JP4437410B2 - Security management apparatus and program - Google Patents
Security management apparatus and program Download PDFInfo
- Publication number
- JP4437410B2 JP4437410B2 JP2004037714A JP2004037714A JP4437410B2 JP 4437410 B2 JP4437410 B2 JP 4437410B2 JP 2004037714 A JP2004037714 A JP 2004037714A JP 2004037714 A JP2004037714 A JP 2004037714A JP 4437410 B2 JP4437410 B2 JP 4437410B2
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- log data
- level
- unauthorized
- access log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
この発明は、コンピュータネットワークに接続されたコンピュータやネットワーク機器に対して不正なアクセスや侵入・攻撃などがあった場合に、セキュリティ管理者やオペレータにセキュリティインシデントを通知する不正侵入検知システム(Intrusion Detection System、以下IDSともいう)において、より精度の高いアラーム通知をおこなうことに関する。 The present invention provides an intrusion detection system (Intrusion Detection System) for notifying a security administrator or operator of a security incident when an unauthorized access, intrusion / attack, or the like occurs on a computer or network device connected to a computer network. , Hereinafter also referred to as IDS), it relates to providing a more accurate alarm notification.
インターネットの普及により、情報の伝達スピードは飛躍的に増大し、誰でも手軽にITを利用して、欲しい情報を簡単に、しかも、即座に入手できるようになった。その一方、不正アクセス禁止法やプロバイダ責任法、個人情報保護法案などの法律の整備が進むなか、省庁や企業の運営するWebサーバへの不正アクセスや大々的なホームページの改ざん、サーバへの攻撃が相次ぎ、コンピュータウィルスによる被害も年々増えてきている。 With the spread of the Internet, the speed of information transmission has increased dramatically, and anyone can easily use IT to easily and quickly obtain the information they want. On the other hand, as laws such as the illegal access prohibition law, the provider liability law, and the personal information protection bill progress, unauthorized access to Web servers operated by ministries and companies, extensive homepage alterations, and attacks on servers have been repeated. The damage caused by computer viruses is increasing year by year.
また、企業内においても、従来以上の迅速な経営判断や総合的なリスク管理のために、多種多様な情報が必要となる一方で、社内での情報セキュリティの要求はより厳しくなってきている。企業の情報漏洩や不正アクセスによる企業情報の改ざんが発生した場合には、物理的被害、経済的損失を被り、社会的信用を失墜させてしまう。また、インターネットなどの外部からの攻撃だけではなく、内部ネットワークからの不正アクセスに対しても対応する必要がある。 Also, in the enterprise, various information is required for quicker management judgment and comprehensive risk management than ever before, but the demand for information security in the company has become stricter. If corporate information is falsified due to corporate information leakage or unauthorized access, it suffers physical damage and economic loss, and social trust is lost. In addition to attacks from the outside such as the Internet, it is necessary to cope with unauthorized access from the internal network.
こうした不正アクセスの脅威を回避する手段として、ネットワーク型の不正侵入検知システムを導入するケースが増えている。通常、ネットワーク型IDSはネットワーク上を流れるパケットを監視センサ(モニタリング装置)にて監視し、同装置が持っているデータベース(既知の不正パケットのパターンをデータベース化したものであり、シグネチャと呼ばれる)と比較し、不正なパケットであった場合、オペレータ管理装置(マネージャ)にアラームを上げてセキュリティ管理者やオペレータに知らせる。セキュリティ管理者は受け取ったアラームの内容により、関係部署へ連絡したり、対策を講じたりするのが一般的である(例えば、特許文献1参照)。 In order to avoid such threats of unauthorized access, network-type unauthorized intrusion detection systems are increasingly used. Normally, a network type IDS monitors packets flowing on the network with a monitoring sensor (monitoring device), and has a database (a database of known illegal packet patterns, called a signature). If the packet is an illegal packet, an alarm is raised on the operator management apparatus (manager) to notify the security administrator or operator. In general, a security administrator contacts a related department or takes measures according to the contents of the received alarm (see, for example, Patent Document 1).
技術的に監視センサが監視できる範囲は、ネットワークのセグメント単位に限られるため、よりセキュリティを高めるためには、図11のように各セグメントを監視するように監視センサを設置する必要がある。 Since the range that can be technically monitored by the monitoring sensor is limited to the segment unit of the network, it is necessary to install the monitoring sensor so as to monitor each segment as shown in FIG.
一般にアラームには重要度に応じたレベルが監視センサ毎に設けられている。例えば、各監視センサのシグネチャ毎にHigh、Medium、Lowレベルが設定されており、Highレベルのものに対しては早急な対応を実施するというような運用形態がとられる。 In general, an alarm is provided with a level corresponding to the importance for each monitoring sensor. For example, a high, medium, and low level is set for each signature of each monitoring sensor, and an operation mode is adopted in which an immediate response is performed for a high level.
しかしながら、実際は検知したアラームが、Highレベルであっても実害があるとは限らず、システムの構成や攻撃手法の違いにより実害があるかどうかを判断するのは難しい。例えば、インターネットから企業内ネットワークに向かってHighレベルの電子メールに関する不正パケットが送信され、そのパケットを検知した場合でも、ファイアウォールによりメールに関するパケットを遮断していれば、早急に対応する必要はない。つまり、図11のような構成からなるIDSにおいては、監視センサ1で検知したアラームが、(監視センサ2で検知されていなくても)Highレベルとしてセキュリティ管理者に通知されてしまう。管理者はその後、監視センサ2で検知されていないことを確認して、早急な対応は必要ないと判断する。
However, actually, even if the detected alarm is at a high level, it is not always harmful, and it is difficult to determine whether there is actual harm due to differences in the system configuration and attack methods. For example, even when an illegal packet related to a high-level electronic mail is transmitted from the Internet to the corporate network and the packet is detected, it is not necessary to take immediate action if the packet related to the mail is blocked by a firewall. That is, in the IDS configured as shown in FIG. 11, an alarm detected by the
また、一般に、セキュアなネットワークシステムを構築するためには、ネットワークに接続されている各サーバやネットワーク機器に対して、事前および定期的なペネトレーションテストなどのセキュリティ診断を実施する。この診断は通常、セキュリティ診断ツールを用いて実施し、サーバでどんなサービスが稼動しているか調べたり、既知の攻撃手法を用いて実際にサーバに攻撃を仕掛けたりすることにより、そのサーバやネットワーク機器の脆弱性を調査する。通常診断パターンは数百種類以上ある。例えば、あるWebサーバに対してセキュリティ診断を実施したとする。Webサービスは当然稼動していても問題ないが、メールやファイル転送のサービスが稼動していれば、停止させる必要がある。また、HTTPヘッダーを利用したNimda攻撃に対して、脆弱であると判断されれば、パッチや最新モジュールの適用を行う必要がある。逆に、Nimda攻撃用パッチが適用されたWebサーバならば、Nimda攻撃に対する脆弱性は指摘されず、そのような攻撃を受けても問題ないということになる。したがって、ネットワーク型IDSがNimda攻撃を検知したとしても、適切な処置が施されたサーバに対する攻撃であれば、問題ないと判断できるが、実際には、アラームが通知されてしまい、管理者はその後、セキュリティ診断結果などを参照することにより、そのサーバに対する攻撃においては、早急な対応は必要ないと判断する。
上述したように、ネットワーク型IDSを用いて、セキュリティ監視を行う場合には、アラームが発生しても、実際には実害がない場合がある。すなわち、真に緊急度が高いアラームに対する迅速な対応が困難となる。それゆえ、重要度の高いアラームにすぐ対応できない、もしくは、管理者の負担が大きい、という問題がある。 As described above, when security monitoring is performed using a network type IDS, even if an alarm occurs, there may be no actual harm. In other words, it is difficult to respond quickly to alarms that are truly urgent. Therefore, there is a problem that an alarm with high importance cannot be dealt with immediately or the burden on the administrator is heavy.
この発明は上記のような問題点を解決するためになされたもので、オペレータ管理装置に上げられる各監視センサからのアラームを総合的に判断し、さらに事前のセキュリティ診断結果を基に、セキュリティ管理者(オペレータ)に対してHighレベルのアラーム、すなわち、真に緊急性が高い不正アクセスを知らせることを目的とする。その実現方式として、既存の監視センサを一切変更することなく、オペレータ管理装置(マネージャ)に上がってくる不正ログデータを基に判断するものである。 The present invention has been made to solve the above problems, and comprehensively judges alarms from each monitoring sensor raised to the operator management apparatus, and further performs security management based on the prior security diagnosis results. It is intended to notify a person (operator) of a high-level alarm, that is, a truly urgent unauthorized access. As an implementation method thereof, the determination is made based on the fraudulent log data sent to the operator management apparatus (manager) without changing any existing monitoring sensor.
本発明に係るセキュリティ管理装置は、
複数の通信機器を含むネットワークのセキュリティ管理を行うセキュリティ管理装置であって、
少なくとも不正アクセス種別と不正アクセス対象の通信機器とが示された不正アクセスログデータを取得する不正アクセスログデータ取得部と、
不正アクセスログデータに示された不正アクセス種別に対する対策が不正アクセス対象の通信機器において講じられているか否かを判定し、不正アクセス対象の通信機器における対策の有無に応じて不正アクセスの危険度を決定する危険度決定部と、
前記危険度決定部が決定した危険度に従って不正アクセスに対するアラーム通知を行うアラーム通知部とを有することを特徴とする。
The security management device according to the present invention is:
A security management device that performs security management of a network including a plurality of communication devices,
An unauthorized access log data acquisition unit for acquiring unauthorized access log data indicating at least an unauthorized access type and an unauthorized access target communication device;
Determine whether countermeasures against the unauthorized access type indicated in the unauthorized access log data are taken in the unauthorized access target communication device, and determine the risk of unauthorized access according to the presence or absence of countermeasures in the unauthorized access target communication device. A risk determination unit to determine;
And an alarm notifying unit for notifying an unauthorized access according to the risk determined by the risk determining unit.
本発明によれば、不正アクセスに対する対策の有無に基づき、真に緊急対応が必要なアラームを絞り込んで、管理者に通知することができ、これにより、管理者が真に危険なアラームを見逃すことなく、実害の大きいアラームに対して早急な対応がとれ、管理者の負担を軽減することができる。 According to the present invention, based on the presence / absence of countermeasures against unauthorized access, it is possible to narrow down alarms that truly need emergency response and notify the administrator, thereby allowing the administrator to miss a truly dangerous alarm. In addition, an immediate response can be taken to an alarm with a great deal of harm, and the burden on the administrator can be reduced.
実施の形態1.
図1は、この発明の実施の形態1に係るセキュリティ緊急レベル調整システム1(セキュリティ管理装置)を含む全体の構成例を示す図である。本実施の形態に係るセキュリティ緊急レベル調整システム1は、図11に示したネットワークと同様に、複数のセグメントを含むネットワークを対象としており、また、不正侵入検知システム(IDS)2に接続されている。また、不正侵入検知システム2は、ネットワークのセグメントごとに配置された監視センサとマネージャ21、不正アクセスログファイルを備えている。
FIG. 1 is a diagram showing an overall configuration example including a security emergency level adjustment system 1 (security management apparatus) according to
図2は、セキュリティ緊急レベル調整システム1と不正侵入検知システム2の構成を示す図である。セキュリティ緊急レベル調整システム1において、11は不正アクセスログファイル22から不正アクセスログデータを取得する不正アクセスログデータ取得部、12は取得した不正アクセスログデータを解析する不正アクセスログデータ解析処理部、13は監視センサ対応表を格納する監視センサ対応表格納部、14は最終的なアラームレベル(危険度)を決定する診断結果照合処理部(危険度決定部)、15はシグネチャ−診断対応表を格納するシグネチャ−診断対応表格納部、16はセキュリティ診断結果表(不正アクセス対策情報)を格納するセキュリティ診断結果表格納部(不正アクセス対策情報格納部)、17はアラームレベル調整部(アラーム通知部)である。不正アクセスログデータ、監視センサ対応表、監視センサ対応表、セキュリティ診断結果表の具体的内容は後述する。
FIG. 2 is a diagram showing the configuration of the security emergency
なお、セキュリティ緊急レベル調整システム1は、図示していないが、例えばマイクロプロセッサ等のCPU、半導体メモリ等や磁気ディスク等の記録手段、及び通信手段を有する計算機により実現することができる。記録手段に、セキュリティ緊急レベル調整システム1に含まれる各構成要素の機能を実現するプログラムを記録し、CPUがこれらのプログラムを読み込むことによりセキュリティ緊急レベル調整システム1の動作を制御し、各構成要素の機能を実現することも可能である。
Although not shown, the security emergency
不正侵入検知システム2において、21はオペレータ管理装置(マネージャ)、22は各監視センサから上がってくる不正アクセスログデータが記録された不正アクセスログファイルである。通常、21、22は既存の不正侵入検知システムが保有しているものである。
In the unauthorized
図3は、不正アクセスログファイルのデータ形式を説明するための図である。各データは、それぞれ、発生日(date)、発生時刻(time)、検知した監視センサの番号(sensor−id)、シグネチャ固有番号(sig−id)、シグネチャの名前(sig−name)、アラームのレベル(level)、発信IPアドレス(from−ip)、発信ポート番号(from−port)、宛先IPアドレス(to−ip)、宛先ポート番号(to−port)を表す。ここで、シグネチャ固有番号又はシグネチャの名前が不正アクセス種別を示し、宛先IPアドレス又は宛先ポート番号が不正アクセス対象の通信機器(サーバ、端末など)を示す。また、アラームのレベルが警戒度を示す。 FIG. 3 is a diagram for explaining the data format of the unauthorized access log file. Each data includes date of occurrence (date), time of occurrence (time), number of detected sensor (sensor-id), signature unique number (sig-id), signature name (sig-name), alarm A level (level), a transmission IP address (from-ip), a transmission port number (from-port), a destination IP address (to-ip), and a destination port number (to-port) are represented. Here, the signature unique number or the signature name indicates the unauthorized access type, and the destination IP address or the destination port number indicates the communication device (server, terminal, etc.) that is the unauthorized access target. The alarm level indicates the alertness level.
図1の対象ネットワーク構成例から明らかなように、このネットワーク構成から、どのセグメントをどの監視センサが監視しているかがわかる。これにより、図4に示すような、ネットワークアドレスと監視センサ(sensor−id)との対応付けを行った監視センサ対応表(図2の監視センサ対応表格納部13に格納)を作成することができる。
As is clear from the target network configuration example of FIG. 1, it can be seen from this network configuration which monitoring sensor is monitoring which segment. As a result, a monitoring sensor correspondence table (stored in the monitoring sensor correspondence
次に図2及び図10を用いて、動作について説明する。 Next, the operation will be described with reference to FIGS.
まず不正アクセスログデータ取得部11により、不正アクセスログファイルからデータを取得する(図10のステップS1001)。ここで取得されたデータの例を図5に示す。 First, the unauthorized access log data acquisition unit 11 acquires data from the unauthorized access log file (step S1001 in FIG. 10). An example of the data acquired here is shown in FIG.
次に、不正アクセスログデータ解析処理部12において、不正アクセスログデータの解析を行う(ステップS1002)。図5に示すデータを例に説明する。アラームレベルを表すlevel(警戒度)がHighであるものに注目する。本例では、Highレベルを3、Mediumレベルを2、Lowレベルを1としているので、levelが3であるものに注目する。
Next, the unauthorized access log data
次に、シグネチャ固有番号(sig−id)、発信IPアドレス(from−ip)、発信ポート番号(from−port)、宛先IPアドレス(to−ip)、宛先ポート番号(to−port)が同一であり、日時が近い(10秒以内など)ものは同一のパケットと判断する。単独のものも一つのパケットである。図5の例では、(1)と(2)、(4)と(5)、(6)と(7)が同一のパケットであり、(3)も一つのパケットであるから、全部で4つのパケットの情報が記録されている。 Next, the signature unique number (sig-id), the source IP address (from-ip), the source port number (from-port), the destination IP address (to-ip), and the destination port number (to-port) are the same. Yes, those with close dates (such as within 10 seconds) are determined to be the same packet. A single packet is a packet. In the example of FIG. 5, (1) and (2), (4) and (5), (6) and (7) are the same packet, and (3) is also one packet. Information on one packet is recorded.
次に、図4に示すような内容の監視センサ対応表13を元に、宛先IPアドレス(to−ip)からどの監視センサにて検知されたかを判断し、sensor−idを特定する。図5の例では、(1)〜(5)のto−ipが10.10.2.1となっているので、図4から、10.10.2.1は、セグメント2に属し、sensor−idが02の監視センサで検知されたことになる。
Next, based on the monitoring sensor correspondence table 13 having the contents as shown in FIG. 4, it is determined which monitoring sensor is detected from the destination IP address (to-ip), and the sensor-id is specified. In the example of FIG. 5, since the to-ips of (1) to (5) are 10.10.2.1, from FIG. 4, 10.10.2.1 belongs to the
次に、それぞれのパケットにおいて、上記の宛先IPアドレスを基にして求めたsensor−idと、ログファイルに記述されているsensor−idが等しいものがあれば、そのパケットについては、アラームレベル(警戒度)は3(High)のままとし、そうでなければ、アラームレベル(警戒度)を下げる(ステップS1003)。図6がここまでの処理をまとめたものである。以上が、不正アクセスログデータ解析処理部12における処理である。
Next, in each packet, if the sensor-id obtained based on the destination IP address and the sensor-id described in the log file are the same, the alarm level (warning) The degree is kept at 3 (High), and if not, the alarm level (warning degree) is lowered (step S1003). FIG. 6 summarizes the processing so far. The above is the processing in the unauthorized access log data
次に、診断結果照合処理部14が、不正アクセスログデータ、シグネチャ−診断対応表、セキュリティ診断結果表を基にセグメントの脆弱性の有無を判断し(ステップS1004)、最終的なアラームレベル(危険度)を判定する(ステップS1005)。
Next, the diagnosis result matching
まず、図8に示すような内容をもつシグネチャ−診断対応表(図2のシグネチャ−診断対応表格納部15に格納)より、検知されているシグネチャ固有番号(sig−id)がどの診断に対応するかを判断する。例えば、シグネチャ固有番号5003、シグネチャ名”CodeRedA”は、診断固有番号9874の診断名CodeRedであることがわかる。この表は、利用しているIDSのシグネチャと診断ツールの診断パターンを対比させることにより、作成することができる。
First, from the signature-diagnosis correspondence table having the contents shown in FIG. 8 (stored in the signature-diagnosis correspondence
次に、図9に示すような内容のセキュリティ診断結果表(図2のセキュリティ診断結果表格納部16に格納)より、その不正アクセスに対して、該当する通信機器(図9では、サーバを例にしている)が脆弱性を持つかどうか、つまり、当該不正アクセス種別に対する対策が不正アクセス対象の通信機器において講じられているか否かを判断する。本例では、sig−idが5003であるパケット1は、診断固有番号が9874であり、また、図6より対象とするサーバのIPアドレス(to−ip)が10.10.2.1であることから、図9より脆弱性なし(対策あり)と判断される。これにより、不正アクセスログデータに示されていたアラームレベル(警戒度)よりも低いレベルを最終的なアラームレベル(危険度)とし、通知することとなる。これにより、セキュリティ診断結果によるアラームレベル調整後の内容は図7のようになる。
Next, from the security diagnosis result table having the contents as shown in FIG. 9 (stored in the security diagnosis result
最後に、アラームレベル調整部17において、アラームのレベルを実際に調整し、セキュリティ管理者にアラーム通知を行う(ステップS1006)。結果として、本例では、4つの不正アクセスについて、実際に実害のあるものは1つであり、アラームとしてもHighレベルを1つ上げることができる。 Finally, the alarm level adjusting unit 17 actually adjusts the alarm level and notifies the security administrator of the alarm (step S1006). As a result, in this example, for the four unauthorized accesses, only one actually has a harmful effect, and the High level can be raised by one as an alarm.
以上のように、本実施の形態によれば、真に緊急対応が必要なアラームを絞り込んで、管理者に通知することができるようになり、管理者が真に危険なアラームを見逃すことなく、実害の大きいアラームに対して早急な対応がとれ、管理者の負担を軽減することができる。また、実装においても監視センサや診断ツールを変更することなく既存のものを利用し、マネージャ側にプログラムを組み込むことにより実現できる。 As described above, according to the present embodiment, it is possible to narrow down alarms that really need emergency response and notify the administrator, so that the administrator does not miss a truly dangerous alarm. An immediate response can be taken to an alarm with a large amount of actual harm, and the burden on the administrator can be reduced. Also, the implementation can be realized by using the existing one without changing the monitoring sensor and the diagnostic tool and incorporating the program on the manager side.
ここで、以上の実施の形態で説明したセキュリティ運用監視システムは、ネットワーク型の不正侵入検知システム(IDS: Intrusion Detection System)において、監視対象ネットワークから得られる不正アクセスログデータを取得する手段と、監視センサ対応表を基にその取得したデータを解析処理する手段と、セキュリティ診断結果表を基に診断結果と照合処理する手段と、それらの処理結果からアラームレベルの調整を行う手段を有することにより、オペレータに対して真に緊急性が高い不正アクセスアラームを通知することを特徴とする。 Here, the security operation monitoring system described in the above embodiments includes a means for acquiring unauthorized access log data obtained from a monitored network in a network-type unauthorized intrusion detection system (IDS: Intrusion Detection System), By having means for analyzing the acquired data based on the sensor correspondence table, means for comparing with the diagnosis result based on the security diagnosis result table, and means for adjusting the alarm level from those processing results, It is characterized by notifying an operator of an unauthorized access alarm that is truly urgent.
1 セキュリティ緊急レベル調整システム、2 不正侵入検知システム、11 不正アクセスログデータ取得部、12 不正アクセスログデータ解析処理部、13 監視センサ対応表格納部、14 診断結果照合処理部、15 シグネチャ−診断対応表格納部、16 セキュリティ診断結果表格納部、17 アラームレベル調整部、21 マネージャ、22 不正アクセスログファイル。
DESCRIPTION OF
Claims (3)
通信機器ごとにいずれの不正アクセス種別に対する対策が講じられているかを示す不正アクセス対策情報を格納する不正アクセス対策情報格納部と、
前記不正侵入検知システムで検知された不正アクセスの不正アクセス種別と当該不正アクセスが対象とする通信機器と当該不正アクセスの警戒度のレベルが示される不正アクセスログデータを前記不正侵入検知システムから取得する不正アクセスログデータ取得部と、
警戒度のレベルが特定のレベル以上である不正アクセスログデータについて、前記不正アクセス対策情報に基づき、当該不正アクセスログデータに示される不正アクセス種別に対する対策が不正アクセス対象の通信機器において講じられているか否かを判定し、不正アクセス対象の通信機器において対策が講じられていない場合は当該不正アクセスログデータの警戒度と同じレベルを不正アクセスの危険度として決定し、不正アクセス対象の通信機器において対策が講じられている場合は当該不正アクセスログデータの警戒度よりも低いレベルを不正アクセスの危険度として決定する危険度決定部と、
前記危険度決定部が決定した危険度が前記特定のレベル以上である場合に、不正アクセスに対するアラーム通知を行うアラーム通知部とを有することを特徴とするセキュリティ管理装置。 A security management device connected to an unauthorized intrusion detection system for detecting unauthorized access to a network including a plurality of communication devices and performing security management of the network ,
An unauthorized access countermeasure information storage unit for storing unauthorized access countermeasure information indicating which countermeasure against unauthorized access type is taken for each communication device;
The unauthorized access log data indicating the unauthorized access type of unauthorized access detected by the unauthorized access detection system, the communication device targeted by the unauthorized access, and the level of alertness of the unauthorized access is acquired from the unauthorized access detection system . An unauthorized access log data acquisition unit;
The alertness level is a specific level or higher than that unauthorized access log data, based on said countermeasures against unauthorized access information, measures against the unauthorized access log data indicated Ru unauthorized access type is being taken in the unauthorized access target communication device to determine dolphin not, to determine the same level as the alertness of the unauthorized access log data if it is not action is taken to have you in the unauthorized access target communication equipment as a risk of unauthorized access, communication of unauthorized access target A risk determination unit that determines a level lower than the alertness of the unauthorized access log data as the risk of unauthorized access when measures are taken in the device ;
A security management device comprising: an alarm notification unit for performing alarm notification for unauthorized access when the risk level determined by the risk level determination unit is equal to or higher than the specific level .
各々にネットワークアドレスが設けられている複数のセグメントを含むネットワークをセキュリティ管理の対象とし、A network including a plurality of segments each having a network address is subject to security management.
不正アクセスを監視し不正アクセスの検出をセグメントごとに行う複数の監視センサが含まれる不正侵入検知システムに接続されており、Connected to an unauthorized intrusion detection system that includes multiple monitoring sensors that monitor unauthorized access and detect unauthorized access by segment,
前記不正アクセスログデータ取得部は、The unauthorized access log data acquisition unit
不正アクセスを検出した監視センサと当該不正アクセスが対象とする通信機器の通信アドレスとが示された不正アクセスログデータを取得し、Obtain unauthorized access log data indicating the monitoring sensor that detected unauthorized access and the communication address of the communication device targeted by the unauthorized access,
前記セキュリティ管理装置は、更に、The security management device further includes:
セグメントごとに対応するネットワークアドレスと監視センサを示す監視センサ対応表を格納する監視センサ対応表格納部と、A monitoring sensor correspondence table storage unit for storing a monitoring sensor correspondence table indicating a network address and a monitoring sensor corresponding to each segment;
警戒度のレベルが特定のレベル以上である不正アクセスログデータについて、前記監視センタ対応表に基づき、当該不正アクセスログデータに示される通信アドレスを包含するネットワークアドレスが設けられているセグメントと当該不正アクセスログデータに示される監視センサが対象としているセグメントが一致するか否かを判断し、一致する場合に当該不正アクセスログデータの警戒度をより低いレベルに変更する不正アクセスログデータ解析処理部を有し、For unauthorized access log data with a warning level equal to or higher than a specific level, based on the monitoring center correspondence table, a segment provided with a network address including the communication address indicated in the unauthorized access log data and the unauthorized access It has an unauthorized access log data analysis processing unit that determines whether or not the segments targeted by the monitoring sensor indicated in the log data match, and if they match, the warning level of the unauthorized access log data is changed to a lower level. And
前記危険度決定部は、The risk determination unit
前記不正アクセスログデータ解析処理部による処理後に警戒度のレベルが前記特定のレベル以上である不正アクセスログデータについて、前記不正アクセス対策情報に基づき、不正アクセスの危険度を決定することを特徴とする請求項1に記載のセキュリティ管理装置。The unauthorized access log data analysis processing unit determines the risk of unauthorized access based on the unauthorized access countermeasure information for unauthorized access log data having a warning level equal to or higher than the specific level after processing by the unauthorized access log data analysis processing unit. The security management device according to claim 1.
前記不正侵入検知システムで検知された不正アクセスの不正アクセス種別と当該不正アクセスが対象とする通信機器と当該不正アクセスの警戒度のレベルが示される不正アクセスログデータを前記不正侵入検知システムから取得する不正アクセスログデータ取得処理と、
警戒度のレベルが特定のレベル以上である不正アクセスログデータについて、通信機器ごとにいずれの不正アクセス種別に対する対策が講じられているかを示す不正アクセス対策情報に基づき、当該不正アクセスログデータに示される不正アクセス種別に対する対策が不正アクセス対象の通信機器において講じられているか否かを判定し、不正アクセス対象の通信機器において対策が講じられていない場合は当該不正アクセスログデータの警戒度と同じレベルを不正アクセスの危険度として決定し、不正アクセス対象の通信機器において対策が講じられている場合は当該不正アクセスログデータの警戒度よりも低いレベルを不正アクセスの危険度とする危険度決定処理と、
前記危険度決定処理が決定した危険度が前記特定のレベル以上である場合に、不正アクセスに対するアラーム通知を行うアラーム通知処理とを実行させることを特徴とするプログラム。 To a computer connected to an unauthorized intrusion detection system that detects unauthorized access to a network containing multiple communication devices ,
Obtaining unauthorized access log data the unauthorized rogue access intrusion detection system detected unauthorized access type and the unauthorized access of alertness communication device and the unauthorized access of interest level is shown from the intrusion detection system Unauthorized access log data acquisition processing,
For unauthorized access log data with a warning level equal to or higher than a specific level, the unauthorized access log data is displayed in the unauthorized access log data based on unauthorized access countermeasure information that indicates which countermeasures against unauthorized access types are taken for each communication device. that measures against unauthorized access type is determined whether or not been taken in the unauthorized access target communication device, the alertness of the unauthorized access log data if not action is taken to have your unauthorized access target communication device The same level is determined as the risk of unauthorized access, and if measures are taken in the unauthorized access target communication device, the risk is determined to be a risk of unauthorized access that is lower than the alert level of the unauthorized access log data. Processing,
An alarm notification process for performing an alarm notification for unauthorized access when the risk determined by the risk determination process is equal to or higher than the specific level .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004037714A JP4437410B2 (en) | 2004-02-16 | 2004-02-16 | Security management apparatus and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004037714A JP4437410B2 (en) | 2004-02-16 | 2004-02-16 | Security management apparatus and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005228177A JP2005228177A (en) | 2005-08-25 |
| JP4437410B2 true JP4437410B2 (en) | 2010-03-24 |
Family
ID=35002832
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004037714A Expired - Fee Related JP4437410B2 (en) | 2004-02-16 | 2004-02-16 | Security management apparatus and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4437410B2 (en) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5284012B2 (en) * | 2008-08-29 | 2013-09-11 | 株式会社東芝 | Client / server system and client / server system audit method |
| JP5066544B2 (en) * | 2009-03-31 | 2012-11-07 | 株式会社富士通ソーシアルサイエンスラボラトリ | Incident monitoring device, method, and program |
| JP6226847B2 (en) * | 2014-09-19 | 2017-11-08 | ヤフー株式会社 | Access log monitoring apparatus, method, and program |
| EP3968575A1 (en) * | 2015-12-16 | 2022-03-16 | Panasonic Intellectual Property Corporation of America | Security processing method and server |
| JP2018174444A (en) * | 2017-03-31 | 2018-11-08 | 沖電気工業株式会社 | Incident notification device and incident notification program |
| JP6877278B2 (en) | 2017-07-19 | 2021-05-26 | アラクサラネットワークス株式会社 | Relay device |
-
2004
- 2004-02-16 JP JP2004037714A patent/JP4437410B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005228177A (en) | 2005-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109525558B (en) | Data leakage detection method, system, device and storage medium | |
| CN113660224B (en) | Situation awareness defense method, device and system based on network vulnerability scanning | |
| WO2014129587A1 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| CN111434090A (en) | System and method for providing security to an in-vehicle network | |
| TW201723914A (en) | Detection of advanced persistent threat attack on a private computer network | |
| CN113839935B (en) | Network situation awareness method, device and system | |
| US10839703B2 (en) | Proactive network security assessment based on benign variants of known threats | |
| TW201423471A (en) | System and Method of Monitoring Attacks of Cross Site Script | |
| US11310278B2 (en) | Breached website detection and notification | |
| CN113918945A (en) | Big data computer network safety protection system | |
| CN113411295A (en) | Role-based access control situation awareness defense method and system | |
| CN113411297A (en) | Situation awareness defense method and system based on attribute access control | |
| JP4437410B2 (en) | Security management apparatus and program | |
| CN113660222A (en) | Situation awareness defense method and system based on mandatory access control | |
| JP2005242754A (en) | Security management system | |
| JP4843546B2 (en) | Information leakage monitoring system and information leakage monitoring method | |
| CN110086812B (en) | Safe and controllable internal network safety patrol system and method | |
| JP4159814B2 (en) | Interactive network intrusion detection system and interactive intrusion detection program | |
| CN110535886B (en) | Method, apparatus, system, device and medium for detecting man-in-the-middle attacks | |
| JP2005284523A (en) | System, method and program for illegal intrusion detection | |
| JP7150425B2 (en) | COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM | |
| JP6987406B2 (en) | Penetration test monitoring server and system | |
| KR100862321B1 (en) | Method and apparatus for detecting and blocking network attack without attack signature | |
| KR100767803B1 (en) | Method and apparatus for detecting network attack based on network abnormal behavior |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070118 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090915 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091015 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091222 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091222 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130115 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |