JP2002342276A - ネットワーク侵入検知システムおよびその方法 - Google Patents

ネットワーク侵入検知システムおよびその方法

Info

Publication number
JP2002342276A
JP2002342276A JP2001148024A JP2001148024A JP2002342276A JP 2002342276 A JP2002342276 A JP 2002342276A JP 2001148024 A JP2001148024 A JP 2001148024A JP 2001148024 A JP2001148024 A JP 2001148024A JP 2002342276 A JP2002342276 A JP 2002342276A
Authority
JP
Japan
Prior art keywords
network
information
intrusion
pattern
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001148024A
Other languages
English (en)
Inventor
Yoshitaka Kuwata
喜隆 桑田
Yoshihiro Ito
義裕 伊藤
Makoto Kobori
誠 小堀
Glenn Mansfield Keeni
グレン マンスフィールド キニ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cyber Solutions Inc
NTT Data Group Corp
Original Assignee
NTT Data Corp
Cyber Solutions Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp, Cyber Solutions Inc filed Critical NTT Data Corp
Priority to JP2001148024A priority Critical patent/JP2002342276A/ja
Publication of JP2002342276A publication Critical patent/JP2002342276A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 ネットワーク型侵入検知装置の高精度化をは
かると共に、情報の収集対象を不審者に絞り込み正規ア
クセス者のプライバシを保護する。 【解決手段】 予め侵入パターンに応じた複数の検出パ
ターンを準備しておき、捜査情報収集制御装置2により
必要に応じてその検出パターンを動的に切替える。ま
た、捜査情報収集制御装置2により、侵入の可能性を示
すような軽微な兆候も監視対象とし、そのレベルに応じ
て監視体制を変更させるべくネットワーク監視装置1お
よびトラヒック監視装置3を制御する。更に、トラヒッ
ク監視装置3で一定量のパケットを常に保持することに
より捜査情報収集制御装置2は直前の状態を検査情報と
して活用する。この保持しているパケットおよび、ネッ
トワーク監視装置1から取得した情報から侵入検知およ
び侵入後の手口の検証を行なう。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワーク侵入
検知システムおよびその方法、詳しくは、ネットワーク
侵入の有無を検知するネットワーク型侵入検知装置(N
IDS:NetworkIntrusion Detection System)の改
良および管理システムとの連携によってセキュリティイ
ンシデント前後の情報を詳細に取得する総合的なセキュ
リティシステムおよびその方法に関する。
【0002】
【従来の技術】インターネットを活用した企業間取引や
顧客へのサービス提供は、戦略的なビジネス展開を模索
する企業にとっては最重要課題になっている。しかしな
がらインターネットの通信環境は、ハッカーによる不正
侵入やウイルス感染といった様々な脅威にさらされてい
る。ところで、ファイヤウォールは、企業内ネットワー
クとインターネットの中間に接続し、インターネットか
らの不正なアクセスを遮断するセンサとして機能する。
ファイヤウォールを設置したネットワークシステムで
は、内部から外部へのゲートウェイ的なアクセスを可能
にし、インターネットの各種サービスを安全に利用でき
るようになる。但し、ハッカーによる不正侵入では、フ
ァイヤウォール本体のセキュリティホールを突いた攻撃
やポートスキャンによる攻撃、アクセスを妨害する使用
不能攻撃等、さまざまな攻撃を受ける危険性がある。
【0003】
【発明が解決しようとする課題】上記したように、コン
ピュータシステムの不正利用が大きな社会問題となる
中、ネットワーク侵入の有無を検出するネットワーク型
侵入検知装置(NIDS)が市販され、応用されるよう
になってきた。NIDSを利用することで、従来の侵入
されないことを前提に設計を行なう方法論に対して、侵
入される可能性を考慮したネットワークセキュリティシ
ステムを構築することが可能になった。しかしながら従
来のNIDSを用いたネットワークセキュリティシステ
ムによれば、以下に列挙する(1)〜(5)の欠点を持
つ。
【0004】(1)予め一義的に定義された検出パター
ンに従った検出しか行なうことができず、従って、誤検
出が多い。 (2)侵入手口の高度化とともに、その検出定義パター
ンが複雑になり、定義の記述が困難である。 (3)NIDSは、不正であると定義されたパケットの
みを検知するため、不正検知前後の攻撃者の一連の行動
を監視するために必要な情報を取得することができなか
った。また、複数ステップから成る「手口」を記録する
ためには、NIDSで不正を検出後、NIDSと独立な
パケット監視・記録装置を動作させるしか手立てがな
く、迅速に詳細な情報を取得することができなかった。
更に、脅威の程度に応じた動的な監視体制を構築するこ
とができず、常に侵入に関する詳細な情報をとろうとす
れば、ディスク、CPU等、パケット監視・記録装置に
多くの計算機リソースが必要であると同時に、収集した
膨大な情報の解析は事実上不可能であった。 (4)侵入が検出された場合、その結果が未知の侵入で
あるか、または誤検出か否かを検証することが困難であ
った。検出結果の検証を行なうためには、予め詳細情報
の取得を行う設定にしておく必要があり、検出後詳細情
報を取得するように変更しても、多くの場合、既に侵入
が終わっているため手遅れとなっていた。 (5)情報収集のために正規アクセス者のプライバシを
侵害する恐れがあった。
【0005】本発明は上記事情に鑑みてなされたもので
あり、予め侵入パターンに応じた複数の検出パターンを
準備しておき、必要に応じてこれを動的に切替え、その
詳細情報を取得する仕組みを用意することで情報源を増
やして捜査情報として活用し、かつ、トラヒック監視装
置と連携してその詳細情報を入手することによりNID
Sの高精度化をはかったネットワーク侵入検知システム
およびその方法を提供することを目的とする。また、侵
入の可能性を示すような軽微な兆候も監視対象とし、そ
のレベルに応じてネットワーク監視体制を変更させるこ
とにより、情報の収集対象を不審者に絞り込み、正規ア
クセス者のプライバシを保護するネットワーク侵入検知
システムおよびその方法を提供することも目的とする。
【0006】
【課題を解決するための手段】上記した課題を解決する
ために本発明は、監視対象ネットワークからネットワー
ク管理情報を得、ネットワーク侵入の有無およびその侵
入パターンを検知するネットワーク監視装置と、前記侵
入パターンと前記侵入パターンのそれぞれに応じてあら
かじめ用意された複数の検知パターンとの照合を行なう
ことにより該当する検知パターンを動的に切替え、当該
検知パターンに従う捜査情報を収集する捜索情報収集制
御装置とを備えたことを特徴とする。
【0007】また、本発明において、前記捜索情報収集
制御装置からの要求に従い、前記検知パターンに従う捜
査情報を侵入の直前の情報も含めて出力するトラヒック
監視装置を備えたことを特徴とする。
【0008】また、本発明において、前記捜査情報収集
制御装置は、前記ネットワーク監視装置によって検知さ
れた特定の侵入者による通信を集中監視する攻撃元監視
部を備えたことを特徴とする。
【0009】また、本発明において、前記捜査情報収集
制御装置は、前記ネットワーク監視装置によって検知さ
れた特定の攻撃対象への通信を集中監視する攻撃対象監
視部を備えたことを特徴とする。
【0010】また、本発明において、前記捜査情報収集
制御装置は、前記ネットワーク監視装置によって検知さ
れた検知情報に対し、他に同様の検知情報があるか否か
を検証するアラート検証部を備えたことを特徴とする。
【0011】また、本発明において、前記アラート検証
部は、監視対象ネットワーク情報が格納されたデータベ
ースを参照し、アラート対象ホストの重要度、アラート
対象ホストのトラヒック量、アラート対象サービスの重
要度の少なくとも1つを前記トラヒック監視装置からの
捜査情報の情報取得レベルに反映させることを特徴とす
る。
【0012】また、本発明において、前記捜査情報収集
制御装置は、あらかじめその手口シーケンスと手口対抗
処理が定義された手口パターンと前記トラヒック監視装
置から得られる侵入元ホストからの捜査情報とを比較す
ることによって手口候補を絞り、当該手口候補が見つか
ったときにそのターゲットのシャットアウトを含む手口
対抗処理を行なう手口監視部を備えたことを特徴とす
る。
【0013】上記構成において、予め侵入パターンに応
じた複数の検出パターンを準備しておき、必要に応じて
動的に切替える仕組みを用意することにより、収集の対
象とする情報を既存のNIDSによる一義的な方式か
ら、ネットワーク管理情報を含めた広範な情報に拡張す
ることで情報源を増やし捜査情報として活用することが
できる。また、NIDSの検出パターンおよび情報取得
パターンの細かなコントロールを行なうことで、NID
Sの高精度化が図れる。更に、トラヒック監視装置で一
定量のパケットを常に保持することにより、捜査情報収
集制御装置は直前の状態も含めて検知情報として活用で
きる。従って、この保持しているパケットおよび、上記
により取得した情報からの侵入検査および侵入後の手口
の検証が可能になる。また、捜査情報収集制御装置によ
り、侵入の可能性を示すような軽微な兆候も監視対象と
し、そのレベルに応じて監視体制を変更させることがで
きる。具体的には、必要に応じてトラヒック監視装置対
して指示を出し、その情報取得レベルを動的に変更し、
その結果、情報の収集対象を不審者に絞り込むことにな
り、正規アクセス者のプライバシを保護することができ
る。
【0014】上記した課題を解決するために本発明は、
監視対象ネットワークからネットワーク管理情報を得、
ネットワーク侵入の有無およびその侵入パターンを検知
し、前記侵入パターンと前記侵入パターンのそれぞれに
応じてあらかじめ用意された複数の検知パターンとの照
合を行なうことにより該当する検知パターンを動的に切
替え、当該検知パターンに従う捜査情報を収集すること
を特徴とする。
【0015】また、本発明において、前記検知パターン
に従う捜査情報を侵入の直前の情報も含めて出力するこ
とを特徴とする。
【0016】
【発明の実施の形態】図1は、本発明におけるネットワ
ーク侵入検知システムの一実施形態を示すブロック図で
ある。本発明のネットワーク侵入検知システムは、ネッ
トワーク監視装置1と、捜査情報収集制御装置2と、ト
ラヒック監視装置3と、監視対象ネットワーク4で構成
される。ネットワーク監視装置1は、監視対象ネットワ
ーク4からネットワーク管理情報を得、ネットワーク侵
入の有無およびその侵入パターンを検知する機能を有す
る。また、捜査情報収集装置2は、侵入パターンと侵入
パターンのそれぞれに応じてあらかじめ用意された複数
の検知パターンとの照合を行なうことにより該当する検
知パターンを動的に切替え、当該検知パターンに従う捜
査情報を収集する機能を有する。更に、トラヒック監視
装置3は、捜索情報収集制御装置2からの要求に従い、
検知パターンに従う捜査情報を侵入の直前の情報も含め
て出力する機能を有する。
【0017】ネットワーク監視装置1は、ネットワーク
監視部11と、監視対象ネットワーク情報DB(データ
ベース)12で構成される。ネットワーク監視部11
は、監視対象ネットワーク4からネットワーク管理情報
を得、不正侵入を検知することにより捜査情報収集制御
装置2に対して検知情報(アラート情報)を伝え、捜査
情報収集制御装置2からの監視対象ネットワーク情報要
求に基づき監視対象ネットワーク情報DB12に蓄積さ
れた監視対象ネットワーク情報を提供する。監視対象ネ
ットワークDB12には、ネットワーク構成情報、サー
ビス情報、運用情報の他に、ヘッダとペイロード(内
容)から構成されるIPパケット情報が蓄積される。な
お、ネットワーク構成情報としては、ネットワークに接
続されたホスト、ルータ等の機器の詳細ルーティング情
報が、サービス情報としては、ホストのサービス提供ポ
リシー、実際にホストに提供するサービスが、運用情報
としては、ホスト毎のトラヒック情報、サービス毎のト
ラヒック情報(アクセス頻度)が蓄積される。なお、監
視対象ネットワークDB12には、ホストおよびサービ
スの重要度、トラヒック量の高低に関する情報も含ま
れ、その一例が図6、図7に示されている。また、ここ
では、監視対象ネットワーク情報DB12がネットワー
ク監視装置1内にあるものとして説明するが、後述する
捜査情報収集制御装置2にあってもよい。この場合、基
本的な制御部が全て捜査情報収集装置2に集められるた
め、ネットワーク監視装置1の構成および機能をシンプ
ルにすることが可能である。
【0018】捜査情報収集制御装置2は、情報収集制御
部21を核に、アラートログDB(データベース)22
と、攻撃元監視部23と、攻撃対象監視部24と、アラ
ート検証部25と、手口監視部26で構成される。情報
収集制御部21は、ネットワーク監視装置1からのアラ
ート情報によって起動され、攻撃元監視部23、攻撃対
象監視部24、アラート検証部25、手口監視部26と
のインタフェースを司り、トラヒック監視装置3から該
当する捜査情報の収集を開始するものであり、図2に示
されるように、ルール解析部211と、パターンマッチ
部212と、アクション実行部213と、ルールライブ
ラリ214で構成される。
【0019】捜査情報収集装置2に侵入パターンのそれ
ぞれに応じて複数の検知パターンがあらかじめ用意され
ることは上記した通りである。ここではその検知パター
ンがルールとしてライブラリ化されており、ルールライ
ブラリ214中に記憶されている。ルール解析部211
がこのルールを読み取って解析を行い、パターンマッチ
部212でネットワーク監視部1を介して得られるIP
パケットと照合し、一致のとれた検知パターンに従うア
クションをアクション実行部213で実行する。ここで
いうアクションとは、トラヒックの記録開始、中止、特
定攻撃元監視、特定対象監視、アラート検証、手口監視
であり、必要に応じてルールセットの変更を行なう。
【0020】図3、図4に、それぞれ、ルール書式、ル
ールの一例を示す。図3(a)に示されるように、ルー
ルは、”パターン”部と”アクション”部によって定義
される。パターンとして、tcp(transfer control
protocol)、udp(userdatagram protocol)等の
プロトコル(protocol)、IPアドレス、ポート番号等
のソース仕様(source-spec)、双方向/片方向(<>|
→)、IPアドレス、ポート番号等のデステネーション
仕様(dest-spec)、その他ペイロード部のマッチング
仕様(matchinf-spec)等が記述される。なお、図中*
印は繰り返しを意味する。
【0021】図3(b)はパターン部の書式を表したも
のであり、上記したIPアドレスとポート番号の他に、
タイトル値(ttl)、ICMP(Internet Control Me
ssage Protocol)タイプ(itype)、ICMPコード
(icode)、最小フアラグメントペイロードサイズ(min
frag)、TCPシーケンス番号(seq)、TCP−AC
K(Acknowledge)番号(ack)、IPヘッダのフラグメ
ントID番号(id)、ペイロードサイズ(dsize)、パ
ターンマッチ用のパケットの内容(content)がある。
図3(c)は、アクション情報を表したものであり、ア
ラート情報を上位装置のマネージャ(情報収集制御部2
1)に送るアラート(alert)、メッセージをログファ
イルに格納するログ(log)、ルールセットを切替える
フォークルールセット(fork-ruleset)、トラヒック監
視装置3の制御を行うレコード(record)等がある。
【0022】図4は、図3に示した書式に従い、攻撃元
監視を行なう場合、攻撃対象監視を行なう場合、ポート
スキャンを検出したときに攻撃元監視を行う場合の、そ
れぞれのルール例を示したものである。攻撃元監視で
は、ルールネーム”sniffing-host”において、任意プ
ロトコルでIPアドレス”192.168.10.10”の任意ポー
トを監視して変数$HOME_NETの任意ポートに全て記録す
ることを意味し、攻撃対象監視では、ルールネーム”wa
tch-home”において、任意プロトコル、任意IPアドレ
ス、任意ポートを監視してIPアドレス”192.168.0.
5”の任意ポートに、全てのヘッダ情報に加えペイロー
ド頭20バイトを記録することを意味する。また、ポー
トスキャンを検出したときに攻撃元監視を行う場合、ル
ールネーム”switch-snif”において、任意プロトコル
で任意IPアドレスの任意ポートを監視して変数$HOME_
NETの任意ポートスキャン検出後、変数$source_address
にある”snifing-host”にルールセットを切替えること
を意味する。
【0023】説明を図1に戻す。攻撃元監視部23は、
ネットワーク監視装置1によって検知された特定の侵入
者による通信を集中監視する機能を有し、攻撃対象監視
部24は、ネットワーク監視装置1によって検知された
特定の攻撃対象への通信を集中監視する機能を有する。
また、アラート検証部25は、ネットワーク監視装置1
によって検知された検知情報に対し、他に同様の検知情
報があるか否かを検証する機能を有する。更に、手口監
視部26は、監視対象ネットワーク情報DB12を参照
し、アラート対象ホストの重要度、アラート対象ホスト
のトラヒック量、アラート対象サービスの重要度の少な
くとも1つをトラヒック監視装置2からの捜査情報の情
報取得レベルに反映させると共に、あらかじめその手口
シーケンスと手口対抗処理が定義された手口パターンと
トラヒック監視装置2から得られる侵入元ホストからの
履歴を示す捜査情報とを比較することによって手口候補
を絞り、当該手口候補が見つかったときにそのターゲッ
トのシャットアウトを含む手口対抗処理を行なう機能を
有する。なお、攻撃元監視部23、攻撃対象監視部24
についての具体的事例は図4に示したとおりであり、ア
ラート検証部25、手口監視部26についての詳細は具
体的事例を用いて後述する。
【0024】トラヒック監視装置3は、トラヒック監視
部31と、トラヒックバッファ32と、捜査情報抽出部
33と、捜査情報DB(データベース)34で構成され
る。トラヒック監視部31は、監視対象ネットワーク4
から得られる一定量のパケットを常時トラヒックバッフ
ァ32に蓄積する機能を有する。トラヒックバッファ3
2はFIFO(First-In First-Out)方式のバッファ
であって、捜査情報抽出部33からのパケット情報要求
に基づき、既に蓄積してあるパケット情報を所定の単位
毎転送する。捜査情報抽出部33は、転送されたパケッ
ト情報を捜査情報DB34に蓄積すると共に、捜査情報
収集制御装置2から発せられる捜査情報収集要求に基づ
き、その要求した情報取得レベルに応じた詳細情報を捜
査情報DB34を検索することにより供給する機能も合
わせ持つ。
【0025】図5は、図1に示す捜査情報収集制御装置
2の動作につき、ネットワークセキュリティシステムを
例示して示した動作概念図である。ここでは、ネットワ
ーク監視装置1−1で監視ネットワーク4−1のサーバ
5−1に対する侵入検知情報と関連情報を検知し、捜査
情報収集制御装置2に通知する()。捜査情報収集制
御装置2は、関連のリンクの監視を強化するためにネッ
トワーク監視装置1−2、ネットワーク監視装置1−3
をグルーピングしてネットワーク監視装置1−1で検知
されたソースアドレス情報等を基準として集中的に監視
するように指示を発する()。同時にネットワーク監
視装置1−2、1−3では「手口」に関する情報を収集
する()。また、監視ネットワーク4−1とは異なる
ネットワーク4−2に対する攻撃を事前に警戒すること
を実現するために直接関連のないネットワーク監視装置
1−4に対してもで判明した手口が利用されているか
否かを監視し、早期警戒に努めている()。
【0026】以下、図6以降を参照しながらアラート検
証、手口監視について説明する。図6、図7は、アラー
ト検証処理の流れをフローチャートで示したものであ
り、また、図8は、アラート検証処理の入出力例を概念
的に示したものである。まず、図6に示すフローチャー
トにおいて、アラート関連情報として、対象OS、対象
ネットワークサービス、対象バージョン、対象パッチレ
ベル他が設定されていることを前提に、アラート検証部
25は、まず、対象ホスト情報を監視対象ネットワーク
情報DB12から取得する(ステップS61)。また、
アラート検証部25は、アラート対象OSは攻撃対象O
Sと等しいか否かをチェックし(ステップS62)、等
しくないと判定された場合は無効アラート処理を(ステ
ップS63)、等しいと判定された場合は、更に、アラ
ート対象ネットワークサービスが攻撃対象ホストで動作
中か否かをチェックする(ステップS64)。
【0027】ここで、アラート対象ネットワークサービ
スが攻撃ホストで動作中でないと判定された場合には、
更にネットワークサービス検証処理(ステップS65)
を、動作中と判定された場合には、更にアラート対象ネ
ットワークサービスのバージョンが攻撃対象ホストと同
一か否かがチェックされる(ステップS66)。ネット
ワークサービス検証処理を行なう(ステップS65)こ
とでアラート対象ネットワークサービスが攻撃対象ホス
トで現時点で動作中か否かを判定し(ステップS61
0)、動作中でない場合にはステップS612で無効ア
ラート処理を行い、動作中であった場合は、ステップS
611で不正サービス処理を行なう。なお、アラート対
象ネットワークサービスのバージョンが攻撃対象ホスト
で動作中のものと異なると判定された場合は無効アラー
ト処理(ステップS67)を、等しいと判定された場合
は図7に示す有効アラート処理を開始する(ステップS
68)。そして、攻撃対象ホストの全てが終了するまで
上記したステップS61からS68に至るアラート検証
処理を繰り返す(ステップS69)。
【0028】図7に示すフローチャートにおいて、アラ
ート検証部25は、監視対象ネットワーク情報DB12
に定義されてあるアラート対象ホストの重要度をチェッ
クし、あらかじめ設定された閾値と比較して重要度が高
いと判定された場合にその重要度を+1更新する処理を
行う(ステップS72)。重要度がそれほど高くない場
合は更に監視対象ネットワーク情報DB12を参照して
アラート対象ホストトラヒック量をチェックし、高いと
判定された場合、先の重要度同様トラヒック量の重要度
を+1更新する。トラヒック量がそれほど高くない場合
は更にアラート対象サービスの重要度をチェックし、重
要度が高い場合にその重要度を+1更新する。重要度が
それほど高くない場合に有効アラート処理を終了する。
ここでアラート検証部25が単なるアラート検証処理の
他に重要度を制御する理由は、トラヒック監視装置3を
制御して詳細情報を収集するときのレベル判断に使用す
るためである。
【0029】図8にアラート検証のための入出力例が示
されている。図8において、アラート検証部25は、ま
ず、ネットワーク監視部1から情報収集制御部21を介
してアラート情報を入力情報として受信する。入力情報
は、IDが”1080”、アラート対象ホストのアドレス
が”192.168.0.1”、種類が”SNMP public acces
s”、ネットワークサービス名が”SNMP:Simple Netwo
rk Management Protocol”、ポート番号が”161”、
バージョンが任意バージョンから成るアラート情報#
1、IDが”1080”、アラート対象ホストのアドレス
が”192.168.0.1”、種類が”anonymous ftp”、ネッ
トワークサービス名が”FTP:File Transfer Protoco
l”、ポート番号が”21”、バージョンが任意バージョ
ンから成るアラート情報#2である。一方、攻撃対象ネ
ットワーク情報DB260には、ホストが”192.168.0
1”、ネットワークサービス名が”SNMP”、バージョ
ン”2.0”、ステイタスを”ACTIVE”とする攻撃対象ネ
ットワーク情報#1が、ホストが”192.168.01”、ネッ
トワークサービス名が”SNMP”、バージョン”2.0”、
ステイタスを”ACTIVE”、ネットワークサービス名を”
FTP”、バージョンを”3.0”、ステイタスを”INACTIV
E”とする攻撃対象ネットワーク情報#2が格納されて
いる。ここで検証の結果、アラート情報#1については
有効アラート処理を、アラート情報#2については出力
項目として無効アラート処理を実行することになる。
【0030】図9、図10は、手口監視部26による手
口監視の例を示したものであり、それぞれ、処理の流れ
をフローチャートで、手口パターンの例をリスト形式で
記述したものである。図10に示されるように、ここで
は、(1)から(4)で示す4通りの手口パターンが例
示されており、それぞれに手口シーケンスと手口対抗処
理が示されている。すなわち、手口パターン(1)で
は、ポートスキャンがあってウェッブCGIに対する攻撃
によりバッファオーバフローが検出される3つの手口シ
ーケンスの対抗処理として、その攻撃元ホスト(sourc
e)のシャットダウンと”ターゲットホストはソースに
よって侵入された”旨のアラートが発せられる。手口パ
ターン(2)では、ポートスキャンがあって、”finge
r”および”telnet”サービスの後、バッファオーバフ
ローが検出された4つのシーケンスの対抗処理として、
その相手先(source)のシャットアウトと”ターゲット
ホストはソースによって侵入された”旨のアラートが発
せられる。
【0031】一方、手口パターン(3)は、複数ホスト
からの攻撃手口が検出された場合を示し、複数ホスト
(Other_Hosts)から対象ホスト(target)への分散D
OS攻撃を検出し、引き続き相手先ホスト(Source)か
ら対象ホストへのPing_Of_Death攻撃を検出した場合、
その対抗措置として相手先ホスト、複数ホストのシャッ
トアウト、および”ターゲットホストはソースホストに
より侵入された”旨のアラートが発せられる。また、手
口パターン(4)も複数ホスト(Other_Hosts)からD
NSを実行する対象ホスト(DNS_SERVER)への分岐DO
S攻撃を検出し、同時にDNS(Domain Name Serve
r)として登録されていないホストからのDNS対応メ
ッセージを確認した場合、相手先ホスト、複数ホストの
シャットアウトおよび”DNSサーバがダウンした”旨
のアラートが発せられる。
【0032】図9に示すフローチャートにおいて、手口
監視部26は、アラート情報を受信後、手口パターンD
B270から手口パターンを取得する(ステップS9
1)。手口パターンとして、図10に示したように対抗
シーケンスとその対抗処理が記述されている。手口監視
部26はまた捜査情報DB34を参照することにより攻
撃元ホスト(source)からの履歴情報を取得する(ステ
ップS92)。そして、複数ホストからの手口の場合、
手口監視部26は更に、その他ホストからの履歴情報を
取得して(ステップS93)、手口パターンと履歴の照
合を行なう(ステップS94)。ここで、一致した場合
は手口候補を絞り(ステップS95)、不一致の場合は
ステップS91の処理に戻って次の手口パターン情報を
取得し、以降、手口パターンが継続するまで上記の操作
を繰り返す(ステップS96)。そして、手口候補が絞
られたときに(ステップS97)、手口パターンDB2
70に手口対抗として記述された処理を行なう。すなわ
ち、図10に記述されるように、例えば、攻撃元ホスト
(source)のシャットアウトと”ターゲットホストはソ
ースによって侵入された”旨のアラートが発せられ、ま
た、複数ホストからの攻撃手口が検出された場合に、例
えば、相手先を含む他のホストのシャットアウトおよ
び”DNSサーバがダウンした”旨のアラートが発せら
れる。
【0033】以上説明のように本発明によれば、NID
Sおよび管理システムとの連携によりセキュリティイン
シデント前後の情報を詳細に取得する総合的なセキュリ
ティシステムを構築することができる。また、予め侵入
パターンに応じた複数の検出パターンを準備しておき、
必要に応じて動的に切替える仕組みを用意することによ
り、収集の対象とする情報を既存のNIDSによる一義
的な方式から、ネットワーク管理情報を含めた広範な情
報に拡張することで情報源を増やし捜査情報として活用
することができる。また、NIDSの検出パターンおよ
び情報取得パターンの細かなコントロールを行なうこと
で、NIDSの高精度化が図れる。具体的には、全ポー
トに対するポートスキャンを検出し、その後、同じホス
トから例えばsmtpポートに対する不穏なアクセスを検出
したら、smtpの脆弱性に関する侵入検査パターンを重点
的に適用する様に、NIDSのルールを切替える。
【0034】また、捜査情報収集制御装置2により、侵
入の可能性を示すような軽微な兆候も監視対象とし、そ
のレベルに応じて監視体制を変更させる。具体的には、
必要に応じてトラヒック監視装置3対して指示を出し、
その情報取得レベルを動的に変更し、その結果、情報の
収集対象を不審者に絞り込むことになり、正規アクセス
者のプライバシを保護することができる。例えば、ある
ステップで、NIDSによりあるIPアドレスからの侵
入に向けた不穏な動きが検出された場合、そのIPアド
レスからのある特定ポートに対する全パケットに対し
て、先頭からnビット分を記録する。そして次のステッ
プで、そのIDアドレスからの不穏な動きが継続してn
分以上検出された場合、そのIDアドレスからの全ポー
トに対する全パケットの先頭からnビット分を記録し、
更に次のステップでそのIDアドレスからの侵入可能性
が検出された場合、そのIDアドレスのパケットを全て
記録する。
【0035】更に、トラヒック監視装置3で一定量のパ
ケットを常に保持することにより捜査情報収集制御装置
2は直前の状態を検査情報として活用できる。この保持
しているパケットおよび、上記により取得した情報から
の侵入検査および侵入後の手口の検証が可能になる。例
えば、IPアドレス”10.2.190.38”からの通信内容の
全記録から、ポート”25”に対する”smtp”での侵入を
試みた形跡が見つかったが、侵入は失敗に終わったこと
が判明し、また、先のポート”25”以外に対する通信記
録を調べたところ、ポート”80”の”cgi”に対する見
慣れないフォーマットによる通信が、先の例に次いで多
いことが判明した場合、結果として、ポート”80”の”
cgi”に対する未知の侵入方法を試みたことが判明す
る。
【0036】なお、上記したネットワーク監視装置1
と、捜査情報収集制御装置2と、トラヒック監視装置3
と、ネットワーク監視部11と、情報収集制御部21
と、攻撃元監視部23と、攻撃対象監視部24と、アラ
ート検証部25と、手口監視部26と、トラヒック監視
部31と、操作情報抽出部33と、ルール解析部211
と、パターンマッチ部212と、アクション実行部21
3のそれぞれで実行される手順をコンピュータ読み取り
可能な記録媒体に記録し、この記録媒体に記録されたプ
ログラムをコンピュータシステムに読み込ませ、実行す
ることにより上述した各装置における機能を実行しても
よい。ここでいうコンピュータシステムとは、OSや周
辺機器等のハードウアを含むものとする。
【0037】また、「コンピュータシステム」は、WW
Wシステムを利用している場合であれば、ホームページ
提供環境(あるいは表示環境)も含むものとする。ま
た、「コンピュータ読み取り可能な記録媒体」とは、フ
レキシブルディスク、光磁気ディスク、ROM、CD−
ROM等の可搬媒体、コンピュータシステムに内蔵され
るハードディスク等の記憶装置のことをいう。さらに
「コンピュータ読み取り可能な記録媒体」とは、インタ
ーネット等のネットワークや電話回線等の通信回線を介
してプログラムが送信された場合のサーバやクライアン
トとなるコンピュータシステム内部の揮発性メモリ(R
AM)のように、一定時間プログラムを保持しているも
のも含むものとする。
【0038】また、上記プログラムは、このプログラム
を記憶装置等に格納したコンピュータシステムから、伝
送媒体を介して、あるいは、伝送媒体中の伝送波により
他のコンピュータシステムに伝送されてもよい。ここ
で、プログラムを伝送する「伝送媒体」は、インターネ
ット等のネットワーク(通信網)や電話回線等の通信回
線(通信線)のように情報を伝送する機能を有する媒体
のことをいう。また、上記プログラムは、前述した機能
の一部を実現するためのものであっても良い。さらに、
前述した機能をコンピュータシステムにすでに記録され
ているプログラムとの組み合わせで実現できるもの、い
わゆる差分ファイル(差分プログラム)であっても良
い。
【0039】以上、この発明の実施形態を図面を参照し
て詳述してきたが、具体的な構成はこの実施形態に限ら
れるものではなく、この発明の要旨を逸脱しない範囲の
設計等も含まれる。また、ルールやパターン等につき数
多く例示したが、これらはあくまで一例であってそのフ
ォーマットならびに運用についてはこの限りでない。
【0040】
【発明の効果】以上説明のように本発明によれば、収集
の対象とする情報を既存の侵入検知装置等の一義的な方
式から、ネットワーク管理情報を含めた広範な情報に拡
張することで、情報源を増やし捜査情報として活用でき
る。従って、NIDSの検出パターンおよび情報取得パ
ターンの細かなコントロールを行うことで、NIDSの
高精度化が図れる。また、より緻密な侵入情報の取得が
可能になり、不審者監視が実現でき、更に、侵入者検知
の精度が向上し、かつ迅速な対処が可能となり、誤検知
も削減することができる。
【0041】本発明によれば、上記の他に以下に列挙す
る効果も得られる。 (1)侵入の直前情報を利用することにより、「手口」
の詳細な解析が可能となり、事後対応計画が立てやすく
なる。 (2)検知した情報の内容に基づき監視対象、およびレ
ベルを動的に変更することで、一般の正規利用者のトラ
ヒック内容に触れずに調査することができる。 (3)情報を収集する対象を絞り込むことにより、少な
い計算機リソースで、後の解析に必要な情報の取得が可
能となり、センサ負荷の削減がはかれる。 (4)情報の収集対象を不審者に絞り込むことにより、
正規アクセス者のプライバシを保護できる。 (5)詳細な侵入検知情報の取得をきめ細かく制御でき
るため安価な機材を用いてシステム構築が可能となる。 (6)侵入情報を検知した後、対象となるネットワーク
の運用状況を考慮して侵入検知情報の検証を行なうこと
が可能である。
【図面の簡単な説明】
【図1】 本発明におけるネットワーク侵入検知システ
ムの一実施形態を示すブロック図である。
【図2】 図1に示す情報収集制御部の内部構成を示す
ブロック図である。
【図3】 ルールライブラリに記述されるルール書式を
説明するために引用した図である。
【図4】 図2に示すルールライブラリに格納されたル
ールの一例を示す図である。
【図5】 図1に示す捜査情報収集制御装置の動作につ
き、ネットワークセキュリティシステムを例示して示し
た動作概念図である。
【図6】 アラート検証処理の流れをフローチャートで
示した図である。
【図7】 図6に示す有効アラート処理の詳細な流れを
フローチャートで示した図である。
【図8】 アラート検証処理を説明するために引用した
動作概念図である。
【図9】 手口監視処理の流れをフローチャートで示し
た図である。
【図10】 手口監視のために手口パターンDBに記述
される手口パターンの例を示す図である。
【符号の説明】
1…ネットワーク監視装置、2…捜査情報収集制御装
置、3…トラヒック監視装置、4…監視対象ネットワー
ク、11…ネットワーク監視部、12…監視対象ネット
ワーク情報DB、21…情報収集制御部、22…アラー
トログDB、23…攻撃元監視部、24…攻撃対象監視
部、25…アラート検証部、26…手口監視部、31…
トラヒック監視部、32…トラヒックバッファ、33…
捜査情報抽出部、34…捜査情報DB、211…ルール
解析部、212…パターンマッチ部、213…アクショ
ン実行部
───────────────────────────────────────────────────── フロントページの続き (72)発明者 伊藤 義裕 東京都江東区豊洲三丁目3番3号 株式会 社エヌ・ティ・ティ・データ内 (72)発明者 小堀 誠 東京都江東区豊洲三丁目3番3号 株式会 社エヌ・ティ・ティ・データ内 (72)発明者 キニ グレン マンスフィールド 宮城県仙台市青葉区南吉成六丁目6番地の 3 株式会社サイバー・ソリューションズ 内 Fターム(参考) 5B085 AC03 AC11 AE00 5B089 GB02 KA17 KB04 5K030 GA15 HB08 HC01 JA10 MB09 MC07 MC08

Claims (8)

    【特許請求の範囲】
  1. 【請求項1】 監視対象ネットワークからネットワーク
    管理情報を得、ネットワーク侵入の有無およびその侵入
    パターンを検知するネットワーク監視装置と、 前記侵入パターンと前記侵入パターンのそれぞれに応じ
    てあらかじめ用意された複数の検知パターンとの照合を
    行なうことにより該当する検知パターンを動的に切替
    え、当該検知パターンに従う捜査情報を収集する捜索情
    報収集制御装置とを備えたことを特徴とするネットワー
    ク侵入検知システム。
  2. 【請求項2】 前記捜索情報収集制御装置からの要求に
    従い、前記検知パターンに従う捜査情報を侵入の直前の
    情報も含めて出力するトラヒック監視装置を備えたこと
    を特徴とする請求項1に記載のネットワーク侵入検知シ
    ステム。
  3. 【請求項3】 前記捜査情報収集制御装置は、 前記ネットワーク監視装置によって検知された特定の侵
    入者による通信を集中監視する攻撃元監視部を備えたこ
    とを特徴とする請求項1に記載のネットワーク侵入検知
    システム。
  4. 【請求項4】 前記捜査情報収集制御装置は、 前記ネットワーク監視装置によって検知された特定の攻
    撃対象への通信を集中監視する攻撃対象監視部を備えた
    ことを特徴とする請求項1に記載のネットワーク侵入検
    知システム。
  5. 【請求項5】 前記捜査情報収集制御装置は、 前記ネットワーク監視装置によって検知された検知情報
    に対し、他に同様の検知情報があるか否かを検証するア
    ラート検証部を備えたことを特徴とする請求項1に記載
    のネットワーク侵入検知システム。
  6. 【請求項6】 前記アラート検証部は、 監視対象ネットワーク情報が格納されたデータベースを
    参照し、アラート対象ホストの重要度、アラート対象ホ
    ストのトラヒック量、アラート対象サービスの重要度の
    少なくとも1つを前記トラヒック監視装置からの捜査情
    報の情報取得レベルに反映させることを特徴とする請求
    項5に記載のネットワーク侵入検知システム。
  7. 【請求項7】 前記捜査情報収集制御装置は、 あらかじめその手口シーケンスと手口対抗処理が定義さ
    れた手口パターンと、前記トラヒック監視装置から得ら
    れる侵入元ホストからの捜査情報とを比較することによ
    って手口候補を絞り、当該手口候補が見つかったときに
    そのターゲットのシャットアウトを含む手口対抗処理を
    行なう手口監視部を備えたことを特徴とする請求項1、
    請求項2、請求項5、請求項6のいずれか1項に記載の
    ネットワーク侵入検知システム。
  8. 【請求項8】 監視対象ネットワークからネットワーク
    管理情報を得、ネットワーク侵入の有無およびその侵入
    パターンを検知し、 前記侵入パターンと前記侵入パターンのそれぞれに応じ
    てあらかじめ用意された複数の検知パターンとの照合を
    行なうことにより該当する検知パターンを動的に切替
    え、 当該検知パターンに従う捜査情報を収集することを特徴
    とするネットワーク侵入検知方法。
JP2001148024A 2001-05-17 2001-05-17 ネットワーク侵入検知システムおよびその方法 Pending JP2002342276A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001148024A JP2002342276A (ja) 2001-05-17 2001-05-17 ネットワーク侵入検知システムおよびその方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001148024A JP2002342276A (ja) 2001-05-17 2001-05-17 ネットワーク侵入検知システムおよびその方法

Publications (1)

Publication Number Publication Date
JP2002342276A true JP2002342276A (ja) 2002-11-29

Family

ID=18993415

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001148024A Pending JP2002342276A (ja) 2001-05-17 2001-05-17 ネットワーク侵入検知システムおよびその方法

Country Status (1)

Country Link
JP (1) JP2002342276A (ja)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005011234A (ja) * 2003-06-20 2005-01-13 Toshiba Corp 不正アクセス検出装置、不正アクセス検出方法およびプログラム
JP2006509283A (ja) * 2002-12-05 2006-03-16 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ侵入に対応するための方法及びシステム
KR100623552B1 (ko) * 2003-12-29 2006-09-18 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
JP2008211464A (ja) * 2007-02-26 2008-09-11 Oki Electric Ind Co Ltd トラフィック異常検出システム、トラフィック情報観測装置、トラフィック情報管理装置、トラフィック情報観測プログラム、及び、トラフィック情報管理プログラム
US7664950B2 (en) 2003-11-11 2010-02-16 Electronics And Telecommunications Research Institute Method for dynamically changing intrusion detection rule in kernel level intrusion detection system
JP2010508590A (ja) * 2006-10-25 2010-03-18 アークサイト,インク. コンピュータネットワークセキュリティを支援するための、アセットモデルのリアルタイム識別およびアセットの分類
US7733844B2 (en) 2004-05-26 2010-06-08 Kabushiki Kaisha Toshiba Packet filtering apparatus, packet filtering method, and computer program product
US7752663B2 (en) 2005-05-12 2010-07-06 Hitachi, Ltd. Log analysis system, method and apparatus
JP2018191268A (ja) * 2017-04-28 2018-11-29 エーオー カスペルスキー ラボAO Kaspersky Lab DDoS攻撃の検出時のトラフィックフィルタリングのシステムおよび方法
JPWO2020054818A1 (ja) * 2018-09-14 2021-04-30 株式会社東芝 通信制御装置
CN113839950A (zh) * 2021-09-27 2021-12-24 厦门天锐科技股份有限公司 基于终端邮件smtp协议的邮件审批方法及系统
AT523933A4 (de) * 2020-11-18 2022-01-15 Ait Austrian Inst Tech Gmbh Verfahren zur Klassifizierung von anomalen Betriebszuständen eines Computernetzwerks

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10164064A (ja) * 1996-12-05 1998-06-19 Hitachi Ltd ネットワーク侵入経路追跡方式
WO1999057625A1 (en) * 1998-05-06 1999-11-11 Prc Inc. Dynamic system defence for information warfare
WO2000020967A1 (fr) * 1998-10-02 2000-04-13 Fujitsu Limited Dispositif de liaison d'objets
JP2000261483A (ja) * 1999-03-09 2000-09-22 Hitachi Ltd ネットワーク監視システム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10164064A (ja) * 1996-12-05 1998-06-19 Hitachi Ltd ネットワーク侵入経路追跡方式
WO1999057625A1 (en) * 1998-05-06 1999-11-11 Prc Inc. Dynamic system defence for information warfare
WO2000020967A1 (fr) * 1998-10-02 2000-04-13 Fujitsu Limited Dispositif de liaison d'objets
JP2000261483A (ja) * 1999-03-09 2000-09-22 Hitachi Ltd ネットワーク監視システム

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006509283A (ja) * 2002-12-05 2006-03-16 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ侵入に対応するための方法及びシステム
US7941854B2 (en) 2002-12-05 2011-05-10 International Business Machines Corporation Method and system for responding to a computer intrusion
JP2005011234A (ja) * 2003-06-20 2005-01-13 Toshiba Corp 不正アクセス検出装置、不正アクセス検出方法およびプログラム
US7664950B2 (en) 2003-11-11 2010-02-16 Electronics And Telecommunications Research Institute Method for dynamically changing intrusion detection rule in kernel level intrusion detection system
KR100623552B1 (ko) * 2003-12-29 2006-09-18 한국정보보호진흥원 자동침입대응시스템에서의 위험수준 분석 방법
US7733844B2 (en) 2004-05-26 2010-06-08 Kabushiki Kaisha Toshiba Packet filtering apparatus, packet filtering method, and computer program product
US7752663B2 (en) 2005-05-12 2010-07-06 Hitachi, Ltd. Log analysis system, method and apparatus
JP2010508590A (ja) * 2006-10-25 2010-03-18 アークサイト,インク. コンピュータネットワークセキュリティを支援するための、アセットモデルのリアルタイム識別およびアセットの分類
JP2008211464A (ja) * 2007-02-26 2008-09-11 Oki Electric Ind Co Ltd トラフィック異常検出システム、トラフィック情報観測装置、トラフィック情報管理装置、トラフィック情報観測プログラム、及び、トラフィック情報管理プログラム
JP2018191268A (ja) * 2017-04-28 2018-11-29 エーオー カスペルスキー ラボAO Kaspersky Lab DDoS攻撃の検出時のトラフィックフィルタリングのシステムおよび方法
JPWO2020054818A1 (ja) * 2018-09-14 2021-04-30 株式会社東芝 通信制御装置
JP7068482B2 (ja) 2018-09-14 2022-05-16 株式会社東芝 通信制御システム
AT523933A4 (de) * 2020-11-18 2022-01-15 Ait Austrian Inst Tech Gmbh Verfahren zur Klassifizierung von anomalen Betriebszuständen eines Computernetzwerks
AT523933B1 (de) * 2020-11-18 2022-01-15 Ait Austrian Inst Tech Gmbh Verfahren zur Klassifizierung von anomalen Betriebszuständen eines Computernetzwerks
CN113839950A (zh) * 2021-09-27 2021-12-24 厦门天锐科技股份有限公司 基于终端邮件smtp协议的邮件审批方法及系统
CN113839950B (zh) * 2021-09-27 2023-06-27 厦门天锐科技股份有限公司 基于终端邮件smtp协议的邮件审批方法及系统

Similar Documents

Publication Publication Date Title
US20200344246A1 (en) Apparatus, system and method for identifying and mitigating malicious network threats
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
US8640234B2 (en) Method and apparatus for predictive and actual intrusion detection on a network
KR101038387B1 (ko) 원치 않는 트래픽 검출 방법 및 장치
US20150007250A1 (en) Interception and Policy Application for Malicious Communications
CN111526121B (zh) 入侵防御方法、装置、电子设备及计算机可读介质
JP2005517349A (ja) マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法
JP2001217834A (ja) アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体
Manna et al. Review of syn-flooding attack detection mechanism
KR101045331B1 (ko) 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법
JP2002342276A (ja) ネットワーク侵入検知システムおよびその方法
KR101045330B1 (ko) 네트워크 기반의 http 봇넷 탐지 방법
Ádám et al. Artificial neural network based IDS
JP2008507222A (ja) ネットワーク上での不正なスキャンニングを検出するための方法、システムおよびコンピュータ・プログラム
Yen Detecting stealthy malware using behavioral features in network traffic
Carlinet et al. Analysis of computer infection risk factors based on customer network usage
WO2017217247A1 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
KR20130105769A (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
KR100976602B1 (ko) 파일 전송 보안 방법 및 장치
KR100506889B1 (ko) 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
Sourour et al. Environmental awareness intrusion detection and prevention system toward reducing false positives and false negatives
KR101045556B1 (ko) 네트워크 기반의 irc 봇넷 탐지 방법
Park A study about dynamic intelligent network security systems to decrease by malicious traffic
Loginova et al. Class allocation of events in an automated information system as the basis for increasing organization's cyber resilience

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051019

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090414

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090615

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100420