JP4241677B2 - Communication management device, unauthorized communication terminal device identification system and method, and program - Google Patents
Communication management device, unauthorized communication terminal device identification system and method, and program Download PDFInfo
- Publication number
- JP4241677B2 JP4241677B2 JP2005187001A JP2005187001A JP4241677B2 JP 4241677 B2 JP4241677 B2 JP 4241677B2 JP 2005187001 A JP2005187001 A JP 2005187001A JP 2005187001 A JP2005187001 A JP 2005187001A JP 4241677 B2 JP4241677 B2 JP 4241677B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- unauthorized
- level
- relay device
- configuration information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は通信管理装置、不正通信端末装置の識別システムと方法、及びプログラムに関し、特に、管理対象のネットワークの通信中継装置に不正通信検出装置を接続し、これから不正通信通知を収集し記録し、記録を集計し、集計結果をネットワーク構成図上に表示し閾値を超える回数の不正通信を行った端末装置を容易に識別できる様に表示するための描画や表示を行う通信管理装置、不正通信端末装置の識別システムと方法、及びプログラムに関する。 The present invention relates to a communication management device, an unauthorized communication terminal device identification system and method, and a program, and in particular, connects an unauthorized communication detection device to a communication relay device of a network to be managed, collects and records unauthorized communication notifications therefrom, Communication management device and unauthorized communication terminal for drawing and displaying for summarizing records, displaying the result of aggregation on the network configuration diagram, and displaying the terminal device that performed unauthorized communication exceeding the threshold number so that it can be easily identified The present invention relates to an apparatus identification system and method, and a program.
従来の技術においては、不正通信検出装置から収集した不正通信記録に対して、検索、条件の絞り込み、グラフ表示などにより傾向分析を行いながら不正通信回数の多い端末装置を特定していた。 In the prior art, terminal devices with a large number of unauthorized communications are identified while performing trend analysis on the unauthorized communications records collected from the unauthorized communications detecting device by searching, narrowing down conditions, displaying graphs, and the like.
ここで、管理対象のネットワークにおいて、不正通信検出を行いその対応処理を行うものに関する発明として、例えば特許文献1に不正アクセス検証装置及び方法が開示されている。
Here, for example,
この装置は、内部ネットワークに接続された保護対象サーバへの不正アクセスを検出し、不正アクセス通知を出力するIDSと、不正アクセス通知を受信して格納するとともに、保護対象サーバ13へのアクセスに応じて出力される応答パケットを受信して格納するパケット収集装置とを備える。 This device detects unauthorized access to a protection target server connected to an internal network, receives and stores an IDS that outputs an unauthorized access notification, and unauthorized access notification, and responds to access to the protection target server 13. And a packet collection device for receiving and storing the response packet output.
そして、パケット収集装置に不正アクセス通知に対応する応答パケットが予め設定したパターンになっているかどうかを調べて前記不正アクセスによる被害の有無を判定する手段を有するものである。 The packet collection device has means for checking whether or not the response packet corresponding to the unauthorized access notification has a preset pattern and determining whether or not there is damage due to the unauthorized access.
しかし、不正アクセス(保護対象サーバ宛の不正通信)の記録を回数を考慮し、またネットワーク構成図上に分かり易い形にし表示等を行うことについては開示されていない。 However, there is no disclosure of displaying unauthorized access (unauthorized communication addressed to the protection target server) in consideration of the number of times and displaying it in an easy-to-understand form on the network configuration diagram.
従来の技術においては、不正通信検出装置から収集した不正通信記録から、不正通信回数の多い端末装置を特定する作業を行うにあたって、経験と知識が必要とされていた。 In the prior art, experience and knowledge are required to perform a task of identifying a terminal device having a large number of unauthorized communications from an unauthorized communication record collected from an unauthorized communication detection device.
本発明の目的は不正通信回数の多い端末装置を容易に特定できる不正通信端末装置の識別システムと方法、通信管理装置、及びプログラムを提供することにある。 An object of the present invention is to provide an identification system and method for an unauthorized communication terminal device, a communication management device, and a program that can easily identify a terminal device having a large number of unauthorized communications.
本発明の第1の通信管理装置は、通信端末と通信中継装置を含むネットワークを管理対象とする通信管理装置であって、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理する手段と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有する。 A first communication management device according to the present invention is a communication management device that manages a network including a communication terminal and a communication relay device, and manages connection configuration information of the communication relay device and a communication terminal device connected thereto. Means for collecting and recording unauthorized communication notifications from the unauthorized communication detecting device connected to the communication relay device and detecting communication matching the conditions, and drawing and displaying the unauthorized communication occurrence status based on the recording Unauthorized communication record drawing means, wherein the unauthorized communication record drawing means includes a level definition including one or more threshold values for classifying the number of unauthorized communications into a plurality of levels, and display states corresponding to levels different from each other. Means for setting and holding; means for referring to the connection configuration information; calculating the number of unauthorized communications per communication path from the record; judging the level against the threshold; and A drawing unit that creates a configuration diagram of the managed network based on the subsequent configuration information, adds the number of unauthorized communications to each communication path, and sets a display state of the communication path to a state corresponding to the determined level; .
本発明の第2の通信管理装置は、通信端末と通信中継装置を含むネットワークを管理対象とする通信管理装置であって、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理する手段と、前記通信中継装置間の接続構成情報を管理する手段と、前記通信中継装置の経路情報を管理する手段と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有する。 A second communication management device according to the present invention is a communication management device that manages a network including a communication terminal and a communication relay device, and includes terminal connection configuration information of the communication relay device and a communication terminal device connected thereto. Means for managing, means for managing connection configuration information between the communication relay devices, means for managing route information of the communication relay devices, and fraud that detects communications that are connected to the communication relay devices and meet the conditions Means for collecting and recording unauthorized communication notifications from the communication detection device, and unauthorized communication record rendering means for rendering and displaying an unauthorized communication occurrence status based on the record, wherein the unauthorized communication record rendering means includes the number of unauthorized communications. Means for setting and holding a level definition including one or more threshold values for classifying into a plurality of levels and different display states corresponding to levels, the terminal connection configuration information, and the route A communication target unit that calculates the number of unauthorized communications per communication path from the record, determines the level based on the threshold value, and the managed network based on the terminal connection configuration information and the inter-relay device connection configuration information The image forming apparatus includes drawing means for creating a configuration diagram, adding the number of unauthorized communications to each communication path, and setting a display state of the communication path to a state corresponding to the determined level.
本発明の第3の通信管理装置は、前記第1、または第2の通信管理装置であって、前記各レベル対応の表示状態を通信パスを表す線の色とする。 A third communication management apparatus according to the present invention is the first or second communication management apparatus, wherein the display state corresponding to each level is a color of a line representing a communication path.
本発明の第4の通信管理装置は、前記第1、または第2の通信管理装置であって、前記各レベル対応の表示状態を通信パスを表す線の太さとする。 A fourth communication management apparatus according to the present invention is the first or second communication management apparatus, wherein the display state corresponding to each level is a thickness of a line representing a communication path.
本発明の第5の通信管理装置は、前記第1、または第2の通信管理装置であって、前記不正通信通知を収集し記録する手段が、不正通信の発生時刻も記録し、前記レベル定義を設定し保持する手段が、集計対象とする不正通信の期間の長さに対応付けて、複数通りのレベル定義を設定し、レベルに応じて異ならせる表示状態の種別が定義ごとに異なる種別を設定し、保持する様にし、前記不正通信記録描画手段は、集計対象とする不正通信の期間を指定する情報を集計要求元から取得する手段を有し、通信パス単位の不正通信回数を算出しレベルを判定する手段が、前記記録の内その発生時刻が指定された期間である不正通信通知を集計し、通信パス単位の不正通信回数を算出し、前記期間の長さに対応したレベル定義の閾値を用いてレベルを判定し、前記描画手段が管理対象ネットワークの構成図の不正通信回数を付加した通信パスの表示状態を前記対応したレベル定義の表示状態に従って設定する。 A fifth communication management device according to the present invention is the first or second communication management device, wherein the means for collecting and recording the unauthorized communication notification also records the occurrence time of the unauthorized communication, and the level definition The means for setting and holding the information sets the level definition of multiple types in association with the length of the unauthorized communication period to be counted, and the type of display state to be varied according to the level is different for each definition. The unauthorized communication record / drawing means has a means for acquiring information specifying the period of unauthorized communication to be aggregated from the aggregation request source, and calculates the number of unauthorized communications per communication path. A means for determining a level totalizes unauthorized communication notifications in which the occurrence time of the record is specified, calculates the number of unauthorized communications for each communication path, and defines a level definition corresponding to the length of the period. Level using threshold Determined, the drawing means is set according to the display state of the display state of the communication path by adding a fraudulent communication number corresponding levels defined in the block diagram of a managed network.
本発明の第6の通信管理装置は、前記第5の通信管理装置であって、前記複数通りのレベル定義を、不正通信記録の短期間分の集計に対応付けられた第1の定義と、不正通信記録の長期間分の集計に対応付けられた第2の定義とし、前記両方の定義の何れか一方の定義の各レベル対応の表示状態を通信パスを表す線の色とし、他方の定義の各レベル対応の表示状態を通信パスを表す線の太さとする。 A sixth communication management device according to the present invention is the fifth communication management device, wherein the plurality of level definitions are associated with a first definition associated with an aggregation for a short period of unauthorized communication records; The second definition associated with the aggregation of unauthorized communication records over a long period of time, the display state corresponding to each level of either of the two definitions as the color of the line representing the communication path, and the other definition The display state corresponding to each level is the thickness of the line representing the communication path.
本発明の不正通信端末装置の識別システムは、前記第1〜6のいずれか一つの通信管理装置と、前記通信管理装置が管理するネットワークに接続された通信端末装置と、前記ネットワークに接続された通信中継装置と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置とを備え、前記通信管理装置は前記ネットワークか、或いは前記ネットワークに通信接続されたネットワークに接続される。 An identification system for an unauthorized communication terminal device according to the present invention includes any one of the first to sixth communication management devices, a communication terminal device connected to a network managed by the communication management device, and the network. A communication relay device, and an unauthorized communication detection device connected to the communication relay device and detecting a communication meeting a condition, and the communication management device is connected to the network or a network connected to the network. The
本発明の第1の不正通信端末装置の識別方法は、通信端末と通信中継装置を含むネットワークにおける不正通信端末装置の識別方法であって、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、前記不正通信記録描画ステップには、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含む。 A first unauthorized communication terminal device identification method according to the present invention is an unauthorized communication terminal device identification method in a network including a communication terminal and a communication relay device, wherein the communication relay device is connected to the communication terminal device connected thereto. A step of managing configuration information; a step of collecting and recording an unauthorized communication notification from an unauthorized communication detecting device connected to the communication relay device and detecting a communication meeting a condition; and an unauthorized communication occurrence status based on the recording A fraudulent communication record drawing step for drawing and displaying, wherein the fraudulent communication record drawing step includes one or more thresholds for classifying the number of fraudulent communication into a plurality of levels, and display states corresponding to levels different from each other. A step of setting and holding a level definition including: referring to the connection configuration information, calculating the number of times of unauthorized communication in communication path units from the record, Determining the level in light of the connection configuration information, creating a configuration diagram of the network to be managed based on the connection configuration information, adding the number of unauthorized communications to each communication path, and determining the display state of the communication path Including a step of setting a state corresponding to.
本発明の第2の不正通信端末装置の識別方法は、通信端末と通信中継装置を含むネットワークにおける不正通信端末装置の識別方法であって、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、前記通信中継装置間の接続構成情報を管理するステップと、前記通信中継装置の経路情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、前記不正通信記録描画ステップには、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含む。 A second unauthorized communication terminal device identification method of the present invention is an unauthorized communication terminal device identification method in a network including a communication terminal and a communication relay device, the communication relay device and a terminal of a communication terminal device connected thereto. A step of managing connection configuration information, a step of managing connection configuration information between the communication relay devices, a step of managing path information of the communication relay devices, and a communication that is connected to the communication relay device and meets the conditions Collecting and recording an unauthorized communication notification from an unauthorized communication detecting device for detecting the unauthorized communication, and an unauthorized communication record rendering step for rendering and displaying an unauthorized communication occurrence state based on the record, wherein the unauthorized communication record rendering step includes: Set a level definition that includes one or more thresholds to divide the number of unauthorized communications into multiple levels and different level-compatible display states Holding the terminal, referring to the terminal connection configuration information and the route information, calculating the number of times of unauthorized communication for each communication path from the record, determining the level against the threshold value, and the terminal connection configuration Create a managed network configuration diagram based on the information and the inter-relay device connection configuration information, add the number of unauthorized communications to each communication path, and set the display state of the communication path to a state corresponding to the determined level Includes steps.
本発明の第3の不正通信端末装置の識別方法は、前記第1、または第2の不正通信端末装置の識別方法であって、前記各レベル対応の表示状態を通信パスを表す線の色とする。 A third unauthorized communication terminal device identification method according to the present invention is the first or second unauthorized communication terminal device identification method, wherein the display state corresponding to each level is represented by a color of a line representing a communication path, and To do.
本発明の第4の不正通信端末装置の識別方法は、前記第1、または第2の不正通信端末装置の識別方法であって、前記各レベル対応の表示状態を通信パスを表す線の太さとする。 A fourth unauthorized communication terminal device identification method of the present invention is the first or second unauthorized communication terminal device identification method, wherein the display state corresponding to each level is represented by a line thickness representing a communication path. To do.
本発明の第1のプログラムは、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させる。 The first program of the present invention includes a step of managing connection configuration information of a communication relay device and a communication terminal device connected thereto, and unauthorized communication detection for detecting communication that is connected to the communication relay device and meets a condition Set and maintain a level definition that includes the step of collecting and recording unauthorized communication notifications from the device, one or more thresholds for classifying the number of unauthorized communications into multiple levels, and different level-corresponding display states A step of referring to the connection configuration information, calculating the number of unauthorized communications per communication path from the record, determining the level based on the threshold value, and configuring the configuration of the managed network based on the connection configuration information A step of creating a diagram, adding the number of unauthorized communications to each communication path, and setting the display state of the communication path to a state corresponding to the determined level. Cause the computer to execute.
本発明の第2のプログラムは、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、前記通信中継装置間の接続構成情報を管理するステップと、前記通信中継装置の経路情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させる。 The second program of the present invention includes a step of managing terminal connection configuration information of a communication relay device and a communication terminal device connected thereto, a step of managing connection configuration information between the communication relay devices, and the communication relay A step of managing path information of the device, a step of collecting and recording an unauthorized communication notification from an unauthorized communication detection device connected to the communication relay device and detecting a communication meeting a condition, and the number of unauthorized communications to a plurality of levels. Setting and maintaining a level definition including one or more threshold values for classification and different level-corresponding display states, referring to the terminal connection configuration information and the route information, and from the record to the communication path Calculating the number of unauthorized communications per unit, judging the level against the threshold, and based on the terminal connection configuration information and the inter-relay device connection configuration information Create a physical object network diagram adds the unauthorized communication number to each communication path which, to perform the step of setting the display state of the communication path state corresponding to a level above judgment to the computer.
本発明の第3のプログラムは、前記第1、または第2のプログラムであって、前記各レベル対応の表示状態を通信パスを表す線の色とする。 A third program of the present invention is the first or second program, wherein the display state corresponding to each level is a color of a line representing a communication path.
本発明の第4のプログラムは、前記第1、または第2のプログラムであって、前記各レベル対応の表示状態を通信パスを表す線の太さとする。 A fourth program of the present invention is the first or second program, wherein the display state corresponding to each level is a thickness of a line representing a communication path.
本発明の第5のプログラムは、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から発生時刻も含めて不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を、集計対象とする不正通信の期間の長さに対応付けて、複数通り、且つ前記表示状態の種別が定義ごとに異なる様に設定し保持するステップと、前記記録の集計要求を受け、要求元から集計対象とする不正通信の期間を指定する情報を取得するステップと、前記記録の内その発生時刻が指定された期間である不正通信通知を中間集計するステップと、前記接続構成情報を参照し、前記中間集計から通信パス単位の不正通信回数を算出し、これを前記指定された期間に対応したレベル定義の閾値に照らし、そのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を、前記判定したレベルと前記対応したレベル定義の表示状態に従って設定するステップをコンピュータに実行させる。 The fifth program of the present invention includes a step of managing connection configuration information of a communication relay device and a communication terminal device connected thereto, and unauthorized communication detection for detecting communication that is connected to the communication relay device and meets a condition. Level definition that includes collecting and recording unauthorized communication notifications including the time of occurrence from the device, one or more threshold values for classifying the number of unauthorized communications into a plurality of levels, and different level-corresponding display states In correspondence with the length of the unauthorized communication period to be counted, and a plurality of types and the display state type is set and held differently for each definition; Obtaining information specifying the period of unauthorized communication to be aggregated from the source, intermediately counting unauthorized communication notifications in which the occurrence time of the record is specified, and Referring to the connection configuration information, calculating the number of unauthorized communications per communication path from the intermediate tabulation, judging the level against a threshold value of a level definition corresponding to the specified period, and the connection Create a configuration diagram of the managed network based on the configuration information, add the number of unauthorized communications to each communication path, and set the display state of the communication path according to the determined level and the display state of the corresponding level definition Causes the computer to execute the steps to be performed.
本発明の第6のプログラムは、前記第5のプログラムであって、前記複数通りのレベル定義を、不正通信記録の短期間分の集計に対応付けられた第1の定義と、不正通信記録の長期間分の集計に対応付けられた第2の定義とし、前記両方の定義の何れか一方の定義の各レベル対応の表示状態を通信パスを表す線の色とし、他方の定義の各レベル対応の表示状態を通信パスを表す線の太さとする。 A sixth program according to the present invention is the fifth program, wherein the plurality of level definitions are associated with a first definition associated with an aggregation for a short period of unauthorized communication records, and an unauthorized communication record The second definition associated with the long-term aggregation, the display state corresponding to each level of either of the two definitions as the color of the line representing the communication path, and the other definition corresponding to each level Is the thickness of the line representing the communication path.
本発明による効果は、予め設定した閾値によってその閾値を越えた不正通信が行われた通信中継装置、及び端末装置間の線の表示状態を変えることによって、不正通信の回数が多い端末装置が視覚的に容易に識別可能であり、当該端末装置の接続された通信中継装置に対して当該端末装置との通信を不可能とする対処が短時間のうちに実施可能となる点である。 The effect of the present invention is that a communication relay device in which unauthorized communication exceeding the threshold is performed by a preset threshold value and a terminal device with a large number of unauthorized communications are visually recognized by changing the display state of a line between the terminal devices. The communication relay device connected to the terminal device can be dealt with in a short time in order to make it impossible to communicate with the terminal device.
また、上記効果によりウイルス感染被害の拡大を防止することができる。 In addition, the above effects can prevent the spread of virus infection damage.
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。 Next, the best mode for carrying out the present invention will be described in detail with reference to the drawings.
先ず、本発明の第1の実施例の構成について図1を参照して詳細に説明する。 First, the configuration of the first embodiment of the present invention will be described in detail with reference to FIG.
図1において、通信管理装置100、通信中継装置400、通信中継装置500、通信中継装置600、端末装置710、及び端末装置720はTCP/IP(Transmission Control Protocol/Internet Protocol)ネットワーク200で接続されている。
In FIG. 1, a
通信中継装置とは、ルータやスイッチ装置、或いはゲートウェイ装置等である。 The communication relay device is a router, a switch device, a gateway device, or the like.
不正通信検出装置300は通信中継装置400を流れる不正通信を監視する。
不正通信検出装置310は通信中継装置500を流れる不正通信を監視する。
不正通信検出装置320は通信中継装置600を流れる不正通信を監視する。
The unauthorized
The unauthorized
The unauthorized
不正通信とは、通信規約に適合しない通信や、通信データやシーケンスが異常な通信である。 Unauthorized communication is communication that does not conform to the communication protocol, or communication with abnormal communication data or sequence.
例えば、同じ通信元が宛先を変化させながら連続的にコネクト要求する通信が長時間続く場合や、TCPヘッダのLengthとその後に送信するデータ長(データ先頭から終了マークまでのデータカウント)の不一致が短期間に集中する通信等である。 For example, when the same communication source continuously changes the destination while changing the destination for a long time, or when the length of the TCP header and the data length (data count from the data head to the end mark) to be transmitted thereafter do not match. Communication concentrated in a short time.
不正通信検出装置とは、IDS(Intrusion−Detection−Systm)やIDPS(Intrusion−Detection−And−Protection−System)等の装置である。 The unauthorized communication detection device is a device such as IDS (Intrusion-Detection-System) or IDPS (Intrusion-Detection-And-Protection-System).
端末装置710はIPアドレス711を、端末装置720はIPアドレス721を持つ。
The
通信管理装置100は、プログラム制御で動作する装置で、通信中継装置接続構成管理手段110、端末装置接続構成管理手段120、通信中継装置経路構成管理手段130、不正通信記録収集手段140、及び不正通信記録描画手段150を含む。
The
これらの手段はプログラムで制御される。 These means are controlled by a program.
また、通信管理装置100にはディスプレイ装置が接続されている。
In addition, a display device is connected to the
通信中継装置接続構成管理手段110は、TCP/IPネットワーク200、通信中継装置400、通信中継装置500、及び通信中継装置600の接続構成を管理する。
The communication relay device connection configuration management means 110 manages the connection configuration of the TCP /
端末装置接続構成管理手段120は、通信中継装置500と端末装置510、端末装置520、及び端末装置530の接続構成を管理し、また通信中継装置600と端末装置610、端末装置620、端末装置630の接続構成を管理する。
The terminal device connection configuration management means 120 manages the connection configuration of the
端末装置510はIPアドレス511を、端末装置520はIPアドレス521を、端末装置530はIPアドレス531を持ち、通信中継装置500に接続されている。
The
端末装置610はIPアドレス611を、端末装置620はIPアドレス621を、端末装置630はIPアドレス631を持ち、通信中継装置600に接続されている。
The
通信中継装置経路構成管理手段130は、通信中継装置400、通信中継装置500、及び通信中継装置600の経路構成を管理する。
The communication relay device path
不正通信記録収集手段140は、不正通信検出装置300、不正通信検出装置310、及び不正通信検出装置320から不正通信記録を収集する。
The unauthorized communication
不正通信記録描画手段150は、通信中継装置接続構成管理手段110と端末装置接続構成管理手段120とで管理しているネットワーク接続構成情報と、通信中継装置経路構成管理手段130が管理している経路構成情報、及び不正通信記録収集手段140によって収集した不正通信記録を元に、不正通信記録の集計情報を描画する。
The unauthorized communication
不正通信記録描画手段150は、また不正通信回数を複数のレベルに区分するための一つ以上の閾値を取得すると、各レベルに対し互いに異なる表示状態を自動設定し、各レベルの閾値と表示状態を保持する手段も有している。 When the unauthorized communication record / drawing means 150 obtains one or more threshold values for dividing the number of unauthorized communications into a plurality of levels, it automatically sets different display states for each level, and sets the threshold value and display state for each level. It also has a means for holding.
本発明の第1の実施例の動作について図1から図7を参照して詳細に説明する。 The operation of the first embodiment of the present invention will be described in detail with reference to FIGS.
図1を参照し、不正通信検出装置300、310、320に対し、事前に通信等で不正通信通知の宛先が通信管理装置100に設定される。
Referring to FIG. 1, a destination of unauthorized communication notification is set in
不正通信検出装置300、310、320の各装置は、不正通信を検出すると、SNMP(Simple−Network−Manegement−Protocol)等のプロトコルで通信管理装置100に不正通信通知を送ってくる。
When each of the unauthorized
不正通信記録収集手段140は、受信する不正通信通知を記録格納部(図示せず)に順次格納する。
The unauthorized communication
この記録例を図2に示す。図示の様に、不正発生日時、送信元IPアドレス、送信先IPアドレス、発生回数(通常1回)が記録される。 An example of this recording is shown in FIG. As shown in the figure, the date and time of occurrence of fraud, the source IP address, the destination IP address, and the number of occurrences (usually once) are recorded.
次に不正通信記録描画手段150の動作を説明する。
Next, the operation of the unauthorized communication
画面上の「不正通信回数のレベル設定」アイコンが指定されたことを検知すると、レベル数の入力を促す入力画面を表示する(ステップA1)。 When it is detected that the “level setting of number of unauthorized communications” icon on the screen is designated, an input screen for prompting the input of the number of levels is displayed (step A1).
レベル数として3が入力されると、第1の閾値、第2の閾値の入力を促す入力画面を表示する(ステップA2)。 When 3 is input as the number of levels, an input screen for prompting input of the first threshold value and the second threshold value is displayed (step A2).
ここで、第1の閾値、第2の閾値として、15回、100回が入力されると、表示状態として、線色:黒,黄,赤が自動設定され、これらの値を項目名に対応付けて保持する(ステップA3)。 Here, when 15 times and 100 times are input as the first threshold value and the second threshold value, the line colors: black, yellow, and red are automatically set as display states, and these values correspond to the item names. Attach and hold (step A3).
次に図3のフローチャートを参照し、不正通信記録描画手段150の集計、描画動作を説明する。
Next, with reference to the flowchart of FIG. 3, the counting and drawing operations of the unauthorized communication
集計開始要求(例えば、1時間周期で自動発生する要求、或いは操作者による「集計」アイコンの操作)を検知すると(ステップB1)、日時指定条件を設定する。前記自動要求で起動された場合は、その時の時刻より1時間前からその時の時刻を設定する(ステップB2)。 When an aggregation start request (for example, a request that is automatically generated every one hour or an operation of the “aggregation” icon by the operator) is detected (step B1), a date designation condition is set. If activated by the automatic request, the current time is set one hour before the current time (step B2).
記録格納部から記録データを1エントリ分読み込む(ステップB3)。 One entry of record data is read from the record storage unit (step B3).
その記録データの発生日時が、設定された日時指定条件に該当すれば(ステップB4)、送信元IPアドレス−送信先IPアドレス毎に不正通信回数を集計する。 If the date and time of occurrence of the recorded data meets the set date and time designation conditions (step B4), the number of unauthorized communications is counted for each source IP address-destination IP address.
即ち、中間集計表に送信元IPアドレス−送信先IPアドレスが登録されてなければ、追加し不正通信回数欄にデータの不正通信回数を書込み、同じ送信元IPアドレス−送信先IPアドレスが登録されていれば、その不正通信回数にデータの不正通信回数を加算する(ステップB5)。 That is, if the source IP address-destination IP address is not registered in the intermediate summary table, it is added and the number of unauthorized communications is written in the unauthorized communication count column, and the same source IP address-destination IP address is registered. If so, the number of illegal communication of data is added to the number of illegal communications (step B5).
読み込んだ或いは処理したデータが記録格納部の最後のデータとなるまでステップB3〜B6が繰り返される。 Steps B3 to B6 are repeated until the read or processed data becomes the last data in the recording storage unit.
ステップB2で、6/1−09:00〜6/1−10:00が設定されたとすると、図2のデータ811,816,・・・820が集計され図4の中間集計表の番号900のデータが作成される。
Assuming that 6 / 1-09: 0 to 6 / 1-10: 00 is set in step B2, the
図2のデータ812,・・・822が集計され図4の中間集計表の番号901のデータが作成される。同様に番号906迄のデータが作成される。
次に、図4に示す中間集計表の送信元IPアドレス−送信先IPアドレス情報を、中継装置接続構成情報、端末装置接続構成情報、経路構成情報を参照し通信パス情報に変換し、通信パス毎の不正通信回数に集計し直し、不正通信回数表(図5参照)を作成する(ステップB7)。 Next, the source IP address-destination IP address information in the intermediate summary table shown in FIG. 4 is converted into communication path information with reference to the relay device connection configuration information, the terminal device connection configuration information, and the route configuration information. The total number of unauthorized communications is counted again, and an unauthorized communications count table (see FIG. 5) is created (step B7).
ここで通信パスとは、図1の通信中継装置400以下のネットワークのホップ単位のパスで通信の方向も考慮したパスと、通信中継装置400から外部端末、外部端末から通信中継装置400のパスである。
Here, the communication path is a path in units of hops of the network below the
各通信パスの不正通信回数値を第1閾値と比較し、越えれば更に第2閾値と比較しレベルを判定する(ステップB8)。 The unauthorized communication count value of each communication path is compared with the first threshold value, and if it exceeds, it is further compared with the second threshold value to determine the level (step B8).
レベルに応じ、通信パスの表示色(黒/黄/赤)を設定する(図6参照、ステップB9)。 The communication path display color (black / yellow / red) is set according to the level (see FIG. 6, step B9).
接続構成情報に従いネットワーク接続構成図(各通信パスに付された不正通信回数が0回で、矢印の線色が黒である初期値状態の接続構成図)を描画し(ステップB10)、不正通信回数表のデータが有れば各通信パスのデータに従い、矢印の線色を変更し、発生回数を書き変えて表示する(図7参照、ステップB11)。 According to the connection configuration information, a network connection configuration diagram (connection configuration diagram in an initial value state in which the number of unauthorized communications attached to each communication path is 0 and the arrow color is black) is drawn (step B10), and unauthorized communications are performed. If there is data in the frequency table, the line color of the arrow is changed according to the data of each communication path, and the number of occurrences is rewritten and displayed (see FIG. 7, step B11).
図7を見ると通信中継装置500から通信中継装置400へ向かう矢印、及び端末装置520から通信中継装置500へ向かう矢印が赤色で表示されており、通信中継装置500に対して端末装置520への通信を不可能とする対処が必要であることが容易に判断できる。
In FIG. 7, an arrow from the
赤色で描画された線で接続された端末装置が100回以上の不正通信を行っていることが容易に識別可能となり、当該端末装置の接続されている通信中継装置に対して当該端末装置との通信を不可能とする対処が行え、ウイルス感染被害の拡大を防止することが可能となる。
It becomes possible to easily identify that the terminal device connected by the line drawn in red has performed
また端末装置510から通信中継装置500を経由した10回の不正通信は第1閾値の15回を越えておらず、端末装置510のウイルス感染によるものでなく単なる通信エラーにより引き起こされたものであり線色を黒色(初期値)のままとすることで、余計な警告表示を行わないようにしている。
In addition, the 10 unauthorized communications from the
次に、本発明の第2の実施例について説明する。本発明の第2の実施例の全体構成は先の実施例と同じく図1の通りである。 Next, a second embodiment of the present invention will be described. The overall structure of the second embodiment of the present invention is as shown in FIG.
本発明の第2の実施例の動作について、前記第1の実施例と異なる点を説明する。前記不正通信記録描画手段150の動作のステップA3で、第1の閾値、第2の閾値として、15回、100回が入力され、表示状態として、線の太さ:細い線,通常の線,太い線が自動設定され、これらの値を項目名に対応付けて保持する。 The operation of the second embodiment of the present invention will be described with respect to differences from the first embodiment. In step A3 of the operation of the unauthorized communication record / drawing means 150, 15 times and 100 times are input as the first threshold value and the second threshold value, and the display state includes line thickness: thin line, normal line, A thick line is automatically set, and these values are stored in association with item names.
集計描画動作のステップB9では、レベルに応じ、通信パスの矢印の線の太さ(細い線/通常の線/太い線)を設定する(図8参照)。 In step B9 of the total drawing operation, the thickness of the arrow of the communication path (thin line / normal line / thick line) is set according to the level (see FIG. 8).
ステップB11では、不正通信回数表のデータが有れば各通信パスのデータに従い、矢印の線の太さを変更し、発生回数を書き変えて表示する(図9参照)。 In step B11, if there is data in the unauthorized communication count table, the thickness of the arrow line is changed according to the data of each communication path, and the number of occurrences is rewritten and displayed (see FIG. 9).
図9を見ると通信中継装置500から通信中継装置400へ向かう矢印、及び端末装置520から通信中継装置500へ向かう矢印が太い線で表示されており、通信中継装置500に対して端末装置520への通信を不可能とする対処が必要であることが容易に判断できる。
In FIG. 9, an arrow from the
太い線で描画された線で接続された端末装置が100回以上の不正通信を行っていることが容易に識別可能となり、当該端末装置の接続されている通信中継装置に対して当該端末装置との通信を不可能とする対処が行え、ウイルス感染被害の拡大を防止することが可能となる。
It becomes easy to identify that a terminal device connected by a line drawn with a thick line has performed
次に、本発明の第3の実施例について説明する。本発明の第3の実施例の全体構成は先の実施例と同じく図1の通りである。 Next, a third embodiment of the present invention will be described. The overall configuration of the third embodiment of the present invention is as shown in FIG. 1 as in the previous embodiment.
但し、不正通信記録描画手段150の、不正通信回数のレベル対応の一つ以上の閾値と、表示状態を定義設定し保持する手段は第1や第2の実施例と異なる。 However, one or more threshold values corresponding to the level of the number of unauthorized communications and the means for defining and holding the display state of the unauthorized communication record drawing means 150 are different from those in the first and second embodiments.
上記手段はレベルについての複数通りの定義設定、保持が可能な手段であり、定義には集計の対象とする記録期間の長さ(例えば、1時間の間発生した不正通信記録を対象とし集計するのか、10時間の間発生した不正通信記録を対象とし集計するのか等の1時間や10時間)を対応付けられる。 The above means is a means capable of setting and holding a plurality of types of definitions for the level, and the definition includes the length of the recording period to be counted (for example, counting illegal communication records generated during one hour as a target) Or 1 hour or 10 hours, such as whether or not unauthorized communication records generated during 10 hours are counted.
本発明の第3の実施例の動作について図面を参照して詳細に説明する。 The operation of the third embodiment of the present invention will be described in detail with reference to the drawings.
不正通信記録描画手段150の動作を説明する。
The operation of the unauthorized communication
画面上の「不正通信回数のレベル設定」アイコンが指定されたことを検知すると、レベル数の入力を促す入力画面を表示する(ステップC1)。 When it is detected that the “level setting of number of unauthorized communications” icon on the screen is designated, an input screen for prompting the input of the number of levels is displayed (step C1).
レベル数として3が入力されると、第1の閾値、第2の閾値、対応付ける集計期間長の入力を促す入力画面を表示する(ステップC2)。 When 3 is input as the number of levels, an input screen for prompting input of the first threshold value, the second threshold value, and the associated total period length is displayed (step C2).
ここで、第1の閾値、第2の閾値として、15回、100回が入力され、集計期間長として「1時間」が入力されると、各レベルの表示状態として、線色:黒,黄,赤が自動設定され、これらの値を第1の定義の項目名に対応付けて保持する(ステップC3)。 Here, 15 times and 100 times are input as the first threshold value and the second threshold value, and when “1 hour” is input as the total period length, the display state of each level is as follows: line color: black, yellow , Red are automatically set, and these values are held in association with the item names of the first definition (step C3).
「次の定義設定も行うか」のメッセージと「YES」ボタン、「NO」ボタンを表示する(ステップC4)。 A message “Do you want to set the next definition?”, “YES” button, and “NO” button are displayed (step C4).
「YES」を指示すると、ステップC1〜C2を繰り返す。 When “YES” is instructed, steps C1 and C2 are repeated.
入力画面表示に対し、第1の閾値、第2の閾値として、150回、1000回が入力され、集計期間長として「10時間」が入力されると、各レベルの表示状態として、線の太さ:細い線,通常の線,太い線が自動設定され、これらの値を第2の定義の項目名に対応付けて保持する(ステップC5)。 For the input screen display, when 150 times and 1000 times are input as the first threshold and the second threshold, and “10 hours” is input as the total period length, the display state of each level is displayed as a thick line. S: A thin line, a normal line, and a thick line are automatically set, and these values are held in association with the item name of the second definition (step C5).
「次の定義設定も行うか」のメッセージに対し、「NO」を応答する。
次に図10のフローチャートを参照し、第3実施例の不正通信記録描画手段150の集計、描画動作を説明する。
In response to the message “Do you want to set the next definition?”, “NO” is returned.
Next, with reference to the flowchart of FIG. 10, the totaling and drawing operations of the unauthorized communication
集計開始要求(例えば、1時間周期で自動発生する要求、或いは10時間周期で自動発生する要求、或いは操作者による「集計」アイコンの操作)を検知すると(ステップD1)、日時指定条件を設定する。 When an aggregation start request (for example, a request that automatically occurs every 1 hour, a request that automatically occurs every 10 hours, or an operation of the “aggregation” icon by the operator) is detected (step D1), a date specification condition is set. .
前記自動要求で起動された場合は、その時の時刻より1時間前からその時の時刻を設定する、或いはその時の時刻より10時間前からその時の時刻を設定する(ステップD2)。 If it is activated by the automatic request, the current time is set from one hour before the current time, or the current time is set from ten hours before the current time (step D2).
ここでは、10時間周期で自動発生する要求を検知し、その時の時刻より10時間前からその時の時刻迄を設定する場合とする。 Here, it is assumed that a request automatically generated at a 10-hour cycle is detected, and a time from 10 hours before to the time at that time is set.
記録格納部から記録データを1エントリ分読み込む(ステップD3)。 One entry of record data is read from the record storage unit (step D3).
その記録データの発生日時が、設定された日時指定条件に該当すれば(ステップD4)、送信元IPアドレス−送信先IPアドレス毎に不正通信回数を集計する(ステップD5)。 If the date and time of occurrence of the recorded data meets the set date and time designation condition (step D4), the number of unauthorized communications is counted for each source IP address-destination IP address (step D5).
読み込んだ或いは処理したデータが記録格納部の最後のデータとなるまでステップD3〜D6が繰り返される。 Steps D3 to D6 are repeated until the read or processed data becomes the last data in the recording storage unit.
ステップD2で、6/1−00:00〜6/1−10:00が設定されたとすると、図2のデータ802,811,816,・・・820が集計され図11の中間集計表の番号950のデータが作成される。
If 6 / 1-00: 0 to 6 / 1-10: 00 are set in step D2, the
以下中間集計表の番号956までのデータが同様に作成される。
Thereafter, data up to the
次に、ステップB7と同様にし、図11に示す中間集計表より、不正通信回数表(図12参照)を作成する(ステップD7)。 Next, similarly to step B7, an unauthorized communication count table (see FIG. 12) is created from the intermediate tabulation table shown in FIG. 11 (step D7).
集計対象の期間長を判断し10Hであるので(ステップD8)、10Hに最も近い期間長10Hを保持している第2のレベル定義情報を参照し、各通信パスの不正通信回数値を第2のレベル定義情報の第1閾値(150)や第2閾値(1000)と比較しレベルを判定する(ステップD13)。 Since the period length to be counted is determined to be 10H (step D8), the second level definition information holding the period length 10H closest to 10H is referred to, and the unauthorized communication count value of each communication path is set to the second value. The level is determined by comparing with the first threshold value (150) and the second threshold value (1000) of the level definition information (step D13).
レベルに応じ、通信パスの線の太さ(通常の線/太い線)を設定する(図12参照、ステップD14)。 Depending on the level, the line thickness (normal line / thick line) of the communication path is set (see FIG. 12, step D14).
接続構成情報に従いネットワーク接続構成図(初期値状態)を描画する(ステップD15)。 A network connection configuration diagram (initial value state) is drawn according to the connection configuration information (step D15).
表データが有れば各通信パスのデータに従い、矢印の太さを変更し、発生回数を書き変え表示する(ステップD16)。 If there is table data, the thickness of the arrow is changed in accordance with the data of each communication path, and the number of occurrences is rewritten and displayed (step D16).
ステップD1で、1時間周期で自動発生する要求を検知した場合は、ステップD2で、6/1−09:00〜6/1−10:00が設定され、ステップD3〜D7でこの時間帯に発生した不正通信記録が集計される。 If a request that automatically occurs in one hour period is detected in step D1, 6 / 1-09: 0 to 6 / 1-10: 00 are set in step D2, and this time zone is set in steps D3 to D7. The unauthorized communication records that occurred are aggregated.
集計対象の期間長を判断し1Hであるので(ステップD8)、1Hに最も近い期間長1Hを保持している第1のレベル定義情報を参照し、各通信パスの不正通信回数値を第1のレベル定義情報の第1閾値(15)や第2閾値(100)と比較しレベルを判定する(ステップD9)。 Since the period length to be counted is determined to be 1H (step D8), the first level definition information holding the period length 1H closest to 1H is referred to, and the unauthorized communication count value of each communication path is set to the first value. The level is determined by comparing with the first threshold (15) and the second threshold (100) of the level definition information (step D9).
レベルに応じ、通信パスの線色(黄/赤)を設定し(ステップD10)、接続構成情報に従いネットワーク接続構成図(初期値状態)を描画し(ステップD11)、各通信パスのデータに従い、矢印の線色を変更し、発生回数を書き変え表示する(ステップD12)。 The line color (yellow / red) of the communication path is set according to the level (step D10), the network connection configuration diagram (initial value state) is drawn according to the connection configuration information (step D11), and the data of each communication path is The line color of the arrow is changed, and the number of occurrences is rewritten and displayed (step D12).
この様に、集計対象の期間の長短に応じた、閾値設定ができるという効果がある。 Thus, there is an effect that the threshold can be set according to the length of the period to be counted.
また、1H毎の集計結果表示では、閾値越え通信パスを赤色で表示し、10H毎の集計結果表示では、閾値越え通信パスを太線で表示するので、問題内容が把握し易い。 Further, since the communication path exceeding the threshold is displayed in red in the aggregation result display for each 1H, and the communication path exceeding the threshold is displayed in a thick line in the aggregation result display for each 10H, it is easy to grasp the content of the problem.
本発明は、不正通信検出装置が接続されたネットワークにおいて、ウイルス感染事象が発生した装置を早期に判別するといった用途に適用できる。 INDUSTRIAL APPLICABILITY The present invention can be applied to an application such as early identification of a device in which a virus infection event has occurred in a network to which unauthorized communication detection devices are connected.
100 通信管理装置
110 通信中継装置接続構成管理手段
120 端末装置接続構成管理手段
130 通信中継装置経路構成管理手段
140 不正通信記録収集手段
150 不正通信記録描画手段
200 TCP/IPネットワーク
300、310、320 不正通信検出装置
400、500、600 通信中継装置
510、520、530、610、620、630、710、720 端末装置
DESCRIPTION OF
Claims (17)
通信中継装置とこれに接続された通信端末装置の接続構成情報を管理する手段と、
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、
前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、
不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、
前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、
前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有することを特徴とする通信管理装置。 A communication management device for managing a network including a communication terminal and a communication relay device,
Means for managing connection configuration information of the communication relay device and the communication terminal device connected thereto;
Means for collecting and recording an unauthorized communication notification from an unauthorized communication detection device connected to the communication relay device and detecting communication matching a condition;
Unauthorized communication record drawing means for drawing and displaying an unauthorized communication occurrence state based on the record, the unauthorized communication record drawing means,
Means for setting and holding a level definition including one or more thresholds for classifying the number of unauthorized communications into a plurality of levels and different display states corresponding to the levels;
Means for referring to the connection configuration information, calculating the number of unauthorized communications per communication path from the record, and determining the level of the number of unauthorized communications against the threshold;
A drawing unit that creates a configuration diagram of a managed network based on the connection configuration information, adds the number of unauthorized communications to each communication path, and sets a display state of the communication path to a state corresponding to the determined level. A communication management apparatus comprising:
通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理する手段と、
前記通信中継装置間の接続構成情報を管理する手段と、
前記通信中継装置の経路情報を管理する手段と、
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、
前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、
不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、
前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、
前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有することを特徴とする通信管理装置。 A communication management device for managing a network including a communication terminal and a communication relay device,
Means for managing terminal connection configuration information of a communication relay device and a communication terminal device connected thereto;
Means for managing connection configuration information between the communication relay devices;
Means for managing route information of the communication relay device;
Means for collecting and recording an unauthorized communication notification from an unauthorized communication detection device connected to the communication relay device and detecting communication matching a condition;
Unauthorized communication record drawing means for drawing and displaying an unauthorized communication occurrence state based on the record, the unauthorized communication record drawing means,
Means for setting and holding a level definition including one or more thresholds for classifying the number of unauthorized communications into a plurality of levels and different display states corresponding to the levels;
Means for referring to the terminal connection configuration information and the path information, calculating the number of times of unauthorized communication in communication path units from the record, and determining the level of the number of unauthorized communications in light of the threshold;
A managed network configuration diagram is created based on the terminal connection configuration information and the inter-relay device connection configuration information, the number of unauthorized communications is added to each communication path, and the display state of the communication path corresponds to the determined level A communication management apparatus comprising drawing means for setting a state.
前記レベル定義を設定し保持する手段が、集計対象とする不正通信の期間の長さに対応付けて、複数通りのレベル定義を設定し、レベルに応じて異ならせる表示状態の種別が定義ごとに異なる種別を設定し、保持する様にし、
前記不正通信記録描画手段は、集計対象とする不正通信の期間を指定する情報を集計要求元から取得する手段を有し、通信パス単位の不正通信回数を算出しレベルを判定する手段が、前記記録の内その発生時刻が指定された期間である不正通信通知を集計し、通信パス単位の不正通信回数を算出し、前記期間の長さに対応したレベル定義の閾値を用いてレベルを判定し、
前記描画手段が管理対象ネットワークの構成図の不正通信回数を付加した通信パスの表示状態を前記対応したレベル定義の表示状態に従って設定することを特徴とする請求項1、または2に記載の通信管理装置。 The means for collecting and recording the unauthorized communication notification also records the occurrence time of unauthorized communication,
The means for setting and holding the level definition sets a plurality of level definitions in association with the length of the unauthorized communication period to be counted, and the type of display state to be varied according to the level is defined for each definition. Set different types and keep them,
The unauthorized communication record drawing means has means for acquiring information specifying an unauthorized communication period to be aggregated from an aggregation request source, and means for calculating the number of unauthorized communications for each communication path and determining the level are: Aggregate unauthorized communication notifications for which the time of occurrence in the record is the specified period, calculate the number of unauthorized communications for each communication path, and determine the level using the threshold value of the level definition corresponding to the length of the period ,
3. The communication management according to claim 1, wherein the drawing means sets a display state of a communication path to which the number of unauthorized communications in the configuration diagram of the management target network is added according to the display state of the corresponding level definition. apparatus.
前記通信管理装置が管理するネットワークに接続された通信端末装置と、
前記ネットワークに接続された通信中継装置と、
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置とを備え、
前記通信管理装置は前記ネットワークか、或いは前記ネットワークに通信接続されたネットワークに接続されたことを特徴とする不正通信端末装置の識別システム。 The communication management device according to any one of claims 1 to 6,
A communication terminal device connected to a network managed by the communication management device;
A communication relay device connected to the network;
An unauthorized communication detection device that is connected to the communication relay device and detects communication that matches a condition;
An identification system for an unauthorized communication terminal device, wherein the communication management device is connected to the network or a network connected to the network.
通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、
前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、
前記不正通信記録描画ステップには、
不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、
前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、
前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含むことを特徴とする不正通信端末装置の識別方法。 An identification method of an unauthorized communication terminal device in a network including a communication terminal and a communication relay device,
Managing connection configuration information of the communication relay device and the communication terminal device connected to the communication relay device;
Collecting and recording an unauthorized communication notification from an unauthorized communication detection device that is connected to the communication relay device and detects communication that matches a condition;
An unauthorized communication record drawing step for drawing and displaying an unauthorized communication occurrence state based on the record,
In the unauthorized communication record drawing step,
Setting and maintaining a level definition including one or more thresholds for classifying the number of unauthorized communications into a plurality of levels and different display states corresponding to the levels;
Referring to the connection configuration information, calculating the number of times of unauthorized communication in communication path units from the record, determining the level of this against the threshold;
Creating a configuration diagram of a network to be managed based on the connection configuration information, adding the number of unauthorized communications to each communication path, and setting a display state of the communication path to a state corresponding to the determined level An identification method of an unauthorized communication terminal device characterized by the above.
通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、
前記通信中継装置間の接続構成情報を管理するステップと、
前記通信中継装置の経路情報を管理するステップと、
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、
前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、
前記不正通信記録描画ステップには、
不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、
前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、
前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含むことを特徴とする不正通信端末装置の識別方法。 An identification method of an unauthorized communication terminal device in a network including a communication terminal and a communication relay device,
Managing the terminal connection configuration information of the communication relay device and the communication terminal device connected thereto;
Managing connection configuration information between the communication relay devices;
Managing route information of the communication relay device;
Collecting and recording an unauthorized communication notification from an unauthorized communication detection device that is connected to the communication relay device and detects communication that matches a condition;
An unauthorized communication record drawing step for drawing and displaying an unauthorized communication occurrence state based on the record,
In the unauthorized communication record drawing step,
Setting and maintaining a level definition including one or more thresholds for classifying the number of unauthorized communications into a plurality of levels and different display states corresponding to the levels;
Referring to the terminal connection configuration information and the path information, calculating the number of unauthorized communications in communication path units from the record, and determining the level in light of the threshold value;
A managed network configuration diagram is created based on the terminal connection configuration information and the inter-relay device connection configuration information, the number of unauthorized communications is added to each communication path, and the display state of the communication path corresponds to the determined level A method for identifying an unauthorized communication terminal device, comprising a step of setting a state.
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、
不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、
前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、
前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させるためのプログラム。 Managing connection configuration information of the communication relay device and the communication terminal device connected to the communication relay device;
Collecting and recording an unauthorized communication notification from an unauthorized communication detection device that is connected to the communication relay device and detects communication that matches a condition;
Setting and maintaining a level definition including one or more thresholds for classifying the number of unauthorized communications into a plurality of levels and different display states corresponding to the levels;
Referring to the connection configuration information, calculating the number of times of unauthorized communication in communication path units from the record, determining the level of this against the threshold;
Creating a configuration diagram of a managed network based on the connection configuration information, adding the number of unauthorized communications to each communication path, and setting a display state of the communication path to a state corresponding to the determined level; A program to make it run.
前記通信中継装置間の接続構成情報を管理するステップと、
前記通信中継装置の経路情報を管理するステップと、
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、
不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、
前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、
前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させるためのプログラム。 Managing the terminal connection configuration information of the communication relay device and the communication terminal device connected thereto;
Managing connection configuration information between the communication relay devices;
Managing route information of the communication relay device;
Collecting and recording an unauthorized communication notification from an unauthorized communication detection device that is connected to the communication relay device and detects communication that matches a condition;
Setting and maintaining a level definition including one or more thresholds for classifying the number of unauthorized communications into a plurality of levels and different display states corresponding to the levels;
Referring to the terminal connection configuration information and the path information, calculating the number of unauthorized communications in communication path units from the record, and determining the level in light of the threshold value;
A managed network configuration diagram is created based on the terminal connection configuration information and the inter-relay device connection configuration information, the number of unauthorized communications is added to each communication path, and the display state of the communication path corresponds to the determined level A program for causing a computer to execute a step for setting a state.
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から発生時刻も含めて不正通信通知を収集し記録するステップと、
不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を、集計対象とする不正通信の期間の長さに対応付けて、複数通り、且つ前記表示状態の種別が定義ごとに異なる様に設定し保持するステップと、
前記記録の集計要求を受け、要求元から集計対象とする不正通信の期間を指定する情報を取得するステップと、
前記記録の内その発生時刻が指定された期間である不正通信通知を中間集計するステップと、
前記接続構成情報を参照し、前記中間集計から通信パス単位の不正通信回数を算出し、これを前記指定された期間に対応したレベル定義の閾値に照らし、そのレベルを判定するステップと、
前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を、前記判定したレベルと前記対応したレベル定義の表示状態に従って設定するステップをコンピュータに実行させるためのプログラム。 Managing connection configuration information of the communication relay device and the communication terminal device connected to the communication relay device;
Collecting and recording an unauthorized communication notification including an occurrence time from an unauthorized communication detecting device connected to the communication relay device and detecting a communication meeting a condition;
Associating a level definition including one or more thresholds for classifying the number of unauthorized communications into a plurality of levels and different level-compatible display states with the length of the unauthorized communications period to be aggregated, Setting and holding a plurality of ways and the type of the display state is different for each definition; and
Receiving the aggregation request for the record, obtaining information specifying a period of unauthorized communication to be aggregated from the request source; and
Intermediately counting illegal communication notifications in which the occurrence time of the record is a specified period;
Referring to the connection configuration information, calculating the number of unauthorized communications per communication path from the intermediate tabulation, determining the level in light of a threshold of a level definition corresponding to the specified period;
Create a configuration diagram of the managed network based on the connection configuration information, add the number of unauthorized communications to each communication path, and display the display state of the communication path with the determined level and the display state of the corresponding level definition A program for causing a computer to execute the steps set according to the above.
The plurality of levels are defined as a first definition associated with aggregation for a short period of unauthorized communication records and a second definition associated with aggregation for a long period of unauthorized communication records. The display state corresponding to each level in one of the definitions is defined as the color of the line representing the communication path, and the display state corresponding to each level in the other definition is defined as the thickness of the line representing the communication path. The program according to claim 16.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005187001A JP4241677B2 (en) | 2005-06-27 | 2005-06-27 | Communication management device, unauthorized communication terminal device identification system and method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005187001A JP4241677B2 (en) | 2005-06-27 | 2005-06-27 | Communication management device, unauthorized communication terminal device identification system and method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007006383A JP2007006383A (en) | 2007-01-11 |
| JP4241677B2 true JP4241677B2 (en) | 2009-03-18 |
Family
ID=37691510
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005187001A Expired - Fee Related JP4241677B2 (en) | 2005-06-27 | 2005-06-27 | Communication management device, unauthorized communication terminal device identification system and method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4241677B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6973227B2 (en) * | 2018-03-23 | 2021-11-24 | 日本電信電話株式会社 | Abnormal traffic analyzer, abnormal traffic analysis method and abnormal traffic analysis program |
| JP7243329B2 (en) * | 2019-03-15 | 2023-03-22 | 日本電気株式会社 | Computer program, event anomaly detection method, and computer |
-
2005
- 2005-06-27 JP JP2005187001A patent/JP4241677B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007006383A (en) | 2007-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11057403B2 (en) | Suspicious packet detection device and suspicious packet detection method thereof | |
| JP4619254B2 (en) | IDS event analysis and warning system | |
| JP4371905B2 (en) | Unauthorized access detection device, unauthorized access detection method, unauthorized access detection program, and distributed service disablement attack detection device | |
| JP3351318B2 (en) | Computer system monitoring method | |
| US7577098B2 (en) | Device and method for network monitoring | |
| US8347383B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
| US20060198313A1 (en) | Method and device for detecting and blocking unauthorized access | |
| WO2021139643A1 (en) | Method and apparatus for detecting encrypted network attack traffic, and electronic device | |
| US20070198529A1 (en) | Management computer and communication system | |
| JP5066544B2 (en) | Incident monitoring device, method, and program | |
| WO2021253899A1 (en) | Targeted attack detection method and apparatus, and computer-readable storage medium | |
| JP3957712B2 (en) | Communication monitoring system | |
| CN106921671B (en) | network attack detection method and device | |
| JP6233414B2 (en) | Information processing apparatus, filtering system, filtering method, and filtering program | |
| JP4241677B2 (en) | Communication management device, unauthorized communication terminal device identification system and method, and program | |
| JP6033189B2 (en) | COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM | |
| JP4242852B2 (en) | Log total support device, log total support system, log total support program, and log total support method | |
| JP5176983B2 (en) | Filter device, filter program and method | |
| JP2009048317A (en) | Security evaluation method, security evaluation apparatus | |
| JP6780326B2 (en) | Information processing equipment and programs | |
| JP4142038B2 (en) | Integrated monitor system and integrated monitor program | |
| JPWO2020195229A1 (en) | Analytical systems, methods and programs | |
| JP5441250B2 (en) | Policy information display method, management apparatus and program for firewall | |
| JP5655049B2 (en) | Determination device, determination method, and determination program | |
| JP7009907B2 (en) | Communication analysis device, communication analysis program, and communication analysis method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061212 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20070119 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20080613 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081125 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081209 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081222 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120109 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4241677 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130109 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130109 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |