JPWO2016194123A1 - 中継装置、ネットワーク監視システム及びプログラム - Google Patents

中継装置、ネットワーク監視システム及びプログラム Download PDF

Info

Publication number
JPWO2016194123A1
JPWO2016194123A1 JP2017521382A JP2017521382A JPWO2016194123A1 JP WO2016194123 A1 JPWO2016194123 A1 JP WO2016194123A1 JP 2017521382 A JP2017521382 A JP 2017521382A JP 2017521382 A JP2017521382 A JP 2017521382A JP WO2016194123 A1 JPWO2016194123 A1 JP WO2016194123A1
Authority
JP
Japan
Prior art keywords
data
unauthorized access
server
unit
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017521382A
Other languages
English (en)
Other versions
JP6258562B2 (ja
Inventor
仁 川▲崎▼
仁 川▲崎▼
広泰 田畠
広泰 田畠
晃由 山口
晃由 山口
信博 小林
信博 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Mitsubishi Electric Building Techno Service Co Ltd
Original Assignee
Mitsubishi Electric Corp
Mitsubishi Electric Building Techno Service Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp, Mitsubishi Electric Building Techno Service Co Ltd filed Critical Mitsubishi Electric Corp
Publication of JPWO2016194123A1 publication Critical patent/JPWO2016194123A1/ja
Application granted granted Critical
Publication of JP6258562B2 publication Critical patent/JP6258562B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/208Port mirroring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network

Abstract

ネットワークスイッチのミラーポートからの出力を有効利用して施設内に設置された機器への施設内外からの不正アクセスの検出を行う。ゲートウェイ装置10は、監視対象の機器から出力されたパケットデータであってスイッチのミラーポートから出力されたパケットデータを監視用データとして監視用データ記憶部19に保存する監視用データ取得部15と、監視用データと判定ルールとの比較に基づき監視用データが異常かどうかを判定することで不正アクセスを検出する不正アクセス検出部17と、外部通信部12を介して外部ネットワークに接続された監視センタのサーバに不正が検出されたことを通知する不正アクセス通知部18と、を有する。

Description

本発明は、中継装置、ネットワーク監視システム及びプログラム、特に中継装置と同じ施設内に設置された設備機器への不正アクセスの検出に関する。
制御システムのオープン化に伴い、悪意のある第三者が制御システムに不正にアクセスすることが発生している。そのため、ビル管理システムをはじめとする制御システムの分野では、ネットワークを監視してネットワークに接続された機器への不正アクセスを検知することが求められている。
従来では、侵入検知システム(IDS:Intrusion Detection System)を利用したり、ネットワーク監視に特化したネットワーク管理装置を設置したりしてネットワークを監視する方法が提案されている(例えば、特許文献1,2)。また、ホームゲートウェイに中継するパケットを解析する機能を搭載して外部ネットワークからの不正アクセスを検知する技術が提案されている(例えば、特許文献3)。
特開2005−157650号公報 特開2007−274265号公報 特開2006−067279号公報
しかしながら、特許文献1,2のようにネットワークを監視するための装置を用いると不正アクセスの検出のために多大なコストが必要となってくる。また、装置の設置スペースも必要となってくる。また、特許文献3では、外部ネットワークからのユーザ端末への不正アクセスは検知できても内部ネットワークからのユーザ端末への不正アクセスを検知することができない。
ところで、従来から、回線やパケットの交換(スイッチング)機能が搭載された通信装置としてネットワークスイッチ(以下、単に「スイッチ」)がある。高性能のスイッチには、通常のポートを通過する全てのトラフィックデータをコピーして出力するためのミラーポートが設けられている機種が存在する。
本発明は、ネットワークスイッチのミラーポートからの出力を有効利用して施設内に設置された機器への施設内外からの不正アクセスの検出を行うことを目的とする。
本発明に係る中継装置は、施設外の外部ネットワークに接続されたサーバと施設内の内部ネットワークに直接又は間接的に接続された機器との間で通信されるデータを中継する中継装置において、前記内部ネットワークに接続されたネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段と、前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段と、不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段と、を有するものである。
また、前記中継装置にかかる負荷の状態を監視する負荷状態監視手段と、前記データ取得手段により取得されたデータを記憶するデータ記憶手段と、を有し、前記検出手段は、前記中継装置にかかる負荷が所定以下の場合にのみデータの解析を行うものである。
また、前記データ取得手段により取得されたデータと予め設定されているフィルタ情報とのマッチング処理により前記機器への不正アクセスを検出するマッチング処理手段を有し、前記検出手段は、前記マッチング処理手段によるマッチング処理により不正アクセスが検出されなかったデータを解析することで前記機器に対する不正アクセスを検出するものである。
また、前記検出手段は、前記ネットワークスイッチの通常ポートから出力される前記機器からのデータを解析することで前記機器に対する不正アクセスを検出するものである。
また、前記中継装置における負荷状態を監視する負荷状態監視手段と、
前記データ取得手段により取得されたデータを記憶するデータ記憶手段と、前記中継装置にかかる負荷の状態に応じて前記データ記憶手段に記憶されたデータを前記サーバに送信し、前記検出手段で行う不正アクセスの検出処理の実行を前記サーバに要求する検出処理要求手段と、を有するものである。
本発明に係るネットワーク監視システムは、施設外の外部ネットワークに接続されたサーバと、施設内の内部ネットワークに直接又は間接的に接続された機器と、前記サーバと前記機器との間で通信されるデータを中継する中継装置と、前記内部ネットワークに接続され、通常ポートから入力されたデータをミラーポートから前記中継装置へ送信するネットワークスイッチと、を有し、前記中継装置は、前記ネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段と、前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段と、不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段と、を有するものである。
本発明に係るプログラムは、施設外の外部ネットワークに接続されたサーバと施設内の内部ネットワークに直接又は間接的に接続された機器との間で通信されるデータを中継する中継装置に搭載されたコンピュータを、前記内部ネットワークに接続されたネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段、前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段、不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段、として機能させるためのものである。
本発明によれば、ネットワークスイッチのミラーポートからの出力を有効利用して施設内に設置された機器への施設内外からの不正アクセスの検出を行うことができる。
また、負荷がかかっている状態においては不正アクセスの検出処理の実行を制限することで中継装置にかかる負荷の増大を回避することができる。
また、相対的に低速な検出手段による不正アクセスの検出に先行して、相対的に高速なフィルタ情報とのマッチング処理による不正アクセスの検出を行うことで、不正アクセスの検出処理の高速化を図ると共に中継装置にかかる処理負荷の低減を図ることができる。
また、ネットワークスイッチの通信ポートから受信した機器からのデータに基づき機器への施設内からの不正アクセスの検出を行うことができる。
また、負荷がかかっている状態においては不正アクセスの検出処理の実行をサーバに依頼して中継装置にかかる負荷の増大を回避することができる。
実施の形態1におけるゲートウェイ装置を含むネットワーク監視システムの全体構成の一例を示した図である。 実施の形態1におけるゲートウェイ装置のハードウェア構成図である。 実施の形態1におけるゲートウェイ装置のブロック構成図である。 実施の形態1におけるゲートウェイ装置が実施する不正アクセス検出処理を示したフローチャートである。 実施の形態2におけるゲートウェイ装置のブロック構成図である。 実施の形態3におけるゲートウェイ装置のブロック構成図である。 実施の形態4におけるゲートウェイ装置のブロック構成図である。 実施の形態5におけるゲートウェイ装置のブロック構成図である。
以下、図面に基づいて、本発明の好適な実施の形態について説明する。
実施の形態1.
図1は、本発明に係るネットワーク監視システムの一実施の形態を示した全体構成図である。図1には、監視センタ1に設置されたサーバ2と顧客のビル3に設置されたゲートウェイ装置10とがインターネット等の外部ネットワーク4にて接続された構成が示されている。また、ビル3の内部には、ゲートウェイ装置10の他に、スイッチ5、管理装置6、コントローラ7及び電気設備等の機器8が設置され、このうちスイッチ5及びコントローラ7は、LAN等の内部ネットワーク9に接続されている。そして、スイッチ5には、ゲートウェイ装置10及び管理装置6が接続されている。
スイッチ5は、回線やパケットの交換(スイッチング)機能が搭載された通信装置である。本実施の形態におけるスイッチ5は、通常のポートを通過する全てのトラフィックデータをコピーして出力するためのミラーポート51を有している。ミラーポート51は、ゲートウェイ装置10の監視ポート361と接続されている。スイッチ5の通常ポートは、ゲートウェイ装置10の通常ポート、管理装置6及び内部ネットワーク9に接続されている。ゲートウェイ装置10は、サーバ2と機器8との間でやり取りされるデータを中継する。管理装置6は、機器8をはじめ内部ネットワーク9に直接又は間接的に接続されている各種機器の監視、管理を行う。コントローラ7は、接続された機器8の動作の制御及び機器8が発信するデータの収集等を行う。ビル3に設置するコントローラ7及び各コントローラ7に接続する機器8の台数は、ビル3の規模に応じて決められている。
監視センタ1は、サーバ2を用いて、ビル3に設置された各機器8の保守管理等のために機器8へ制御データ等を送信したり、機器8から運用実績値等のデータを取得したりする。なお、監視センタ1は、1又は複数のビル3に設置された機器8を監視するが、監視内容は各ビル3とも同様なので便宜的に1つのビル3のみ図示した。
図2は、本実施の形態におけるゲートウェイ装置10のハードウェア構成図である。本実施の形態におけるゲートウェイ装置10は、コンピュータを搭載し、従前から存在する汎用的なハードウェア構成で実現できる。すなわち、ゲートウェイ装置10は、図2に示したようにCPU31、ROM32、RAM33、ハードディスクドライブ(HDD)34、通信手段として設けられ、外部ネットワーク4を接続するための外部ネットワークインタフェース(IF)35及び内部ネットワーク9を接続するための内部ネットワークインタフェース(IF)36を内部バス37に接続して構成される。内部ネットワークインタフェース36は、スイッチ5の通常ポートからの出力を受ける通常ポート(図示せず)とは別に、スイッチ5のミラーポート51からの出力を受ける監視ポート361を搭載する。なお、図示していないが、ゲートウェイ装置10の環境設定等のためにコンピュータを接続可能なインタフェースを設けてもよい。
図3は、本実施の形態におけるゲートウェイ装置10のブロック構成図である。なお、本実施の形態において説明に用いない構成要素に関しては図から省略している。本実施の形態におけるゲートウェイ装置10は、内部通信部11、外部通信部12、プロトコル変換部13、監視用通信部14、監視用データ取得部15、負荷状態監視部16、不正アクセス検出部17、不正アクセス通知部18、監視用データ記憶部19及び判定ルール記憶部20を有している。内部通信部11は、内部ネットワーク9を介して機器8等のビル3に設置されたネットワーク機器との通信機能を提供する。外部通信部12は、外部ネットワーク4を介したサーバ2等の外部装置との通信機能を提供する。プロトコル変換部13は、サーバ2と機器8のプロトコルを相互に変換する機能を提供する。監視用通信部14は、監視ポート361から入力されてくるパケットデータを受信することで取得する。パケットデータには、やり取りされるデータ及びそのデータの送信元、送信先、データ信号の種類等が含まれているので、監視用データ取得部15は、監視用通信部14により受信されたパケットデータを解析して、受信されたパケットデータのうち不正アクセスの検出に用いるパケットデータを監視用データとして監視用データ記憶部19に格納する。負荷状態監視部16は、ゲートウェイ装置10にかかる負荷の状態を監視する。不正アクセス検出部17は、検出手段として設けられ、判定ルール記憶部20に予め設定されている判定ルールに基づき、監視用データ取得部15により取得され監視用データ記憶部19に格納された監視用データを解析することで機器8に対する不正アクセスを検出する。不正アクセス通知部18は、検出情報送信手段として設けられ、不正アクセスが検出されたときにその不正アクセスに関する検出情報を、外部通信部12を介してサーバ2へ送信する。
判定ルール記憶部20には、機器8から送出される信号データの種類に応じて、その信号データが正常であると判定するための閾値、範囲等により表される判定ルールが予め設定されている。閾値や正常と判定する範囲等は、運用実績から明らかになっている。
ゲートウェイ装置10における各構成要素11〜18は、ゲートウェイ装置10に搭載されたコンピュータと、コンピュータに搭載されたCPU31で動作するプログラムとの協調動作により実現される。また、各記憶部19〜20は、ゲートウェイ装置10に搭載されたHDD34にて実現される。あるいは、RAM33又は外部にある記憶手段をネットワーク経由で利用してもよい。
また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD−ROMやUSBメモリ等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPU31がプログラムを順次実行することで各種処理が実現される。
本実施の形態におけるネットワーク監視システムは、アプリケーションにより実現されるゲートウェイ装置10の機能に特徴を有し、それ以外は従前からある各装置のハードウェア及び機能を利用することができる。
次に、本実施の形態におけるゲートウェイ装置10の動作について説明する。
ゲートウェイ装置10において、外部通信部12が外部ネットワーク4を介して送信されてくるサーバ2からの機器8宛のデータを受信すると、プロトコル変換部13は、そのデータを機器8が採用しているプロトコルに合致した形式に変換する。内部通信部11は、その変換後のデータを機器8宛に送信する。なお、前述した通常動作時における処理とは別に、スイッチ5は、ゲートウェイ装置10から送信されてきたデータをミラーポート51から出力する。また、内部通信部11が内部ネットワーク9を介して送信されてくる機器8からのサーバ2宛のデータを受信すると、プロトコル変換部13は、そのデータをサーバ2が採用しているプロトコルに合致した形式に変換する。外部通信部12は、その変換後のデータをサーバ2宛に送信する。なお、前述した通常動作時における処理とは別に、スイッチ5は、機器8から送信されてきたデータをミラーポート51から出力する。
このように、ゲートウェイ装置10は、通常の機能処理としてサーバ2と機器8との間でやり取りされるデータの中継を行うが、この通常の機能処理と並行して以下に説明する不正アクセスの検出処理を行う。以下、本実施の形態におけるゲートウェイ装置10が実施する不正アクセスの検出処理について図4に示したフローチャートを用いて説明する。なお、ゲートウェイ装置10では、不正アクセス検出用のアプリケーションをRAM33に常駐させ、不正アクセスの検出処理を常時実行しているが、図4では便宜的に不正アクセスを検出したときにサーバ2に通知すると終了するよう図示した。また、フローチャートにおけるステップ110,120は、ステップ130以降の処理とは非同期に独立して実施されるが、フローチャートでは、便宜的に一連の処理として図示した。
スイッチ5は、前述したように外部ネットワーク4側及び内部ネットワーク9側から送られてきたデータをミラーポート51から出力するが、監視用通信部14は、このミラーポート51から出力されたデータを受信する(ステップ110)。そして、監視用データ取得部15は、受信したデータのうち予め決められた規則に従い不正アクセスの検出に用いるデータを抽出し、その抽出したデータを監視用データとして監視用データ記憶部19に書き込み保存する(ステップ120)。
本アプリケーション起動後、負荷状態監視部16は、ゲートウェイ装置10における負荷状態を一定時間間隔で監視している。この監視のタイミングにおいてゲートウェイ装置10にかかっている負荷が予め設定された閾値を超えている場合(ステップ130でY)、不正アクセス検出部17による不正アクセス検出処理を実行することによってゲートウェイ装置10にかかる負荷が増大し、これによりゲートウェイ装置10本来の中継機能の実行に支障を来すおそれがあると判断し、不正アクセス検出部17による不正アクセスの検出処理の実行を見合わせる。
一方、ゲートウェイ装置10にかかっている負荷が予め設定された閾値以下の場合(ステップ130でN)、不正アクセス検出部17は、負荷状態監視部16からの通知に応じて不正アクセスの有無の確認を行う。すなわち、不正アクセス検出部17は、監視用データ記憶部19に保存されている監視用データを、判定ルール記憶部20に登録されている判定ルールと比較などして監視用データの異常の有無を検証する(ステップ140)。検証の結果、異常有りと判定した場合(ステップ150でY)、この監視用データの異常を不正アクセスとみなして異常有りと判定したデータ及びそのデータの送信元、送信先、送信日時等不正アクセスの解析に必要と考えられる情報を含む検出情報を生成する(ステップ160)。そして、不正アクセス通知部18は、その生成された検出情報を外部通信部12にサーバ2宛に送信させることで、不正アクセスを検出したことをサーバ2に通知する(ステップ170)。
本実施の形態によれば、監視ポート361から取得した監視用データに基づく異常判定を、ゲートウェイ装置10にかかる負荷が一定以下の場合のみ行うようにしたので、ゲートウェイ装置10にかかる負荷が過大となることを回避し、中継装置として通常行うべき中継機能の実行に支障を来さないようにすることができる。
なお、本実施の形態では、図4に示した処理手順に従うと、ゲートウェイ装置10にかかる負荷が所定の閾値以下にならないとステップ130を繰り返すばかりで不正アクセスの検出を実施しないことになる。そこで、所定の閾値以下にならなくても、ゲートウェイ装置10にかかる負荷が所定時間を超えている状態が予め設定した時間以上続いた場合、すなわちタイムアウトの発生によりステップ140以降に処理を移行するようにしてもよい。
また、本実施の形態におけるネットワーク監視システムは、図1に示したようにゲートウェイ装置10を外部ネットワーク4に接続し、スイッチ5を内部ネットワーク9に接続し、そして、ゲートウェイ装置10の監視ポート361とスイッチ5のミラーポート51とを接続するよう構成する必要はあるが、図1に例示したシステム構成に限定されるものではない。例えば、ゲートウェイ装置10とスイッチ5との間に管理装置6を設けてもよい。後述する各実施の形態においても同様である。
実施の形態2.
図5は、本実施の形態におけるゲートウェイ装置10のブロック構成図である。なお、実施の形態1と同じ構成要素には同じ符号を付け説明を省略する。本実施の形態におけるゲートウェイ装置10は、実施の形態1と同じく内部通信部11、外部通信部12、プロトコル変換部13、監視用通信部14、不正アクセス検出部17、不正アクセス通知部18、監視用データ記憶部19及び判定ルール記憶部20を有し、更にマッチング処理部21及びフィルタ情報記憶部22を有している。フィルタ情報記憶部22には、マッチング処理部21によるマッチング処理に用いられるフィルタ情報が予め設定されている。本実施の形態では、機器8とデータのやり取りを行う通信相手として信頼できる装置の識別情報が登録されたホワイトリストがフィルタ情報としてフィルタ情報記憶部22に登録されている。マッチング処理部21は、監視用通信部14により受信されたデータの送受信者をホワイトリストと照合するマッチング処理を行うことで機器8への不正アクセスを検出する。
マッチング処理部21は、ゲートウェイ装置10に搭載されたコンピュータと、コンピュータに搭載されたCPU31で動作するプログラムとの協調動作により実現される。また、フィルタ情報記憶部22は、ゲートウェイ装置10に搭載されたHDD34にて実現される。あるいは、RAM33又は外部にある記憶手段をネットワーク経由で利用してもよい。また、ゲートウェイ装置10のハードウェア構成及びネットワーク監視システムに含まれるその他の装置構成は実施の形態1と同じでよい。
次に、本実施の形態における不正アクセス検出処理について説明する。なお、通常の中継処理機能については実施の形態1と同じなので説明を省略する。後述する実施の形態においても同様とする。
本実施の形態における不正アクセス検出処理は、基本的には実施の形態1と同じである。ただ、負荷状態監視部16がないため負荷の状態を確認しない点と、本実施の形態の特徴的な処理が異なる。すなわち、監視用通信部14がデータを受信すると、マッチング処理部21は、1段階目の不正アクセス検出として、その受信されたデータの機器8との通信相手をホワイトリストと照合する。そして、通信相手がホワイトリストに登録されていなければ、当該データに対応するアクセスを不正と判断する。
ところで、機器8との通信相手がホワイトリストに登録されていた場合でも真に信頼できる通信相手かどうか、不正アクセスでないかどうかの保証はない。そこで、機器8との通信相手がホワイトリストに登録されていた場合でも、マッチング処理部21は、そのデータを監視用データとして監視用データ記憶部19に登録する。そして、登録された監視用データの検証のために、不正アクセス検出部17は、2段階目の不正アクセス検出として、マッチング処理部21では不正アクセスと判定されなかった監視用データの異常の有無を検証する不正アクセス検出部17により実施される2段階目の不正アクセス検出は、実施の形態1と同様の処理内容でよい。
以上のようにして、マッチング処理部21又は不正アクセス検出部17において不正アクセスが検出された場合、不正アクセス通知部は、実施の形態1と同様に不正アクセスの検出に伴い生成された検出情報を外部通信部12に送信させることで、不正アクセスを検出したことをサーバ2に通知する
本実施の形態によれば、マッチング処理部21を設けることによって、判定ルールとの比較、照合による相対的に低速な不正アクセス検出部17による不正アクセス検出に先行して、相対的に高速なフィルタ情報とのマッチング処理を行うようにしたので、不正アクセスの検出処理の高速化を図ると共にゲートウェイ装置10にかかる処理負荷の低減を図ることができる。
なお、本実施の形態では、マッチング処理の際に用いるフィルタ情報として、信頼できる通信相手の装置IDが登録されたホワイトリストを用いたが、これに限らず他の情報、例えば不正な装置の識別情報が登録されたブラックリスト等を用いてもよい。
実施の形態3.
図6は、本実施の形態におけるゲートウェイ装置10のブロック構成図である。なお、実施の形態1と同じ構成要素には同じ符号を付け説明を省略する。本実施の形態におけるゲートウェイ装置10は、実施の形態1と同じく内部通信部11、外部通信部12、プロトコル変換部13、監視用通信部14、監視用データ取得部15、不正アクセス検出部17、不正アクセス通知部18、監視用データ記憶部19及び判定ルール記憶部20を有し、更に通信状態取得部23及び通信状態記憶部24を有している。通信状態取得部23は、内部通信部11が受信したスイッチ5の通常ポートからの出力データを取得し、通信状態記憶部24に格納する。
通信状態取得部23は、ゲートウェイ装置10に搭載されたコンピュータと、コンピュータに搭載されたCPU31で動作するプログラムとの協調動作により実現される。また、通信状態記憶部24は、ゲートウェイ装置10に搭載されたHDD34にて実現される。あるいは、RAM33又は外部にある記憶手段をネットワーク経由で利用してもよい。また、ゲートウェイ装置10のハードウェア構成及びネットワーク監視システムに含まれるその他の装置構成は実施の形態1と同じでよい。
ところで、ビル3の内外の1又は複数の装置がパケットを1台の機器8に対し集中して送信することで、当該機器の動作に悪影響を与える不正行為がある。例えば、DDos(Distributed Denial of Servic attack)攻撃はこの不正行為に該当するが、DDos攻撃による機器8の負荷の増加も不正アクセスの一形態と考えられる。外部ネットワーク4を介さずにビル3内に設置された第三者の機器からの機器8への攻撃だと、ゲートウェイ装置10は、その第三者の機器から発信されたパケットを中継しないので、その攻撃を検出できない。
そこで、本実施の形態における不正アクセス検出部17は、上記各実施の形態において説明した監視用通信部14による監視ポート361から入力されるデータに基づく不正アクセスの検出とは別個に、内部通信部11による通常ポートから入力される通常のデータに基づき不正アクセスを検出できるようにした。
すなわち、通信状態取得部23は、内部通信部11が受信したスイッチ5の通常ポートからの出力データを取得して通信状態記憶部24に格納する。不正アクセス検出部17は、サーバ2から機器8へのデータ送信要求等の問合せに対し、当該機器8が応答するまでに多大な時間を要した場合、あるいは応答の内容が異常だと、その理由としてDDos攻撃等の不正アクセスを受けていると推測する。ここで、当該機器8が応答するまでに多大な時間を要したかどうかは、応答に要した時間と予め設定された閾値(タイムリミット)とを比較すればよい。また、応答の内容が異常かどうかは、通常データの値と当該通常データの種類に応じて予め設定された正常範囲とを比較すればよい。
本実施の形態によれば、内部通信部11により受信された通常のデータをも解析対象とすることで、監視用データから検出できない不正アクセスを検出できるようになる。
なお、本実施の形態では、サーバ2からの問合せに対する応答データを解析するようにしたが、ゲートウェイ装置10が不正アクセスの検出のために機器8に対し、応答を要する問合せ要求を送信するようにしてもよい。
また、本実施の形態では、内部からのDDos攻撃を例にして説明したが、不正アクセス検出部17は、その他の不正アクセスに対しても同様に適切な閾値(上下限)、正常範囲、値の変化度合いや変化率等の判定ルールを設定して対処できるようにする。
実施の形態4.
図7は、本実施の形態におけるゲートウェイ装置10のブロック構成図である。なお、実施の形態1と同じ構成要素には同じ符号を付け説明を省略する。本実施の形態におけるゲートウェイ装置10は、実施の形態1に示した構成に、検出処理要求部25を追加した構成を有している。検出処理要求部25は、ゲートウェイ装置10にかかる負荷の状態に応じて監視用データ記憶部19に記憶された監視用データをサーバ2に送信し、不正アクセス検出部17で行う不正アクセスの検出処理の実行をサーバ2に要求する。検出処理要求部25は、ゲートウェイ装置10に搭載されたコンピュータと、コンピュータに搭載されたCPU31で動作するプログラムとの協調動作により実現される。
前述したように、不正アクセス検出部17が不正アクセス検出処理を実行することによってゲートウェイ装置10にかかる負荷が増大し、これによりゲートウェイ装置10本来の中継機能の実行に支障を来す可能性が生じうる。
そこで、本実施の形態における検出処理要求部25は、ゲートウェイ装置10にかかる負荷が大きく不正アクセス検出部17に処理を実行させない方がよい場合、あるいは不正アクセス検出部17では処理が実行できない場合、監視用データ記憶部19に記憶された監視用データを外部通信部12にサーバ2へ送信させ、また、サーバ2に不正アクセスの検出処理の実行を要求するようにした。
ここで、不正アクセス検出部17に処理を実行させない方がよい場合というのは、例えば膨大な通信量のデータを中継していることからゲートウェイ装置10に多大な負荷がかかっている場合である。ゲートウェイ装置10が過負荷の状態であるときに不正アクセス検出部17に処理を実行させると、ゲートウェイ装置10本来の中継機能の実行に支障を来す可能性が生じうる。また、不正アクセス検出部17では処理が実行できない場合というのは、例えば、不正アクセスを検出するに監視用データの変化の遷移を解析する必要があるけれどもゲートウェイ装置10における記憶容量から大容量の監視用データを保持できないような場合である。
このように、負荷状態監視部16により検出されたゲートウェイ装置10にかかる負荷の状態を解析することで、ゲートウェイ装置10に所定の閾値以上の負荷がゲートウェイ装置10にかかっている、あるいは監視用データ記憶部19の記憶容量が不足すると判断した場合、検出処理要求部25は、不正アクセスの検出処理の実行をサーバ2に要求する。
本実施の形態によれば、不正アクセスの検出処理の実行をサーバ2に依頼するようにしたので、ゲートウェイ装置10に過負荷がかからないようにすることができる。また、ゲートウェイ装置10より高性能なサーバ2に不正アクセスの検出処理を依頼することで、より高度な検出処理の実行が可能になる。
なお、ゲートウェイ装置10は、負荷の高い状態において更に監視用データをサーバ2へ送信することになるが、検出処理要求部25は、監視用データの通信量を考慮して不正アクセスの検出処理を不正アクセス検出部17に実行させるか、あるいはサーバ2に依頼するかを判断することになる。
実施の形態5.
図8は、本実施の形態におけるゲートウェイ装置10のブロック構成図である。なお、実施の形態1と同じ構成要素には同じ符号を付け説明を省略する。本実施の形態におけるゲートウェイ装置10は、実施の形態1と同じく内部通信部11、外部通信部12、プロトコル変換部13、監視用通信部14、監視用データ取得部15、不正アクセス検出部17、不正アクセス通知部18、監視用データ記憶部19及び判定ルール記憶部20を有し、更に連携処理部26を有している。連携処理部26は、他のゲートウェイ装置10と連携する機能を提供する。連携処理部26は、ゲートウェイ装置10に搭載されたコンピュータと、コンピュータに搭載されたCPU31で動作するプログラムとの協調動作により実現される。
本実施の形態では、例えば、所定の地域内にある近隣のビル3、あるいは同一管理者が所有するビル3、という条件に従いゲートウェイ装置10のグループを形成する。そして、ネットワーク監視システムでは、当該グループを代表するゲートウェイ装置10を予め決めておく。
そして、ゲートウェイ装置10が検出した不正アクセスをサーバ2に通知する際、本実施の形態では、各ゲートウェイ装置10が個々にサーバ2に通知するのではなく、各グループを代表するゲートウェイ装置10が同一グループ内において検出された不正アクセスの検出情報をとりまとめてサーバ2に通知する。
すなわち、代表でないゲートウェイ装置10において不正アクセスが検出された場合、そのゲートウェイ装置10における連携処理部26は、同一グループ内において代表となるゲートウェイ装置10に検出情報を送信する。そして、代表となるゲートウェイ装置10における連携処理部26は、同一グループ内におけるゲートウェイ装置10から送信されてきた検出情報をまとめてサーバ2へ送信する。各ゲートウェイ装置10がどのグループに所属するか、また自装置が代表かどうかは、連携処理部26に予め設定していてもよいし、図示しない記憶手段に設定登録しておいてもよい。
なお、サーバ2へ送信するタイミングは、検出情報を受信したら即時に送信してもよいし、所定期間内に受信した検出情報をまとめて送信するようにしてもよい。
サーバ2からしてみると、検出情報が複数のゲートウェイ装置10から個々に送信されてくるのではなくグループ毎にまとめて送信されてくるので受信回数が少なくて済む。
上記各実施の形態においては、ゲートウェイ装置10がスイッチ5のミラーポート51からの出力データに基づき機器8を監視し、機器8に発生する異常、すなわち機器8への不正アクセスを検出するための不正アクセス検出処理について説明した。実施の形態3では、スイッチ5の通常ポートからの出力データをも解析対象として機器8を監視するようにした。上記各実施の形態において説明した構成及び処理内容は、別個に実施せずに適宜組み合わせて実施してもよい。また、本実施の形態では、中継装置としてゲートウェイ装置10を例にして説明したが、外部ネットワーク4とビル3の内部ネットワーク9とを接続してサーバ2と機器8との間のデータ通信を中継する中継機能を有する通信装置であればゲートウェイ装置10に限定する必要はない。
1 監視センタ、2 サーバ、3 ビル、4 外部ネットワーク、5 スイッチ、6 管理装置、7 コントローラ、8 機器、9 内部ネットワーク、10 ゲートウェイ装置、11 内部通信部、12 外部通信部、13 プロトコル変換部、14 監視用通信部、15 監視用データ取得部、16 負荷状態監視部、17 不正アクセス検出部、18 不正アクセス通知部、19 監視用データ記憶部、20 判定ルール記憶部、21 マッチング処理部、22 フィルタ情報記憶部、23 通信状態取得部、24 通信状態記憶部、25 検出処理要求部、26 連携処理部、31 CPU、32 ROM、33 RAM、34 ハードディスクドライブ(HDD)、35 外部ネットワークインタフェース(IF)、36 内部ネットワークインタフェース(IF)、37 内部バス、51 ミラーポート、361 監視ポート。

Claims (7)

  1. 施設外の外部ネットワークに接続されたサーバと施設内の内部ネットワークに直接又は間接的に接続された機器との間で通信されるデータを中継する中継装置において、
    前記内部ネットワークに接続されたネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段と、
    前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段と、
    不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段と、
    を有することを特徴とする中継装置。
  2. 前記中継装置にかかる負荷の状態を監視する負荷状態監視手段と、
    前記データ取得手段により取得されたデータを記憶するデータ記憶手段と、
    を有し、
    前記検出手段は、前記中継装置にかかる負荷が所定以下の場合にのみデータの解析を行うことを特徴とする請求項1に記載の中継装置。
  3. 前記データ取得手段により取得されたデータと予め設定されているフィルタ情報とのマッチング処理により前記機器への不正アクセスを検出するマッチング処理手段を有し、
    前記検出手段は、前記マッチング処理手段によるマッチング処理により不正アクセスが検出されなかったデータを解析することで前記機器に対する不正アクセスを検出することを特徴とする請求項1に記載の中継装置。
  4. 前記検出手段は、前記ネットワークスイッチの通常ポートから出力される前記機器からのデータを解析することで前記機器に対する不正アクセスを検出することを特徴とする請求項1に記載の中継装置。
  5. 前記中継装置における負荷状態を監視する負荷状態監視手段と、
    前記データ取得手段により取得されたデータを記憶するデータ記憶手段と、
    前記中継装置にかかる負荷の状態に応じて前記データ記憶手段に記憶されたデータを前記サーバに送信し、前記検出手段で行う不正アクセスの検出処理の実行を前記サーバに要求する検出処理要求手段と、
    を有することを特徴とする請求項1に記載の中継装置。
  6. 施設外の外部ネットワークに接続されたサーバと、
    施設内の内部ネットワークに直接又は間接的に接続された機器と、
    前記サーバと前記機器との間で通信されるデータを中継する中継装置と、
    前記内部ネットワークに接続され、通常ポートから入力されたデータをミラーポートから前記中継装置へ送信するネットワークスイッチと、
    を有し、
    前記中継装置は、
    前記ネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段と、
    前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段と、
    不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段と、
    を有することを特徴とするネットワーク監視システム。
  7. 施設外の外部ネットワークに接続されたサーバと施設内の内部ネットワークに直接又は間接的に接続された機器との間で通信されるデータを中継する中継装置に搭載されたコンピュータを、
    前記内部ネットワークに接続されたネットワークスイッチのミラーポートから出力されるデータを取得するデータ取得手段、
    前記データ取得手段により取得されたデータを解析することで前記機器に対する不正アクセスを検出する検出手段、
    不正アクセスが検出されたときにその不正アクセスに関する検出情報を前記サーバへ送信する検出情報送信手段、
    として機能させるためのプログラム。
JP2017521382A 2015-06-02 2015-06-02 中継装置、ネットワーク監視システム及びプログラム Expired - Fee Related JP6258562B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2015/065848 WO2016194123A1 (ja) 2015-06-02 2015-06-02 中継装置、ネットワーク監視システム及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2016194123A1 true JPWO2016194123A1 (ja) 2017-07-20
JP6258562B2 JP6258562B2 (ja) 2018-01-10

Family

ID=57441094

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017521382A Expired - Fee Related JP6258562B2 (ja) 2015-06-02 2015-06-02 中継装置、ネットワーク監視システム及びプログラム

Country Status (5)

Country Link
US (1) US10826915B2 (ja)
EP (1) EP3306868B1 (ja)
JP (1) JP6258562B2 (ja)
CN (1) CN107735987A (ja)
WO (1) WO2016194123A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11528344B2 (en) * 2017-05-02 2022-12-13 Airo Finland Oy Elimination of latency in a communication channel
WO2019003300A1 (ja) * 2017-06-27 2019-01-03 三菱電機ビルテクノサービス株式会社 侵入検知装置および侵入検知方法
JP2020088716A (ja) * 2018-11-29 2020-06-04 株式会社デンソー 中継装置
CN110234115A (zh) * 2019-05-23 2019-09-13 深圳和而泰家居在线网络科技有限公司 多设备通信系统和数据通信方法
US20220109680A1 (en) * 2019-06-24 2022-04-07 Hewlett-Packard Development Company, L.P. Intercepting devices
CN112738151A (zh) * 2019-09-17 2021-04-30 三菱动力株式会社 传送装置
JP7273759B2 (ja) * 2020-03-19 2023-05-15 株式会社東芝 通信装置、通信方法、情報処理システムおよびプログラム
CN111798330B (zh) * 2020-05-20 2024-04-05 中国南方电网有限责任公司 电力现货市场监测数据管理方法、装置及设备
US11252064B2 (en) * 2020-07-01 2022-02-15 Hewlett Packard Enterprise Development Lp System and method for monitoring ingress/egress packets at a network device
CN113596023A (zh) * 2021-07-27 2021-11-02 北京卫达信息技术有限公司 数据中继和远程引导设备
CN113612753A (zh) * 2021-07-27 2021-11-05 北京卫达信息技术有限公司 数据的远程引导系统及方法
CN113923080B (zh) * 2021-10-11 2023-12-19 中认车联网技术服务(深圳)有限公司 基于车载以太网的视频信号监控平台及数据分析方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012169731A (ja) * 2011-02-10 2012-09-06 Yokogawa Electric Corp 不正パケット抽出装置
JP2015231131A (ja) * 2014-06-04 2015-12-21 株式会社ギデオン ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7295552B1 (en) * 1999-06-30 2007-11-13 Broadcom Corporation Cluster switching architecture
US20110238855A1 (en) * 2000-09-25 2011-09-29 Yevgeny Korsunsky Processing data flows with a data flow processor
US9800608B2 (en) * 2000-09-25 2017-10-24 Symantec Corporation Processing data flows with a data flow processor
US20110214157A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Securing a network with data flow processing
US20110231564A1 (en) * 2000-09-25 2011-09-22 Yevgeny Korsunsky Processing data flows with a data flow processor
US8010469B2 (en) * 2000-09-25 2011-08-30 Crossbeam Systems, Inc. Systems and methods for processing data flows
US20110213869A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Processing data flows with a data flow processor
US8165114B2 (en) * 2002-06-13 2012-04-24 Nice Systems Ltd. Voice over IP capturing
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
JP2005157650A (ja) 2003-11-25 2005-06-16 Matsushita Electric Ind Co Ltd 不正アクセス検知システム
JP4480422B2 (ja) * 2004-03-05 2010-06-16 富士通株式会社 不正アクセス阻止方法、装置及びシステム並びにプログラム
US7436832B2 (en) * 2004-05-05 2008-10-14 Gigamon Systems Llc Asymmetric packets switch and a method of use
JP2006067279A (ja) 2004-08-27 2006-03-09 Matsushita Electric Ind Co Ltd 侵入検知システム及び通信装置
US7979368B2 (en) * 2005-07-01 2011-07-12 Crossbeam Systems, Inc. Systems and methods for processing data flows
JP4466597B2 (ja) 2006-03-31 2010-05-26 日本電気株式会社 ネットワークシステム、ネットワーク管理装置、ネットワーク管理方法及びプログラム
US7873038B2 (en) * 2007-04-30 2011-01-18 Hewlett-Packard Development Company, L.P. Packet processing
US8248928B1 (en) * 2007-10-09 2012-08-21 Foundry Networks, Llc Monitoring server load balancing
JP4820437B2 (ja) * 2009-07-29 2011-11-24 シャープ株式会社 情報処理装置
JP5300076B2 (ja) * 2009-10-07 2013-09-25 日本電気株式会社 コンピュータシステム、及びコンピュータシステムの監視方法
JP4660658B1 (ja) * 2010-02-09 2011-03-30 ネットエージェント株式会社 通信情報解析システム
US9674074B2 (en) * 2011-04-08 2017-06-06 Gigamon Inc. Systems and methods for stopping and starting a packet processing task
JP5754704B2 (ja) * 2011-04-19 2015-07-29 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 複数の産業制御システム間の通信を制御するシステム
US9432385B2 (en) * 2011-08-29 2016-08-30 Arbor Networks, Inc. System and method for denial of service attack mitigation using cloud services
JP6277137B2 (ja) * 2012-02-17 2018-02-07 ヴェンコア ラブズ、インク.Vencore Labs, Inc. フィールド・エリア・ネットワークにおけるパケット取得、解析及び侵入検出の方法及びシステム
US8832264B2 (en) * 2012-03-01 2014-09-09 Justin Pauley Network appliance for monitoring network requests for multimedia content
US20140010096A1 (en) * 2012-07-09 2014-01-09 International Business Machines Corporation Port mirroring in distributed switching systems
JP5987627B2 (ja) * 2012-10-22 2016-09-07 富士通株式会社 不正アクセス検出方法、ネットワーク監視装置及びプログラム
JP5919205B2 (ja) * 2013-01-28 2016-05-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびデータ送受信システム
US8848744B1 (en) * 2013-03-15 2014-09-30 Extrahop Networks, Inc. Resynchronization of passive monitoring of a flow based on hole detection
CN103152227A (zh) * 2013-03-26 2013-06-12 北京启明星辰信息技术股份有限公司 一种应对网络威胁与攻击的一体化实时检测系统及方法
KR102184074B1 (ko) * 2013-08-05 2020-11-27 엘지전자 주식회사 셀룰러 네트워크에서 간섭 정렬 방법 및 장치
US9491189B2 (en) * 2013-08-26 2016-11-08 Guardicore Ltd. Revival and redirection of blocked connections for intention inspection in computer networks
CN103618689A (zh) * 2013-09-12 2014-03-05 天脉聚源(北京)传媒科技有限公司 一种网络入侵检测的方法、装置和系统
US9288221B2 (en) * 2014-01-14 2016-03-15 Pfu Limited Information processing apparatus, method for determining unauthorized activity and computer-readable medium
US9356950B2 (en) * 2014-05-07 2016-05-31 Attivo Networks Inc. Evaluating URLS for malicious content
JP2016015676A (ja) * 2014-07-03 2016-01-28 富士通株式会社 監視装置、監視システム、および、監視方法
US20160036837A1 (en) * 2014-08-04 2016-02-04 Microsoft Corporation Detecting attacks on data centers
US10389655B2 (en) * 2014-09-22 2019-08-20 Dell Products L.P. Event-based packet mirroring
CN104579818A (zh) 2014-12-01 2015-04-29 国家电网公司 智能变电站网络异常报文检测方法
WO2016170598A1 (ja) * 2015-04-21 2016-10-27 株式会社Pfu 情報処理装置、方法およびプログラム
US9338147B1 (en) * 2015-04-24 2016-05-10 Extrahop Networks, Inc. Secure communication secret sharing

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012169731A (ja) * 2011-02-10 2012-09-06 Yokogawa Electric Corp 不正パケット抽出装置
JP2015231131A (ja) * 2014-06-04 2015-12-21 株式会社ギデオン ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
西原 広史: "プロフェッショナルに学ぶ エンタープライズセキュリティ", 月刊アスキードットテクノロジーズ 第15巻 第9号, vol. 第15巻 第9号, JPN6017041866, 24 July 2010 (2010-07-24), JP, pages 122 - 125, ISSN: 0003673659 *

Also Published As

Publication number Publication date
US10826915B2 (en) 2020-11-03
JP6258562B2 (ja) 2018-01-10
US20180183816A1 (en) 2018-06-28
CN107735987A (zh) 2018-02-23
EP3306868A1 (en) 2018-04-11
EP3306868A4 (en) 2019-01-02
WO2016194123A1 (ja) 2016-12-08
EP3306868B1 (en) 2021-02-17

Similar Documents

Publication Publication Date Title
JP6258562B2 (ja) 中継装置、ネットワーク監視システム及びプログラム
JP6001689B2 (ja) ログ分析装置、情報処理方法及びプログラム
US11258812B2 (en) Automatic characterization of malicious data flows
JP6435695B2 (ja) コントローラ,及びその攻撃者検知方法
CN111869189A (zh) 网络探针和处理消息的方法
CN107770132A (zh) 一种对算法生成域名进行检测的方法及装置
US20070150955A1 (en) Event detection system, management terminal and program, and event detection method
JP6711710B2 (ja) 監視装置、監視方法および監視プログラム
KR20130085570A (ko) 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치
WO2021131193A1 (ja) 攻撃監視用センター装置、及び攻撃監視用端末装置
US20220263846A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
CN104734916A (zh) 一种基于tcp协议的高效多级异常流量检测方法
Neu et al. Lightweight IPS for port scan in OpenFlow SDN networks
US10893058B1 (en) Malware detection and alerting for network connected devices based on traffic flow analysis on local network
JP2004356915A (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
JP5568344B2 (ja) 攻撃検出装置、攻撃検出方法、及びプログラム
Nakahara et al. Malware Detection for IoT Devices using Automatically Generated White List and Isolation Forest.
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
Nakahara et al. Machine Learning based Malware Traffic Detection on IoT Devices using Summarized Packet Data.
JP6497782B2 (ja) 試験装置、試験方法および試験プログラム
CN115174189A (zh) 异常检测方法、装置、电子设备及存储介质
JP2019213029A (ja) 感染拡大攻撃検知システム及び方法、並びに、プログラム
CN113454956B (zh) 通信终端装置、通信控制方法以及介质
US11316770B2 (en) Abnormality detection apparatus, abnormality detection method, and abnormality detection program
WO2017217305A1 (ja) ログ出力制御装置、ログ分析システム、ログ出力制御方法、ログ分析方法、および、記録媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170303

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171206

R150 Certificate of patent or registration of utility model

Ref document number: 6258562

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees