JP2007006383A - 通信管理装置、不正通信端末装置の識別システムと方法、及びプログラム - Google Patents
通信管理装置、不正通信端末装置の識別システムと方法、及びプログラム Download PDFInfo
- Publication number
- JP2007006383A JP2007006383A JP2005187001A JP2005187001A JP2007006383A JP 2007006383 A JP2007006383 A JP 2007006383A JP 2005187001 A JP2005187001 A JP 2005187001A JP 2005187001 A JP2005187001 A JP 2005187001A JP 2007006383 A JP2007006383 A JP 2007006383A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- unauthorized
- level
- relay device
- configuration information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 不正通信検出装置から収集した不正通信記録から、不正通信回数の多い端末装置を特定する作業を行うにあたって、経験と知識が必要とされていた。
【解決手段】管理対象ネットワークの通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置と、通信管理装置を備え、通信管理装置には、前記ネットワークの接続構成情報を管理する手段、不正通信検出装置から不正通信通知を収集し記録する手段、不正通信回数を複数のレベルに区分するための閾値と、互いに異なる、レベル対応の表示状態をレベル定義として設定し保持する手段、接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、閾値に照らしレベルを判定する手段、接続構成情報に基づき前記ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を判定したレベル対応の状態にする描画手段を有する。
【選択図】 図1
【解決手段】管理対象ネットワークの通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置と、通信管理装置を備え、通信管理装置には、前記ネットワークの接続構成情報を管理する手段、不正通信検出装置から不正通信通知を収集し記録する手段、不正通信回数を複数のレベルに区分するための閾値と、互いに異なる、レベル対応の表示状態をレベル定義として設定し保持する手段、接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、閾値に照らしレベルを判定する手段、接続構成情報に基づき前記ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を判定したレベル対応の状態にする描画手段を有する。
【選択図】 図1
Description
本発明は通信管理装置、不正通信端末装置の識別システムと方法、及びプログラムに関し、特に、管理対象のネットワークの通信中継装置に不正通信検出装置を接続し、これから不正通信通知を収集し記録し、記録を集計し、集計結果をネットワーク構成図上に表示し閾値を超える回数の不正通信を行った端末装置を容易に識別できる様に表示するための描画や表示を行う通信管理装置、不正通信端末装置の識別システムと方法、及びプログラムに関する。
従来の技術においては、不正通信検出装置から収集した不正通信記録に対して、検索、条件の絞り込み、グラフ表示などにより傾向分析を行いながら不正通信回数の多い端末装置を特定していた。
ここで、管理対象のネットワークにおいて、不正通信検出を行いその対応処理を行うものに関する発明として、例えば特許文献1に不正アクセス検証装置及び方法が開示されている。
この装置は、内部ネットワークに接続された保護対象サーバへの不正アクセスを検出し、不正アクセス通知を出力するIDSと、不正アクセス通知を受信して格納するとともに、保護対象サーバ13へのアクセスに応じて出力される応答パケットを受信して格納するパケット収集装置とを備える。
そして、パケット収集装置に不正アクセス通知に対応する応答パケットが予め設定したパターンになっているかどうかを調べて前記不正アクセスによる被害の有無を判定する手段を有するものである。
しかし、不正アクセス(保護対象サーバ宛の不正通信)の記録を回数を考慮し、またネットワーク構成図上に分かり易い形にし表示等を行うことについては開示されていない。
従来の技術においては、不正通信検出装置から収集した不正通信記録から、不正通信回数の多い端末装置を特定する作業を行うにあたって、経験と知識が必要とされていた。
本発明の目的は不正通信回数の多い端末装置を容易に特定できる不正通信端末装置の識別システムと方法、通信管理装置、及びプログラムを提供することにある。
本発明の第1の通信管理装置は、通信端末と通信中継装置を含むネットワークを管理対象とする通信管理装置であって、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理する手段と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有する。
本発明の第2の通信管理装置は、通信端末と通信中継装置を含むネットワークを管理対象とする通信管理装置であって、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理する手段と、前記通信中継装置間の接続構成情報を管理する手段と、前記通信中継装置の経路情報を管理する手段と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有する。
本発明の第3の通信管理装置は、前記第1、または第2の通信管理装置であって、前記各レベル対応の表示状態を通信パスを表す線の色とする。
本発明の第4の通信管理装置は、前記第1、または第2の通信管理装置であって、前記各レベル対応の表示状態を通信パスを表す線の太さとする。
本発明の第5の通信管理装置は、前記第1、または第2の通信管理装置であって、前記不正通信通知を収集し記録する手段が、不正通信の発生時刻も記録し、前記レベル定義を設定し保持する手段が、集計対象とする不正通信の期間の長さに対応付けて、複数通りのレベル定義を設定し、レベルに応じて異ならせる表示状態の種別が定義ごとに異なる種別を設定し、保持する様にし、前記不正通信記録描画手段は、集計対象とする不正通信の期間を指定する情報を集計要求元から取得する手段を有し、通信パス単位の不正通信回数を算出しレベルを判定する手段が、前記記録の内その発生時刻が指定された期間である不正通信通知を集計し、通信パス単位の不正通信回数を算出し、前記期間の長さに対応したレベル定義の閾値を用いてレベルを判定し、前記描画手段が管理対象ネットワークの構成図の不正通信回数を付加した通信パスの表示状態を前記対応したレベル定義の表示状態に従って設定する。
本発明の第6の通信管理装置は、前記第5の通信管理装置であって、前記複数通りのレベル定義を、不正通信記録の短期間分の集計に対応付けられた第1の定義と、不正通信記録の長期間分の集計に対応付けられた第2の定義とし、前記両方の定義の何れか一方の定義の各レベル対応の表示状態を通信パスを表す線の色とし、他方の定義の各レベル対応の表示状態を通信パスを表す線の太さとする。
本発明の不正通信端末装置の識別システムは、前記第1〜6のいずれか一つの通信管理装置と、前記通信管理装置が管理するネットワークに接続された通信端末装置と、前記ネットワークに接続された通信中継装置と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置とを備え、前記通信管理装置は前記ネットワークか、或いは前記ネットワークに通信接続されたネットワークに接続される。
本発明の第1の不正通信端末装置の識別方法は、通信端末と通信中継装置を含むネットワークにおける不正通信端末装置の識別方法であって、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、前記不正通信記録描画ステップには、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含む。
本発明の第2の不正通信端末装置の識別方法は、通信端末と通信中継装置を含むネットワークにおける不正通信端末装置の識別方法であって、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、前記通信中継装置間の接続構成情報を管理するステップと、前記通信中継装置の経路情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、前記不正通信記録描画ステップには、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含む。
本発明の第3の不正通信端末装置の識別方法は、前記第1、または第2の不正通信端末装置の識別方法であって、前記各レベル対応の表示状態を通信パスを表す線の色とする。
本発明の第4の不正通信端末装置の識別方法は、前記第1、または第2の不正通信端末装置の識別方法であって、前記各レベル対応の表示状態を通信パスを表す線の太さとする。
本発明の第1のプログラムは、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させる。
本発明の第2のプログラムは、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、前記通信中継装置間の接続構成情報を管理するステップと、前記通信中継装置の経路情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させる。
本発明の第3のプログラムは、前記第1、または第2のプログラムであって、前記各レベル対応の表示状態を通信パスを表す線の色とする。
本発明の第4のプログラムは、前記第1、または第2のプログラムであって、前記各レベル対応の表示状態を通信パスを表す線の太さとする。
本発明の第5のプログラムは、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から発生時刻も含めて不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を、集計対象とする不正通信の期間の長さに対応付けて、複数通り、且つ前記表示状態の種別が定義ごとに異なる様に設定し保持するステップと、前記記録の集計要求を受け、要求元から集計対象とする不正通信の期間を指定する情報を取得するステップと、前記記録の内その発生時刻が指定された期間である不正通信通知を中間集計するステップと、前記接続構成情報を参照し、前記中間集計から通信パス単位の不正通信回数を算出し、これを前記指定された期間に対応したレベル定義の閾値に照らし、そのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を、前記判定したレベルと前記対応したレベル定義の表示状態に従って設定するステップをコンピュータに実行させる。
本発明の第6のプログラムは、前記第5のプログラムであって、前記複数通りのレベル定義を、不正通信記録の短期間分の集計に対応付けられた第1の定義と、不正通信記録の長期間分の集計に対応付けられた第2の定義とし、前記両方の定義の何れか一方の定義の各レベル対応の表示状態を通信パスを表す線の色とし、他方の定義の各レベル対応の表示状態を通信パスを表す線の太さとする。
本発明による効果は、予め設定した閾値によってその閾値を越えた不正通信が行われた通信中継装置、及び端末装置間の線の表示状態を変えることによって、不正通信の回数が多い端末装置が視覚的に容易に識別可能であり、当該端末装置の接続された通信中継装置に対して当該端末装置との通信を不可能とする対処が短時間のうちに実施可能となる点である。
また、上記効果によりウイルス感染被害の拡大を防止することができる。
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
先ず、本発明の第1の実施例の構成について図1を参照して詳細に説明する。
図1において、通信管理装置100、通信中継装置400、通信中継装置500、通信中継装置600、端末装置710、及び端末装置720はTCP/IP(Transmission Control Protocol/Internet Protocol)ネットワーク200で接続されている。
通信中継装置とは、ルータやスイッチ装置、或いはゲートウェイ装置等である。
不正通信検出装置300は通信中継装置400を流れる不正通信を監視する。
不正通信検出装置310は通信中継装置500を流れる不正通信を監視する。
不正通信検出装置320は通信中継装置600を流れる不正通信を監視する。
不正通信検出装置310は通信中継装置500を流れる不正通信を監視する。
不正通信検出装置320は通信中継装置600を流れる不正通信を監視する。
不正通信とは、通信規約に適合しない通信や、通信データやシーケンスが異常な通信である。
例えば、同じ通信元が宛先を変化させながら連続的にコネクト要求する通信が長時間続く場合や、TCPヘッダのLengthとその後に送信するデータ長(データ先頭から終了マークまでのデータカウント)の不一致が短期間に集中する通信等である。
不正通信検出装置とは、IDS(Intrusion−Detection−Systm)やIDPS(Intrusion−Detection−And−Protection−System)等の装置である。
端末装置710はIPアドレス711を、端末装置720はIPアドレス721を持つ。
通信管理装置100は、プログラム制御で動作する装置で、通信中継装置接続構成管理手段110、端末装置接続構成管理手段120、通信中継装置経路構成管理手段130、不正通信記録収集手段140、及び不正通信記録描画手段150を含む。
これらの手段はプログラムで制御される。
また、通信管理装置100にはディスプレイ装置が接続されている。
通信中継装置接続構成管理手段110は、TCP/IPネットワーク200、通信中継装置400、通信中継装置500、及び通信中継装置600の接続構成を管理する。
端末装置接続構成管理手段120は、通信中継装置500と端末装置510、端末装置520、及び端末装置530の接続構成を管理し、また通信中継装置600と端末装置610、端末装置620、端末装置630の接続構成を管理する。
端末装置510はIPアドレス511を、端末装置520はIPアドレス521を、端末装置530はIPアドレス531を持ち、通信中継装置500に接続されている。
端末装置610はIPアドレス611を、端末装置620はIPアドレス621を、端末装置630はIPアドレス631を持ち、通信中継装置600に接続されている。
通信中継装置経路構成管理手段130は、通信中継装置400、通信中継装置500、及び通信中継装置600の経路構成を管理する。
不正通信記録収集手段140は、不正通信検出装置300、不正通信検出装置310、及び不正通信検出装置320から不正通信記録を収集する。
不正通信記録描画手段150は、通信中継装置接続構成管理手段110と端末装置接続構成管理手段120とで管理しているネットワーク接続構成情報と、通信中継装置経路構成管理手段130が管理している経路構成情報、及び不正通信記録収集手段140によって収集した不正通信記録を元に、不正通信記録の集計情報を描画する。
不正通信記録描画手段150は、また不正通信回数を複数のレベルに区分するための一つ以上の閾値を取得すると、各レベルに対し互いに異なる表示状態を自動設定し、各レベルの閾値と表示状態を保持する手段も有している。
本発明の第1の実施例の動作について図1から図7を参照して詳細に説明する。
図1を参照し、不正通信検出装置300、310、320に対し、事前に通信等で不正通信通知の宛先が通信管理装置100に設定される。
不正通信検出装置300、310、320の各装置は、不正通信を検出すると、SNMP(Simple−Network−Manegement−Protocol)等のプロトコルで通信管理装置100に不正通信通知を送ってくる。
不正通信記録収集手段140は、受信する不正通信通知を記録格納部(図示せず)に順次格納する。
この記録例を図2に示す。図示の様に、不正発生日時、送信元IPアドレス、送信先IPアドレス、発生回数(通常1回)が記録される。
次に不正通信記録描画手段150の動作を説明する。
画面上の「不正通信回数のレベル設定」アイコンが指定されたことを検知すると、レベル数の入力を促す入力画面を表示する(ステップA1)。
レベル数として3が入力されると、第1の閾値、第2の閾値の入力を促す入力画面を表示する(ステップA2)。
ここで、第1の閾値、第2の閾値として、15回、100回が入力されると、表示状態として、線色:黒,黄,赤が自動設定され、これらの値を項目名に対応付けて保持する(ステップA3)。
次に図3のフローチャートを参照し、不正通信記録描画手段150の集計、描画動作を説明する。
集計開始要求(例えば、1時間周期で自動発生する要求、或いは操作者による「集計」アイコンの操作)を検知すると(ステップB1)、日時指定条件を設定する。前記自動要求で起動された場合は、その時の時刻より1時間前からその時の時刻を設定する(ステップB2)。
記録格納部から記録データを1エントリ分読み込む(ステップB3)。
その記録データの発生日時が、設定された日時指定条件に該当すれば(ステップB4)、送信元IPアドレス−送信先IPアドレス毎に不正通信回数を集計する。
即ち、中間集計表に送信元IPアドレス−送信先IPアドレスが登録されてなければ、追加し不正通信回数欄にデータの不正通信回数を書込み、同じ送信元IPアドレス−送信先IPアドレスが登録されていれば、その不正通信回数にデータの不正通信回数を加算する(ステップB5)。
読み込んだ或いは処理したデータが記録格納部の最後のデータとなるまでステップB3〜B6が繰り返される。
ステップB2で、6/1−09:00〜6/1−10:00が設定されたとすると、図2のデータ811,816,・・・820が集計され図4の中間集計表の番号900のデータが作成される。
図2のデータ812,・・・822が集計され図4の中間集計表の番号901のデータが作成される。同様に番号906迄のデータが作成される。
次に、図4に示す中間集計表の送信元IPアドレス−送信先IPアドレス情報を、中継装置接続構成情報、端末装置接続構成情報、経路構成情報を参照し通信パス情報に変換し、通信パス毎の不正通信回数に集計し直し、不正通信回数表(図5参照)を作成する(ステップB7)。
ここで通信パスとは、図1の通信中継装置400以下のネットワークのホップ単位のパスで通信の方向も考慮したパスと、通信中継装置400から外部端末、外部端末から通信中継装置400のパスである。
各通信パスの不正通信回数値を第1閾値と比較し、越えれば更に第2閾値と比較しレベルを判定する(ステップB8)。
レベルに応じ、通信パスの表示色(黒/黄/赤)を設定する(図6参照、ステップB9)。
接続構成情報に従いネットワーク接続構成図(各通信パスに付された不正通信回数が0回で、矢印の線色が黒である初期値状態の接続構成図)を描画し(ステップB10)、不正通信回数表のデータが有れば各通信パスのデータに従い、矢印の線色を変更し、発生回数を書き変えて表示する(図7参照、ステップB11)。
図7を見ると通信中継装置500から通信中継装置400へ向かう矢印、及び端末装置520から通信中継装置500へ向かう矢印が赤色で表示されており、通信中継装置500に対して端末装置520への通信を不可能とする対処が必要であることが容易に判断できる。
赤色で描画された線で接続された端末装置が100回以上の不正通信を行っていることが容易に識別可能となり、当該端末装置の接続されている通信中継装置に対して当該端末装置との通信を不可能とする対処が行え、ウイルス感染被害の拡大を防止することが可能となる。
また端末装置510から通信中継装置500を経由した10回の不正通信は第1閾値の15回を越えておらず、端末装置510のウイルス感染によるものでなく単なる通信エラーにより引き起こされたものであり線色を黒色(初期値)のままとすることで、余計な警告表示を行わないようにしている。
次に、本発明の第2の実施例について説明する。本発明の第2の実施例の全体構成は先の実施例と同じく図1の通りである。
本発明の第2の実施例の動作について、前記第1の実施例と異なる点を説明する。前記不正通信記録描画手段150の動作のステップA3で、第1の閾値、第2の閾値として、15回、100回が入力され、表示状態として、線の太さ:細い線,通常の線,太い線が自動設定され、これらの値を項目名に対応付けて保持する。
集計描画動作のステップB9では、レベルに応じ、通信パスの矢印の線の太さ(細い線/通常の線/太い線)を設定する(図8参照)。
ステップB11では、不正通信回数表のデータが有れば各通信パスのデータに従い、矢印の線の太さを変更し、発生回数を書き変えて表示する(図9参照)。
図9を見ると通信中継装置500から通信中継装置400へ向かう矢印、及び端末装置520から通信中継装置500へ向かう矢印が太い線で表示されており、通信中継装置500に対して端末装置520への通信を不可能とする対処が必要であることが容易に判断できる。
太い線で描画された線で接続された端末装置が100回以上の不正通信を行っていることが容易に識別可能となり、当該端末装置の接続されている通信中継装置に対して当該端末装置との通信を不可能とする対処が行え、ウイルス感染被害の拡大を防止することが可能となる。
次に、本発明の第3の実施例について説明する。本発明の第3の実施例の全体構成は先の実施例と同じく図1の通りである。
但し、不正通信記録描画手段150の、不正通信回数のレベル対応の一つ以上の閾値と、表示状態を定義設定し保持する手段は第1や第2の実施例と異なる。
上記手段はレベルについての複数通りの定義設定、保持が可能な手段であり、定義には集計の対象とする記録期間の長さ(例えば、1時間の間発生した不正通信記録を対象とし集計するのか、10時間の間発生した不正通信記録を対象とし集計するのか等の1時間や10時間)を対応付けられる。
本発明の第3の実施例の動作について図面を参照して詳細に説明する。
不正通信記録描画手段150の動作を説明する。
画面上の「不正通信回数のレベル設定」アイコンが指定されたことを検知すると、レベル数の入力を促す入力画面を表示する(ステップC1)。
レベル数として3が入力されると、第1の閾値、第2の閾値、対応付ける集計期間長の入力を促す入力画面を表示する(ステップC2)。
ここで、第1の閾値、第2の閾値として、15回、100回が入力され、集計期間長として「1時間」が入力されると、各レベルの表示状態として、線色:黒,黄,赤が自動設定され、これらの値を第1の定義の項目名に対応付けて保持する(ステップC3)。
「次の定義設定も行うか」のメッセージと「YES」ボタン、「NO」ボタンを表示する(ステップC4)。
「YES」を指示すると、ステップC1〜C2を繰り返す。
入力画面表示に対し、第1の閾値、第2の閾値として、150回、1000回が入力され、集計期間長として「10時間」が入力されると、各レベルの表示状態として、線の太さ:細い線,通常の線,太い線が自動設定され、これらの値を第2の定義の項目名に対応付けて保持する(ステップC5)。
「次の定義設定も行うか」のメッセージに対し、「NO」を応答する。
次に図10のフローチャートを参照し、第3実施例の不正通信記録描画手段150の集計、描画動作を説明する。
次に図10のフローチャートを参照し、第3実施例の不正通信記録描画手段150の集計、描画動作を説明する。
集計開始要求(例えば、1時間周期で自動発生する要求、或いは10時間周期で自動発生する要求、或いは操作者による「集計」アイコンの操作)を検知すると(ステップD1)、日時指定条件を設定する。
前記自動要求で起動された場合は、その時の時刻より1時間前からその時の時刻を設定する、或いはその時の時刻より10時間前からその時の時刻を設定する(ステップD2)。
ここでは、10時間周期で自動発生する要求を検知し、その時の時刻より10時間前からその時の時刻迄を設定する場合とする。
記録格納部から記録データを1エントリ分読み込む(ステップD3)。
その記録データの発生日時が、設定された日時指定条件に該当すれば(ステップD4)、送信元IPアドレス−送信先IPアドレス毎に不正通信回数を集計する(ステップD5)。
読み込んだ或いは処理したデータが記録格納部の最後のデータとなるまでステップD3〜D6が繰り返される。
ステップD2で、6/1−00:00〜6/1−10:00が設定されたとすると、図2のデータ802,811,816,・・・820が集計され図11の中間集計表の番号950のデータが作成される。
以下中間集計表の番号956までのデータが同様に作成される。
次に、ステップB7と同様にし、図11に示す中間集計表より、不正通信回数表(図12参照)を作成する(ステップD7)。
集計対象の期間長を判断し10Hであるので(ステップD8)、10Hに最も近い期間長10Hを保持している第2のレベル定義情報を参照し、各通信パスの不正通信回数値を第2のレベル定義情報の第1閾値(150)や第2閾値(1000)と比較しレベルを判定する(ステップD13)。
レベルに応じ、通信パスの線の太さ(通常の線/太い線)を設定する(図12参照、ステップD14)。
接続構成情報に従いネットワーク接続構成図(初期値状態)を描画する(ステップD15)。
表データが有れば各通信パスのデータに従い、矢印の太さを変更し、発生回数を書き変え表示する(ステップD16)。
ステップD1で、1時間周期で自動発生する要求を検知した場合は、ステップD2で、6/1−09:00〜6/1−10:00が設定され、ステップD3〜D7でこの時間帯に発生した不正通信記録が集計される。
集計対象の期間長を判断し1Hであるので(ステップD8)、1Hに最も近い期間長1Hを保持している第1のレベル定義情報を参照し、各通信パスの不正通信回数値を第1のレベル定義情報の第1閾値(15)や第2閾値(100)と比較しレベルを判定する(ステップD9)。
レベルに応じ、通信パスの線色(黄/赤)を設定し(ステップD10)、接続構成情報に従いネットワーク接続構成図(初期値状態)を描画し(ステップD11)、各通信パスのデータに従い、矢印の線色を変更し、発生回数を書き変え表示する(ステップD12)。
この様に、集計対象の期間の長短に応じた、閾値設定ができるという効果がある。
また、1H毎の集計結果表示では、閾値越え通信パスを赤色で表示し、10H毎の集計結果表示では、閾値越え通信パスを太線で表示するので、問題内容が把握し易い。
本発明は、不正通信検出装置が接続されたネットワークにおいて、ウイルス感染事象が発生した装置を早期に判別するといった用途に適用できる。
100 通信管理装置
110 通信中継装置接続構成管理手段
120 端末装置接続構成管理手段
130 通信中継装置経路構成管理手段
140 不正通信記録収集手段
150 不正通信記録描画手段
200 TCP/IPネットワーク
300、310、320 不正通信検出装置
400、500、600 通信中継装置
510、520、530、610、620、630、710、720 端末装置
110 通信中継装置接続構成管理手段
120 端末装置接続構成管理手段
130 通信中継装置経路構成管理手段
140 不正通信記録収集手段
150 不正通信記録描画手段
200 TCP/IPネットワーク
300、310、320 不正通信検出装置
400、500、600 通信中継装置
510、520、530、610、620、630、710、720 端末装置
Claims (17)
- 通信端末と通信中継装置を含むネットワークを管理対象とする通信管理装置であって、
通信中継装置とこれに接続された通信端末装置の接続構成情報を管理する手段と、
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、
前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、
不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、
前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、
前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有することを特徴とする通信管理装置。 - 通信端末と通信中継装置を含むネットワークを管理対象とする通信管理装置であって、
通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理する手段と、
前記通信中継装置間の接続構成情報を管理する手段と、
前記通信中継装置の経路情報を管理する手段と、
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、
前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、
不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、
前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、
前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有することを特徴とする通信管理装置。 - 前記各レベル対応の表示状態を通信パスを表す線の色とすることを特徴とする請求項1、または2に記載の通信管理装置。
- 前記各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項1、または2に記載の通信管理装置。
- 前記不正通信通知を収集し記録する手段が、不正通信の発生時刻も記録し、
前記レベル定義を設定し保持する手段が、集計対象とする不正通信の期間の長さに対応付けて、複数通りのレベル定義を設定し、レベルに応じて異ならせる表示状態の種別が定義ごとに異なる種別を設定し、保持する様にし、
前記不正通信記録描画手段は、集計対象とする不正通信の期間を指定する情報を集計要求元から取得する手段を有し、通信パス単位の不正通信回数を算出しレベルを判定する手段が、前記記録の内その発生時刻が指定された期間である不正通信通知を集計し、通信パス単位の不正通信回数を算出し、前記期間の長さに対応したレベル定義の閾値を用いてレベルを判定し、
前記描画手段が管理対象ネットワークの構成図の不正通信回数を付加した通信パスの表示状態を前記対応したレベル定義の表示状態に従って設定することを特徴とする請求項1、または2に記載の通信管理装置。 - 前記複数通りのレベル定義を、不正通信記録の短期間分の集計に対応付けられた第1の定義と、不正通信記録の長期間分の集計に対応付けられた第2の定義とし、前記両方の定義の何れか一方の定義の各レベル対応の表示状態を通信パスを表す線の色とし、他方の定義の各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項5記載の通信管理装置。
- 請求項1〜6のいずれか一つに記載の通信管理装置と、
前記通信管理装置が管理するネットワークに接続された通信端末装置と、
前記ネットワークに接続された通信中継装置と、
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置とを備え、
前記通信管理装置は前記ネットワークか、或いは前記ネットワークに通信接続されたネットワークに接続されたことを特徴とする不正通信端末装置の識別システム。 - 通信端末と通信中継装置を含むネットワークにおける不正通信端末装置の識別方法であって、
通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、
前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、
前記不正通信記録描画ステップには、
不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、
前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、
前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含むことを特徴とする不正通信端末装置の識別方法。 - 通信端末と通信中継装置を含むネットワークにおける不正通信端末装置の識別方法であって、
通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、
前記通信中継装置間の接続構成情報を管理するステップと、
前記通信中継装置の経路情報を管理するステップと、
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、
前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、
前記不正通信記録描画ステップには、
不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、
前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、
前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含むことを特徴とする不正通信端末装置の識別方法。 - 前記各レベル対応の表示状態を通信パスを表す線の色とすることを特徴とする請求項8、または9に記載の不正通信端末装置の識別方法。
- 前記各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項8、または9に記載の不正通信端末装置の識別方法。
- 通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、
不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、
前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、
前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させるためのプログラム。 - 通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、
前記通信中継装置間の接続構成情報を管理するステップと、
前記通信中継装置の経路情報を管理するステップと、
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、
不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、
前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、
前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させるためのプログラム。 - 前記各レベル対応の表示状態を通信パスを表す線の色とすることを特徴とする請求項12、または13に記載のプログラム。
- 前記各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項12、または13に記載のプログラム。
- 通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、
前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から発生時刻も含めて不正通信通知を収集し記録するステップと、
不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を、集計対象とする不正通信の期間の長さに対応付けて、複数通り、且つ前記表示状態の種別が定義ごとに異なる様に設定し保持するステップと、
前記記録の集計要求を受け、要求元から集計対象とする不正通信の期間を指定する情報を取得するステップと、
前記記録の内その発生時刻が指定された期間である不正通信通知を中間集計するステップと、
前記接続構成情報を参照し、前記中間集計から通信パス単位の不正通信回数を算出し、これを前記指定された期間に対応したレベル定義の閾値に照らし、そのレベルを判定するステップと、
前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を、前記判定したレベルと前記対応したレベル定義の表示状態に従って設定するステップをコンピュータに実行させるためのプログラム。 - 前記複数通りのレベル定義を、不正通信記録の短期間分の集計に対応付けられた第1の定義と、不正通信記録の長期間分の集計に対応付けられた第2の定義とし、前記両方の定義の何れか一方の定義の各レベル対応の表示状態を通信パスを表す線の色とし、他方の定義の各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項16記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005187001A JP4241677B2 (ja) | 2005-06-27 | 2005-06-27 | 通信管理装置、不正通信端末装置の識別システムと方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005187001A JP4241677B2 (ja) | 2005-06-27 | 2005-06-27 | 通信管理装置、不正通信端末装置の識別システムと方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007006383A true JP2007006383A (ja) | 2007-01-11 |
| JP4241677B2 JP4241677B2 (ja) | 2009-03-18 |
Family
ID=37691510
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005187001A Expired - Fee Related JP4241677B2 (ja) | 2005-06-27 | 2005-06-27 | 通信管理装置、不正通信端末装置の識別システムと方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4241677B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019169880A (ja) * | 2018-03-23 | 2019-10-03 | 日本電信電話株式会社 | 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム |
| JP2020149553A (ja) * | 2019-03-15 | 2020-09-17 | 日本電気株式会社 | コンピュータプログラム、イベント異常検知方法及びコンピュータ |
-
2005
- 2005-06-27 JP JP2005187001A patent/JP4241677B2/ja not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019169880A (ja) * | 2018-03-23 | 2019-10-03 | 日本電信電話株式会社 | 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム |
| JP2020149553A (ja) * | 2019-03-15 | 2020-09-17 | 日本電気株式会社 | コンピュータプログラム、イベント異常検知方法及びコンピュータ |
| JP7243329B2 (ja) | 2019-03-15 | 2023-03-22 | 日本電気株式会社 | コンピュータプログラム、イベント異常検知方法及びコンピュータ |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4241677B2 (ja) | 2009-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7577098B2 (en) | Device and method for network monitoring | |
| KR20200033092A (ko) | 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템 | |
| US20060198313A1 (en) | Method and device for detecting and blocking unauthorized access | |
| JP2005341217A (ja) | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 | |
| WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
| US20070177600A1 (en) | Traffic control method, apparatus, and system | |
| JP2007094997A (ja) | Idsのイベント解析及び警告システム | |
| WO2021253899A1 (zh) | 针对性攻击检测方法及其装置和计算机可读存储介质 | |
| US10708155B2 (en) | Systems and methods for managing network operations | |
| CN106921671B (zh) | 一种网络攻击的检测方法及装置 | |
| JP6233414B2 (ja) | 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム | |
| JP6033189B2 (ja) | 通信装置、通信方法および通信プログラム | |
| JP4241677B2 (ja) | 通信管理装置、不正通信端末装置の識別システムと方法、及びプログラム | |
| JP5176983B2 (ja) | フィルタ装置、フィルタプログラム及び方法 | |
| KR101976395B1 (ko) | 네트워크의 비정상행위 시각화 방법 및 장치 | |
| JP2009048317A (ja) | セキュリティ評価方法、セキュリティ評価装置 | |
| CN114338189B (zh) | 基于节点拓扑关系链的态势感知防御方法、装置及*** | |
| JP6780326B2 (ja) | 情報処理装置及びプログラム | |
| JP4142038B2 (ja) | 統合モニタシステム及び統合モニタプログラム | |
| WO2020195230A1 (ja) | 分析システム、方法およびプログラム | |
| WO2020195229A1 (ja) | 分析システム、方法およびプログラム | |
| JP6819357B2 (ja) | 稼動確認装置、稼動確認プログラム、稼動確認方法、及び稼動確認システム | |
| JP5655049B2 (ja) | 判定装置、判定方法および判定プログラム | |
| US7594263B2 (en) | Operating a communication network through use of blocking measures for responding to communication traffic anomalies | |
| JP5441250B2 (ja) | ファイアウォールに対するポリシ情報表示方法、管理装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061212 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20070119 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20080613 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081125 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081209 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081222 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120109 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4241677 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130109 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130109 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |