[发明专利]网络监视装置和网络监视方法

说明书

网络监视装置(100)具有日志收集部(151)和日志分析部(152)。日志收集部(151)针对在网络中传输的分组，收集与从网络中包含的FW(200)以及代理服务器(300)中的至少一方通过的分组相关的日志信息。日志分析部(152)随时间的经过，分析由日志收集部(151)收集到的日志信息，由此，提取在规定期间中满足规定条件的日志信息。

技术领域

本发明涉及用于协助检测来自互联网等外部网络的网络攻击或向外部网络的信息泄漏的技术。

背景技术

近年来，对经由网络提供的各种服务或基础设施等进行攻击的非法通信(网络攻击)向使用多种各种方法的方式日益发展，威胁不断增大。作为针对这样的非法通信的对策技术，例如公知有FW(FireWall：防火墙)或IDS(Intrusion Detection System：入侵检测系统)、IPS(Intrusion Prevention System：入侵防御系统)等。图8是用于说明现有技术的对策技术的一例的图。

例如，如图8所示，FW作为路由器等网络装置的分组过滤功能或专用装置而配置在内部网络与外部网络的连接点。而且，例如，FW由内部网络中包含的终端的用户设定规则，以仅使内部网络中包含的终端向外部网络的终端提供的服务的分组以及用于供内部网络的终端利用外部网络的终端提供的服务的分组通过，将其它分组屏蔽。

此外，例如IDS或IPS作为路由器等网络装置的功能或专用装置而被提供。此处，例如，如图8所示，IDS或IPS存在如下类型：签名型，将取得的分组与预先定义的攻击分组的模式进行匹配，由此检测攻击；以及异常型，使用取得的分组或从网络设备收集到的各种日志、统计信息，来监视通信量，分析监视数据，由此检测异常的通信量。

举出一例，在签名型中，如图8所示，在FW通过后的地点取得分组，判定该分组中是否含有非法比特串，在存在非法比特串的情况下，检测为异常。此外，例如，在异常型中，对内部网络的终端中的资源的附加或通信量等行为定义正常状态，在偏离该状态的情况下，检测为异常。例如，如图8所示，在上述技术中检测出异常时，通过输出警报来向网络管理者通知异常。

现有技术文献

专利文献

专利文献1：日本特开2008-219149号公报

专利文献2：日本特开2006-115007号公报

专利文献3：日本特开2005-210601号公报

发明内容

发明要解决的问题

但是，在上述现有技术中，作为针对非法通信的对策技术，存在一定的限制。例如，在FW中，按每一分组决定能否通过，如果单一地观察关于攻击成功时通过的分组的日志，则不能区分出攻击者的通信等，作为对策技术，存在一定的限制。此外，例如，在IDS或IPS的签名型中，也基于预先定义的模式，因此，对未知的攻击应对迟缓，作为对策技术，存在一定的限制。此外，例如，在IDS或IPS的异常型中，如果将正常状态定义得较严格，则产生很多误检测，难以无遗漏地检测非法通信，作为对策技术，存在一定的限制。

因此，本申请的技术是鉴于上述现有技术问题而完成的，目的在于提供能够高精度地检测非法通信的网络监视装置和网络监视方法。

用于解决问题的手段