Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7563227B2 - Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method - Google Patents
[go: Go Back, main page]

JP7563227B2 - Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method - Google Patents

Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method Download PDF

Info

Publication number
JP7563227B2
JP7563227B2 JP2021026228A JP2021026228A JP7563227B2 JP 7563227 B2 JP7563227 B2 JP 7563227B2 JP 2021026228 A JP2021026228 A JP 2021026228A JP 2021026228 A JP2021026228 A JP 2021026228A JP 7563227 B2 JP7563227 B2 JP 7563227B2
Authority
JP
Japan
Prior art keywords
monitoring
communication
communication terminal
structure data
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021026228A
Other languages
Japanese (ja)
Other versions
JP2022127966A (en
Inventor
亮太 椎名
達也 福井
聖 成川
勝也 南
友宏 谷口
俊介 猿渡
卓也 藤橋
尚 渡邊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2021026228A priority Critical patent/JP7563227B2/en
Publication of JP2022127966A publication Critical patent/JP2022127966A/en
Application granted granted Critical
Publication of JP7563227B2 publication Critical patent/JP7563227B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本開示は、IoT対応のネットワークにおいて、ネットワークの安全性を確保するセキュリティ技術に関する。 This disclosure relates to security technology that ensures network safety in IoT-enabled networks.

センサ等のIoTデバイスが広く普及し、多様な産業に応用されている。IoTデバイスにおける課題の一つが、セキュリティ対策である。IoTデバイスはセキュリティの甘さから、サイバー攻撃の対象になりやすく、世界的にもIoTデバイスを狙ったサイバー攻撃が年々増加の傾向にある。 IoT devices such as sensors are becoming more widespread and are being applied to a variety of industries. One of the challenges facing IoT devices is security measures. Due to the lack of security, IoT devices are prone to becoming targets of cyber attacks, and cyber attacks targeting IoT devices are showing an increasing trend year by year around the world.

2016年には、「Mirai」というマルウェアによるサイバー攻撃が発生した。サイバー攻撃の状況を図1に示す。図1において、50はIoTデバイス、51はネットワーク、70は攻撃対象である。正常時は、IoTデバイス50は、ネットワーク51を介してIoTサーバ52にセンシング情報等を送信する。 In 2016, a cyber attack using malware called "Mirai" occurred. The situation of the cyber attack is shown in Figure 1. In Figure 1, 50 is an IoT device, 51 is a network, and 70 is the target of the attack. Under normal circumstances, the IoT device 50 transmits sensing information, etc. to the IoT server 52 via the network 51.

IoTデバイス50が攻撃者によってマルウェアに感染すると、C&C(コマンド&コントロール)サーバ(不図示)からボットをダウンロードし、次の感染先を探すという挙動にでる。ボットはC&Cサーバからの指示を待ち、感染したIoTデバイス50が、例えば、ネットワーク51を介して、HTTPリクエストやUDPパケットを攻撃対象70に大量に送りつけるようなDDoS(Distributed Denial of Service:分散型サービス妨害)攻撃などのDoS攻撃に加担してしまう。感染したIoTデバイス50の数が大量になると、攻撃対象70となったサイトのサービスは簡単にダウンしてしまう。 When an IoT device 50 is infected with malware by an attacker, it downloads a bot from a C&C (command and control) server (not shown) and begins to search for the next target for infection. The bot waits for instructions from the C&C server, and the infected IoT device 50 takes part in a DoS attack, such as a distributed denial of service (DDoS) attack, in which a large number of HTTP requests and UDP packets are sent to the target 70 via the network 51. When the number of infected IoT devices 50 becomes large, the service of the site that becomes the target 70 of the attack can easily go down.

このようなサイバー攻撃を防御するために、ホワイトリストを用いたIoTデバイス対応のセキュリティシステムが提案されている(例えば、非特許文献1参照。)。このセキュリティシステムでは、通信端末のIPアドレスやMacアドレスを利用して接続を許容する接続先のリストであるホワイトリストをIoTゲートウェイに備える。 To defend against such cyber attacks, a security system for IoT devices using a whitelist has been proposed (see, for example, Non-Patent Document 1). In this security system, the IoT gateway is provided with a whitelist, which is a list of connection destinations that are permitted to connect using the IP address or MAC address of the communication terminal.

IoTゲートウェイは、IoTデバイスとIoTサーバとの間に設置され、IoTデバイスとIoTサーバとの間の通信を常時監視する。監視中には、外部のデバイスからのアクセスや新たなデバイスからのアクセスを検知し、ホワイトリストに記載されていないデバイスからの通信を遮断する。 The IoT gateway is installed between the IoT device and the IoT server, and constantly monitors the communication between the IoT device and the IoT server. During monitoring, it detects access from external devices and access from new devices, and blocks communication from devices that are not on the whitelist.

しかし、IoTゲートウェイは、通信端末のIPアドレスやMacアドレスを基にした通信分析を行うため、IoTゲートウェイに多くのコンピューティングリソースを配備する必要がある。必然的に高性能なIoTゲートウェイが要求される。また、IoTサーバとIoTデバイスとの間の通信データの通信に対して、IoTサーバとIoTデバイスとの間との間に同一トラヒック量の制御用の通信が新たに発生する。このため、ネットワークへの負荷が過大となる問題があった。 However, since the IoT gateway performs communication analysis based on the IP address and MAC address of the communication terminal, it is necessary to deploy a large number of computing resources in the IoT gateway. This inevitably requires a high-performance IoT gateway. Also, in addition to the communication of communication data between the IoT server and IoT device, new communication for controlling the same amount of traffic is generated between the IoT server and IoT device. This causes the problem of excessive load on the network.

野村公輝、永渕幸雄、谷川真樹、「IoT-GW向けホワイトリストの機械学習期間における暫定的なホワイトリストの提供手法の提案」、情報処理学会第80回全国大会講演論文集、2E-03、pp.3-449~3-450、2018年3月Nomura, Kouki, Nagabuchi, Yukio, Tanigawa, Maki, "Proposal of a method for providing a provisional whitelist during the machine learning period of the whitelist for IoT-GW," Proceedings of the 80th National Conference of the Information Processing Society of Japan, 2E-03, pp. 3-449-3-450, March 2018.

本開示は、上記事情に着目してなされたもので、本開示のネットワーク監視制御システム及びネットワーク監視制御方法は、通信端末のトラヒック量の監視制御に必要なコンピューティングリソースを低減し、ネットワークへの負荷を軽減することを目的とする。 This disclosure has been made in light of the above circumstances, and the network monitoring and control system and network monitoring and control method disclosed herein aim to reduce the computing resources required to monitor and control the traffic volume of communication terminals, thereby reducing the load on the network.

本開示の監視制御装置は、通信端末のトラヒック量の監視制御に必要なコンピューティングリソースを低減し、ネットワークへの負荷を軽減することを目的とする。 The monitoring and control device disclosed herein aims to reduce the computing resources required to monitor and control the traffic volume of communication terminals, thereby reducing the load on the network.

本開示の解析監視サーバは、通信端末のトラヒック量の監視制御に必要なコンピューティングリソースを低減することを目的とする。 The analysis and monitoring server disclosed herein aims to reduce the computing resources required to monitor and control the traffic volume of communication terminals.

本開示のネットワーク監視制御システムは、
監視制御装置及び解析監視サーバを備え、
前記監視制御装置は、
通信端末からの通信をミラーリングし、
通信端末ごとに、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換し、
前記ビットマップ構造のデータを前記解析監視サーバに送信し、
通信端末からの通信を遮断するための遮断情報を前記解析監視サーバから受信すると該当する通信端末からの通信を遮断すること、
前記解析監視サーバは、
前記監視制御装置から前記ビットマップ構造のデータを受信し、
受信した前記ビットマップ構造のデータを通信端末ごとに記憶し、
記憶した通信端末の前記ビットマップ構造のデータと前記記憶した通信端末の過去のビットマップ構造のデータとを比較して、異常であると判断したときに、当該通信端末からの通信を遮断するための遮断情報を前記監視制御装置に送信すること、
を特徴とする。
The network monitoring and control system of the present disclosure comprises:
A monitoring control device and an analysis monitoring server are provided,
The monitoring and control device includes:
Mirroring communication from communication terminals,
For each communication terminal, the traffic volume of the mirrored communication is converted into binary bitmap data.
Transmitting the bitmap structure data to the analysis and monitoring server;
When cut-off information for cutting off communication from a communication terminal is received from the analysis monitoring server, the communication from the corresponding communication terminal is cut off;
The analysis and monitoring server includes:
receiving the bitmap structure data from the monitoring and control device;
storing the received bitmap structure data for each communication terminal;
comparing the stored bitmap structure data of the communication terminal with past bitmap structure data of the communication terminal, and when determining that an abnormality exists, transmitting cutoff information for cutting off communication from the communication terminal to the monitoring control device;
It is characterized by:

本開示の監視制御装置は、
通信端末からの通信をミラーリングし、
通信端末ごとに、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換し、
前記ビットマップ構造のデータを送信し、
通信端末からの通信を遮断するための遮断情報を受信すると該当する通信端末からの通信を遮断することを特徴とする。
The monitoring control device of the present disclosure includes:
Mirroring communication from communication terminals,
For each communication terminal, the traffic volume of the mirrored communication is converted into binary bitmap data.
Transmitting the bitmap structure data;
The present invention is characterized in that when cut-off information for cutting off communication from a communication terminal is received, the communication from the relevant communication terminal is cut off.

本開示の解析監視サーバは、
通信端末ごとに、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータを受信し、
受信した前記ビットマップ構造のデータを通信端末ごとに記憶し、
記憶した通信端末の前記ビットマップ構造のデータと前記記憶した通信端末の過去のビットマップ構造のデータとを比較して、異常であると判断したときに、当該通信端末からの通信を遮断するための遮断情報を送信することを特徴とする。
The analysis and monitoring server of the present disclosure includes:
receiving bitmap data representing the amount of traffic of the mirrored communication for each communication terminal in binary;
storing the received bitmap structure data for each communication terminal;
The bitmap structure data stored for the communication terminal is compared with past bitmap structure data stored for the communication terminal, and when it is determined that there is an abnormality, blocking information for blocking communication from the communication terminal is transmitted.

本開示のネットワーク監視制御方法は、
監視制御装置及び解析監視サーバを用いたネットワーク監視制御方法であって、
前記監視制御装置は、
通信端末からの通信をミラーリングし、
通信端末ごとに、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換し、
前記ビットマップ構造のデータを前記解析監視サーバに送信し、
前記解析監視サーバは、
前記監視制御装置から前記ビットマップ構造のデータを受信し、
受信した前記ビットマップ構造のデータを通信端末ごとに記憶し、
記憶した通信端末の前記ビットマップ構造のデータと前記記憶した通信端末の過去のビットマップ構造のデータとを比較して、異常であると判断したときに、当該通信端末からの通信を遮断するための遮断情報を前記監視制御装置に送信し、
前記監視制御装置は、
前記解析監視サーバから前記遮断情報を受信すると該当する通信端末からの通信を遮断すること
を特徴とする。
The network monitoring and control method of the present disclosure includes:
A network monitoring control method using a monitoring control device and an analysis monitoring server,
The monitoring and control device includes:
Mirroring communication from communication terminals,
For each communication terminal, the traffic volume of the mirrored communication is converted into binary bitmap data.
Transmitting the bitmap structure data to the analysis and monitoring server;
The analysis and monitoring server includes:
receiving the bitmap structure data from the monitoring and control device;
storing the received bitmap structure data for each communication terminal;
comparing the stored bitmap structure data of the communication terminal with past bitmap structure data of the communication terminal, and when determining that an abnormality exists, transmitting cutoff information for cutting off communication from the communication terminal to the monitoring control device;
The monitoring and control device includes:
When the blocking information is received from the analysis and monitoring server, communication from the corresponding communication terminal is blocked.

本開示のネットワーク監視制御システム及びネットワーク監視制御方法は、通信端末のトラヒック量の監視制御に必要なコンピューティングリソースを低減し、ネットワークへの負荷を軽減することができる。 The network monitoring and control system and network monitoring and control method disclosed herein can reduce the computing resources required to monitor and control the traffic volume of communication terminals, thereby reducing the load on the network.

本開示の監視制御装置は、通信端末のトラヒック量の監視制御に必要なコンピューティングリソースを低減し、ネットワークへの負荷を軽減することができる。 The monitoring and control device disclosed herein can reduce the computing resources required to monitor and control the traffic volume of communication terminals, thereby reducing the load on the network.

本開示の解析監視サーバは、通信端末のトラヒック量の監視制御に必要なコンピューティングリソースを低減することができる。 The analysis and monitoring server disclosed herein can reduce the computing resources required to monitor and control the traffic volume of communication terminals.

従来のネットワークの構成の一例を示す。1 shows an example of a conventional network configuration. 本開示のネットワーク監視制御システムの構成の一例を示す。1 illustrates an example of a configuration of a network monitoring and control system according to the present disclosure. 本開示の監視制御装置の構成の一例を示す。2 illustrates an example of a configuration of a monitoring control device according to the present disclosure. 本開示の監視制御装置の動作の一例を示す。1 shows an example of the operation of the monitoring and control device of the present disclosure.

以下、本開示の実施形態について、図面を参照しながら詳細に説明する。なお、本開示は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本開示は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。 The following describes in detail the embodiments of the present disclosure with reference to the drawings. Note that the present disclosure is not limited to the embodiments shown below. These implementation examples are merely illustrative, and the present disclosure can be implemented in various forms with various modifications and improvements based on the knowledge of those skilled in the art. Note that components with the same reference numerals in this specification and drawings are considered to be identical to each other.

本実施形態のネットワーク監視制御システムの構成の一例を図2に示す。図2において、10は監視制御装置、20は解析監視サーバ、50は通信端末としてのIoTデバイス、51はネットワーク、52はIoTサーバである。複数のIoTデバイス50がネットワーク51を介してIoTサーバ52に接続されている。IoTデバイス50が例えば、センサデバイスの場合、IoTデバイス50は収集したセンシング情報を、ネットワーク51を介してIoTサーバ52に送信する。IoTサーバ52は収集したセンシング情報をデータ処理する。 An example of the configuration of the network monitoring and control system of this embodiment is shown in FIG. 2. In FIG. 2, 10 is a monitoring and control device, 20 is an analysis and monitoring server, 50 is an IoT device serving as a communication terminal, 51 is a network, and 52 is an IoT server. A plurality of IoT devices 50 are connected to an IoT server 52 via the network 51. When the IoT device 50 is, for example, a sensor device, the IoT device 50 transmits collected sensing information to the IoT server 52 via the network 51. The IoT server 52 processes the collected sensing information.

本実施形態のネットワーク監視制御システムでは、IoTデバイス50とネットワーク51との間に監視制御装置10を備え、監視制御装置10にネットワーク経由で接続される解析監視サーバ20を備える。監視制御装置10及び解析監視サーバ20が連動して、IoTデバイス50を監視制御する。 The network monitoring and control system of this embodiment includes a monitoring and control device 10 between an IoT device 50 and a network 51, and an analysis and monitoring server 20 connected to the monitoring and control device 10 via the network. The monitoring and control device 10 and the analysis and monitoring server 20 work together to monitor and control the IoT device 50.

監視制御装置10は複数のIoTデバイス50を収容してもよい。監視制御装置10は、IoTデバイス50からの通信をミラーリングし、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換し、IoTデバイスごとのビットマップ構造のデータを解析監視サーバ20に送信する。監視制御装置10から解析監視サーバ20への送信は、IoTデバイス50への送信と同じネットワーク経由でもよく、異なるネットワーク経由でもよい。 The monitoring control device 10 may accommodate multiple IoT devices 50. The monitoring control device 10 mirrors communications from the IoT devices 50, converts the traffic volume of the mirrored communications into bitmap structure data represented in binary, and transmits the bitmap structure data for each IoT device to the analysis monitoring server 20. Transmission from the monitoring control device 10 to the analysis monitoring server 20 may be via the same network as transmission to the IoT devices 50, or via a different network.

監視制御装置10は、IoTデバイス50からの通信そのものを複製して送信することなく、通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換して送信するため、ネットワークの負荷を軽減することができる。また、バイナリで表されるビットマップ構造のデータは解析監視サーバ20のコンピューティングリソースを低減することができる。 The monitoring control device 10 does not copy and transmit the communication from the IoT device 50 itself, but converts the communication traffic volume into binary bitmap structure data and transmits it, thereby reducing the load on the network. In addition, the bitmap structure data represented in binary can reduce the computing resources of the analysis monitoring server 20.

解析監視サーバ20は複数の監視制御装置10からIoTデバイスごとのビットマップ構造のデータを受信し、記憶する。解析監視サーバ20は、IoTデバイスごとのビットマップ構造のデータを長期間にわたって記憶している。IoTデバイスごとに、記憶したビットマップ構造のデータを過去のデータと比較して、新たに記憶したIoTデバイスのビットマップ構造のデータが異常であると判断すると、そのIoTデバイスの通信を遮断するための遮断情報を監視制御装置10に送信する。 The analysis monitoring server 20 receives and stores bitmap structure data for each IoT device from multiple monitoring control devices 10. The analysis monitoring server 20 stores the bitmap structure data for each IoT device for a long period of time. For each IoT device, the analysis monitoring server 20 compares the stored bitmap structure data with past data, and if it determines that the newly stored bitmap structure data for an IoT device is abnormal, it transmits blocking information to the monitoring control device 10 to block communication with that IoT device.

記憶したビットマップ構造のデータを過去のデータと比較して、新たに記憶したIoTデバイスのビットマップ構造のデータが異常であると判断する例として、記憶した通信端末のビットマップ構造のデータにおける時間当たりのビットの数が、記憶した通信端末の過去のビットマップ構造のデータにおける時間当たりのビットの数の最高値よりも多いときに、当該通信端末からの通信が異常であると判断することが挙げられる。 As an example of comparing stored bitmap structure data with past data and determining that newly stored bitmap structure data of an IoT device is abnormal, when the number of bits per hour in the stored bitmap structure data of a communication terminal is greater than the maximum number of bits per hour in past bitmap structure data stored for the communication terminal, it can be determined that communication from that communication terminal is abnormal.

時間当たりのビットの数が、過去の最高値よりも多ければ、IoTデバイスからのトラヒック量が異常である可能性が高いからである。 If the number of bits per hour is higher than the highest value in the past, there is a high possibility that the amount of traffic from IoT devices is abnormal.

他の例として、記憶した通信端末のビットマップ構造のデータにおける時間当たりのビットの数が、記憶した通信端末の過去のビットマップ構造のデータにおける時間当たりのビットの数の平均値の所定倍よりも多いときに、当該通信端末からの通信が異常であると判断することが挙げられる。 As another example, when the number of bits per time in the stored bitmap structure data of a communication terminal is greater than a predetermined multiple of the average number of bits per time in the stored past bitmap structure data of the communication terminal, the communication from that communication terminal is determined to be abnormal.

時間当たりのビットの数が、過去の平均値の所定倍よりも多ければ、IoTデバイスからのトラヒック量が異常である可能性が高いからである。所定倍は予め任意の値を設定しておけばよい。 If the number of bits per hour is more than a certain multiple of the past average value, there is a high possibility that the traffic volume from the IoT device is abnormal. The certain multiple can be set to any value in advance.

例えば、1時間当たりのビットの数が過去の最高値又は時間当たりのビットの数の平均値の所定倍よりも多いときは、当該通信端末からの通信が異常であると判断する。1時間当たりのビットの数だけでなく、1か月当たりのビットの数、1週間当たりのビットの数、1日当たりのビットの数等でもよい。単位時間を短くすると即応できるが、エラーも発生し易くなる。平均値の所定倍としては、平均値の2倍以上や10倍以上が例示できる。 For example, if the number of bits per hour is greater than the highest value in the past or a specified multiple of the average number of bits per hour, it is determined that the communication from the communication terminal is abnormal. In addition to the number of bits per hour, the number of bits per month, the number of bits per week, the number of bits per day, etc. may also be used. Shortening the unit time allows for a quick response, but also makes errors more likely to occur. Examples of the specified multiple of the average value include 2 or more times the average value, or 10 or more times the average value.

これらの判断方法は、解析も容易であるため、解析監視サーバ20は高度な処理をすることなく、容易に判断することができる。 These determination methods are easy to analyze, so the analysis and monitoring server 20 can easily make a determination without performing advanced processing.

解析監視サーバ20は、複数の監視制御装置10からのビットマップ構造のデータを集中処理するため、監視制御装置10の負担が軽減される。また、通信の異常を解析する際に、通信自体を解析するのではなく、ビットマップ構造のデータを解析するため、高度な処理は不要となる。その結果、解析に必要なコンピューティングリソースを低減することができる。 The analysis monitoring server 20 centrally processes bitmap data from multiple monitoring control devices 10, reducing the burden on the monitoring control devices 10. In addition, when analyzing communication anomalies, the communication itself is not analyzed, but rather the bitmap data is analyzed, eliminating the need for advanced processing. As a result, the computing resources required for analysis can be reduced.

解析監視サーバ20からの遮断情報を受信した監視制御装置10は、該当するIoTデバイス50からの通信を遮断する。その結果、攻撃対象へのDDoS攻撃等を防止することができる。 When the monitoring control device 10 receives the blocking information from the analysis monitoring server 20, it blocks communication from the corresponding IoT device 50. As a result, it is possible to prevent DDoS attacks and the like against the target of the attack.

監視制御装置10の構成を図3に示す。10は監視制御装置、11は監視部、12は収集部、13は解析変換部、14は通信部、15は制御部である。監視部11は、通信端末としてのIoTデバイス(不図示)からIoTサーバ(不図示)への通信を透過的に扱う。同時に、その通信をミラーリングし、収集部12にミラーリング信号として出力する。収集部12は、監視部11からのミラーリング信号を一部記録しつつ、定期的に解析変換部13へとミラーリング信号を出力する。解析変換部13は、ミラーリング信号のトラヒック量を分析して、バイナリで表されるビットマップ構造のデータに変換する。ビットマップ構造のデータはミラーリング信号に比較して、大幅にデータ量が軽減されている。 The configuration of the monitoring control device 10 is shown in Figure 3. 10 is the monitoring control device, 11 is a monitoring unit, 12 is a collection unit, 13 is an analysis and conversion unit, 14 is a communication unit, and 15 is a control unit. The monitoring unit 11 transparently handles communication from an IoT device (not shown) as a communication terminal to an IoT server (not shown). At the same time, it mirrors the communication and outputs it to the collection unit 12 as a mirroring signal. The collection unit 12 records a portion of the mirroring signal from the monitoring unit 11 and periodically outputs the mirroring signal to the analysis and conversion unit 13. The analysis and conversion unit 13 analyzes the traffic volume of the mirroring signal and converts it into bitmap structure data represented in binary. The bitmap structure data has a significantly reduced data volume compared to the mirroring signal.

解析変換部13が変換するビットマップ構造のデータの例として、ミラーリングした通信の所定時間内での通信の有無をバイナリで表されるビットマップ構造のデータが挙げられる。例えば、所定時間内で通信があれば「1」とし、通信がなければ「0」とする。通信の有無で単純にバイナリ表現するため、コンピュータリソースを低減することができる。 An example of bitmap structure data converted by the analysis and conversion unit 13 is bitmap structure data in which the presence or absence of mirrored communication within a specified time is expressed in binary. For example, if there is communication within a specified time, it is represented as "1", and if there is no communication, it is represented as "0". Since the presence or absence of communication is simply represented in binary, computer resources can be reduced.

他の例として、ミラーリングした通信の所定時間内のトラヒック量を予め定めた閾値で閾値判定した結果をバイナリで表されるビットマップ構造のデータが挙げられる。例えば、通信の所定時間内のトラヒック量を予め定めた閾値で閾値判定し、超えていれば「1」とし、超えていなければ「0」とする。通信のトラヒック量を予め定めた閾値で閾値判定した結果をバイナリ表現するため、コンピュータリソースを低減することができる。また、所定値を設定変更すれば、トラヒック量の変動状況に応じて閾値を可変することができる。 Another example is bitmap data that represents the result of threshold-determining the amount of traffic of mirrored communication within a specified time period using a predetermined threshold in binary. For example, the traffic volume of communication within a specified time period is threshold-determined using a predetermined threshold, and if it exceeds the threshold, it is set to "1", and if it does not exceed the threshold, it is set to "0". Since the result of threshold-determining the amount of traffic of communication using a predetermined threshold is expressed in binary, computer resources can be reduced. Furthermore, by changing the setting of the predetermined value, the threshold can be changed according to fluctuations in the amount of traffic.

解析変換部13は、高度な処理をすることなく、トラヒック量を容易に解析して、ビットマップ構造のデータに変換することができる。 The analysis and conversion unit 13 can easily analyze traffic volume and convert it into bitmap structure data without sophisticated processing.

解析変換部13に入力されるミラーリング信号のトラヒック量を、バイナリで表されるビットマップ構造のデータに変換した例を図4に示す。図4において、横軸は1時間単位で0時から24時まで、曜日単位で月曜日から日曜日まで、月単位で1月から12月まで、日単位で1日から365日までを表している。縦軸はアクセス数の多い宛先IPアドレスを1位から100位まで順に並べている。 Figure 4 shows an example of the traffic volume of the mirroring signal input to the analysis and conversion unit 13 converted into binary bitmap structure data. In Figure 4, the horizontal axis represents hourly units from midnight to midnight, weekday units from Monday to Sunday, month units from January to December, and day units from the 1st to 365th. The vertical axis ranks the destination IP addresses with the most accesses in order from 1st to 100th place.

ミラーリング信号は、通信信号そのものであるため、膨大なデータ量となる。解析変換部13は、通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換する。 The mirroring signal is a communication signal itself, so it is a huge amount of data. The analysis and conversion unit 13 converts the communication traffic volume into bitmap structure data represented in binary.

このように、監視制御装置10は、通信のトラヒック量として、通信の有無又はトラヒック量を予め定めた閾値で閾値判定した結果をバイナリで表されるビットマップ構造のデータに変換するため、通信そのものよりも大幅に情報量を削減することができる。 In this way, the monitoring and control device 10 converts the results of a threshold determination of the presence or absence of communication or the amount of traffic using a predetermined threshold into binary bitmap structure data, which can significantly reduce the amount of information compared to the communication itself.

通信部14は、ビットマップ構造のデータを解析監視サーバに送信する。また、解析監視サーバからの遮断情報を受信する。制御部15は、通常はIoTデバイス(不図示)からIoTサーバ(不図示)への通信を透過的に扱うよう監視部11を制御する。通信部14から遮断情報が入力されると、制御部15は監視部11にIoTデバイス(不図示)からの通信を遮断させる。 The communication unit 14 transmits bitmap data to the analysis monitoring server. It also receives blocking information from the analysis monitoring server. The control unit 15 normally controls the monitoring unit 11 to transparently handle communication from an IoT device (not shown) to an IoT server (not shown). When blocking information is input from the communication unit 14, the control unit 15 causes the monitoring unit 11 to block communication from the IoT device (not shown).

以上説明したように、本開示のネットワーク監視制御システム及びネットワーク監視制御方法は、IoTデバイス50からの通信そのものを複製して送信することなく、通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換して送信し、ビットマップ構造のデータを基にIoTデバイス50の通信を監視制御する。このため、監視制御装置と解析監視サーバとの間のネットワークへの負荷を軽減して、解析監視サーバのコンピュータリソースを低減しつつ、IoTデバイス50が攻撃対象へのDDoS攻撃等することを防止することができる。 As described above, the network monitoring and control system and network monitoring and control method disclosed herein do not copy and transmit the communication itself from the IoT device 50, but convert the communication traffic volume into bitmap structure data represented in binary and transmit it, and monitor and control the communication of the IoT device 50 based on the bitmap structure data. This reduces the load on the network between the monitoring control device and the analysis and monitoring server, reducing the computer resources of the analysis and monitoring server, while preventing the IoT device 50 from launching DDoS attacks on the target of attack, etc.

本発明の監視制御装置及び解析監視サーバは、コンピュータとプログラムによっても実現できる。そのプログラムは、記録媒体に記録することも、ネットワークを通して提供することも可能である。 The monitoring control device and analysis monitoring server of the present invention can also be realized by a computer and a program. The program can be recorded on a recording medium or provided via a network.

本開示は情報通信産業に適用することができる。 This disclosure can be applied to the information and communications industry.

10:監視制御装置
11:監視部
12:収集部
13:解析変換部
14:通信部
15:制御部
20:解析監視サーバ
50:IoTデバイス
51:ネットワーク
52:IoTサーバ
10: Monitoring and control device 11: Monitoring unit 12: Collection unit 13: Analysis and conversion unit 14: Communication unit 15: Control unit 20: Analysis and monitoring server 50: IoT device 51: Network 52: IoT server

Claims (8)

監視制御装置及び解析監視サーバを備え、
前記監視制御装置は、
通信端末からの通信をミラーリングし、
通信端末ごとに、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換し、
前記ビットマップ構造のデータを前記解析監視サーバに送信し、
通信端末からの通信を遮断するための遮断情報を前記解析監視サーバから受信すると該当する通信端末からの通信を遮断すること、
前記解析監視サーバは、
前記監視制御装置から前記ビットマップ構造のデータを受信し、
受信した前記ビットマップ構造のデータを通信端末ごとに記憶し、
記憶した通信端末の前記ビットマップ構造のデータと前記記憶した通信端末の過去のビットマップ構造のデータとを比較して、異常であると判断したときに、当該通信端末からの通信を遮断するための遮断情報を前記監視制御装置に送信すること、
を特徴とするネットワーク監視制御システム。
A monitoring control device and an analysis monitoring server are provided,
The monitoring and control device includes:
Mirroring communication from communication terminals,
For each communication terminal, the traffic volume of the mirrored communication is converted into binary bitmap data.
Transmitting the bitmap structure data to the analysis and monitoring server;
When cut-off information for cutting off communication from a communication terminal is received from the analysis monitoring server, the communication from the corresponding communication terminal is cut off;
The analysis and monitoring server includes:
receiving the bitmap structure data from the monitoring and control device;
storing the received bitmap structure data for each communication terminal;
comparing the stored bitmap structure data of the communication terminal with past bitmap structure data of the communication terminal, and when determining that an abnormality exists, transmitting cutoff information for cutting off communication from the communication terminal to the monitoring control device;
A network monitoring and control system comprising:
前記監視制御装置は、前記ミラーリングした通信の所定時間内での通信の有無をバイナリで表されるビットマップ構造のデータに変換することを特徴とする請求項1に記載のネットワーク監視制御システム。 The network monitoring and control system according to claim 1, characterized in that the monitoring and control device converts the presence or absence of the mirrored communication within a predetermined period of time into binary data with a bitmap structure. 前記監視制御装置は、前記ミラーリングした通信の所定時間内の通信のトラヒック量を予め定めた閾値で閾値判定した結果をバイナリで表されるビットマップ構造のデータに変換することを特徴とする請求項1に記載のネットワーク監視制御システム。 The network monitoring and control system according to claim 1, characterized in that the monitoring and control device converts the result of threshold determination of the traffic volume of the mirrored communication within a specified time period using a predetermined threshold into binary data with a bitmap structure. 前記解析監視サーバは、前記記憶した通信端末の前記ビットマップ構造のデータにおける時間当たりのビットの数が、前記記憶した通信端末の過去のビットマップ構造のデータにおける時間当たりのビットの数の最高値よりも多いときに、当該通信端末からの通信が異常であると判断する請求項1から3のいずれかに記載のネットワーク監視制御システム。 The network monitoring and control system according to any one of claims 1 to 3, wherein the analysis and monitoring server determines that communication from a communication terminal is abnormal when the number of bits per hour in the bitmap structure data of the stored communication terminal is greater than the maximum number of bits per hour in the past bitmap structure data of the stored communication terminal. 前記解析監視サーバは、前記記憶した通信端末の前記ビットマップ構造のデータにおける時間当たりのビットの数が、前記記憶した通信端末の過去のビットマップ構造のデータにおける時間当たりのビットの数の平均値の所定倍よりも多いときに、当該通信端末からの通信が異常であると判断する請求項1から3のいずれかに記載のネットワーク監視制御システム。 The network monitoring and control system according to any one of claims 1 to 3, wherein the analysis and monitoring server determines that communication from a communication terminal is abnormal when the number of bits per hour in the bitmap structure data of the stored communication terminal is greater than a predetermined multiple of the average number of bits per hour in the past bitmap structure data of the stored communication terminal. 通信端末からの通信をミラーリングし、
通信端末ごとに、ミラーリングした通信の所定時間内での通信の有無をバイナリで表されるビットマップ構造のデータに変換し、
前記ビットマップ構造のデータを送信し、
通信端末からの通信を遮断するための遮断情報を受信すると該当する通信端末からの通信を遮断することを特徴とする監視制御装置。
Mirroring communication from communication terminals,
For each communication terminal, converting the presence or absence of mirrored communication within a predetermined period of time into binary bitmap data;
Transmitting the bitmap structure data;
A monitoring and control device characterized in that, when cut-off information for cutting off communication from a communication terminal is received, the monitoring and control device cuts off communication from the corresponding communication terminal.
通信端末ごとに、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータを受信し、
受信した前記ビットマップ構造のデータを通信端末ごとに記憶し、
記憶した通信端末の前記ビットマップ構造のデータと前記記憶した通信端末の過去のビットマップ構造のデータとを比較して、異常であると判断したときに、当該通信端末からの通信を遮断するための遮断情報を送信することを特徴とする解析監視サーバ。
receiving bitmap data representing the amount of traffic of the mirrored communication for each communication terminal in binary;
storing the received bitmap structure data for each communication terminal;
An analysis and monitoring server characterized by comparing the stored bitmap structure data of a communication terminal with past bitmap structure data of the stored communication terminal, and when it determines that there is an abnormality, sending blocking information to block communication from the communication terminal.
監視制御装置及び解析監視サーバを用いたネットワーク監視制御方法であって、
前記監視制御装置は、
通信端末からの通信をミラーリングし、
通信端末ごとに、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換し、
前記ビットマップ構造のデータを前記解析監視サーバに送信すること、
前記解析監視サーバは、
前記監視制御装置から前記ビットマップ構造のデータを受信し、
受信した前記ビットマップ構造のデータを通信端末ごとに記憶し、
記憶した通信端末の前記ビットマップ構造のデータと前記記憶した通信端末の過去のビットマップ構造のデータとを比較して、異常であると判断したときに、当該通信端末からの通信を遮断するための遮断情報を前記監視制御装置に送信し、
前記監視制御装置は、
前記解析監視サーバから前記遮断情報を受信すると該当する通信端末からの通信を遮断すること
を特徴とするネットワーク監視制御方法。


A network monitoring control method using a monitoring control device and an analysis monitoring server,
The monitoring and control device includes:
Mirroring communication from communication terminals,
For each communication terminal, the traffic volume of the mirrored communication is converted into binary bitmap data.
Transmitting the bitmap structure data to the analysis monitoring server;
The analysis and monitoring server includes:
receiving the bitmap structure data from the monitoring and control device;
storing the received bitmap structure data for each communication terminal;
comparing the stored bitmap structure data of the communication terminal with past bitmap structure data of the communication terminal, and when determining that an abnormality exists, transmitting cutoff information for cutting off communication from the communication terminal to the monitoring control device;
The monitoring and control device includes:
A network monitoring control method, comprising the steps of: upon receiving the blocking information from the analysis and monitoring server, blocking communication from the corresponding communication terminal.


JP2021026228A 2021-02-22 2021-02-22 Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method Active JP7563227B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021026228A JP7563227B2 (en) 2021-02-22 2021-02-22 Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021026228A JP7563227B2 (en) 2021-02-22 2021-02-22 Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method

Publications (2)

Publication Number Publication Date
JP2022127966A JP2022127966A (en) 2022-09-01
JP7563227B2 true JP7563227B2 (en) 2024-10-08

Family

ID=83060910

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021026228A Active JP7563227B2 (en) 2021-02-22 2021-02-22 Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method

Country Status (1)

Country Link
JP (1) JP7563227B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004328307A (en) 2003-04-24 2004-11-18 Mitsubishi Electric Corp Attack defense system, attack defense control server and attack defense method
JP2008244640A (en) 2007-03-26 2008-10-09 Oki Electric Ind Co Ltd System, method, and program for analyzing monitoring information, network monitoring system, and management device
JP2017143583A (en) 2014-06-18 2017-08-17 日本電信電話株式会社 Network system
JP2019101711A (en) 2017-12-01 2019-06-24 日本電信電話株式会社 Abnormality class determination device, abnormality class determination method and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004328307A (en) 2003-04-24 2004-11-18 Mitsubishi Electric Corp Attack defense system, attack defense control server and attack defense method
JP2008244640A (en) 2007-03-26 2008-10-09 Oki Electric Ind Co Ltd System, method, and program for analyzing monitoring information, network monitoring system, and management device
JP2017143583A (en) 2014-06-18 2017-08-17 日本電信電話株式会社 Network system
JP2019101711A (en) 2017-12-01 2019-06-24 日本電信電話株式会社 Abnormality class determination device, abnormality class determination method and program

Also Published As

Publication number Publication date
JP2022127966A (en) 2022-09-01

Similar Documents

Publication Publication Date Title
US12445483B2 (en) Authoritative domain name system (DNS) server responding to DNS requests with IP addresses selected from a larger pool of IP addresses
US8732832B2 (en) Routing apparatus and method for detecting server attack and network using the same
KR101812403B1 (en) Mitigating System for DoS Attacks in SDN
US11005814B2 (en) Network security
US10693890B2 (en) Packet relay apparatus
WO2013032775A1 (en) Method and protection system for mitigating slow http attacks using rate and time monitoring
US20140304817A1 (en) APPARATUS AND METHOD FOR DETECTING SLOW READ DoS ATTACK
US20130305347A1 (en) Methods, Systems, and Computer Readable Media for Adaptive Assignment of an Active Security Association Instance in a Redundant Gateway Configuration
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
US10313238B2 (en) Communication system, communication method, and non-transitiory computer readable medium storing program
WO2019181550A1 (en) Abnormal traffic analysis apparatus, abnormal traffic analysis method, and abnormal traffic analysis program
JP7563227B2 (en) Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method
US20170142132A1 (en) Monitoring Network Traffic
Hyder et al. Closed-loop DDoS mitigation system in software defined networks
JP6272258B2 (en) Optimization device, optimization method, and optimization program
US20100157806A1 (en) Method for processing data packet load balancing and network equipment thereof
CN114172881B (en) Network security verification method, device and system based on prediction
RU186198U1 (en) Host Level Intrusion Detector
JP2018037961A (en) Flow analysis apparatus, traffic analysis system, and flow analysis method
KR102695124B1 (en) METHOD AND APPARATUS OF DETCTING ToB IN IoT ENVIRONMENT BASED ON GATEWAY
JP6679516B2 (en) Control device and control method
CN119696914A (en) A trapping capability monitoring system based on network security equipment linkage
KR20250172039A (en) System for IoT terminal infection malicious file collection and method for operation
JP2021083128A (en) Monitoring device, switch, communication device, communication system, monitoring method, and monitoring program
WO2017082918A1 (en) Redirecting flow control packets

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230608

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240315

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240326

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240521

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240827

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240909

R150 Certificate of patent or registration of utility model

Ref document number: 7563227

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350