特許
J-GLOBAL ID:200903057359246630
ネットワーク状態監視システム及びプログラム
発明者:
,
,
,
,
,
,
出願人/特許権者:
代理人 (1件):
木村 満
公報種別:公開公報
出願番号(国際出願番号):特願2003-125397
公開番号(公開出願番号):特開2004-336130
出願日: 2003年04月30日
公開日(公表日): 2004年11月25日
要約:
【課題】信頼度の高いネットワーク状態監視システムを提供する。【解決手段】複数のIDS31から発生されたアラートを収集し、アラートの出力パターンと出力パターンに対するアクションとを対応付けるモデルを生成し、各ローカルシステム21の異常検出装置35に提供する。異常検出装置35は、実際に発行されたアラートの履歴を取り、新たに発生したアラートと過去のアラートとの組み合わせと、モデルとを対比し、対比結果に基づいて異常を検知する。モデルは、出力アラートの組合せとアクションとを対応付けるもの、アラートの発行順番とアクションとを対応付けるもの等がある。実際のアラートの組み合わせが、モデルに一致するときは、モデルに規定されたアクションを行い、一致しないときは、アラームを発行する。また、定常時のアラートの発行状況から、現在のアラートの発行状況を予想し、大きく異なる場合には、アラームを発行する。【選択図】 図1
請求項(抜粋):
ネットワーク上に配置され、ネットワークへの攻撃を検出し、攻撃を検出すると、アラートを発生する侵入検知手段と、
前記複数の侵入検知手段により発生されたアラートを特定する情報を収集するアラート情報収集手段と、
前記アラート情報収集手段により収集されたアラートに関する情報に基づいて生成されたアラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを記憶するモデル記憶手段と、
発生したアラートの履歴情報を取得するアラート履歴情報取得手段と、
前記アラート履歴情報取得手段で取得されたアラート履歴情報により特定されるアラートの組合せを前記モデル記憶手段に記憶されたモデルと対比し、いずれかのモデルに合致する場合には、登録されているアクションを実行し、いずれのモデルにも合致しない場合には、異常を検知する異常検知手段と、
を備えることを特徴とするネットワーク状態監視システム。
IPC (2件):
FI (2件):
H04L12/66 B
, G06F15/00 320K
Fターム (16件):
5B085AA08
, 5B085AC03
, 5B085AC14
, 5B085AC16
, 5B085BG02
, 5K030GA15
, 5K030HA08
, 5K030HC01
, 5K030HD03
, 5K030HD06
, 5K030KA06
, 5K030LA20
, 5K030LC13
, 5K030LD18
, 5K030MB09
, 5K030MC08
前のページに戻る