JP4479459B2 - パケット解析システム - Google Patents

パケット解析システム Download PDF

Info

Publication number
JP4479459B2
JP4479459B2 JP2004303857A JP2004303857A JP4479459B2 JP 4479459 B2 JP4479459 B2 JP 4479459B2 JP 2004303857 A JP2004303857 A JP 2004303857A JP 2004303857 A JP2004303857 A JP 2004303857A JP 4479459 B2 JP4479459 B2 JP 4479459B2
Authority
JP
Japan
Prior art keywords
packet
analysis system
network
types
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2004303857A
Other languages
English (en)
Other versions
JP2006121143A (ja
Inventor
俊輔 馬場
和也 鈴木
貴志 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2004303857A priority Critical patent/JP4479459B2/ja
Priority to US11/233,063 priority patent/US20060083180A1/en
Publication of JP2006121143A publication Critical patent/JP2006121143A/ja
Application granted granted Critical
Publication of JP4479459B2 publication Critical patent/JP4479459B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

本発明は、インターネット等のネットワークを伝播するパケットを捕捉して解析するパケット解析システムに関し、特に分離が困難であったアクセスのバリエーションを分離することが可能なパケット解析システムに関する。
従来のインターネット等のネットワークを伝播するパケットを捕捉して解析するパケット解析システムに関連する先行技術文献としては次のようなものがある。
特開2002−185539号公報 特開2003−204358号公報 特開2003−273936号公報
図24はこのような従来のパケット解析システムの一例を示す構成ブロック図である。図24において1はパケット解析システムの全体を管理するサーバ、2,3及び4は内部のネットワークとその外部のネットワークとの間に外部からの不正なアクセスを防ぐ目的で設置されるファイアウォール、5及び6はそれぞれ内部のネットワークに接続されるコンピュータ、100はインターネット等の外部のネットワーク、101はイントラネット等の内部のネットワークである。
サーバ1はネットワーク100に相互に接続され、ファイアウォール2,3及び4の外部ネットワーク接続用の接続端にはネットワーク100に相互に接続される。ファイアウォール2及び3の内部ネットワーク接続用の接続端にはコンピュータ5及び6がそれぞれ接続され、ファイアウォール4の内部ネットワーク接続用の接続端にはネットワーク101が接続される。
ここで、図24に示す従来例の動作を図25、図26、図27及び図28を用いて説明する。図25はパケット解析システムの全体を管理するサーバ1の動作を説明するフロー図、図26及び図27はパケット等の情報の流れを説明する説明図、図28はファイアウォールで取得されたパケットのログ情報のフォーマット及び解析レポートの一例を示す説明図である。
図25中”S001”においてサーバ1は、パケットログを解析するか否かを判断し、もし、パケットログを解析すると判断した場合には、図25中”S002”においてサーバ1は、ネットワーク100を介して各ファイアウォール2〜4から蓄積されているパケットのログ情報を収集する。
例えば、図26中”CD01”に示すようにサーバ1は、ネットワーク100を介してファイアウォール2からパケットのログ情報を収集し、図26中”CD02”及び”CD03”に示すようサーバ1は、ネットワーク100を介してファイアウォール3及び4からパケットのログ情報を収集する。
そして、図25中”S003”においてサーバ1は、収集したパケットのログ情報を解析すると共に図25中”S004”においてサーバ1は、解析結果をレポートとして作成すると共にコンピュータ等に送信する。
例えば、図27中”RP11”に示すようにサーバ1は、解析結果をレポートとして作成すると共にコンピュータ5に送信する。
収集したパケットのログ情報の解析方法としては、図28中”FW21”に示すような情報を有するファイアウォールのパケットのログ情報に基づき或る期間毎の統計を取ることにより、どのようなパケットが伝播してきているのかを判断する。
具体的には、各期間のパケットの宛先ポート毎にその個数を集計することにより、図28中”RP21”に示すようなレポートを得ることができる。例えば、図28中”TR21”に示すように”8/10”の”00:00〜00:59”の時刻の間には”TCP/135(TCP(Transmission Control Protocol:以下、単にTCPと呼ぶ。)のプロトコルでポート番号135)”宛に飛んできたパケットが”2125個”である等の情報を得ることができる。
この結果、内部のネットワークとその外部のネットワークとの間にファイアウォールを設置し、パケット解析システムの全体を管理するサーバで各ファイアウォールに蓄積されたパケットのログ情報を収集し解析することにより、ネットワークを伝播するパケットの解析を行うことが可能になる。
また、ファイアウォールのみだけではなくIDS(Intrusion Detection System:侵入検知システム:以下、単にIDSと呼ぶ。)のログ情報に基づきネットワークを伝播するパケットの解析を行っても構わない。
図29はIDSで取得されたパケットのログ情報のフォーマット及び解析レポートの一例を示す説明図である。
収集したパケットのログ情報の解析方法としては、図29中”ID31”に示すような情報を有するIDSのパケットのログ情報に基づき或る期間毎の統計を取ることにより、どのようなパケットが伝播してきているのかを判断する。
具体的には、各期間のIDSのイベント毎にその個数を集計することにより、図29中”RP31”に示すようなレポートを得ることができる。例えば、図29中”TR31”に示すように”8/10”の”00:00〜00:59”の時刻の間には”TCP/135(TCPのプロトコルでポート番号135)”にアクセスを試みたパケットが”1125個”である等の情報を得ることができる。
さらに、図30は解析レポートの他の一例を示す説明図であり、パケットのダンプからプロトコル/ポート番号毎にその個数を集計することにより、図30中”RP41”に示すようなレポートを得ることができる。例えば、図30中”TR41”に示すように”8/10”の”00:00〜00:59”の時刻の間には”UDP/1434(UDP(User Datagram Protocol:以下、単にUDPと呼ぶ。)のプロトコルでポート番号1434)”宛に飛んできたパケットが”1885個”である等の情報を得ることができる。
しかし、図24に示す従来例では、パケット毎の、或いは、IDSのイベント毎の統計を取ることができるものの、パケット同士の間連や、パケット送信者の意思の分類を行っていない。
このため、或るパケットが”ワーム(別のプログラムに感染しないで増殖するプログラム)A”によるものなのか、”ワームB”によるものなのか、或いは、ポートスキャンであるのか等はパケット同士の関連を知ることが重要であるものの従来のパケット解析システムではパケット同士の関連が分かりにくく、ワームの亜種が発生して従来のワームと混在した場合等には亜種の分離が困難であるといった問題点があった。
例えば、”TCP/445(TCPのプロトコルでポート番号445)”へのアクセスは以下に示すようなバリエーションがあり、それぞれ異なるワームであるものの分離が困難である。
(1)”ICMP(Internet Control Message Protocol:以下、単にICMPと呼ぶ。) Rcho Request”でサーバの存在を確認してから”TCP/445”にアクセス。
(2)”TCP/445"にだけアクセス。
(3)ネットワークをスキャンして”TCP/445”サービスを探す。
(4)”TCP139”にアクセスしてから”TCP/445”にアクセス。
(5)”TCP/2745”、”TCP/135”、”TCP/1025”、”TCP/445”、”TCP/3127”、”TCP6129”、”TCP139”、”TCP/80”の組み合わせでアクセス。
従って本発明が解決しようとする課題は、分離が困難であったアクセスのバリエーションを分離することが可能なパケット解析システムを実現することにある。
このような課題を達成するために、本発明のうち請求項1記載の発明は、
ネットワークを伝播するパケットを捕捉して解析するパケット解析システムにおいて、複数の場所に設置され伝播するパケットを捕捉し、捕捉した前記パケットの送信先ポート、タイプまたはこれらの一方若しくは両方の組み合わせによる分類を自動生成してパケット同士を互いに関連付けて分類する端末ノード型センサと、前記ネットワークを介して前記複数の端末ノード型センサから分類された情報を取得してシステムの全体的なレポートを生成するサーバとを備えたことにより、パケット同士を互いに関連付けて分類し解析することが可能になる。
請求項2記載の発明は、
ネットワークを伝播するパケットを捕捉して解析するパケット解析システムにおいて、複数の場所に設置され伝播するパケットを捕捉する端末ノード型センサと、前記ネットワークを介して前記複数の端末ノード型センサから取得した情報を統合して前記パケットのアクセスのバリエーションを分離するサーバとを備えたことにより、パケット同士を互いに関連付けて分類し解析することが可能になる。
請求項記載の発明は、
請求項1または2記載の発明であるパケット解析システムにおいて、
前記端末ノード型センサが、
前記ネットワークを伝播するパケットを捕捉する通信手段と、記憶手段と、捕捉した前記パケットを前記記憶手段に格納すると共に捕捉した前記パケットをパケット同士で互いに関連付けて分類し前記記憶手段に保存する演算制御手段とから構成されることにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項記載の発明は、
請求項1〜3のいずれかに記載の発明であるパケット解析システムにおいて、
前記端末ノード型センサ、若しくは、前記演算制御手段が、
捕捉した前記パケットを送信先ポート若しくはタイプの組み合わせにより分類することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項記載の発明は、
請求項記載の発明であるパケット解析システムにおいて、
前記演算制御手段が、
捕捉されたパケットの送信元IPアドレスを調べて既に同一の受信元IPアドレスに対応するオブジェクトが存在しない場合にパケット情報クラスのインスタンスの情報のリストを蓄積し最終的に分類情報を生成するオブジェクトを起動すると共にパケット情報をパケット情報インスタンスのリストに生成し、その時刻を記録し、順次捕捉されたパケットの送信元IPアドレスを調べて同一の受信元IPアドレスに対応するオブジェクトが存在している場合には、パケット情報をパケット情報インスタンスのリストに順次追加し、追加時刻を記録し、定期的な検査時刻毎に当該オブジェクトの生存条件を判断し、もし、生存条件を満足しない場合には、受信元IPアドレスと共にパケット情報インスタンスのリストに蓄積されたパケット情報を出力して分類情報を生成させることにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項記載の発明は、
請求項記載の発明であるパケット解析システムにおいて、
前記演算制御手段が、
パケット情報の前記パケット情報インスタンスのリストへの追加が一定時間行われない場合に生存条件を満足していないと判断することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項記載の発明は、
請求項記載の発明であるパケット解析システムにおいて、
前記演算制御手段が、
前記一定時間を可変にしたことにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項記載の発明は、
請求項1、2若しくは請求項3記載の発明であるパケット解析システムにおいて、
前記端末ノード型センサ、若しくは、前記演算制御手段が、
捕捉した前記パケットを前記パケットの伝播の仕方の違いにより分類することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項記載の発明は、
請求項記載の発明であるパケット解析システムにおいて、
前記演算制御手段が、
送信元ポート番号の種類数と送信先ポート番号の種類数とが同じであり、尚且つ、送信先ネットワークのアドレスの種類数と送信先ホストのアドレス種類数とが同じである場合にタイプ”Normal”に分類することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項10記載の発明は、
請求項記載の発明であるパケット解析システムにおいて、
前記演算制御手段が、
送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも多く、尚且つ、送信先ネットワークのアドレスの種類数と送信先ホストのアドレス種類数とが同じである場合にタイプ”Port_Scan”に分類することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項11記載の発明は、
請求項記載の発明であるパケット解析システムにおいて、
前記演算制御手段が、
送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも少なく、尚且つ、送信先ネットワークのアドレスの種類数と送信先ホストのアドレス種類数とが同じである場合にタイプ”Port_Scan2”に分類することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項12記載の発明は、
請求項記載の発明であるパケット解析システムにおいて、
前記演算制御手段が、
送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも多く、尚且つ、送信先ネットワークのアドレスの種類数の方が送信先ホストのアドレス種類数よりも少ない場合にタイプ”Network_Scan”に分類することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項13記載の発明は、
請求項記載の発明であるパケット解析システムにおいて、
前記演算制御手段が、
送信元ポート番号の種類数と送信先ポート番号の種類数と同じであり、尚且つ、送信先ネットワークのアドレスの種類数の方が送信先ホストのアドレス種類数よりも少ない場合にタイプ”Network_Scan2”に分類することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項14記載の発明は、
請求項記載の発明であるパケット解析システムにおいて、
前記演算制御手段が、
送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも少なく、尚且つ、送信先ネットワークのアドレスの種類数の方が送信先ホストのアドレス種類数よりも少ない場合にタイプ”Network_Scan3”に分類することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項15記載の発明は、
請求項1〜14のいずれかに記載の発明であるパケット解析システムにおいて、
前記サーバが、
前記レポートを作成すると判断した場合に前記ネットワークを介して前記複数の端末ノード型センサから保存されている分類情報を取得し、取得した分類情報を統合して前記レポートを作成すると共に記憶手段に保存することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項16記載の発明は、
請求項1〜14のいずれかに記載の発明であるパケット解析システムにおいて、
前記サーバが、
前記レポートを作成すると判断した場合に前記ネットワークを介して前記複数の端末ノード型センサの一から保存されている分類情報を取得し、取得した分類情報を統合して前記レポートを作成すると共に記憶手段に保存することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項17記載の発明は、
請求項1〜14のいずれかに記載の発明であるパケット解析システムにおいて、
前記サーバが、
前記レポートを作成すると判断した場合に前記ネットワークを介して前記複数の端末ノード型センサの内選択された任意の端末ノード型センサから保存されている分類情報を取得し、取得した分類情報を統合して前記レポートを作成すると共に記憶手段に保存することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
請求項18記載の発明は、
請求項15乃至請求項17のいずれかに記載の発明であるパケット解析システムにおいて、
前記サーバが、
前記レポートのフォーマットとして、日付、時刻、ミリ秒、送信元IPアドレス、国コード”、プロトコル、前記パケットの伝播の仕方の違いによる分類及び前記パケットを送信先ポート若しくはタイプの組み合わせによる分類を順次記述することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
本発明によれば次のような効果がある。
請求項1,2,3,4,5,6,7,8,9,10,11,12、13及び請求項14の発明によれば、コンピュータと接続され、或いは、単独で複数の場所に設置される端末ノード型センサが、ネットワークを伝播するパケットを捕捉してポート毎(或いは、タイプ毎)に分類及び伝播の仕方の違いによる分類することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
また、請求項15,16,17及び請求項18の発明によれば、サーバが各端末ノード型センサで分類された情報を統合して全体的なレポート(ログファイル)を作成することにより、分離が困難であったアクセスのバリエーションを分離することが可能になる。
以下本発明を図面を用いて詳細に説明する。図1は本発明に係るパケット解析システムの一実施例を示す構成ブロック図である。
図1において7はパケット解析システムの全体的なレポート(ログファイル)を生成するサーバ、8及び9はコンピュータ、10,11及び12はコンピュータと接続され、或いは、単独で複数の場所に設置され伝播するパケットを捕捉してパケット同士を互いに関連付けて分類する端末ノード型センサ、102はインターネット等の汎用のネットワークである。
サーバ7はネットワーク102に相互に接続され、端末ノード型センサ10,11及び12もまたネットワーク102に相互に接続される。端末ノード型センサ10及び11の端子にはコンピュータ8及び9がそれぞれ接続される。
また、図2は端末ノード型センサ10〜12の具体例を示す構成ブロック図である。図2において13はネットワーク102(図示せず。)を介して伝播するパケットを捕捉等する通信手段、14はCPU(Central Processing Unit)等の演算制御手段、15は端子に接続されるコンピュータ等の機器との間でパケットのやり取りを行なう入出力手段、16は端末ノード型センサ自体を制御するプログラムや捕捉したパケット及びそれを分類した情報等が格納される記憶手段である。また、13,14,15及び16は端末ノード型センサ50を構成している。
ここで、図1及び図2に示す実施例の動作、特に端末ノード型センサの動作を図3,図4,図5,図6,図7,図8,図9,図10,図11及び図12を用いて説明する。
図3及び図6は端末ノード型センサの動作を説明するフロー図、図4及び図5はパケット等の情報の流れを説明する説明図、図7は送信先ポート(正確には、TCP及びUDPでは送信元IPアドレスと送信先ポート番号に着目、ICMPでは送信元IPアドレスとICMPタイプに着目している)の組み合わせによる分類方法を説明する説明図、図8は捕捉された生のパケットログの一例を示す表、図9は送信先ポート(正確には、TCP及びUDPでは送信元IPアドレスと送信先ポート番号に着目、ICMPでは送信元IPアドレスとICMPタイプに着目している)の組み合わせにより分類した情報の一例を示す表、図10はパケットの伝播の仕方の違いにより分類されるタイプの定義を説明する表、図11はパケットの伝播の仕方の違いによる分類方法のパラメータと判定条件を説明する表、図12はパケットの伝播の仕方の違いにより分類した情報の一例を示す表である。
図3中”S101”において端末ノード型センサ、具体的には演算制御手段14は、定常状態において通信手段13を介してネットワーク102を伝播してきたパケットを受信(捕捉)したか否かを判断し、もし、パケットを受信(捕捉)したと判断した場合には、図3中”S102”において端末ノード型センサ、具体的には演算制御手段14は、受信(捕捉)したパケットを記憶手段16に格納する。また、演算制御手段14は必要に応じて受信(捕捉)したパケットを入出力手段15を介して後段の機器に転送する。
例えば、端末ノード型センサ10(具体的には演算制御手段14)は、図4中”CP51”に示すように通信手段13を介してネットワーク102を伝播してきたパケットを受信(捕捉)した場合には図4中”ST51”に示すように受信(捕捉)したパケットを記憶手段16に格納する。
例えば、同様に、端末ノード型センサ11及び12(具体的には演算制御手段14)は、図5中”CP61”及び”CP62”に示すように通信手段13を介してネットワーク102を伝播してきたパケットを受信(捕捉)した場合には図5中”ST61”及び”ST62”に示すように受信(捕捉)したパケットをそれぞれの記憶手段16に格納する。
一方、図6中”S201”において端末ノード型センサ、具体的には演算制御手段14は、受信(捕捉)したパケットを記憶手段16から読み出すと共に図6中”S202”においてポート毎、或いは、タイプ毎に分類する。
具体的には、演算制御手段14において、受信(捕捉)されたパケットの送信元IPアドレスを調べて既に同一の受信元IPアドレスに対応するオブジェクトが存在しない場合には、図7中(a)に示すようにパケット情報クラスのインスタンスの情報のリストを蓄積し最終的に分類情報を生成するオブジェクトが起動される。この時、”パケット情報1"がパケット情報インスタンスのリストに生成され、その時刻が”TIME_FIRST”に記録される。
そして、演算制御手段14は、順次受信(捕捉)されたパケットの送信元IPアドレスを調べて同一の受信元IPアドレスに対応するオブジェクトが存在している場合には、図7中(b)に示すように”パケット情報2"等がパケット情報インスタンスのリストに順次追加され、追加時刻が”TIME_LAST”に記録される。
最後に、定期的な検査時刻毎に当該オブジェクトの生存条件を判断し、もし、生存条件を満足しない場合には、受信元IPアドレスと共にパケット情報インスタンスのリストに蓄積された”パケット情報1”〜”パケット情報N”を出力して分類情報を生成する。
前述の生存条件としては、検査間隔”L=10秒”とした場合、「検査時刻と”TIME_LAST”の差が”N=30秒”未満」且つ「検査時刻と”TIME_FIRST”との差が”M=60秒”未満」としている。
例えば、図8中”LG71”に示すような受信(捕捉)された生のパケットログを上述の方法で分類することにより、図9中”RP81”に示すような情報が得られる。すなわち、自動生成されたイベント名部分には、受信元IPアドレス毎にアクセスのあったポート番号毎、或いは、タイプ毎に分類されアクセス順に時系列に列挙される。
また、図6中”S203”において端末ノード型センサ、具体的には演算制御手段14は、受信(捕捉)したパケットの伝播の仕方の違いによる分類を行い、図6中”S204”において端末ノード型センサ、具体的には演算制御手段14は、それぞれ分類された情報を記憶手段16に保存する。
例えば、図10中”DF91”に示すように受信(捕捉)したパケットの伝播の仕方の違いにより、”Normal”、”Port_Scan”、”Port_Scan2”、Network_Scan”、”Network_Scan2”及び”Network_Scan3”の6つのタイプに分類する。
また、図11中”PR101”は分類の際のパラメータであり、図11中”CD101”は判定条件である。
具体的には、このような、受信(捕捉)したパケットの伝播の仕方の違いにより分類した情報は図12中”RP111”のようになる。
例えば、図12中”PK111”は、図11中”CD101”の判定条件から送信元ポート番号の種類数(1個:ポート番号3145)と送信先ポート番号の種類数(1個:ポート番号445)とが同じ(SRC=DST)であり、尚且つ、送信先ネットワークのアドレスの種類数(1個:aaa.bbb.ccc)と送信先ホストのアドレス種類数(1個:aaa.bbb.ccc.ddd)とが同じ(N=H)であるのでタイプ”Normal”に分類されることになる。
例えば、同様に、図12中”PK112”は、図11中”CD101”の判定条件から送信元ポート番号の種類数(5個:ポート番号62304,62769,63037,60225,60785)の方が送信先ポート番号の種類数(2個:ポート番号135,445)よりも多く(SRC>DST)、尚且つ、送信先ネットワークのアドレスの種類数(1個:aaa.bbb.ccc)と送信先ホストのアドレス種類数(1個:aaa.bbb.ccc.ddd)とが同じ(N=H)であるのでタイプ”Port_Scan”に分類されることになる。
例えば、同様に、図12中”PK113”は、図11中”CD101”の判定条件から送信元ポート番号の種類数(1個:ポート番号63644)の方が送信先ポート番号の種類数(2個:ポート番号135,445)よりも少なく(SRC<DST)、尚且つ、送信先ネットワークのアドレスの種類数(1個:aaa.bbb.ccc)と送信先ホストのアドレス種類数(1個:aaa.bbb.ccc.ddd)とが同じ(N=H)であるのでタイプ”Port_Scan2”に分類されることになる。
例えば、同様に、図12中”PK114”は、図11中”CD101”の判定条件から送信元ポート番号の種類数(4個:ポート番号3594,3596,3597,3598)の方が送信先ポート番号の種類数(1個:ポート番号445)よりも多く(SRC>DST)、尚且つ、送信先ネットワークのアドレスの種類数(1個:aaa.bbb.ccc)の方が送信先ホストのアドレス種類数(4個:aaa.bbb.ccc.80〜aaa.bbb.ccc.83)よりも少ない(N<H)のでタイプ”Network_Scan”に分類されることになる。
例えば、同様に、図12中”PK115”は、図11中”CD101”の判定条件から送信元ポート番号の種類数(3個:ポート番号4230,1640,2117)と送信先ポート番号の種類数(3個:ポート番号1023,445、9898)と同じ(SRC=DST)であり、尚且つ、送信先ネットワークのアドレスの種類数(1個:aaa.bbb.ccc)の方が送信先ホストのアドレス種類数(3個:aaa.bbb.ccc.80〜aaa.bbb.ccc.82)よりも少ない(N<H)のでタイプ”Network_Scan2”に分類されることになる。
例えば、同様に、図12中”PK116”は、図11中”CD101”の判定条件から送信元ポート番号の種類数(1個:ポート番号22022)の方が送信先ポート番号の種類数(2個:ポート番号3127,1080)よりも少なく(SRC<DST)、尚且つ、送信先ネットワークのアドレスの種類数(1個:aaa.bbb.ccc)の方が送信先ホストのアドレス種類数(2個:aaa.bbb.ccc.91,aaa.bbb.ccc.93)よりも少ない(N<H)のでタイプ”Network_Scan3”に分類されることになる。
この結果、コンピュータと接続され、或いは、単独で複数の場所に設置される端末ノード型センサが、ネットワークを伝播するパケットを捕捉してポート毎(或いは、タイプ毎)に分類及び伝播の仕方の違いによる分類することにより、パケット同士を互いに関連付けて分類し解析することが可能になり、分離が困難であったアクセスのバリエーションを分離することが可能になる。
また、ネットワークを伝播するパケットを捕捉してポート毎(或いは、タイプ毎)に分類する場合に、オブジェクトにより分類処理をパイプライン的に行われているので、リアルタイム性が高い。
また、ここで、図1及び図2に示す実施例の動作、特にサーバ7の動作を図13,図14,図15,図16,図17,図18,図19,図20,図21,図22及び図23を用いて説明する。
図13はサーバ7の動作を説明するフロー図、図14は情報の流れを説明する説明図、図15は全体的なレポート(ログファイル)のフォーマット等を説明する説明図、図16は全体的なレポート(ログファイル)の具体例を示す説明図、図17は分離可能なバリエーションを説明する説明図、図18は”TCP/445”へのアクセス推移を示す説明図、図19は”ICMP Echo Request”の推移を示す説明図、図20は”ICMP Echo Request”後に”TCP/445”へのみアクセスするものの推移を示す説明図、図21は”TCP/135”と”TCP/445”のみをセットでアクセスするものの推移を示す説明図、図22は”TCP/135”、”TCP/445”、”TCP/1025”のみをセットでアクセスするものの推移を示す説明図、図23は”TCP/2745”、”TCP/135”、”TCP/1025”、”TCP/445”、”TCP/3127”、”TCP/6192”、”TCP/139”及び”TCP/80”のみをセットでアクセスするものの推移を示す説明図である。
図13中”S301”においてサーバ7は、全体的なレポート(ログファイル)を生成するか否かを判断し、もし、全体的なレポート(ログファイル)を作成すると判断した場合には、図13中”S302”においてネットワーク102を介して各端末ノード型センサから保存されている分類情報(ポート毎(或いは、タイプ毎)に分類及び伝播の仕方の違いによる分類)を取得する。
例えば、図14中”CR121”、”CR122”及び”CR123”に示すように端末ノード型センサ10,11及び12から各々で保存されている分類情報(ポート毎、或いは、タイプ毎)に分類及び伝播の仕方の違いによる分類)を収集する。
図13中”S303”においてサーバ7は、各端末ノード型センサから取得した分類情報を統合等して全体的なレポート(ログファイル)を作成すると共に図13中”S304”において作成した全体的なレポート(ログファイル)を記憶手段(図示せず。)に保存する。
例えば、全体的なレポート(ログファイル)のフォーマットとしては、図15中”FM131”に示すように”日付”、”時刻”、”ミリ秒”、"送信元IPアドレス"、”国コード”、”プロトコル(順番)”、”タイプ”及び”イベント名”を順次記述する。
より具体的には、図15中”DS131”に示すように、”日付”、”時刻”及び”ミリ秒”としては”2004-06−21,00:00:07,868”、"送信元IPアドレス"としては”133.140.40.41”、”国コード”としては”JP”、”プロトコル(順番)"としては”IU”,”US”或いは”IUS”、”タイプ”としては”Network_Scan”、”イベント名”としては”TCP/2745、TCP/135、TCP1025、TCP445”等のように記述される。
このように、全体的なレポート(ログファイル)の具体例としては図16中”PR141”に示すようになる。
図16中”PR141”に示すような全体的なレポート(ログファイル)の具体例において、”TCP/445にアクセスするパケットを、ワームやスキャン毎に分離”した場合、従来例で問題となっていた図17中”AN151”に示すようなアクセスのバリエーションを分離することが可能になる。
すなわち、「(1)”ICMP(Internet Control Message Protocol:以下、単にICMPと呼ぶ。) Rcho Request”でサーバの存在を確認してから”TCP/445”にアクセス」は図16中”PR141”中第6行該当する。
同様に、「(2)”TCP/445"にだけアクセス」は図16中”PR141”中第1行,第5行,第7行該当する。
同様に、「(3)ネットワークをスキャンして”TCP/445”サービスを探す」は図16中”PR141”中第4行該当する。
同様に、「(4)”TCP139”にアクセスしてから”TCP/445”にアクセス」は図16中”PR141”中第8行該当する。
同様に、「(5)”TCP/2745”、”TCP/135”、”TCP/1025”、”TCP/445”、”TCP/3127”、”TCP6129”、”TCP139”、”TCP/80”の組み合わせでアクセス」は図16中”PR141”中第9行該当する。
この結果、サーバ7が各端末ノード型センサで分類された情報を統合して全体的なレポート(ログファイル)を作成することにより、従来では分離が困難であったアクセスのバリエーションを分離することが可能になる。
最後に、図18中”DS161”に示す”TCP/445”へのアクセス推移を示す説明図では、図18中”PT161”に示す時刻にアクセスのピークが認められるものの、あくまで、”TCP/445”へアクセスする全てのパケットが対象となるためアクセスのバリエーションを分離することは困難である。
また、図19中”DS171”に示す”ICMP Echo Request”の推移を示す説明図では、図19中”PT171”に示す時刻から”ICMP Echo Request”が頻繁に発生していることが認められるものの、アクセスのバリエーションを分離することは困難である。
これに対して、図20中”DS181”に示す”ICMP Echo Request”後に”TCP/445”へのみアクセスするものの推移を示す説明図では、明らかに図20中”RG181”に示す時刻領域に”ICMP Echo Request”後に”TCP/445”へのみアクセスするものが集中している。
同様に、図21中”DS191”に示す”TCP/135”と”TCP/445”のみをセットでアクセスするものの推移を示す説明図では、ほぼまんべんなく”TCP/135”と”TCP/445”のみをセットでアクセスするものが認められる。
同様に、図22中”DS201”に示す”TCP/135”、”TCP/445”、”TCP/1025”のみをセットでアクセスするものの推移を示す説明図では、明らかに図22中”RG201”に示す時刻領域に”TCP/135”、”TCP/445”、”TCP/1025”のみをセットでアクセスするものが集中している。
最後に、図23中”DS211”に示す”TCP/2745”、”TCP/135”、”TCP/1025”、”TCP/445”、”TCP/3127”、”TCP/6192”、”TCP/139”及び”TCP/80”のみをセットでアクセスするものの推移を示す説明図では、図22中”PT211”に示す時刻に”TCP/2745”、”TCP/135”、”TCP/1025”、”TCP/445”、”TCP/3127”、”TCP/6192”、”TCP/139”及び”TCP/80”のみをセットでアクセスするものピークが認められ全体的にほぼまんべんなくアクセスが認められる。
なお、図1等に示す実施例においては、説明の簡単のためポート毎(或いは、タイプ毎)に分類に際して、生存条件を、「検査時刻と”TIME_LAST”の差が”N=30秒”未満」且つ「検査時刻と”TIME_FIRST”との差が”M=60秒”未満」としたが、生存条件の間隔を固定ではなく可変にしても構わない。
また、サーバ7では各端末ノード型センサで分類された情報を統合して全体的なレポート(ログファイル)を作成しているが、勿論、個別の端末ノード型センサ毎にレポート(ログファイル)を作成しても構わないし、選択された任意の端末ノード型センサで分類された情報を統合してレポート(ログファイル)を作成しても構わない。
この場合には、パケット解析システム全体のレポート(ログファイル)のみだけではない、個々の端末ノード型センサ毎や選択された任意の端末ノード型センサで分類された情報を統合してレポート(ログファイル)が得られるので、パケット解析システムの部分的な領域における解析が容易になる。
また、図1等に示す実施例においてはパケットの伝播の仕方の違いにより、パケットを分類しているので、新種の攻撃や新種のワームであってもパケットを分離することが可能になる。言い換えれば、アノーマリ検出型の不正侵入検知装置として使用することが可能である。
また、図1等に示す実施例では、ポート毎(或いは、タイプ毎)に分類及び伝播の仕方の違いによる分類をそれぞれ同時に行う端末ノード型センサを例示しているが、ポート毎(或いは、タイプ毎)に分類、或いは、伝播の仕方の違いによる分類のどちらか一方の分類を行う端末ノード型センサであっても勿論構わない。
また、図2に示す具体例では、端末ノード型センサの構成要素として、接続されるコンピュータ等の機器との間でパケットのやり取りを行なう入出力手段15を例示しているが、勿論、単独に設置、或いは、コンピュータ等の機器と並列に設置される場合等に当該入出力手段15は不要であり、パケット解析システムの必須の構成要素ではない。また、コンピュータ自身もパケット解析システムの必須の構成要素ではない。
本発明に係るパケット解析システムの一実施例を示す構成ブロック図である。 端末ノード型センサの具体例を示す構成ブロック図である。 端末ノード型センサの動作を説明するフロー図である。 パケット等の情報の流れを説明する説明図である。 パケット等の情報の流れを説明する説明図である。 端末ノード型センサの動作を説明するフロー図である。 送信先ポートの組み合わせによる分類方法を説明する説明図である。 捕捉された生のパケットログの一例を示す表である。 送信先ポートの組み合わせにより分類した情報の一例を示す表である。 パケットの伝播の仕方の違いにより分類されるタイプの定義を説明する表である。 パケットの伝播の仕方の違いによる分類方法のパラメータと判定条件を説明する表である。 パケットの伝播の仕方の違いにより分類した情報の一例を示す表である。 サーバの動作を説明するフロー図である。 情報の流れを説明する説明図である。 全体的なレポート(ログファイル)のフォーマット等を説明する説明図である。 全体的なレポート(ログファイル)の具体例を示す説明図である。 分離可能なバリエーションを説明する説明図である。 ”TCP/445”へのアクセス推移を示す説明図である。 ”ICMP Echo Request”の推移を示す説明図である。 ”ICMP Echo Request”後に”TCP/445”へのみアクセスするものの推移を示す説明図である。 ”TCP/135”と”TCP/445”のみをセットでアクセスするものの推移を示す説明図である。 ”TCP/135”、”TCP/445”、”TCP/1025”のみをセットでアクセスするものの推移を示す説明図である。 ”TCP/2745”、”TCP/135”、”TCP/1025”、”TCP/445”、”TCP/3127”、”TCP/6192”、”TCP/139”及び”TCP/80”のみをセットでアクセスするものの推移を示す説明図である。 従来のパケット解析システムの一例を示す構成ブロック図である。 パケット解析システムの全体を管理するサーバの動作を説明するフロー図である。 パケット等の情報の流れを説明する説明図である。 パケット等の情報の流れを説明する説明図である。 ファイアウォールで取得されたパケットのログ情報のフォーマット及び解析レポートの一例を示す説明図である。 IDSで取得されたパケットのログ情報のフォーマット及び解析レポートの一例を示す説明図である。 解析レポートの他の一例を示す説明図である。
符号の説明
1,7 サーバ
2,3,4 ファイアウォール
5,6,8,9 コンピュータ
10,11,12,50 端末ノード型センサ
13 通信手段
14 演算制御手段
15 入出力手段
16 記憶手段
100,101,102 ネットワーク

Claims (18)

  1. ネットワークを伝播するパケットを捕捉して解析するパケット解析システムにおいて、
    複数の場所に設置され伝播するパケットを捕捉し、捕捉した前記パケットの送信先ポート、タイプまたはこれらの一方若しくは両方の組み合わせによる分類を自動生成してパケット同士を互いに関連付けて分類する端末ノード型センサと、
    前記ネットワークを介して前記複数の端末ノード型センサから分類された情報を取得してシステムの全体的なレポートを生成するサーバと
    を備えたことを特徴とするパケット解析システム。
  2. ネットワークを伝播するパケットを捕捉して解析するパケット解析システムにおいて、
    複数の場所に設置され伝播するパケットを捕捉する端末ノード型センサと、
    前記ネットワークを介して前記複数の端末ノード型センサから取得した情報を統合して前記パケットのアクセスのバリエーションを分離するサーバと
    を備えたことを特徴とするパケット解析システム。
  3. 前記端末ノード型センサが、
    前記ネットワークを伝播するパケットを捕捉する通信手段と、
    記憶手段と、
    捕捉した前記パケットを前記記憶手段に格納すると共に捕捉した前記パケットをパケット同士で互いに関連付けて分類し前記記憶手段に保存する演算制御手段とから構成されることを特徴とする
    請求項1または2のいずれかに記載のパケット解析システム。
  4. 前記端末ノード型センサ、若しくは、前記演算制御手段が、
    捕捉した前記パケットを送信先ポート若しくはタイプの組み合わせにより分類することを特徴とする
    請求項1〜3のいずれかに記載のパケット解析システム。
  5. 前記演算制御手段が、
    捕捉されたパケットの送信元IPアドレスを調べて既に同一の受信元IPアドレスに対応するオブジェクトが存在しない場合にパケット情報クラスのインスタンスの情報のリストを蓄積し最終的に分類情報を生成するオブジェクトを起動すると共にパケット情報をパケット情報インスタンスのリストに生成し、その時刻を記録し、
    順次捕捉されたパケットの送信元IPアドレスを調べて同一の受信元IPアドレスに対応するオブジェクトが存在している場合には、パケット情報をパケット情報インスタンスのリストに順次追加し、追加時刻を記録し、
    定期的な検査時刻毎に当該オブジェクトの生存条件を判断し、もし、生存条件を満足しない場合には、受信元IPアドレスと共にパケット情報インスタンスのリストに蓄積されたパケット情報を出力して分類情報を生成させることを特徴とする
    請求項4記載のパケット解析システム。
  6. 前記演算制御手段が、
    パケット情報の前記パケット情報インスタンスのリストへの追加が一定時間行われない場合に生存条件を満足していないと判断することを特徴とする
    請求項5記載のパケット解析システム。
  7. 前記演算制御手段が、
    前記一定時間を可変にしたことを特徴とする
    請求項6記載のパケット解析システム。
  8. 前記端末ノード型センサ、若しくは、前記演算制御手段が、
    捕捉した前記パケットを前記パケットの伝播の仕方の違いにより分類することを特徴とする
    請求項1、2若しくは請求項3記載のパケット解析システム。
  9. 前記演算制御手段が、
    送信元ポート番号の種類数と送信先ポート番号の種類数とが同じであり、尚且つ、送信先ネットワークのアドレスの種類数と送信先ホストのアドレス種類数とが同じである場合にタイプ”Normal”に分類することを特徴とする
    請求項8記載のパケット解析システム。
  10. 前記演算制御手段が、
    送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも多く、尚且つ、送信先ネットワークのアドレスの種類数と送信先ホストのアドレス種類数とが同じである場合にタイプ”Port_Scan”に分類することを特徴とする
    請求項8記載のパケット解析システム。
  11. 前記演算制御手段が、
    送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも少なく、尚且つ、送信先ネットワークのアドレスの種類数と送信先ホストのアドレス種類数とが同じである場合にタイプ”Port_Scan2”に分類することを特徴とする
    請求項8記載のパケット解析システム。
  12. 前記演算制御手段が、
    送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも多く、尚且つ、送信先ネットワークのアドレスの種類数の方が送信先ホストのアドレス種類数よりも少ない場合にタイプ”Network_Scan”に分類することを特徴とする
    請求項8記載のパケット解析システム。
  13. 前記演算制御手段が、
    送信元ポート番号の種類数と送信先ポート番号の種類数と同じであり、尚且つ、送信先ネットワークのアドレスの種類数の方が送信先ホストのアドレス種類数よりも少ない場合にタイプ”Network_Scan2”に分類することを特徴とする
    請求項8記載のパケット解析システム。
  14. 前記演算制御手段が、
    送信元ポート番号の種類数の方が送信先ポート番号の種類数よりも少なく、尚且つ、送信先ネットワークのアドレスの種類数の方が送信先ホストのアドレス種類数よりも少ない場合にタイプ”Network_Scan3”に分類することを特徴とする
    請求項8記載のパケット解析システム。
  15. 前記サーバが、
    前記レポートを作成すると判断した場合に前記ネットワークを介して前記複数の端末ノード型センサから保存されている分類情報を取得し、
    取得した分類情報を統合して前記レポートを作成すると共に記憶手段に保存することを特徴とする
    請求項1〜14のいずれかに記載のパケット解析システム。
  16. 前記サーバが、
    前記レポートを作成すると判断した場合に前記ネットワークを介して前記複数の端末ノード型センサの一から保存されている分類情報を取得し、
    取得した分類情報を統合して前記レポートを作成すると共に記憶手段に保存することを特徴とする
    請求項1〜14のいずれかに記載のパケット解析システム。
  17. 前記サーバが、
    前記レポートを作成すると判断した場合に前記ネットワークを介して前記複数の端末ノード型センサの内選択された任意の端末ノード型センサから保存されている分類情報を取得し、
    取得した分類情報を統合して前記レポートを作成すると共に記憶手段に保存することを特徴とする
    請求項1〜14のいずれかに記載のパケット解析システム。
  18. 前記サーバが、
    前記レポートのフォーマットとして、日付、時刻、ミリ秒、送信元IPアドレス、国コード”、プロトコル、前記パケットの伝播の仕方の違いによる分類及び前記パケットを送信先ポート若しくはタイプの組み合わせによる分類を順次記述することを特徴とする
    請求項15〜17のいずれかに記載のパケット解析システム。
JP2004303857A 2004-10-19 2004-10-19 パケット解析システム Expired - Lifetime JP4479459B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004303857A JP4479459B2 (ja) 2004-10-19 2004-10-19 パケット解析システム
US11/233,063 US20060083180A1 (en) 2004-10-19 2005-09-23 Packet analysis system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004303857A JP4479459B2 (ja) 2004-10-19 2004-10-19 パケット解析システム

Publications (2)

Publication Number Publication Date
JP2006121143A JP2006121143A (ja) 2006-05-11
JP4479459B2 true JP4479459B2 (ja) 2010-06-09

Family

ID=36180652

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004303857A Expired - Lifetime JP4479459B2 (ja) 2004-10-19 2004-10-19 パケット解析システム

Country Status (2)

Country Link
US (1) US20060083180A1 (ja)
JP (1) JP4479459B2 (ja)

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7984175B2 (en) 2003-12-10 2011-07-19 Mcafee, Inc. Method and apparatus for data capture and analysis system
US8656039B2 (en) 2003-12-10 2014-02-18 Mcafee, Inc. Rule parser
US7814327B2 (en) 2003-12-10 2010-10-12 Mcafee, Inc. Document registration
US7774604B2 (en) * 2003-12-10 2010-08-10 Mcafee, Inc. Verifying captured objects before presentation
US7899828B2 (en) * 2003-12-10 2011-03-01 Mcafee, Inc. Tag data structure for maintaining relational data over captured objects
US8548170B2 (en) 2003-12-10 2013-10-01 Mcafee, Inc. Document de-registration
US20050131876A1 (en) * 2003-12-10 2005-06-16 Ahuja Ratinder Paul S. Graphical user interface for capture system
US7930540B2 (en) * 2004-01-22 2011-04-19 Mcafee, Inc. Cryptographic policy enforcement
US7962591B2 (en) * 2004-06-23 2011-06-14 Mcafee, Inc. Object classification in a capture system
US8560534B2 (en) * 2004-08-23 2013-10-15 Mcafee, Inc. Database for a capture system
US7949849B2 (en) * 2004-08-24 2011-05-24 Mcafee, Inc. File system for a capture system
US20100195538A1 (en) * 2009-02-04 2010-08-05 Merkey Jeffrey V Method and apparatus for network packet capture distributed storage system
US7907608B2 (en) * 2005-08-12 2011-03-15 Mcafee, Inc. High speed packet capture
US7818326B2 (en) * 2005-08-31 2010-10-19 Mcafee, Inc. System and method for word indexing in a capture system and querying thereof
US7730011B1 (en) 2005-10-19 2010-06-01 Mcafee, Inc. Attributes of captured objects in a capture system
US7657104B2 (en) * 2005-11-21 2010-02-02 Mcafee, Inc. Identifying image type in a capture system
US7930748B1 (en) 2005-12-29 2011-04-19 At&T Intellectual Property Ii, L.P. Method and apparatus for detecting scans in real-time
JP4583312B2 (ja) * 2006-01-30 2010-11-17 富士通株式会社 通信状況判定方法、通信状況判定システム及び判定装置
US20070226504A1 (en) * 2006-03-24 2007-09-27 Reconnex Corporation Signature match processing in a document registration system
US8504537B2 (en) 2006-03-24 2013-08-06 Mcafee, Inc. Signature distribution in a document registration system
US8010689B2 (en) * 2006-05-22 2011-08-30 Mcafee, Inc. Locational tagging in a capture system
US7958227B2 (en) 2006-05-22 2011-06-07 Mcafee, Inc. Attributes of captured objects in a capture system
US7689614B2 (en) 2006-05-22 2010-03-30 Mcafee, Inc. Query generation for a capture system
US7751340B2 (en) * 2006-11-03 2010-07-06 Microsoft Corporation Management of incoming information
JP5166432B2 (ja) * 2006-11-14 2013-03-21 エフエムアール エルエルシー ネットワークにおける不正行為の検出及び禁止
KR20080062817A (ko) * 2006-12-29 2008-07-03 한전케이디엔주식회사 지그비 센서 네트워크 분석 시스템
JP4780413B2 (ja) * 2007-01-12 2011-09-28 横河電機株式会社 不正アクセス情報収集システム
KR100920304B1 (ko) 2007-11-26 2009-10-08 에스케이 텔레콤주식회사 패킷 데이터 통신에서의 오브젝트 생성 방법 및 장치
EP2250589A4 (en) * 2008-03-03 2011-05-25 Kuity Corp SYSTEMS AND METHODS FOR CARTOGRAPHING BUSINESS DATA
US7793001B2 (en) * 2008-05-09 2010-09-07 Microsoft Corporation Packet compression for network packet traffic analysis
US8004998B2 (en) * 2008-05-23 2011-08-23 Solera Networks, Inc. Capture and regeneration of a network data using a virtual software switch
US8625642B2 (en) 2008-05-23 2014-01-07 Solera Networks, Inc. Method and apparatus of network artifact indentification and extraction
US20090292736A1 (en) * 2008-05-23 2009-11-26 Matthew Scott Wood On demand network activity reporting through a dynamic file system and method
US8521732B2 (en) 2008-05-23 2013-08-27 Solera Networks, Inc. Presentation of an extracted artifact based on an indexing technique
US8205242B2 (en) 2008-07-10 2012-06-19 Mcafee, Inc. System and method for data mining and security policy management
US9253154B2 (en) 2008-08-12 2016-02-02 Mcafee, Inc. Configuration management for a capture/registration system
JP5328283B2 (ja) * 2008-10-07 2013-10-30 Kddi株式会社 情報処理装置、プログラム、および記録媒体
JP5286018B2 (ja) * 2008-10-07 2013-09-11 Kddi株式会社 情報処理装置、プログラム、および記録媒体
US8850591B2 (en) 2009-01-13 2014-09-30 Mcafee, Inc. System and method for concept building
US8706709B2 (en) 2009-01-15 2014-04-22 Mcafee, Inc. System and method for intelligent term grouping
US8473442B1 (en) 2009-02-25 2013-06-25 Mcafee, Inc. System and method for intelligent state management
US8667121B2 (en) 2009-03-25 2014-03-04 Mcafee, Inc. System and method for managing data and policies
US8447722B1 (en) 2009-03-25 2013-05-21 Mcafee, Inc. System and method for data mining and security policy management
KR20100107801A (ko) * 2009-03-26 2010-10-06 삼성전자주식회사 무선 통신 시스템에서 안테나 선택을 위한 장치 및 방법
US20110125748A1 (en) * 2009-11-15 2011-05-26 Solera Networks, Inc. Method and Apparatus for Real Time Identification and Recording of Artifacts
US20110125749A1 (en) * 2009-11-15 2011-05-26 Solera Networks, Inc. Method and Apparatus for Storing and Indexing High-Speed Network Traffic Data
KR101097553B1 (ko) 2010-03-04 2011-12-22 주식회사 건지소프트 Usn에서 에너지 효율성 및 응용 확장성 지원을 위한 상황 인식 방법 및 시스템
US8806615B2 (en) 2010-11-04 2014-08-12 Mcafee, Inc. System and method for protecting specified data combinations
US8849991B2 (en) 2010-12-15 2014-09-30 Blue Coat Systems, Inc. System and method for hypertext transfer protocol layered reconstruction
US8666985B2 (en) 2011-03-16 2014-03-04 Solera Networks, Inc. Hardware accelerated application-based pattern matching for real time classification and recording of network traffic
TW201241780A (en) * 2011-04-06 2012-10-16 Hon Hai Prec Ind Co Ltd System and method for optimizing the test data reports
US20130246336A1 (en) 2011-12-27 2013-09-19 Mcafee, Inc. System and method for providing data protection workflows in a network environment

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI106089B (fi) * 1997-12-23 2000-11-15 Sonera Oyj Liikkuvan päätelaitteen seuranta matkaviestinjärjestelmässä
US7444404B2 (en) * 2001-02-05 2008-10-28 Arbor Networks, Inc. Network traffic regulation including consistency based detection and filtering of packets with spoof source addresses
US7363656B2 (en) * 2002-11-04 2008-04-22 Mazu Networks, Inc. Event detection/anomaly correlation heuristics
US7949737B2 (en) * 2002-11-04 2011-05-24 Riverbed Technology, Inc. Method and apparatus for grouping nodes based on connection characteristics
US7827272B2 (en) * 2002-11-04 2010-11-02 Riverbed Technology, Inc. Connection table for intrusion detection
US7743166B2 (en) * 2003-04-04 2010-06-22 Ellacoya Networks, Inc. Scaleable flow-based application and subscriber traffic control
KR100561628B1 (ko) * 2003-11-18 2006-03-20 한국전자통신연구원 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법
KR100628296B1 (ko) * 2003-12-18 2006-09-27 한국전자통신연구원 네트워크 공격상황 분석 방법
WO2005065023A2 (en) * 2004-01-05 2005-07-21 Checkpoint Software Technologies Ltd. Internal network security

Also Published As

Publication number Publication date
JP2006121143A (ja) 2006-05-11
US20060083180A1 (en) 2006-04-20

Similar Documents

Publication Publication Date Title
JP4479459B2 (ja) パケット解析システム
US11936764B1 (en) Generating event streams based on application-layer events captured by remote capture agents
JP4658340B2 (ja) ネットワークゲートウェイの解析方法及び装置
US20190075049A1 (en) Determining Direction of Network Sessions
EP2774346B1 (en) Network analysis device and method
CN115865525B (zh) 日志数据处理方法、装置、电子设备和存储介质
JP2011101172A (ja) ワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータ
CN111818041A (zh) 一种基于网络层报文解析的实时报文处理系统及方法
CN102271331A (zh) 一种检测业务提供商sp站点可靠性的方法及系统
KR100969455B1 (ko) 네트워크 이용경향 관리를 위한 홈게이트웨이 장치 및 그동작 방법과, 그를 이용한 네트워크 이용경향 관리 방법
JP2006295232A (ja) セキュリティ監視装置、セキュリティ監視方法、及びプログラム
JP2007249348A (ja) アプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラム
JP2006221327A (ja) 計算機システムおよびストレージ装置
JP7050042B2 (ja) 情報処理システムおよび情報処理方法
JP4952531B2 (ja) 記録装置、記録プログラム、および記録方法
JP4434053B2 (ja) 不正侵入検知装置
JP4235907B2 (ja) ワーム伝播監視システム
US9049170B2 (en) Building filter through utilization of automated generation of regular expression
JP4687978B2 (ja) パケット解析システム
JP2006067279A (ja) 侵入検知システム及び通信装置
JP6023738B2 (ja) 送信パケット解析システム、送信パケット解析装置および送信パケット解析プログラム
FR2834848A1 (fr) Procede d'observation d'un reseau de communication et systeme pour la mise en oeuvre de ce procede
CN108737291B (zh) 一种网络流量表示的方法及装置
CN114024765B (zh) 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法
JP4415380B2 (ja) パケット解析装置及びこれを用いたパケット解析システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090804

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091001

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100223

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100308

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130326

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4479459

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140326

Year of fee payment: 4