[发明专利]监视装置和监视方法

说明书

技术领域

本文中论述的实施方式涉及用于监视在多个网络之间进行的通信的监视装置和监视方法。

背景技术

在局域网(LAN)诸如公司网络中，存在下述情况：监视装置对由网络中的每个通信装置发送和接收的包进行分析以便检测由不包括在LAN中的装置进行的未经授权的访问。在这种情况下，当充当用于未经授权的访问的检测的目标的网络的规模较大时，监视装置上的负载增大，从而存在由多个监视装置对网络中的通信装置发送和接收的包进行分析的情况。当使用多个监视装置时，可以使用通过在全部监视装置之间交换分析结果而由监视装置中的所有监视装置获得的分析结果来检测对网络的未经授权的访问。

图1示出了网络的示例。公司网络1经由接入网2连接至因特网3。公司网络1包括防火墙装置20、通信装置10(10m、10n、以及10x至10z)、交换机15(15x至15z)以及监视装置25(25x至25z)。公司网络1中的通信装置10经由通信服务网络12彼此通信，监视装置25x至25z经由监视网络17通信。在图1的示例中，监视装置25x对通信装置10x至10z发送和接收的包进行分析。监视装置25y对通信装置10m和通信装置10n发送和接收的包进行分析，以及监视装置25z对防火墙装置20发送和接收的包进行分析。在以下示例中，机密数据存储在通信装置10x至10z中。例如，在连接至因特网3的通信装置5a至5c中，通信装置5c建立通信装置5c与通信装置10m之间的通信，意在获得对公司网络1中的通信装置10z的未经授权的访问。随后，通信装置10m建立与通信装置10z的通信。因此，监视装置25y识别到通信装置10m正与不包括在公司网络1中的通信装置5c通信以及通信装置10m正与通信装置10z通信。通信装置10z使用不经过通信装置10m的路径来建立与通信装置5c的通信。此时，监视装置25x识别到通信装置10z的通信目的地是通信装置10m和通信装置5c。监视装置25z也识别到通信装置10z与通信装置5c之间建立了通信。在这种情况下，通过综合如图1中所示的监视装置25x至25z的分析结果，识别到通信装置5c在经由通信装置10m访问通信装置10z并且从通信装置10z接收包。

提出了一种包括服务器、客户端和诱饵服务器的网络系统作为相关技术。在该系统中，因为未将诱饵服务器的地址公布给客户端，所以可以认为试图访问诱饵服务器的客户端被病毒感染。因此，当诱饵服务器检测到试图访问诱饵服务器的客户端时，诱饵服务器通过广播向网络中的装置发送指示病毒攻击正进行的警告(例如，国际专利申请No.2004-531812的日本国家公布)。还提出了一种网络系统，其中，位于设置有多个自治系统的网络的边界上的边界中继装置丢弃由再次入侵引起的未经授权的包，并且将用于丢弃未经授权的包的过滤信息发送至边界中继装置中的全部边界中继装置(例如，日本特开专利申请No.2002-185539)。

发明内容

因此，本发明的一个方面的目的在于容易地检测对网络的未经授权的访问。

根据本发明的一个方面，一种监视装置在包括多个通信装置和多个监视装置的网络中作为第一监视装置来工作，该监视装置包括：获取单元，该获取单元获取由第一监视装置监视的第一通信装置所发送或接收的包的信息；发送单元，该发送单元在第一通信装置与不包括在网络中的外部装置通信之后、当第一通信装置与由第二监视装置监视的第二通信装置通信时将第一加入请求消息发送至第一多播组，在该第一多播组中，第二监视装置进行第二通信装置的通信信息的通知；以及确定单元，该确定单元基于从第二监视装置发送至第一多播组的包来确定外部装置是否正进行经由第一通信装置对第二通信装置的未经授权的访问。

附图说明

图1是示出了网络的示例的图；

图2是示出了根据实施方式的监视方法的示例的图；

图3是示出了监视装置的配置的示例的图；

图4是示出了监视装置的硬件配置的示例的图；

图5A是示出了对监视目标的通信状态的分析处理的示例的流程图；

图5B是示出了对监视目标的通信状态的分析处理的示例的流程图；

图6是示出了监视装置表的示例的图；

图7是示出了通信状态表的示例的图；

图8是示出了状态通知消息的示例的图；

图9是示出了包括监视装置的网络的示例的图；

图10是示出了通信处理的示例的序列图；

图11是示出了监视装置持有的信息的示例的图；