JP4652851B2 - ネットワーク情報収集装置、制御方法およびプログラム - Google Patents
ネットワーク情報収集装置、制御方法およびプログラム Download PDFInfo
- Publication number
- JP4652851B2 JP4652851B2 JP2005060966A JP2005060966A JP4652851B2 JP 4652851 B2 JP4652851 B2 JP 4652851B2 JP 2005060966 A JP2005060966 A JP 2005060966A JP 2005060966 A JP2005060966 A JP 2005060966A JP 4652851 B2 JP4652851 B2 JP 4652851B2
- Authority
- JP
- Japan
- Prior art keywords
- network information
- network
- information
- log file
- frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 53
- 230000005540 biological transmission Effects 0.000 claims description 24
- 238000012544 monitoring process Methods 0.000 claims description 15
- 238000012545 processing Methods 0.000 description 39
- 238000010586 diagram Methods 0.000 description 23
- 230000008569 process Effects 0.000 description 20
- 238000004891 communication Methods 0.000 description 17
- 238000001914 filtration Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 12
- 230000004044 response Effects 0.000 description 10
- 238000004590 computer program Methods 0.000 description 9
- 238000012546 transfer Methods 0.000 description 4
- KNMAVSAGTYIFJF-UHFFFAOYSA-N 1-[2-[(2-hydroxy-3-phenoxypropyl)amino]ethylamino]-3-phenoxypropan-2-ol;dihydrochloride Chemical compound Cl.Cl.C=1C=CC=CC=1OCC(O)CNCCNCC(O)COC1=CC=CC=C1 KNMAVSAGTYIFJF-UHFFFAOYSA-N 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000001737 promoting effect Effects 0.000 description 2
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワーク上を伝送される情報の収集技術に関する。
従来、イントラネット、インターネットまたは公衆網等のネットワークに接続し、ネットワーク上を流れる情報の一部を取得して解析するネットワークモニタが知られている(特許文献1)。ネットワークモニタは、LANアナライザ、パケットモニタ、またはプロトコルアナライザと呼ばれることもある。
とりわけ、イーサネット(登録商標)上を伝送される情報を監視および解析するための機能は、通常ソフトウエアで提供されることが多い。当該ソフトウエアをPCにインストールすることでネットワークモニタが実現される。
ところで、インターネットに接続するイントラネットでは、セキュリティの問題が社会的に認識されるようになってきた。すなわち、企業内ユーザが、故意に企業秘密を電子メールに記述して送信するなどして、不法に企業秘密が漏えいしてしまうといった問題が生じている。
特開2004−207962号公報
この問題に対して、ネットワークの利用記録を残すためのコンピュータプログラムを、イントラネットに接続される各PCに予めインストールしておき、当該コンピュータプログラムによって取得された利用記録を別途収集して解析することができれば、各PCからのイントラネットの利用が適正かどうか判定することができるだろう。
しかしながら、この方法は、監視対象となる全てのPCに上記のコンピュータプログラムをインストールする必要があり、非常に手間がかかる。
さらに、当該コンピュータプログラムが実行されることで各PCのCPUやメモリ等のリソースが消費されてしまうの。そのため、PCの利用者には、通常アプリケーションの処理速度が低下してしまうといった問題が生じる。
そこで、本発明は、このような課題および他の課題の少なくとも1つを解決することを目的とする。なお、他の課題については明細書の全体を通して理解できよう。
本発明によれば、ネットワークにおける監視ポイントを通過するネットワーク情報を外部の情報解析装置において解析させるべく収集するネットワーク情報収集装置であって、特定のプロトコル階層にかかるネットワーク情報を受信する受信ユニットと、受信した前記ネットワーク情報について前記ネットワーク上での伝送時の情報形式を維持した状態で記録する記録ユニットとを含み、前記記録ユニットは、前記ネットワーク情報に含まれるデータのうち重複したデータについては記録を省略することを特徴とするネットワーク情報収集装置が提供される。
本発明によれば、ネットワークにおける監視ポイントを通過するネットワーク情報を収集するネットワーク情報収集装置を提供することにより、企業内PCの全てに特別のコンピュータプログラムをインストールしなくても、好適に、ネットワーク情報を収集することが可能となる。
また、ネットワーク上での伝送時の情報形式を維持した状態でもってネットワーク情報を記録するようにしたので、ネットワーク情報の伝送状況を、後に好適に再現することが可能となる。
さらに、収集したネットワーク情報に関する解析処理は、他の装置において実行するようにしたので、ネットワーク情報収集装置における処理負荷を軽減できる。企業の規模が大きくなればなるほど、監視ポイントを通過するネットワーク情報の数は爆発的に増加するため、ネットワーク情報収集装置を安定して稼動させるためには、可能な限り収集処理に専念させることが好ましいのでである。
以下に本発明の上位概念、中位概念および下位概念の理解に役立つ一実施形態を示す。なお、以下の実施形態に含まれる概念について、そのすべてが特許請求の範囲に記載されているとは限らない。ただし、これは特許発明の技術的範囲から意識的に除外したのではなく、特許発明と均等の関係にあるため特許請求の範囲には記載していない場合があることを理解していただきたい。
また、以下では、ネットワーク情報収集に好適な様々な技術的特徴を個別具体的に説明するが、各技術的特徴は、矛盾がない限り、どのように組み合わせてもよいことはいうまでもない。
<ネットワーク情報収集システムの概要>
図1は、実施形態に係るネットワーク情報収集装置が設置されたネットワークの一例を示す図である。イントラネットすなわち企業内ネットワーク100は、インターネット101に対して、ルータ110を介して接続されている。インターネット101には、WEBサーバ装置102や他のネットワークが接続されている。企業内ネットワーク100には、メールサーバ111、ハブ112およびPC113が接続されている。
図1は、実施形態に係るネットワーク情報収集装置が設置されたネットワークの一例を示す図である。イントラネットすなわち企業内ネットワーク100は、インターネット101に対して、ルータ110を介して接続されている。インターネット101には、WEBサーバ装置102や他のネットワークが接続されている。企業内ネットワーク100には、メールサーバ111、ハブ112およびPC113が接続されている。
ネットワーク情報収集装置120は、監視ポイント121を通過するネットワーク情報を収集する。収集したネットワーク情報は、外部の情報解析装置130において解析される。情報解析装置130は、記録されたログファイルを読み出して解析する解析ユニット(CPU、メモリおよび解析処理用のコンピュータプログラム)131を備えているものとする。
ネットワーク情報収集装置120には、任意のプロトコル階層にかかるネットワーク情報を受信する受信ユニットと、ネットワーク100上での伝送時の情報形式を維持した状態で当該ネットワーク情報を記録する記録ユニットを備えている。とりわけ、ネットワーク上での伝送時の情報形式を維持した状態でもってネットワーク情報を記録するようにしたので、情報解析装置130は、ネットワーク情報の伝送状況を後に正確に再現することが可能となる。なお、任意のプロトコル階層とは、複数あるうちの特定個のプロトコル階層も含む概念である。
本実施形態に係るネットワーク情報収集装置120は、監視ポイント121に設置されたハブを介して、企業内ネットワーク100内を伝送されるネットワーク情報を収集する。一般に、イーサネット(登録商標)では、ブロードキャスト形式で情報を伝送しているので、大半の情報を監視ポイントからネットワーク情報収集装置120に取り込むことができる。
なお、上記ハブ112がスイッチングハブの場合、通常、ネットワーク情報収集装置120が全ての情報を入手できないおそれがある。そこで、スイッチングハブが備える複数のポートのうち、ネットワーク情報収集装置が接続されるポートには、全ての情報をコピーして再送信するよう設定しておくものとする。すなわち、当該ポートだけは、通常のハブのように動作することになる。
また、企業内ネットワーク100が複数のサブネットワークから構成される場合、本実施形態に係るネットワーク情報収集装置をサブネットワークごとに配置することで、企業内ネットワークにおける必要なネットワーク情報情報を好適に記録することが可能となる。
本実施形態によれば、監視ポイント121にネットワーク情報収集装置120を設置することで、ネットワーク情報を収集するためのコンピュータプログラムをPC113の全てにインストールすることなく、ネットワーク情報を好適に収集できるようになる。
なお、ネットワーク情報収集装置120の受信ユニット(CPU、通信装置およびコンピュータプログラムなど)は、ネットワーク100上で送信される問い合せ要求を遮断または無視するユニットを含むことが望ましい。なぜなら、ネットワーク100上でのネットワーク情報収集装置120の存在を隠匿することで、悪意のユーザによる情報漏洩の痕跡を収集でき、またネットワーク情報収集装置120に対する悪意のユーザによる攻撃を抑止することが可能となろう。もちろん、この隠匿機能はオプションである。たとえば、ネットワーク情報収集装置120を隠匿することなく、イントラネット100を構成するコンピュータ113の一台をネットワーク情報収集装置120としてもよいことはいうまでもない。
図2は、実施形態に係るネットワーク情報収集装置の例示的なブロック図である。ハブ211は、3つのポート212a、212bおよび212cを備えている。ポート212aには、ルータ110側へのケーブルが接続されている。ポート212bには、ネットワーク情報収集装置120へのケーブルが接続されている。ポート212cには、ハブ112およびPC113へのケーブルが接続されている。
ネットワーク情報収集装置120には、ネットワーク情報収集装置120の中央演算処理装置として動作するCPU201と、一時的なデータを記憶するためのRAM202と、ブートプログラムや本実施形態に係るネットワーク情報収集プログラムなどを記憶するROM203と、ハブ211から送信されるネットワーク情報を受信する通信装置(NIC)204と、脱着交換可能な外部記憶装置(HDD)206を接続するためのインタフェース回路(IF)205などが含まれている。なお、各種の指示やデータを入力するためのキーボードやポインティングデバイス(KBD)208がネットワーク情報収集装置120に含まれてもよい。
外部記憶装置206には、収集したネットワーク情報がログ207として記録される。なお、ネットワーク情報収集プログラム等を記録するためのハードディスクドライブ等の内部記憶装置がさらに含まれてもよい。NIC204は、ネットワーク110の種類にも依存する装置であり、一般にはイーサネット(登録商標)カードである。なお、ネットワーク情報収集装置120の存在を秘匿するには、図2で×印を付したように、NIC204からネットワーク側に対しては信号を送出しないことが望ましい。IF205は、たとえば、USB、IEEE1394またはイーサネット(登録商標)などの通信インタフェース回路である。
ハブ211において、ポート212aまたは212cに到着したネットワーク情報の電気信号はコピーされ、ポート212bなど他のポートへと再送信される。
ネットワーク情報収集装置120は、ポート212bからの情報をNIC204で受信する。NIC204は、イーサネット(登録商標)に接続するための一般的な通信機能を有する。なお、通常のPCに搭載されたNICであれば、受信した信号の宛先が、自分のMACアドレスであるかどうかを判断し、自分のMACアドレスが宛先となっていれば、その情報をCPU201が処理できるようにRAM202に書き込む。
本実施形態によれば、ネットワーク情報収集装置120の目的は、ネットワーク100を流れている全ての情報を収集して記録することにあるので、NIC204は、自己のMACアドレスの如何にかかわらず、全てのネットワーク情報を収集してRAM202に記録する。このようにNIC204を動作させる方法は、いくつか存在するが、1つは、プロミスキャスモードに設定することである。プロミスキャスモードとは、自分宛てのパケットだけでなく、他人宛てのパケットまでも取り込んでしまうモードであり、自分宛てのパケットだけを取り込む通常モードとは区別される概念である。NIC204は、バス209を経由してRAM202に情報を転送する。
NIC204が取り込む情報は、通常、レイヤ2のフレーム情報である。一方、レイヤ3のパケット情報は、フレームのデータ部に格納されている。そこで、受信した情報をRAM202に記録する際には、フレーム単位、あるいはパケット単位で記録する。これらの情報の記録が完了したことは、割り込み処理などでCPU201に通知される。
ネットワーク情報収集装置120として動作するためのコンピュータプログラムは、予めROM203からRAM202にロードされており、CPU201は、その指示に従って動作する。NIC204からフレームあるいはパケットの受信完了の通知があると、CPU201は、当該プログラムの手順に従って、RAM202からネットワーク情報を読み出して、ログファイル207を作成し、作成したログファイル207を外部記憶装置206へと記録する。
外部記憶装置206は、ハードディスクドライブ、DVDドライブ、CD−Rドライブ、またはUSBメモリなど、情報の記録が可能であればどのような記録装置であってもよい。また、本実施形態に係るネットワーク情報収集装置120は、一ヶ月などの所定期間にわたって連続してネットワーク情報を収集することが望まれる。そのため、外部記憶装置206の空き容量が所定の閾値以下となった場合には、他の外部記憶装置に交換することで、ネットワーク情報の記録を継続できなければならない。
さらに、情報解析装置130においてログファイル207を解析する際には、できるだけ簡単な方法でログファイル207を情報解析装置130に与えなければならない。そのためには、外部記憶装置206をネットワーク情報収集装置120から取り外して、情報解析装置130に接続できるようにすることが望ましい。
このような事情から外部記憶装置206は脱着交換可能な記録媒体であることが望ましい。とりわけ、USBインタフェースやIEEE1394インタフェースを備えたハードディスクドライブであれば、脱着が容易であり、かつ、ネットワーク情報収集装置120が稼動中であっても交換できるので、とりわけ便利であろう。
外部記憶装置206へのネットワーク情報の記録は、ログファイル207を作成することで実施する。ログファイル207には、ネットワーク100上での伝送時の情報形式を維持した状態で記録される。CPU201は、日時情報など後の解析処理で必要となる付加情報もログファイル207に記録してもよい。
ログファイル207は、企業内ネットワーク100が正常に運用されていたことを記録に残すための手段である。企業内ネットワーク100に外部から侵入が発生したような場合、あるいは企業内のPC113により企業内の機密情報が意図的に外部に漏れた兆候が見られた場合には、ログファイル207の記録を調べることで、これら不都合の有無を確認することができよう。
<伝送時の情報形式を維持した状態でのネットワーク情報の収集>
次に、任意のプロトコル階層についてのネットワーク情報に編集処理などを加えずに伝送時の情報形式のまま記録するネットワーク情報収集方法の詳細について説明する。
次に、任意のプロトコル階層についてのネットワーク情報に編集処理などを加えずに伝送時の情報形式のまま記録するネットワーク情報収集方法の詳細について説明する。
図3は、実施形態に係るネットワーク情報の収集処理の概念を説明するための図である。図3において企業内ネットワーク100を流れるネットワーク情報の一例として、第1のフレーム301と、第2のフレーム302とが例示されている。第1のフレームおよび第2のフレームは、通常、ルータ110を経由してインターネット101に伝送されるものと仮定する。
図4は、実施形態に係るネットワーク情報収集方法の例示的なフローチャートである。このネットワーク情報収集方法は、ネットワーク情報収集装置120において実行されるネットワーク情報収集プログラム(ネットワークモニタ)の処理手順に関するものである。
ステップS401において、ネットワーク情報収集装置120のCPU201は、NIC204を制御し、任意(全てまたは一部)のプロトコル階層に係るネットワーク情報を受信する。たとえば、ネットワーク100上を伝送される第1のフレーム301および第2のフレーム302を、ハブ211を経由して受信する。受信したフレームは一旦RAM202に記憶される。
ステップS402において、CPU201は、ログファイル207を作成する。たとえば、CPU201は、受信したフレームらをRAM202から読み出して、受信したフレームに編集処理などを加えることなく、すなわち伝送時の情報形式を維持した状態でログファイル207に格納してゆく。
ステップS403において、CPU201は、作成したログファイル207を、IF205を経由して外部記憶装置に記録する。
なお、ステップS402とS403は実質的に1つのステップと考えてもよい。なぜなら、外部記憶装置106のログファイル207に対して、受信したフレームをアペンド(追記)して行く場合は、ログファイル207の作成と記録は同時に行われていると考えられるからである。
ところで、CPU201は、ネットワーク情報(第1のフレームなどの情報)以外に、各ネットワーク情報を入手したときの日時情報や当該フレームのヘッダ情報などの付加情報301をログファイル207に格納してもよい。なお、付加情報301は、ネットワーク情報とは明確に区分される形式で記録されることが望ましい。これは、後の情報解析装置130における解析処理を円滑に行うためである。
以上説明したように、本実施形態によれば、ネットワーク情報収集装置120の主な機能を、ネットワーク情報の収集と記録に必要となる最低限の機能に限定することで、収集したネットワーク情報の解析処理は、別のPCなどの情報解析装置130に任せるようにしている。これにより、情報収集時におけるCPU201の処理負荷が軽減される。
さらに、収集されたネットワーク情報を元に、ネットワーク動作の再現シミュレーションを実行すれば、ネットワーク情報を収集したときの事象を調べることが可能となろう。従来のネットワークモニタは、リアルタイムでネットワーク情報を取得して解析することはできたが、ネットワーク情報を伝送時の情報形式を維持した状態で記録してはいなかった。そのため、後にネットワーク情報を好適に再現することができなかった。それに対して、本実施形態では、伝送時の情報形式を維持した状態でネットワーク情報を記録媒体に記録するようにしたので、企業内ネットワーク100におけるネットワーク情報の伝送状況を、後に好適に再現することが可能となる。
また、各ネットワーク情報を入手したときの日時情報やフレームのヘッダ情報などを付加情報301としてログファイル207に格納すれば、後の情報解析装置130におけるネットワーク情報の解析処理が円滑に行えるようになろう。
<特定のプロトコル階層を指定したネットワーク情報の収集>
上述の実施形態では、たとえば、全てまたは一部のプロトコル階層についてのネットワーク情報に編集処理などを加えずに、伝送時の情報形式のまま記録することができる。しかしながら、全てのネットワーク情報を記録すれば、ネットワーク情報の解析処理が煩雑になり、情報解析装置130の処理速度が遅くなる。もちろん、ネットワーク情報収集装置の処理負荷も重くなる。一方で、解析の目的によっては、特定のプロトコル階層に関するネットワーク情報だけ収集すれば十分な場合もある。
上述の実施形態では、たとえば、全てまたは一部のプロトコル階層についてのネットワーク情報に編集処理などを加えずに、伝送時の情報形式のまま記録することができる。しかしながら、全てのネットワーク情報を記録すれば、ネットワーク情報の解析処理が煩雑になり、情報解析装置130の処理速度が遅くなる。もちろん、ネットワーク情報収集装置の処理負荷も重くなる。一方で、解析の目的によっては、特定のプロトコル階層に関するネットワーク情報だけ収集すれば十分な場合もある。
そこで、本実施形態では、指定した特定のプロトコル階層についてのネットワーク情報を収集する処理について説明する。
一般に、ネットワーク情報は、複数のプロトコルに応じて階層化された構造を有している。すなわち、上位のプロトコル層(上位層)のフレーム(プロトコルに依存して、パケットまたはセグメントと呼ばれることもある。)を内包する形で下位のプロトコル層(下位層)のフレームが形成されている。すなわち、下位層のフレームのデータ部(ペイロード部)には、上位層のフレームが搭載されている。たとえば、IPパケットには、より上位のプロトコル層のデータであるTCPセグメントが内包されている。
図5は、実施形態に係る他のネットワーク情報収集方法の例示的なフローチャートである。
ステップS501において、CPU201は、入力装置208から入力される、特定のプロトコル階層の指定指示を受け付ける。なお、
この指定処理は、ログファイル207に対して記録するネットワーク情報の記録形式を指定するものと考えてもよい。たとえば、入力装置208からフレームレベルが指定されると、CPU201は、ログファイル207にフレーム形式でネットワーク情報を記録する。IPパケットレベルが指定されると、CPU201は、フレームのデータ部分、つまりIPパケットをネットワーク情報としてログファイル207に記録する。なお、指定されたデータ以外のフレームデータは記録を省略する。
この指定処理は、ログファイル207に対して記録するネットワーク情報の記録形式を指定するものと考えてもよい。たとえば、入力装置208からフレームレベルが指定されると、CPU201は、ログファイル207にフレーム形式でネットワーク情報を記録する。IPパケットレベルが指定されると、CPU201は、フレームのデータ部分、つまりIPパケットをネットワーク情報としてログファイル207に記録する。なお、指定されたデータ以外のフレームデータは記録を省略する。
ステップS502において、CPU201は、指定されたプロトコル階層に係るネットワーク情報をNIC204によって受信する。実際には、NIC204は、ネットワーク100を伝送される全てのプロトコル階層に係るネットワーク情報を受信することになっているが、本実施形態では、指定されたプロトコル階層に係るネットワーク情報だけをRAM202に転送するように制御される。もちろん、RAM202には、全てのネットワーク情報を取り込み、CPU201が、指定されたプロトコル階層に係るネットワーク情報だけをログファイル207に格納するよう制御してもよい。いずれの場合も、指定されたプロトコル階層に係るネットワーク情報の受信処理と観念できよう。
ところで、通常、NIC204には、ファームウエアを含む小規模な処理ロジックが搭載されている。上述したように、NIC204は、そのファームウエアに従って、自分のMACアドレス宛のネットワーク情報を識別して取り込み、それ以外のネットワーク情報は廃棄するように動作する。また、NIC204は、受信したフレームのデータ部だけ、つまりIPパケットをRAM202に転送する。なお、ファームウエアの動作は、NIC204を制御するドライバプログラムによって定義することが可能である。
そこで、本実施形態では、NIC204のドライバプログラムを介して、NIC204のファームウエアに対してプロトコル階層を指定することにより、ネットワーク情報収集装置は、フレーム、IPパケット、セグメントまたはさらに上位のネットワーク情報をログファイル207に記録することができるようになる。
ステップS503において、CPU201は、指定されたプロトコル階層に係るネットワーク情報をRAM202から読み出し、伝送時の情報形式を維持した状態で、ログファイル207を作成する。
ステップS504において、CPU201は、作成したログファイル207を、IF205を経由してHDD206に記録する。なお、ステップS503とS504は、実質的に1つのステップと考えてもよいことは上述したとおりである。
以上説明したように、本実施形態によれば、指定した特定のプロトコル階層についてのネットワーク情報を収集するようにしたので、解析に必要となる情報だけを効率よく収集できる。これにより、ネットワーク情報収集装置120の処理負荷が軽減されよう。とりわけ、必要なネットワーク情報だけが解析装置130に付与されるようになるので、解析装置130の処理負荷が軽減されよう。また、外部記憶装置(HDD206)の記憶容量を節約できるであろう。
<ネットワーク情報収集装置の秘匿>
本実施形態では、ネットワーク情報収集装置を秘匿する技術について説明する。
本実施形態では、ネットワーク情報収集装置を秘匿する技術について説明する。
一般に、企業内ネットワークに接続されたパソコンなどの端末装置は、自己の存在を知らせるために、MACアドレスなどの問合せに対して応答する機能を備えている。この代表例が、ARPプロトコルである。インターネット101からIPパケットが到着すると、ルータ110は、当該IPパケットを届けるためにIPパケットに記録されているIPアドレスを探索する。その際に、ルータ110は、ARP問い合せを企業ネットワーク100に対してブロードキャストし、該当のIPアドレスを有する端末装置からのARP応答を待つ。通常は、ARP問い合せにおいて指定されたIPアドレスを所有するパソコンが、自己のMACアドレスを搭載したARP応答を返信する。ルータ110は、IPパケットをフレームのデータ部に搭載し、ARP応答に含まれているMACアドレスを宛先として当該フレームを転送する。
同様に、NICは、PINGに対しても自動的に応答するのが通常である。PINGプロトコルは、企業内ネットワーク接続された端末装置がアクティブ状態であるかどうかを他のコンピュータから問い合わせるために利用されるプロトコルである。とりわけ、インターネットで問題視されているワームの中には、このPINGプロトコルを悪用して、コンピュータを誤動作させるものがある。
このような問い合せに対して、ネットワーク情報収集装置120のNIC204が通常どおり応答を返してしまうと、ネットワーク情報収集装置120がネットワーク100内に存在することが露呈してしまう。露呈してしまえば、ワームの攻撃対象となるなどの不具合が発生する。
そこで、本実施形態では、ARP、PING、あるいはその他の同様なプロトコルに対する問い合せ要求を遮断または無視する技術について説明する。これにより、企業内ネットワーク100におけるネットワーク情報収集装置120の存在を秘匿することができ、最終的には、ワームなどによる破壊活動から防御することが可能になる。
図6は、実施形態に係るネットワーク情報収集装置の秘匿技術について説明する図である。この例では、ARPプロトコルについて示している。
ルータ110からブロードキャストされたAPR問い合せは、ハブ211およびハブ112を経由して、各PC113に到達する。一方、ハブ211において、APR問い合せが、ネットワーク情報収集装置120に対しても送信される。また、NIC204には、ユニークなMACアドレスが割り振られているものとする。
一般に、ARP問い合せがPC113のIPアドレスを指定しているのであれば、PC113は、自分宛のARP問い合せであると判断し、自己のNICに割り当てられたMACアドレスを含むARP応答をルータ110に送信する。一方、ARP問い合せがPC113のIPアドレスと異なる場合には、PC113は、ARP応答を送信することはない。
一方、ネットワーク情報収集装置120は、他の装置宛てのAPR問い合せだけでなく、自分宛てのARP問い合せについてもARP応答を返信しないように制御される。たとえば、NIC204のファームウエアまたはCPU201は、ARP問い合せまたはPINGなど、ネットワーク情報収集装置120の存在を露呈させてしまうような問い合せ要求を受信したと判定すると、当該問い合わせ要求を無視することで、NIC204が応答を返さないように制御する。
なお、ハブ211が、ネットワーク情報収集装置120の接続されたポートにARP問い合せやPING等を送出しないように制御してもよい。これにより、当該ポートへの問い合せが遮断されることになる。
このような遮断処理を実行しない場合にも、次の方法により同様の効果が得られる。ネットワーク情報収集装置120から送信されてきた応答を当該ポートにおいて受信した場合に、ハブ211は、当該応答を遮断し、他のポートへと送出しないように制御する。極端な場合、ネットワーク情報収集装置120が接続されたポートは、ネットワーク情報収集装置120に対して信号の送出のみ行い、ネットワーク情報収集装置120からの信号は遮断するように構成してもよい。
以上説明したように、本実施形態によれば、ネットワーク上で送信される問い合せ要求を遮断または無視するユニットを設けることで、ネットワーク100上でのネットワーク情報収集装置120の存在を隠匿することが可能となる。これにより、ワーム等の攻撃からネットワーク情報収集装置120を防御することが可能となろう。
<ネットワーク情報を連続収集するための好適な技術>
本実施形態では、ネットワーク情報の収集および記録を、可能な限りノンストップで実行するための技術を提案する。
本実施形態では、ネットワーク情報の収集および記録を、可能な限りノンストップで実行するための技術を提案する。
従来のネットワークモニタは、瞬時のネットワーク情報を収集して解析することを目的としており、たとえば、1月間連続運転してネットワーク情報を瞬断なく記録することができなかった。
しかしながら、過去のネットワーク情報に基づいて、ネットワーク情報の収集時の状況を正確に再現するためには、できる限り長期間の連続したネットワーク情報が必要となることが多い。
ところで、端末装置が数百程度しか存在しない比較的小規模の企業内ネットワークにおいて流通する情報を一日記録すると、その際のログファイルのサイズは、たとえば、5ギガバイト程度となる。この場合、1月間のネットワーク情報を全て記録するには、外部記憶装置206の記憶容量は100ギガバイト以上でなければならないだろう。ところが、外部記憶装置206の記憶容量が40ギガバイトしかないと、記録期間(1月)の途中で記録不可能になってしまう。
この場合には、他の外部記憶装置へと交換することで、残りの記録期間についてもネットワーク情報を記録可能となろう。このように外部記憶装置206の交換が必要な状況では、外部記憶装置206の脱着交換が容易でなければならない。
さらに、外部記憶装置206を脱着交換したとしても、ネットワーク情報が欠落することなくログファイル207に記録されなければならない。また、外部記憶装置206の交換時期を適切なタイミングでユーザに通知することで、交換を促進する必要もある。そこで、本実施形態では、これらの課題の少なくとも1つを解決する技術を提案する。
図7は、実施形態に係る他のネットワーク情報収集装置の例示的なブロック図である。既に説明した個所には同一の参照符号を付すことで説明の重複を回避する。
図8は、実施形態に係る他のネットワーク情報収集処理の例示的なフローチャートである。ステップS801において、CPU201は、外部記憶装置206の空き容量を取得し、空き容量が所定の閾値以下か否かを判定する。この閾値は、新しい外部記憶装置の交換処理に必要となる時間を考慮して決定される。もし、閾値と外部記憶装置206との最大記憶容量が近接していると、外部記憶装置の交換が間に合わず、いくつかのネットワーク情報を記録し損ねてしまう。そのため、閾値は、ある程度余裕を持った値とすることが望ましい。例えば、100ギガバイトの外部記憶装置であれば、閾値を98ギガバイトにするが如くである。判定の結果、閾値以下であれば、ステップS802に進む。
ステップS802において、CPU201は、表示装置720に外部記憶装置の交換を促進するためのメッセージを表示する。これにより、外部記憶装置の交換が促進されることになる。
ステップS803において、CPU201は、遅くとも外部記憶装置の交換が開始される前に、外部記憶装置206へのログファイル207の書き込みを停止する。
ステップS804において、CPU201は、受信したネットワーク情報に関する暫定ログファイル710をRAM202に記憶しておく。
ステップS805において、CPU201は、新しい外部記憶装置706に対して記憶可能となるまで待機する。
ステップS806において、CPU201は、暫定ログファイル710をRAM202から読み出し、記憶可能となった外部記憶装置706にログファイル707として書き込む。
なお、IF205がUSBインタフェースであれば、通常複数のUSBポートが存在するので、脱着可能な外部記憶装置を複数接続することもできる。この場合、外部記憶装置206の空き容量が閾値を超えると、CPU201は、外部記憶装置706に対してログファイル207を記録し始める。その際に、CPU201は、空き容量の少ない外部記憶装置206の交換を促進するためのメッセージを表示装置720に表示してもよい。
以上説明したように、本実施形態によれば、外部記憶装置の空き容量を監視し、空き容量が所定閾値以下となると、外部記憶装置の交換を促進する促進ユニットが実現される。
さらに、本実施形態によれば、外部記憶装置206の交換作業の間に受信されたネットワーク情報を一時的にRAM202に記憶しておき、外部記憶装置206の交換が終了すると、RAM202に記憶されているネットワーク情報を、交換後の外部記憶装置206へと書き込むようにした。これにより、企業内ネットワーク100を流れるネットワーク情報を漏れなく、かつ、長期間に渡って連続して収集することが可能となる。
<ログファイルの分割>
上述の実施形態では、外部記憶装置の交換に伴い、ログファイルが複数に分割されるものであった。一方、1つの外部記憶装置においても、ログファイルを複数に分割してもよい。たとえば、所定時間(1日など)ごと、または所定サイズ(10メガバイト)ごとにログファイルを分割するが如くである。このようにログファイルを分割しておけば、解析処理の効率が向上する。
上述の実施形態では、外部記憶装置の交換に伴い、ログファイルが複数に分割されるものであった。一方、1つの外部記憶装置においても、ログファイルを複数に分割してもよい。たとえば、所定時間(1日など)ごと、または所定サイズ(10メガバイト)ごとにログファイルを分割するが如くである。このようにログファイルを分割しておけば、解析処理の効率が向上する。
より具体的には、大規模なデータを一つのファイルに記録してしまうと、現在のコンピュータシステムでは、ファイルのアクセス利用効率が極端に低下してしまう。なぜなら、ファイルの読み込みなどの処理に、ファイルサイズに応じて累積的にCPUの処理時間が増大するからである。よって、ログファイルを適宜分割しておくことは利点が多い。
たとえば、ネットワーク情報収集装置120において、それぞれ一日単位で異なるファイル名が付与された複数のログファイルを記録すれば、一月では30のログファイルが作成されることになる。またネットワーク情報が多いときは、1時間単位でログファイルを分割してもよい。この場合は、一日で24ファイルが作成されることになるし、30日では720ファイルが作成されることになる。
このように、ログファイルを複数に分割する際には、各ログファイルがどのような順番で取得されたものであるかを把握できるようにしておかないと、情報解析処理が煩雑となる。特に、あるネットワーク情報が複数のログファイルにまたがって記録されてしまうと、解析処理が滞ってしまうことも考えられる。
この問題の解決方法としては、各ログファイルの前後関係を識別するための順序情報を付加することであろう。ここでいう前後関係とはネットワーク情報の受信順序である。
そこで、本実施形態では、ログファイルの分割技術と、その際における情報の連続性を保障する技術とを提案する。
図9は、実施形態に係るネットワーク情報収集装置の例示的なブロック図である。収集されたフレームは、RAM202に収集フレーム情報901として記憶される。収集フレーム情報901には、複数のPC113のそれぞれに関するフレーム902、903が混在して記録されている。
ネットワーク情報収集装置120は、ログファイル207の記録を中断なく長時間継続するため、特定の条件で記録中のログファイルから新しいフログァイルに切り替える必要がある。まず、CPU201は、RAM202に一時的に記録されている収集フレーム情報901を、外部記憶装置206のログファイル911に順次追記してゆく。その後、CPU201は、特定の条件が発生したとき(たとえば、日時が切り替わったり、ログファイルのサイズが所定の閾値を超えたりしたときなど)に、今まで記録していたログファイル911への記録を停止し、新しいログファイル921を作成してそこへ収集フレーム情報901を追記する。
ログファイル911およびログファイル921の各ファイル名には、前後関係が明確に分かるようなファイル名を付与することが望ましい。たとえば、CPU201は、タイマーから日時情報を取得し、取得した日時情報をファイル名に反映させてもよい。より具体的には、ログファイル911のファイル名を「200412031800」とし、ログファイル921のファイル名を「200410031900」とするが如くである。これにより、年月日時刻などを容易に判定できるため、複数のログファイル間における記録の前後関係も容易に把握できるようになる。
代替的に、CPU201は、各ログファイルのファイル名に一連番号を付与してもよい。たとえば、8ビットで循環するモジュロ演算を利用すると仮定すれば、0から1023までの数値を順にファイル名として付与し、1023の次はモジュロのルールに従って0に戻るようにする。これにより、一連のログファイルについて、ファイル名から記録時刻に関する前後関係を容易に把握することができる。
なお、収集された各フレーム902や903についても収集時刻の前後関係を把握できるようにするために、CPU201は、収集された各フレームについて、それぞれ付加情報905を追加してもよい。付加情報905は、各フレームの収集時刻の前後関係を示す情報が含まれることになる。たとえば、上述の年月日時刻などの情報、もしくは連続番号などの如くである。連続番号を付与する具体例を説明する。各フレームに対し、連続番号として8ビットのモジュロ番号を付与する場合には、100、101、102、103と順に付加情報が付与されることになる。
図のライン904の時点で、ログファイルを切り替えるための条件が発生したとする。すなわち、連続番号「102」を付与した後であって、連続番号「103」を付与する前に当該切り替え条件が満たされたとする。この場合、ログファイル911に含まれるフレーム913への付加情報912は「102」で終了することになる。一方、その後のログファイル921に含まれるフレーム923への付加情報922は「103」以降の連続番号が順次付与されることになる。
以上説明したように本実施形態によれば、ログファイルを複数のファイルに分割することで、解析処理の効率化を図れるようになる。さらに、ログファイル間の前後関係や、ログファイルに含まれるネットワーク情報の前後関係についても、ファイル名や付加情報によって保持するようにしたので、各情報間の前後関係を一意に識別可能となる。
<収集したネットワーク情報の暗号化>
本実施形態では、収集したネットワーク情報に暗号化処理を施して記録する技術を提案する。一般に、企業ネットワーク100を伝送されるフレームやパケットには、重要な機密情報が含まれている可能性もある。もし、上述のログファイルが、正当な所有者以外の組織や人に渡ってしまうと、機密情報などが外部に漏れることになる。そこで、本実施形態では、暗号化を施すことで、復号化の手順を知らない第三者が、ログファイルにアクセスしたとしても容易に解読できないようにする。
本実施形態では、収集したネットワーク情報に暗号化処理を施して記録する技術を提案する。一般に、企業ネットワーク100を伝送されるフレームやパケットには、重要な機密情報が含まれている可能性もある。もし、上述のログファイルが、正当な所有者以外の組織や人に渡ってしまうと、機密情報などが外部に漏れることになる。そこで、本実施形態では、暗号化を施すことで、復号化の手順を知らない第三者が、ログファイルにアクセスしたとしても容易に解読できないようにする。
図10は、実施形態に係る暗号処理を実行するネットワーク情報収集装置の例示的なブロック図である。なお、既に説明した個所には同一の参照符号を付すことで、重複した説明を回避している。
CPU201は、暗号化キー1001と所定の暗号化アルゴリズムとを使用し、収集フレーム情報901の各フレーム902と各付加情報905とを暗号化し、暗号化ネットワーク情報1002を生成する。CPU201は、生成した暗号化ネットワーク情報1002をログファイル207に追記してゆく。
なお、暗号化処理で使用される暗号化キー1001は、入力装置208から入力されてもよい。また、暗号化キー1001やこれに対応する復号化キーは、外部記憶装置206には記憶しないように制御する。すなわち、外部記憶装置206が、脱着可能な記憶装置の場合、盗難にあうと、記録内容が解読され、企業内ネットワーク100を伝送された情報が漏洩してしまう。特に、暗号化キー1001やこれに対応する復号化キーが、ログファイルと同一の記憶装置に記憶されていると、漏洩の確率は高まってしまう。よって、暗号化キー1001やこれに対応する復号化キーは、外部記憶装置206には記憶しないように制御する。
以上説明したように、本実施形態によれば、ネットワーク情報を暗号化しておくことで、ネットワーク情報に含まれる機密情報の漏洩を困難にすることができる。また、暗号化キーや復号化キーを、ネットワーク情報とは別に管理するようにしたので、ログファイルが記憶された外部記憶装置が盗難に遭っても、ネットワーク情報を解読することは非常に困難である。
<収集したネットワーク情報の分類分け>
本実施形態においては、収集したネットワーク情報を分類するための付加情報を各ネットワーク情報に付加してログファイルに記録する技術を提案する。
本実施形態においては、収集したネットワーク情報を分類するための付加情報を各ネットワーク情報に付加してログファイルに記録する技術を提案する。
図11は、実施形態に係るネットワーク情報収集装置の例示的なブロック図である。一般に、企業ネットワーク100などのLANは、共用型の伝送媒体であるため、同時に複数の端末からのネットワーク情報が伝送されている。この図では、PC113aとPC113bとが、それぞれ独立に通信リンク1100aと1100bとを使用して、それぞれ外部と通信している。PC113aの通信リンク1100aでは、複数のフレーム1101aが伝送されている。同様にPC113bの通信リンク1100bでは、複数のフレーム1101bが伝送されている。これらのフレームは同時に送受されるため、ネットワーク100上で混在することになる。たとえば、ログファイルの解析装置130において、PC113aのネットワーク情報だけをログファイル207から選択するには、ログファイル207から各フレームを読み出し、さらに、その搭載情報(特に、アドレス情報など)を調査しなければならない。この処理は、解析処理の速度を低下させるおそれがある。
そこで、本実施形態においては、収集したネットワーク情報を分類するための付加情報を各ネットワーク情報に付加してログファイルに記録する。たとえば、セッション情報、プロトコル種別、IPアドレス、またはポート番号などを分類要素として分類処理を実行する。そして、分類記号が付加情報として記録されることになる。これにより、収集されたネットワーク情報に関する解析処理において、解析対象となる情報を容易に選択することが可能となる。
なお、ログファイルの記録開始前に、これらの分類要素を表す分類記号を入力装置208から指定するようにしてもよい。すなわち、CPU201は、入力された分類記号1111と、分類条件である分類情報1112とを関連付けて分類表1110を作成し、RAM202に記憶しておく。
CPU201は、NIC204により受信されたフレーム1122に対して、分類記号1111を付加情報1121として付加する。分類記号1111は、RAM202に記憶されている分類表1110に基づいて選択される。分類表1110には、分類のキーとなる分類情報1112と、当該分類情報に対応する分類記号1111とが対になって記憶されている。分類情報1112は、分類方法を指定する情報が含まれている。たとえば、送信側のIPアドレス、受信側のIPアドレス、およびポート番号などの組み合わせが、分類情報1112に含まれている。
たとえば、分類情報1112に、PC113aのネットワーク情報を特定するために必要となる送信側のIPアドレス、受信側のIPアドレス、およびポート番号の組み合わせを分類条件として記述しておけば、CPU201は、PC113aのフレーム1101aを受信したときに、当該フレームに合致する分類情報1112を分類表1110から検索して抽出し、抽出された分類情報に対応する分類記号1111を分類表1110から読み出すことができる。CPU201は、読み出した分類記号111を付加情報1121に含め、当該付加情報をフレーム1101aに付加し、ログファイル207に記録する。
一方、ログファイル207を解析する際に、あるネットワーク情報に特定の分類記号を示す付加情報が付加されていれば、付加情報の内容判定するだけで、特定のPCに関する複数のフレームを容易に抽出することができる。これにより、付加情報を用いない従来の解析処理と比較し、本実施形態に係る解析処理は、解析処理時間を短縮することができる。
なお、分類表1110には、アプリケーションレイヤの識別するための分類情報が含まれてもよい。たとえば、PC113aが、複数のアプリケーションにより同時に複数の通信を実行しているときは、各アプリケーションに対応するセッションを識別できるような付加情報を各フレームに付加できるようになる。
たとえば、PC113aが、WEBアクセスをしながらメールを送受したような場合には、WEBアクセスとメールの送信とを区別するための分類情報を分類表に記述しておくことで、それぞれのフレームを区別するための分類記号を各フレームの付加情報として付加することができるようになる。
<重複データの記録省略処理>
一般に、複数のフレームにおいて、送信側PC、受信側PC、およびアプリケーションなどを示す情報が含まれているが、これらは全く同一のデータであることが多い。この場合、先頭の1フレームについてだけ、当該データを記録するだけで、残りのフレームについては同一のデータであることを示すコード等を付加情報に記述してくことで、ログファイルのサイズを減少させることができる。
一般に、複数のフレームにおいて、送信側PC、受信側PC、およびアプリケーションなどを示す情報が含まれているが、これらは全く同一のデータであることが多い。この場合、先頭の1フレームについてだけ、当該データを記録するだけで、残りのフレームについては同一のデータであることを示すコード等を付加情報に記述してくことで、ログファイルのサイズを減少させることができる。
図12は、実施形態に係るネットワーク情報収集装置の例示的なブロック図である。RAM202に記憶されている各フレーム1203には、通信識別情報1202が含まれている。この通信識別情報1202によって、各フレームが、PC113aに関するフレームか、PC113bに関するフレームであるかを識別できる。この通信識別情報1202は、同一の情報であるにもかかわらず、複数のフレームにおいて繰り替えし使用されている。これは、冗長である。
そこで、CPU201は、受信した複数のフレーム1203の各通信識別情報1202を読み出し、複数のフレーム間で通信識別情報1202が同一であるかを判定する。同一であれば、CPU201は、先頭のフレーム1203については、通信識別情報1202をそのまま維持するが、それ以降のフレーム1204や1205については、通信識別情報1202を削除してログファイル207に書き出してゆく。また、その際に、CPU201は、通信識別情報1202を削除されたフレーム1204,1205の付加情報1201には、通信識別情報1202が削除(省略)されたことを表す情報を記述しておく。
以上説明したように、本実施形態によれば、重複した情報を省略した上でログファイルを作成するようにしたので、ログファイルのサイズを減少させることができる。
<特定フレームの検出処理>
本実施形態では、特定のネットワーク情報を検出したときに通知を出力するようにする。一般のネットワークモニタは、収集処理を開始する前に、予め各種の処理条件を与えられてから収集処理を開始する。そして、開始したら終了するまでの間は、処理内容を追加したり、変更したりすることはできない。特に問題なのは、特定フレームの発生など、まれな事象の発生を好適に管理者に通知できないことである。
本実施形態では、特定のネットワーク情報を検出したときに通知を出力するようにする。一般のネットワークモニタは、収集処理を開始する前に、予め各種の処理条件を与えられてから収集処理を開始する。そして、開始したら終了するまでの間は、処理内容を追加したり、変更したりすることはできない。特に問題なのは、特定フレームの発生など、まれな事象の発生を好適に管理者に通知できないことである。
そこで、本実施形態では、中断なくかつ所定期間に渡ってネットワーク情報を収集しつつ、特定フレームが発生した場合にはその旨を管理者に通知するネットワーク情報収集装置を提案する。
図13は、実施形態に係るネットワーク情報収集装置の例示的なブロック図である。既に説明した個所には同一の参照符号を付すことで重複した説明を回避している。
キーボード等の入力装置208から監視対象となる特定フレームに関する情報が入力されると、CPU201は、入力された特定フレームに関する情報を、RAM202に記憶されている特定フレームの指定情報1301に追加する。なお、特定フレームに関する情報の追加指定、削除、編集等の処理は、CPU201が、ネットワーク情報の収集中においても実行してよい。
CPU201は、NIC204によって受信したフレームについて、特定フレームに合致するか否かを判定する。もし、合致したフレームであれば、CPU201は、表示装置720から、特定フレームの発生を表す通知を表示する。なお、表示に代えて、不図示の音声出力回路から警告音を出力してもよいし、管理者宛ての電子メールアドレスに警告メールを送信してもよい。
以上説明したように、ネットワーク情報収集装置がネットワーク情報を中断なく収集記録しなければならない状況下において特定フレームが発生した場合には、それを通知することが可能となる。これにより、特定フレームが発生した場合には、即座に、ログファイル207を解析して、原因を調査することが可能となる。また、特定フレームが発生した場合に、CPU201が、ログファイル207を分割すれば、特定フレームの発生原因を調査し易くなろう。
なお、ここで説明した特定フレームは、レイヤ2フレームに関するものであったが、これは一例に過ぎない。たとえば、レイヤ3のパケット情報やレイヤ4のセグメントなど他のデータ単位を、特定フレームとして扱ってもよいことはいうまでもない。
<ネットワーク情報収集装置に関するリモート操作>
上述の実施形態におけるネットワーク情報収集装置については、リモート端末から各種の設定を実行することができれば、ネットワーク情報収集装置の管理がし易くなろう。
上述の実施形態におけるネットワーク情報収集装置については、リモート端末から各種の設定を実行することができれば、ネットワーク情報収集装置の管理がし易くなろう。
以下では、その一例として、上述の特定フレームに関する指定、編集、削除に関する各種操作を、ネットワークを介したリモート端末から設定する技術を説明する。また、ネットワーク情報収集装置が検出した特定フレームの発生通知を、ネットワークを介したリモート端末に表示する技術も併せて説明する。
図14は、実施形態に係るネットワーク情報収集装置とリモート端末との例示的なブロック図である。リモート端末1400は、企業内ネットワーク100を介してネットワーク情報収集装置120と接続されている。
リモート端末1400のCPU1401は、ROM1403に記憶されている制御プログラムを実行することで、ネットワーク情報収集装置120を操作する。RAM1402は、制御プログラムのワークエリアとして使用される。
キーボード等の入力装置1408から設定操作(特定フレームの指定など)が入力されると、CPU1401は、NIC1404を制御し、設定命令をネットワーク情報収集装置120に送信する。
ネットワーク情報収集装置120のCPU201は、NIC204を介して設定命令を受信すると、設定命令に応じて、ネットワーク情報の収集処理の内容を変更する。たとえば、設定命令が、特定フレームの指定追加に関する命令であれば、設定命令に含まれる特定フレームに関する情報を、RAM202の特定フレームの指定情報1301に追加する。これにより、リモート端末1400からの設定操作を実現できる。
一方、CPU201は、特定フレームの発生を検出すると、発生通知をリモート端末1400に送信する。リモート端末1400のCPU1401は、当該発生通知を、NIC1404によって受信すると、表示装置1420から特定フレームの発生通知を出力する。これによりリモート端末1400を操作する管理者に特定フレームの発生を通知することができる。
以上説明したように本実施形態によれば、リモート端末1400からネットワーク情報収集装置120を操作することが可能となる。
なお、リモート端末1400は、必ずしも企業内ネットワーク1100内に存在している必要はない。ネットワーク情報収集装置120に接続できるのであれば、世界中のどの地域に位置してもよい。
ネットワーク情報収集装置120は、連続運転中にも、特定フレームの発生を監視し、その結果をリモート端末1400に通知する。そのため、ネットワーク情報収集装置120の傍に常に管理者が付き添うことは不要となり、監視活動における人的負担を軽減することができる。
<リモート記録媒体へのログファイルの記録>
本実施形態では、リモートにある記録媒体を利用するネットワーク情報収集装置について説明する。情報収集対象のネットワーク100の構成によっては、複数の監視ポイントからネットワーク情報を収集しなければ、全てのネットワーク情報を監視できない場合が存在する。その場合、複数の監視ポイントに上述のネットワーク情報収集装置120を収集すればよい。しかしながら、複数のネットワーク情報収集装置120を設置する場合、必ずしもログファイルを収集するための脱着可能な外部記憶装置206を各装置120が備える必要はない。すなわち、少なくとも1台のネットワーク情報収集装置120が外部記憶装置206を備えていれば、そのネットワーク情報収集装置120に対して、他のネットワーク情報収集装置120らは収集した情報を転送して記憶すればよい。そこで、本実施形態では、これらの課題を解決するための技術を提案する。
本実施形態では、リモートにある記録媒体を利用するネットワーク情報収集装置について説明する。情報収集対象のネットワーク100の構成によっては、複数の監視ポイントからネットワーク情報を収集しなければ、全てのネットワーク情報を監視できない場合が存在する。その場合、複数の監視ポイントに上述のネットワーク情報収集装置120を収集すればよい。しかしながら、複数のネットワーク情報収集装置120を設置する場合、必ずしもログファイルを収集するための脱着可能な外部記憶装置206を各装置120が備える必要はない。すなわち、少なくとも1台のネットワーク情報収集装置120が外部記憶装置206を備えていれば、そのネットワーク情報収集装置120に対して、他のネットワーク情報収集装置120らは収集した情報を転送して記憶すればよい。そこで、本実施形態では、これらの課題を解決するための技術を提案する。
図15は、実施形態に係るネットワークシステムの一例を示す図である。すでに説明した個所には同一の参照符号を付すことにより重複した説明を省略する。企業内ネットワークは、ゲートウェイとして機能するルータ110を介してインターネット101に接続されている。企業内ネットワークには、インターネット101に対して公開しているWEBサーバ102や、メールサーバ111が、ルータ110に近い位置に設置されている。さらに、ハブ112a、112bおよび112cには、社員が利用するPC113aないし113gが接続されている。
この例では、企業内ネットワーク内に3つのネットワーク情報収集装置120aないし120cを設置している。その理由は、一部のハブがスイッチングハブである場合は、図1に示した監視ポイントに1台のネットワーク情報収集装置120を設置しただけでは、全てのネットワーク情報を収集できないからである。
より具体的には、ハブ112bがスイッチングハブである場合、ハブ112bは、ネットワーク情報経路1501a、1501b、1502aおよび1502bを伝送されるネットワーク情報のコピーをハブ112cに対して送信しない。そのため、ハブ112cの下に存在するネットワーク情報収集装置120cは、これらのネットワーク情報を収集することができないのである。
そこで、本実施形態では、スイッチングハブの下に接続されるLANのネットワーク情報も好適に収集できるようにするために、各スイッチングハブの下にそれぞれ上述のネットワーク情報収集装置120を設置するようにした。
なお、この場合、全てのネットワーク情報収集装置120aないし120cがそれぞれ、脱着可能な記録媒体(外部記憶装置206)を備えることも可能である。しかしながら、記録媒体の数が多くなると、その交換、回収などに伴う人的負担が大きくなる。
そこで、図15の例では、ネットワーク記録装置120cにだけ外部記憶装置206cを備えさせ、ネットワーク情報収集装置120aおよび120bは、収集したネットワーク情報をリモート記録媒体であるネットワーク記録装置120cの外部記憶装置206cに記録する。すなわち、ネットワーク情報収集装置120aおよび120bのCPU201は、収集したネットワーク情報を、NIC204を介してネットワーク記録装置120cに送信する。ネットワーク情報収集装置120cのCPU201は、他のネットワーク情報収集装置120aおよび120bにより収集されたネットワーク情報をNIC204によって受信すると、上述の何れかのネットワーク情報収集方法を適用して、ログファイル207を作成し、外部記憶装置206cに記憶する。これにより、3箇所の監視ポイントで収集したネットワーク情報を一箇所の外部記憶装置206に集約して記録することが可能になる。
なお、企業内ネットワークに設置されたネットワーク情報収集装置120cに代えて、インターネット101など他のネットワークに接続されたネットワーク情報収集装置120dに対して、収集したネットワーク情報を転送し、ネットワーク情報収集装置120dの外部記憶装置206dにログファイルを記録するようにしてもよい。
以上説明したように、本実施形態によれば、複数のネットワーク情報収集装置を設置することで、ネットワーク情報を収集する際の障害となるスイッチングハブなど存在したとしても、ネットワーク情報を好適に収集することが可能となる。
また、複数のネットワーク情報収集装置を設置する場合には、一部のネットワーク情報収集装置の脱着可能な外部記憶装置をリモート記録媒体として共用することで、システム全体としては外部記憶装置の個数を減少させることができる。また、外部記憶装置の交換や回収の手間を削減することも可能となる。
<ネットワーク情報に対するフィルタリング処理>
本実施形態では、記録の対象となるネットワーク情報の種別(プロトコル、ポート番号など)を指定し、他の種類のネットワーク情報については記録しないように制御する機能(フィルタリング機能)について提案する。なお、このフィルタリング機能は、記録対象となるネットワーク情報の種別を指定する種別指定機能と理解することもできよう。
本実施形態では、記録の対象となるネットワーク情報の種別(プロトコル、ポート番号など)を指定し、他の種類のネットワーク情報については記録しないように制御する機能(フィルタリング機能)について提案する。なお、このフィルタリング機能は、記録対象となるネットワーク情報の種別を指定する種別指定機能と理解することもできよう。
図16は、実施形態に係るネットワーク情報収集装置の例示的なブロック図である。この例では、説明の便宜上、ルータ110からPC113aに向けて、ネットワーク情報が伝送される場合を想定する。また、伝送されるネットワーク情報は、第1のフレーム1601、第2のフレーム1602、第3のフレーム16033およびその他フレームがあるものとする。これらのフレームらは、ハブ211においてコピーが作成され、ハブ211のポートを経由してネットワーク情報収集装置120のNIC204に届けられる。CPU201により制御されるNIC204は、上述の受信処理を実行し、受信した各フレームに対応する第1のデータ1611、第2のデータ1612、第3のデータ1613をRAM202に格納する。
CPU201は、予め一以上のフィルタリング条件をRAM202に記憶している。この例では、第1のフィルタリング条件1623、第2のフィルタリング条件1624が記憶されている。
CPU201は、ROM203に記憶されている収集プログラムに記述された手順に従って、第1のデータないし第3のデータがフィルタリング条件1623,1624のいずれかに合致するか否かを判定する。合致したデータが存在した場合、CPU201は、合致したデータ(この例では、第2のデータ1612と第3のデータ1613)を、外部記憶装置206のログファイル207に記録する。一方、いずれのフィルタリング条件も満たさない第1のデータ1611については、RM202から削除する。当然、ログファイル207には記録しない。
フィルタリング条件としては、たとえば、イーサネット(登録商標)プロトコル、IPパケットプロトコル、またはTCPパケットプロトコルなど各種プロトコルで規定された項目を採用することができる。たとえば、IPパケットプロトコルであれば、送信側IPパケットアドレス、受信側IPアドレス、ポート番号などがIPパケットに搭載される項目ととして規定されている。またイーサネット(登録商標)プロトコルであれば、送信側のMACアドレスや、受信側のMACアドレスが上述の項目に該当する。
また、TCPプロトコルを利用するSMTPプロトコルやPOP3プロトコルをフィルタリング条件として設定すれば、ネットワーク情報収集装置120は、電子メールの送受に関連するネットワーク情報だけを収集することになる。この場合、たとえば、WEBサイトにアクセスするためのHTTPプロトコルに関連するネットワーク情報は、ログファイルの記録対象から除外されることになる。よって、外部記憶装置206の記憶領域を有効に利用することが可能になる。
とりわけ、実施形態に係るネットワーク情報収集装置120は、通常のネットワークモニタに比較して、長期間にわたり連続してネットワーク情報を収集するため、収集対象となるネットワーク情報をフィルタリング条件によって特定することは重要である。すなわち、収集対象をフィルタリング機能によって限定する限定することで、脱着交換可能な外部記憶装置206の交換頻度を減少させることができる。その結果、交換作業に要する人的負担を軽減することができる。
Claims (5)
- ネットワークにおける監視ポイントを通過するネットワーク情報を外部の情報解析装置において解析させるべく収集するネットワーク情報収集装置であって、
特定のプロトコル階層にかかるネットワーク情報を受信する受信ユニットと、
受信した前記ネットワーク情報について前記ネットワーク上での伝送時の情報形式を維持した状態で記録する記録ユニットと
を含み、
前記記録ユニットは、前記ネットワーク情報に含まれるデータのうち重複したデータについては記録を省略する
ことを特徴とするネットワーク情報収集装置。 - 前記記録ユニットは、重複した前記データを省略する際に、省略されていることを表す付加情報を前記ネットワーク情報に付加することを特徴とする請求項1に記載のネットワーク情報収集装置。
- 前記ネットワーク情報に含まれる重複した複数のデータのうち先頭のデータはそのまま記録し、それ以降の重複したデータについては、該データを省略して前記付加情報を記録することを特徴とする請求項2に記載のネットワーク情報収集装置。
- ネットワークにおける監視ポイントを通過するネットワーク情報を外部の情報解析装置において解析させるべく収集するネットワーク情報収集装置の制御方法であって、
特定のプロトコル階層にかかるネットワーク情報を受信する受信ステップと、
受信した前記ネットワーク情報について前記ネットワーク上での伝送時の情報形式を維持した状態で記録する記録ステップと
を含み、
前記記録ステップは、前記ネットワーク情報に含まれるデータのうち重複したデータについては記録を省略するステップを含む
ことを特徴とするネットワーク情報収集装置の制御方法。 - コンピュータを、請求項1ないし3のいずれか1項に記載のネットワーク情報収集装置として機能させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005060966A JP4652851B2 (ja) | 2005-03-04 | 2005-03-04 | ネットワーク情報収集装置、制御方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005060966A JP4652851B2 (ja) | 2005-03-04 | 2005-03-04 | ネットワーク情報収集装置、制御方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006246195A JP2006246195A (ja) | 2006-09-14 |
| JP4652851B2 true JP4652851B2 (ja) | 2011-03-16 |
Family
ID=37052111
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005060966A Active JP4652851B2 (ja) | 2005-03-04 | 2005-03-04 | ネットワーク情報収集装置、制御方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4652851B2 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4845661B2 (ja) * | 2006-09-28 | 2011-12-28 | 三菱電機株式会社 | ネットワーク監視装置及びネットワーク監視方法及びプログラム |
| JP5014199B2 (ja) * | 2008-02-29 | 2012-08-29 | 三菱電機株式会社 | 通信記録装置、通信データ処理方法および通信データ処理プログラム |
| KR101238696B1 (ko) * | 2012-10-05 | 2013-03-04 | 김인숙 | 네트워크 정보 원격 수집 시스템 및 그 방법 |
| JP6213239B2 (ja) * | 2013-12-27 | 2017-10-18 | 富士通株式会社 | パケットモニタシステムおよびパケットモニタ方法 |
| JP6206254B2 (ja) | 2014-03-04 | 2017-10-04 | 富士通株式会社 | 重複パケット除去方法及びプログラム |
| JP7013901B2 (ja) * | 2018-02-05 | 2022-02-01 | オムロン株式会社 | 制御装置、監視方法、および監視プログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002029579A1 (fr) * | 2000-10-03 | 2002-04-11 | Netagent Co. Ltd | Enregistreur d"informations de communication |
| JP2002199128A (ja) * | 2000-12-22 | 2002-07-12 | Sogo Keibi Hosho Co Ltd | 迷惑電話監視システム、迷惑電話監視方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2004302667A (ja) * | 2003-03-28 | 2004-10-28 | Fujitsu Ltd | チャットログ記録方法、およびチャットログ記録プログラム |
| JP2005033289A (ja) * | 2003-07-08 | 2005-02-03 | Nippon Telegr & Teleph Corp <Ntt> | Ipサービスにおける試験方法、およびそのシステム |
| WO2005013567A1 (ja) * | 2003-08-05 | 2005-02-10 | Fujitsu Limited | 通信区間の品質の分析システム |
-
2005
- 2005-03-04 JP JP2005060966A patent/JP4652851B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002029579A1 (fr) * | 2000-10-03 | 2002-04-11 | Netagent Co. Ltd | Enregistreur d"informations de communication |
| JP2002199128A (ja) * | 2000-12-22 | 2002-07-12 | Sogo Keibi Hosho Co Ltd | 迷惑電話監視システム、迷惑電話監視方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2004302667A (ja) * | 2003-03-28 | 2004-10-28 | Fujitsu Ltd | チャットログ記録方法、およびチャットログ記録プログラム |
| JP2005033289A (ja) * | 2003-07-08 | 2005-02-03 | Nippon Telegr & Teleph Corp <Ntt> | Ipサービスにおける試験方法、およびそのシステム |
| WO2005013567A1 (ja) * | 2003-08-05 | 2005-02-10 | Fujitsu Limited | 通信区間の品質の分析システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006246195A (ja) | 2006-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI434190B (zh) | 在支持查詢時有效地儲存記錄資料以協助電腦網路安全 | |
| JP5090408B2 (ja) | ネットワーク通信において送信データの宛先を動的に制御する方法及び機器 | |
| EP2095604B1 (en) | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis | |
| JP4327698B2 (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
| US20150033336A1 (en) | Logging attack context data | |
| JP4652851B2 (ja) | ネットワーク情報収集装置、制御方法およびプログラム | |
| US20060101516A1 (en) | Honeynet farms as an early warning system for production networks | |
| CN104601570A (zh) | 一种基于旁路监听和软件抓包技术的网络安全监控方法 | |
| US8151348B1 (en) | Automatic detection of reverse tunnels | |
| JP4984531B2 (ja) | サーバ監視プログラム、中継装置、サーバ監視方法 | |
| CN110581850A (zh) | 一种基于网络流量基因检测方法 | |
| US20050262561A1 (en) | Method and systems for computer security | |
| KR100596395B1 (ko) | IPv4망과 IPv6망이 공존하는 네트워크 상에서암호화된 유해 트래픽에 대응하는 시스템 및 그 방법 | |
| US20060107055A1 (en) | Method and system to detect a data pattern of a packet in a communications network | |
| JP4699893B2 (ja) | パケット解析システム、パケット解析プログラム、パケット解析方法及びパケット取得装置 | |
| CN113242255B (zh) | 一种基于企业安全的智能流量分析方法及系统 | |
| US11496508B2 (en) | Centralized security package and security threat management system | |
| CN112104590B (zh) | 一种检测私网内网络设备私接公网的方法及系统 | |
| JP2006330926A (ja) | ウィルス感染検知装置 | |
| Nabbali et al. | Going for the throat: Carnivore in an Echelon World—Part I | |
| JP4660658B1 (ja) | 通信情報解析システム | |
| JP4887081B2 (ja) | 通信監視装置、通信監視方法およびプログラム | |
| JP4361570B2 (ja) | パケット制御命令管理方法 | |
| Kiltz et al. | A transparent bridge for forensic sound network traffic data acquisition | |
| Underwood | Impact of Network Security Vulnerabilities Management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080229 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100225 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100319 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100518 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100827 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100915 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20101101 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101203 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101216 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4652851 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131224 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |