JP2009238185A - ネットワークシステムおよび管理サーバ装置 - Google Patents
ネットワークシステムおよび管理サーバ装置 Download PDFInfo
- Publication number
- JP2009238185A JP2009238185A JP2008086975A JP2008086975A JP2009238185A JP 2009238185 A JP2009238185 A JP 2009238185A JP 2008086975 A JP2008086975 A JP 2008086975A JP 2008086975 A JP2008086975 A JP 2008086975A JP 2009238185 A JP2009238185 A JP 2009238185A
- Authority
- JP
- Japan
- Prior art keywords
- data
- database
- period
- normal
- communication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
【課題】異常なデータ送受信の発生をより適切に検知できるネットワークシステムおよびサーバ装置を提供する。
【解決手段】ネットワークシステム1は、取得手段810が取得した通信情報からデータの属性値を抽出する抽出手段105−1と、各第1の期間に対応する第1の正常範囲と、前記第1の期間よりも長い各第2の期間に対応する第2の正常範囲とを格納する第1のデータベース107−1と、第2のデータベース107−2と、データの属性値が第1の正常範囲内であるか否かを判断する第1の判断手段105−2aと、データの属性値が第2の正常範囲内であるか否かを判断する第2の判断手段105−2bと、前記第1および第2の判断手段の判断結果に基づいて、データが正常であるか否かを判断する総合判断手段105−2dと、前記データが正常でないと判断された場合に、当該データに関する通信情報を前記第2のデータベース107−2に格納する格納手段105−3とを備える。
【選択図】図4
【解決手段】ネットワークシステム1は、取得手段810が取得した通信情報からデータの属性値を抽出する抽出手段105−1と、各第1の期間に対応する第1の正常範囲と、前記第1の期間よりも長い各第2の期間に対応する第2の正常範囲とを格納する第1のデータベース107−1と、第2のデータベース107−2と、データの属性値が第1の正常範囲内であるか否かを判断する第1の判断手段105−2aと、データの属性値が第2の正常範囲内であるか否かを判断する第2の判断手段105−2bと、前記第1および第2の判断手段の判断結果に基づいて、データが正常であるか否かを判断する総合判断手段105−2dと、前記データが正常でないと判断された場合に、当該データに関する通信情報を前記第2のデータベース107−2に格納する格納手段105−3とを備える。
【選択図】図4
Description
この発明は、少なくとも1つのクライアント装置を含むネットワークシステムおよび当該ネットワークシステムに含まれる管理サーバ装置に関し、特に少なくとも1つのクライアント装置とネットワークとの間における異常なデータ送受信を把握するためのネットワークシステムおよび管理サーバ装置に関する。
近年のネットワーク技術の進歩に伴い、各種の分野において、社内ネットワークや社外ネットワークを介して接続された複数のコンピュータからなるネットワークシステムが使用されるようになっている。そして、企業秘密などを取り扱う通信機器が含まれる企業内のネットワークシステムにおいては、不正行為の検知、通信機器の設定ミスの検知、スパイウェアソフトへの感染の検知、およびそれらの発生状況の把握や記録は、非常に重要な課題である。しかしながら、不正行為やスパイウェアソフトへの感染などを検知したり把握したり記録したりすることは容易ではない。
たとえば、特開2008−22498号公報(特許文献1)には、内部ネットワークに対してデータの入出力を行う第1入出力部と、外部ネットワークに対してデータの入出力を行う第2入出力部と、入力データからトラフィックの異常を検知するためのデータを集計するデータ集計部と、データ集計部によって過去一定期間の間に集計されたデータを、トラフィックの異常度を計算する際の指標として用いる指標データとして保持する指標データ保持部と、データ集計部によって異常度計算時刻に集計された評価データと、指標データ保持部から取得した指標データとを用いてトラフィックの異常度を計算する異常度計算部とを含むネットワーク異常検知装置が開示されている。
また、特開2006−268167号公報(特許文献2)には、企業システムにセキュリティ監視サービスを提供するウィルス監視装置と、企業システムがシステムの出入り口に設けたファイアウォール装置と、前記ウィルス監視装置と前記ファイアウォール装置とを接続するインターネットを含むネットワークと、を備えたセキュリティシステムが開示されている。前記ウィルス監視装置は、ウィルス感染判定ポリシーの定義する前記ファイアウォール装置の通信量についての閾値と、前記ファイアウォール装置の一定時間における通信量とを比較し、前記ファイアウォール装置における通信量が前記閾値を越えると、前記ウィルス感染判定ポリシーが定義するアクションに従い、前記企業システムにウィルス感染アラーム通知や前記ファイアウォール装置のポートの遮断通知を含む動作を実行する。前記ウィルス監視装置は、前記閾値を、前記ファイアウォール装置の過去の通信量を元に算出し、前記過去の通信量を現時点で受信した前記ファイアウォール装置からの通信量で更新して記憶する。
特開2008−22498号公報
特開2006−268167号公報
しかしながら、上記の従来技術のシステムにおいては、トラフィックが異常なものであるか否かを判断するための基準となる値が、過去一定期間に集計されたデータであったり、予め設定された1つの閾値であったりするため、対象となるトラフィックが異常なものであるか否かの判断の信頼性が低くなることがあった。たとえば、その閾値を決定するために用いられたデータが一時的に異常である場合があるからである。また、たとえば、トラフィックデータの中には、ある期間に送受信された場合は異常と判断すべきであり、別の期間に送受信された場合は正常と判断すべきものもある。
つまり、従来の異常トラフィック検出システムは、予め知られている攻撃パターンを有するウイルスプログラムや、予め知られている不正な通信処理などといった予め知られた異常事象の検知は可能であったが、新しい攻撃パターンを有するウイルスプログラムや、社内の人間が行う不正な通信処理などといった予め知られていない異常事象を検知する精度は低かった。
本発明は上記の不具合を解決するためになされたものであって、本発明の主たる目的は、異常なデータ送受信の発生をより適切に検知できるネットワークシステムおよび管理サーバ装置を提供することである。
この発明のある局面に従うネットワークシステムは、ネットワークに接続される少なくとも1つのクライエント装置と、クライエント装置とネットワークとの間で送受信されるデータに関する送受信時間を含む通信情報を取得する取得手段と、取得手段が取得した通信情報からデータの属性値を抽出する抽出手段と、複数の第1の期間にそれぞれ対応付けられた複数の第1の正常範囲を、所定数の第1の期間からなる第1の周期分格納するとともに、第1の期間よりも長い複数の第2の期間にそれぞれ対応付けられた複数の第2の正常範囲を、所定数の第2の期間からなる第2の周期分格納する第1のデータベースと、第2のデータベースと、データが送受信された時間に対応する第1の期間に対応付けられた第1の正常範囲を第1のデータベースから読み出して、データの属性値が第1の正常範囲内であるか否かを判断する第1の判断手段と、データが送受信された時間に対応する第2の期間に対応付けられた第2の正常範囲を第1のデータベースから読み出して、データの属性値が第2の正常範囲内であるか否かを判断する第2の判断手段と、第1および第2の判断手段の判断結果に基づいて、データが正常であるか否かを判断する総合判断手段と、データが正常でないと判断された場合に、当該データに関する通信情報を第2のデータベースに格納する格納手段とを備える。
好ましくは、ネットワークシステムは、第3のデータベースをさらに備える。格納手段は、データが正常であると判断された場合に、当該データに関する通信情報を第3のデータベースに格納する。ネットワークシステムは、第3のデータベースに格納されている少なくとも1つのデータに関する通信情報を参照して、データの属性値に基づき、第1のデータベースの第1および第2の正常範囲を更新する更新手段をさらに備える。
好ましくは、ネットワークシステムは、第4のデータベースをさらに備える。格納手段は、データに関する通信情報を第4のデータベースに格納する。ネットワークシステムは、第4のデータベースに格納されている少なくとも1つのデータに関する通信情報を参照して、データの属性値に基づき、第1のデータベースの第1および第2の正常範囲を更新する更新手段をさらに備える。
好ましくは、データの属性値は、データのデータ量である。
好ましくは、第1の周期と第1の期間および第2の周期と第2の期間の各々は、1日と時間帯および1週間と曜日、あるいは、1日と時間帯および1月と1日である。
好ましくは、第1の周期と第1の期間および第2の周期と第2の期間の各々は、1日と時間帯および1週間と曜日、あるいは、1日と時間帯および1月と1日である。
好ましくは、第1の周期と第1の期間および第2の周期と第2の期間の各々は、1週間と曜日および1年と月間、あるいは、1月と1日および1年と1月である。
好ましくは、ネットワークシステムは、各々の第1の期間における通信情報に基づく統計情報を格納する第5のデータベースと、各々の第2の期間における通信情報に基づく統計情報を格納する第6のデータベースとをさらに備える。更新手段は、データに関する通信情報に基づいて、第5のデータベースにおけるデータが送受信された時間が含まれる第1の期間に対応する統計情報を更新し、第5のデータベースを参照して、第6のデータベースにおけるデータが送受信された時間が含まれる第2の期間に対応する統計情報を更新し、第5および第6のデータベースに格納された統計情報に基づいて、第1のデータベースにおける第1および第2の正常範囲を更新する。
この発明の別の局面に従う管理サーバ装置は、少なくとも1つのクライエント装置とネットワークとの間で送受信されるデータに関する送受信時間を含む通信情報からデータの属性値を抽出する抽出手段と、複数の第1の期間にそれぞれ対応付けられた複数の第1の正常範囲を、所定数の第1の期間からなる第1の周期分格納するとともに、第1の期間よりも長い複数の第2の期間にそれぞれ対応付けられた複数の第2の正常範囲を、所定数の第2の期間からなる第2の周期分格納する第1のデータベースと、第2のデータベースと、データが送受信された時間に対応する第1の期間に対応付けられた第1の正常範囲を第1のデータベースから読み出して、データの属性値が第1の正常範囲内であるか否かを判断する第1の判断手段と、データが送受信された時間に対応する第2の期間に対応付けられた第2の正常範囲を第1のデータベースから読み出して、データの属性値が第2の正常範囲内であるか否かを判断する第2の判断手段と、第1および第2の判断手段の判断結果に基づいて、データが正常であるか否かを判断する総合判断手段と、データが正常でないと判断された場合に、当該データに関する通信情報を第2のデータベースに格納する格納手段とを備える。
好ましくは、管理サーバ装置は、第3のデータベースをさらに備える。格納手段は、データが正常であると判断された場合に、当該データに関する通信情報を第3のデータベースに格納する。管理サーバ装置は、第3のデータベースに格納されている少なくとも1つのデータに関する通信情報を参照して、データの属性値に基づき、第1のデータベースの第1および第2の正常範囲を更新する更新手段をさらに備える。
好ましくは、管理サーバ装置は、第4のデータベースをさらに備える。格納手段は、データに関する通信情報を第4のデータベースに格納する。管理サーバ装置は、第4のデータベースに格納されている少なくとも1つのデータに関する通信情報を参照して、データの属性値に基づき、第1のデータベースの第1および第2の正常範囲を更新する更新手段をさらに備える。
好ましくは、データの属性値は、データのデータ量である。
好ましくは、第1の周期と第1の期間および第2の周期と第2の期間の各々は、1日と時間帯および1週間と曜日、あるいは、1日と時間帯および1月と1日である。
好ましくは、第1の周期と第1の期間および第2の周期と第2の期間の各々は、1日と時間帯および1週間と曜日、あるいは、1日と時間帯および1月と1日である。
好ましくは、第1の周期と第1の期間および第2の周期と第2の期間の各々は、1週間と曜日および1年と月間、あるいは、1月と1日および1年と1月である。
好ましくは、管理サーバ装置は、各々の第1の期間における通信情報に基づく統計情報を格納する第5のデータベースと、各々の第2の期間における通信情報に基づく統計情報を格納する第6のデータベースとをさらに備える。更新手段は、データに関する通信情報に基づいて、第5のデータベースにおけるデータが送受信された時間が含まれる第1の期間に対応する統計情報を更新し、第5のデータベースを参照して、第6のデータベースにおけるデータが送受信された時間が含まれる第2の期間に対応する統計情報を更新し、第5および第6のデータベースに格納された統計情報に基づいて、第1のデータベースにおける第1および第2の正常範囲を更新する。
以上のように、この発明によれば、異常なデータ送受信の発生をより適切に検知できるネットワークシステムおよび管理サーバ装置を提供することができるようになる。
以下、図面に基づいて本発明の実施の形態について説明する。なお以下の説明では、同一の部品については同一の符号を付すものとし、その部品の名称や機能が同一である場合には、その部品についての詳細な説明は繰り返さない。
[実施の形態1]
<ネットワークシステムの全体構成>
まず、本実施の形態に係るネットワークシステム1の全体構成について説明する。図1は、本実施の形態に係るネットワークシステム1の全体構成を示す概略図である。図1に示すように、ネットワークシステム1は、LAN(Local Area Network)600と、LAN600に接続される複数のクライエント装置500a,500b,500c・・・と、LAN600に接続されてネットワークシステム1の状態を出力する管理サーバ装置(代表的には、社内の運用サーバなど)100と、LAN600に接続される内部管理サーバ装置200と、LAN600に接続されるルータ300と、ルータ300を介してLAN600に接続されるインターネット700などのWAN(Wide Area Network)(以下、インターネット700とする。)と、インターネット700に接続される外部管理サーバ装置400などを含む。以下では、クライエント装置500a,500b,500c・・・の各々の構成や機能を説明する際には、クライエント装置500a,500b,500c・・・の各々をクライエント装置500と総称する。
<ネットワークシステムの全体構成>
まず、本実施の形態に係るネットワークシステム1の全体構成について説明する。図1は、本実施の形態に係るネットワークシステム1の全体構成を示す概略図である。図1に示すように、ネットワークシステム1は、LAN(Local Area Network)600と、LAN600に接続される複数のクライエント装置500a,500b,500c・・・と、LAN600に接続されてネットワークシステム1の状態を出力する管理サーバ装置(代表的には、社内の運用サーバなど)100と、LAN600に接続される内部管理サーバ装置200と、LAN600に接続されるルータ300と、ルータ300を介してLAN600に接続されるインターネット700などのWAN(Wide Area Network)(以下、インターネット700とする。)と、インターネット700に接続される外部管理サーバ装置400などを含む。以下では、クライエント装置500a,500b,500c・・・の各々の構成や機能を説明する際には、クライエント装置500a,500b,500c・・・の各々をクライエント装置500と総称する。
そして、クライエント装置500a,500b,500c・・・とLAN600との間には、ハブ811などを介してパケットロガー812が接続されている。パケットロガー812は、クライエント装置500a,500b,500c・・・からLAN600へと送信されるパケット(データ)の内容や、LAN600からクライエント装置500a,500b,500c・・・へと返信されるパケット(データ)の内容を調べて、クライエント装置500a,500b,500c・・・とLAN600との間におけるデータ送受信に関する通信情報を取得する装置である。
より詳細には、パケット(データ)は、ヘッダ情報とボディ情報とを含む。そして、パケットロガー812は、内部に図示しない時計を含む。パケットロガー812は、管理サーバ装置100に接続されており、クライエント装置500a,500b,500c・・・とLAN600との間における各パケット(データ)の通過時刻(送受信時刻)を測定する。パケットロガー812は、各パケット(データ)からヘッダ情報を抽出して、ヘッダ情報に含まれる送信元アドレスや送信先アドレスやセッションID(たとえば、ポート番号)などのデータ送受信に関する通信情報を送受信時刻とともに管理サーバ装置100へと送信する。
本実施の形態に係る管理サーバ装置100は、LAN600と、パケットロガー812と接続されており、データ送受信に関する通信情報などを管理者などに対して出力する装置である。管理サーバ装置100によって行われる送受信データ管理処理は、代表的に、パーソナルコンピュータやワークステーションなどのコンピュータ上で実行されるソフトウェアによって実現される。
<ネットワークシステムの動作概要>
ここで、本実施の形態に係るネットワークシステム1の動作概要について説明する。クライエント装置500がネットワーク600を介して外部管理サーバ装置400にデータを送信すると、パケットロガー812がハブ811を通過するパケットの通過時刻を取得して、パケットのヘッダ情報を調べる。また、クライエント装置500がネットワークを介して外部の管理サーバ装置400からデータを受信した場合にも、パケットロガー812がハブ811を通過するパケットの通過時刻を取得して、パケットのヘッダ情報を調べる。パケットロガー812は、通信時間やヘッダ情報に含まれる各種の情報に基づいて、データ送受信に関する通信情報を管理サーバ装置100へと送信する。
ここで、本実施の形態に係るネットワークシステム1の動作概要について説明する。クライエント装置500がネットワーク600を介して外部管理サーバ装置400にデータを送信すると、パケットロガー812がハブ811を通過するパケットの通過時刻を取得して、パケットのヘッダ情報を調べる。また、クライエント装置500がネットワークを介して外部の管理サーバ装置400からデータを受信した場合にも、パケットロガー812がハブ811を通過するパケットの通過時刻を取得して、パケットのヘッダ情報を調べる。パケットロガー812は、通信時間やヘッダ情報に含まれる各種の情報に基づいて、データ送受信に関する通信情報を管理サーバ装置100へと送信する。
管理サーバ装置100は、パケットロガー812からのトラフィック毎(セクション毎)の通信情報を一定期間蓄積する。より詳細には、パケットロガー812が、ハブ811を通過する各パケットからシーケンス番号などを取得する。管理サーバ装置100あるいはパケットロガー812は、そのシーケンス番号などに基づいて、ハブ811を通過するトラフィック単位(セクション単位)のデータに関する通信情報を取得する。
管理サーバ装置100は、当該通信情報に基づいて、送受信データの統計情報を生成する。統計情報は、通信情報に含まれるデータ量や送信先アドレスなどの属性値に関するものである。統計情報は、一日を周期とした各時間帯の統計情報や、1週間を周期にした各曜日の統計情報や、1月を周期とした各日にちの統計情報や、1年を周期とした各月間の統計情報などである。管理サーバ装置100は、蓄積した一定期間の通信情報に基づいて、統計情報を更新する。
管理サーバ装置100は、パケットロガー812からの取得したデータに関する通信情報からデータ量や送信先アドレスなどの属性値を取得して、当該属性値と統計情報から得られる属性値の正常範囲とを比較して、ハブ811を通過したデータが正常なデータであるか否かを判断する。正常でないデータ(異常データ)がハブ811を通過した場合には、当該データに関する通信情報を異常通信情報として蓄積する。管理サーバ装置100は、蓄積された異常通信情報を出力したり、当該異常通信情報に対応するデータを送受信したクライエント装置500を出力したり、クライエント装置500毎の異常通信情報の統計データを出力したりする。
以下、このような機能を実現するための構成について詳述する。
<管理サーバ装置100>
図2は、本実施の形態に係る管理サーバ装置100を示す斜視図である。図2に示すように、この管理サーバ装置100は、FD(Flexible Disk)駆動装置111およびCD−ROM(Compact Disk-Read Only Memory)駆動装置113を備えたコンピュータ本体101と、モニタ102と、キーボード103と、マウス104とを含む。
<管理サーバ装置100>
図2は、本実施の形態に係る管理サーバ装置100を示す斜視図である。図2に示すように、この管理サーバ装置100は、FD(Flexible Disk)駆動装置111およびCD−ROM(Compact Disk-Read Only Memory)駆動装置113を備えたコンピュータ本体101と、モニタ102と、キーボード103と、マウス104とを含む。
図3は、本実施の形態に係る管理サーバ装置100のハードウェア構成を示す制御ブロック図である。図3に示すように、コンピュータ本体101は、上記したFD駆動装置111およびCD−ROM駆動装置113に加えて、相互に内部バス108で接続されたCPU(Central Processing Unit)105と、メモリ106と、固定ディスク107と、通信インターフェイス109、表示部インターフェイス115とを含む。FD駆動装置111にはFD112が装着される。CD−ROM駆動装置113にはCD−ROM114が装着される。
モニタ102は、液晶パネルやCRTから構成されるものであって、CPU105が出力した情報を表示する。キーボード103は、キー入力により、ユーザから情報を受け付ける。マウス104は、クリックされたりやスライドされることによって、ユーザから情報を受け付ける。メモリ106は、各種の情報を記憶するものであって、たとえば、CPU105でのプログラムの実行に必要なデータを一時的に記憶する。固定ディスク107は、CPU105が実行するプログラムやデータベースを記憶する。
CPU105は、コンピュータの各要素を制御するものであって、各種の演算を実施する装置である。また、CPU105は、後述するように、送受信データ管理処理等を行うものであって、当該処理結果を内部バス108を介してモニタ102に出力する。
通信インターフェイス109は、CPU105が出力した情報を電気信号へと変換するものであって、CPU105が出力した情報をその他の装置が利用できる信号へと変換する装置でもある。また、通信インターフェイス109は、本実施の形態に係るコンピュータの外部から入力された情報を受信して、CPU105が利用できる情報に変換する装置でもある。また、コンピュータには、必要に応じて、プリンタなどモニタ102以外の他の出力装置が接続され得る。
表示部インターフェイス115は、CPU105が出力した情報を電気信号へと変換するものであって、CPU105が出力した情報をモニタなどその他の装置が利用できる信号へと変換する装置でもある。
既に述べたように、本実施の形態に係る管理サーバ装置100および送受信データ管理処理は、コンピュータなどのハードウェアと制御プログラムなどのソフトウェアとによって実現される。一般的にこうしたソフトウェアは、FD112やCD−ROM114などの記録媒体に格納されて、もしくはネットワークなどを介して流通する。そして、ソフトウェアは、FD駆動装置111やCD−ROM駆動装置113などにより記録媒体から読取られて、若しくは通信インターフェイス109にて受信されて、固定ディスク107に格納される。そして、CPU105が、ソフトウェアを固定ディスク107からメモリ106へと読み出して、実行する。
<クライエント装置500、内部管理サーバ装置200、外部管理サーバ装置400>
クライエント装置500a,500b,500c・・・、内部管理サーバ装置200、外部管理サーバ装置400のハードウェア構成は、管理サーバ装置100のハードウェア構成と同様であるので、ここは説明を繰り返さない。
クライエント装置500a,500b,500c・・・、内部管理サーバ装置200、外部管理サーバ装置400のハードウェア構成は、管理サーバ装置100のハードウェア構成と同様であるので、ここは説明を繰り返さない。
<機能構成>
次に、本実施の形態に係るネットワークシステム1が有する各機能について説明する。図4は、本実施の形態に係るネットワークシステム1の機能構成を示す機能ブロック図である。
次に、本実施の形態に係るネットワークシステム1が有する各機能について説明する。図4は、本実施の形態に係るネットワークシステム1の機能構成を示す機能ブロック図である。
前述したように、本実施の形態においては、送受信データ管理処理のための機能がパーソナルコンピュータまたはワークステーションなどのコンピュータ上で実行されるソフトウェアによって実現される構成としているが、各ブロックの機能や各ステップの処理をソフトウェアによって実現する代わりに、その一部または全部を専用のハードウェア回路等によって実現してもよい。
図4に示すように、本実施の形態に係る管理サーバ装置100は、取得部810(109−1)と、抽出部105−1と、判断部105−2と、格納部105−3と、出力部105−4と、更新部105−5と、正常範囲データベース107−1と、異常データベース107−2と、正常データベース107−3(あるいは通信情報データベース107−4)と、時間帯データベース107−5と、曜日データベース107−6と、日にちデータベース107−7と、月間データベース107−8と、表示部102aとを有する。
取得部810は、たとえばハブ811やパケットロガー812などによって実現される。取得部810は、クライエント装置500とLAN600との間に接続され、クライエント装置500とLAN600との間のデータ送受信に関する通信情報を取得する。取得部810は、クライエント装置500とLAN600との間のデータ送受信に関する通信情報を管理サーバ装置100へと送信する。管理サーバ装置100は、取得部810からクライエント装置500とLAN600との間のデータ送受信に関する通信情報を受信する。
ただし、取得部109−1は、たとえばハブ811やパケットロガー812などに接続される通信インターフェイス109よって実現されてもよい。この場合、取得部109−1は、パケットロガー812からデータ送受信に関する通信情報を受信する。
<各データベースの機能構成>
正常範囲データベース107−1と、異常データベース107−2と、正常データベース107−3(あるいは通信情報データベース107−4)と、時間帯データベース107−5と、曜日データベース107−6と、日にちデータベース107−7と、月間データベース107−8とは、たとえば固定ディスク107やメモリ106上に確保される所定の領域によって実現される。
正常範囲データベース107−1と、異常データベース107−2と、正常データベース107−3(あるいは通信情報データベース107−4)と、時間帯データベース107−5と、曜日データベース107−6と、日にちデータベース107−7と、月間データベース107−8とは、たとえば固定ディスク107やメモリ106上に確保される所定の領域によって実現される。
正常範囲データベース107−1は、対象となる送受信データが異常であるか否かを判断するための、各期間毎の送受信データの属性値(たとえば、データ量など)の正常範囲を格納する。本実施の形態においては、正常範囲データベース107−1は、時間帯正常範囲ファイル107−1aと、曜日正常範囲ファイル107−1bと、日にち正常範囲ファイル107−1cと、月間正常範囲ファイル107−1dとを含む。つまり、本実施の形態に係る管理サーバ装置100は、異なる長さの期間に対応付けられた正常範囲に基づいて送受信データが異常であるかを判断するため、異常なデータ送受信の発生をより適切に検知できる。
図5は、正常範囲データベース107−1に格納される時間帯正常範囲ファイル107−1aのデータ構造を示すイメージ図である。図5に示すように、正常範囲データベース107−1の時間帯正常範囲ファイル107−1aは、所定の時間帯(第1の期間)に対応付けて、正常データ量や、正常送信先アドレスなどの正常範囲(第1の正常範囲)が格納されている。本実施の形態に係る時間帯正常範囲ファイル107−1aにおいては、所定の時間帯(第1の期間)が24個分設定されている。すなわち、本実施の形態に係る時間帯正常範囲ファイル107−1aには、1日(第1の周期)分の各時間帯に対応する正常範囲が格納されている。
たとえば、後述する判断部105−2が、対象となるデータの送受信時刻が属する時間帯を選択し、時間帯正常範囲ファイル107−1aからその時間帯の正常データ量(正常範囲)を取得する。そして、取得部810にて取得された通信情報のデータ量がその正常範囲内であれば、その対象のデータは正常であるとみなされる。一方、取得部810にて取得された通信情報のデータ量が、その通信情報に対応するデータの送受信時刻が属する時間帯の正常データ量の範囲外であれば、そのデータは異常であるとみなされる。
図6は、正常範囲データベース107−1に格納される曜日正常範囲ファイル107−1bのデータ構造を示すイメージ図である。図6に示すように、正常範囲データベース107−1の曜日正常範囲ファイル107−1bは、所定の曜日(第2の期間)に対応付けて、正常データ量や、正常送信先アドレスなどの正常範囲(第2の正常範囲)が格納されている。本実施の形態に係る曜日正常範囲ファイル107−1bにおいては、所定の曜日(第2の期間)が7個分設定されている。すなわち、本実施の形態に係る曜日正常範囲ファイル107−1bには、1週間(第2の周期)分の各曜日に対応する正常範囲が格納されている。
取得部810にて取得された通信情報のデータ量が、その通信情報に対応するデータの送受信時刻が属する曜日の正常データ量の範囲内であれば、そのデータは正常データであるとみなされる。一方、取得部810にて取得された通信情報のデータ量が、その通信情報に対応するデータの送受信時刻が属する曜日の正常データ量の範囲外であれば、そのデータは異常データであるとみなされる。
図7は、正常範囲データベース107−1に格納される月間正常範囲ファイル107−1cのデータ構造を示すイメージ図である。図7に示すように、正常範囲データベース107−1の月間正常範囲ファイル107−1cは、所定の月間に対応付けて、正常データ量や、正常送信先アドレスなどの正常範囲(第3の正常範囲)が格納されている。本実施の形態に係る月間正常範囲ファイル107−1cにおいては、所定の月間(第3の期間)が12個分設定されている。すなわち、本実施の形態に係る月間正常範囲ファイル107−1cには、1年(第3の周期)分の各月間に対応する正常範囲が格納されている。
取得部810にて取得された通信情報のデータ量が、その通信情報に対応するデータの送受信時刻が属する月間の正常データ量の範囲内であれば、そのデータは正常データであるとみなされる。一方、取得部810にて取得された通信情報のデータ量が、その通信情報に対応するデータの送受信時刻が属する月間の正常データ量の範囲外であれば、そのデータは異常データであるとみなされる。
図8は、正常範囲データベース107−1に格納される日にち正常範囲ファイル107−1dのデータ構造を示すイメージ図である。図8に示すように、正常範囲データベース107−1の月間正常範囲ファイル107−1dは、所定の日にちに対応付けて、正常データ量や、正常送信先アドレスなどの正常範囲(第4の正常範囲)が格納されている。本実施の形態に係る日にち正常範囲ファイル107−1dにおいては、所定の日にち(第2の期間)が、たとえば31個分設定されている。すなわち、本実施の形態に係る日にち正常範囲ファイル107−1dには、1ヶ月(第4の周期)分の各日にちに対応する正常範囲が格納されている。より詳細には、1日〜30日までの正常範囲と、月末日の正常範囲とが格納されている。
取得部810にて取得された通信情報のデータ量が、その通信情報に対応するデータの送受信時刻が属する日にちの正常データ量の範囲内であれば、そのデータは正常データであるとみなされる。一方、取得部810にて取得された通信情報のデータ量が、その通信情報に対応するデータの送受信時刻が属する日にちの正常データ量の範囲外であれば、そのデータは異常データであるとみなされる。
図9は、正常データベース107−3(通信情報データベース107−4)のデータ構造を示すイメージ図である。図9に示すように、正常データベース107−3には、取得部810が取得したトラフィック毎の通信情報のうち、正常であると判断されたデータに関する通信情報が1つのレコードとして格納されている。
また、図9に示すように、通信情報データベース107−4には、取得部810が取得した全てのトラフィック毎の通信情報が1つのレコードとして格納されている。通信情報は、図9に示す情報(属性値)だけでなく、対応するデータが送受信された年月日や曜日や格納されているファイルの種類などを含んでもよい。
図10は、異常データベース107−2のデータ構造を示すイメージ図である。図10に示すように、異常データベース107−2には、取得部810が取得したトラフィック毎の通信情報のうち、正常でないと判断されたデータに関する通信情報が1つのレコードとして格納されている。通信情報は、図9に示す情報だけでなく、対応するデータが送受信された年月日や曜日や格納されているファイルの種類などを含んでもよい。
たとえば、異常データベース107−2には、正常送信先アドレスに含まれていないアドレス「172.1.1.3」宛のデータに関する通信情報が格納されている(図10における2行目)。たとえば、異常データベース107−2には、午前2時〜3時の間に送受信されたデータ量が10KB(>0KB、図5を参照。)のデータに関する通信情報が格納されている(図10における3行目)。たとえば、異常データベース107−2には、午後3時〜4時の間に送受信されたデータ量が600MB(>10MB、図5を参照)のデータに関する通信情報が格納されている(図10における3行目)。
図11は、時間帯データベース107−5に格納される時間帯統計情報107−5aを示すイメージ図である。図11に示すように、時間帯データベース107−5には、正常データベース107−3あるいは通信情報データベース107−4に格納されている通信情報に基づいて生成された、所定の時間帯の統計情報107−5aが格納されている。たとえば、時間帯データベース107−5には、正常データベース107−3に格納されている通信情報から抽出された、所定の時間帯のデータ量に関する統計情報107−5aが格納されている。統計情報107−5aは、所定の時間帯における各データ量を有する送受信データの出現頻度や、所定の時間帯における送受信データのデータ量の平均値や標準偏差などを含む。換言すれば、統計情報107−5aとは、たとえば図11に示すようなグラフが生成できる程度の各種の情報を含む。
図4に示すように、時間帯データベース107−5には、複数種類の時間帯に応じた時間帯統計情報107−5a,107−5b・・・が格納されている。時間帯統計情報107−5b・・・に含まれるデータ(データ構造)は、時間帯統計情報107−5aのそれと同様であるため、説明を繰り返さない。
また、曜日データベース107−6には、正常データベース107−3もしくは通信情報データベース107−4に格納されている通信情報、または時間帯データベース107−5に格納されている時間帯統計情報107−5a,107−5b・・・に基づいて生成された、所定の曜日の統計情報107−6aが格納されている。図11に示すように、たとえば、曜日データベース107−6には、所定の曜日のデータ量に関する統計情報107−6aが格納されている。統計情報107−6aは、所定の曜日における各データ量を有する送受信データの出現頻度や、所定の曜日における送受信データのデータ量の平均値や標準偏差などを含む。換言すれば、統計情報107−6aとは、たとえば図11に示すようなグラフが生成できる程度の各種の情報を含む。
図4に示すように、曜日データベース107−6には、複数種類の曜日に応じた曜日統計情報107−6a,107−6b・・・が格納されている。曜日統計情報107−6b・・・に含まれるデータ(データ構造)は、曜日統計情報107−6aのそれと同様であるため、説明を繰り返さない。
また、日にちデータベース107−7には、正常データベース107−3もしくは通信情報データベース107−4に格納されている通信情報、または時間帯データベース107−5に格納されている時間帯統計情報107−5a,107−5b・・・に基づいて生成された、所定の日にちの統計情報107−7aが格納されている。図11に示すように、たとえば、日にちデータベース107−7には、所定の日にちのデータ量に関する統計情報107−7aが格納されている。統計情報107−7aは、所定の日にちにおける各データ量を有する送受信データの出現頻度や、所定の日にちにおける送受信データのデータ量の平均値や標準偏差などを含む。換言すれば、統計情報107−7aとは、たとえば図11に示すようなグラフが生成できる程度の各種の情報を含む。
図4に示すように、日にちデータベース107−7には、複数種類の日にちに応じた日にち統計情報107−7a,107−7b・・・が格納されている。日にち統計情報107−7b・・・に含まれるデータ(データ構造)は、日にち統計情報107−7aのそれと同様であるため、説明を繰り返さない。
また、月間データベース107−8には、正常データベース107−3もしくは通信情報データベース107−4に格納されている通信情報、または曜日データベース107−6に格納されている曜日統計情報107−6a,107−6b・・・、または日にちデータベース107−7に格納されている日にち統計情報107−7a,107−7b・・・に基づいて生成された、所定の月間の統計情報107−8aが格納されている。図11に示すように、たとえば、月間データベース107−8には、所定の月間のデータ量に関する統計情報107−8aが格納されている。月間統計情報107−8aは、所定の月間における各データ量を有する送受信データの出現頻度や、所定の月間における送受信データのデータ量の平均値や標準偏差などを含む。換言すれば、月間統計情報107−8aとは、たとえば図11に示すようなグラフが生成できる程度の各種の情報を含む。
後述するように、各時間帯統計情報107−5a,107−5b・・・は、正常データベース107−3あるいは通信情報データベース107−4に格納される通信情報に基づいて更新される。各曜日統計情報107−6a,107−6b・・・は、時間帯統計情報107−5a,107−5b・・・に基づいて更新される。各日にち統計情報107−7a,107−7b・・・は、時間帯統計情報107−5a,107−5b・・・に基づいて更新される。各月間統計情報107−8a,107−8b・・・は、曜日統計情報107−6a,107−6b・・・または日にち統計情報107−7a,107−7b・・・に基づいて更新される。
<制御部105aの機能構成>
図4に示すように、抽出部105−1と、判断部105−2と、格納部105と、出力部105−4と、更新部105−5とは、CPU105などによって実現される制御部105aが有する機能である。より詳細には、抽出部105−1と、判断部105−2と、格納部105と、出力部105−4と、更新部105−5とは、たとえば、CPU105がメモリ106や固定ディスク107などに記憶されるプログラムを実行して図2および図3に示される各ハードウェアを制御することによって発揮される機能である。つまり、これらの機能は、CPU105が、固定ディスク107に記憶されたプログラムを一旦メモリ106へと読み出して、メモリ106からそのプログラムを読み出しながら順次実行することによって実現される。
図4に示すように、抽出部105−1と、判断部105−2と、格納部105と、出力部105−4と、更新部105−5とは、CPU105などによって実現される制御部105aが有する機能である。より詳細には、抽出部105−1と、判断部105−2と、格納部105と、出力部105−4と、更新部105−5とは、たとえば、CPU105がメモリ106や固定ディスク107などに記憶されるプログラムを実行して図2および図3に示される各ハードウェアを制御することによって発揮される機能である。つまり、これらの機能は、CPU105が、固定ディスク107に記憶されたプログラムを一旦メモリ106へと読み出して、メモリ106からそのプログラムを読み出しながら順次実行することによって実現される。
抽出部105−1は、取得部810が取得した通信情報から、送受信されたデータの属性値を抽出する。具体的には、通信情報から、データが送受信された年月日および時刻、データ量、送信元アドレス、送信元ポート番号、送信先アドレス、送信先ポート番号などの属性値を抽出する。
判断部105−2は、通信情報の属性値に基づいて、ハブ811を通過した対象のデータが正常であるか否かを判断する。判断部105−2は、第1の判断部105−2aと、第2の判断部105−2bと、第3の判断部105−2cと、総合判断部105−2dとを含む。
第1の判断部105−2aは、正常範囲データベース107−1の時間帯正常範囲ファイル107−1aからデータが送受信された時刻が含まれる時間帯に対応する正常範囲を読み出して、そのデータの属性値(データ量、送信先アドレスなど)が正常範囲内であるか否かを判断する。第1の判断部105−2aは、判断結果をメモリ106の所定領域に記憶する。たとえば、第1の判断部105−2aは、データの属性値が正常範囲内であった場合に、メモリ106の時間帯用の所定領域にフラグを立てる。
第2の判断部105−2bは、正常範囲データベース107−1の曜日正常範囲ファイル107−1bからデータが送受信された時刻が含まれる曜日に対応する正常範囲を読み出して、そのデータの属性値(データ量、送信先アドレスなど)が正常範囲内であるか否かを判断する。第2の判断部105−2bは、判断結果をメモリ106の所定領域に記憶する。たとえば、第2の判断部105−2bは、データの属性値が正常範囲内であった場合に、メモリ106の曜日用の所定領域にフラグを立てる。
第3の判断部105−2cは、正常範囲データベース107−1の月間正常範囲ファイル107−1cからデータが送受信された時刻が含まれる月間に対応する正常範囲を読み出して、そのデータの属性値(データ量、送信先アドレスなど)が正常範囲内であるか否かを判断する。第3の判断部105−2cは、判断結果をメモリ106の所定領域に記憶する。たとえば、第3の判断部105−2cは、データの属性値が正常範囲内である場合にメモリ106の月間用の所定領域にフラグを立てる。
総合判断部105−2dは、第1の判断部105−2aによる判断結果と第2の判断部105−2bによる判断結果と第3の判断部105−2cによる判断結果とに基づいて、対象のデータが正常であるか否かを判断する。
たとえば、総合判断部105−2dは、第1の判断部105−2aによる判断結果と第2の判断部105−2bによる判断結果と第3の判断部105−2cによる判断結果の少なくとも1つが正常である場合には、対象のデータが正常であると判断する。この場合には、第1の判断部105−2aによる判断結果と第2の判断部105−2bによる判断結果と第3の判断部105−2cによる判断結果の少なくとも1つが正常であるときは、他の判断部による判断を行わない構成であってもよい。
たとえば、総合判断部105−2dは、第1の判断部105−2aによる判断結果と第2の判断部105−2bによる判断結果と第3の判断部105−2cによる判断結果の2つ以上が正常である(少なくとも1つが異常である)場合には、対象のデータが正常であると判断する。
たとえば、総合判断部105−2dは、第1の判断部105−2aによる判断結果と第2の判断部105−2bによる判断結果と第3の判断部105−2cによる判断結果の全てが正常である場合には、対象のデータが正常であると判断する。この場合には、第1の判断部105−2aによる判断結果と第2の判断部105−2bによる判断結果と第3の判断部105−2cによる判断結果の少なくとも1つが正常でないときは、他の判断部による判断を行わない構成であってもよい。
格納部105−3は、判断部105−2によってデータが正常でないと判断された場合に、対象のデータに関する通信情報を異常データベース107−2に格納する。格納部105−3は、判断部105−2によってデータが正常であると判断された場合に、対象のデータに関する通信情報を正常データベース107−3に格納する。あるいは、格納部105−3は、全ての対象のデータに関する通信情報を通信情報データベース107−4に格納する。
更新部105−4は、データに関する通信情報に基づいて、正常範囲データベース107−1の第1の正常範囲と第2の正常範囲と第3の正常範囲と第4の正常範囲とを更新する。あるいは、更新部105−4は、通信情報データベース107−4に格納されているデータに関する通信情報に基づいて、正常範囲データベース107−1の第1の正常範囲と第2の正常範囲と第3の正常範囲と第4の正常範囲とを更新する。
より詳細には、更新部105−4は、時間帯データベース107−5の時間帯統計情報107−5a,107−5b・・・を参照して、正常範囲データベース107−1の時間帯正常範囲ファイル107−1aの正常範囲を更新する。更新部105−4は、曜日データベース107−6の曜日統計情報107−6a,107−6b・・・を参照して、正常範囲データベース107−1の曜日正常範囲ファイル107−1bの正常範囲を更新する。更新部105−4は、日にちデータベース107−7の日にち統計情報107−7a,107−7b・・・を参照して、正常範囲データベース107−1の日にち正常範囲ファイル107−1dの正常範囲を更新する。更新部105−4は、月間データベース107−8の月間統計情報107−8a,107−8b・・・を参照して、正常範囲データベース107−1の月間正常範囲ファイル107−1cの正常範囲を更新する。
また、更新部105−4は、正常データベース107−3あるいは通信情報データベース107−4に格納されているデータの通信情報に基づいて、時間帯データベース107−5におけるそのデータが送受信された時刻が含まれる時間帯統計情報107−5a(107−5b・・・)を更新する。更新部105−4は、時間帯データベース107−5の時間帯統計情報107−5a,107−5b・・・を参照して、曜日データベース107−6におけるデータが送受信された時刻が含まれる曜日統計情報107−6a(107−6b・・・)を更新する。更新部105−4は、時間帯データベース107−5の時間帯統計情報107−5a,107−5b・・・を参照して、日にちデータベース107−7におけるデータが送受信された時刻が含まれる日にち統計情報107−7a(107−7b・・・)を更新する。更新部105−4は、曜日データベース107−6の曜日統計情報107−6a,107−6b・・・、あるいは日にちデータベース107−7の日にち統計情報107−7a,107−7b・・・を参照して、月間データベース107−8におけるデータが送受信された時刻が含まれる月間統計情報107−8a(107−8b・・・)を更新する。
より詳細には、更新部105−4は、第1の期間であるそれぞれの時間帯が終了するたびに(たとえば、1時間経過ごとに)、正常データベース107−3あるいは通信情報データベース107−4に格納されているデータの通信情報に基づいて、時間帯データベース107−5における該当の時間帯統計情報107−5a(107−5b・・・)を更新する。
ここで、時間帯統計情報107−5a(107−5b・・・)は、過去数日分の通信情報に基づいて生成されたものとしてもよい。つまり、正常データベース107−3あるいは通信情報データベース107−4に格納されているデータの通信情報を1日分の該当時間帯のデータとし、時間帯統計情報107−5a(107−5b・・・)を数日分の該当時間帯に関するデータとする。この場合には、更新部105−4は、正常データベース107−3あるいは通信情報データベース107−4に格納されているデータの通信情報と、該当の時間帯統計情報107−5a(107−5b・・・)とに、日数分の重み付けを施してから、時間帯統計情報107−5a(107−5b・・・)を更新する。
更新部105−4は、第2の期間であるそれぞれの曜日が終了するたびに(たとえば、1日経過ごとに)、時間帯データベース107−5の全ての時間帯統計情報107−5a,107−5b・・・を参照して、曜日データベース107−6における該当の曜日統計情報107−6a(107−6b・・・)を更新する。
ここで、曜日統計情報107−6a(107−6b・・・)は、過去数週間分の通信情報に基づいて生成されたものとしてもよい。つまり、時間帯データベース107−5の時間帯統計情報107−5a,107−5b・・・を1日分の該当時間帯のデータとし、曜日統計情報107−6a(107−6b・・・)を数週間分の該当曜日に関するデータとする。この場合には、更新部105−4は、時間帯統計情報107−5a,107−5b・・・と、該当の曜日統計情報107−6a(107−6b・・・)とに、日数分の重み付けを施してから、曜日統計情報107−6a(107−6b・・・)を更新する。
同様に、更新部105−4は、第2の期間であるそれぞれの日が終了するたびに(たとえば、1日経過ごとに)、時間帯データベース107−5の全ての時間帯統計情報107−5a,107−5b・・・を参照して、日にちデータベース107−7における該当の日にち統計情報107−7a(107−7b・・・)を更新する。
ここで、日にち統計情報107−7a(107−7b・・・)は、過去数ヶ月分の通信情報に基づいて生成されたものとしてもよい。つまり、時間帯データベース107−5の時間帯統計情報107−5a,107−5b・・・を1日分の該当時間帯のデータとし、日にち統計情報107−7a(107−7b・・・)を数ヶ月分の該当日にちに関するデータとする。この場合には、更新部105−4は、時間帯統計情報107−5a,107−5b・・・と、該当の日にち統計情報107−7a(107−7b・・・)とに、日数分の重み付けを施してから、日にち統計情報107−7a(107−7b・・・)を更新する。
更新部105−4は、第3の期間であるそれぞれの月間が終了するたびに(たとえば、1月経過ごとに)、日にちデータベース107−7の全ての日にち統計情報107−7a,107−7b・・・を参照して、月間データベース107−8における該当の月間統計情報107−8a(107−8b・・・)を更新する。
ここで、月間統計情報107−8a(107−8b・・・)は、過去数ヶ月分の通信情報に基づいて生成されたものとしてもよい。つまり、日にちデータベース107−7の日にち統計情報107−7a,107−7b・・・を1か月分の該当日にちのデータとし、月間統計情報107−8a(107−8b・・・)を数ヶ月分の該当月間に関するデータとする。この場合には、更新部105−4は、日にち統計情報107−7a,107−7b・・・と、該当の月間統計情報107−8a(107−8b・・・)とに、月数分の重み付けを施してから、月間統計情報107−8a(107−8b・・・)を更新する。
ただし、管理サーバ装置100に日にちデータベース107−7が装備されていない場合には、更新部105−4は、第2の周期であるそれぞれの週が終了するたびに(たとえば、1週間経過ごとに)、曜日データベース107−6の全ての曜日統計情報107−6a,107−6b・・・を参照して、該当の月間統計情報107−8a(107−8b・・・)を更新してもよい。
ここで、月間統計情報107−8a(107−8b・・・)は、過去数月分の通信情報に基づいて生成されたものとしてもよい。つまり、曜日データベース107−6の曜日統計情報107−6a,107−6b・・・を1週間分の該当曜日のデータとし、月間統計情報107−8a(107−8b・・・)を数ヶ月分の該当月間に関するデータとする。この場合には、更新部105−4は、曜日統計情報107−6a,107−6b・・・と、該当の月間統計情報107−8a(107−8b・・・)とに、日数分(週間分)の重み付けを施してから、月間統計情報107−8a(107−8b・・・)を更新する。
<通信情報取得処理>
次に、本実施の形態に係るネットワークシステム1における通信情報処理について説明する。図12は、本実施の形態に係るパケットロガー812におけるデータ取得処理の処理手順を示すフローチャートである。
次に、本実施の形態に係るネットワークシステム1における通信情報処理について説明する。図12は、本実施の形態に係るパケットロガー812におけるデータ取得処理の処理手順を示すフローチャートである。
図12に示すように、ハブ811をパケットが通過する(データが送受信される)と(ステップS102)、パケットロガー812がパケットの通過時刻を測定する(ステップS104)。パケットロガー812は、パケットの内容(ヘッダ情報)を確認して、送信元のアドレス、送信先のアドレス、セッションID、時刻、クライエント装置500から送信されたデータ(Send)かクライエント装置500へと送信されたデータ(Receive)かを示す情報、そのデータの送受信時刻などを含む通信情報を取得する(ステップS106)。パケットロガー812は、通信情報を管理サーバ装置100へと送信する(ステップS108)。
<送受信データ管理処理>
次に、本実施の形態に係るネットワークシステム1における送受信データ管理処理について説明する。図13は、本実施の形態に係る管理サーバ装置100における送受信データ管理処理の処理手順を示すフローチャートである。
次に、本実施の形態に係るネットワークシステム1における送受信データ管理処理について説明する。図13は、本実施の形態に係る管理サーバ装置100における送受信データ管理処理の処理手順を示すフローチャートである。
図13に示すように、管理サーバ装置100の通信インターフェイス109がパケットロガー812から通信情報を受信すると(ステップS202にてYESの場合)、CPU105が、通信情報をメモリ106に記憶する。
CPU105は、受信した通信情報から対象のデータのデータ量を抽出する(ステップS204)。そして、CPU105は、対象のデータが正常なデータであるか否かを判断するための判断処理を実行する(ステップS206)。
<判断処理>
ここで、本実施の形態に係る管理サーバ装置100における判断処理(ステップS206)について説明する。図14は、本実施の形態に係る管理サーバ装置100における判断処理の処理手順を示すフローチャートである。
ここで、本実施の形態に係る管理サーバ装置100における判断処理(ステップS206)について説明する。図14は、本実施の形態に係る管理サーバ装置100における判断処理の処理手順を示すフローチャートである。
図14に示すように、まず、CPU105は、メモリ106上の正常フラグをすべてクリアする(ステップS300)。次に、CPU105は、対象のデータが送受信された時刻が属する所定期間を選択する(ステップS302)。より詳細には、CPU105は、第1の周期である1日の中から対象のデータが送受信された時刻が属する該当時間帯(第1の期間)を選択する。CPU105は、第2の周期である1週間の中から対象のデータが送受信された時刻が属する該当曜日(第2の期間)を選択する。CPU105は、第3の周期である1年の中から対象のデータが送受信された時刻が属する該当月間(第3の期間)を選択する。
CPU105は、正常範囲データベース107−1の時間帯正常範囲ファイル107−1aから該当時間帯に対応する正常範囲(たとえば、正常データ量)を取得する(ステップS304)。CPU105は、対象データの属性値(たとえば、正常データ量)が該当時間帯の正常範囲内であるか否かを判断する(ステップS306)。対象データの属性値が該当時間帯の正常範囲内であった場合(ステップS306にてYESの場合)、CPU105はメモリ106上の時間帯正常フラグを立てて(ステップS308)、判断処理(ステップS206)を終了する。
一方、対象データの属性値が該当時間帯の正常範囲外であった場合(ステップS306にてNOの場合)、CPU105は、正常範囲データベース107−1の曜日正常範囲ファイル107−1bから該当曜日に対応する正常範囲を取得する(ステップS310)。CPU105は、対象データの属性値が該当曜日の正常範囲内であるか否かを判断する(ステップS312)。対象データの属性値が該当曜日の正常範囲内であった場合(ステップS312にてYESの場合)、CPU105はメモリ106上の曜日正常フラグを立てて(ステップS314)、判断処理(ステップS206)を終了する。
一方、対象データの属性値が該当曜日の正常範囲外であった場合(ステップS312にてNOの場合)、CPU105は、正常範囲データベース107−1の月間正常範囲ファイル107−1cから月間に対応する正常範囲を取得する(ステップS316)。CPU105は、対象データの属性値が該当月間の正常範囲内であるか否かを判断する(ステップS318)。対象データの属性値が該当月間の正常範囲内であった場合(ステップS318にてYESの場合)、CPU105はメモリ上の月間正常フラグを立てる(ステップS320)。一方、対象データの属性値が該当曜日の正常範囲外であった場合(ステップS318にてNOの場合)、判断処理(ステップS206)を終了する。
<送受信データ管理処理>
図13に戻って、判断処理(ステップS206)が終了すると、CPU105は対象データが正常データであるか否かの判断を行う(ステップS208)。本実施の形態においては、時間帯正常フラグと曜日正常フラグと月間正常フラグのいずれかが立っている場合に、CPU105は対象データが正常データであると判断する。対象データが正常である場合(ステップS208にてYESの場合)、対象データに関する通信情報を正常データベース107−3に格納する(ステップS210)。一方、対象データが異常である場合(ステップS208にてNOの場合)、対象データに関する通信情報を異常データベース107−2に格納する(ステップS212)。
図13に戻って、判断処理(ステップS206)が終了すると、CPU105は対象データが正常データであるか否かの判断を行う(ステップS208)。本実施の形態においては、時間帯正常フラグと曜日正常フラグと月間正常フラグのいずれかが立っている場合に、CPU105は対象データが正常データであると判断する。対象データが正常である場合(ステップS208にてYESの場合)、対象データに関する通信情報を正常データベース107−3に格納する(ステップS210)。一方、対象データが異常である場合(ステップS208にてNOの場合)、対象データに関する通信情報を異常データベース107−2に格納する(ステップS212)。
ただし、CPU105は、対象データが正常である場合(ステップS208にてYESの場合)、対象データに関する全ての通信情報を通信情報データベース107−4に格納し(ステップS210)、対象データが異常である場合(ステップS208にてNOの場合)、対象データに関する通信情報を異常データベース107−2と通信情報データベース107−4とに格納する(ステップS212)構成であってもよい。
その後、CPU105は、所定の更新期間が経過したか否かを判断する(ステップS214)。所定の更新期間が経過した場合には(ステップS214にてYESの場合)、CPU105は、固定ディスク107に格納されている、更新期間が経過した時間帯データベース107−5、曜日データベース107−6、日にちデータベース107−7、月間データベース107−8の少なくとも1つを更新する(ステップS216)。
より詳細には、CPU105は、1時間(第1の期間)経過毎に(ステップS214にてYESの場合)、時間帯データベース107−5を更新する(ステップS216)。また、CPU105は、1日(第2の期間)経過毎に(ステップS214にてYESの場合)、時間帯データベース107−5と曜日データベース107−6と日にちデータベース107−7とを更新する(ステップS216)。CPU105は、1月(第3の期間)経過毎に(ステップS214にてYESの場合)、時間帯データベース107−5と曜日データベース107−6と日にちデータベース107−7と月間データベース107−8とを更新する(ステップS216)。
CPU105は、時間帯データベース107−5、曜日データベース107−6、日にちデータベース107−7、月間データベース107−8のうちの、更新されたデータベースに基づいて、正常範囲データベース107−1の正常範囲(たとえば、データ量)を更新する(ステップS208)。その後、CPU105は、送受信データ管理処理を終了する。
一方、所定の更新期間が経過していない場合には(ステップS214にてNOの場合)、CPU105は送受信データ管理処理を終了する。
<出力処理>
次に、本実施の形態に係る管理サーバ装置100における異常通信情報出力処理について説明する。図15は、本実施の形態に係る管理サーバ装置100における異常通信情報出力処理の処理手順を示すフローチャートである。
次に、本実施の形態に係る管理サーバ装置100における異常通信情報出力処理について説明する。図15は、本実施の形態に係る管理サーバ装置100における異常通信情報出力処理の処理手順を示すフローチャートである。
図15に示すように、管理者などが管理サーバ装置100に異常通信情報を出力する旨の命令を入力すると(ステップS402にてYESの場合)、CPU105は異常データベース107−2から、異常と判断されたデータに関する異常通信情報を抽出する(ステップS404)。CPU105は、異常通信情報をクライアント装置500毎に並べかえる(ステップS406)。CPU106は、モニタ102に、クライアント装置500毎に並べかえた異常通信情報を表示させる(ステップS408)。
このように、本実施の形態に係る管理サーバ装置100は、データの属性値をそのデータが送受信された時刻が該当する期間の正常範囲と比較するだけでなく、異なる長さの該当する期間に対応付けられたそれぞれの正常範囲に基づいて送受信データが異常であるかを判断するため、異常なデータ送受信の発生をより適切に検知できる。
<判断処理の第1の変形例>
図14に示す判断処理(ステップS206)のフローチャートにおいては、対照データの属性値がどれか1つの該当期間に対する正常範囲に含まれている場合には、それ以降の属性値の判断処理を省略する構成としている。しかし、前述したように、CPU105が対照データの属性値が全ての該当期間の正常範囲に含まれているかを判断する構成であってもよい。すなわち、CPU105が、ステップS308の次にステップS310を実行し、ステップS314の次にステップS316を実行してもよい。この場合には、ステップS208において、たとえば2つ以上の正常フラグが立てられている場合に、対象データが正常であると判断することができる。
図14に示す判断処理(ステップS206)のフローチャートにおいては、対照データの属性値がどれか1つの該当期間に対する正常範囲に含まれている場合には、それ以降の属性値の判断処理を省略する構成としている。しかし、前述したように、CPU105が対照データの属性値が全ての該当期間の正常範囲に含まれているかを判断する構成であってもよい。すなわち、CPU105が、ステップS308の次にステップS310を実行し、ステップS314の次にステップS316を実行してもよい。この場合には、ステップS208において、たとえば2つ以上の正常フラグが立てられている場合に、対象データが正常であると判断することができる。
<判断処理の第2の変形例>
また、図14に示す判断処理(ステップS206)フローチャートにおいては、CPU105が、時間帯と曜日と月間について対象データの属性値が正常範囲内であるか否かを判断するものであった。しかし、CPU105が、時間帯と日にちと月間について対象データの属性値が正常範囲内であるか否かを判断する構成であってもよい。
また、図14に示す判断処理(ステップS206)フローチャートにおいては、CPU105が、時間帯と曜日と月間について対象データの属性値が正常範囲内であるか否かを判断するものであった。しかし、CPU105が、時間帯と日にちと月間について対象データの属性値が正常範囲内であるか否かを判断する構成であってもよい。
すなわち、図14に示すステップS310において、CPU105は、正常範囲データベース107−1の日にち正常範囲ファイル107−1dから該当日にちに対応する正常範囲(たとえば、データ量)を取得する。CPU105は、対象データの属性値が該当日にちの正常範囲内であるか否かを判断する(ステップS312)。対象データの属性値が該当日にちの正常範囲内であった場合(ステップS312にてYESの場合)、CPU105は日にち正常フラグを立てて(ステップS314)、判断処理(ステップS206)を終了する。
加えて、CPU105が、時間帯と曜日と日にちと月間についての対象データの属性値が正常範囲内であるか否かを判断する構成であってもよい。この場合にも、ステップS208において、CPU105が、時間帯と曜日と日にちと月間の複数個以上(たとえば、2つ以上)について、対象データの属性値が正常範囲内である場合に、対象データを正常であると判断することができる。
<その他の実施の形態>
本発明は、システム或いは装置にプログラムを供給することによって達成される場合にも適用できることはいうまでもない。そして、本発明を達成するためのソフトウェアによって表されるプログラムを格納した記憶媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU)が記憶媒体に格納されたプログラムコードを読出し実行することによっても、本発明の効果を享受することが可能となる。
本発明は、システム或いは装置にプログラムを供給することによって達成される場合にも適用できることはいうまでもない。そして、本発明を達成するためのソフトウェアによって表されるプログラムを格納した記憶媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU)が記憶媒体に格納されたプログラムコードを読出し実行することによっても、本発明の効果を享受することが可能となる。
この場合、記憶媒体から読出されたプログラムコード自体が前述した実施の形態の機能を実現することになり、そのプログラムコードを記憶した記憶媒体は本発明を構成することになる。
プログラムコードを供給するための記憶媒体としては、例えば、フロッピディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、磁気テープ、不揮発性のメモリカード(ICメモリカード)、ROM(マスクROM、フラッシュEEPROMなど)などを用いることができる。
また、コンピュータが読出したプログラムコードを実行することにより、前述した実施の形態の機能が実現されるだけでなく、そのプログラムコードの指示に基づき、コンピュータ上で稼動しているOS(オペレーティングシステム)などが実際の処理の一部または全部を行い、その処理によって前述した実施の形態の機能が実現される場合も含まれることは言うまでもない。
さらに、記憶媒体から読み出されたプログラムコードが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行い、その処理によって前述した実施の形態の機能が実現される場合も含まれることは言うまでもない。
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した説明ではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
1 ネットワークシステム、100 管理サーバ装置、101 コンピュータ本体、102 モニタ、102a 表示部、103 キーボード、104 マウス、105 CPU、105a 制御部、105−1 抽出部、105−2 判断部、105−2a 第1の判断部、105−2b 第2の判断部、105−2c 第3の判断部、105−2d 総合判断部、105−3 格納部、105−4 出力部、105−5 更新部、106 メモリ、107 固定ディスク、107a 記憶部、107−1 正常範囲データベース、107−1a 時間帯正常範囲ファイル、107−1b 曜日正常範囲ファイル、107−1c 日にち正常範囲ファイル、107−1d 月間正常範囲ファイル、107−2 異常データベース、107−3 正常データベース、107−4 通信情報データベース、107−5 時間帯データベース、107−5a,107−5b 時間帯統計情報、107−6 曜日データベース、107−6a,107−6b 曜日統計情報、107−7 日にちデータベース、107−7a,107−7b 日にち統計情報、107−8 月間データベース、107−8a,107−8b 月間統計情報、108 内部バス、109 通信インターフェイス、109−1 取得部、115 表示部インターフェイス、200 内部管理サーバ装置、300 ルータ、400 外部管理サーバ装置、500,500a,500b,500c クライエント装置、600 LAN(第1のネットワーク)、700 インターネット(第2のネットワーク)、810 取得部、811 ハブ、812 パケットロガー。
Claims (14)
- ネットワークに接続される少なくとも1つのクライエント装置と、
前記クライエント装置と前記ネットワークとの間で送受信されるデータに関する送受信時間を含む通信情報を取得する取得手段と、
前記取得手段が取得した通信情報から前記データの属性値を抽出する抽出手段と、
複数の第1の期間にそれぞれ対応付けられた複数の第1の正常範囲を、所定数の前記第1の期間からなる第1の周期分格納するとともに、前記第1の期間よりも長い複数の第2の期間にそれぞれ対応付けられた複数の第2の正常範囲を、所定数の前記第2の期間からなる第2の周期分格納する第1のデータベースと、
第2のデータベースと、
前記データが送受信された時間に対応する前記第1の期間に対応付けられた第1の正常範囲を前記第1のデータベースから読み出して、前記データの属性値が前記第1の正常範囲内であるか否かを判断する第1の判断手段と、
前記データが送受信された時間に対応する前記第2の期間に対応付けられた第2の正常範囲を前記第1のデータベースから読み出して、前記データの属性値が前記第2の正常範囲内であるか否かを判断する第2の判断手段と、
前記第1および第2の判断手段の判断結果に基づいて、前記データが正常であるか否かを判断する総合判断手段と、
前記データが正常でないと判断された場合に、当該データに関する通信情報を前記第2のデータベースに格納する格納手段とを備える、ネットワークシステム。 - 第3のデータベースをさらに備え、
前記格納手段は、前記データが正常であると判断された場合に、当該データに関する通信情報を第3のデータベースに格納し、
前記第3のデータベースに格納されている少なくとも1つの前記データに関する通信情報を参照して、前記データの属性値に基づき、前記第1のデータベースの前記第1および第2の正常範囲を更新する更新手段をさらに備える、請求項1に記載のネットワークシステム。 - 第4のデータベースをさらに備え、
前記格納手段は、前記データに関する通信情報を第4のデータベースに格納し、
前記第4のデータベースに格納されている少なくとも1つの前記データに関する通信情報を参照して、前記データの属性値に基づき、前記第1のデータベースの前記第1および第2の正常範囲を更新する更新手段をさらに備える、請求項1に記載のネットワークシステム。 - 前記データの属性値は、前記データのデータ量である、請求項1から3のいずれか1項に記載のネットワークシステム。
- 前記第1の周期と第1の期間および第2の周期と第2の期間の各々は、1日と時間帯および1週間と曜日、あるいは、1日と時間帯および1月と1日である、請求項1から4のいずれか1項に記載のネットワークシステム。
- 前記第1の周期と第1の期間および第2の周期と第2の期間の各々は、1週間と曜日および1年と月間、あるいは、1月と1日および1年と1月である、請求項1から4のいずれか1項に記載のネットワークシステム。
- 各々の前記第1の期間における前記通信情報に基づく統計情報を格納する第5のデータベースと、
各々の前記第2の期間における前記通信情報に基づく統計情報を格納する第6のデータベースとをさらに備え、
前記更新手段は、
前記データに関する通信情報に基づいて、前記第5のデータベースにおける前記データが送受信された時間が含まれる前記第1の期間に対応する統計情報を更新し、
前記第5のデータベースを参照して、前記第6のデータベースにおける前記データが送受信された時間が含まれる前記第2の期間に対応する統計情報を更新し、
前記第5および第6のデータベースに格納された前記統計情報に基づいて、前記第1のデータベースにおける前記第1および第2の正常範囲を更新する、請求項1から4のいずれか1項に記載のネットワークシステム。 - 少なくとも1つのクライエント装置とネットワークとの間で送受信されるデータに関する送受信時間を含む通信情報から前記データの属性値を抽出する抽出手段と、
複数の第1の期間にそれぞれ対応付けられた複数の第1の正常範囲を、所定数の前記第1の期間からなる第1の周期分格納するとともに、前記第1の期間よりも長い複数の第2の期間にそれぞれ対応付けられた複数の第2の正常範囲を、所定数の前記第2の期間からなる第2の周期分格納する第1のデータベースと、
第2のデータベースと、
前記データが送受信された時間に対応する前記第1の期間に対応付けられた第1の正常範囲を前記第1のデータベースから読み出して、前記データの属性値が前記第1の正常範囲内であるか否かを判断する第1の判断手段と、
前記データが送受信された時間に対応する前記第2の期間に対応付けられた第2の正常範囲を前記第1のデータベースから読み出して、前記データの属性値が前記第2の正常範囲内であるか否かを判断する第2の判断手段と、
前記第1および第2の判断手段の判断結果に基づいて、前記データが正常であるか否かを判断する総合判断手段と、
前記データが正常でないと判断された場合に、当該データに関する通信情報を前記第2のデータベースに格納する格納手段とを備える、サーバ装置。 - 第3のデータベースをさらに備え、
前記格納手段は、前記データが正常であると判断された場合に、当該データに関する通信情報を第3のデータベースに格納し、
前記第3のデータベースに格納されている少なくとも1つの前記データに関する通信情報を参照して、前記データの属性値に基づき、前記第1のデータベースの前記第1および第2の正常範囲を更新する更新手段をさらに備える、請求項8に記載のサーバ装置。 - 第4のデータベースをさらに備え、
前記格納手段は、前記データに関する通信情報を第4のデータベースに格納し、
前記第4のデータベースに格納されている少なくとも1つの前記データに関する通信情報を参照して、前記データの属性値に基づき、前記第1のデータベースの前記第1および第2の正常範囲を更新する更新手段をさらに備える、請求項8に記載のサーバ装置。 - 前記データの属性値は、前記データのデータ量である、請求項8から10のいずれか1項に記載のサーバ装置。
- 前記第1の周期と第1の期間および第2の周期と第2の期間の各々は、1日と時間帯および1週間と曜日、あるいは、1日と時間帯および1月と1日である、請求項8から11のいずれか1項に記載のサーバ装置。
- 前記第1の周期と第1の期間および第2の周期と第2の期間の各々は、1週間と曜日および1年と月間、あるいは、1月と1日および1年と1月である、請求項8から11のいずれか1項に記載のサーバ装置。
- 各々の前記第1の期間における前記通信情報に基づく統計情報を格納する第5のデータベースと、
各々の前記第2の期間における前記通信情報に基づく統計情報を格納する第6のデータベースとをさらに備え、
前記更新手段は、
前記データに関する通信情報に基づいて、前記第5のデータベースにおける前記データが送受信された時間が含まれる前記第1の期間に対応する統計情報を更新し、
前記第5のデータベースを参照して、前記第6のデータベースにおける前記データが送受信された時間が含まれる前記第2の期間に対応する統計情報を更新し、
前記第5および第6のデータベースに格納された前記統計情報に基づいて、前記第1のデータベースにおける前記第1および第2の正常範囲を更新する、請求項8から13のいずれか1項に記載のサーバ装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008086975A JP2009238185A (ja) | 2008-03-28 | 2008-03-28 | ネットワークシステムおよび管理サーバ装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008086975A JP2009238185A (ja) | 2008-03-28 | 2008-03-28 | ネットワークシステムおよび管理サーバ装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009238185A true JP2009238185A (ja) | 2009-10-15 |
Family
ID=41251992
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008086975A Withdrawn JP2009238185A (ja) | 2008-03-28 | 2008-03-28 | ネットワークシステムおよび管理サーバ装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009238185A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017143434A (ja) * | 2016-02-10 | 2017-08-17 | 淳也 園山 | 通信監視装置、及び通信監視方法 |
JP2017194744A (ja) * | 2016-04-18 | 2017-10-26 | ファナック株式会社 | 生産管理装置からの指令に応じて製造セルを制御するセル制御装置 |
US20200314066A1 (en) * | 2019-03-29 | 2020-10-01 | Cloudflare, Inc. | Validating firewall rules using data at rest |
-
2008
- 2008-03-28 JP JP2008086975A patent/JP2009238185A/ja not_active Withdrawn
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017143434A (ja) * | 2016-02-10 | 2017-08-17 | 淳也 園山 | 通信監視装置、及び通信監視方法 |
JP2017194744A (ja) * | 2016-04-18 | 2017-10-26 | ファナック株式会社 | 生産管理装置からの指令に応じて製造セルを制御するセル制御装置 |
US10454951B2 (en) | 2016-04-18 | 2019-10-22 | Fanuc Corporation | Cell control device that controls manufacturing cell in response to command from production management device |
US20200314066A1 (en) * | 2019-03-29 | 2020-10-01 | Cloudflare, Inc. | Validating firewall rules using data at rest |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11647039B2 (en) | User and entity behavioral analysis with network topology enhancement | |
US11570209B2 (en) | Detecting and mitigating attacks using forged authentication objects within a domain | |
US8191149B2 (en) | System and method for predicting cyber threat | |
US11968227B2 (en) | Detecting KERBEROS ticket attacks within a domain | |
JP5364776B2 (ja) | 複数のログ・エントリをマージする技術 | |
US10187409B1 (en) | Anomaly detection in dynamically evolving data and systems | |
US8516104B1 (en) | Method and apparatus for detecting anomalies in aggregated traffic volume data | |
US10129288B1 (en) | Using IP address data to detect malicious activities | |
US11818150B2 (en) | System and methods for detecting and mitigating golden SAML attacks against federated services | |
US20030237000A1 (en) | Method, system and program product for detecting intrusion of a wireless network | |
US9299051B2 (en) | Methods and systems for evaluating the performance of building processes | |
US20140074797A1 (en) | Methods and systems for generating a business process control chart for monitoring building processes | |
US20220141240A1 (en) | Computer-implemented method and blockchain system for detecting an attack on a computer system or computer network | |
JP2007164465A (ja) | クライアントセキュリティ管理システム | |
CN112385196A (zh) | 用于报告计算机安全事故的系统和方法 | |
CN117272386B (zh) | 互联网大数据信息安全加密方法及装置、设备、系统 | |
JP2009238185A (ja) | ネットワークシステムおよび管理サーバ装置 | |
CN113645215B (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 | |
CN107103470B (zh) | 一种提高现货交易过程中信息安全的方法和系统 | |
Leckie et al. | Metadata for anomaly-based security protocol attack deduction | |
JP6616045B2 (ja) | 異種混在アラートのグラフベース結合 | |
US20180077186A1 (en) | Method and system for detecting suspicious administrative activity | |
EP3826242B1 (en) | Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device | |
JP2005242988A (ja) | ログ情報管理システム、サービス提供システム、ログ情報管理プログラムおよびサービス提供プログラム、並びにログ情報管理方法およびサービス提供方法 | |
JP2009223543A (ja) | ネットワークシステム、状態出力装置、状態出力プログラム、および状態出力方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20110607 |