前記懐疑アクセスのフロー情報と対応するアプリケーション情報を有する詳細分析指示を生成する工程と、
前記詳細分析指示を詳細分析機能に送信し、詳細分析機能からの応答を待つ工程と、
前記特定アクセス転送機能が、
連携制御機能から特定アクセス転送指示を受信した場合、パケットを中継転送する際に、受信パケットから、懐疑アクセスリスト情報にて指定されるアプリケーションの特定アクセスを抽出する工程と、
抽出した特定アクセスを詳細分析機能宛に送信する工程と、
前記詳細分析機能が、
前記パケット転送機能から特定アクセスを受信する工程と、
前記連携制御機能から詳細分析指示を受信した場合、前記のパケット転送装置から受信した特定アクセスに対して、該当アプリケーションの不正アクセスを検出する工程と、
不正アクセスを検出した場合は、不正アクセス情報として該当フロー情報とアプリケーション情報を、連携制御機能に返信する工程と、
前記連携制御機能が、
詳細分析機能から不正アクセス情報を受信した場合、当該不正アクセス情報に含まれるフロー情報とアプリケーション情報をオペレータまたは外部システムヘ出力する工程と
を含むことを特徴とする不正アクセス監視方法。
An unauthorized access monitoring method in an unauthorized access monitoring device for monitoring unauthorized access in a network including a packet transfer device that communicates a passing packet from a user terminal to an application server,
The unauthorized access monitoring device has a statistical monitoring function, a linkage control function, a specific access transfer function, and a detailed analysis function,
The statistical monitoring function is deployed on the packet transfer path between the application server to be monitored and the user terminal,
The specific access transfer function is a function provided in the packet transfer device,
The statistical monitoring function is
Collecting passing packets for the application server from the user terminal;
Monitoring statistics of a specific packet of a specified specific application from collected collected packets;
Generating skeptical access list information having application information corresponding to flow information of suspicious access suspected of unauthorized access from statistical information of specific packets;
Sending the generated skeptical access list information to the linkage control function;
The linkage control function is
Receiving the skeptical access list information;
A step of identifying a packet transfer apparatus accommodating a transmission source of the flow from the flow information of the skepticism access;
Transmitting a specific access transfer instruction having application information corresponding to the flow information to the specified packet transfer device;
Generating a detailed analysis instruction having application information corresponding to the flow information of the skeptic access;
Sending the detailed analysis instruction to the detailed analysis function and waiting for a response from the detailed analysis function;
The specific access transfer function is
When receiving the specific access transfer instruction from the cooperation control function, when relaying the packet, extracting the specific access of the application specified by the skeptic access list information from the received packet;
Sending the extracted specific access to the detailed analysis function;
The detailed analysis function is
Receiving specific access from the packet forwarding function;
When receiving a detailed analysis instruction from the cooperation control function, for the specific access received from the packet transfer device, detecting the unauthorized access of the application,
When unauthorized access is detected, a process of returning the flow information and application information as unauthorized access information to the linkage control function;
The linkage control function is
A method of monitoring unauthorized access, comprising a step of outputting flow information and application information included in the unauthorized access information to an operator or an external system when unauthorized access information is received from the detailed analysis function.
請求項2に記載の不正アクセス監視方法において、
アプリケーションサーバとユーザ端末間のパケット転送経路上に統計監視機能が配備されていないアプリケーションサーバを収容するパケット転送装置の特定アクセス転送機能が、監視対象となるアプリケーションのアクセスを、指定の統計監視機能に転送する工程と、
前記指定の統計監視機能が、前記パケット転送装置から転送された監視対象となるアプリケーションのアクセスを含む情報から、不正アクセスの疑いのある複数アクセスのフロー情報と対応するアプリケーション情報からなる懐疑アクセスリスト情報を生成する工程と
を含むことを特徴とする不正アクセス監視方法。
The unauthorized access monitoring method according to claim 2,
The specific access transfer function of the packet transfer device that accommodates the application server that does not have the statistical monitoring function on the packet transfer path between the application server and the user terminal can change the access of the application to be monitored to the specified statistical monitoring function. Transferring, and
Skeptical access list information consisting of application information corresponding to flow information of multiple accesses suspected of unauthorized access from information including access of application to be monitored transferred from the packet transfer device by the designated statistical monitoring function And an unauthorized access monitoring method characterized by comprising:
請求項2または請求項3に記載の不正アクセス監視方法において、
前記統計監視機能が、
監視対象となるアプリケーションサーバ向けの当該アプリケーションのシグナリングプロトコルのアクセスを監視対象とする工程と、
前記のシグナリングプロトコルの監視から、不正アクセスの疑いのあるシグナリングプロトコルのアクセス情報を検出し、対応するメディアプロトコル情報を有する懐疑アクセスリスト情報を連携制御機能に通知する工程と、
前記連携制御機能が、
特定アクセス転送指示において、統計監視機能から受信した対応するメディアプロトコルの該当アクセスを詳細分析機能へ転送することを特定アクセス転送機能に指示する工程と、
前記特定アクセス転送機能が、
連携制御機能から受信した特定アクセス転送指示に基づき、指定されたメディアプロトコルの該当アクセスを詳細分析機能へ転送する工程と、
前記詳細分析機能が、
特定アクセス転送機能から受信したメディアプロトコルを監視し不正アクセスを検出する工程と、
を含むことを特徴とする不正アクセス監視方法。
In the unauthorized access monitoring method according to claim 2 or claim 3,
The statistical monitoring function is
A process for monitoring access of the signaling protocol of the application for the application server to be monitored;
Detecting the signaling protocol access information suspected of unauthorized access from the monitoring of the signaling protocol and notifying the linkage control function of the suspicious access list information having the corresponding media protocol information;
The linkage control function is
Instructing the specific access transfer function to transfer the corresponding access of the corresponding media protocol received from the statistical monitoring function to the detailed analysis function in the specific access transfer instruction;
The specific access transfer function is
Based on the specific access transfer instruction received from the cooperation control function, transferring the corresponding access of the specified media protocol to the detailed analysis function;
The detailed analysis function is
Monitoring the media protocol received from the specific access transfer function to detect unauthorized access;
An unauthorized access monitoring method comprising:
JP2007285718A 2007-11-02 2007-11-02 Unauthorized access monitoring apparatus and method Active JP4570652B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007285718A JP4570652B2 (en) 2007-11-02 2007-11-02 Unauthorized access monitoring apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007285718A JP4570652B2 (en) 2007-11-02 2007-11-02 Unauthorized access monitoring apparatus and method

Publications (2)

Publication Number Publication Date
JP2009117929A true JP2009117929A (en) 2009-05-28
JP4570652B2 JP4570652B2 (en) 2010-10-27

Family

ID=40784608

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007285718A Active JP4570652B2 (en) 2007-11-02 2007-11-02 Unauthorized access monitoring apparatus and method

Country Status (1)

Country Link
JP (1) JP4570652B2 (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010039749A (en) * 2008-08-05 2010-02-18 Nippon Telegr & Teleph Corp <Ntt> Access destination scoring method and program thereof
JP2011019001A (en) * 2009-07-07 2011-01-27 Nippon Telegr & Teleph Corp <Ntt> Device, method, and program for visualizing fault position in ip network
JP2011193379A (en) * 2010-03-16 2011-09-29 Kddi R & D Laboratories Inc Communication system
WO2011118575A1 (en) * 2010-03-24 2011-09-29 日本電気株式会社 Communication system, control device and traffic monitoring method
JP2012074867A (en) * 2010-09-28 2012-04-12 Oki Electric Ind Co Ltd Traffic monitoring system, traffic monitoring method and network management system
JP2014099758A (en) * 2012-11-14 2014-05-29 National Institute Of Information & Communication Technology Unauthorized communication detection method by comparing observation information by multiple sensors
JP2015029356A (en) * 2009-09-10 2015-02-12 日本電気株式会社 Control device, communication system, control method and program
JP2015029173A (en) * 2013-07-30 2015-02-12 株式会社日立製作所 Monitoring system, method, and capture device
WO2015194604A1 (en) * 2014-06-18 2015-12-23 日本電信電話株式会社 Network system, control apparatus, communication apparatus, communication control method, and communication control program
WO2017061469A1 (en) * 2015-10-06 2017-04-13 日本電信電話株式会社 Identification system, identification device and identification method

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5957593B2 (en) * 2013-02-20 2016-07-27 株式会社日立製作所 Data relay apparatus, network system, and data relay method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006050442A (en) * 2004-08-06 2006-02-16 Nippon Telegr & Teleph Corp <Ntt> Traffic monitoring method and system
JP2006100873A (en) * 2004-09-28 2006-04-13 Nippon Telegr & Teleph Corp <Ntt> Sip packet filtering apparatus, network indirect connection apparatus, and sip server

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006050442A (en) * 2004-08-06 2006-02-16 Nippon Telegr & Teleph Corp <Ntt> Traffic monitoring method and system
JP2006100873A (en) * 2004-09-28 2006-04-13 Nippon Telegr & Teleph Corp <Ntt> Sip packet filtering apparatus, network indirect connection apparatus, and sip server

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010039749A (en) * 2008-08-05 2010-02-18 Nippon Telegr & Teleph Corp <Ntt> Access destination scoring method and program thereof
JP2011019001A (en) * 2009-07-07 2011-01-27 Nippon Telegr & Teleph Corp <Ntt> Device, method, and program for visualizing fault position in ip network
US10075338B2 (en) 2009-09-10 2018-09-11 Nec Corporation Relay control unit, relay control system, relay control method, and relay control program
JP2015029356A (en) * 2009-09-10 2015-02-12 日本電気株式会社 Control device, communication system, control method and program
JP2011193379A (en) * 2010-03-16 2011-09-29 Kddi R & D Laboratories Inc Communication system
WO2011118575A1 (en) * 2010-03-24 2011-09-29 日本電気株式会社 Communication system, control device and traffic monitoring method
JP2012074867A (en) * 2010-09-28 2012-04-12 Oki Electric Ind Co Ltd Traffic monitoring system, traffic monitoring method and network management system
JP2014099758A (en) * 2012-11-14 2014-05-29 National Institute Of Information & Communication Technology Unauthorized communication detection method by comparing observation information by multiple sensors
JP2015029173A (en) * 2013-07-30 2015-02-12 株式会社日立製作所 Monitoring system, method, and capture device
WO2015194604A1 (en) * 2014-06-18 2015-12-23 日本電信電話株式会社 Network system, control apparatus, communication apparatus, communication control method, and communication control program
JP2017143583A (en) * 2014-06-18 2017-08-17 日本電信電話株式会社 Network system
JP2018038062A (en) * 2014-06-18 2018-03-08 日本電信電話株式会社 Network system, control device, communication equipment, communication control method, and communication control program
CN106464577A (en) * 2014-06-18 2017-02-22 日本电信电话株式会社 Network system, control apparatus, communication apparatus, communication control method, and communication control program
US10397260B2 (en) 2014-06-18 2019-08-27 Nippon Telegraph And Telephone Corporation Network system
CN106464577B (en) * 2014-06-18 2019-10-29 日本电信电话株式会社 Network system, control device, communication device and communication control method
US10476901B2 (en) 2014-06-18 2019-11-12 Nippon Telegraph And Telephone Corporation Network system, control apparatus, communication apparatus, communication control method, and communication control program
WO2017061469A1 (en) * 2015-10-06 2017-04-13 日本電信電話株式会社 Identification system, identification device and identification method
JPWO2017061469A1 (en) * 2015-10-06 2018-02-15 日本電信電話株式会社 SPECIFIC SYSTEM, SPECIFIC DEVICE, AND SPECIFIC METHOD
US10972490B2 (en) 2015-10-06 2021-04-06 Nippon Telegraph And Telephone Corporation Specifying system, specifying device, and specifying method

Also Published As

Publication number Publication date
JP4570652B2 (en) 2010-10-27

Similar Documents

Publication Publication Date Title
JP4570652B2 (en) Unauthorized access monitoring apparatus and method
Sahay et al. ArOMA: An SDN based autonomic DDoS mitigation framework
US7849506B1 (en) Switching device, method, and computer program for efficient intrusion detection
US10091167B2 (en) Network traffic analysis to enhance rule-based network security
Papadopoulos et al. Cossack: Coordinated suppression of simultaneous attacks
Zaalouk et al. OrchSec: An orchestrator-based architecture for enhancing network-security using network monitoring and SDN control functions
JP4827972B2 (en) Network monitoring device, network monitoring method, and network monitoring program
US20040148520A1 (en) Mitigating denial of service attacks
JP2006352831A (en) Network controller and method of controlling the same
JP2009089241A (en) Apparatus, method and program, for detecting abnormal traffic
KR100947211B1 (en) System for active security surveillance
JP2011035932A (en) Network controller and controlling method thereof
JP4259183B2 (en) Information processing system, information processing apparatus, program, and method for detecting communication abnormality in communication network
Tran et al. FlowTracker: A SDN stateful firewall solution with adaptive connection tracking and minimized controller processing
Aziz et al. A distributed infrastructure to analyse SIP attacks in the Internet
US8369312B2 (en) Method and system for retrieving log messages from customer premise equipment
JP2006164038A (en) Method for coping with dos attack or ddos attack, network device and analysis device
JP2004248185A (en) System for protecting network-based distributed denial of service attack and communication device
Wang et al. Bridging the gap between security tools and SDN controllers
Awadi Dual-layer sdn model for deploying and securing network forensic in distributed data center
CN114172881A (en) Network security verification method, device and system based on prediction
JP2017163505A (en) Monitoring device, switch, communication device, communication system, monitoring method, and monitoring program
JP2006050442A (en) Traffic monitoring method and system
US20120096548A1 (en) Network attack detection
Edwards Network intrusion detection systems: Important ids network security vulnerabilities

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091222

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100803

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100810

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130820

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4570652

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350