JP6476853B2 - ネットワーク監視システム及び方法 - Google Patents
ネットワーク監視システム及び方法 Download PDFInfo
- Publication number
- JP6476853B2 JP6476853B2 JP2014265798A JP2014265798A JP6476853B2 JP 6476853 B2 JP6476853 B2 JP 6476853B2 JP 2014265798 A JP2014265798 A JP 2014265798A JP 2014265798 A JP2014265798 A JP 2014265798A JP 6476853 B2 JP6476853 B2 JP 6476853B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- packets
- terminal
- network
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
Description
図2に、本実施の形態のシステム概要を示す。例えばLAN(Local Area Network)である組織内ネットワークには、ユーザ端末51と、ユーザ端末52とが接続される。ユーザ端末51には監視ポイントであるスイッチ11が接続されるので、ユーザ端末51が受信するパケット及びユーザ端末51が送信するパケットはスイッチ11によって監視される。同様に、ユーザ端末52には監視ポイントであるスイッチ21が接続されるので、ユーザ端末52が受信するパケット及びユーザ端末52が送信するパケットはスイッチ21によって監視される。スイッチ11及びスイッチ21はスイッチ70に接続される。スイッチ70はユーザ端末90に接続される。但し、スイッチ70とユーザ端末90との間のネットワークは、インターネット等のWAN(Wide Area Network)を含む場合がある。
第2の実施の形態においては、監視装置10及び20の処理負荷を削減する方法について説明する。
第1監視装置と、
第2監視装置と、
情報処理装置と、
を有し、
前記第1監視装置は、
ネットワーク外の装置から前記ネットワーク内の第1端末へのパケットと、前記第1端末から前記ネットワーク内の第2端末へのパケットとを取得し、取得したパケットのうち第1の条件を満たす第1の複数のパケットの情報を前記情報処理装置に送信し、
前記第2監視装置は、
前記第1端末から前記第2端末へのパケットと、前記第2端末から前記ネットワーク外の装置へのパケットとを取得し、取得したパケットのうち第2の条件を満たす第2の複数のパケットの情報を前記情報処理装置に送信し、
前記情報処理装置は、
前記第1の複数のパケットの情報及び前記第2の複数のパケットの情報を受信し、前記第1の複数のパケットと前記第2の複数のパケットとに同じパケットが含まれるか否かに基づき、前記ネットワーク外からの攻撃が発生したか判断する、
ネットワーク監視システム。
前記第2監視装置は、
前記第1端末から前記第2端末へのパケットの種別毎に数を計数し、
計数された前記数に基づき、前記第2端末へのパケットのうち前記第2監視装置による監視の対象となるパケットを決定する、
付記1記載のネットワーク監視システム。
前記第1の条件及び第2の条件は、前記第1端末から前記第2端末へのパケットのヘッダに所定の情報が含まれるという条件を含む
付記1又は2記載のネットワーク監視システム。
第1の条件は、前記ネットワーク外の装置から前記第1端末へのパケットの取得時刻と前記第1端末から前記第2端末へのパケットの取得時刻との差が第1の時間以内であるという条件を含み、
第2の条件は、前記第1端末から前記第2端末へのパケットの取得時刻と前記第2端末から前記ネットワーク外の装置へのパケットの取得時刻との差が第2の時間以内であるという条件を含む、
付記1乃至3のいずれか1つ記載のネットワーク監視システム。
前記第1の複数のパケットの情報及び前記第2の複数のパケットの情報は、
IP(Internet Protocol)アドレス、TCP(Transmission Control Protocol)ポート番号、TCPシーケンス番号、SMB(Server Message Block)ヘッダにおけるマルチプレクスID(IDentifier)、及びSMBヘッダにおけるコマンドシーケンス番号の少なくともいずれかを含む
付記1乃至4のいずれか1つ記載のネットワーク監視システム。
第1監視装置と第2監視装置と情報処理装置とを有するネットワーク監視システムにおいて実行されるネットワーク監視方法であって、
前記第1監視装置は、ネットワーク外の装置から前記ネットワーク内の第1端末へのパケットと、前記第1端末から前記ネットワーク内の第2端末へのパケットとを取得し、取得したパケットのうち第1の条件を満たす第1の複数のパケットの情報を前記情報処理装置に送信し、
前記第2監視装置は、前記第1端末から前記第2端末へのパケットと、前記第2端末から前記ネットワーク外の装置へのパケットとを取得し、取得したパケットのうち第2の条件を満たす第2の複数のパケットの情報を前記情報処理装置に送信し、
前記情報処理装置は、前記第1の複数のパケットの情報及び前記第2の複数のパケットの情報を受信し、前記第1の複数のパケットと前記第2の複数のパケットとに同じパケットが含まれるか否かに基づき、前記ネットワーク外からの攻撃が発生したか判断する、
処理を実行するネットワーク監視方法。
51,52,90 ユーザ端末 30 サーバ
101 受信部 102 第1解析部
103 第2解析部 104 抽出部
105 送信部 106 パケットデータ格納部
107 変更部 108 計数部
109 頻度格納部
301 受信部 302 第1判別部
303 比較部 304 第2判別部
305 通知部 306 前半データ格納部
Claims (6)
- 第1監視装置と、
第2監視装置と、
情報処理装置と、
を有し、
前記第1監視装置は、
ネットワーク外の装置から前記ネットワーク内の第1端末へのパケットと、前記第1端末から前記ネットワーク内の第2端末へのパケットとを取得し、取得したパケットのうち第1の条件を満たす第1の複数のパケットの情報を前記情報処理装置に送信し、
前記第2監視装置は、
前記第1端末から前記第2端末へのパケットと、前記第2端末から前記ネットワーク外の装置へのパケットとを取得し、取得したパケットのうち第2の条件を満たす第2の複数のパケットの情報を前記情報処理装置に送信し、
前記情報処理装置は、
前記第1の複数のパケットの情報及び前記第2の複数のパケットの情報を受信し、前記第1の複数のパケットと前記第2の複数のパケットとに同じパケットが含まれるか否かに基づき、前記ネットワーク外からの攻撃が発生したか判断する、
ネットワーク監視システム。 - 前記第2監視装置は、
前記第1端末から前記第2端末へのパケットの種別毎に数を計数し、
計数された前記数に基づき、前記第2端末へのパケットのうち前記第2監視装置による監視の対象となるパケットを決定する、
請求項1記載のネットワーク監視システム。 - 前記第1の条件及び第2の条件は、前記第1端末から前記第2端末へのパケットのヘッダに所定の情報が含まれるという条件を含む
請求項1又は2記載のネットワーク監視システム。 - 第1の条件は、前記ネットワーク外の装置から前記第1端末へのパケットの取得時刻と前記第1端末から前記第2端末へのパケットの取得時刻との差が第1の時間以内であるという条件を含み、
第2の条件は、前記第1端末から前記第2端末へのパケットの取得時刻と前記第2端末から前記ネットワーク外の装置へのパケットの取得時刻との差が第2の時間以内であるという条件を含む、
請求項1乃至3のいずれか1つ記載のネットワーク監視システム。 - 前記第1の複数のパケットの情報及び前記第2の複数のパケットの情報は、
IP(Internet Protocol)アドレス、TCP(Transmission Control Protocol)ポート番号、TCPシーケンス番号、SMB(Server Message Block)ヘッダにおけるマルチプレクスID(IDentifier)、及びSMBヘッダにおけるコマンドシーケンス番号の少なくともいずれかを含む
請求項1乃至4のいずれか1つ記載のネットワーク監視システム。 - 第1監視装置と第2監視装置と情報処理装置とを有するネットワーク監視システムにおいて実行されるネットワーク監視方法であって、
前記第1監視装置は、ネットワーク外の装置から前記ネットワーク内の第1端末へのパケットと、前記第1端末から前記ネットワーク内の第2端末へのパケットとを取得し、取得したパケットのうち第1の条件を満たす第1の複数のパケットの情報を前記情報処理装置に送信し、
前記第2監視装置は、前記第1端末から前記第2端末へのパケットと、前記第2端末から前記ネットワーク外の装置へのパケットとを取得し、取得したパケットのうち第2の条件を満たす第2の複数のパケットの情報を前記情報処理装置に送信し、
前記情報処理装置は、前記第1の複数のパケットの情報及び前記第2の複数のパケットの情報を受信し、前記第1の複数のパケットと前記第2の複数のパケットとに同じパケットが含まれるか否かに基づき、前記ネットワーク外からの攻撃が発生したか判断する、
処理を実行するネットワーク監視方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014265798A JP6476853B2 (ja) | 2014-12-26 | 2014-12-26 | ネットワーク監視システム及び方法 |
US14/950,096 US9819691B2 (en) | 2014-12-26 | 2015-11-24 | Network monitoring system and method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014265798A JP6476853B2 (ja) | 2014-12-26 | 2014-12-26 | ネットワーク監視システム及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016127391A JP2016127391A (ja) | 2016-07-11 |
JP6476853B2 true JP6476853B2 (ja) | 2019-03-06 |
Family
ID=56165714
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014265798A Active JP6476853B2 (ja) | 2014-12-26 | 2014-12-26 | ネットワーク監視システム及び方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US9819691B2 (ja) |
JP (1) | JP6476853B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6641819B2 (ja) | 2015-09-15 | 2020-02-05 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
US11363057B1 (en) * | 2020-04-17 | 2022-06-14 | American Express Travel Related Services Company, Inc. | Computer-based system for analyzing and quantifying cyber threat patterns and methods of use thereof |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2297341A1 (en) * | 1999-08-18 | 2001-02-18 | Alma-Baba Technical Research Laboratory Co., Ltd. | System for monitoring network for cracker attack |
US7016980B1 (en) * | 2000-01-18 | 2006-03-21 | Lucent Technologies Inc. | Method and apparatus for analyzing one or more firewalls |
SG101985A1 (en) * | 2000-07-12 | 2004-02-27 | Distribution Systems Res Inst | Integrated information communication system |
US8438241B2 (en) * | 2001-08-14 | 2013-05-07 | Cisco Technology, Inc. | Detecting and protecting against worm traffic on a network |
NZ516346A (en) * | 2001-12-21 | 2004-09-24 | Esphion Ltd | A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack |
JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
JP2004220373A (ja) | 2003-01-15 | 2004-08-05 | Mitsubishi Electric Corp | 不正アクセス検知ログ情報分析支援装置、不正アクセス検知ログ情報分析支援方法及びコンピュータプログラム |
US7895649B1 (en) * | 2003-04-04 | 2011-02-22 | Raytheon Company | Dynamic rule generation for an enterprise intrusion detection system |
KR100548154B1 (ko) * | 2003-06-11 | 2006-01-31 | (주)엔텔스 | 유무선 통신망에서의 패킷 전송 제어 및 패킷 과금 데이터생성을 위한 방법 및 장치 |
JP4611197B2 (ja) * | 2003-06-20 | 2011-01-12 | 富士通株式会社 | ネットワークにおける機器の接続方法及びこれを用いるネットワークシステム |
US20060191006A1 (en) * | 2004-10-12 | 2006-08-24 | Nippon Telegraph And Telephone Corporation | Denial-of-service-attack protecting method, denial-of-service attack protecting system, denial-of-service attack protecting device, repeater, denial-of-service attack protecting program, and program for repeater |
KR100777752B1 (ko) * | 2004-10-28 | 2007-11-19 | 니폰덴신뎅와 가부시키가이샤 | 서비스 불능 공격 검지 시스템 및 서비스 불능 공격 검지방법 |
US7752659B2 (en) * | 2005-02-14 | 2010-07-06 | Lenovo (Singapore) Pte. Ltd. | Packet filtering in a NIC to control antidote loading |
JP4547342B2 (ja) * | 2005-04-06 | 2010-09-22 | アラクサラネットワークス株式会社 | ネットワーク制御装置と制御システム並びに制御方法 |
WO2007081023A1 (ja) | 2006-01-16 | 2007-07-19 | Cyber Solutions Inc. | トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム |
JP4883409B2 (ja) | 2007-01-22 | 2012-02-22 | 独立行政法人情報通信研究機構 | データ類似性検査方法及び装置 |
US8020207B2 (en) * | 2007-01-23 | 2011-09-13 | Alcatel Lucent | Containment mechanism for potentially contaminated end systems |
US20100031093A1 (en) * | 2008-01-29 | 2010-02-04 | Inventec Corporation | Internal tracing method for network attack detection |
US9264441B2 (en) * | 2008-03-24 | 2016-02-16 | Hewlett Packard Enterprise Development Lp | System and method for securing a network from zero-day vulnerability exploits |
WO2010086907A1 (ja) | 2009-02-02 | 2010-08-05 | 富士通株式会社 | パケットキャプチャシステム、パケットキャプチャ方法、情報処理装置およびプログラム |
KR20130006750A (ko) * | 2011-06-20 | 2013-01-18 | 한국전자통신연구원 | 서비스 거부 공격 탐지 방법 및 장치 |
US9332028B2 (en) * | 2013-01-25 | 2016-05-03 | REMTCS Inc. | System, method, and apparatus for providing network security |
JP6142702B2 (ja) | 2013-07-04 | 2017-06-07 | 富士通株式会社 | 監視装置、監視方法及びプログラム |
JP6229504B2 (ja) | 2014-01-09 | 2017-11-15 | 富士通株式会社 | ネットワーク監視装置、監視方法及びプログラム |
-
2014
- 2014-12-26 JP JP2014265798A patent/JP6476853B2/ja active Active
-
2015
- 2015-11-24 US US14/950,096 patent/US9819691B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20160191552A1 (en) | 2016-06-30 |
US9819691B2 (en) | 2017-11-14 |
JP2016127391A (ja) | 2016-07-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11153184B2 (en) | Technologies for annotating process and user information for network flows | |
US10257224B2 (en) | Method and apparatus for providing forensic visibility into systems and networks | |
EP3145130B1 (en) | Network system, communication control method, and communication control program | |
US9888029B2 (en) | Classifying kill-chains for security incidents | |
JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
JP6641819B2 (ja) | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム | |
US7752307B2 (en) | Technique of analyzing an information system state | |
JP5781616B2 (ja) | 脆弱性対策装置、および脆弱性対策方法 | |
JP4988674B2 (ja) | ネットワーク監視装置、ネットワーク監視方法、および、ネットワーク監視プログラム | |
US10616270B2 (en) | Optimization apparatus, optimization method, and optimization program | |
US20060230456A1 (en) | Methods and apparatus to maintain telecommunication system integrity | |
CN108353068B (zh) | Sdn控制器辅助的入侵防御系统 | |
JP6502902B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
JP2015015581A (ja) | 監視装置、監視方法及びプログラム | |
JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
JPWO2017217247A1 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
US9794274B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
KR20110067871A (ko) | Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법 | |
US11159548B2 (en) | Analysis method, analysis device, and analysis program | |
JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
CN114244610B (zh) | 一种文件传输方法、装置,网络安全设备及存储介质 | |
JP2018098727A (ja) | サービスシステム、通信プログラム、及び通信方法 | |
JP7298438B2 (ja) | 情報処理プログラム、情報処理方法、および、情報処理装置 | |
JP4361570B2 (ja) | パケット制御命令管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170605 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180416 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180605 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180720 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190108 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190121 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6476853 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |