專利名稱:網(wǎng)絡(luò)監(jiān)視裝置�、網(wǎng)絡(luò)監(jiān)視方法及網(wǎng)絡(luò)監(jiān)視程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及在將連接多個(gè)裝置而構(gòu)成的自身網(wǎng)絡(luò)、和同樣構(gòu)成的多個(gè)其他網(wǎng)絡(luò)相互連接而構(gòu)成的網(wǎng)絡(luò)系統(tǒng)中��,與所述自身網(wǎng)絡(luò)連接��,檢測(cè)攻擊所述網(wǎng)絡(luò)系統(tǒng)的異常通信量 的網(wǎng)絡(luò)監(jiān)視裝置���、網(wǎng)絡(luò)監(jiān)視方法及網(wǎng)絡(luò)監(jiān)視程序����。
背景技術(shù):
以往�����,作為針對(duì)與網(wǎng)絡(luò)連接的設(shè)備����,經(jīng)由網(wǎng)絡(luò)進(jìn)行的攻擊����,公知有DoS(Denial of Service 拒絕服務(wù))攻擊和DDoS (Distributed Denial ofService 分布式拒絕服務(wù))攻
擊ο所謂DoS攻擊�����,是指以下的方法以妨礙與網(wǎng)絡(luò)連接的設(shè)備(例如服務(wù)器等)提供 的服務(wù)為目的�����,攻擊者通過(guò)向該設(shè)備發(fā)送大量的IP分組��,消耗網(wǎng)絡(luò)和設(shè)備的資源�����,從而妨 礙和拒絕服務(wù)�。此外��,所謂DDoS攻擊�,是指被通過(guò)不正當(dāng)訪問等在系統(tǒng)內(nèi)裝入攻擊用程序 的、稱作所謂的“肉雞”的計(jì)算機(jī)針對(duì)成為目標(biāo)的網(wǎng)絡(luò)上的設(shè)備一齊進(jìn)行攻擊�����。近年來(lái)���,DoS攻擊和DDoS攻擊增加�����,為了通過(guò)正在成為社會(huì)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)提供 穩(wěn)定的服務(wù)��,進(jìn)行這種DoS攻擊和DDoS攻擊的對(duì)策非常重要�。作為防御這種DoS攻擊和DDoS攻擊的方法,具有例如在專利文獻(xiàn)1 (日本特開 2006-67078號(hào)公報(bào))等中公開的技術(shù)�����。具體而言�����,在專利文獻(xiàn)1中���,檢測(cè)到攻擊的路由器 (即����,離受到損害的設(shè)備最近的路由器)將攻擊檢測(cè)信息傳送到管理裝置�����。此外��,收到傳送 的管理裝置分析所接收的攻擊檢測(cè)信息���,并根據(jù)分析結(jié)果���,向各路由器給予防御指示。專利文獻(xiàn)1 日本特開2006-67078號(hào)公報(bào)但是�,在上述的現(xiàn)有技術(shù)中,在相互連接的其他網(wǎng)絡(luò)運(yùn)營(yíng)商管理的設(shè)備受到攻擊 的情況下�����,難以判斷其是否為攻擊�,因此存在不能迅速通知受到攻擊的情況的問題。其結(jié) 果�����,在實(shí)際上為攻擊的情況下���,不能在自身網(wǎng)絡(luò)運(yùn)營(yíng)商側(cè)實(shí)施防御�����,需要與受到該攻擊的其 他網(wǎng)絡(luò)運(yùn)營(yíng)商取得聯(lián)絡(luò)��,并在該其他網(wǎng)絡(luò)運(yùn)營(yíng)商的判斷下進(jìn)行防御����,從而到防御攻擊為止 比較花費(fèi)時(shí)間。此處�,針對(duì)該問題具體進(jìn)行說(shuō)明。在現(xiàn)有技術(shù)(專利文獻(xiàn)1)中����,如圖9所示,在直 接收容受到攻擊的設(shè)備的網(wǎng)絡(luò)運(yùn)營(yíng)商中比較有效����。但是,最近的互聯(lián)網(wǎng)是通過(guò)相互連接各 種網(wǎng)絡(luò)而構(gòu)成的����。換言之,構(gòu)成互聯(lián)網(wǎng)的路由器等設(shè)備由各種網(wǎng)絡(luò)運(yùn)營(yíng)商進(jìn)行運(yùn)營(yíng)/管理�。舉例說(shuō)明的話,如圖10所示����,在ISP(Internet Service Provider 因特網(wǎng)服務(wù)提 供者)1����、ISP2����、ISP3��、ISP4�、IX(Internet eXchange 因特網(wǎng)交換)這5個(gè)網(wǎng)絡(luò)相互連接的 網(wǎng)絡(luò)系統(tǒng)中,設(shè)為攻擊者經(jīng)由ISPl和IX攻擊ISP4的服務(wù)器�����,另一個(gè)攻擊者經(jīng)由ISP2和IX 攻擊ISP4的服務(wù)器����。此時(shí),在IX側(cè)��,即使檢測(cè)到攻擊�����,也不能判斷其是否為攻擊(不能判 斷出不是管理服務(wù)器的ISP4),其結(jié)果�,更不能僅通過(guò)IX側(cè)的判斷來(lái)防御攻擊。S卩���,當(dāng)在其他網(wǎng)絡(luò)運(yùn)營(yíng)商管理的Web服務(wù)器上公開人氣非常高的內(nèi)容時(shí)�,龐大數(shù) 量的分組流過(guò)��,但是在自身網(wǎng)絡(luò)運(yùn)營(yíng)商側(cè)難以判斷其是正規(guī)的分組��,還是DDoS攻擊的分 組�。此外,在針對(duì)其他網(wǎng)絡(luò)運(yùn)營(yíng)商管理的設(shè)備發(fā)生了攻擊的情況下����,不能通過(guò)自身網(wǎng)絡(luò)運(yùn)營(yíng)商側(cè)的判斷隨意對(duì)其進(jìn)行防御,需要通過(guò)郵件或電話與該其他網(wǎng)絡(luò)運(yùn)營(yíng)商取得聯(lián)絡(luò)�,在該 其他網(wǎng)絡(luò)側(cè)進(jìn)行防御。其結(jié)果��,從發(fā)生攻擊開始到進(jìn)行處理為止花費(fèi)時(shí)間���,在此期間持續(xù)受 到攻擊�。此外�����,在發(fā)生了大規(guī)模的攻擊的情況下,不僅是受到攻擊的設(shè)備和收容該設(shè)備的其 他網(wǎng)絡(luò)運(yùn)營(yíng)商受到損害���,還可能對(duì)自身網(wǎng)絡(luò)運(yùn)營(yíng)商和與自身網(wǎng)絡(luò)運(yùn)營(yíng)商相互連接的網(wǎng)絡(luò)運(yùn) 營(yíng)商產(chǎn)生影響����。由此�����,在現(xiàn)有技術(shù)中���,在相互連接的其他網(wǎng)絡(luò)運(yùn)營(yíng)商管理的設(shè)備受到攻擊的情況 下,難以判斷其是否為攻擊����,并且,在實(shí)際上為攻擊的情況下�����,不能在自身網(wǎng)絡(luò)運(yùn)營(yíng)商側(cè)實(shí) 施防御�,而需要與受到該攻擊的其他網(wǎng)絡(luò)運(yùn)營(yíng)商取得聯(lián)絡(luò)����,并在該其他網(wǎng)絡(luò)運(yùn)營(yíng)商的判斷 下進(jìn)行防御���,從而到防御攻擊為止比較花費(fèi)時(shí)間��。
發(fā)明內(nèi)容
因此���,本發(fā)明正是為了解決上述現(xiàn)有技術(shù)的問題而進(jìn)行的,其目的在于提供一種 在相互連接的其他網(wǎng)絡(luò)運(yùn)營(yíng)商管理的設(shè)備受到攻擊的情況下���,能夠?qū)⒐粜畔⒀杆偻ㄖo 攻擊源的網(wǎng)絡(luò)和攻擊目標(biāo)的網(wǎng)絡(luò)的網(wǎng)絡(luò)監(jiān)視裝置�、網(wǎng)絡(luò)監(jiān)視方法及網(wǎng)絡(luò)監(jiān)視程序�����。為解決上述問題��,達(dá)到目的��,權(quán)利要求1所涉及的發(fā)明是一種網(wǎng)絡(luò)監(jiān)視裝置��,其在 將連接多個(gè)裝置而構(gòu)成的自身網(wǎng)絡(luò)�����、和同樣地構(gòu)成的多個(gè)其他網(wǎng)絡(luò)相互連接而構(gòu)成的網(wǎng)絡(luò) 系統(tǒng)中,與所述自身網(wǎng)絡(luò)連接����,檢測(cè)攻擊所述網(wǎng)絡(luò)系統(tǒng)的異常通信量,該網(wǎng)絡(luò)監(jiān)視裝置的特 征在于����,所述網(wǎng)絡(luò)監(jiān)視裝置具有網(wǎng)絡(luò)信息存儲(chǔ)單元,其分別與構(gòu)成所述網(wǎng)絡(luò)系統(tǒng)的多個(gè)網(wǎng) 絡(luò)相對(duì)應(yīng)地�,存儲(chǔ)分別用于確定該多個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)信息;管理者信息存儲(chǔ)單元�,其分別與存 儲(chǔ)在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的多個(gè)網(wǎng)絡(luò)相對(duì)應(yīng)地,存儲(chǔ)分別管理該多個(gè)網(wǎng)絡(luò)的管理者信 息���;攻擊源網(wǎng)絡(luò)確定單元,其監(jiān)視流過(guò)所述自身網(wǎng)絡(luò)的通信量�����,在檢測(cè)到異常通信量的情況 下�,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送源裝置的攻擊源信息,從存儲(chǔ) 在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的網(wǎng)絡(luò)信息中確定成為攻擊源的攻擊源網(wǎng)絡(luò)�����;攻擊目標(biāo)網(wǎng)絡(luò) 確定單元,其在檢測(cè)到所述異常通信量的情況下��,根據(jù)分析該異常通信量而得到的表示異 常通信量的發(fā)送目的地裝置的攻擊目標(biāo)信息�,從存儲(chǔ)在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的網(wǎng)絡(luò)信 息中確定成為攻擊目標(biāo)的攻擊目標(biāo)網(wǎng)絡(luò);以及攻擊通知單元���,其從所述管理者信息存儲(chǔ)單 元中取得與通過(guò)所述攻擊源網(wǎng)絡(luò)確定單元確定的攻擊源網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息��,使用所取 得的管理者信息�,通知所述攻擊源信息���,并且從所述管理者信息存儲(chǔ)單元中取得與通過(guò)所 述攻擊目標(biāo)網(wǎng)絡(luò)確定單元確定的攻擊目標(biāo)網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息���,使用所取得的管理者信 息,通知所述攻擊目標(biāo)信息���。此外��,權(quán)利要求2所涉及的發(fā)明在上述發(fā)明中���,其特征在于還具有自身網(wǎng)絡(luò)管理 者通知單元��,該自身網(wǎng)絡(luò)管理者通知單元使用存儲(chǔ)在所述管理者信息存儲(chǔ)單元中的自身網(wǎng) 絡(luò)的管理者信息��,將分析所述異常通信量而得到的攻擊源信息和攻擊目標(biāo)信息通知給自身 網(wǎng)絡(luò)的管理者裝置�����。此外���,權(quán)利要求3所涉及的發(fā)明在上述發(fā)明中,其特征在于還具有攻擊信息存儲(chǔ) 單元���,該攻擊信息存儲(chǔ)單元存儲(chǔ)分析所述異常通信量而得到的攻擊源信息和攻擊目標(biāo)信 肩���、ο此外,權(quán)利要求4所涉及的發(fā)明在上述發(fā)明中��,其特征在于還具有統(tǒng)計(jì)信息生成 單元�����,該統(tǒng)計(jì)信息生成單元根據(jù)存儲(chǔ)在所述攻擊信息存儲(chǔ)單元中的攻擊源信息和攻擊目標(biāo)信息��,生成攻擊的統(tǒng)計(jì)信息�����。此外�����,權(quán)利要求5所涉及的發(fā)明在上述發(fā)明中��,其特征在于還具有攻擊信息閱覽單元���,該攻擊信息閱覽單元在從與存儲(chǔ)在所述管理者信息存儲(chǔ)單元中的管理者信息對(duì)應(yīng)的 管理者裝置受理了存儲(chǔ)在所述攻擊信息存儲(chǔ)單元中的攻擊源信息和攻擊目標(biāo)信息以及通 過(guò)所述統(tǒng)計(jì)信息生成單元所生成的統(tǒng)計(jì)信息的閱覽請(qǐng)求的情況下�����,在驗(yàn)證了該管理者裝置 為正當(dāng)裝置以后�,僅將與該管理者裝置所管理的網(wǎng)絡(luò)對(duì)應(yīng)的信息輸出給該管理者裝置���。此外���,權(quán)利要求6所涉及的發(fā)明,其特征在于����,所述網(wǎng)絡(luò)系統(tǒng)中的多個(gè)其他網(wǎng)絡(luò)經(jīng) 由所述自身網(wǎng)絡(luò)以相互可通信的方式連接��,所述網(wǎng)絡(luò)信息存儲(chǔ)單元存儲(chǔ)用于分別確定所述 多個(gè)網(wǎng)絡(luò)的信息即MAC地址���、網(wǎng)絡(luò)地址、VLAN ID�、路由器的接口中的至少一個(gè),作為所述 網(wǎng)絡(luò)信息�,所述攻擊源網(wǎng)絡(luò)確定單元監(jiān)視流過(guò)所述自身網(wǎng)絡(luò)的通信量,在檢測(cè)到異常通信 量的情況下����,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送源裝置的所述網(wǎng)絡(luò)信 息,從所述網(wǎng)絡(luò)信息存儲(chǔ)單元中確定所述攻擊源網(wǎng)絡(luò)�����,所述攻擊目標(biāo)網(wǎng)絡(luò)確定單元在檢測(cè) 到所述異常通信量的情況下��,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送目的 地裝置的所述網(wǎng)絡(luò)信息�����,從所述網(wǎng)絡(luò)信息存儲(chǔ)單元中確定所述攻擊目標(biāo)網(wǎng)絡(luò)�����。此外�����,權(quán)利要求7所涉及的發(fā)明其特征在于���,所述網(wǎng)絡(luò)信息存儲(chǔ)單元還與所述網(wǎng) 絡(luò)信息相對(duì)應(yīng)地存儲(chǔ)過(guò)濾器信息�����,該過(guò)濾器信息是關(guān)于應(yīng)用了用于檢測(cè)流過(guò)所述自身網(wǎng)絡(luò) 的異常通信量的通信量監(jiān)視信息的過(guò)濾器的信息�,所述攻擊目標(biāo)網(wǎng)絡(luò)確定單元在檢測(cè)到所 述異常通信量的情況下�,根據(jù)由檢測(cè)到該異常通信量的過(guò)濾器所確定的存儲(chǔ)在所述網(wǎng)絡(luò)信 息存儲(chǔ)單元中的過(guò)濾器信息和網(wǎng)絡(luò)信息,確定所述攻擊目標(biāo)網(wǎng)絡(luò)��。此外��,權(quán)利要求8所涉及的發(fā)明為一種網(wǎng)絡(luò)監(jiān)視方法��,該網(wǎng)絡(luò)監(jiān)視方法適用于在 將連接多個(gè)裝置而構(gòu)成的自身網(wǎng)絡(luò)�、和同樣地構(gòu)成的多個(gè)其他網(wǎng)絡(luò)相互連接而構(gòu)成的網(wǎng)絡(luò) 系統(tǒng)中,與所述自身網(wǎng)絡(luò)連接�����,檢測(cè)攻擊所述網(wǎng)絡(luò)系統(tǒng)的異常通信量,該網(wǎng)絡(luò)監(jiān)視方法的特 征在于�����,該網(wǎng)絡(luò)監(jiān)視方法包括網(wǎng)絡(luò)信息存儲(chǔ)單元��,其分別與構(gòu)成所述網(wǎng)絡(luò)系統(tǒng)的多個(gè)網(wǎng)絡(luò) 相對(duì)應(yīng)地����,存儲(chǔ)分別用于確定該多個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)信息;管理者信息存儲(chǔ)單元�,其分別與存 儲(chǔ)在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的多個(gè)網(wǎng)絡(luò)相對(duì)應(yīng)地,存儲(chǔ)分別管理該多個(gè)網(wǎng)絡(luò)的管理者信 息��;攻擊源網(wǎng)絡(luò)確定過(guò)程�,其監(jiān)視流過(guò)所述自身網(wǎng)絡(luò)的通信量,在檢測(cè)到異常通信量的情況 下�,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送源裝置的攻擊源信息,從存儲(chǔ) 在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的網(wǎng)絡(luò)信息中確定成為攻擊源的攻擊源網(wǎng)絡(luò)�;攻擊目標(biāo)網(wǎng)絡(luò) 確定過(guò)程,其在檢測(cè)到所述異常通信量的情況下�����,根據(jù)分析該異常通信量而得到的表示異 常通信量的發(fā)送目的地裝置的攻擊目標(biāo)信息,從存儲(chǔ)在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的網(wǎng)絡(luò)信 息中確定成為攻擊目標(biāo)的攻擊目標(biāo)網(wǎng)絡(luò)���;以及攻擊通知過(guò)程,其從所述管理者信息存儲(chǔ)單 元中取得與通過(guò)所述攻擊源網(wǎng)絡(luò)確定過(guò)程確定的攻擊源網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息�����,使用所取 得的管理者信息��,通知所述攻擊源信息���,并且從所述管理者信息存儲(chǔ)單元中取得與通過(guò)所 述攻擊目標(biāo)網(wǎng)絡(luò)確定過(guò)程確定的攻擊目標(biāo)網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息�,使用所取得的管理者信 息��,通知所述攻擊目標(biāo)信息�。此外,權(quán)利要求9所涉及的發(fā)明是一種網(wǎng)絡(luò)監(jiān)視程序����,使計(jì)算機(jī)在將連接多個(gè)裝 置而構(gòu)成的自身網(wǎng)絡(luò)、和同樣地構(gòu)成的多個(gè)其他網(wǎng)絡(luò)相互連接而構(gòu)成的網(wǎng)絡(luò)系統(tǒng)中��,與所 述自身網(wǎng)絡(luò)連接����,檢測(cè)攻擊所述網(wǎng)絡(luò)系統(tǒng)的異常通信量���,該網(wǎng)絡(luò)監(jiān)視程序的特征在于,使計(jì) 算機(jī)執(zhí)行以下步驟網(wǎng)絡(luò)信息存儲(chǔ)單元����,其分別與構(gòu)成所述網(wǎng)絡(luò)系統(tǒng)的多個(gè)網(wǎng)絡(luò)相對(duì)應(yīng)地,存儲(chǔ)分別用于確定該多個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)信息�;管理者信息存儲(chǔ)單元,其分別與存儲(chǔ)在所述網(wǎng) 絡(luò)信息存儲(chǔ)單元中的多個(gè)網(wǎng)絡(luò)相對(duì)應(yīng)地�����,存儲(chǔ)分別管理該多個(gè)網(wǎng)絡(luò)的管理者信息���;攻擊源 網(wǎng)絡(luò)確定步驟�,其監(jiān)視流過(guò)所述自身網(wǎng)絡(luò)的通信量�����,在檢測(cè)到異常通信量的情況下�,根據(jù)分 析該異常通信量而得到的表示異常通信量的發(fā)送源裝置的攻擊源信息,從存儲(chǔ)在所述網(wǎng)絡(luò) 信息存儲(chǔ)單元中的網(wǎng)絡(luò)信息中確定成為攻擊源的攻擊源網(wǎng)絡(luò)�����;攻擊目標(biāo)網(wǎng)絡(luò)確定步驟,其 在檢測(cè)到所述異常通信量的情況下����,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā) 送目的地裝置的攻擊目標(biāo)信息,從存儲(chǔ)在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的網(wǎng)絡(luò)信息中確定成為 攻擊目標(biāo)的攻擊目標(biāo)網(wǎng)絡(luò)�;以及攻擊通知步驟��,其從所述管理者信息存儲(chǔ)單元中取得與通 過(guò)所述攻擊源網(wǎng)絡(luò)確定步驟確定的攻擊源網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息�,使用所取得的管理者信 息,通知所述攻擊源信息��,并且從所述管理者信息存儲(chǔ)單元中取得與通過(guò)所述攻擊目標(biāo)網(wǎng) 絡(luò)確定步驟確定的攻擊目標(biāo)網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息�,使用所取得的管理者信息,通知所述 攻擊目標(biāo)信息�����。根據(jù)權(quán)利要求1��、6���、8��、9的發(fā)明�,分別與構(gòu)成網(wǎng)絡(luò)系統(tǒng)的多個(gè)網(wǎng)絡(luò)相對(duì)應(yīng)地,存儲(chǔ) 用于分別確定該多個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)信息����,分別與所存儲(chǔ)的多個(gè)網(wǎng)絡(luò)相對(duì)應(yīng)地,存儲(chǔ)分別管理 該多個(gè)網(wǎng)絡(luò)的管理者信息���,監(jiān)視流過(guò)自身網(wǎng)絡(luò)的通信量��,在檢測(cè)到異常通信量的情況下��,根 據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送源裝置的攻擊源信息��,從所存儲(chǔ)的網(wǎng) 絡(luò)信息中確定成為攻擊源的攻擊源網(wǎng)絡(luò)���,在檢測(cè)到異常通信量的情況下,根據(jù)分析該異常 通信量而得到的表示異常通信量的發(fā)送目的地裝置的攻擊目標(biāo)信息�����,從所存儲(chǔ)的網(wǎng)絡(luò)信息 中確定成為攻擊目標(biāo)的攻擊目標(biāo)網(wǎng)絡(luò)�����,取得與所確定的攻擊源網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息,使 用所取得的管理者信息���,通知攻擊源信息�,并且取得與所確定的攻擊目標(biāo)網(wǎng)絡(luò)對(duì)應(yīng)的管理 者信息�����,使用所取得的管理者信息��,通知攻擊目標(biāo)信息���,因此在相互連接的其他網(wǎng)絡(luò)運(yùn)營(yíng)商 管理的設(shè)備受到攻擊的情況下,能夠?qū)⒐粜畔⒀杆偻ㄖo攻擊源的網(wǎng)絡(luò)和攻擊目標(biāo)的網(wǎng) 絡(luò)����。此外,通過(guò)立即通知攻擊信息�,被通知的網(wǎng)絡(luò)的管理者能夠迅速且可靠地實(shí)施針對(duì)攻擊 的對(duì)策。此外�����,根據(jù)權(quán)利要求2的發(fā)明��,使用所存儲(chǔ)的自身網(wǎng)絡(luò)的管理者信息,將分析異常 通信量而得到的攻擊源信息和攻擊目標(biāo)信息通知給自身網(wǎng)絡(luò)的管理者裝置��,因此自身網(wǎng)絡(luò) 的管理者能夠認(rèn)識(shí)到自身網(wǎng)絡(luò)也受到攻擊的影響的可能行�,其結(jié)果,能夠迅速進(jìn)行攻擊防 御等對(duì)策���。此外�����,根據(jù)權(quán)利要求3的發(fā)明�����,存儲(chǔ)分析異常通信量而得到的攻擊源信息和攻擊 目標(biāo)信息�,因此能夠通過(guò)蓄積攻擊信息����,將攻擊信息提供給其他網(wǎng)絡(luò)運(yùn)營(yíng)商,而不用轉(zhuǎn)換為 某種傳遞介質(zhì)�����。此外,根據(jù)權(quán)利要求4的發(fā)明��,根據(jù)所存儲(chǔ)的攻擊源信息和攻擊目標(biāo)信息�����,生成攻 擊的統(tǒng)計(jì)信息�,因此能夠統(tǒng)計(jì)地參照攻擊信息,其結(jié)果��,能夠有效利用于實(shí)施攻擊對(duì)策的新 的網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)等��。此外�,根據(jù)權(quán)利要求5的發(fā)明,在從與所存儲(chǔ)的管理者信息對(duì)應(yīng)的管理者裝置受 理了所存儲(chǔ)的攻擊源信息和攻擊目標(biāo)信息以及通過(guò)所述統(tǒng)計(jì)信息生成單元所生成的統(tǒng)計(jì) 信息的閱覽請(qǐng)求時(shí)���,在驗(yàn)證了該管理者裝置為正當(dāng)裝置以后,僅將與該管理者裝置所管理 的網(wǎng)絡(luò)對(duì)應(yīng)的信息輸出給該管理者裝置�,因此對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商的管理者而言,能夠閱覽該 管理者所屬的網(wǎng)絡(luò)中的攻擊信息����,其結(jié)果,能夠采取對(duì)應(yīng)方案���,并掌握攻擊的傾向等����。
此外,根據(jù)權(quán)利要求7的發(fā)明�,在檢測(cè)到異常通信量的情況下,根據(jù)通過(guò)檢測(cè)到該異常通信量的過(guò)濾器所確定的過(guò)濾器信息和網(wǎng)絡(luò)信息�����,確定攻擊目標(biāo)網(wǎng)絡(luò)�����,因此不用等待 分析完成�,能夠立即將攻擊的發(fā)生通知給管理者。
圖1是示出包括實(shí)施例1所涉及的通信量監(jiān)視系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)的整體結(jié)構(gòu)的圖���。圖2是示出實(shí)施例1所涉及的通信量監(jiān)視系統(tǒng)的結(jié)構(gòu)的框圖�����。圖3是示出存儲(chǔ)在網(wǎng)絡(luò)信息DB中的信息的例子的圖����。圖4是示出存儲(chǔ)在攻擊信息DB中的信息的例子的圖。圖5是示出所生成的攻擊類別分布圖的圖���。圖6是示出所生成的攻擊持續(xù)時(shí)間分布的圖���。圖7是示出所生成的攻擊發(fā)生時(shí)間分布的圖。圖8是示出實(shí)施例1所涉及的通信量監(jiān)視系統(tǒng)中的攻擊通知處理的流程的流程 圖�����。圖9是用于說(shuō)明現(xiàn)有技術(shù)的圖����。圖10是用于說(shuō)明現(xiàn)有技術(shù)的圖。標(biāo)號(hào)說(shuō)明10 通信量監(jiān)視系統(tǒng)���;11 通信控制I/F部���;12 顯示部;20 存儲(chǔ)部�;21 網(wǎng)絡(luò)信息 DB �����;22 網(wǎng)絡(luò)運(yùn)營(yíng)商信息表;23 管理者信息表����;24 網(wǎng)絡(luò)信息表;25 過(guò)濾器信息表�����;26 攻 擊信息DB ��;30 控制部�����;31 攻擊檢測(cè)/分析部��;32 網(wǎng)絡(luò)信息確定部����;33 攻擊信息傳遞部; 34 統(tǒng)計(jì)信息生成部����;35 攻擊信息閱覽部。
具體實(shí)施例方式以下參照附圖來(lái)詳細(xì)說(shuō)明本發(fā)明所涉及的網(wǎng)絡(luò)監(jiān)視裝置����、網(wǎng)絡(luò)監(jiān)視方法及網(wǎng)絡(luò)監(jiān) 視程序的實(shí)施例����。此外��,以下����,依次說(shuō)明在本實(shí)施例中使用的主要的用語(yǔ)、本實(shí)施例所涉及 的網(wǎng)絡(luò)監(jiān)視裝置的概要和特征�、網(wǎng)絡(luò)監(jiān)視裝置的結(jié)構(gòu)和處理的流程,最后說(shuō)明對(duì)本實(shí)施例 的各種變形例��。實(shí)施例1[通信量監(jiān)視系統(tǒng)的概要和特征]首先��,使用圖1說(shuō)明實(shí)施例1所涉及的通信量監(jiān)視系統(tǒng)的概要和特征�。圖1是示 出包括實(shí)施例1所涉及的通信量監(jiān)視系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)的整體結(jié)構(gòu)的圖。在本實(shí)施例中使用的“通信量監(jiān)視系統(tǒng)(與記載在權(quán)利要求范圍中的“網(wǎng)絡(luò)監(jiān)視 裝置”對(duì)應(yīng)����。)”,是指檢測(cè)表示在網(wǎng)絡(luò)系統(tǒng)中產(chǎn)生的DoS攻擊或DDoS攻擊等的異常通信量 的計(jì)算機(jī)裝置���。如圖1所示�,該網(wǎng)絡(luò)系統(tǒng)由連接通信量監(jiān)視系統(tǒng)10的��、被分配了網(wǎng)絡(luò)地址 “100. 0. 0. 0/24”的自身網(wǎng)絡(luò)(IX) 100�����,以及被分配了網(wǎng)絡(luò)地址“ 10. 0. 0. 0/24”的ISPl����、被分 配了網(wǎng)絡(luò)地址“20. 0. 0. 0/24”的ISP2、和被分配了網(wǎng)絡(luò)地址“30. 0. 0. 0/24”的ISP3構(gòu)成�, SPU ISP2和ISP3經(jīng)由該IX 100相互可通信地連接。此外���,在ISPl上連接有被分配了 IP地址“10. 0. 0. 10”的終端401���、和被分配了 IP地址“10. 0. 0. 20”的終端402。同樣地��,在ISP2上連接有被分配了 IP地址“20. 0. 0. 10”的 終端403��,在ISP3上連接有被分配了 IP地址“30. 0. 0. 10”的終端404����、和被分配了 IP地址 “30. 0.0. 50”的服務(wù)器500 (Web服務(wù)器)���,在IX 100上,除了通信量監(jiān)視系統(tǒng)10以外��,還連 接有被分配了 IP地址“100. 0.0. 10”的終端405�。此外,與各個(gè)網(wǎng)絡(luò)連接的終端除了上述以 夕卜�,還連接有各種終端(例如DNS服務(wù)器、郵件服務(wù)器��、客戶終端等)�,但是此處省略說(shuō)明。此外����,此處所示的IX 100、15 1�、15 2、15 3分別由不同的公司運(yùn)營(yíng)/管理��。在本實(shí)施例中�����,將終端402設(shè)為ISPl的管理者終端,將終端403設(shè)為ISP2的管理者終端��,將終 端404設(shè)為ISP3的管理者終端���,針對(duì)與ISPl連接的終端402向服務(wù)器500流入了大量的 通信量的情況(DDoS攻擊)進(jìn)行說(shuō)明。在這種結(jié)構(gòu)中��,實(shí)施例1所涉及的通信量監(jiān)視系統(tǒng)10的概要為在將多個(gè)裝置連 接而構(gòu)成的自身網(wǎng)絡(luò)IOO(IX)�、和同樣地構(gòu)成的多個(gè)其他網(wǎng)絡(luò)(ISP1 ISP3)相互連接而構(gòu) 成的網(wǎng)絡(luò)系統(tǒng)中,通信量監(jiān)視系統(tǒng)10與自身網(wǎng)絡(luò)100連接���,檢測(cè)攻擊網(wǎng)絡(luò)系統(tǒng)的異常通信 量��,尤其是�����,其具有以下主要特征在相互連接的其他網(wǎng)絡(luò)運(yùn)營(yíng)商管理的設(shè)備受到攻擊的情 況下�����,能夠?qū)⒐粜畔⒀杆偻ㄖo攻擊源的網(wǎng)絡(luò)和攻擊目標(biāo)的網(wǎng)絡(luò)��。如果具體說(shuō)明該主要特征的話�,通信量監(jiān)視系統(tǒng)10將用于分別確定多個(gè)網(wǎng)絡(luò)的 網(wǎng)絡(luò)信息與構(gòu)成網(wǎng)絡(luò)系統(tǒng)的該多個(gè)網(wǎng)絡(luò)分別對(duì)應(yīng)起來(lái),存儲(chǔ)在網(wǎng)絡(luò)信息DB中����。具體舉例的 話,網(wǎng)絡(luò)信息DB存儲(chǔ)“MAC11�、ISP1”,“MAC22�、ISP2”和“MAC33、ISP3”等作為『用于確定與 IX 100連接的邊界路由器的“MAC地址”��、該邊界路由器所屬的“ISP名稱”』����。此外,通信量監(jiān)視系統(tǒng)10將分別管理多個(gè)網(wǎng)絡(luò)的管理者信息分別與存儲(chǔ)在網(wǎng)絡(luò) 信息DB中的該多個(gè)網(wǎng)絡(luò)對(duì)應(yīng)起來(lái)��,存儲(chǔ)在管理者信息DB中��。具體舉例的話���,管理者信息DB 存儲(chǔ)“終端 401��、ISPl�����、A@ispl”����、“終端 403、ISP2����、B@isp2”、“終端 404�、ISP3�����、C@isp3”��、“終 端405�、IX、X@ix”等作為『表示管理者裝置的“終端名稱”�����、管理者裝置管理的“ ISP名稱”����、 表示管理者裝置的通知目的地的“郵件地址”』。在這種狀態(tài)下,通信量監(jiān)視系統(tǒng)10監(jiān)視在自身網(wǎng)絡(luò)中流過(guò)的通信量�,在檢測(cè)到異 常通信量的情況下,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送源裝置的攻擊 源信息��,從存儲(chǔ)在網(wǎng)絡(luò)信息DB中的網(wǎng)絡(luò)信息中確定成為攻擊源的攻擊源網(wǎng)絡(luò)(參照?qǐng)D1的 (1)和⑵)�����。利用上述例子具體說(shuō)明的話�,通信量監(jiān)視系統(tǒng)10監(jiān)視在自身網(wǎng)絡(luò)中流過(guò)的通信 量,在從終端402流入大量的通信量的情況下��,檢測(cè)出異常通信量�����。此外����,通信量監(jiān)視系 統(tǒng)10根據(jù)在作為所檢測(cè)出的異常通信量的分組中包含的攻擊源信息即“發(fā)送源IP地址= 10.0.0. 20 (終端402)”等,確定發(fā)送源IP地址(終端402)所屬的ISPl的邊界路由器的 "MAC地址=MACl 1 ”��。接著���,通信量監(jiān)視系統(tǒng)10參照網(wǎng)絡(luò)信息DB��,將與所確定的“MAC地址 =MACl 1 ”對(duì)應(yīng)的攻擊源網(wǎng)絡(luò)確定為“ ISPl ”�����。接著�,通信量監(jiān)視系統(tǒng)10在檢測(cè)到異常通信量的情況下,根據(jù)分析該異常通信量 而得到的表示異常通信量的發(fā)送目的地裝置的攻擊目標(biāo)信息���,從存儲(chǔ)在網(wǎng)絡(luò)信息DB中的 網(wǎng)絡(luò)信息中��,確定成為攻擊目標(biāo)的攻擊目標(biāo)網(wǎng)絡(luò)(參照?qǐng)D1的⑶)��。利用上述例子具體說(shuō)明的話��,通信量監(jiān)視系統(tǒng)10根據(jù)在作為所檢測(cè)出的異常通 信量的分組中包含的攻擊目標(biāo)信息即“發(fā)送目的地IP地址=30. 0. 0. 50 (服務(wù)器500) ”等, 確定發(fā)送目的地IP地址(服務(wù)器500)所屬的ISP3的邊界路由器的“MAC地址=MAC33”�����。接著���,通信量監(jiān)視系統(tǒng)10參照網(wǎng)絡(luò)信息DB����,將與所確定的“MAC地址=MAC33”對(duì)應(yīng)的攻擊 目標(biāo)網(wǎng)絡(luò)確定為“ISP3”。此外���,如上述圖1的⑴ (3)那樣����,對(duì)于檢測(cè)/分析異常通信量��,取得攻擊源 裝置的IP地址或連接攻擊源裝置的邊界路由器的MAC地址等攻擊源信息��,取得攻擊目 標(biāo)裝置的IP地址或連接攻擊目標(biāo)裝置的邊界路由器的MAC地址等攻擊目標(biāo)信息的方 法���,使用IDS (Intrusion DetectionSystem 不正當(dāng)接入監(jiān)視系統(tǒng)/侵入檢測(cè)系統(tǒng))或 IPS (Intrusion PreventionSystem 或 Intrusion Protection System 侵入防止系統(tǒng))等 公知的方法���,因此此處省略其詳細(xì)說(shuō)明。之后��,通信量監(jiān)視系統(tǒng)10從管理者信息DB中取得與所確定的攻擊源網(wǎng)絡(luò)對(duì)應(yīng)的 管理者信息����,使用所取得的管理者信息,通知攻擊源信息�����,并且從管理者信息DB中取得與 所確定的攻擊目標(biāo)網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息,使用所取得的管理者信息���,通知攻擊目標(biāo)信息 (參照?qǐng)D1的⑷)��。使用上述例子具體說(shuō)明的話���,通信量監(jiān)視系統(tǒng)10從管理者信息DB中取得與所確 定的攻擊源網(wǎng)絡(luò)“ISP1”對(duì)應(yīng)的管理者信息“終端名稱=終端401、ISP名稱=ISP1���、郵件地 址AOisp 1”��,使用所取得的郵件地址“郵件地址AOisp 1”���,通知攻擊源信息“發(fā)送源IP地址 =10. 0. 0. 20 (終端402)等”。同樣地��,通信量監(jiān)視系統(tǒng)10從管理者信息DB中取得與所確 定的攻擊目標(biāo)網(wǎng)絡(luò)“ISP3”對(duì)應(yīng)的管理者信息“終端404�����、ISP3���、C@isp3”�����,使用所取得的郵件 地址“C@isp3”�,通知攻擊目標(biāo)信息“發(fā)送目的地IP地址=30. 0. 0. 50 (服務(wù)器500)等”�。之后,通信量監(jiān)視系統(tǒng)10使用存儲(chǔ)在管理者信息DB中的自身網(wǎng)絡(luò)的管理者信 息�����,將分析異常通信量而得到的攻擊源信息和攻擊目標(biāo)信息通知給自身網(wǎng)絡(luò)的管理者裝置 (參照?qǐng)D1的(5))����。使用上述例子具體說(shuō)明的話,通信量監(jiān)視系統(tǒng)10使用存儲(chǔ)在管理者信 息DB中的自身網(wǎng)絡(luò)的管理者信息“終端405�、IX、Xiix"的郵件地址“X@ix”��,將分析異常通 信量而得到的攻擊源信息“發(fā)送源IP地址=10. 0. 0. 20 (終端402)等”和攻擊目標(biāo)信息“發(fā) 送目的地IP地址=30. 0. 0. 50 (服務(wù)器500)等”通知給自身網(wǎng)絡(luò)的管理者裝置���。由此�����,實(shí)施例1所涉及的通信量監(jiān)視系統(tǒng)10能夠根據(jù)通過(guò)自身網(wǎng)絡(luò)(IX) 100的異 常通信量來(lái)確定與DoS或DDoS等攻擊相關(guān)的ISP和裝置����,其結(jié)果為,如上述的主要特征那 樣��,在相互連接的其他網(wǎng)絡(luò)運(yùn)營(yíng)商管理的設(shè)備受到攻擊的情況下�����,能夠?qū)⒐粜畔⒀杆偻?知給攻擊源的網(wǎng)絡(luò)和攻擊目標(biāo)的網(wǎng)絡(luò)��。[通信量監(jiān)視系統(tǒng)的結(jié)構(gòu)]接著���,使用圖2說(shuō)明圖1所示的通信量監(jiān)視系統(tǒng)的結(jié)構(gòu)����。圖2是示出實(shí)施例1所 涉及的通信量監(jiān)視系統(tǒng)的結(jié)構(gòu)的框圖��。如圖2所示�����,該通信量監(jiān)視系統(tǒng)10由通信控制I/F 部11���、顯示部12��、存儲(chǔ)部20和控制部30構(gòu)成�。通信控制I/F部11控制在與所連接的各裝置之間交換的各種信息相關(guān)的通信����。具 體舉例的話,通信控制I/F部11接收從終端402作為DDoS攻擊發(fā)送到服務(wù)器500的大量 的分組�,或者向終端401、終端403����、終端404、終端405發(fā)送攻擊源信息和攻擊目標(biāo)信息等�。顯示部12具備監(jiān)視器(或者顯示器、觸摸面板)或揚(yáng)聲器而構(gòu)成���,輸出各種信息�, 并顯示例如通過(guò)后述的攻擊信息閱覽部35等輸出的攻擊源信息�、攻擊目標(biāo)信息、攻擊源網(wǎng) 絡(luò)信息和攻擊目標(biāo)網(wǎng)絡(luò)信息等�。控制部20存儲(chǔ)控制部30的各種處理所需的數(shù)據(jù)和程序�����,并且作為與本發(fā)明尤其密切關(guān)聯(lián)的單元,具有網(wǎng)絡(luò)信息DB 21和攻擊信息DB 26���。如圖3所示����,網(wǎng)絡(luò)信息DB 21具有網(wǎng)絡(luò)運(yùn)營(yíng)商信息表22���、管理者信息表23����、網(wǎng)絡(luò)信 息表24和過(guò)濾器信息表25���,由此�����,分別與構(gòu)成網(wǎng)絡(luò)系統(tǒng)的多個(gè)網(wǎng)絡(luò)對(duì)應(yīng)起來(lái)存儲(chǔ)分別用于 確定該多個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)信息��、或分別與多個(gè)網(wǎng)絡(luò)對(duì)應(yīng)起來(lái)存儲(chǔ)分別管理該多個(gè)網(wǎng)絡(luò)的管理 者信息等���。此外�����,將這些表格關(guān)聯(lián)起來(lái)。并且�����,圖3是存儲(chǔ)在網(wǎng)絡(luò)信息DB中的信息的例子�, 針對(duì)包括各種數(shù)據(jù)或參數(shù)的信息,除了特別記載的情況以外���,能夠任意進(jìn)行變更����。此外��,網(wǎng) 絡(luò)信息DB 21與記載在權(quán)利要求的范圍中的“網(wǎng)絡(luò)信息存儲(chǔ)單元”和“管理者信息存儲(chǔ)單 元”對(duì)應(yīng)��。網(wǎng)絡(luò)運(yùn)營(yíng)商信息表22存儲(chǔ)用于識(shí)別管理IX 100和ISPl ISP3等的網(wǎng)絡(luò)運(yùn)營(yíng)商 的信息�。具體舉例的話,網(wǎng)絡(luò)運(yùn)營(yíng)商信息表22存儲(chǔ)“001��、15 1�����、東京都〇〇、031以-^^����、 KOl、NOl ”或“002����、ISP2、大阪府ΧΧ�、06-χχχ-χχχχ、Κ02��、Ν02”等作為『唯一分配給運(yùn)營(yíng)商的 “運(yùn)營(yíng)商ID”�、表示運(yùn)營(yíng)商的名稱的“運(yùn)營(yíng)商名稱”、表示運(yùn)營(yíng)商的所在地的“住所”����、表示運(yùn)營(yíng) 商的電話號(hào)碼的“電話號(hào)碼”、表示運(yùn)營(yíng)商的管理者的“管理者ID”��、用于確定運(yùn)營(yíng)商運(yùn)營(yíng)的 網(wǎng)絡(luò)的“網(wǎng)絡(luò)ID”』(參照?qǐng)D3)���。管理者信息表23存儲(chǔ)用于識(shí)別IX 100和ISPl ISP3等的網(wǎng)絡(luò)運(yùn)營(yíng)商的管理者 的信息�。具體舉例的話,管理者信息表23存儲(chǔ)“KO1��、特許太郎����、aaa�����、abcO 1�、0Ifep 1、TRUE (可 通知)��,���,或“K02���、山田花子、bbb��、bjp02���、02@sp2���、FALSE (不可通知)����,�����,等作為『表示運(yùn)營(yíng)商的 管理者的“管理者ID”���、表示管理者的姓名的“姓名”��、在閱覽攻擊信息等的情況下使用的唯 一分配給管理者的“登錄ID”�����、在閱覽攻擊信息等的情況下使用的由管理者指定的“密碼”����、 表示管理者的通知目的地的“郵件地址”�、表示能否通知管理者的“郵件通知標(biāo)記”』(參照 圖3)。此外��,對(duì)一個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)商關(guān)聯(lián)了多個(gè)管理者信息���。此外�����,登錄ID和密碼為該管理者 在使用通信量監(jiān)視系統(tǒng)10時(shí)最初被要求輸入的信息�,僅在所輸入的登錄ID和密碼與在管 理者信息表23中所管理的登錄ID和密碼一致的情況下,才能夠使用通信量監(jiān)視系統(tǒng)10����。網(wǎng)絡(luò)信息表24存儲(chǔ)用于識(shí)別IX 100和ISPl ISP3等的網(wǎng)絡(luò)的信息�。具 體舉例的話,網(wǎng)絡(luò)信息表24存儲(chǔ)“N01���、網(wǎng)絡(luò)����、192. 168. 0. 0/24��、FOl����,,或“N02���、MAC��、 00 11 22 AA BB CC�、F02 ”等作為『唯一分配給網(wǎng)絡(luò)的“網(wǎng)絡(luò)ID ”、表示分配給網(wǎng)絡(luò)的類別的 “地址類別”���、分配給網(wǎng)絡(luò)的“地址”����、表示使用的過(guò)濾器的“過(guò)濾器ID”』(參照?qǐng)D3)����。此夕卜,在地址類別中����,具有“網(wǎng)絡(luò)地址”、“MAC地址”�����、“VLAN ID”�,根據(jù)這些類別,確 定存儲(chǔ)在“地址”中的數(shù)據(jù)形式。此處�,所謂“網(wǎng)絡(luò)地址”,是指構(gòu)成IP地址的比特串中的 為了識(shí)別子網(wǎng)而使用的部分����,例如“192. 168. 0. 0/24”那樣,用“網(wǎng)絡(luò)地址/子網(wǎng)掩碼”的 形式來(lái)表現(xiàn)的部分��,將使用了該表現(xiàn)形式的數(shù)據(jù)存儲(chǔ)在“地址”中����。此外,所謂“MAC地址”�, 是指分配給網(wǎng)卡的固有的物理地址“00:11:22:AA:BB:CC”,將使用了該表現(xiàn)形式的數(shù)據(jù)存 儲(chǔ)在“地址”中����。此外��,所謂“VLAN ID”���,用于識(shí)別虛擬的網(wǎng)絡(luò)即VLAN(Virtual Local Area Network 虛擬局域網(wǎng))的ID編號(hào)“VLANID = V01”��,將使用了該表現(xiàn)形式的數(shù)據(jù)存儲(chǔ)在“地 址”中�����。過(guò)濾器信息表25存儲(chǔ)通過(guò)后述的攻擊檢測(cè)/分析部31檢測(cè)異常通信量時(shí)使用的 通信量監(jiān)視信息�����。具體舉例的話����,過(guò)濾器信息表25存儲(chǔ)“F01、通信量監(jiān)視��、HTTP/HTTPS(向 服務(wù)器500的訪問)��、200t/s (在一秒期間中為200通信量)”或“F02��、通信量監(jiān)視����、TCP/ UDP、300t/s (在一秒期間中為300通信量)”等作為由例如使用與IDS或IPS等同樣的方法檢測(cè)/分析異常通信量的攻擊檢測(cè)/分析部31所使用的『唯一識(shí)別過(guò)濾器的“過(guò)濾器ID”�����、表示過(guò)濾器的名稱的“過(guò)濾器名稱”�����、表示該過(guò)濾器的過(guò)濾條件的“過(guò)濾條件”、表示該過(guò)濾 中的閾值的“閾值”』(參照?qǐng)D3)���。攻擊信息DB 26存儲(chǔ)分析異常通信量而得到的攻擊源信息和攻擊目標(biāo)信息��。具 體舉例的話���,如圖4所示,攻擊信息DB 26存儲(chǔ)“1. TCP ALL����、2007/07/30 14:57:30、-�����、 〇X供應(yīng)商��、關(guān)東地區(qū)NW�����、詳細(xì)信息按鈕”或“2. ICMP,2007/07/28 21:54:00,2007/07/28 22:03:23���、ΔΔ有限公司�����、☆網(wǎng)絡(luò)�、詳細(xì)信息按鈕”等作為『表示項(xiàng)目編號(hào)的“No”����、表示攻擊 的類別的“攻擊類別”、表示開始攻擊的時(shí)間的“攻擊開始時(shí)刻”��、表示攻擊結(jié)束的時(shí)刻的“攻 擊結(jié)束時(shí)刻”�、表示連接有進(jìn)行攻擊的終端的網(wǎng)絡(luò)運(yùn)營(yíng)商的“網(wǎng)絡(luò)運(yùn)營(yíng)商”、表示連接有進(jìn)行 攻擊的終端的網(wǎng)絡(luò)的“網(wǎng)絡(luò)”���、用于顯示所取得的攻擊目標(biāo)信息和攻擊源信息等的詳細(xì)信息 的“詳細(xì)信息按鈕”』�����。此外�����,在管理者等點(diǎn)擊了 “詳細(xì)信息”時(shí)���,用IP地址等顯示各攻擊的分析結(jié)果�����、即 誰(shuí)受到了攻擊�����、誰(shuí)進(jìn)行了攻擊這樣的信息�。此處����,攻擊結(jié)束欄為空白的“No. 1”表示攻擊沒 有結(jié)束還在持續(xù)的狀況。此外���,圖4是示出存儲(chǔ)在攻擊信息DB中的信息的例子���,針對(duì)包括 各種數(shù)據(jù)和參數(shù)在內(nèi)的信息,除了特別記載的情況以外����,能夠任意進(jìn)行變更。此外�,攻擊信 息DB 26與記載在權(quán)利要求的范圍中的“攻擊信息存儲(chǔ)單元”對(duì)應(yīng)?����?刂撇?0具有用于存儲(chǔ)0S(0Perating System 操作系統(tǒng))等控制程序���、規(guī)定了各 種處理步驟等的程序和所需數(shù)據(jù)的內(nèi)部存儲(chǔ)器����,并且作為與本發(fā)明尤其密切關(guān)聯(lián)的單元�����, 具有攻擊檢測(cè)/分析部31�、網(wǎng)絡(luò)信息確定部32、攻擊信息傳遞部33�、統(tǒng)計(jì)信息生成部34和 攻擊信息閱覽部35,通過(guò)這些單元來(lái)執(zhí)行各種處理�。攻擊檢測(cè)/分析部31監(jiān)視流過(guò)自身網(wǎng)絡(luò)100的通信量,在檢測(cè)到異常通信量的情 況下���,分析該異常通信量����,取得表示異常通信量的發(fā)送源裝置的攻擊源信息和表示異常通 信量的發(fā)送目的地裝置的攻擊目標(biāo)信息。具體而言���,攻擊檢測(cè)/分析部31使用與IDS或IPS 等同樣的方法檢測(cè)/分析異常通信量��,例如在發(fā)送到某個(gè)特定的目的地的每單位時(shí)間內(nèi)的 分組流量超過(guò)了存儲(chǔ)在過(guò)濾器信息表25中的“閾值”的情況下�����,判斷為是攻擊并分析分組����。利用上述例子具體說(shuō)明的話�����,攻擊檢測(cè)/分析部31監(jiān)視流過(guò)自身網(wǎng)絡(luò)100的通信 量��,在從終端402流入大量的通信量的情況下�����,檢測(cè)出異常通信量����。此外�����,攻擊檢測(cè)/分析 部31根據(jù)在所檢測(cè)出的異常通信量中包含的攻擊源信息即“發(fā)送源IP地址=10. 0. 0. 20” 等,確定發(fā)送源IP地址所屬的ISP的邊界路由器的“MAC地址=00 11 22 AA:BB CC”����,并 存儲(chǔ)在后述的攻擊信息DB 26中。并且���,攻擊檢測(cè)/分析部31根據(jù)在所檢測(cè)出的異常通信 量中包含的攻擊目標(biāo)信息即“發(fā)送目的地IP地址=30. 0. 0. 50”等�,確定發(fā)送目的地IP地 址所屬的ISP的邊界路由器的“網(wǎng)絡(luò)地址=192. 168. 0. 0/24”���,并存儲(chǔ)在后述的攻擊信息DB 26中����。此外�����,對(duì)于檢測(cè)/分析異常通信量��,取得攻擊源裝置的IP地址或連接有攻擊源裝 置的邊界路由器的MAC地址或網(wǎng)絡(luò)地址等攻擊源信息�,取得攻擊目標(biāo)裝置的IP地址或連接 攻擊目標(biāo)裝置的邊界路由器的MAC地址或網(wǎng)絡(luò)地址等攻擊目標(biāo)信息的方法�����,使用IDS或IPS 等公知的方法����,因此此處省略其詳細(xì)說(shuō)明�。此外,此處�,說(shuō)明了通過(guò)攻擊檢測(cè)/分析部31確 定網(wǎng)絡(luò)地址和MAC地址作為攻擊源信息和攻擊目標(biāo)信息,但除此以外����,例如還可以確定協(xié) 議信息和日期時(shí)間等。
網(wǎng)絡(luò)信息確定部32根據(jù)分析異常通信量而得到的表示異常通信量的發(fā)送源裝置 的攻擊源信息����,從存儲(chǔ)在網(wǎng)絡(luò)信息DB 21中的網(wǎng)絡(luò)信息中確定成為攻擊源的攻擊源網(wǎng)絡(luò), 并根據(jù)分析異常通信量而得到的表示異常通信量的發(fā)送目的地裝置的攻擊目標(biāo)信息�����,從存 儲(chǔ)在網(wǎng)絡(luò)信息DB 21中的網(wǎng)絡(luò)信息中確定成為攻擊目標(biāo)的攻擊目標(biāo)網(wǎng)絡(luò)�����。使用上述例子具體說(shuō)明的話,網(wǎng)絡(luò)信息確定部32從網(wǎng)絡(luò)信息DB 21的網(wǎng)絡(luò)信息表 24中確定與連接有由攻擊檢測(cè)/分析部31確定的攻擊源裝置的ISP的邊界路由器的“網(wǎng) 絡(luò)地址=192. 168. 0. 0/24”(攻擊源信息)對(duì)應(yīng)的“網(wǎng)絡(luò)ID = NOl”�,從網(wǎng)絡(luò)運(yùn)營(yíng)商信息表 22中確定與所確定的“網(wǎng)絡(luò)ID = N01”對(duì)應(yīng)的“運(yùn)營(yíng)商名稱=ISP1”。并且�,網(wǎng)絡(luò)信息確定 部32將最終確定的“運(yùn)營(yíng)商名稱=ISP1”作為成為攻擊源的攻擊源網(wǎng)絡(luò)通知給后述的攻擊 信息傳遞部33。同樣地�����,網(wǎng)絡(luò)信息確定部32從網(wǎng)絡(luò)信息DB 21的網(wǎng)絡(luò)信息表24中確定與連 接有由攻擊檢測(cè)/分析部31確定的攻擊目標(biāo)裝置的ISP的邊界路由器的“MAC地址= 00:11:22:AA:BB:CC”(攻擊目標(biāo)信息)對(duì)應(yīng)的“網(wǎng)絡(luò)ID = N02”�����,從網(wǎng)絡(luò)運(yùn)營(yíng)商信息表22 中確定與所確定的“網(wǎng)絡(luò)ID = N02”對(duì)應(yīng)的“運(yùn)營(yíng)商名稱=ISP2”�����。并且���,網(wǎng)絡(luò)信息確定部 32將最終確定的“運(yùn)營(yíng)商名稱=ISP2”作為成為攻擊目標(biāo)的攻擊目標(biāo)網(wǎng)絡(luò)通知給后述的攻 擊信息傳遞部33。此外����,網(wǎng)絡(luò)信息確定部32與記載在權(quán)利要求范圍中的“攻擊源網(wǎng)絡(luò)確定 單元”和“攻擊目標(biāo)網(wǎng)絡(luò)確定單元”對(duì)應(yīng)。攻擊信息傳遞部33從管理者信息表23取得與通過(guò)網(wǎng)絡(luò)信息確定部32確定的攻 擊源網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息,使用所取得的管理者信息����,通知攻擊源信息,并且從管理者信 息表23取得與通過(guò)網(wǎng)絡(luò)信息確定部32確定的攻擊目標(biāo)網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息�����,使用所取 得的管理者信息��,通知攻擊目標(biāo)信息�。使用上述例子具體說(shuō)明的話,攻擊信息傳遞部33從網(wǎng)絡(luò)信息DB 21的管理者信息 表23取得與從網(wǎng)絡(luò)信息確定部32通知的攻擊源網(wǎng)絡(luò)“運(yùn)營(yíng)商名稱=ISP1”對(duì)應(yīng)的管理者信 息“管理者ID = K01�、姓名=特許太郎、登錄ID = aaa����、密碼=abcOl、郵件地址=OlispU 郵件通知標(biāo)記=TRUE”����。并且,由于所取得的管理者信息的“郵件通知標(biāo)記=TRUE”����,攻擊信 息傳遞部33從攻擊信息DB 26取得攻擊源信息(例如攻擊源裝置的IP地址、日期時(shí)間、攻 擊目標(biāo)的IP地址等)�,使用管理者信息的“郵件地址=Olfepl”,將所取得的攻擊源信息通 知給連接有攻擊源裝置的網(wǎng)絡(luò)的管理者�。在該例中,攻擊信息傳遞部33將攻擊源信息通知 給ISPl的管理者(特許太郎)��。此外��,攻擊信息傳遞部33從網(wǎng)絡(luò)信息DB 21的管理者信息表23取得與從網(wǎng)絡(luò)信 息確定部32通知的攻擊目標(biāo)網(wǎng)絡(luò)“運(yùn)營(yíng)商名稱=ISP2”對(duì)應(yīng)的管理者信息“管理者ID = K02�、姓名=山田花子、登錄ID = bbb�、密碼=bjp02、郵件地址=02@sp2�、郵件通知標(biāo)記= FALSE”����。并且,由于所取得的管理者信息的“郵件通知標(biāo)記=FALSE”����,攻擊信息傳遞部33 不將攻擊目標(biāo)信息(例如,攻擊目標(biāo)裝置的IP地址�����、日期時(shí)間、攻擊源的IP地址等)通知 給攻擊目標(biāo)的網(wǎng)絡(luò)的管理者“山田花子”��。此外���,攻擊信息傳遞部33使用存儲(chǔ)在管理者信息表23中的自身網(wǎng)絡(luò)100的管理 者信息����,將分析異常通信量而得到的攻擊源信息和攻擊目標(biāo)信息通知給自身網(wǎng)絡(luò)100的管 理者裝置�。利用上述例子具體說(shuō)明的話,攻擊信息傳遞部33使用存儲(chǔ)在網(wǎng)絡(luò)信息DB21的 管理者信息表23中的自身網(wǎng)絡(luò)100的管理者信息���,將通過(guò)攻擊檢測(cè)/分析部31所取得的“攻擊源信息”和“攻擊目標(biāo)信息”通知給自身網(wǎng)絡(luò)100的管理者裝置�。即����,攻擊信息傳遞部 33還將通過(guò)攻擊檢測(cè)/分析部31取得、并通知給攻擊源的網(wǎng)絡(luò)的管理者或攻擊目標(biāo)的網(wǎng)絡(luò) 的管理者的“攻擊源信息”和“攻擊目標(biāo)信息”通知給連接有檢測(cè)/分析異常通信量的通信 量監(jiān)視系統(tǒng)10的網(wǎng)絡(luò)(IX)����。此外�����,攻擊信息傳遞部33與記載在權(quán)利要求范圍中的“攻擊 信息單元”和“自身網(wǎng)絡(luò)管理者通知單元”對(duì)應(yīng)��。統(tǒng)計(jì)信息生成部34根據(jù)存儲(chǔ)在攻擊信息DB 26中的攻擊源信息和攻擊目標(biāo)信息���, 生成攻擊的統(tǒng)計(jì)信息。利用上述例子具體說(shuō)明的話����,統(tǒng)計(jì)信息生成部34根據(jù)存儲(chǔ)在存儲(chǔ)過(guò) 去或當(dāng)前產(chǎn)生的各種信息的攻擊信息DB 26中的攻擊源信息和攻擊目標(biāo)信息以及網(wǎng)絡(luò)信 息,生成如圖5所示的攻擊類別分布圖��、圖6所示的攻擊持續(xù)時(shí)間分布�、和圖7所示的攻擊 發(fā)生時(shí)間分布等。并且���,統(tǒng)計(jì)信息生成部34在從各網(wǎng)絡(luò)運(yùn)營(yíng)商的管理者受理了希望生成的 統(tǒng)計(jì)信息�����、統(tǒng)計(jì)信息計(jì)算期間、成為統(tǒng)計(jì)對(duì)象的圖表的選擇時(shí)�����,依照該選擇生成統(tǒng)計(jì)信息�。并且��,該統(tǒng)計(jì)信息生成部34在受理了后述的攻擊信息閱覽部35的指示時(shí)�����,生成圖 5 圖7所示的統(tǒng)計(jì)信息���,并輸出到顯示部12。此外�,圖5是示出所生成的攻擊類別分布圖 的圖,圖6是示出所生成的攻擊持續(xù)時(shí)間分布的圖��,圖7是示出所生成的攻擊發(fā)生時(shí)間分布 的圖��。并且�,統(tǒng)計(jì)信息生成部34與記載在權(quán)利要求范圍中的“統(tǒng)計(jì)信息生成單元”對(duì)應(yīng)。攻擊信息閱覽部35在從與存儲(chǔ)在管理者信息表23中的管理者信息對(duì)應(yīng)的管理者 裝置受理了存儲(chǔ)在攻擊信息DB 26中的攻擊源信息和攻擊目標(biāo)信息���、網(wǎng)絡(luò)信息����、以及通過(guò) 統(tǒng)計(jì)信息生成部34生成的統(tǒng)計(jì)信息的閱覽請(qǐng)求的情況下����,在驗(yàn)證了該管理者裝置為正當(dāng) 裝置以后����,僅將與該管理者裝置所管理的網(wǎng)絡(luò)對(duì)應(yīng)的信息輸出到該管理者裝置���。具體說(shuō)明的話����,攻擊信息閱覽部35在經(jīng)由通信控制I/F部11從網(wǎng)絡(luò)系統(tǒng)的各管 理者裝置受理了攻擊信息閱覽請(qǐng)求時(shí)���,將受理“登錄ID”和“密碼”的輸入的驗(yàn)證畫面輸出 到顯示部12�����。并且�����,攻擊信息閱覽部35在通過(guò)驗(yàn)證畫面受理的“登錄ID”和“密碼”與存 儲(chǔ)在管理者信息表23中的“登錄ID”和“密碼”一致的情況下�,從網(wǎng)絡(luò)運(yùn)營(yíng)商信息表22中 確定與該“登錄ID”和“密碼”相對(duì)應(yīng)地存儲(chǔ)的“運(yùn)營(yíng)商名稱”��,并從攻擊信息DB 26取得與 所確定的“運(yùn)營(yíng)商”相關(guān)的攻擊信息并輸出到顯示部12�����。此外�,攻擊信息閱覽部35根據(jù)需要(管理者等的指示操作等),將統(tǒng)計(jì)信息的生成 指示輸出到統(tǒng)計(jì)信息生成部34����。此外,攻擊信息閱覽部35在從連接有通信量監(jiān)視系統(tǒng)10 的網(wǎng)絡(luò)(IX)IOO的管理者受理了閱覽請(qǐng)求��,并用上述方法驗(yàn)證了該管理者為正當(dāng)裝置時(shí)����, 不僅從攻擊信息DB26取得與該IX 100相關(guān)的攻擊信息,還取得該網(wǎng)絡(luò)系統(tǒng)全體的攻擊信 息并輸出到顯示部12��。此外���,攻擊信息閱覽部35與記載在權(quán)利要求范圍中的“攻擊信息閱 覽單元”對(duì)應(yīng)�。[通信量監(jiān)視系統(tǒng)的處理]接著�,使用圖8,對(duì)通信量監(jiān)視系統(tǒng)的處理進(jìn)行說(shuō)明��。圖8是示出實(shí)施例1所涉及的通信量監(jiān)視系統(tǒng)中的攻擊通知處理的流程的流程圖���。如圖8所示�,通信量監(jiān)視系統(tǒng)10登記進(jìn)行通信量監(jiān)視的網(wǎng)絡(luò)信息(步驟S101)。 具體而言���,通信量監(jiān)視系統(tǒng)分別生成存儲(chǔ)用于識(shí)別網(wǎng)絡(luò)運(yùn)營(yíng)商的信息的網(wǎng)絡(luò)運(yùn)營(yíng)商信息表 22��、存儲(chǔ)用于識(shí)別網(wǎng)絡(luò)運(yùn)營(yíng)商的管理者的信息的管理者信息表23�、存儲(chǔ)用于識(shí)別網(wǎng)絡(luò)的信 息的網(wǎng)絡(luò)信息表24����、存儲(chǔ)在通信量監(jiān)視中使用的信息的過(guò)濾器信息表25,并存儲(chǔ)在網(wǎng)絡(luò)信 息DB21中���。
接著����,通信量監(jiān)視系統(tǒng)10監(jiān)視存儲(chǔ)(登記)在網(wǎng)絡(luò)信息DB 21中的網(wǎng)絡(luò)上的通信 量來(lái)監(jiān)視DoS攻擊或DDoS攻擊等網(wǎng)絡(luò)攻擊(步驟S102)���。具體舉例的話�,通信量監(jiān)視系統(tǒng) 10的攻擊檢測(cè)/分析部31根據(jù)存儲(chǔ)在網(wǎng)絡(luò)信息DB 21的過(guò)濾器信息表25中的“過(guò)濾條件” 和“閾值”�,監(jiān)視網(wǎng)絡(luò)攻擊。之后��,通信量監(jiān)視系統(tǒng)10在檢測(cè)到發(fā)生了攻擊時(shí)(步驟S103為肯定),分析與該 攻擊相關(guān)的分組(步驟S104)�����。具體說(shuō)明的話�,通信量監(jiān)視系統(tǒng)10的攻擊檢測(cè)/分析部31 在根據(jù)網(wǎng)絡(luò)上的通信量檢測(cè)到與存儲(chǔ)在過(guò)濾器信息表25中的“過(guò)濾條件”對(duì)應(yīng)的“閾值”以 上的通信量時(shí)�,檢測(cè)出發(fā)生了攻擊。于是��,通信量監(jiān)視系統(tǒng)10分析表示該攻擊的通信量的 分組��,取得表示攻擊源的攻擊源信息和表示攻擊目標(biāo)的攻擊目標(biāo)信息���。接著���,通信量監(jiān)視系統(tǒng)10將所取得的攻擊信息蓄積在攻擊信息DB26中(步驟 S105)。具體舉例的話���,通信量監(jiān)視系統(tǒng)10的攻擊檢測(cè)/分析部31將在步驟S104中取得 的攻擊源信息和攻擊目標(biāo)信息蓄積存儲(chǔ)在攻擊信息DB 26中��。然后�����,通信量監(jiān)視系統(tǒng)10將取得的攻擊信息通知給連接有攻擊源裝置的網(wǎng)絡(luò)的 管理者�、連接有攻擊目標(biāo)裝置的網(wǎng)絡(luò)的管理者、以及連接有通信量監(jiān)視系統(tǒng)10的網(wǎng)絡(luò)的管 理者(步驟S106)��。具體舉例的話�����,通信量監(jiān)視系統(tǒng)10的網(wǎng)絡(luò)信息確定部32根據(jù)在 步驟S104中取得 的攻擊源信息和攻擊目標(biāo)信息�����,從管理者信息表23中確定連接有攻擊源裝置的網(wǎng)絡(luò)的管 理者���、和連接有攻擊目標(biāo)裝置的網(wǎng)絡(luò)的管理者�����。并且��,通信量監(jiān)視系統(tǒng)10的攻擊信息傳遞 部33使用在所確定的管理者信息中包含的郵件地址��,將攻擊目標(biāo)信息通知給連接有攻擊 源裝置的網(wǎng)絡(luò)的管理者����,將攻擊目標(biāo)信息通知給連接有攻擊目標(biāo)裝置的網(wǎng)絡(luò)的管理者。同 樣地��,通信量監(jiān)視系統(tǒng)10從管理者信息表23中確定連接有通信量監(jiān)視系統(tǒng)10的網(wǎng)絡(luò)的管 理者�����,使用在所確定的管理者信息中包含的郵件地址�����,將攻擊源信息和攻擊目標(biāo)信息通知 給連接有通信量監(jiān)視系統(tǒng)10的網(wǎng)絡(luò)的管理者��。之后�����,通信量監(jiān)視系統(tǒng)10在接收到攻擊信息的閱覽請(qǐng)求時(shí)����,經(jīng)由顯示部12將攻擊 信息顯示在請(qǐng)求目的地上(步驟S107)����。具體舉例的話,通信量監(jiān)視系統(tǒng)10的攻擊信息閱覽部35在從與存儲(chǔ)在管理者信 息表23中的管理者信息對(duì)應(yīng)的管理者裝置受理了存儲(chǔ)在攻擊信息DB 26中的攻擊源信息 和攻擊目標(biāo)信息����、網(wǎng)絡(luò)信息�����、以及通過(guò)統(tǒng)計(jì)信息生成部34生成的統(tǒng)計(jì)信息的閱覽請(qǐng)求的情 況下����,在驗(yàn)證了該管理者裝置為正當(dāng)裝置以后���,僅將與該管理者裝置所管理的網(wǎng)絡(luò)對(duì)應(yīng)的 信息輸出給該管理者裝置�。[實(shí)施例1的效果]由此�,根據(jù)實(shí)施例1,具有分別與構(gòu)成網(wǎng)絡(luò)系統(tǒng)的多個(gè)網(wǎng)絡(luò)對(duì)應(yīng)地存儲(chǔ)分別用于 確定該多個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)信息的網(wǎng)絡(luò)信息DB 21 �;和分別與多個(gè)網(wǎng)絡(luò)對(duì)應(yīng)地存儲(chǔ)分別管理該 多個(gè)網(wǎng)絡(luò)的管理者信息的管理者信息表23,監(jiān)視流過(guò)自身網(wǎng)絡(luò)100的通信量�����,在檢測(cè)到異 常通信量的情況下�,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送源裝置的攻擊 源信息,從存儲(chǔ)在網(wǎng)絡(luò)信息DB 21中的網(wǎng)絡(luò)信息中確定成為攻擊源的攻擊源網(wǎng)絡(luò)���,在檢測(cè) 到異常通信量的情況下���,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送目的地裝 置的攻擊目標(biāo)信息��,從存儲(chǔ)在網(wǎng)絡(luò)信息DB 21中的網(wǎng)絡(luò)信息中確定成為攻擊目標(biāo)的攻擊目 標(biāo)網(wǎng)絡(luò)�,從管理者信息表23取得與所確定的攻擊源網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息��,使用所取得的管理者信息�����,通知攻擊源信息���,并且從管理者信息表23取得與所確定的攻擊目標(biāo)網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息,使用所取得的管理者信息����,通知攻擊目標(biāo)信息,因此在相互連接的其他網(wǎng)絡(luò) 運(yùn)營(yíng)商管理的設(shè)備受到攻擊的情況下�����,能夠?qū)⒐粜畔⒀杆偻ㄖo攻擊源的網(wǎng)絡(luò)和攻擊目 標(biāo)的網(wǎng)絡(luò)���。通過(guò)立即通知攻擊信息��,被通知的網(wǎng)絡(luò)的管理者能夠迅速且可靠地實(shí)施針對(duì)攻 擊的對(duì)策��。此外��,根據(jù)實(shí)施例1����,使用存儲(chǔ)在管理者信息表23中的自身網(wǎng)絡(luò)100的管理者信 息,將分析異常通信量而得到的攻擊源信息和攻擊目標(biāo)信息通知給自身網(wǎng)絡(luò)100的管理者 裝置��,因此自身網(wǎng)絡(luò)100的管理者能夠識(shí)認(rèn)識(shí)到自身網(wǎng)絡(luò)100也受到攻擊的影響的可能行���, 其結(jié)果�����,能夠迅速進(jìn)行攻擊防御等對(duì)策����。此外�����,根據(jù)實(shí)施例1�,將分析異常通信量而得到的攻擊源信息和攻擊目標(biāo)信息存儲(chǔ) 在攻擊信息DB 26中����,因此能夠通過(guò)蓄積攻擊信息����,無(wú)需將攻擊信息轉(zhuǎn)換為某種的傳遞介 質(zhì)即可將攻擊信息提供給其他網(wǎng)絡(luò)運(yùn)營(yíng)商。此外�,根據(jù)實(shí)施例1,根據(jù)存儲(chǔ)在攻擊信息DB 26中的攻擊源信息和攻擊目標(biāo)信 息����,生成攻擊的統(tǒng)計(jì)信息,因此能夠統(tǒng)計(jì)地參照攻擊信息��,其結(jié)果����,能夠有效利用于實(shí)施了 攻擊對(duì)策的新的網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)等���。此外�����,根據(jù)實(shí)施例1�����,在從與存儲(chǔ)在管理者信息表23中的管理者信息對(duì)應(yīng)的管理 者裝置受理了存儲(chǔ)在攻擊信息DB 26中的攻擊源信息和攻擊目標(biāo)信息以及所生成的統(tǒng)計(jì) 信息的閱覽請(qǐng)求時(shí)����,在驗(yàn)證了該管理者裝置為正當(dāng)裝置以后,僅將與該管理者裝置所管理 的網(wǎng)絡(luò)對(duì)應(yīng)的信息輸出給該管理者裝置���,因此對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商的管理者而言��,能夠閱覽該 管理者所屬的網(wǎng)絡(luò)中的攻擊信息�����,其結(jié)果�,能夠采取對(duì)應(yīng)方案��,掌握攻擊的傾向等�。實(shí)施例2此外,在此之前說(shuō)明了本發(fā)明的實(shí)施例��,但是本發(fā)明除了上述的實(shí)施例以外���,還可 以用各種不同的形式實(shí)施���。因此�����,如下所示���,分別劃分為(1)網(wǎng)絡(luò)的確定方法、(2)系統(tǒng)結(jié) 構(gòu)等���、(3)程序來(lái)說(shuō)明不同的實(shí)施例�����。(1)網(wǎng)絡(luò)的確定方法例如�����,在實(shí)施例1中,針對(duì)使用ISP的邊界路由器的“網(wǎng)絡(luò)地址”和“MAC地址”�,確 定連接了攻擊源或攻擊目標(biāo)裝置的網(wǎng)絡(luò)的情況進(jìn)行了說(shuō)明,但是本發(fā)明不限于此����,只要是 能夠從分組取得�,并且能夠唯一地確定網(wǎng)絡(luò)的信息(例如VLAN ID���、唯一分配給網(wǎng)絡(luò)系統(tǒng)的 各網(wǎng)絡(luò)的網(wǎng)絡(luò)ID等)���,則無(wú)論使用怎樣的信息都能夠確定連接有攻擊源或攻擊目標(biāo)裝置的 網(wǎng)絡(luò)。此外��,在實(shí)施例1中��,針對(duì)網(wǎng)絡(luò)信息確定部32根據(jù)攻擊檢測(cè)/分析部31分析異常 通信量的結(jié)果來(lái)確定ISP的邊界路由器的“網(wǎng)絡(luò)地址”和“MAC地址”�,確定連接有攻擊源或 攻擊目標(biāo)裝置的網(wǎng)絡(luò)的情況進(jìn)行了說(shuō)明。但是����,本發(fā)明不限于此,還能夠在攻擊檢測(cè)/分析 部31檢測(cè)到異常通信量的時(shí)刻�,確定攻擊目標(biāo)網(wǎng)絡(luò),而不用分析異常通信量��。具體而言�,通信量監(jiān)視系統(tǒng)10監(jiān)視流過(guò)自身網(wǎng)絡(luò)100的通信量,在檢測(cè)到異常通 信量的情況下���,能夠根據(jù)由哪個(gè)過(guò)濾器檢測(cè)出異常通信量���,來(lái)確定攻擊目標(biāo)網(wǎng)絡(luò)����。參照?qǐng)D3具體說(shuō)明的話�,如在實(shí)施例1中說(shuō)明那樣,通信量監(jiān)視系統(tǒng)10的攻擊檢 測(cè)/分析部31使用存儲(chǔ)在圖3的過(guò)濾器信息表中的過(guò)濾器信息(通信量監(jiān)視信息)��,進(jìn)行 通信量監(jiān)視�����。之后���,假設(shè)攻擊檢測(cè)/分析部31通過(guò)“過(guò)濾器ID = F01的過(guò)濾器(圖3的過(guò)濾器信息表25的最上層)����,��,檢測(cè)出異常通信量�。此時(shí)����,網(wǎng)絡(luò)信息確定部32確定與通過(guò)攻擊檢測(cè)/分析部31檢測(cè)到異常通信量的 過(guò)濾器“過(guò)濾器ID = F01”對(duì)應(yīng)的網(wǎng)絡(luò)“網(wǎng)絡(luò)ID = N01 (圖3的網(wǎng)絡(luò)信息表24的最上層)”�����, 并且確定與“網(wǎng)絡(luò)ID = N01”對(duì)應(yīng)的網(wǎng)絡(luò)運(yùn)營(yíng)商“運(yùn)營(yíng)商ID = 001(圖3的網(wǎng)絡(luò)運(yùn)營(yíng)商信息 表22的最上層)”����。接著�,攻擊信息傳遞部33取得與通過(guò)網(wǎng)絡(luò)信息確定部32確定的“運(yùn)營(yíng) 商ID = 001”對(duì)應(yīng)的管理者信息“管理者ID = K01 (圖3的管理信息表23的最上層)”,使 用所取得的管理者信息�����,通知攻擊的發(fā)生����,并且攻擊檢測(cè)/分析部31分析異常通信量。接 收到通知的管理者訪問通信量監(jiān)視系統(tǒng)��,參照與該異常通信量相關(guān)的分析結(jié)果�。由此,不用 等待分析完成����,能夠立即將攻擊的發(fā)生通知給管理者���。此外,針對(duì)攻擊源信息����,用與實(shí)施例 1相同的方法進(jìn)行通知。由此���,通信量監(jiān)視系統(tǒng)10能夠根據(jù)由哪個(gè)過(guò)濾器檢測(cè)出異常通信量�,來(lái)確定攻擊 目標(biāo)網(wǎng)絡(luò)��,而不用分析檢測(cè)出的異常通信量����。此外,此處�,與實(shí)施例1同樣,如果例示攻擊檢 測(cè)/分析部31通過(guò)分析異常通信量而得到的信息的話�����,則具有例如攻擊目標(biāo)IP地址/端 口號(hào)碼����、攻擊源IP地址/端口號(hào)碼��、在攻擊中使用的協(xié)議、表示攻擊是否為TCP的TCP標(biāo)記 和自身網(wǎng)絡(luò)的路由器的接口信息等����。(2)系統(tǒng)結(jié)構(gòu)等此外,還能夠手動(dòng)地進(jìn)行在本實(shí)施例中所說(shuō)明的各處理中的���、作為自動(dòng)地進(jìn)行的 處理來(lái)說(shuō)明的處理的全部或一部分���,或者,還可以用公知的方法自動(dòng)地進(jìn)行作為手動(dòng)進(jìn)行 的處理來(lái)說(shuō)明的處理的全部或一部分���。此外��,關(guān)于在上述說(shuō)明書中和附圖中所示的處理步 驟���、控制步驟、具體名稱����、包括各種數(shù)據(jù)和參數(shù)在內(nèi)的信息(例如圖3、圖4等)����,除了特別記 載的情況以外��,能夠任意進(jìn)行變更���。此外,圖示的各裝置的各結(jié)構(gòu)要素是功能概念性的��,在物理上不一定需要如圖所 示那樣構(gòu)成���。即����,各裝置的分散/集中的具體形式不限于圖示����,能夠根據(jù)各種負(fù)荷和使用狀 況等,以任意的單位功能性或物理性地分散/幾種(例如將統(tǒng)計(jì)信息生成部34和攻擊信息 閱覽部35幾種等)其全部或一部分來(lái)構(gòu)成��。此外����,由各裝置進(jìn)行的各處理功能的全部或任 意一部分能通過(guò)CPU和由該CPU分析執(zhí)行的程序來(lái)實(shí)現(xiàn),或者能夠作為利用布線邏輯的硬 件來(lái)實(shí)現(xiàn)���。(3)程序此外�����,在本實(shí)施例中所說(shuō)明的網(wǎng)絡(luò)監(jiān)視方法能夠通過(guò)由個(gè)人計(jì)算機(jī)或工作站等計(jì) 算機(jī)執(zhí)行預(yù)先準(zhǔn)備的程序來(lái)實(shí)現(xiàn)����。該程序能夠經(jīng)由因特網(wǎng)等網(wǎng)絡(luò)發(fā)布�。并且,該程序還能 夠記錄在硬盤���、軟盤(FD)���、⑶-R0M、M0��、DVD等計(jì)算機(jī)可讀取的記錄介質(zhì)中�����,通過(guò)由計(jì)算機(jī)從 記錄介質(zhì)中讀出來(lái)執(zhí)行����。產(chǎn)業(yè)上的可利用性如上所述��,本發(fā)明所涉及的網(wǎng)絡(luò)監(jiān)視裝置�����、網(wǎng)絡(luò)監(jiān)視方法及網(wǎng)絡(luò)監(jiān)視程序�,在將多 個(gè)裝置連接而構(gòu)成的自身網(wǎng)絡(luò)�、和同樣地構(gòu)成的多個(gè)其他網(wǎng)絡(luò)相互連接而構(gòu)成的網(wǎng)絡(luò)系統(tǒng) 中,與自身網(wǎng)絡(luò)連接�����,在檢測(cè)攻擊網(wǎng)絡(luò)系統(tǒng)的異常通信量的方面非常有用�,尤其是,適合于 在相互連接的其他網(wǎng)絡(luò)運(yùn)營(yíng)商管理的設(shè)備受到攻擊的情況下�����,將攻擊信息迅速通知給攻擊 源的網(wǎng)絡(luò)和攻擊目標(biāo)的網(wǎng)絡(luò)��。
權(quán)利要求
一種網(wǎng)絡(luò)監(jiān)視裝置�,其在將連接多個(gè)裝置而構(gòu)成的自身網(wǎng)絡(luò)、和同樣地構(gòu)成的多個(gè)其他網(wǎng)絡(luò)相互連接而構(gòu)成的網(wǎng)絡(luò)系統(tǒng)中����,與所述自身網(wǎng)絡(luò)連接���,檢測(cè)攻擊所述網(wǎng)絡(luò)系統(tǒng)的異常通信量,該網(wǎng)絡(luò)監(jiān)視裝置的特征在于���,所述網(wǎng)絡(luò)監(jiān)視裝置具有網(wǎng)絡(luò)信息存儲(chǔ)單元����,其分別與構(gòu)成所述網(wǎng)絡(luò)系統(tǒng)的多個(gè)網(wǎng)絡(luò)相對(duì)應(yīng)地�����,存儲(chǔ)分別用于確定該多個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)信息�;管理者信息存儲(chǔ)單元��,其分別與存儲(chǔ)在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的多個(gè)網(wǎng)絡(luò)相對(duì)應(yīng)地��,存儲(chǔ)分別管理該多個(gè)網(wǎng)絡(luò)的管理者信息�����;攻擊源網(wǎng)絡(luò)確定單元��,其監(jiān)視流過(guò)所述自身網(wǎng)絡(luò)的通信量��,在檢測(cè)到異常通信量的情況下,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送源裝置的攻擊源信息��,從存儲(chǔ)在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的網(wǎng)絡(luò)信息中確定成為攻擊源的攻擊源網(wǎng)絡(luò)�����;攻擊目標(biāo)網(wǎng)絡(luò)確定單元�,其在檢測(cè)到所述異常通信量的情況下,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送目的地裝置的攻擊目標(biāo)信息����,從存儲(chǔ)在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的網(wǎng)絡(luò)信息中確定成為攻擊目標(biāo)的攻擊目標(biāo)網(wǎng)絡(luò);以及攻擊通知單元�,其從所述管理者信息存儲(chǔ)單元中取得與通過(guò)所述攻擊源網(wǎng)絡(luò)確定單元確定的攻擊源網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息,使用所取得的管理者信息�,通知所述攻擊源信息,并且從所述管理者信息存儲(chǔ)單元中取得與通過(guò)所述攻擊目標(biāo)網(wǎng)絡(luò)確定單元確定的攻擊目標(biāo)網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息�����,使用所取得的管理者信息���,通知所述攻擊目標(biāo)信息����。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)監(jiān)視裝置,其特征在于�,該網(wǎng)絡(luò)監(jiān)視裝置還具有自身網(wǎng) 絡(luò)管理者通知單元,該自身網(wǎng)絡(luò)管理者通知單元使用存儲(chǔ)在所述管理者信息存儲(chǔ)單元中的 自身網(wǎng)絡(luò)的管理者信息��,將分析所述異常通信量而得到的攻擊源信息和攻擊目標(biāo)信息通知 給自身網(wǎng)絡(luò)的管理者裝置���。
3.根據(jù)權(quán)利要求1或2所述的網(wǎng)絡(luò)監(jiān)視裝置���,其特征在于,該網(wǎng)絡(luò)監(jiān)視裝置還具有攻擊 信息存儲(chǔ)單元����,該攻擊信息存儲(chǔ)單元存儲(chǔ)分析所述異常通信量而得到的攻擊源信息和攻擊 目標(biāo)信息��。
4.根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)監(jiān)視裝置��,其特征在于�����,該網(wǎng)絡(luò)監(jiān)視裝置還具有統(tǒng)計(jì)信 息生成單元�,該統(tǒng)計(jì)信息生成單元根據(jù)存儲(chǔ)在所述攻擊信息存儲(chǔ)單元中的攻擊源信息和攻 擊目標(biāo)信息,生成攻擊的統(tǒng)計(jì)信息。
5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)監(jiān)視裝置���,其特征在于���,該網(wǎng)絡(luò)監(jiān)視裝置還具有攻擊信 息閱覽單元,該攻擊信息閱覽單元在從與存儲(chǔ)在所述管理者信息存儲(chǔ)單元中的管理者信息 對(duì)應(yīng)的管理者裝置受理了閱覽存儲(chǔ)在所述攻擊信息存儲(chǔ)單元中的攻擊源信息和攻擊目標(biāo) 信息以及通過(guò)所述統(tǒng)計(jì)信息生成單元所生成的統(tǒng)計(jì)信息的閱覽請(qǐng)求的情況下���,在驗(yàn)證了該 管理者裝置為正當(dāng)裝置以后���,僅將與該管理者裝置所管理的網(wǎng)絡(luò)對(duì)應(yīng)的信息輸出給該管理 者裝置。
6.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)監(jiān)視裝置�����,其特征在于�,所述網(wǎng)絡(luò)系統(tǒng)中的多個(gè)其他網(wǎng) 絡(luò)經(jīng)由所述自身網(wǎng)絡(luò)以相互可通信的方式連接,所述網(wǎng)絡(luò)信息存儲(chǔ)單元存儲(chǔ)用于分別確定所述多個(gè)網(wǎng)絡(luò)的信息即MAC地址���、網(wǎng)絡(luò)地 址��、VLAN ID���、路由器接口中的至少一個(gè)����,作為所述網(wǎng)絡(luò)信息��,所述攻擊源網(wǎng)絡(luò)確定單元監(jiān)視流過(guò)所述自身網(wǎng)絡(luò)的通信量�����,在檢測(cè)到異常通信量的情 況下�,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送源裝置的所述網(wǎng)絡(luò)信息,從所述網(wǎng)絡(luò)信息存儲(chǔ)單元中確定所述攻擊源網(wǎng)絡(luò)�,所述攻擊目標(biāo)網(wǎng)絡(luò)確定單元在檢測(cè)到所述異常通信量的情況下,根據(jù)分析該異常通信 量而得到的表示異常通信量的發(fā)送目的地裝置的所述網(wǎng)絡(luò)信息�,從所述網(wǎng)絡(luò)信息存儲(chǔ)單元 中確定所述攻擊目標(biāo)網(wǎng)絡(luò)。
7.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)監(jiān)視裝置����,其特征在于,所述網(wǎng)絡(luò)信息存儲(chǔ)單元還與所述網(wǎng)絡(luò)信息相對(duì)應(yīng)地存儲(chǔ)過(guò)濾器信息�����,該過(guò)濾器信息是 與應(yīng)用了用于檢測(cè)流過(guò)所述自身網(wǎng)絡(luò)的異常通信量的通信量監(jiān)視信息的過(guò)濾器有關(guān)的信 息�����?所述攻擊目標(biāo)網(wǎng)絡(luò)確定單元在檢測(cè)到所述異常通信量的情況下��,根據(jù)由檢測(cè)到該異常 通信量的過(guò)濾器所確定的存儲(chǔ)在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的過(guò)濾器信息和網(wǎng)絡(luò)信息���,確定 所述攻擊目標(biāo)網(wǎng)絡(luò)���。
8. —種網(wǎng)絡(luò)監(jiān)視方法,該網(wǎng)絡(luò)監(jiān)視方法適用于在將連接多個(gè)裝置而構(gòu)成的自身網(wǎng)絡(luò)�����、 和同樣地構(gòu)成的多個(gè)其他網(wǎng)絡(luò)相互連接而構(gòu)成的網(wǎng)絡(luò)系統(tǒng)中�����,與所述自身網(wǎng)絡(luò)連接�����,檢測(cè) 攻擊所述網(wǎng)絡(luò)系統(tǒng)的異常通信量�,該網(wǎng)絡(luò)監(jiān)視方法的特征在于,該網(wǎng)絡(luò)監(jiān)視方法包括網(wǎng)絡(luò)信息存儲(chǔ)單元�����,分別與構(gòu)成所述網(wǎng)絡(luò)系統(tǒng)的多個(gè)網(wǎng)絡(luò)相對(duì)應(yīng)地,存儲(chǔ)分別用于確 定該多個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)信息����;管理者信息存儲(chǔ)單元,分別與存儲(chǔ)在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的多個(gè)網(wǎng)絡(luò)相對(duì)應(yīng)地����, 存儲(chǔ)分別管理該多個(gè)網(wǎng)絡(luò)的管理者信息;攻擊源網(wǎng)絡(luò)確定過(guò)程����,監(jiān)視流過(guò)所述自身網(wǎng)絡(luò)的通信量,在檢測(cè)到異常通信量的情況 下�,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送源裝置的攻擊源信息,從存儲(chǔ) 在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的網(wǎng)絡(luò)信息中確定成為攻擊源的攻擊源網(wǎng)絡(luò)�;攻擊目標(biāo)網(wǎng)絡(luò)確定過(guò)程,在檢測(cè)到所述異常通信量的情況下�,根據(jù)分析該異常通信量 而得到的表示異常通信量的發(fā)送目的地裝置的攻擊目標(biāo)信息,從存儲(chǔ)在所述網(wǎng)絡(luò)信息存儲(chǔ) 單元中的網(wǎng)絡(luò)信息中確定成為攻擊目標(biāo)的攻擊目標(biāo)網(wǎng)絡(luò)���;以及攻擊通知過(guò)程����,從所述管理者信息存儲(chǔ)單元中取得與通過(guò)所述攻擊源網(wǎng)絡(luò)確定過(guò)程確 定的攻擊源網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息��,使用所取得的管理者信息���,通知所述攻擊源信息�����,并且 從所述管理者信息存儲(chǔ)單元中取得與通過(guò)所述攻擊目標(biāo)網(wǎng)絡(luò)確定過(guò)程確定的攻擊目標(biāo)網(wǎng) 絡(luò)對(duì)應(yīng)的管理者信息�,使用所取得的管理者信息���,通知所述攻擊目標(biāo)信息����。
9. 一種網(wǎng)絡(luò)監(jiān)視程序����,使計(jì)算機(jī)在將連接多個(gè)裝置而構(gòu)成的自身網(wǎng)絡(luò)、和同樣地構(gòu)成 的多個(gè)其他網(wǎng)絡(luò)相互連接而構(gòu)成的網(wǎng)絡(luò)系統(tǒng)中�����,與所述自身網(wǎng)絡(luò)連接����,檢測(cè)攻擊所述網(wǎng)絡(luò) 系統(tǒng)的異常通信量�,該網(wǎng)絡(luò)監(jiān)視程序的特征在于���,使計(jì)算機(jī)執(zhí)行以下步驟網(wǎng)絡(luò)信息存儲(chǔ)單元����,分別與構(gòu)成所述網(wǎng)絡(luò)系統(tǒng)的多個(gè)網(wǎng)絡(luò)相對(duì)應(yīng)地�����,存儲(chǔ)分別用于確 定該多個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)信息�;管理者信息存儲(chǔ)單元,分別與存儲(chǔ)在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的多個(gè)網(wǎng)絡(luò)相對(duì)應(yīng)地�����, 存儲(chǔ)分別管理該多個(gè)網(wǎng)絡(luò)的管理者信息���;攻擊源網(wǎng)絡(luò)確定步驟���,監(jiān)視流過(guò)所述自身網(wǎng)絡(luò)的通信量,在檢測(cè)到異常通信量的情況 下���,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送源裝置的攻擊源信息�����,從存儲(chǔ) 在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的網(wǎng)絡(luò)信息中確定成為攻擊源的攻擊源網(wǎng)絡(luò)�;攻擊目標(biāo)網(wǎng)絡(luò)確定步驟�����,在檢測(cè)到所述異常通信量的情況下�����,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送目的地裝置的攻擊目標(biāo)信息����,從存儲(chǔ)在所述網(wǎng)絡(luò)信息存儲(chǔ)單元中的網(wǎng)絡(luò)信息中確定成為攻擊目標(biāo)的攻擊目標(biāo)網(wǎng)絡(luò);以及攻擊通知步驟���,從所述管理者信息存儲(chǔ)單元中取得與通過(guò)所述攻擊源網(wǎng)絡(luò)確定步驟確 定的攻擊源網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息�,使用所取得的管理者信息����,通知所述攻擊源信息,并且 從所述管理者信息存儲(chǔ)單元中取得與通過(guò)所述攻擊目標(biāo)網(wǎng)絡(luò)確定步驟確定的攻擊目標(biāo)網(wǎng) 絡(luò)對(duì)應(yīng)的管理者信息,使用所取得的管理者信息�,通知所述攻擊目標(biāo)信息。
全文摘要
通信量監(jiān)視系統(tǒng)(10)監(jiān)視流過(guò)自身網(wǎng)絡(luò)(100)的通信量����,在檢測(cè)到異常通信量的情況下,根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送源裝置的攻擊源信息��,確定成為攻擊源的攻擊源網(wǎng)絡(luò)����,并且根據(jù)分析該異常通信量而得到的表示異常通信量的發(fā)送目的地裝置的攻擊目標(biāo)信息,確定成為攻擊目標(biāo)的攻擊目標(biāo)網(wǎng)絡(luò)����,取得與所確定的攻擊源網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息,通知攻擊源信息�����,并且取得與所確定的攻擊目標(biāo)網(wǎng)絡(luò)對(duì)應(yīng)的管理者信息��,通知攻擊目標(biāo)信息���。
文檔編號(hào)H04M3/00GK101803305SQ20088010684
公開日2010年8月11日 申請(qǐng)日期2008年9月29日 優(yōu)先權(quán)日2007年9月28日
發(fā)明者千喜良和明, 森英雄 申請(qǐng)人:日本電信電話株式會(huì)社