知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-02-13
(45)【発行日】2023-02-21
(54)【発明の名称】通信監視システム
(51)【国際特許分類】
H04L 43/045 20220101AFI20230214BHJP
【FI】
H04L43/045
【請求項の数】
6
(21)【出願番号】P 2020506507
(86)(22)【出願日】2019-03-11
(86)【国際出願番号】 JP2019009663
(87)【国際公開番号】W WO2019176851
(87)【国際公開日】2019-09-19
【審査請求日】2022-03-10
(31)【優先権主張番号】P 2018044788
(32)【優先日】2018-03-12
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】501175281
【氏名又は名称】株式会社サイバー・ソリューションズ
(74)【代理人】
【識別番号】100088096
【弁理士】
【氏名又は名称】福森 久夫
(72)【発明者】
【氏名】キニ グレン マンスフィールド
【審査官】宮島 郁美
(56)【参考文献】
【文献】特開2004-056604(JP,A)
【文献】特開2002-026935(JP,A)
【文献】国際公開第2009/031453(WO,A1)
【文献】特開2011-114423(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00-13/18,41/00-49/9057,61/00-65/80,69/00-69/40
(57)【特許請求の範囲】
【請求項1】
通信装置Ci(i=1,2,・・・,n / n:2以上の自然数)および監視装置Mが接続されたネットワークにおいて、監視装置Mによりパッシブ・モニタリング方式にて各通信装置間の通信状態を監視する通信監視システムであって、監視装置Mは、通信装置Ciからブロードキャスト送信されたARPパケットを収集し、タイムスタンプ情報を付加して記録装置DBに格納するパケット収集手段と、
前記記録装置DBの情報に基づき、通信装置Ciからブロードキャスト送信されたARP要求パケットの中から、MACアドレスを問合せる通信相手先が通信装置Cj(j=1,2,・・・,k / k:2以上の自然数、i ≠ j )に指定されている時間帯TMにおけるARPパケット(Source: Ci, Destination: Cj)を抽出するパケット抽出手段と、
前記パケット抽出手段で抽出された時間帯TMにおけるARPパケット(Source: Ci, Destination: Cj)のタイムスタンプ情報から、通信装置Ciと通信装置Cj間の接触時間(Contact Duration)を特定する通信状態特定手段と、
前記通信状態特定手段で特定された時間帯TMにおける通信装置Ciと通信装置Cj間の「Contact Duration」をグラフィカル表示する機能を有する通信状態表示手段と、
を有することを特徴とする通信監視システム。
【請求項2】
前記通信状態特定手段は、前記パケット抽出手段で抽出された時間帯TMにおけるARPパケット(Source: Ci, Destination: Cj)のタイムスタンプ情報TSm(p≦m≦q / p=1,2,・・・,N-1 / q=2,・・・,N / N=ARPパケット数)と、予め定義された通信装置Ciの監視パラメータMPiとを用いて、通信装置Ciと通信装置Cj間の「Contact Duration」を、式(1)の条件の基に式(2)により、特定することを特徴とする請求項1に記載の通信監視システム。【請求項3】
前記監視パラメータMPiは、ARPパケットをブロードキャスト送信する通信装置Ciの特性により予め設定された時間区間値であり、通信装置Ci毎に設定されることを特徴とする請求項2に記載の通信監視システム。
【請求項4】
前記通信状態特定手段は、時間帯TMにおいて上記の式(1)及び式(2)により特定された通信装置Ciと通信装置Cj間の「Contact Duration」が複数個ある場合には、それらの合算値を時間帯TMにおける「Contact Duration」と特定することを特徴とする請求項1乃至請求項3に記載の通信監視システム。
【請求項5】
前記通信状態特定手段は、時間帯TMにおける通信装置Ciと通信装置Cj間の「Contact Duration」が、予め設定された閾値を超えた場合に、アラーム通知する機能を有していることを特徴とする請求項1乃至請求項4に記載の通信監視システム。
【請求項6】
前記通信状態表示手段は、ARPパケットをブロードキャスト送信する通信装置Ciと送信先の通信装置Cjとの間の経路上に、通信装置Ciと通信装置Cj間の「Contact Duration」を、ライン形状の違いを利用して表示する機能と、
通信装置Ciと通信装置Cjとの間の経路上に、前記アラーム通知されたことを表示する機能と、
タイムスロット毎の通信装置Ciと通信装置Cj間の「Contact Duration」をグラフ表示する機能と、
を有することを特徴とする請求項5に記載の通信監視システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信ネットワークにおける通信装置間の通信状態をパッシブ・モニタリング方式にて監視する技術に関する。
【背景技術】
【0002】
TCP/IPにおける通信では、IPアドレスで通信相手を特定しIPパケットを送信する際に、あて先コンピュータのMACアドレスが必要になり、それを知るために ARP(Address Resolution Protocol)プロトコルが利用されている。
【0003】
ARPプロトコルとは、IPアドレスから物理層のネットワーク・アドレス(MACアドレス)を求めるために利用されるプロトコルのことであり、ARPプロトコルによって解決したMACアドレスがIPアドレスに関連付けられARPテーブルにキャッシュされる。すなわちARP要求パケットを送信する通信端末(送信元)は、MACアドレスを問合せる通信相手のIPアドレスをARP要求パケットに指定してネットワークにブロードキャスト送信した後、そのIPアドレスに該当する通信相手は自身のMACアドレスをセットしたARP応答パケットを送信元に対してユニキャスト送信する。これにより通信元のARPテーブルにはMACアドレスとIPアドレスが関連付けられキャッシュされることになる。以降はIPパケットを送信する際にARPプロトコルを利用せずにARPテーブルの情報を参照することにより、無用なARPパケットのやり取りをせずに、ネットワークの負荷を抑えてIPパケットを送信することができるようになる。
【0004】
またARPテーブルの情報は所定期間(エージングタイム:Aging Time)保持されているが、エージングタイムが経過すると消去されるため、消去された後には再度ARPプロトコルを利用してARPテーブルの情報を再生成することが必要になる。
【発明の概要】
【発明が解決しようとする課題】
【0005】
上述の通り、TCP/IPにおける通信では、ARPプロトコルによるパケットのやり取りが必ず発生することから、これを利用して各通信装置間の通信状態を監視することが可能になる。例えば、所定期間内においてブロードキャスト送信されたARP要求パケットをモニタリングし、ARP要求パケットが送信されたタイムスタンプ情報に基づき、通信装置間の接触時間(Contact Duration)を特定することが考えられる。ここで「Contact Duration」は、通信装置間で、どの位の期間に渡り通信が継続していたのかを把握するための目安となる指標と定義される。
【0006】
本発明の目的は、ネットワーク内のトラヒック負荷をかけずに、パッシブ・モニタリング方式にて通信装置間の通信状態を監視し、通信装置間の接触時間(Contact Duration)を特定するシステムを提供することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するために、請求項1に係る発明は、通信装置Ci(i=1,2,・・・,n / n:2以上の自然数)および監視装置Mが接続されたネットワークにおいて、監視装置Mによりパッシブ・モニタリング方式にて各通信装置間の通信状態を監視する通信監視システムであって、監視装置Mは、
通信装置Ciからブロードキャスト送信されたARPパケットを収集し、タイムスタンプ情報を付加して記録装置DBに格納するパケット収集手段と、
前記記録装置DBの情報に基づき、通信装置Ciからブロードキャスト送信されたARP要求パケットの中から、MACアドレスを問合せる通信相手先が通信装置Cj(j=1,2,・・・,k / k:2以上の自然数、i ≠ j )に指定されている時間帯TMにおけるARPパケット(Source: Ci, Destination: Cj)を抽出するパケット抽出手段と、
前記パケット抽出手段で抽出された時間帯TMにおけるARPパケット(Source: Ci, Destination: Cj)のタイムスタンプ情報から、通信装置Ciと通信装置Cj間の接触時間(Contact Duration)を特定する通信状態特定手段と、
前記通信状態特定手段で特定された時間帯TMにおける通信装置Ciと通信装置Cj間の「Contact Duration」をグラフィカル表示する機能を有する通信状態表示手段と、
を有することを特徴とする。
通信装置Ciからブロードキャスト送信されたARPパケットを収集し、タイムスタンプ情報を付加して記録装置DBに格納するパケット収集手段と、
前記記録装置DBの情報に基づき、通信装置Ciからブロードキャスト送信されたARP要求パケットの中から、MACアドレスを問合せる通信相手先が通信装置Cj(j=1,2,・・・,k / k:2以上の自然数、i ≠ j )に指定されている時間帯TMにおけるARPパケット(Source: Ci, Destination: Cj)を抽出するパケット抽出手段と、
前記パケット抽出手段で抽出された時間帯TMにおけるARPパケット(Source: Ci, Destination: Cj)のタイムスタンプ情報から、通信装置Ciと通信装置Cj間の接触時間(Contact Duration)を特定する通信状態特定手段と、
前記通信状態特定手段で特定された時間帯TMにおける通信装置Ciと通信装置Cj間の「Contact Duration」をグラフィカル表示する機能を有する通信状態表示手段と、
を有することを特徴とする。
【0008】
請求項2に係る発明は、請求項1に係る通信監視システムであって、前記通信状態特定手段は、前記パケット抽出手段で抽出された時間帯TMにおけるARPパケット(Source: Ci, Destination: Cj)のタイムスタンプ情報TSm(p≦m≦q / p=1,2,・・・,N-1 / q=2,・・・,N / N=ARPパケット数)と、予め定義された通信装置Ciの監視パラメータMPiとを用いて、通信装置Ciと通信装置Cj間の「Contact Duration」を、式(1)の条件の基に式(2)により、特定することを特徴とする。
【数1】
【0009】
請求項3に係る発明は、請求項1乃至請求項2に係る通信監視システムであって、前記監視パラメータMPiは、ARPパケットをブロードキャスト送信する通信装置Ciの特性により予め設定された時間区間値であり、通信装置Ci毎に設定されることを特徴とする。
【0010】
請求項4に係る発明は、請求項1乃至請求項3に係る通信監視システムであって、前記通信状態特定手段は、時間帯TMにおいて上記の式(1)及び式(2)により特定された通信装置Ciと通信装置Cj間の「Contact Duration」が複数個ある場合には、それらの合算値を時間帯TMにおける「Contact Duration」と特定することを特徴とする。
【0011】
請求項5に係る発明は、請求項1乃至請求項4に係る通信監視システムであって、前記通信状態特定手段は、時間帯TMにおける通信装置Ciと通信装置Cj間の「Contact Duration」が、予め設定された閾値を超えた場合に、アラーム通知する機能を有していることを特徴とする。
【0012】
請求項6に係る発明は、請求項5に係る通信監視システムであって、前記通信状態表示手段は、
ARPパケットをブロードキャスト送信する通信装置Ciと送信先の通信装置Cjとの間の経路上に、通信装置Ciと通信装置Cj間の「Contact Duration」を、ライン形状の違いを利用して表示する機能と、
通信装置Ciと通信装置Cjとの間の経路上に、前記アラーム通知されたことを表示する機能と、
タイムスロット毎の通信装置Ciと通信装置Cj間の「Contact Duration」をグラフ表示する機能と、
を有することを特徴とする。
ARPパケットをブロードキャスト送信する通信装置Ciと送信先の通信装置Cjとの間の経路上に、通信装置Ciと通信装置Cj間の「Contact Duration」を、ライン形状の違いを利用して表示する機能と、
通信装置Ciと通信装置Cjとの間の経路上に、前記アラーム通知されたことを表示する機能と、
タイムスロット毎の通信装置Ciと通信装置Cj間の「Contact Duration」をグラフ表示する機能と、
を有することを特徴とする。
【発明の効果】
【0013】
ネットワーク内のトラヒック負荷をかけずに、パッシブ・モニタリング方式にて、通信装置間の接触時間(Contact Duration)を監視することが可能になる。ここで「Contact Duration」は、通信装置間で、どの位の期間に渡り通信が継続していたのかを把握するための目安となる指標のことであり、「Contact Duration」を用いて複数の通信装置間の接触時間を定量的に把握することができるようになる。
【0014】
さらに「Contact Duration」が予め設定された閾値を超えた場合に、アラーム通知することもできるようになるため、例えば、長時間にわたり不正アクセスが存在していた可能性を容易に検出できるようになる。
【0015】
本発明の目的は、ネットワーク内のトラヒック負荷をかけずに、パッシブ・モニタリング方式にて通信装置間の通信状態を監視し、通信装置間の接触時間(Contact Duration)を特定するシステムを提供することにある。
【図面の簡単な説明】
【0016】
【図1】本発明の第1実施形態に係る通信監視システムを説明するネットワーク構成図の一例を示した模式図である。
【図2】本発明の第1実施形態に係る通信監視システムにおいて、監視装置が実行するプロセスの一例を示したフローチャート図である。
【図3】本発明の第1実施形態に係る通信監視システムにおいて、記録装置DBに記録されるデータ及び接触時間(Contact Duration)の一例を示した模式図である。
【図4】本発明の第1実施形態に係る通信監視システムにおいて、通信装置 C1と通信装置 C2, C3, C4, C5 間の「Contact Duration」の表示例を示した模式図である。
【図5】本発明の第1実施形態に係る通信監視システムにおいて、通信装置 C1→C2 間の「Contact Duration」の表示例を示した模式図である。
【符号の説明】
【0017】
M 監視装置
C1~Cn 通信装置
C1~Cn 通信装置
【発明を実施するための形態】
【0018】
以下、本発明を実施するための形態について図面を参照して詳細に説明する。なお、本発明は、以下に述べる実施形態により限定されるものではない。
【0019】
1.第1実施形態
本発明の第1実施形態に係る通信監視システムについて、図1に示すネットワーク構成図を用いて説明する。
本発明の第1実施形態に係る通信監視システムについて、図1に示すネットワーク構成図を用いて説明する。
【0020】
図1に示すように、ネットワーク内で通信装置Ci(i=1,2,・・・,n / n:2以上の自然数)および監視装置Mが接続され、監視装置Mは、ネットワーク内でブロードキャスト送信されたARP要求パケットをパッシブ・モニタリング方式にて、ネットワーク内のトラヒック負荷をかけずにモニタリングすることにより、各通信装置間の接触時間(Contact Duration)を特定する。ここで「Contact Duration」は、通信装置間で、どの位の期間に渡り通信が継続していたのかを把握するための目安となる指標と定義される。また、ネットワークについては、比較的小規模の社内LAN/イントラネット等を想定している。
【0021】
次に図2を用いて、監視装置Mが実行するプロセスについて説明する。図2に示すように、パケット収集手段S01では、通信装置Ciからブロードキャスト送信されたARP要求パケットを収集し、「タイムスタンプ」情報を付加して「Source MAC address」「Destination IP address」の情報を記録装置DBに格納する。
【0022】
記録装置DBに記録されたデータの一例を図3「Table-2」に示す。図3「Table-2」に示すように、この例では、通信装置間C1からブロードキャスト送信された10個のARP要求パケットについてタイムスタンプ情報(TS1~TS10)が付加された状態で記録装置DBに格納されている。さらに「Table-1」を参照して、「Destination IP address」に対応する「Destination MAC address」の情報が格納される。ここで「Table-1」は、監視装置Mがネットワーク内で送信されるARPパケットを収集して、その情報から通信装置のIPアドレスとMACアドレスの最新の対応表を保持しているものとする。
【0023】
次に、パケット抽出手段S02では、記録装置DBに格納された「Table-2」の「Source MAC address」及び「Destination MAC address」の情報に基づき、通信装置Ciからブロードキャスト送信されたARP要求パケットの中から、MACアドレスを問合せる通信相手先が通信装置Cj(j=1,2,・・・,k / k:2以上の自然数、i ≠ j )に指定されている時間帯TMにおけるARPパケット(Source: Ci, Destination: Cj)を抽出する。
【0024】
図3「Table-3」に示すように、この例では、通信装置間C1からブロードキャスト送信されたARP要求パケットの中から、MACアドレスを問合せる通信相手先が通信装置C2に指定されている時間帯TMにおけるARPパケットが抽出されており、5個のパケット(タイムスタンプ情報:TS1, TS4, TS5, TS9, TS10)が抽出されている。
【0025】
次に、通信状態特定手段S03では、パケット抽出手段S02で抽出された時間帯TMにおけるARPパケット(Source: Ci, Destination: Cj)のタイムスタンプ情報から、通信装置Ciと通信装置Cj間の接触時間(Contact Duration)を特定する。
【0026】
この「Contact Duration」は、時間帯TMにおけるARPパケット(Source: Ci, Destination: Cj)のタイムスタンプ情報TSm(p≦m≦q / p=1,2,・・・,N-1 / q=2,・・・,N / N=ARPパケット数)と、予め定義された通信装置Ciの監視パラメータMPiとを用いて、式(1)の条件の基に式(2)により、特定する。
【数2】
【0027】
ここで、監視パラメータMPiは、ARPパケットをブロードキャスト送信する通信装置Ciの特性により予め設定された時間区間値であり、通信装置Ci毎に設定されるものとする。また監視パラメータMPiを設定する基準として、通信装置Ciが保持するARPテーブルのエージングタイム(Aging Time)を参考にして、例えばMPiの値を「Aging Time」より少し大きめに設定する方法などが考えられる。
【0028】
また、時間帯TMにおいて上記の式(1)及び式(2)により特定された通信装置Ciと通信装置Cj間の「Contact Duration」が複数個ある場合には、それらの合算値を時間帯TMにおける「Contact Duration」と特定することもできる。
【0029】
次に、図3の例を用いて、「Contact Duration」を特定する方法について説明する。
【0030】
<Case1>
時間帯TMにおけるARP要求パケットのタイムスタンプ情報(TS1, TS4, TS5, TS9, TS10)が全て式(1)の条件を満たしている場合、すなわち通信装置C1の監視パラメータMP1のときに、{TS4-TS1}<MP1、{TS5-TS4}<MP1、{TS9-TS5}<MP1、{TS10-TS9}<MP1の条件を満たしている場合、「Contact Duration」は次のように特定される。 Contact Duration ={TS10-TS1}+MP1
時間帯TMにおけるARP要求パケットのタイムスタンプ情報(TS1, TS4, TS5, TS9, TS10)が全て式(1)の条件を満たしている場合、すなわち通信装置C1の監視パラメータMP1のときに、{TS4-TS1}<MP1、{TS5-TS4}<MP1、{TS9-TS5}<MP1、{TS10-TS9}<MP1の条件を満たしている場合、「Contact Duration」は次のように特定される。 Contact Duration ={TS10-TS1}+MP1
【0031】
<Case2>
時間帯TMにおけるARP要求パケットのタイムスタンプ情報(TS1, TS4, TS5, TS9, TS10)が式(1)の条件を満たしていない場合、例えば通信装置C1の監視パラメータMP1のときに、{TS4-TS1}<MP1、{TS5-TS4}<MP1、{TS9-TS5}>MP1、{TS10-TS9}<MP1の場合、「Contact Duration」は次のように特定される。
Contact Duration ={TS5-TS1}+{TS10-TS9}+MP1
時間帯TMにおけるARP要求パケットのタイムスタンプ情報(TS1, TS4, TS5, TS9, TS10)が式(1)の条件を満たしていない場合、例えば通信装置C1の監視パラメータMP1のときに、{TS4-TS1}<MP1、{TS5-TS4}<MP1、{TS9-TS5}>MP1、{TS10-TS9}<MP1の場合、「Contact Duration」は次のように特定される。
Contact Duration ={TS5-TS1}+{TS10-TS9}+MP1
【0032】
上述した<Case1>および<Case2>は「Contact Duration」を特定する方法を例示したものであるが、このように方法で「Contact Duration」を特定することにより、通信装置C1と通信装置C2の間で、どの位の期間に渡り通信が継続していたのかを定量的な指標で把握することができるようになる。
【0033】
また時間帯TMにおける通信装置Ciと通信装置Cj間の「Contact Duration」が、予め設定された閾値を超えた場合に、アラーム通知することもできる。このアラーム通知により、例えば、長時間にわたり不正アクセスが存在していたこと検出することもできるようになる。また、この閾値については、例えば次のような基準で設定することが考えられる。
【0034】
<閾値の設定基準>
(a)時間帯TM毎に閾値を設定する。例えば、日中の時間帯(8時から20時)はアクセスが多いことから閾値を大きめに設定し、夜間の時間帯(20時から8時)はアクセスが少ないことから閾値を小さめに設定する。
(b)通信装置Ciおよび通信装置Cjの特性により設定する。例えば、通信装置Cjがサーバーの場合に、通信装置Ciからサーバーへのアクセス頻度を考慮して、閾値を設定する。
(a)時間帯TM毎に閾値を設定する。例えば、日中の時間帯(8時から20時)はアクセスが多いことから閾値を大きめに設定し、夜間の時間帯(20時から8時)はアクセスが少ないことから閾値を小さめに設定する。
(b)通信装置Ciおよび通信装置Cjの特性により設定する。例えば、通信装置Cjがサーバーの場合に、通信装置Ciからサーバーへのアクセス頻度を考慮して、閾値を設定する。
【0035】
次に、通信状態表示手段S04では、通信状態特定手段S03で特定された時間帯TMにおける通信装置Ciと通信装置Cj間の「Contact Duration」をグラフィカル表示する機能を有する。通信状態表示手段S04は、例えば次のような機能を有している。
【0036】
(A)ARPパケットをブロードキャスト送信する通信装置Ciと送信先の通信装置Cjとの間の経路上に、通信装置Ciと通信装置Cj間の「Contact Duration」を、ライン形状の違いを利用して表示する機能
(B)通信装置Ciと通信装置Cjとの間の経路上に、前記アラーム通知されたことを表示する機能
(C)タイムスロット毎の通信装置Ciと通信装置Cj間の「Contact Duration」をグラフ表示する機能
(B)通信装置Ciと通信装置Cjとの間の経路上に、前記アラーム通知されたことを表示する機能
(C)タイムスロット毎の通信装置Ciと通信装置Cj間の「Contact Duration」をグラフ表示する機能
【0037】
【0038】
図4に示すように、時間帯TM毎に表示することが示されている。図4の例では、「時間帯8:00~9:00」と「時間帯21:00~22:00」における表示例が示されているが、このタイムスロット値は任意に選択することが可能であり、これに限定されることはない。
【0039】
図4に示すように、「時間帯8:00~9:00」における「Contact Duration」が{C1→C2間:30min}、{C1→C3間:10min}、{C1→C4間:0min}、{C1→C5間:20min}であり、その経路のライン形状(ラインの太さ)の違いを利用して表示されている。この例では、「Contact Duration」の数値に比例したラインの太さが用いられている。ここで、ライン形状については、「ラインの太さ」だけではなく、例えばラインの「種類」や「カラー」等を利用してもよい。
【0040】
同様にして、「時間帯21:00~22:00」における「Contact Duration」が{C1→C2間:0min}、{C1→C3間:20min}、{C1→C4間:50min}、{C1→C5間:0min}のであり、その経路のライン形状(ラインの太さ)の違いを利用して表示されている。
【0041】
図4の表示例から、「時間帯8:00~9:00」においては、C1→C4間のアクセスが存在しないが、C1→C2間のアクセスが多いことが容易にわかる。また「時間帯21:00~22:00」においては、C1→C2 間およびC1→C5間のアクセスは存在しないが、C1→C4間のアクセスは非常に多いことが容易にわかる。
【0042】
次に、上記(B)の機能について、図4を用いて説明する。上記で説明したように、時間帯TMにおける通信装置C1と通信装置C2, C3, C4, C5間における「Contact Duration」が、予め設定された閾値を超えた場合に、アラーム通知することができる。図4の例では、「時間帯21:00~22:00」におけるC1→C4間の「Contact Duration」=50minであり、この値が閾値を超えていた場合に、その経路のライン形状(例えば「カラー」)の違いを利用して表示することも可能である。これにより、アラーム通知された経路が容易にわかることになる。
【0043】
【0044】
図5に示すように、タイムスロット毎の通信装置C1→C2間の「Contact Duration」をグラフ表示することが示されている。図5の例では、「時間帯8:00~9:00」「時間帯9:00~10:00」及び「時間帯21:00~22:00」「時間帯22:00~23:00」における表示例が示されているが、このタイムスロット値は任意に選択することが可能であり、これに限定されることはない。
【0045】
図5に示すように、「時間帯8:00~9:00」における「Contact Duration:30min」、「時間帯9:00~10:00」における「Contact Duration:15min」、「時間帯21:00~22:00」における「Contact Duration:50min」、「時間帯22:00~23:00」における「Contact Duration:55min」であり、棒グラフの高さを利用して表示されている。
【0046】
図5の表示例から、「時間帯21:00~23:00」においては、通信装置C1→C2間のアクセスが非常に多いことが容易にわかる。
【0047】
以上で述べたように、通信装置間の「Contact Duration」を特定して、これを利用することにより、通信装置間で、どの位の期間に渡り通信が継続していたのかを定量的な指標を用いて視覚上で把握することが容易になる。さらに「Contact Duration」が予め設定された閾値を超えた場合に、アラーム通知することもできるようになるため、例えば、長時間にわたり不正アクセスが存在していた可能性を容易に検出できるようになる。
【図1】
【図2】
【図3】
【図4】
【図5】