JP7563227B2 - Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method - Google Patents
Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method Download PDFInfo
- Publication number
- JP7563227B2 JP7563227B2 JP2021026228A JP2021026228A JP7563227B2 JP 7563227 B2 JP7563227 B2 JP 7563227B2 JP 2021026228 A JP2021026228 A JP 2021026228A JP 2021026228 A JP2021026228 A JP 2021026228A JP 7563227 B2 JP7563227 B2 JP 7563227B2
- Authority
- JP
- Japan
- Prior art keywords
- monitoring
- communication
- communication terminal
- structure data
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本開示は、IoT対応のネットワークにおいて、ネットワークの安全性を確保するセキュリティ技術に関する。 This disclosure relates to security technology that ensures network safety in IoT-enabled networks.
センサ等のIoTデバイスが広く普及し、多様な産業に応用されている。IoTデバイスにおける課題の一つが、セキュリティ対策である。IoTデバイスはセキュリティの甘さから、サイバー攻撃の対象になりやすく、世界的にもIoTデバイスを狙ったサイバー攻撃が年々増加の傾向にある。 IoT devices such as sensors are becoming more widespread and are being applied to a variety of industries. One of the challenges facing IoT devices is security measures. Due to the lack of security, IoT devices are prone to becoming targets of cyber attacks, and cyber attacks targeting IoT devices are showing an increasing trend year by year around the world.
2016年には、「Mirai」というマルウェアによるサイバー攻撃が発生した。サイバー攻撃の状況を図1に示す。図1において、50はIoTデバイス、51はネットワーク、70は攻撃対象である。正常時は、IoTデバイス50は、ネットワーク51を介してIoTサーバ52にセンシング情報等を送信する。
In 2016, a cyber attack using malware called "Mirai" occurred. The situation of the cyber attack is shown in Figure 1. In Figure 1, 50 is an IoT device, 51 is a network, and 70 is the target of the attack. Under normal circumstances, the
IoTデバイス50が攻撃者によってマルウェアに感染すると、C&C(コマンド&コントロール)サーバ(不図示)からボットをダウンロードし、次の感染先を探すという挙動にでる。ボットはC&Cサーバからの指示を待ち、感染したIoTデバイス50が、例えば、ネットワーク51を介して、HTTPリクエストやUDPパケットを攻撃対象70に大量に送りつけるようなDDoS(Distributed Denial of Service:分散型サービス妨害)攻撃などのDoS攻撃に加担してしまう。感染したIoTデバイス50の数が大量になると、攻撃対象70となったサイトのサービスは簡単にダウンしてしまう。
When an
このようなサイバー攻撃を防御するために、ホワイトリストを用いたIoTデバイス対応のセキュリティシステムが提案されている(例えば、非特許文献1参照。)。このセキュリティシステムでは、通信端末のIPアドレスやMacアドレスを利用して接続を許容する接続先のリストであるホワイトリストをIoTゲートウェイに備える。 To defend against such cyber attacks, a security system for IoT devices using a whitelist has been proposed (see, for example, Non-Patent Document 1). In this security system, the IoT gateway is provided with a whitelist, which is a list of connection destinations that are permitted to connect using the IP address or MAC address of the communication terminal.
IoTゲートウェイは、IoTデバイスとIoTサーバとの間に設置され、IoTデバイスとIoTサーバとの間の通信を常時監視する。監視中には、外部のデバイスからのアクセスや新たなデバイスからのアクセスを検知し、ホワイトリストに記載されていないデバイスからの通信を遮断する。 The IoT gateway is installed between the IoT device and the IoT server, and constantly monitors the communication between the IoT device and the IoT server. During monitoring, it detects access from external devices and access from new devices, and blocks communication from devices that are not on the whitelist.
しかし、IoTゲートウェイは、通信端末のIPアドレスやMacアドレスを基にした通信分析を行うため、IoTゲートウェイに多くのコンピューティングリソースを配備する必要がある。必然的に高性能なIoTゲートウェイが要求される。また、IoTサーバとIoTデバイスとの間の通信データの通信に対して、IoTサーバとIoTデバイスとの間との間に同一トラヒック量の制御用の通信が新たに発生する。このため、ネットワークへの負荷が過大となる問題があった。 However, since the IoT gateway performs communication analysis based on the IP address and MAC address of the communication terminal, it is necessary to deploy a large number of computing resources in the IoT gateway. This inevitably requires a high-performance IoT gateway. Also, in addition to the communication of communication data between the IoT server and IoT device, new communication for controlling the same amount of traffic is generated between the IoT server and IoT device. This causes the problem of excessive load on the network.
本開示は、上記事情に着目してなされたもので、本開示のネットワーク監視制御システム及びネットワーク監視制御方法は、通信端末のトラヒック量の監視制御に必要なコンピューティングリソースを低減し、ネットワークへの負荷を軽減することを目的とする。 This disclosure has been made in light of the above circumstances, and the network monitoring and control system and network monitoring and control method disclosed herein aim to reduce the computing resources required to monitor and control the traffic volume of communication terminals, thereby reducing the load on the network.
本開示の監視制御装置は、通信端末のトラヒック量の監視制御に必要なコンピューティングリソースを低減し、ネットワークへの負荷を軽減することを目的とする。 The monitoring and control device disclosed herein aims to reduce the computing resources required to monitor and control the traffic volume of communication terminals, thereby reducing the load on the network.
本開示の解析監視サーバは、通信端末のトラヒック量の監視制御に必要なコンピューティングリソースを低減することを目的とする。 The analysis and monitoring server disclosed herein aims to reduce the computing resources required to monitor and control the traffic volume of communication terminals.
本開示のネットワーク監視制御システムは、
監視制御装置及び解析監視サーバを備え、
前記監視制御装置は、
通信端末からの通信をミラーリングし、
通信端末ごとに、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換し、
前記ビットマップ構造のデータを前記解析監視サーバに送信し、
通信端末からの通信を遮断するための遮断情報を前記解析監視サーバから受信すると該当する通信端末からの通信を遮断すること、
前記解析監視サーバは、
前記監視制御装置から前記ビットマップ構造のデータを受信し、
受信した前記ビットマップ構造のデータを通信端末ごとに記憶し、
記憶した通信端末の前記ビットマップ構造のデータと前記記憶した通信端末の過去のビットマップ構造のデータとを比較して、異常であると判断したときに、当該通信端末からの通信を遮断するための遮断情報を前記監視制御装置に送信すること、
を特徴とする。
The network monitoring and control system of the present disclosure comprises:
A monitoring control device and an analysis monitoring server are provided,
The monitoring and control device includes:
Mirroring communication from communication terminals,
For each communication terminal, the traffic volume of the mirrored communication is converted into binary bitmap data.
Transmitting the bitmap structure data to the analysis and monitoring server;
When cut-off information for cutting off communication from a communication terminal is received from the analysis monitoring server, the communication from the corresponding communication terminal is cut off;
The analysis and monitoring server includes:
receiving the bitmap structure data from the monitoring and control device;
storing the received bitmap structure data for each communication terminal;
comparing the stored bitmap structure data of the communication terminal with past bitmap structure data of the communication terminal, and when determining that an abnormality exists, transmitting cutoff information for cutting off communication from the communication terminal to the monitoring control device;
It is characterized by:
本開示の監視制御装置は、
通信端末からの通信をミラーリングし、
通信端末ごとに、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換し、
前記ビットマップ構造のデータを送信し、
通信端末からの通信を遮断するための遮断情報を受信すると該当する通信端末からの通信を遮断することを特徴とする。
The monitoring control device of the present disclosure includes:
Mirroring communication from communication terminals,
For each communication terminal, the traffic volume of the mirrored communication is converted into binary bitmap data.
Transmitting the bitmap structure data;
The present invention is characterized in that when cut-off information for cutting off communication from a communication terminal is received, the communication from the relevant communication terminal is cut off.
本開示の解析監視サーバは、
通信端末ごとに、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータを受信し、
受信した前記ビットマップ構造のデータを通信端末ごとに記憶し、
記憶した通信端末の前記ビットマップ構造のデータと前記記憶した通信端末の過去のビットマップ構造のデータとを比較して、異常であると判断したときに、当該通信端末からの通信を遮断するための遮断情報を送信することを特徴とする。
The analysis and monitoring server of the present disclosure includes:
receiving bitmap data representing the amount of traffic of the mirrored communication for each communication terminal in binary;
storing the received bitmap structure data for each communication terminal;
The bitmap structure data stored for the communication terminal is compared with past bitmap structure data stored for the communication terminal, and when it is determined that there is an abnormality, blocking information for blocking communication from the communication terminal is transmitted.
本開示のネットワーク監視制御方法は、
監視制御装置及び解析監視サーバを用いたネットワーク監視制御方法であって、
前記監視制御装置は、
通信端末からの通信をミラーリングし、
通信端末ごとに、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換し、
前記ビットマップ構造のデータを前記解析監視サーバに送信し、
前記解析監視サーバは、
前記監視制御装置から前記ビットマップ構造のデータを受信し、
受信した前記ビットマップ構造のデータを通信端末ごとに記憶し、
記憶した通信端末の前記ビットマップ構造のデータと前記記憶した通信端末の過去のビットマップ構造のデータとを比較して、異常であると判断したときに、当該通信端末からの通信を遮断するための遮断情報を前記監視制御装置に送信し、
前記監視制御装置は、
前記解析監視サーバから前記遮断情報を受信すると該当する通信端末からの通信を遮断すること
を特徴とする。
The network monitoring and control method of the present disclosure includes:
A network monitoring control method using a monitoring control device and an analysis monitoring server,
The monitoring and control device includes:
Mirroring communication from communication terminals,
For each communication terminal, the traffic volume of the mirrored communication is converted into binary bitmap data.
Transmitting the bitmap structure data to the analysis and monitoring server;
The analysis and monitoring server includes:
receiving the bitmap structure data from the monitoring and control device;
storing the received bitmap structure data for each communication terminal;
comparing the stored bitmap structure data of the communication terminal with past bitmap structure data of the communication terminal, and when determining that an abnormality exists, transmitting cutoff information for cutting off communication from the communication terminal to the monitoring control device;
The monitoring and control device includes:
When the blocking information is received from the analysis and monitoring server, communication from the corresponding communication terminal is blocked.
本開示のネットワーク監視制御システム及びネットワーク監視制御方法は、通信端末のトラヒック量の監視制御に必要なコンピューティングリソースを低減し、ネットワークへの負荷を軽減することができる。 The network monitoring and control system and network monitoring and control method disclosed herein can reduce the computing resources required to monitor and control the traffic volume of communication terminals, thereby reducing the load on the network.
本開示の監視制御装置は、通信端末のトラヒック量の監視制御に必要なコンピューティングリソースを低減し、ネットワークへの負荷を軽減することができる。 The monitoring and control device disclosed herein can reduce the computing resources required to monitor and control the traffic volume of communication terminals, thereby reducing the load on the network.
本開示の解析監視サーバは、通信端末のトラヒック量の監視制御に必要なコンピューティングリソースを低減することができる。 The analysis and monitoring server disclosed herein can reduce the computing resources required to monitor and control the traffic volume of communication terminals.
以下、本開示の実施形態について、図面を参照しながら詳細に説明する。なお、本開示は、以下に示す実施形態に限定されるものではない。これらの実施の例は例示に過ぎず、本開示は当業者の知識に基づいて種々の変更、改良を施した形態で実施することができる。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。 The following describes in detail the embodiments of the present disclosure with reference to the drawings. Note that the present disclosure is not limited to the embodiments shown below. These implementation examples are merely illustrative, and the present disclosure can be implemented in various forms with various modifications and improvements based on the knowledge of those skilled in the art. Note that components with the same reference numerals in this specification and drawings are considered to be identical to each other.
本実施形態のネットワーク監視制御システムの構成の一例を図2に示す。図2において、10は監視制御装置、20は解析監視サーバ、50は通信端末としてのIoTデバイス、51はネットワーク、52はIoTサーバである。複数のIoTデバイス50がネットワーク51を介してIoTサーバ52に接続されている。IoTデバイス50が例えば、センサデバイスの場合、IoTデバイス50は収集したセンシング情報を、ネットワーク51を介してIoTサーバ52に送信する。IoTサーバ52は収集したセンシング情報をデータ処理する。
An example of the configuration of the network monitoring and control system of this embodiment is shown in FIG. 2. In FIG. 2, 10 is a monitoring and control device, 20 is an analysis and monitoring server, 50 is an IoT device serving as a communication terminal, 51 is a network, and 52 is an IoT server. A plurality of
本実施形態のネットワーク監視制御システムでは、IoTデバイス50とネットワーク51との間に監視制御装置10を備え、監視制御装置10にネットワーク経由で接続される解析監視サーバ20を備える。監視制御装置10及び解析監視サーバ20が連動して、IoTデバイス50を監視制御する。
The network monitoring and control system of this embodiment includes a monitoring and
監視制御装置10は複数のIoTデバイス50を収容してもよい。監視制御装置10は、IoTデバイス50からの通信をミラーリングし、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換し、IoTデバイスごとのビットマップ構造のデータを解析監視サーバ20に送信する。監視制御装置10から解析監視サーバ20への送信は、IoTデバイス50への送信と同じネットワーク経由でもよく、異なるネットワーク経由でもよい。
The
監視制御装置10は、IoTデバイス50からの通信そのものを複製して送信することなく、通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換して送信するため、ネットワークの負荷を軽減することができる。また、バイナリで表されるビットマップ構造のデータは解析監視サーバ20のコンピューティングリソースを低減することができる。
The
解析監視サーバ20は複数の監視制御装置10からIoTデバイスごとのビットマップ構造のデータを受信し、記憶する。解析監視サーバ20は、IoTデバイスごとのビットマップ構造のデータを長期間にわたって記憶している。IoTデバイスごとに、記憶したビットマップ構造のデータを過去のデータと比較して、新たに記憶したIoTデバイスのビットマップ構造のデータが異常であると判断すると、そのIoTデバイスの通信を遮断するための遮断情報を監視制御装置10に送信する。
The
記憶したビットマップ構造のデータを過去のデータと比較して、新たに記憶したIoTデバイスのビットマップ構造のデータが異常であると判断する例として、記憶した通信端末のビットマップ構造のデータにおける時間当たりのビットの数が、記憶した通信端末の過去のビットマップ構造のデータにおける時間当たりのビットの数の最高値よりも多いときに、当該通信端末からの通信が異常であると判断することが挙げられる。 As an example of comparing stored bitmap structure data with past data and determining that newly stored bitmap structure data of an IoT device is abnormal, when the number of bits per hour in the stored bitmap structure data of a communication terminal is greater than the maximum number of bits per hour in past bitmap structure data stored for the communication terminal, it can be determined that communication from that communication terminal is abnormal.
時間当たりのビットの数が、過去の最高値よりも多ければ、IoTデバイスからのトラヒック量が異常である可能性が高いからである。 If the number of bits per hour is higher than the highest value in the past, there is a high possibility that the amount of traffic from IoT devices is abnormal.
他の例として、記憶した通信端末のビットマップ構造のデータにおける時間当たりのビットの数が、記憶した通信端末の過去のビットマップ構造のデータにおける時間当たりのビットの数の平均値の所定倍よりも多いときに、当該通信端末からの通信が異常であると判断することが挙げられる。 As another example, when the number of bits per time in the stored bitmap structure data of a communication terminal is greater than a predetermined multiple of the average number of bits per time in the stored past bitmap structure data of the communication terminal, the communication from that communication terminal is determined to be abnormal.
時間当たりのビットの数が、過去の平均値の所定倍よりも多ければ、IoTデバイスからのトラヒック量が異常である可能性が高いからである。所定倍は予め任意の値を設定しておけばよい。 If the number of bits per hour is more than a certain multiple of the past average value, there is a high possibility that the traffic volume from the IoT device is abnormal. The certain multiple can be set to any value in advance.
例えば、1時間当たりのビットの数が過去の最高値又は時間当たりのビットの数の平均値の所定倍よりも多いときは、当該通信端末からの通信が異常であると判断する。1時間当たりのビットの数だけでなく、1か月当たりのビットの数、1週間当たりのビットの数、1日当たりのビットの数等でもよい。単位時間を短くすると即応できるが、エラーも発生し易くなる。平均値の所定倍としては、平均値の2倍以上や10倍以上が例示できる。 For example, if the number of bits per hour is greater than the highest value in the past or a specified multiple of the average number of bits per hour, it is determined that the communication from the communication terminal is abnormal. In addition to the number of bits per hour, the number of bits per month, the number of bits per week, the number of bits per day, etc. may also be used. Shortening the unit time allows for a quick response, but also makes errors more likely to occur. Examples of the specified multiple of the average value include 2 or more times the average value, or 10 or more times the average value.
これらの判断方法は、解析も容易であるため、解析監視サーバ20は高度な処理をすることなく、容易に判断することができる。
These determination methods are easy to analyze, so the analysis and
解析監視サーバ20は、複数の監視制御装置10からのビットマップ構造のデータを集中処理するため、監視制御装置10の負担が軽減される。また、通信の異常を解析する際に、通信自体を解析するのではなく、ビットマップ構造のデータを解析するため、高度な処理は不要となる。その結果、解析に必要なコンピューティングリソースを低減することができる。
The
解析監視サーバ20からの遮断情報を受信した監視制御装置10は、該当するIoTデバイス50からの通信を遮断する。その結果、攻撃対象へのDDoS攻撃等を防止することができる。
When the
監視制御装置10の構成を図3に示す。10は監視制御装置、11は監視部、12は収集部、13は解析変換部、14は通信部、15は制御部である。監視部11は、通信端末としてのIoTデバイス(不図示)からIoTサーバ(不図示)への通信を透過的に扱う。同時に、その通信をミラーリングし、収集部12にミラーリング信号として出力する。収集部12は、監視部11からのミラーリング信号を一部記録しつつ、定期的に解析変換部13へとミラーリング信号を出力する。解析変換部13は、ミラーリング信号のトラヒック量を分析して、バイナリで表されるビットマップ構造のデータに変換する。ビットマップ構造のデータはミラーリング信号に比較して、大幅にデータ量が軽減されている。
The configuration of the
解析変換部13が変換するビットマップ構造のデータの例として、ミラーリングした通信の所定時間内での通信の有無をバイナリで表されるビットマップ構造のデータが挙げられる。例えば、所定時間内で通信があれば「1」とし、通信がなければ「0」とする。通信の有無で単純にバイナリ表現するため、コンピュータリソースを低減することができる。
An example of bitmap structure data converted by the analysis and
他の例として、ミラーリングした通信の所定時間内のトラヒック量を予め定めた閾値で閾値判定した結果をバイナリで表されるビットマップ構造のデータが挙げられる。例えば、通信の所定時間内のトラヒック量を予め定めた閾値で閾値判定し、超えていれば「1」とし、超えていなければ「0」とする。通信のトラヒック量を予め定めた閾値で閾値判定した結果をバイナリ表現するため、コンピュータリソースを低減することができる。また、所定値を設定変更すれば、トラヒック量の変動状況に応じて閾値を可変することができる。 Another example is bitmap data that represents the result of threshold-determining the amount of traffic of mirrored communication within a specified time period using a predetermined threshold in binary. For example, the traffic volume of communication within a specified time period is threshold-determined using a predetermined threshold, and if it exceeds the threshold, it is set to "1", and if it does not exceed the threshold, it is set to "0". Since the result of threshold-determining the amount of traffic of communication using a predetermined threshold is expressed in binary, computer resources can be reduced. Furthermore, by changing the setting of the predetermined value, the threshold can be changed according to fluctuations in the amount of traffic.
解析変換部13は、高度な処理をすることなく、トラヒック量を容易に解析して、ビットマップ構造のデータに変換することができる。
The analysis and
解析変換部13に入力されるミラーリング信号のトラヒック量を、バイナリで表されるビットマップ構造のデータに変換した例を図4に示す。図4において、横軸は1時間単位で0時から24時まで、曜日単位で月曜日から日曜日まで、月単位で1月から12月まで、日単位で1日から365日までを表している。縦軸はアクセス数の多い宛先IPアドレスを1位から100位まで順に並べている。
Figure 4 shows an example of the traffic volume of the mirroring signal input to the analysis and
ミラーリング信号は、通信信号そのものであるため、膨大なデータ量となる。解析変換部13は、通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換する。
The mirroring signal is a communication signal itself, so it is a huge amount of data. The analysis and
このように、監視制御装置10は、通信のトラヒック量として、通信の有無又はトラヒック量を予め定めた閾値で閾値判定した結果をバイナリで表されるビットマップ構造のデータに変換するため、通信そのものよりも大幅に情報量を削減することができる。
In this way, the monitoring and
通信部14は、ビットマップ構造のデータを解析監視サーバに送信する。また、解析監視サーバからの遮断情報を受信する。制御部15は、通常はIoTデバイス(不図示)からIoTサーバ(不図示)への通信を透過的に扱うよう監視部11を制御する。通信部14から遮断情報が入力されると、制御部15は監視部11にIoTデバイス(不図示)からの通信を遮断させる。
The
以上説明したように、本開示のネットワーク監視制御システム及びネットワーク監視制御方法は、IoTデバイス50からの通信そのものを複製して送信することなく、通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換して送信し、ビットマップ構造のデータを基にIoTデバイス50の通信を監視制御する。このため、監視制御装置と解析監視サーバとの間のネットワークへの負荷を軽減して、解析監視サーバのコンピュータリソースを低減しつつ、IoTデバイス50が攻撃対象へのDDoS攻撃等することを防止することができる。
As described above, the network monitoring and control system and network monitoring and control method disclosed herein do not copy and transmit the communication itself from the
本発明の監視制御装置及び解析監視サーバは、コンピュータとプログラムによっても実現できる。そのプログラムは、記録媒体に記録することも、ネットワークを通して提供することも可能である。 The monitoring control device and analysis monitoring server of the present invention can also be realized by a computer and a program. The program can be recorded on a recording medium or provided via a network.
本開示は情報通信産業に適用することができる。 This disclosure can be applied to the information and communications industry.
10:監視制御装置
11:監視部
12:収集部
13:解析変換部
14:通信部
15:制御部
20:解析監視サーバ
50:IoTデバイス
51:ネットワーク
52:IoTサーバ
10: Monitoring and control device 11: Monitoring unit 12: Collection unit 13: Analysis and conversion unit 14: Communication unit 15: Control unit 20: Analysis and monitoring server 50: IoT device 51: Network 52: IoT server
Claims (8)
前記監視制御装置は、
通信端末からの通信をミラーリングし、
通信端末ごとに、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換し、
前記ビットマップ構造のデータを前記解析監視サーバに送信し、
通信端末からの通信を遮断するための遮断情報を前記解析監視サーバから受信すると該当する通信端末からの通信を遮断すること、
前記解析監視サーバは、
前記監視制御装置から前記ビットマップ構造のデータを受信し、
受信した前記ビットマップ構造のデータを通信端末ごとに記憶し、
記憶した通信端末の前記ビットマップ構造のデータと前記記憶した通信端末の過去のビットマップ構造のデータとを比較して、異常であると判断したときに、当該通信端末からの通信を遮断するための遮断情報を前記監視制御装置に送信すること、
を特徴とするネットワーク監視制御システム。 A monitoring control device and an analysis monitoring server are provided,
The monitoring and control device includes:
Mirroring communication from communication terminals,
For each communication terminal, the traffic volume of the mirrored communication is converted into binary bitmap data.
Transmitting the bitmap structure data to the analysis and monitoring server;
When cut-off information for cutting off communication from a communication terminal is received from the analysis monitoring server, the communication from the corresponding communication terminal is cut off;
The analysis and monitoring server includes:
receiving the bitmap structure data from the monitoring and control device;
storing the received bitmap structure data for each communication terminal;
comparing the stored bitmap structure data of the communication terminal with past bitmap structure data of the communication terminal, and when determining that an abnormality exists, transmitting cutoff information for cutting off communication from the communication terminal to the monitoring control device;
A network monitoring and control system comprising:
通信端末ごとに、ミラーリングした通信の所定時間内での通信の有無をバイナリで表されるビットマップ構造のデータに変換し、
前記ビットマップ構造のデータを送信し、
通信端末からの通信を遮断するための遮断情報を受信すると該当する通信端末からの通信を遮断することを特徴とする監視制御装置。 Mirroring communication from communication terminals,
For each communication terminal, converting the presence or absence of mirrored communication within a predetermined period of time into binary bitmap data;
Transmitting the bitmap structure data;
A monitoring and control device characterized in that, when cut-off information for cutting off communication from a communication terminal is received, the monitoring and control device cuts off communication from the corresponding communication terminal.
受信した前記ビットマップ構造のデータを通信端末ごとに記憶し、
記憶した通信端末の前記ビットマップ構造のデータと前記記憶した通信端末の過去のビットマップ構造のデータとを比較して、異常であると判断したときに、当該通信端末からの通信を遮断するための遮断情報を送信することを特徴とする解析監視サーバ。 receiving bitmap data representing the amount of traffic of the mirrored communication for each communication terminal in binary;
storing the received bitmap structure data for each communication terminal;
An analysis and monitoring server characterized by comparing the stored bitmap structure data of a communication terminal with past bitmap structure data of the stored communication terminal, and when it determines that there is an abnormality, sending blocking information to block communication from the communication terminal.
前記監視制御装置は、
通信端末からの通信をミラーリングし、
通信端末ごとに、ミラーリングした通信のトラヒック量をバイナリで表されるビットマップ構造のデータに変換し、
前記ビットマップ構造のデータを前記解析監視サーバに送信すること、
前記解析監視サーバは、
前記監視制御装置から前記ビットマップ構造のデータを受信し、
受信した前記ビットマップ構造のデータを通信端末ごとに記憶し、
記憶した通信端末の前記ビットマップ構造のデータと前記記憶した通信端末の過去のビットマップ構造のデータとを比較して、異常であると判断したときに、当該通信端末からの通信を遮断するための遮断情報を前記監視制御装置に送信し、
前記監視制御装置は、
前記解析監視サーバから前記遮断情報を受信すると該当する通信端末からの通信を遮断すること
を特徴とするネットワーク監視制御方法。
A network monitoring control method using a monitoring control device and an analysis monitoring server,
The monitoring and control device includes:
Mirroring communication from communication terminals,
For each communication terminal, the traffic volume of the mirrored communication is converted into binary bitmap data.
Transmitting the bitmap structure data to the analysis monitoring server;
The analysis and monitoring server includes:
receiving the bitmap structure data from the monitoring and control device;
storing the received bitmap structure data for each communication terminal;
comparing the stored bitmap structure data of the communication terminal with past bitmap structure data of the communication terminal, and when determining that an abnormality exists, transmitting cutoff information for cutting off communication from the communication terminal to the monitoring control device;
The monitoring and control device includes:
A network monitoring control method, comprising the steps of: upon receiving the blocking information from the analysis and monitoring server, blocking communication from the corresponding communication terminal.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021026228A JP7563227B2 (en) | 2021-02-22 | 2021-02-22 | Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021026228A JP7563227B2 (en) | 2021-02-22 | 2021-02-22 | Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022127966A JP2022127966A (en) | 2022-09-01 |
| JP7563227B2 true JP7563227B2 (en) | 2024-10-08 |
Family
ID=83060910
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021026228A Active JP7563227B2 (en) | 2021-02-22 | 2021-02-22 | Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7563227B2 (en) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004328307A (en) | 2003-04-24 | 2004-11-18 | Mitsubishi Electric Corp | Attack defense system, attack defense control server and attack defense method |
| JP2008244640A (en) | 2007-03-26 | 2008-10-09 | Oki Electric Ind Co Ltd | System, method, and program for analyzing monitoring information, network monitoring system, and management device |
| JP2017143583A (en) | 2014-06-18 | 2017-08-17 | 日本電信電話株式会社 | Network system |
| JP2019101711A (en) | 2017-12-01 | 2019-06-24 | 日本電信電話株式会社 | Abnormality class determination device, abnormality class determination method and program |
-
2021
- 2021-02-22 JP JP2021026228A patent/JP7563227B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004328307A (en) | 2003-04-24 | 2004-11-18 | Mitsubishi Electric Corp | Attack defense system, attack defense control server and attack defense method |
| JP2008244640A (en) | 2007-03-26 | 2008-10-09 | Oki Electric Ind Co Ltd | System, method, and program for analyzing monitoring information, network monitoring system, and management device |
| JP2017143583A (en) | 2014-06-18 | 2017-08-17 | 日本電信電話株式会社 | Network system |
| JP2019101711A (en) | 2017-12-01 | 2019-06-24 | 日本電信電話株式会社 | Abnormality class determination device, abnormality class determination method and program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022127966A (en) | 2022-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12445483B2 (en) | Authoritative domain name system (DNS) server responding to DNS requests with IP addresses selected from a larger pool of IP addresses | |
| US8732832B2 (en) | Routing apparatus and method for detecting server attack and network using the same | |
| KR101812403B1 (en) | Mitigating System for DoS Attacks in SDN | |
| US11005814B2 (en) | Network security | |
| US10693890B2 (en) | Packet relay apparatus | |
| WO2013032775A1 (en) | Method and protection system for mitigating slow http attacks using rate and time monitoring | |
| US20140304817A1 (en) | APPARATUS AND METHOD FOR DETECTING SLOW READ DoS ATTACK | |
| US20130305347A1 (en) | Methods, Systems, and Computer Readable Media for Adaptive Assignment of an Active Security Association Instance in a Redundant Gateway Configuration | |
| Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
| US10313238B2 (en) | Communication system, communication method, and non-transitiory computer readable medium storing program | |
| WO2019181550A1 (en) | Abnormal traffic analysis apparatus, abnormal traffic analysis method, and abnormal traffic analysis program | |
| JP7563227B2 (en) | Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method | |
| US20170142132A1 (en) | Monitoring Network Traffic | |
| Hyder et al. | Closed-loop DDoS mitigation system in software defined networks | |
| JP6272258B2 (en) | Optimization device, optimization method, and optimization program | |
| US20100157806A1 (en) | Method for processing data packet load balancing and network equipment thereof | |
| CN114172881B (en) | Network security verification method, device and system based on prediction | |
| RU186198U1 (en) | Host Level Intrusion Detector | |
| JP2018037961A (en) | Flow analysis apparatus, traffic analysis system, and flow analysis method | |
| KR102695124B1 (en) | METHOD AND APPARATUS OF DETCTING ToB IN IoT ENVIRONMENT BASED ON GATEWAY | |
| JP6679516B2 (en) | Control device and control method | |
| CN119696914A (en) | A trapping capability monitoring system based on network security equipment linkage | |
| KR20250172039A (en) | System for IoT terminal infection malicious file collection and method for operation | |
| JP2021083128A (en) | Monitoring device, switch, communication device, communication system, monitoring method, and monitoring program | |
| WO2017082918A1 (en) | Redirecting flow control packets |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230608 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240315 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240326 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240521 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240827 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240909 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7563227 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |