JP2010213143A - トラフィック記録装置 - Google Patents
トラフィック記録装置 Download PDFInfo
- Publication number
- JP2010213143A JP2010213143A JP2009059035A JP2009059035A JP2010213143A JP 2010213143 A JP2010213143 A JP 2010213143A JP 2009059035 A JP2009059035 A JP 2009059035A JP 2009059035 A JP2009059035 A JP 2009059035A JP 2010213143 A JP2010213143 A JP 2010213143A
- Authority
- JP
- Japan
- Prior art keywords
- data
- cache
- traffic
- recording
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】特徴的な事象の前後のトラフィックデータを低コストで記録することができるトラフィック記録装置を提供する。
【解決手段】トラフィックデータを受信するデータ受信部と、不揮発的な記録領域であるダンプファイル記録部と、受信したトラフィックデータを所定時間毎に分割してキャッシュデータとして一時的に保持するキャッシュ部と、を備え、トラフィックデータを記録するトラフィック記録装置であって、トラフィックデータで所定の事象が発生したことを通知する検出通知を受信すると、キャッシュ部のキャッシュデータの中から、検出通知の受信から所定時間前までのトラフィックデータを記録したキャッシュデータを特定し、特定したキャッシュデータを検出通知と関連付けてダンプファイル記録部に記録するキャッシュ管理部を備えたトラフィック記録装置。
【選択図】図1
【解決手段】トラフィックデータを受信するデータ受信部と、不揮発的な記録領域であるダンプファイル記録部と、受信したトラフィックデータを所定時間毎に分割してキャッシュデータとして一時的に保持するキャッシュ部と、を備え、トラフィックデータを記録するトラフィック記録装置であって、トラフィックデータで所定の事象が発生したことを通知する検出通知を受信すると、キャッシュ部のキャッシュデータの中から、検出通知の受信から所定時間前までのトラフィックデータを記録したキャッシュデータを特定し、特定したキャッシュデータを検出通知と関連付けてダンプファイル記録部に記録するキャッシュ管理部を備えたトラフィック記録装置。
【選択図】図1
Description
本発明は、コンピュータネットワークにおけるトラフィックデータを記録するトラフィック記録装置に係り、特に、特徴的な事象が発生した場合に、その前後のトラフィックデータを記録するトラフィック記録装置に関する。
コンピュータネットワークのセキュリティ分野において、インシデントは、コンピュータやネットワークのセキュリティにとって何らかの形で有害な事象を意味する。インシデントとして代表的なものに、不正アクセス、不正中継、システムへの侵入、データの改ざん、サービス妨害行為等がある。
コンピュータネットワークに伝送される多種のトラフィックデータをリアルタイムに解析して、インシデントの可能性がある特徴的な事象の発生を検出する装置が知られている。このような特徴的な事象の発生が検出された場合には、その事象が対応すべきインシデントであるかどうかの判断を行なうために、関連するトラフィックデータを取得して詳細に二次解析する必要がある。
二次解析の対象となる特徴的な事象に関連するトラフィックデータを取得する方法としては、特徴的な事象が検出されてから所定期間のトラフィックデータを記録装置に格納し、二次解析を行なう際にトラフィックデータを再現する方法と、すべてのトラフィックデータを蓄積しておき、二次解析を行なう際に対象となるトラフィックデータを抽出する方法とが考えられる。
前者の方法は、特徴的な事象が検出されてから所定期間のトラフィックデータを格納するため、大容量の記録装置を用意する必要がないが、特徴的な事象が検出された時点および特徴的な事象が検出される前のトラフィックデータを解析することができないという問題がある。
後者の方法は、すべてのトラフィックデータを蓄積するため、特徴的な事象が検出された時点および特徴的な事象が検出される前のトラフィックデータを解析することができるが、大容量の記録装置が必要になるのに加え、必要なトラフィックデータを抽出するのに手間と時間がかかるという問題がある。
そこで、本発明は、インシデントの可能性がある特徴的な事象が発生した場合に、特徴的な事象の前後のトラフィックデータを低コストで記録することができるトラフィック記録装置を提供することを目的とする。
上記課題を解決するため、本発明の第1の態様であるトラフィック記録装置は、トラフィックデータを受信するデータ受信部と、不揮発的な記録領域であるダンプファイル記録部と、前記受信したトラフィックデータを所定時間毎に分割してキャッシュデータとして一時的に保持するキャッシュ部と、を備え、前記トラフィックデータを記録するトラフィック記録装置であって、前記トラフィックデータで所定の事象が発生したことを通知する検出通知を受信すると、前記キャッシュ部のキャッシュデータの中から、検出通知の受信から所定時間前までのトラフィックデータを記録したキャッシュデータを特定し、特定したキャッシュデータを前記検出通知と関連付けて前記ダンプファイル記録部に記録するキャッシュ管理部を備える。
上記課題を解決するため、本発明の第2の態様であるトラフィック記録装置は、トラフィックデータを受信するデータ受信部と、不揮発的な記録領域であるダンプファイル記録部と、前記受信したトラフィックデータを所定時間毎に分割してキャッシュデータとして一時的に保持するキャッシュ部と、を備え、前記トラフィックデータを記録するトラフィック記録装置であって、リング構造の複数個のキャッシュポインタを用いて前記キャッシュ部に保持された直近複数個のキャッシュデータを参照するとともに、前記トラフィックデータで所定の事象が発生したことを通知する検出通知を受信すると、前記キャッシュ部のキャッシュデータの中から、検出通知の受信から所定時間前までのトラフィックデータを記録したキャッシュデータを特定し、特定したキャッシュデータを前記検出通知と関連付けて前記ダンプファイル記録部に記録するキャッシュ管理部を備える。
ここで、前記キャッシュ管理部は、さらに、前記検出通知受信から所定時間後までのトラフィックデータを前記ダンプファイル記録部に記録することができる。また、受信した再現要求に基づいて、前記ダンプファイル記録部に記録したトラフィックデータを出力するダンプファイル管理部をさらに備えるようにしてもよい。
本発明によれば、インシデントの可能性がある特徴的な事象が発生した場合に、特徴的な事象の前後のトラフィックデータを低コストで記録することができるトラフィック記録装置が提供される。
本発明の実施の形態について図面を参照して説明する。図1は、本実施形態に係るトラフィック記録装置を含むネットワーク構成を示すブロック図である。本図においてトラフィック記録装置10は、コンピュータネットワーク60を伝送されるトラフィックデータにおいてインシデントの可能性がある特徴的な事象の発生が検出された場合に、特徴的な事象の発生前後のトラフィックデータを記録する装置である。
コンピュータネットワーク60を伝送されるトラフィックデータはネットワーク・キャプチャ20によって、例えば、パケット単位でキャプチャされ、分析用データ送信装置30に送られる。分析用データ送信装置30は、ネットワーク・キャプチャ20から送られてきたデータを分析用データバス70に出力する。この結果、分析用データバス70には、コンピュータネットワーク60で伝送されているトラフィックデータと同じデータがリアルタイムで伝送されることになる。以下、このデータをキャプチャデータと称する。ただし、キャプチャデータは初期解析等の何らかの処理が施されたデータであってもよい。
キャプチャデータは、トラフィック記録装置10と、解析装置40に入力される。解析装置40は、複数の解析モジュールを備えており、キャプチャデータをリアルタイムで解析し、インシデントの可能性がある特徴的な事象の発生を検出する。特徴的な事象の検出方法は従来の技術を用いることができる。解析装置40は、インシデントの可能性がある特徴的な事象の発生を検出すると、検出通知信号をトラフィック記録装置10に出力する。
トラフィック記録装置10は、キャプチャデータを常時取り込んでおり、解析装置40から検出通知信号が入力されると、その前後のキャプチャデータをダンプファイルとして記録する。ただし、検出通知信号は、他の装置から入力されたり、ユーザによって入力されるようにしてもよい。記録されたダンプファイルは、ユーザからの再現要求に応じて解析装置40と、二次解析装置50に再現データとして分析用データバス80に出力される。ユーザは、再現要求を任意のタイミングで行なうことができる。
再現データは、解析装置40および二次解析装置50に入力される。二次解析装置50は、複数の二次解析モジュールを備えており、解析装置40より詳細なトラフィック解析を行なうことで、対応すべきインシデントが発生したかどうかの判断等を行なう。
図2は、トラフィック記録装置10の機能構成を示すブロック図である。本図に示すように、トラフィック記録装置10は、データ受信部110、キャッシュ管理部120、キャッシュ部130、キャッシュポインタ部140、ダンプファイル記録部150、検出通知受信部160、データ出力部170、ダンプファイル管理部180、再現要求受信部190を備えている。
データ受信部110は、分析用データバス70を伝送されるキャプチャデータを常時受信してキャッシュ管理部120に送る。検出通知受信部160は、解析装置40が出力した検出通知を受信して、キャッシュ管理部120に通知する。再現要求受信部190は、ユーザから再現要求を受け付け、ダンプファイル管理部180に出力する。
キャッシュ管理部120は、データ受信部110から送られたキャプチャデータを所定の時間間隔で分割し、キャッシュ部130にキャッシュデータとして順次記憶させる。ここで、キャッシュ部130は、所定の容量を有する記憶領域である。キャッシュ部130に記憶させたキャッシュデータはキャッシュポインタ部140で管理する。
図3は、本実施形態におけるキャッシュ部130とキャッシュポインタ部140との関係を模式的に示す図である。本実施形態では、キャッシュポインタ部140は、キャッシュポインタA〜キャッシュポインタHの8個のキャッシュポインタで構成されるものとする。もちろん、キャッシュポインタの個数は適宜変更することができる。
それぞれのキャッシュポインタは、キャッシュ部130に記録された所定時間間隔分のキャッシュデータのアドレスをポイントする。本実施形態では、所定時間間隔でキャプチャデータを分割するため、各キャッシュデータの容量は可変となる。所定時間間隔でキャプチャデータを分割することにより、必要なデータの抽出が容易となるが、時間間隔を可変として固定データ容量でキャッシュデータを作成するようにしてもよい。
各キャッシュデータは、そのキャッシュデータが格納するキャプチャデータの時間範囲を示す時間情報と、キャプチャデータ本体であるデータ部とを備えて構成される。なお、キャッシュポインタで参照されるため各キャッシュデータは連続してキャッシュ部130に格納される必要はない。
8個のキャッシュポインタは、記憶するキャッシュデータのアドレスを順次記憶していく。例えば、キャッシュポインタFがキャッシュデータ(N−4)を指している場合には、キャッシュポインタGが次の時間のキャッシュデータ(N−3)を指すという具合である。
8個のキャッシュポインタは、リング構造をなしており、キャッシュポインタHがキャッシュデータ(N−2)を指している場合には、次の時間のキャッシュデータ(N−1)は、キャッシュポインタAによって参照されることになる。この場合、それ以前にキャッシュポインタAが指していたキャッシュデータは参照されなくなり、キャッシュ部130は開放される。すなわち、古い順にキャッシュデータが削除されることになる。
このため、キャッシュ部130には、図4に示すように、直近の8個のキャッシュデータが格納される。すなわち、時刻t0において、時刻(−t1)〜時刻t0までのキャプチャデータは最新のキャッシュデータとして格納され、時刻(−t8)〜時刻(−t1)までのキャプチャデータは、7個の過去のキャッシュデータとして格納され、時刻(−t8)以前のキャプチャデータは削除されることになる。ここで、時刻t(n−1)〜時刻tnは等間隔であり、例えば、1秒間隔、1分間等とすることができる。この間隔は、トラフィックデータ量等に応じて適宜変更することができる。
図2の説明に戻って、キャッシュ管理部120は、検出通知が入力されると、キャッシュポインタ部140を参照して、キャッシュ部130に記録しているキャッシュデータをダンプファイル記録部150に記録する。ここで、ダンプファイル記録部150は、不揮発性の記憶領域である。
ダンプファイル記録部150に記録するキャッシュデータは、検出通知があった時刻の所定時間前から所定時間後までのデータである。すなわち、インシデントの可能性がある特徴的な事象の発生前後のキャプチャデータがダンプファイル記録部150に記録されることになる。
所定時間前をX時間とすると、キャッシュ管理部120は、キャッシュデータ作成時間間隔を考慮して、X時間前から現時点に対応するキャッシュデータ群を特定する。そして、特定したキャッシュデータ群をダンプファイル記録部150に記録する。例えば、所定時間前が5秒であり、キャッシュデータの作成時間間隔が1秒であれば、直近の5個のキャッシュデータ群を特定すればよい。
また、所定時間後をY時間とすると、キャッシュ管理部120は、現時点からY時間後までのキャッシュデータ群をダンプファイル記録部150に記録するようにする。ただし、キャッシュデータではなく、受信した所定時間分のキャプチャデータをそのままダンプファイル記録部150に記録するようにしてもよい。
所定時間X、所定時間Yは、固定時間としてもよいが、発生した特徴的な事象の内容に応じて可変としてもよい。本実施形態では、所定時間間隔で分割した複数個のキャッシュデータを用いて過去のキャプチャデータを格納しているため、ダンプ対象とするキャプチャデータの時間範囲を柔軟に変更することが容易である。
キャッシュ管理部120は、ダンプファイルを記録する際に、特徴的な事象が発生した時刻の情報を付加する。ダンプファイルに基づいて再現データを出力する際に、この時刻情報を用いて、対象となるダンプファイルを特定することができるようになる。また、発生した特徴的な事象に識別子を付してダンプファイル記録部150に記録するようにしてもよい。この場合、対象ダンプファイルの特定が一層容易になる。
ダンプファイル管理部180は、ユーザからの再現要求に基づいて、ダンプファイル記録部150に記録されているダンプファイルを特定し、特定されたダンプファイルをデータ出力部170に出力する。ここで、再現要求には、特徴的な事象が発生した時刻あるいは特徴的な事象の識別子を含めることができる。
データ出力部170は、ダンプファイル記録部150から出力されたダンプファイルを再現データとして分析用データバス80に出力する。
以上説明したように、本実施形態では、複数個のキャッシュデータを用いて特徴的な事象の発生前後のキャプチャデータを記録するため、大容量の記録装置を用いる必要がない。このため、低コストでトラフィック記録装置10を構成することが可能となる。
また、本実施形態では、キャッシュポインタおよびキャッシュデータを複数個設けるようにしているため、キャッシュデータを古い順に段階的に消去することができる。このため、キャッシュデータの一括消去による必要な最新データの誤削除を防ぐことが可能となる。さらに、キャッシュデータ1個当たりに記録するキャプチャデータのデータ量を制限することができるため、キャッシュデータの保存時および再現の際のデータ抽出処理の負荷が軽減される。
次に、本実施形態におけるキャッシュ管理部120のキャッシュ管理処理について図5のフローチャートを参照して説明する。
キャッシュ管理部120は、キャプチャデータを常時入力し(S101)、所定時間間隔でキャッシュデータを作成して、キャッシュ部130に記録する(S102)。そして、作成したキャッシュデータを指し示すキャッシュポインタを更新する(S103)。
キャッシュポインタは、図3に示したようにリング構造をしている。このため、キャッシュポインタの更新に伴い、参照されなくなったキャッシュデータの領域を、逐次開放する(S104)。すなわち、古い順にキャッシュデータが削除されることになる。これによりキャッシュ部130の領域を有効活用することができる。以上の処理を、キャッシュ管理を終了するまで繰り返す(S105)。
次に、検出通知を受信した場合のキャッシュ管理部120の処理について図6のフローチャートを参照して説明する。本処理は、図5に示したキャッシュ管理処理と並列に行なうことができる。すなわち、キャッシュ管理部120は、キャッシュ管理処理中に検出通知の有無を判断する(S201)。検出通知は、例えば、検出通知受信部160からの割り込み処理とすることができる。
検出通知があった場合(S201:Yes)は、キャッシュ作成間隔と、あらかじめ定められた事象発生前の記録時間とに基づいて記録すべきキャッシュデータの範囲を特定する(S202)。上述のように、事象発生前の記録時間は、検出通知の対象となった事象の内容に応じて変化させることができる。この場合、検出通知に、検出通知の対象となった事象の内容を示す情報を含めるようにする。
そして、記録すべき範囲として特定されたキャッシュデータの内容をダンプファイル記録部150に記録する(S203)。また、あらかじめ定められた事象後の記録時間に基づいて、検出通知後に入力した所定記録時間内のキャプチャデータの内容をダンプファイル記録部150に記録する(S204)。この際に、特徴的な事象の発生時間あるいは特徴的な事象の識別子を付してダンプファイル記録部150に記録する。この結果、図7に示すように、特徴的な事象発生の瞬間を含む前後所定期間内のキャプチャデータがダンプファイルとして記録されることになる。
次に、図8を参照して、ユーザから再現要求を受け付けた場合のダンプファイル管理部180の処理について説明する。
ダンプファイル管理部180は、再現要求受信部190を介して、ユーザから再現要求を受け付けると(S301:Yes)と、再現要求対象のダンプファイルを特定する(S302)。再現要求に特徴的な事象の発生時間情報が含まれている場合には、その時間情報が付加されたダンプファイルを再現要求対象として特定し、再現要求に特徴的な事象の識別子が含まれている場合には、その識別子が付されたダンプファイルを再現要求対象として特定することができる。
そして、特定されたダンプファイルを、データ出力部170を介して再現データとして分析用データバス80に出力する(S303)。ただし、出力すべきキャプチャデータがダンプ前の状態であれば、キャッシュ部130に格納されているキャッシュデータを出力する。
最後に図9を参照して、本実施形態に係るトラフィック記録装置10の応用例について説明する。本図に示す応用例は、トラフィック記録装置10を組織内ネットワーク防衛および情報漏洩対策に適用した例である。
本図の例では、社内、プラント等の組織内のイントラネット270上のトラフィックが集まるVLAN(Virtual LAN)スイッチ210、あるいは、基幹ルータのトラフィックを、IDS(Intrusion Detection System)240を用いて観測することで、ワーム等がネットワークを跨いで通信するセキュリティアラートの検出や、ファイル転送、メール等の情報漏洩につながる行為の検出ができるようになっている。ここで、VLANスイッチ210は、ミラーポートまたはNetworkTAP装置によりイントラネット270のトラフィックをコピーすることができる。
検出通知や特徴的な事象の内容を確認してインシデント解析を行なうためには、その原因となるトラフィックデータを解析する必要があるが、従来の構成では、検出通知または特徴的な事象、およびトラフィックログを保存するだけとなっていた。なお、従来からIDS240には、検出通知を発生させたパケット自身を検出通知と一緒に保存する機能を持つものがあるが、総合的なインシデント解析を行なうためにはやはりその前後のトラフィックが必要となる。
図9に示した応用例では、パケットキャプチャセンサ220でキャプチャしたトラフィックデータを、分析用データバス280を介してトラフィック記録装置10に入力する。そして、トラフィック記録装置10は、IDS240から検出通知が入力されると、その前後のトラフィックデータを上述の手順にしたがって記録するようにしている。すなわち、インシデント解析に必要なトラフィックデータを検出通知や特徴的な事象と関連付けた状態で記録することができる。
そして、トラフィック記録装置10に記録されたトラフィックデータを解析するためのインシデント解析装置250を設けることで、効果的な組織内ネットワーク防衛システムを構築することができる。なお、インシデント解析装置250は、特徴的な事象とインシデントとを関連付けて管理する装置一般を用いることができる。
10…トラフィック記録装置
20…ネットワーク・キャプチャ
30…分析用データ送信装置
40…解析装置
50…二次解析装置
60…コンピュータネットワーク
70…分析用データバス
80…分析用データバス
110…データ受信部
120…キャッシュ管理部
130…キャッシュ部
140…キャッシュポインタ部
150…ダンプファイル記録部
160…検出通知受信部
170…データ出力部
180…ダンプファイル管理部
190…再現要求受信部
210…VLANスイッチ
220…パケットキャプチャセンサ
240…IDS
250…インシデント解析装置
270…イントラネット
280…分析用データバス
20…ネットワーク・キャプチャ
30…分析用データ送信装置
40…解析装置
50…二次解析装置
60…コンピュータネットワーク
70…分析用データバス
80…分析用データバス
110…データ受信部
120…キャッシュ管理部
130…キャッシュ部
140…キャッシュポインタ部
150…ダンプファイル記録部
160…検出通知受信部
170…データ出力部
180…ダンプファイル管理部
190…再現要求受信部
210…VLANスイッチ
220…パケットキャプチャセンサ
240…IDS
250…インシデント解析装置
270…イントラネット
280…分析用データバス
Claims (4)
- トラフィックデータを受信するデータ受信部と、
不揮発的な記録領域であるダンプファイル記録部と、
前記受信したトラフィックデータを所定時間毎に分割してキャッシュデータとして一時的に保持するキャッシュ部と、を備え、前記トラフィックデータを記録するトラフィック記録装置であって、
前記トラフィックデータで所定の事象が発生したことを通知する検出通知を受信すると、前記キャッシュ部のキャッシュデータの中から、検出通知の受信から所定時間前までのトラフィックデータを記録したキャッシュデータを特定し、特定したキャッシュデータを前記検出通知と関連付けて前記ダンプファイル記録部に記録するキャッシュ管理部を備えたことを特徴とするトラフィック記録装置。 - トラフィックデータを受信するデータ受信部と、
不揮発的な記録領域であるダンプファイル記録部と、
前記受信したトラフィックデータを所定時間毎に分割してキャッシュデータとして一時的に保持するキャッシュ部と、を備え、前記トラフィックデータを記録するトラフィック記録装置であって、
リング構造の複数個のキャッシュポインタを用いて前記キャッシュ部に保持された直近複数個のキャッシュデータを参照するとともに、前記トラフィックデータで所定の事象が発生したことを通知する検出通知を受信すると、前記キャッシュ部のキャッシュデータの中から、検出通知の受信から所定時間前までのトラフィックデータを記録したキャッシュデータを特定し、特定したキャッシュデータを前記検出通知と関連付けて前記ダンプファイル記録部に記録するキャッシュ管理部を備えたことを特徴とするトラフィック記録装置。 - 請求項1または2に記載のトラフィック記録装置であって、
前記キャッシュ管理部は、さらに、前記検出通知受信から所定時間後までのトラフィックデータを前記ダンプファイル記録部に記録することを特徴とするトラフィック記録装置。 - 請求項1または2に記載のトラフィック記録装置であって、
再現要求を受信し、前記再現要求に基づいて、前記ダンプファイル記録部に記録したトラフィックデータを出力するダンプファイル管理部をさらに備えたことを特徴とするトラフィック記録装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009059035A JP2010213143A (ja) | 2009-03-12 | 2009-03-12 | トラフィック記録装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009059035A JP2010213143A (ja) | 2009-03-12 | 2009-03-12 | トラフィック記録装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010213143A true JP2010213143A (ja) | 2010-09-24 |
Family
ID=42972836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009059035A Pending JP2010213143A (ja) | 2009-03-12 | 2009-03-12 | トラフィック記録装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2010213143A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012080425A (ja) * | 2010-10-04 | 2012-04-19 | Fujitsu Ltd | 指示システム、指示方法、及び記憶制御装置。 |
| JP2014195130A (ja) * | 2013-03-28 | 2014-10-09 | Ntt Docomo Inc | 管理システム及び管理方法 |
| JP2018533881A (ja) * | 2015-11-06 | 2018-11-15 | ソニー株式会社 | 通信装置及び方法 |
-
2009
- 2009-03-12 JP JP2009059035A patent/JP2010213143A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012080425A (ja) * | 2010-10-04 | 2012-04-19 | Fujitsu Ltd | 指示システム、指示方法、及び記憶制御装置。 |
| US8775612B2 (en) | 2010-10-04 | 2014-07-08 | Fujitsu Limited | Instruction system, method, and recording control apparatus |
| JP2014195130A (ja) * | 2013-03-28 | 2014-10-09 | Ntt Docomo Inc | 管理システム及び管理方法 |
| JP2018533881A (ja) * | 2015-11-06 | 2018-11-15 | ソニー株式会社 | 通信装置及び方法 |
| US11546836B2 (en) | 2015-11-06 | 2023-01-03 | Sony Corporation | Telecommunications apparatus and methods |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10867034B2 (en) | Method for detecting a cyber attack | |
| US11902096B2 (en) | Collection of error packet information for network policy enforcement | |
| US10771306B2 (en) | Log monitoring system | |
| CN110545276B (zh) | 威胁事件告警方法、装置、告警设备及机器可读存储介质 | |
| EP3420488A1 (en) | Retention and accessibility of data characterizing events on an endpoint computer | |
| EP3584990A1 (en) | Data processing method, device, and system | |
| US20200250019A1 (en) | Method, device and computer program product for monitoring access request | |
| CN114363062B (zh) | 一种域名检测方法、系统、设备及计算机可读存储介质 | |
| US20090276852A1 (en) | Statistical worm discovery within a security information management architecture | |
| JP2010213143A (ja) | トラフィック記録装置 | |
| CN116305290A (zh) | 一种系统日志安全检测方法及装置、电子设备及存储介质 | |
| CN112579820B (zh) | 时间跳变的录像数据处理方法、装置、介质及电子设备 | |
| US20150215333A1 (en) | Network filtering apparatus and filtering method | |
| CN110780815A (zh) | 日志的删除方法及装置 | |
| CN113472740B (zh) | 基于moas冲突事件的bgp劫持检测方法、装置及设备,可读存储介质 | |
| CN112506699A (zh) | 一种数据安全备份方法、设备和系统 | |
| CN108351940B (zh) | 用于信息安全事件的高频启发式数据获取与分析的系统和方法 | |
| US20140208427A1 (en) | Apparatus and methods for detecting data access | |
| WO2023185549A1 (zh) | 检测勒索软件的方法及相关系统、存储介质 | |
| CN111625506A (zh) | 一种基于删除队列的分布式数据删除方法、装置及设备 | |
| CN105404824A (zh) | 异步数据缓加密系统及方法 | |
| JP2008217118A (ja) | ログファイル管理装置及びログファイル送信装置及びログファイル管理方法及びログファイル送信方法及びプログラム | |
| CN113360909B (zh) | 勒索病毒防御方法、勒索病毒防御设备及可读存储介质 | |
| JP5520864B2 (ja) | 保守装置、保守方法及びプログラム | |
| JPH06324916A (ja) | 障害情報ロギング方式 |