JP4434053B2 - 不正侵入検知装置 - Google Patents

不正侵入検知装置 Download PDF

Info

Publication number
JP4434053B2
JP4434053B2 JP2005081124A JP2005081124A JP4434053B2 JP 4434053 B2 JP4434053 B2 JP 4434053B2 JP 2005081124 A JP2005081124 A JP 2005081124A JP 2005081124 A JP2005081124 A JP 2005081124A JP 4434053 B2 JP4434053 B2 JP 4434053B2
Authority
JP
Japan
Prior art keywords
log information
unauthorized
same
network
intrusion detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005081124A
Other languages
English (en)
Other versions
JP2006079587A (ja
Inventor
聡 五百蔵
秀己 永島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2005081124A priority Critical patent/JP4434053B2/ja
Publication of JP2006079587A publication Critical patent/JP2006079587A/ja
Application granted granted Critical
Publication of JP4434053B2 publication Critical patent/JP4434053B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、インターネットからの不正アクセスなどを検知するIDS(Intrusion Detection System:以下、不正侵入検知装置と呼ぶ。)に関し、特に同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理する不正侵入検知装置に関する。
従来のインターネットからの不正アクセスなどを検知する不正侵入検知装置に関連する先行技術文献としては次のようなものがある。
特開平11−282803号公報 特開2001−184235号公報 特開2001−356939号公報 特開2003−067269号公報 特開2003−204358号公報 特開2005−038116号公報
図12はこのような従来の不正侵入検知装置を用いたネットワークシステムの一例を示す構成ブロック図である。図12において1はクライアントであるコンピュータ、2はコンピュータ1に代わってサーバにサービスの提供を要求等するプロキシサーバ、3はサービスの提供等を行うサーバ、4は不正アクセスなどを検知する不正侵入検知手段、5はハードディスク等の記憶手段、100はインターネットやLAN(Local Area Network)等の汎用のネットワークである。また、不正侵入検知手段4及び記憶手段5は不正侵入検知装置50を構成している。
コンピュータ1はネットワーク100に相互に接続され、プロキシサーバ2及びサーバ3もまたネットワーク100に相互に接続される。また、不正侵入検知手段4はネットワーク100に相互に接続されると共にログ情報出力が記憶手段5に接続される。
ここで、図12に示す従来例の動作を図13、図14及び図15を用いて説明する。図13は不正侵入検知手段4の動作を説明するフロー図、図14及び図15はパケット等の情報の流れを説明する説明図である。
図13中”S001”において不正侵入検知手段4は、ネットワーク100上を伝播する通信(パケット)を監視すると共に不正な通信(パケット)を受信したか否かを判断し、もし、不正な通信(パケット)を受信したと判断した場合には、図13中”S002”において不正侵入検知手段4は、不正な通信(パケット)に関する受信時刻、送信元IP(Internet Protocol)アドレス、送信先IP(Internet Protocol)アドレス等のログ情報を記憶手段5に記録する。
例えば、不正侵入検知手段4は、図14中”PC01”に示すようなコンピュータ1からプロキシサーバ2への不正な通信(パケット)を図14中”CP01”に示すように受信したと判断した場合には、図14中”SL01”に示すような受信した不正な通信(パケット)の受信時刻、送信元IPアドレス、送信先IPアドレス等のログ情報を記憶手段5に記録する。
また、例えば、不正侵入検知手段4は、図15中”PC11”に示すようなプロキシサーバ2からサーバ3への不正な通信(パケット)を図15中”CP11”に示すように受信したと判断した場合には、図15中”SL11”に示すような受信した不正な通信(パケット)の受信時刻、送信元IPアドレス、送信先IPアドレス等のログ情報を記憶手段5に記録する。
この結果、不正侵入検知手段4がネットワーク100上を伝播する通信(パケット)を監視すると共に不正な通信(パケット)を受信したか否かを判断し、もし、不正な通信(パケット)を受信したと判断した場合に受信した不正な通信(パケット)の受信時刻、送信元IPアドレス、送信先IPアドレス等のログ情報を記憶手段5に記録することにより、ネットワークを伝播する不正な通信(パケット)のログ情報を収集蓄積することが可能になる。
しかし、図12に示す従来例では、コンピュータ1からの不正な通信(パケット)は、プロキシサーバ2を介してサーバ3に送信されるため、ログ情報としては、図14中”PC01”に示す不正な通信(パケット)に関するログ情報と図15中”PC11”に示す不正な通信(パケット)に関するログ情報との2つのログ情報が記録されることになる。
すなわち、内容的に同一の通信(同一パケット)であっても伝播経路によっては、内容的に同一の通信(同一パケット)に関するログ情報が重複して記録されてしまうことになり、記録蓄積されるログ情報の情報量が膨大になってしまうといった問題点があった。
従って本発明が解決しようとする課題は、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理する不正侵入検知装置を実現することにある。
このような課題を達成するために、本発明のうち請求項1記載の発明は、
不正アクセスを検知する不正侵入検知装置において、
ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、収集したログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元と送信先のノードが同一であり、且つ、同一パケットである場合に、当該2つのログ情報を統合して1つのログ情報として記録する処理手段を備えたことにより、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
請求項2記載の発明は、
請求項1記載の発明である不正侵入検知装置において、
前記処理手段が、
ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集する不正侵入検知手段と、記録手段と、収集した前記ログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元と送信先のノードが同一であり、且つ、同一パケットである場合に、当該2つのログ情報を1つのログ情報として統合して前記記憶手段に記録するログ情報集約手段とから構成されたことにより、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
請求項3記載の発明は、
請求項2記載の発明である不正侵入検知装置において、
前記不正侵入検知手段が、
前記ネットワーク上を伝播する通信を監視すると共に不正な通信を受信したと判断した場合に、不正な通信に関するログ情報を前記ログ情報集約手段に出力することにより、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
請求項4記載の発明は、
請求項2記載の発明である不正侵入検知装置において、
前記ログ情報集約手段が、
前記不正侵入検知手段から入力されるログ情報を解析すると共に記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であるか否かを判断し、記録時刻がネットワークの負荷状況に応じて予め設定されている値以内でないと判断した場合には前記ログ情報を前記記憶手段に記録し、記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であると判断した場合には2つのログ情報の送信元と送信先のノードが同一であるか否かを判断し、2つのログ情報の送信元と送信先のノードが同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、2つのログ情報の送信元と送信先のノードが同一であると判断した場合には通信プロトコルに基づきパケットの同一性を解析すると共に通信プロトコルに基づくパケット解析により同一パケットであるか否かを判断し、同一パケットではないと判断した場合には前記ログ情報を前記記憶手段に記録し、同一パケットであると判断した場合には当該2つのログ情報を1つのログ情報として統合すると共に統合したログ情報を前記記憶手段に記録することにより、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
請求項5記載の発明は、
不正アクセスを検知する不正侵入検知装置において、
ネットワーク上を伝播する通信を複数の地点で監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、複数の地点で収集したログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を1つのログ情報として統合して記録する処理手段を備えたことにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
請求項6記載の発明は、
請求項5記載の発明である不正侵入検知装置において、
前記処理手段が、
ネットワーク上を伝播する通信を複数の地点で監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集する複数の不正侵入検知手段と、記録手段と、複数の地点で収集した前記ログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を1つのログ情報として統合して前記記憶手段に記録するログ情報集約手段とから構成されたことにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
請求項7記載の発明は、
請求項6記載の発明である不正侵入検知装置において、
前記複数の不正侵入検知手段が、
前記ネットワーク上を伝播する通信を監視すると共に不正な通信を受信したと判断した場合に、不正な通信に関するログ情報を前記ログ情報集約手段に出力することにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
請求項8記載の発明は、
請求項6記載の発明である不正侵入検知装置において、
前記ログ情報集約手段が、
前記不正侵入検知手段から入力されるログ情報を解析すると共に記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であるか否かを判断し、
記録時刻がネットワークの負荷状況に応じて予め設定されている値以内でないと判断した場合には前記ログ情報を前記記憶手段に記録し、記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であると判断した場合には2つのログ情報の送信元の情報が同一であるか否かを判断し、2つのログ情報の送信元の情報が同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、2つのログ情報の送信元の情報が同一であると判断した場合には2つのログ情報の送信先の情報が同一であるか否かを判断し、2つのログ情報の送信先の情報が同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、2つのログ情報の送信先の情報が同一であると判断した場合には当該2つのログ情報を1つのログ情報として統合すると共に統合したログ情報を前記記憶手段に記録することにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
本発明によれば次のような効果がある。
請求項1,2,3及び請求項4の発明によれば、ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、収集したログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元と送信先の同一ノードであり、且つ、同一パケットである場合に、当該2つのログ情報を1つのログ情報として統合して記録することにより、同一パケットの場合には伝播経路に関わりなく1つのログとして処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
また、請求項5,6,7及び請求項8の発明によれば、ログ情報集約手段が、複数の不正侵入検知手段がそれぞれ収集したログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を1つのログ情報として統合して記憶手段に記録することにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
以下本発明を図面を用いて詳細に説明する。図1は本発明に係る不正侵入検知装置を用いたネットワークシステムの一実施例を示す構成ブロック図である。
図1において6はクライアントであるコンピュータ、7はコンピュータ6に代わってサーバにサービスの提供を要求等するプロキシサーバ、8はサービスの提供等を行うサーバ、9は不正アクセスなどを検知する不正侵入検知手段、10は重複したログ情報を集約するログ情報集約手段、11はハードディスク等の記憶手段、101はインターネットやLAN等の汎用のネットワークである。
また、不正侵入検知手段9、ログ情報集約手段10及び記憶手段11は不正侵入検知装置51を構成している。
コンピュータ6はネットワーク101に相互に接続され、プロキシサーバ7及びサーバ8もまたネットワーク101に相互に接続される。また、不正侵入検知手段9はネットワーク101に相互に接続されると共にログ情報出力がログ情報集約手段10に接続され、ログ情報集約手段10の出力が記憶手段11に接続される。
ここで、図1に示す実施例の動作を図2、図3、図4及び図5を用いて説明する。図2は不正侵入検知手段9の動作を説明するフロー図、図3及び図4はパケット等の情報の流れを説明する説明図、図5はログ情報集約手段10の動作を説明するフロー図である。
図2中”S101”において不正侵入検知手段9は、ネットワーク101上を伝播する通信(パケット)を監視すると共に不正な通信(パケット)を受信したか否かを判断し、もし、不正な通信(パケット)を受信したと判断した場合には、図2中”S102”において不正侵入検知手段9は、不正な通信(パケット)に関する受信時刻、送信元IP(Internet Protocol)アドレス、送信先IP(Internet Protocol)アドレス等のログ情報をログ情報集約手段10に出力する。
例えば、不正侵入検知手段9は、図3中”PC21”に示すようなコンピュータ6からプロキシサーバ7への不正な通信(パケット)を図3中”CP21”に示すように受信したと判断した場合には、図3中”SL21”に示すような受信した不正な通信(パケット)の受信時刻、送信元IPアドレス、送信先IPアドレス等のログ情報をログ情報集約手段10に出力する。
また、例えば、不正侵入検知手段9は、図4中”PC31”に示すようなプロキシサーバ7からサーバ8への不正な通信(パケット)を図4中”CP31”に示すように受信したと判断した場合には、図4中”SL31”に示すような受信した不正な通信(パケット)の受信時刻、送信元IPアドレス、送信先IPアドレス等のログ情報をログ情報集約手段10に出力する。
一方、図5中”S201”においてログ情報集約手段10は、不正侵入検知手段9から入力されるログ情報を解析すると共に図5中”S202”においてログ情報集約手段10は、記録時刻が近接しているか否かを判断する。
例えば、ログ情報集約手段10は、ネットワークの負荷状況に応じて記録時刻が予め設定されている値である”n秒(nは任意の整数)”以内であれば2つのログ情報の記録時刻が近接していると判断する。
もし、図5中”S202”において記録時刻が近接していないと判断した場合には図5中”S207”のステップに進み、記録時刻が近接していると判断した場合には、図5中”S203”においてログ情報集約手段10は、2つのログ情報の送信元と送信先のノードが同一であるか否かを判断する。
この場合、プロキシサーバ7は複数のネットワーク・インターフェースを有することがあり、同一ノードであっても同一のIPアドレスとはならない可能性があるため、IPアドレスの比較ではなく、ノードが同一であるか否かで判断する。
もし、図5中”S203”において2つのログ情報の送信元と送信先のノードが同一ではないと判断した場合には図5中”S207”のステップに進み、2つのログ情報の送信元と送信先のノードが同一であると判断した場合には、図5中”S204”においてログ情報集約手段10は、通信プロトコルに基づきパケットの同一性を解析すると共に図5中”S205”においてログ情報集約手段10は、通信プロトコルに基づくパケット解析により内容的に同一の通信(同一パケット)であるか否かを判断する。
例えば、通信プロトコルがHTTP(HyperText Transfer Protocol)であればHTTPのヘッダの内容を比較して内容的に同一の通信(同一パケット)であるか否かを判断する。
そして、図5中”S205”において内容的に同一の通信(同一パケット)ではないと判断した場合には図5中”S207”のステップに進み、内容的に同一の通信(同一パケット)であると判断した場合には、図5中”S206”においてログ情報集約手段10は、当該2つのログ情報を1つのログ情報として統合する。
最後に、図5中”S207”においてログ情報集約手段10は、統合したログ情報或いは統合していないログ情報を記憶手段12に記録する。
例えば、図4中”SL32”に示すように統合したログ情報或いは統合していないログ情報を記憶手段12に記録する。
この結果、ログ情報集約手段10が、不正侵入検知手段9が収集したログ情報を解析して、2つのログ情報の記録時刻が近接し、2つのログ情報の送信元と送信先の同一ノードであり、且つ、同一パケットである場合に、当該2つのログ情報を統合して記憶手段11に記録することにより、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理することが可能になる。
また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
なお、図1に示す不正侵入検知装置51では説明の簡単のために、不正侵入検知手段10、ログ情報集約手段11及び記憶手段12とを別個に記述しているが、勿論、1つの処理手段として統合しても構わない。
また、図1に示すネットワークシステムでは説明の簡単のために、コンピュータ6、プロキシサーバ7及びサーバ8と、不正侵入検知装置51を例示しているが、勿論、コンピュータの台数やサーバの台数等は何らこれに限定されるものではない。
また、ネットワーク上の複数の地点において、複数の不正侵入検知手段で不正な通信に関するログ情報を収集した場合には、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまう。
図6はこのような状況を説明する構成ブロック図である。図6において12及び15はクライアントであるコンピュータ、13及び16はサービスの提供等を行うサーバ、14はネットワークとネットワークとを間に設けられ通信を中継するルータ、17及び18は不正アクセスなどを検知する不正侵入検知手段、19はハードディスク等の記憶手段、102及び103はインターネットやLAN等の汎用のネットワークである。
コンピュータ12及びサーバ13はそれぞれネットワーク102に相互に接続され、コンピュータ15及びサーバ16はそれぞれネットワーク103に相互に接続される。また、不正侵入検知手段17及び18がそれぞれネットワーク102及び103に相互に接続されると共にそれぞれのログ情報出力が記憶手段19に接続される。さらに、ネットワーク102とネットワーク103との間にルータ14が設置される。
ここで、図6に示す事例の動作を図7を用いて説明する。図7はパケット等の情報の流れを説明する説明図である。
図7中”PC41”に示すようにコンピュータ12からサーバ16への不正な通信(パケット)があった場合、不正侵入検知手段17は図7中”CP41”に示すように不正な通信(パケット)を検知し、不正侵入検知手段18は図7中”CP42”に示すように不正な通信(パケット)を検知する。
そして、不正侵入検知手段17及び18はそれぞれ図7中”SL41”及び”SL42”に示すように受信した不正な通信(パケット)の受信時刻、送信元IPアドレス、送信先IPアドレス等のログ情報を記憶手段19に記録する。
このような場合、単一のパケットの伝播であっても2つの不正侵入検知手段17及び18によってログ情報が重複して記録されてしまうことになる。
図8は本発明に係る不正侵入検知装置を用いたネットワークシステムの第2の実施例を示す構成ブロック図であり、このようなログ情報の重複記録を防止するものである。
図8において12,13,14,15,16,17,18,102及び103は図6と同一符号を付してあり、20重複したログ情報を集約するログ情報集約手段は、21はハードディスク等の記憶手段である。また、17,18,20及び21は不正侵入検知装置52を構成している。
コンピュータ12及びサーバ13はそれぞれネットワーク102に相互に接続され、コンピュータ15及びサーバ16はそれぞれネットワーク103に相互に接続される。また、不正侵入検知手段17及び18がそれぞれネットワーク102及び103に相互に接続されると共にそれぞれのログ情報出力がログ情報集約手段20に接続され、ログ情報集約手段20の出力が記憶手段21に接続される。さらに、ネットワーク102とネットワーク103との間にルータ14が設置される。
ここで、図8に示す第2の実施例の動作を図9、図10及び図11を用いて説明する。図9はログ情報集約手段20の動作を説明するフロー図、図10及び図11はパケット等の情報の流れを説明する説明図である。
図9中”S301”においてログ情報集約手段20は、不正侵入検知手段17及び18から入力されるログ情報を解析する。
図10中”PC51”に示すようにコンピュータ12からサーバ16への不正な通信(パケット)があった場合、不正侵入検知手段17は図10中”CP51”に示すように不正な通信(パケット)を検知し、不正侵入検知手段18は図10中”CP52”に示すように不正な通信(パケット)を検知する。
そして、図11中”SL61”及び”SL62”に示すように受信した不正な通信(パケット)の受信時刻、送信元IPアドレス、送信先IPアドレス等のログ情報が不正侵入検知手段17及び18からログ情報集約手段20に出力される。
図9中”S302”においてログ情報集約手段20は、不正侵入検知手段17及び18から出力されたログ情報の記録時刻が近接しているか否かを判断する。
例えば、ログ情報集約手段20は、ネットワークの負荷状況に応じて記録時刻が予め設定されている値である”n秒(nは任意の整数)”以内であれば2つのログ情報の記録時刻が近接していると判断する。
もし、図9中”S302”において記録時刻が近接していないと判断した場合には図9中”S306”のステップに進み、記録時刻が近接していると判断した場合には、図9中”S303”においてログ情報集約手段20は、2つのログ情報の送信元の情報が同一であるか否かを判断する。
例えば、送信元の情報は、ログ情報に記録されている送信元のIPアドレスや送信元のポート番号等であり、ログ情報集約手段20はこれらの情報を比較して同一であるか否かを判断する。
もし、図9中”S303”において送信元の情報が同一ではないと判断した場合には図9中”S306”のステップに進み、送信元の情報が同一であると判断した場合には、図9中”S304”においてログ情報集約手段20は、2つのログ情報の送信先の情報が同一であるか否かを判断する。
例えば、送信先の情報は、ログ情報に記録されている送信先のIPアドレスや送信先のポート番号等であり、ログ情報集約手段20はこれらの情報を比較して同一であるか否かを判断する。
もし、図9中”S304”において送信先の情報が同一ではないと判断した場合には図9中”S306”のステップに進み、送信先の情報が同一であると判断した場合には、図9中”S305”においてログ情報集約手段20は、当該2つのログ情報を1つのログ情報として統合する。
最後に、図9中”S306”においてログ情報集約手段20は、統合したログ情報或いは統合していないログ情報を記憶手段21に記録する。
例えば、図11中”SL63”に示すようにログ情報集約手段20は、統合したログ情報或いは統合していないログ情報を記憶手段21に記録する。
この結果、ログ情報集約手段20が、複数の不正侵入検知手段17及び18がそれぞれ収集したログ情報を解析して、2つのログ情報の記録時刻が近接し、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を統合して記憶手段21に記録することにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。
また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
ちなみに、図8に示す不正侵入検知装置52では説明の簡単のために、不正侵入検知手段17及び18、ログ情報集約手段20、記憶手段21とを別個に記述しているが、勿論、1つの処理手段として統合しても構わない。
また、図8に示すネットワークシステムでは説明の簡単のために、コンピュータ12及び15、サーバ13及び16、ルータ14と、不正侵入検知装置52を例示しているが、勿論、コンピュータの台数やサーバの台数等は何らこれに限定されるものではない。
本発明に係る不正侵入検知装置を用いたネットワークシステムの一実施例を示す構成ブロック図である。 不正侵入検知手段の動作を説明するフロー図である。 パケット等の情報の流れを説明する説明図である。 パケット等の情報の流れを説明する説明図である。 ログ情報集約手段の動作を説明するフロー図である。 状況を説明する構成ブロック図である。 パケット等の情報の流れを説明する説明図である。 本発明に係る不正侵入検知装置を用いたネットワークシステムの第2の実施例を示す構成ブロック図である。 ログ情報集約手段の動作を説明するフロー図である。 パケット等の情報の流れを説明する説明図である。 パケット等の情報の流れを説明する説明図である。 従来の不正侵入検知装置を用いたネットワークシステムの一例を示す構成ブロック図である。 不正侵入検知手段の動作を説明するフロー図である。 パケット等の情報の流れを説明する説明図である。 パケット等の情報の流れを説明する説明図である。
符号の説明
1,6,12,15 コンピュータ
2,7 プロキシサーバ
3,8,13,16 サーバ
4,9,17,18 不正侵入検知手段
5,11,19,21 記憶手段
10,20 ログ情報集約手段
14 ルータ
50,51,52 不正侵入検知装置
100,101,102,103 ネットワーク

Claims (8)

  1. 不正アクセスを検知する不正侵入検知装置において、
    ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、収集したログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元と送信先のノードが同一であり、且つ、同一パケットである場合に、当該2つのログ情報を統合して1つのログ情報として記録する処理手段
    を備えたことを特徴とする不正侵入検知装置。
  2. 前記処理手段が、
    ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集する不正侵入検知手段と、
    記録手段と、
    収集した前記ログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元と送信先のノードが同一であり、且つ、同一パケットである場合に、当該2つのログ情報を1つのログ情報として統合して前記記憶手段に記録するログ情報集約手段とから構成されたことを特徴とする
    請求項1記載の不正侵入検知装置。
  3. 前記不正侵入検知手段が、
    前記ネットワーク上を伝播する通信を監視すると共に不正な通信を受信したと判断した場合に、不正な通信に関するログ情報を前記ログ情報集約手段に出力することを特徴とする
    請求項2記載の不正侵入検知装置。
  4. 前記ログ情報集約手段が、
    前記不正侵入検知手段から入力されるログ情報を解析すると共に記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であるか否かを判断し、
    記録時刻がネットワークの負荷状況に応じて予め設定されている値以内でないと判断した場合には前記ログ情報を前記記憶手段に記録し、
    記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であると判断した場合には2つのログ情報の送信元と送信先のノードが同一であるか否かを判断し、
    2つのログ情報の送信元と送信先のノードが同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、
    2つのログ情報の送信元と送信先のノードが同一であると判断した場合には通信プロトコルに基づきパケットの同一性を解析すると共に通信プロトコルに基づくパケット解析により同一パケットであるか否かを判断し、
    同一パケットではないと判断した場合には前記ログ情報を前記記憶手段に記録し、
    同一パケットであると判断した場合には当該2つのログ情報を1つのログ情報として統合すると共に統合したログ情報を前記記憶手段に記録することを特徴とする
    請求項2記載の不正侵入検知装置。
  5. 不正アクセスを検知する不正侵入検知装置において、
    ネットワーク上を伝播する通信を複数の地点で監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、複数の地点で収集したログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を1つのログ情報として統合して記録する処理手段
    を備えたことを特徴とする不正侵入検知装置。
  6. 前記処理手段が、
    ネットワーク上を伝播する通信を複数の地点で監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集する複数の不正侵入検知手段と、
    記録手段と、
    複数の地点で収集した前記ログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を1つのログ情報として統合して前記記憶手段に記録するログ情報集約手段とから構成されたことを特徴とする
    請求項5記載の不正侵入検知装置。
  7. 前記複数の不正侵入検知手段が、
    前記ネットワーク上を伝播する通信を監視すると共に不正な通信を受信したと判断した場合に、不正な通信に関するログ情報を前記ログ情報集約手段に出力することを特徴とする
    請求項6記載の不正侵入検知装置。
  8. 前記ログ情報集約手段が、
    前記不正侵入検知手段から入力されるログ情報を解析すると共に記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であるか否かを判断し、
    記録時刻がネットワークの負荷状況に応じて予め設定されている値以内でないと判断した場合には前記ログ情報を前記記憶手段に記録し、
    記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であると判断した場合には2つのログ情報の送信元の情報が同一であるか否かを判断し、
    2つのログ情報の送信元の情報が同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、
    2つのログ情報の送信元の情報が同一であると判断した場合には2つのログ情報の送信先の情報が同一であるか否かを判断し、
    2つのログ情報の送信先の情報が同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、
    2つのログ情報の送信先の情報が同一であると判断した場合には当該2つのログ情報を1つのログ情報として統合すると共に統合したログ情報を前記記憶手段に記録することを特徴とする
    請求項6記載の不正侵入検知装置。
JP2005081124A 2004-08-10 2005-03-22 不正侵入検知装置 Expired - Fee Related JP4434053B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005081124A JP4434053B2 (ja) 2004-08-10 2005-03-22 不正侵入検知装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004232880 2004-08-10
JP2005081124A JP4434053B2 (ja) 2004-08-10 2005-03-22 不正侵入検知装置

Publications (2)

Publication Number Publication Date
JP2006079587A JP2006079587A (ja) 2006-03-23
JP4434053B2 true JP4434053B2 (ja) 2010-03-17

Family

ID=36158952

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005081124A Expired - Fee Related JP4434053B2 (ja) 2004-08-10 2005-03-22 不正侵入検知装置

Country Status (1)

Country Link
JP (1) JP4434053B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5339437B2 (ja) * 2009-03-25 2013-11-13 日本電気通信システム株式会社 シーケンス図作成装置、シーケンス図作成方法及びプログラム
JP5622233B2 (ja) * 2010-10-26 2014-11-12 学校法人近畿大学 パケット通信処理装置及びその制御方法並びにプログラム及び記録媒体
JP5792654B2 (ja) * 2012-02-15 2015-10-14 株式会社日立製作所 セキュリティ監視システムおよびセキュリティ監視方法

Also Published As

Publication number Publication date
JP2006079587A (ja) 2006-03-23

Similar Documents

Publication Publication Date Title
JP4667437B2 (ja) 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
CN100474819C (zh) 一种深度报文检测方法、网络设备及系统
US8295198B2 (en) Method for configuring ACLs on network device based on flow information
US10129270B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
EP1742416B1 (en) Method, computer readable medium and system for analyzing and management of application traffic on networks
US7509408B2 (en) System analysis apparatus and method
US8533819B2 (en) Method and apparatus for detecting compromised host computers
CN100356733C (zh) 记录介质、故障分析设备以及故障分析方法
US20170251004A1 (en) Method For Tracking Machines On A Network Using Multivariable Fingerprinting Of Passively Available Information
US20090222924A1 (en) Operating a network monitoring entity
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
KR20110089179A (ko) 네트워크 침입 방지
US20140149572A1 (en) Monitoring and diagnostics in computer networks
US20150071085A1 (en) Network gateway for real-time inspection of data frames and identification of abnormal network behavior
EP2053783A1 (en) Method and system for identifying VoIP traffic in networks
JP4434053B2 (ja) 不正侵入検知装置
US20160248652A1 (en) System and method for classifying and managing applications over compressed or encrypted traffic
KR20100024723A (ko) 정책기반 라우팅을 이용한 선택적인 인터넷 트래픽 분석 시스템 및 그 방법
WO2013189723A1 (en) Method and system for malware detection and mitigation
US20060067220A1 (en) Port tracking on dynamically negotiated ports
CN106817268B (zh) 一种ddos攻击的检测方法及系统
Rostami et al. Botnet evolution: Network traffic indicators
Rathore Threshold-based generic scheme for encrypted and tunneled Voice Flows Detection over IP Networks
Roquero et al. Performance evaluation of client-based traffic sniffing for very large populations
CN111727588A (zh) 用于网络中立性测试的系统和方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071012

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090831

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090917

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091208

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091221

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130108

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees