JP4161989B2 - Network monitoring system - Google Patents
Network monitoring system Download PDFInfo
- Publication number
- JP4161989B2 JP4161989B2 JP2005200532A JP2005200532A JP4161989B2 JP 4161989 B2 JP4161989 B2 JP 4161989B2 JP 2005200532 A JP2005200532 A JP 2005200532A JP 2005200532 A JP2005200532 A JP 2005200532A JP 4161989 B2 JP4161989 B2 JP 4161989B2
- Authority
- JP
- Japan
- Prior art keywords
- unit
- application
- network
- monitoring
- bandwidth
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
この発明は、ネットワークの状態を監視して、例えばワーム(Worm)やDDoS攻撃(Distributed Denial of Service attacks) 等の不正プログラム活動を検知するシステムに関する。 The present invention relates to a system that monitors the state of a network and detects malicious program activities such as worms and DDoS attacks (Distributed Denial of Service attacks).
インターネット等の通信ネットワークでは、コンピュータ・プログラムの不正な活動に起因して障害が発生する場合がある。不正な活動を行うコンピュータ・プログラムとしては、例えば、ワームやDDoS攻撃プログラム等が知られている。 In communication networks such as the Internet, failures may occur due to unauthorized activities of computer programs. As computer programs that perform unauthorized activities, for example, worms and DDoS attack programs are known.
ワームとは、自己増殖を繰り返しながらコンピュータの破壊活動を行う不正プログラムであり、広義のコンピュータウイルスに分類される。ワームは、感染したコンピュータの電子メール用ソフトウエア等を利用して、多数の他のコンピュータに当該ワームのコピーを送信しようとする。このため、ワームは、多数のコンピュータを破壊するだけでなく、ネットワークの輻輳障害を発生させる場合がある。 Worms are malicious programs that perform computer destruction while repeating self-replication, and are classified as computer viruses in a broad sense. The worm attempts to send a copy of the worm to a number of other computers using e-mail software on the infected computer. For this reason, the worm not only destroys a large number of computers but also may cause a network congestion failure.
DDoS攻撃は、多数のコンピュータで同時にDDoS攻撃用プログラムを動作させることによって、標的となる特定のコンピュータに大量のデータを送りつける攻撃である。DDoS攻撃は、標的となったコンピュータに障害を発生させるだけでなく、ネットワークの輻輳障害を発生させる場合がある。 The DDoS attack is an attack in which a large amount of data is sent to a specific target computer by simultaneously operating a DDoS attack program on a large number of computers. A DDoS attack may not only cause a failure in a targeted computer but also cause a network congestion failure.
このような不正プログラム活動からコンピュータやネットワークを防御する技術としては、例えば、インターネット定点観測システムや、アプリケーション識別技術を用いた防御システム、ファイアウォールを用いた防御システム等が知られている。 As techniques for protecting computers and networks from such malicious program activities, for example, Internet fixed point observation systems, defense systems using application identification techniques, defense systems using firewalls, and the like are known.
インターネット定点観測システムを開示する文献としては、例えば下記非特許文献1が知られている。インターネット定点観測システムとは、インターネットに接続されたネットワーク機器を用いてトラフィックを監視・解析するシステムである。このシステムでは、トラフィックの状態を目視で監視することにより、不正プログラム活動に起因するネットワーク障害の発生を検知することができる。 As a document disclosing the Internet fixed point observation system, for example, the following non-patent document 1 is known. An Internet fixed point observation system is a system that monitors and analyzes traffic using network devices connected to the Internet. In this system, it is possible to detect the occurrence of a network failure due to malicious program activity by visually monitoring the traffic state.
アプリケーション識別技術を用いた防御システムとしては、例えば下記非特許文献2が知られている。このシステムは、受信パケットから、そのパケットの送信に使用されたアプリケーションを特定する。そして、既知の不正プログラムを用いて送信されてきたパケットをフィルタリングすることにより、コンピュータを防御することができる。 As a defense system using an application identification technique, for example, Non-Patent Document 2 below is known. The system identifies the application used to transmit the packet from the received packet. And a computer can be defended by filtering the packet transmitted using the known malicious program.
ファイアウォールを用いた防御システムを開示する文献としては、例えば下記特許文献1が知られている。特許文献1の技術では、管理対象となるサーバとネットワークとの接続部分にファイアウォールを設けるとともに、該ネットワークと他のネットワークとのボーダ部分にフィルタ装置を設ける。そして、ファイアウォールは、攻撃パケットを受信した際にその攻撃パケットをフィルタリングするとともに、その攻撃パケットの情報を各フィルタ装置に通知する。これにより、攻撃パケットがネットワークに侵入できなくなるので、そのネットワークにおける輻輳障害の発生を防止することができる。
これらのシステムでは、既知の不正プログラム活動に対しては、予めインターネット・サービス・プロバイダ間で連携してフィルタやブラックホール・ルータを設定することなどにより、被害の防止や軽減を図ることができる。また、DDoS攻撃の標的となるコンピュータのIPアドレスが判明している場合等には、予めドメイン・ネーム・サーバを書き換えてIPアドレスを変更することにより対処することもできる。 In these systems, for known malicious program activities, damage can be prevented or reduced by setting a filter or a black hole router in advance in cooperation between Internet service providers. Also, when the IP address of a computer that is a target of a DDoS attack is known, it can be dealt with by rewriting the domain name server in advance and changing the IP address.
しかしながら、未知の不正プログラム活動に対しては、ネットワークのトラフィック量や特定ポートへのアクセス数を解析することによって対応するしかないため、不正プログラム活動の発生を早期に発見することが困難であった。 However, it is difficult to detect the occurrence of malicious program activities early because unknown malicious program activities can only be dealt with by analyzing the amount of traffic on the network and the number of accesses to specific ports. .
この発明の課題は、未知の不正プログラム活動を早期に発見することができるネットワーク監視システムを提供することにある。 An object of the present invention is to provide a network monitoring system that can detect an unknown malicious program activity at an early stage.
この発明に係るネットワーク監視システムは、監視ポイントのネットワーク・トラフィックからパケットを順次抽出するインタフェース部と、インタフェース部が抽出した1以上のパケットを解析することにより該パケットの通信を行った不正或いは合法的なアプリケーションの種類を特定するアプリケーション特定部と、インタフェース部が抽出したパケットのヘッダ情報を抽出して解析するヘッダ解析抽出部と、アプリケーション特定部の特定結果またはヘッダ解析抽出部の解析結果に応じて通信を分類し、この分類毎に使用帯域を解析する帯域解析部と、アプリケーション特定部の特定結果、ヘッダ解析抽出部の解析結果および帯域解析部の解析結果を含む監視データを保存する保存部と、保存部に保存された監視データを統計的に処理することにより、アプリケーション特定部が特定したアプリケーションの種類毎に複数種類の統計データを生成する出力処理部と、統計データを用いて不正プログラム活動を検知する異常検知部とを備える。 The network monitoring system according to the present invention includes an interface unit that sequentially extracts packets from network traffic at a monitoring point, and one or more packets extracted by the interface unit for analyzing illegal or legitimate communication. Depending on the application identification unit that identifies the type of application, the header analysis extraction unit that extracts and analyzes the header information of the packet extracted by the interface unit, and the analysis result of the application identification unit or the header analysis extraction unit A bandwidth analysis unit that classifies communications and analyzes the bandwidth used for each classification; a storage unit that stores monitoring data including the identification result of the application identification unit, the analysis result of the header analysis extraction unit, and the analysis result of the bandwidth analysis unit; The monitoring data stored in the storage unit is statistically processed. By, and an output processing unit for the application specific unit generates statistical data of a plurality of types for each type of identified application, and an abnormality detection section for detecting malware activities using statistical data.
この発明に係るネットワーク監視システムによれば、ヘッダ情報や通信帯域の解析を、パケット通信に使用されている不正なアプリケーションまたは合法的なアプリケーションの種類毎に行うことができるので、不正プログラムの未知/既知に拘わらず、不正プログラム活動を早期に発見することができる。 According to the network monitoring system of the present invention, analysis of header information and communication bandwidth can be performed for each type of illegal application or legitimate application used for packet communication. regardless of the known, it can be found at an early stage an unauthorized program activity.
以下、この発明の実施の形態について、図面を用いて説明する。なお、図中、各構成成分の大きさ、形状および配置関係は、この発明が理解できる程度に概略的に示してあるにすぎず、また、以下に説明する数値的条件は単なる例示にすぎない。 Embodiments of the present invention will be described below with reference to the drawings. In the drawings, the size, shape, and arrangement relationship of each component are shown only schematically to the extent that the present invention can be understood, and the numerical conditions described below are merely examples. .
第1の実施形態
この発明の第1の実施形態に係るネットワーク監視システムについて、図1〜図6を用いて説明する。
First Embodiment A network monitoring system according to a first embodiment of the present invention will be described with reference to FIGS.
図1は、この実施形態に係るネットワークの構成を示す概念図である。図1に示したように、監視対象となるネットワーク110は、複数のルータ111,112,113や、ファイアウォール114を含む。ルータ111〜113やファイアウォール114は、この実施形態に係るネットワーク監視システム(図1では図示せず)の監視ポイントとなる。また、外部ネットワーク120は、ルータ121を含む。ルータ111とルータ121とは、通信回線130で接続されている。以下の説明では、ネットワーク110側からネットワーク120側への通信方向を「アウトバウンド」と称し、ネットワーク120側からネットワーク110側への通信方向を「インバウンド」と称する。この実施形態に係るネットワーク監視システムは、例えば、ネットワーク110,120を接続するルータ111内に設置される。 FIG. 1 is a conceptual diagram showing the configuration of a network according to this embodiment. As shown in FIG. 1, the network 110 to be monitored includes a plurality of routers 111, 112, 113 and a firewall 114. The routers 111 to 113 and the firewall 114 serve as monitoring points for the network monitoring system (not shown in FIG. 1) according to this embodiment. The external network 120 includes a router 121. The router 111 and the router 121 are connected by a communication line 130. In the following description, the communication direction from the network 110 side to the network 120 side is referred to as “outbound”, and the communication direction from the network 120 side to the network 110 side is referred to as “inbound”. The network monitoring system according to this embodiment is installed in a router 111 that connects the networks 110 and 120, for example.
図2は、この実施形態に係るネットワーク監視システム200の構成を概略的に示すブロック図である。図2に示したように、ネットワーク監視システム200は、インタフェース210と、解析部220と、データベース230と、出力処理部240とを備えている。また、解析部220は、アプリケーション特定部221と、ヘッダ解析抽出部222と、帯域解析部223とを備える。 FIG. 2 is a block diagram schematically showing the configuration of the network monitoring system 200 according to this embodiment. As illustrated in FIG. 2, the network monitoring system 200 includes an interface 210, an analysis unit 220, a database 230, and an output processing unit 240. The analysis unit 220 includes an application specifying unit 221, a header analysis extraction unit 222, and a band analysis unit 223.
インタフェース210は、監視ポイント(ここではルータ111とする)のネットワーク・トラフィックからパケットを順次抽出する。また、インタフェース210は、管理者の操作に基づき、特定のパケットをフィルタリング(監視ポイントがファイアウォールの場合はパッチの適用によるパケットの遮断)することができる。 The interface 210 sequentially extracts packets from the network traffic of the monitoring point (here, the router 111). Further, the interface 210 can filter a specific packet (blocking a packet by applying a patch when the monitoring point is a firewall) based on the operation of the administrator.
アプリケーション特定部221は、インタフェース210が抽出したパケットを解析して、それらのパケットの送信に使用されているアプリケーションを特定する。この実施形態で特定されるアプリケーションは、ワームやDDoS攻撃用プログラム等の不正なアプリケーションだけでなく、電気メール用ソフトウエア、ファイル交換用ソフトウエア等の合法的通信アプリケーションを含む。アプリケーションは、1個のパケットのみから特定できる場合もあり、また、複数個のパケットを用いて特定できる場合もある。アプリケーションの特定は、例えば、パケットのペイロード部(通信データを格納する部分)から読み出した情報の特徴や通信プロトコルの特徴などを利用して行うことが望ましい。例えば、オペレーティング・システムの脆弱性を利用するワームの場合、その脆弱性を利用するための不正コードによってそのワームであると特定できる場合がある。また、独自のピア・ツー・ピア通信方式を用いたファイル交換用ソフトウエアの場合、その独自性に基づく通信データの特徴からそのソフトウエアであると特定できる場合がある。このような特定方法によれば、ヘッダ情報や送受信ポート番号のみを使用して特定する方法よりも、特定の精度を向上させることができる。なぜなら、不正プログラムによってヘッダ情報が改ざんされる場合があり、また、アプリケーションによってはポート番号を変更できる場合があるからである。アプリケーションを特定するための特徴情報は、予め作成されて、アプリケーション特定部221内に格納される。この特徴情報は、新しいアプリケーションが知得されるたびに更新されることが望ましい。アプリケーションを特定するソフトウエアとしては、例えば上述の非特許文献2で開示されたものが知られている。 The application specifying unit 221 analyzes the packets extracted by the interface 210 and specifies an application used for transmitting those packets. The applications specified in this embodiment include not only illegal applications such as worms and DDoS attack programs, but also legitimate communication applications such as e-mail software and file exchange software. An application may be identified from only one packet, or may be identified using a plurality of packets. It is desirable to specify the application by using, for example, the characteristics of information read from the payload part (portion for storing communication data) of the packet and the characteristics of the communication protocol. For example, in the case of a worm that uses operating system vulnerabilities, it may be possible to identify the worm by malicious code that uses the vulnerabilities. Further, in the case of software for exchanging files using a unique peer-to-peer communication method, the software may be identified from the characteristics of communication data based on the uniqueness. According to such a specifying method, the specific accuracy can be improved as compared with the method of specifying using only the header information and the transmission / reception port number. This is because the header information may be falsified by an unauthorized program, and the port number may be changed depending on the application. Feature information for specifying an application is created in advance and stored in the application specifying unit 221. This feature information is preferably updated each time a new application is learned. As software for specifying an application, for example, the software disclosed in Non-Patent Document 2 described above is known.
ヘッダ解析抽出部222は、インタフェース210が抽出したパケットから、所定のヘッダ情報を抽出して解析する。複数のパケットからアプリケーションが特定された場合、ヘッダ解析抽出部222は、これらのパケットを一括して処理する。この実施形態では、ヘッダ情報として、送信元アドレス、宛先アドレス、使用プロトコル、TCP/UDP(Transmission Control Protocol/User datagram Protocol)の送信元ポート番号および宛先ポート番号を抽出する。さらに、ヘッダ解析抽出部222は、、抽出された送信元アドレスや宛先アドレスと、監視対象となるネットワーク110のIPアドレス情報(図示せず)とを用いて、ネットワーク110内のアドレスと、ネットワーク110外のアドレスと、通信方向(インバウンド/アウトバウンド)とを解析する。そして、ヘッダ解析抽出部222は、使用プロトコル、送信元ポート番号、宛先ポート番号、ネットワーク110内のアドレス、ネットワーク110外のアドレスおよび通信方向を、解析結果として出力する。なお、ヘッダ解析抽出部222が抽出、解析するヘッダ情報の種類は、特に限定されず、ネットワーク監視システム200の製造者或いは使用者が任意に決定できる。例えば、ネットワーク110内のアドレスおよびネットワーク110外のアドレスに代えて、送信元アドレスや宛先アドレスをそのまま用いることにしてもよい。 The header analysis extraction unit 222 extracts and analyzes predetermined header information from the packet extracted by the interface 210. When an application is specified from a plurality of packets, the header analysis extraction unit 222 processes these packets in a batch. In this embodiment, a transmission source address, a destination address, a used protocol, a transmission port number of TCP / UDP (Transmission Control Protocol / User datagram Protocol), and a destination port number are extracted as header information. Further, the header analysis extraction unit 222 uses the extracted transmission source address and destination address and IP address information (not shown) of the network 110 to be monitored, and the address in the network 110 and the network 110. Analyzes outside addresses and communication direction (inbound / outbound). Then, the header analysis extraction unit 222 outputs the use protocol, the transmission source port number, the destination port number, the address in the network 110, the address outside the network 110, and the communication direction as analysis results. The type of header information extracted and analyzed by the header analysis extraction unit 222 is not particularly limited, and can be arbitrarily determined by the manufacturer or user of the network monitoring system 200. For example, a source address or a destination address may be used as they are instead of an address in the network 110 and an address outside the network 110.
帯域解析部223は、アプリケーション特定部およびヘッダ情報解析抽出部の解析結果に基づいて通信帯域を解析する。帯域解析部223は、例えば、アプリケーション特定部221で特定されたアプリケーション毎に使用帯域を解析してもよいし、ヘッダ解析抽出部222が解析した送信元アドレス・ポート番号および宛先アドレス・ポート番号がともに一致する通信毎に使用帯域を解析してもよい。この実施形態では、送信元アドレス・ポート番号および宛先アドレス・ポート番号がともに一致する通信毎の使用帯域を、帯域解析部223に解析させることにする。一方、アプリケーション毎の使用帯域は、アプリケーション特定部221、ヘッダ解析抽出部222および帯域解析部223の解析結果を用いた演算処理によって、出力処理部240に算出させる(後述)。 The band analysis unit 223 analyzes the communication band based on the analysis results of the application specifying unit and the header information analysis extraction unit. For example, the bandwidth analyzing unit 223 may analyze the used bandwidth for each application specified by the application specifying unit 221, or the source address / port number and the destination address / port number analyzed by the header analysis extracting unit 222 may be analyzed. The bandwidth used may be analyzed for each communication that matches both. In this embodiment, the bandwidth analysis unit 223 is made to analyze the used bandwidth for each communication in which the source address / port number and the destination address / port number match. On the other hand, the bandwidth used for each application is calculated by the output processing unit 240 by arithmetic processing using the analysis results of the application specifying unit 221, the header analysis extraction unit 222, and the band analysis unit 223 (described later).
データベース230は、ハードディスク等の記憶装置内に構築され、アプリケーション特定部221、ヘッダ解析抽出部222および帯域解析部223の解析結果を含む監視データを保存する(後述の図3参照)。 The database 230 is built in a storage device such as a hard disk, and stores monitoring data including analysis results of the application specifying unit 221, the header analysis extraction unit 222, and the bandwidth analysis unit 223 (see FIG. 3 described later).
出力処理部240は、データベース230から監視データを読み出すとともに、かかる監視データに統計処理や視覚処理を施して、監視者用の表示装置に表示させる。後述するように、この実施形態では、出力処理部240が行う統計処理として、アプリケーション毎の使用帯域および帯域占有率、アプリケーション毎の通信ホスト数、インバウンドの通信におけるアプリケーション毎の使用帯域および帯域占有率、アウトバウンドの通信におけるアプリケーション毎の使用帯域および帯域占有率、アドレスおよびポート番号がともに一致する通信毎の使用帯域および帯域占有率、および、これらの使用帯域や帯域占有率の時間変化等を採用することにする。また、視覚処理として、それぞれの使用帯域、帯域占有率の時間変化をグラフ化する(後述の図4〜図6参照)。 The output processing unit 240 reads out monitoring data from the database 230 and applies statistical processing and visual processing to the monitoring data to display on the display device for the supervisor. As will be described later, in this embodiment, as statistical processing performed by the output processing unit 240, the used bandwidth and bandwidth occupancy for each application, the number of communication hosts for each application, the used bandwidth and bandwidth occupancy for each application in inbound communication Adopting the bandwidth and bandwidth occupancy rate for each application in outbound communication, the bandwidth and bandwidth occupancy rate for each communication with the same address and port number, and the time variation of these bandwidth and bandwidth occupancy rates I will decide. Further, as visual processing, the time change of each used band and band occupation rate is graphed (see FIGS. 4 to 6 described later).
次に、図2に示したネットワーク監視システム200の動作について、図3〜図6を用いて説明する。 Next, the operation of the network monitoring system 200 shown in FIG. 2 will be described with reference to FIGS.
まず、上述のように、インタフェース210が、ルータ111からパケットを抽出する。抽出されたパケットは、解析部220に送られる。 First, as described above, the interface 210 extracts a packet from the router 111. The extracted packet is sent to the analysis unit 220.
解析部220内のアプリケーション特定部221は、上述のようにして通信パケットを解析し、そのパケット通信に使用されているアプリケーションを特定する。上述のように、アプリケーションは、1個のパケットのみから特定できる場合もあり、また、複数個のパケットを用いて特定しなければならない場合もある。複数のパケットから特定する場合、アプリケーション特定部221は、パケットのヘッダ情報(例えば送信元アドレス、宛先アドレス、ポート番号、シーケンス番号等)から関連するパケットを判断して、アプリケーションを特定する。続いて、ヘッダ解析抽出部222が、これらのパケットから、送信元アドレス、宛先アドレス、プロトコルの種類、送信元ポート番号および宛先ポート番号を抽出・解析する。さらに、帯域解析部223が、アプリケーション、送信元アドレス・ポート番号および宛先アドレス・ポート番号がすべて一致するパケット毎に使用帯域を解析する。これらの解析結果は、監視データとして、データベース230に送られる。 The application specifying unit 221 in the analyzing unit 220 analyzes the communication packet as described above, and specifies an application used for the packet communication. As described above, the application may be specified from only one packet, or may be specified using a plurality of packets. When specifying from a plurality of packets, the application specifying unit 221 specifies an application by determining a related packet from packet header information (for example, transmission source address, destination address, port number, sequence number, etc.). Subsequently, the header analysis extraction unit 222 extracts and analyzes the source address, the destination address, the protocol type, the source port number, and the destination port number from these packets. Further, the bandwidth analysis unit 223 analyzes the used bandwidth for each packet in which the application, the source address / port number, and the destination address / port number all match. These analysis results are sent to the database 230 as monitoring data.
なお、この実施形態では、アプリケーション特定部221がアプリケーションを特定できなかったパケットについてはヘッダ解析抽出部222および帯域解析部223による解析を行わないが、上述したように、アプリケーション特定部221内の特徴情報を随時更新することによって、特定できるアプリケーションの種類を増やすことができる。 In this embodiment, the header analysis extraction unit 222 and the bandwidth analysis unit 223 do not analyze the packet for which the application identification unit 221 cannot identify the application. However, as described above, the features in the application identification unit 221 By updating the information as needed, the types of applications that can be identified can be increased.
データベース230は、監視データを、テーブル化して保存する。データベース230内のテーブル構成を、図3に示す。図3に示したように、ネットワーク110内のアドレス、ネットワーク110外のアドレス、使用プロトコル、送信元ポート番号、宛先ポート番号、使用帯域、使用アプリケーションおよび通信方向の各項目が、データベース230に格納される。 The database 230 stores monitoring data as a table. The table configuration in the database 230 is shown in FIG. As shown in FIG. 3, items in the network 230 are stored in the database 230, such as an address in the network 110, an address outside the network 110, a used protocol, a source port number, a destination port number, a used band, a used application, and a communication direction The
出力処理部240は、データベース230から各監視データを読み出し、以下のような統計処理・視覚処理を施して、表示装置に表示させる。 The output processing unit 240 reads each monitoring data from the database 230, performs the following statistical processing / visual processing, and displays them on the display device.
図4(A)は、アプリケーション毎の使用帯域および帯域占有率を統計処理により算出して表示した例である。アプリケーション毎の使用帯域は、監視データ(図3参照)を用い、同じアプリケーションに対応する使用帯域を加算することにより得ることができる。また、帯域占有率は、このようにして算出された使用帯域を回線容量で除算することによって得ることができる。 FIG. 4A shows an example in which the used bandwidth and bandwidth occupancy for each application are calculated and displayed by statistical processing. The used bandwidth for each application can be obtained by using the monitoring data (see FIG. 3) and adding the used bandwidth corresponding to the same application. Further, the bandwidth occupancy can be obtained by dividing the used bandwidth calculated in this way by the line capacity.
図4(B)は、アプリケーション毎の使用帯域および帯域占有率の時間変化を視覚処理によりグラフ化した例である。このようなグラフにより、かかる使用帯域や帯域占有率の変動を視覚的に把握しやすくなる。特定アプリケーションの使用帯域が短時間に急増した場合、そのアプリケーションを利用した不正プログラム活動が行われている可能性が高い。また、特定アプリケーションの帯域占有率が急増した場合、不正プログラム活動によりネットワーク110に輻輳障害が発生する可能性が高くなる。 FIG. 4B is an example of graphing changes in usage bandwidth and bandwidth occupancy rate for each application by visual processing. Such a graph makes it easy to visually grasp such fluctuations in the used bandwidth and bandwidth occupancy rate. When the bandwidth used for a specific application increases rapidly, there is a high possibility that malicious program activity using that application is being performed. Further, when the bandwidth occupancy rate of a specific application increases rapidly, there is a high possibility that a congestion failure will occur in the network 110 due to unauthorized program activity.
図5(A)は、アプリケーション毎の通信ホスト数を統計処理により算出して表示した例である。ここで、通信ホスト数とは、そのアプリケーションを利用してサービスを行っているサーバ・コンピュータの台数である。通信ホスト数は、それぞれの監視データ(図3参照)について、ネットワーク110内のアドレス、ネットワーク110外のアドレスおよび通信方向から送信元アドレスを判断し、さらに、異なる送信アドレスの個数を計数することによって、算出することができる。 FIG. 5A shows an example in which the number of communication hosts for each application is calculated and displayed by statistical processing. Here, the number of communication hosts is the number of server computers that provide services using the application. The number of communication hosts is determined by determining the transmission source address from the address in the network 110, the address outside the network 110 and the communication direction for each monitoring data (see FIG. 3), and counting the number of different transmission addresses. Can be calculated.
図5(B)は、アプリケーション毎の通信ホスト数の時間変化を視覚処理によりグラフ化した例である。通信ホスト数が短時間に急増した場合、その通信を行うアプリケーションが多数の他のコンピュータに自己のコピーを送信している可能性が高く、したがってワーム等の不正プログラムである可能性が高い。 FIG. 5B is an example in which the temporal change in the number of communication hosts for each application is graphed by visual processing. When the number of communication hosts rapidly increases in a short time, there is a high possibility that the application that performs the communication transmits a copy of itself to many other computers, and therefore there is a high possibility that the application is a malicious program such as a worm.
図6(A)は、特定のアプリケーションについて、アウトバウンドの通信における使用帯域および帯域占有率と、インバウンドの通信における使用帯域および帯域占有率とを統計処理により算出した例である。これらの使用帯域は、監視データ(図3参照)を用い、同じアプリケーションに対応し且つ通信方向が同一の使用帯域を加算することにより、それぞれ算出することができる。また、これらの帯域占有率は、このようにして算出された使用帯域をアウトバウンド或いはインバウンドの回線容量で除算することによって、それぞれ算出することができる。使用帯域や帯域占有率のアウトバウンド/インバウンド比が急激に変化している場合、そのアプリケーションを利用したDDoS攻撃等が行われている可能性がある。なお、図6(A)に示した統計処理結果の時間変化を、図4(B)や図5(B)と同様にグラフ化して表示してもよい。 FIG. 6A shows an example in which, for a specific application, a used band and a band occupation ratio in outbound communication and a used band and a band occupation ratio in inbound communication are calculated by statistical processing. These bandwidths can be calculated by using monitoring data (see FIG. 3) and adding bandwidths corresponding to the same application and having the same communication direction. These bandwidth occupancy rates can be calculated by dividing the used bandwidth calculated in this way by the outbound or inbound line capacity. If the outbound / inbound ratio of the used bandwidth or bandwidth occupancy rate is changing rapidly, there is a possibility that a DDoS attack using the application is being performed. Note that the time change of the statistical processing result shown in FIG. 6A may be displayed as a graph in the same manner as in FIGS. 4B and 5B.
図6(B)は、特定のアプリケーションについて、インバウンドの通信における使用帯域および帯域占有率を、ネットワーク110内のアドレス毎に算出して表示した例である。このような使用帯域および帯域占有率が短時間で急増した場合、そのアドレスに対応するコンピュータが、そのアプリケーションを利用したDDoS攻撃等を受けている可能性がある。図6(B)に示した統計処理結果の時間変化を、図4(B)や図5(B)と同様にグラフ化して表示してもよい。 FIG. 6B is an example in which the used bandwidth and bandwidth occupancy rate for inbound communication are calculated and displayed for each address in the network 110 for a specific application. When such a use band and a band occupation rate increase rapidly in a short time, there is a possibility that a computer corresponding to the address is subjected to a DDoS attack using the application. The time change of the statistical processing result shown in FIG. 6B may be displayed as a graph in the same manner as in FIGS. 4B and 5B.
ネットワーク110の管理者は、図4〜図6のような統計処理情報から異常を発見した場合、その監視点(ここではルータ111、図1参照)のフィルタ設定等によって、その不正プログラム活動に係る通信パケットを遮断する。これにより、かかる不正プログラム活動からネットワーク110を防御することができる。また、ルータ112,113やファイアウォール114等で異常を発見した場合に、他のルータ(特に他のネットワーク120等との接続ポイントに近いルータ)でもフィルタリングを行うことにより、特許文献1と同様にして、ネットワーク全体における障害の発生を防止することとしてもよい。さらには、不正でないアプリケーション(例えば一般の電子メール用ソフトウエア等)を利用して不正プログラム活動が行われている場合には、フィルタリングにより正常な通信まで損なわれてしまうことを防ぐために、そのアプリケーションを利用した通信の帯域制限を行うこととしてもよい。 When an administrator of the network 110 finds an abnormality from the statistical processing information as shown in FIGS. 4 to 6, the administrator of the network 110 relates to the unauthorized program activity by setting the filter of the monitoring point (here, the router 111, see FIG. 1). Block communication packets. Thereby, the network 110 can be protected from such malicious program activity. In addition, when an abnormality is found in the routers 112 and 113, the firewall 114, etc., filtering is performed in other routers (especially routers close to connection points with the other networks 120, etc.) in the same manner as in Patent Document 1. The occurrence of a failure in the entire network may be prevented. Furthermore, when malicious program activity is performed using an application that is not fraudulent (for example, general software for e-mail, etc.), in order to prevent the normal communication from being lost due to filtering, the application is used. It is also possible to limit the bandwidth of communication using.
以上説明したように、この実施形態に係るネットワーク監視システム200によれば、トラフィックの状態をアプリケーション毎に監視することができる。したがって、この実施形態によれば、不正プログラム活動の発生を早期に発見できるとともに、その不正プログラム活動によるネットワーク110の被害状況を迅速且つ詳細に把握することが可能である。 As described above, according to the network monitoring system 200 according to this embodiment, the traffic state can be monitored for each application. Therefore, according to this embodiment, the occurrence of malicious program activity can be detected at an early stage, and the damage status of the network 110 due to the malicious program activity can be grasped quickly and in detail.
また、この実施形態に係るネットワーク監視システム200によれば、不正プログラムだけでなく合法的アプリケーションの特定も行うので、未知或いは既知の不正プログラムが合法的プリケーションを用いて不正活動を行っているような場合にも、かかる不正活動を早期に発見することが可能であり、また、その不正活動によるネットワーク110の被害状況を迅速且つ詳細に把握することが可能である。 In addition, according to the network monitoring system 200 according to this embodiment, not only a malicious program but also a legitimate application is specified, so an unknown or known malicious program seems to be performing an illegal activity using a legal application. Even in such a case, it is possible to detect such an illegal activity at an early stage, and it is possible to quickly and in detail know the damage status of the network 110 due to the illegal activity.
また、実際にネットワーク輻輳障害が発生した場合にも、アプリケーションを特定することにより、その不正プログラム活動に起因する輻輳と、同時に発生した他の要因による輻輳とを区別し易くなるので、正確な分析が可能になる。 Also, even when a network congestion failure actually occurs, specifying an application makes it easy to distinguish between congestion caused by malicious program activity and congestion caused by other factors that occur at the same time. Is possible.
第2の実施形態
次に、この発明の第2の実施形態に係るネットワーク監視システムについて、図7を用いて説明する。
Second Embodiment Next, a network monitoring system according to a second embodiment of the present invention will be described with reference to FIG.
この実施形態に係るネットワーク構成は、第1の実施形態のネットワーク構成(図1参照)と同様であるので、説明を省略する。 Since the network configuration according to this embodiment is the same as the network configuration (see FIG. 1) of the first embodiment, description thereof is omitted.
図7は、この実施形態に係るネットワーク監視システム700の構成を概略的に示すブロック図である。図7において、図2と同じ符号を付した構成要素は、それぞれ図2の場合と同じものを示している。 FIG. 7 is a block diagram schematically showing the configuration of the network monitoring system 700 according to this embodiment. In FIG. 7, components denoted by the same reference numerals as those in FIG. 2 are the same as those in FIG. 2.
図7において、出力処理部710は、第1の実施形態に係る出力処理部240と同様、データベース230から監視データを読み出すとともに、かかる監視データに統計処理や視覚処理を施して監視者用の表示装置に表示させる(図4〜図6参照)。加えて、出力処理部710は、統計処理結果を、異常検知部720からの要求に応じて出力する。 In FIG. 7, the output processing unit 710 reads monitoring data from the database 230 as well as the output processing unit 240 according to the first embodiment, and performs statistical processing and visual processing on the monitoring data to display for the supervisor. It is displayed on the device (see FIGS. 4 to 6). In addition, the output processing unit 710 outputs the statistical processing result in response to a request from the abnormality detection unit 720.
異常検知部720は、出力処理部710から受信した統計処理結果を用いて、不正プログラム活動を検知する。例えば、異常検知部720は、同一アプリケーションに対応する送信アドレス数または宛先アドレス数の時間変化が所定値を超えた場合に、不正プログラム活動が行われていると判断することができる。また、同一アプリケーションによる帯域使用量の時間変化が所定値を超えた場合に、不正プログラム活動が行われていると判断することもできる。 The abnormality detection unit 720 detects malicious program activity using the statistical processing result received from the output processing unit 710. For example, the abnormality detection unit 720 can determine that the malicious program activity is being performed when the time change of the number of transmission addresses or the number of destination addresses corresponding to the same application exceeds a predetermined value. Further, when the time change of the bandwidth usage by the same application exceeds a predetermined value, it can be determined that the illegal program activity is being performed.
防御実行部730は、異常検知部720によって不正プログラム活動が検知されたときに、インタフェース210を制御してフィルタリング設定またはパッチの適用を行わせることにより、その不正プログラム活動に係るパケットを遮断する。 When the abnormality detection unit 720 detects a malicious program activity, the defense execution unit 730 controls the interface 210 to apply a filtering setting or a patch to block a packet related to the malicious program activity.
次に、図7に示したネットワーク監視システム700の動作を説明する。 Next, the operation of the network monitoring system 700 shown in FIG. 7 will be described.
第1の実施形態と同様、インタフェース210は、ルータ111からパケットを抽出する。解析部220内のアプリケーション特定部221は、第1の実施形態と同様にして、受信パケットの通信に使用されているアプリケーションを特定する。続いて、ヘッダ解析抽出部222が、これらのパケットから、第1の実施形態と同様のヘッダ情報を抽出して解析する。さらに、帯域解析部223が、送信元アドレス・ポート番号および宛先アドレス・ポート番号がともに一致する通信毎に使用帯域を解析する。これらの解析結果は、監視データとして、データベース230に送られる。データベース230は、監視データを、テーブル化して保存する。 As in the first embodiment, the interface 210 extracts a packet from the router 111. The application specifying unit 221 in the analysis unit 220 specifies an application used for communication of a received packet, as in the first embodiment. Subsequently, the header analysis extraction unit 222 extracts and analyzes the same header information as those in the first embodiment from these packets. Further, the bandwidth analysis unit 223 analyzes the used bandwidth for each communication in which the transmission source address / port number and the destination address / port number match. These analysis results are sent to the database 230 as monitoring data. The database 230 stores monitoring data as a table.
出力処理部710は、データベース230から各監視データを読み出し、第1の実施形態と同様の統計処理・視覚処理を施して、表示装置に表示させる。加えて、出力処理部710は、異常検知部720から要求信号を受信すると、所定の統計処理結果を異常検知部720に送信する。 The output processing unit 710 reads each monitoring data from the database 230, performs statistical processing / visual processing similar to those of the first embodiment, and displays them on the display device. In addition, when receiving the request signal from the abnormality detection unit 720, the output processing unit 710 transmits a predetermined statistical processing result to the abnormality detection unit 720.
異常検知部720は、上述のようにして、受信した統計処理結果から不正プログラム活動の発生/非発生を判断する。そして、不正プログラム活動が検知された場合、検知結果を示す信号を、防御実行部730に送る。 As described above, the abnormality detection unit 720 determines the occurrence / non-occurrence of malicious program activity from the received statistical processing result. When a malicious program activity is detected, a signal indicating the detection result is sent to the defense execution unit 730.
防御実行部730は、異常検知部720によって不正プログラム活動が検知されたときに、インタフェース210を制御して、フィルタリング設定またはパッチの適用を行わせる。これにより、その不正プログラム活動に係るパケットを、そのルータまたはファイアウォールで遮断することができる。 The defense execution unit 730 controls the interface 210 to perform filtering setting or patch application when a malicious program activity is detected by the abnormality detection unit 720. Thereby, the packet related to the malicious program activity can be blocked by the router or the firewall.
また、これと併せて、出力処理部710の表示に基づいてネットワーク110の管理者が人為的にフィルタ設定等を行えるようにしてもよい。 In addition to this, the administrator of the network 110 may be able to artificially set a filter based on the display of the output processing unit 710.
さらに、ルータ112,113等で異常を発見された場合に、他のルータ(特に他のネットワーク120等との接続ポイントに近いルータ)でもフィルタリングを行うことにより、特許文献1と同様にして、ネットワーク全体における障害の発生を防止することとしてもよい。この防御処理は、防御実行部730が自動で行うこととしてもよいし、管理者が行うこととしてもよい。 Further, when an abnormality is found in the routers 112, 113, etc., the network is also filtered in the other routers (particularly routers close to the connection points with the other networks 120, etc.) in the same manner as in Patent Document 1. It is good also as preventing generation | occurrence | production of the failure in the whole. This defense process may be automatically performed by the defense execution unit 730 or may be performed by an administrator.
加えて、不正でないアプリケーション(例えば一般の電子メール用ソフトウエア等)を利用して不正プログラム活動が行われている場合には、フィルタリングにより正常な通信まで損なわれてしまうことを防ぐために、防御実行部730または管理者が、そのアプリケーションを利用した通信の帯域制限を行うこととしてもよい。 In addition, if unauthorized program activity is being performed using a non-fraudable application (for example, general e-mail software), defense execution is performed to prevent the normal communication from being lost due to filtering. The unit 730 or the administrator may limit the bandwidth of communication using the application.
この実施形態によれば、第1の実施形態と同様の理由により、不正プログラムの未知/既知に拘わらず、不正プログラム活動の早期発見や、被害状況の迅速且つ詳細な把握、被害原因の正確な分析等が可能になる。 According to this embodiment, for the same reason as in the first embodiment, regardless of whether the malicious program is unknown or known, early detection of the malicious program activity, quick and detailed understanding of the damage status, accurate cause of the damage Analysis is possible.
加えて、この実施形態によれば、異常検知および対策を自動で行うことができるので、管理の人的コスト削減や人的ミス削減を図ることができる。 In addition, according to this embodiment, since abnormality detection and countermeasures can be automatically performed, it is possible to reduce human costs for management and human errors.
第3の実施形態
次に、この発明の第3の実施形態に係るネットワーク監視システムについて、図8〜図10を用いて説明する。
Third Embodiment Next, a network monitoring system according to a third embodiment of the present invention will be described with reference to FIGS.
図8は、この実施形態に係るネットワーク構成を示す概念図である。図8に示したように、監視対象となるネットワーク800は、ルータ811,812,813やファイアウォール814を含む。ルータ811,812,813およびファイアウォール814は、ネットワーク監視装置821,822,823,824を備えている。加えて、ネットワーク800は、統括監視センタ830を備えている。 FIG. 8 is a conceptual diagram showing a network configuration according to this embodiment. As shown in FIG. 8, the network 800 to be monitored includes routers 811, 812, 813 and a firewall 814. The routers 811, 812, 813 and the firewall 814 include network monitoring devices 821, 822, 823, and 824. In addition, the network 800 includes an overall monitoring center 830.
図9は、ネットワーク監視装置821〜824の内部構成を示すブロック図である。図9において、図2と同じ符号を付した構成要素は、それぞれ図2の場合と同じものを示している。 FIG. 9 is a block diagram showing the internal configuration of the network monitoring devices 821 to 824. In FIG. 9, the components given the same reference numerals as those in FIG. 2 are the same as those in FIG.
出力処理部910は、第1の実施形態に係る出力処理部240と同様、データベース230から監視データを読み出すとともに、かかる監視データに統計処理や視覚処理を施して監視者用の表示装置に表示させる(図4〜図6参照)。加えて、出力処理部910は、データベース230から読み出した監視データ(すなわち、統計・視覚処理前のデータ)を、統括監視センタ830からの要求に応じて出力する。 Similar to the output processing unit 240 according to the first embodiment, the output processing unit 910 reads monitoring data from the database 230 and performs statistical processing and visual processing on the monitoring data so as to be displayed on the display device for the supervisor. (See FIGS. 4 to 6). In addition, the output processing unit 910 outputs monitoring data read from the database 230 (that is, data before statistical / visual processing) in response to a request from the overall monitoring center 830.
図10は、統括監視センタ830の内部構成を示すブロック図である。図10に示したように、統括監視センタ830は、インタフェース1010と、入力処理部1020と、統括データベース1030と、統括出力処理部1040とを備えている。 FIG. 10 is a block diagram showing the internal configuration of the overall monitoring center 830. As shown in FIG. 10, the overall monitoring center 830 includes an interface 1010, an input processing unit 1020, an overall database 1030, and an overall output processing unit 1040.
インタフェース1010は、入力処理部1020から受信した要求信号をネットワーク監視装置821〜824に送るとともに、ネットワーク監視装置821〜824から受信した監視データを入力処理部1020に送る。 The interface 1010 sends the request signal received from the input processing unit 1020 to the network monitoring devices 821 to 824 and sends the monitoring data received from the network monitoring devices 821 to 824 to the input processing unit 1020.
入力処理部1020は、要求信号を生成してインタフェース1010に送るとともに、インタフェース1010から受信した監視データを統括データベース1030に格納する。 The input processing unit 1020 generates a request signal and sends it to the interface 1010, and stores the monitoring data received from the interface 1010 in the overall database 1030.
統括データベース1030は、入力処理部1020から受信した監視データ(図3参照)に、ネットワーク監視装置821〜824を識別するための情報を付加し、テーブル化して保存する。 The overall database 1030 adds information for identifying the network monitoring devices 821 to 824 to the monitoring data (see FIG. 3) received from the input processing unit 1020, stores the information in a table.
統括出力処理部1040は、統括データベース1030から監視データを読み出すとともに、かかる監視データに、統計処理・視覚処理を施す。この処理により、ネットワーク800全体についての統計処理データが生成される。例えば、アプリケーション毎の通信ホスト数やその時間変化(図5参照)を、ネットワーク監視装置821〜824毎ではなく、ネットワーク800全体について統計処理することができる。そして、統括出力処理部1040は、この処理データを、統括監視センタ830の表示装置(図示せず)に表示させる。 The overall output processing unit 1040 reads monitoring data from the overall database 1030 and performs statistical processing and visual processing on the monitoring data. By this processing, statistical processing data for the entire network 800 is generated. For example, the number of communication hosts for each application and the change over time (see FIG. 5) can be statistically processed for the entire network 800, not for each of the network monitoring devices 821 to 824. Then, the overall output processing unit 1040 displays this processing data on a display device (not shown) of the overall monitoring center 830.
次に、この実施形態に係るネットワーク監視システムの動作を説明する。 Next, the operation of the network monitoring system according to this embodiment will be described.
第1の実施形態と同様、ネットワーク監視装置821〜824のインタフェース210は、ルータ111からパケットを抽出する。解析部220内のアプリケーション特定部221は、第1の実施形態と同様にして、受信パケットの通信に使用されているアプリケーションを特定する。続いて、ヘッダ解析抽出部222が、これらのパケットから、第1の実施形態と同様のヘッダ情報を抽出して解析する。さらに、帯域解析部223が、送信元アドレス・ポート番号および宛先アドレス・ポート番号がともに一致するパケット毎に使用帯域を解析する。これらの解析結果は、監視データとして、データベース230に送られる。データベース230は、監視データをテーブル化して、保存する。出力処理部910は、第1の実施形態と同様の統計処理および視覚化処理を行って、統計データを表示する。 As in the first embodiment, the interface 210 of the network monitoring devices 821 to 824 extracts a packet from the router 111. The application specifying unit 221 in the analysis unit 220 specifies an application used for communication of a received packet, as in the first embodiment. Subsequently, the header analysis extraction unit 222 extracts and analyzes the same header information as those in the first embodiment from these packets. Further, the bandwidth analysis unit 223 analyzes the used bandwidth for each packet in which the source address / port number and the destination address / port number match. These analysis results are sent to the database 230 as monitoring data. The database 230 tabulates and stores monitoring data. The output processing unit 910 performs statistical processing and visualization processing similar to those of the first embodiment, and displays statistical data.
統括監視センタ830の入力処理部1020は、要求信号を、適宜生成する。この要求信号は、インタフェース1010を介して、対応するネットワーク監視装置821〜824に送信される。ネットワーク監視装置821〜824の出力処理部910は、統括監視センタ830からの要求信号に応じてデータベース230から監視データを読み出し、送信する。送信された監視データは、インタフェース1010を介して、入力処理部1020に受信される。入力処理部1020は、この監視データを、データベース1030に保存する。 The input processing unit 1020 of the overall monitoring center 830 generates a request signal as appropriate. This request signal is transmitted to the corresponding network monitoring apparatuses 821 to 824 via the interface 1010. The output processing unit 910 of the network monitoring devices 821 to 824 reads and transmits monitoring data from the database 230 in response to a request signal from the overall monitoring center 830. The transmitted monitoring data is received by the input processing unit 1020 via the interface 1010. The input processing unit 1020 stores this monitoring data in the database 1030.
統括出力処理部1040は、上述したように、統括データベース1030から監視データを読み出すとともに、かかる監視データに統計処理や視覚処理を施して監視者用の表示装置に表示させる。 As described above, the overall output processing unit 1040 reads the monitoring data from the overall database 1030, and performs statistical processing and visual processing on the monitoring data to display on the display device for the supervisor.
この実施形態によれば、第1の実施形態と同様の理由により、不正プログラムの未知/既知に拘わらず、不正プログラム活動の早期発見や、被害状況の迅速且つ詳細な把握、被害原因の正確な分析等が可能になる。 According to this embodiment, for the same reason as in the first embodiment, regardless of whether the malicious program is unknown or known, early detection of the malicious program activity, quick and detailed understanding of the damage status, accurate cause of the damage Analysis is possible.
加えて、この実施形態によれば、ネットワーク内の各ルータやファイアウォールを統括的に監視することができる。このため、この実施形態によれば、被害の拡散を迅速且つ詳細に把握・分析できることに加えて、人為的な設定ミス等に起因する局所的な異常を発見し易くなる。 In addition, according to this embodiment, each router and firewall in the network can be comprehensively monitored. For this reason, according to this embodiment, in addition to being able to grasp and analyze the spread of damage quickly and in detail, it becomes easy to find local abnormalities caused by artificial setting errors and the like.
なお、この実施形態に係るネットワーク監視システムの各ネットワーク監視装置821〜824に、第2の実施形態と同様の異常検知部および防御実行部(図7参照)を設け、不正プログラム活動の発生と防御とを自動的に行わせることとしてもよい。 It should be noted that the network monitoring devices 821 to 824 of the network monitoring system according to this embodiment are provided with an abnormality detection unit and a defense execution unit (see FIG. 7) similar to those of the second embodiment to generate and prevent illegal program activity. It is good also as making it perform automatically.
第4の実施形態
次に、この発明の第4の実施形態に係るネットワーク監視システムについて、図11を用いて説明する。
Fourth Embodiment Next, a network monitoring system according to a fourth embodiment of the present invention will be described with reference to FIG.
この実施形態に係るネットワークの全体構成および各ネットワーク監視装置の構成は、第3の実施形態の場合(図8および図9参照)と同様であるので、説明を省略する。 The overall configuration of the network and the configuration of each network monitoring device according to this embodiment are the same as in the case of the third embodiment (see FIGS. 8 and 9), and a description thereof will be omitted.
図11は、この実施形態に係る統括監視センタの内部構成を示すブロック図である。図11に示したように、この統括監視センタ1100は、統括防御実行部1110を備えている点で、第3の実施形態と異なる。 FIG. 11 is a block diagram showing the internal configuration of the overall monitoring center according to this embodiment. As shown in FIG. 11, the overall monitoring center 1100 is different from the third embodiment in that an overall defense execution unit 1110 is provided.
統括防御実行部1110は、統括監視センタの管理者が不正プログラム活動を検知したときに、その管理者の操作により、各ネットワーク監視装置のインタフェース210を統括的に制御して、フィルタリング設定やパッチの適用を行う。これにより、その不正プログラム活動に係るパケットをそのルータまたはファイアウォールで遮断或いは帯域制限することができる。加えて、この統括防御実行部1110は、一部のルータ等で異常が発見された場合に、管理者の操作により、他のルータ(特に他のネットワーク120等との接続ポイントに近いルータ)の遮断や帯域制限を行って、ネットワーク全体における障害の発生を防止することができる。 When the administrator of the overall monitoring center detects unauthorized program activity, the overall defense execution unit 1110 controls the interface 210 of each network monitoring device in an integrated manner by the operation of the administrator, and performs filtering settings and patch settings. Apply. As a result, the packet related to the malicious program activity can be blocked or bandwidth limited by the router or firewall. In addition, when an abnormality is found in some routers or the like, the integrated defense execution unit 1110 is operated by an administrator to operate other routers (especially routers close to connection points with other networks 120 or the like). It is possible to prevent the occurrence of a failure in the entire network by blocking or band limiting.
この実施形態によれば、第1の実施形態と同様の理由により、不正プログラムの未知/既知に拘わらず、不正プログラム活動の早期発見や、被害状況の迅速且つ詳細な把握、被害原因の正確な分析等が可能になる。 According to this embodiment, for the same reason as in the first embodiment, regardless of whether the malicious program is unknown or known, early detection of the malicious program activity, quick and detailed understanding of the damage status, accurate cause of the damage Analysis is possible.
また、この実施形態によれば、第3の実施形態と同様の理由により、人為的な設定ミス等に起因する局所的な異常を発見し易くなる。 Moreover, according to this embodiment, it becomes easy to find a local abnormality caused by an artificial setting error or the like for the same reason as in the third embodiment.
加えて、この実施形態によれば、各ネットワーク監視装置のインタフェースにおけるパケットの遮断や帯域制限を統括監視センタ1100で統括的に行うことができるので、不正プログラム活動に対するネットワーク全体の防御処置を、迅速且つ有効に行うことができる。 In addition, according to this embodiment, the overall monitoring center 1100 can collectively perform packet blocking and bandwidth limitation at the interface of each network monitoring device. And it can be performed effectively.
110,120 ネットワーク
111,112,113,121 ルータ
114 ファイアウォール
130 通信回線
200 ネットワーク監視システム
210 インタフェース
220 解析部
221 アプリケーション特定部
222 ヘッダ解析抽出部
223 帯域解析部
230 データベース
240 出力処理部
110, 120 Network 111, 112, 113, 121 Router 114 Firewall 130 Communication line 200 Network monitoring system 210 Interface 220 Analysis unit 221 Application identification unit 222 Header analysis extraction unit 223 Bandwidth analysis unit 230 Database 240 Output processing unit
Claims (6)
該インタフェース部が抽出した1以上の前記パケットを解析することにより該パケットの通信を行った不正或いは合法的なアプリケーションの種類を特定するアプリケーション特定部と、
前記インタフェース部が抽出した前記パケットのヘッダ情報を抽出して解析するヘッダ解析抽出部と、
前記アプリケーション特定部の特定結果または前記ヘッダ解析抽出部の解析結果に応じて通信を分類し、該分類毎に使用帯域を解析する帯域解析部と、
前記アプリケーション特定部の特定結果、前記ヘッダ解析抽出部の解析結果および前記帯域解析部の解析結果を含む監視データを保存する保存部と、
前記保存部に保存された前記監視データを統計的に処理することにより、前記アプリケーション特定部が特定した前記アプリケーションの種類毎に複数種類の統計データを生成する出力処理部と、
前記統計データを用いて不正プログラム活動を検知する異常検知部と、
を備えることを特徴とするネットワーク監視システム。 An interface unit that sequentially extracts packets from the network traffic of the monitoring point;
An application identifying unit that identifies one or more illegal or legitimate application types that communicated the packet by analyzing the one or more packets extracted by the interface unit;
A header analysis extraction unit that extracts and analyzes header information of the packet extracted by the interface unit;
Classifying communication according to the identification result of the application identification unit or the analysis result of the header analysis extraction unit, a band analysis unit for analyzing the used bandwidth for each classification,
A storage unit for storing monitoring data including the identification result of the application identification unit, the analysis result of the header analysis extraction unit, and the analysis result of the band analysis unit;
By statistically processing the monitoring data stored in the storage unit, and an output processing unit that generates a plurality of types of statistical data for each type of the said application that the application identification unit has identified,
An anomaly detector that detects malicious program activity using the statistical data; and
A network monitoring system comprising:
該統括保存部に保存された前記監視データを統計処理することにより統括的な統計データを生成する統括出力処理部と、
を有する統括監視装置をさらに備えることを特徴とする請求項1〜4のいずれかに記載のネットワーク監視システム。 A central storage unit that centrally stores a plurality of the monitoring data generated corresponding to a plurality of the monitoring points;
An overall output processing unit that generates overall statistical data by statistically processing the monitoring data stored in the overall storage unit;
The network monitoring system according to claim 1 , further comprising a general monitoring device having
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005200532A JP4161989B2 (en) | 2005-07-08 | 2005-07-08 | Network monitoring system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005200532A JP4161989B2 (en) | 2005-07-08 | 2005-07-08 | Network monitoring system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007019981A JP2007019981A (en) | 2007-01-25 |
JP4161989B2 true JP4161989B2 (en) | 2008-10-08 |
Family
ID=37756718
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005200532A Expired - Fee Related JP4161989B2 (en) | 2005-07-08 | 2005-07-08 | Network monitoring system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4161989B2 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4877145B2 (en) * | 2007-08-10 | 2012-02-15 | 富士通株式会社 | Program for controlling communication device and communication device |
JP2010108237A (en) | 2008-10-30 | 2010-05-13 | Nec Corp | Information processing system |
JP5389855B2 (en) * | 2011-04-28 | 2014-01-15 | 日本電信電話株式会社 | Analysis system, analysis method and analysis program |
JP5565511B1 (en) * | 2013-08-09 | 2014-08-06 | 富士ゼロックス株式会社 | Information processing system and information processing program |
CN107623663B (en) * | 2016-07-15 | 2020-12-15 | 阿里巴巴集团控股有限公司 | Method and device for processing network flow |
JP2018049640A (en) * | 2017-10-25 | 2018-03-29 | 富士通株式会社 | Monitoring support system, monitoring support method and monitoring support program |
-
2005
- 2005-07-08 JP JP2005200532A patent/JP4161989B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007019981A (en) | 2007-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2019216687B2 (en) | Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness | |
JP5844938B2 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
KR101045362B1 (en) | Active network defense system and method | |
US20180205746A1 (en) | Network traffic analysis for malware detection and performance reporting | |
US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
US9253153B2 (en) | Anti-cyber hacking defense system | |
US20050086502A1 (en) | Policy-based network security management | |
JP2015076863A (en) | Log analyzing device, method and program | |
JP6592196B2 (en) | Malignant event detection apparatus, malignant event detection method, and malignant event detection program | |
JP4161989B2 (en) | Network monitoring system | |
Choi et al. | PCAV: Internet attack visualization on parallel coordinates | |
CN113411296A (en) | Situation awareness virtual link defense method, device and system | |
KR100772177B1 (en) | Method and apparatus for generating intrusion detection event to test security function | |
JP7060800B2 (en) | Infection spread attack detection system and method, and program | |
EP1754348B1 (en) | Using address ranges to detect malicious activity | |
Bashah et al. | Proactive DDoS attack detection in software-defined networks with Snort rule-based algorithms | |
Kumar et al. | Recent advances in intrusion detection systems: An analytical evaluation and comparative study | |
KR101236129B1 (en) | Apparatus for control abnormal traffic and method for the same | |
KR100938647B1 (en) | Apparatus and method for storing flow data according to results of analysis of flow data | |
FIROJ | DESIGN & IMPLEMENTATION OF LAYERED SIGNATURE BASED INTRUSION DETECTION SYSTEM USING SNORT | |
Mukhopadhyay et al. | HawkEye solutions: a network intrusion detection system | |
Timofte et al. | Securing the Organization with Network Behavior Analysis | |
Misbahuddin et al. | Dynamic IDP Signature processing by fast elimination using DFA | |
JP2006237842A (en) | System and method for network control |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070726 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070807 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071009 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080226 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080324 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20080501 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080701 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080714 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110801 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4161989 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120801 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130801 Year of fee payment: 5 |
|
LAPS | Cancellation because of no payment of annual fees |