JP2011130238A - Abnormal traffic monitoring method, and abnormal traffic monitoring device - Google Patents
Abnormal traffic monitoring method, and abnormal traffic monitoring device Download PDFInfo
- Publication number
- JP2011130238A JP2011130238A JP2009287475A JP2009287475A JP2011130238A JP 2011130238 A JP2011130238 A JP 2011130238A JP 2009287475 A JP2009287475 A JP 2009287475A JP 2009287475 A JP2009287475 A JP 2009287475A JP 2011130238 A JP2011130238 A JP 2011130238A
- Authority
- JP
- Japan
- Prior art keywords
- information
- alert
- analysis
- function
- abnormal traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、異常トラヒック監視方法および異常トラヒック監視装置に係わり、特に、複数のアラートの関連性を提示することにより、監視者が迅速に対応策の判断を行うことが可能となる技術に関する。 The present invention relates to an abnormal traffic monitoring method and an abnormal traffic monitoring apparatus, and more particularly to a technique that enables a monitor to quickly determine a countermeasure by presenting a relationship between a plurality of alerts.
従来の異常トラヒック監視装置においては、複数のアラートが検出された場合、それを検出した際に取得した情報(例えば、宛先アドレス等)により関連するアラートを抽出し、時系列で列挙することで、それらの関連性を監視者に対して提示していた。
また、一方で複数アラートを一つのアラートに集約することで、アラート数を削減する技術が提案されている。(下記、特許文献1参照)
前述の特許文献1では、アラートの種別毎に単位時間当たりのアラート数を計測し、その数が一定数以上になった場合に、当該閾値を超えたアラート情報を生成する。この方式では、監視者が確認可能な情報は集約されたアラート情報であり、集約可能なアラートも同一種別に限定されるため、複数の種別のアラート間の関連性を監視者が把握することは困難であった。
In the conventional abnormal traffic monitoring device, when a plurality of alerts are detected, the related alerts are extracted based on information (for example, destination address) acquired when the alerts are detected, and enumerated in time series, Their relevance was presented to the observer.
On the other hand, a technique for reducing the number of alerts by consolidating a plurality of alerts into one alert has been proposed. (See
In
従来の異常トラヒック監視装置においては、トラヒックの異常状態の検出には、監視対象となる攻撃先の情報とそのトラヒック量を用いるため、検出時の情報によるアラートの関連付けだけでは、関連性を判定できない異常トラヒックのケースが存在し、監視者に対して十分に複数アラート間の関連性を提示することは困難であった。
このため、従来の異常トラヒック監視装置においては、監視者が複数のアラート情報を手動で交互に参照することで、アラート間の関連性を判断する必要があり、異常トラヒックの把握と判断に時間を要する課題があった。
以下に複数アラートの関連性を提示することが困難な場合を、インターネット上で発生しているDoS攻撃を監視する例としていくつか挙げる。
In the conventional abnormal traffic monitoring device, the detection of the abnormal state of the traffic uses the information of the attack target to be monitored and its traffic volume, so the relevance cannot be determined only by associating the alert with the information at the time of detection. There are cases of anomalous traffic, and it has been difficult to present enough relevance between multiple alerts to the observer.
For this reason, in the conventional abnormal traffic monitoring device, it is necessary for a monitor to manually and alternately refer to a plurality of alert information to determine the relationship between alerts, and it takes time to grasp and determine abnormal traffic. There was a problem that needed.
Several cases where it is difficult to present the relevance of a plurality of alerts will be described below as examples of monitoring DoS attacks occurring on the Internet.
(1)同一の攻撃元から複数の攻撃先に対してDoS攻撃が発生しており、攻撃に起因した異常トラヒックのアラートとしては、攻撃先毎に別々のアラートとして検出され、同一の攻撃元であることがアラート情報からは判定できないケース
(2)ある攻撃元から特定の攻撃先に対してbackscatter攻撃が発生しており、攻撃に起因した異常トラヒックのアラートとしては、攻撃元から攻撃先に対するトラヒック急増をアラートとして検出し、また、同時に攻撃先からの跳ね返りトラヒックの急増を別のアラートとして検出しているケース
(3)同一の攻撃元から特定の攻撃先に対して断続的に繰り返しDoS攻撃が発生し、それを複数のアラートとして検出している際に、その間に別の攻撃元から同一の攻撃先に対してDoS攻撃が発生し、別のアラートとして検出しているケース
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、監視者が複数のアラート間の関連性を迅速に確認することが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
(1) A DoS attack has occurred from the same attack source to a plurality of attack destinations, and as an alert for abnormal traffic caused by the attack, it is detected as a separate alert for each attack destination, and the same attack source Case in which it cannot be determined from the alert information (2) A backscatter attack has occurred from a certain attack source to a specific attack destination, and as an alert of abnormal traffic resulting from the attack, the traffic from the attack source to the attack destination A case where a sudden increase is detected as an alert, and a sudden increase in rebound traffic from the attack destination is detected as another alert at the same time. (3) A DoS attack is intermittently repeated from the same attack source to a specific attack destination. Occurred and detected as multiple alerts, during that time, another attack source from the same attack destination against the DoS attack The present invention has been made to solve the problems of the prior art described above, and the object of the present invention is to provide a relationship between a plurality of alerts by a monitor. It is an object of the present invention to provide a technique capable of quickly confirming.
The above and other objects and novel features of the present invention will become apparent from the description of this specification and the accompanying drawings.
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
(1)ネットワーク上のトラヒックを監視し、異常状態を検出する異常トラヒック監視装置における異常トラヒック監視方法であって、トラヒックの統計情報を前記ネットワーク上のネットワーク装置から受信するステップ1と、前記ステップ1で受信したトラヒックの統計情報からトラヒックの異常状態を検出し、アラート情報として監視者に通知するステップ2と、前記ステップ2での前記アラート情報の通知を契機として、異常状態のトラヒック情報を分析し、アラート情報に付随する分析情報として保存するステップ3と、前記ステップ3で保存された前記分析情報から、関連するアラート情報を検索するステップ4と、前記ステップ4で検索した前記関連するアラート情報を監視者に提示するステップ5とを有することを特徴とする。
Of the inventions disclosed in this application, the outline of typical ones will be briefly described as follows.
(1) An abnormal traffic monitoring method in an abnormal traffic monitoring apparatus that monitors traffic on a network and detects an abnormal state, and receives the statistical information of traffic from the network apparatus on the network; Detecting an abnormal state of traffic from the traffic statistical information received in
(2)(1)において、前記ステップ4は、前記分析情報から関連するアラート情報を検索する際に、分析結果の宛先アドレス、送信元アドレス、プロトコル番号、宛先ポート番号、送信元ポート番号の5つの情報の中の少なくとも1つの情報が一致し、且つ、前記アラート情報の時刻情報から前後一定の時間幅の範囲に、各アラート情報の時刻情報が含まれるアラート情報を関連するアラートとして検索し、アラート間の関連性を自動判定するステップを有することを特徴とする。
(3)(1)において、前記ステップ4は、前記分析情報から関連するアラート情報を検索する際に、当該アラート情報の分析結果の宛先情報と、各アラート情報の分析結果の送信元情報が一致し、かつ、前記アラート情報の時刻情報から前後一定の時間幅の範囲に、アラート情報の時刻情報が含まれるアラート情報、あるいは、当該アラート情報の分析結果の送信元情報と、各アラート情報の分析結果の宛先情報が一致し、かつ、前記アラート情報の時刻情報から前後一定の時間幅の範囲に、アラート情報の時刻情報が含まれるアラート情報を関連するアラートとして検索し、アラート間の関連性を自動判定するステップを有することを特徴とする。
(2) In (1), when searching for related alert information from the analysis information, the
(3) In step (1), when searching for related alert information from the analysis information, the
(4)(1)において、前記ステップ3は、前記分析結果の宛先アドレスまたは送信元アドレスからドメイン名を検索するステップを有し、前記ステップ4は、前記分析情報から関連するアラート情報を検索する際に、宛先アドレスまたは送信元アドレスから検索したドメイン名が一致し、且つ、前記アラート情報の時刻情報から前後一定の時間幅の範囲に、各アラート情報の時刻情報が含まれるアラート情報を関連するアラートとして検索し、アラート間の関連性を自動判定するステップを有することを特徴とする。
(5)(1)ないし(4)の何れかにおいて、前記ステップ4で、関連するアラート情報の検索条件を複数設定し、加えて前記検索条件の優先度を設定し、前記分析情報から関連するアラート情報を検索する際に、前記優先度の順に該当する検索条件を用いて、順次、関連するアラート情報を検索し、アラート間の関連性を自動判定することを特徴とする。
(6)(1)ないし(5)の何れかにおいて、前記ステップ2で、監視者に対して、検知した異常トラヒック情報として、GUIによるトラヒック量の時間変化をグラフ表示し、前記ステップ5で、前記検索したアラート情報から時刻情報を抽出し、前記異常トラヒック情報のグラフ表示の中に、前記抽出した時刻情報を表示することを特徴とする。
(7)また、本発明は、前述の異常トラヒック監視方法を実行する異常トラヒック監視装置である。
(4) In (1), the
(5) In any one of (1) to (4), in
(6) In any one of (1) to (5), the time change of the traffic amount due to the GUI is displayed as a graph as the abnormal traffic information detected in
(7) Moreover, this invention is an abnormal traffic monitoring apparatus which performs the above-mentioned abnormal traffic monitoring method.
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、監視者が複数のアラート間の関連性を迅速に確認することが可能となる。
The effects obtained by the representative ones of the inventions disclosed in the present application will be briefly described as follows.
According to the present invention, it is possible for a supervisor to quickly confirm the relationship between a plurality of alerts.
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。また、以下の実施例は、本発明の特許請求の範囲の解釈を限定するものではない。
図1は、本発明の実施例の異常トラヒック監視装置が適用されるネットワーク構成を示すブロック図である。
図1に示すネットワーク構成では、監視ネットワーク20は、ネットワーク装置#1〜4(11〜14)で構成され、この監視ネットワーク20には、宛先サーバ40と送信元端末30が接続される。ネットワーク装置#1〜4(11〜14)としては、例えば、IPネットワークにおけるルータが該当し、その場合、監視ネットワーク20では、送信元端末30と宛先サーバ40との間のIP通信のトラヒックが転送される。
また、ネットワーク装置#1〜4(11〜14)には、異常トラヒック監視装置100が接続されている。このネットワーク装置#1〜4(11〜14)と異常トラヒック監視装置100との間の接続は、LANやWANによるものでも良く、監視ネットワーク経由の接続でも構わない。
異常トラヒック監視装置100には、監視者用端末60が接続されている。この異常トラヒック監視装置100と監視者用端末60との間の接続は、例えば、LAN経由でも、インターネット等のWAN経由によるものでも良い。
また、異常トラヒック監視装置100には、DNSサーバ50が接続されている。この異常トラヒック監視装置100とDNSサーバ50との間の接続も、LAN経由でも、インターネット等のWAN経由によるものでも良い。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In all the drawings for explaining the embodiments, parts having the same functions are given the same reference numerals, and repeated explanation thereof is omitted. Also, the following examples do not limit the interpretation of the scope of the claims of the present invention.
FIG. 1 is a block diagram showing a network configuration to which an abnormal traffic monitoring apparatus according to an embodiment of the present invention is applied.
In the network configuration shown in FIG. 1, the
In addition, the abnormal
A
In addition, a
図1に示す構成において、送信元端末30から宛先サーバ40への通信トラヒックが発生すると、通信トラヒックを経由するネットワーク装置#3(13)およびネットワーク装置#4(14)は、転送する通信トラヒックの宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル番号のまとまり毎のトラヒックの統計情報をフロー情報として算出し、それらを異常トラヒック監視装置100へ送信する。
異常トラヒック監視装置100は、前記フロー情報を各ネットワーク装置#1〜4(11〜14)から受信する。異常トラヒック監視装置100は、各ネットワーク装置#1〜4(11〜14)から受信したフロー情報を解析することで監視ネットワーク20の状態を把握することが可能となる。
各ネットワーク装置#1〜4(11〜14)が異常トラヒック監視装置100へフロー情報を送信する際には、NetFlowやsFlowなどのプロトコルを用いる。
一方、監視者70は、監視用端末60を操作し、異常トラヒック監視装置100にアクセスすることにより、遠隔から異常トラヒック監視装置100の操作を可能とする。ここで、異常トラヒック監視装置100は、Webサーバとして動作しており、監視用端末上でのWebブラウザにより、監視者用端末60からのアクセスを受け付ける。WebサーバやWebブラウザは、従来技術で構成される。
更に、DNSサーバ50は、アドレスとドメイン名の対応関係を管理し、外部からのドメイン名によるアドレス解決要求、アドレスからのドメイン名の検索要求に応答する機能を有しており、これは従来技術で構成される。
In the configuration shown in FIG. 1, when communication traffic from the
The abnormal
When each of the
On the other hand, the
Furthermore, the
図2は、本発明の実施例の異常トラヒック監視装置100の概略構成を示すブロック図である。
異常トラヒック監視装置100は、フロー情報受信機能101と、異常トラヒック検出機能102と、異常トラヒック分析機能103と、関連アラート検索機能104と、GUI・グラフ表示機能105と、フロー情報蓄積機能106と、分析情報蓄積機能107と、アラート情報蓄積機能108と、ドメイン名取得機能109とで構成される。
各ネットワーク装置#1〜4(11〜14)から、前記フロー情報が異常トラヒック監視装置100へ送信されると、フロー情報受信機能101は、各ネットワーク装置#1〜4(11〜14)からの通信プロトコルを終端し、フロー情報を受信する。また、フロー情報受信機能101は、受信したフロー情報をフロー情報蓄積機能106へ送信する。
フロー情報蓄積機能106は、フロー情報受信機能101から受信したフロー情報を順次保存し、要求に応じて該当するフロー情報を抽出し、要求元に対して送信する。
異常トラヒック検出機能102は、一定期間に受信したフロー情報を解析し、トラヒックの急激な変化を異常トラヒックのアラート情報として検出する機能である。
異常トラヒック検出機能102は、フロー情報蓄積機能106に対して、一定周期毎のフロー情報を要求する。要求に応じて、フロー情報蓄積機能106から複数のフロー情報を受信すると、受信したフロー情報に対して異常トラヒックの検査を実施し、異常トラヒックを検出する。
ここで、異常トラヒックの検査方法は、特に限定しないため、目的に応じて任意のアルゴリズムを採用して良い。例えば、保持したフロー情報の中から特定の宛先アドレス毎にトラヒック量を積算し、予め設定された閾値を超えた場合に該当宛先アドレスに対する異常トラヒックと判定する方法がある。
FIG. 2 is a block diagram illustrating a schematic configuration of the abnormal
The abnormal
When the flow information is transmitted from each of the
The flow
The abnormal
The abnormal
Here, the method for inspecting abnormal traffic is not particularly limited, and an arbitrary algorithm may be employed depending on the purpose. For example, there is a method of accumulating the traffic amount for each specific destination address from the stored flow information, and determining that the traffic is abnormal for the destination address when a predetermined threshold value is exceeded.
異常トラヒック検出機能102は、検出した異常トラヒックに対して、順次、アラートIDを付与し、アラート情報をアラート情報蓄積機能108に送信する。ここで、アラート情報としては、アラートID、時刻情報である発生日時、トラヒック量、宛先アドレスが送信される。また、異常トラヒック検出機能102は、異常トラヒックを検出すると、アラートIDを異常トラヒック分析機能103に送信する。
アラート情報蓄積機能108は、異常トラヒック検出機能102から受信したアラート情報を順次保存し、要求に応じて該当するアラート情報を抽出し、要求元に対して送信する。
異常トラヒック分析機能103は、アラート情報を元にフロー情報を詳細に分析し、異常トラヒックの原因となったフロー情報を特定する機能である。異常トラヒック分析機能103は、異常トラヒック検出機能102から、アラートIDを受信すると、アラート情報蓄積機能108に、該当アラートIDのアラート情報を要求する。要求に応じて、アラート情報蓄積機能108から要求したアラート情報を受信すると、アラート情報に基づくフロー情報をフロー情報蓄積機能106に要求する。
要求に応じて、フロー情報蓄積機能106から要求したフロー情報を受信すると、フロー情報に対して異常トラヒック分析を実施し、異常トラヒックの原因となったフロー情報を特定する。すなわち、異常トラヒックの原因となったフロー情報として、宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル番号、トラヒック量を得る。
ここで、異常トラヒック分析の方法は、特に限定しないが、異常トラヒックの原因となるフロー情報が特定可能な任意のアルゴリズムを採用して良い。例えば、前述の特許文献2では、異常トラヒックを検出した前後のフロー情報の差分を抽出することで、トラヒックの変化の原因となったフロー情報を特定する。特定されたフロー情報は、単一でも複数でもよい。
The abnormal
The alert
The abnormal
When the requested flow information is received from the flow
Here, the method of analyzing abnormal traffic is not particularly limited, but any algorithm that can identify flow information that causes abnormal traffic may be adopted. For example, in
異常トラヒック分析機能103は、特定したフロー情報に含まれるアドレス情報をドメイン名取得機能109に送信する。ドメイン名取得機能109では、受信したアドレスをDNSサーバ50に送信し、応答としてドメイン名を解決する機能を有する。ドメイン名取得機能109は、受信したドメイン名を異常トラヒック分析機能103に返信する。
異常トラヒック分析機能103は、特定した複数のフロー情報に対して、フローIDを付与する。また、異常トラヒック分析の実施毎に分析IDを付与する。さらに、異常トラヒック分析機能103は、分析情報として、アラートID、分析ID、分析IDに対応する単一または複数のフローID、各フローIDに対応するフロー情報、およびドメイン名取得機能109から取得したドメイン名を、分析情報蓄積機能107に送信する。
図3は、本実施例の異常トラヒック監視装置100で分析した分析情報の一例を示す図である。
図3の分析情報は、分析ID:0043に対して、複数のフローID(フローID:0001、フローID:0002)、各フローIDに対応するフロー情報(宛先アドレス、宛先アドレスのドメイン名、送信元アドレス、送信元アドレスのドメイン名、宛先ポート番号、送信元ポート番号、プロトコル番号)で構成される。なお、図3は、フロー情報が複数の例を示しているが、単一でもよい。
また、異常トラヒック分析機能103は、分析情報の送信後、アラートIDと分析IDを関連アラート検索機能104に送信する。
分析情報蓄積機能107は、異常トラヒック分析機能103から受信した分析情報を順次保存し、要求に応じて該当する分析情報を抽出し、要求元に対して送信する。
The abnormal
The abnormal
FIG. 3 is a diagram illustrating an example of analysis information analyzed by the abnormal
The analysis information in FIG. 3 includes a plurality of flow IDs (flow ID: 0001, flow ID: 0002) for the analysis ID: 0043, flow information corresponding to each flow ID (destination address, domain name of destination address, transmission) Source address, source address domain name, destination port number, source port number, protocol number). FIG. 3 shows an example in which the flow information is plural, but it may be single.
The abnormal
The analysis
関連アラート検索機能104は、分析情報から、それに関連する他の分析情報を特定する機能である。関連アラート検索機能104は、異常トラヒック分析機能103からアラートIDと分析IDを受信すると、分析IDを分析情報蓄積機能107に送信し、当該分析情報を要求する。要求に応じて、分析情報蓄積機能107から要求した分析情報を受信すると、分析情報と関連する他の分析情報を指定した相関条件を元に分析情報蓄積機能107に対して要求し、関連分析情報を得る。この際に得られる関連分析情報は、単一でも複数でも良い。
また、得られた各関連分析情報から、アラートIDを抽出し、これを関連アラートIDとする。さらに、異常トラヒック分析機能103から受信したアラート情報と、検索した関連アラートIDを関連アラート情報として、GUI・グラフ表示機能105に送信する。
図4は、本実施例の異常トラヒック監視装置100で検索した関連アラート情報の一例を示す図である。
図4の関連アラート情報は、検索の契機となったアラートID:0024に対して、関連アラートのアラートIDのリスト(アラートID:0018およびアラートID:0022)で構成される。なお、図4では、関連アラートは複数の例を示しているが、単一でもよい。
なお、前記相関条件とは、ある分析情報と別の分析情報の間で、関連性があることを検索するための条件を意味する。
The related
Moreover, alert ID is extracted from each obtained related analysis information, and this is made into related alert ID. Furthermore, the alert information received from the abnormal
FIG. 4 is a diagram illustrating an example of related alert information searched by the abnormal
The related alert information shown in FIG. 4 is composed of a list of alert IDs (alert ID: 0018 and alert ID: 0022) of related alerts with respect to the alert ID: 0024 that triggered the search. In FIG. 4, a plurality of examples of related alerts are shown, but a single alert may be used.
The correlation condition means a condition for searching that there is a relationship between one analysis information and another analysis information.
GUI・グラフ表示機能105では、受信した関連アラート情報から、アラートIDを抽出し、アラート情報蓄積機能108に送信し、対応するアラート情報を取得する。また、取得したアラート情報の発生日時を含む区間のフロー情報を取得し、時間単位毎のトラヒック量を算出することで、トラヒックグラフを描画する。さらに、GUI・グラフ表示機能105では、描画したトラヒックグラフに対して、先に取得したアラート情報から発生日時を抽出し、関連するアラートの時刻情報を示す。
図5は、本実施例の異常トラヒック監視装置100に表示されるトラヒックグラフの一例を示す図である。
図5においては、アラートID:0024に対応するトラヒックグラフが表示されている。また、日時Cで発生したアラートID:0024が、トラヒックグラフ中の発生日時の箇所に実線で表示されており、関連するアラートID:0018およびアラートID:0022のアラートIDが、同様に各アラートIDに対応するアラート情報の発生日時の箇所(日時A、日時B)に対して、点線で表示されている。
監視者70が、監視用端末60のWebブラウザ経由で、異常トラヒック監視装置100にアクセスすると、GUI・グラフ表示機能105がこれを受信し、GUI機能として、前記のトラヒックグラフと関連するアラート情報を表示する。
これにより、監視者70はアラート情報と当該アラート情報のトラヒックグラフ、当該アラート情報に関連するアラート情報の時刻情報を一画面で確認することができ、迅速な対応の判断が可能となる。
The GUI /
FIG. 5 is a diagram illustrating an example of a traffic graph displayed on the abnormal
In FIG. 5, a traffic graph corresponding to the alert ID: 0024 is displayed. The alert ID 0024 that occurred at the date and time C is displayed by a solid line at the location of the occurrence date and time in the traffic graph, and the alert IDs of the related alert ID 0018 and alert ID 0022 are the same as each alert ID. Is displayed with a dotted line with respect to the location (date / time A, date / time B) of the occurrence date and time of alert information corresponding to.
When the
Thereby, the
以下、前記関連アラート検索機能における相関条件について、より具体的な例で説明する。
関連アラート検索機能104は、相関条件を元に分析情報蓄積機能107に対して、関連分析情報を要求するが、指定された相関条件と検索元となる分析情報から検索条件を生成して、分析情報蓄積機能107に要求することで、応答として関連する分析情報を得ることが可能である。
図6は、本実施例の異常トラヒック監視装置100における、分析情報と相関条件の関係の一例を示す図である。
図6は、相関条件として、5−tuple情報(宛先アドレス、送信元アドレス、プロトコル番号、宛先ポート番号、送信元ポート番号)の内、単一または複数の情報が一致する条件を分析情報から抽出した例である。
相関条件:Aでは、「対象日時」と「宛先アドレスが一致」する条件が設定されており、これを分析ID:0043の分析情報のフローID:0001に適用すると、検索条件:A−0001が得られる。
また、相関条件:Bでは、「対象日時」と「宛先アドレスが一致」し、且つ「送信元アドレスが一致」する条件が設定されており、これを同様に分析ID0043の分析情報のフローID:0002に適用すると、検索条件:B−0001が得られる。
Hereinafter, the correlation condition in the related alert search function will be described with a more specific example.
The related
FIG. 6 is a diagram illustrating an example of the relationship between the analysis information and the correlation condition in the abnormal
In FIG. 6, as a correlation condition, a condition in which single or plural information matches among 5-tuple information (destination address, transmission source address, protocol number, destination port number, transmission source port number) is extracted from the analysis information. This is an example.
In the correlation condition: A, a condition that “target date and time” and “destination address match” is set, and when this is applied to the flow ID: 0001 of the analysis information of the analysis ID: 0043, the search condition: A-0001 is can get.
Further, in the correlation condition B, a condition that “target date and time” and “destination address match” and “transmission source address match” is set, and this is similarly applied to the flow ID of analysis information of analysis ID 0043: When applied to 0002, a search condition: B-0001 is obtained.
図7は、本実施例の異常トラヒック監視装置100における、分析情報と相関条件の関係の他の例を示す図である。
図7は、相関条件として、宛先情報と送信元情報が一致するか、または、送信元情報と宛先情報が一致する条件を分析情報から抽出した例である。
相関条件:Cでは、「対象日時」と「宛先アドレスと送信元アドレスが一致」する条件が設定されており、これを分析ID:0043の分析情報のフローID:0001に適用すると、検索条件:C−0001が得られる。
また、相関条件:Dでは、「対象日時」と「送信元アドレスと宛先アドレスが一致」する条件が設定されており、これを同様に分析ID0043の分析情報のフローID:0002に適用すると、検索条件:D−0001が得られる。
図8は、本実施例の異常トラヒック監視装置100における、分析情報と相関条件の関係の他の例を示す図である。
図8は、相関条件として、宛先または送信元のドメイン名が一致する条件を分析情報から抽出した例である。
相関条件:Eでは、「対象日時」と「宛先アドレスのドメイン名が一致」する条件が設定されており、これを分析ID:0043の分析情報のフローID:0001に適用すると、検索条件:E−0001が得られる。
また、相関条件:Fでは、「対象日時」と「送信元アドレスのドメイン名が一致」する条件が設定されており、これを同様に分析ID0043の分析情報のフローID:0002に適用すると、検索条件:F−0001が得られる。
関連アラート検索機能104は、これらの検索条件:A−0001、B−0001、C−0001、D−0001、E−0001、F−0001に例示した検索条件を分析情報蓄積機能107に送信することで、それぞれ対応する相関条件を満足する分析情報を抽出する。
FIG. 7 is a diagram illustrating another example of the relationship between the analysis information and the correlation condition in the abnormal
FIG. 7 shows an example in which, as the correlation condition, the condition in which the destination information and the transmission source information match or the transmission source information and the destination information match is extracted from the analysis information.
In the correlation condition: C, the condition “target date and time” and “destination address and source address match” are set, and when this is applied to the flow ID: 0001 of the analysis information of the analysis ID: 0043, the search condition: C-0001 is obtained.
Further, in the correlation condition D, a condition that “target date and time” and “source address and destination address match” is set, and when this is applied to the
FIG. 8 is a diagram illustrating another example of the relationship between the analysis information and the correlation condition in the abnormal
FIG. 8 shows an example in which a condition that matches the destination or source domain name is extracted from the analysis information as the correlation condition.
In the correlation condition: E, a condition for “target date and time” and “the domain name of the destination address match” is set. When this is applied to the flow ID: 0001 of the analysis information of the analysis ID: 0043, the search condition: E -0001 is obtained.
Further, in the correlation condition F, a condition that “target date and time” and “domain name of the source address match” is set, and when this is applied to the
The related
以下に関連アラート検索機能104において、複数の相関条件を用いて関連アラートを抽出する方法を説明する。
関連アラート検索機能104では、相関条件により、分析情報から検索条件を生成し、これを分析情報蓄積機能107に送信することで、相関条件を満足する分析情報を抽出する。
図9は、本発明の実施例の異常トラヒック監視装置において、関連アラート検索機能104に設定される複数の相関条件とその優先度の設定を保持するテーブルの内容を示す図である。
関連アラート検索機能104では、あらかじめ設定された複数の相関条件の中から設定された優先度の順に相関条件を抽出し、関連アラートを抽出する。該当するアラートが抽出されれば、処理を終了するが、抽出されない場合は、次の優先度を有する相関条件を用いて関連アラートを抽出する。これを関連アラートが抽出されるか、全ての相関条件に対する検索が完了するまで繰り返すことで、複数の相関条件を用いて関連アラートを抽出することが可能となる。
なお、前述の説明では、異常トラヒック監視装置100を1台の装置で構成した場合について説明したが、異常トラヒック監視装置100を複数の装置で構成することも可能である。
A method for extracting related alerts using a plurality of correlation conditions in the related
The related
FIG. 9 is a diagram showing the contents of a table holding a plurality of correlation conditions set in the related
The related
In the above description, the case where the abnormal
以上説明したように、本実施例の異常トラヒック監視装置では、異常トラヒックのアラート検出時の情報のみを用いたアラートの関連付けではなく、アラート検出後にトラヒックの分析を実施し、得られた分析結果を用いて、複数アラート間の関連性を判定する手段を備えることで、アラート検出時の情報だけでは、判定できない異常トラヒックのケースにおいても、相互の関連性を自動的に判定することが可能となり、監視者に対して、複数アラート間の関連性を提示することが可能となる。
このように、本実施例によれば、ネットワーク上のトラヒックを監視し、異常状態を検出するシステムにおいて、異常トラヒックのアラート情報と共に関連するアラート情報が表示されることで、監視者がトラヒック情報と関連アラート情報を迅速に確認することが可能となり、対応策の判断が容易となる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
As described above, in the abnormal traffic monitoring apparatus of the present embodiment, instead of associating alerts using only information at the time of detecting an abnormal traffic alert, the traffic analysis is performed after the alert detection, and the obtained analysis result is displayed. By using the means to determine the relevance between multiple alerts, it becomes possible to automatically determine the relevance even in the case of abnormal traffic that cannot be determined only by the information at the time of alert detection, It becomes possible to present the relevance between a plurality of alerts to the monitor.
As described above, according to the present embodiment, in the system that monitors traffic on the network and detects an abnormal state, the alert information related to the abnormal traffic is displayed together with the alert information of the abnormal traffic. The related alert information can be quickly confirmed, and the countermeasure can be easily determined.
As mentioned above, the invention made by the present inventor has been specifically described based on the above embodiments. However, the present invention is not limited to the above embodiments, and various modifications can be made without departing from the scope of the invention. Of course.
11〜14 ネットワーク装置#1〜#4
20 監視ネットワーク
30 送信元端末
40 宛先サーバ
50 DNSサーバ
60 監視者端末
70 監視者
100 異常トラヒック監視装置
101 フロー情報受信機能
102 異常トラヒック検出機能
103 異常トラヒック分析機能
104 関連アラート検索機能
105 GUI・グラフ表示機能
106 フロー情報蓄積機能
107 分析情報蓄積機能
108 アラート情報蓄積機能
109 ドメイン名取得機能
11-14
DESCRIPTION OF
Claims (15)
トラヒックの統計情報を前記ネットワーク上のネットワーク装置から受信するステップ1と、
前記ステップ1で受信したトラヒックの統計情報からトラヒックの異常状態を検出し、アラート情報として監視者に通知するステップ2と、
前記ステップ2での前記アラート情報の通知を契機として、異常状態のトラヒック情報を分析し、アラート情報に付随する分析情報として保存するステップ3と、
前記ステップ3で保存された前記分析情報から、関連するアラート情報を検索するステップ4と、
前記ステップ4で検索した前記関連するアラート情報を監視者に提示するステップ5とを有することを特徴とする異常トラヒック監視方法。 An abnormal traffic monitoring method in an abnormal traffic monitoring device for monitoring traffic on a network and detecting an abnormal state,
Receiving traffic statistics information from a network device on the network; and
Detecting an abnormal state of traffic from the traffic statistical information received in step 1, and notifying the monitor as alert information;
Step 3 of analyzing the traffic information in an abnormal state triggered by the notification of the alert information in Step 2, and storing it as analysis information accompanying the alert information;
Searching for relevant alert information from the analysis information stored in step 3;
And a step 5 of presenting the relevant alert information retrieved in the step 4 to a monitor.
前記ステップ4は、前記分析情報から関連するアラート情報を検索する際に、宛先アドレスまたは送信元アドレスから検索したドメイン名が一致し、且つ、前記アラート情報の時刻情報から前後一定の時間幅の範囲に、各アラート情報の時刻情報が含まれるアラート情報を関連するアラートとして検索し、アラート間の関連性を自動判定するステップを有することを特徴とする請求項1に記載の異常トラヒック監視方法。 The step 3 includes a step of searching a domain name from a destination address or a source address of the analysis result,
When searching for related alert information from the analysis information, the step 4 matches a domain name searched from a destination address or a source address, and a range of a certain time width from the time information of the alert information. The abnormal traffic monitoring method according to claim 1, further comprising: searching for alert information including time information of each alert information as related alerts and automatically determining a relationship between the alerts.
前記ステップ5において、前記検索したアラート情報から時刻情報を抽出し、前記異常トラヒック情報のグラフ表示の中に、前記抽出した時刻情報を表示することを特徴とする請求項1ないし請求項5のいずれか1項に記載の異常トラヒック監視方法。 In the step 2, the time change of the traffic amount due to the GUI is displayed as a graph as the detected abnormal traffic information for the monitor.
6. The time information is extracted from the retrieved alert information in the step 5, and the extracted time information is displayed in a graph display of the abnormal traffic information. The abnormal traffic monitoring method according to claim 1.
トラヒックの統計情報を前記ネットワーク上のネットワーク装置から受信し、トラヒックの統計情報からトラヒックの異常状態を検出し、アラート情報として監視者に通知する手段1と、
前記アラート情報の通知を契機として、異常状態のトラヒック情報を分析し、アラート情報に付随する分析情報として保存する手段2と、
保存された前記分析情報から、関連するアラート情報を検索し、監視者に提示する手段3とを有することを特徴とする異常トラヒック監視装置。 An abnormal traffic monitoring device that monitors traffic on a network and detects an abnormal state,
Means 1 for receiving traffic statistical information from a network device on the network, detecting an abnormal state of traffic from the traffic statistical information, and notifying a monitor as alert information;
Triggering the notification of the alert information, analyzing the traffic information in an abnormal state, and storing means 2 as analysis information accompanying the alert information;
An abnormal traffic monitoring apparatus comprising means 3 for searching for relevant alert information from the stored analysis information and presenting it to a monitor.
前記手段3は、前記分析情報から関連するアラート情報を検索する際に、宛先アドレスまたは送信元アドレスから検索したドメイン名が一致し、且つ、前記アラート情報の時刻情報から前後一定の時間幅の範囲に、各アラート情報の時刻情報が含まれるアラート情報を関連するアラートとして検索し、アラート間の関連性を自動判定する手段を有することを特徴とする請求項7に記載の異常トラヒック監視装置。 The means 2 includes means for searching a domain name from a destination address or a source address of the analysis result,
When the means 3 searches for the relevant alert information from the analysis information, the domain name searched from the destination address or the source address matches, and the range of a certain time width before and after the time information of the alert information The abnormal traffic monitoring apparatus according to claim 7, further comprising means for searching for alert information including time information of each alert information as related alerts and automatically determining a relationship between the alerts.
前記手段3は、前記検索したアラート情報から時刻情報を抽出し、前記異常トラヒック情報のグラフ表示の中に、前記抽出した時刻情報を表示することを特徴とする請求項7ないし請求項11のいずれか1項に記載の異常トラヒック監視装置。 The means 1 displays a time change in traffic volume by GUI as abnormal traffic information detected for the monitor,
The said means 3 extracts time information from the searched alert information, and displays the extracted time information in a graph display of the abnormal traffic information. The abnormal traffic monitoring device according to claim 1.
フロー情報受信機能と、
フロー情報蓄積機能と、
異常トラヒック検出機能と、
アラート情報蓄積機能と、
異常トラヒック分析機能と、
分析情報蓄積機能と、
関連アラート検索機能とを有し、
前記フロー情報受信機能は、前記ネットワーク上のネットワーク装置からフロー情報を受信し、当該受信したフロー情報を前記フロー情報蓄積機能へ送信し、
前記フロー情報蓄積機能は、前記フロー情報受信機能から受信したフロー情報を順次保存し、要求に応じて該当するフロー情報を抽出し、要求元に対して送信し、
前記異常トラヒック検出機能は、前記フロー情報蓄積機能に対して、一定周期毎のフロー情報を要求し、前記フロー情報蓄積機能から受信したフロー情報に対して異常トラヒックの検査を実施し、検出した異常トラヒックに対して、アラートIDを付与し、アラート情報として前記アラート情報蓄積機能に送信し、かつ、前記異常トラヒック分析機能にアラートIDを送信し、
前記アラート情報蓄積機能は、前記異常トラヒック検出機能から受信したアラート情報を順次保存し、要求に応じて該当するアラート情報を抽出し、要求元に対して送信し、
前記異常トラヒック分析機能は、前記異常トラヒック検出機能からアラートIDを受信すると、前記アラート情報蓄積機能に当該アラートIDのアラート情報を要求し、前記アラート情報蓄積機能から要求したアラート情報を受信すると、アラート情報に基づくフロー情報を前記フロー情報蓄積機能に要求し、前記フロー情報蓄積機能から受信したフロー情報に対して異常トラヒック分析を実施し、異常トラヒックの原因となったフロー情報を特定し、特定した複数のフロー情報に対して、フローIDを付与するとともに、異常トラヒック分析の実施毎に分析IDを付与し、当該分析IDの分析情報を前記分析情報蓄積機能に送信し、かつ、アラートIDと分析IDを関連アラート検索機能に送信し、
前記分析情報蓄積機能は、前記異常トラヒック分析機能から受信した分析情報を順次保存し、要求に応じて該当する分析情報を抽出し、要求元に対して送信し、
前記関連アラート検索機能は、前記異常トラヒック分析機能からアラートIDと分析IDを受信すると、当該分析IDの分析情報を前記分析情報蓄積機能に要求し、前記分析情報蓄積機能から要求した分析情報を受信すると、分析情報と関連する他の分析情報を指定した相関条件を元に前記分析情報蓄積機能に対して要求し、得られた関連分析情報からアラートIDを抽出し、これを関連アラートIDとすることを特徴とする異常トラヒック監視装置。 An abnormal traffic monitoring device that monitors traffic on a network and detects an abnormal state,
Flow information reception function,
Flow information storage function,
Anomaly traffic detection function,
Alert information storage function,
Anomaly traffic analysis function,
Analysis information storage function,
A related alert search function,
The flow information reception function receives flow information from a network device on the network, transmits the received flow information to the flow information storage function,
The flow information accumulation function sequentially stores the flow information received from the flow information reception function, extracts corresponding flow information in response to a request, and transmits it to the request source.
The abnormal traffic detection function requests the flow information accumulation function for flow information at a fixed period, performs an inspection of abnormal traffic on the flow information received from the flow information accumulation function, and detects the detected abnormality. An alert ID is assigned to the traffic, is sent to the alert information storage function as alert information, and an alert ID is sent to the abnormal traffic analysis function,
The alert information storage function sequentially stores alert information received from the abnormal traffic detection function, extracts corresponding alert information in response to a request, and transmits it to the request source.
When the abnormal traffic analysis function receives an alert ID from the abnormal traffic detection function, the abnormal traffic analysis function requests alert information of the alert ID from the alert information storage function, and receives the requested alert information from the alert information storage function. Request flow information based on information to the flow information storage function, perform abnormal traffic analysis on the flow information received from the flow information storage function, identify and identify the flow information that caused the abnormal traffic A flow ID is assigned to a plurality of flow information, an analysis ID is assigned every time an abnormal traffic analysis is performed, the analysis information of the analysis ID is transmitted to the analysis information storage function, and an alert ID and analysis are performed. Send ID to related alert search function,
The analysis information storage function sequentially stores the analysis information received from the abnormal traffic analysis function, extracts the corresponding analysis information according to the request, and transmits it to the request source.
When the related alert search function receives an alert ID and an analysis ID from the abnormal traffic analysis function, the related alert search function requests analysis information of the analysis ID to the analysis information storage function, and receives the analysis information requested from the analysis information storage function. Then, a request is made to the analysis information storage function based on a correlation condition specifying other analysis information related to the analysis information, and an alert ID is extracted from the obtained related analysis information, and this is used as the related alert ID. An abnormal traffic monitoring device characterized by that.
前記GUI・グラフ表示機能は、前記関連アラート検索機能から受信したアラートIDおよび関連アラートIDのアラート情報を前記アラート情報蓄積機能から取得し、前記取得したアラート情報の発生日時を含む区間のフロー情報を前記フロー情報蓄積機能から取得し、時間単位毎のトラヒック量を算出してトラヒックグラフを描画するとともに、前記描画したトラヒックグラフに対して、取得したアラート情報から発生日時を抽出し、関連するアラートの時刻情報を図示し、かつ、取得した関連アラートIDの関連アラート情報の時刻情報を抽出し、前記トラヒックグラフ表示中に、抽出した時刻情報を表示することを特徴とする請求項13に記載の異常トラヒック監視装置。 It has a GUI / graph display function,
The GUI / graph display function acquires the alert ID received from the related alert search function and the alert information of the related alert ID from the alert information storage function, and the flow information of the section including the occurrence date and time of the acquired alert information is obtained. Obtained from the flow information storage function, calculates the traffic volume per time unit and draws a traffic graph, extracts the date and time of occurrence from the obtained alert information for the drawn traffic graph, The time information of the related alert information of the acquired related alert ID is extracted and time information is extracted, and the extracted time information is displayed during the traffic graph display. Traffic monitoring device.
前記ドメイン名取得機能は、前記異常トラヒック分析機能において特定したフロー情報に含まれるアドレス情報を、前記異常トラヒック分析機能から受信してDNSサーバに送信し、前記DNSサーバから対応するドメイン名を受信し、当該受信したドメイン名を異常トラヒック分析機能に返信することを特徴とする請求項13または請求項14に記載の異常トラヒック監視装置。 It has a domain name acquisition function,
The domain name acquisition function receives address information included in the flow information specified in the abnormal traffic analysis function from the abnormal traffic analysis function and transmits it to the DNS server, and receives a corresponding domain name from the DNS server. 15. The abnormal traffic monitoring apparatus according to claim 13, wherein the received domain name is returned to the abnormal traffic analysis function.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009287475A JP2011130238A (en) | 2009-12-18 | 2009-12-18 | Abnormal traffic monitoring method, and abnormal traffic monitoring device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009287475A JP2011130238A (en) | 2009-12-18 | 2009-12-18 | Abnormal traffic monitoring method, and abnormal traffic monitoring device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011130238A true JP2011130238A (en) | 2011-06-30 |
Family
ID=44292323
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009287475A Pending JP2011130238A (en) | 2009-12-18 | 2009-12-18 | Abnormal traffic monitoring method, and abnormal traffic monitoring device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011130238A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8896445B2 (en) | 2011-09-02 | 2014-11-25 | P&W Solutions Co., Ltd. | Alert analyzing apparatus, method and program |
WO2015140927A1 (en) * | 2014-03-18 | 2015-09-24 | 株式会社日立製作所 | Data transfer monitoring system, data transfer monitoring method, and site system |
JP2018038062A (en) * | 2014-06-18 | 2018-03-08 | 日本電信電話株式会社 | Network system, control device, communication equipment, communication control method, and communication control program |
CN114157516A (en) * | 2022-02-09 | 2022-03-08 | 北京搜狐新媒体信息技术有限公司 | Flow detection method and device, electronic equipment and computer storage medium |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004046742A (en) * | 2002-07-15 | 2004-02-12 | Ntt Data Corp | Attack analysis apparatus, sensor, attack analysis method and program |
-
2009
- 2009-12-18 JP JP2009287475A patent/JP2011130238A/en active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004046742A (en) * | 2002-07-15 | 2004-02-12 | Ntt Data Corp | Attack analysis apparatus, sensor, attack analysis method and program |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8896445B2 (en) | 2011-09-02 | 2014-11-25 | P&W Solutions Co., Ltd. | Alert analyzing apparatus, method and program |
WO2015140927A1 (en) * | 2014-03-18 | 2015-09-24 | 株式会社日立製作所 | Data transfer monitoring system, data transfer monitoring method, and site system |
JPWO2015140927A1 (en) * | 2014-03-18 | 2017-04-06 | 株式会社日立製作所 | Data transfer monitoring system, data transfer monitoring method, and base system |
JP2018038062A (en) * | 2014-06-18 | 2018-03-08 | 日本電信電話株式会社 | Network system, control device, communication equipment, communication control method, and communication control program |
US10397260B2 (en) | 2014-06-18 | 2019-08-27 | Nippon Telegraph And Telephone Corporation | Network system |
US10476901B2 (en) | 2014-06-18 | 2019-11-12 | Nippon Telegraph And Telephone Corporation | Network system, control apparatus, communication apparatus, communication control method, and communication control program |
CN114157516A (en) * | 2022-02-09 | 2022-03-08 | 北京搜狐新媒体信息技术有限公司 | Flow detection method and device, electronic equipment and computer storage medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4667437B2 (en) | Abnormal traffic detection apparatus, abnormal traffic detection method, and abnormal traffic detection program | |
US8429747B2 (en) | Method and device for detecting flood attacks | |
US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
TW201703465A (en) | Network anomaly detection | |
US20120174220A1 (en) | Detecting and mitigating denial of service attacks | |
US20100046393A1 (en) | Methods and systems for internet protocol (ip) traffic conversation detection and storage | |
JP4764810B2 (en) | Abnormal traffic monitoring device, entry management device, and network system | |
JP5066544B2 (en) | Incident monitoring device, method, and program | |
KR20110048112A (en) | Apparatus for detecting and filtering DDoS attack based on request URI type | |
US20100050084A1 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
JP4412031B2 (en) | Network monitoring system and method, and program | |
JP2008283621A (en) | Apparatus and method for monitoring network congestion state, and program | |
JP2007179131A (en) | Event detection system, management terminal and program, and event detection method | |
JP2011130238A (en) | Abnormal traffic monitoring method, and abnormal traffic monitoring device | |
WO2015087404A1 (en) | Information processing apparatus, information processing method, and program | |
CN103634166A (en) | Equipment survival detection method and equipment survival detection device | |
JP6470201B2 (en) | Attack detection device, attack detection system, and attack detection method | |
WO2011026371A1 (en) | Method and device for detecting validity of historical performance data | |
CN115664833B (en) | Network hijacking detection method based on local area network safety equipment | |
JP5015279B2 (en) | Cause identification system, method, apparatus, and program linked with traffic volume change detection | |
CN114189361B (en) | Situation awareness method, device and system for defending threat | |
JP2008244632A (en) | System, method, and program for setting object to be monitored, network monitoring system, management device, and collection device | |
KR20140031616A (en) | Method and apparatus for detecting ddos attack | |
JP5362769B2 (en) | Network monitoring apparatus and network monitoring method | |
JP6513001B2 (en) | Failure detection device, failure detection method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111111 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111122 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120313 |