監視装置、監視方法、解析装置、解析方法及びコンピュータプログラム
【課題】通信データの解析をより容易にすること。
【解決手段】監視装置であって、通信データの情報を記憶するログ記憶部と、通信路を流れる通信データを受信する通信部と、各通信データについて、予め設定された監視対象のプロトコルの通信データであるか否か判定するプロトコル判定部と、前記監視対象のプロトコルの通信データの情報を前記ログ記憶部に書き込むログ制御部と、を備える。さらに、監視対象のプロトコルにおいて定められている通信の手続きを予め記憶する通信手続記憶部と、前記監視対象のプロトコルの通信データの時系列の情報が、前記通信手続記憶部に記憶されている前記通信の手続きに沿っているか否か判定する手続判定部と、をさらに備えるように構成されても良い。
【解決手段】監視装置であって、通信データの情報を記憶するログ記憶部と、通信路を流れる通信データを受信する通信部と、各通信データについて、予め設定された監視対象のプロトコルの通信データであるか否か判定するプロトコル判定部と、前記監視対象のプロトコルの通信データの情報を前記ログ記憶部に書き込むログ制御部と、を備える。さらに、監視対象のプロトコルにおいて定められている通信の手続きを予め記憶する通信手続記憶部と、前記監視対象のプロトコルの通信データの時系列の情報が、前記通信手続記憶部に記憶されている前記通信の手続きに沿っているか否か判定する手続判定部と、をさらに備えるように構成されても良い。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークを流れる通信データを監視するための技術に関する。
【背景技術】
【0002】
LAN(Local Area Network)がインターネットに接続できないという障害が生じた場合、専門的知識を有した者(以下、「専門家」という。)がLANアナライザ等の解析ツールを用いて原因を調べることが一般的である(例えば特許文献1参照)。この処理の具体的な流れは以下のとおりである。LANアナライザは、監視対象となるネットワークのある地点(以下、「キャプチャポイント」という。)に設置される。LANアナライザは、汎用的な装置であり、キャプチャポイントを通った全ての通信データをログとして記録する。専門家は、LANアナライザを操作することによって、記録されたログの解析を行い、障害の原因を判断する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2010−288164号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、キャプチャポイントにおいて記録されたログには、様々な通信に起因した通信データが含まれている。そのため、インターネットに接続できないという障害に関連する通信データをログの中から抽出するためには専門的な知識を要する。また、LANアナライザの操作にも専門的な知識が必要であった。そのため、インターネットに接続できないという障害に関して、専門的な知識を有していない使用者がその原因を判断することは困難であった。また、このような問題は、インターネットに接続できないという障害に関わらず、様々な種類の障害に共通する問題であった。また、このような問題は、LAN以外のネットワークにおいても共通して生じる問題であった。
【0005】
上記事情に鑑み、本発明は、通信データの解析をより容易にする技術を提供することを目的としている。
【課題を解決するための手段】
【0006】
本発明の一態様は、監視装置であって、通信データの情報を記憶するログ記憶部と、通信路を流れる通信データを受信する通信部と、各通信データについて、予め設定された監視対象のプロトコルの通信データであるか否か判定するプロトコル判定部と、前記監視対象のプロトコルの通信データの情報を前記ログ記憶部に書き込むログ制御部と、を備える。
【0007】
本発明の一態様は、上記の監視装置であって、前記監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部と、前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続きに沿って送受信されているか否か判定する手続判定部と、をさらに備える。
【0008】
本発明の一態様は、上記の監視装置であって、前記通信データが、一の方向に流れる通信データによって始まった通信手続に関する通信データであるか、他の方向に流れる通信データによって始まった通信手続に関する通信データであるかを判定する方向判定部をさらに備え、前記手続判定部は、前記方向判定部によって前記一の方向に流れる通信データによって始まった通信手続に関する通信データであると判定された通信データのみについて前記判定を行う。
【0009】
本発明の一態様は、監視方法であって、通信データの情報を記憶するログ記憶部を備える監視装置が、通信路を流れる通信データを受信する通信ステップと、前記監視装置が、各通信データについて、予め設定された監視対象のプロトコルの通信データであるか否か判定するプロトコル判定ステップと、前記監視装置が、前記監視対象のプロトコルの通信データの情報を前記ログ記憶部に書き込むログ制御ステップと、を有する。
【0010】
本発明の一態様は、通信データの情報を記憶するログ記憶部を備えるコンピュータに対し、通信路を流れる通信データを受信する通信ステップと、各通信データについて、予め設定された監視対象のプロトコルの通信データであるか否か判定するプロトコル判定ステップと、前記監視対象のプロトコルの通信データの情報を前記ログ記憶部に書き込むログ制御ステップと、を実行させるためのコンピュータプログラムである。
【0011】
本発明の一態様は、解析装置であって、監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部と、通信データの情報が記録されたログ記憶部から前記通信データの時系列の情報を読み出し、前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続に沿って送受信されているか否か判定する手続判定部と、前記手続判定部の判定結果を出力する出力部と、を備える。
【0012】
本発明の一態様は、上記の解析装置であって、前記通信データが、一の方向に流れる通信データによって始まった通信手続に関する通信データであるか、他の方向に流れる通信データによって始まった通信手続に関する通信データであるかを判定する方向判定部をさらに備え、前記手続判定部は、前記方向判定部によって前記一の方向に流れる通信データによって始まった通信手続に関する通信データであると判定された通信データのみについて前記判定を行う。
【0013】
本発明の一態様は、解析方法であって、監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部を備える解析装置が、通信データの情報が記録されたログ記憶部から前記通信データの時系列の情報を読み出すステップと、前記解析装置が、前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続に沿って送受信されているか否か判定する手続判定ステップと、前記解析装置が、前記手続判定ステップにおける判定結果を出力する出力ステップと、を有する。
【0014】
本発明の一態様は、監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部を備えるコンピュータに対し、通信データの情報が記録されたログ記憶部から前記通信データの時系列の情報を読み出すステップと、前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続に沿って送受信されているか否か判定する手続判定ステップと、前記手続判定ステップにおける判定結果を出力する出力ステップと、を実行させるためのコンピュータプログラムである。
【発明の効果】
【0015】
本発明により、通信データの解析をより容易にすることが可能となる。
【図面の簡単な説明】
【0016】
【図1】監視システムのシステム構成を表すシステム構成図である。
【図2】監視装置の機能構成を表す概略ブロック図である。
【図3】方向判定部が特定アドレス情報を取得する際の処理の流れを表すフローチャートである。
【図4】特定アドレス情報が登録された後の監視装置の処理の流れを表すフローチャートである。
【図5】監視システムの変形例を表す図である。
【図6】解析装置の機能構成を表す概略ブロック図である。
【発明を実施するための形態】
【0017】
[監視システム]
図1は、監視システム1のシステム構成を表すシステム構成図である。監視システム1は、通信端末10、ルータ20、ミラーリング装置30、監視装置40、ONU(Optical Network Unit:光回線終端装置)50を備える。監視システム1のネットワークは、LAN(Local Area Network)で構成され、ONU50を介して通信網60に接続される。通信端末10は、通信可能な情報処理装置である。通信端末10は、ルータ20、ミラーリング装置30、ONU50を介して通信網60に接続された他の通信装置とパケット通信する。通信端末10が行う通信には様々な種類のプロトコルの通信がある。ルータ20は、監視システム1のネットワークにおいてルーティングを行う。ミラーリング装置30は、ルータ20とONU50との間に設置される。ミラーリング装置30は、ルータ20及びONU50の間を流れる通信データ(パケット)を監視装置40へミラーリングする。すなわち、ミラーリング装置30は、ルータ20及びONU50の間を流れる通信データを複製して監視装置40へ送信する。
【0018】
図2は、監視装置40の機能構成を表す概略ブロック図である。監視装置40は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備え、監視プログラムを実行する。監視プログラムの実行によって、監視装置40は、通信部401、プロトコル判定部402、方向判定部403、特定アドレス情報記憶部404、通信手続記憶部405、手続判定部406、出力部407、ログ制御部408、ログ記憶部409を備える装置として機能する。なお、監視装置40の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。監視プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。
【0019】
通信部401は、ミラーリング装置30からミラーリングされる通信データを受信する。
プロトコル判定部402は、通信部401によって受信された通信データのプロトコルを判定する。具体的には、プロトコル判定部402は、通信データのヘッダ情報に基づいて、通信データのプロトコルを判定する。そして、プロトコル判定部402は、受信された通信データのプロトコルが、予め定められた監視対象のプロトコル(以下、「監視対象プロトコル」という。)であるか否か判定する。どのようなプロトコルが監視対象プロトコルとして定められるかは、監視システム1のネットワークの性質や監視目的などに応じて設定される。例えば、監視システム1のネットワークがインターネット(通信網60)への接続を目的としたネットワークである場合、インターネットへの接続に関連するプロトコルが監視対象プロトコルとして設定されても良い。例えば、DNS(Domain Name System)、TCP(Transmission Control Protocol)、PPPoE(Point-to-Point Protocol over Ethernet(登録商標))が監視対象プロトコルとして設定されても良い。
【0020】
プロトコル判定部402は、受信された通信データのプロトコルが監視対象プロトコルである場合には、さらにこのプロトコルが方向判定対象のプロトコル(以下、「方向判定対象プロトコル」という。)であるか否か判定する。どのようなプロトコルが方向判定対象プロトコルとして定められるかは、監視システム1のネットワークの性質や監視目的などに応じて設定される。例えば、監視システム1のネットワークがインターネット(通信網60)への接続を目的としたネットワークである場合、インターネットから不正なパケットが送信されてくる可能性のあるプロトコルが方向判定対象プロトコルとして設定されても良い。例えば、DNS及びTCPが方向判定対象プロトコルとして設定されても良い。
【0021】
方向判定部403は、方向判定対象プロトコルの通信データに関し、一の方向(通信端末10から通信網60に向けた方向)に流れる通信データによって始まった通信手続(以下、「監視対象手続」という。)に関する通信データであるか、他の方向(通信網60から通信端末10に向けた方向)に流れる通信データによって始まった通信手続に関する通信データであるかを判定する。以下、この処理を方向判定処理という。
【0022】
具体的には、方向判定部403は、通信端末10によって行われる所定の通信に基づいて、通信端末10のアドレス情報を取得する。アドレス情報とは、例えばIP(Internet Protocol)アドレスや、MAC(Media Access Control)アドレスなど、通信データに含まれる情報のうち通信端末10を表す情報である。方向判定部403は、通信端末10のアドレス情報を特定アドレス情報として特定アドレス情報記憶部404に書き込む。その後、方向判定部403は、特定アドレス情報記憶部404に記憶されている特定アドレス情報と、受信された通信データのヘッダ情報とに基づいて、方向判定処理を行う。
【0023】
特定アドレス情報記憶部404は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。特定アドレス情報記憶部404は、方向判定部403によって判定された通信端末10のアドレス情報を特定アドレス情報として記憶する。
【0024】
通信手続記憶部405は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。通信手続記憶部405は、監視対象プロトコルそれぞれについて正しい通信手続の流れを表す情報(以下、「通信手続情報」という。)を記憶する。例えば、プロトコルがDNSである場合には、まず所定のフォーマットで作成されたDNSクエリが送信され、これに応じてDNSクエリの送信元に対してDNS応答が送信される。これが、DNSの通信手続の流れである。したがって、上記順番で各メッセージの通信データが送受信されることを表す情報が、DNSの通信手続情報として通信手続記憶部405に記憶される。
【0025】
手続判定部406は、手続記憶部405に記憶されている通信手続情報に基づいて、監視対象プロトコルの通信データが正当な手続にそって送受信されているか判定する。
出力部407は、LED(Light Emitting Diode)等のランプや、スピーカー等の音声出力装置や、液晶ディスプレイ装置などの画像表示装置を用いて構成される。出力部407は、手続判定406による判定結果を出力する。例えば出力部407がランプを用いて構成される場合、出力部407は判定結果に応じた態様でランプを点灯させる。例えば出力部407がスピーカーを用いて構成される場合、出力部407は判定結果に応じた態様で音声を出力させる。例えば出力部407が画像表示装置を用いて構成される場合、出力部407は判定結果に応じた文字や画像などを画像表示装置に表示させる。
【0026】
ログ制御部408は、監視対象のプロトコルの通信データの情報をログとしてログ記憶部409に書き込む。また、ログ制御部408は、手続判定部406による判定結果を、通信データの情報に対応付けてログとして書き込む。
ログ記憶部409は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。ログ記憶部409は、ログ制御部408によって書き込まれるログを記憶する。
【0027】
図3は、方向判定部403が特定アドレス情報を取得する際の処理の流れを表すフローチャートである。まず、方向判定部403は、特定のメッセージの通信データが受信されるまで待機する。図3の例では、特定のメッセージはDNSクエリのメッセージである。方向判定部403は、トランザクションIDが登録される前は、DNSクエリが受信されるまで待機する(ステップS101−NO、ステップS104−NO、ステップS105−NO)。DNSクエリが受信されると(ステップS101−YES)、方向判定部403は、受信されたDNSクエリのヘッダ情報から送信元アドレスの情報を取得し、仮特定アドレス情報として登録する(ステップS102)。また、方向判定部403は、受信されたDNSクエリのヘッダ情報からトランザクションIDを取得し登録する(ステップS103)。トランザクションIDとは、DNSの通信手続き毎に割り当てられる識別情報である。同じトランザクションIDのメッセージは同じ通信手続きにおけるメッセージである。そして、ステップS101の処理に戻る。
【0028】
DNS応答が受信されると(ステップS101−NO、ステップS104−YES)、方向判定部403は、DNS応答のヘッダ情報からトランザクションIDを取得し、既に登録されているトランザクションIDと一致するか否か判定する(ステップS105)。DNS応答とは、DNSクエリにおいて要求された情報をDNSクエリの送信元に対して通知するためのメッセージである。そのため、あるDNSクエリと、これに対応するDNS応答とは、そのトランザクションIDが一致する。また、あるDNSクエリの送信元と、これに対応するDNS応答の送信先とは一致する。また、あるDNSクエリの送信先と、これに対応するDNS応答の送信元とは一致する。
【0029】
ステップS105の処理においてトランザクションIDが一致していない場合は(ステップS105−NO)、先の説明のとおりステップS101の処理に戻る。一方、トランザクションIDが一致する場合(ステップS105−YES)、方向判定部403は、DNS応答のヘッダ情報から送信先アドレスの情報を取得し、仮特定アドレス情報と一致するか否か判定する(ステップS106)。一致しない場合(ステップS106−NO)、方向判定部403は、仮特定アドレス情報を破棄し(ステップS107)、ステップS101の処理に戻る。一方、一致する場合(ステップS106−YES)、方向判定部403は、仮特定アドレス情報を特定アドレス情報として特定アドレス情報記憶部404に登録する(ステップS108)。すなわち、この場合方向判定部403は、仮特定アドレス情報を通信端末10のアドレス情報として登録する。
【0030】
図4は、特定アドレス情報が登録された後の監視装置40の処理の流れを表すフローチャートである。まず、通信部401が通信データを受信すると、プロトコル判定部402が受信された通信データのプロトコルを判定する(ステップS201)。プロトコルが監視対象プロトコルでない場合(ステップS202−NO)、手続判定部406は通信手続の正当性を判定せず、ログ制御部408は受信された通信データについてログを記録せず(ステップS203)、この通信データに対する処理は終了する。
【0031】
一方、プロトコルが監視対象プロトコルであり且つ方向判定対象プロトコルでもある場合(ステップS202−YES、ステップS204−YES)、方向判定部403は、受信された通信データが手続開始メッセージであるか否か判定する(ステップS205)。手続開始メッセージとは、そのプロトコルにおける通信手続の契機となるメッセージであり、通信手続の最初に送受信されるメッセージである。方向判定部403は、例えば通信手続き毎に割り当てられる識別情報(以下、「通信手続識別情報」という。)に基づいて手続開始メッセージを判定する。より具体的には、方向判定部403は、受信したメッセージに含まれる通信手続識別情報を記憶しておき、これまでに記憶されていない通信手続識別情報を有するメッセージが受信された場合に、このメッセージが手続開始メッセージであると判定する。通信手続識別情報は、例えばDNSのメッセージであれば、ヘッダ情報のトランザクションIDが相当する。また、TCPのメッセージであれば、IPアドレス及びポート番号の組み合わせが通信手続識別情報に相当する。また、PPPoEのメッセージであれば、セッションIDが通信手続識別情報に相当する。
【0032】
受信された通信データが手続開始メッセージである場合(ステップS205−YES)、方向判定部403は、手続開始メッセージのヘッダから送信元アドレスの情報を取得する(ステップS206)。方向判定部403は、特定アドレス情報記憶部404から特定アドレス情報を読み出し、取得した送信元アドレスの情報と特定アドレス情報とが一致するか否か判定する(ステップS207)。一致しない場合(ステップS207−NO)、方向判定部403は、この手続開始メッセージによって始まる通信手続は監視対象手続ではないと判定する。この場合、手続判定部406は通信手続の正当性を判定せず、ログ制御部408は受信された通信データについてログを記録せず(ステップS208)、この通信データに対する処理は終了する。
【0033】
一方、送信元アドレスの情報と特定アドレス情報とが一致する場合(ステップS207−YES)、方向判定部403は、この手続開始メッセージによって始まる通信手続を監視対象手続であると判定し、この手続開始メッセージの通信手続識別情報を登録する(ステップS209)。そして、ログ制御部408が通信データについてログを記録し(ステップS210)、この通信データに対する処理は終了する。
【0034】
ステップS205の処理において、受信された通信データが手続開始メッセージでない場合(ステップS205−NO)、方向判定部403は方向判定処理を行う。すなわち、方向判定部403は、受信された通信データが、監視対象手続であるか否か判定する(ステップS211)。より具体的には、方向判定部403は、受信された通信データの通信手続識別情報が、監視対象手続の通信手続識別情報として登録されている情報であるか否か判定する。方向判定部403は、登録されている場合は監視対象手続であると判定し、登録されていない場合は監視対象手続ではないと判定する。監視対象手続ではないと判定された場合(ステップS212−NO)、手続判定部406は通信手続の正当性を判定せず、ログ制御部408は受信された通信データについてログを記録せず(ステップS213)、この通信データに対する処理は終了する。
【0035】
一方、監視対象手続であると判定された場合(ステップS212−YES)、手続判定部406が通信手続の正当性を判定する(ステップS214)。例えば、手続判定部406は以下のように通信手続の正当性を判定する。手続判定部406は、通信手続識別情報毎に受信された通信データにおけるメッセージの内容を順に記録しておく。手続判定部406は、新たに受信された通信データにおけるメッセージと通信手続識別情報が同じ過去のメッセージを読み出す。手続判定部406は、通信手続記憶部405から、新たに受信された通信データのプロトコルに対応した通信手続を読み出し、正当な手続きであれば次のどのようなメッセージが受信されるべきか判定する。そして、手続判定部406は、新たに受信された通信データにおけるメッセージが、正当な手続きにおいて次に受信されるべきメッセージと一致するか否か判定する。一致している場合には、手続判定部406は、通信手続が正当であると判定する。一方、一致していない場合には、通信手続が正当でなく、エラーが生じていると判定する。ステップS204において、方向判定対象プロトコルではないと判定された場合(ステップS204−NO)も、手続判定部406は同様に手続の正当性の判定を行う(ステップS214)。
【0036】
次に、出力部407が、手続判定部406による判定結果を出力する(ステップS215)。また、ログ制御部408が通信データについてログを記録し(ステップS216)、この通信データに対する処理は終了する。
【0037】
このように構成された監視システム1では、通信データの解析が容易になる。以下、この効果について説明する。従来の監視装置では、キャプチャポイントを通った全ての通信データがログとして記録されていた。そのため、通信データの中から必要な通信データ抽出する必要があり、解析が大変だった。それに対し、監視システム1では、予め定められた監視対象のプロトコルの通信データのみがログ記憶部409に記録される。そのため、通信データの解析が容易となる。
【0038】
特に、上記説明の具体例では、インターネット接続に必要となるプロトコル(DNS、TCP、PPPoE)の通信データのみが記録される。そのため、通信端末10がインターネット(通信網60)に接続できない場合に、その障害を容易に解析することが可能となる。
【0039】
従来の監視装置は、特定の一つのレイヤに関するログしか記録することができなかった。そのため、ログを解析して障害を特定することなどが困難であった。これに対し、監視システム1では、DNS等の上位プロトコルのログを含めた複数のレイヤのログが記録される。したがって、ログを解析して障害を特定することがより容易になった。
【0040】
従来の監視装置では、各プロトコルの通信手続のどこで問題が生じたか解析するためには専門の知識が必要であった。これに対し、監視システム1では、手続判定部406が各通信データに関して通信手続の正当性を判定し、その結果が出力部407によって出力される。そのため、専門の知識が無くとも、どのプロトコルのどの通信手続段階において障害が生じているのか判断することが可能となる。
【0041】
TCPのポートが開いているか否かを調べるために、不正な通信データが通信網60から送信されてくる場合がある。そのような不正な通信データによる悪影響を抑えるため、ルータ20や通信端末10は、このような不正な通信データに対して応答しないように設計されることが多い。しかし、このように設計されたルータ20や通信端末10が接続された監視システム1では、不正な通信データに関する通信手続が完了せず、形式的にはエラーが生じているような形となる。そのため、単純に通信手続の正当性を判定すると、このような形式的なエラーを出力してしまい、使用者に混乱を生じさせるおそれがある。このような問題に対し、監視システム1では、方向判定部403が方向判定処理を行うことによって、通信網60から送信されてきた通信データによって始まった通信手続に関する通信データが判定される。そして、このような通信データについては、手続判定部406もログ制御部408も処理を行わない。そのため、上記のように使用者に混乱を生じさせることや不要なログを記録してしまうことを抑止できる。
【0042】
図5は、監視システム1の変形例(監視システム1a)を表す図である。図5に示されるように、監視装置40が接続されるミラーリング装置は、通信端末10とルータ20との間に設置されても良い。また、監視システム1がさらに複雑な構成をとる場合、ミラーリング装置30は、通信端末10とONU50との間であればどこに接続されても良い。
【0043】
[解析装置]
図6は、解析装置70の機能構成を表す概略ブロック図である。解析装置70は、バスで接続されたCPUやメモリや補助記憶装置などを備え、解析プログラムを実行する。解析プログラムの実行によって、解析装置70は、プロトコル判定部702、方向判定部703、特定アドレス情報記憶部704、通信手続記憶部705、手続判定部706、出力部707、ログ記憶部709を備える装置として機能する。なお、解析装置70の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。解析プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。
【0044】
ログ記憶部709は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。ログ記憶部709は、監視対象となるネットワークのキャプチャポイントにおいて記録された通信データのログを記憶する。ログ記憶部709が記憶するログは、従来のパケットキャプチャ等の技術によって記録されたログであっても良いし、上述した監視装置40によって記録されたログであっても良い。
【0045】
プロトコル判定部702、方向判定部703、特定アドレス情報記憶部704、通信手続記憶部705、手続判定部706、出力部707は、ログ記憶部709に記録されている各通信データについて処理を行う点でのみ、プロトコル判定部402、方向判定部403、特定アドレス情報記憶部404、通信手続記憶部405、手続判定部406、出力部407と異なり、処理の内容は同じである。
【0046】
このように構成された解析装置70では、監視対象のネットワークにおいて取得されたログに対して、監視システム1と同様の解析を行うことで、同様の効果を得ることが可能である。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【符号の説明】
【0047】
1…監視システム, 10…通信端末, 20…ルータ, 30…ミラーリング装置, 40…監視装置, 50…ONU, 60…通信網, 401…通信部, 402,702…プロトコル判定部, 403,703…方向判定部, 404,704…特定アドレス情報記憶部, 405,705…通信手続記憶部, 406,706…手続判定部, 407,707…出力部, 408…ログ制御部, 409,709…ログ記憶部
【技術分野】
【0001】
本発明は、ネットワークを流れる通信データを監視するための技術に関する。
【背景技術】
【0002】
LAN(Local Area Network)がインターネットに接続できないという障害が生じた場合、専門的知識を有した者(以下、「専門家」という。)がLANアナライザ等の解析ツールを用いて原因を調べることが一般的である(例えば特許文献1参照)。この処理の具体的な流れは以下のとおりである。LANアナライザは、監視対象となるネットワークのある地点(以下、「キャプチャポイント」という。)に設置される。LANアナライザは、汎用的な装置であり、キャプチャポイントを通った全ての通信データをログとして記録する。専門家は、LANアナライザを操作することによって、記録されたログの解析を行い、障害の原因を判断する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2010−288164号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、キャプチャポイントにおいて記録されたログには、様々な通信に起因した通信データが含まれている。そのため、インターネットに接続できないという障害に関連する通信データをログの中から抽出するためには専門的な知識を要する。また、LANアナライザの操作にも専門的な知識が必要であった。そのため、インターネットに接続できないという障害に関して、専門的な知識を有していない使用者がその原因を判断することは困難であった。また、このような問題は、インターネットに接続できないという障害に関わらず、様々な種類の障害に共通する問題であった。また、このような問題は、LAN以外のネットワークにおいても共通して生じる問題であった。
【0005】
上記事情に鑑み、本発明は、通信データの解析をより容易にする技術を提供することを目的としている。
【課題を解決するための手段】
【0006】
本発明の一態様は、監視装置であって、通信データの情報を記憶するログ記憶部と、通信路を流れる通信データを受信する通信部と、各通信データについて、予め設定された監視対象のプロトコルの通信データであるか否か判定するプロトコル判定部と、前記監視対象のプロトコルの通信データの情報を前記ログ記憶部に書き込むログ制御部と、を備える。
【0007】
本発明の一態様は、上記の監視装置であって、前記監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部と、前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続きに沿って送受信されているか否か判定する手続判定部と、をさらに備える。
【0008】
本発明の一態様は、上記の監視装置であって、前記通信データが、一の方向に流れる通信データによって始まった通信手続に関する通信データであるか、他の方向に流れる通信データによって始まった通信手続に関する通信データであるかを判定する方向判定部をさらに備え、前記手続判定部は、前記方向判定部によって前記一の方向に流れる通信データによって始まった通信手続に関する通信データであると判定された通信データのみについて前記判定を行う。
【0009】
本発明の一態様は、監視方法であって、通信データの情報を記憶するログ記憶部を備える監視装置が、通信路を流れる通信データを受信する通信ステップと、前記監視装置が、各通信データについて、予め設定された監視対象のプロトコルの通信データであるか否か判定するプロトコル判定ステップと、前記監視装置が、前記監視対象のプロトコルの通信データの情報を前記ログ記憶部に書き込むログ制御ステップと、を有する。
【0010】
本発明の一態様は、通信データの情報を記憶するログ記憶部を備えるコンピュータに対し、通信路を流れる通信データを受信する通信ステップと、各通信データについて、予め設定された監視対象のプロトコルの通信データであるか否か判定するプロトコル判定ステップと、前記監視対象のプロトコルの通信データの情報を前記ログ記憶部に書き込むログ制御ステップと、を実行させるためのコンピュータプログラムである。
【0011】
本発明の一態様は、解析装置であって、監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部と、通信データの情報が記録されたログ記憶部から前記通信データの時系列の情報を読み出し、前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続に沿って送受信されているか否か判定する手続判定部と、前記手続判定部の判定結果を出力する出力部と、を備える。
【0012】
本発明の一態様は、上記の解析装置であって、前記通信データが、一の方向に流れる通信データによって始まった通信手続に関する通信データであるか、他の方向に流れる通信データによって始まった通信手続に関する通信データであるかを判定する方向判定部をさらに備え、前記手続判定部は、前記方向判定部によって前記一の方向に流れる通信データによって始まった通信手続に関する通信データであると判定された通信データのみについて前記判定を行う。
【0013】
本発明の一態様は、解析方法であって、監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部を備える解析装置が、通信データの情報が記録されたログ記憶部から前記通信データの時系列の情報を読み出すステップと、前記解析装置が、前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続に沿って送受信されているか否か判定する手続判定ステップと、前記解析装置が、前記手続判定ステップにおける判定結果を出力する出力ステップと、を有する。
【0014】
本発明の一態様は、監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部を備えるコンピュータに対し、通信データの情報が記録されたログ記憶部から前記通信データの時系列の情報を読み出すステップと、前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続に沿って送受信されているか否か判定する手続判定ステップと、前記手続判定ステップにおける判定結果を出力する出力ステップと、を実行させるためのコンピュータプログラムである。
【発明の効果】
【0015】
本発明により、通信データの解析をより容易にすることが可能となる。
【図面の簡単な説明】
【0016】
【図1】監視システムのシステム構成を表すシステム構成図である。
【図2】監視装置の機能構成を表す概略ブロック図である。
【図3】方向判定部が特定アドレス情報を取得する際の処理の流れを表すフローチャートである。
【図4】特定アドレス情報が登録された後の監視装置の処理の流れを表すフローチャートである。
【図5】監視システムの変形例を表す図である。
【図6】解析装置の機能構成を表す概略ブロック図である。
【発明を実施するための形態】
【0017】
[監視システム]
図1は、監視システム1のシステム構成を表すシステム構成図である。監視システム1は、通信端末10、ルータ20、ミラーリング装置30、監視装置40、ONU(Optical Network Unit:光回線終端装置)50を備える。監視システム1のネットワークは、LAN(Local Area Network)で構成され、ONU50を介して通信網60に接続される。通信端末10は、通信可能な情報処理装置である。通信端末10は、ルータ20、ミラーリング装置30、ONU50を介して通信網60に接続された他の通信装置とパケット通信する。通信端末10が行う通信には様々な種類のプロトコルの通信がある。ルータ20は、監視システム1のネットワークにおいてルーティングを行う。ミラーリング装置30は、ルータ20とONU50との間に設置される。ミラーリング装置30は、ルータ20及びONU50の間を流れる通信データ(パケット)を監視装置40へミラーリングする。すなわち、ミラーリング装置30は、ルータ20及びONU50の間を流れる通信データを複製して監視装置40へ送信する。
【0018】
図2は、監視装置40の機能構成を表す概略ブロック図である。監視装置40は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備え、監視プログラムを実行する。監視プログラムの実行によって、監視装置40は、通信部401、プロトコル判定部402、方向判定部403、特定アドレス情報記憶部404、通信手続記憶部405、手続判定部406、出力部407、ログ制御部408、ログ記憶部409を備える装置として機能する。なお、監視装置40の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。監視プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。
【0019】
通信部401は、ミラーリング装置30からミラーリングされる通信データを受信する。
プロトコル判定部402は、通信部401によって受信された通信データのプロトコルを判定する。具体的には、プロトコル判定部402は、通信データのヘッダ情報に基づいて、通信データのプロトコルを判定する。そして、プロトコル判定部402は、受信された通信データのプロトコルが、予め定められた監視対象のプロトコル(以下、「監視対象プロトコル」という。)であるか否か判定する。どのようなプロトコルが監視対象プロトコルとして定められるかは、監視システム1のネットワークの性質や監視目的などに応じて設定される。例えば、監視システム1のネットワークがインターネット(通信網60)への接続を目的としたネットワークである場合、インターネットへの接続に関連するプロトコルが監視対象プロトコルとして設定されても良い。例えば、DNS(Domain Name System)、TCP(Transmission Control Protocol)、PPPoE(Point-to-Point Protocol over Ethernet(登録商標))が監視対象プロトコルとして設定されても良い。
【0020】
プロトコル判定部402は、受信された通信データのプロトコルが監視対象プロトコルである場合には、さらにこのプロトコルが方向判定対象のプロトコル(以下、「方向判定対象プロトコル」という。)であるか否か判定する。どのようなプロトコルが方向判定対象プロトコルとして定められるかは、監視システム1のネットワークの性質や監視目的などに応じて設定される。例えば、監視システム1のネットワークがインターネット(通信網60)への接続を目的としたネットワークである場合、インターネットから不正なパケットが送信されてくる可能性のあるプロトコルが方向判定対象プロトコルとして設定されても良い。例えば、DNS及びTCPが方向判定対象プロトコルとして設定されても良い。
【0021】
方向判定部403は、方向判定対象プロトコルの通信データに関し、一の方向(通信端末10から通信網60に向けた方向)に流れる通信データによって始まった通信手続(以下、「監視対象手続」という。)に関する通信データであるか、他の方向(通信網60から通信端末10に向けた方向)に流れる通信データによって始まった通信手続に関する通信データであるかを判定する。以下、この処理を方向判定処理という。
【0022】
具体的には、方向判定部403は、通信端末10によって行われる所定の通信に基づいて、通信端末10のアドレス情報を取得する。アドレス情報とは、例えばIP(Internet Protocol)アドレスや、MAC(Media Access Control)アドレスなど、通信データに含まれる情報のうち通信端末10を表す情報である。方向判定部403は、通信端末10のアドレス情報を特定アドレス情報として特定アドレス情報記憶部404に書き込む。その後、方向判定部403は、特定アドレス情報記憶部404に記憶されている特定アドレス情報と、受信された通信データのヘッダ情報とに基づいて、方向判定処理を行う。
【0023】
特定アドレス情報記憶部404は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。特定アドレス情報記憶部404は、方向判定部403によって判定された通信端末10のアドレス情報を特定アドレス情報として記憶する。
【0024】
通信手続記憶部405は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。通信手続記憶部405は、監視対象プロトコルそれぞれについて正しい通信手続の流れを表す情報(以下、「通信手続情報」という。)を記憶する。例えば、プロトコルがDNSである場合には、まず所定のフォーマットで作成されたDNSクエリが送信され、これに応じてDNSクエリの送信元に対してDNS応答が送信される。これが、DNSの通信手続の流れである。したがって、上記順番で各メッセージの通信データが送受信されることを表す情報が、DNSの通信手続情報として通信手続記憶部405に記憶される。
【0025】
手続判定部406は、手続記憶部405に記憶されている通信手続情報に基づいて、監視対象プロトコルの通信データが正当な手続にそって送受信されているか判定する。
出力部407は、LED(Light Emitting Diode)等のランプや、スピーカー等の音声出力装置や、液晶ディスプレイ装置などの画像表示装置を用いて構成される。出力部407は、手続判定406による判定結果を出力する。例えば出力部407がランプを用いて構成される場合、出力部407は判定結果に応じた態様でランプを点灯させる。例えば出力部407がスピーカーを用いて構成される場合、出力部407は判定結果に応じた態様で音声を出力させる。例えば出力部407が画像表示装置を用いて構成される場合、出力部407は判定結果に応じた文字や画像などを画像表示装置に表示させる。
【0026】
ログ制御部408は、監視対象のプロトコルの通信データの情報をログとしてログ記憶部409に書き込む。また、ログ制御部408は、手続判定部406による判定結果を、通信データの情報に対応付けてログとして書き込む。
ログ記憶部409は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。ログ記憶部409は、ログ制御部408によって書き込まれるログを記憶する。
【0027】
図3は、方向判定部403が特定アドレス情報を取得する際の処理の流れを表すフローチャートである。まず、方向判定部403は、特定のメッセージの通信データが受信されるまで待機する。図3の例では、特定のメッセージはDNSクエリのメッセージである。方向判定部403は、トランザクションIDが登録される前は、DNSクエリが受信されるまで待機する(ステップS101−NO、ステップS104−NO、ステップS105−NO)。DNSクエリが受信されると(ステップS101−YES)、方向判定部403は、受信されたDNSクエリのヘッダ情報から送信元アドレスの情報を取得し、仮特定アドレス情報として登録する(ステップS102)。また、方向判定部403は、受信されたDNSクエリのヘッダ情報からトランザクションIDを取得し登録する(ステップS103)。トランザクションIDとは、DNSの通信手続き毎に割り当てられる識別情報である。同じトランザクションIDのメッセージは同じ通信手続きにおけるメッセージである。そして、ステップS101の処理に戻る。
【0028】
DNS応答が受信されると(ステップS101−NO、ステップS104−YES)、方向判定部403は、DNS応答のヘッダ情報からトランザクションIDを取得し、既に登録されているトランザクションIDと一致するか否か判定する(ステップS105)。DNS応答とは、DNSクエリにおいて要求された情報をDNSクエリの送信元に対して通知するためのメッセージである。そのため、あるDNSクエリと、これに対応するDNS応答とは、そのトランザクションIDが一致する。また、あるDNSクエリの送信元と、これに対応するDNS応答の送信先とは一致する。また、あるDNSクエリの送信先と、これに対応するDNS応答の送信元とは一致する。
【0029】
ステップS105の処理においてトランザクションIDが一致していない場合は(ステップS105−NO)、先の説明のとおりステップS101の処理に戻る。一方、トランザクションIDが一致する場合(ステップS105−YES)、方向判定部403は、DNS応答のヘッダ情報から送信先アドレスの情報を取得し、仮特定アドレス情報と一致するか否か判定する(ステップS106)。一致しない場合(ステップS106−NO)、方向判定部403は、仮特定アドレス情報を破棄し(ステップS107)、ステップS101の処理に戻る。一方、一致する場合(ステップS106−YES)、方向判定部403は、仮特定アドレス情報を特定アドレス情報として特定アドレス情報記憶部404に登録する(ステップS108)。すなわち、この場合方向判定部403は、仮特定アドレス情報を通信端末10のアドレス情報として登録する。
【0030】
図4は、特定アドレス情報が登録された後の監視装置40の処理の流れを表すフローチャートである。まず、通信部401が通信データを受信すると、プロトコル判定部402が受信された通信データのプロトコルを判定する(ステップS201)。プロトコルが監視対象プロトコルでない場合(ステップS202−NO)、手続判定部406は通信手続の正当性を判定せず、ログ制御部408は受信された通信データについてログを記録せず(ステップS203)、この通信データに対する処理は終了する。
【0031】
一方、プロトコルが監視対象プロトコルであり且つ方向判定対象プロトコルでもある場合(ステップS202−YES、ステップS204−YES)、方向判定部403は、受信された通信データが手続開始メッセージであるか否か判定する(ステップS205)。手続開始メッセージとは、そのプロトコルにおける通信手続の契機となるメッセージであり、通信手続の最初に送受信されるメッセージである。方向判定部403は、例えば通信手続き毎に割り当てられる識別情報(以下、「通信手続識別情報」という。)に基づいて手続開始メッセージを判定する。より具体的には、方向判定部403は、受信したメッセージに含まれる通信手続識別情報を記憶しておき、これまでに記憶されていない通信手続識別情報を有するメッセージが受信された場合に、このメッセージが手続開始メッセージであると判定する。通信手続識別情報は、例えばDNSのメッセージであれば、ヘッダ情報のトランザクションIDが相当する。また、TCPのメッセージであれば、IPアドレス及びポート番号の組み合わせが通信手続識別情報に相当する。また、PPPoEのメッセージであれば、セッションIDが通信手続識別情報に相当する。
【0032】
受信された通信データが手続開始メッセージである場合(ステップS205−YES)、方向判定部403は、手続開始メッセージのヘッダから送信元アドレスの情報を取得する(ステップS206)。方向判定部403は、特定アドレス情報記憶部404から特定アドレス情報を読み出し、取得した送信元アドレスの情報と特定アドレス情報とが一致するか否か判定する(ステップS207)。一致しない場合(ステップS207−NO)、方向判定部403は、この手続開始メッセージによって始まる通信手続は監視対象手続ではないと判定する。この場合、手続判定部406は通信手続の正当性を判定せず、ログ制御部408は受信された通信データについてログを記録せず(ステップS208)、この通信データに対する処理は終了する。
【0033】
一方、送信元アドレスの情報と特定アドレス情報とが一致する場合(ステップS207−YES)、方向判定部403は、この手続開始メッセージによって始まる通信手続を監視対象手続であると判定し、この手続開始メッセージの通信手続識別情報を登録する(ステップS209)。そして、ログ制御部408が通信データについてログを記録し(ステップS210)、この通信データに対する処理は終了する。
【0034】
ステップS205の処理において、受信された通信データが手続開始メッセージでない場合(ステップS205−NO)、方向判定部403は方向判定処理を行う。すなわち、方向判定部403は、受信された通信データが、監視対象手続であるか否か判定する(ステップS211)。より具体的には、方向判定部403は、受信された通信データの通信手続識別情報が、監視対象手続の通信手続識別情報として登録されている情報であるか否か判定する。方向判定部403は、登録されている場合は監視対象手続であると判定し、登録されていない場合は監視対象手続ではないと判定する。監視対象手続ではないと判定された場合(ステップS212−NO)、手続判定部406は通信手続の正当性を判定せず、ログ制御部408は受信された通信データについてログを記録せず(ステップS213)、この通信データに対する処理は終了する。
【0035】
一方、監視対象手続であると判定された場合(ステップS212−YES)、手続判定部406が通信手続の正当性を判定する(ステップS214)。例えば、手続判定部406は以下のように通信手続の正当性を判定する。手続判定部406は、通信手続識別情報毎に受信された通信データにおけるメッセージの内容を順に記録しておく。手続判定部406は、新たに受信された通信データにおけるメッセージと通信手続識別情報が同じ過去のメッセージを読み出す。手続判定部406は、通信手続記憶部405から、新たに受信された通信データのプロトコルに対応した通信手続を読み出し、正当な手続きであれば次のどのようなメッセージが受信されるべきか判定する。そして、手続判定部406は、新たに受信された通信データにおけるメッセージが、正当な手続きにおいて次に受信されるべきメッセージと一致するか否か判定する。一致している場合には、手続判定部406は、通信手続が正当であると判定する。一方、一致していない場合には、通信手続が正当でなく、エラーが生じていると判定する。ステップS204において、方向判定対象プロトコルではないと判定された場合(ステップS204−NO)も、手続判定部406は同様に手続の正当性の判定を行う(ステップS214)。
【0036】
次に、出力部407が、手続判定部406による判定結果を出力する(ステップS215)。また、ログ制御部408が通信データについてログを記録し(ステップS216)、この通信データに対する処理は終了する。
【0037】
このように構成された監視システム1では、通信データの解析が容易になる。以下、この効果について説明する。従来の監視装置では、キャプチャポイントを通った全ての通信データがログとして記録されていた。そのため、通信データの中から必要な通信データ抽出する必要があり、解析が大変だった。それに対し、監視システム1では、予め定められた監視対象のプロトコルの通信データのみがログ記憶部409に記録される。そのため、通信データの解析が容易となる。
【0038】
特に、上記説明の具体例では、インターネット接続に必要となるプロトコル(DNS、TCP、PPPoE)の通信データのみが記録される。そのため、通信端末10がインターネット(通信網60)に接続できない場合に、その障害を容易に解析することが可能となる。
【0039】
従来の監視装置は、特定の一つのレイヤに関するログしか記録することができなかった。そのため、ログを解析して障害を特定することなどが困難であった。これに対し、監視システム1では、DNS等の上位プロトコルのログを含めた複数のレイヤのログが記録される。したがって、ログを解析して障害を特定することがより容易になった。
【0040】
従来の監視装置では、各プロトコルの通信手続のどこで問題が生じたか解析するためには専門の知識が必要であった。これに対し、監視システム1では、手続判定部406が各通信データに関して通信手続の正当性を判定し、その結果が出力部407によって出力される。そのため、専門の知識が無くとも、どのプロトコルのどの通信手続段階において障害が生じているのか判断することが可能となる。
【0041】
TCPのポートが開いているか否かを調べるために、不正な通信データが通信網60から送信されてくる場合がある。そのような不正な通信データによる悪影響を抑えるため、ルータ20や通信端末10は、このような不正な通信データに対して応答しないように設計されることが多い。しかし、このように設計されたルータ20や通信端末10が接続された監視システム1では、不正な通信データに関する通信手続が完了せず、形式的にはエラーが生じているような形となる。そのため、単純に通信手続の正当性を判定すると、このような形式的なエラーを出力してしまい、使用者に混乱を生じさせるおそれがある。このような問題に対し、監視システム1では、方向判定部403が方向判定処理を行うことによって、通信網60から送信されてきた通信データによって始まった通信手続に関する通信データが判定される。そして、このような通信データについては、手続判定部406もログ制御部408も処理を行わない。そのため、上記のように使用者に混乱を生じさせることや不要なログを記録してしまうことを抑止できる。
【0042】
図5は、監視システム1の変形例(監視システム1a)を表す図である。図5に示されるように、監視装置40が接続されるミラーリング装置は、通信端末10とルータ20との間に設置されても良い。また、監視システム1がさらに複雑な構成をとる場合、ミラーリング装置30は、通信端末10とONU50との間であればどこに接続されても良い。
【0043】
[解析装置]
図6は、解析装置70の機能構成を表す概略ブロック図である。解析装置70は、バスで接続されたCPUやメモリや補助記憶装置などを備え、解析プログラムを実行する。解析プログラムの実行によって、解析装置70は、プロトコル判定部702、方向判定部703、特定アドレス情報記憶部704、通信手続記憶部705、手続判定部706、出力部707、ログ記憶部709を備える装置として機能する。なお、解析装置70の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。解析プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。
【0044】
ログ記憶部709は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。ログ記憶部709は、監視対象となるネットワークのキャプチャポイントにおいて記録された通信データのログを記憶する。ログ記憶部709が記憶するログは、従来のパケットキャプチャ等の技術によって記録されたログであっても良いし、上述した監視装置40によって記録されたログであっても良い。
【0045】
プロトコル判定部702、方向判定部703、特定アドレス情報記憶部704、通信手続記憶部705、手続判定部706、出力部707は、ログ記憶部709に記録されている各通信データについて処理を行う点でのみ、プロトコル判定部402、方向判定部403、特定アドレス情報記憶部404、通信手続記憶部405、手続判定部406、出力部407と異なり、処理の内容は同じである。
【0046】
このように構成された解析装置70では、監視対象のネットワークにおいて取得されたログに対して、監視システム1と同様の解析を行うことで、同様の効果を得ることが可能である。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【符号の説明】
【0047】
1…監視システム, 10…通信端末, 20…ルータ, 30…ミラーリング装置, 40…監視装置, 50…ONU, 60…通信網, 401…通信部, 402,702…プロトコル判定部, 403,703…方向判定部, 404,704…特定アドレス情報記憶部, 405,705…通信手続記憶部, 406,706…手続判定部, 407,707…出力部, 408…ログ制御部, 409,709…ログ記憶部
【特許請求の範囲】
【請求項1】
通信データの情報を記憶するログ記憶部と、
通信路を流れる通信データを受信する通信部と、
各通信データについて、予め設定された監視対象のプロトコルの通信データであるか否か判定するプロトコル判定部と、
前記監視対象のプロトコルの通信データの情報を前記ログ記憶部に書き込むログ制御部と、
を備える監視装置。
【請求項2】
前記監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部と、
前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続きに沿って送受信されているか否か判定する手続判定部と、をさらに備える、請求項1に記載の監視装置。
【請求項3】
前記通信データが、一の方向に流れる通信データによって始まった通信手続に関する通信データであるか、他の方向に流れる通信データによって始まった通信手続に関する通信データであるかを判定する方向判定部をさらに備え、
前記手続判定部は、前記方向判定部によって前記一の方向に流れる通信データによって始まった通信手続に関する通信データであると判定された通信データのみについて前記判定を行う、請求項2に記載の監視装置。
【請求項4】
通信データの情報を記憶するログ記憶部を備える監視装置が、通信路を流れる通信データを受信する通信ステップと、
前記監視装置が、各通信データについて、予め設定された監視対象のプロトコルの通信データであるか否か判定するプロトコル判定ステップと、
前記監視装置が、前記監視対象のプロトコルの通信データの情報を前記ログ記憶部に書き込むログ制御ステップと、
を有する監視方法。
【請求項5】
通信データの情報を記憶するログ記憶部を備えるコンピュータに対し、
通信路を流れる通信データを受信する通信ステップと、
各通信データについて、予め設定された監視対象のプロトコルの通信データであるか否か判定するプロトコル判定ステップと、
前記監視対象のプロトコルの通信データの情報を前記ログ記憶部に書き込むログ制御ステップと、
を実行させるためのコンピュータプログラム。
【請求項6】
監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部と、
通信データの情報が記録されたログ記憶部から前記通信データの時系列の情報を読み出し、前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続に沿って送受信されているか否か判定する手続判定部と、
前記手続判定部の判定結果を出力する出力部と、
を備える解析装置。
【請求項7】
前記通信データが、一の方向に流れる通信データによって始まった通信手続に関する通信データであるか、他の方向に流れる通信データによって始まった通信手続に関する通信データであるかを判定する方向判定部をさらに備え、
前記手続判定部は、前記方向判定部によって前記一の方向に流れる通信データによって始まった通信手続に関する通信データであると判定された通信データのみについて前記判定を行う、請求項6に記載の解析装置。
【請求項8】
監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部を備える解析装置が、通信データの情報が記録されたログ記憶部から前記通信データの時系列の情報を読み出すステップと、
前記解析装置が、前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続に沿って送受信されているか否か判定する手続判定ステップと、
前記解析装置が、前記手続判定ステップにおける判定結果を出力する出力ステップと、
を有する解析方法。
【請求項9】
監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部を備えるコンピュータに対し、
通信データの情報が記録されたログ記憶部から前記通信データの時系列の情報を読み出すステップと、
前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続に沿って送受信されているか否か判定する手続判定ステップと、
前記手続判定ステップにおける判定結果を出力する出力ステップと、
を実行させるためのコンピュータプログラム。
【請求項1】
通信データの情報を記憶するログ記憶部と、
通信路を流れる通信データを受信する通信部と、
各通信データについて、予め設定された監視対象のプロトコルの通信データであるか否か判定するプロトコル判定部と、
前記監視対象のプロトコルの通信データの情報を前記ログ記憶部に書き込むログ制御部と、
を備える監視装置。
【請求項2】
前記監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部と、
前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続きに沿って送受信されているか否か判定する手続判定部と、をさらに備える、請求項1に記載の監視装置。
【請求項3】
前記通信データが、一の方向に流れる通信データによって始まった通信手続に関する通信データであるか、他の方向に流れる通信データによって始まった通信手続に関する通信データであるかを判定する方向判定部をさらに備え、
前記手続判定部は、前記方向判定部によって前記一の方向に流れる通信データによって始まった通信手続に関する通信データであると判定された通信データのみについて前記判定を行う、請求項2に記載の監視装置。
【請求項4】
通信データの情報を記憶するログ記憶部を備える監視装置が、通信路を流れる通信データを受信する通信ステップと、
前記監視装置が、各通信データについて、予め設定された監視対象のプロトコルの通信データであるか否か判定するプロトコル判定ステップと、
前記監視装置が、前記監視対象のプロトコルの通信データの情報を前記ログ記憶部に書き込むログ制御ステップと、
を有する監視方法。
【請求項5】
通信データの情報を記憶するログ記憶部を備えるコンピュータに対し、
通信路を流れる通信データを受信する通信ステップと、
各通信データについて、予め設定された監視対象のプロトコルの通信データであるか否か判定するプロトコル判定ステップと、
前記監視対象のプロトコルの通信データの情報を前記ログ記憶部に書き込むログ制御ステップと、
を実行させるためのコンピュータプログラム。
【請求項6】
監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部と、
通信データの情報が記録されたログ記憶部から前記通信データの時系列の情報を読み出し、前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続に沿って送受信されているか否か判定する手続判定部と、
前記手続判定部の判定結果を出力する出力部と、
を備える解析装置。
【請求項7】
前記通信データが、一の方向に流れる通信データによって始まった通信手続に関する通信データであるか、他の方向に流れる通信データによって始まった通信手続に関する通信データであるかを判定する方向判定部をさらに備え、
前記手続判定部は、前記方向判定部によって前記一の方向に流れる通信データによって始まった通信手続に関する通信データであると判定された通信データのみについて前記判定を行う、請求項6に記載の解析装置。
【請求項8】
監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部を備える解析装置が、通信データの情報が記録されたログ記憶部から前記通信データの時系列の情報を読み出すステップと、
前記解析装置が、前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続に沿って送受信されているか否か判定する手続判定ステップと、
前記解析装置が、前記手続判定ステップにおける判定結果を出力する出力ステップと、
を有する解析方法。
【請求項9】
監視対象のプロトコルにおいて定められている通信の手続きの情報を予め記憶する通信手続記憶部を備えるコンピュータに対し、
通信データの情報が記録されたログ記憶部から前記通信データの時系列の情報を読み出すステップと、
前記通信手順記憶部に記憶されている前記手続きの情報に基づいて、前記監視対象のプロトコルの通信データが正当な手続に沿って送受信されているか否か判定する手続判定ステップと、
前記手続判定ステップにおける判定結果を出力する出力ステップと、
を実行させるためのコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−205187(P2012−205187A)
【公開日】平成24年10月22日(2012.10.22)
【国際特許分類】
【出願番号】特願2011−69570(P2011−69570)
【出願日】平成23年3月28日(2011.3.28)
【出願人】(399040405)東日本電信電話株式会社 (286)
【Fターム(参考)】
【公開日】平成24年10月22日(2012.10.22)
【国際特許分類】
【出願日】平成23年3月28日(2011.3.28)
【出願人】(399040405)東日本電信電話株式会社 (286)
【Fターム(参考)】
[ Back to top ]