JP7088302B2 - 通信情報統合システム、通信情報統合方法、通信情報統合装置、端末装置、及びプログラム - Google Patents

通信情報統合システム、通信情報統合方法、通信情報統合装置、端末装置、及びプログラム Download PDF

Info

Publication number
JP7088302B2
JP7088302B2 JP2020550992A JP2020550992A JP7088302B2 JP 7088302 B2 JP7088302 B2 JP 7088302B2 JP 2020550992 A JP2020550992 A JP 2020550992A JP 2020550992 A JP2020550992 A JP 2020550992A JP 7088302 B2 JP7088302 B2 JP 7088302B2
Authority
JP
Japan
Prior art keywords
communication information
information
terminal device
communication
difference
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020550992A
Other languages
English (en)
Other versions
JPWO2020070811A1 (ja
Inventor
太地 羽角
聡 池田
成佳 島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2020070811A1 publication Critical patent/JPWO2020070811A1/ja
Application granted granted Critical
Publication of JP7088302B2 publication Critical patent/JP7088302B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、通信情報を統合する通信情報統合システム、通信情報統合方法、通信情報統合装置、端末装置に関し、更には、これらを実現するためのプログラムに関する。
近年、組織内システムを標的としたサイバー攻撃により、情報漏洩、信用棄損などの被害が増加しており、サイバー攻撃対策の強化が求められている。サイバー攻撃対策を強化するためには、サイバー攻撃によるインシデント発生時の調査を行い、組織内システムより収集した通信情報(例えば、通信ログなど)から、攻撃、情報漏洩などの痕跡、証拠を得ることが必要である。
また、サイバー攻撃への対策として、組織内システムなどの各種システムにおける、通信ログの収集指針、通信ログを収集する仕組み、通信ログの管理などについての重要性が、再認識されている。特に、組織内システムのデータの流れを監視する仕組みの重要性が指摘されている。
関連する技術として特許文献1には、コンピュータシステムにおいて、ノード情報を効率よく収集し、蓄積し、容易に閲覧できるデータ収集システムが開示されている。そのデータ収集システムによれば、複数のデータ収集装置が、分担してネットワーク内の複数のノードから、該ノードが有する情報であるノード情報を収集し、データ収集装置が収集したノード情報を重複させることなく記憶装置に蓄積する。そして、データ収集装置は、ノード情報の要求により指定されたノード情報を、記憶装置から取得して提供する。
特開2010-198434号公報
しかしながら、対象システムが大規模なネットワークである場合、ネットワークすべての通信ログを一箇所に統合して記録することは、ネットワークを構築する機器の仕様などにより難しいことがある。
具体的には、IP(Internet Protocol)ネットワークを採用したシステムでは、同一のネットワークハブの配下に接続された端末装置間のIP通信は、当該ネットワークハブで折り返される。そのため、IPネットワーク上流で通信ログを収集する装置(例えば、セキュリティアプライアンスなど)は、ネットワークすべての通信ログを一箇所に統合して記録できない。言い換えれば、上述したような多段に接続されたハブ、ルータなどを用いて構築されたネットワークでは、ネットワークすべての通信ログを一箇所に統合して記録することが難しい。
それでも、ネットワークすべての通信ログを一箇所に統合して記録したい場合、現状では、例えば、ネットワークに設けられたすべてのネットワークスイッチにおいて、ネットワークスイッチのサブネットワークに応じたミラーポートを設定し、記憶装置にパケットを集めて記録するようにしている。しかし、ミラーポートの設定には、多大な労力と時間とを要する。
また、他の方法として、端末装置からローカルで通信ログを抽出して記録する方法もあるが、端末装置からローカルで通信ログを抽出して記録する場合には、やはり多大な労力と時間とを要する。
また、リモートフォレンジックツール、OS(Operating System)固有の管理ツールを利用してネットワーク経由で通信ログを取得して記録する方法も考えられる。しかし、端末装置に記録した通信ログをネットワーク経由で取得する場合、容量の大きな通信ログを多くの端末装置から収集するため、ネットワークに過剰な通信負荷がかかる。
本発明の目的の一例は、対象システムにおいて用いた通信情報を効率よく統合する通信情報統合システム、通信情報統合方法、通信情報統合装置、端末装置、及びプログラムを提供することにある。
上記目的を達成するため、本発明の一側面における通信情報統合システムは、
複数の端末装置と通信情報統合装置とがネットワークを介して通信をする通信情報統合システムであって、
前記通信情報統合装置は、
収集した第一の通信情報を前記端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約した要約情報を生成し、生成した要約情報を当該端末装置へ送信し、
前記端末装置が収集した第二の通信情報と前記要約情報とに基づいて、前記端末装置が生成した差分通信情報を、前記端末装置から受信した場合、前記第一の通信情報に前記差分通信情報を統合する、
前記端末装置は、
前記要約情報を受信した場合、前記端末装置が収集した第二の通信情報と前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を抽出し、抽出した前記差分に基づいて前記差分通信情報を生成し、生成した前記差分通信情報を前記通信情報統合装置へ送信する、
ことを特徴とする。
また、上記目的を達成するため、本発明の一側面における通信情報統合方法は、
複数の端末装置と通信情報統合装置とを有するネットワークにおける通信情報統合方法であって、
前記通信情報統合装置が、収集した第一の通信情報を前記端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約した要約情報を生成し、生成した要約情報を当該端末装置へ送信し、
前記端末装置が、前記要約情報を受信した場合、前記端末装置が収集した第二の通信情報と前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を抽出し、抽出した前記差分に基づいて差分通信情報を生成し、生成した前記差分通信情報を前記通信情報統合装置へ送信し、
前記通信情報統合装置が、前記端末装置が生成した前記差分通信情報を、前記端末装置から受信した場合、前記第一の通信情報に前記差分通信情報を統合する、
ことを特徴とする。
また、上記目的を達成するため、本発明の一側面における通信情報統合装置は、
収集した第一の通信情報を、ネットワークを介して通信をする端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約した要約情報を生成する、要約情報生成部と、
前記端末装置において生成した、前記端末装置が収集した第二の通信情報と、前記ネットワークを介して受信した前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を表す差分通信情報を、前記端末装置から受信した場合、前記第一の通信情報に前記差分通信情報を統合する、通信情報統合部と、
を有することを特徴とする。
また、上記目的を達成するため、本発明の一側面におけるプログラムは
コンピュータに、
(a)収集した第一の通信情報を、ネットワークを介して通信をする端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約した要約情報を生成する、ステップと、
(b)前記端末装置において生成した、前記端末装置が収集した第二の通信情報と、前記ネットワークを介して受信した前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を表す差分通信情報を、前記端末装置から受信した場合、前記第一の通信情報に前記差分通信情報を統合する、ステップと、
を実行させることを特徴とする。
また、上記目的を達成するため、本発明の一側面における端末装置は、
ネットワークを介して通信をする通信情報統合装置が収集した第一の通信情報を、端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約して生成した要約情報を、前記通信情報統合装置から受信した場合、収集した第二の通信情報と前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を表す差分通信情報を生成する、差分通信情報生成部を有する
ことを特徴とする。
また、上記目的を達成するため、本発明の一側面におけるプログラムは
コンピュータに、
(a)ネットワークを介して通信をする通信情報統合装置が収集した第一の通信情報を、端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約して生成した要約情報を、前記通信情報統合装置から受信した場合、収集した第二の通信情報と前記要約情報との差分を表す差分通信情報を生成する、ステップ
を実行させることを特徴とする。
以上のように本発明によれば、対象システムにおいて用いた通信情報を効率よく統合できる。
図1は、通信情報統合システムの一例を示す図である。 図2は、通信情報統合装置、端末装置の一例を示す図である。 図3は、端末情報、上流通信情報のデータ構造の一例を示す図である。 図4は、要約情報のデータ構造の一例を示す図である。 図5は、統合情報のデータ構造の一例を示す図である。 図6は、下流通信情報のデータ構造の一例を示す図である。 図7は、通信情報統合システムの動作の一例を示す図である。 図8は、通信情報統合装置の動作の一例を示す図である。 図9は、端末装置の動作の一例を示す図である。 図10は、通信情報統合装置又は端末装置を実現するコンピュータの一例を示す図である。
(実施の形態)
以下、本発明の実施の形態について、図1から図10を参照しながら説明する。
[システム構成]
最初に、図1を用いて、本実施の形態における通信情報統合システムの構成について説明する。図1は、通信情報統合システムの一例を示す図である。
図1に示す通信情報統合システムは、対象システムにおいて用いた通信情報を効率よく統合するシステムである。また、図1に示すように、通信情報統合システム1は、ネットワーク2を介して接続され、互いに通信をする、通信情報統合装置3と、複数の端末装置4とを有する。
このうち、通信情報統合装置3は、収集した上流通信情報(第一の通信情報)を端末装置4ごとに分類し、分類した端末装置4に対応する通信情報を要約した要約情報を生成し、生成した要約情報を当該端末装置4へ送信する。また、通信情報統合装置3は、端末装置4が収集した下流通信情報(第二の通信情報)と要約情報とに基づいて、端末装置4が生成した差分通信情報を、端末装置4から受信した場合、上流通信情報に差分通信情報を統合する。
端末装置4は、要約情報を受信した場合、端末装置4が収集した下流通信情報と要約情報とを用いて、上流通信情報と下流通信情報との差分を抽出し、抽出した差分に基づいて差分通信情報を生成し、生成した差分通信情報を通信情報統合装置3へ送信する。
このように、本実施の形態によれば、対象システムにおいて、ネットワーク上流で収集した上流通信情報に含まれない、ネットワーク下流で収集した下流通信情報(差分通信情報)を、上流通信情報に統合するので、重複のない通信情報を一箇所に統合して収集できる。そのため、対象システムで用いた通信情報を効率よく統合できる。
[装置構成]
続いて、図2を用いて、本実施の形態における通信情報統合システム1の構成をより具体的に説明する。図2は、通信情報統合システムの具体例を示す図である。
ネットワーク2には、通信情報統合装置3と、複数の端末装置4とが接続されている。ネットワーク2は、例えば、ハブ、ルータ、ネットワークスイッチなどを用いて構築されたIPネットワークなどである。
通信情報統合装置3は、ネットワーク2の上流で収集した通信ログなどの上流通信情報を記録する。また、通信情報統合装置3は、上流通信情報に基づいて、端末装置4ごとに要約情報を作成し、対応する端末装置4に要約情報を送信する。また、通信情報統合装置3は、端末装置4が収集した通信ログなどの下流通信情報と要約情報との差分を表す差分通信情報を、端末装置4から受信する。その後、通信情報統合装置3は、上流通信情報に差分通信情報を統合して統合情報を生成し、記録する。なお、通信情報統合装置3は、例えば、サーバコンピュータ、パーソナルコンピュータなどの通信機能を備えた情報処理機器である。
通信情報統合装置3について具体的に説明する。通信情報統合装置3は、例えば、通信情報収集部21と、要約情報生成部22と、通信情報統合部23と、記憶部24などとを有する。
通信情報収集部21は、ネットワーク2の上流において収集できる通信情報を、無線又は有線などの通信を用いて受信し、収集した通信情報を上流通信情報として記憶部24に記憶する。なお、通信情報収集部21は、通信情報統合装置3の外部に、別に設けてもよい。その場合、通信情報収集部21は、通信情報統合装置3と複数の端末装置4との通信を、ネットワーク2を介して行う。
要約情報生成部22は、まず、収集した上流通信情報を、ネットワーク2を介して通信をする端末装置4ごとに分類する。具体的には、要約情報生成部22は、記憶部24に記憶されている、端末情報と上流通信情報とを用いて、上流通信情報を端末装置4ごとに分類する。例えば、要約情報生成部22は、図3に示すように、上流通信情報を端末装置4ごとに分類する。
図3は、端末情報、上流通信情報のデータ構造の一例を示す図である。図3に示す端末情報31には、端末装置4を識別するための情報「端末識別子」と、当該端末装置4の送信元の端末装置4のIPアドレスを示す情報「端末IP」とが関連付けられて記憶されている。図3の例では、「端末識別子」には「0001」「0002」…「0104」などが記憶され、「端末IP」には「192.168.0.11」「192.168.0.12」…「192.168.0.127」などが記憶されている。
また、図3に示す上流通信情報32は、端末識別子「0001」に相当する端末装置4に関して、端末IP「192.168.0.11」を用いて分類した上流通信情報である。また、図3に示す上流通信情報32は、日付と時刻とを示す情報「日時」と、送信元と受信先とが接続されていた時間を示す情報「接続時間」と、送信元の端末装置4のIPアドレスを示す情報「送信元IP」と、送信ポート番号を示す情報「送信ポート」と、受信先の端末装置4のIPアドレスを示す情報「受信先IP」と、受信ポート番号を示す情報「受信ポート」とが関連付けられて記憶されている。更に、図3の例では、送信バイト数を示す情報「送信バイト」と、受信バイト数を示す情報「受信バイト」と、パケット数を示す情報「パケット数」とが関連付けられて記憶されている。
続いて、要約情報生成部22は、端末装置4ごとに分類した上流通信情報を要約した要約情報を生成する。具体的には、要約情報生成部22は、分類した上流通信情報の所定情報に対してマスク処理をし、分類してマスク処理をした上流通信情報のうち、キーとなる情報を要約して要約情報を生成する。
所定情報へのマスク処理について説明する。通信情報が端末装置4に到達する日時は、端末装置4がネットワーク2に接続される位置などによりずれることが頻繁に発生する。そのため、「日時」「接続時間」に記憶された日時をそのまま用いると、日時、接続時間の僅かなずれにより、同じ通信情報であるにもかかわらず異なる通信情報と判断されてしまう。そこで、「日時」「接続時間」に記憶された日時に対して、例えば、一秒以下の時刻を所定文字などで置き換える。そうすることで、同じ通信情報であるにもかかわらず異なる通信情報と判断することを軽減する。
図3に示す「日時」に記憶されている「2018-04-10T16:21+09:00」において、一秒以下の時刻を所定文字「×」で置き換えた場合、「日時」は「2018-04-10T16:2×+09:00」となる。また、図3に示す「接続時間」に記憶されている「1」「362」…「8」などの場合、「接続時間」は「×」「36×」…「×」となる。
キーとなる情報は、マスクした「日時」「接続時間」と、「送信元IP」「送信ポート」「受信先IP」「受信ポート」とを少なくとも含む情報とする。
要約情報は、キーとなる情報に対して、例えば、ブルームフィルタ(Bloom Filter)などの確率的データ構造、ZDD(Zero-suppressed Binary Decision Diagram)、BDD(Binary Decision Diagram)などのデータ圧縮表現構造を適用して生成される。
要約情報の生成について、ブルームフィルタを用いた場合について説明する。要約情報生成部22は、まず、キーとなる情報を順番に結合する。例えば、キーとなる情報が「2018-04-10T16:2×+09:00」「×」「192.168.0.11」「61747」「192.168.16.100」「88」「767」「316」「3」である場合、これらを結合して文字列「2018-04-10T16:2×+09:00×192.168.0.1161747192.168.16.100887673163」を生成する。その後、要約情報生成部22は、結合した情報をバイト列に変換して、「323031382d30342d31305431363a32782b30393a3030783139322e3136382e302e313136313734373139322e3136382e31362e313030383837363733313633」(十六進数表記)を得る。
続いて、要約情報生成部22は、あらかじめ設定した任意のビット列長mのブルームフィルタを生成するために、上述した変換したバイト列を、あらかじめ用意したk個の任意の種類のハッシュ関数群に入力する。続いて、要約情報生成部22は、ハッシュ関数それぞれの出力が示す、ブルームフィルタのビットに「1」を設定して、ブルームフィルタを生成する。続いて、要約情報生成部22は、対象日時と、ハッシュ関数のシード値と、ブルームフィルタとをペイロードとした要約情報を生成する。なお、対象日時は、統合情報を生成する期間を表す情報である。
続いて、要約情報生成部22は、対象の端末装置4へ要約情報を送信する。例えば、要約情報生成部22は、HTTPSプロトコルなどを用いて、要約情報を対象の端末装置4へ送信する。図4は、要約情報のデータ構造の一例を示す図である。図4に示す通信用情報42は、例えば、端末装置4と通信をするために用いる情報である。また、ブルームフィルタにおいて使用するハッシュ関数の種類によっては、シード値が不要であるため、その場合にはペイロードにハッシュ関数シード値を含めなくてもよい。
通信情報統合部23は、まず、端末装置4それぞれから、差分通信情報を受信する。すなわち、通信情報統合部23は、端末装置4が収集した下流通信情報と要約情報とに基づいて、端末装置4それぞれが生成した後述する差分通信情報を、端末装置4それぞれから受信する。続いて、通信情報統合部23は、上流通信情報に端末装置4それぞれから受信した差分通信情報を統合して統合情報を生成する。具体的には、通信情報統合部23は、記憶部24に記憶されている上流通信情報を取得し、取得した上流通信情報に、端末装置4それぞれから受信した差分通信情報を追加する。
例えば、通信情報統合部23は、記憶部24から取得した、図3に示した上流通信情報32に、端末装置4から受信した上流通信情報32に含まれていない差分通信情報を追加して、図5に示す統合情報50を生成し、記憶部24に記憶する。図5は、統合情報のデータ構造の一例を示す図である。図5に示す統合通信情報51は、図3に示した端末識別子「0001」に対応する端末装置4の上流通信情報32に、端末識別子「0001」に対応する端末装置4の差分通信情報52(実線太線範囲)を追加した情報である。
記憶部24は、通信情報収集部21が収集した上流通信情報と、端末装置4から取得した差分通信情報とを記憶する。すなわち、記憶部24は、統合情報を記憶する。なお、記憶部24は、通信情報統合装置3に設けてもよいし、通信情報統合装置3の外部に設けてもよい。
端末装置4は、まず、ネットワーク2を介して通信をする通信情報統合装置3から要約情報を受信する。すなわち、通信情報統合装置3が、収集した上流通信情報を、端末装置4ごとに分類し、分類した端末装置4に対応する通信情報を要約して生成した要約情報を、端末装置4は通信情報統合装置3から受信する。続いて、端末装置4は、自身が収集した下流通信情報と要約情報とを用いて、上流通信情報と下流通信情報との差分を抽出し、抽出した差分に基づいて差分通信情報を生成する。なお、端末装置4は、例えば、サーバコンピュータ、パーソナルコンピュータ、スマートフォンなどの通信機能を備えた情報処理機器である。
端末装置4について具体的に説明する。端末装置4は、通信情報収集部25と、差分通信情報生成部26と、記憶部27とを有する。
通信情報収集部25は、ネットワーク2の下流において収集できる通信情報を、無線又は有線などの通信を用いて受信し、収集した通信情報を下流通信情報として記憶部27に記憶する。具体的には、通信情報収集部25は、図6に示すような下流通信情報61を生成する。図6は、下流通信情報のデータ構造の一例を示す図である。図6に示す下流通信情報61は、図3に示した端末識別子「0001」に対応する端末装置4が収集した下流通信情報である。
差分通信情報生成部26は、通信情報統合装置3からネットワーク2を介して要約情報を取得し、下流通信情報と要約情報と用いて、上流通信情報と下流通信情報との差分を抽出し、抽出した差分に基づいて差分通信情報を生成する。具体的には、差分通信情報生成部26は、下流通信情報の所定情報に対してマスク処理をし、マスク処理をした下流通信情報と要約情報とを用いて、上流通信情報にない下流通信情報を抽出し、抽出した下流通信情報に基づいて差分通信情報を生成する。
下流通信情報の所定情報に対して行うマスク処理は、上述したマスク処理であるので説明を省略する。なお、キーとなる情報は、マスクした「日時」「接続時間」と、「送信元IP」「送信ポート」「受信先IP」「受信ポート」とを少なくとも含む情報とする。
差分通信情報の生成について、ブルームフィルタを用いた場合について説明する。差分通信情報生成部26は、まず、要約情報に含まれる対象日時に対応する対象の下流通信情報を取得し、上述したように、キーとなる情報を順番に結合し、結合した情報をバイト列に変換する。続いて、差分通信情報生成部26は、あらかじめ設定したビット列長mのブルームフィルタのk個のハッシュ関数群へ、上述した変換したバイト列を入力し、ハッシュ関数それぞれの出力を取得する。
続いて、差分通信情報生成部26は、上述したハッシュ関数それぞれの出力が示すビット位置と、要約情報に含まれるブルームフィルタのビットが「1」の位置とを照合する。その結果、全てのハッシュ関数それぞれが出力したビット位置と、ブルームフィルタの対応するビット位置が全て「1」である場合、差分通信情報生成部26は、対象の下流通信情報が既に通信情報統合装置3に記憶されていると判定する。
対して、全てのハッシュ関数それぞれが出力したビット位置と、ブルームフィルタの対応するビット位置のビットが、一つでも「1」以外(「0」)であった場合、差分通信情報生成部26は、対象の下流通信情報がまだ通信情報統合装置3に記憶されていないと判定する。なお、差分の判定では、ブルームフィルタを用いた確率的データ構造を用いた場合について説明したが、ZDD、BDDなどのデータ圧縮表現構造を適用してもよい。
続いて、差分通信情報生成部26は、生成した差分通信情報を、通信情報統合装置3へ送信する。例えば、差分通信情報生成部26は、HTTPSプロトコルなどを用いて、差分通信情報を通信情報統合装置3へ送信する。
記憶部27は、通信情報収集部25が収集した下流通信情報と、差分通信情報とを記憶する。なお、記憶部27は、端末装置4に設けてもよいし、端末装置4の外部に設けてもよい。
[システム動作]
次に、本発明の実施の形態における通信情報統合システムの動作について、図7、図8、図9を用いて説明する。図7は、通信情報統合システムの動作の一例を示す図である。図8は、通信情報統合装置の動作の一例を示す図である。図9は、端末装置の動作の一例を示す図である。以下の説明においては、適宜図2から図6を参酌する。
また、本実施の形態では、通信情報統合システム1(通信情報統合装置3と端末装置4とを有するシステム)を動作させることによって、通信情報統合方法が実施される。よって、本実施の形態における通信情報統合方法の説明は、以下の通信情報統合システムの動作説明に代える。
図7に示すように、通信情報統合装置3は、ネットワーク2を介して上流通信情報を記憶部24に記憶する(ステップA1)。また、端末装置4は、ネットワーク2を介して下流通信情報を記憶部27に記憶する(ステップA2)。
続いて、通信情報統合装置3は、あらかじめ設定した所定日時になると、端末装置4それぞれに対して送信する要約情報を生成する(ステップA3)。その後、通信情報統合装置3は、端末装置4ごとに生成した要約情報を、対応する端末装置4それぞれに送信する(ステップA4)。
続いて、端末装置4は、通信情報統合装置3から送信された要約情報を受信する(ステップA5)。その後、端末装置4は、要約情報を参照して、下流通信情報を取得する(ステップA6)。例えば、ステップA6において、要約情報の「対象日時」を参照して、過去に収集した所定時間における下流通信情報を取得する。
続いて、端末装置4は、下流通信情報と要約情報とに基づいて差分を抽出する(ステップA7)。その後、端末装置4は、抽出した差分に基づいて差分通信情報を生成する(ステップA8)。具体的には、ステップA8において、端末装置4は、下流通信情報の所定情報に対してマスク処理をし、マスク処理をした下流通信情報と要約情報とを用いて、上流通信情報にない下流通信情報を抽出し、抽出した下流通信情報に基づいて差分通信情報を生成する。そして、端末装置4は、通信情報統合装置3に、差分通信情報を送信する(ステップA9)。
続いて、通信情報統合装置3は、端末装置4から差分通信情報を受信する(ステップA10)。その後、通信情報統合装置3は、上流通信情報と差分通信情報とを用いて統合情報を生成する(ステップA11)。
次に、通信情報統合装置3の動作について図8を用いて説明する。通信情報統合装置3の通信情報収集部21は、ネットワーク2の上流において収集できる通信情報を、無線又は有線などの通信を用いて受信し、収集した通信情報を上流通信情報として記憶部24に記憶する(ステップB1)。
続いて、あらかじめ設定した所定日時になると(ステップB2:Yes)、通信情報統合装置3の要約情報生成部22は、対象日時に収集した、記憶部24に記憶されている、上流通信情報を取得する(ステップB3)。対して、あらかじめ設定した所定日時でない場合には(ステップB2:No)、ステップB1の処理に移行する。
続いて、要約情報生成部22は、端末情報(図3の31を参照)と上流通信情報とを用いて、上流通信情報を端末装置4ごとに分類する(ステップB4)。続いて、要約情報生成部22は、端末装置4ごとに分類した上流通信情報(図3の32を参照)を要約した要約情報(図4の41を参照)を生成する(ステップB5)。
具体的には、ステップB5において、要約情報生成部22は、まず、分類した上流通信情報の所定情報に対してマスク処理をし、分類してマスク処理をした上流通信情報のうち、キーとなる情報を要約して要約情報を生成する。なお、要約情報は、キーとなる情報に対して、例えば、ブルームフィルタなどの確率的データ構造、ZDD、BDDなどのデータ圧縮表現構造を適用して生成する。
続いて、要約情報生成部22は、対象の端末装置4へ要約情報を送信する(ステップB6)。その後、通信情報統合部23が、端末装置4それぞれから、要約情報に対する応答となる差分通信情報を受信すると(ステップB7:Yes)、上流通信情報(図3の32を参照)と差分通信情報(図6の62を参照)とを統合して統合情報(図5の50を参照)を生成する(ステップB8)。すなわち、通信情報統合部23は、記憶部24に記憶されている上流通信情報を取得し、取得した上流通信情報に、端末装置4それぞれから受信した差分通信情報を追加する。
次に、端末装置4の動作について図9を用いて説明する。端末装置4の通信情報収集部25は、ネットワーク2の上流において収集できる通信情報を、無線又は有線などの通信を用いて受信し、収集した通信情報を下流通信情報(図6の61を参照)として記憶部27に記憶する(ステップC1)。
続いて、通信情報統合装置3から要約情報を受信すると(ステップC2:Yes)、端末装置4の差分通信情報生成部26は、対象日時に収集した、記憶部27に記憶されている、下流通信情報を取得する(ステップC3)。対して、あらかじめ設定した所定日時でない場合には(ステップC2:No)、ステップC1の処理に移行する。
続いて、差分通信情報生成部26は、下流通信情報と要約情報との差分を抽出し、抽出した差分に基づいて差分通信情報を生成する(ステップC4)。具体的には、ステップC4において、差分通信情報生成部26は、下流通信情報の所定情報に対してマスク処理をし、マスク処理をした下流通信情報と要約情報とを用いて、上流通信情報に含まれない下流通信情報との差分を抽出する。なお、差分の判定には、ブルームフィルタなどの確率的データ構造を適用してもよいし、ZDD、BDDなどのデータ圧縮表現構造を適用してもよい。
なお、下流通信情報の所定情報に対して行うマスク処理は、上述したマスク処理であるので説明を省略する。なお、キーとなる情報は、マスクした「日時」「接続時間」と、「送信元IP」「送信ポート」「受信先IP」「受信ポート」とを少なくとも含む情報とする。
続いて、差分通信情報生成部26は、抽出した差分を用いて差分通信情報を生成する(ステップC5)。続いて、差分通信情報生成部26は、通信情報統合装置3へ差分通信情報を送信する(ステップC6)。例えば、ステップC6において、差分通信情報生成部26は、HTTPSプロトコルなどを用いて、差分通信情報を通信情報統合装置3へ送信する。
[本実施の形態の効果]
以上のように本実施の形態によれば、対象システムにおいて、ネットワーク上流で収集した上流通信情報に含まれない、ネットワーク下流で収集した下流通信情報(差分通信情報)を、上流通信情報に統合するので、重複のない通信情報を一箇所に統合して収集できる。そのため、対象システムで用いた通信情報を効率よく統合できる。
また、従来のようなIPネットワークを採用したシステムにおいては、多段にハブ、ルータなどが接続されているため、ネットワークすべてにおける通信情報を、一箇所に統合して収集することが難しい。しかし、本実施の形態においては、差分通信情報を用いて、上流通信情報に統合するので、IPネットワークを採用したシステムにおいても、通信情報を一箇所に統合して収集できる。そのため、対象システムで用いた通信情報を効率よく統合できる。
また、従来のようなIPネットワークを採用したシステムにおいて、通信情報を一箇所に統合して収集する場合でも、本実施の形態においては、ネットワークに設けられたすべてのネットワークスイッチに対してミラーポートを設定する必要がない。そのため、対象システムで用いた通信情報を効率よく統合できる。
また、本実施の形態においては、従来のように端末装置4からローカルで下流通信情報を抽出して記録する場合と比べて、すくない通信量と時間とで、重複なく通信情報を一箇所に統合して収集できる。そのため、対象システムで用いた通信情報を効率よく統合できる。
また、従来のようにリモートフォレンジックツール、OS固有の管理ツールを利用してネットワーク経由で通信情報を取得して記録してもよいが、端末装置4に記録した通信情報をネットワーク経由で取得する場合において、容量の大きな通信情報を多くの端末装置4から収集した場合、ネットワークに過剰な通信負荷がかかる。しかし、本実施の形態においては、要約情報と差分通信情報とを用いることで、すくない通信量と時間とで、重複なく通信情報を一箇所に統合して収集できる。そのため、対象システムで用いた通信情報を効率よく統合できる。
[プログラム1]
本発明の実施の形態における通信情報統合装置のプログラムは、コンピュータに、図8に示すステップB1からB8を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における通信情報統合装置と通信情報統合方法とを実現することができる。この場合、コンピュータのプロセッサは、通信情報収集部21、要約情報生成部22、通信情報統合部23として機能し、処理を行なう。
また、本実施の形態における通信情報統合装置のプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されてもよい。この場合は、例えば、各コンピュータが、それぞれ、通信情報収集部21、要約情報生成部22、通信情報統合部23のいずれかとして機能してもよい。
[プログラム2]
本発明の実施の形態における端末装置のプログラムは、コンピュータに、図9に示すステップC1からC6を実行させるプログラムであればよい。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における端末装置とその方法とを実現することができる。この場合、コンピュータのプロセッサは、通信情報収集部25、差分通信情報生成部26として機能し、処理を行なう。
また、本実施の形態における端末装置のプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されてもよい。この場合は、例えば、各コンピュータが、それぞれ、通信情報収集部25、差分通信情報生成部26のいずれかとして機能してもよい。
[物理構成]
ここで、実施の形態におけるプログラムを実行することによって、通信情報統合装置3、又は、端末装置4を実現するコンピュータについて図10を用いて説明する。図10は、本発明の実施の形態における通信情報統合装置又は端末装置を実現するコンピュータの一例を示すブロック図である。
図10に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。なお、コンピュータ110は、CPU111に加えて、又はCPU111に代えて、GPU(Graphics Processing Unit)、又はFPGA(Field-Programmable Gate Array)を備えていてもよい。
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであってもよい。
また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置があげられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記録媒体、又はCD-ROM(Compact Disk Read Only Memory)などの光学記録媒体があげられる。
なお、本実施の形態における通信情報統合装置3又は端末装置4は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、通信情報統合装置3又は端末装置4は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。
[付記]
以上の実施の形態に関し、更に以下の付記を開示する。上述した実施の形態の一部又は全部は、以下に記載する(付記1)から(付記10)により表現することができるが、以下の記載に限定されるものではない。
(付記1)
複数の端末装置と通信情報統合装置とがネットワークを介して通信をする通信情報統合システムであって、
前記通信情報統合装置は、
収集した第一の通信情報を前記端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約した要約情報を生成し、生成した要約情報を当該端末装置へ送信し、
前記端末装置が収集した第二の通信情報と前記要約情報とに基づいて、前記端末装置が生成した差分通信情報を、前記端末装置から受信した場合、前記第一の通信情報に前記差分通信情報を統合する、
前記端末装置は、
前記要約情報を受信した場合、前記端末装置が収集した第二の通信情報と前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を抽出し、抽出した前記差分に基づいて前記差分通信情報を生成し、生成した前記差分通信情報を前記通信情報統合装置へ送信する、
ことを特徴とする通信情報統合システム。
(付記2)
複数の端末装置と通信情報統合装置とを有するネットワークにおける通信情報統合方法であって、
前記通信情報統合装置が、収集した第一の通信情報を前記端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約した要約情報を生成し、生成した要約情報を当該端末装置へ送信し、
前記端末装置が、前記要約情報を受信した場合、前記端末装置が収集した第二の通信情報と前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を抽出し、抽出した前記差分に基づいて差分通信情報を生成し、生成した前記差分通信情報を前記通信情報統合装置へ送信し、
前記通信情報統合装置が、前記端末装置が生成した前記差分通信情報を、前記端末装置から受信した場合、前記第一の通信情報に前記差分通信情報を統合する、
ことを特徴とする通信情報統合方法。
(付記3)
収集した第一の通信情報を、ネットワークを介して通信をする端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約した要約情報を生成する、要約情報生成部と、
前記端末装置において生成した、前記端末装置が収集した第二の通信情報と、前記ネットワークを介して受信した前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を表す差分通信情報を、前記端末装置から受信した場合、前記第一の通信情報に前記差分通信情報を統合する、通信情報統合部と、
を有することを特徴とする通信情報統合装置。
(付記4)
付記3に記載の通信情報統合装置であって、
要約情報生成部は、前記端末装置を識別する端末識別情報を用いて、前記第一の通信情報を前記端末装置ごとに分類し、分類した前記端末装置に対応する通信情報のデータ構造を、確率的データ構造又はデータ圧縮表現構造に変換して前記要約情報を生成する
ことを特徴とする通信情報統合装置。
(付記5)
コンピュータに、
(a)収集した第一の通信情報を、ネットワークを介して通信をする端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約した要約情報を生成する、ステップと、
(b)前記端末装置において生成した、前記端末装置が収集した第二の通信情報と、前記ネットワークを介して受信した前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を表す差分通信情報を、前記端末装置から受信した場合、前記第一の通信情報に前記差分通信情報を統合する、ステップと、
を実行させる命令を含むプログラム。
(付記6)
付記5に記載のプログラムであって、
前記(a)のステップにおいて、前記端末装置を識別する端末識別情報を用いて、前記第一の通信情報を前記端末装置ごとに分類し、分類した前記端末装置に対応する通信情報のデータ構造を、確率的データ構造又はデータ圧縮表現構造に変換して圧縮して前記要約情報を生成する
ことを特徴とするプログラム
(付記7)
ネットワークを介して通信をする通信情報統合装置が収集した第一の通信情報を、端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約して生成した要約情報を、前記通信情報統合装置から受信した場合、収集した第二の通信情報と前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を表す差分通信情報を生成する、差分通信情報生成部を有する
ことを特徴とする端末装置。
(付記8)
付記7に記載の端末装置であって、
前記差分通信情報生成部は、前記要約情報と、前記第二の通信情報とに基づいて、前記第一の通信情報にない前記第二の通信情報を抽出し、抽出した前記第二の通信情報に基づいて差分通信情報を生成する
ことを特徴とする端末装置。
(付記9)
コンピュータに、
(a)ネットワークを介して通信をする通信情報統合装置が収集した第一の通信情報を、端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約して生成した要約情報を、前記通信情報統合装置から受信した場合、収集した第二の通信情報と前記要約情報との差分を表す差分通信情報を生成する、ステップ
を実行させる命令を含むプログラム。
(付記10)
付記9に記載のプログラムであって、
前記(a)のステップにおいて、前記要約情報と、前記第二の通信情報とに基づいて、前記第一の通信情報にない前記第二の通信情報を抽出し、抽出した前記第二の通信情報に基づいて差分通信情報を生成する
ことを特徴とするプログラム
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
以上のように本発明によれば、対象システムで用いた通信情報を効率よく統合できる。本発明は、サイバーセキュリティにおいて、システム運用者、インシデント分析者らが、特にインシデントハンドリングのために通信ログを収集する際に有用である。
1 通信情報統合システム
2 ネットワーク
3 通信情報統合装置
4 端末装置
21 通信情報収集部
22 要約情報生成部
23 通信情報統合部
24 記憶部
25 通信情報収集部
26 差分通信情報生成部
27 記憶部
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス

Claims (10)

  1. 複数の端末装置と通信情報統合装置とがネットワークを介して通信をする通信情報統合システムであって、
    前記通信情報統合装置は、
    収集した第一の通信情報を前記端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約した要約情報を生成し、生成した要約情報を当該端末装置へ送信し、
    前記端末装置が収集した第二の通信情報と前記要約情報とに基づいて、前記端末装置が生成した差分通信情報を、前記端末装置から受信した場合、前記第一の通信情報に前記差分通信情報を統合する、
    前記端末装置は、
    前記要約情報を受信した場合、前記端末装置が収集した第二の通信情報と前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を抽出し、抽出した前記差分に基づいて前記差分通信情報を生成し、生成した前記差分通信情報を前記通信情報統合装置へ送信する、
    ことを特徴とする通信情報統合システム。
  2. 複数の端末装置と通信情報統合装置とを有するネットワークにおける通信情報統合方法であって、
    前記通信情報統合装置が、収集した第一の通信情報を前記端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約した要約情報を生成し、生成した要約情報を当該端末装置へ送信し、
    前記端末装置が、前記要約情報を受信した場合、前記端末装置が収集した第二の通信情報と前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を抽出し、抽出した前記差分に基づいて差分通信情報を生成し、生成した前記差分通信情報を前記通信情報統合装置へ送信し、
    前記通信情報統合装置が、前記端末装置が生成した前記差分通信情報を、前記端末装置から受信した場合、前記第一の通信情報に前記差分通信情報を統合する、
    ことを特徴とする通信情報統合方法。
  3. 収集した第一の通信情報を、ネットワークを介して通信をする端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約した要約情報を生成する、要約情報生成手段と、
    前記端末装置において生成した、前記端末装置が収集した第二の通信情報と、前記ネットワークを介して受信した前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を表す差分通信情報を、前記端末装置から受信した場合、前記第一の通信情報に前記差分通信情報を統合する、通信情報統合手段と、
    を有することを特徴とする通信情報統合装置。
  4. 請求項3に記載の通信情報統合装置であって、
    要約情報生成手段は、前記端末装置を識別する端末識別情報を用いて、前記第一の通信情報を前記端末装置ごとに分類し、分類した前記端末装置に対応する通信情報のデータ構造を、確率的データ構造又はデータ圧縮表現構造に変換して前記要約情報を生成する
    ことを特徴とする通信情報統合装置。
  5. コンピュータに、
    (a)収集した第一の通信情報を、ネットワークを介して通信をする端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約した要約情報を生成する、ステップと、
    (b)前記端末装置において生成した、前記端末装置が収集した第二の通信情報と、前記ネットワークを介して受信した前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を表す差分通信情報を、前記端末装置から受信した場合、前記第一の通信情報に前記差分通信情報を統合する、ステップと、
    を実行させる命令を含むプログラム。
  6. 請求項5に記載のプログラムであって、
    前記(a)のステップにおいて、前記端末装置を識別する端末識別情報を用いて、前記第一の通信情報を前記端末装置ごとに分類し、分類した前記端末装置に対応する通信情報のデータ構造を、確率的データ構造又はデータ圧縮表現構造に変換して圧縮して前記要約情報を生成する
    ことを特徴とするプログラム
  7. ネットワークを介して通信をする通信情報統合装置が収集した第一の通信情報を、端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約して生成した要約情報を、前記通信情報統合装置から受信した場合、収集した第二の通信情報と前記要約情報とを用いて、前記第一の通信情報と前記第二の通信情報との差分を表す差分通信情報を生成する、差分通信情報生成手段を有する
    ことを特徴とする端末装置。
  8. 請求項7に記載の端末装置であって、
    前記差分通信情報生成手段は、前記要約情報と、前記第二の通信情報とに基づいて、前記第一の通信情報にない前記第二の通信情報を抽出し、抽出した前記第二の通信情報に基づいて差分通信情報を生成する
    ことを特徴とする端末装置。
  9. コンピュータに、
    (a)ネットワークを介して通信をする通信情報統合装置が収集した第一の通信情報を、端末装置ごとに分類し、分類した前記端末装置に対応する通信情報を要約して生成した要約情報を、前記通信情報統合装置から受信した場合、収集した第二の通信情報と前記要約情報との差分を表す差分通信情報を生成する、ステップ
    を実行させる命令を含むプログラム。
  10. 請求項9に記載のプログラムであって、
    前記(a)のステップにおいて、前記要約情報と、前記第二の通信情報とに基づいて、前記第一の通信情報にない前記第二の通信情報を抽出し、抽出した前記第二の通信情報に基づいて差分通信情報を生成する
    ことを特徴とするプログラム
JP2020550992A 2018-10-02 2018-10-02 通信情報統合システム、通信情報統合方法、通信情報統合装置、端末装置、及びプログラム Active JP7088302B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/036957 WO2020070811A1 (ja) 2018-10-02 2018-10-02 通信情報統合システム、通信情報統合方法、通信情報統合装置、端末装置、及びコンピュータ読み取り可能な記録媒体

Publications (2)

Publication Number Publication Date
JPWO2020070811A1 JPWO2020070811A1 (ja) 2021-09-02
JP7088302B2 true JP7088302B2 (ja) 2022-06-21

Family

ID=70055702

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020550992A Active JP7088302B2 (ja) 2018-10-02 2018-10-02 通信情報統合システム、通信情報統合方法、通信情報統合装置、端末装置、及びプログラム

Country Status (3)

Country Link
US (1) US20210400068A1 (ja)
JP (1) JP7088302B2 (ja)
WO (1) WO2020070811A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010176191A (ja) 2009-01-27 2010-08-12 Mitsubishi Electric Corp データ送信装置及びデータ記憶装置及びデータ更新システム及びコンピュータプログラム及びデータ更新方法
JP2017098870A (ja) 2015-11-27 2017-06-01 株式会社日立製作所 ログ収集システム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010176191A (ja) 2009-01-27 2010-08-12 Mitsubishi Electric Corp データ送信装置及びデータ記憶装置及びデータ更新システム及びコンピュータプログラム及びデータ更新方法
JP2017098870A (ja) 2015-11-27 2017-06-01 株式会社日立製作所 ログ収集システム

Also Published As

Publication number Publication date
WO2020070811A1 (ja) 2020-04-09
JPWO2020070811A1 (ja) 2021-09-02
US20210400068A1 (en) 2021-12-23

Similar Documents

Publication Publication Date Title
US9853988B2 (en) Method and system for detecting threats using metadata vectors
Perdisci et al. Alarm clustering for intrusion detection systems in computer networks
EP3646549B1 (en) Firewall configuration manager
JP2017538376A (ja) オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法
WO2018161302A1 (zh) 数据处理方法、装置和系统
JP2016508353A (ja) ネットワークメタデータを処理する改良されたストリーミング方法およびシステム
CN113162943B (zh) 一种防火墙策略动态管理的方法、系统
Ajayi et al. Secured cyber-attack signatures distribution using blockchain technology
Su Discovery and prevention of attack episodes by frequent episodes mining and finite state machines
CN111241104A (zh) 操作审计方法、装置及电子设备和计算机可读存储介质
JP6783261B2 (ja) 脅威情報抽出装置及び脅威情報抽出システム
US10897483B2 (en) Intrusion detection system for automated determination of IP addresses
EP3688950B1 (en) Intrusion detection
Anastopoulos et al. A structured methodology for deploying log management in WANs
JP7088302B2 (ja) 通信情報統合システム、通信情報統合方法、通信情報統合装置、端末装置、及びプログラム
KR102125966B1 (ko) 사설 네트워크 및 가상머신을 이용한 토르 네트워크의 트래픽 및 특징점 수집 시스템
KR100734864B1 (ko) 패턴 매칭 정책 저장 방법 및 경보 제어 방법
Yang et al. Modelling Network Traffic and Exploiting Encrypted Packets to Detect Stepping-stone Intrusions.
US8149841B2 (en) System and method for end-user custom parsing definitions
US11316832B1 (en) Computer network data center with reverse firewall and encryption enabled gateway for security against privacy attacks over a multiplexed communication channel
JP7050042B2 (ja) 情報処理システムおよび情報処理方法
TW201815142A (zh) 通過代理伺服器日誌偵測domain flux殭屍網路的方法
Su Internet worms identification through serial episodes mining
US10554517B2 (en) Reduction of volume of reporting data using content deduplication
WO2015162688A1 (ja) データ処理システム、データ処理方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210315

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210315

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220523

R151 Written notification of patent or utility model registration

Ref document number: 7088302

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151