NETWORK MONITORING SYSTEM

PROBLEM TO BE SOLVED: To provide a network monitoring system capable of taking countermeasures against a cyber attack detected in an early stage by darknet observation to the other local network.SOLUTION: In a network monitoring device 1 which monitors a wide area network in which a plurality of local networks are connected to an IP network, an information acquisition part 11 extracts a back scatter from darknet observation information acquired by a darknet observation network, and an information analysis part 12 analyzes a series of back scatters to generate attack event information from an attack event group with high probability of a cyber attack, and a countermeasure information generation part 13 generates countermeasure information including a countermeasure parameter set by extracting an attack parameter effective for determination of the attack from the attack event information, and a rule generation/supply control part 14 for a countermeasure device generates a rule file for the countermeasure device from the countermeasure information, and provides it to a local network having a cyber attack countermeasure device.SELECTED DRAWING: Figure 2 【課題】ダークネット観測によって早期に検知したサイバー攻撃への対策を他のローカルネットワークに施すことができるネットワーク監視システムを提供する。【解決手段】ＩＰネットワークに複数のローカルネットワークが接続されている広域ネットワークを監視するネットワーク監視装置１は、ダークネット観測網より取得したダークネット観測情報から情報取得部１１がバックスキャッタを抽出し、一連のバックスキャッタを情報分析部１２が分析してサイバー攻撃の蓋然性の高い攻撃イベント群から攻撃イベント情報を生成し、攻撃イベント情報から当該攻撃の判定に有効な攻撃パラメータを抽出して設定した対策パラメータを含む対策情報を対策情報生成部１３が生成し、対策装置用ルール生成・供給制御部１４が対策情報から対策装置用ルールファイルを生成してサイバー攻撃対策装置を備えるローカルネットワークへ提供する。【選択図】図２