JP4415380B2 - パケット解析装置及びこれを用いたパケット解析システム - Google Patents
パケット解析装置及びこれを用いたパケット解析システム Download PDFInfo
- Publication number
- JP4415380B2 JP4415380B2 JP2004343608A JP2004343608A JP4415380B2 JP 4415380 B2 JP4415380 B2 JP 4415380B2 JP 2004343608 A JP2004343608 A JP 2004343608A JP 2004343608 A JP2004343608 A JP 2004343608A JP 4415380 B2 JP4415380 B2 JP 4415380B2
- Authority
- JP
- Japan
- Prior art keywords
- search
- packet
- search condition
- packet analysis
- candidate list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001514 detection method Methods 0.000 claims description 35
- 230000007704 transition Effects 0.000 claims description 30
- 230000002123 temporal effect Effects 0.000 claims description 12
- 241000255777 Lepidoptera Species 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 14
- 238000000034 method Methods 0.000 description 6
- 230000001902 propagating effect Effects 0.000 description 5
- 230000000644 propagated effect Effects 0.000 description 3
- 102100027221 CD81 antigen Human genes 0.000 description 1
- 102100037460 E3 ubiquitin-protein ligase Topors Human genes 0.000 description 1
- 101000914479 Homo sapiens CD81 antigen Proteins 0.000 description 1
- 101000662670 Homo sapiens E3 ubiquitin-protein ligase Topors Proteins 0.000 description 1
- 101000610551 Homo sapiens Prominin-1 Proteins 0.000 description 1
- 101000610557 Homo sapiens U4/U6 small nuclear ribonucleoprotein Prp31 Proteins 0.000 description 1
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 102100040120 Prominin-1 Human genes 0.000 description 1
- 101000717877 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) 40S ribosomal protein S11-A Proteins 0.000 description 1
- 101000717881 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) 40S ribosomal protein S11-B Proteins 0.000 description 1
- 101000643078 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) 40S ribosomal protein S9-A Proteins 0.000 description 1
- 101000729607 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) 40S ribosomal protein S9-B Proteins 0.000 description 1
- 101001109965 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) 60S ribosomal protein L7-A Proteins 0.000 description 1
- 101001109960 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) 60S ribosomal protein L7-B Proteins 0.000 description 1
- 102100040118 U4/U6 small nuclear ribonucleoprotein Prp31 Human genes 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、インターネット等のネットワークを伝播するパケットを解析するパケット解析装置及びこれを用いたパケット解析システムに関し、特に新種のワーム発生等のインシデント(出来事)を効率よく検出することが可能なパケット解析装置及びこれを用いたパケット解析システムに関する。
従来のインターネット等のネットワークを伝播するパケットを捕捉して解析するパケット解析システムに関連する先行技術文献としては次のようなものがある。
図13はこのような従来のパケット解析システムの一例を示す構成ブロック図である。図13において1はパケット解析システムの全体を管理するサーバ、2,3及び4は内部のネットワークとその外部のネットワークとの間に外部からの不正なアクセスを防ぐ目的で設置されるファイアウォール、5及び6はそれぞれ内部のネットワークに接続されるコンピュータ、100はインターネット等の外部のネットワーク、101はイントラネット等の内部のネットワークである。
サーバ1はネットワーク100に相互に接続され、ファイアウォール2,3及び4の外部ネットワーク接続用の接続端にはネットワーク100に相互に接続される。ファイアウォール2及び3の内部ネットワーク接続用の接続端にはコンピュータ5及び6がそれぞれ接続され、ファイアウォール4の内部ネットワーク接続用の接続端にはネットワーク101が接続される。
ここで、図13に示す従来例の動作を図14、図15、図16及び図17を用いて説明する。図14はパケット解析システムの全体を管理するサーバ1の動作を説明するフロー図、図15及び図16はパケット等の情報の流れを説明する説明図、図17はファイアウォールで取得されたパケットのログ情報のフォーマット及び解析レポートの一例を示す説明図である。
図14中”S001”においてサーバ1は、パケットログを解析するか否かを判断し、もし、パケットログを解析すると判断した場合には、図14中”S002”においてサーバ1は、ネットワーク100を介して各ファイアウォール2〜4から蓄積されているパケットのログ情報を収集する。
例えば、図15中”CD01”に示すようにサーバ1は、ネットワーク100を介してファイアウォール2からパケットのログ情報を収集し、図15中”CD02”及び”CD03”に示すようサーバ1は、ネットワーク100を介してファイアウォール3及び4からパケットのログ情報を収集する。
そして、図14中”S003”においてサーバ1は、収集したパケットのログ情報を解析すると共に図14中”S004”においてサーバ1は、解析結果をレポートとして作成すると共にコンピュータ等に送信する。
例えば、図16中”RP11”に示すようにサーバ1は、解析結果をレポートとして作成すると共にコンピュータ5に送信する。
収集したパケットのログ情報の解析方法としては、図17中”FW21”に示すような情報を有するファイアウォールのパケットのログ情報に基づき或る期間毎の統計を取ることにより、どのようなパケットが伝播してきているのかを判断する。
具体的には、各期間のパケットの宛先ポート毎にその個数を集計することにより、図17中”RP21”に示すようなレポートを得ることができる。例えば、図17中”TR21”に示すように”8/10”の”00:00〜00:59”の時刻の間には”TCP/135(TCP(Transmission Control Protocol:以下、単にTCPと呼ぶ。)のプロトコルでポート番号135)”宛に飛んできたパケットが”2125個”である等の情報を得ることができる。
この結果、内部のネットワークとその外部のネットワークとの間にファイアウォールを設置し、パケット解析システムの全体を管理するサーバで各ファイアウォールに蓄積されたパケットのログ情報を収集し解析することにより、ネットワークを伝播するパケットの解析を行うことが可能になる。
また、ファイアウォールのみだけではなくIDS(Intrusion Detection System:侵入検知システム:以下、単にIDSと呼ぶ。)のログ情報に基づきネットワークを伝播するパケットの解析を行っても構わない。
図18はIDSで取得されたパケットのログ情報のフォーマット及び解析レポートの一例を示す説明図である。
収集したパケットのログ情報の解析方法としては、図18中”ID31”に示すような情報を有するIDSのパケットのログ情報に基づき或る期間毎の統計を取ることにより、どのようなパケットが伝播してきているのかを判断する。
具体的には、各期間のIDSのイベント毎にその個数を集計することにより、図18中”RP31”に示すようなレポートを得ることができる。例えば、図18中”TR31”に示すように”8/10”の”00:00〜00:59”の時刻の間には”TCP/135(TCPのプロトコルでポート番号135)”にアクセスを試みたパケットが”1125個”である等の情報を得ることができる。
また、図19は解析レポートの他の一例を示す説明図であり、パケットのダンプからプロトコル/ポート番号毎にその個数を集計することにより、図19中”RP41”に示すようなレポートを得ることができる。例えば、図19中”TR41”に示すように”8/10”の”00:00〜00:59”の時刻の間には”UDP/1434(UDP(User Datagram Protocol:以下、単にUDPと呼ぶ。)のプロトコルでポート番号1434)”宛に飛んできたパケットが”1885個”である等の情報を得ることができる。
さらに、図20はパケット解析システムの全体を管理すると共に検出条件を設定してパケットのログ情報を検索するサーバ1の動作を説明するフロー図である。
図20中”S101”においてサーバ1は、ユーザ等の外部からの検出条件の設定を受け、図20中”S102”においてサーバ1は、設定された検出条件に基づきパケットのログ情報を検索し、図20中”S103”においてサーバ1は、検索結果を表示手段等に表示させる。
例えば、検出条件としては”プロトコル種別”、”ポート番号”、”IDSのシグネチャ(Signature:侵入パターンである一般的に行なわれている不正アクセス特有のトラフィック)名”、”統計間隔”、或いは、”検出対象期間”等があり、ユーザは自らの経験等に基づき適宜検出条件を設定する。
そして、例えば、図21は設定された検出条件に基づく検索結果の一例を示す説明図であり、図21中”DS51”に示す表示画面上には図21中”PN51”、”PR51”及び”DT51”に示すようなポート番号(17300番)、プロトコル種別(TCP)及び検出対象期間(過去14日間)等が表示されると共に当該検出条件に合致するパケットのヒストグラムが図21中”HT51”に示すように表示される。
また、図20中”S104”においてサーバ1は、検出条件の変更の有無を判断し、もし、検出条件が変更されたと判断した場合には、サーバ1は、図20中”S101”のステップに戻り、もし、検出条件が変更されなかったと判断した場合には処理を終了する。
例えば、ユーザ等による外部からの検出条件の変更を受けたと判断した場合には、当該変更された検出条件に基づき再度パケットのログ情報を検索する等して、図20中”S101”から図20中”S103”の処理を行う。
すなわち、新種のワーム発生、広域スキャン、DoS(Denial of Service attack)攻撃等のインシデント(incident:出来事:以下、単にインシデントと呼ぶ)を検出するまでには、検出条件を変更しながら解析作業を繰り返すことになり、例えば、図20に示すような検索結果では新種のワーム発生等のインシデントを検出できていないとユーザが判断した場合には、検出条件を変更して再度解析作業を行うことになる。
しかし、図13に示す従来例では、検出条件を変更しながら解析作業を繰り返すことになるので、ユーザのスキルが低い場合にはなかなかインシデントを検出することが困難であると言った問題点があった。
また、図13に示す従来例では、ワームの亜種等の検出が難しく、このため、ワームの亜種が発生して従来のワームと混在した場合等には亜種の分離が困難であるといった問題点があった。
例えば、”TCP/445(TCPのプロトコルでポート番号445)”へのアクセスは以下に示すようなバリエーションがあり、それぞれ異なるワームであるものの分離が困難である。
(1)”ICMP(Internet Control Message Protocol:以下、単にICMPと呼ぶ。) Rcho Request”でサーバの存在を確認してから”TCP/445”にアクセス。
(2)”TCP/445"にだけアクセス。
(3)ネットワークをスキャンして”TCP/445”サービスを探す。
(4)”TCP139”にアクセスしてから”TCP/445”にアクセス。
(5)”TCP/2745”、”TCP/135”、”TCP/1025”、”TCP/445”、”TCP/3127”、”TCP6129”、”TCP139”、”TCP/80”の組み合わせでアクセス。
(1)”ICMP(Internet Control Message Protocol:以下、単にICMPと呼ぶ。) Rcho Request”でサーバの存在を確認してから”TCP/445”にアクセス。
(2)”TCP/445"にだけアクセス。
(3)ネットワークをスキャンして”TCP/445”サービスを探す。
(4)”TCP139”にアクセスしてから”TCP/445”にアクセス。
(5)”TCP/2745”、”TCP/135”、”TCP/1025”、”TCP/445”、”TCP/3127”、”TCP6129”、”TCP139”、”TCP/80”の組み合わせでアクセス。
すねわち、図13に示す従来例では、上述の(1)、(3)、(4)及び(5)のバリエーションを見落とす可能性があると言った問題点があった。
従って本発明が解決しようとする課題は、新種のワーム発生等のインシデントを効率よく検出することが可能なパケット解析システムを実現することにある。
従って本発明が解決しようとする課題は、新種のワーム発生等のインシデントを効率よく検出することが可能なパケット解析システムを実現することにある。
このような課題を達成するために、本発明の請求項1記載の発明は、
ネットワークを伝播するパケットを解析するパケット解析装置において、
前記ネットワークを介して通信を行う通信手段と、
パケットの解析により得られたイベントの時間的推移を示す表示画面を表示する表示手段と、
設定された検出条件に基づき前記ネットワークを介して収集されたパケットのログ情報から得られるイベントの時間的推移を示す表示画面を前記表示手段に表示すると共に検出されたイベントが検出頻度順に並べられた検索条件候補リストを併せて表示し、前記検索条件候補リストの操作により検索条件を自動設定して検索して絞り込みたいイベントを検索して検索の結果として前記表示手段に前記検索して絞り込みたいイベントの時間的推移を示す表示画面を表示し、さらに、前記検索条件候補リストの操作により検索条件を自動設定してさらに検索して絞り込みたい候補を検索して検索の結果として前記表示手段に前記さらに検索して絞り込みたいイベントの時間的推移を示す表示画面を表示する演算制御手段と、から構成されることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
ネットワークを伝播するパケットを解析するパケット解析装置において、
前記ネットワークを介して通信を行う通信手段と、
パケットの解析により得られたイベントの時間的推移を示す表示画面を表示する表示手段と、
設定された検出条件に基づき前記ネットワークを介して収集されたパケットのログ情報から得られるイベントの時間的推移を示す表示画面を前記表示手段に表示すると共に検出されたイベントが検出頻度順に並べられた検索条件候補リストを併せて表示し、前記検索条件候補リストの操作により検索条件を自動設定して検索して絞り込みたいイベントを検索して検索の結果として前記表示手段に前記検索して絞り込みたいイベントの時間的推移を示す表示画面を表示し、さらに、前記検索条件候補リストの操作により検索条件を自動設定してさらに検索して絞り込みたい候補を検索して検索の結果として前記表示手段に前記さらに検索して絞り込みたいイベントの時間的推移を示す表示画面を表示する演算制御手段と、から構成されることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項2記載の発明は、
請求項1記載の発明であるパケット解析装置において、
前記検索条件候補リストの操作を行う入力手段と、前記検索条件候補リストが予め格納されている記憶手段と、から構成されることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項1記載の発明であるパケット解析装置において、
前記検索条件候補リストの操作を行う入力手段と、前記検索条件候補リストが予め格納されている記憶手段と、から構成されることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項3記載の発明は、
請求項1または請求項2記載の発明であるパケット解析装置において、
前記演算制御手段が、前記ログ情報を検索する毎に学習して前記検索条件候補リストに検索条件候補を順次追加することにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項1または請求項2記載の発明であるパケット解析装置において、
前記演算制御手段が、前記ログ情報を検索する毎に学習して前記検索条件候補リストに検索条件候補を順次追加することにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項4記載の発明は、
ネットワークを伝播するパケットを捕捉して解析するパケット解析システムにおいて、
複数の場所に設置され伝播するパケットを捕捉してパケットのログ情報を順次蓄積するパケットログ収集装置と、前記ネットワークを介して前記複数のパケットログ収集装置から前記ログ情報を取得してこのログ情報から得られるイベントの時間的推移を示す表示画面を表示すると共に検出されたイベントが検出頻度順に並べられた検索条件候補リストを併せて表示し、前記検索条件候補リストの操作により検索条件を自動設定して検索して絞り込みたいイベントを検索して検索の結果として前記検索して絞り込みたいイベントの時間的推移を示す表示画面を表示し、さらに、前記検索条件候補リストの操作により検索条件を自動設定してさらに検索して絞り込みたい候補を検索して検索の結果として前記さらに検索して絞り込みたいイベントの時間的推移を示す表示画面を表示するパケット解析装置とを備えたことにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
ネットワークを伝播するパケットを捕捉して解析するパケット解析システムにおいて、
複数の場所に設置され伝播するパケットを捕捉してパケットのログ情報を順次蓄積するパケットログ収集装置と、前記ネットワークを介して前記複数のパケットログ収集装置から前記ログ情報を取得してこのログ情報から得られるイベントの時間的推移を示す表示画面を表示すると共に検出されたイベントが検出頻度順に並べられた検索条件候補リストを併せて表示し、前記検索条件候補リストの操作により検索条件を自動設定して検索して絞り込みたいイベントを検索して検索の結果として前記検索して絞り込みたいイベントの時間的推移を示す表示画面を表示し、さらに、前記検索条件候補リストの操作により検索条件を自動設定してさらに検索して絞り込みたい候補を検索して検索の結果として前記さらに検索して絞り込みたいイベントの時間的推移を示す表示画面を表示するパケット解析装置とを備えたことにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項5記載の発明は、
請求項4記載の発明であるパケット解析システムにおいて、
前記パケット解析装置が、前記ネットワークを介して通信を行う通信手段と、パケットの解析により得られたイベントの時間的推移を示す表示画面を表示する表示手段と、前記ネットワークを介して前記複数のパケットログ収集装置から取得した前記ログ情報ログ情報から得られるイベントの時間的推移を示す表示画面を前記表示手段に表示すると共に検出されたイベントが検出頻度順に並べられた検索条件候補リストを併せて表示し、前記検索条件候補リストの操作により検索条件を自動設定して検索して絞り込みたいイベントを検索して検索の結果として前記表示手段に前記検索して絞り込みたいイベントの時間的推移を示す表示画面を表示し、さらに、前記検索条件候補リストの操作により検索条件を自動設定してさらに検索して絞り込みたい候補を検索して検索の結果として前記表示手段に前記さらに検索して絞り込みたいイベントの時間的推移を示す表示画面を表示する演算制御手段とから構成されることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項4記載の発明であるパケット解析システムにおいて、
前記パケット解析装置が、前記ネットワークを介して通信を行う通信手段と、パケットの解析により得られたイベントの時間的推移を示す表示画面を表示する表示手段と、前記ネットワークを介して前記複数のパケットログ収集装置から取得した前記ログ情報ログ情報から得られるイベントの時間的推移を示す表示画面を前記表示手段に表示すると共に検出されたイベントが検出頻度順に並べられた検索条件候補リストを併せて表示し、前記検索条件候補リストの操作により検索条件を自動設定して検索して絞り込みたいイベントを検索して検索の結果として前記表示手段に前記検索して絞り込みたいイベントの時間的推移を示す表示画面を表示し、さらに、前記検索条件候補リストの操作により検索条件を自動設定してさらに検索して絞り込みたい候補を検索して検索の結果として前記表示手段に前記さらに検索して絞り込みたいイベントの時間的推移を示す表示画面を表示する演算制御手段とから構成されることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項6記載の発明は、
請求項4または請求項5記載の発明であるパケット解析システムにおいて、
前記検索条件候補リストが、前記記憶手段若しくは前記パケット解析装置内に予め格納されていることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項4または請求項5記載の発明であるパケット解析システムにおいて、
前記検索条件候補リストが、前記記憶手段若しくは前記パケット解析装置内に予め格納されていることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項7記載の発明は、
請求項4または請求項5記載の発明であるパケット解析システムにおいて、
前記演算制御手段が、前記ログ情報を検索する毎に学習して前記検索条件候補リストに索条件候補を順次追加することにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項4または請求項5記載の発明であるパケット解析システムにおいて、
前記演算制御手段が、前記ログ情報を検索する毎に学習して前記検索条件候補リストに索条件候補を順次追加することにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項8記載の発明は、
請求項4または請求項5記載の発明であるパケット解析システムにおいて、
前記パケット解析装置が、前記ログ情報を検索する場合に前記ネットワークを介して前記複数のパケットログ収集装置から蓄積されているログ情報を取得し検索して検索結果を表示させることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項4または請求項5記載の発明であるパケット解析システムにおいて、
前記パケット解析装置が、前記ログ情報を検索する場合に前記ネットワークを介して前記複数のパケットログ収集装置から蓄積されているログ情報を取得し検索して検索結果を表示させることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項9記載の発明は、
請求項4または請求項5記載の発明であるパケット解析システムにおいて、
前記パケット解析装置が、前記ログ情報を検索する場合に前記ネットワークを介して前記複数のパケットログ収集装置の一から蓄積されているログ情報を取得し検索して検索結果を表示させることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項4または請求項5記載の発明であるパケット解析システムにおいて、
前記パケット解析装置が、前記ログ情報を検索する場合に前記ネットワークを介して前記複数のパケットログ収集装置の一から蓄積されているログ情報を取得し検索して検索結果を表示させることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項10記載の発明は、
請求項4または請求項5記載の発明であるパケット解析システムにおいて、
前記パケット解析装置が、前記ログ情報を検索する場合に前記ネットワークを介して前記複数のパケットログ収集装置の内選択された任意のパケットログ収集装置から蓄積されているログ情報を取得し検索して検索結果を表示させることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項4または請求項5記載の発明であるパケット解析システムにおいて、
前記パケット解析装置が、前記ログ情報を検索する場合に前記ネットワークを介して前記複数のパケットログ収集装置の内選択された任意のパケットログ収集装置から蓄積されているログ情報を取得し検索して検索結果を表示させることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
本発明によれば次のような効果がある。
請求項1,2,3,4,5,6,7及び請求項8の発明によれば、パケット解析装置が、パケットログ収集装置に蓄積されたパケットのログ情報の検索結果を表示手段に表示させると共に検索条件候補リストを表示手段に併せて表示させ、当該検索条件候補リストを操作することにより、検索条件を自動設定して再検索させることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
請求項1,2,3,4,5,6,7及び請求項8の発明によれば、パケット解析装置が、パケットログ収集装置に蓄積されたパケットのログ情報の検索結果を表示手段に表示させると共に検索条件候補リストを表示手段に併せて表示させ、当該検索条件候補リストを操作することにより、検索条件を自動設定して再検索させることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
また、請求項9及び請求項10の発明によれば、個別のパケットログ収集装置毎に蓄積されているパケットのログ情報を検索して検索結果を表示させ、或いは、選択された任意のパケットログ収集装置に蓄積されているパケットのログ情報を検索して検索結果を表示させることにより、パケット解析システムの部分的な領域における解析が容易になる。
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るパケット解析装置を用いたパケット解析システムの一実施例を示す構成ブロック図である。
図1において7はパケット解析装置、8,9及び10は内部のネットワークとその外部のネットワークとの間に外部からの不正なアクセスを防ぐ目的で設置されると共にパケットログを収集するファイアウォール等のパケットログ収集装置、11及び12はそれぞれ内部のネットワークに接続されるコンピュータ、102はインターネット等の外部のネットワーク、103はイントラネット等の内部のネットワークである。
パケット解析装置7はネットワーク102に相互に接続され、パケットログ収集装置8,9及び10の外部ネットワーク接続用の接続端にはネットワーク102に相互に接続される。パケットログ収集装置8及び9の内部ネットワーク接続用の接続端にはコンピュータ11及び12がそれぞれ接続され、パケットログ収集装置10の内部ネットワーク接続用の接続端にはネットワーク103が接続される。
また、図2はパケット解析装置7の具体例を示す構成ブロック図である。図2において13はネットワーク102を介して通信を行う通信手段、14はキーボードやポインティングデバイス等の入力手段、15はCRT(Cathode Ray Tube)やLCD(Liquid Crystal Display)等の表示手段、16はパケット解析装置全体を制御するCPU(Central Processing Unit)等の演算制御手段、17は検索条件候補リストが予め格納等されているハードディスクやRAM(Random Access Memory)、フラッシュメモリ等の記憶手段である。また、13,14,15,16及び17はパケット解析装置50を構成している。
入力手段14の出力は演算制御手段16に接続され、演算制御手段16の表示出力は表示手段15に接続される。また、通信手段13及び記憶手段17の入出力はそれぞれ演算制御手段16に相互に接続される。また、通信手段13はネットワーク102(図示せず。)と相互に接続される。
ここで、図1等に示す実施例の動作を図3、図4、図5、図6、図7、図8、図9、図10、図11及び図12を用いて説明する。図3はパケット解析装置7の動作を説明するフロー図、図4は全イベントのアクセス推移を示す説明図、図5及び図8は検索条件候補リストの表示画面の一例を示す説明図、図6、図9及び図11は検索条件候補の選択画面の一例を示す説明図、図7は”TCP/5000”へアクセスするものの推移を示す説明図、図10は”TCP/5000”へのみアクセスするものの推移を示す説明図、図12は”TCP/5000”と”TCP/135”のみをセットでアクセスするものの推移を示す説明図である。
パケットログ収集装置8〜10はネットワーク102等を伝播してくるパケットを捕捉して、当該パケットのログ情報を順次蓄積し、パケット解析装置7からの要求に応じて蓄積したパケットのログ情報を適宜提供する。
一方、図3中”S201”においてパケット解析装置7(具体的には、演算制御手段16)は、ユーザ等の外部からの検出条件の設定を受け、図3中”S202”においてパケット解析装置7(具体的には、演算制御手段16)は、設定された検出条件に基づきパケットログ収集装置8〜10に蓄積されているパケットのログ情報を収集して検索する。
例えば、検出条件としては”プロトコル種別”、”ポート番号”、”IDSのシグネチャ名”、”統計間隔”、或いは、”検出対象期間”等があり、ユーザは自らの経験等に基づき適宜検出条件を設定する。
図3中”S203”においてパケット解析装置7(具体的には、演算制御手段16)は、検索結果を表示手段15に表示させると共に図3中”S204”において検索条件候補リストを表示手段15に併せて表示させる。
例えば、図4中”DS61”に示すようにパケットのログ情報を全て表示した場合、”5月17日”〜”5月19日”の間にアクセスが集中していることが分かる。同時に図5中”DS71”に示すように検索条件候補リストが検出頻度順に表示手段15上に表示される。
この場合、図5中”DS71”に示すような検索条件候補リストの表示画面においては、図5中”PK71”、”PK72”及び”PK73”に示すような”ICMP Rcho Request”、”TCP/5000”及び”TCP/445”の検出頻度が高いことが分かる。
また、図3中”S205”においてパケット解析装置7(具体的には、演算制御手段16)は、検索条件候補が選択されたか否かを判断し、もし、検索条件候補が選択されたと判断した場合には、パケット解析装置7(具体的には、演算制御手段16)は、図3中”S201”のステップに戻り検索条件を自動設定して再検索を行い、もし、検索条件候補が選択されなかったと判断した場合には処理を終了する。
そして、図5中”DS71”に示すような検索条件候補リストの表示画面において検索して絞り込みたい候補、例えば、”TCP/5000”に関して絞込みを行いたいと想定した場合には、入力手段14によって図5中”BT71”に示すボタンを操作することにより、図6中”DS81”に示す表示画面において図6中”CD81”に示すように検索条件が自動的に設定される。
さらに、入力手段14によって図6中”BT81”に示す検索ボタンを操作することにより、再検索が実行され、例えば、図7中”DS91”に示すような”TCP/5000”にアクセスするものの推移を示す画面が表示手段15上に表示される。
同時に、図7中”DS91”に示すような”TCP/5000”へアクセスするものの推移を示す画面と併せて図8中”DS101”に示すような検索条件候補リスト(”TCP/5000”へアクセスするものに関する検索条件候補リスト)の画面が表示手段15上に表示される。
図8中”DS101”に示すような検索条件候補リストの表示画面においては、図8中”PK101”及び”PK102”に示すような”TCP/5000”及び”TCP/5000とTCP/135のみをセット”の検出頻度が高いことが分かる。
そして、図8中”DS101”に示すような検索条件候補リストの表示画面において更に検索して絞り込みたい候補、例えば、”TCP/5000”に関して更に絞込みを行いたいと想定した場合には、入力手段14によって図8中”BT101”に示すボタンを操作することにより、図9中”DS111”に示す表示画面において図9中”CD111”に示すように検索条件が自動的に設定される。
さらに、入力手段14によって図9中”BT111”に示す検索ボタンを操作することにより、再検索が実行され、例えば、図10中”DS121”に示すような”TCP/5000”へのみアクセスするものの推移を示す画面が表示手段15上に表示される
例えば、図10中”DS121”に示す”TCP/5000”へのみアクセスするものの推移を示す画面では図10中”RG121”に示す時期にアクセスが集中し、図10中”DT121”に示す”5月16日”から”TCP/5000”にのみアクセスするワームが発生したことを容易に識別(検出)することが可能になる。
同様に、図8中”DS101”に示すような検索条件候補リストの表示画面において更に検索して絞り込みたい候補、例えば、”TCP/5000とTCP/135のみをセット”に関して更に絞込みを行いたいと想定した場合には、入力手段14によって図8中”BT102”に示すボタンを操作することにより、図11中”DS131”に示す表示画面において図11中”CD131”に示すように検索条件が自動的に設定される。
さらに、入力手段14によって図11中”BT131”に示す検索ボタンを操作することにより、再検索が実行され、例えば、図12中”DS141”に示すような”TCP/5000とTCP/135のみをセット”でアクセスするものの推移を示す画面が表示手段15上に表示される
例えば、図12中”DS141”に示すTCP/5000とTCP/135のみをセット”でアクセスするものの推移を示す画面では図12中”RG141”に示す時期にアクセスが集中し、図12中”DT141”に示す”5月18日”から”TCP/5000とTCP/135のみをセット”でアクセスするワーム(亜種)が発生したことを容易に識別(検出)することが可能になる。
この結果、パケット解析装置7(具体的には、演算制御手段16)が、パケットログ収集装置に蓄積されたパケットのログ情報の検索結果を表示手段15に表示させると共に検索条件候補リストを表示手段15に併せて表示させ、当該検索条件候補リストを操作することにより、検索条件を自動設定して再検索させることにより、新種のワーム発生等のインシデントを効率よく検出することが可能になる。
なお、図1に示す実施例ではパケット解析装置を用いたパケット解析システムを例示しているが、勿論、パケット解析装置単体で各種装置、或いは、様々な手法により収集されたログ情報を解析する構成であっても構わない。
図1等に示す実施例の説明に際しては、2回の再検索を行う場合例示しているが、勿論、再検索の回数は何ら制限されるものではく何回であっても構わない。
また、図1等に示す実施例の説明に際しては記憶手段に検索条件候補リストが予め格納している旨記載しているが、勿論、パケットのログ情報を検索する毎に学習して検索条件候補リストに検索条件候補を順次追加していっても構わないし、両者の併用であっても構わない。
この場合には、検索条件候補リストが順次蓄積されて行くので、更に新種のワーム発生等のインシデントを効率よく検出することが可能になる。
また、パケット解析装置7(具体的には、演算制御手段16)では各パケットログ収集装置に蓄積されているパケットのログ情報を検索して検索結果を表示させているが、勿論、個別のパケットログ収集装置毎に蓄積されているパケットのログ情報を検索して検索結果を表示させても構わないし、選択された任意のパケットログ収集装置に蓄積されているパケットのログ情報を検索して検索結果を表示させても構わない。
この場合には、パケット解析システム全体の検索結果のみだけではない、個々のパケットログ収集装置毎や選択された任意のパケットログ収集装置に蓄積されているパケットのログ情報を検索して検索結果が得られるので、パケット解析システムの部分的な領域における解析が容易になる。
1 サーバ
2,3,4 ファイアウォール
5,6,11,12 コンピュータ
7,50 パケット解析装置
8,9,10 パケットログ収集装置
13 通信手段
14 入力手段
15 表示手段
16 演算制御手段
17 記憶手段
100,101,102,103 ネットワーク
2,3,4 ファイアウォール
5,6,11,12 コンピュータ
7,50 パケット解析装置
8,9,10 パケットログ収集装置
13 通信手段
14 入力手段
15 表示手段
16 演算制御手段
17 記憶手段
100,101,102,103 ネットワーク
Claims (10)
- ネットワークを伝播するパケットを解析するパケット解析装置において、
前記ネットワークを介して通信を行う通信手段と、
パケットの解析により得られたイベントの時間的推移を示す表示画面を表示する表示手段と、
設定された検出条件に基づき前記ネットワークを介して収集されたパケットのログ情報から得られるイベントの時間的推移を示す表示画面を前記表示手段に表示すると共に検出されたイベントが検出頻度順に並べられた検索条件候補リストを併せて表示し、前記検索条件候補リストの操作により検索条件を自動設定して検索して絞り込みたいイベントを検索して検索の結果として前記表示手段に前記検索して絞り込みたいイベントの時間的推移を示す表示画面を表示し、さらに、前記検索条件候補リストの操作により検索条件を自動設定してさらに検索して絞り込みたい候補を検索して検索の結果として前記表示手段に前記さらに検索して絞り込みたいイベントの時間的推移を示す表示画面を表示する演算制御手段と、から構成されることを特徴とするパケット解析装置。 - 前記検索条件候補リストの操作を行う入力手段と、
前記検索条件候補リストが予め格納されている記憶手段と、
から構成されることを特徴とする
請求項1記載のパケット解析装置。 - 前記演算制御手段が、
前記ログ情報を検索する毎に学習して前記検索条件候補リストに検索条件候補を順次追加することを特徴とする
請求項1または請求項2記載のパケット解析装置。 - ネットワークを伝播するパケットを捕捉して解析するパケット解析システムにおいて、
複数の場所に設置され伝播するパケットを捕捉してパケットのログ情報を順次蓄積するパケットログ収集装置と、
前記ネットワークを介して前記複数のパケットログ収集装置から前記ログ情報を取得してこのログ情報から得られるイベントの時間的推移を示す表示画面を表示すると共に検出されたイベントが検出頻度順に並べられた検索条件候補リストを併せて表示し、前記検索条件候補リストの操作により検索条件を自動設定して検索して絞り込みたいイベントを検索して検索の結果として前記検索して絞り込みたいイベントの時間的推移を示す表示画面を表示し、さらに、前記検索条件候補リストの操作により検索条件を自動設定してさらに検索して絞り込みたい候補を検索して検索の結果として前記さらに検索して絞り込みたいイベントの時間的推移を示す表示画面を表示するパケット解析装置と
を備えたことを特徴とするパケット解析システム。 - 前記パケット解析装置が、
前記ネットワークを介して通信を行う通信手段と、
パケットの解析により得られたイベントの時間的推移を示す表示画面を表示する表示手段と、
前記ネットワークを介して前記複数のパケットログ収集装置から取得した前記ログ情報ログ情報から得られるイベントの時間的推移を示す表示画面を前記表示手段に表示すると共に検出されたイベントが検出頻度順に並べられた検索条件候補リストを併せて表示し、前記検索条件候補リストの操作により検索条件を自動設定して検索して絞り込みたいイベントを検索して検索の結果として前記表示手段に前記検索して絞り込みたいイベントの時間的推移を示す表示画面を表示し、さらに、前記検索条件候補リストの操作により検索条件を自動設定してさらに検索して絞り込みたい候補を検索して検索の結果として前記表示手段に前記さらに検索して絞り込みたいイベントの時間的推移を示す表示画面を表示する演算制御手段と、から構成されることを特徴とする
請求項4記載のパケット解析装置。 - 前記検索条件候補リストが、
前記記憶手段若しくは前記パケット解析装置内に予め格納されていることを特徴とする
請求項4若しくは請求項5記載のパケット解析システム。 - 前記演算制御手段が、
前記ログ情報を検索する毎に学習して前記検索条件候補リストに索条件候補を順次追加することを特徴とする
請求項5記載のパケット解析システム。 - 前記パケット解析装置が、
前記ログ情報を検索する場合に前記ネットワークを介して前記複数のパケットログ収集装置から蓄積されているログ情報を取得し検索して検索結果を表示させることを特徴とする
請求項4若しくは請求項5記載のパケット解析システム。 - 前記パケット解析装置が、
前記ログ情報を検索する場合に前記ネットワークを介して前記複数のパケットログ収集装置の一から蓄積されているログ情報を取得し検索して検索結果を表示させることを特徴とする
請求項4若しくは請求項5記載のパケット解析システム。 - 前記パケット解析装置が、
前記ログ情報を検索する場合に前記ネットワークを介して前記複数のパケットログ収集装置の内選択された任意のパケットログ収集装置から蓄積されているログ情報を取得し検索して検索結果を表示させることを特徴とする
請求項4若しくは請求項5記載のパケット解析システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004343608A JP4415380B2 (ja) | 2004-11-29 | 2004-11-29 | パケット解析装置及びこれを用いたパケット解析システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004343608A JP4415380B2 (ja) | 2004-11-29 | 2004-11-29 | パケット解析装置及びこれを用いたパケット解析システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006157355A JP2006157355A (ja) | 2006-06-15 |
| JP4415380B2 true JP4415380B2 (ja) | 2010-02-17 |
Family
ID=36635114
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004343608A Expired - Fee Related JP4415380B2 (ja) | 2004-11-29 | 2004-11-29 | パケット解析装置及びこれを用いたパケット解析システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4415380B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5127314B2 (ja) * | 2007-06-19 | 2013-01-23 | キヤノン株式会社 | 通信装置、通信装置の制御方法及びプログラム |
| JP5430181B2 (ja) * | 2009-03-10 | 2014-02-26 | キヤノン株式会社 | 画像形成装置、その制御方法及びプログラム |
-
2004
- 2004-11-29 JP JP2004343608A patent/JP4415380B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006157355A (ja) | 2006-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11818018B1 (en) | Configuring event streams based on identified security risks | |
| US11296951B2 (en) | Interval-based generation of event streams by remote capture agents | |
| US11115505B2 (en) | Facilitating custom content extraction rule configuration for remote capture agents | |
| JP4479459B2 (ja) | パケット解析システム | |
| US9825973B2 (en) | Website security | |
| US8577829B2 (en) | Extracting information from unstructured data and mapping the information to a structured schema using the naïve bayesian probability model | |
| US20230185830A1 (en) | Systems and methods for indexing and aggregating data records | |
| US10366101B2 (en) | Bidirectional linking of ephemeral event streams to creators of the ephemeral event streams | |
| US8635334B2 (en) | Web transaction analysis | |
| US20190303385A1 (en) | Bidirectional linking of ephemeral event streams to creators of the ephemeral event streams | |
| US20150293954A1 (en) | Grouping and managing event streams generated from captured network data | |
| US20200067957A1 (en) | Multi-frame cyber security analysis device and related computer program product for generating multiple associated data frames | |
| US20220075872A1 (en) | Method and system for detecting malicious infrastructure | |
| Ulmer et al. | Netcapvis: Web-based progressive visual analytics for network packet captures | |
| Conti et al. | Countering security information overload through alert and packet visualization | |
| Garcia-Teodoro et al. | Automatic generation of HTTP intrusion signatures by selective identification of anomalies | |
| CN115348092A (zh) | 一种工控网络异常流量检测方法、装置及电子设备 | |
| Böhm et al. | Visual decision-support for live digital forensics | |
| JP4415380B2 (ja) | パケット解析装置及びこれを用いたパケット解析システム | |
| US8326977B2 (en) | Recording medium storing system analyzing program, system analyzing apparatus, and system analyzing method | |
| JP2004348640A (ja) | ネットワーク管理システム及びネットワーク管理方法 | |
| CN113839912B (zh) | 主被动结合进行异常主机分析的方法、装置、介质和设备 | |
| CN114826727A (zh) | 流量数据采集方法、装置、计算机设备、存储介质 | |
| Dahlke et al. | PIE Metrics: quantifying the systematic bias in the ephemerality and inaccessibility of web scraping content from URL-logged web-browsing digital trace data | |
| KR101518233B1 (ko) | 기업 내부 전산환경의 위협탐지를 위한 보안 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070613 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090427 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090508 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090623 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091102 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091115 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4415380 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121204 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121204 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131204 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |