JP4509904B2 - ネットワークセキュリティ装置 - Google Patents
ネットワークセキュリティ装置 Download PDFInfo
- Publication number
- JP4509904B2 JP4509904B2 JP2005283238A JP2005283238A JP4509904B2 JP 4509904 B2 JP4509904 B2 JP 4509904B2 JP 2005283238 A JP2005283238 A JP 2005283238A JP 2005283238 A JP2005283238 A JP 2005283238A JP 4509904 B2 JP4509904 B2 JP 4509904B2
- Authority
- JP
- Japan
- Prior art keywords
- communication information
- packet
- network security
- information
- learning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 claims description 154
- 238000003860 storage Methods 0.000 claims description 74
- 238000012545 processing Methods 0.000 claims description 73
- 238000007619 statistical method Methods 0.000 claims description 56
- 230000005856 abnormality Effects 0.000 claims description 22
- 238000001514 detection method Methods 0.000 claims description 20
- 230000036962 time dependent Effects 0.000 claims description 20
- 238000009826 distribution Methods 0.000 claims description 18
- 230000002159 abnormal effect Effects 0.000 claims description 10
- 238000006243 chemical reaction Methods 0.000 claims description 10
- 230000000903 blocking effect Effects 0.000 claims description 3
- 238000002156 mixing Methods 0.000 claims description 2
- 238000000034 method Methods 0.000 description 47
- 238000004458 analytical method Methods 0.000 description 34
- 238000000605 extraction Methods 0.000 description 30
- 238000011156 evaluation Methods 0.000 description 25
- 230000008569 process Effects 0.000 description 18
- 230000004048 modification Effects 0.000 description 17
- 238000012986 modification Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 16
- 230000005540 biological transmission Effects 0.000 description 15
- 230000008859 change Effects 0.000 description 15
- 238000007726 management method Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 13
- 230000004913 activation Effects 0.000 description 9
- 238000001994 activation Methods 0.000 description 9
- 238000003780 insertion Methods 0.000 description 7
- 230000037431 insertion Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 230000010365 information processing Effects 0.000 description 6
- 238000009434 installation Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 238000004904 shortening Methods 0.000 description 5
- 238000011161 development Methods 0.000 description 4
- 230000018109 developmental process Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000000926 separation method Methods 0.000 description 4
- 230000002123 temporal effect Effects 0.000 description 4
- 238000009825 accumulation Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000010219 correlation analysis Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000004321 preservation Methods 0.000 description 2
- 238000000611 regression analysis Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012731 temporal analysis Methods 0.000 description 2
- 238000000700 time series analysis Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000008929 regeneration Effects 0.000 description 1
- 238000011069 regeneration method Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
パケットキャプチャ装置は、ネットワークの特定箇所を流れるパケットを全て捕捉して記録し、ネットワークにおけるセキュリティ問題の発生時における証拠保全や、セキュリティ問題の解明を支援するための装置である。また、セキュリティ問題の解明のため、さらには、解明結果を、その後のネットワークの脅威の検出に活かすため、記録情報から、通信状況、パケット流やセッションを再現するリプレイモードをサポートしているパケットキャプチャ装置もある。
なお、上述の特許文献1は、ネットワーク上を流れるトラヒックデータからの学習を想定しており、過去に蓄積されたトラヒックデータの利用については言及がない。
統計的な手法を用いて、判定基準情報に基づき前記通信情報の異常の有無を判断する異常判定手段と、
前記通信情報から前記判定基準情報を生成する学習手段と、
現在の前記ネットワークから第1通信情報を取り込む第1ポートと、
通信情報蓄積装置に蓄積された過去の第2通信情報を取り込む第2ポートと、
前記第1および第2ポートの各々から取り込まれた前記第1および第2通信情報を前記異常判定手段および前記学習手段に振り分ける通信情報分配手段と、
を含み、
前記学習手段は、前記第1通信情報および/または前記第2通信情報を学習して前記判定基準情報を生成するネットワークセキュリティ装置を提供する。
過去に前記ネットワークに流れた第2通信情報を蓄積する第1工程と、
現在の前記ネットワークに流れる第1通信情報と、前記第2通信情報とを並行して前記ネットワークセキュリティ装置に入力する第2工程と、
統計的な手法を用いて前記第1通信情報の異常の有無を判断する異常判定に用いられる判定基準情報を、前記第1および/または第2通信情報から学習する第3工程と、
を含むネットワークセキュリティ装置の制御方法を提供する。
前記ネットワークセキュリティ装置と前記通信情報蓄積装置との間に介在し、前記通信情報蓄積装置から前記ネットワークセキュリティ装置への前記第2通信情報の入力速度を制御する入力速度制御装置と、
を含むネットワークセキュリティシステムを提供する。
時間を意識しない項目(時間性独立項目)とは、特定フィールドの取り得る値の確率、各種状態遷移の確率、また、セッション当たりのパケットサイズ分布やデータ量等、時間経過を含まない統計的な相関分析を行う項目である。この場合は、パケット/セッションのサンプル数を増やしたい場合には、過去の通信情報もカレント通信情報と同等に、単純に多重した扱いができる。
ネットワークセキュリティ装置が上記のように時間を意識した項目を処理できるようにするため、ログサーバ/パケットキャプチャ装置等の通信情報蓄積装置の側では、蓄積している過去の第2通信情報に関する時刻情報および再生レート(現実の時間の進みに対する過去の第2通信情報の処理での時間の進み比)を当該ネットワークセキュリティ装置に通知する機能を備える。
また、特別なハードウェアやソフトウェア等を別途必要とすることなく、ユーザが保持する過去の通信情報を利用して学習期間の短縮を実現することが可能となる。
図1は、本発明の一実施の形態であるネットワークセキュリティシステムの構成の一例を示す概念図である。
後述のように、本実施の形態のネットワークセキュリティ装置1000は、現在のLAN12を流れる現行パケットP1が入出力されるネットワークサービスポートPSの他に、学習ポートPLが設けられている。
図2は、本実施の形態のネットワークセキュリティ装置1000の構成の一例を示すブロック図である。
また、この学習ポートPLから入力される蓄積パケットP2を、現行パケットP1と並行処理するために、上述の、変数加工部1005、統計解析部1008、アノマリ判定部1010に対応した、変数加工部1105、統計解析部1108、アノマリ判定部1110を備えている。
変数加工部1005(変数加工部1105)は、現行パケットP1(蓄積パケットP2)に関する前段の変数抽出部1004からの情報をもとに、頻度/単位時間当たりのフィールド値出現数/パケット受信数/セッション起動数/セッション状態発生数、さらに、それらの変化率などの変数を求める処理を行う。このため、変数加工部1005(変数加工部1105)は、計時機能としてタイマ1005a(タイマ1105a)を備えている。
分岐部1007aは、前段の変数加工部1005から渡される現行パケットP1の変数を識別し、既知の評価指標パラメータ(評価指標値/閾値Va)に基づいてアノマリ判定を行うルート(統計解析部1008→アノマリ判定部1010→送信ネットワークインタフェース1012)と、学習処理によって評価指標パラメータの値を求めるルート(統計解析部1013→学習部1015)に変数を振り分ける処理、あるいは当該変数をコピーして同じものを各ルートに配る処理を行う。
本実施の形態では、アノマリ分析の項目を、分析する相関関係で分類/識別する。このため、多重化部1007cは、本分類に基づき、カレント情報(現行パケットP1)と過去情報(蓄積パケットP2)との合流/結合方法を切り替える機能を持つ。
時間を意識しない項目(時間性独立項目)としては、特定フィールドの取り得る値の確率、各種状態遷移の確率、また、セッション当たりのパケットサイズ分布やデータ量等、時間経過を含まない統計的な相関分析を行う項目がある。この時間性独立項目の処理では、パケット/セッションのサンプル数を増やしたい場合、過去情報もカレント情報と同等に、単純に多重した取り扱いができる。
一方、時間に依存する項目(時間依存項目)としては、単位時間当たりのパケット数、セッション数等や、各種頻度(宛先/送信元毎アクセス頻度、サービス毎利用頻度、利用時間帯、アクセス頻度過多過少)等、時間の意識が必要な項目や、時系列的な分析が必要な時間相関関係の項目がある。蓄積パケットP2等の過去情報は、採取時刻が現在時刻でなく、再生速度がリアルタイムの現行パケットP1の処理速度とは異なるので、まず、現実時刻を基に取り扱うカレント情報(現行パケットP1)との分離が必要である。
一方、リアルタイム取得情報(現行パケットP1)を過去情報(蓄積パケットP2)よりも重要度の高い情報として取り込むポリシを適用する場合における配信多重部1007の作用を図4に例示する。
アノマリ判定部1010は、統計解析部1008で算出された現行パケットP1に関する値が正常か異常かを、アノマリ評価テーブル1011に保持した評価指標値/閾値Vaで判定する。
まず、現行パケットP1を処理する場合の動作の概要を示す。
受信した現行パケットP1を、パケット解析部1002にて、パケットとして認識し、必要な情報を抽出し、セッションの組み立て、更に上位プロトコルデータの認識を行う。
このシグネチャ型侵入検出部1003を通過したパケットについて、アノマリ判定に必要な変数の抽出を、変数抽出部1004において行う。ここでの変数は、上述のパケット解析部1002で抽出する情報と重複し、各レイヤ/プロトコルデータにおける各種フィールドの値/文字列や、パケット受信、セッション起動確立イベント発生/状態などである。
[アノマリ判定を行うルートでの処理]
統計解析部1008は、後段のアノマリ判定部1010で必要な指標の統計的な解析を行う。配信多重部1007から受信した個々の変数のみならず、複数の変数の相関性を計算する。
統計解析部1013は、統計解析部1008と同様に後段の学習部1015で必要な指標の統計的な解析を行う。
[学習ポートPLから入力される蓄積パケットP2の処理]
パケット蓄積装置2000に接続される学習ポートPLを収容するネットワークインタフェース1101から入力される蓄積パケットP2の処理は以下のように行われる。
すなわち、ネットワークサービスポートPS(学習ポートPL)より現行パケットP1(蓄積パケットP2)を受信すると(ステップS1000)、パケット解析部1002にて当該パケットを解析し(ステップS1001)、シグネチャ型侵入検出部1003で、侵入検出を行い(ステップS1004)、変数抽出部1004で変数抽出を行い(ステップS1005)、さらに、変数加工部1005(変数加工部1105)において変数の種別に応じた変数加工を行う(ステップS1006)。
再生情報抽出部1112、性能管理部1113、および送信ネットワークインタフェース1102が設けられているところが、上述の図2の場合異なっており、他は同じである。
再生指示情報抽出部2102および再生情報挿入部2201が追加されている点が、上述の図5の場合と異なっている。
図示しないタイマ等により、性能監視トリガが発生すると(ステップS1101)、ネットワークセキュリティ装置1000Aにおける現行パケットP1、蓄積パケットP2の処理負荷を計測し(ステップS1102)、計測された負荷に基づいてパケット蓄積装置2000Aにおける蓄積パケットP2の再生レートを算出し(ステップS1103)、この算出結果を、再生レート指示情報1113aとして制御パケットP4に乗せて、学習ポートPLを経由してパケット蓄積装置2000Aに通知する(ステップS1104)。
ネットワークセキュリティ装置1000Aからパケットを受信すると(ステップS2001)、パケット解析部2101において当該パケットを解析し(ステップS2002)、制御パケットP4か否かを判別し(ステップS2003)、制御パケットP4の場合には、再生レート指示情報1113aを抽出する(ステップS2004)。
ステップS1002、ステップS1003、およびステップS1007、ステップS1008が追加されている点が、上述の図6と異なり、他は同様である。
この点に着目すると、本変形例の場合には、ネットワークセキュリティ装置1000Aの空きリソースを、パケット蓄積装置2000Aから入力される蓄積パケットP2の学習に当てることで、学習効率を上げ、学習時間をさらに短縮することが可能になる。
ネットワークインタフェース3300およびネットワークインタフェース3400は、パケット蓄積装置2000Bにイーサネット(登録商標)等の接続インタフェースで接続される。
キュー3301に保持された蓄積パケットP2は、先入れ/先出し方式で、逐次、再生部3202に読み出され、当該再生部3202で蓄積パケットP2に所定の再生処理を施した後、ネットワークインタフェース3200から、ネットワークセキュリティ装置1000Aの学習ポートPLに入力される。
なお、本発明は、上述の実施の形態に例示した構成に限らず、その趣旨を逸脱しない範囲で種々変更可能であることは言うまでもない。
ネットワークを流れる通信情報を監視し、前記ネットワークへの不正侵入の検知および/または防御を行うネットワークセキュリティ装置であって、
統計的な手法を用いて、判定基準情報に基づき前記通信情報の異常の有無を判断する異常判定手段と、
前記通信情報から前記判定基準情報を生成する学習手段と、
現在の前記ネットワークから第1通信情報を取り込む第1ポートと、
通信情報蓄積装置に蓄積された過去の第2通信情報を取り込む第2ポートと、
前記第1および第2ポートの各々から取り込まれた前記第1および第2通信情報を前記異常判定手段および前記学習手段に振り分ける通信情報分配手段と、
を含み、
前記学習手段は、前記第1通信情報および/または前記第2通信情報を学習して前記判定基準情報を生成することを特徴とするネットワークセキュリティ装置。
(付記2)
付記1記載のネットワークセキュリティ装置において、
前記ネットワークセキュリティ装置の処理負荷の大小に応じて、前記第2ポートを介した前記通信情報蓄積装置からの前記第2通信情報の入力の有無および/または前記通信情報蓄積装置における前記第2通信情報の再生レートを制御する性能管理手段をさらに含むことを特徴とするネットワークセキュリティ装置。
(付記3)
付記1記載のネットワークセキュリティ装置において、
前記通信情報分配手段は、前記第1および第2通信情報を、時間独立性項目と時間依存性項目に分類し、前記第1および第2通信情報に含まれる前記時間独立性項目については単純に多重化し、前記第2通信情報の前記時間依存性項目については、前記第2通信情報の採取時の時間情報に基づいて、前記第1通信情報の前記時間依存性項目の処理速度に整合させることを特徴とするネットワークセキュリティ装置。
(付記4)
付記1記載のネットワークセキュリティ装置において、
前記第2ポートを介して前記通信情報蓄積装置から到来する前記第2通信情報に混在し、前記通信情報蓄積装置における当該第2通信情報の再生レートを示す情報を含む第3通信情報を認識する認識手段をさらに含むことを特徴とするネットワークセキュリティ装置。
(付記5)
付記1記載のネットワークセキュリティ装置において、
前記第2ポートは、当該ネットワークセキュリティ装置を外部から管理するための装置管理ポートと論理的に多重化されていることを特徴とするネットワークセキュリティ装置。
(付記6)
付記1記載のネットワークセキュリティ装置において、
前記通信情報蓄積装置と前記ネットワークセキュリティ装置との間に介在し、前記ネットワークセキュリティ装置から指示された再生レートにて前記第2通信情報を前記第2ポートに入力するとともに、前記通信情報蓄積装置における前記第2通信情報の前記再生レートを示す第3通信情報を前記第2通信情報に混在させる再生レート変換手段をさらに含むことを特徴とするネットワークセキュリティ装置。
(付記7)
付記1記載のネットワークセキュリティ装置において、
さらに、前記通信情報分配手段の前段に設けられ、前記第2通信情報に対して、前記第1通信情報と同じセキュリティポリシに基づく選別処理を実行する通信情報選別手段を含むことを特徴とするネットワークセキュリティ装置。
(付記8)
ネットワークを流れる通信情報を監視し、前記ネットワークへの不正侵入を検知し防御するネットワークセキュリティ装置の制御方法であって、
過去に前記ネットワークに流れた第2通信情報を蓄積する第1工程と、
現在の前記ネットワークに流れる第1通信情報と、前記第2通信情報とを並行して前記ネットワークセキュリティ装置に入力する第2工程と、
統計的な手法を用いて前記第1通信情報の異常の有無を判断する異常判定に用いられる判定基準情報を、前記第1および/または第2通信情報から学習する第3工程と、
を含むことを特徴とするネットワークセキュリティ装置の制御方法。
(付記9)
付記8記載のネットワークセキュリティ装置の制御方法において、
前記第2工程では、前記第2通信情報に対して、前記第1通信情報と同じセキュリティポリシに基づく選別処理を実行することを特徴とするネットワークセキュリティ装置の制御方法。
(付記10)
付記9記載のネットワークセキュリティ装置の制御方法において、
前記第3工程では、前記第1および第2通信情報を、時間独立性項目と時間依存性項目に分類し、前記第1および第2通信情報に含まれる前記時間独立性項目については単純に多重化し、前記第2通信情報の前記時間依存性項目については、前記第2通信情報の採取時の時間情報に基づいて、前記第1通信情報の前記時間依存性項目の処理速度に整合させることを特徴とするネットワークセキュリティ装置の制御方法。
(付記11)
監視対象のネットワークに接続され、現在の前記ネットワークを流れる第1通信情報を取り込む第1ポートと、通信情報蓄積装置に蓄積された過去の前記ネットワークの第2通信情報を取り込む第2ポートと、統計的な手法を用いて前記通信情報の異常の有無を判断する異常判定に用いられる判定基準情報を、前記第1および/または第2通信情報から学習する学習手段とを具備したネットワークセキュリティ装置と、
前記ネットワークセキュリティ装置と前記通信情報蓄積装置との間に介在し、前記通信情報蓄積装置から前記ネットワークセキュリティ装置への前記第2通信情報の再生レートを制御する再生レート制御装置と、
を含むことを特徴とするネットワークセキュリティシステム。
11 ルータ
12 LAN
13 マネジメント機構
14 スイッチ
15 情報処理装置
16 外部ネットワーク
1000 ネットワークセキュリティ装置
1000A ネットワークセキュリティ装置
1001 ネットワークインタフェース
1002 パケット解析部
1003 シグネチャ型侵入検出部
1004 変数抽出部
1005 変数加工部
1005a タイマ
1006 統計加工テーブル
1007 配信多重部
1007a 分岐部
1007b 分岐部
1007c 多重化部
1007c−1 トラヒックデータ多重部
1007c−2 時間情報抽出分離部
1008 統計解析部
1009 統計解析テーブル
1010 アノマリ判定部(異常判定手段)
1011 アノマリ評価テーブル
1012 送信ネットワークインタフェース
1013 統計解析部
1014 統計解析テーブル
1015 学習部(学習手段)
1016 学習データテーブル
1101 ネットワークインタフェース
1102 送信ネットワークインタフェース
1105 変数加工部
1105a タイマ
1108 統計解析部
1110 アノマリ判定部
1112 再生情報抽出部(認識手段)
1112a 再生レート情報
1113 性能管理部(性能管理手段)
1113a 再生レート指示情報
2000 パケット蓄積装置
2000A パケット蓄積装置
2000B パケット蓄積装置
2001 保存加工部
2002 ネットワークインタフェース
2003 パケットデータ蓄積部
2100 受信ネットワークインタフェース
2101 パケット解析部
2102 再生指示情報抽出部
2200 送信ネットワークインタフェース
2201 再生情報挿入部
2202 再生部
3000 再生入力変換装置(再生レート変換手段)
3100 ネットワークインタフェース
3101 パケット解析部
3102 再生指示情報抽出部
3200 ネットワークインタフェース
3201 再生情報挿入部
3202 再生部
3300 ネットワークインタフェース
3301 キュー
3301a バックプレッシャ起動信号
3400 ネットワークインタフェース
3401 バックプレッシャ起動部
3401a バックプレッシャ信号
P1 現行パケット(第1通信情報)
P2 蓄積パケット(第2通信情報)
P3 再生レート予告パケット(第3通信情報)
P4 制御パケット
PL 学習ポート(第2ポート)
PS ネットワークサービスポート(第1ポート)
Va 評価指標値/閾値(判定基準情報)
Vs 不正アクセスパターン情報
Claims (6)
- ネットワークを流れる通信情報を監視し、前記ネットワークへの不正侵入の検知および/または防御を行うネットワークセキュリティ装置であって、
前記ネットワークを現在流れている第1通信情報を取り込む第1ポートと、
通信情報蓄積装置に蓄積された過去の第2通信情報を取り込む第2ポートと、
統計的な手法を用いて、判定基準情報に基づき前記第1および第2通信情報の異常の有無を判定する異常判定手段と、
前記第1および第2通信情報から前記異常判定手段の判定で用いられる変数と同じ種類の変数を学習することにより前記判定基準情報を生成し、更新する学習手段と、
前記第2ポートを介した前記通信情報蓄積装置からの前記第2通信情報の入力の有無および/または前記通信情報蓄積装置における前記第2通信情報の再生レートを制御する性能管理手段
を備えることを特徴とするネットワークセキュリティ装置。 - 請求項1記載のネットワークセキュリティ装置において、
前記異常判定手段により異常と判断された通信情報を特定する不正アクセスパターン情報が通知されると、前記第1および第2通信情報から前記不正アクセスパターン情報が検出された情報を遮断する侵入検出手段をさらに備え、
前記学習手段は、前記侵入検出手段で遮断されていない情報から前記異常判定手段の判定で用いられる変数と同じ種類の変数を学習することにより前記判定基準情報を生成する
ことを特徴とするネットワークセキュリティ装置。 - 請求項1もしくは2に記載のネットワークセキュリティ装置において、
前記第1および第2ポートの各々から取り込まれた前記第1および第2通信情報を前記異常判定手段および前記学習手段に供給する通信情報分配手段をさらに含み、
前記通信情報分配手段は、前記第1および第2通信情報を、時間独立性項目と時間依存性項目に分類し、前記第1および第2通信情報に含まれる前記時間独立性項目については単純に多重化し、前記第2通信情報の前記時間依存性項目については、前記第2通信情報の採取時の時間情報に基づいて、前記第1通信情報の前記時間依存性項目の処理速度に整合させることを特徴とするネットワークセキュリティ装置。 - 請求項1もしくは2に記載のネットワークセキュリティ装置において、
前記第2ポートを介して前記通信情報蓄積装置から到来する前記第2通信情報に混在し、前記通信情報蓄積装置における当該第2通信情報の再生レートを示す情報を含む第3通信情報を認識する認識手段をさらに含むことを特徴とするネットワークセキュリティ装置。 - 請求項1もしくは2に記載のネットワークセキュリティ装置において、
前記第2ポートは、当該ネットワークセキュリティ装置を外部から管理するための装置管理ポートと論理的に多重化されていることを特徴とするネットワークセキュリティ装置。 - 請求項1もしくは2に記載のネットワークセキュリティ装置において、
前記通信情報蓄積装置と前記ネットワークセキュリティ装置との間に介在し、前記ネットワークセキュリティ装置から指示された再生レートにて前記第2通信情報を前記第2ポートに入力するとともに、前記通信情報蓄積装置における前記第2通信情報の前記再生レートを示す第3通信情報を前記第2通信情報に混在させる再生レート変換手段をさらに含むことを特徴とするネットワークセキュリティ装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005283238A JP4509904B2 (ja) | 2005-09-29 | 2005-09-29 | ネットワークセキュリティ装置 |
US11/341,312 US8544063B2 (en) | 2005-09-29 | 2006-01-27 | Network security apparatus, network security control method and network security system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005283238A JP4509904B2 (ja) | 2005-09-29 | 2005-09-29 | ネットワークセキュリティ装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007096735A JP2007096735A (ja) | 2007-04-12 |
JP4509904B2 true JP4509904B2 (ja) | 2010-07-21 |
Family
ID=37895755
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005283238A Expired - Fee Related JP4509904B2 (ja) | 2005-09-29 | 2005-09-29 | ネットワークセキュリティ装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8544063B2 (ja) |
JP (1) | JP4509904B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014524169A (ja) * | 2011-06-27 | 2014-09-18 | マカフィー, インコーポレイテッド | プロトコルフィンガープリント取得および評価相関のためのシステムおよび方法 |
US9516062B2 (en) | 2012-04-10 | 2016-12-06 | Mcafee, Inc. | System and method for determining and using local reputations of users and hosts to protect information in a network environment |
US9661017B2 (en) | 2011-03-21 | 2017-05-23 | Mcafee, Inc. | System and method for malware and network reputation correlation |
Families Citing this family (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7623857B1 (en) * | 2005-10-21 | 2009-11-24 | At&T Intellectual Property I, L.P. | Intelligent pico-cell for transport of wireless device communications over wireline networks |
US8561189B2 (en) * | 2006-06-23 | 2013-10-15 | Battelle Memorial Institute | Method and apparatus for distributed intrusion protection system for ultra high bandwidth networks |
US8326296B1 (en) | 2006-07-12 | 2012-12-04 | At&T Intellectual Property I, L.P. | Pico-cell extension for cellular network |
GB2443005A (en) * | 2006-07-19 | 2008-04-23 | Chronicle Solutions | Analysing network traffic by decoding a wide variety of protocols (or object types) of each packet |
US20080083029A1 (en) * | 2006-09-29 | 2008-04-03 | Alcatel | Intelligence Network Anomaly Detection Using A Type II Fuzzy Neural Network |
EP1986391A1 (en) * | 2007-04-23 | 2008-10-29 | Mitsubishi Electric Corporation | Detecting anomalies in signalling flows |
FR2917556A1 (fr) * | 2007-06-15 | 2008-12-19 | France Telecom | Detection d'anomalie dans le trafic d'entites de service a travers un reseau de paquets |
US7941382B2 (en) * | 2007-10-12 | 2011-05-10 | Microsoft Corporation | Method of classifying and active learning that ranks entries based on multiple scores, presents entries to human analysts, and detects and/or prevents malicious behavior |
US8626223B2 (en) * | 2008-05-07 | 2014-01-07 | At&T Mobility Ii Llc | Femto cell signaling gating |
US8126496B2 (en) * | 2008-05-07 | 2012-02-28 | At&T Mobility Ii Llc | Signaling-triggered power adjustment in a femto cell |
US8719420B2 (en) | 2008-05-13 | 2014-05-06 | At&T Mobility Ii Llc | Administration of access lists for femtocell service |
US8179847B2 (en) | 2008-05-13 | 2012-05-15 | At&T Mobility Ii Llc | Interactive white list prompting to share content and services associated with a femtocell |
US8743776B2 (en) | 2008-06-12 | 2014-06-03 | At&T Mobility Ii Llc | Point of sales and customer support for femtocell service and equipment |
EP2299650A1 (de) * | 2009-09-21 | 2011-03-23 | Siemens Aktiengesellschaft | Verfahren zur Anomalie-Erkennung in einem Kontrollnetzwerk |
US8510801B2 (en) | 2009-10-15 | 2013-08-13 | At&T Intellectual Property I, L.P. | Management of access to service in an access point |
US8805839B2 (en) | 2010-04-07 | 2014-08-12 | Microsoft Corporation | Analysis of computer network activity by successively removing accepted types of access events |
JP5739182B2 (ja) | 2011-02-04 | 2015-06-24 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 制御システム、方法およびプログラム |
JP5731223B2 (ja) | 2011-02-14 | 2015-06-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
JP5689333B2 (ja) | 2011-02-15 | 2015-03-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
US8738906B1 (en) * | 2011-11-30 | 2014-05-27 | Juniper Networks, Inc. | Traffic classification and control on a network node |
CN103581120B (zh) * | 2012-07-24 | 2018-04-20 | 阿里巴巴集团控股有限公司 | 一种识别用户风险的方法和装置 |
US9516049B2 (en) | 2013-11-13 | 2016-12-06 | ProtectWise, Inc. | Packet capture and network traffic replay |
US9654445B2 (en) | 2013-11-13 | 2017-05-16 | ProtectWise, Inc. | Network traffic filtering and routing for threat analysis |
US10735453B2 (en) | 2013-11-13 | 2020-08-04 | Verizon Patent And Licensing Inc. | Network traffic filtering and routing for threat analysis |
US10320813B1 (en) | 2015-04-30 | 2019-06-11 | Amazon Technologies, Inc. | Threat detection and mitigation in a virtualized computing environment |
JP6650343B2 (ja) * | 2016-05-16 | 2020-02-19 | 株式会社日立製作所 | 不正通信検知システム及び不正通信検知方法 |
US10963562B2 (en) | 2016-06-16 | 2021-03-30 | Nippon Telegraph And Telephone Corporation | Malicious event detection device, malicious event detection method, and malicious event detection program |
US10311230B2 (en) * | 2016-12-24 | 2019-06-04 | Cisco Technology, Inc. | Anomaly detection in distributed ledger systems |
JP6683655B2 (ja) * | 2017-06-27 | 2020-04-22 | 日本電信電話株式会社 | 検知装置および検知方法 |
US9967272B1 (en) * | 2017-12-05 | 2018-05-08 | Redberry Systems, Inc. | Real-time regular expression search engine |
JP7033467B2 (ja) * | 2018-03-01 | 2022-03-10 | 株式会社日立製作所 | 不正通信検知装置および不正通信検知プログラム |
JP7109391B2 (ja) | 2019-02-26 | 2022-07-29 | 株式会社日立製作所 | 不正通信検知装置および不正通信検知プログラム |
CN114930326A (zh) | 2020-01-23 | 2022-08-19 | 三菱电机株式会社 | 模型生成装置、模型生成方法和模型生成程序 |
WO2022259317A1 (ja) * | 2021-06-07 | 2022-12-15 | 日本電信電話株式会社 | 検出装置、検出方法及び検出プログラム |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004312083A (ja) * | 2003-04-02 | 2004-11-04 | Kddi Corp | 学習データ作成装置、侵入検知システムおよびプログラム |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
US6243756B1 (en) * | 1997-06-23 | 2001-06-05 | Compaq Computer Corporation | Network device with unified management |
US7486782B1 (en) * | 1997-09-17 | 2009-02-03 | Roos Charles E | Multifunction data port providing an interface between a digital network and electronics in residential or commercial structures |
US7788718B1 (en) * | 2002-06-13 | 2010-08-31 | Mcafee, Inc. | Method and apparatus for detecting a distributed denial of service attack |
US7461404B2 (en) * | 2002-11-04 | 2008-12-02 | Mazu Networks, Inc. | Detection of unauthorized access in a network |
US7363656B2 (en) * | 2002-11-04 | 2008-04-22 | Mazu Networks, Inc. | Event detection/anomaly correlation heuristics |
JP3715628B2 (ja) | 2003-01-24 | 2005-11-09 | 株式会社東芝 | パケット転送システム、パケット転送装置、プログラム及びパケット転送方法 |
JP2004312064A (ja) | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
US7418490B1 (en) * | 2003-12-29 | 2008-08-26 | Sun Microsystems, Inc. | System using multiple sets of device management policies for managing network devices connected on different network interfaces |
JP4327698B2 (ja) * | 2004-10-19 | 2009-09-09 | 富士通株式会社 | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム |
US20080098476A1 (en) * | 2005-04-04 | 2008-04-24 | Bae Systems Information And Electronic Systems Integration Inc. | Method and Apparatus for Defending Against Zero-Day Worm-Based Attacks |
US20100031093A1 (en) * | 2008-01-29 | 2010-02-04 | Inventec Corporation | Internal tracing method for network attack detection |
-
2005
- 2005-09-29 JP JP2005283238A patent/JP4509904B2/ja not_active Expired - Fee Related
-
2006
- 2006-01-27 US US11/341,312 patent/US8544063B2/en not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004312083A (ja) * | 2003-04-02 | 2004-11-04 | Kddi Corp | 学習データ作成装置、侵入検知システムおよびプログラム |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9661017B2 (en) | 2011-03-21 | 2017-05-23 | Mcafee, Inc. | System and method for malware and network reputation correlation |
JP2014524169A (ja) * | 2011-06-27 | 2014-09-18 | マカフィー, インコーポレイテッド | プロトコルフィンガープリント取得および評価相関のためのシステムおよび方法 |
US9516062B2 (en) | 2012-04-10 | 2016-12-06 | Mcafee, Inc. | System and method for determining and using local reputations of users and hosts to protect information in a network environment |
Also Published As
Publication number | Publication date |
---|---|
JP2007096735A (ja) | 2007-04-12 |
US20070074272A1 (en) | 2007-03-29 |
US8544063B2 (en) | 2013-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4509904B2 (ja) | ネットワークセキュリティ装置 | |
CN101465770B (zh) | 入侵检测系统部署方法 | |
KR102050188B1 (ko) | 마이크로서비스 시스템 및 방법 | |
EP1980054B1 (en) | Method and apparatus for monitoring malicious traffic in communication networks | |
Spyridopoulos et al. | Incident analysis & digital forensics in SCADA and industrial control systems | |
US9047269B2 (en) | Modeling interactions with a computer system | |
JP5960978B2 (ja) | 通信ネットワーク内のメッセージのレイテンシを制御することによって重要システム内のサイバー攻撃を軽減するための知的なシステムおよび方法 | |
CN103067192A (zh) | 一种网络流量的分析系统及方法 | |
EP3258661A1 (en) | Detection of abnormal configuration changes | |
US11425006B2 (en) | Systems, methods and computer program products for scalable, low-latency processing of streaming data | |
JP2022515994A (ja) | ネットワーククラウド内で動作するエンティティの活動のオーケストレーション | |
CN103269343A (zh) | 业务数据安全管控平台 | |
CN102624721B (zh) | 一种特征码验证平台装置及特征码验证方法 | |
JP2006050442A (ja) | トラヒック監視方法及びシステム | |
JP2013196555A (ja) | ネットワークシステムに適用される通信機器及び通信機器の通信障害検知装置並びにその通信障害検知方法 | |
CA3181309A1 (en) | A network monitoring device, and applications thereof | |
KR101771658B1 (ko) | 인터넷 광고 차단 장치 및 방법 | |
CN113259377B (zh) | 一种互联网安全监控系统、方法及集成一体机 | |
CN110324354B (zh) | 一种网络追踪长链条攻击的方法、装置和系统 | |
CN110572353A (zh) | 云计算网络安全服务 | |
KR100597196B1 (ko) | 인트라넷 보안관리시스템 및 보안관리방법 | |
CN116089965B (zh) | 一种基于sod风险模型的信息安全应急管理系统及方法 | |
EP3474489B1 (en) | A method and a system to enable a (re-)configuration of a telecommunications network | |
WO2020195230A1 (ja) | 分析システム、方法およびプログラム | |
KR100633224B1 (ko) | 종합망관리시스템에서의 장애상관관계를 이용한 트래픽제어 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080324 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100105 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100126 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100326 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100427 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100428 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130514 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4509904 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130514 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |