図面 (/)

技術 通信管理装置、不正通信端末装置の識別システムと方法、及びプログラム

出願人 日本電気株式会社
発明者 江幡和雅
出願日 2005年6月27日 (15年7ヶ月経過) 出願番号 2005-187001
公開日 2007年1月11日 (14年1ヶ月経過) 公開番号 2007-006383
状態 特許登録済
技術分野 広域データ交換
主要キーワード 接続構成情報 通信通知 識別方式 各通信パス 問題内容 経路構成 終了マーク 集計要求
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2007年1月11日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (14)

課題

不正通信検出装置から収集した不正通信記録から、不正通信回数の多い端末装置を特定する作業を行うにあたって、経験と知識が必要とされていた。

解決手段

管理対象ネットワーク通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置と、通信管理装置を備え、通信管理装置には、前記ネットワーク接続構成情報を管理する手段、不正通信検出装置から不正通信通知を収集し記録する手段、不正通信回数を複数のレベル区分するための閾値と、互いに異なる、レベル対応の表示状態をレベル定義として設定し保持する手段、接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、閾値に照らしレベルを判定する手段、接続構成情報に基づき前記ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を判定したレベル対応の状態にする描画手段を有する。

概要

背景

従来の技術においては、不正通信検出装置から収集した不正通信記録に対して、検索、条件の絞り込み、グラフ表示などにより傾向分析を行いながら不正通信回数の多い端末装置を特定していた。

ここで、管理対象ネットワークにおいて、不正通信検出を行いその対応処理を行うものに関する発明として、例えば特許文献1に不正アクセス検証装置及び方法が開示されている。

この装置は、内部ネットワークに接続された保護対象サーバへの不正アクセスを検出し、不正アクセス通知を出力するIDSと、不正アクセス通知を受信して格納するとともに、保護対象サーバ13へのアクセスに応じて出力される応答パケットを受信して格納するパケット収集装置とを備える。

そして、パケット収集装置に不正アクセス通知に対応する応答パケットが予め設定したパターンになっているかどうかを調べて前記不正アクセスによる被害の有無を判定する手段を有するものである。

しかし、不正アクセス(保護対象サーバ宛の不正通信)の記録を回数を考慮し、またネットワーク構成図上に分かり易い形にし表示等を行うことについては開示されていない。

特開2004−206564号公報(第1頁)

概要

不正通信検出装置から収集した不正通信記録から、不正通信回数の多い端末装置を特定する作業を行うにあたって、経験と知識が必要とされていた。管理対象ネットワーク通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置と、通信管理装置を備え、通信管理装置には、前記ネットワークの接続構成情報を管理する手段、不正通信検出装置から不正通信通知を収集し記録する手段、不正通信回数を複数のレベル区分するための閾値と、互いに異なる、レベル対応の表示状態をレベル定義として設定し保持する手段、接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、閾値に照らしレベルを判定する手段、接続構成情報に基づき前記ネットワークの構成を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を判定したレベル対応の状態にする描画手段を有する。

目的

本発明の目的は不正通信回数の多い端末装置を容易に特定できる不正通信端末装置識別システムと方法、通信管理装置、及びプログラムを提供することにある。

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

通信端末通信中継装置を含むネットワーク管理対象とする通信管理装置であって、通信中継装置とこれに接続された通信端末装置接続構成情報を管理する手段と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知収集し記録する手段と、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、不正通信回数を複数のレベル区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有することを特徴とする通信管理装置。

請求項2

通信端末と通信中継装置を含むネットワークを管理対象とする通信管理装置であって、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理する手段と、前記通信中継装置間の接続構成情報を管理する手段と、前記通信中継装置の経路情報を管理する手段と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有することを特徴とする通信管理装置。

請求項3

前記各レベル対応の表示状態を通信パスを表す線の色とすることを特徴とする請求項1、または2に記載の通信管理装置。

請求項4

前記各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項1、または2に記載の通信管理装置。

請求項5

前記不正通信通知を収集し記録する手段が、不正通信の発生時刻も記録し、前記レベル定義を設定し保持する手段が、集計対象とする不正通信の期間の長さに対応付けて、複数通りのレベル定義を設定し、レベルに応じて異ならせる表示状態の種別が定義ごとに異なる種別を設定し、保持する様にし、前記不正通信記録描画手段は、集計対象とする不正通信の期間を指定する情報を集計要求元から取得する手段を有し、通信パス単位の不正通信回数を算出しレベルを判定する手段が、前記記録の内その発生時刻が指定された期間である不正通信通知を集計し、通信パス単位の不正通信回数を算出し、前記期間の長さに対応したレベル定義の閾値を用いてレベルを判定し、前記描画手段が管理対象ネットワークの構成図の不正通信回数を付加した通信パスの表示状態を前記対応したレベル定義の表示状態に従って設定することを特徴とする請求項1、または2に記載の通信管理装置。

請求項6

前記複数通りのレベル定義を、不正通信記録の短期間分の集計に対応付けられた第1の定義と、不正通信記録の長期間分の集計に対応付けられた第2の定義とし、前記両方の定義の何れか一方の定義の各レベル対応の表示状態を通信パスを表す線の色とし、他方の定義の各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項5記載の通信管理装置。

請求項7

請求項1〜6のいずれか一つに記載の通信管理装置と、前記通信管理装置が管理するネットワークに接続された通信端末装置と、前記ネットワークに接続された通信中継装置と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置とを備え、前記通信管理装置は前記ネットワークか、或いは前記ネットワークに通信接続されたネットワークに接続されたことを特徴とする不正通信端末装置の識別システム

請求項8

通信端末と通信中継装置を含むネットワークにおける不正通信端末装置の識別方法であって、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、前記不正通信記録描画ステップには、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含むことを特徴とする不正通信端末装置の識別方法。

請求項9

通信端末と通信中継装置を含むネットワークにおける不正通信端末装置の識別方法であって、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、前記通信中継装置間の接続構成情報を管理するステップと、前記通信中継装置の経路情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、前記不正通信記録描画ステップには、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含むことを特徴とする不正通信端末装置の識別方法。

請求項10

前記各レベル対応の表示状態を通信パスを表す線の色とすることを特徴とする請求項8、または9に記載の不正通信端末装置の識別方法。

請求項11

前記各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項8、または9に記載の不正通信端末装置の識別方法。

請求項12

通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させるためのプログラム

請求項13

通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、前記通信中継装置間の接続構成情報を管理するステップと、前記通信中継装置の経路情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させるためのプログラム。

請求項14

前記各レベル対応の表示状態を通信パスを表す線の色とすることを特徴とする請求項12、または13に記載のプログラム。

請求項15

前記各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項12、または13に記載のプログラム。

請求項16

通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から発生時刻も含めて不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を、集計対象とする不正通信の期間の長さに対応付けて、複数通り、且つ前記表示状態の種別が定義ごとに異なる様に設定し保持するステップと、前記記録の集計要求を受け、要求元から集計対象とする不正通信の期間を指定する情報を取得するステップと、前記記録の内その発生時刻が指定された期間である不正通信通知を中間集計するステップと、前記接続構成情報を参照し、前記中間集計から通信パス単位の不正通信回数を算出し、これを前記指定された期間に対応したレベル定義の閾値に照らし、そのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を、前記判定したレベルと前記対応したレベル定義の表示状態に従って設定するステップをコンピュータに実行させるためのプログラム。

請求項17

前記複数通りのレベル定義を、不正通信記録の短期間分の集計に対応付けられた第1の定義と、不正通信記録の長期間分の集計に対応付けられた第2の定義とし、前記両方の定義の何れか一方の定義の各レベル対応の表示状態を通信パスを表す線の色とし、他方の定義の各レベル対応の表示状態を通信パスを表す線の太さとすることを特徴とする請求項16記載のプログラム。

技術分野

0001

本発明は通信管理装置、不正通信端末装置識別システムと方法、及びプログラムに関し、特に、管理対象ネットワーク通信中継装置に不正通信検出装置を接続し、これから不正通信通知収集し記録し、記録を集計し、集計結果をネットワーク構成図上に表示し閾値を超える回数の不正通信を行った端末装置を容易に識別できる様に表示するための描画や表示を行う通信管理装置、不正通信端末装置の識別システムと方法、及びプログラムに関する。

背景技術

0002

従来の技術においては、不正通信検出装置から収集した不正通信記録に対して、検索、条件の絞り込み、グラフ表示などにより傾向分析を行いながら不正通信回数の多い端末装置を特定していた。

0003

ここで、管理対象のネットワークにおいて、不正通信検出を行いその対応処理を行うものに関する発明として、例えば特許文献1に不正アクセス検証装置及び方法が開示されている。

0004

この装置は、内部ネットワークに接続された保護対象サーバへの不正アクセスを検出し、不正アクセス通知を出力するIDSと、不正アクセス通知を受信して格納するとともに、保護対象サーバ13へのアクセスに応じて出力される応答パケットを受信して格納するパケット収集装置とを備える。

0005

そして、パケット収集装置に不正アクセス通知に対応する応答パケットが予め設定したパターンになっているかどうかを調べて前記不正アクセスによる被害の有無を判定する手段を有するものである。

0006

しかし、不正アクセス(保護対象サーバ宛の不正通信)の記録を回数を考慮し、またネットワーク構成図上に分かり易い形にし表示等を行うことについては開示されていない。

0007

特開2004−206564号公報(第1頁)

発明が解決しようとする課題

0008

従来の技術においては、不正通信検出装置から収集した不正通信記録から、不正通信回数の多い端末装置を特定する作業を行うにあたって、経験と知識が必要とされていた。

0009

本発明の目的は不正通信回数の多い端末装置を容易に特定できる不正通信端末装置の識別システムと方法、通信管理装置、及びプログラムを提供することにある。

課題を解決するための手段

0010

本発明の第1の通信管理装置は、通信端末と通信中継装置を含むネットワークを管理対象とする通信管理装置であって、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理する手段と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、不正通信回数を複数のレベル区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有する。

0011

本発明の第2の通信管理装置は、通信端末と通信中継装置を含むネットワークを管理対象とする通信管理装置であって、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理する手段と、前記通信中継装置間の接続構成情報を管理する手段と、前記通信中継装置の経路情報を管理する手段と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録する手段と、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画手段とを含み、前記不正通信記録描画手段は、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持する手段と、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定する手段と、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定する描画手段を有する。

0012

本発明の第3の通信管理装置は、前記第1、または第2の通信管理装置であって、前記各レベル対応の表示状態を通信パスを表す線の色とする。

0013

本発明の第4の通信管理装置は、前記第1、または第2の通信管理装置であって、前記各レベル対応の表示状態を通信パスを表す線の太さとする。

0014

本発明の第5の通信管理装置は、前記第1、または第2の通信管理装置であって、前記不正通信通知を収集し記録する手段が、不正通信の発生時刻も記録し、前記レベル定義を設定し保持する手段が、集計対象とする不正通信の期間の長さに対応付けて、複数通りのレベル定義を設定し、レベルに応じて異ならせる表示状態の種別が定義ごとに異なる種別を設定し、保持する様にし、前記不正通信記録描画手段は、集計対象とする不正通信の期間を指定する情報を集計要求元から取得する手段を有し、通信パス単位の不正通信回数を算出しレベルを判定する手段が、前記記録の内その発生時刻が指定された期間である不正通信通知を集計し、通信パス単位の不正通信回数を算出し、前記期間の長さに対応したレベル定義の閾値を用いてレベルを判定し、前記描画手段が管理対象ネットワークの構成図の不正通信回数を付加した通信パスの表示状態を前記対応したレベル定義の表示状態に従って設定する。

0015

本発明の第6の通信管理装置は、前記第5の通信管理装置であって、前記複数通りのレベル定義を、不正通信記録の短期間分の集計に対応付けられた第1の定義と、不正通信記録の長期間分の集計に対応付けられた第2の定義とし、前記両方の定義の何れか一方の定義の各レベル対応の表示状態を通信パスを表す線の色とし、他方の定義の各レベル対応の表示状態を通信パスを表す線の太さとする。

0016

本発明の不正通信端末装置の識別システムは、前記第1〜6のいずれか一つの通信管理装置と、前記通信管理装置が管理するネットワークに接続された通信端末装置と、前記ネットワークに接続された通信中継装置と、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置とを備え、前記通信管理装置は前記ネットワークか、或いは前記ネットワークに通信接続されたネットワークに接続される。

0017

本発明の第1の不正通信端末装置の識別方法は、通信端末と通信中継装置を含むネットワークにおける不正通信端末装置の識別方法であって、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、前記不正通信記録描画ステップには、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含む。

0018

本発明の第2の不正通信端末装置の識別方法は、通信端末と通信中継装置を含むネットワークにおける不正通信端末装置の識別方法であって、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、前記通信中継装置間の接続構成情報を管理するステップと、前記通信中継装置の経路情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、前記記録に基づいて不正通信発生状況を描画し表示する不正通信記録描画ステップとを含み、前記不正通信記録描画ステップには、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップを含む。

0019

本発明の第3の不正通信端末装置の識別方法は、前記第1、または第2の不正通信端末装置の識別方法であって、前記各レベル対応の表示状態を通信パスを表す線の色とする。

0020

本発明の第4の不正通信端末装置の識別方法は、前記第1、または第2の不正通信端末装置の識別方法であって、前記各レベル対応の表示状態を通信パスを表す線の太さとする。

0021

本発明の第1のプログラムは、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記接続構成情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させる。

0022

本発明の第2のプログラムは、通信中継装置とこれに接続された通信端末装置の端末接続構成情報を管理するステップと、前記通信中継装置間の接続構成情報を管理するステップと、前記通信中継装置の経路情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を設定し保持するステップと、前記端末接続構成情報と前記経路情報を参照し、前記記録から通信パス単位の不正通信回数を算出し、これを前記閾値に照らしそのレベルを判定するステップと、前記端末接続構成情報と中継装置間接続構成情報に基づき管理対象ネットワーク構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を前記判定したレベルに対応する状態に設定するステップをコンピュータに実行させる。

0023

本発明の第3のプログラムは、前記第1、または第2のプログラムであって、前記各レベル対応の表示状態を通信パスを表す線の色とする。

0024

本発明の第4のプログラムは、前記第1、または第2のプログラムであって、前記各レベル対応の表示状態を通信パスを表す線の太さとする。

0025

本発明の第5のプログラムは、通信中継装置とこれに接続された通信端末装置の接続構成情報を管理するステップと、前記通信中継装置に接続され、条件に合致する通信を検出する不正通信検出装置から発生時刻も含めて不正通信通知を収集し記録するステップと、不正通信回数を複数のレベルに区分するための一つ以上の閾値と、互いに異なる、レベル対応の表示状態とを含むレベル定義を、集計対象とする不正通信の期間の長さに対応付けて、複数通り、且つ前記表示状態の種別が定義ごとに異なる様に設定し保持するステップと、前記記録の集計要求を受け、要求元から集計対象とする不正通信の期間を指定する情報を取得するステップと、前記記録の内その発生時刻が指定された期間である不正通信通知を中間集計するステップと、前記接続構成情報を参照し、前記中間集計から通信パス単位の不正通信回数を算出し、これを前記指定された期間に対応したレベル定義の閾値に照らし、そのレベルを判定するステップと、前記接続構成情報に基づき管理対象ネットワークの構成図を作成しこれの各通信パスに前記不正通信回数を付加し、その通信パスの表示状態を、前記判定したレベルと前記対応したレベル定義の表示状態に従って設定するステップをコンピュータに実行させる。

0026

本発明の第6のプログラムは、前記第5のプログラムであって、前記複数通りのレベル定義を、不正通信記録の短期間分の集計に対応付けられた第1の定義と、不正通信記録の長期間分の集計に対応付けられた第2の定義とし、前記両方の定義の何れか一方の定義の各レベル対応の表示状態を通信パスを表す線の色とし、他方の定義の各レベル対応の表示状態を通信パスを表す線の太さとする。

発明の効果

0027

本発明による効果は、予め設定した閾値によってその閾値を越えた不正通信が行われた通信中継装置、及び端末装置間の線の表示状態を変えることによって、不正通信の回数が多い端末装置が視覚的に容易に識別可能であり、当該端末装置の接続された通信中継装置に対して当該端末装置との通信を不可能とする対処が短時間のうちに実施可能となる点である。

0028

また、上記効果によりウイルス感染被害の拡大を防止することができる。

発明を実施するための最良の形態

0029

次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。

0030

先ず、本発明の第1の実施例の構成について図1を参照して詳細に説明する。

0031

図1において、通信管理装置100、通信中継装置400、通信中継装置500、通信中継装置600、端末装置710、及び端末装置720はTCP/IP(Transmission Control Protocol/Internet Protocol)ネットワーク200で接続されている。

0032

通信中継装置とは、ルータスイッチ装置、或いはゲートウェイ装置等である。

0033

不正通信検出装置300は通信中継装置400を流れる不正通信を監視する。
不正通信検出装置310は通信中継装置500を流れる不正通信を監視する。
不正通信検出装置320は通信中継装置600を流れる不正通信を監視する。

0034

不正通信とは、通信規約適合しない通信や、通信データやシーケンスが異常な通信である。

0035

例えば、同じ通信元が宛先を変化させながら連続的にコネクト要求する通信が長時間続く場合や、TCPヘッダのLengthとその後に送信するデータ長(データ先頭から終了マークまでのデータカウント)の不一致が短期間に集中する通信等である。

0036

不正通信検出装置とは、IDS(Intrusion−Detection−Systm)やIDPS(Intrusion−Detection−And−Protection−System)等の装置である。

0037

端末装置710はIPアドレス711を、端末装置720はIPアドレス721を持つ。

0038

通信管理装置100は、プログラム制御で動作する装置で、通信中継装置接続構成管理手段110、端末装置接続構成管理手段120、通信中継装置経路構成管理手段130、不正通信記録収集手段140、及び不正通信記録描画手段150を含む。

0039

これらの手段はプログラムで制御される。

0040

また、通信管理装置100にはディスプレイ装置が接続されている。

0041

通信中継装置接続構成管理手段110は、TCP/IPネットワーク200、通信中継装置400、通信中継装置500、及び通信中継装置600の接続構成を管理する。

0042

端末装置接続構成管理手段120は、通信中継装置500と端末装置510、端末装置520、及び端末装置530の接続構成を管理し、また通信中継装置600と端末装置610、端末装置620、端末装置630の接続構成を管理する。

0043

端末装置510はIPアドレス511を、端末装置520はIPアドレス521を、端末装置530はIPアドレス531を持ち、通信中継装置500に接続されている。

0044

端末装置610はIPアドレス611を、端末装置620はIPアドレス621を、端末装置630はIPアドレス631を持ち、通信中継装置600に接続されている。

0045

通信中継装置経路構成管理手段130は、通信中継装置400、通信中継装置500、及び通信中継装置600の経路構成を管理する。

0046

不正通信記録収集手段140は、不正通信検出装置300、不正通信検出装置310、及び不正通信検出装置320から不正通信記録を収集する。

0047

不正通信記録描画手段150は、通信中継装置接続構成管理手段110と端末装置接続構成管理手段120とで管理しているネットワーク接続構成情報と、通信中継装置経路構成管理手段130が管理している経路構成情報、及び不正通信記録収集手段140によって収集した不正通信記録を元に、不正通信記録の集計情報を描画する。

0048

不正通信記録描画手段150は、また不正通信回数を複数のレベルに区分するための一つ以上の閾値を取得すると、各レベルに対し互いに異なる表示状態を自動設定し、各レベルの閾値と表示状態を保持する手段も有している。

0049

本発明の第1の実施例の動作について図1から図7を参照して詳細に説明する。

0050

図1を参照し、不正通信検出装置300、310、320に対し、事前に通信等で不正通信通知の宛先が通信管理装置100に設定される。

0051

不正通信検出装置300、310、320の各装置は、不正通信を検出すると、SNMP(Simple−Network−Manegement−Protocol)等のプロトコルで通信管理装置100に不正通信通知を送ってくる。

0052

不正通信記録収集手段140は、受信する不正通信通知を記録格納部(図示せず)に順次格納する。

0053

この記録例を図2に示す。図示の様に、不正発生日時送信元IPアドレス送信先IPアドレス発生回数(通常1回)が記録される。

0054

次に不正通信記録描画手段150の動作を説明する。

0055

画面上の「不正通信回数のレベル設定アイコンが指定されたことを検知すると、レベル数の入力を促す入力画面を表示する(ステップA1)。

0056

レベル数として3が入力されると、第1の閾値、第2の閾値の入力を促す入力画面を表示する(ステップA2)。

0057

ここで、第1の閾値、第2の閾値として、15回、100回が入力されると、表示状態として、線色:黒,黄,赤が自動設定され、これらの値を項目名に対応付けて保持する(ステップA3)。

0058

次に図3フローチャートを参照し、不正通信記録描画手段150の集計、描画動作を説明する。

0059

集計開始要求(例えば、1時間周期自動発生する要求、或いは操作者による「集計」アイコンの操作)を検知すると(ステップB1)、日時指定条件を設定する。前記自動要求で起動された場合は、その時の時刻より1時間前からその時の時刻を設定する(ステップB2)。

0060

記録格納部から記録データを1エントリ分読み込む(ステップB3)。

0061

その記録データの発生日時が、設定された日時指定条件に該当すれば(ステップB4)、送信元IPアドレス−送信先IPアドレス毎に不正通信回数を集計する。

0062

即ち、中間集計表に送信元IPアドレス−送信先IPアドレスが登録されてなければ、追加し不正通信回数欄にデータの不正通信回数を書込み、同じ送信元IPアドレス−送信先IPアドレスが登録されていれば、その不正通信回数にデータの不正通信回数を加算する(ステップB5)。

0063

読み込んだ或いは処理したデータが記録格納部の最後のデータとなるまでステップB3〜B6が繰り返される。

0064

ステップB2で、6/1−09:00〜6/1−10:00が設定されたとすると、図2のデータ811,816,・・・820が集計され図4の中間集計表の番号900のデータが作成される。

0065

図2のデータ812,・・・822が集計され図4の中間集計表の番号901のデータが作成される。同様に番号906迄のデータが作成される。

0066

次に、図4に示す中間集計表の送信元IPアドレス−送信先IPアドレス情報を、中継装置接続構成情報、端末装置接続構成情報、経路構成情報を参照し通信パス情報に変換し、通信パス毎の不正通信回数に集計し直し、不正通信回数表(図5参照)を作成する(ステップB7)。

0067

ここで通信パスとは、図1の通信中継装置400以下のネットワークのホップ単位のパスで通信の方向も考慮したパスと、通信中継装置400から外部端末、外部端末から通信中継装置400のパスである。

0068

各通信パスの不正通信回数値を第1閾値と比較し、越えれば更に第2閾値と比較しレベルを判定する(ステップB8)。

0069

レベルに応じ、通信パスの表示色(黒/黄/赤)を設定する(図6参照、ステップB9)。

0070

接続構成情報に従いネットワーク接続構成図(各通信パスに付された不正通信回数が0回で、矢印の線色が黒である初期値状態の接続構成図)を描画し(ステップB10)、不正通信回数表のデータが有れば各通信パスのデータに従い、矢印の線色を変更し、発生回数を書き変えて表示する(図7参照、ステップB11)。

0071

図7を見ると通信中継装置500から通信中継装置400へ向かう矢印、及び端末装置520から通信中継装置500へ向かう矢印が赤色で表示されており、通信中継装置500に対して端末装置520への通信を不可能とする対処が必要であることが容易に判断できる。

0072

赤色で描画された線で接続された端末装置が100回以上の不正通信を行っていることが容易に識別可能となり、当該端末装置の接続されている通信中継装置に対して当該端末装置との通信を不可能とする対処が行え、ウイルス感染被害の拡大を防止することが可能となる。

0073

また端末装置510から通信中継装置500を経由した10回の不正通信は第1閾値の15回を越えておらず、端末装置510のウイルス感染によるものでなく単なる通信エラーにより引き起こされたものであり線色を黒色(初期値)のままとすることで、余計な警告表示を行わないようにしている。

0074

次に、本発明の第2の実施例について説明する。本発明の第2の実施例の全体構成は先の実施例と同じく図1の通りである。

0075

本発明の第2の実施例の動作について、前記第1の実施例と異なる点を説明する。前記不正通信記録描画手段150の動作のステップA3で、第1の閾値、第2の閾値として、15回、100回が入力され、表示状態として、線の太さ:細い線,通常の線,太い線が自動設定され、これらの値を項目名に対応付けて保持する。

0076

集計描画動作のステップB9では、レベルに応じ、通信パスの矢印の線の太さ(細い線/通常の線/太い線)を設定する(図8参照)。

0077

ステップB11では、不正通信回数表のデータが有れば各通信パスのデータに従い、矢印の線の太さを変更し、発生回数を書き変えて表示する(図9参照)。

0078

図9を見ると通信中継装置500から通信中継装置400へ向かう矢印、及び端末装置520から通信中継装置500へ向かう矢印が太い線で表示されており、通信中継装置500に対して端末装置520への通信を不可能とする対処が必要であることが容易に判断できる。

0079

太い線で描画された線で接続された端末装置が100回以上の不正通信を行っていることが容易に識別可能となり、当該端末装置の接続されている通信中継装置に対して当該端末装置との通信を不可能とする対処が行え、ウイルス感染被害の拡大を防止することが可能となる。

0080

次に、本発明の第3の実施例について説明する。本発明の第3の実施例の全体構成は先の実施例と同じく図1の通りである。

0081

但し、不正通信記録描画手段150の、不正通信回数のレベル対応の一つ以上の閾値と、表示状態を定義設定し保持する手段は第1や第2の実施例と異なる。

0082

上記手段はレベルについての複数通りの定義設定、保持が可能な手段であり、定義には集計の対象とする記録期間の長さ(例えば、1時間の間発生した不正通信記録を対象とし集計するのか、10時間の間発生した不正通信記録を対象とし集計するのか等の1時間や10時間)を対応付けられる。

0083

本発明の第3の実施例の動作について図面を参照して詳細に説明する。

0084

不正通信記録描画手段150の動作を説明する。

0085

画面上の「不正通信回数のレベル設定」アイコンが指定されたことを検知すると、レベル数の入力を促す入力画面を表示する(ステップC1)。

0086

レベル数として3が入力されると、第1の閾値、第2の閾値、対応付ける集計期間長の入力を促す入力画面を表示する(ステップC2)。

0087

ここで、第1の閾値、第2の閾値として、15回、100回が入力され、集計期間長として「1時間」が入力されると、各レベルの表示状態として、線色:黒,黄,赤が自動設定され、これらの値を第1の定義の項目名に対応付けて保持する(ステップC3)。

0088

「次の定義設定も行うか」のメッセージと「YES」ボタン、「NO」ボタンを表示する(ステップC4)。

0089

「YES」を指示すると、ステップC1〜C2を繰り返す。

0090

入力画面表示に対し、第1の閾値、第2の閾値として、150回、1000回が入力され、集計期間長として「10時間」が入力されると、各レベルの表示状態として、線の太さ:細い線,通常の線,太い線が自動設定され、これらの値を第2の定義の項目名に対応付けて保持する(ステップC5)。

0091

「次の定義設定も行うか」のメッセージに対し、「NO」を応答する。
次に図10のフローチャートを参照し、第3実施例の不正通信記録描画手段150の集計、描画動作を説明する。

0092

集計開始要求(例えば、1時間周期で自動発生する要求、或いは10時間周期で自動発生する要求、或いは操作者による「集計」アイコンの操作)を検知すると(ステップD1)、日時指定条件を設定する。

0093

前記自動要求で起動された場合は、その時の時刻より1時間前からその時の時刻を設定する、或いはその時の時刻より10時間前からその時の時刻を設定する(ステップD2)。

0094

ここでは、10時間周期で自動発生する要求を検知し、その時の時刻より10時間前からその時の時刻迄を設定する場合とする。

0095

記録格納部から記録データを1エントリ分読み込む(ステップD3)。

0096

その記録データの発生日時が、設定された日時指定条件に該当すれば(ステップD4)、送信元IPアドレス−送信先IPアドレス毎に不正通信回数を集計する(ステップD5)。

0097

読み込んだ或いは処理したデータが記録格納部の最後のデータとなるまでステップD3〜D6が繰り返される。

0098

ステップD2で、6/1−00:00〜6/1−10:00が設定されたとすると、図2のデータ802,811,816,・・・820が集計され図11の中間集計表の番号950のデータが作成される。

0099

以下中間集計表の番号956までのデータが同様に作成される。

0100

次に、ステップB7と同様にし、図11に示す中間集計表より、不正通信回数表(図12参照)を作成する(ステップD7)。

0101

集計対象の期間長を判断し10Hであるので(ステップD8)、10Hに最も近い期間長10Hを保持している第2のレベル定義情報を参照し、各通信パスの不正通信回数値を第2のレベル定義情報の第1閾値(150)や第2閾値(1000)と比較しレベルを判定する(ステップD13)。

0102

レベルに応じ、通信パスの線の太さ(通常の線/太い線)を設定する(図12参照、ステップD14)。

0103

接続構成情報に従いネットワーク接続構成図(初期値状態)を描画する(ステップD15)。

0104

表データが有れば各通信パスのデータに従い、矢印の太さを変更し、発生回数を書き変え表示する(ステップD16)。

0105

ステップD1で、1時間周期で自動発生する要求を検知した場合は、ステップD2で、6/1−09:00〜6/1−10:00が設定され、ステップD3〜D7でこの時間帯に発生した不正通信記録が集計される。

0106

集計対象の期間長を判断し1Hであるので(ステップD8)、1Hに最も近い期間長1Hを保持している第1のレベル定義情報を参照し、各通信パスの不正通信回数値を第1のレベル定義情報の第1閾値(15)や第2閾値(100)と比較しレベルを判定する(ステップD9)。

0107

レベルに応じ、通信パスの線色(黄/赤)を設定し(ステップD10)、接続構成情報に従いネットワーク接続構成図(初期値状態)を描画し(ステップD11)、各通信パスのデータに従い、矢印の線色を変更し、発生回数を書き変え表示する(ステップD12)。

0108

この様に、集計対象の期間の長短に応じた、閾値設定ができるという効果がある。

0109

また、1H毎の集計結果表示では、閾値越え通信パスを赤色で表示し、10H毎の集計結果表示では、閾値越え通信パスを太線で表示するので、問題内容が把握し易い。

0110

本発明は、不正通信検出装置が接続されたネットワークにおいて、ウイルス感染事象が発生した装置を早期に判別するといった用途に適用できる。

図面の簡単な説明

0111

本発明の不正通信端末装置の識別方式システム構成を示すブロック図。
図1の通信管理装置100における不正通信記録の例を示す図。
本発明の第1の実施例の不正通信記録の集計、描画動作を示すフローチャート。
本発明の第1の実施例の不正通信記録の集計処理における中間集計表の内容例を示す図。
本発明の第1の実施例の不正通信記録の集計処理における不正通信回数表の内容例を示す図。
本発明の第1の実施例の不正通信記録の集計、描画処理で不正通信回数表の通信パスに線色(黒/黄/赤)が設定された例を示す図。
本発明の第1の実施例の不正通信発生状況の描画表示例を示す図。
本発明の第2の実施例の不正通信記録の集計、描画処理で不正通信回数表の通信パスに線の太さ(細い線/通常の線/太い線)が設定された例を示す図。
本発明の第2の実施例の不正通信発生状況の描画表示例を示す図。
本発明の第3の実施例の不正通信記録の集計、描画動作を示すフローチャート。
本発明の第3の実施例の不正通信記録の集計処理における中間集計表の内容例を示す図。
本発明の第3の実施例の不正通信記録の集計、描画処理で不正通信回数表の通信パスに線の太さ(細い線/通常の線/太い線)が設定された例を示す図。
本発明の第3の実施例の不正通信発生状況の描画表示例を示す図。

符号の説明

0112

100通信管理装置
110通信中継装置接続構成管理手段
120端末装置接続構成管理手段
130 通信中継装置経路構成管理手段
140 不正通信記録収集手段
150 不正通信記録描画手段
200 TCP/IPネットワーク
300、310、320 不正通信検出装置
400、500、600 通信中継装置
510、520、530、610、620、630、710、720 端末装置

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ