JP2945938B2 - Network fraud analysis method, network fraud analysis device using the same, and computer-readable recording medium recording network fraud analysis program - Google Patents
Network fraud analysis method, network fraud analysis device using the same, and computer-readable recording medium recording network fraud analysis programInfo
- Publication number
- JP2945938B2 JP2945938B2 JP5810498A JP5810498A JP2945938B2 JP 2945938 B2 JP2945938 B2 JP 2945938B2 JP 5810498 A JP5810498 A JP 5810498A JP 5810498 A JP5810498 A JP 5810498A JP 2945938 B2 JP2945938 B2 JP 2945938B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- analysis
- network
- layer
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
【0001】[0001]
【発明の属する技術分野】本発明はネットワーク不正解
析方法及びこれを利用した装置並びにネットワーク不正
解析プログラムを記録したコンピュータ読み取り可能な
記録媒体に関する。さらに詳述すると、本発明は、情報
通信ステーションの間で階層化されたプロトコルにより
通信を行うように構築されたネットワークにおいて通信
されるデータに不正が発生しているか否かを解析しネッ
トワークのセキュリティやネットワーク管理を実行でき
るネットワーク不正解析方法及びこれを利用した装置並
びにネットワーク不正解析プログラムを記録したコンピ
ュータ読み取り可能な記録媒体に関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a network fraud analysis method, an apparatus using the same, and a computer-readable recording medium recording a network fraud analysis program. More specifically, the present invention analyzes whether or not data communicated in a network configured to perform communication according to a layered protocol between information communication stations is fraudulent, and checks network security. The present invention relates to a network unauthorized analysis method capable of performing network management and network management, an apparatus using the same, and a computer-readable recording medium storing a network unauthorized analysis program.
【0002】本明細書中では、ネットワークにおける
「不正」とは例えばクラッキング等のいわゆる不正アク
セスを意味する。[0002] In the present specification, "illegal" in a network means so-called unauthorized access such as cracking.
【0003】[0003]
【従来の技術】従来、情報ステーションの間でデータの
交換を行うように構成されたシステムにおいて、交換さ
れるデータに不正が発生しているか否かを解析する解析
方法が種々提供されている。2. Description of the Related Art Conventionally, in a system configured to exchange data between information stations, there have been provided various analysis methods for analyzing whether or not the exchanged data is fraudulent.
【0004】まず、上記解析方法の第1の従来技術とし
ては、例えば7層モデルのトランスポート層(トランス
ポートレイヤ)上に位置して動作し、トランスポートレ
イヤから通信内容を受け取り、オペレーティングシステ
ムが用意している関数により、発信元をチェックし予め
登録してある許可されるべき発信元かどうかの判定をす
るようにした解析システムが提案されている(TCP
WRAPPER;Mar19 1996 )。First, as a first prior art of the above-mentioned analysis method, for example, it operates on a transport layer (transport layer) of a seven-layer model, receives communication contents from the transport layer, and operates the operating system. An analysis system has been proposed which uses a prepared function to check the source and determine whether or not the source is a registered source that should be permitted (TCP).
WRAPER; Mar 19 1996).
【0005】また、上記解析方法の第2の従来技術とし
ては、ネットワーク通信の機能を使用しないソフトウエ
アであって、所定の圧縮方法を用いて膨大なハードディ
スクの内容を圧縮しておき、定期的に保存してある内容
と現在の圧縮した内容が一致するか否か比較することに
よりハードディスクへの不正なアクセスを検知するもの
がある(The Design and Implementation of Tripwire
; Feb 23 1995 )。A second prior art of the above analysis method is software which does not use a network communication function, and which uses a predetermined compression method to compress the contents of a huge hard disk and periodically In some cases, unauthorized access to the hard disk is detected by comparing whether the content stored in the hard disk matches the current compressed content (The Design and Implementation of Tripwire).
Feb 23 1995).
【0006】さらに、上記解析方法の第3の従来技術と
しては、典型的な不正(クラッキング(Cracking))手
法が格納されていて、その手法を解析対象のシステムに
対して実行することにより、当該システムの不正をチェ
ックするようにしたものがある(Satan-network securi
ty scanner)。Further, as a third conventional technique of the above-mentioned analysis method, a typical fraudulent (cracking) method is stored, and the method is executed on a system to be analyzed, whereby the method is executed. There is one that checks for fraudulent systems (Satan-network securi
ty scanner).
【0007】また、上記解析方法の第4の従来技術とし
ては、ネットワーク通信そのものより、ネットワーク通
信によってクラッキングされてしまう設定になっていな
いかどうかをホストコンピュータ毎に解析するものであ
って、ホストコンピュータのさまざまな設定内容がセキ
ュリティ的に危険なものでないかオペレーティングシス
テムのコマンドを用いてチェックを行うようにしたもの
がある(COPS;Nov 171991)。A fourth prior art of the analysis method is to analyze, for each host computer, whether or not there is a setting for cracking by network communication rather than network communication itself. Some of the settings are checked for security risks using operating system commands (COPS; Nov 171991).
【0008】上記解析方法の第5の従来技術としては、
UNIXで用いられているユーザのパスワードが妥当な
ものであるかどうかをチェックするものであって、パス
ワードの候補ファイルをもっていて候補の単語を暗号化
し、暗号化した結果作成された暗号化された単語と暗号
化されているパスワードとを比較し、一致すればいま暗
号化した単語がパスワードであることを利用してパスワ
ードの検索をおこなうようにしたシステムがある(Crac
k Version 4.1 ;Mar 3 1992 )。A fifth prior art of the above analysis method is as follows.
Checks whether the password of the user used in UNIX is valid, and has a candidate file of the password, encrypts the candidate word, and creates an encrypted word created as a result of the encryption. There is a system that compares the password with the encrypted password and searches for the password by using the fact that the encrypted word is the password if they match (Crac
k Version 4.1; Mar 3 1992).
【0009】上記解析方法の第6の従来技術としては、
物理層パケット単位の解析を行うものがある(Sniffer
)。A sixth prior art of the above analysis method is as follows.
There is one that analyzes physical layer packets (Sniffer
).
【0010】さらに、上記解析方法の第7の従来技術と
しては、階層化されたプロトコルにより情報ステーショ
ン間の通信を行うネットワークの診断システムであっ
て、下位のレイヤフィルタから提供されたサービスデー
タユニットを入力制御からの解析指示に従って解析する
とともに、上位のレイヤフィルタに対するサービスデー
タユニットを作成して提供するようにしたものがある
(特開平4−315343号公報)。A seventh prior art of the above analysis method is a network diagnosis system for performing communication between information stations according to a hierarchical protocol, wherein a service data unit provided from a lower layer filter is provided. There is one that analyzes according to an analysis instruction from input control and creates and provides a service data unit for an upper layer filter (Japanese Patent Laid-Open No. 4-315343).
【0011】[0011]
【発明が解決しようとする課題】しかしながら、上記第
1の従来技術によれば、トランスポートレイヤからデー
タを受け取るのみで、他のレイヤからデータを受けるも
のではないため、解析するデータが少なく不正の解析に
十分ではない欠点がある。また、オペレーティングシス
テムの機能によりデータの再構築を行っているので、不
正の解析に十分ではないという欠点がある。However, according to the first prior art, only data is received from the transport layer and not data from other layers. There are disadvantages that are not enough for analysis. In addition, since the data is reconstructed by the function of the operating system, there is a disadvantage that it is not enough for analyzing the fraud.
【0012】上記第2の従来技術によれば、ネットワー
ク通信機能を有していないため、ネットワーク通信のデ
ータの不正解析ができないという欠点があった。According to the second prior art, since it does not have a network communication function, there is a drawback that data of network communication cannot be illegally analyzed.
【0013】さらに、これら第1,2の従来技術によれ
ば、監視対象ホストコンピュータやホストステーション
(以下、単に「ホスト」という)毎に当該解析方法を実
現するプログラムをインストールする設計となっている
ため、ホスト数の増大に対応できない。Furthermore, according to the first and second prior arts, a program for implementing the analysis method is designed to be installed for each monitored host computer or host station (hereinafter simply referred to as "host"). Therefore, it cannot cope with an increase in the number of hosts.
【0014】そして、上記第3〜5の従来技術によれ
ば、解析プロトコル毎に新たな解析を行う設計となって
いるため、プロトコル数の増大に対応できない。According to the third to fifth prior arts described above, a new analysis is designed for each analysis protocol, so that it is impossible to cope with an increase in the number of protocols.
【0015】また、上記第6の従来技術によれば、物理
層パケット単位の解析を行う設計となっているため、ク
ラッキング解析に不可欠なアプリケーション層セッショ
ン単位の解析ができない。Further, according to the sixth prior art, since the analysis is performed in units of physical layer packets, it is not possible to analyze in application layer sessions which are indispensable for cracking analysis.
【0016】一方、上記第7の従来技術によれば、プロ
トコルの各レイヤ毎に同一モジュールで当該レイヤ部分
のデータのフィルタリングと診断とをおこなうようにな
っているため、他のレイヤとの関連で不正を解析するこ
とができず、不正の解析が十分とはいえないという欠点
があった。On the other hand, according to the seventh prior art, the filtering and diagnosis of the data of the layer are performed by the same module for each layer of the protocol. There was a drawback that fraud could not be analyzed, and fraud analysis was not sufficient.
【0017】そこで、本発明の第1の目的は、アプリケ
ーションのセッションを含め任意のデータを取り扱うこ
とができるネットワーク不正解析方法及びこの方法を利
用したネットワーク不正解析装置並びにネットワーク不
正解析プログラムを記録したコンピュータ読み取り可能
な記録媒体を提供することにある。Accordingly, a first object of the present invention is to provide a network unauthorized analysis method capable of handling arbitrary data including an application session, a network unauthorized analysis apparatus using the method, and a computer recording a network unauthorized analysis program. It is to provide a readable recording medium.
【0018】また、本発明の第2の目的は、ネットワー
ク間の任意の通信を扱うとともに、プロトコル数の増大
に容易に対処できるネットワーク不正解析方法及びこの
方法を利用したネットワーク不正解析装置並びにネット
ワーク不正解析プログラムを記録したコンピュータ読み
取り可能な記録媒体を提供することにある。A second object of the present invention is to deal with arbitrary communication between networks and to easily deal with an increase in the number of protocols, a network unauthorized analysis apparatus and a network unauthorized analysis apparatus using this method. An object of the present invention is to provide a computer-readable recording medium on which an analysis program is recorded.
【0019】さらに、本発明の第3の目的は、任意のプ
ロトコルを取り扱うことができるネットワーク不正解析
方法及びこの方法を利用したネットワーク不正解析装置
並びにネットワーク不正解析プログラムを記録したコン
ピュータ読み取り可能な記録媒体を提供することにあ
る。Further, a third object of the present invention is to provide a network unauthorized analysis method capable of handling an arbitrary protocol, a network unauthorized analysis apparatus using the method, and a computer-readable recording medium storing a network unauthorized analysis program. Is to provide.
【0020】[0020]
【課題を解決するための手段】上記第1〜第3の目的を
達成するため、請求項1記載の発明は、情報通信ステー
ションの間で階層化されたプロトコルにより通信を行う
ように構築されたネットワークにおける不正を解析する
ネットワーク不正解析方法であって、ネットワーク上で
伝送されているパケットを取り込むデータ収集工程と、
階層化されたプロトコルに応じた階層化モジュールのパ
ラメータを予め読み込んでおいたコンフィグレーション
ファイルで指定された情報に基づいて設定し、データ収
集工程からのパケットを各階層化モジュールでフィルタ
リングしてパケットの細分化されたデータを予め設定し
た階層にまで再構築することにより解析データを作成す
るデータ作成工程と、予め読み込んでおいたコンフィグ
レーションファイルで指定された内容を基にデータ作成
工程からの解析データに不正が発生しているか判定する
データ解析工程とを備えるようにしている。In order to achieve the first to third objects, the invention according to claim 1 is constructed so that communication is performed between information communication stations by using a hierarchical protocol. A network fraud analysis method for analyzing fraud in a network, the data collecting step of capturing a packet transmitted on the network,
The parameters of the layering module according to the layered protocol are set based on the information specified in the configuration file that has been read in advance, and the packets from the data collection process are filtered by each layering module and the Set the segmented data in advance
Data analysis process to create analysis data by rebuilding to the specified hierarchy, and judge if the analysis data from the data creation process is invalid based on the contents specified in the configuration file read in advance And a data analysis step.
【0021】したがって、データ作成工程において、デ
ータ収集工程からのパケットを各階層化モジュールでフ
ィルタリングしてパケットの細分化されたデータを予め
設定した階層にまで再構築することにより解析データを
作成しているので、データ解析工程ではデータとして意
味のある再構築後の解析データが解析対象となる。この
ため、データ部分に発生した不正を容易に判別すること
ができる。Therefore, in the data creation step, the packets from the data collection step are filtered by each hierarchical module, and the data obtained by segmenting the packets is stored in advance.
Since the analysis data is created by rebuilding up to the set hierarchy , in the data analysis process, the analysis data after the rebuilding that is meaningful as data is to be analyzed. For this reason, it is possible to easily determine the fraud that has occurred in the data portion.
【0022】特にネットワークにおける不正はデータ部
分に発生することが多いので、このデータ部分の解析を
行うことが有効であるが、ネットワーク上で伝送されて
いるパケットではデータ部分が細分化されているので、
このデータ部分に不正が発生したかを判定するのは困難
である。これに対し、本発明では再構築後の意味のある
データを解析対象としているのでデータ部分に不正が発
生したかを容易に判定することができる。In particular, since fraud in the network often occurs in the data portion, it is effective to analyze this data portion. However, since the data portion is subdivided in the packet transmitted on the network, ,
It is difficult to determine whether the data portion has been fraudulent. On the other hand, in the present invention, since the meaningful data after the reconstruction is to be analyzed, it can be easily determined whether or not the data portion has been fraudulent.
【0023】また、請求項2記載の発明は、情報通信ス
テーションの間で階層化されたプロトコルにより通信を
行うように構築されたネットワークにおける不正を解析
するネットワーク不正解析装置装置であって、ネットワ
ーク上で伝送されているパケットを取り込むデータ収集
部と、階層化されたプロトコルに応じた階層化モジュー
ルのパラメータを予め読み込んでおいたコンフィグレー
ションファイルで指定された情報に基づいて設定し、デ
ータ収集部からのパケットを各階層化モジュールでフィ
ルタリングしてパケットの細分化されたデータを予め設
定した階層にまで再構築することにより解析データを作
成するデータ作成部と、予め読み込んでおいたコンフィ
グレーションファイルで指定された内容を基にデータ作
成部からの解析データに不正が発生しているか判定する
データ解析部とを備えるようにしている。According to a second aspect of the present invention, there is provided a network fraud analyzing apparatus for analyzing fraud in a network constructed to perform communication according to a layered protocol between information communication stations. A data collection unit that captures the packet transmitted by the data collection unit, and sets the parameters of the layered module according to the layered protocol based on the information specified in the configuration file that has been read in advance, and from the data collection unit. Of each packet is filtered by each layering module, and the fragmented data of the packet is set in advance.
Whether the analysis data from the data creation unit based on the contents specified in the configuration file that has been read in advance and the data creation unit that creates the analysis data by rebuilding to the specified hierarchy is incorrect And a data analysis unit for determination.
【0024】したがって、データ作成部において、デー
タ収集部からのパケットを各階層化モジュールでフィル
タリングしてパケットの細分化されたデータを予め設定
した階層にまで再構築することにより解析データを作成
しているので、データ解析部ではデータとして意味のあ
る再構築後の解析データが解析対象となる。このため、
データ部分に発生した不正を容易に判別することができ
る。Therefore, in the data creating section, the packet from the data collecting section is filtered by each hierarchical module, and the data segmented into the packet is set in advance.
Since the analysis data is created by reconstructing the data to the specified hierarchy , the data analysis unit analyzes the reconstructed analysis data that is meaningful as data. For this reason,
Fraud that has occurred in the data portion can be easily determined.
【0025】さらに、請求項3記載の発明は、情報通信
ステーションの間で階層化されたプロトコルにより通信
を行うように構築されたネットワーク上で伝送されてい
るパケットを取り込むデータ収集手順と、階層化された
プロトコルに応じた階層化モジュールのパラメータを予
め読み込んでおいたコンフィグレーションファイルで指
定された情報に基づいて設定し、データ収集手順からの
パケットを各階層化モジュールでフィルタリングしてパ
ケットの細分化されたデータを予め設定した階層にまで
再構築することにより解析データを作成するデータ作成
手順と、予め読み込んでおいたコンフィグレーションフ
ァイルで指定された内容を基にデータ作成手順からの解
析データに不正が発生しているか判定するデータ解析手
順とをコンピュータに実行させるためのプログラムを記
録したコンピュータ読み取り可能な記録媒体としてい
る。Further, the invention according to claim 3 provides a data collection procedure for taking in a packet transmitted on a network constructed so as to perform communication according to a layered protocol between information communication stations, The parameters of the layering module corresponding to the specified protocol are set based on the information specified in the configuration file that has been read in advance, and the packets from the data collection procedure are filtered by each layering module to fragment the packet. A data creation procedure for creating analysis data by reconstructing the pre-set data to a preset hierarchy, and a data creation procedure based on the contents specified in the configuration file read in advance. Compile data analysis procedures to determine whether fraud has occurred in the analysis data. And a computer-readable recording medium storing a program to be executed by the over data.
【0026】したがって、コンピュータで記録媒体に格
納されたプログラムを読み取り、インストールすること
によってあるいはそのままプログラムを実行することに
よって、ネットワーク伝送時にデータ部分に発生した不
正を容易に判別することができる。Therefore, by reading and installing the program stored in the recording medium by the computer, or by executing the program as it is, it is possible to easily determine the fraud that has occurred in the data portion during the network transmission.
【0027】[0027]
【発明の実施の形態】以下、本発明の構成を図面に示す
実施の形態の一例に基づいて詳細に説明する。図2に、
本発明に係るネットワーク不正解析方法が適用されたネ
ットワークシステムの一例を示す。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The configuration of the present invention will be described below in detail based on an example of an embodiment shown in the drawings. In FIG.
1 shows an example of a network system to which a network unauthorized analysis method according to the present invention is applied.
【0028】この図2において、符号1は構内ネットワ
ーク(以下、「LAN」という)であり、このLAN1
にはルータ2を介して緩衝帯ネットワーク3が接続され
ている。この緩衝帯ネットワーク3は、ルータ6を介し
て外部ネットワーク7に接続されている。In FIG. 2, reference numeral 1 denotes a private network (hereinafter referred to as "LAN").
Is connected to a buffer band network 3 via a router 2. This buffer band network 3 is connected to an external network 7 via a router 6.
【0029】本実施形態ではLAN1は、複数のステー
ション(図示せず)と、これらステーションを結ぶネッ
トワーク(図示せず)と、外部に接続する外部接続回線
11とからなる。この外部接続回線11はルータ2に接
続されている。但し、LAN1としては上述のものに限
られず、単一のステーションから成るものとすることも
できる。In this embodiment, the LAN 1 includes a plurality of stations (not shown), a network (not shown) connecting these stations, and an external connection line 11 connected to the outside. This external connection line 11 is connected to the router 2. However, the LAN 1 is not limited to the one described above, and may be a single station.
【0030】緩衝帯ネットワーク3は、本発明に係るネ
ットワーク不正解析方法を実現するネットワーク不正解
析システム50と、コモンバス51と、外部接続回線5
2、53とからなる。ネットワーク不正解析システム5
0はコモンバス51に接続されている。外部接続回線5
2はルータ2とコモンバス51とを接続している。外部
接続回線53はコモンバス51とルータ6とを接続して
いる。The buffer band network 3 includes a network fraud analysis system 50 for realizing the network fraud analysis method according to the present invention, a common bus 51, and an external connection line 5.
2, 53. Network Fraud Analysis System 5
0 is connected to the common bus 51. External connection line 5
2 connects the router 2 and the common bus 51. The external connection line 53 connects the common bus 51 and the router 6.
【0031】また、ネットワーク不正解析システム50
は従来のネットワーク不正解析システムと同様にコンピ
ュータシステムにて構成される。このコンピュータシス
テムは、特に図示していないが、例えば各種の演算処理
を実行する中央演算処理装置と、演算処理を実行する上
で必要なプログラムやデータ等を記憶する主記憶装置
と、入出力ポート等の各種インタフェースと、このネッ
トワーク不正解析システムを実現するプログラムやその
処理を実行する上で必要な各種データや定数等を記憶す
る例えばハードディスクドライブ装置と、データや必要
な指令を入力する入力装置と、中央演算処理装置で処理
した結果を出力する出力装置とから構成されるのが一般
的である。The network fraud analysis system 50
Is composed of a computer system as in a conventional network unauthorized analysis system. Although not shown, the computer system includes, for example, a central processing unit that executes various types of arithmetic processing, a main storage device that stores programs and data required for executing the arithmetic processing, and an input / output port. And various interfaces such as, for example, a hard disk drive device for storing various data and constants necessary for executing a program for realizing the network unauthorized analysis system and its processing, and an input device for inputting data and necessary commands And an output device for outputting a result processed by the central processing unit.
【0032】図3に、本発明に係るネットワーク不正解
析方法の実施の一形態を示す。この図3において、ネッ
トワーク不正解析システム50は、中央演算処理装置が
主記憶装置に記憶されたプログラムを処理することによ
り実現されるものであって、情報通信ステーションの間
で階層化されたプロトコルにより通信を行うように構築
されたネットワークにおける不正を解析するシステムで
ある。すなわち、ネットワーク不正解析システム50
は、例えば緩衝帯ネットワーク3で伝送されているパケ
ットPTを取り込むデータ収集工程を実行するデータ収
集部55と、データ収集部55からのパケットPTaを
各階層化モジュールでフィルタリング及び再構築するこ
とにより解析データDTを作成するデータ作成工程を実
行するデータ作成部56と、データ作成部56からの解
析データDTに不正が発生しているか判定して解析結果
CDCを出力するデータ解析工程を実行するデータ解析
部57とから構成されている。FIG. 3 shows an embodiment of a network unauthorized analysis method according to the present invention. In FIG. 3, the network fraud analysis system 50 is realized by a central processing unit processing a program stored in a main storage device, and uses a protocol layered between information communication stations. This is a system for analyzing fraud in a network constructed to perform communication. That is, the network fraud analysis system 50
Is analyzed by, for example, a data collection unit 55 that executes a data collection step of taking in a packet PT transmitted through the buffer band network 3, and filtering and reconstructing the packet PTa from the data collection unit 55 by each hierarchical module. A data creation unit 56 for executing a data creation process for creating the data DT, and a data analysis unit for executing a data analysis process for determining whether or not the analysis data DT from the data creation unit 56 is invalid and outputting an analysis result CDC And a part 57.
【0033】図1に、ネットワーク不正解析システム5
0の詳細構成を示す。この図1において、データ収集部
55は、例えば緩衝帯ネットワーク3の間で伝送されて
いるパケットPTを取り込むデータ収集処理部551
と、このデータ収集処理部551のデータ収集処理を制
御するデータ収集制御部552とから構成されている。
データ収集処理部551は、収集したパケットPTをデ
ータ作成部56に供給する。FIG. 1 shows a network unauthorized analysis system 5.
0 shows a detailed configuration. In FIG. 1, the data collection unit 55 includes, for example, a data collection processing unit 551 that captures a packet PT transmitted between the buffer networks 3.
And a data collection control unit 552 for controlling the data collection processing of the data collection processing unit 551.
The data collection processing unit 551 supplies the collected packets PT to the data creation unit 56.
【0034】データ作成部56は、階層化されたプロト
コルに応じた階層化モジュールのパラメータを、予め読
み込んでおいたコンフィグレーションファイルで指定さ
れた情報に基づいて設定し、データ収集部55からのパ
ケットPTaを各階層化モジュールでフィルタリングし
てパケットPTaの細分化されたデータを元の単位、即
ち例えばコンフィグレーションファイル等により予め設
定した任意の階層にまで再構築することにより解析デー
タDTを作成するデータ作成工程を実行するものであ
る。The data creation unit 56 sets the parameters of the layered module according to the layered protocol based on the information specified in the configuration file which has been read in advance. The PTa is filtered by each layering module, and the fragmented data of the packet PTa is converted into the original unit ,
In advance, for example, using a configuration file
This is to execute a data creation step of creating the analysis data DT by reconstructing the analysis data DT up to the specified arbitrary hierarchy .
【0035】このデータ作成部56は、大別すると、階
層化モジュール561と、これを制御し管理する制御管
理部562とから構成されている。制御管理部562
は、予め読み込んでおいたコンフィグレーションファイ
ルで指定された情報に基づいて、階層化されたプロトコ
ルに応じた階層化モジュール561のパラメータを設定
できる。また、階層化モジュール561は、設定に基づ
いてデータ収集部55からのパケットPTaをフィルタ
リングしてパケットPTaの細分化されたデータを元の
単位に再構築することにより解析データDTを作成でき
るようになっている。The data creation section 56 is roughly composed of a hierarchical module 561 and a control management section 562 for controlling and managing the module. Control management unit 562
Can set the parameters of the layering module 561 according to the layered protocol based on the information specified in the configuration file that has been read in advance. Also, the hierarchical module 561 can create the analysis data DT by filtering the packet PTa from the data collection unit 55 based on the setting and reconstructing the fragmented data of the packet PTa into the original unit. Has become.
【0036】階層化モジュール561は、1レイヤモジ
ュール611 ,…,kレイヤモジュール61k ,…,N
レイヤモジュール61N からなる複数のレイヤモジュー
ルから構成されている。ここで、Nは任意の整数であ
り、kは1〜Nの間の任意の整数である。The layering module 561 includes one-layer modules 61 1 ,..., K-layer modules 61 k ,.
And a plurality of layer modules consisting layer module 61 N. Here, N is an arbitrary integer, and k is an arbitrary integer between 1 and N.
【0037】1レイヤモジュール611 は、読み込まれ
たコンフィグレーションファイルの内容に応じて、1レ
イヤフィルタ611Aおよび1レイヤ再構築部611Bが構
成される。kレイヤモジュール61k は、読み込まれた
コンフィグレーションファイルの内容に応じて、kレイ
ヤフィルタ61kAおよびkレイヤ再構築部61kBが構成
される。Nレイヤモジュール61N は、読み込まれたコ
ンフィグレーションファイルの内容に応じて、Nレイヤ
フィルタ61NAおよびNレイヤ再構築部61NBが構成さ
れる。そして、各レイヤモジュール611 ,…,6
1k ,…,61N は、1からNまで順に処理される。The first layer module 61 1, depending on the contents of the read configuration file, first layer filter 61 1A and 1 layer reconstruction unit 61 1B is formed. In the k-layer module 61 k , a k-layer filter 61 kA and a k-layer reconstructing unit 61 kB are configured according to the content of the read configuration file. In the N-layer module 61 N , an N-layer filter 61 NA and an N-layer reconstructing unit 61 NB are configured according to the contents of the read configuration file. Then, each layer module 61 1 ,.
1 k, ..., 61 N are processed in the order from 1 to N.
【0038】制御管理部562は、各レイヤモジュール
611 ,…,61k ,…,61N においてデータを作成
するデータ作成制御部62aと、各レイヤモジュール6
11,…,61k ,…,61N においてデータの記憶を
制御するメモリ制御部62bと、解析データDTを出力
させるためのアナライザ管理部62cとから構成されて
いる。そして、制御管理部562は、1レイヤモジュー
ル611 ,…,kレイヤモジュール61k ,…,Nレイ
ヤモジュール61N をそれぞれ制御及び管理する。The control management unit 562, each layer module 61 1, ..., 61 k, ..., a data generation control unit 62a that creates data in 61 N, each layer module 6
1 1, ..., 61 k, ..., and a memory controller 62b for controlling storage of data in the 61 N, the analyzer management unit 62c for outputting the analysis data DT. Then, the control management unit 562, first layer module 61 1, ..., k layer module 61 k, ..., to control and manage the N layer module 61 N, respectively.
【0039】データ解析部57は、予め読み込んでおい
たコンフィグレーションファイルで指定された内容を基
にデータ作成部56からの解析データDTに不正が発生
しているか判定して解析結果CDCを出力するデータ解
析工程を実行するものである。The data analysis unit 57 determines whether or not the analysis data DT from the data creation unit 56 is illegal based on the contents specified in the configuration file read in advance, and outputs the analysis result CDC. The data analysis step is performed.
【0040】このデータ解析部57には、アプリケーシ
ョン層セッション単位のデータに不正が有るかを解析す
るアプリケーションアナライザ570が設けられてい
る。そして、このアプリケーションアナライザ570
は、予め読み込んだコンフィグレーションファイルに記
載されている内容に基づいてフィルタリング及び再構築
されたデータDTに不正がないか否かを解析する。The data analyzer 57 is provided with an application analyzer 570 for analyzing whether data in the session of the application layer is invalid. And this application analyzer 570
Analyzes whether the filtered and reconstructed data DT is correct based on the contents described in the configuration file read in advance.
【0041】図4に、コンフィグレーションファイルの
例を示す。この図4において、コンフィグレーションフ
ァイル500は、データ作成部56からデータ解析部5
7に渡すデータDTの指定をするための情報やデータ解
析部57で解析する情報を書き込むことができるように
なっており、例えば図4に示すような内容を記載できる
ようになっている。FIG. 4 shows an example of a configuration file. In FIG. 4, the configuration file 500 includes data from the data creation unit 56 to the data analysis unit 5.
The information for designating the data DT to be passed to 7 and the information to be analyzed by the data analysis unit 57 can be written therein. For example, the contents shown in FIG. 4 can be described.
【0042】図5に、解放型システム間相互接続(OS
I;Open System Interconnection)の7層モデルの例
を示す。この図に示す階層化モデル800は、解放型シ
ステムの通信機能を7つに階層化したものであり、物理
レイヤ801、データリンクレイヤ802、ネットワー
クレイヤ803、トランスポートレイヤ804、セッシ
ョンレイヤ805、プレゼンテーションレイヤ806、
アプリケーションレイヤ807に階層化されている。FIG. 5 shows an open system interconnection (OS
I: Open System Interconnection (7) model. The hierarchical model 800 shown in this figure is obtained by layering the communication functions of the release system into seven layers, and includes a physical layer 801, a data link layer 802, a network layer 803, a transport layer 804, a session layer 805, and a presentation. Layer 806,
The application layer 807 is hierarchized.
【0043】物理レイヤ801は、ビット伝送に必要な
物理的条件や電気的条件が定められている。データリン
クレイヤ802は、データ伝送誤り制御手順等が定めら
れている。ネットワークレイヤ803は、公衆パケット
交換等各種通信網を介して両端のシステム間でデータの
やりとりを可能とするためのものである。トランスポー
トレイヤ804は、両端のシステムの間で透過的で信頼
性の高いデータ転送を行うためのものである。セッショ
ンレイヤ805は、両端のアプリケーションプロセスで
の対話を効率よく行うため、同期をとったり伝送モード
の選択、送信権の制御を行うためのものである。プレゼ
ンテーションレイヤ806は、両端のアプリケーション
プロセスが扱うデータを正確にかつ効率よく転送できる
ようにデータ形式を制御するためのものである。アプリ
ケーションレイヤ807は、ユーザが実行する様々なア
プリケーションに応じて、ファイル転送、メッセージ通
信処理システム、下層端末、遠隔データベースアクセス
などのアプリケーションサービス要求を実行するための
ものである。The physical layer 801 defines physical conditions and electrical conditions required for bit transmission. The data link layer 802 defines a data transmission error control procedure and the like. The network layer 803 is for enabling data exchange between the systems at both ends via various communication networks such as public packet switching. The transport layer 804 is for performing transparent and reliable data transfer between the systems at both ends. The session layer 805 is used for synchronization, selection of a transmission mode, and control of a transmission right in order to efficiently perform interaction between application processes at both ends. The presentation layer 806 is for controlling the data format so that the data handled by the application processes at both ends can be transferred accurately and efficiently. The application layer 807 is for executing an application service request such as a file transfer, a message communication processing system, a lower terminal, and a remote database access according to various applications executed by the user.
【0044】このように構成されたネットワーク不正解
析システム50の動作を図6〜図8に説明する。図6
に、同システム50の動作を説明するためのフローチャ
ートを示す。図7,8に、同システムによって処理され
るデータの内容の例を示す。The operation of the network unauthorized analysis system 50 thus configured will be described with reference to FIGS. FIG.
2 shows a flowchart for explaining the operation of the system 50. 7 and 8 show examples of the contents of data processed by the system.
【0045】ここで、緩衝帯ネットワーク3のコモンバ
ス51上を一つの意味有る情報ないしデータを構築する
複数のデータパケット、例えば通信データ90a,90
b,90c,90dが流れているとする。Here, a plurality of data packets, such as communication data 90a, 90, for constructing one meaningful information or data on the common bus 51 of the buffer zone network 3.
It is assumed that b, 90c, and 90d are flowing.
【0046】これらの通信データ90a,90b,90
c,90dは、例えば図7に示すように受信先ID91
a,91b,91c,91dと、送信元ID92a,9
2b,92c,92dと、順番93a,93b,93
c,93dと、データ94a,94b,94c,94d
とから構成されている。The communication data 90a, 90b, 90
c and 90d are, for example, as shown in FIG.
a, 91b, 91c, 91d and transmission source IDs 92a, 92
2b, 92c, 92d, and in order 93a, 93b, 93
c, 93d and data 94a, 94b, 94c, 94d
It is composed of
【0047】このコモンバス51上の伝送される通信デ
ータ90aは、次のようにして構成されている。すなわ
ち、例えば「I am a cracker. 」というアプリケーショ
ンレイヤでのデータ95は細分化されて(ステップ
(S)21)、「I am」というデータ94bと、「 a
c」というデータ94dと、「rac 」というデータ94
aと、「ker.」というデータ94cとに分割されたデー
タとなる。そして、さらに細分化されて(S22)、ヘ
ッダを付けた通信データ90a,90b,90c,90
dにされ、これらは図5に示す階層化モデル800によ
りネットワーク上を伝送されることになる。緩衝帯ネッ
トワーク3上でのデータ単位は、通信データ90a,9
0b,90c,90dとなる。このデータ単位で、緩衝
帯ネットワーク3のコモンバス51上を伝送されること
になる。The communication data 90a transmitted on the common bus 51 is configured as follows. That is, for example, the data 95 in the application layer “I am a cracker.” Is subdivided (step (S) 21), and the data 94b “I am” and “a
c) and data 94 “rac”
a and data 94c “ker.”. The communication data 90a, 90b, 90c, and 90 are further subdivided (S22) and have headers.
d, which are transmitted on the network by the hierarchical model 800 shown in FIG. The data unit on the buffer band network 3 is the communication data 90a, 90
0b, 90c, and 90d. This data unit is transmitted on the common bus 51 of the buffer band network 3.
【0048】図6に示すように、ネットワーク不正解析
システム50は、コンフィグレーションファイルを読み
込む(S11)。これにより、データ作成部56の1レ
イヤモジュール611 の1レイヤフィルタ611A及び1
レイヤ再構築部611B,…,kレイヤモジュール61k
のkレイヤフィルタ61kA及びkレイヤ再構築部6
1 kB,…,Nレイヤモジュール61N のNレイヤフィル
タ61NA及びNレイヤ再構築部61NBには、データ解析
部57に渡すデータやフィルタリング及び再構築すべき
データに関するパラメータが設定される。また、このコ
ンフィグレーションファイルにより、データ解析部57
で解析する内容が設定される。As shown in FIG.
The system 50 reads the configuration file
(S11). As a result, the data creation unit 56
Ear module 611One-layer filter 611AAnd 1
Layer reconstruction unit 611B, ..., k layer module 61k
K layer filter 61kAAnd k-layer reconstruction unit 6
1 kB, ..., N layer module 61NN layer fill
TA 61NAAnd N-layer reconstruction unit 61NBThe data analysis
Data to be passed to the unit 57, filtering and rebuilding
Parameters related to data are set. Also, this
The data analysis unit 57
The content to be analyzed is set in.
【0049】ここで、Nの値は、図5に示す階層化モデ
ル800のどの階層までのデータとして再構築するかに
より決定される。本実施形態では、N=7としてアプリ
ケーション層セッション単位にまで再構築している。但
し、N=7に限られず、例えばN=3としてネットワー
ク層セッション単位にまで再構築するようにもできる。
いずれの場合もデータ解析に必要なセッション単位にま
で再構築するように設定できる。Here, the value of N is determined depending on which layer of the hierarchical model 800 shown in FIG. 5 is reconstructed as data. In the present embodiment, the rebuilding is performed up to the application layer session as N = 7. However, it is not limited to N = 7. For example, it is possible to reconstruct up to N = 3 in network layer session units.
In any case, it can be set to reconstruct even the session unit required for data analysis.
【0050】次に、データ収集部55は、データ収集制
御部552の制御下に、コモンバス51の上を伝送され
ているパケットPTの1パケット(例えば通信データ9
0a)を取り込み(S12)、この1パケットがコンピ
ュータシステムの主記憶装置またはハードディスクドラ
イブ装置等にある作業エリアにコピーされる(S1
3)。これにより、この作業エリアにコピーされた1パ
ケットは、階層化モジュール561の1レイヤモジュー
ル611 に取り込まれ、コンフィグレーションファイル
の情報に応じて1レイヤ目の処理を実行して次の層のレ
イヤモジュールに渡す(S14)。この1レイヤモジュ
ール611 では、パケットのヘッダ部のさまざまなフィ
ールドの中の値と、コンフィグレーションファイルで指
定されたフィルタ通過パラメータとの比較を行い、コン
フィグレーションファイルで指定されているデータを選
びだす処理を実行したり、通過処理したりする。また、
フィルタ通過処理ではデータを変更しない。Next, under the control of the data collection control unit 552, the data collection unit 55 transmits one packet (for example, the communication data 9) of the packet PT transmitted on the common bus 51.
0a) (S12), and the one packet is copied to a work area in a main storage device or a hard disk drive of the computer system (S1).
3). Thus, the copied one packet was in the working area, incorporated into the first layer module 61 in the hierarchy module 561, by executing the first layer first processing in accordance with the information of the configuration file layer the next layer Transfer to the module (S14). In the first layer module 61 1, the values in the various fields of the header portion of the packet, and compares with the filter pass parameters specified in the configuration file, the data specified in the configuration file select Execute processing or pass-through processing. Also,
The data is not changed in the filter passage processing.
【0051】次いで、1レイヤモジュール611 の下層
の各レイヤモジュールは、上述と同様にコンフィグレー
ションファイルの内容に応じてそれぞれ処理を実行す
る。[0051] Then, 1 each layer module of the lower layer module 61 1, respectively executes processing in accordance with the content of the above as well as configuration files.
【0052】kレイヤモジュール61k の前のモジュー
ルが処理した結果をkレイヤモジュール61k が受け取
る。[0052] The results of the previous module of the k-layer module 61 k has processed k layer module 61 k receives.
【0053】ここで、各レイヤモジュール611 ,…,
61k ,…,61N では同様の処理が実行されるので、
一例としてkレイヤモジュール61k について詳細に説
明する。Here, each layer module 61 1 ,.
Since the same processing is executed in 61 k ,..., 61 N ,
As an example, the k-layer module 61 k will be described in detail.
【0054】kレイヤモジュール61k は、予め読み込
まれたコンフィグレーションファイルの情報に応じて、
受け取ったデータをkレイヤフィルタ61kAに通すのか
否か、kレイヤ再構築部61kBを動作させるのか否か、
あるいは再構築あるいは非再構築のデータをデータ解析
部57に渡すか否かのパラメータが設定されているの
で、そのパラメータの設定に従って処理を実行する(S
15)。The k-layer module 61 k operates according to the information of the configuration file read in advance.
Whether to pass the received data through the k-layer filter 61 kA , whether to operate the k-layer reconstruction unit 61 kB ,
Alternatively, since a parameter for setting whether to pass reconstructed or non-reconstructed data to the data analyzer 57 is set, the process is executed according to the setting of the parameter (S
15).
【0055】例えば、コンフィグレーションファイルの
情報の指定によって各パラメータが設定されているとす
ると、kレイヤモジュール61k では、上層のレイヤモ
ジュールが処理した結果のデータをkレイヤフィルタ6
1kAを通過させたのち(S151;YES)、そのデー
タを再構築する場合には(S152;YES)、バッフ
ァを使用して再構築し(S153)、アプリケーション
層単位でのデータにまでの再構築が完了しない場合には
(S154;NO)、kレイヤモジュール61 k を抜け
る。そして、次のパケットを読み込む(S12)。For example, in the configuration file
Suppose each parameter is set by specifying information.
Then, the k-layer module 61kNow, the upper layer model
The data resulting from the processing by Joule is a k-layer filter 6
1kA(S151; YES), and then
When rebuilding the data (S152; YES), the buffer
And rebuild using the application (S153).
If rebuilding to data at the layer level is not completed
(S154; NO), k-layer module 61 kThrough
You. Then, the next packet is read (S12).
【0056】また、バッファを使用して再構築し(S1
53)、再構築が完了した場合(S154;YES)に
はkレイヤ再構築部61kBのバッファにデータが蓄えて
られている。この場合あるいはデータを再構築しない場
合(S152;NO)には、再構築したデータをデータ
解析部57に渡すタイミイグになったときに(S15
5;YES)、kレイヤ再構築部61kBのバッファに蓄
えていたデータをデータ解析部57に渡す(S15
6)。また、データ解析部57に渡さないタイミングに
なったところで(S155;NO)、これより上側の層
のレイヤモジュールにデータを渡す。Further, reconstructing is performed using the buffer (S1).
53) If the reconstruction is completed (S154; YES), the data is stored in the buffer of the k-layer reconstruction unit 61kB . In this case or when the data is not to be reconstructed (S152; NO), when it is time to pass the reconstructed data to the data analyzer 57 (S15)
5; YES), the data stored in the buffer of the k-th layer restructuring unit 61 kB is passed to the data analyzing unit 57 (S15).
6). When it is time not to pass the data to the data analysis unit 57 (S155: NO), the data is passed to the layer module of the layer above it.
【0057】これにより、kレイヤモジュール61k よ
り上層のレイヤモジュールで処理された結果、図8に示
すように再構築されて(S23)、分割されたデータと
して「rac 」というデータ94aがデータ解析部57に
渡る。[0057] Thus, k layer module 61 results processed by the upper layer module than k, is reconstructed as shown in FIG. 8 (S23), the data 94a of "rac" is data analysis as divided data Cross over to section 57.
【0058】以上の処理を1パケット毎に繰り返すこと
により(S13〜S16)、ネットワーク上でのデータ
単位のパケットPTは、図8に示すように再構築され
(S23)、「I am」というデータ94bと、「 a c」
というデータ94dと、「rac」というデータ94a
と、「ker.」というデータ94cとに分割されたデータ
となる。さらに、再構築されて(S24)、「I am a c
racker. 」というアプリケーションレイヤでの元のデー
タ95にされる。By repeating the above process for each packet (S13 to S16), the packet PT in the data unit on the network is reconstructed as shown in FIG. 8 (S23), and the data "I am" 94b and "ac"
Data 94d and "rac" data 94a
And data 94c “ker.”. Further, it is reconstructed (S24) and "I am ac
racker. "is the original data 95 in the application layer.
【0059】下位の層のレイヤモジュールが上記のよう
にコンフィグレーションファイルの情報によって各パラ
メータが設定されているとすると、Nレイヤフィルタ6
1Nにまでデータが渡る。Assuming that each parameter is set in the lower layer module according to the information of the configuration file as described above, the N layer filter 6
Data passes up to 1 N.
【0060】Nレイヤフィルタ61N では、上述と同様
にコンフィグレーションファイルの情報により設定され
たパラメータで受け取ったデータの処理を行い、解析デ
ータDTとしてデータ解析部57に渡す(S16)。The N-layer filter 61 N processes the received data according to the parameters set by the information of the configuration file as described above, and passes it to the data analysis unit 57 as analysis data DT (S16).
【0061】また、このフローチャートを使用すれば、
複数の種類のフィルタを設定することにより複数の種類
のクラッキング等の不正アクセスを同時に監視できる。Using this flowchart,
By setting a plurality of types of filters, an unauthorized access such as a plurality of types of cracking can be simultaneously monitored.
【0062】データ解析部57では、アプリケーション
アナライザ570が予め読み込んでおいたコンフィグレ
ーションファイルで指定された内容を基にデータ作成部
56からの解析データDTに不正が発生しているか判定
している。このアプリケーションアナライザ570の判
定した結果は、例えばディスプレイ上に、図9に示すよ
うな画面900として表示される。The data analysis section 57 determines whether or not the analysis data DT from the data creation section 56 has an error based on the contents specified by the configuration file read in advance by the application analyzer 570. The result determined by the application analyzer 570 is displayed on a display as a screen 900 as shown in FIG.
【0063】ここで、アプリケーションアナライザ57
0は、不正解析処理を次のいずれか一方あるいは双方を
採用するようにしている。但し、これらの処理方法に限
られないのは勿論である。Here, the application analyzer 57
0 indicates that one or both of the following are used for the fraud analysis processing. However, it is a matter of course that the present invention is not limited to these processing methods.
【0064】(i)注目しているプロトコルでどのよう
な操作をすれば、不正が実行可能かを調べておき、その
手順をアプリケーションアナライザ570用のコンフィ
グレーションファイルに記述しておき、解析データDT
とコンフィグレーションファイルに記載された手順を比
較して一致すれば、その通信は不正なものであると判断
処理を実行する。(I) It is checked what kind of operation can be executed by using the protocol of interest, and the procedure is described in the configuration file for the application analyzer 570.
Is compared with the procedure described in the configuration file, and if they match, the communication is determined to be invalid and a determination process is executed.
【0065】(ii)セキュリティを確保するために厳重
に管理する必要があるファイルやプログラム等をアプリ
ケーションアナライザ570用のコンフィグレーション
ファイルに記載しておき、記載しておいたリソースに変
化があった時点で、その通信は不正なものであると判断
処理を実行する。(Ii) Files, programs, and the like that need to be strictly managed in order to ensure security are described in the configuration file for the application analyzer 570, and when the described resources change. Then, a process for determining that the communication is unauthorized is performed.
【0066】上述したネットワーク不正解析システム5
0によれば、例えば次のような不正(クラッキング)を
防止できる。The above-described network unauthorized analysis system 5
According to 0, for example, the following fraud (cracking) can be prevented.
【0067】(1)TCPプロトコルのシーケンス番号
を推測し、偽のセッションを確保し攻撃対象ホストのフ
ァイルに不正アクセスすること。(1) Guess the sequence number of the TCP protocol, secure a fake session, and illegally access the file of the target host.
【0068】(2)SMTPプロトコルのDEBUGコ
マンドを使い、攻撃対象ホストのファイルに不正にアク
セスすること。(2) Using the SMTP protocol DEBUG command to illegally access the file of the target host.
【0069】(3)MIMEを使って攻撃ホストのセキ
ュリティ管理ファイルを書換え、攻撃ホストにパスワー
ド無しでログインできるようにすること。(3) Rewrite the security management file of the attacking host using MIME so that the attacking host can log in without a password.
【0070】(4)電子メールやニュースを攻撃対象ホ
ストの処理能力を超えて大量に送りつけ、ネットワーク
機能を麻痺させること。(4) To send a large amount of e-mails and news beyond the processing capability of the target host to paralyze the network function.
【0071】(5)telnetプロトコルで、root,guest等
めぼしいアカウントにアクセスし、パスワードを適当に
推測し、ログインを試みること。(5) Attempt to access a distinguished account such as root, guest, etc., guess the password appropriately, and attempt login using the telnet protocol.
【0072】(6)TFTPプロトコルを用いて、パスワー
ド無しで攻撃対象ホストのファイルにアクセスするこ
と。(6) Using the TFTP protocol to access files on the target host without a password.
【0073】以上のように構成された本実施形態のネッ
トワーク不正解析システム50によれば、次のような利
点がある。According to the network unauthorized analysis system 50 of the present embodiment configured as described above, there are the following advantages.
【0074】(1)アプリケーション層までのセッショ
ンの再構築を行うことができ、不正解析をおこなう者に
とってわかり易いデータを取り扱えるようになった。す
なわち、ネットワーク上でのパケットでのデータは細分
化されているため解析を行うことが困難であるが、本実
施形態のネットワーク不正解析システム50ではアプリ
ケーション層までのセッションの再構築を行っているの
で解析データを意味有るデータとすることができる。こ
れにより、データ中の不正の有無を容易に判定すること
ができる。しかも、ネットワークでの不正の多くはデー
タ部分に発生するので、このデータ部分の不正を検出す
ることにより効率の良い不正解析を行うことができる。(1) The session up to the application layer can be reconstructed, and data that can be easily understood by a person who performs an illegal analysis can be handled. That is, it is difficult to analyze the data in the packet on the network because the data is fragmented. However, the network unauthorized analysis system 50 of the present embodiment reconstructs the session up to the application layer. The analysis data can be meaningful data. This makes it possible to easily determine the presence or absence of fraud in the data. Moreover, since most fraud on the network occurs in the data portion, by detecting fraud in the data portion, efficient fraud analysis can be performed.
【0075】(2)層毎の完全なモジュール化により、
複数の種類のプロトコルを扱えるようになった。すなわ
ち、ネットワークのプロトコルは図5に示す階層化モデ
ル800のようにモデル化でき、本実施形態のネットワ
ーク不正解析システム50はコンフィグレーションファ
イルの設定に基づきこのモデルを利用して不正の解析を
実行するので、新たなプロトコルが開発されても、コン
フィグレーションファイル及びデータ作成部56の新た
なプロトコルが対応する層を担当する一部のレイヤモジ
ュールのみを変更することにより対応することができ
る。このため、データ作成部56を新たに開発されたプ
ロトコルに対応させるためにデータ作成部56の全体を
変更する必要はないので、プロトコル数の増大に容易に
対応することができる。(2) By complete modularization for each layer,
It can handle multiple types of protocols. That is, the network protocol can be modeled like a hierarchical model 800 shown in FIG. 5, and the network fraud analysis system 50 of the present embodiment executes fraud analysis using this model based on the settings of the configuration file. Therefore, even if a new protocol is developed, it can be dealt with by changing only some of the layer modules in charge of the layer corresponding to the new protocol of the configuration file and data creation unit 56. For this reason, it is not necessary to change the entire data creation unit 56 in order to make the data creation unit 56 correspond to the newly developed protocol, so that it is possible to easily cope with an increase in the number of protocols.
【0076】(3)データ解析部での不正解析はコンフ
ィグレーションファイルに記述した検知方法に基づいて
行われるので、新たな種類の不正の発生をコンフィグレ
ーションファイルの記述を変更するのみでデータ解析部
のソフトウェア自体を変更することなく検出することが
できる。(3) Since the fraud analysis by the data analysis unit is performed based on the detection method described in the configuration file, the occurrence of a new type of fraud can be determined only by changing the description of the configuration file. Can be detected without changing the software itself.
【0077】(4)緩衝帯ネットワーク3との組み合わ
せにより、任意の通信を取り扱えるようになった。例え
ば、LAN1のステーションや外部ネットワーク7が複
数ある場合に、任意の送信元と受信先とについて不正解
析を行うことができる。(4) Arbitrary communication can be handled by combination with the buffer band network 3. For example, when there are a plurality of stations on the LAN 1 and a plurality of external networks 7, unauthorized analysis can be performed on an arbitrary source and destination.
【0078】(5)緩衝帯ネットワーク3としてホスト
から独立しているので、ホスト数の増加にも容易に対応
できる。(5) Since the buffer band network 3 is independent of the host, it can easily cope with an increase in the number of hosts.
【0079】なお、上述の実施形態は本発明の好適な実
施の一例ではあるがこれに限定されるものではなく本発
明の要旨を逸脱しない範囲において種々変形実施可能で
ある。例えば、図10に示すように、ネットワーク不正
解析システム50に複数のネットワークインターフェー
スを設けてマルチホーム化することができる。例えば2
つのネットワークインターフェースを有して別個のネッ
トワーク4,5に接続されるときは、LAN1と外部ネ
ットワーク7との間の通信は必ずネットワーク不正解析
システム50の内部を通過することになる。このため、
ネットワーク不正解析システム50でのパケットの収集
を取りこぼし無く行うことができる。これにより、ネッ
トワークでの不正を高精度に検出することができる。The above embodiment is an example of a preferred embodiment of the present invention, but the present invention is not limited thereto, and various modifications can be made without departing from the gist of the present invention. For example, as shown in FIG. 10, the network unauthorized analysis system 50 can be provided with a plurality of network interfaces to be multi-homed. For example, 2
When connected to separate networks 4 and 5 with one network interface, communication between the LAN 1 and the external network 7 always passes through the inside of the network unauthorized analysis system 50. For this reason,
The collection of packets in the network unauthorized analysis system 50 can be performed without fail. This makes it possible to detect fraud in the network with high accuracy.
【0080】また、図11に示すように、ネットワーク
不正解析システム50をマルチホーム化すると共に、デ
ータ解析部57からデータ収集部55へ解析結果をフィ
ードバックさせるようにしても良い。なお、図11で
は、データ作成部56及びデータ解析部57の具体的な
図示は省略している。この場合、データ解析部57の解
析結果によってデータ収集部55の処理が変化される。
これにより、解析の結果、不正行為が行われているセッ
ションやホスト等が特定できた場合、その通信について
はネットワーク不正解析システム50内を通過させない
ようにデータ収集部55を制御することができる。した
がって、ネットワークでの不正のLAN1への侵入を防
止することができる。As shown in FIG. 11, the network unauthorized analysis system 50 may be multihomed, and the analysis result may be fed back from the data analysis unit 57 to the data collection unit 55. Note that, in FIG. 11, specific illustrations of the data creation unit 56 and the data analysis unit 57 are omitted. In this case, the processing of the data collection unit 55 is changed according to the analysis result of the data analysis unit 57.
As a result, when a session or a host where an illegal act is performed can be identified as a result of the analysis, the data collection unit 55 can be controlled so that the communication does not pass through the network unauthorized analysis system 50. Therefore, it is possible to prevent unauthorized entry into the LAN 1 on the network.
【0081】さらに、図12に示すように、データ作成
部56を、層構造のレイヤフィルタ611A,…,6
1kA,…,61NAを有するフィルタリング処理部58
と、層構造のレイヤ再構築部611B,…,61kB,…,
61NBを有する再構築処理部59とを備えたものにする
ことができる。この場合、データ作成部56では、フィ
ルタリング処理部58においてフィルタリング処理をレ
イヤの数だけ先にまとめて行い、その後、再構築処理部
59において各レイヤについての再構築処理を行う。こ
のため、解析の対象にならないデータがより早く破棄さ
れるため、不必要な再構築処理やメモリ占有が解消さ
れ、ネットワーク不正解析システム50の動作の高速化
を図ることができる。Further, as shown in FIG. 12, the data creation unit 56 is provided with a layer filter 61 1A,.
Filtering processing unit 58 having 1 kA ,..., 61 NA
When the layer reconstruction unit 61 1B of the layer structure, ..., 61 kB, ...,
And a reconstruction processing unit 59 having 61 NB . In this case, in the data creation unit 56, the filtering processing unit 58 collectively performs the filtering processing by the number of layers first, and then the reconstruction processing unit 59 performs the reconstruction processing for each layer. For this reason, since data that is not to be analyzed is discarded earlier, unnecessary reconstruction processing and memory occupation are eliminated, and the operation of the network unauthorized analysis system 50 can be speeded up.
【0082】また、上述した各実施形態ではネットワー
ク不正解析システム50は図示しないコンピュータシス
テムから構成されるものとしているが、これには限られ
ない。例えば、上述したネットワーク不正解析方法のデ
ータ収集工程とデータ作成工程とデータ解析工程とをコ
ンピュータに実行させるためのプログラムを記録したC
D−ROMやフロッピーディスク等のコンピュータ読み
取り可能な記録媒体を使用して汎用コンピュータを作動
させることによりネットワーク不正解析システムを実行
することもできる。Further, in each of the above-described embodiments, the network unauthorized analysis system 50 is configured by a computer system (not shown), but is not limited thereto. For example, a computer-readable recording medium storing a program for causing a computer to execute the data collection step, the data creation step, and the data analysis step of the above-described network unauthorized analysis method.
By operating a general-purpose computer using a computer-readable recording medium such as a D-ROM or a floppy disk, the network unauthorized analysis system can be executed.
【0083】ここでのプログラムは、具体的には、情報
通信ステーションの間で階層化されたプロトコルにより
通信を行うように構築されたネットワーク上で伝送され
ているパケットを取り込むデータ収集工程を実行するデ
ータ収集手順と、階層化されたプロトコルに応じた階層
化モジュールのパラメータを予め読み込んでおいたコン
フィグレーションファイルで指定された情報に基づいて
設定し、データ収集手順からのパケットを各階層化モジ
ュールでフィルタリングしてパケットの細分化されたデ
ータを予め設定した階層にまで再構築することにより解
析データを作成するデータ作成工程を実行するデータ作
成手順と、予め読み込んでおいたコンフィグレーション
ファイルで指定された内容を基にデータ作成手順からの
解析データに不正が発生しているか判定するデータ解析
工程を実行するデータ解析手順とをコンピュータに実行
させるためのものである。The program here executes, specifically, a data collection step of taking in a packet transmitted on a network constructed so as to perform communication according to a layered protocol between information communication stations. The data collection procedure and the parameters of the layering module according to the layered protocol are set based on the information specified in the configuration file that has been read in advance, and the packet from the data collection procedure is sent to each layering module. A data creation procedure for executing a data creation step of creating analysis data by filtering and reconstructing the subdivided data of the packet to a preset level, and a configuration file specified by a configuration file which has been read in advance. Incorrect analysis data from data creation procedure based on contents It is intended to execute the data analysis procedure to perform Occurring or determines data analyzing process to the computer.
【0084】また、上述した実施形態ではデータ収集工
程とデータ作成工程とデータ解析工程とを汎用コンピュ
ータに実行させているが、これには限られずこれらの工
程を専用のコンピュータから成る独立した装置に実行さ
せるようにしても良い。さらに、上述した実施形態で
は、これらデータ収集工程とデータ作成工程とデータ解
析工程とをコンピュータに実行させているが、これには
限られずこれらの工程をシーケンス回路に実行させるよ
うにしても良い。いずれの場合も、データ作成工程にお
いてデータ収集工程からのパケットを各階層化モジュー
ルでフィルタリングしてパケットの細分化されたデータ
を予め設定した階層にまで再構築することにより解析デ
ータを作成するので、データ解析工程ではデータとして
意味のある再構築後の解析データを解析対象とすること
ができる。このため、データ部分に発生した不正を容易
に判別することができる。In the above-described embodiment, the data collection step, the data creation step, and the data analysis step are executed by a general-purpose computer. However, the present invention is not limited to this, and these steps are performed by an independent apparatus including a dedicated computer. It may be executed. Further, in the above-described embodiment, the data collection step, the data creation step, and the data analysis step are executed by a computer. However, the present invention is not limited to this, and these steps may be executed by a sequence circuit. In any case, in the data creation step, the analysis data is created by filtering the packets from the data collection step by each layering module and reconstructing the subdivided data of the packets to a preset layer , In the data analysis step, the analysis data after the reconstruction that is meaningful as data can be an analysis target. For this reason, it is possible to easily determine the fraud that has occurred in the data portion.
【0085】[0085]
【発明の効果】以上説明したように、請求項1の発明の
ネットワークにおける不正を解析する方法によると、デ
ータ作成工程においてデータ収集工程からのパケットを
各階層化モジュールでフィルタリングしてパケットの細
分化されたデータを予め設定した階層にまで再構築する
ことにより解析データを作成して、データ解析工程では
データとして意味のある再構築後の解析データを解析対
象とすることができるので、データ部分に発生した不正
を容易に判別することができる。As described above, according to the method for analyzing fraud in a network according to the first aspect of the present invention, in the data creation step, packets from the data collection step are filtered by each layering module to fragment the packets. The analysis data is created by reconstructing the set data to a preset hierarchy, and in the data analysis process, the analysis data after the reconstruction that is meaningful as data can be set as an analysis target. The generated fraud can be easily determined.
【0086】特にネットワークにおける不正はデータ部
分に発生することが多いので、このデータ部分の解析を
行うことが有効であるが、ネットワーク上で伝送されて
いるパケットではデータ部分が細分化されているので、
このデータ部分に不正が発生したかを判定するのは困難
である。これに対し、本発明では再構築後の意味のある
データを解析対象としているのでデータ部分に不正が発
生したかを容易に判定することができる。In particular, since fraud in the network often occurs in the data portion, it is effective to analyze the data portion. However, since the data portion is fragmented in packets transmitted on the network, ,
It is difficult to determine whether the data portion has been fraudulent. On the other hand, in the present invention, since the meaningful data after the reconstruction is to be analyzed, it can be easily determined whether or not the data portion has been fraudulent.
【0087】また、請求項2記載の発明のネットワーク
における不正解析装置によると、データ作成部において
データ収集部からのパケットを各階層化モジュールでフ
ィルタリングしてパケットの細分化されたデータを予め
設定した階層にまで再構築することにより解析データを
作成して、データ解析部ではデータとして意味のある再
構築後の解析データを解析対象とすることができるの
で、データ部分に発生した不正を容易に判別することが
できる。Further, according to the unauthorized analysis apparatus in the network according to the second aspect of the present invention, the data generation unit filters the packet from the data collection unit by each hierarchical module and pre-divides the data obtained by segmenting the packet.
Analysis data can be created by rebuilding up to the set hierarchy, and the data analysis unit can analyze the meaningful data after rebuilding as the analysis target, making it easy for fraud that occurred in the data part Can be determined.
【0088】さらに、請求項3記載の発明の記録媒体に
よれば、上述のデータ収集手順とデータ作成手順とデー
タ解析手順とをコンピュータに実行させるためのプログ
ラムを任意のコンピュータに読み取らせて実行させてい
るので、データ作成手順において、データ収集手順から
のパケットを各階層化モジュールでフィルタリングして
パケットの細分化されたデータを予め設定した階層にま
で再構築することにより解析データを作成して、データ
解析手順ではデータとして意味のある再構築後の解析デ
ータを解析対象とすることができる。このため、データ
部分に発生した不正を容易に判別することができる。Further, according to the recording medium of the third aspect of the present invention, a program for causing a computer to execute the above-described data collection procedure, data creation procedure, and data analysis procedure is read and executed by an arbitrary computer. Therefore, in the data creation procedure, the packets from the data collection procedure are filtered by each layering module, and the subdivided data of the packets is reduced to a preset layer.
In the data analysis procedure, the analysis data that has been meaningfully reconstructed can be targeted for analysis in the data analysis procedure. For this reason, it is possible to easily determine the fraud that has occurred in the data portion.
【0089】したがって、請求項1から3のいずれかに
記載した発明によれば次のような効果を得ることができ
る。Therefore, according to the invention described in any one of the first to third aspects, the following effects can be obtained.
【0090】(1)アプリケーション層等の任意の層ま
でのセッションの再構築を行うことができ、不正解析を
おこなう者にとってわかり易いデータを取り扱えるよう
になった。すなわち、ネットワーク上でのパケットでの
データは細分化されているため解析を行うことが困難で
あるが、本実施形態のネットワーク不正解析システムで
はアプリケーション層までのセッションの再構築を行っ
ているので解析データを意味有るデータとすることがで
きる。これにより、データ中の不正の有無を容易に判定
することができる。しかも、ネットワークでの不正の多
くはデータ部分に発生するので、このデータ部分の不正
を検出することにより効率の良い不正解析を行うことが
できる。(1) The session up to an arbitrary layer such as the application layer can be reconstructed, and data that can be easily understood by a person who conducts unauthorized analysis can be handled. In other words, it is difficult to analyze the packet data on the network because it is fragmented. However, in the network unauthorized analysis system of this embodiment, the session up to the application layer is reconstructed. The data can be meaningful data. This makes it possible to easily determine the presence or absence of fraud in the data. Moreover, since most fraud on the network occurs in the data portion, by detecting fraud in the data portion, efficient fraud analysis can be performed.
【0091】(2)層毎の完全なモジュール化により、
複数の種類のプロトコルを扱えるようになった。すなわ
ち、ネットワークのプロトコルは図5に示す階層化モデ
ルのようにモデル化でき、データ作成工程若しくはデー
タ作成部ではコンフィグレーションファイルの設定に基
づきこのモデルを利用して解析データを作成するので、
新たなプロトコルが開発されても、コンフィグレーショ
ンファイル及びデータ作成工程若しくはデータ作成部の
新たなプロトコルが対応する層を担当する一部のレイヤ
モジュールのみを変更することにより対応することがで
きる。このため、データ作成工程若しくはデータ作成部
を新たに開発されたプロトコルに対応させるためにデー
タ作成工程若しくはデータ作成部の全体を変更する必要
はないので、プロトコル数の増大に容易に対応すること
ができる。(2) By complete modularization for each layer,
It can handle multiple types of protocols. In other words, the protocol of the network can be modeled like the hierarchical model shown in FIG. 5, and the data creation process or the data creation unit creates analysis data using this model based on the settings of the configuration file.
Even if a new protocol is developed, it can be dealt with by changing only some of the layer modules that are responsible for the layer corresponding to the configuration file and the new protocol of the data creation process or data creation unit. Therefore, it is not necessary to change the entire data creation process or the data creation unit in order to make the data creation process or the data creation unit correspond to the newly developed protocol. it can.
【0092】(3)データ解析工程若しくはデータ解析
部での不正解析はコンフィグレーションファイルに記述
した検知方法に基づいて行われるので、新たな種類の不
正の発生をコンフィグレーションファイルの記述を変更
するのみでデータ解析工程若しくはデータ作成部のソフ
トウェア自体を変更することなく検出することができ
る。(3) Since the fraud analysis in the data analysis step or the data analysis unit is performed based on the detection method described in the configuration file, the occurrence of a new type of fraud is only changed by changing the description in the configuration file. Thus, the detection can be performed without changing the data analysis step or the software itself of the data creation unit.
【0093】(4)緩衝帯ネットワークとの組み合わせ
により、任意の通信を取り扱えるようになった。例え
ば、LANのステーションや外部ネットワークが複数あ
る場合に、任意の送信元と受信先とについて不正解析を
行うことができる。(4) Arbitrary communication can be handled by combination with the buffer zone network. For example, when there are a plurality of LAN stations and external networks, unauthorized analysis can be performed on an arbitrary source and destination.
【0094】(5)緩衝帯ネットワークとしてホストか
ら独立しているので、ホスト数の増加にも容易に対応で
きる。(5) Since the buffer band network is independent of the host, it can easily cope with an increase in the number of hosts.
【図1】本発明のネットワーク不正解析方法が適用され
たネットワーク不正解析システムの実施の形態を示すブ
ロック図である。FIG. 1 is a block diagram showing an embodiment of a network fraud analysis system to which a network fraud analysis method of the present invention is applied.
【図2】ネットワーク不正解析システムとネットワーク
との接続を示すブロック図である。FIG. 2 is a block diagram showing a connection between a network unauthorized analysis system and a network.
【図3】ネットワーク不正解析システムの実施の形態の
概略を示すブロック図である。FIG. 3 is a block diagram schematically showing an embodiment of a network fraud analysis system.
【図4】同実施の形態で使用するコンフィグレーション
ファイルの例を示す説明図である。FIG. 4 is an explanatory diagram showing an example of a configuration file used in the embodiment.
【図5】同実施の形態にプロトコルの階層化の例を説明
するための図である。FIG. 5 is a diagram illustrating an example of layering a protocol according to the embodiment;
【図6】同実施の形態の動作を説明するためのフローチ
ャートである。FIG. 6 is a flowchart for explaining the operation of the embodiment.
【図7】同実施の形態の動作を説明するための図であ
る。FIG. 7 is a diagram for explaining the operation of the embodiment.
【図8】同実施の形態の動作を説明するための図であ
る。FIG. 8 is a diagram for explaining the operation of the embodiment.
【図9】同実施の形態で処理した結果を示す図である。FIG. 9 is a diagram showing a result of processing in the embodiment.
【図10】ネットワーク不正解析システムの他の実施形
態を示すブロック図である。FIG. 10 is a block diagram showing another embodiment of the network fraud analysis system.
【図11】ネットワーク不正解析システムの別の実施形
態を示すブロック図である。FIG. 11 is a block diagram showing another embodiment of the network fraud analysis system.
【図12】ネットワーク不正解析システムのさらに他の
実施形態を示すブロック図である。FIG. 12 is a block diagram showing still another embodiment of the network fraud analysis system.
1 LAN 3 緩衝帯ネットワーク 7 外部ネットワーク 50 ネットワーク不正解析システム 55 データ収集部 56 データ作成部 57 データ解析部 DESCRIPTION OF SYMBOLS 1 LAN 3 Buffer band network 7 External network 50 Network fraud analysis system 55 Data collection unit 56 Data creation unit 57 Data analysis unit
フロントページの続き (56)参考文献 特開 平4−315343(JP,A) 特開 平1−274545(JP,A) 特開 平10−242976(JP,A) 特開 平8−88671(JP,A) 特開 平5−327826(JP,A) 特開 平4−345248(JP,A) 特開 昭61−43043(JP,A) 特開 平1−116750(JP,A) 特開 平1−227552(JP,A) 特開 平5−260132(JP,A) 特開 平4−172044(JP,A) 川副博監修、「ファイアウオール」、 ソフトバンク、P.128−9 (58)調査した分野(Int.Cl.6,DB名) H04L 11/26 Continuation of front page (56) References JP-A-4-315343 (JP, A) JP-A-1-274545 (JP, A) JP-A-10-242976 (JP, A) JP-A-8-88671 (JP) JP-A-5-327826 (JP, A) JP-A-4-345248 (JP, A) JP-A-61-43043 (JP, A) JP-A-1-116750 (JP, A) 1-2227552 (JP, A) JP-A-5-260132 (JP, A) JP-A-4-172720 (JP, A) Supervised by Kawasoe Hiroshi, "Fireall", Softbank, P.A. 128-9 (58) Field surveyed (Int. Cl. 6 , DB name) H04L 11/26
Claims (3)
たプロトコルにより通信を行うように構築されたネット
ワークにおける不正を解析する方法であって、前記ネッ
トワーク上で伝送されているパケットを取り込むデータ
収集工程と、階層化されたプロトコルに応じた階層化モ
ジュールのパラメータを予め読み込んでおいたコンフィ
グレーションファイルで指定された情報に基づいて設定
し、前記データ収集工程からのパケットを前記各階層化
モジュールでフィルタリングして前記パケットの細分化
されたデータを予め設定した階層にまで再構築すること
により解析データを作成するデータ作成工程と、予め読
み込んでおいたコンフィグレーションファイルで指定さ
れた内容を基に前記データ作成工程からの解析データに
不正が発生しているか判定するデータ解析工程とを備え
たことを特徴とするネットワーク不正解析方法。1. A method for analyzing fraud in a network constructed to perform communication according to a layered protocol between information communication stations, comprising: a data collection step of capturing a packet transmitted on the network. And setting the parameters of the layering module according to the layered protocol based on the information specified in the configuration file that has been read in advance, and filtering packets from the data collection step by each of the layering modules. A data creation step of creating analysis data by reconstructing the segmented data of the packet to a preset hierarchy, and the data based on the contents specified in the previously read configuration file. Analysis data from the creation process is invalid And a data analysis step of judging whether or not the network is illegal.
たプロトコルにより通信を行うように構築されたネット
ワークにおける不正を解析する装置であって、前記ネッ
トワーク上で伝送されているパケットを取り込むデータ
収集部と、階層化されたプロトコルに応じた階層化モジ
ュールのパラメータを予め読み込んでおいたコンフィグ
レーションファイルで指定された情報に基づいて設定
し、前記データ収集部からのパケットを前記各階層化モ
ジュールでフィルタリングして前記パケットの細分化さ
れたデータを予め設定した階層にまで再構築することに
より解析データを作成するデータ作成部と、予め読み込
んでおいたコンフィグレーションファイルで指定された
内容を基に前記データ作成部からの解析データに不正が
発生しているか判定するデータ解析部とを備えたことを
特徴とするネットワーク不正解析装置。2. An apparatus for analyzing fraud in a network constructed so as to perform communication according to a layered protocol between information communication stations, the data collection unit capturing packets transmitted on the network. And setting the parameters of the layered module according to the layered protocol based on the information specified in the configuration file that has been read in advance, and filtering the packet from the data collection unit by each of the layered modules. A data creation unit for creating analysis data by reconstructing the fragmented data of the packet to a preset hierarchy, and the data based on the content specified in the configuration file read in advance. Determine whether the analysis data from the creation unit is invalid And a data analysis unit.
たプロトコルにより通信を行うように構築されたネット
ワーク上で伝送されているパケットを取り込むデータ収
集手順と、階層化されたプロトコルに応じた階層化モジ
ュールのパラメータを予め読み込んでおいたコンフィグ
レーションファイルで指定された情報に基づいて設定
し、前記データ収集手順からのパケットを前記各階層化
モジュールでフィルタリングして前記パケットの細分化
されたデータを予め設定した階層 にまで再構築すること
により解析データを作成するデータ作成手順と、予め読
み込んでおいたコンフィグレーションファイルで指定さ
れた内容を基に前記データ作成手順からの解析データに
不正が発生しているか判定するデータ解析手順とをコン
ピュータに実行させるためのプログラムを記録したコン
ピュータ読み取り可能な記録媒体。3. A data collection procedure for capturing a packet transmitted on a network constructed to perform communication between information communication stations according to a layered protocol, and layering according to the layered protocol. The parameters of the module are set based on the information specified in the configuration file that has been read in advance, and the packets from the data collection procedure are filtered by each of the hierarchical modules, and the subdivided data of the packets is stored in advance. Data creation procedure to create analysis data by rebuilding to the set hierarchy , and illegal occurrence of analysis data from the data creation procedure based on the contents specified in the configuration file read in advance The computer to execute a data analysis procedure Readable recording medium on which a program for recording is recorded.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5810498A JP2945938B2 (en) | 1997-03-11 | 1998-03-10 | Network fraud analysis method, network fraud analysis device using the same, and computer-readable recording medium recording network fraud analysis program |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9-56715 | 1997-03-11 | ||
| JP5671597 | 1997-03-11 | ||
| JP5810498A JP2945938B2 (en) | 1997-03-11 | 1998-03-10 | Network fraud analysis method, network fraud analysis device using the same, and computer-readable recording medium recording network fraud analysis program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH10313341A JPH10313341A (en) | 1998-11-24 |
| JP2945938B2 true JP2945938B2 (en) | 1999-09-06 |
Family
ID=26397700
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP5810498A Expired - Fee Related JP2945938B2 (en) | 1997-03-11 | 1998-03-10 | Network fraud analysis method, network fraud analysis device using the same, and computer-readable recording medium recording network fraud analysis program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2945938B2 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7116675B2 (en) | 2000-08-21 | 2006-10-03 | Kabushiki Kaisha Toshiba | Methods and systems for transferring packets and preventing illicit access |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7139743B2 (en) | 2000-04-07 | 2006-11-21 | Washington University | Associative database scanning and information retrieval using FPGA devices |
| US6711558B1 (en) | 2000-04-07 | 2004-03-23 | Washington University | Associative database scanning and information retrieval |
| EP2511787B1 (en) | 2003-05-23 | 2017-09-20 | IP Reservoir, LLC | Data decompression and search using FPGA devices |
| US10572824B2 (en) | 2003-05-23 | 2020-02-25 | Ip Reservoir, Llc | System and method for low latency multi-functional pipeline with correlation logic and selectively activated/deactivated pipelined data processing engines |
| JP4152866B2 (en) | 2003-11-19 | 2008-09-17 | 株式会社日立製作所 | Storage device, storage device system, and communication control method |
| WO2005050935A1 (en) * | 2003-11-21 | 2005-06-02 | Mitsubishi Denki Kabushiki Kaisha | Intrusion detection device and method thereof |
| US7602785B2 (en) | 2004-02-09 | 2009-10-13 | Washington University | Method and system for performing longest prefix matching for network address lookup using bloom filters |
| JP4170299B2 (en) * | 2005-01-31 | 2008-10-22 | 独立行政法人 宇宙航空研究開発機構 | Communication state transition monitoring method and communication state transition monitoring apparatus using the same |
| US7917299B2 (en) | 2005-03-03 | 2011-03-29 | Washington University | Method and apparatus for performing similarity searching on a data stream with respect to a query string |
| US7486673B2 (en) * | 2005-08-29 | 2009-02-03 | Connect Technologies Corporation | Method and system for reassembling packets prior to searching |
| US7636703B2 (en) | 2006-05-02 | 2009-12-22 | Exegy Incorporated | Method and apparatus for approximate pattern matching |
| WO2018119035A1 (en) | 2016-12-22 | 2018-06-28 | Ip Reservoir, Llc | Pipelines for hardware-accelerated machine learning |
-
1998
- 1998-03-10 JP JP5810498A patent/JP2945938B2/en not_active Expired - Fee Related
Non-Patent Citations (1)
| Title |
|---|
| 川副博監修、「ファイアウオール」、ソフトバンク、P.128−9 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7116675B2 (en) | 2000-08-21 | 2006-10-03 | Kabushiki Kaisha Toshiba | Methods and systems for transferring packets and preventing illicit access |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH10313341A (en) | 1998-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6263444B1 (en) | Network unauthorized access analysis method, network unauthorized access analysis apparatus utilizing the method, and computer-readable recording medium having network unauthorized access analysis program recorded thereon | |
| JP2945938B2 (en) | Network fraud analysis method, network fraud analysis device using the same, and computer-readable recording medium recording network fraud analysis program | |
| CN113743542B (en) | Network asset identification method and system based on encrypted flow | |
| US20050138426A1 (en) | Method, system, and apparatus for managing, monitoring, auditing, cataloging, scoring, and improving vulnerability assessment tests, as well as automating retesting efforts and elements of tests | |
| CA2625247A1 (en) | Modeling interactions with a computer system | |
| EP3272097B1 (en) | Forensic analysis | |
| CN112163198B (en) | Host login security detection method, system, device and storage medium | |
| CN112118154A (en) | ICMP tunnel detection method based on machine learning | |
| JP4170299B2 (en) | Communication state transition monitoring method and communication state transition monitoring apparatus using the same | |
| CN112019330A (en) | Intranet security audit data storage method and system based on alliance chain | |
| US20090070601A1 (en) | Method and apparatus for recursively analyzing log file data in a network | |
| JP3648520B2 (en) | Network communication monitoring / control method, monitoring / control apparatus using the same, and computer-readable recording medium recording network communication monitoring / control program | |
| CN102035847A (en) | User access behavior processing method and system and client | |
| JP4309102B2 (en) | Illegal command / data detection method, illegal command / data detection method, and illegal command / data detection program | |
| CN119276611B (en) | A network security analysis method and system based on digital twins | |
| CN114500345A (en) | Fuzzy test and diagnosis system based on custom protocol configuration | |
| CN114124555A (en) | Message playback method and device, electronic equipment and computer readable medium | |
| CN117220935B (en) | Network security monitoring system based on mobile computer | |
| CN118054957B (en) | Computer network security analysis system based on security signal matching | |
| KR102669472B1 (en) | Data management device, data management method and a computer-readable storage medium for storing data management program | |
| KR102660695B1 (en) | Data management device, data management method and a computer-readable storage medium for storing data management program | |
| JP2003132019A (en) | Computer system fault monitoring method | |
| CN115664821A (en) | Behavior portrait construction method and device, electronic equipment and storage medium | |
| KR102657160B1 (en) | Data management device, data management method and a computer-readable storage medium for storing data management program | |
| KR102656871B1 (en) | Data management device, data management method and a computer-readable storage medium for storing data management program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080702 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090702 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100702 Year of fee payment: 11 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110702 Year of fee payment: 12 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120702 Year of fee payment: 13 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130702 Year of fee payment: 14 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| R371 | Transfer withdrawn |
Free format text: JAPANESE INTERMEDIATE CODE: R371 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |