JP2018074465A - ログ解析システムおよびその方法 - Google Patents

ログ解析システムおよびその方法 Download PDF

Info

Publication number
JP2018074465A
JP2018074465A JP2016214265A JP2016214265A JP2018074465A JP 2018074465 A JP2018074465 A JP 2018074465A JP 2016214265 A JP2016214265 A JP 2016214265A JP 2016214265 A JP2016214265 A JP 2016214265A JP 2018074465 A JP2018074465 A JP 2018074465A
Authority
JP
Japan
Prior art keywords
communication
module
packet
pattern
communication packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016214265A
Other languages
English (en)
Other versions
JP6793524B2 (ja
Inventor
宏樹 内山
Hiroki Uchiyama
宏樹 内山
晃史 矢戸
Akishi Yato
晃史 矢戸
訓 大久保
Satoshi Okubo
訓 大久保
耕平 山口
Kohei Yamaguchi
耕平 山口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2016214265A priority Critical patent/JP6793524B2/ja
Priority to US15/795,429 priority patent/US10523696B2/en
Priority to GB1717787.4A priority patent/GB2558380B/en
Priority to DE102017219455.3A priority patent/DE102017219455A1/de
Publication of JP2018074465A publication Critical patent/JP2018074465A/ja
Application granted granted Critical
Publication of JP6793524B2 publication Critical patent/JP6793524B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/40Data acquisition and logging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]

Abstract

【課題】不正アクセスから制御システムをより効果的に防衛することできるログ解析システムおよびその方法を提供する。
【解決手段】制御装置10の通信ログを解析するログ解析システムにおいて、通信ログに対応する通信パケットをネットワークから受信するネットワーク装置20と、ネットワーク装置への通信を監視する監視装置30と、を備える。監視装置30は、通信パケットの通信パターンと不正アクセスのない状態の通信におけるパターンである定常パターンとの差分を求め、差分に基づいて通信パケットを復元し、復元された通信パケットを報知する。
【選択図】図1

Description

本発明は、ログ解析システムおよびその方法に関し、例えば、プラント設備の制御システムの通信ログを解析して不正アクセスによる通信ログを抽出するログ解析システムに関する。
プラント設備に限らず、自動車や家電など多くの分野で、コンピュータを利用した制御システムが汎用されている。そして、IT技術の進歩により、制御システムもネットワークを介して、情報の入出力が可能になっている。一方、これに合わせて、制御システムに対するコンピュータウィルスやDoS攻撃といった不正アクセスも目立つようになっている。そこで、制御システムを不正アクセスから守る技術が種々提案されている。
制御システムに対する大量の通信ログの1つ1つをチェックして、不正アクセスを検知することは容易ではない。そこで、特許文献1には、通信ログを処理すべきテンプレートを複数用意し、通信ログがどのテンプレートにマッチしたかによって、不正アクセス防止のために確認すべき通信ログ量を削減できる技術が開示されている。
特開2014−153721号公報
しかしながら、特許文献1に記載された発明では、制御システムの運用形態によって、制御システムの通信ログのパターンが大きく変化するため、そもそもテンプレートによって、不正アクセスから制御システムを防衛するには限界があった。ここでパターンとは、例えば周波数に着目した通信ログの特徴とする。また通信におけるパターンを通信パターンとする。
本発明は、不正アクセスから制御システムをより効果的に防衛することできるログ解析システムおよびその方法を提案しようとするものである。
かかる課題を解決するために本発明においては、制御装置の通信ログを解析するログ解析システムにおいて、通信ログに対応する通信パケットをネットワークから受信するネットワーク装置と、ネットワーク装置への通信を監視する監視装置と、を備え、監視装置は、通信パケットの通信パターンと不正アクセスのない状態の通信におけるパターンである定常パターンとの差分を求め、差分に基づいて通信パケットを復元し、復元された通信パケットを報知するようにした。
また本発明においては、制御装置の通信ログを解析するログ解析システムにおけるログ解析方法において、ログ解析システムは、通信ログに対応する通信パケットをネットワークから受信するネットワーク装置と、ネットワーク装置への通信を監視する監視装置と、備え、監視装置が、通信パケットの通信パターンと不正アクセスのない状態の通信におけるパターンである定常パターンとの差分を求める第1のステップと、監視装置が、差分に基づいて通信パケットを復元する第2のステップと、監視装置が、復元された通信パケットを報知する第3のステップと、を備えるようにした。
本発明によれば、不正アクセスから制御システムをより効果的に防衛することできるログ解析システムおよびその方法を実現できる。
第1の実施の形態によるログ解析システムの機能構成を示すブロック図である。 本実施の形態による制御装置のハードウェア構成を示すブロック図である。 本実施の形態によるネットワーク装置のハードウェア構成を示すブロック図である。 本実施の形態による監視装置のハードウェア構成を示すブロック図である。 第1の実施の形態によるログ解析システムの試運転時実施処理の流れを示すシーケンス図である。 パターン格納処理の処理手順を示すフローチャートである。 パターン抽出処理の処理手順を示すフローチャートである。 異常パケット格納処理の処理手順を示すフローチャートである。 異常パケット抽出処理の処理手順を示すフローチャートである。 監視画面の構成を略線的に示す略線図である。 異常監視画面の構成を略線的に示す略線図である。 通信パケットの構成を示す概念図である。 通信パターンの構成を示す概念図である。 通信パターンの周波数と強度の分布を示す概念図である。 第2の実施の形態によるログ解析システムの機能構成を示すブロック図である。 第2の実施の形態によるログ解析システムの運用時実施処理の流れを示すシーケンス図である。 第3の実施の形態によるログ解析システムの機能構成を示すブロック図である。 第3の実施の形態によるログ解析システムの試運転時実施処理の流れを示すシーケンス図である。
以下図面について、本発明の一実施の形態を詳述する。なお、これにより本発明が限定されるものではない。
(1)第1の実施の形態
(1−1)本実施の形態によるログ解析システムの構成
図1は、本実施の形態によるログ解析システムの機能構成を示す。このシステムは、ネットワーク装置20と、制御装置10の通信ログを監視する監視装置30と、イントラネットなどのネットワーク40とを備える。
制御装置10は、プラント設備などの制御対象を制御する要素であって、1つに限られず、図1に示すように10〜10のように複数存在する。制御装置10は、具体的には、コンピュータ、コントローラ(MPU)などである。コンピュータには、サーバ計算機、クライアント計算機を含む。制御装置10は、所定の制御処理を行う制御処理モジュール101(101〜101)およびネットワーク40やネットワーク装置20と通信する通信モジュール102(102〜102)を備える。
ネットワーク装置20は、ログ解析システムのネットワーク制御を行うルータやレイヤ2スイッチなどの装置であり、パケット複製モジュール201、第1通信モジュール202、監視装置30と通信を行う第2通信モジュール203および第3通信モジュール204を備える。モジュールは、制御機能を実現する単位であって、プログラム、および/または、ハードウェアによって実現される。
パケット複製モジュール201は、ネットワーク装置20に入力される通信パケット1200(図12参照)を複製し、第1通信モジュール202は、ネットワーク40と通信し、第2通信モジュールは監視装置30と通信し、第3通信モジュール204は制御装置10と通信する。なお、ネットワーク装置20は、4つ以上の通信モジュールを備えていてもよく、例えば第4通信モジュールは図示せぬ制御装置10と通信する。
監視装置30は、プラント設備などの制御システムの通信ログを監視する装置であり、通信モジュール301、通信パケット取得モジュール302、パターン抽出モジュール303、異常パターン抽出モジュール304、異常パケット復元モジュール305、出力モジュール306、通信パケット格納モジュール307、定常パターン格納モジュール308、異常パケット格納モジュール309およびモード管理モジュール310を備える。
通信モジュール301はネットワーク装置20と通信を行い、通信パケット取得モジュール302は監視装置30に入力される通信パケット1200を取得し、パターン抽出モジュール303は通信パケット取得モジュール302が取得した通信パケット1200のパターンを抽出する。
異常パターン抽出モジュール304は通信パケット取得モジュール302が取得した通信パケット1200に含まれる異常パターンを抽出し、異常パケット復元モジュール305は異常パターン抽出モジュール304が抽出した異常パターンに該当する通信パケット1200を復元する。
パターンとは、複数の通信ログの組み合わせからなる、通信の態様であり、例えば、複数の通信ログをフーリエ変換することによって判別される。異常パターンとは、コンピュータウィルスやDoS攻撃など不正アクセスに伴う複数の通信ログに基づくパターンである。異常パターンは、制御システムに不正アクセスがないと想定できる環境におけるパターンと比較することによって抽出され得る。
このような環境とは、例えば、制御システムの試運転状態など制御システムの動作が通常運転状態よりも落ち着いている運転状態である。この運転状態を定常運転状態と称する。制御装置が通常運転状態(以下、運用状態としてもよい)では、制御装置の活動が活発であるから、種々の不正アクセスのおそれがあるが、制御装置が定常運転状態(以下、試運転状態としてもよい)では、通常運転状態に比較して、ほぼ不正アクセスのおそれはないか、不正アクセスのおそれは小さいと想定できる。
この状態の通信パターンを定常運転状態に関連させて定常パターンと称する。監視モジュールは、通信パターンを定常パターンと比較することによって、通信パターンの中から異常パターンを抽出することができる。
制御システムに不正アクセスがないと想定される状態は、例えば制御装置10に必要最低限の制御コマンドが入力された状態とする(以下、制御システムの試運転時とする)。
通信パケット格納モジュール307は通信パケット取得モジュール302が取得した通信パケット1200を格納し、定常パターン格納モジュール308はパターン抽出モジュール303が抽出した定常時の通信パターン1300(図13参照)を格納する。
異常パケット格納モジュール309は異常パケット復元モジュール305が復元した異常パケットを格納し、モード管理モジュール310は監視装置30の動作モードを管理する。動作モードには、初期モードおよび運用モードの2種類のモードがある。初期モードは定常パターンを取得するための監視装置30の動作モードであり、運用モードは異常パターンを取得するための監視装置30の動作モードである。
監視装置30の動作モードが、モード管理モジュール310によって初期モードに設定されると、監視装置30およびログ解析システムは試運転状態となり、監視装置30の動作モードがモード管理モジュール310によって運用モードに設定されると、監視装置30およびログ解析システムは運用状態となる。
例えば、監視装置30の動作モードは、必要最低限の特定の制御コマンドが制御装置10に入力された際に、モード管理モジュール310によって初期モードに設定される。また、例えば、監視装置30の動作モードは、初期モード以外の場合はモード管理モジュール310によって運用モードとされる。
なお、監視装置30の動作モードの設定方法は、上記に限らず、例えば、監視装置30の起動時に初期モードとする、または、監視装置30がスイッチなどから受けることで初期モードとする。
また、異常パケット抽出処理SP35(図9参照)中などは、監視装置30の動作モードを初期モードに設定できないようにしてもよく、パターン抽出処理SP25(図7参照)中などは、監視装置30の動作モードを運用モードに設定できないようにしてもよい。
図2に制御装置10のハードウェア構成を示す。制御装置10は、通信装置11、入出力装置12、記憶装置13、CPU14およびメモリ15を備え、各装置間がバスなどの内部通信線16で連結される。
通信装置11はネットワークカードなどであり、通信モジュール102を備える。入出力装置12はキーボード、マウスおよびディスプレイなどであり、入出力装置12を使用してユーザは制御コマンドを作成する。また、入出力装置12は、LEDおよびプッシュボタンなどでもよいものとする。
メモリ15は制御処理モジュール101を備え、制御処理モジュール101をCPU14が呼び出して制御処理を行う。制御処理を行う際および制御コマンドが作成される際には記憶装置13に格納されている制御コマンドに関連する各種テーブルが使用される。
図3にネットワーク装置20のハードウェア構成を示す。ネットワーク装置20は、ネットワークカードなどの通信装置21、記憶装置22、入出力装置23、CPU24およびメモリ25を備え、各装置間がバスなどの内部通信線26で連結される。
通信装置21は、第1通信装置21、第2通信装置21、第3通信装置21などであり、第1通信装置21は第1通信モジュール202を備え、第2通信装置21は第2通信モジュール203を備え、第3通信装置21は第3通信モジュール204を備える。なお通信装置21は3つに限定されず、ネットワーク装置20は4つ以上の通信装置21を備えてもよい。
例えば、第1通信装置21にはネットワーク40を介して制御装置10が接続され、第2通信装置21には監視装置30が接続され、第3通信装置21には制御装置10が接続されていてもよい。
メモリ25はパケット複製モジュール201を備え、パケット複製モジュール201をCPU24が呼び出して通信パケット1200を複製するパケット複製処理を行う。記憶装置22にはパケット複製処理に使用されるテーブルなどが格納される。
入出力装置23は、キーボード、マウスおよびディスプレイなどであり、入出力装置23を使用してユーザは複製する通信パケット1200に付加情報を追加したり送信先の情報を変更したりしてもよい。また、入出力装置23は、LEDおよびプッシュボタンなどでもよいものとする。
図4に監視装置30のハードウェア構成を示す。監視装置30は、通信装置31、入出力装置32、記憶装置33、CPU34、メモリ35および記憶媒体37を読み込む読取装置36を備え、各装置間がバスなどの内部通信線38で連結される。
通信装置31はネットワークカードなどであり、通信モジュール301を備える。入出力装置32はキーボード、マウスおよびディスプレイなどであり、入出力装置32を使用してユーザはマウスおよびキーボードで条件を指定しディスプレイに出力モジュール306が出力する監視結果を表示することでログ解析システムの監視を行う。また、入出力装置32は、LEDやプッシュボタンなどでもよいものとする。
メモリ35は通信パケット取得モジュール302、パターン抽出モジュール303、異常パターン抽出モジュール304、異常パケット復元モジュール305、出力モジュール306およびモード管理モジュール310を備える。記憶装置33は、通信パケット格納モジュール307、定常パターン格納モジュール308および異常パケット格納モジュール309を備える。CPU34は、メモリ35が備える各モジュールを呼び出して監視処理を行う。監視処理を行う際、記憶装置33が備える各モジュールが使用される。
(1−2)ログ解析機能
本実施形態のログ解析システムにおけるログ解析機能について説明する。ログ解析機能は、例えば、監視装置30の記憶装置33に格納されたプログラムがメモリ35にロードされ、CPU34により実行される。
また、各プログラムは予め記憶装置33に格納されても良いし、他の記憶媒体または通信媒体(ネットワークまたはネットワークを伝搬する搬送波)を介して、必要なときに導入されても良い。
図5に、第1の実施の形態によるログ解析システムの試運転時の実施処理の流れを示すシーケンス図を示す。
監視装置30のモード管理モジュール310は、監視装置30の動作モードを初期モードに設定する。ここで、動作モードが初期モードに設定できない、または、以降の処理が初期モードに設定されないまま実行されようとする場合には、以降の処理を中止しても良い。
制御装置10は制御処理モジュール101で制御コマンドを生成し、通信モジュール102を介してネットワーク装置20へ制御コマンドを送信する(SP11)。ネットワーク装置20のパケット複製モジュール201は、制御装置10からの制御コマンドを、第1通信モジュール202を介して取得し、通信パケット1200として制御コマンドを複製する。
第2通信モジュール203は、パケット複製モジュール201が複製した制御コマンドを、監視装置30へ送信する(SP12)。また第3通信モジュール204は、パケット複製モジュール201が複製した制御コマンドを、制御装置10へ送信する(SP13)。
監視装置30の通信パケット取得モジュール302は、通信モジュール301を介して制御コマンドを取得すると、受信時刻および受信サイズを取得し、通信パケット格納モジュール307へ通信パケット1200を格納する。
制御装置10の制御処理モジュール101は、通信モジュール102を介して制御コマンドを取得すると、制御コマンドに基づき処理を行い、制御コマンドに対する応答を、通信モジュール102を介してネットワーク装置20へ返送する(SP14)。
ネットワーク装置20のパケット複製モジュール201は、制御装置10からの制御コマンドに対する応答を、第3通信モジュール204を介して取得すると、制御コマンドに対する応答を複製する。
複製した制御コマンドに対する応答を、第2通信モジュール203を介して監視装置30へ送信する(SP15)。また複製した制御コマンドに対する応答を、第1通信モジュール202を介して制御装置10へ送信する(SP16)。
監視装置30の通信パケット取得モジュール302は、通信モジュール301を介して制御コマンドに対する応答を取得すると、受信時刻および受信サイズを取得し、通信パケット格納モジュール307へ通信パケット1200を格納する。
監視装置30の通信パケット取得モジュール302は、例えば、監視装置30が外部から電気的な信号をスイッチなどから受けること、通信によって制御コマンドなどで指示を与えられること、または、予め送受信される通信パケット数が定まっていて、その通信パケット数が流れたことによって、試運転が終了したか否かを判断する。
図6に監視装置30におけるパターン格納処理の処理手順を示すフローチャートを示す。通信パケット取得モジュール302は、通信モジュール301を介して制御コマンドや制御コマンドに対する応答を取得すると、受信時刻および受信サイズを取得し(SP21およびSP22)、通信パケット格納モジュール307へ通信パケット1200を格納する(SP23)。
通信パケット格納モジュール307へ通信パケット1200を格納すると、通信パケット取得モジュール302は、試運転が終了したか否かを判断する(SP24)。通信パケット取得モジュール302は、この判断で否定結果を得るとステップSP21へ戻り、ステップSP24で肯定結果を得るまでステップSP21〜ステップSP23の処理を繰り返す。この繰り返し処理により、監視装置30はログ解析システムの試運転時における通信パケット1200を取得する。
通信パケット取得モジュール302が、試運転が終了したことによってステップSP24で肯定結果を得ると、パターン抽出モジュール303は図7に示す定常パターンを抽出するパターン抽出処理を行う(SP25)。
パターン抽出モジュール303は、通信パケット格納モジュール307から通信パケット1200を取得する(SP251)。この際にパターン抽出モジュール303が取得する通信パケット1200は、通信パケット格納モジュール307に格納されている全ての通信パケット1200でも良いし、あらかじめ定められたデータ量に該当する通信パケット1200でも良い。
パターン抽出モジュール303は、取得した通信パケット1200の送受信時刻とサイズが記載した、時系列に沿ったデータを生成する(SP252)。なお送受信時刻とともに記載する情報はサイズに限ったものではなく、当該時刻における通信パケット1200の送受信回数や特定のデータサイズに該当する通信パケット1200の量などでも良い。
パターン抽出モジュール303は、生成した時系列データを周波数変換し、周波数とその強度(影響度)分布の情報を生成する(SP253)。なお周波数変換には例えばFFT(高速フーリエ変換)などの手法が利用可能である。
パターン抽出モジュール303は、周波数変換したデータに含まれる周波数とその強度(影響度)を定常パターンとして定常パターン格納モジュール308に格納する(SP26)。モード管理モジュール310は、監視装置30の動作モードを運用モードに設定し(SP27)、監視装置30は通信パターン格納処理を終了する。なお、動作モードを設定する際に通信パケット格納モジュール307に格納した通信パケット1200を削除してもよい。
第1の実施の形態によるログ解析システムの運用時の実施処理の流れは、図5に示すシーケンス図と概要は同じであるため、差異がある箇所についてのみ説明する。
運用時には、モード管理モジュール310は設定を変更しない。また監視装置30はパターン格納処理の代わりに、図8に示す異常パケット格納処理を行う。通信パケット取得モジュール302は、通信モジュール301を介して制御コマンドや制御コマンドに対する応答を取得すると、受信時刻および受信サイズを取得し(SP31およびSP32)、通信パケット格納モジュール307へ通信パケット1200を格納する(SP33)。
通信パケット格納モジュール307へ通信パケット1200を格納すると、通信パケット取得モジュール302は、運用状態に設定されてから一定時間が経過したか否かを判断する(SP34)。なおステップSP34の判断の条件は一定時間の経過ではなくてもよく、例えば監視装置30が外部から電気的な信号をスイッチなどから受けたか否か、通信によって制御コマンドなどで指示を与えられたか否か、または、予め送受信される通信パケット数が定まっていて、その通信パケット数が流れたか否か、によって判断してもよい。
通信パケット取得モジュール302は、この判断で否定結果を得るとステップSP31へ戻り、ステップSP34で肯定結果を得るまでステップSP31〜ステップSP33の処理を繰り返す。この繰り返し処理により、監視装置30は運用時のログ解析システムにおける通信パケット1200を取得する。
通信パケット取得モジュール302が、一定時間が経過したことによってステップSP34で肯定結果を得ると、異常パターン抽出モジュール304は図9に示す異常パケットを抽出する異常パケット抽出処理を行う(SP35)。
異常パターン抽出モジュール304は、通信パケット格納モジュール307から通信パケット1200を取得する(SP351)。この際にパターン抽出モジュール303が取得する通信パケット1200は、通信パケット格納モジュール307に格納されている全ての通信パケット1200でも良いし、あらかじめ定められた期間に該当する通信パケット1200でも良いし、あらかじめ定められたデータ量に該当する通信パケット1200でも良い。
異常パターン抽出モジュール304は、取得した通信パケット1200の送受信時刻とサイズが記載した、時系列に沿ったデータを生成する(SP352)。なお送受信時刻とともに記載する情報はサイズに限ったものではなく、当該時刻における通信パケット1200の送受信回数や特定のデータサイズに該当する通信パケット1200の量などでも良い。
異常パターン抽出モジュール304は、生成した時系列データを周波数変換し、周波数とその強度(影響度)分布の情報を生成する(SP353)。なお周波数変換には例えばFFT(高速フーリエ変換)などの手法が利用可能である。
異常パターン抽出モジュール304は、定常パターン格納モジュール308に格納されている定常パターンを取得する(SP354)。異常パターン抽出モジュール304は、周波数変換した時系列データと取得した定常パターンとを比較し差分を抽出することで異常パターンを抽出する(SP355)。
異常パケット復元モジュール305は、異常パターン抽出モジュール304が抽出した異常パターンを基に異常パケットを復元する(SP356)。実際上、異常パケット復元モジュール305は、異常パターンを逆FFT(逆高速フーリエ変換)などの逆周波数変換することで、時刻およびサイズの情報を取得する。
異常パケット復元モジュール305は、取得した時刻およびサイズの情報と、異常パターン抽出モジュール304が通信パケット格納モジュール307から取得した通信パケット1200とを用いて異常パケットを復元する。
異常パケット復元モジュール305は、復元した異常パケットを異常パケット格納モジュールへ格納する(SP36)。出力モジュール306は、異常パケット復元モジュール305が復元した異常パケットなどをディスプレイなどの画面に出力し(SP37)、監視装置30は異常パケット格納処理を終了する。
図10に監視画面1000の構成を略線的に示す略線図を示す。監視画面1000は、出力モジュール306が出力する画面であり、通信状況1001、通信データ詳細1002、異常通信抽出結果1003および遷移ボタン1004を備える。
通信状況1001は、通信パケット1200の日時を横軸に、サイズ情報を縦軸にしたグラフとなっているが、これに限定されない。通信データ詳細1002は、通信パケット1200の日時情報、送受信先、サイズ情報を備えるが、これに限定されない。
異常通信抽出結果1003は、通信パケット1200のうち異常パケットと想定されるパケットの日時情報とサイズ情報が含まれるが、これに限定されるものではない。遷移ボタン1004が押下されることにより、図11に示す異常監視画面1100へと画面表示が遷移する。
なお、監視画面1000の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、監視画面1000の構成要素の順序は上記に限定されるものではない。
異常監視画面1100は、出力モジュール306が出力する画面であり、異常パケット概要1101、異常パケット詳細1102および遷移ボタン1103を備える。異常パケット概要1101は、日時情報を横軸に、単位時間あたりの異常パケット数を縦軸にしたグラフとなっているが、これに限定されるものではなく、例えば縦軸をサイズ情報としてもよい。
異常パケット詳細1102は、異常パケットの日時情報、送受信先、実際に送受信されたデータ情報が含まれるが、これに限定されるものではない。なお、異常監視画面1100の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、異常監視画面1100の構成要素の順序は上記に限定されるものではない。
なお上記では監視画面1000と異常監視画面1100は別の画面表示としたが、監視画面1000の遷移ボタン1004の代わりに、異常パケット概要1101、異常パケット詳細1102を表示してもよいものとする。
図12に通信パケット1200の構成を示す概念図を示す。通信パケット1200は通信パケット格納モジュール307に格納され、複数であり、パケットを受信した受信日時1201、パケットのサイズ1202およびパケットのバイナリデータであるパケットデータ1203を備える。
通信パケット1200の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、通信パケット1200の構成要素の順序は上記に限定されるものではない。
図13に通信パターン1300の構成を示す概念図を示す。通信パターン1300は、監視装置30の定常パターン格納モジュール308に格納されている定常パターンや異常パターン抽出モジュール304によって抽出される異常パターンなどである。
通信パターン1300は、通信の発生する周期1301とその周期1301を構成するデータの占める割合を示す強度である影響度1302から構成される。ここで、通信パターン1300の構成要素は上記に限定されるものではなく、少なくとも上記の要素が含まれていればよい。また、通信パターン1300の構成要素の順序は上記に限定されるものではない。
図14に通信パターン1300の周波数と強度の分布を示す概念図を示す。分布グラフ1401は通信パターン1300を、縦軸を強度とし、横軸を周波数(Hz)としたグラフである。分布グラフ1402は定常パターンをグラフ化しており、分布グラフ1403は異常パターンをグラフ化している。
ここでは、通信パターン1300として、1Hz(影響度が15)、5Hz(影響度が10)、10Hz(影響度が5)および15Hz(影響度が10)を取得したとし、定常パターンが1Hz(影響度が15)、5Hz(影響度が10)および15Hz(影響度が10)の場合、10Hz(影響度が5)を異常パターンとして抽出している。
(1−3)本実施の形態の効果
以上のように本実施の形態のログ解析システムでは、監視装置において、制御システムの試運転時などに収集した定常的な動作パターンに関連するログを除外したログデータを出力することにより、異常検知や対処に必要となる情報を効果的に抽出するようにした。
従って、本ログ解析システムでは、不正アクセスから制御システムをより効果的に防衛することできるログ解析システムおよびその方法を実現できる。
(2)第2の実施の形態
第1の実施の形態では、企業内ネットワークなどの安全性の高いネットワーク40のみで接続されたログ解析システムについて説明したが、図15に示すインターネットなどの外部ネットワーク70を通して、制御システムの外のネットワークでログ解析を行ってもよい。第1の実施の形態との差分について説明する。
制御装置10、ネットワーク装置20およびネットワーク40に関しては第1の実施の形態と同様であるため、説明を省略する。本実施の形態では、監視装置30に相当する装置は、収集装置50および監視センタ60である。収集装置50および監視センタ60のハードウェア構成は監視装置30と同様であるため、説明を省略する。
収集装置50は、収集装置50〜50の複数個あり、レイヤ2スイッチやサーバなどの通信パケット1200を収集する装置であり、通信モジュール501、通信パケット取得モジュール502、パターン抽出モジュール503、異常パターン抽出モジュール504、異常パケット復元モジュール505、外部通信モジュール506、通信パケット格納モジュール507、定常パターン格納モジュール508およびモード管理モジュール509を備える。
通信モジュール501、通信パケット取得モジュール502、パターン抽出モジュール503、異常パターン抽出モジュール504および異常パケット復元モジュール505は通信モジュール301、通信パケット取得モジュール302、パターン抽出モジュール303、異常パターン抽出モジュール304および異常パケット復元モジュール305と同等であるため、説明を省略する。
通信パケット格納モジュール507、定常パターン格納モジュール508およびモード管理モジュール509は通信パケット格納モジュール307、定常パターン格納モジュール308およびモード管理モジュール310と同等であるため、説明を省略する。外部通信モジュール506は外部ネットワーク70を介して他の収集装置50の外部通信モジュール506および監視センタと通信を行う。
なおそれぞれの収集装置50が通信モジュール501、通信パケット取得モジュール502、パターン抽出モジュール503、異常パターン抽出モジュール504、異常パケット復元モジュール505、外部通信モジュール506、通信パケット格納モジュール507、定常パターン格納モジュール508およびモード管理モジュール509といった各モジュールを備える。通信モジュール501は例えばネットワーク装置20の第4通信モジュールと通信する。
監視センタ60は、出力モジュール601、集約異常パケット格納モジュール602および通信モジュール603を備える。通信モジュール603は外部ネットワーク70を介して、収集装置50から異常パケットを取得する。集約異常パケット格納モジュール602は、それぞれの収集装置50から取得した異常パケットを格納する。出力モジュール601は、それぞれの収集装置50から取得した異常パケットを出力する。
出力モジュール601がディスプレイなどに出力する出力画面については第1の実施の形態で説明した通りであるが、複数の収集装置の結果を示すため、収集装置毎に監視画面があってもよいし、収集装置の識別情報を付加して表示してもよい。
本実施の形態によるログ解析システムの試運転時の実施処理の流れは、図5に示すシーケンス図の流れと同じであるため、説明を省略する。なお、監視装置30のモード管理モジュール310の代わりに、収集装置50のモード管理モジュール509が動作モードを初期モードに設定する。
第2の実施の形態によるログ解析システムの運用時の実施処理の流れは、第2の実施の形態によるログ解析システムの運用時の実施処理の流れと概要は同じであるため、差異がある箇所についてのみ図16を用いて説明する。
ステップSP41〜ステップSP46は、監視装置30を収集装置50に置き換えるとステップSP11〜ステップSP16と同様である。収集装置50の外部通信モジュール506は異常パケット復元モジュール505が復元した異常パケットを監視センタ60へ送信する(SP47)。
本実施の形態においては、処理を収集装置50および監視センタ60で分けるため処理負荷が分散し高速な処理が実現できる。
(3)第3の実施の形態
第2の実施の形態では、収集装置50から異常パケットを監視センタ60へ送信したが、本実施の形態においては、図17に示すように、収集装置50は通信パケット1200を監視センタ60へ送信し、監視センタ60で異常パターンの抽出および異常パケットの復元を行う。
制御装置10、ネットワーク装置20およびネットワーク40に関しては第1の実施の形態と同様であるため、説明を省略する。収集装置50および監視センタ60のハードウェア構成は第2の実施の形態と同様であるため、説明を省略する。
収集装置50は、収集装置50〜50であり、レイヤ2スイッチやサーバなどの通信パケット1200を収集する装置であり、通信モジュール501、通信パケット取得モジュール502、外部通信モジュール506、通信パケット格納モジュール507、およびモード管理モジュール509を備える。
通信モジュール501、通信パケット取得モジュール502、外部通信モジュール506、通信パケット格納モジュール507およびモード管理モジュール509は第2の実施の形態と同等であるため、説明を省略する。
監視センタ60は、レイヤ2スイッチやサーバなどのログ解析システムを監視する装置であり、出力モジュール601、集約異常パケット格納モジュール602、通信モジュール603、パターン抽出モジュール604、異常パターン抽出モジュール605、異常パケット復元モジュール606、および定常パターン格納モジュール607を備える。
ログ解析システムの試運転時には、パターン抽出モジュール604は、通信モジュール603および外部ネットワーク70を介して、収集装置50から通信パケット1200を取得する。運用時には、異常パターン抽出モジュール605は、通信モジュール603および外部ネットワーク70を介して、収集装置50から通信パケット1200を取得する。
出力モジュール601がディスプレイなどに出力する出力画面については第2の実施の形態で説明した通りである。
本実施の形態によるログ解析システムの試運転時の実施処理の流れは、図16に示すシーケンス図の流れと概要は同じであるため、差異がある箇所についてのみ図18を用いて説明する。
最初に収集装置50のモード管理モジュール509は、収集装置50の動作モードを初期モードに設定する。ここで、動作モードが初期モードに設定できない、または、以降の処理が初期モードに設定されないまま実行されようとする場合には、以降の処理を中止しても良い。
次に監視センタ60のモード管理モジュール608は、監視センタ60の動作モードを初期モードに設定する。ここで、動作モードが初期モードに設定できない、または、以降の処理が初期モードに設定されないまま実行されようとする場合には、以降の処理を中止しても良い。
ステップSP51〜ステップSP57はステップSP41〜ステップSP47と同様である。収集装置50の外部通信モジュール506から通信パケット1200が監視センタ60の通信モジュール603に送信される(SP57)。
監視センタ60の通信モジュール603が通信パケット1200を受信すると、監視センタは各処理を行ったのち、モード管理モジュール608は、監視センタ60の動作モードを運用モードに設定し、監視センタ60の通信モジュール603は収集装置50の外部通信モジュール506へ応答を返送する(SP58)。
収集装置50の外部通信モジュール506が応答を受信すると、モード管理モジュール509は収集装置50の動作モードを運用モードに設定する。
本実施の形態によるログ解析システムの運用時の実施処理の流れは、第2の実施の形態によるログ解析システムの運用時の実施処理の流れと同じであるため、説明を省略する。
本実施の形態においては、処理を収集装置50および監視センタ60で分けるため処理が分散し高速な処理が実現できる。
(4)その他の実施の形態
なお上述の第1、第2および第3の実施の形態においては、監視装置30、収集装置50およびネットワーク装置20が別装置である場合について述べたが、本発明はこれに限らず、例えば監視装置30や収集装置50内にネットワーク装置20の機能が含まれている場合や、制御装置10や監視装置30や収集装置50にネットワーク40との通信機能が含まれておらず、別の装置を経由してネットワーク40と通信を行うようにしてもよい。
また上述の第1、第2および第3の実施の形態においては、ネットワーク40や外部ネットワーク70にフィルタをかけていない場合について述べたが、本発明はこれに限らず、ネットワーク40や外部ネットワーク70にフィルタをかけてもよい。
10:制御装置、11:通信装置、12:入出力装置、13:記憶装置、14:CPU、15:メモリ、16:内部通信線、101:制御処理モジュール、102:通信モジュール、20:ネットワーク装置、21:通信装置、21:第1通信装置、21:第2通信装置、21:第3通信装置、22:記憶装置、23:入出力装置、24:CPU、25:メモリ、26:内部通信線、201:パケット複製モジュール、202:第1通信モジュール、203:第2通信モジュール、204:第3通信モジュール、30:監視装置、31:通信装置、32:入出力装置、33:記憶装置、34:CPU、35:メモリ、36:読取装置、37:記憶媒体、38:内部通信線、301:通信モジュール、302:通信パケット取得モジュール、303:パターン抽出モジュール、304:異常パターン抽出モジュール、305:異常パケット復元モジュール、306:出力モジュール、307:通信パケット格納モジュール、308:定常パターン格納モジュール、309:異常パケット格納モジュール、310:モード管理モジュール、50:収集装置、501:通信モジュール、502:通信パケット取得モジュール、503:パターン抽出モジュール、504:異常パターン抽出モジュール、505:異常パケット復元モジュール、506:外部通信モジュール、507:通信パケット格納モジュール、508:定常パターン格納モジュール、509:モード管理モジュール、60:監視センタ、601:出力モジュール、602、集約異常パケット格納モジュール、603:通信モジュール、604:パターン抽出モジュール、605:異常パターン抽出モジュール、606:異常パケット復元モジュール、607:定常パターン格納モジュール、608:モード管理モジュール、70:外部ネットワーク。

Claims (9)

  1. 制御装置の通信ログを解析するログ解析システムであって、
    前記通信ログに対応する通信パケットをネットワークから受信するネットワーク装置と、
    前記ネットワーク装置への通信を監視する監視装置と、
    を備え、
    前記監視装置は、前記通信パケットの通信パターンと不正アクセスのない状態の通信におけるパターンである定常パターンとの差分を求め、前記差分に基づいて前記通信パケットを復元し、復元された前記通信パケットを報知する
    ログ解析システム。
  2. 前記ネットワーク装置は、前記通信パケットを複製して前記監視装置に送信する
    請求項1記載のログ解析システム。
  3. 前記監視装置は、複数の前記通信パケットそれぞれの送受信周期と送受信サイズの変動に基づいて、前記通信パターンを複数の前記通信パケットから抽出する
    請求項1に記載のログ解析システム。
  4. 収集装置は前記ネットワーク装置から前記通信パケットを収集し、
    前記監視装置は、前記収集装置によって収集された前記通信パケットに基づいて前記通信パケットを復元する
    請求項1に記載のログ解析システム。
  5. 前記監視装置は、
    複数の前記収集装置のそれぞれで収集された前記通信パケットに基づいて前記通信パケットを復元する
    請求項4に記載のログ解析システム。
  6. 前記監視装置は、前記通信パケットを収集し、前記通信パケットの前記通信パターンと前記通信の前記定常パターンとの前記差分を求め、前記差分に基づいて前記通信パケットを復元する収集装置を備え、復元された前記通信パケットを報知する
    請求項1に記載のログ解析システム。
  7. 前記監視装置は、
    前記通信パケットを時系列で表示し、前記定常パターンの前記通信パケットと前記差分に基づいた前記通信パケットとを識別可能な形で表示する
    請求項1に記載のログ解析システム。
  8. 前記監視装置は、前記制御装置の運転状態に応じた設定がなされ、
    前記運転状態は、前記監視装置が前記通信の前記定常パターンを取得するための試運転状態と、試運転状態以外の運用状態であり、
    前記監視装置は、前記設定により実行可能な処理が制限される
    請求項1に記載のログ解析システム。
  9. 制御装置の通信ログを解析するログ解析システムにおけるログ解析方法であって、
    前記ログ解析システムは、
    前記通信ログに対応する通信パケットをネットワークから受信するネットワーク装置と、
    前記ネットワーク装置への通信を監視する監視装置と、
    備え、
    前記監視装置が、前記通信パケットの通信パターンと不正アクセスのない状態の通信におけるパターンである定常パターンとの差分を求める第1のステップと、
    前記監視装置が、前記差分に基づいて前記通信パケットを復元する第2のステップと、
    前記監視装置が、復元された前記通信パケットを報知する第3のステップと、
    を備えるログ解析方法。
JP2016214265A 2016-11-01 2016-11-01 ログ解析システムおよびその方法 Active JP6793524B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2016214265A JP6793524B2 (ja) 2016-11-01 2016-11-01 ログ解析システムおよびその方法
US15/795,429 US10523696B2 (en) 2016-11-01 2017-10-27 Log analyzing system and method
GB1717787.4A GB2558380B (en) 2016-11-01 2017-10-30 Log analyzing system and method
DE102017219455.3A DE102017219455A1 (de) 2016-11-01 2017-10-30 Log-Analysesystem und -verfahren

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016214265A JP6793524B2 (ja) 2016-11-01 2016-11-01 ログ解析システムおよびその方法

Publications (2)

Publication Number Publication Date
JP2018074465A true JP2018074465A (ja) 2018-05-10
JP6793524B2 JP6793524B2 (ja) 2020-12-02

Family

ID=60580144

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016214265A Active JP6793524B2 (ja) 2016-11-01 2016-11-01 ログ解析システムおよびその方法

Country Status (4)

Country Link
US (1) US10523696B2 (ja)
JP (1) JP6793524B2 (ja)
DE (1) DE102017219455A1 (ja)
GB (1) GB2558380B (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11270001B2 (en) * 2016-10-03 2022-03-08 Nippon Telegraph And Telephone Corporation Classification apparatus, classification method, and classification program
US10567264B2 (en) * 2017-04-06 2020-02-18 Rohde & Schwarz Gmbh & Co. Kg Protocol test device and method for operating a protocol test device
JP2019165301A (ja) * 2018-03-19 2019-09-26 富士通株式会社 パケット検出プログラム、パケット検出装置及びパケット検出方法
JP2022050219A (ja) * 2020-09-17 2022-03-30 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040037229A1 (en) * 2002-08-21 2004-02-26 D'souza Scott Detection of denial-of-service attacks using frequency domain analysis
JP2005223870A (ja) * 2004-02-05 2005-08-18 Fujio Morita 通信パケットのログから不正通信を発見する方法とそのシステム
JP2007243338A (ja) * 2006-03-06 2007-09-20 Kddi R & D Laboratories Inc ログ分析装置、ログ分析プログラム、および記録媒体
JP2010283668A (ja) * 2009-06-05 2010-12-16 Nippon Telegr & Teleph Corp <Ntt> トラヒック分類システムと方法およびプログラムならびに異常トラヒック検知システムと方法
JP2013168763A (ja) * 2012-02-15 2013-08-29 Hitachi Ltd セキュリティ監視システムおよびセキュリティ監視方法
JP2016163352A (ja) * 2015-03-04 2016-09-05 フィッシャー−ローズマウント システムズ,インコーポレイテッド 産業用通信ネットワークにおける異常検出、異常検出システム、及び異常検出を行う方法

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
US9444785B2 (en) * 2000-06-23 2016-09-13 Cloudshield Technologies, Inc. Transparent provisioning of network access to an application
US6813244B1 (en) * 2000-11-20 2004-11-02 Fujitsu Limited Available bandwidth measurement with variable speed probing and zoom-in/zoom-out technique
US20050232227A1 (en) * 2004-02-06 2005-10-20 Loki Jorgenson Method and apparatus for characterizing an end-to-end path of a packet-based network
GB0402739D0 (en) * 2004-02-09 2004-03-10 Saviso Group Ltd Methods and apparatus for routing in a network
US7904956B2 (en) * 2004-10-01 2011-03-08 Microsoft Corporation Access authorization with anomaly detection
KR100609710B1 (ko) * 2004-11-25 2006-08-08 한국전자통신연구원 이상 트래픽 분석을 위한 네트워크 시뮬레이션 장치 및 그방법
KR100639969B1 (ko) * 2004-12-02 2006-11-01 한국전자통신연구원 이상 트래픽 제어 장치 및 그 제어 방법
US7684390B2 (en) * 2004-12-30 2010-03-23 Intel Corporation Integrated circuit capable of transmitting probe packets across a stack of switches
JP4594869B2 (ja) * 2006-01-24 2010-12-08 富士通株式会社 状態監視装置
WO2008052291A2 (en) * 2006-11-03 2008-05-08 Intelliguard I.T. Pty Ltd System and process for detecting anomalous network traffic
JP4667437B2 (ja) * 2007-10-02 2011-04-13 日本電信電話株式会社 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
JP2009171431A (ja) * 2008-01-18 2009-07-30 Oki Electric Ind Co Ltd トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
US8059547B2 (en) * 2008-12-08 2011-11-15 Advantest Corporation Test apparatus and test method
US8085681B2 (en) * 2008-10-21 2011-12-27 At&T Intellectual Property I, Lp Centralized analysis and management of network packets
JP2010165242A (ja) * 2009-01-16 2010-07-29 Hitachi Cable Ltd 稼動体の異常検出方法及び異常検出システム
US8613085B2 (en) * 2009-07-22 2013-12-17 Broadcom Corporation Method and system for traffic management via virtual machine migration
JP5488379B2 (ja) * 2010-09-29 2014-05-14 富士通株式会社 メール監視システム、メール監視プログラム、メール監視装置及びメール監視方法
US8151341B1 (en) * 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
KR101640476B1 (ko) * 2011-09-16 2016-07-25 한국전자통신연구원 네트워크의 테스트 분석시스템 및 그 분석방법
US8891392B2 (en) * 2012-06-21 2014-11-18 Breakingpoint Systems, Inc. Dynamic latency analysis system
US9203723B2 (en) * 2013-01-30 2015-12-01 Broadcom Corporation Network tracing for data centers
JP5913145B2 (ja) 2013-02-04 2016-04-27 日本電信電話株式会社 ログ可視化装置及び方法及びプログラム
US20150038164A1 (en) * 2013-08-01 2015-02-05 Deutsche Telekom Ag System for analyzing mobile telephone users locations and classifications, while maintaining users privacy constraints
GB2533529A (en) * 2013-09-18 2016-06-22 Jolata Inc Highly probable identification of related messages using sparse hash function sets
US9432295B2 (en) * 2013-09-27 2016-08-30 Telefonaktiebolaget Lm Ericsson (Publ) Systems and methods for high throughput traffic pattern generation
EP3053046B1 (en) * 2013-10-04 2021-11-03 Webroot Inc. Network intrusion detection
US9806960B2 (en) * 2013-11-25 2017-10-31 Google Inc. Method and system for adjusting heavy traffic loads between personal electronic devices and external services
US10164847B2 (en) * 2014-03-18 2018-12-25 Hitachi, Ltd. Data transfer monitor system, data transfer monitor method and base system
JP5640167B1 (ja) * 2014-03-31 2014-12-10 株式会社ラック ログ分析システム
KR20160002058A (ko) 2014-06-30 2016-01-07 한국전자통신연구원 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법
KR102112587B1 (ko) * 2015-03-20 2020-05-19 한국전자통신연구원 패킷 감시 장치 및 통신 패킷에 대한 패킷 감시 방법
US10122740B1 (en) * 2015-05-05 2018-11-06 F5 Networks, Inc. Methods for establishing anomaly detection configurations and identifying anomalous network traffic and devices thereof
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040037229A1 (en) * 2002-08-21 2004-02-26 D'souza Scott Detection of denial-of-service attacks using frequency domain analysis
JP2005223870A (ja) * 2004-02-05 2005-08-18 Fujio Morita 通信パケットのログから不正通信を発見する方法とそのシステム
JP2007243338A (ja) * 2006-03-06 2007-09-20 Kddi R & D Laboratories Inc ログ分析装置、ログ分析プログラム、および記録媒体
JP2010283668A (ja) * 2009-06-05 2010-12-16 Nippon Telegr & Teleph Corp <Ntt> トラヒック分類システムと方法およびプログラムならびに異常トラヒック検知システムと方法
JP2013168763A (ja) * 2012-02-15 2013-08-29 Hitachi Ltd セキュリティ監視システムおよびセキュリティ監視方法
JP2016163352A (ja) * 2015-03-04 2016-09-05 フィッシャー−ローズマウント システムズ,インコーポレイテッド 産業用通信ネットワークにおける異常検出、異常検出システム、及び異常検出を行う方法

Also Published As

Publication number Publication date
GB2558380A (en) 2018-07-11
GB2558380B (en) 2021-01-13
JP6793524B2 (ja) 2020-12-02
US20180124083A1 (en) 2018-05-03
GB201717787D0 (en) 2017-12-13
DE102017219455A1 (de) 2018-05-03
US10523696B2 (en) 2019-12-31

Similar Documents

Publication Publication Date Title
Chen et al. A cloud computing based network monitoring and threat detection system for critical infrastructures
JP2018074465A (ja) ログ解析システムおよびその方法
US10652274B2 (en) Identifying and responding to security incidents based on preemptive forensics
CN111049705A (zh) 一种监控分布式存储系统的方法及装置
US10579797B2 (en) Program integrity monitoring and contingency management system and method
CN103946809A (zh) 为测试服务器产生产品服务器负载活动
JP2017126283A (ja) 検知プログラム、検知方法および検知装置
US8959051B2 (en) Offloading collection of application monitoring data
CN107168844B (zh) 一种性能监控的方法及装置
CN111949531A (zh) 区块链网络的测试方法、装置、介质及电子设备
CN109919142A (zh) 人员监控方法、装置、服务器和存储介质
CN112131571A (zh) 威胁溯源方法及相关设备
KR20120086926A (ko) 포렌식 감사 데이터 시각화 시스템
EP3163449B1 (en) Analysis device, analysis method, and storage medium in which analysis program is recorded
CN111832018A (zh) 病毒检测方法、装置、计算机装置及存储介质
CN109067587B (zh) 关键信息基础设施的确定方法及装置
CN113726779A (zh) 规则误报测试方法、装置、电子设备及计算机存储介质
WO2015024716A1 (de) Verfahren und schaltungsanordnung zur absicherung gegen scannen eines adressraums
JP2020201682A (ja) コンピュータ保有データ取出し装置
KR101650445B1 (ko) 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법
CN117040927B (zh) 一种密码服务监控系统及方法
CN112989349B (zh) 病毒检测方法、装置、设备及存储介质
JP2013197601A (ja) 障害検知装置、障害検知方法、及びプログラム
JP2018180862A (ja) フィルタ定義情報装置、プログラム及び方法
JP2013156730A (ja) 障害情報処理装置、障害情報処理方法、および障害情報処理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190904

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200713

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200811

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200930

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201104

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201110

R150 Certificate of patent or registration of utility model

Ref document number: 6793524

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150