[发明专利]网络监视装置和网络监视方法

权利要求书

1.一种网络监视装置，其设置在网络内，检测有非法嫌疑的通信，所述网络具有设置在与外部网络之间的连接点以及内部的区段分割点中的至少一方的防火墙以及Web访问用的代理服务器，传输IP分组，所述网络监视装置的特征在于，该网络监视装置具有：

日志收集部，其从所述防火墙及所述代理服务器中的至少一方收集日志数据并保存；以及

日志分析部，其根据由所述日志收集部收集的日志数据，在满足设定的分析条件的规定期间内，提取日志数据，按照设定的分析条件分析所述日志数据，输出非法通信的候选作为分析结果；

由所述日志收集部保存的日志数据是包含五元组、发送大小、接收大小、从http报头提取出的信息、时间戳中的至少一个以上的信息，从所述http报头提取出的信息包含目的地URL、User-Agent名以及请求方法中的至少一个以上。

2.根据权利要求1所述的网络监视装置，其特征在于，

所述日志分析部能够设定多个用于对多个所述日志数据分析时序相关性的分析条件，按照各分析条件执行分析。

3.根据权利要求2所述的网络监视装置，其特征在于，

所述日志分析部从所述各分析条件下的分析结果的组合模式中检测非法通信的候选并输出。

4.根据权利要求1～3中的任意一项所述的网络监视装置，其特征在于，

在所述日志分析部中基于针对作为监视对象的网络的信息，判别作为日志数据的对象的通信的方向，基于判别出的方向和该日志数据执行分析。

5.根据权利要求3所述的网络监视装置，其特征在于，

所述日志收集部收集包含所述五元组和所述时间戳的信息作为所述日志数据，

所述日志分析部基于由所述日志收集部收集到的日志数据，提取在规定期间中通信的连接数以及间隔满足规定条件的日志数据。

6.根据权利要求3所述的网络监视装置，其特征在于，

所述日志收集部收集包含所述五元组、所述发送大小、所述接收大小和所述时间戳的信息作为所述日志数据，

所述日志分析部基于由所述日志收集部收集到的日志数据，提取在规定期间中所述IP分组的收发大小满足规定条件的日志数据。

7.根据权利要求3所述的网络监视装置，其特征在于，

所述日志收集部收集包含所述五元组、所述目的地URL、所述User-Agent名、所述请求方法、所述时间戳的信息作为所述日志数据，

所述日志分析部基于由所述日志收集部收集到的日志数据，提取在规定期间中所述日志数据中包含的原始的通信的报头信息满足规定条件的日志数据。

8.一种网络监视方法，由网络监视装置执行，该网络监视装置设置在网络内，检测有非法嫌疑的通信，所述网络具有设置在与外部网络之间的连接点以及内部的区段分割点中的至少一方的防火墙以及Web访问用的代理服务器，传输IP分组，所述网络监视方法的特征在于，包含以下步骤：

日志收集步骤，从所述防火墙及所述代理服务器中的至少一方收集日志数据并保存；以及

日志分析步骤，根据通过所述日志收集步骤收集的日志数据，在满足设定的分析条件的规定期间内，提取日志数据，按照设定的分析条件分析所述日志数据，输出非法通信的候选作为分析结果，

通过所述日志收集步骤保存的日志数据为包含五元组、发送大小、接收大小、从http报头提取出的信息、时间戳中的至少一个以上的信息，从所述http报头提取出的信息包含目的地URL、User-Agent名以及请求方法中的至少一个以上。