JP4434053B2 - 不正侵入検知装置 - Google Patents
不正侵入検知装置 Download PDFInfo
- Publication number
- JP4434053B2 JP4434053B2 JP2005081124A JP2005081124A JP4434053B2 JP 4434053 B2 JP4434053 B2 JP 4434053B2 JP 2005081124 A JP2005081124 A JP 2005081124A JP 2005081124 A JP2005081124 A JP 2005081124A JP 4434053 B2 JP4434053 B2 JP 4434053B2
- Authority
- JP
- Japan
- Prior art keywords
- log information
- unauthorized
- same
- network
- intrusion detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
従って本発明が解決しようとする課題は、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理する不正侵入検知装置を実現することにある。
不正アクセスを検知する不正侵入検知装置において、
ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、収集したログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元と送信先のノードが同一であり、且つ、同一パケットである場合に、当該2つのログ情報を統合して1つのログ情報として記録する処理手段を備えたことにより、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
請求項1記載の発明である不正侵入検知装置において、
前記処理手段が、
ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集する不正侵入検知手段と、記録手段と、収集した前記ログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元と送信先のノードが同一であり、且つ、同一パケットである場合に、当該2つのログ情報を1つのログ情報として統合して前記記憶手段に記録するログ情報集約手段とから構成されたことにより、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
請求項2記載の発明である不正侵入検知装置において、
前記不正侵入検知手段が、
前記ネットワーク上を伝播する通信を監視すると共に不正な通信を受信したと判断した場合に、不正な通信に関するログ情報を前記ログ情報集約手段に出力することにより、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
請求項2記載の発明である不正侵入検知装置において、
前記ログ情報集約手段が、
前記不正侵入検知手段から入力されるログ情報を解析すると共に記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であるか否かを判断し、記録時刻がネットワークの負荷状況に応じて予め設定されている値以内でないと判断した場合には前記ログ情報を前記記憶手段に記録し、記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であると判断した場合には2つのログ情報の送信元と送信先のノードが同一であるか否かを判断し、2つのログ情報の送信元と送信先のノードが同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、2つのログ情報の送信元と送信先のノードが同一であると判断した場合には通信プロトコルに基づきパケットの同一性を解析すると共に通信プロトコルに基づくパケット解析により同一パケットであるか否かを判断し、同一パケットではないと判断した場合には前記ログ情報を前記記憶手段に記録し、同一パケットであると判断した場合には当該2つのログ情報を1つのログ情報として統合すると共に統合したログ情報を前記記憶手段に記録することにより、同一パケットの場合には伝播経路に関わりなく1つのログ情報として処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
不正アクセスを検知する不正侵入検知装置において、
ネットワーク上を伝播する通信を複数の地点で監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、複数の地点で収集したログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を1つのログ情報として統合して記録する処理手段を備えたことにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
請求項5記載の発明である不正侵入検知装置において、
前記処理手段が、
ネットワーク上を伝播する通信を複数の地点で監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集する複数の不正侵入検知手段と、記録手段と、複数の地点で収集した前記ログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を1つのログ情報として統合して前記記憶手段に記録するログ情報集約手段とから構成されたことにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
請求項6記載の発明である不正侵入検知装置において、
前記複数の不正侵入検知手段が、
前記ネットワーク上を伝播する通信を監視すると共に不正な通信を受信したと判断した場合に、不正な通信に関するログ情報を前記ログ情報集約手段に出力することにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
請求項6記載の発明である不正侵入検知装置において、
前記ログ情報集約手段が、
前記不正侵入検知手段から入力されるログ情報を解析すると共に記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であるか否かを判断し、
記録時刻がネットワークの負荷状況に応じて予め設定されている値以内でないと判断した場合には前記ログ情報を前記記憶手段に記録し、記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であると判断した場合には2つのログ情報の送信元の情報が同一であるか否かを判断し、2つのログ情報の送信元の情報が同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、2つのログ情報の送信元の情報が同一であると判断した場合には2つのログ情報の送信先の情報が同一であるか否かを判断し、2つのログ情報の送信先の情報が同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、2つのログ情報の送信先の情報が同一であると判断した場合には当該2つのログ情報を1つのログ情報として統合すると共に統合したログ情報を前記記憶手段に記録することにより、単一のパケットの伝播であっても複数の不正侵入検知手段で重複して記録されてしまうことを防止できる。同一パケットを2つのログ情報として重複して記録させることがないので、ログ情報解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
請求項1,2,3及び請求項4の発明によれば、ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、収集したログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元と送信先の同一ノードであり、且つ、同一パケットである場合に、当該2つのログ情報を1つのログ情報として統合して記録することにより、同一パケットの場合には伝播経路に関わりなく1つのログとして処理することが可能になる。また、同一パケットを2つのログ情報として重複して記録させることがないので、ログ解析時のネットワークの状態を正確に把握でき、不必要のログ情報の削除により記録されるログ情報の量を低減させることが可能になる。
2,7 プロキシサーバ
3,8,13,16 サーバ
4,9,17,18 不正侵入検知手段
5,11,19,21 記憶手段
10,20 ログ情報集約手段
14 ルータ
50,51,52 不正侵入検知装置
100,101,102,103 ネットワーク
Claims (8)
- 不正アクセスを検知する不正侵入検知装置において、
ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、収集したログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元と送信先のノードが同一であり、且つ、同一パケットである場合に、当該2つのログ情報を統合して1つのログ情報として記録する処理手段
を備えたことを特徴とする不正侵入検知装置。 - 前記処理手段が、
ネットワーク上を伝播する通信を監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集する不正侵入検知手段と、
記録手段と、
収集した前記ログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元と送信先のノードが同一であり、且つ、同一パケットである場合に、当該2つのログ情報を1つのログ情報として統合して前記記憶手段に記録するログ情報集約手段とから構成されたことを特徴とする
請求項1記載の不正侵入検知装置。 - 前記不正侵入検知手段が、
前記ネットワーク上を伝播する通信を監視すると共に不正な通信を受信したと判断した場合に、不正な通信に関するログ情報を前記ログ情報集約手段に出力することを特徴とする
請求項2記載の不正侵入検知装置。 - 前記ログ情報集約手段が、
前記不正侵入検知手段から入力されるログ情報を解析すると共に記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であるか否かを判断し、
記録時刻がネットワークの負荷状況に応じて予め設定されている値以内でないと判断した場合には前記ログ情報を前記記憶手段に記録し、
記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であると判断した場合には2つのログ情報の送信元と送信先のノードが同一であるか否かを判断し、
2つのログ情報の送信元と送信先のノードが同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、
2つのログ情報の送信元と送信先のノードが同一であると判断した場合には通信プロトコルに基づきパケットの同一性を解析すると共に通信プロトコルに基づくパケット解析により同一パケットであるか否かを判断し、
同一パケットではないと判断した場合には前記ログ情報を前記記憶手段に記録し、
同一パケットであると判断した場合には当該2つのログ情報を1つのログ情報として統合すると共に統合したログ情報を前記記憶手段に記録することを特徴とする
請求項2記載の不正侵入検知装置。 - 不正アクセスを検知する不正侵入検知装置において、
ネットワーク上を伝播する通信を複数の地点で監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集し、複数の地点で収集したログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を1つのログ情報として統合して記録する処理手段
を備えたことを特徴とする不正侵入検知装置。 - 前記処理手段が、
ネットワーク上を伝播する通信を複数の地点で監視すると共に不正な通信を受信した場合には不正な通信に関するログ情報を収集する複数の不正侵入検知手段と、
記録手段と、
複数の地点で収集した前記ログ情報を解析して、2つのログ情報の記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であり、2つのログ情報の送信元の情報が同一で、且つ、送信先の情報が同一である場合に、当該2つのログ情報を1つのログ情報として統合して前記記憶手段に記録するログ情報集約手段とから構成されたことを特徴とする
請求項5記載の不正侵入検知装置。 - 前記複数の不正侵入検知手段が、
前記ネットワーク上を伝播する通信を監視すると共に不正な通信を受信したと判断した場合に、不正な通信に関するログ情報を前記ログ情報集約手段に出力することを特徴とする
請求項6記載の不正侵入検知装置。 - 前記ログ情報集約手段が、
前記不正侵入検知手段から入力されるログ情報を解析すると共に記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であるか否かを判断し、
記録時刻がネットワークの負荷状況に応じて予め設定されている値以内でないと判断した場合には前記ログ情報を前記記憶手段に記録し、
記録時刻がネットワークの負荷状況に応じて予め設定されている値以内であると判断した場合には2つのログ情報の送信元の情報が同一であるか否かを判断し、
2つのログ情報の送信元の情報が同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、
2つのログ情報の送信元の情報が同一であると判断した場合には2つのログ情報の送信先の情報が同一であるか否かを判断し、
2つのログ情報の送信先の情報が同一ではないと判断した場合には前記ログ情報を前記記憶手段に記録し、
2つのログ情報の送信先の情報が同一であると判断した場合には当該2つのログ情報を1つのログ情報として統合すると共に統合したログ情報を前記記憶手段に記録することを特徴とする
請求項6記載の不正侵入検知装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005081124A JP4434053B2 (ja) | 2004-08-10 | 2005-03-22 | 不正侵入検知装置 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004232880 | 2004-08-10 | ||
JP2005081124A JP4434053B2 (ja) | 2004-08-10 | 2005-03-22 | 不正侵入検知装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006079587A JP2006079587A (ja) | 2006-03-23 |
JP4434053B2 true JP4434053B2 (ja) | 2010-03-17 |
Family
ID=36158952
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005081124A Expired - Fee Related JP4434053B2 (ja) | 2004-08-10 | 2005-03-22 | 不正侵入検知装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4434053B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5339437B2 (ja) * | 2009-03-25 | 2013-11-13 | 日本電気通信システム株式会社 | シーケンス図作成装置、シーケンス図作成方法及びプログラム |
JP5622233B2 (ja) * | 2010-10-26 | 2014-11-12 | 学校法人近畿大学 | パケット通信処理装置及びその制御方法並びにプログラム及び記録媒体 |
JP5792654B2 (ja) * | 2012-02-15 | 2015-10-14 | 株式会社日立製作所 | セキュリティ監視システムおよびセキュリティ監視方法 |
-
2005
- 2005-03-22 JP JP2005081124A patent/JP4434053B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2006079587A (ja) | 2006-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4667437B2 (ja) | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム | |
CN100474819C (zh) | 一种深度报文检测方法、网络设备及*** | |
US8295198B2 (en) | Method for configuring ACLs on network device based on flow information | |
US10129270B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
US9332020B2 (en) | Method for tracking machines on a network using multivariable fingerprinting of passively available information | |
EP1742416B1 (en) | Method, computer readable medium and system for analyzing and management of application traffic on networks | |
US7509408B2 (en) | System analysis apparatus and method | |
US8533819B2 (en) | Method and apparatus for detecting compromised host computers | |
US20090222924A1 (en) | Operating a network monitoring entity | |
US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
KR20110089179A (ko) | 네트워크 침입 방지 | |
US20140149572A1 (en) | Monitoring and diagnostics in computer networks | |
US20150071085A1 (en) | Network gateway for real-time inspection of data frames and identification of abnormal network behavior | |
EP2053783A1 (en) | Method and system for identifying VoIP traffic in networks | |
US20160248652A1 (en) | System and method for classifying and managing applications over compressed or encrypted traffic | |
JP4434053B2 (ja) | 不正侵入検知装置 | |
KR20100024723A (ko) | 정책기반 라우팅을 이용한 선택적인 인터넷 트래픽 분석 시스템 및 그 방법 | |
US7706273B2 (en) | Port tracking on dynamically negotiated ports | |
WO2013189723A1 (en) | Method and system for malware detection and mitigation | |
Rathore | Threshold-based generic scheme for encrypted and tunneled Voice Flows Detection over IP Networks | |
CN111727588A (zh) | 用于网络中立性测试的***和方法 | |
Oliveira et al. | A scalable, real-time packet capturing solution | |
Sourour et al. | A stateful real time intrusion detection system for high-speed network | |
JP2004064694A (ja) | 通信ネットワークにおけるパケット収集の負荷分散方法及びその装置 | |
CN118233111A (zh) | 攻击检测方法、***及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071012 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090831 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090917 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091105 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091208 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091221 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130108 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |