[go: up one dir, main page]

JP2008022498A - ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム - Google Patents

ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム Download PDF

Info

Publication number
JP2008022498A
JP2008022498A JP2006194824A JP2006194824A JP2008022498A JP 2008022498 A JP2008022498 A JP 2008022498A JP 2006194824 A JP2006194824 A JP 2006194824A JP 2006194824 A JP2006194824 A JP 2006194824A JP 2008022498 A JP2008022498 A JP 2008022498A
Authority
JP
Japan
Prior art keywords
data
input
network
abnormality
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006194824A
Other languages
English (en)
Inventor
Nobuyuki Nakamura
信之 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2006194824A priority Critical patent/JP2008022498A/ja
Publication of JP2008022498A publication Critical patent/JP2008022498A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】OS等のコンピュータの使用環境に依存せず、未知のウイルスやワームが侵入した場合であっても、ワームによるトラフィックの異常を検出すること。
【解決手段】内部ネットワークに対してデータの入出力を行う第1入出力部110と、外部ネットワークに対してデータの入出力を行う第2入出力部120と、入力データからトラフィックの異常を検知するためのデータを集計するデータ集計部130と、データ集計部130によって過去一定期間の間に集計されたデータを、トラフィックの異常度を計算する際の指標として用いる指標データとして保持する指標データ保持部140と、データ集計部130によって異常度計算時刻に集計された評価データと、指標データ保持部140から取得した指標データとを用いてトラフィックの異常度を計算する異常度計算部150とを含むネットワーク異常検知装置を提供する。
【選択図】図1

Description

本発明は、ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システムに係り、特に、ネットワーク上を流れるトラフィックの異常を検知するネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システムに関する。
従来より、ウイルスやワームなどからコンピュータやネットワークを保護し、侵入を早期に検知して感染の拡大を防止するための様々な技術が研究されている。近年では、感染した端末を悪用して様々な被害を与えるボットと呼ばれるワームが多数出現しており、このようなボットのネットワークへの侵入や侵入したボットによるスパムメール送信、DDoS(DDoS:Distributed Denial of Service)攻撃等の活動を早急に検知できるようにすることが必要とされている。
一般的に、ボットなどを含むウイルスへの対策として、ネットワークに接続されたコンピュータ上でウイルスを検出するウイルス対策ソフトと呼ばれるソフトウェアが用いられている。ウイルス対策ソフトは、予め用意されたウイルス検出パターンを用いたパターンマッチングにより、コンピュータ内に進入したウイルスを検出する。ウイルス検出パターンは定期的に更新され、インターネットなどを経由して最新のパターンファイルがユーザに提供されるようになっているものも多い。
また、ネットワーク上の個々の端末にインストールして用いられるパーソナルファイアウォールも、ウイルス対策の効果がある。パーソナルファイアウォールは、インストールされたコンピュータのネットワークインタフェースの入出力パケットを監視し、管理者が認めたプログラムの通信のみを許可するため、ウイルスやワームの侵入を未然に防止することができる。また、ワームに感染した場合でも、ワームによる通信を防ぐことによって拡散を防止することができる。
一方、個々のコンピュータ上ではなく、ネットワーク側で異常を検知する方法として、侵入検知システム(IDS:Intrusion Detection System)と呼ばれるものがある。IDSは、ネットワーク上を通過するパケットのペイロード部分を分析し、登録されているパターンとのマッチングにより不正アクセスと思われるパケットを検出するシステムである。例えば、特許文献1には、外部ネットワークから受信されたインバウンドトラフィックから検知された不正侵入の検知情報と、内部ネットワークから発信されるアウトバウンドトラフィックから検出された不正侵入に対する応答信号とを照合して検証することにより、検知精度を高めた双方向型のIDSが開示されている。
特開2004−30287号公報
上述したような従来技術を用いる場合、現状ではいくつかの問題点がある。
まず、ウイルス対策ソフトで用いられるパターンマッチングによるウイルス検出方法は、基本的に既知のウイルスに対するものであり、パターンが対応していない未知のウイルスを検出することはできない。また、ウイルスのオープンソース化が進んだ現状では、従来とは比較にならない速さで亜種ウイルスが出現するため、全ての亜種ウイルスに対応するパターンを用意することはさらに難しくなっている。ウイルス対策ソフトの他の問題点としては、ソフトウェアが特定のOS(OS:Operating System)に対してしか提供されないことも挙げられる。また、ウイルス対策ソフトの種類によって検出できるウイルスが異なっている場合もあり、ウイルス検出の可否がユーザの使用環境に依存するという問題がある。さらに、ウイルス対策ソフトそのものの活動を止めてしまうウイルスやワームが存在するため、ユーザが気づかないうちにウイルス検出が出来ない状態になってしまうこともある。
また、パーソナルファイアウォールも、ウイルス対策ソフトと同様に、OS依存であるという問題、ファイアウォールの機能を停止させるウイルスが存在する問題がある。また、設定項目や検知項目がユーザにとって分かりにくく、設定が難しいため、機能が有効に活用されてない場合もある。さらに、インターネットプロトコルの高度化により、ファイアウォールの制限を回避して通信するプロトコルも多数開発されており、そのようなプロトコルを用いた通信を遮断することが難しいという問題がある。
また、特許文献1に開示されたようなIDSについても、ウイルス対策ソフトと同様にパターンマッチングによる手法を用いているため、新しいパターンへの対応が難しいという問題がある。また、特許文献1の方法では、インバウンドトラフィックの監視により不正侵入を検知した後、予め定めた時間内に応答信号が返されるか否かによって侵入検知を行っているため、予め定めた時間内に規定どおりの動作をするような場合にしか対応できない。
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、OS等のコンピュータの使用環境に依存せず、未知のウイルスやワームが侵入した場合であってもそれによるトラフィックの異常を検出することが可能な、新規かつ改良されたネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システムを提供することにある。
上記課題を解決するために、本発明のある観点によれば、ネットワーク上を流れるトラフィックの異常を検知するネットワーク異常検知装置であって、内部ネットワークに対してデータの入出力を行う第1入出力部と、外部ネットワークに対してデータの入出力を行う第2入出力部と、第1入出力部及び第2入出力部から入力されたデータに基づき、トラフィックの異常を検知するためのデータを集計するデータ集計部と、データ集計部によって過去一定期間の間に集計されたデータを、トラフィックの異常度を計算する際の指標として用いる指標データとして保持する指標データ保持部と、トラフィックの異常を検知するためにデータ集計部によって異常度計算時刻に集計された評価データと、指標データ保持部から取得した指標データとを用いてトラフィックの異常度を計算する異常度計算部と、を含むことを特徴とする、ネットワーク異常検知装置が提供される。
かかる構成により、OSなどの使用環境に関わらず、ネットワーク上の監視したいポイントで異常が発生しているかどうかを知ることができる。さらに、計算されたトラフィックの異常度のレベルをディスプレイやLED(LED:Light Emitting Diode)などで表示することにより、ユーザや管理者が、監視ポイントにおいて正常な通信が行われているか否かを即座に認識することができる。
また、データ集計部は、第1入出力部から入力されたデータを第2入出力部に送信し、第2入出力部から入力されたデータを第1入出力部に送信するようにしてもよい。あるいは、第1入出力部は、内部ネットワークから入力されたデータを複製して第2入出力部にデータの一方を送信し、第2入出力部は、外部ネットワークから入力されたデータを複製して第1入出力部にデータの一方を送信するようにしてもよい。後者の場合は、前者の場合と比較してデータ集計部の負荷を減らすことができ、大容量トラフィックにも対応可能となる。さらに、第1入出力部と第2入出力部との間で直接データ転送を行うため、通信速度への影響を少なくすることができるという効果がある。
また、1または2以上の第1入出力部及び第2入出力部に接続されるスイッチ部をさらに含み、スイッチ部は、1または2以上の第1入出力部からそれぞれ入力されたデータを第2入出力部に送信するとともに、第2入出力部から入力されたデータの宛先に該当する第1入出力部を判別し、当該第1入出力部に対しデータを送信するようにしてもよい。スイッチ部は、レイヤ2スイッチであっても、レイヤ3スイッチであってもよく、ソフトウェアスイッチ、いわゆるルータ装置であってもよい。これにより、既存のスイッチ等の装置との置き換えによってトラフィックの異常を検知できる効果が得られ、新たに機器を設置するのと比較して、設置や管理が容易であるという効果がある。
また、異常度計算部によって計算された計算結果データを外部機器に対して送信する外部インタフェース部をさらに含んでもよい。これにより、PCやサーバなどの外部機器において、トラフィックの異常についてさらに詳細に分析を行うことが可能となる。さらに、異常が確認された場合には、その旨をユーザにメール等で通知し対策を指示する等の対応を行うことも可能となる。
また、異常度計算部によって計算された計算結果データを保持する結果データ保持部をさらに含み、外部インタフェース部は、外部機器からの要求に応じて、結果データ保持部から取得した計算結果データと、指標データ保持部から取得した、計算結果データの計算に用いられた指標データとを外部機器に送信するようにしてもよい。これにより、ユーザや管理者が任意のタイミングで、PCやサーバなどを接続して異常の原因を詳細に見ることができるようになる。また、ネットワーク管理者等であれば、送信されたデータを基に、トラフィックの異常についてある程度の推測を立て、対策を検討することが可能になる。
また、データ集計部は、第1入出力部または第2入出力部から入力された入力データの一部または全部を指標データ保持部に渡し、指標データ保持部は、データ集計部において入力データを集計して得られた指標データと入力データの一部または全部とを対応付けして保持するようにしてもよい。さらに、外部インタフェース部は、計算結果データ及び指標データとともに、指標データと対応付けされた入力データの一部または全部を外部機器に送信するようにしてもよい。これにより、外部機器によってネットワーク上を流れるパケットデータをモニタリングして解析することが可能となる。また、トラフィックの異常度のデータと対応付けされてパケットデータが送られてくるため、単にパケットをモニタリングするだけでなく、確認したい異常度のデータとそれに対応するパケットの解析ができ、非常に効率が良いというメリットがある。
また、第1入出力部、第2入出力部、及び外部インタフェース部と接続されるパケットフィルタ部をさらに含み、パケットフィルタ部は、外部インタフェース部を通じて受信される外部機器からのフィルタリング要求に応じて、第1入出力部及び第2入出力部によって入出力されるデータのフィルタリング制御を行うようにしてもよい。これにより、外部機器でトラフィックの異常について解析した結果、すぐに対策が必要であると判断した部分に関しては、外部機器からパケットフィルタの制御を行うことによって、即時にネットワークをワームの感染やDDoS攻撃から防御することができる。ワームの波及に要する時間は非常に短いため、ユーザにメール等で通知する方法では対応が間に合わないような場合に、非常に効果がある。
また、上記課題を解決するために、本発明の別の観点によれば、ネットワーク上を流れるトラフィックの異常を検知するネットワーク異常検知方法であって、内部ネットワーク及び外部ネットワークから入力されたデータに基づき、トラフィックの異常を検知するためのデータを集計するデータ集計段階と、データ集計段階で集計されたデータを、トラフィックの異常度を計算する際の指標として用いる指標データとして保持する指標データ保持段階と、過去一定期間の間に集計された指標データを取得する指標データ取得段階と、指標データ取得段階において取得された指標データと、トラフィックの異常度計算時刻にデータ集計段階で集計された評価データとを用いてトラフィックの異常度を計算する異常度計算段階と、を含むことを特徴とする、ネットワーク異常検知方法が提供される。
かかる構成により、OSなどの使用環境に関わらず、ネットワーク上の監視したいポイントで異常が発生しているかどうかを知ることができる。さらに、計算されたトラフィックの異常度のレベルをディスプレイやLED等で表示することにより、ユーザや管理者が、監視ポイントにおいて正常な通信が行われているか否かを即座に認識することができる。
また、異常度計算段階で計算された結果である計算結果データを、外部機器に対して送信する結果データ送信段階をさらに含んでもよい。これにより、PCやサーバなどの外部機器において、トラフィックの異常についてさらに詳細に分析を行うことが可能となる。さらに、異常が確認された場合には、その旨をユーザにメール等で通知し対策を指示する等の対応を行うことも可能となる。
また、異常度計算段階で計算された結果を計算結果データとして保持する結果データ保持段階と、外部機器からの問い合わせに応じて、計算結果データと、計算結果データの計算に用いられた指標データとを取得する結果データ取得段階とをさらに含んでもよい。さらに、結果データ送信段階において、結果データ取得段階で取得された指標データを計算結果データとともに外部機器に送信するようにしてもよい。これにより、ユーザや管理者が任意のタイミングで、PCやサーバなどを接続して異常の原因を詳細に見ることができるようになる。また、ネットワーク管理者等であれば、送信されたデータを基に、トラフィックの異常についてある程度の推測を立て、対策を検討することが可能になる。
また、内部ネットワーク及び外部ネットワークから入力される入力データの一部または全部を、入力データを集計して得られた指標データと対応付けして保持するパケットデータ保持段階をさらに含み、結果データ送信段階において、計算結果データ及び指標データとともに、指標データと対応付けされた入力データの一部または全部を外部機器に送信するようにしてもよい。これにより、外部機器によってネットワーク上を流れるパケットデータをモニタリングして解析することが可能となる。また、トラフィックの異常度のデータと対応付けされてパケットデータが送られてくるため、単にパケットをモニタリングするだけでなく、確認したい異常度のデータとそれに対応するパケットの解析ができ、非常に効率が良いというメリットがある。
また、外部機器からのフィルタリング要求に応じて、入出力されるデータのフィルタリング制御を行うフィルタリング制御段階をさらに含んでもよい。これにより、外部機器でトラフィックの異常について解析した結果、すぐに対策が必要であると判断した部分に関しては、外部機器からパケットフィルタの制御を行うことによって、即時にネットワークをワームの感染やDDoS攻撃から防御することができる。ワームの波及に要する時間は非常に短いため、ユーザにメール等で通知する方法では対応が間に合わないような場合に、非常に効果がある。
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークから入力されるデータを集計し、集計されたデータからトラフィックの異常度を計算する複数のネットワーク異常検知装置と、ネットワークを介して複数のネットワーク異常検知装置と接続され、複数のネットワーク異常検知装置からそれぞれ送信された複数の異常度データを比較することにより、トラフィックの異常を検知する解析サーバとを含み、解析サーバは、複数の異常度データのうち、同一の要素から異常が検出された異常度データが複数存在する場合に、トラフィックに異常が発生していると判断することを特徴とする、ネットワーク異常検知システムが提供される。
かかる構成により、広域にワームが発生して異常トラフィックを発生させた場合に、同種の異常が複数のネットワーク異常検知装置で検知されることにより、複数のネットワーク異常検知装置の異常度のデータを比較することで、より早急に精度の高い異常検知ができるようになる。
以上説明したように本発明によれば、OS等のコンピュータの使用環境に依存せず、未知のウイルスやワームが侵入した場合であってもそれによるトラフィックの異常を検出することが可能である。
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
(第1の実施形態)
まず、図1及び図2に基づいて、本発明の第1の実施形態にかかるネットワーク異常検知装置について説明する。ここで、図1は、本発明の第1の実施形態にかかるネットワーク異常検知装置100の概略構成を示すブロック図であり、図2は本実施形態にかかるネットワーク異常検知装置100を示す概略図である。
本実施形態にかかるネットワーク異常検知装置100は、図1に示すように、第1入出力部110、第2入出力部120、データ集計部130、指標データ保持部140、異常度計算部150及び結果出力部160から構成される。さらに、図1及び図2に示すように、ネットワーク異常検知装置100は、第1入出力部110を通じてLAN(LAN:Local Area Network)170などのような内部ネットワークに接続され、第2入出力部120を通じてインターネット190などのような外部ネットワークに接続される。ここで、内部ネットワークは、ユーザが使用するコンピュータの存在するネットワークであり、外部ネットワークは、本実施形態にかかるネットワーク異常検知装置100からみて、内部ネットワークの反対側に位置するものとする。
次に、ネットワーク異常検知装置100の各部についてそれぞれ説明する。
第1入出力部110は、内部ネットワークであるLAN170と接続され、LAN170に接続されたユーザ端末180に対し送受信されるデータの入出力を行う機能部である。第1入出力部110には、LAN170内のユーザ端末180から発信され、インターネット190などの外部ネットワークに対して送信されるトラフィック(アウトバウンドトラフィックという)が入力される。また逆に、インターネット190から発信されユーザ端末180に対して送信されるトラフィック(インバウンドトラフィックという)を出力する。第1入出力部110は、入力されたアウトバウンドトラフィックをデータ集計部130に渡し、データ集計部130からインバウンドトラフィックを受け取り、LAN170に対して送信する。なお、本実施形態においては、LAN170を介してユーザ端末180などとに接続されたものとして説明するが、ユーザ端末180のようなコンピュータと直接接続され、データ入出力を行うものであってもよい。
第2入出力部120は、インターネット190などの外部ネットワークに接続され、インターネット190に対してデータの入出力を行う機能部である。第2入出力部120は、第1入出力部と逆に、インターネット190などの外部ネットワークから発信されたインバウンドトラフィックを受信してデータ集計部130に渡し、データ集計部130から入力されるアウトバウンドトラフィックを受け取ってインターネット190に対して送信する。
データ集計部130は、インバウンド及びアウトバウンド両方のトラフィックを受け取り、パケットデータからネットワークの異常度を計算するためのデータを抽出して集計するための機能部である。データ集計部130は、第1入出力部110及び第2入出力部120と接続されて、第1入出力部110からアウトバウンドトラフィックを受け取って第2入出力部120に送り、第2入出力部120からインバウンドトラフィックを受け取って第1入出力部110に送る。すなわち、入力されたトラフィックはデータ集計部130を通過して、第1入出力部110及び第2入出力部120を通じ入出力される。さらに、データ集計部130は、入力されたトラフィックの所定のパラメータの値を検出して集計し、集計結果を指標データ保持部140及び異常度計算部150に送る。
指標データ保持部140は、データ集計部130から送られた集計結果のデータを蓄積し、異常度計算時点において集計された異常度計算の対象となるデータ(以下、評価データという)から異常度を計算するための指標となるデータ(以下、指標データという)として保持する記憶部である。指標データ保持部140は異常度計算部150からデータ要求があれば、保持している指標データのうち要求されているデータを検索し、指標データ保持部140に渡す。
異常度計算部150は、トラフィックの異常度を計算し、異常が発生しているか否かを判定する機能部である。異常度計算部150は、データ集計部130から集計結果である評価データが渡されると、集計データを指標データ保持部140に対し保存されている過去一定期間の指標データを要求する。要求される指標データは、例えば、評価データの取得日時の過去1週間の同時刻に取得した指標データ7個などであってもよい。異常度計算部150は、指標データを取得後、評価データと指標データとを用いて所定の計算方法によりトラフィックの異常度を計算し、計算結果データを結果出力部160に渡す。
結果出力部160は、異常度計算部150で計算されたトラフィックの異常度の値を出力するための機能部である。結果出力部160は、ユーザに異常度計算部150で計算された結果を通知するためのものであって、LEDやディスプレイ等の表示部、プリンタ、電子メール、ブザー等であってもよい。例えば、計算結果データの各パラメータの値をLEDで段階的に表示して異常度のレベルを示したり、あるいは正常レベルを緑、異常レベルを赤のLEDで表示するなどして、ユーザがトラフィックの異常をより直感的に認識可能に構成してもよい。
以上、本実施形態にかかるネットワーク異常検知装置100の構成について説明した。次に、図3に基づいて、本実施形態にかかるネットワーク異常検知処理について説明する。ここで、図3は、LAN170及びインターネット190から伝送されるパケットデータよりトラフィックの異常を検知する処理の流れを示すフローチャートである。
図3に示すように、まず、ステップS101では、インターネット190からLAN170に伝送されるパケットデータ、またはLAN170からインターネット190に伝送されるパケットデータが、ネットワーク異常検知装置100に入力される。
次いで、ステップS102では、入力されたパケットデータに含まれるデータから、異常度の計算に用いられるパラメータの集計が行われる。異常度の計算に用いられるパラメータとしては、上位層のプロトコルタイプ(IP、ARP、RARP、TCP、UDP、ICMPなど)、TCPパケットのURG、ACK、PSH、SYN、RST及びFINのフラグなどが用いられるが、上述した以外のパラメータ、例えばトラフィック量、送信元アドレス、送信先アドレスなどを用いてもよい。
次いで、ステップS103では、ステップS102で集計されたデータを、次回以降の異常度計算時に指標データとして用いるために保存する。
次に、ステップS104では、異常度の計算に用いる指標データを取得する。取得する指標データは、例えば、異常度計算時の過去1週間の同時刻に取得された指標データ7個などであってもよい。
次いで、ステップS105では、ステップS102で集計された評価データを、ステップS104で取得した指標データ(教師データともいう)と比較してどの程度乖離しているかを所定の計算方法により算出する。ここで算出される値を異常度と呼ぶ。
また、ステップS105で用いられる異常度の計算方法には、例えば、以下に述べるような方法が用いることができる。
まず、数式(1)により、指標データの各パラメータ間の値の差を解消するために、例えば各パラメータの平均値と分散とを用いて正規化を行う。次に、指標データの正規化の際に用いた各パラメータの平均値と分散とを用いて、数式(2)により評価データの値を計算する。この計算により得られた値を各パラメータの異常値と呼ぶ。このようにして得られた各パラメータの異常値の絶対値の和を計算した値が、トラフィックの異常度と定義される。異常度の値は、評価データの各パラメータの値が指標データと比較して差が少ないときは0に近づき、指標データと大きく異なるときは0よりも大きな値をとることになる。
Figure 2008022498
 (x:指標データ、x:xの平均、S:xの分散、y:正規化値)
Figure 2008022498
 (a:評価データ、z:異常値)
次いで、ステップS106では、ステップS105の計算結果を出力し、ユーザに計算結果を通知する。出力方法としては、LEDやディスプレイ等の表示部、プリンタ、電子メール、ブザー等、様々な手段を用いることができる。
以上、本実施形態にかかるネットワークの異常検知方法について説明した。かかる方法により、OSなどの使用環境に関わらず、ネットワーク上の監視したいポイントでトラフィックに異常が発生しているかどうかを知ることができる。さらに、計算結果がディスプレイやLED等で表示されることにより、ユーザや管理者は、監視ポイントにおいて正常な通信が行われているか否かを即座に認識することができる。
(第2の実施形態)
次に、図4に基づいて、本発明の第2の実施形態にかかるネットワーク異常検知装置200について説明する。図4は、本発明の第2の実施形態にかかるネットワーク異常検知装置200の概略構成を示すブロック図である。
本実施形態にかかるネットワーク異常検知装置200は、図4に示すように、第1入出力部210、第2入出力部220、データ集計部230、指標データ保持部240、異常度計算部250、結果出力部260、結果データ保持部270及び外部インタフェース部280から構成される。また、図4に示すように、ネットワーク異常検知装置200は、外部インタフェース部280を通じてPCなどのような外部機器290と接続される。さらに、図示していないが、上述した第1の実施形態(図1参照)と同様に、第1入出力部210を通じてLANなどの内部ネットワークと接続され、第2入出力部220を通じてインターネットなどの外部ネットワークと接続されているものとする。本実施形態では、異常度の計算結果を保持しておき、外部からの問い合わせに対して計算結果データ及び計算に用いた指標データ等を出力することを特徴とする。
なお、この第2の実施形態にかかるネットワーク異常検知装置200の第1入出力部210、第2入出力部220、データ集計部230、指標データ保持部240、異常度計算部250及び結果出力部260は、それぞれ上述した第1の実施形態にかかるネットワーク異常検知装置100の第1入出力部110、第2入出力部120、データ集計部130、指標データ保持部140、異常度計算部150及び結果出力部160と実質的に同一の構成を有するものであるため詳細説明は省略する。以下、本実施形態にかかるネットワーク異常検知装置200の結果データ保持部270及び外部インタフェース部280について説明する。
結果データ保持部270は、異常度計算部250において計算された異常度に関する計算結果データを保持するための記憶部である。結果データ保持部270は、外部からの問い合わせに対し、保持している計算結果データを出力する。保持される計算結果データは、最新のデータのみとしてもよいし、古いデータを保持したまま新しいデータをさらに追加してデータが順次蓄積されるようにしてもよい。
外部インタフェース部280は、データを外部機器290に送信し、外部機器290からの要求を受け取るための機能部である。外部インタフェース部280は、例えば、RC−232C、USB、RJ45等のインタフェースを備え、コンピュータ等の外部機器290と接続されてデータの送受信を行うことができる。外部インタフェース部280は、外部機器290からのデータ要求信号を受信したら、指標データ保持部240または結果データ保持部270に対しデータ要求を行い、取得したデータを外部機器290に対して送信する。また、送信の際には、データの安全性を高めるために、暗号化処理を行ってからデータを送信するようにしてもよい。
外部インタフェース部280から外部機器290に送信されるデータは、結果データ保持部270に保持されている異常度の計算結果データを少なくとも含む。それ以外に、例えば、異常度の計算に用いた指標データやその指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。指標データの元となるパケットデータを送信するために、データ集計部230は、指標データの元となるパケットデータの一部または全部を複製して指標データ保持部240に送り、指標データ保持部240は、受け取ったパケットデータを指標データと対応付けて保持するようにしてもよい。
次に、図5に基づいて、本実施形態にかかるネットワーク異常検知処理について説明する。ここで、図5は、内部及び外部ネットワークから伝送されるパケットデータよりトラフィックの異常を検知する処理の流れを示すフローチャートである。図5において、S201〜S209は、本実施形態にかかるネットワーク異常検知装置200における処理を示し、S291〜S292は、本実施形態にかかるネットワーク異常検知装置200と接続されたPCなどの外部機器290における処理を示す。
図5に示すように、まず、ステップS201では、インターネットなどの外部ネットワーク、またはLANなどの内部ネットワークからに伝送されるパケットデータが、ネットワーク異常検知装置200に入力される。
次いで、ステップS202では、入力されたパケットデータに含まれるデータから、異常度の計算に用いられるパラメータの集計が行われる。異常度の計算に用いられるパラメータとしては、例えば、上位層のプロトコルタイプ(IP、ARP、RARP、TCP、UDP、ICMPなど)、TCPパケットのURG、ACK、PSH、SYN、RST及びFINのフラグなどが用いられるが、上述した以外のパラメータ、例えばトラフィック量、送信元アドレス、送信先アドレスなどを用いてもよい。
次いで、ステップS203では、ステップS202で集計されたデータを、次回以降の異常度計算時に指標データとして用いるためにを記憶領域に格納する。また、指標データの生成に用いられたパケットデータの一部または全部を複製し、指標データとともに保存してもよい。この際、指標データとパケットデータとを対応付けして格納し、指標データからそれに関連するパケットデータを検索できるようにしてもよい。
次に、ステップS204では、異常度の計算に用いる指標データを取得する。取得する指標データは、例えば、異常度計算時の過去1週間の同時刻に取得された指標データ7個などであってもよい。
次いで、ステップS205では、ステップS202で集計された評価データを、ステップS204で取得した指標データと比較してどの程度乖離しているかを所定の計算方法により算出する。ここで算出される値を異常度と呼ぶ。ここで用いられる異常度の計算方法には、上述した第1の実施形態で用いられるのと同様の方法を用いることができる。
次いで、ステップS206では、ステップS205の計算結果を出力し、ユーザに計算結果を通知する。出力方法としては、LEDやディスプレイ等の表示部、プリンタ、電子メール、ブザー等、様々な手段を用いることができる。
ステップS207では、ステップS205において計算された異常度の計算結果のデータを記憶領域に格納する。
外部機器290からは、ユーザの操作等により任意のタイミングで計算結果のデータを要求する要求信号がネットワーク異常検知装置200に対して送信される(ステップS291)。
ネットワーク異常検知装置200は、外部機器290からのデータ要求信号を受信したら、要求されたデータを、データが格納されている記憶領域から取得する(ステップS208)。ここで、取得されるデータは、少なくともステップS207で格納された異常度の計算結果データを含み、それ以外に、異常度の計算に用いた指標データ、その指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。
次いで、ステップS209で、ステップS208で取得されたデータを外部機器290に対して送信する。また、送信の際に、データの安全性を高めるために、暗号化処理を施してもよい。
外部機器290では、データを受信したら、異常度のデータを分析し、検知すべき異常の有無を判定する(ステップS292)。さらに必要であれば、データをグラフ化して表示したり、異常と判定した際の対処方法などをユーザに対して電子メール等の手段により通知するなどしてもよい。
以上、本実施形態にかかるネットワークの異常検知方法について説明した。かかる方法により、本実施形態にかかるネットワーク異常検知装置に接続したPCやサーバなどから、ユーザや管理者が任意のタイミングで異常の原因を詳細に調べるためのデータを取得することができる。また、ネットワーク管理者等であれば、送信されたデータを基に、トラフィックの異常についてある程度の推測を立てて対策を検討し、ユーザに通知するなど対応を取ることが可能になる。
(第3の実施形態)
次に、図6、図7に基づいて、本発明の第3の実施形態にかかるネットワーク異常検知装置300について説明する。図6は、本発明の第3の実施形態にかかるネットワーク異常検知装置300の概略構成を示すブロック図であり、図7は、本実施形態にかかるネットワーク異常検知装置300の変形例の概略構成を示すブロック図である。
本実施形態にかかるネットワーク異常検知装置300は、図6に示すように、第1入出力部310、第2入出力部320、データ集計部330、指標データ保持部340、異常度計算部350及び外部インタフェース部360から構成される。また、図6に示すように、ネットワーク異常検知装置300は、外部インタフェース部360を通じてPCなどのような外部機器390と接続される。さらに、図示していないが、上述した第1の実施形態(図1参照)と同様に、ネットワーク異常検知装置300は、第1入出力部310を通じてLANなどの内部ネットワークと接続され、第2入出力部320を通じてインターネットなどの外部ネットワークと接続されているものとする。本実施形態では、異常度の計算が終了した段階で、ネットワーク異常検知装置300が計算結果を外部機器390に送信するように構成したことを特徴とする。
なお、この第3の実施形態にかかるネットワーク異常検知装置300の第1入出力部310、第2入出力部320、データ集計部330、指標データ保持部340及び異常度計算部350は、それぞれ上述した第1及び第2の実施形態にかかるネットワーク異常検知装置100及び200の第1入出力部110及び210、第2入出力部120及び220、データ集計部130及び230、指標データ保持部140及び240、異常度計算部150及び250と実質的に同一の構成を有するものであるため詳細説明は省略する。以下、本実施形態にかかるネットワーク異常検知装置300の外部インタフェース部360について説明する。
外部インタフェース部360は、上述した第2実施形態にかかる外部インタフェース部280と同様に、データを外部機器390に送信し、外部機器390からの要求を受け取るための機能部である。外部インタフェース部360は、例えば、RC−232C、USB、RJ45等のインタフェースを備え、コンピュータ等の外部機器390と接続されてデータの送受信を行うことができる。外部インタフェース部360は、異常度計算部350で計算された異常度の計算結果を受け取り、接続されている外部機器390に結果データを送信する。外部インタフェース部360が送信するデータは、少なくとも異常度の計算結果データを含み、それ以外に、異常度の計算に用いた指標データ、その指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。また、送信の際に、データの安全性を高めるために、暗号化処理を行うようにしてもよい。
さらに、図7に示した変形例のように、本実施形態にかかるネットワーク異常検知装置300は、上述した構成に加えてパケットフィルタ部370を含んで構成されてもよい。
パケットフィルタ部370は、外部インタフェース部360と接続されており、外部機器390からのフィルタリング要求に従い、第1入出力部310及び第2入出力部320に対して入出力データのフィルタリング設定を行う機能部である。外部機器390からのフィルタリング要求は、外部インタフェース部360を通じてパケットフィルタ部370に送信される。パケットフィルタ部370は、外部インタフェース部360からフィルタリング要求信号を受け取ると、第1入出力部310及び第2入出力部320に対してフィルタリング情報を送信する。フィルタリング情報には、プロトコル、送信元アドレス、送信先アドレスまたはポート番号などにより、送信を許可あるいは遮断すべきデータであるか否かを判別するための情報が含まれる。
第1入出力部310及び第2入出力部320は、パケットフィルタ部370から渡されるフィルタリング情報に基づいて入出力するデータのフィルタリングを行う。具体的には、送信を許可あるいは遮断すべきプロトコル、送信元アドレス、送信先アドレスまたはポート番号などの情報をフィルタリング情報から参照し、入力されたデータが該当するものであるか否かを判断し、送信を許可または遮断する。データが送信を許可された場合は、第1入出力部310及び第2入出力部320により入出力が行われる。また、データが遮断される場合は、送信元にその旨を通知したり、入力されたデータを破棄したりするようにしてもよい。
なお、図示していないが、本実施形態にかかるネットワーク異常検知装置300は、上述した第1及び第2の実施形態と同様に異常度の計算結果を出力するための結果出力部をさらに含んで構成されてもよい。また、第2の実施形態と同様、計算結果データを保持するための結果データ保持部をさらに含み、任意のタイミングで計算結果データを外部に送信可能としてもよい。
次に、図8に基づいて、本実施形態にかかるネットワーク異常検知処理について説明する。ここで、図8は、内部及び外部ネットワークから伝送されるパケットデータよりトラフィックの異常を検知する処理の流れを示すフローチャートである。図8において、S301〜S307は、本実施形態にかかるネットワーク異常検知装置300における処理を示し、S391〜S393は、本実施形態にかかるネットワーク異常検知装置300と接続されたPCなどの外部機器390における処理を示す。
なお、本実施形態にかかるネットワーク異常検知処理のうち、S301〜S305の処理は、それぞれ上述した第1及び第2の実施形態にかかるネットワーク異常検知処理のうち、S101〜S105及びS201〜S205(図3、図5参照)の処理と実質的に同一であるため、詳細説明は省略する。以下、S306〜S307、S391〜S393の処理について説明する。
ステップS306では、ステップS305において計算された異常度の計算結果のデータを外部機器390に対して送信する。送信されるデータは、少なくとも異常度の計算結果データを含み、それ以外に、異常度の計算に用いた指標データ、その指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。また、送信の際に、データの安全性を高めるために、暗号化処理を施してもよい。
外部機器390では、データを受信したら、異常度のデータを分析し、検知すべき異常の有無を判定する(ステップS391)。さらに必要であれば、データをグラフ化して表示したり、異常と判定した際の対処方法などをユーザに対して電子メール等の手段により通知するなどしてもよい。
さらに、ステップS392では、異常と判定された場合、その異常が緊急度の高いものであるか否かなどによって、パケットフィルタリングを行うか否かを決定する。
パケットフィルタリングを行う場合、ステップS393で、ネットワーク異常検知装置300に対して外部機器390からパケットフィルタリングを要求する信号が送信される。
ネットワーク異常検知装置300は、外部機器390からのパケットフィルタリングの要求信号を受信したら、入出力部において、フィルタリング制御を行うための設定を行う(ステップS307)。
以上、本実施形態にかかるネットワークの異常検知方法について説明した。かかる方法により、外部機器でトラフィックの異常について解析した結果、すぐに対策が必要であると判断した部分に関しては、外部機器からパケットフィルタの制御を行うことによって、即時にネットワークをワームの感染やDDoS攻撃から防御することができる。ワームの波及に要する時間は非常に短いため、ユーザにメール等で通知する方法では対応が間に合わないような場合に、非常に効果がある。
(第1の変形例)
次に、図9に基づいて、第1〜第3の実施形態にかかるネットワーク異常検知装置100〜300の第1の変形例について説明する。本変形例では、ネットワーク異常検知装置を通過するデータがデータ集計部を通過しないようにする構成であるネットワーク異常検知装置400について説明する。ここで、図9は、第1〜第3の実施形態にかかるネットワーク異常検知装置100〜300の第1の変形例を示すブロック図である。なお、ネットワーク異常検知装置400を構成する各構成要素については、第1〜第3の実施形態と同様であるので、各構成要素の詳細な説明は省略する。
なお、本変形例では、変形部分以外のネットワーク異常検知装置の構成は、第1の実施形態にかかるネットワーク異常検知装置の構成(図1)と同様であるとして説明するが、第2および第3の実施形態の構成であってもよい。
本変形例にかかるネットワーク異常検知装置400においては、第1入出力部410と第2入出力部420とが接続され、第1入出力部410及び第2入出力部420を通じて装置に入出力されるデータが第1入出力部410と第2入出力部420との間で直接伝送される。
より詳細には、第1入出力部410は、ネットワークから入力されたデータを複製し、一方を第2入出力部420に送り、他方をデータ集計部430に送る。同様に、第2入出力部420は、ネットワークから入力されたデータを複製し、一方を第1入出力部410に送り、他方をデータ集計部430に送る。データ集計部430は、指標データ保持部440及び異常度計算部450に対してのみ、データを出力し、第1入出力部410及び第2入出力部420に対してデータを送ることはない。
かかる構成により、データ集計部の負荷を減らすことができ、大容量トラフィックにも対応可能となる。さらに、第1入出力部と第2入出力部との間で直接データ転送を行うため、通信速度への影響を少なくすることができるという効果がある。
(第2の変形例)
次に、図10に基づいて、第1〜第3の実施形態にかかるネットワーク異常検知装置100〜300の第2の変形例について説明する。本変形例では、ネットワーク異常検知装置を通過するトラフィックの行き先を振り分けるスイッチ部を設けた構成であるネットワーク異常検知装置500について説明する。ここで、図10は、第1〜第3の実施形態にかかるネットワーク異常検知装置100〜300の第2の変形例を示すブロック図である。なお、ネットワーク異常検知装置500を構成する各構成要素については、第1〜第3の実施形態と同様であるので、各構成要素の詳細な説明は省略する。
なお、本変形例も上述した第1の変形例と同様に、変形部分以外のネットワーク異常検知装置の構成は、第1の実施形態にかかるネットワーク異常検知装置の構成(図1)と同様であるとして説明するが、第2および第3の実施形態の構成であってもよい。
本変形例にかかるネットワーク異常検知装置500は、第1入出力部510、511及び第2入出力部520と接続されるスイッチ部570を含んで構成される。スイッチ部570は、第1入出力部510、511からそれぞれ入力されたデータを第2入出力部520に送信する。また、スイッチ部570は、第2入出力部から入力されたデータから、送信先を抽出し、第1入出力部510、511のいずれかより送信先に該当するものを選択し、選択した第1入出力部に対しデータを送信する。スイッチ部570は、レイヤ2スイッチであっても、レイヤ3スイッチであってもよく、ソフトウェアスイッチ、いわゆるルータ装置であってもよい。
なお、ここでは説明を簡単にするため、第1入出力部は2つであるものとして説明したが、3つ以上であってもよい。
かかる構成により、既存のスイッチ等の装置との置き換えによってトラフィックの異常を検知できる効果が得られ、新たに機器を設置するのと比較して、設置や管理が容易であるという効果がある。
(第4の実施形態)
次に、図11に基づいて、本発明の第4の実施形態にかかるネットワーク異常検知システムについて説明する。図11は、本発明の第4の実施形態にかかるネットワーク異常検知システム600の概略構成を示すブロック図である。
本発明の第4の実施形態にかかるネットワーク異常検知システム600は、図11に示すように、ネットワーク異常検知装置610〜630と、解析サーバ660とから構成される。ネットワーク異常検知装置610〜630と、解析サーバ660とは、ネットワーク650を介して接続されている。ネットワーク異常検知装置は、ネットワーク異常検知装置610及び620のように直接ネットワークに接続されてもよく、ネットワーク異常検知装置630のようにPC640などの情報処理装置を介してネットワークに接続されてもよい。
本実施形態にかかるネットワーク異常検知システム600は、トラフィックの異常を検知することが可能なネットワーク異常検知装置をネットワーク上の複数の監視ポイントに設置することによって、複数の装置から得られた異常度のデータを相互利用し、より精度の高い異常検知を行うようにしたものである。以下、ネットワーク異常検知装置610〜630及び解析サーバ660についてそれぞれ説明する。
ネットワーク異常検知装置610〜630は、上述した本発明の第2〜第3実施形態にかかるネットワーク異常検知装置200〜300と同一の構成を有するものであり、その構成要素の詳細な説明は省略する。ネットワーク異常検知装置610〜630は、解析サーバ660に対し、ネットワーク650を介してトラフィックの異常度に関する計算結果データを送信する。データが送信されるタイミングは、ネットワーク異常検知装置610〜630が計算処理を行った後すぐに、あるいは所定の時間間隔をおいて自動的に送信されるようにしてもよく、解析サーバからのデータ要求信号に応答して送信されるようにしてもよい。送信されるデータは、少なくとも異常度の計算結果データを含み、それ以外に、異常度の計算に用いた指標データ、その指標データを生成する際に用いたパケットの全部または一部のデータなどを含んでもよい。
解析サーバ660は、ネットワーク異常検知装置610〜630から送信された異常度データの解析し、各データのパラメータ値の推移を基に異常判定を行う。例えば、2つ以上のネットワーク異常検知装置で同時に異常が検知されている場合、それぞれの異常の原因が同種の要素において発生しているものかどうかを判定し、同種の要素によるものであれば、同種のワームなど同じ原因による異常である可能性が高いと判断する。
これにより、広域にワームが発生して異常トラフィックを発生させた場合に、同種の異常が複数のネットワーク異常検知装置で検知されることにより、複数のネットワーク異常検知装置の異常度のデータを比較することで、より早急に精度の高い異常検知が可能となる。
以上、本実施形態にかかるネットワーク異常検知システム600について説明した。なお、本実施形態においては、ネットワーク異常検知装置が3つ、解析サーバが1つであるものとして説明したが、それ以上であってもよい。
以上、添付図面を参照しながら本発明の好適な実施形態について説明したが、本発明は係る例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
本発明の第1の実施形態にかかるネットワーク異常検知装置の概略構成を示すブロック図である。 同実施形態にかかるネットワーク異常検知装置を示す概略図である。 同実施形態にかかるネットワーク異常検知処理を示すフローチャートである。 本発明の第2の実施形態にかかるネットワーク異常検知装置の概略構成を示すブロック図である。 同実施形態にかかるネットワーク異常検知処理を示すフローチャートである。 本発明の第3の実施形態にかかるネットワーク異常検知装置の概略構成を示すブロック図である。 同実施形態にかかるネットワーク異常検知装置の変形例を示すブロック図である。 同実施形態にかかるネットワーク異常検知処理を示すフローチャートである。 本発明の第1〜3の実施形態にかかるネットワーク異常検知装置の第1の変更例の概略構成を示すブロック図である。 本発明の第1〜3の実施形態にかかるネットワーク異常検知装置の第2の変更例の概略構成を示すブロック図である。 本発明の第4の実施形態にかかるネットワーク異常検知システムの概略構成を示すブロック図である。
符号の説明
100 ネットワーク異常検知装置
110 第1入出力部
120 第2入出力部
130 データ集計部
140 指標データ保持部
150 異常度計算部
160 結果出力部
170 LAN
180 ユーザ端末
190 インターネット

Claims (14)

  1. ネットワーク上を流れるトラフィックの異常を検知するネットワーク異常検知装置であって、
    内部ネットワークに対してデータの入出力を行う第1入出力部と、
    外部ネットワークに対してデータの入出力を行う第2入出力部と、
    前記第1入出力部及び前記第2入出力部から入力されたデータに基づき、トラフィックの異常を検知するためのデータを集計するデータ集計部と、
    前記データ集計部によって過去一定期間の間に集計されたデータを、トラフィックの異常度を計算する際の指標として用いる指標データとして保持する指標データ保持部と、
    トラフィックの異常を検知するために前記データ集計部によって異常度計算時刻に集計された評価データと、前記指標データ保持部から取得した前記指標データとを用いてトラフィックの異常度を計算する異常度計算部と、
    を含むことを特徴とする、ネットワーク異常検知装置。
  2. 前記データ集計部は、前記第1入出力部から入力されたデータを前記第2入出力部に送信し、前記第2入出力部から入力されたデータを前記第1入出力部に送信することを特徴とする、請求項1に記載のネットワーク異常検知装置。
  3. 前記第1入出力部は、前記内部ネットワークから入力されたデータを複製して前記第2入出力部にデータの一方を送り、前記第2入出力部は、前記外部ネットワークから入力されたデータを複製して前記第1入出力部にデータの一方を送ることを特徴とする、請求項1に記載のネットワーク異常検知装置。
  4. 1または2以上の前記第1入出力部及び前記第2入出力部に接続されるスイッチ部をさらに含み、
    前記スイッチ部は、
    前記1または2以上の第1入出力部からそれぞれ入力されたデータを前記第2入出力部に送信するとともに、
    前記第2入出力部から入力されたデータの宛先に該当する前記第1入出力部を判別し、当該第1入出力部に対しデータを送信することを特徴とする、請求項1〜3のいずれかに記載のネットワーク異常検知装置。
  5. 前記異常度計算部によって計算された計算結果データを前記外部機器に対して送信する外部インタフェース部をさらに含むことを特徴とする、請求項1〜4のいずれかに記載のネットワーク異常検知装置。
  6. 前記異常度計算部によって計算された計算結果データを保持する結果データ保持部をさらに含み、
    前記外部インタフェース部は、前記外部機器からの要求に応じて、前記結果データ保持部から取得した前記計算結果データと、前記指標データ保持部から取得した、前記計算結果データの計算に用いられた前記指標データとを前記外部機器に送信することを特徴とする、請求項5に記載のネットワーク異常検知装置。
  7. 前記データ集計部は、前記第1入出力部または前記第2入出力部から入力された入力データの一部または全部を前記指標データ保持部に渡し、
    前記指標データ保持部は、前記データ集計部において前記入力データを集計して得られた前記指標データと前記入力データの一部または全部とを対応付けして保持し、
    前記外部インタフェース部は、前記計算結果データ及び前記指標データとともに、前記指標データと対応付けされた前記入力データの一部または全部を前記外部機器に送信することを特徴とする、請求項6に記載のネットワーク異常検知装置。
  8. 前記第1入出力部、前記第2入出力部、及び前記外部インタフェース部と接続されるパケットフィルタ部をさらに含み、
    前記パケットフィルタ部は、前記外部インタフェース部を通じて受信される前記外部機器からのフィルタリング要求に応じて、前記第1入出力部及び前記第2入出力部によって入出力されるデータのフィルタリング制御を行うことを特徴とする、請求項5〜7のいずれかに記載のネットワーク異常検知装置。
  9. ネットワーク上を流れるトラフィックの異常を検知するネットワーク異常検知方法であって、
    内部ネットワーク及び外部ネットワークから入力されたデータに基づき、トラフィックの異常を検知するためのデータを集計するデータ集計段階と、
    前記データ集計段階で集計されたデータを、トラフィックの異常度を計算する際の指標として用いる指標データとして保持する指標データ保持段階と、
    過去一定期間の間に集計された前記指標データを取得する指標データ取得段階と、
    前記指標データ取得段階において取得された前記指標データと、トラフィックの異常度計算時刻に前記データ集計段階で集計された評価データとを用いてトラフィックの異常度を計算する異常度計算段階と、
    を含むことを特徴とする、ネットワーク異常検知方法。
  10. 前記異常度計算段階で計算された結果である計算結果データを、外部機器に対して送信する結果データ送信段階をさらに含むことを特徴とする、請求項9に記載のネットワーク異常検知方法。
  11. 前記異常度計算段階で計算された結果を計算結果データとして保持する結果データ保持段階と、
    前記外部機器からの問い合わせに応じて、前記計算結果データと前記計算結果データの計算に用いられた前記指標データとを取得する結果データ取得段階と、
    をさらに含み、
    前記結果データ送信段階において、前記結果データ取得段階で取得された前記指標データを前記計算結果データとともに前記外部機器に送信することを特徴とする、請求項10に記載のネットワーク異常検知方法。
  12. 前記内部ネットワーク及び前記外部ネットワークから入力される入力データの一部または全部を、前記入力データを集計して得られた前記指標データと対応付けして保持するパケットデータ保持段階をさらに含み、
    前記結果データ送信段階において、前記計算結果データ及び前記指標データとともに、前記指標データと対応付けされた前記入力データの一部または全部を前記外部機器に送信することを特徴とする、請求項11に記載のネットワーク異常検知方法。
  13. 前記外部機器からのフィルタリング要求に応じて、入出力されるデータのフィルタリング制御を行うフィルタリング制御段階をさらに含むことを特徴とする、請求項10〜12のいずれかに記載のネットワーク異常検知方法。
  14. ネットワークから入力されるデータを集計し、集計されたデータからトラフィックの異常度を計算する複数のネットワーク異常検知装置と、
    ネットワークを介して前記複数のネットワーク異常検知装置と接続され、前記複数のネットワーク異常検知装置からそれぞれ送信された複数の異常度データを比較することにより、トラフィックの異常を検知する解析サーバと、
    を含み、
    前記解析サーバは、前記複数の異常度データのうち、同一の要素から異常が検出された前記異常度データが複数存在する場合に、トラフィックに異常が発生していると判断することを特徴とする、ネットワーク異常検知システム。
JP2006194824A 2006-07-14 2006-07-14 ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム Pending JP2008022498A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006194824A JP2008022498A (ja) 2006-07-14 2006-07-14 ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006194824A JP2008022498A (ja) 2006-07-14 2006-07-14 ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム

Publications (1)

Publication Number Publication Date
JP2008022498A true JP2008022498A (ja) 2008-01-31

Family

ID=39078101

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006194824A Pending JP2008022498A (ja) 2006-07-14 2006-07-14 ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム

Country Status (1)

Country Link
JP (1) JP2008022498A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013200144A (ja) * 2012-03-23 2013-10-03 Mitsubishi Electric Corp 異常音診断装置
JP2014505301A (ja) * 2011-01-13 2014-02-27 タタ コンサルタンシー サービシズ リミテッド 分散計算システムにおける信用管理方法及びシステム
WO2016135822A1 (ja) * 2015-02-23 2016-09-01 三菱電機株式会社 通信監視システム、ゲートウェイ装置、及び、通信監視装置
JP2016181265A (ja) * 2012-05-01 2016-10-13 ターセーラ, インコーポレイテッド 動的証明に基づいてモバイルセキュリティを提供するためのシステムおよび方法
JP2020024650A (ja) * 2018-08-06 2020-02-13 沖電気工業株式会社 セキュリティ情報処理装置、プログラム及び方法
CN113746686A (zh) * 2020-05-27 2021-12-03 阿里巴巴集团控股有限公司 一种网络流量的状态确定方法、计算设备及存储介质

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014505301A (ja) * 2011-01-13 2014-02-27 タタ コンサルタンシー サービシズ リミテッド 分散計算システムにおける信用管理方法及びシステム
JP2013200144A (ja) * 2012-03-23 2013-10-03 Mitsubishi Electric Corp 異常音診断装置
JP2016181265A (ja) * 2012-05-01 2016-10-13 ターセーラ, インコーポレイテッド 動的証明に基づいてモバイルセキュリティを提供するためのシステムおよび方法
WO2016135822A1 (ja) * 2015-02-23 2016-09-01 三菱電機株式会社 通信監視システム、ゲートウェイ装置、及び、通信監視装置
JPWO2016135822A1 (ja) * 2015-02-23 2017-08-24 三菱電機株式会社 通信監視システム、ゲートウェイ装置、及び、通信監視装置
JP2020024650A (ja) * 2018-08-06 2020-02-13 沖電気工業株式会社 セキュリティ情報処理装置、プログラム及び方法
CN113746686A (zh) * 2020-05-27 2021-12-03 阿里巴巴集团控股有限公司 一种网络流量的状态确定方法、计算设备及存储介质

Similar Documents

Publication Publication Date Title
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
US7624447B1 (en) Using threshold lists for worm detection
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US7752668B2 (en) Network virus activity detecting system, method, and program, and storage medium storing said program
US8087085B2 (en) Wireless intrusion prevention system and method
JP5518594B2 (ja) 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム
KR101574193B1 (ko) 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법
WO2014129587A1 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
US7617533B1 (en) Self-quarantining network
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
JP2008022498A (ja) ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム
CN114189361A (zh) 防御威胁的态势感知方法、装置及系统
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
JP2007179131A (ja) イベント検出システム、管理端末及びプログラムと、イベント検出方法
CN102104606B (zh) 一种内网蠕虫主机检测方法
JP6470201B2 (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
JP2006243878A (ja) 不正アクセス検知システム
JP2006350561A (ja) 攻撃検出装置
JP4159814B2 (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
JP2004328307A (ja) 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法
JP2006018527A (ja) コンピュータネットワークの運用監視方法及び装置並びにプログラム
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
JP4161989B2 (ja) ネットワーク監視システム
JP4437107B2 (ja) コンピュータシステム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080814

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080902

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090407