図面 (/)
※この項目の情報は公開日時点(2007年1月11日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります
図面 (14)
課題
解決手段
管理対象ネットワークの通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置と、通信管理装置を備え、通信管理装置には、前記ネットワークの接続構成情報を管理する手段、不正通信検出装置から不正通信通知を収集し記録する手段、不正通信回数を複数のレベルに区分するための閾値と、互いに異なる、レベル対応の表示状態をレベル定義として設定し保持する手段、接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、閾値に照らしレベルを判定する手段、接続構成情報に基づき前記ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を判定したレベル対応の状態にする描画手段を有する。
概要
背景
従来の技術においては、不正通信検出装置から収集した不正通信記録に対して、検索、条件の絞り込み、グラフ表示などにより傾向分析を行いながら不正通信回数の多い端末装置を特定していた。
ここで、管理対象のネットワークにおいて、不正通信検出を行いその対応処理を行うものに関する発明として、例えば特許文献1に不正アクセス検証装置及び方法が開示されている。
この装置は、内部ネットワークに接続された保護対象サーバへの不正アクセスを検出し、不正アクセス通知を出力するIDSと、不正アクセス通知を受信して格納するとともに、保護対象サーバ13へのアクセスに応じて出力される応答パケットを受信して格納するパケット収集装置とを備える。
そして、パケット収集装置に不正アクセス通知に対応する応答パケットが予め設定したパターンになっているかどうかを調べて前記不正アクセスによる被害の有無を判定する手段を有するものである。
しかし、不正アクセス(保護対象サーバ宛の不正通信)の記録を回数を考慮し、またネットワーク構成図上に分かり易い形にし表示等を行うことについては開示されていない。
特開2004−206564号公報(第1頁)
概要
不正通信検出装置から収集した不正通信記録から、不正通信回数の多い端末装置を特定する作業を行うにあたって、経験と知識が必要とされていた。管理対象ネットワークの通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置と、通信管理装置を備え、通信管理装置には、前記ネットワークの接続構成情報を管理する手段、不正通信検出装置から不正通信通知を収集し記録する手段、不正通信回数を複数のレベルに区分するための閾値と、互いに異なる、レベル対応の表示状態をレベル定義として設定し保持する手段、接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、閾値に照らしレベルを判定する手段、接続構成情報に基づき前記ネットワークの構成を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を判定したレベル対応の状態にする描画手段を有する。
目的
効果
実績
- 技術文献被引用数
- 0件
- 牽制数
- 0件
この技術が所属する分野
請求項1
通信端末と通信中継装置を含むネットワークを管理対象とする通信管理装置であって、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理する手段と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有することを特徴とする通信管理装置。
請求項2
通信端末と通信中継装置を含むネットワークを管理対象とする通信管理装置であって、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理する手段と、前記通信中継装置間の接続構成情報を管理する手段と、前記通信中継装置の経路情報を管理する手段と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有することを特徴とする通信管理装置。
請求項3
前記各レベル対応の表示状態を通信パスを表す線の色とすることを特徴とする請求項1、または2に記載の通信管理装置。
請求項4
前記各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項1、または2に記載の通信管理装置。
請求項5
前記不正通信通知を収集し記録する手段が、不正通信の発生時刻も記録し、前記レベル定義を設定し保持する手段が、集計対象とする不正通信の期間の長さに対応付けて、複数通りのレベル定義を設定し、レベルに応じて異ならせる表示状態の種別が定義ごとに異なる種別を設定し、保持する様にし、前記不正通信記録描画手段は、集計対象とする不正通信の期間を指定する情報を集計要求元から取得する手段を有し、通信パス単位の不正通信回数を算出しレベルを判定する手段が、前記記録の内その発生時刻が指定された期間である不正通信通知を集計し、通信パス単位の不正通信回数を算出し、前記期間の長さに対応したレベル定義の閾値を用いてレベルを判定し、前記描画手段が管理対象ネットワークの構成図の不正通信回数を付加した通信パスの表示状態を前記対応したレベル定義の表示状態に従って設定することを特徴とする請求項1、または2に記載の通信管理装置。
請求項6
前記複数通りのレベル定義を、不正通信記録の短期間分の集計に対応付けられた第1の定義と、不正通信記録の長期間分の集計に対応付けられた第2の定義とし、前記両方の定義の何れか一方の定義の各レベル対応の表示状態を通信パスを表す線の色とし、他方の定義の各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項5記載の通信管理装置。
請求項7
請求項1〜6のいずれか一つに記載の通信管理装置と、前記通信管理装置が管理するネットワークに接続された通信端末装置と、前記ネットワークに接続された通信中継装置と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置とを備え、前記通信管理装置は前記ネットワークか、或いは前記ネットワークに通信接続されたネットワークに接続されたことを特徴とする不正通信端末装置の識別システム。
請求項8
通信端末と通信中継装置を含むネットワークにおける不正通信端末装置の識別方法であって、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、前記不正通信記録描画ステップには、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含むことを特徴とする不正通信端末装置の識別方法。
請求項9
通信端末と通信中継装置を含むネットワークにおける不正通信端末装置の識別方法であって、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、前記通信中継装置間の接続構成情報を管理するステップと、前記通信中継装置の経路情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、前記不正通信記録描画ステップには、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含むことを特徴とする不正通信端末装置の識別方法。
請求項10
前記各レベル対応の表示状態を通信パスを表す線の色とすることを特徴とする請求項8、または9に記載の不正通信端末装置の識別方法。
請求項11
前記各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項8、または9に記載の不正通信端末装置の識別方法。
請求項12
通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させるためのプログラム。
請求項13
通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、前記通信中継装置間の接続構成情報を管理するステップと、前記通信中継装置の経路情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させるためのプログラム。
請求項14
前記各レベル対応の表示状態を通信パスを表す線の色とすることを特徴とする請求項12、または13に記載のプログラム。
請求項15
前記各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項12、または13に記載のプログラム。
請求項16
通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から発生時刻も含めて不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を、集計対象とする不正通信の期間の長さに対応付けて、複数通り、且つ前記表示状態の種別が定義ごとに異なる様に設定し保持するステップと、前記記録の集計要求を受け、要求元から集計対象とする不正通信の期間を指定する情報を取得するステップと、前記記録の内その発生時刻が指定された期間である不正通信通知を中間集計するステップと、前記接続構成情報を参照し、前記中間集計から通信パス単位の不正通信回数を算出し、これを前記指定された期間に対応したレベル定義の閾値に照らし、そのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を、前記判定したレベルと前記対応したレベル定義の表示状態に従って設定するステップをコンピュータに実行させるためのプログラム。
請求項17
前記複数通りのレベル定義を、不正通信記録の短期間分の集計に対応付けられた第1の定義と、不正通信記録の長期間分の集計に対応付けられた第2の定義とし、前記両方の定義の何れか一方の定義の各レベル対応の表示状態を通信パスを表す線の色とし、他方の定義の各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項16記載のプログラム。
技術分野
0001
本発明は通信管理装置、不正通信端末装置の識別システムと方法、及びプログラムに関し、特に、管理対象のネットワークの通信中継装置に不正通信検出装置を接続し、これから不正通信通知を収集し記録し、記録を集計し、集計結果をネットワーク構成図上に表示し閾値を超える回数の不正通信を行った端末装置を容易に識別できる様に表示するための描画や表示を行う通信管理装置、不正通信端末装置の識別システムと方法、及びプログラムに関する。
背景技術
0004
この装置は、内部ネットワークに接続された保護対象サーバへの不正アクセスを検出し、不正アクセス通知を出力するIDSと、不正アクセス通知を受信して格納するとともに、保護対象サーバ13へのアクセスに応じて出力される応答パケットを受信して格納するパケット収集装置とを備える。
0006
しかし、不正アクセス(保護対象サーバ宛の不正通信)の記録を回数を考慮し、またネットワーク構成図上に分かり易い形にし表示等を行うことについては開示されていない。
0007
特開2004−206564号公報(第1頁)
発明が解決しようとする課題
0008
従来の技術においては、不正通信検出装置から収集した不正通信記録から、不正通信回数の多い端末装置を特定する作業を行うにあたって、経験と知識が必要とされていた。
0009
本発明の目的は不正通信回数の多い端末装置を容易に特定できる不正通信端末装置の識別システムと方法、通信管理装置、及びプログラムを提供することにある。
課題を解決するための手段
0010
本発明の第1の通信管理装置は、通信端末と通信中継装置を含むネットワークを管理対象とする通信管理装置であって、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理する手段と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有する。
0011
本発明の第2の通信管理装置は、通信端末と通信中継装置を含むネットワークを管理対象とする通信管理装置であって、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理する手段と、前記通信中継装置間の接続構成情報を管理する手段と、前記通信中継装置の経路情報を管理する手段と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有する。
0012
本発明の第3の通信管理装置は、前記第1、または第2の通信管理装置であって、前記各レベル対応の表示状態を通信パスを表す線の色とする。
0013
本発明の第4の通信管理装置は、前記第1、または第2の通信管理装置であって、前記各レベル対応の表示状態を通信パスを表す線の太さとする。
0014
本発明の第5の通信管理装置は、前記第1、または第2の通信管理装置であって、前記不正通信通知を収集し記録する手段が、不正通信の発生時刻も記録し、前記レベル定義を設定し保持する手段が、集計対象とする不正通信の期間の長さに対応付けて、複数通りのレベル定義を設定し、レベルに応じて異ならせる表示状態の種別が定義ごとに異なる種別を設定し、保持する様にし、前記不正通信記録描画手段は、集計対象とする不正通信の期間を指定する情報を集計要求元から取得する手段を有し、通信パス単位の不正通信回数を算出しレベルを判定する手段が、前記記録の内その発生時刻が指定された期間である不正通信通知を集計し、通信パス単位の不正通信回数を算出し、前記期間の長さに対応したレベル定義の閾値を用いてレベルを判定し、前記描画手段が管理対象ネットワークの構成図の不正通信回数を付加した通信パスの表示状態を前記対応したレベル定義の表示状態に従って設定する。
0015
本発明の第6の通信管理装置は、前記第5の通信管理装置であって、前記複数通りのレベル定義を、不正通信記録の短期間分の集計に対応付けられた第1の定義と、不正通信記録の長期間分の集計に対応付けられた第2の定義とし、前記両方の定義の何れか一方の定義の各レベル対応の表示状態を通信パスを表す線の色とし、他方の定義の各レベル対応の表示状態を通信パスを表す線の太さとする。
0016
本発明の不正通信端末装置の識別システムは、前記第1〜6のいずれか一つの通信管理装置と、前記通信管理装置が管理するネットワークに接続された通信端末装置と、前記ネットワークに接続された通信中継装置と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置とを備え、前記通信管理装置は前記ネットワークか、或いは前記ネットワークに通信接続されたネットワークに接続される。
0017
本発明の第1の不正通信端末装置の識別方法は、通信端末と通信中継装置を含むネットワークにおける不正通信端末装置の識別方法であって、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、前記不正通信記録描画ステップには、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含む。
0018
本発明の第2の不正通信端末装置の識別方法は、通信端末と通信中継装置を含むネットワークにおける不正通信端末装置の識別方法であって、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、前記通信中継装置間の接続構成情報を管理するステップと、前記通信中継装置の経路情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、前記不正通信記録描画ステップには、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含む。
0019
本発明の第3の不正通信端末装置の識別方法は、前記第1、または第2の不正通信端末装置の識別方法であって、前記各レベル対応の表示状態を通信パスを表す線の色とする。
0020
本発明の第4の不正通信端末装置の識別方法は、前記第1、または第2の不正通信端末装置の識別方法であって、前記各レベル対応の表示状態を通信パスを表す線の太さとする。
0021
本発明の第1のプログラムは、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させる。
0022
本発明の第2のプログラムは、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、前記通信中継装置間の接続構成情報を管理するステップと、前記通信中継装置の経路情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させる。
0023
本発明の第3のプログラムは、前記第1、または第2のプログラムであって、前記各レベル対応の表示状態を通信パスを表す線の色とする。
0024
本発明の第4のプログラムは、前記第1、または第2のプログラムであって、前記各レベル対応の表示状態を通信パスを表す線の太さとする。
0025
本発明の第5のプログラムは、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から発生時刻も含めて不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を、集計対象とする不正通信の期間の長さに対応付けて、複数通り、且つ前記表示状態の種別が定義ごとに異なる様に設定し保持するステップと、前記記録の集計要求を受け、要求元から集計対象とする不正通信の期間を指定する情報を取得するステップと、前記記録の内その発生時刻が指定された期間である不正通信通知を中間集計するステップと、前記接続構成情報を参照し、前記中間集計から通信パス単位の不正通信回数を算出し、これを前記指定された期間に対応したレベル定義の閾値に照らし、そのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を、前記判定したレベルと前記対応したレベル定義の表示状態に従って設定するステップをコンピュータに実行させる。
0026
本発明の第6のプログラムは、前記第5のプログラムであって、前記複数通りのレベル定義を、不正通信記録の短期間分の集計に対応付けられた第1の定義と、不正通信記録の長期間分の集計に対応付けられた第2の定義とし、前記両方の定義の何れか一方の定義の各レベル対応の表示状態を通信パスを表す線の色とし、他方の定義の各レベル対応の表示状態を通信パスを表す線の太さとする。
発明の効果
0027
本発明による効果は、予め設定した閾値によってその閾値を越えた不正通信が行われた通信中継装置、及び端末装置間の線の表示状態を変えることによって、不正通信の回数が多い端末装置が視覚的に容易に識別可能であり、当該端末装置の接続された通信中継装置に対して当該端末装置との通信を不可能とする対処が短時間のうちに実施可能となる点である。
0028
また、上記効果によりウイルス感染被害の拡大を防止することができる。
発明を実施するための最良の形態
0029
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
0030
先ず、本発明の第1の実施例の構成について図1を参照して詳細に説明する。
0031
図1において、通信管理装置100、通信中継装置400、通信中継装置500、通信中継装置600、端末装置710、及び端末装置720はTCP/IP(Transmission Control Protocol/Internet Protocol)ネットワーク200で接続されている。
0033
不正通信検出装置300は通信中継装置400を流れる不正通信を監視する。
不正通信検出装置310は通信中継装置500を流れる不正通信を監視する。
不正通信検出装置320は通信中継装置600を流れる不正通信を監視する。
0035
例えば、同じ通信元が宛先を変化させながら連続的にコネクト要求する通信が長時間続く場合や、TCPヘッダのLengthとその後に送信するデータ長(データ先頭から終了マークまでのデータカウント)の不一致が短期間に集中する通信等である。
0036
不正通信検出装置とは、IDS(Intrusion−Detection−Systm)やIDPS(Intrusion−Detection−And−Protection−System)等の装置である。
0037
端末装置710はIPアドレス711を、端末装置720はIPアドレス721を持つ。
0038
通信管理装置100は、プログラム制御で動作する装置で、通信中継装置接続構成管理手段110、端末装置接続構成管理手段120、通信中継装置経路構成管理手段130、不正通信記録収集手段140、及び不正通信記録描画手段150を含む。
0039
これらの手段はプログラムで制御される。
0040
また、通信管理装置100にはディスプレイ装置が接続されている。
0041
通信中継装置接続構成管理手段110は、TCP/IPネットワーク200、通信中継装置400、通信中継装置500、及び通信中継装置600の接続構成を管理する。
0042
端末装置接続構成管理手段120は、通信中継装置500と端末装置510、端末装置520、及び端末装置530の接続構成を管理し、また通信中継装置600と端末装置610、端末装置620、端末装置630の接続構成を管理する。
0043
端末装置510はIPアドレス511を、端末装置520はIPアドレス521を、端末装置530はIPアドレス531を持ち、通信中継装置500に接続されている。
0044
端末装置610はIPアドレス611を、端末装置620はIPアドレス621を、端末装置630はIPアドレス631を持ち、通信中継装置600に接続されている。
0045
通信中継装置経路構成管理手段130は、通信中継装置400、通信中継装置500、及び通信中継装置600の経路構成を管理する。
0046
不正通信記録収集手段140は、不正通信検出装置300、不正通信検出装置310、及び不正通信検出装置320から不正通信記録を収集する。
0047
不正通信記録描画手段150は、通信中継装置接続構成管理手段110と端末装置接続構成管理手段120とで管理しているネットワーク接続構成情報と、通信中継装置経路構成管理手段130が管理している経路構成情報、及び不正通信記録収集手段140によって収集した不正通信記録を元に、不正通信記録の集計情報を描画する。
0048
不正通信記録描画手段150は、また不正通信回数を複数のレベルに区分するための一つ以上の閾値を取得すると、各レベルに対し互いに異なる表示状態を自動設定し、各レベルの閾値と表示状態を保持する手段も有している。
0051
不正通信検出装置300、310、320の各装置は、不正通信を検出すると、SNMP(Simple−Network−Manegement−Protocol)等のプロトコルで通信管理装置100に不正通信通知を送ってくる。
0052
不正通信記録収集手段140は、受信する不正通信通知を記録格納部(図示せず)に順次格納する。
0054
次に不正通信記録描画手段150の動作を説明する。
0056
レベル数として3が入力されると、第1の閾値、第2の閾値の入力を促す入力画面を表示する(ステップA2)。
0059
集計開始要求(例えば、1時間周期で自動発生する要求、或いは操作者による「集計」アイコンの操作)を検知すると(ステップB1)、日時指定条件を設定する。前記自動要求で起動された場合は、その時の時刻より1時間前からその時の時刻を設定する(ステップB2)。
0060
記録格納部から記録データを1エントリ分読み込む(ステップB3)。
0061
その記録データの発生日時が、設定された日時指定条件に該当すれば(ステップB4)、送信元IPアドレス−送信先IPアドレス毎に不正通信回数を集計する。
0062
即ち、中間集計表に送信元IPアドレス−送信先IPアドレスが登録されてなければ、追加し不正通信回数欄にデータの不正通信回数を書込み、同じ送信元IPアドレス−送信先IPアドレスが登録されていれば、その不正通信回数にデータの不正通信回数を加算する(ステップB5)。
0063
読み込んだ或いは処理したデータが記録格納部の最後のデータとなるまでステップB3〜B6が繰り返される。
0066
次に、図4に示す中間集計表の送信元IPアドレス−送信先IPアドレス情報を、中継装置接続構成情報、端末装置接続構成情報、経路構成情報を参照し通信パス情報に変換し、通信パス毎の不正通信回数に集計し直し、不正通信回数表(図5参照)を作成する(ステップB7)。
0068
各通信パスの不正通信回数値を第1閾値と比較し、越えれば更に第2閾値と比較しレベルを判定する(ステップB8)。
0069
レベルに応じ、通信パスの表示色(黒/黄/赤)を設定する(図6参照、ステップB9)。
0070
接続構成情報に従いネットワーク接続構成図(各通信パスに付された不正通信回数が0回で、矢印の線色が黒である初期値状態の接続構成図)を描画し(ステップB10)、不正通信回数表のデータが有れば各通信パスのデータに従い、矢印の線色を変更し、発生回数を書き変えて表示する(図7参照、ステップB11)。
0071
図7を見ると通信中継装置500から通信中継装置400へ向かう矢印、及び端末装置520から通信中継装置500へ向かう矢印が赤色で表示されており、通信中継装置500に対して端末装置520への通信を不可能とする対処が必要であることが容易に判断できる。
0072
赤色で描画された線で接続された端末装置が100回以上の不正通信を行っていることが容易に識別可能となり、当該端末装置の接続されている通信中継装置に対して当該端末装置との通信を不可能とする対処が行え、ウイルス感染被害の拡大を防止することが可能となる。
0073
また端末装置510から通信中継装置500を経由した10回の不正通信は第1閾値の15回を越えておらず、端末装置510のウイルス感染によるものでなく単なる通信エラーにより引き起こされたものであり線色を黒色(初期値)のままとすることで、余計な警告表示を行わないようにしている。
0074
次に、本発明の第2の実施例について説明する。本発明の第2の実施例の全体構成は先の実施例と同じく図1の通りである。
0075
本発明の第2の実施例の動作について、前記第1の実施例と異なる点を説明する。前記不正通信記録描画手段150の動作のステップA3で、第1の閾値、第2の閾値として、15回、100回が入力され、表示状態として、線の太さ:細い線,通常の線,太い線が自動設定され、これらの値を項目名に対応付けて保持する。
0076
集計描画動作のステップB9では、レベルに応じ、通信パスの矢印の線の太さ(細い線/通常の線/太い線)を設定する(図8参照)。
0077
ステップB11では、不正通信回数表のデータが有れば各通信パスのデータに従い、矢印の線の太さを変更し、発生回数を書き変えて表示する(図9参照)。
0078
図9を見ると通信中継装置500から通信中継装置400へ向かう矢印、及び端末装置520から通信中継装置500へ向かう矢印が太い線で表示されており、通信中継装置500に対して端末装置520への通信を不可能とする対処が必要であることが容易に判断できる。
0079
太い線で描画された線で接続された端末装置が100回以上の不正通信を行っていることが容易に識別可能となり、当該端末装置の接続されている通信中継装置に対して当該端末装置との通信を不可能とする対処が行え、ウイルス感染被害の拡大を防止することが可能となる。
0080
次に、本発明の第3の実施例について説明する。本発明の第3の実施例の全体構成は先の実施例と同じく図1の通りである。
0081
但し、不正通信記録描画手段150の、不正通信回数のレベル対応の一つ以上の閾値と、表示状態を定義設定し保持する手段は第1や第2の実施例と異なる。
0082
上記手段はレベルについての複数通りの定義設定、保持が可能な手段であり、定義には集計の対象とする記録期間の長さ(例えば、1時間の間発生した不正通信記録を対象とし集計するのか、10時間の間発生した不正通信記録を対象とし集計するのか等の1時間や10時間)を対応付けられる。
0083
本発明の第3の実施例の動作について図面を参照して詳細に説明する。
0084
不正通信記録描画手段150の動作を説明する。
0085
画面上の「不正通信回数のレベル設定」アイコンが指定されたことを検知すると、レベル数の入力を促す入力画面を表示する(ステップC1)。
0086
レベル数として3が入力されると、第1の閾値、第2の閾値、対応付ける集計期間長の入力を促す入力画面を表示する(ステップC2)。
0087
ここで、第1の閾値、第2の閾値として、15回、100回が入力され、集計期間長として「1時間」が入力されると、各レベルの表示状態として、線色:黒,黄,赤が自動設定され、これらの値を第1の定義の項目名に対応付けて保持する(ステップC3)。
0089
「YES」を指示すると、ステップC1〜C2を繰り返す。
0090
入力画面表示に対し、第1の閾値、第2の閾値として、150回、1000回が入力され、集計期間長として「10時間」が入力されると、各レベルの表示状態として、線の太さ:細い線,通常の線,太い線が自動設定され、これらの値を第2の定義の項目名に対応付けて保持する(ステップC5)。
0092
集計開始要求(例えば、1時間周期で自動発生する要求、或いは10時間周期で自動発生する要求、或いは操作者による「集計」アイコンの操作)を検知すると(ステップD1)、日時指定条件を設定する。
0093
前記自動要求で起動された場合は、その時の時刻より1時間前からその時の時刻を設定する、或いはその時の時刻より10時間前からその時の時刻を設定する(ステップD2)。
0094
ここでは、10時間周期で自動発生する要求を検知し、その時の時刻より10時間前からその時の時刻迄を設定する場合とする。
0095
記録格納部から記録データを1エントリ分読み込む(ステップD3)。
0096
その記録データの発生日時が、設定された日時指定条件に該当すれば(ステップD4)、送信元IPアドレス−送信先IPアドレス毎に不正通信回数を集計する(ステップD5)。
0097
読み込んだ或いは処理したデータが記録格納部の最後のデータとなるまでステップD3〜D6が繰り返される。
0099
以下中間集計表の番号956までのデータが同様に作成される。
0101
集計対象の期間長を判断し10Hであるので(ステップD8)、10Hに最も近い期間長10Hを保持している第2のレベル定義情報を参照し、各通信パスの不正通信回数値を第2のレベル定義情報の第1閾値(150)や第2閾値(1000)と比較しレベルを判定する(ステップD13)。
0102
レベルに応じ、通信パスの線の太さ(通常の線/太い線)を設定する(図12参照、ステップD14)。
0103
接続構成情報に従いネットワーク接続構成図(初期値状態)を描画する(ステップD15)。
0104
表データが有れば各通信パスのデータに従い、矢印の太さを変更し、発生回数を書き変え表示する(ステップD16)。
0105
ステップD1で、1時間周期で自動発生する要求を検知した場合は、ステップD2で、6/1−09:00〜6/1−10:00が設定され、ステップD3〜D7でこの時間帯に発生した不正通信記録が集計される。
0106
集計対象の期間長を判断し1Hであるので(ステップD8)、1Hに最も近い期間長1Hを保持している第1のレベル定義情報を参照し、各通信パスの不正通信回数値を第1のレベル定義情報の第1閾値(15)や第2閾値(100)と比較しレベルを判定する(ステップD9)。
0107
レベルに応じ、通信パスの線色(黄/赤)を設定し(ステップD10)、接続構成情報に従いネットワーク接続構成図(初期値状態)を描画し(ステップD11)、各通信パスのデータに従い、矢印の線色を変更し、発生回数を書き変え表示する(ステップD12)。
図面の簡単な説明
0111
本発明の不正通信端末装置の識別方式のシステム構成を示すブロック図。
図1の通信管理装置100における不正通信記録の例を示す図。
本発明の第1の実施例の不正通信記録の集計、描画動作を示すフローチャート。
本発明の第1の実施例の不正通信記録の集計処理における中間集計表の内容例を示す図。
本発明の第1の実施例の不正通信記録の集計処理における不正通信回数表の内容例を示す図。
本発明の第1の実施例の不正通信記録の集計、描画処理で不正通信回数表の通信パスに線色(黒/黄/赤)が設定された例を示す図。
本発明の第1の実施例の不正通信発生状況の描画表示例を示す図。
本発明の第2の実施例の不正通信記録の集計、描画処理で不正通信回数表の通信パスに線の太さ(細い線/通常の線/太い線)が設定された例を示す図。
本発明の第2の実施例の不正通信発生状況の描画表示例を示す図。
本発明の第3の実施例の不正通信記録の集計、描画動作を示すフローチャート。
本発明の第3の実施例の不正通信記録の集計処理における中間集計表の内容例を示す図。
本発明の第3の実施例の不正通信記録の集計、描画処理で不正通信回数表の通信パスに線の太さ(細い線/通常の線/太い線)が設定された例を示す図。
本発明の第3の実施例の不正通信発生状況の描画表示例を示す図。
符号の説明
0112
100通信管理装置
110通信中継装置接続構成管理手段
120端末装置接続構成管理手段
130 通信中継装置経路構成管理手段
140 不正通信記録収集手段
150 不正通信記録描画手段
200 TCP/IPネットワーク
300、310、320 不正通信検出装置
400、500、600 通信中継装置
510、520、530、610、620、630、710、720 端末装置
関連する挑戦したい社会課題
-
サイバー攻撃のない社会を実現する
5G通信技術、IoTサービスの普及に伴い「サイバー攻撃のない社会」はこれまで以上に重要になります。 ネット上の個人データが狙われるだけでなく、今後はサイバー攻撃によって医療デバイスや都市インフラなど…
最終更新日:2018/06/11
-
犯罪者のいない都市を実現する
犯罪者のいない都市を実現するためには、年々変化する犯罪への予防対策・解決への取り組みが重要です。 盗難や空き巣などは近年減少しており、日本国内では15年前と比べ約1/4に減少したとも言われていま…
最終更新日:2018/06/15
関連する公募課題
-
世界の研究・投資・事業を 有機的に連動させ イノベーションを導く
多くの企業が膨大な労力と費用をかけて新たな市場や事業を生み出そうとしている中「イノベーション」にかかわるデータのニーズはかつてないほどの高まりを見せいます。一方でイノベーションそれ自体の定義や発生プロ…
最終更新日:2017/09/12
募集内容:技術・アイデア
技術視点だけで見ていませんか?
