监视装置和监视方法
【技术领域】
[0001]本文中论述的实施方式涉及用于监视在多个网络之间进行的通信的监视装置和监视方法。
【背景技术】
[0002]在局域网(LAN)诸如公司网络中,存在下述情况:监视装置对由网络中的每个通信装置发送和接收的包进行分析以便检测由不包括在LAN中的装置进行的未经授权的访问。在这种情况下,当充当用于未经授权的访问的检测的目标的网络的规模较大时,监视装置上的负载增大,从而存在由多个监视装置对网络中的通信装置发送和接收的包进行分析的情况。当使用多个监视装置时,可以使用通过在全部监视装置之间交换分析结果而由监视装置中的所有监视装置获得的分析结果来检测对网络的未经授权的访问。
[0003]图1示出了网络的示例。公司网络1经由接入网2连接至因特网3。公司网络1包括防火墙装置20、通信装置10 (10m、10η、以及10x至10z)、交换机15 (15x至15z)以及监视装置25(25x至25z)。公司网络1中的通信装置10经由通信服务网络12彼此通信,监视装置25x至25z经由监视网络17通信。在图1的示例中,监视装置25x对通信装置10x至ΙΟζ发送和接收的包进行分析。监视装置25y对通信装置10m和通信装置10η发送和接收的包进行分析,以及监视装置25z对防火墙装置20发送和接收的包进行分析。在以下示例中,机密数据存储在通信装置10x至ΙΟζ中。例如,在连接至因特网3的通信装置5a至5c中,通信装置5c建立通信装置5c与通信装置10m之间的通信,意在获得对公司网络1中的通信装置ΙΟζ的未经授权的访问。随后,通信装置10m建立与通信装置ΙΟζ的通信。因此,监视装置25y识别到通信装置10m正与不包括在公司网络1中的通信装置5c通信以及通信装置10m正与通信装置10z通信。通信装置10z使用不经过通信装置10m的路径来建立与通信装置5c的通信。此时,监视装置25x识别到通信装置10z的通信目的地是通信装置10m和通信装置5c。监视装置25z也识别到通信装置10z与通信装置5c之间建立了通信。在这种情况下,通过综合如图1中所示的监视装置25x至25z的分析结果,识别到通信装置5c在经由通信装置10m访问通信装置ΙΟζ并且从通信装置ΙΟζ接收包。
[0004]提出了一种包括服务器、客户端和诱饵服务器的网络系统作为相关技术。在该系统中,因为未将诱饵服务器的地址公布给客户端,所以可以认为试图访问诱饵服务器的客户端被病毒感染。因此,当诱饵服务器检测到试图访问诱饵服务器的客户端时,诱饵服务器通过广播向网络中的装置发送指示病毒攻击正进行的警告(例如,国际专利申请N0.2004-531812的日本国家公布)。还提出了一种网络系统,其中,位于设置有多个自治系统的网络的边界上的边界中继装置丢弃由再次入侵引起的未经授权的包,并且将用于丢弃未经授权的包的过滤信息发送至边界中继装置中的全部边界中继装置(例如,日本特开专利申请 N0.2002-185539)。
【发明内容】
[0005]因此,本发明的一个方面的目的在于容易地检测对网络的未经授权的访问。
[0006]根据本发明的一个方面,一种监视装置在包括多个通信装置和多个监视装置的网络中作为第一监视装置来工作,该监视装置包括:获取单元,该获取单元获取由第一监视装置监视的第一通信装置所发送或接收的包的信息;发送单元,该发送单元在第一通信装置与不包括在网络中的外部装置通信之后、当第一通信装置与由第二监视装置监视的第二通信装置通信时将第一加入请求消息发送至第一多播组,在该第一多播组中,第二监视装置进行第二通信装置的通信信息的通知;以及确定单元,该确定单元基于从第二监视装置发送至第一多播组的包来确定外部装置是否正进行经由第一通信装置对第二通信装置的未经授权的访问。
【附图说明】
[0007]图1是示出了网络的示例的图;
[0008]图2是示出了根据实施方式的监视方法的示例的图;
[0009]图3是示出了监视装置的配置的示例的图;
[0010]图4是示出了监视装置的硬件配置的示例的图;
[0011]图5A是示出了对监视目标的通信状态的分析处理的示例的流程图;
[0012]图5B是示出了对监视目标的通信状态的分析处理的示例的流程图;
[0013]图6是示出了监视装置表的示例的图;
[0014]图7是示出了通信状态表的示例的图;
[0015]图8是示出了状态通知消息的示例的图;
[0016]图9是示出了包括监视装置的网络的示例的图;
[0017]图10是示出了通信处理的示例的序列图;
[0018]图11是示出了监视装置持有的信息的示例的图;
[0019]图12是示出了监视装置持有的信息的示例的图;
[0020]图13是示出了监视装置持有的信息的示例的图;
[0021 ]图14是示出了加入请求消息的示例的图;
[0022]图15是示出了监视装置持有的信息的示例的图;
[0023]图16是示出了监视装置持有的信息的示例的图;
[0024]图17是示出了监视装置持有的信息的示例的图;
[0025]图18是示出了监视装置持有的信息的示例的图;
[0026]图19是示出了由发送状态通知消息的监视装置进行的处理的示例的流程图;
[0027]图20是示出了由接收状态通知消息的监视装置进行的处理的示例的流程图;
[0028]图21是示出了通过单播通信进行状态通知的情况的示例的图;
[0029]图22是示出了当通信装置结束与公司网络外的通信装置的通信时进行的处理的不例的序列图;
[0030]图23是示出了监视装置持有的信息的示例的图;
[0031]图24是示出了监视装置持有的信息的示例的图;
[0032]图25是示出了离开请求消息的示例的图;
[0033]图26是示出了当结束在通信装置启动与外部进行通信之后启动的公司网络中的通信时进行的处理的示例的序列图;
[0034]图27是示出了监视装置持有的信息的示例的图;
[0035]图28是示出了对结束与公司网络中的一部分通信装置的通信的通信装置进行监视的监视装置进行的处理的示例的序列图;
[0036]图29A是示出了监视装置持有的信息的示例的图;
[0037]图29B是示出了监视装置持有的信息的示例的图;
[0038]图30A是示出了监视装置持有的信息的示例的图;
[0039]图30B是示出了监视装置持有的信息的示例的图;
[0040]图31是示出了连接路径的搜索方法的示例的图;
[0041]图32A是示出了连接路径的搜索方法的示例的图;
[0042]图32B是示出了连接路径的搜索方法的示例的图;
[0043]图33是示出了连接路径的搜索方法的示例的图;
[0044]图34是示出了连接路径的搜索方法的示例的图;
[0045]图35是示出了连接路径的搜索方法的示例的流程图;
[0046]图36A是示出了检测通信结束的监视装置的处理的示例的流程图;
[0047]图36B是示出了检测通信结束的监视装置的处理的示例的流程图;以及
[0048]图37是示出了对通知通信结束的状态通知消息进行接收的监视装置的处理的示例的流程图。
【具体实施方式】
[0049]因为当网络规模增大时发送和接收的包的数量增大,所以对包进行分析的监视装置的数量也增大。因此,在监视装置之间通知分析结果以及对所获得的分析结果进行分析处理变得复杂。参照附图,给出对容易地检测到对网络的未经授权的访问的技术的描述。
[0050]图2是示出了根据实施方式的监视方法的示例的图。图2中的情况C1和情况C2是当不包括在LAN中的通信装置5a进行未经授权的访问时使用的通信路径的示例。在情况C1中,通信装置10b持有机密信息,而在情况C2中,通信装置10c持有机密信息。注意,通信装置10a至10c包括在LAN中。
[0051 ] 在情况C1中,通信装置5a获得从通信装置5a至通信装置10a的通信路径,并且向通信装置10a发送访问通信装置10b的请求。通信装置5a使得通信装置10b将通信装置10b持有的信息通过不经过通信装置10a的路径发送至通信装置5a。因此,在情况C1中,通信装置5a在不需要由通信装置10b持有的机密信息经过通信装置10a的情况下获取该机密信息。
[0052]在情况C2中,通信装置5a获得通信装置5a与通信装置10a之间的双向通信路径,并且获得通信装置10a与通信装置10b之间的双向通信路径。通信装置5a经由通信装置10a向通信装置10b发送在通信装置10b与通信装置10c之间建立双向通信路径的请求。当通信装置10c从通信装置10b接收针对机密信息的请求时,因为通信装置10b是包括在LAN中的装置,所以通信装置10c将机密信息传递到通信装置10b。通信装置10b将从通信装置10c获取的信息传递到通信装置10a。即使在从通信装置10b获取的信息包含存储在通信装置10c中的机密信息的情况下,因为通信装置10a不能够确定所接收的信息是否包含机密信息,所以通信装置10a将从通信装置10b接收的数据发送至通信装置5a。因此,通信装置5a可以经由通信装置10a和通信装置10b来获取存储在通信装置10c中的机密信息。
[0053]在下文中,参照图2中的序列,给出对在情况C1或者情况C2中用于使监视装置30a容易并有效地检测到未经授权的访问的监视方法的示例的描述。在下文中,监视装置30a监视通信装置10a的通信,监视装置30b监视通信装置10b的通信。每个监视装置30通过多播来发送指示作为监视目标的各个通信装置10中的通信状态的信息。此处,参照图2中的序列,以通信装置10a启动与通信装置10b的通信的情况为例给出描述;然而,当通信装置10a启动与网络中的装置中的除监视装置30a的监视目标以外的装置的通信时,进行类似处理。
[0054]在操作S1中,通信装置10a启动与网络(LAN)外的通信装置5a的通信。监视装置30a检测到通信装置10a启动与网络外的通信装置5a的通信(操作S2)。
[0055]在操作S3中,通信装置10a启动与网络内的通信装置10b的通信。监视装置30a检测到通信装置10a与通信装置10b之间的通信启动(操作S4)。此时,因为通信装置10a在与网络外的装置通信,所以监视装置30a确定可能经由通信装置10a进行未经授权的访问。监视装置30a识别到正对作为通信装置10a的通信目的地的通信装置10b进行监视的监视装置是监视装置30b (操作S5)。因此,监视装置30a请求加入正进行与监视装置30b的监视目的地的通信状态相关的信息的通知的多播组(操作S6)。
[0056]在操作S7中,通信装置10b发送或接收包。监视装置30b监视通信装置10b的通信状态,并且获取通信装置10b的通信状态(操作S8)。当通信装置10b发送或接收包时,监视装置30b通过多播将通信装置10b的通信状态发送至正参加多播组的装置(操作S9)。
[0057]在操作S10中,监视装置30a基于从监视装置30b接收的信息来确定是否可能发生使用通信装置10a和通信装置10b进行的未经授权的访问。
[0058]因此,当通信装置10b持有机密信息时,并且当通信装置10b启动与通信装置5a的通信时,监视装置30a可以确定通过路由诸如情况C1中所示的路由发生未经授权的访问,并且可以通知管理装置(未示出)。同时,当通信装置10b未持有机密信息时,并且当通信装置10b启动与持有机密信息的通信装置10c的通信时,监视装置30a可以确定通过路由诸如情况C2中所示的路由发生未经授权的访问。当监视装置30a向管理装置通知发生未经授权的访问时,使用管理装置进行处理的操作员进行处理用于不许可未经授权的访问。注意,监视目标能够根据监视目标的通信状态来进行被描述为监视装置30a的处理的处理或者被描述为监视装置30b的处理的处理。
[0059]以这种方式,每个监视装置30可以从正对被监视的通信装置10的通信目的地进行监视的监视装置30获取信息用于确定是否经由作为监视装置30的监视目标的通信装置10进行未经授权的访问。因为每个监视装置30通过多播来发送作为监视目标的通信装置10的通信状态,所以一个监视装置30可以不对另一监视装置30获得的信息进行中继。因此,每个监视装置30能够容易地进行通信状态的通知,同时抑制由其他监视装置30发送的数据的量增大。不使用多播组的通信状态的监视装置30不包括在多播组中,该多播组充当由特定监视装置30发送的表示通信状态的信息的发送目的地。因此,可以有效地发送和接收监视装置30使用作为处理目标的表示通信状态的信息,并且可以对未经授权的访问进行检测。
[0060]装置配置
[0061]图3是示出了监视装置30的配置的示例的图。在下文中,以用作对来自外部的未经授权的访问进行抑制的目标的LAN是公司网络1的情况为例给出描述。监视装置30设置有通信单元33、获取单元34、控制单元40以及存储单元50,并且可以可选地进一步设置有输入输出处理单元35。通信单元33包括接收单元31和发送单元32。控制单元40包括分析处理单元41、加入请求单元42、确定单元44、通知单元45并且可选地包括生成单元46。存储单元50存储监视装置表51、网间(inter-network)通信状态表52、网内(intra-network)通信状态表53、加入状态表54、通信状态表55和地址信息56。
[0062]接收单元31经由监视网络17从监视装置30中的另一监视装置接收包。发送单元32经由监视网络17向监视装置30中的另一监视装置发送包。获取单元34获取被作为监视目标的通信装置10发送和接收的包的信息。当操作员向监视装置30输入设定信息时使用输入输出处理单元35。
[0063]分析处理单元41通过分析