JP2011205572A - 不正アクセス監視システム及びプログラム - Google Patents

不正アクセス監視システム及びプログラム Download PDF

Info

Publication number
JP2011205572A
JP2011205572A JP2010073224A JP2010073224A JP2011205572A JP 2011205572 A JP2011205572 A JP 2011205572A JP 2010073224 A JP2010073224 A JP 2010073224A JP 2010073224 A JP2010073224 A JP 2010073224A JP 2011205572 A JP2011205572 A JP 2011205572A
Authority
JP
Japan
Prior art keywords
packet
unauthorized access
information
monitoring system
access monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010073224A
Other languages
English (en)
Inventor
Akihiro Miyoshi
暁宏 三好
Kazutomo Minato
一等 湊
Keiichi Yamamoto
圭一 山本
Masamichi Tanabe
正道 田邊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shimane Prefecture
Original Assignee
Shimane Prefecture
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shimane Prefecture filed Critical Shimane Prefecture
Priority to JP2010073224A priority Critical patent/JP2011205572A/ja
Publication of JP2011205572A publication Critical patent/JP2011205572A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】コンピュータに送信されてくるパケットである送信パケットを取得するパケット取得手段と、パケットを解析する解析手段とを備え、前記コンピュータへの不正アクセスを監視するにあたり、自身に高いセキュリティが確保され且つ不正アクセス監視をサイバー攻撃の攻撃元に知られる可能性も低い不正アクセス監視システム及び不正アクセス監視プログラムを提供することを課題とする。
【解決手段】本発明は、コンピュータ3,4,6に送信されてくるパケットである送信パケットを取得するパケット取得手段18と、パケットを解析する解析手段28,31とを備え、前記コンピュータ3,4,6への不正アクセスを監視する不正アクセス監視システムにおいて、ポートミラーリングによって分岐された送信パケットを取得するようにパケット取得手段18を構成し、該取得された送信パケットの情報を記憶する記憶装置22を備える。
【選択図】図2

Description

この発明は、不正アクセス監視システム及びプログラムに関する。
従来、DoS攻撃等のサイバー攻撃に対しては、サイバー攻撃されたコンピュータに記憶されたログ情報を解析することにより、サイバー攻撃の攻撃元や攻撃手段等の特定を行うことが一般的であったが、解析に手間や時間を要するログ情報を利用した上記手法では、サイバー攻撃の攻撃元や攻撃手段等の特定等を迅速に行うことが難しい場合が多く、リアルタイムにサイバー攻撃に対処することが困難であった。
これに対して、コンピュータに送信されてくるパケットである送信パケットを取得するパケット取得手段と、パケットを解析する解析手段とを備え、前記コンピュータへの不正アクセスを監視する特許文献1,2に示す不正アクセス監視システムが公知になっている。
特許第3999188号公報(第9頁、第1図) 特許第4298622号公報(第1図)
上記文献の不正アクセス監視システムは、送信パケットを解析手段によって解析し、この解析結果に基づいて、サイバー攻撃の攻撃元や攻撃手段等の特定を迅速に行うことが可能であり、サイバー攻撃にリアルタイムに対処することができる一方で、この不正アクセス監視システムが監視対象のコンピュータと相互通信可能なようにネットワーク内に設置されているため、この不正アクセス監視システム自体がサイバー攻撃の対象になる可能性がある他、不正アクセス監視をサイバー攻撃の攻撃元に知られる虞がある。
本発明は、コンピュータに送信されてくるパケットである送信パケットを取得するパケット取得手段と、パケットを解析する解析手段とを備え、前記コンピュータへの不正アクセスを監視するにあたり、自身に高いセキュリティが確保され且つ不正アクセス監視をサイバー攻撃の攻撃元に知られる可能性も低い不正アクセス監視システム及び不正アクセス監視プログラムを提供することを課題とする。
上記課題を解決するため本発明は、第1に、コンピュータ3,4,6に送信されてくるパケットである送信パケットを取得するパケット取得手段18と、パケットを解析する解析手段28,31とを備え、前記コンピュータ3,4,6への不正アクセスを監視する不正アクセス監視システムにおいて、ポートミラーリングによって分岐された送信パケットを取得するようにパケット取得手段18を構成し、該取得された送信パケットの情報を記憶する記憶装置22を備えたことを特徴としている。
第2に、パケット取得手段18がTCP/IPをサポートしたネットワークインターフェースを備え、該ネットワークインターフェースが送信パケットを一方的に受信して応答しないようにパケット取得手段18を構成したことを特徴としている。
第3に、送信パケットが送られてくる通信ケーブルが前記ネットワークインターフェースに物理的に接続された際に、該ネットワークインターフェースに前記ネットワーク内のIPアドレスを割当てなられないようにパケット取得手段18を構成することにより、該ネットワークインターフェースが送信パケットを一方的に受信することを特徴としている。
第4に、送信パケットに対して応答する際に前記コンピュータ3,4,6から送られ且つポートミラーリングによって分岐されたパケットである応答パケットを取得可能なようにパケット取得手段18を構成したことを特徴としている。
第5に、予め定めた所定数以上のパケットを、予め定めた所定時間内に、パケット取得手段18が取得した場合には、不正アクセスされている可能性がある旨を報知する報知手段37を備えたことを特徴としている。
第6に、パケット取得手段18が取得されたパケットを前記解析手段28,31を介して解析し且つ集計手段29,32を介して集計するとともに該集計された情報を記憶装置22に記憶する情報処理手段23を設け、パケットの集計処理及び該集計された情報の記憶装置22への記憶処理を、予め定めた所定間隔毎に行うように情報処理手段23を構成したことを特徴としている。
第7に、前記所定間隔毎に、集計された情報に基づいてグラフを作成し、該グラフを画像データとして記憶装置22に記憶するように情報処理手段23を構成したことを特徴としている。
第8に、電子計算機14を、不正アクセス監視システムとして機能させることを特徴としている。
上記構成の本発明によれば、ポートミラーリングによって分岐された送信パケットを取得するようにパケット取得手段が構成されるため、本発明の不正アクセス監視システム自体を監視対象となるコンピュータと相互通信可能なネットワーク内に配置する必要がなくなるため、自身のセキュリティが確保され且つ不正アクセス監視をサイバー攻撃の攻撃元に知られる可能性も低いという効果がある。
また、パケット取得手段がTCP/IPをサポートしたネットワークインターフェースを備え、送信パケットが送られてくる通信ケーブルが前記ネットワークインターフェースに物理的に接続された際に、該ネットワークインターフェースに前記ネットワーク内のIPアドレスを割当てなられないようにパケット取得手段を構成することにより、該ネットワークインターフェースが送信パケットを一方的に受信して応答しないようにパケット取得手段を構成すれば、本発明の不正アクセス監視システム自体のセキュリティがさらに向上する他、本発明の不正アクセス監視システムから、監視対象となるコンピュータと相互通信可能なネットワーク内に及ぼす影響がさらに小さくなる。
また、送信パケットに対して応答する際に前記コンピュータから送られ且つポートミラーリングによって分岐されたパケットである応答パケットを取得可能なようにパケット取得手段を構成すれば、応答パケットによって、監視対象のコンピュータの状態を知ることもできるため、サイバー攻撃に対してより適切な対処が可能になる。
さらに、予め定めた所定数以上のパケットを、予め定めた所定時間内に、パケット取得手段が取得した場合には、不正アクセスされている可能性がある旨を報知する報知手段を備えることにより、コンピュータへの不正アクセスをより早い段階で確実に知ることが可能になる。
なお、パケット取得手段が取得されたパケットを前記解析手段を介して解析し且つ集計手段を介して集計するとともに該集計された情報を記憶装置に記憶する情報処理手段を設け、パケットの集計処理及び該集計された情報の記憶装置への記憶処理を、予め定めた所定間隔毎に行うように情報処理手段を構成すれば、データベース等の高価なソフトや装置を用いること無く、所望日時のパケット情報に容易にアクセス可能になるため、前記コンピュータの状態をさらに容易に把握可能になる。
また、前記所定間隔毎に、集計された情報に基づいてグラフを作成し、該グラフを画像データとして記憶装置に記憶するように情報処理手段を構成すれば、視覚的に状況を知ることが可能になるため、前記コンピュータの状況を過去から現在に亘って、より容易に把握可能になる。
TCP/IPプロトコルによって構築されたネットワークの構成を示すブロック図である。 本発明を適用した不正アクセス監視システムの構成を示すブロック図である。 パケット取得手段のパケット取得処理のフロー図である。 パケット情報処理部の解析手段によって解析されるパケット情報の一覧表である。 パケット情報処理部の集計手段によって集計される集計情報であって、(A)はIPアドレス集計情報の一覧表であり、(B)は訪問者数集計情報の一覧表であり、(C)はパケット種類集計情報の一覧表である。 (A)はアクセス情報処理部の解析手段によって解析されるウェッブサーバへの送信パケットの情報の一覧表であり、(B)はアクセス情報処理部の解析手段によって解析されるウェッブサーバからの応答パケットの情報の一覧表である。 アクセス情報処理部の集計手段によって集計される集計情報であって、(A)はアクセス先アドレス集計情報の一覧表であり、(B)はリンク元アドレス集計情報の一覧表であり、(C)は応答種類集計情報の一覧表である。 情報処理手段のパケット情報処理の手順を示すフロー図である。 情報処理手段のパケット情報処理時に作成するグラフ画像である。 情報処理手段のアクセス情報処理の手順を示すフロー図である。 情報処理手段のアクセス情報処理時に作成するグラフ画像である。 報知手段の処理手順を示すフロー図である。 本発明の別実施形態の不正アクセス監視システムのブロック図である。
図1は、TCP/IPプロトコルによって構築されたネットワークの構成を示すブロック図である。同図に示すネットワークでは、内部ネットワーク2にサーバとして機能する複数のコンピュータ3,4,6が設置され、内部ネットワーク2はルータ7等を介してWANの一種であるインターネット8に接続されており、インターネット8にはPCやスマートフォン等の情報端末9,9,9が接続されている。
上記複数のサーバ3,4,6の1つはウェブサーバ3であって、該ウェブサーバ3には1台のコンピュータに複数のドメインを割当てる仮想ドメインサービス11が実装されている他、残りのコンピュータ4,6もPOPサーバ、IMAPサーバ、SMTPサーバ、DNSサーバ、FTPサーバ、ファイルサーバ等として機能している。また、各サーバ3,4,6は、情報端末9,9,9等からサーバ3,4,6へのアクセス時にサーバ3,4,6に送信されてくるパケットである送信パケット等の情報をログ情報として記憶する記憶装置3a,4a,6aを備えている。
上記ルータ7は従来公知のもの同様にIPマスカレート機能を有し、該機能によって、ルータ7より内部ネットワーク2側にある複数の電子計算機が1つのグローバルIPアドレスのみでインターネット8にアクセス可能になる。
このようなネットワーク構成においては、インターネット8を介した情報端末9等からサーバ3,4,6への不正アクセスを監視するため、本発明の不正アクセス監視システム13(図2参照)が実装された監視用コンピュータ(電子計算機)14が設置されている。
ルータ7と内部ネットワーク2(具体的にはサーバ3,4,6)はスイッチングハブ(HUB)16を介して接続されているが、このスイッチングハブ16に通信ケーブルを介して上述の監視用コンピュータ14も物理的に接続されている。
すなわち、内部ネットワーク2内のサーバ3,4,6に送信されてくるパケットを送信パケットとし、該送信パケットに応答して前記サーバ3,4,6から送信パケットの送信元に送られるパケットを応答パケットとした場合に、全ての送信パケット及び応答パケットが上記スイッチングハブ16を通過するようにスイッチングハブ16が配置構成されており、このスイッチングハブ16に不正アクセス監視システム13が接続されている。ただし、この監視用コンピュータ14は、各種サーバ3,4,6と相互通信可能な内部ネットワーク2及びインターネット8等を含む通信網からは、後述する手段によって隔絶されている。
このように内部ネットワーク2、各サーバ3,4,6又はインターネット8の何れともTCP/IPプロトコルでの相互通信可能な接続が確立されていない監視用コンピュータ14は、内部ネットワーク2、各サーバ3,4,6及びインターネット8に対して殆ど影響を与えることが無いとともに自身の高いセキュリティが確保される他、内部ネットワーク2や各サーバ3,4,6のシステム構築後に後付けすることも容易であり、汎用性も高い。
そして、このように高いセキュリティ、利便性及び汎用性が確保された不正アクセス監視システム13は、後述の構成によって、サーバ3,4,6への不正アクセス及びサーバ3,4,6の異常を容易に検知できるため、サイバー攻撃等に迅速に対応することも容易になる。
なお、サーバ3,4,6等には、ルータ7のIPマスカレート機能によって、プライベートIPを割当て且つ必要に応じて送信パケットをサーバ3,4,6に転送(例えば80ポートのパケットはウェッブサーバ3に転送)するが、ルータ7を省いて、サーバ3,4,6等にグローバルIPアドレスを割当ててもよい。この場合には、スイッチングハブ16はインターネット8に直に接続される。
また、図示する例では、スイッチングハブ16と、ルータ7とが別体となっているが、スイッチングハブ16を有するルータ7を用いてもよい。
次に、図2乃至12に基づき不正アクセス監視システム13について説明する。
図2は、本発明を適用した不正アクセス監視システムの構成を示すブロック図である。不正アクセス監視プログラムを監視用コンピュータ14にインストールすることにより、該監視用コンピュータ14が不正アクセス監視システム13として機能する。
この不正アクセス監視システム13は、スイッチングハブ16に設けられた分岐手段17によって分岐されてくるパケットを取得するパケット取得手段18と、パケット情報処理部19と、アクセス情報処理部21と、各種情報を記憶する記憶装置22と、パケット情報処理部19及びアクセス情報処理部21からの情報等を処理する情報処理手段23と、出力部24とを備えている。
上記分岐手段17は、スイッチングハブ16のポートミラーリング機能によって構成されている。具体的には、スイッチングハブ16の複数の接続ポートの内、1つの接続ポートがミラーポートとなる一方で、残りの接続ポートがモニターポートになり、各モニターポートを通過するパケットが全てモニターポートにコピーされるため、モニターポートに通信ケーブルを介して接続される上述の監視用コンピュータ14に、全ての送信パケット及び応答パケットが送られる。
上記パケット取得手段18は監視用コンピュータ14のTCP/IPプロトコルに対応したネットワークインターフェースからなり、上述したミラーポートから送られてくる送信パケット及び応答パケットが通過する通信ケーブルがこのネットワークインターフェースに物理的に接続されるため、このパケット取得手段18は全ての送信パケット及び応答パケットを取得可能に構成されている。
そして、このネットワークインターフェースの通信ケーブルが接続された際、このネットワークインターフェースにIPアドレスが割当てられないように該パケット取得手段18が構成されている。
図3は、パケット取得手段のパケット取得処理のフロー図である。同図に示すとおり、処理が開始されるステップS1に進む。ステップS1では、上記ネットワークインターフェースに物理的に通信ケーブルが接続された状態(リンクアップ状態)か否かの検出を行い、リンクアップ状態でなければ処理をステップS1に処理を戻し、リンクアップ状態であれば、ステップS2に進む。
ステップS2では、該ネットワークインターフェースにIPアドレスが割当てられているか否かを検出し、IPアドレスが割当てられていればステップS3に進み、割当てられていなければステップS4に進む。ステップS3では、割当てられたIPアドレスを破棄して、ステップS4に進む。ステップS4では、ミラーポートからネットワークインターフェースに送信されてくるパケットの検出を行い、パケットが検出された場合にはステップS5に進み、検出されない場合にはステップS1に処理を戻す。ステップS5では、検出されたパケットの取得処理を行ないステップS1に処理を戻す。
該構成のパケット取得手段18によれば、ネットワークインターフェースにIPアドレスが割当てられず、パケットを受信することはできても、該受信したパケットの送信元に対して自身のIPアドレス情報を送って応答することはできないため、双方向通信可能なTCP/IP通信が確立されず、パケットを一方的に受信するのみになる。
すなわち、前記送信パケット及び応答パケットを一方的に受信して応答しないようにパケット取得手段18が構成され、該構成によって、不正アクセス監視システム13が、内部ネットワーク2、内部ネットワーク2内のコンピュータ3,4,6、ルータ7及びインターネット8に干渉することが殆どなくなる。
なお、ステップS2の処理において、該受信した送信パケット及び応答パケットの送信元に対して、双方向通信可能なTCP/IP通信が確立されるIPアドレスがネットワークインターフェースに割当てられた場合のみ、ステップS3に処理を進めるようにしてもよい。また、該受信した送信パケット及び応答パケットの送信元に対して、双方向通信可能なTCP/IP通信が確立されない固定IPアドレスを意図的にネットワークインターフェースに割当てることにより、パケットを一方的に受信するようにパケット取得手段18を構成してもよい。
上記記憶装置22は、長期的にデータを保存するHDDやSSD等の長期保存用記憶装置26と、一時的にデータを保存するRAM27とを備え、パケット取得手段18によって取得されたパケットの情報等を記憶するように構成されている。
上記パケット情報処理部19は、パケット取得手段18によって取得された上述の送信パケットを解析する解析手段28と、該解析されたパケット情報を集計する集計手段29とを備えている。
図4は、パケット情報処理部の解析手段によって解析されるパケット情報の一覧表である。該パケット情報には、前記送信パケットの送信元のIPアドレス情報と、その送信パケットの種類情報と、その送信パケットを受信した時刻である受信時刻情報とが含まれている。
図示する例で解析対象となる送信パケットの種類は、接続を確立する際に用いられるSYNパケットと、転送速度が良好なUDPパケットと、エラーメッセージや制御メッセージを転送する際に用いられるICMPパケットと、電子メール送信の際に用いられるSMTPパケットとの4種類であって、送信パケットがこれらの何れに該当するかに関する情報が、パケットの種類情報となる。受信時刻情報は、西暦何年、何月、何日、何時、何分、何秒(0.01刻み)の情報から構成されている。
図5は、パケット情報処理部の集計手段によって集計される集計情報であって、(A)はIPアドレス集計情報の一覧表であり、(B)は訪問者数集計情報の一覧表であり、(C)はパケット種類集計情報の一覧表である。
同図(A)に示す通り、パケット取得手段18によって取得され且つ解析手段28によって解析された送信パケットの数を、該送信パケットの送信元のIPアドレス毎に分けて集計し、その集計データをIPアドレスの集計データとしている。この集計データには、集計開始時刻及び集計終了時刻を示す集計時刻情報と、集計開始から集計終了までの時間を示す集計時間情報とが含まれている他、IPアドレス毎に該IPアドレスがどの国のIPアドレスであるかに関する情報が含まれている。時刻情報は上述の受信時刻情報と同一精度の情報となり、時間情報は、何日間、何時間(0〜23時間)、何分間(0〜59分)、何数間(0〜59秒で0.01刻み)の情報を有している。
同図(B)に示す通り、パケット取得手段18によって取得され且つ解析手段28によって解析された送信パケットから、送信パケットの送信元のIPアドレスが重複している場合には該送信パケットを除き、送信元IPアドレスが重複しない送信パケットの数をカウントして訪問者数とし、この集計データを訪問者数の集計データとしている。この訪問者数の集計データには、IPアドレスの集計データと同様に、集計時刻情報及び集計時間情報が含まれている。
同図(C)に示す通り、パケット取得手段18によって取得され且つ解析手段28によって解析された送信パケットの数を、該送信パケットの種類(具体的には、SYMとUDPとICMPとSMTPの4種類)毎に分けて集計し、その集計データをパケットの種類の集計データとしている。このパケットの種類の集計データには、IPアドレスの集計データと同様に、集計時刻情報及び集計時間情報が含まれている。
上記アクセス情報処理部21は、パケット取得手段18によって取得されるパケットの内でウェブサーバ3に送られてくる送信パケットを解析するとともにウェップサーバ3の応答パケットを解析する解析手段31と、該解析されたパケット情報を集計する集計手段32とを備えている。
図6(A)はアクセス情報処理部の解析手段によって解析されるウェッブサーバへの送信パケットの情報の一覧表であり、(B)はアクセス情報処理部の解析手段によって解析されるウェッブサーバからの応答パケットの情報の一覧表である。
同図(A)に示す通り、送信パケット情報には、該ウェッブサーバ3が管理しているホームページのどこにアクセスを試みているかをURLで示すアクセス先アドレス情報と、アクセスを試みているホームページのリンク元をURLで表したリンク元アドレス情報と、その送信パケットを受信した時刻である受信時刻情報とが含まれている。ちなみに、アクセス先アドレス情報にはウェブサーバ3で複数の管理しているドメインの何れを指定しているかに関する情報も含まれ、リンク元アドレス情報が無い場合にはこのデータはブランクになり、受信時刻情報は上述したものと同様に構成されている。
同図(B)に示す通り、応答パケット情報には、ウェブサーバ3がどのような応答を送信元に対して行っているかを示す応答種類情報と、その応答パケットを送信した時刻を示す応答時刻情報とが含まれている。解析手段31により解析する応答種類情報は、応答パケットによってどのような種類の応答をしているかを示す情報であり、具体的には、ホームページにアクセスしている送信元に対してウェブサーバ3が正常に応答していることを示す正常応答と、ウェブサーバ3にエラー原因があることを示すサーバエラー応答と、送信元にエラー原因があることを示すクライアントエラー応答と、情報をリダイレクトしたことを示すリダイレクト応答との4種類の何れに属するかに関する情報が含まれている。応答時刻情報は、受信時刻情報と同様に、西暦何年、何月、何日、何時、何分、何秒(0.01刻み)の情報から構成されている。
図7は、アクセス情報処理部の集計手段によって集計される集計情報であって、(A)はアクセス先アドレス集計情報の一覧表であり、(B)はリンク元アドレス集計情報の一覧表であり、(C)は応答種類集計情報の一覧表である。
同図(A)に示す通り、パケット取得手段18によって取得され且つ解析手段31によって解析された送信パケットの数を、アクセス先リンク毎に分けて集計し、その集計データをアクセス先アドレスの集計データとしている。この集計データには、上述した集計データと同様に集計開始時刻及び集計終了時刻を示す集計時刻情報と、集計開始から集計終了までの時間を示す集計時間情報とが含まれている。ちなみに、分類するアクセス先アドレスは、ウェッブサーバ3の管理するドメイン単位にしてもよいし、それよりも細かいページ情報を含んだページ単位にしてもよい。
同図(B)に示す通り、パケット取得手段18によって取得され且つ解析手段31によって解析された送信パケットの数を、リンク元リンク毎に分けて集計し、その集計データをリンク元アドレスの集計データとしている。この集計データには、上述した集計データと同様に集計開始時刻及び集計終了時刻を示す集計時刻情報と、集計開始から集計終了までの時間を示す集計時間情報とが含まれている。ちなみに、分類するリンク元アドレスは、ドメイン単位にしてもよいし、それよりも細かいページ情報を含んだページ単位にしてもよい。
同図(C)に示す通り、パケット取得手段18によって取得され且つ解析手段31によって解析された応答パケットの数を、上述した応答種類(具体的には、正常応答とリダイレクト応答とサーバエラー応答とクライアントエラー応答の4種類)毎に分けて集計し、その集計データを応答種類の集計データとしている。の集計データには、上述した集計データと同様に集計開始時刻及び集計終了時刻を示す集計時刻情報と、集計開始から集計終了までの時間を示す集計時間情報とが含まれている。
上記情報処理手段23は、図2に示すように、パケット情報処理部19からの解析情報及び集計情報を処理するパケット情報処理と、アクセス情報処理部21からの解析情報及び集計情報を処理するアクセス情報処理とを行なうように構成されている。
図8は、情報処理手段のパケット情報処理の手順を示すフロー図である。パケット情報処理では、処理が開始されると、まずステップS11に進む。ステップS11では、パケット情報処理部19の解析手段28によって、上述したパケット情報解析を行い、ステップS12に進む。ステップS12では、ステップS11で解析したパケット情報を記憶装置22にログ情報として記憶し、ステップS13に進む。
ステップS13では、タイマーt1のカウントがチェックタイムT1を超えているか否かを検出し、超えている場合にはステップS14に進む。ステップS14では、現時点からチェックタイムT1前まで遡った期間におけるパケット種類の集計データを、解析手段28、集計手段29又は記憶装置22から取得し、ステップS15に進む。ステップS15では、ステップS14で取得したパケット種類集計情報を集計時刻情報及び集計時間情報とともに上記出力部24に送ってステップS16に進む。ステップS16では、タイマーt1のカウントを0にリセットして再カウントを開始させ、ステップS17に進む。ステップS13において、タイマーt1がチェックタイムT1を超えてない場合にはステップS17に進む。
すなわち、チェックタイムT1間隔毎に、チェックタイムT1間のパケット種類の集計データが出力部24に送られる。出力部24は、この送られてくるパケット種類の集計情報をもとに後述する処理を行う。ちなみに、チェックタイムT1は、予め定められる任意の定数であって、変更設定であり、本例では1秒に設定されている。
ステップS17では、タイマーt2のカウントが短期集計タイムT2を超えているか否かを検出し、超えている場合にはステップS18に進む。ステップS18では、現時点から短期集計タイムT2前まで遡った期間におけるIPアドレスの集計データ、訪問者数の集計データ及びパケット種類の集計データを、解析手段28、集計手段29又は記憶装置22から取得し、ステップS19に進む。
ステップS19では、ステップS18で取得した各種集計情報をその集計時刻情報及び集計時間情報と共に記憶装置22を記憶する他、該各種集計情報をグラフ化して画像データとして記憶装置22に記憶し、ステップS20に進む。ステップS20では、タイマーt2のカウントを0にリセットして再カウントを開始させ、ステップS21に進む。ステップS17において、タイマーt2が短期集計タイムT2を超えてない場合にはステップS21に進む。
すなわち、短期集計タイムT2間隔毎に、短期集計タイムT2間の上記各種集計情報及びそのグラフの画像が、記憶装置22に記憶される。ちなみに、短期集計タイムT2は、予め定められる任意の定数であって、変更設定であり、本例では1時間に設定されている。
ステップS21では、タイマーt3のカウントが長期集計タイムT3を超えているか否かを検出し、超えている場合にはステップS22に進む。ステップS22では、現時点から長期短期集計タイムT3まで遡った期間におけるIPアドレスの集計データ、訪問者数の集計データ及びパケット種類の集計データを、解析手段28、集計手段29又は記憶装置22から取得し、ステップS23に進む。
ステップS23では、ステップS22で取得した各種集計情報を集計時刻情報及び集計時間情報と共に記憶装置22を記憶する他、この該各種集計情報をグラフ化して画像データとして記憶装置22に記憶し、ステップS24に進む。ステップS24では、タイマーt3のカウントを0にリセットして再カウントを開始させ、処理をステップS11に戻す。ステップS21において、タイマーt3が長期集計タイムT3を超えてない場合には処理をステップS11に戻す。
すなわち、長期集計タイムT3間隔毎に、長期集計タイムT3間の上記各種集計情報及びそのグラフ画像33(図9参照)が、記憶装置22に記憶される。ちなみに、長期集計タイムT3は、短期集計タイムT2よりも長くなるように予め定められる任意の定数であって、変更設定であり、本例では1日に設定されている。
図9は、情報処理手段のパケット情報処理時に作成するグラフ画像である。作成されるグラフ画像33には、対象の集計時間の始期から終期の間の時間を縦軸とし且つSYNパケット数とUDPパケット数とICMPパケット数とSMTPパケット数を合計した総パケット数を横軸とした総パケット数グラフ33aと、対象の集計時間の始期から終期の間の時間を横軸とし且つ訪問者数を縦軸とした訪問者数グラフ33bと、対象の集計時間の始期から終期の間の時間を横軸とし且つSYNパケット数を縦軸としたSYNパケット数グラフ33cと、対象の集計時間の始期から終期の間の時間を横軸とし且つUDPパケット数を縦軸としたUDPパケット数グラフ33dと、対象の集計時間の始期から終期の間の時間を横軸とし且つICMPパケット数を縦軸としたICMPパケット数グラフ33eと、対象の集計時間の始期から終期の間の時間を横軸とし且つSMTPパケット数を縦軸としたSMTPパケット数グラフ33fとが含まれている。
また、このグラフ画像33は、出力部24を介して、画面に出力することが可能であるが、この際、各グラフ33a,33b,33c,33d,33e,33fの拡大表示可能であり、該拡大表示時には送信パケットの送信元のIPアドレス及び国が表示される。
図10は、情報処理手段のアクセス情報処理の手順を示すフロー図である。アクセス情報処理では、処理が開始されると、まずステップS31に進む。ステップS31では、アクセス情報処理部21の解析手段31によって、上述したアクセス情報解析を行い、ステップS32に進む。ステップS32では、ステップS31で解析したパケット情報を記憶装置22にログ情報として記憶し、ステップS33に進む。
ステップS33では、タイマーt4のカウントが短期集計タイムT4を超えているか否かを検出し、超えている場合にはステップS34に進む。ステップS34では、現時点から短期集計タイムT4前まで遡った期間におけるアクセス先アドレスの集計データ、リンク元アドレスの集計データ及び応答種類の集計データを、解析手段31、集計手段32又は記憶装置22から取得し、ステップS35に進む。
ステップS35では、ステップS34で取得した各種集計情報を集計時刻情報及び集計時間情報と共に記憶装置22を記憶する他、この該各種集計情報をグラフ化等して画像データとして記憶装置22に記憶し、ステップS36に進む。ステップS36では、タイマーt4のカウントを0にリセットして再カウントを開始させ、ステップS37に進む。ステップS33において、タイマーt4が短期集計タイムT2を超えてない場合にはステップS37に進む。
すなわち、短期集計タイムT4間隔毎に、短期集計タイムT4間の上記各種集計情報及びそのグラフ等の画像が、記憶装置22に記憶される。ちなみに、短期集計タイムT4は、予め定められる任意の定数であって、変更設定であり、本例では1時間に設定されている。
ステップS37では、タイマーt5のカウントが長期集計タイムT5を超えているか否かを検出し、超えている場合にはステップS38に進む。ステップS38では、現時点から長期集計タイムT5前まで遡った期間におけるアクセス先アドレスの集計データ、リンク元アドレスの集計データ及び応答種類の集計データを、解析手段31、集計手段32又は記憶装置22から取得し、ステップS39に進む。
ステップS39では、ステップS38で取得した各種集計情報を集計時刻情報及び集計時間情報と共に記憶装置22を記憶する他、この該各種集計情報をグラフ化等して画像データとして記憶装置22に記憶し、ステップS40に進む。ステップS40では、タイマーt5のカウントを0にリセットして再カウントを開始させ、処理をステップS31にも戻す。ステップS37において、タイマーt5が長期集計タイムT5を超えてない場合にはステップS31に処理を戻す。
すなわち、長期集計タイムT5間隔毎に、長期集計タイムT5間の上記各種集計情報及びそのグラフ画像34(図11参照)が、記憶装置22に記憶される。ちなみに、長期集計タイムT5は、短期集計タイムT4よりも長くなるように予め定められる任意の定数であって、変更設定であり、本例では1日に設定されている。
図11は、情報処理手段のアクセス情報処理時に作成するグラフ画像である。作成されるグラフ画像34には、対象の集計時間の始期から終期の間の時間を縦軸とし且つウェブサーバ3が管理するドメイン毎に各アクセス先アドレスのアクセス数を合算した総アクセス数を横軸とした総アクセス数グラフ34a(すなわち、管理するドメインの数分だけグラフが生成)と、対象の集計時間の始期から終期の間の時間を横軸とし且つ応答種類毎の応答数を縦軸とした応答数グラフ34b(すなわち、応答種類の数分だけグラフが生成)と、ウェブサーバ3が管理するドメイン毎のアクセス数の一覧表34cと、リンク元アドレス毎のアクセス数の一覧表34dとが含まれている。
また、このグラフ画像34は、出力部24を介して、画面に出力することが可能であるが、この際、リンク元アドレスの一覧表34dの拡大表示が可能であり、該拡大表示時にはリンク元アドレスが詳細表示される。
上記出力部24は、図2に示すとおり、上述のグラフ画像33,34を画面出力するとともにこの不正アクセス監視システム13を操作するGUIを提供する画面出力手段36と、不正アクセスされている可能性がある旨をブザー音や警告画面によって報知する報知手段37とを備えている。
図12は、報知手段の処理手順を示すフロー図である。報知手段37は、情報処理手段23からパケット種類の集計データが送られてくることをトリガーとして処理を開始する。処理が開始されると、ステップS51に進む。ステップS51では、SYNパケット数が予め定めたSYN用閾値P1を超えているか否かを検出し、超えていなければステップS52に進む。
ステップS52では、UDPパケット数が予め定めたUDP用閾値P2を超えているか否かを検出し、超えていなければステップS53に進む。ステップS53では、ICMPパケット数が予め定めたICMP用閾値P3を超えているか否かを検出し、超えていなければステップS54に進む。ステップS54では、SMTPパケット数が予め定めたSMTP用閾値P4を超えているか否かを検出し、超えていなければステップS55に進む。
ステップS55では、SYNパケット数とUDPパケット数とICMPパケット数とSMTPパケット数とを合算した総パケット数が予め定めた合算用閾値P5を超えているか否かを検出し、超えていなければ処理を終了させる。ちなみに、各閾値P1,P2,P3,P4,P5はチェックタイムT1の値によって変更され且つ任意にも変更設定可能である他、合算遥閾値P5は、SYN用閾値P1とDUP用閾値P2とICMP閾値P3とSMTP用閾値P4とを合算した値よりは小さくなる。
また、ステップS51においてSYNパケット数が予め定めたSYN用閾値P1を超えている場合と、ステップS52においてUDPパケット数が予め定めたUDP用閾値P2を超えている場合と、ステップS53においてICMPパケット数が予め定めたICMP用閾値P3を超えている場合と、ステップS54においてSMTPパケット数が予め定めたSMTP用閾値P4を超えている場合と、ステップS55において総パケット数が予め定めた合算用閾値P5を超えている場合との少なくとも一に該当する際には、ステップS56に進む。ステップS56では、上述の報知処理を行なった後、処理を終了させる。
このように、種類毎にパケット数を調査し、それに基づいて報知を行うことにより、不正アクセスの状況を的確に把握できる。
次に、図13に基づき、本発明の別実施形態について、上述の形態に異なる点を説明する。
図13は、本発明の別実施形態の不正アクセス監視システムのブロック図である。上述の例では、1台の監視用コンピュータ14に不正アクセス監視システム13を搭載したが、図13に示す不正アクセス監視システム13は、パケット情報処理部19と、アクセス情報処理部21とを各別の監視用コンピュータ14に搭載する。この場合には、パケット情報処理部19とアクセス情報処理部21に、それぞれ各別に、パケット取得手段18、記憶装置22及び出力部24を設ける必要がある。
また、パケット情報処理部19側の情報処理手段23は、アクセス情報処理を行なわず、パケット情報処理のみを行なう一方で、アクセス情報処理部21側の情報処理手段23はパケット情報処理を行わず、アクセス情報処理の手順のみを行う他、アクセス情報処理部21側の出力部24には画面出力手段36のみを設け、報知手段37を設けない。
さらに、該構成の不正アクセス監視システム13では、分岐手段17からのパケットが、一方向パケット分割手段38で分割され、2つの各パケット取得手段18,18に一方的に送信されている。ちなみに、この一方向パケット分割手段38は、具体的には、スイッチング機能を有しないハブによって実現されている。
該構成の不正アクセス監視システム13では、各監視用コンピュータ14の負荷が分散されるため、監視する対象のコンピュータ3,4,6をさらに増やすことが容易になる。
3 ウェブサーバ(コンピュータ,サーバ)
4 サーバ(コンピュータ)
6 サーバ(コンピュータ)
14 監視用コンピュータ(電子計算機)
18 パケット取得手段
22 記憶装置
23 情報処理手段
28 解析手段
29 集計手段
31 解析手段
32 集計手段
37 報知手段

Claims (8)

  1. コンピュータ(3),(4),(6)に送信されてくるパケットである送信パケットを取得するパケット取得手段(18)と、パケットを解析する解析手段(28),(31)とを備え、前記コンピュータ(3),(4),(6)への不正アクセスを監視する不正アクセス監視システムにおいて、ポートミラーリングによって分岐された送信パケットを取得するようにパケット取得手段(18)を構成し、該取得された送信パケットの情報を記憶する記憶装置(22)を備えた不正アクセス監視システム。
  2. パケット取得手段(18)がTCP/IPをサポートしたネットワークインターフェースを備え、該ネットワークインターフェースが送信パケットを一方的に受信して応答しないようにパケット取得手段(18)を構成した請求項1に記載の不正アクセス監視システム。
  3. 送信パケットが送られてくる通信ケーブルが前記ネットワークインターフェースに物理的に接続された際に、該ネットワークインターフェースに前記ネットワーク内のIPアドレスを割当てなられないようにパケット取得手段(18)を構成することにより、該ネットワークインターフェースが送信パケットを一方的に受信する請求項2に記載の不正アクセス監視システム。
  4. 送信パケットに対して応答する際に前記コンピュータ(3),(4),(6)から送られ且つポートミラーリングによって分岐されたパケットである応答パケットを取得可能なようにパケット取得手段(18)を構成した請求項1乃至3の何れか一に記載の不正アクセス監視システム。
  5. 予め定めた所定数以上のパケットを、予め定めた所定時間内に、パケット取得手段(18)が取得した場合には、不正アクセスされている可能性がある旨を報知する報知手段(37)を備えた請求項1乃至4の何れか一に記載の不正アクセス監視システム。
  6. パケット取得手段(18)が取得されたパケットを前記解析手段(28),(31)を介して解析し且つ集計手段(29),(32)を介して集計するとともに該集計された情報を記憶装置(22)に記憶する情報処理手段(23)を設け、パケットの集計処理及び該集計された情報の記憶装置(22)への記憶処理を、予め定めた所定間隔毎に行うように情報処理手段(23)を構成した請求項1乃至5の何れか一に記載の不正アクセス監視システム。
  7. 前記所定間隔毎に、集計された情報に基づいてグラフを作成し、該グラフを画像データとして記憶装置(22)に記憶するように情報処理手段(23)を構成した請求項6に記載の不正アクセス監視システム。
  8. 電子計算機(14)を、請求項1乃至7の何れか一に記載の不正アクセス監視システムとして機能させる不正アクセス監視プログラム。
JP2010073224A 2010-03-26 2010-03-26 不正アクセス監視システム及びプログラム Pending JP2011205572A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010073224A JP2011205572A (ja) 2010-03-26 2010-03-26 不正アクセス監視システム及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010073224A JP2011205572A (ja) 2010-03-26 2010-03-26 不正アクセス監視システム及びプログラム

Publications (1)

Publication Number Publication Date
JP2011205572A true JP2011205572A (ja) 2011-10-13

Family

ID=44881692

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010073224A Pending JP2011205572A (ja) 2010-03-26 2010-03-26 不正アクセス監視システム及びプログラム

Country Status (1)

Country Link
JP (1) JP2011205572A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10812525B2 (en) 2015-12-30 2020-10-20 NSFOCUS Information Technology Co., Ltd. Method and system for defending distributed denial of service attack

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10812525B2 (en) 2015-12-30 2020-10-20 NSFOCUS Information Technology Co., Ltd. Method and system for defending distributed denial of service attack
US10812524B2 (en) 2015-12-30 2020-10-20 NSFOCUS Information Technology Co., Ltd. Method, and devices for defending distributed denial of service attack

Similar Documents

Publication Publication Date Title
US10841187B2 (en) Monitoring enterprise networks with endpoint agents
US10296748B2 (en) Simulated attack generator for testing a cybersecurity system
US11729205B2 (en) Network isolation by policy compliance evaluation
US9729414B1 (en) Monitoring service availability using distributed BGP routing feeds
US20230385364A1 (en) Real User Monitoring statistics from end users via plugin or browser extension
US10333816B2 (en) Key network entity detection
US20170324585A1 (en) Methods and systems for prioritizing nameservers
EP1880508A1 (en) Network, system, and application monitoring
CN104468554A (zh) 基于ip和host的攻击检测方法和装置
GB2588516A (en) Methods, systems and computer readable media for threat simulation and threat mitigation recommendations
US11805033B2 (en) Monitoring of IoT simulated user experience
JP6220625B2 (ja) 遅延監視システムおよび遅延監視方法
US11811623B2 (en) Deep tracing of user experience
Beverly et al. Measuring and characterizing IPv6 router availability
US9866466B2 (en) Simulating real user issues in support environments
US20080072321A1 (en) System and method for automating network intrusion training
US20130305090A1 (en) Test configuration resource manager
US8001243B2 (en) Distributed denial of service deterrence using outbound packet rewriting
JP2011205572A (ja) 不正アクセス監視システム及びプログラム
Wählisch et al. {RTRlib}: An {Open-Source} Library in C for {RPKI-based} Prefix Origin Validation
Drago Understanding and monitoring cloud services
US20130325974A1 (en) Statistics reporting in a network test system
US11997162B1 (en) Systems and methods of exposing data from blockchain nodes
Heidemann et al. Los Angeles/Colorado Research Exchange for Network Data
Pohlmann et al. Objectives and added value of an Internet Key Figure System for Germany