JP2003085139A - 侵入検知管理システム - Google Patents
侵入検知管理システムInfo
- Publication number
- JP2003085139A JP2003085139A JP2001273701A JP2001273701A JP2003085139A JP 2003085139 A JP2003085139 A JP 2003085139A JP 2001273701 A JP2001273701 A JP 2001273701A JP 2001273701 A JP2001273701 A JP 2001273701A JP 2003085139 A JP2003085139 A JP 2003085139A
- Authority
- JP
- Japan
- Prior art keywords
- detection
- intrusion detection
- intrusion
- database
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Landscapes
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】 外部と接続された機器への不正な侵入に対し
て、その侵入の兆候に応じた段階的な対応手段を備えた
侵入検知管理システムを得ること。 【解決手段】 ネットワーク機器群107の不正侵入を
監視する侵入検知装置106と、段階的に設定された侵
入された場合の検知対処ルールが格納される検知対処デ
ータベース101と、過去の対処状況が保存される対処
状況保存データベース104と、ネットワーク機器群1
07に処理を行う検知対処項目インタプリタ105とを
備え、検知対処項目インタプリタ105は、侵入検知装
置106による侵入検知が行われると、検知対処データ
ベース101と対処状況保存データベース104とに基
づいて、所定の検知対処ルールを選択する手段と、選択
された検知対処ルールをネットワーク機器群107に実
行させる手段と、該実行した対処状況を対処状況保存デ
ータベース104に記録する手段とを備える。
て、その侵入の兆候に応じた段階的な対応手段を備えた
侵入検知管理システムを得ること。 【解決手段】 ネットワーク機器群107の不正侵入を
監視する侵入検知装置106と、段階的に設定された侵
入された場合の検知対処ルールが格納される検知対処デ
ータベース101と、過去の対処状況が保存される対処
状況保存データベース104と、ネットワーク機器群1
07に処理を行う検知対処項目インタプリタ105とを
備え、検知対処項目インタプリタ105は、侵入検知装
置106による侵入検知が行われると、検知対処データ
ベース101と対処状況保存データベース104とに基
づいて、所定の検知対処ルールを選択する手段と、選択
された検知対処ルールをネットワーク機器群107に実
行させる手段と、該実行した対処状況を対処状況保存デ
ータベース104に記録する手段とを備える。
Description
【0001】
【発明の属する技術分野】この発明は、ネットワーク管
理システムにおいて、計算機ネットワークへの侵入など
の不正アクセスに対して、その検知や対処の方策を管理
する侵入検知管理システムに関するものである。
理システムにおいて、計算機ネットワークへの侵入など
の不正アクセスに対して、その検知や対処の方策を管理
する侵入検知管理システムに関するものである。
【0002】
【従来の技術】従来のコンピュータネットワークを介し
た装置の制御に関する発明として、特開2000−83
048号公報に開示されている「ネットワーク上の装置
を制御するポリシーを実行するためのデータベース」が
ある。この従来技術では、ユーザは、システムに接続さ
れている装置の動作を制御するために、グラフィカルユ
ーザインタフェース(GUI)から、高水準ポリシーを
指定するコマンドを入力する。この高水準ポリシーは、
特定装置に依存しない表現で規定される。GUIから入
力されたコマンドは解読され、ディレクトリに異なるポ
リシーに対してパラメータを指定する動的エントリとし
て記憶される。動的エントリから、さらに、ポリシーフ
ァクトリーによって対応するポリシーオブジェクトが生
成され、ポリシー記憶領域に記憶される。そして、この
ポリシーオブジェクトは、装置ポリシープログラミング
インタフェースの各装置に応じたアダプタを介して装置
と通信し、装置を制御する。その結果、ユーザの入力し
た高水準のポリシーに基づいて、ネットワークに接続さ
れた装置を管理することにより、ネットワーク管理の容
易化を図ることが可能となる。
た装置の制御に関する発明として、特開2000−83
048号公報に開示されている「ネットワーク上の装置
を制御するポリシーを実行するためのデータベース」が
ある。この従来技術では、ユーザは、システムに接続さ
れている装置の動作を制御するために、グラフィカルユ
ーザインタフェース(GUI)から、高水準ポリシーを
指定するコマンドを入力する。この高水準ポリシーは、
特定装置に依存しない表現で規定される。GUIから入
力されたコマンドは解読され、ディレクトリに異なるポ
リシーに対してパラメータを指定する動的エントリとし
て記憶される。動的エントリから、さらに、ポリシーフ
ァクトリーによって対応するポリシーオブジェクトが生
成され、ポリシー記憶領域に記憶される。そして、この
ポリシーオブジェクトは、装置ポリシープログラミング
インタフェースの各装置に応じたアダプタを介して装置
と通信し、装置を制御する。その結果、ユーザの入力し
た高水準のポリシーに基づいて、ネットワークに接続さ
れた装置を管理することにより、ネットワーク管理の容
易化を図ることが可能となる。
【0003】
【発明が解決しようとする課題】一方、近年コンピュー
タネットワークへの不正アクセスが問題となっている
が、その手口や侵入の手法を検知してこれを阻止した
り、攻撃されたサービスを停止したりする侵入検知シス
テムが、種々提案され、また、市販されている。上記し
た特開2000−83048号公報に記載されたシステ
ムをこのような用途に適用する場合、侵入の手口やその
際の対処方法をポリシーとして記述することになる。し
かし、侵入は一つの兆候のみで判定できるとは限らず、
また発見された複数の兆候に応じて段階的に対処しなけ
ればならない場合がある。特開2000−83048号
公報には、このような状況に対応するためのポリシーの
実行について、具体的に規定されていない。
タネットワークへの不正アクセスが問題となっている
が、その手口や侵入の手法を検知してこれを阻止した
り、攻撃されたサービスを停止したりする侵入検知シス
テムが、種々提案され、また、市販されている。上記し
た特開2000−83048号公報に記載されたシステ
ムをこのような用途に適用する場合、侵入の手口やその
際の対処方法をポリシーとして記述することになる。し
かし、侵入は一つの兆候のみで判定できるとは限らず、
また発見された複数の兆候に応じて段階的に対処しなけ
ればならない場合がある。特開2000−83048号
公報には、このような状況に対応するためのポリシーの
実行について、具体的に規定されていない。
【0004】この発明は上記に鑑みてなされたもので、
外部のネットワークと接続された情報端末への不正な侵
入や攻撃に対して、その侵入や攻撃の兆候に応じた段階
的な対応手段を備えた侵入検知管理システムを得ること
を目的とする。
外部のネットワークと接続された情報端末への不正な侵
入や攻撃に対して、その侵入や攻撃の兆候に応じた段階
的な対応手段を備えた侵入検知管理システムを得ること
を目的とする。
【0005】
【課題を解決するための手段】上記の目的を達成するた
め、この発明にかかる侵入検知管理システムは、ネット
ワークに接続された機器群への不正侵入を検知する侵入
検知手段と、前記侵入が行われた場合の検知対処ルール
が侵入の程度に対応して段階的に格納されている検知対
処データベースと、過去の侵入に対して実行した対処状
況が保存されている対処状況保存データベースと、前記
ネットワーク機器群に対して処理を行う検知対処手段と
を備え、前記検知対処手段は、前記侵入検知手段による
侵入検知が行われると、前記検知対処データベースと前
記対処状況保存データベースとに基づいて、所定の検知
対処ルールを選択する検知対処ルール選択手段と、該選
択された検知対処ルールを前記ネットワーク機器群に実
行させる対処実行手段と、該実行された対処状況を前記
対処状況保存データベースに登録する対処登録手段と、
を備えることを特徴とする。
め、この発明にかかる侵入検知管理システムは、ネット
ワークに接続された機器群への不正侵入を検知する侵入
検知手段と、前記侵入が行われた場合の検知対処ルール
が侵入の程度に対応して段階的に格納されている検知対
処データベースと、過去の侵入に対して実行した対処状
況が保存されている対処状況保存データベースと、前記
ネットワーク機器群に対して処理を行う検知対処手段と
を備え、前記検知対処手段は、前記侵入検知手段による
侵入検知が行われると、前記検知対処データベースと前
記対処状況保存データベースとに基づいて、所定の検知
対処ルールを選択する検知対処ルール選択手段と、該選
択された検知対処ルールを前記ネットワーク機器群に実
行させる対処実行手段と、該実行された対処状況を前記
対処状況保存データベースに登録する対処登録手段と、
を備えることを特徴とする。
【0006】この発明によれば、検知対処データベース
と、対処状況保存データベースと、侵入検知手段と、検
知対処ルール選択手段、対処実行手段および対処記録手
段とを有する検知対処手段とを備える侵入検知管理シス
テムが提供される。検知対処データベースには、前記ネ
ットワーク機器群が侵入された場合の検知対処ルール
が、例えば侵入の脅威の程度の低いものから高いものと
いうように段階的に関連付けて格納され、対処状況保存
データベースには、過去の侵入に対して実行した対処状
況が保存される。まず、侵入検知手段によって、ネット
ワークに接続された機器群が不正に侵入されていないか
が監視される。つぎに、侵入検知手段の検知対処ルール
選択手段によって、前記侵入検知手段による侵入検知が
行われると、前記検知対処データベースと前記対処状況
保存データベースを参照して、次段階を示す検知対処ル
ールが選択される。また、侵入検知手段の対処実行手段
によって、該選択された検知対処ルールが前記ネットワ
ーク機器群に対して実行される。そして、侵入検知手段
の対処記録手段によって、前記実行した対処状況が前記
対処状況保存データベースに記録される。
と、対処状況保存データベースと、侵入検知手段と、検
知対処ルール選択手段、対処実行手段および対処記録手
段とを有する検知対処手段とを備える侵入検知管理シス
テムが提供される。検知対処データベースには、前記ネ
ットワーク機器群が侵入された場合の検知対処ルール
が、例えば侵入の脅威の程度の低いものから高いものと
いうように段階的に関連付けて格納され、対処状況保存
データベースには、過去の侵入に対して実行した対処状
況が保存される。まず、侵入検知手段によって、ネット
ワークに接続された機器群が不正に侵入されていないか
が監視される。つぎに、侵入検知手段の検知対処ルール
選択手段によって、前記侵入検知手段による侵入検知が
行われると、前記検知対処データベースと前記対処状況
保存データベースを参照して、次段階を示す検知対処ル
ールが選択される。また、侵入検知手段の対処実行手段
によって、該選択された検知対処ルールが前記ネットワ
ーク機器群に対して実行される。そして、侵入検知手段
の対処記録手段によって、前記実行した対処状況が前記
対処状況保存データベースに記録される。
【0007】つぎの発明にかかる侵入検知管理システム
は、上記の発明において、前記検知対処手段は、前記対
処状況保存データベースに保存されている過去に実行し
た対処状況を、前記対処実行手段による当該対処を実行
してから一定期間の後に削除する対処状況削除手段をさ
らに備えることを特徴とする。
は、上記の発明において、前記検知対処手段は、前記対
処状況保存データベースに保存されている過去に実行し
た対処状況を、前記対処実行手段による当該対処を実行
してから一定期間の後に削除する対処状況削除手段をさ
らに備えることを特徴とする。
【0008】この発明よれば、前記検知対処手段に対処
状況削除手段がさらに付された侵入検知管理システムが
提供される。前記検知対処手段の対処状況削除手段によ
って、前記対処状況保存データベースに保存されている
過去に実行した対処状況が、前記対処実行手段による当
該対処を実行してから一定期間の後に削除される。
状況削除手段がさらに付された侵入検知管理システムが
提供される。前記検知対処手段の対処状況削除手段によ
って、前記対処状況保存データベースに保存されている
過去に実行した対処状況が、前記対処実行手段による当
該対処を実行してから一定期間の後に削除される。
【0009】つぎの発明にかかる侵入検知管理システム
は、ネットワークに接続された複数のネットワーク機器
に対する不正侵入を検知するとともに複数のネットワー
ク機器毎にグループ分けされた複数の侵入検知手段と、
前記侵入が行われた場合の検知対処ルールが侵入の程度
に応じて段階的に格納されている検知対処データベース
と、当該グループに含まれる夫々の侵入検知手段につい
ての侵入検知項目情報を含むグループ定義情報が各グル
ープ毎に格納されている侵入検知グループデータベース
と、前記複数のネットワーク機器に対して処理を行う検
知対処手段とを備え、前記検知対処手段は、前記侵入検
知グループデータベースに格納されている当該グループ
に割り当てられる複数の侵入検知項目情報を用いて、前
記検知対処データベースから当該グループに含まれる複
数の侵入検知手段に割り当てる複数の検知対処ルールを
選択し、該選択した複数の検知対処ルールを各侵入検知
手段に割り当てる検知対処ルール設定手段と、前記侵入
検知手段による侵入の検知が行われると、前記割り当て
られた前記検知対処ルールを当該グループに対応する複
数のネットワーク機器に実行させる対処実行手段と、を
備えることを特徴とする。
は、ネットワークに接続された複数のネットワーク機器
に対する不正侵入を検知するとともに複数のネットワー
ク機器毎にグループ分けされた複数の侵入検知手段と、
前記侵入が行われた場合の検知対処ルールが侵入の程度
に応じて段階的に格納されている検知対処データベース
と、当該グループに含まれる夫々の侵入検知手段につい
ての侵入検知項目情報を含むグループ定義情報が各グル
ープ毎に格納されている侵入検知グループデータベース
と、前記複数のネットワーク機器に対して処理を行う検
知対処手段とを備え、前記検知対処手段は、前記侵入検
知グループデータベースに格納されている当該グループ
に割り当てられる複数の侵入検知項目情報を用いて、前
記検知対処データベースから当該グループに含まれる複
数の侵入検知手段に割り当てる複数の検知対処ルールを
選択し、該選択した複数の検知対処ルールを各侵入検知
手段に割り当てる検知対処ルール設定手段と、前記侵入
検知手段による侵入の検知が行われると、前記割り当て
られた前記検知対処ルールを当該グループに対応する複
数のネットワーク機器に実行させる対処実行手段と、を
備えることを特徴とする。
【0010】この発明によれば、侵入検知手段と、検知
対処データベースと、侵入検知グループデータベース
と、検知対処手段とを備える侵入検知管理システムが提
供される。検知対処データベースには、前記侵入が行わ
れた場合の検知対処ルールが侵入の程度に応じて段階的
に格納される。また、侵入検知グループデータベースに
は、当該グループに含まれる夫々の侵入検知手段につい
ての侵入検知項目情報を含むグループ定義情報が各グル
ープ毎に格納される。まず、複数のネットワーク機器毎
にグループ分けされた複数の侵入検知手段によって、ネ
ットワークに接続された複数のネットワーク機器に対す
る不正侵入が検知される。また、検知対処手段の検知対
処ルール設定手段によって、前記侵入検知グループデー
タベースに格納されている当該グループに割り当てられ
る複数の侵入検知項目情報を用いて、前記検知対処デー
タベースから当該グループに含まれる複数の侵入検知手
段に割り当てる複数の検知対処ルールが選択され、該選
択した複数の検知対処ルールが各侵入検知手段に割り当
てられる。そして、対処実行手段によって、前記侵入検
知手段による侵入の検知が行われると、前記割り当てら
れた前記検知対処ルールが当該グループに対応する複数
のネットワーク機器に実行される。
対処データベースと、侵入検知グループデータベース
と、検知対処手段とを備える侵入検知管理システムが提
供される。検知対処データベースには、前記侵入が行わ
れた場合の検知対処ルールが侵入の程度に応じて段階的
に格納される。また、侵入検知グループデータベースに
は、当該グループに含まれる夫々の侵入検知手段につい
ての侵入検知項目情報を含むグループ定義情報が各グル
ープ毎に格納される。まず、複数のネットワーク機器毎
にグループ分けされた複数の侵入検知手段によって、ネ
ットワークに接続された複数のネットワーク機器に対す
る不正侵入が検知される。また、検知対処手段の検知対
処ルール設定手段によって、前記侵入検知グループデー
タベースに格納されている当該グループに割り当てられ
る複数の侵入検知項目情報を用いて、前記検知対処デー
タベースから当該グループに含まれる複数の侵入検知手
段に割り当てる複数の検知対処ルールが選択され、該選
択した複数の検知対処ルールが各侵入検知手段に割り当
てられる。そして、対処実行手段によって、前記侵入検
知手段による侵入の検知が行われると、前記割り当てら
れた前記検知対処ルールが当該グループに対応する複数
のネットワーク機器に実行される。
【0011】つぎの発明にかかる侵入検知管理システム
は、上記の発明において、前記検知対処手段は、同じグ
ループで同じ検知対処ルールを実行する複数の侵入検知
手段にかかる負荷を平準化させる負荷分散手段をさらに
備えることを特徴とする。
は、上記の発明において、前記検知対処手段は、同じグ
ループで同じ検知対処ルールを実行する複数の侵入検知
手段にかかる負荷を平準化させる負荷分散手段をさらに
備えることを特徴とする。
【0012】この発明によれば、前記検知対処手段は、
負荷分散手段をさらに備える。この負荷分散手段によっ
て、同じグループで同じ検知対処ルールを実行する複数
の侵入検知手段にかかる負荷が平準化される。
負荷分散手段をさらに備える。この負荷分散手段によっ
て、同じグループで同じ検知対処ルールを実行する複数
の侵入検知手段にかかる負荷が平準化される。
【0013】つぎの発明にかかる侵入検知管理システム
は、ネットワークに接続された複数のネットワーク機器
に対する不正侵入を検知するとともに複数のネットワー
ク機器毎にグループ分けされた複数の侵入検知手段と、
前記侵入が行われた場合の検知対処ルールが侵入の程度
に応じて段階的に格納されている検知対処データベース
と、当該グループに含まれる夫々の侵入検知手段につい
ての侵入検知項目情報を含むグループ定義情報が各グル
ープ毎に格納されている侵入検知グループデータベース
と、過去の侵入に対して実行された対処状況が保存され
ている対処状況保存データベースと、前記複数のネット
ワーク機器に対して処理を行う検知対処手段とを備え、
前記検知対処手段は、初回ルール設定時には、前記侵入
検知グループデータベースに格納されている当該グルー
プに割り当てられる複数の侵入検知項目情報を用いて、
前記検知対処データベースから当該グループに含まれる
複数の侵入検知手段に割り当てる複数の検知対処ルール
を選択し、該選択した複数の検知対処ルールを各侵入検
知手段に割り当てる第1の検知対処ルール設定手段と、
前記侵入検知手段による侵入検知が行われる度に、前記
検知対処データベースと前記対処状況保存データベース
とに基づいて、所定の検知対処ルールを選択し、該選択
した検知対処ルールを対応する侵入検知手段に割り当て
る第2の検知対処ルール設定手段と、前記侵入検知手段
による第1回目の侵入検知が行われると、前記第1の検
知対処ルール設定手段によって割り当てられた検知対処
ルールを当該グループに対応する複数のネットワーク機
器に実行させ、前記侵入検知手段による複数回目以降の
侵入検知が行われると、前記第2の検知対処ルール設定
手段によって割り当てられた検知対処ルールを当該グル
ープに対応する複数のネットワーク機器に実行させる対
処実行手段と、前記実行された対処状況を前記対処状況
保存データベースに登録する対処登録手段と、を備える
ことを特徴とする。
は、ネットワークに接続された複数のネットワーク機器
に対する不正侵入を検知するとともに複数のネットワー
ク機器毎にグループ分けされた複数の侵入検知手段と、
前記侵入が行われた場合の検知対処ルールが侵入の程度
に応じて段階的に格納されている検知対処データベース
と、当該グループに含まれる夫々の侵入検知手段につい
ての侵入検知項目情報を含むグループ定義情報が各グル
ープ毎に格納されている侵入検知グループデータベース
と、過去の侵入に対して実行された対処状況が保存され
ている対処状況保存データベースと、前記複数のネット
ワーク機器に対して処理を行う検知対処手段とを備え、
前記検知対処手段は、初回ルール設定時には、前記侵入
検知グループデータベースに格納されている当該グルー
プに割り当てられる複数の侵入検知項目情報を用いて、
前記検知対処データベースから当該グループに含まれる
複数の侵入検知手段に割り当てる複数の検知対処ルール
を選択し、該選択した複数の検知対処ルールを各侵入検
知手段に割り当てる第1の検知対処ルール設定手段と、
前記侵入検知手段による侵入検知が行われる度に、前記
検知対処データベースと前記対処状況保存データベース
とに基づいて、所定の検知対処ルールを選択し、該選択
した検知対処ルールを対応する侵入検知手段に割り当て
る第2の検知対処ルール設定手段と、前記侵入検知手段
による第1回目の侵入検知が行われると、前記第1の検
知対処ルール設定手段によって割り当てられた検知対処
ルールを当該グループに対応する複数のネットワーク機
器に実行させ、前記侵入検知手段による複数回目以降の
侵入検知が行われると、前記第2の検知対処ルール設定
手段によって割り当てられた検知対処ルールを当該グル
ープに対応する複数のネットワーク機器に実行させる対
処実行手段と、前記実行された対処状況を前記対処状況
保存データベースに登録する対処登録手段と、を備える
ことを特徴とする。
【0014】この発明によれば、侵入検知手段と、検知
対処データベースと、侵入検知グループデータベース
と、対処状況保存データベースと、検知対処手段とを備
える侵入検知管理システムが提供される。検知対処デー
タベースには、前記侵入が行われた場合の検知対処ルー
ルが侵入の程度に応じて段階的に格納される。侵入検知
グループデータベースには、当該グループに含まれる夫
々の侵入検知手段についての侵入検知項目情報を含むグ
ループ定義情報が各グループ毎に格納される。また、対
処状況保存データベースには、過去の侵入に対して実行
された対処状況が保存される。まず、複数のネットワー
ク機器毎にグループ分けされた複数の侵入検知手段によ
って、ネットワークに接続された複数のネットワーク機
器に対する不正侵入が検知される。前記検知対処手段の
第1の検知対処ルール設定手段によって、初回ルール設
定時には、前記侵入検知グループデータベースに格納さ
れている当該グループに割り当てられる複数の侵入検知
項目情報を用いて、前記検知対処データベースから当該
グループに含まれる複数の侵入検知手段に割り当てる複
数の検知対処ルールが選択され、該選択した複数の検知
対処ルールが各侵入検知手段に割り当てられる。また、
前記検知対処手段の第2の検知対処ルール設定手段によ
って、前記侵入検知手段による侵入検知が行われる度
に、前記検知対処データベースと前記対処状況保存デー
タベースとに基づいて、所定の検知対処ルールが選択さ
れ、該選択した検知対処ルールが対応する侵入検知手段
に割り当てられる。さらに、対処実行手段によって、前
記侵入検知手段による第1回目の侵入検知が行われる
と、前記第1の検知対処ルール設定手段によって割り当
てられた検知対処ルールが当該グループに対応する複数
のネットワーク機器に実行され、前記侵入検知手段によ
る複数回目以降の侵入検知が行われると、前記第2の検
知対処ルール設定手段によって割り当てられた検知対処
ルールが当該グループに対応する複数のネットワーク機
器に実行される。そして、対処登録手段によって、前記
実行された対処状況が前記対処状況保存データベースに
登録される。
対処データベースと、侵入検知グループデータベース
と、対処状況保存データベースと、検知対処手段とを備
える侵入検知管理システムが提供される。検知対処デー
タベースには、前記侵入が行われた場合の検知対処ルー
ルが侵入の程度に応じて段階的に格納される。侵入検知
グループデータベースには、当該グループに含まれる夫
々の侵入検知手段についての侵入検知項目情報を含むグ
ループ定義情報が各グループ毎に格納される。また、対
処状況保存データベースには、過去の侵入に対して実行
された対処状況が保存される。まず、複数のネットワー
ク機器毎にグループ分けされた複数の侵入検知手段によ
って、ネットワークに接続された複数のネットワーク機
器に対する不正侵入が検知される。前記検知対処手段の
第1の検知対処ルール設定手段によって、初回ルール設
定時には、前記侵入検知グループデータベースに格納さ
れている当該グループに割り当てられる複数の侵入検知
項目情報を用いて、前記検知対処データベースから当該
グループに含まれる複数の侵入検知手段に割り当てる複
数の検知対処ルールが選択され、該選択した複数の検知
対処ルールが各侵入検知手段に割り当てられる。また、
前記検知対処手段の第2の検知対処ルール設定手段によ
って、前記侵入検知手段による侵入検知が行われる度
に、前記検知対処データベースと前記対処状況保存デー
タベースとに基づいて、所定の検知対処ルールが選択さ
れ、該選択した検知対処ルールが対応する侵入検知手段
に割り当てられる。さらに、対処実行手段によって、前
記侵入検知手段による第1回目の侵入検知が行われる
と、前記第1の検知対処ルール設定手段によって割り当
てられた検知対処ルールが当該グループに対応する複数
のネットワーク機器に実行され、前記侵入検知手段によ
る複数回目以降の侵入検知が行われると、前記第2の検
知対処ルール設定手段によって割り当てられた検知対処
ルールが当該グループに対応する複数のネットワーク機
器に実行される。そして、対処登録手段によって、前記
実行された対処状況が前記対処状況保存データベースに
登録される。
【0015】つぎの発明にかかる侵入検知管理システム
は、上記の発明において、前記検知対処手段は、前記対
処状況保存データベースに保存されている過去に実行し
た対処状況を、前記対処実行手段による当該対処を実行
してから一定期間の後に削除する対処状況削除手段をさ
らに備えることを特徴とする。
は、上記の発明において、前記検知対処手段は、前記対
処状況保存データベースに保存されている過去に実行し
た対処状況を、前記対処実行手段による当該対処を実行
してから一定期間の後に削除する対処状況削除手段をさ
らに備えることを特徴とする。
【0016】この発明によれば、前記検知対処手段は、
さらに対処状況削除手段を備える。対処状況削除手段に
よって、前記対処状況保存データベースに保存されてい
る過去に実行した対処状況が、前記対処実行手段による
当該対処を実行してから一定期間の後に削除される。
さらに対処状況削除手段を備える。対処状況削除手段に
よって、前記対処状況保存データベースに保存されてい
る過去に実行した対処状況が、前記対処実行手段による
当該対処を実行してから一定期間の後に削除される。
【0017】つぎの発明にかかる侵入検知管理システム
は、上記の発明において、正常状態におけるシステム情
報を格納する正常状態データベースと、所定の時間が経
過後のシステム情報と前記正常状態データベースに格納
されている正常状態のシステム情報とを比較して改ざん
の有無を判断する被害状況確認手段とをさらに備え、前
記検知対処手段は、前記被害状況確認手段から被害がな
いという情報を受け取った場合に、先に実行した対処を
解除する対処解除手段をさらに含むことを特徴とする。
は、上記の発明において、正常状態におけるシステム情
報を格納する正常状態データベースと、所定の時間が経
過後のシステム情報と前記正常状態データベースに格納
されている正常状態のシステム情報とを比較して改ざん
の有無を判断する被害状況確認手段とをさらに備え、前
記検知対処手段は、前記被害状況確認手段から被害がな
いという情報を受け取った場合に、先に実行した対処を
解除する対処解除手段をさらに含むことを特徴とする。
【0018】この発明によれば、前記被害状況確認手段
によって、正常状態におけるシステム情報を格納する正
常状態データベースと、所定の時間が経過後のシステム
情報と前記正常状態データベースに格納されている正常
状態のシステム情報とを比較して改ざんの有無が判断さ
れる。そして、前記検知対処手段に含まれる対処解除手
段によって、前記被害状況確認手段から被害がないとい
う情報を受け取った場合に、先に実行した対処が解除さ
れる。
によって、正常状態におけるシステム情報を格納する正
常状態データベースと、所定の時間が経過後のシステム
情報と前記正常状態データベースに格納されている正常
状態のシステム情報とを比較して改ざんの有無が判断さ
れる。そして、前記検知対処手段に含まれる対処解除手
段によって、前記被害状況確認手段から被害がないとい
う情報を受け取った場合に、先に実行した対処が解除さ
れる。
【0019】つぎの発明にかかる侵入検知管理システム
は、上記の発明において、前記検知対処データベースに
は、所定回数以上の侵入を検知した場合に行う同時発生
時ルールがさらに格納され、前記検知対処手段は、所定
時間内に所定回数以上の前記検知対処ルールを検知する
と、前記検知対処データベースに格納されている前記同
時発生時ルールを実行する同時発生時ルール実行手段を
さらに備えることを特徴とする。
は、上記の発明において、前記検知対処データベースに
は、所定回数以上の侵入を検知した場合に行う同時発生
時ルールがさらに格納され、前記検知対処手段は、所定
時間内に所定回数以上の前記検知対処ルールを検知する
と、前記検知対処データベースに格納されている前記同
時発生時ルールを実行する同時発生時ルール実行手段を
さらに備えることを特徴とする。
【0020】この発明によれば、前記検知対処データベ
ースに、所定回数以上の侵入を検知した場合に行う同時
発生時ルールがさらに格納される。また、前記検知対処
手段にさらに備えられた同時発生時ルール実行手段によ
って、所定時間内に所定回数以上の前記検知対処ルール
が検知されると、前記検知対処データベースに格納され
ている前記同時発生時ルールが実行される。
ースに、所定回数以上の侵入を検知した場合に行う同時
発生時ルールがさらに格納される。また、前記検知対処
手段にさらに備えられた同時発生時ルール実行手段によ
って、所定時間内に所定回数以上の前記検知対処ルール
が検知されると、前記検知対処データベースに格納され
ている前記同時発生時ルールが実行される。
【0021】つぎの発明にかかる侵入検知管理システム
は、ネットワークに接続された機器群への不正侵入を検
知する侵入検知手段と、前記侵入が行われた場合の対処
を記述した侵入検知ポリシーが格納されている侵入検知
ポリシーデータベースと、ネットワーク構成情報が格納
されているネットワーク装置データベースと、前記侵入
検知ポリシーを処理するポリシー翻訳配信手段と、前記
ネットワーク機器群に対して処理を行う検知対処手段と
を備え、前記ポリシー翻訳配信手段は、前記ネットワー
ク装置データベースを参照して、前記侵入検知ポリシー
データベースに格納されている前記侵入検知ポリシーを
前記各侵入検知手段に対応する侵入検知ポリシーに翻訳
するポリシー翻訳手段と、該翻訳した侵入検知ポリシー
を前記侵入検知手段へ配信するポリシー配信手段と、該
翻訳した侵入検知ポリシーを前記侵入検知ポリシーデー
タベースに格納するポリシー格納手段と、を備え、前記
検知対処手段は、前記侵入検知手段による侵入検知が行
われると、前記侵入に対して行うべき侵入検知ポリシー
を前記侵入検知ポリシーデータベースから選択するポリ
シー選択手段と、該選択された侵入検知ポリシーを前記
ネットワーク機器群に対して実行する対処実行手段と、
を備えることを特徴とする。
は、ネットワークに接続された機器群への不正侵入を検
知する侵入検知手段と、前記侵入が行われた場合の対処
を記述した侵入検知ポリシーが格納されている侵入検知
ポリシーデータベースと、ネットワーク構成情報が格納
されているネットワーク装置データベースと、前記侵入
検知ポリシーを処理するポリシー翻訳配信手段と、前記
ネットワーク機器群に対して処理を行う検知対処手段と
を備え、前記ポリシー翻訳配信手段は、前記ネットワー
ク装置データベースを参照して、前記侵入検知ポリシー
データベースに格納されている前記侵入検知ポリシーを
前記各侵入検知手段に対応する侵入検知ポリシーに翻訳
するポリシー翻訳手段と、該翻訳した侵入検知ポリシー
を前記侵入検知手段へ配信するポリシー配信手段と、該
翻訳した侵入検知ポリシーを前記侵入検知ポリシーデー
タベースに格納するポリシー格納手段と、を備え、前記
検知対処手段は、前記侵入検知手段による侵入検知が行
われると、前記侵入に対して行うべき侵入検知ポリシー
を前記侵入検知ポリシーデータベースから選択するポリ
シー選択手段と、該選択された侵入検知ポリシーを前記
ネットワーク機器群に対して実行する対処実行手段と、
を備えることを特徴とする。
【0022】この発明によれば、侵入検知手段と、侵入
検知ポリシーデータベースと、ネットワーク装置データ
ベースと、ポリシー翻訳配信手段と、検知対処手段とを
備える侵入検知管理システムが提供される。侵入検知ポ
リシーデータベースには、前記侵入が行われた場合の対
処を記述した侵入検知ポリシーが格納される。ネットワ
ーク装置データベースには、ネットワーク構成情報が格
納される。また、前記ポリシー翻訳配信手段は、ポリシ
ー翻訳手段と、ポリシー配信手段と、ポリシー格納手段
とを備える。ポリシー翻訳手段によって、前記ネットワ
ーク装置データベースが参照され、前記侵入検知ポリシ
ーデータベースに格納されている前記侵入検知ポリシー
が前記各侵入検知手段に対応する内容の侵入検知ポリシ
ーに翻訳される。また、ポリシー配信手段によって、該
翻訳した侵入検知ポリシーが前記侵入検知手段へ配信さ
れる。さらに、ポリシー格納手段によって、該翻訳した
侵入検知ポリシーが前記侵入検知ポリシーデータベース
に格納される。一方、前記検知対処手段は、ポリシー選
択手段と、対処実行手段とを備える。ポリシー選択手段
によって、前記侵入検知手段による侵入検知が行われる
と、前記侵入に対して行うべき侵入検知ポリシーが前記
侵入検知ポリシーデータベースから選択される。そし
て、対処実行手段によって、該選択された侵入検知ポリ
シーが前記ネットワーク機器群に対して実行される。
検知ポリシーデータベースと、ネットワーク装置データ
ベースと、ポリシー翻訳配信手段と、検知対処手段とを
備える侵入検知管理システムが提供される。侵入検知ポ
リシーデータベースには、前記侵入が行われた場合の対
処を記述した侵入検知ポリシーが格納される。ネットワ
ーク装置データベースには、ネットワーク構成情報が格
納される。また、前記ポリシー翻訳配信手段は、ポリシ
ー翻訳手段と、ポリシー配信手段と、ポリシー格納手段
とを備える。ポリシー翻訳手段によって、前記ネットワ
ーク装置データベースが参照され、前記侵入検知ポリシ
ーデータベースに格納されている前記侵入検知ポリシー
が前記各侵入検知手段に対応する内容の侵入検知ポリシ
ーに翻訳される。また、ポリシー配信手段によって、該
翻訳した侵入検知ポリシーが前記侵入検知手段へ配信さ
れる。さらに、ポリシー格納手段によって、該翻訳した
侵入検知ポリシーが前記侵入検知ポリシーデータベース
に格納される。一方、前記検知対処手段は、ポリシー選
択手段と、対処実行手段とを備える。ポリシー選択手段
によって、前記侵入検知手段による侵入検知が行われる
と、前記侵入に対して行うべき侵入検知ポリシーが前記
侵入検知ポリシーデータベースから選択される。そし
て、対処実行手段によって、該選択された侵入検知ポリ
シーが前記ネットワーク機器群に対して実行される。
【0023】つぎの発明にかかる侵入検知管理システム
は、上記の発明において、過去の侵入に対して実行され
た対処状況が保存されている対処状況保存データベース
をさらに備え、前記ポリシー選択手段は、前記侵入検知
手段による侵入検知が行われると、前記侵入検知ポリシ
ーデータベースと前記対処状況保存データベースとに基
づいて、所定の侵入検知ポリシーを選択する手段を有
し、前記検知対処手段は、前記侵入に対して実行された
対処状況を前記対処状況保存データベースに登録する対
処登録手段をさらに備える。
は、上記の発明において、過去の侵入に対して実行され
た対処状況が保存されている対処状況保存データベース
をさらに備え、前記ポリシー選択手段は、前記侵入検知
手段による侵入検知が行われると、前記侵入検知ポリシ
ーデータベースと前記対処状況保存データベースとに基
づいて、所定の侵入検知ポリシーを選択する手段を有
し、前記検知対処手段は、前記侵入に対して実行された
対処状況を前記対処状況保存データベースに登録する対
処登録手段をさらに備える。
【0024】この発明によれば、対処状況保存データベ
ースと、対処登録手段をさらに有する前記検知手段を備
えた侵入検知管理システムが提供される。対処状況保存
データベースには、過去の侵入に対して実行された対処
状況が保存される。前記ポリシー選択手段によって、前
記侵入検知手段による侵入検知が行われると、前記侵入
検知ポリシーデータベースと前記対処状況保存データベ
ースとに基づいて、所定の侵入検知ポリシーが選択され
る。そして、対処登録手段によって、前記侵入に対して
実行された対処状況が前記対処状況保存データベースに
登録される。
ースと、対処登録手段をさらに有する前記検知手段を備
えた侵入検知管理システムが提供される。対処状況保存
データベースには、過去の侵入に対して実行された対処
状況が保存される。前記ポリシー選択手段によって、前
記侵入検知手段による侵入検知が行われると、前記侵入
検知ポリシーデータベースと前記対処状況保存データベ
ースとに基づいて、所定の侵入検知ポリシーが選択され
る。そして、対処登録手段によって、前記侵入に対して
実行された対処状況が前記対処状況保存データベースに
登録される。
【0025】つぎの発明にかかる侵入検知管理システム
は、上記の発明において、前記検知対処手段は、前記対
処状況保存データベースに保存されている過去に実行さ
れた対処状況を、前記対処実行手段による当該対処を実
行してから一定期間の後に削除する対処状況削除手段を
さらに備えることを特徴とする。
は、上記の発明において、前記検知対処手段は、前記対
処状況保存データベースに保存されている過去に実行さ
れた対処状況を、前記対処実行手段による当該対処を実
行してから一定期間の後に削除する対処状況削除手段を
さらに備えることを特徴とする。
【0026】この発明によれば、前記検知対処手段は、
さらに対処状況削除手段を備える。この対処状況削除手
段によって、前記対処状況保存データベースに保存され
ている過去に実行された対処状況が、前記対処実行手段
による当該対処を実行してから一定期間の後に削除され
る。
さらに対処状況削除手段を備える。この対処状況削除手
段によって、前記対処状況保存データベースに保存され
ている過去に実行された対処状況が、前記対処実行手段
による当該対処を実行してから一定期間の後に削除され
る。
【0027】つぎの発明にかかる侵入検知管理システム
は、上記の発明において、前記侵入検知ポリシーデータ
ベースには、階層化された前記侵入検知ポリシーが格納
されることを特徴とする。
は、上記の発明において、前記侵入検知ポリシーデータ
ベースには、階層化された前記侵入検知ポリシーが格納
されることを特徴とする。
【0028】この発明によれば、階層化された前記侵入
検知ポリシーは、前記侵入検知ポリシーデータベースに
階層化の情報を保持した状態で格納される。
検知ポリシーは、前記侵入検知ポリシーデータベースに
階層化の情報を保持した状態で格納される。
【0029】つぎの発明にかかる侵入検知管理システム
は、上記の発明において、前記侵入検知管理システム
は、上位の侵入検知ポリシーを継承する下位の侵入検知
ポリシーを構築する場合の前記上位の侵入検知ポリシー
間の優先順位を規定したポリシー継承規則データベース
をさらに備え、前記ポリシー翻訳手段は、前記各侵入検
知手段に対して、前記ネットワーク装置データベースお
よび前記ポリシー継承規則データベースを参照して、前
記侵入検知ポリシーデータベースに格納されている上位
の侵入検知ポリシーを前記優先順位に基づく順序で下位
の侵入検知ポリシーへ翻訳することを特徴とする。
は、上記の発明において、前記侵入検知管理システム
は、上位の侵入検知ポリシーを継承する下位の侵入検知
ポリシーを構築する場合の前記上位の侵入検知ポリシー
間の優先順位を規定したポリシー継承規則データベース
をさらに備え、前記ポリシー翻訳手段は、前記各侵入検
知手段に対して、前記ネットワーク装置データベースお
よび前記ポリシー継承規則データベースを参照して、前
記侵入検知ポリシーデータベースに格納されている上位
の侵入検知ポリシーを前記優先順位に基づく順序で下位
の侵入検知ポリシーへ翻訳することを特徴とする。
【0030】この発明によれば、上位の侵入検知ポリシ
ーを継承する下位の侵入検知ポリシーを構築する場合の
前記上位の侵入検知ポリシー間の優先順位を規定したポ
リシー継承規則データベースがさらに備えられる。そし
て、前記ポリシー翻訳手段によって、前記各侵入検知手
段に対して、前記ネットワーク装置データベースおよび
前記ポリシー継承規則データベースが参照され、前記侵
入検知ポリシーデータベースに格納されている上位の侵
入検知ポリシーが前記優先順位に基づく順序で下位の侵
入検知ポリシーへ翻訳される。
ーを継承する下位の侵入検知ポリシーを構築する場合の
前記上位の侵入検知ポリシー間の優先順位を規定したポ
リシー継承規則データベースがさらに備えられる。そし
て、前記ポリシー翻訳手段によって、前記各侵入検知手
段に対して、前記ネットワーク装置データベースおよび
前記ポリシー継承規則データベースが参照され、前記侵
入検知ポリシーデータベースに格納されている上位の侵
入検知ポリシーが前記優先順位に基づく順序で下位の侵
入検知ポリシーへ翻訳される。
【0031】つぎの発明にかかる侵入検知管理システム
は、上記の発明において、システムの構成を監視し、シ
ステムの構成に変更があった場合にその変更を検知し、
該変更された構成に最適なポリシーの作成を前記ポリシ
ー翻訳配信手段に指示する手段を有するネットワーク構
成変更自動検知手段をさらに備えることを特徴とする。
は、上記の発明において、システムの構成を監視し、シ
ステムの構成に変更があった場合にその変更を検知し、
該変更された構成に最適なポリシーの作成を前記ポリシ
ー翻訳配信手段に指示する手段を有するネットワーク構
成変更自動検知手段をさらに備えることを特徴とする。
【0032】この発明によれば、ネットワーク構成変更
自動検知手段をさらに備える侵入検知管理システムが提
供される。ネットワーク構成変更自動検知手段によっ
て、システムの構成が監視され、システムの構成に変更
があった場合にその変更が検知され、該変更された構成
に最適なポリシーの作成が前記ポリシー翻訳配信手段に
指示される。
自動検知手段をさらに備える侵入検知管理システムが提
供される。ネットワーク構成変更自動検知手段によっ
て、システムの構成が監視され、システムの構成に変更
があった場合にその変更が検知され、該変更された構成
に最適なポリシーの作成が前記ポリシー翻訳配信手段に
指示される。
【0033】
【発明の実施の形態】以下に、添付図面を参照して、こ
の発明にかかる侵入検知管理システムの好適な実施の形
態を詳細に説明する。
の発明にかかる侵入検知管理システムの好適な実施の形
態を詳細に説明する。
【0034】実施の形態1.図1はこの発明にかかる侵
入検知管理システムの実施の形態1の構成を示すブロッ
ク図である。このシステムは、検知対処データベース1
01と、検知対処配信装置102と、ネットワーク装置
データベース103と、対処状況保存データベース10
4と、検知対処項目インタプリタ105と、侵入検知装
置106と、このシステムの管理対象であるファイアウ
ォール装置107a、ルータ装置107bまたはアプリ
ケーションサーバ装置107cなどのネットワーク機器
群107とを主要構成要素として備えている。
入検知管理システムの実施の形態1の構成を示すブロッ
ク図である。このシステムは、検知対処データベース1
01と、検知対処配信装置102と、ネットワーク装置
データベース103と、対処状況保存データベース10
4と、検知対処項目インタプリタ105と、侵入検知装
置106と、このシステムの管理対象であるファイアウ
ォール装置107a、ルータ装置107bまたはアプリ
ケーションサーバ装置107cなどのネットワーク機器
群107とを主要構成要素として備えている。
【0035】検知対処データベース101は、このシス
テムが管理する侵入検知装置106で使用する、不正ア
クセスの手口や外部からの攻撃などとそれを発見した際
に実施すべき対処作業を規定した検知対処ルールを格納
する。格納される個々の検知対処ルールは、図2に示す
ような内容を規定するものである。この図2には、不正
アクセスの手口や外部からの攻撃などの条件を格納する
検知条件群と、侵入検知装置106がその条件を検知し
たときに講じる手段を格納する対処項目群が、規定され
ている。ルールAは、検知すべき条件と、その条件が検
知されたときに実施すべき対処項目の組み合わせを示し
ている。一方のルールBは、検知すべき条件と、その際
にその検知された条件について既に実行済である対処項
目(実行済対処項目群)がある場合における、実施すべ
き追加の対処項目(追加対処項目群)の組み合わせを示
している。以上のような検知対処ルールを、特にルール
Bに示されるような検知対処ルール群を活用可能にする
ことで、ある条件が検知されたときに既に何らかの対処
を実行済みであれば別の対処が実行されるので、不正ア
クセスや外部からの攻撃に対して段階的な対処が可能に
なる。ここで、図2には、if〜then〜の形式で条
件と対処項目を規定しているが、単なる例示であってこ
の形式である必要はなく、検知条件群と対処項目群が対
応付けられて規定されていればよい。
テムが管理する侵入検知装置106で使用する、不正ア
クセスの手口や外部からの攻撃などとそれを発見した際
に実施すべき対処作業を規定した検知対処ルールを格納
する。格納される個々の検知対処ルールは、図2に示す
ような内容を規定するものである。この図2には、不正
アクセスの手口や外部からの攻撃などの条件を格納する
検知条件群と、侵入検知装置106がその条件を検知し
たときに講じる手段を格納する対処項目群が、規定され
ている。ルールAは、検知すべき条件と、その条件が検
知されたときに実施すべき対処項目の組み合わせを示し
ている。一方のルールBは、検知すべき条件と、その際
にその検知された条件について既に実行済である対処項
目(実行済対処項目群)がある場合における、実施すべ
き追加の対処項目(追加対処項目群)の組み合わせを示
している。以上のような検知対処ルールを、特にルール
Bに示されるような検知対処ルール群を活用可能にする
ことで、ある条件が検知されたときに既に何らかの対処
を実行済みであれば別の対処が実行されるので、不正ア
クセスや外部からの攻撃に対して段階的な対処が可能に
なる。ここで、図2には、if〜then〜の形式で条
件と対処項目を規定しているが、単なる例示であってこ
の形式である必要はなく、検知条件群と対処項目群が対
応付けられて規定されていればよい。
【0036】検知対処配信装置102は、侵入検知装置
106とファイアウォール装置107a、ルータ装置1
07bまたはアプリケーションサーバ装置107cなど
のネットワーク機器群107との間で情報のやり取りを
行うための装置である。具体的には、検知対処データベ
ース101に格納されている検知対処ルール群に規定さ
れている検知すべき侵入条件の内容を所定の侵入検知装
置106に配信する機能と、侵入検知装置106から受
信した検知情報を検知対処項目インタプリタ105へ送
信する機能と、そして、検知対処項目インタプリタ10
5からのその他のネットワーク機器群107への各種設
定コマンドを配信する対処実行手段を有する。
106とファイアウォール装置107a、ルータ装置1
07bまたはアプリケーションサーバ装置107cなど
のネットワーク機器群107との間で情報のやり取りを
行うための装置である。具体的には、検知対処データベ
ース101に格納されている検知対処ルール群に規定さ
れている検知すべき侵入条件の内容を所定の侵入検知装
置106に配信する機能と、侵入検知装置106から受
信した検知情報を検知対処項目インタプリタ105へ送
信する機能と、そして、検知対処項目インタプリタ10
5からのその他のネットワーク機器群107への各種設
定コマンドを配信する対処実行手段を有する。
【0037】ネットワーク装置データベース103は、
管理対象であるネットワーク内の機器群やサブネットワ
ークなどについての情報であるネットワーク構成情報を
格納するデータベースである。対処状況保存データベー
ス104は、現在までに対処された内容のログを保存す
るデータベースである。検知対処項目インタプリタ10
5は、検知対処データベース101や対処状況保存デー
タベース104を参照して、検知した侵入の内容に応じ
た対処を実行するための機構である。
管理対象であるネットワーク内の機器群やサブネットワ
ークなどについての情報であるネットワーク構成情報を
格納するデータベースである。対処状況保存データベー
ス104は、現在までに対処された内容のログを保存す
るデータベースである。検知対処項目インタプリタ10
5は、検知対処データベース101や対処状況保存デー
タベース104を参照して、検知した侵入の内容に応じ
た対処を実行するための機構である。
【0038】つぎに、このシステムの動作について、図
3のフローチャートにしたがって説明する。検知対処項
目インタプリタ105は、まず、検知対処データベース
101に格納されている検知対処ルール群を、検知対処
配信装置102を介して、所定の侵入検知装置106に
設定する(ステップS302)。侵入検知装置106は
設定内容に基づいて、ネットワーク機器群107の監視
作業を開始する。監視の過程で、設定された検知項目に
沿う状態が発生すると、検知対処配信装置102を通じ
て、その情報を検知対処項目インタプリタ105に通知
する(ステップS304)。検知対処項目インタプリタ
105は、侵入検知装置106により検知された内容
が、検知対処データベース101に格納されているどの
検知対処ルールに合致するかを判別し(ステップS30
6)、また同時に、対処状況保存データベース104を
参照して既に実行されている対処状況が存在するかを確
認し(ステップS308)、つぎに実施すべき対処内容
を選択する(ステップS310)。例えば、侵入が初期
の段階のとき、つまり特に侵入の兆候がない平穏な状態
が続き、対処状況保存データベース104には対処状況
が保存されていない空の状態であれば、現在までに対処
した事項がないので、図2のルールAのタイプの検知対
処ルールが選択され、対応する実行されるべき所定の対
処項目が選択される。一方、侵入が初期の段階ではない
とき、つまり一度侵入され、その後さらに何らかの検知
情報が通知された場合であれば、対処状況保存データベ
ース104には一つ以上の対処状況が累積的に蓄積され
ているので、図2のルールBのタイプの検知対処ルール
が選択される。そして、対応する実行されるべき追加の
対処項目が選択される。この場合、ルールBの追加対処
項目には既に対処状況保存データベース104に蓄積さ
れている対処項目ではない、より厳しい別の対処項目を
規定しておくなどの使い方が想定される。これらのステ
ップS306〜ステップS310を実行する機能が、検
知対処ルール選択手段に相当する。
3のフローチャートにしたがって説明する。検知対処項
目インタプリタ105は、まず、検知対処データベース
101に格納されている検知対処ルール群を、検知対処
配信装置102を介して、所定の侵入検知装置106に
設定する(ステップS302)。侵入検知装置106は
設定内容に基づいて、ネットワーク機器群107の監視
作業を開始する。監視の過程で、設定された検知項目に
沿う状態が発生すると、検知対処配信装置102を通じ
て、その情報を検知対処項目インタプリタ105に通知
する(ステップS304)。検知対処項目インタプリタ
105は、侵入検知装置106により検知された内容
が、検知対処データベース101に格納されているどの
検知対処ルールに合致するかを判別し(ステップS30
6)、また同時に、対処状況保存データベース104を
参照して既に実行されている対処状況が存在するかを確
認し(ステップS308)、つぎに実施すべき対処内容
を選択する(ステップS310)。例えば、侵入が初期
の段階のとき、つまり特に侵入の兆候がない平穏な状態
が続き、対処状況保存データベース104には対処状況
が保存されていない空の状態であれば、現在までに対処
した事項がないので、図2のルールAのタイプの検知対
処ルールが選択され、対応する実行されるべき所定の対
処項目が選択される。一方、侵入が初期の段階ではない
とき、つまり一度侵入され、その後さらに何らかの検知
情報が通知された場合であれば、対処状況保存データベ
ース104には一つ以上の対処状況が累積的に蓄積され
ているので、図2のルールBのタイプの検知対処ルール
が選択される。そして、対応する実行されるべき追加の
対処項目が選択される。この場合、ルールBの追加対処
項目には既に対処状況保存データベース104に蓄積さ
れている対処項目ではない、より厳しい別の対処項目を
規定しておくなどの使い方が想定される。これらのステ
ップS306〜ステップS310を実行する機能が、検
知対処ルール選択手段に相当する。
【0039】続いて、検知対処項目インタプリタ105
は、その対処を行うべき装置のネットワーク構成情報を
ネットワーク装置データベース103から検索し(ステ
ップS312)、ネットワーク機器群107の中の該当
する装置に対して対処すべきコマンドを、検知対処配信
装置102を介して、送信する(ステップS314)。
そして該装置は、その対処を実行する。このとき、検知
対処項目インタプリタ105は、設定内容、その根拠と
した検知対処ルールの識別子、設定時刻などを対処状況
保存データベース104に登録する(ステップS31
6)。このステップS316を実行する機能が、対処登
録手段に相当する。そして、検知対処項目インタプリタ
105の処理は終了する(ステップS318)。
は、その対処を行うべき装置のネットワーク構成情報を
ネットワーク装置データベース103から検索し(ステ
ップS312)、ネットワーク機器群107の中の該当
する装置に対して対処すべきコマンドを、検知対処配信
装置102を介して、送信する(ステップS314)。
そして該装置は、その対処を実行する。このとき、検知
対処項目インタプリタ105は、設定内容、その根拠と
した検知対処ルールの識別子、設定時刻などを対処状況
保存データベース104に登録する(ステップS31
6)。このステップS316を実行する機能が、対処登
録手段に相当する。そして、検知対処項目インタプリタ
105の処理は終了する(ステップS318)。
【0040】以上において、対処状況保存データベース
104に格納されている対処状況であって、対処が実行
されてから一定期間を経過したものについては削除する
ようにしてもよい。この場合、このシステムの管理者が
手動で削除してもよいし、一定期間経過後に自動的に削
除する対処状況削除手段を検知対処項目インタプリタ1
05などの装置に付加して、削除を実行してもよい。ま
た、上記の説明において、検知対処項目インタプリタ1
05と検知対処配信装置102を合わせたものが、検知
対処手段に対応するものである。
104に格納されている対処状況であって、対処が実行
されてから一定期間を経過したものについては削除する
ようにしてもよい。この場合、このシステムの管理者が
手動で削除してもよいし、一定期間経過後に自動的に削
除する対処状況削除手段を検知対処項目インタプリタ1
05などの装置に付加して、削除を実行してもよい。ま
た、上記の説明において、検知対処項目インタプリタ1
05と検知対処配信装置102を合わせたものが、検知
対処手段に対応するものである。
【0041】図1ではネットワーク機器群107に対し
て一つに侵入検知装置106を配置した構成としたが、
複数の侵入検知装置106を配置することも可能であ
る。この場合、複数の侵入検知装置106それぞれにつ
いて検知対処ルール群を設定する必要がある。また、検
知すべき条件は侵入検知装置106で検出できる能力に
依存し、対処項目はネットワーク機器群107を構成す
る各種装置107a〜107cの設定機能に依存するも
のである。さらに、上述した各装置間での情報のやり取
りの方法は、業界の標準化団体等で各種規定されてお
り、特に限定されるものではない。同様に、侵入検知装
置106による検知の方式についても、特に規定される
ものではなく、公知の方式を採用することができる。
て一つに侵入検知装置106を配置した構成としたが、
複数の侵入検知装置106を配置することも可能であ
る。この場合、複数の侵入検知装置106それぞれにつ
いて検知対処ルール群を設定する必要がある。また、検
知すべき条件は侵入検知装置106で検出できる能力に
依存し、対処項目はネットワーク機器群107を構成す
る各種装置107a〜107cの設定機能に依存するも
のである。さらに、上述した各装置間での情報のやり取
りの方法は、業界の標準化団体等で各種規定されてお
り、特に限定されるものではない。同様に、侵入検知装
置106による検知の方式についても、特に規定される
ものではなく、公知の方式を採用することができる。
【0042】以上のように、過去の対処事項を対処状況
保存データベース104に記録し、その有無や内容に応
じて後続の対処内容を決められるので、侵入に対する段
階的な対処が可能になる。すなわち、侵入の兆候の初期
段階では警戒的な対策を行い、さらにより重大で深刻な
問題を引き起こす兆候が検出された場合には、前回の対
処よりも厳しい対策を行う、といった段階に応じた対処
を可能とする。
保存データベース104に記録し、その有無や内容に応
じて後続の対処内容を決められるので、侵入に対する段
階的な対処が可能になる。すなわち、侵入の兆候の初期
段階では警戒的な対策を行い、さらにより重大で深刻な
問題を引き起こす兆候が検出された場合には、前回の対
処よりも厳しい対策を行う、といった段階に応じた対処
を可能とする。
【0043】実施の形態2.実施の形態2では、同時ま
たは一定時間内に複数の事象が検出されるような不正ア
クセスに対応するための侵入検知管理システムについて
説明する。システムの構成は、上述した実施の形態1で
示された図1と同じであり、その構成要素であるいくつ
かの装置が、以下に示されるこの実施の形態2で実施で
きるように機能が拡張される。
たは一定時間内に複数の事象が検出されるような不正ア
クセスに対応するための侵入検知管理システムについて
説明する。システムの構成は、上述した実施の形態1で
示された図1と同じであり、その構成要素であるいくつ
かの装置が、以下に示されるこの実施の形態2で実施で
きるように機能が拡張される。
【0044】図4は、同時または一定時間内に発生する
複数の事象に対応するための同時発生時ルールの概要を
示している。図2に示したような検知対処ルール群を
「個別ルール」とすると、この実施の形態2で使用され
る「同時発生時ルール」は、その条件部において、いく
つかの個別ルールの識別子、時間幅(図4ではwith
in句で示される)、発生回数(図4ではoccurs
句で示される)を指定する。この意味は、条件部(if
句)に規定された個別ルールの検知が、within句
で指定した時間内に、occurs句で指定された回数
以上発生した場合、その同時発生時ルールで指定した対
処項目を指定すべきであることを示すものである。例え
ば、図4の同時発生時ルールAの場合には、個別ルール
Aかつ個別ルールBで示される検知すべき条件が、10
秒以内に10回以上発生した場合には、then以下の
対処項目群に示される対処を実行することを意味してい
る。ここで、対処項目群は、図2で説明した検知対処ル
ール群と同じものである。なお、このような同時発生時
ルールを実行することが可能なものであればよく、図4
に示される形式は単なる一例を示すものである。
複数の事象に対応するための同時発生時ルールの概要を
示している。図2に示したような検知対処ルール群を
「個別ルール」とすると、この実施の形態2で使用され
る「同時発生時ルール」は、その条件部において、いく
つかの個別ルールの識別子、時間幅(図4ではwith
in句で示される)、発生回数(図4ではoccurs
句で示される)を指定する。この意味は、条件部(if
句)に規定された個別ルールの検知が、within句
で指定した時間内に、occurs句で指定された回数
以上発生した場合、その同時発生時ルールで指定した対
処項目を指定すべきであることを示すものである。例え
ば、図4の同時発生時ルールAの場合には、個別ルール
Aかつ個別ルールBで示される検知すべき条件が、10
秒以内に10回以上発生した場合には、then以下の
対処項目群に示される対処を実行することを意味してい
る。ここで、対処項目群は、図2で説明した検知対処ル
ール群と同じものである。なお、このような同時発生時
ルールを実行することが可能なものであればよく、図4
に示される形式は単なる一例を示すものである。
【0045】図4で示されるような同時発生時ルール
は、図1の検知対処データベース101に格納される。
そのため、検知対処データベース101は、このような
同時発生時ルール群も格納できるように拡張される。ま
た、検知対処項目インタプリタ105も、このような同
時発生時ルール群を扱えるように同時発生時ルール実行
手段が付加される。すなわち、ある検知が侵入検知装置
106によって検知され、検知対処配信装置102を介
して検知対処項目インタプリタ105に報告された場合
には、検知対処項目インタプリタ105は、最初に、実
施の形態1で示された検知内容と個別ルール群の照合を
行い、該当する個別ルールに規定された対処を行う。そ
して、同時発生時ルール実行手段により、照合したルー
ル群の識別子および検知時刻と、対処状況保存データベ
ース104に蓄積されている、現在までに実施された個
別ルール(またはその識別子)とその時刻を参照して同
時発生時ルール群との照合を行い、同時発生時ルール群
に規定されている状態が発生しているか、すなわち所定
時間内に所定回数の事象が発生しているかを判別する。
同時発生時ルール群に規定されているいずれかの同時発
生時ルールに対応する状況が発生していると判別された
場合には、同時発生時ルールに規定されている対処項目
が、該当するネットワーク機器群107に対して、検知
対処配信装置102を通じて実行される。
は、図1の検知対処データベース101に格納される。
そのため、検知対処データベース101は、このような
同時発生時ルール群も格納できるように拡張される。ま
た、検知対処項目インタプリタ105も、このような同
時発生時ルール群を扱えるように同時発生時ルール実行
手段が付加される。すなわち、ある検知が侵入検知装置
106によって検知され、検知対処配信装置102を介
して検知対処項目インタプリタ105に報告された場合
には、検知対処項目インタプリタ105は、最初に、実
施の形態1で示された検知内容と個別ルール群の照合を
行い、該当する個別ルールに規定された対処を行う。そ
して、同時発生時ルール実行手段により、照合したルー
ル群の識別子および検知時刻と、対処状況保存データベ
ース104に蓄積されている、現在までに実施された個
別ルール(またはその識別子)とその時刻を参照して同
時発生時ルール群との照合を行い、同時発生時ルール群
に規定されている状態が発生しているか、すなわち所定
時間内に所定回数の事象が発生しているかを判別する。
同時発生時ルール群に規定されているいずれかの同時発
生時ルールに対応する状況が発生していると判別された
場合には、同時発生時ルールに規定されている対処項目
が、該当するネットワーク機器群107に対して、検知
対処配信装置102を通じて実行される。
【0046】このように、同時発生時ルールを検知対処
ルール群に追加し、検知対処項目インタプリタ105に
同時発生時ルール実行手段を付加することによって、一
定時間内に繰り返して多数発生している事象に応じた対
処を実行できるので、例えば一箇所のウェブページに複
数箇所からの連携などによる不正アクセスへの対応が可
能となる。
ルール群に追加し、検知対処項目インタプリタ105に
同時発生時ルール実行手段を付加することによって、一
定時間内に繰り返して多数発生している事象に応じた対
処を実行できるので、例えば一箇所のウェブページに複
数箇所からの連携などによる不正アクセスへの対応が可
能となる。
【0047】実施の形態3.図5は、この発明にかかる
侵入検知管理システムの実施の形態3の構成を示すブロ
ック図である。この実施の形態3では、一度侵入の兆候
が検知され、所定の対処を行って一定の期間が経過した
後に、実行した対処内容を解除するための機構が付加さ
れている。すなわち、上述した実施の形態1で説明した
図1の構成に、正常状態データベース501と被害状況
確認装置502が新たな構成要素として付加されてい
る。被害状況確認装置502は検知対処項目インタプリ
タ105に接続され、正常状態データベース501は被
害状況確認装置502に接続されている。なお、図1と
同じ構成については、同じ符号を付し、説明を省略す
る。
侵入検知管理システムの実施の形態3の構成を示すブロ
ック図である。この実施の形態3では、一度侵入の兆候
が検知され、所定の対処を行って一定の期間が経過した
後に、実行した対処内容を解除するための機構が付加さ
れている。すなわち、上述した実施の形態1で説明した
図1の構成に、正常状態データベース501と被害状況
確認装置502が新たな構成要素として付加されてい
る。被害状況確認装置502は検知対処項目インタプリ
タ105に接続され、正常状態データベース501は被
害状況確認装置502に接続されている。なお、図1と
同じ構成については、同じ符号を付し、説明を省略す
る。
【0048】正常状態データベース501は、侵入検知
管理システムが管理している各種の機器設定や、システ
ムファイルのサイズ、更新日付など、侵入者に不正に改
ざんされる可能性がある項目について正常時の状態を規
定しておき、不正な侵入に対して備えておくものであ
る。規定される項目の例としては前述の項目を挙げた
が、これに限られる趣旨のものではなく、システムを不
正侵入による改ざんから守るための指標となる項目であ
れば、どのようなものでもよい。被害状況確認装置50
2は、正常状態データベース501に登録されている各
種の機器設定や、システムファイルのサイズ、更新日付
などの正常時の状態のいくつかの登録内容と、それらの
現在の登録内容とを比較、照合し、改ざんされているか
否かを判定するための機構である。
管理システムが管理している各種の機器設定や、システ
ムファイルのサイズ、更新日付など、侵入者に不正に改
ざんされる可能性がある項目について正常時の状態を規
定しておき、不正な侵入に対して備えておくものであ
る。規定される項目の例としては前述の項目を挙げた
が、これに限られる趣旨のものではなく、システムを不
正侵入による改ざんから守るための指標となる項目であ
れば、どのようなものでもよい。被害状況確認装置50
2は、正常状態データベース501に登録されている各
種の機器設定や、システムファイルのサイズ、更新日付
などの正常時の状態のいくつかの登録内容と、それらの
現在の登録内容とを比較、照合し、改ざんされているか
否かを判定するための機構である。
【0049】図6は、本発明にかかる侵入検知管理シス
テムの実施の形態3を実行するための自動解除可能ルー
ルの一例を示している。上述した図2で示された形態の
検知対処ルールに対して、対処した項目を解除するため
の条件を示すreset if句と、その解除条件が成
立しているか否かを検査する時刻を指定するafter
句が付加されたものである。この図6に示された自動解
除可能ルールAは、条件群に該当する現象が検知された
場合には、対処項目群の中からその条件に対応する対処
項目が実行される。その後、after句で示される一
定の時間(期間)の経過の後に、すなわちこの図6の例
では1時間後に、reset if句の解除条件群に規
定されている内容を検査する。この検査の結果、解除条
件の内容が成立していれば、先に実施した対処項目を解
除し、対処前の状態に戻す処理が実行されるというもの
である。例えば、解除条件の内容が「無条件」の場合に
は、after句に示される一定期間経過後に先に行わ
れた対処が無条件に解除される。また、解除条件の内容
を「所定の被害が見当たらない」とした場合には、af
ter句に示される一定期間経過後に、被害状況確認装
置502で正常状態データベース501を参照して正常
時の状態と現在の装置の状態、例えば所定の設定値やシ
ステムファイルの状態、を比較した上で、両者に差異が
なければ、先に行われた対処が解除されるが、両者に差
異がある場合には、先に行われた対処は解除されない。
また、解除条件の内容が「解除の可否をユーザが指定す
る」とした場合には、after句で示される一定期間
経過後に、ユーザに対して、先に行われた対処を解除す
るかまたは延長するかを提示し、ユーザの判断に任せる
ものである。ユーザによって、延長が選択された場合に
は、延長する期間とそのときの解除条件を指定するなど
の処置が必要になる。以上の説明において、一定の期間
は固定的なものではなく、この発明にかかる侵入検知管
理システムを適用する場合のそれぞれの状況に応じて、
任意に規定することができる。なお、このような自動解
除可能ルールを実行することが可能なものであれば、図
6に示される記載形式のものに限定されるものではな
い。
テムの実施の形態3を実行するための自動解除可能ルー
ルの一例を示している。上述した図2で示された形態の
検知対処ルールに対して、対処した項目を解除するため
の条件を示すreset if句と、その解除条件が成
立しているか否かを検査する時刻を指定するafter
句が付加されたものである。この図6に示された自動解
除可能ルールAは、条件群に該当する現象が検知された
場合には、対処項目群の中からその条件に対応する対処
項目が実行される。その後、after句で示される一
定の時間(期間)の経過の後に、すなわちこの図6の例
では1時間後に、reset if句の解除条件群に規
定されている内容を検査する。この検査の結果、解除条
件の内容が成立していれば、先に実施した対処項目を解
除し、対処前の状態に戻す処理が実行されるというもの
である。例えば、解除条件の内容が「無条件」の場合に
は、after句に示される一定期間経過後に先に行わ
れた対処が無条件に解除される。また、解除条件の内容
を「所定の被害が見当たらない」とした場合には、af
ter句に示される一定期間経過後に、被害状況確認装
置502で正常状態データベース501を参照して正常
時の状態と現在の装置の状態、例えば所定の設定値やシ
ステムファイルの状態、を比較した上で、両者に差異が
なければ、先に行われた対処が解除されるが、両者に差
異がある場合には、先に行われた対処は解除されない。
また、解除条件の内容が「解除の可否をユーザが指定す
る」とした場合には、after句で示される一定期間
経過後に、ユーザに対して、先に行われた対処を解除す
るかまたは延長するかを提示し、ユーザの判断に任せる
ものである。ユーザによって、延長が選択された場合に
は、延長する期間とそのときの解除条件を指定するなど
の処置が必要になる。以上の説明において、一定の期間
は固定的なものではなく、この発明にかかる侵入検知管
理システムを適用する場合のそれぞれの状況に応じて、
任意に規定することができる。なお、このような自動解
除可能ルールを実行することが可能なものであれば、図
6に示される記載形式のものに限定されるものではな
い。
【0050】このような自動解除を行うために、検知対
処データベース101はこのような自動解除可能ルール
群を格納できるように拡張される。検知対処データベー
ス101には、実施の形態1や2で規定された条件の他
に自動解除を行うための解除条件群として、正常な状態
で確認しておくべき事項についての情報が格納される
「正常状態確認項目」や、この正常状態確認項目をいつ
行うかについての「解除までの時間」などが、さらに記
録項目として付加される。また、検知対処項目インタプ
リタ105は、対処実施後の時間経過を把握できる機能
を付される。
処データベース101はこのような自動解除可能ルール
群を格納できるように拡張される。検知対処データベー
ス101には、実施の形態1や2で規定された条件の他
に自動解除を行うための解除条件群として、正常な状態
で確認しておくべき事項についての情報が格納される
「正常状態確認項目」や、この正常状態確認項目をいつ
行うかについての「解除までの時間」などが、さらに記
録項目として付加される。また、検知対処項目インタプ
リタ105は、対処実施後の時間経過を把握できる機能
を付される。
【0051】侵入検知装置106によって、侵入が検知
された場合に、検知対処項目インタプリタ105は、検
知対処ルール群にしたがって対処項目を実行する。同時
に検知対処項目インタプリタ105は、対処項目の実行
から解除条件を判断するために時間の計数を開始する。
一定の期間の経過後に、検知対処項目インタプリタ10
5は、解除条件を満たすかの判断を行う。検知対処項目
インタプリタ105は、システムの所定の設定値やシス
テムファイルの状態に改ざんが無いか否かについて判断
するよう被害状況確認装置502に命令する。被害状況
確認装置502は、その命令にしたがって、正常状態デ
ータベース501に格納されているデータと、先に対処
項目が実行された装置の所定の設定値やシステムファイ
ルのサイズ、更新日付などを比較して、改ざんされてい
るか否かを確認する。その結果が、検知対処項目インタ
プリタ105へ返される。検知対処項目インタプリタ1
05は、その結果が、解除条件群にあてはまるものであ
れば、先の対処を検知対処配信装置102を介して解除
し、一方解除条件にあてはまるものでない場合には先の
対処を解除せず、再び時間の計数をはじめる。この検知
対処項目インタプリタ105が有する先に実行した対処
を解除する機能が、対処解除手段に相当する。
された場合に、検知対処項目インタプリタ105は、検
知対処ルール群にしたがって対処項目を実行する。同時
に検知対処項目インタプリタ105は、対処項目の実行
から解除条件を判断するために時間の計数を開始する。
一定の期間の経過後に、検知対処項目インタプリタ10
5は、解除条件を満たすかの判断を行う。検知対処項目
インタプリタ105は、システムの所定の設定値やシス
テムファイルの状態に改ざんが無いか否かについて判断
するよう被害状況確認装置502に命令する。被害状況
確認装置502は、その命令にしたがって、正常状態デ
ータベース501に格納されているデータと、先に対処
項目が実行された装置の所定の設定値やシステムファイ
ルのサイズ、更新日付などを比較して、改ざんされてい
るか否かを確認する。その結果が、検知対処項目インタ
プリタ105へ返される。検知対処項目インタプリタ1
05は、その結果が、解除条件群にあてはまるものであ
れば、先の対処を検知対処配信装置102を介して解除
し、一方解除条件にあてはまるものでない場合には先の
対処を解除せず、再び時間の計数をはじめる。この検知
対処項目インタプリタ105が有する先に実行した対処
を解除する機能が、対処解除手段に相当する。
【0052】このような構成により、一度侵入の兆候が
検知され、所定の対処を行った後に、実行した対処内容
を所定の条件のもとで自動的に解除する対処解除手段が
備えられたので、システムの復旧作業の手間を軽減する
ことができる。
検知され、所定の対処を行った後に、実行した対処内容
を所定の条件のもとで自動的に解除する対処解除手段が
備えられたので、システムの復旧作業の手間を軽減する
ことができる。
【0053】実施の形態4.図7は、この発明にかかる
侵入検知管理システムの実施の形態4の構成を示すブロ
ック図である。上述した実施の形態1で説明した図1の
構成に、侵入検知グループデータベース701と、侵入
検知グループマネージャ702が加えられ、さらに複数
の侵入検知装置106a、106b、・・・106’、
・・・と、侵入検知装置106a、106bが検知対象
とするネットワーク機器群107、侵入検知装置10
6’が検知対象とするネットワーク機器群107’、・
・・が存在する構成となっている。侵入検知装置106
aと侵入検知装置106bとは、一つのグループを構成
し、侵入検知装置106’はそのグループとは別のグル
ープに属する。侵入検知グループデータベース701
は、後述する侵入検知グループマネージャ702に接続
され、複数の侵入検知装置106a、106b、・・
・、106’、・・・をグループ分けしたそれぞれのグ
ループのグループ定義情報を登録しておくデータベース
である。このグループ定義情報には、グループ内に登録
されている侵入検知装置106a、106bを識別する
識別子群、それぞれの侵入検知装置106a、106b
に割り当てる侵入検知項目群、そしてグループで負荷分
散を行うかまたは役割分担を行うかなどについて定義さ
れているグループ定義情報が格納される。侵入検知グル
ープマネージャ702は、検知対処項目インタプリタ1
05と検知対処配信装置102の間に位置して、侵入検
知装置群106a、106b、・・・106’、・・・
を制御する。
侵入検知管理システムの実施の形態4の構成を示すブロ
ック図である。上述した実施の形態1で説明した図1の
構成に、侵入検知グループデータベース701と、侵入
検知グループマネージャ702が加えられ、さらに複数
の侵入検知装置106a、106b、・・・106’、
・・・と、侵入検知装置106a、106bが検知対象
とするネットワーク機器群107、侵入検知装置10
6’が検知対象とするネットワーク機器群107’、・
・・が存在する構成となっている。侵入検知装置106
aと侵入検知装置106bとは、一つのグループを構成
し、侵入検知装置106’はそのグループとは別のグル
ープに属する。侵入検知グループデータベース701
は、後述する侵入検知グループマネージャ702に接続
され、複数の侵入検知装置106a、106b、・・
・、106’、・・・をグループ分けしたそれぞれのグ
ループのグループ定義情報を登録しておくデータベース
である。このグループ定義情報には、グループ内に登録
されている侵入検知装置106a、106bを識別する
識別子群、それぞれの侵入検知装置106a、106b
に割り当てる侵入検知項目群、そしてグループで負荷分
散を行うかまたは役割分担を行うかなどについて定義さ
れているグループ定義情報が格納される。侵入検知グル
ープマネージャ702は、検知対処項目インタプリタ1
05と検知対処配信装置102の間に位置して、侵入検
知装置群106a、106b、・・・106’、・・・
を制御する。
【0054】この実施の形態4では、検知対処項目イン
タプリタ105は、実施の形態1で説明したように個々
の侵入検知装置に対して監視制御を行うのではなく、侵
入検知装置群のグループ単位で監視制御を行うことを特
徴とする。図7では、侵入検知装置106a、106b
からなるグループを単位として制御を行う場合を例に挙
げ、侵入検知装置をグループ単位で監視制御を行う流れ
について説明する。
タプリタ105は、実施の形態1で説明したように個々
の侵入検知装置に対して監視制御を行うのではなく、侵
入検知装置群のグループ単位で監視制御を行うことを特
徴とする。図7では、侵入検知装置106a、106b
からなるグループを単位として制御を行う場合を例に挙
げ、侵入検知装置をグループ単位で監視制御を行う流れ
について説明する。
【0055】検知対処項目インタプリタ105は、検知
対処データベース101の内容を侵入検知装置106
a、106bから構成されるグループに設定するときに
は、上述したようにそのグループを指定する。侵入検知
グループマネージャ702は、このグループの指定を受
け取り、侵入検知グループデータベース701に定義さ
れている、そのグループ内部でのそれぞれの侵入検知装
置106a、106bの役割分担にしたがって、それぞ
れの侵入検知装置106a、106bに侵入検知項目群
を割り振る。このグループに指定された条件を、各侵入
検知装置106a、106bに割り振る機能が、検知対
処ルール設定手段に相当する。このような構成で、グル
ープの中のある侵入検知装置、例えば侵入検知装置10
6a、が侵入の兆候を検知すると、検知対処配信装置1
02を介して侵入検知グループマネージャ702へ検知
を知らせる。侵入検知グループマネージャ702は、す
でにグループの侵入検知装置106a、106bに設定
されている検知対処ルールに応じた対処を行う。この機
能が対処実行手段に相当する。また、侵入検知グループ
マネージャ702は、その侵入検知装置106aが属す
るグループからの検知情報として、検知対処項目インタ
プリタ105に通知する。したがって、検知対処項目イ
ンタプリタ105を操作するユーザとしては、個々の侵
入検知装置を意識することなく、侵入検知に対して対処
することが可能となる。この場合において、検知対処項
目インタプリタ105を操作するユーザに、侵入検知装
置グループ内の内容を表示したり、その侵入検知装置グ
ループ内の個々の侵入検知装置106a、106bに対
してユーザが個別に役割分担を設定できるようにしても
よい。
対処データベース101の内容を侵入検知装置106
a、106bから構成されるグループに設定するときに
は、上述したようにそのグループを指定する。侵入検知
グループマネージャ702は、このグループの指定を受
け取り、侵入検知グループデータベース701に定義さ
れている、そのグループ内部でのそれぞれの侵入検知装
置106a、106bの役割分担にしたがって、それぞ
れの侵入検知装置106a、106bに侵入検知項目群
を割り振る。このグループに指定された条件を、各侵入
検知装置106a、106bに割り振る機能が、検知対
処ルール設定手段に相当する。このような構成で、グル
ープの中のある侵入検知装置、例えば侵入検知装置10
6a、が侵入の兆候を検知すると、検知対処配信装置1
02を介して侵入検知グループマネージャ702へ検知
を知らせる。侵入検知グループマネージャ702は、す
でにグループの侵入検知装置106a、106bに設定
されている検知対処ルールに応じた対処を行う。この機
能が対処実行手段に相当する。また、侵入検知グループ
マネージャ702は、その侵入検知装置106aが属す
るグループからの検知情報として、検知対処項目インタ
プリタ105に通知する。したがって、検知対処項目イ
ンタプリタ105を操作するユーザとしては、個々の侵
入検知装置を意識することなく、侵入検知に対して対処
することが可能となる。この場合において、検知対処項
目インタプリタ105を操作するユーザに、侵入検知装
置グループ内の内容を表示したり、その侵入検知装置グ
ループ内の個々の侵入検知装置106a、106bに対
してユーザが個別に役割分担を設定できるようにしても
よい。
【0056】また、侵入検知グループマネージャ702
は、侵入検知装置グループの役割定義に応じて、そのグ
ループ内の侵入検知装置106a、106bの負荷分散
または役割制御を行う。役割が負荷分散の場合は、侵入
検知グループマネージャ702は、定期的に各侵入検知
装置の負荷状況を監視し、高負荷の侵入検知装置に設定
されている侵入検知項目を、グループ内の低負荷の侵入
検知装置が行うように、通常行われる設定手法にしたが
って、設定しなおす。この機能が負荷分散手段に相当す
る。また、役割分担の場合、ある侵入検知装置でなんら
かの侵入の兆候が検出された場合に、他の侵入検知装置
を起動してより細かい監視を行うなどの制御を行う。こ
の機能が役割分担手段に相当する。
は、侵入検知装置グループの役割定義に応じて、そのグ
ループ内の侵入検知装置106a、106bの負荷分散
または役割制御を行う。役割が負荷分散の場合は、侵入
検知グループマネージャ702は、定期的に各侵入検知
装置の負荷状況を監視し、高負荷の侵入検知装置に設定
されている侵入検知項目を、グループ内の低負荷の侵入
検知装置が行うように、通常行われる設定手法にしたが
って、設定しなおす。この機能が負荷分散手段に相当す
る。また、役割分担の場合、ある侵入検知装置でなんら
かの侵入の兆候が検出された場合に、他の侵入検知装置
を起動してより細かい監視を行うなどの制御を行う。こ
の機能が役割分担手段に相当する。
【0057】なお、実施の形態1で説明した検知対処項
目インタプリタ105の有する機能が、この実施の形態
4では、検知対処項目インタプリタ105と侵入検知グ
ループマネージャ702に分散されており、この検知対
処項目インタプリタ105と侵入検知グループマネージ
ャ702をあわせたものが第1のおよび第2の検知対処
手段に相当する。
目インタプリタ105の有する機能が、この実施の形態
4では、検知対処項目インタプリタ105と侵入検知グ
ループマネージャ702に分散されており、この検知対
処項目インタプリタ105と侵入検知グループマネージ
ャ702をあわせたものが第1のおよび第2の検知対処
手段に相当する。
【0058】以上のように、この実施の形態4によれ
ば、複数の侵入検知装置106a、106bをグループ
としてまとめて管理できるので、検知対処項目インタプ
リタ105の上位のユーザとしては、個々の侵入検知装
置106a、106bを意識する必要がなく、管理の手
間を減らすことができる。また、侵入検知グループマネ
ージャ702を用いて侵入検知装置106a、106b
の負荷分散や役割分担を自動化することで、詳細な監視
を、省力的に行うことが可能となる。
ば、複数の侵入検知装置106a、106bをグループ
としてまとめて管理できるので、検知対処項目インタプ
リタ105の上位のユーザとしては、個々の侵入検知装
置106a、106bを意識する必要がなく、管理の手
間を減らすことができる。また、侵入検知グループマネ
ージャ702を用いて侵入検知装置106a、106b
の負荷分散や役割分担を自動化することで、詳細な監視
を、省力的に行うことが可能となる。
【0059】実施の形態5.図8は、本発明にかかる侵
入検知管理システムの実施の形態5の構成を示すブロッ
ク図である。図1の構成と類似のものとなっているけれ
ども、統一的な表現形式としてのポリシーを用意し、そ
のポリシーに基づいて監視制御を行うことを可能にする
ために、図1の検知対処データベース101がなくな
り、新たに侵入検知ポリシーデータベース801、ポリ
シー翻訳規則データベース802、ポリシー翻訳配信装
置803、およびポリシー配信状況データベース804
が付加されている。
入検知管理システムの実施の形態5の構成を示すブロッ
ク図である。図1の構成と類似のものとなっているけれ
ども、統一的な表現形式としてのポリシーを用意し、そ
のポリシーに基づいて監視制御を行うことを可能にする
ために、図1の検知対処データベース101がなくな
り、新たに侵入検知ポリシーデータベース801、ポリ
シー翻訳規則データベース802、ポリシー翻訳配信装
置803、およびポリシー配信状況データベース804
が付加されている。
【0060】図9は、侵入検知ポリシーの構成を示して
いる。ポリシーは、どのような属性を持つ侵入検知装置
に対して、どのような侵入検知を行わせ、そして検知し
た場合にどのような対処を行わせるかを指定するもので
ある。したがって、個々の侵入検知ポリシーの構成は、
図9に示すように、そのポリシーの設定対象になるべき
侵入検知装置の属性を規定するObject Attr
ibutes句、侵入検知の条件を示すif句、検知さ
れた場合に実施すべき対処項目を示すthen句から成
る。この中で、if句とthen句は、図2で示される
検知対処ルールと同様のものである。Objects
Attributes句に設定される属性の例として
は、侵入検知装置の性能、装置の配置場所、および侵入
検知装置に実装されている検知方式などを挙げることが
できる。装置の配置場所としては、外部へ公開するWE
Bサーバなどが配置されるサブネットワーク、基幹業務
システムなどが配置されるサブネットワークまたは一般
社員用のパソコンが配置されるサブネットワークなどが
挙げられる。図9のように規定されるポリシーは、Ob
jects Attributes句に示される属性を
有する対象装置に対して、if句に示される侵入条件が
検知された場合には、then句で示されるその侵入条
件に対応した対処項目が実行されることを示している。
なお、図9に示される侵入検知ポリシーの記載形式は例
示であって、これに限定される趣旨のものではなく、上
述した機能が実行可能なものであればよい。
いる。ポリシーは、どのような属性を持つ侵入検知装置
に対して、どのような侵入検知を行わせ、そして検知し
た場合にどのような対処を行わせるかを指定するもので
ある。したがって、個々の侵入検知ポリシーの構成は、
図9に示すように、そのポリシーの設定対象になるべき
侵入検知装置の属性を規定するObject Attr
ibutes句、侵入検知の条件を示すif句、検知さ
れた場合に実施すべき対処項目を示すthen句から成
る。この中で、if句とthen句は、図2で示される
検知対処ルールと同様のものである。Objects
Attributes句に設定される属性の例として
は、侵入検知装置の性能、装置の配置場所、および侵入
検知装置に実装されている検知方式などを挙げることが
できる。装置の配置場所としては、外部へ公開するWE
Bサーバなどが配置されるサブネットワーク、基幹業務
システムなどが配置されるサブネットワークまたは一般
社員用のパソコンが配置されるサブネットワークなどが
挙げられる。図9のように規定されるポリシーは、Ob
jects Attributes句に示される属性を
有する対象装置に対して、if句に示される侵入条件が
検知された場合には、then句で示されるその侵入条
件に対応した対処項目が実行されることを示している。
なお、図9に示される侵入検知ポリシーの記載形式は例
示であって、これに限定される趣旨のものではなく、上
述した機能が実行可能なものであればよい。
【0061】図8の侵入検知ポリシーデータベース80
1は、上述した図9で示されるような侵入検知ポリシー
を格納する。ポリシー翻訳規則データベース802は、
侵入検知ポリシーの内容を個別の侵入検知装置106、
106’、・・・に設定するコマンドに変換するための
翻訳規則を格納するものであり、管理対象となる侵入検
知装置106、106’、・・・に応じて用意されるも
のである。ポリシー翻訳配信装置803は、侵入検知ポ
リシーデータベース801に格納されている個々の侵入
検知ポリシーに規定されているObject Attr
ibutes句の内容に合致する侵入検知装置106、
106’、・・・へ翻訳された設定コマンドを配信する
ための装置である。ポリシー配信状況データベース80
4は、侵入検知ポリシーデータベース801に格納され
ているポリシーが、どの侵入検知装置に配信されたのか
を格納するためのデータベースである。
1は、上述した図9で示されるような侵入検知ポリシー
を格納する。ポリシー翻訳規則データベース802は、
侵入検知ポリシーの内容を個別の侵入検知装置106、
106’、・・・に設定するコマンドに変換するための
翻訳規則を格納するものであり、管理対象となる侵入検
知装置106、106’、・・・に応じて用意されるも
のである。ポリシー翻訳配信装置803は、侵入検知ポ
リシーデータベース801に格納されている個々の侵入
検知ポリシーに規定されているObject Attr
ibutes句の内容に合致する侵入検知装置106、
106’、・・・へ翻訳された設定コマンドを配信する
ための装置である。ポリシー配信状況データベース80
4は、侵入検知ポリシーデータベース801に格納され
ているポリシーが、どの侵入検知装置に配信されたのか
を格納するためのデータベースである。
【0062】つぎに、図8に示された構成を有する侵入
検知管理システムの動作について説明する。侵入検知ポ
リシーデータベース801に格納されたポリシーは、そ
のままでは下位の侵入検知装置106、106’、・・
・に対して指示を与えることができない。そこで、ポリ
シー翻訳配信装置803は、侵入検知ポリシーデータベ
ース801に格納されている個々の侵入検知ポリシーに
規定されているObject Attributes句
の内容に合致する侵入検知装置106、106’、・・
・の情報を、ネットワーク装置データベース103から
検索する。ネットワーク装置データベース103から検
索し、抽出した侵入検知装置106、106’、・・・
に対する翻訳規則を、ポリシー翻訳規則データベース8
02から検索する。検索の結果抽出された翻訳規則に基
づいて、侵入検知ポリシーをその侵入検知装置に応じた
設定コマンドに変換する。以上のポリシー翻訳配信装置
803が有する機能が、ポリシー翻訳手段に相当する。
そして、変換したコマンドを対応する侵入検知装置10
6、106’、・・・に配信する。このポリシー翻訳配
信装置803の配信する機能が、ポリシー配信手段に相
当する。また同時に、配信した結果と、現在どの侵入検
知装置にどの侵入検知ポリシー(設定コマンド)を配信
しているのかについての情報を、ポリシー配信状況デー
タベース804へ格納する。それぞれの侵入検知装置1
06、106’、・・・は、配信されたポリシーにした
がって、ネットワーク機器群107、107’、・・・
の監視を開始する。翻訳された侵入検知ポリシー(設定
コマンド)は、侵入検知ポリシーデータベース801へ
格納される。この翻訳された侵入検知ポリシーを侵入検
知ポリシーデータベース801へ格納する機能は、ポリ
シー格納手段に相当する。
検知管理システムの動作について説明する。侵入検知ポ
リシーデータベース801に格納されたポリシーは、そ
のままでは下位の侵入検知装置106、106’、・・
・に対して指示を与えることができない。そこで、ポリ
シー翻訳配信装置803は、侵入検知ポリシーデータベ
ース801に格納されている個々の侵入検知ポリシーに
規定されているObject Attributes句
の内容に合致する侵入検知装置106、106’、・・
・の情報を、ネットワーク装置データベース103から
検索する。ネットワーク装置データベース103から検
索し、抽出した侵入検知装置106、106’、・・・
に対する翻訳規則を、ポリシー翻訳規則データベース8
02から検索する。検索の結果抽出された翻訳規則に基
づいて、侵入検知ポリシーをその侵入検知装置に応じた
設定コマンドに変換する。以上のポリシー翻訳配信装置
803が有する機能が、ポリシー翻訳手段に相当する。
そして、変換したコマンドを対応する侵入検知装置10
6、106’、・・・に配信する。このポリシー翻訳配
信装置803の配信する機能が、ポリシー配信手段に相
当する。また同時に、配信した結果と、現在どの侵入検
知装置にどの侵入検知ポリシー(設定コマンド)を配信
しているのかについての情報を、ポリシー配信状況デー
タベース804へ格納する。それぞれの侵入検知装置1
06、106’、・・・は、配信されたポリシーにした
がって、ネットワーク機器群107、107’、・・・
の監視を開始する。翻訳された侵入検知ポリシー(設定
コマンド)は、侵入検知ポリシーデータベース801へ
格納される。この翻訳された侵入検知ポリシーを侵入検
知ポリシーデータベース801へ格納する機能は、ポリ
シー格納手段に相当する。
【0063】監視の過程で、設定された侵入検知ポリシ
ーに沿う状態が発生すると、検知対処配信装置102を
通じて、その情報を検知対処項目インタプリタ105に
通知する。検知対処項目インタプリタ105は、侵入検
知装置106により検知された内容が、侵入検知ポリシ
ーデータベース801に格納されているどの侵入検知ポ
リシーに合致するかを判別し、また同時に、対処状況保
存データベース104を参照して既に実行されている対
処状況が存在するかを確認し、つぎに実施すべき対処内
容を有する侵入検知ポリシーを選択する。この侵入検知
ポリシーを選択する機能が、ポリシー選択手段に相当す
る。
ーに沿う状態が発生すると、検知対処配信装置102を
通じて、その情報を検知対処項目インタプリタ105に
通知する。検知対処項目インタプリタ105は、侵入検
知装置106により検知された内容が、侵入検知ポリシ
ーデータベース801に格納されているどの侵入検知ポ
リシーに合致するかを判別し、また同時に、対処状況保
存データベース104を参照して既に実行されている対
処状況が存在するかを確認し、つぎに実施すべき対処内
容を有する侵入検知ポリシーを選択する。この侵入検知
ポリシーを選択する機能が、ポリシー選択手段に相当す
る。
【0064】続いて、検知対処項目インタプリタ105
は、その対処を行うべき装置のネットワーク構成情報を
ネットワーク装置データベース103から検索し、ネッ
トワーク機器群107、107’、・・・の中の該当す
る装置に対して対処すべき侵入検知ポリシー(コマン
ド)を、検知対処配信装置102を介して、送信する。
この機能が、対処実行手段に相当する。そして該装置
は、その対処を実行する。このとき、検知対処項目イン
タプリタ105は、設定内容、その根拠とした検知対処
ルールの識別子、設定時刻などを対処状況保存データベ
ース104に登録する。この機能が、対処登録手段に相
当する。また、以上の説明において、検知対処項目イン
タプリタ105と検知対処配信装置102が、検知対処
手段に相当する。
は、その対処を行うべき装置のネットワーク構成情報を
ネットワーク装置データベース103から検索し、ネッ
トワーク機器群107、107’、・・・の中の該当す
る装置に対して対処すべき侵入検知ポリシー(コマン
ド)を、検知対処配信装置102を介して、送信する。
この機能が、対処実行手段に相当する。そして該装置
は、その対処を実行する。このとき、検知対処項目イン
タプリタ105は、設定内容、その根拠とした検知対処
ルールの識別子、設定時刻などを対処状況保存データベ
ース104に登録する。この機能が、対処登録手段に相
当する。また、以上の説明において、検知対処項目イン
タプリタ105と検知対処配信装置102が、検知対処
手段に相当する。
【0065】以上説明したように、この実施の形態5に
よる侵入検知管理システムによれば、管理システムのユ
ーザから見たときの侵入検知装置の制御は統一的なポリ
シー表現に基づいて行うことが可能となる。そして、こ
の侵入検知管理システムのユーザは、個々の侵入検知装
置106、106’、・・・についての設定方法を学習
する必要がなく、システム制御のための学習コストを削
減することができる。また、どの侵入検知装置106、
106’、・・・も統一的な手法で管理することが可能
になる。
よる侵入検知管理システムによれば、管理システムのユ
ーザから見たときの侵入検知装置の制御は統一的なポリ
シー表現に基づいて行うことが可能となる。そして、こ
の侵入検知管理システムのユーザは、個々の侵入検知装
置106、106’、・・・についての設定方法を学習
する必要がなく、システム制御のための学習コストを削
減することができる。また、どの侵入検知装置106、
106’、・・・も統一的な手法で管理することが可能
になる。
【0066】実施の形態6.図10は、この発明にかか
る侵入検知管理システムのポリシーを示すものであり、
オブジェクト指向的に階層化したポリシーの一例を示し
ている。侵入検知ポリシーA1001は、最上位ポリシ
ーとして定義されているポリシーである。そして、この
最上位ポリシーの下位に、侵入検知ポリシーA1100
2と侵入検知ポリシーA21003が、階層的に定義さ
れている。そして、これらのポリシー1001〜100
3のポリシーは実施の形態5で上述したように、対象装
置属性群が規定されるObject Attribut
es句、侵入条件群が規定されるif句、そして侵入条
件群に対する対処項目群が規定されるthen句とから
構成され、その内容は実施の形態5で説明したとおりで
ある。
る侵入検知管理システムのポリシーを示すものであり、
オブジェクト指向的に階層化したポリシーの一例を示し
ている。侵入検知ポリシーA1001は、最上位ポリシ
ーとして定義されているポリシーである。そして、この
最上位ポリシーの下位に、侵入検知ポリシーA1100
2と侵入検知ポリシーA21003が、階層的に定義さ
れている。そして、これらのポリシー1001〜100
3のポリシーは実施の形態5で上述したように、対象装
置属性群が規定されるObject Attribut
es句、侵入条件群が規定されるif句、そして侵入条
件群に対する対処項目群が規定されるthen句とから
構成され、その内容は実施の形態5で説明したとおりで
ある。
【0067】この図10に示される侵入検知ポリシーA
1001は、侵入検知管理システムの管理範囲全域に存
在する侵入検知装置に対して、検知条件Aを監視し、検
知条件Aに該当する兆候が発見された場合に、対処項目
Aを実施すべきであることを示している。この侵入検知
ポリシーA11002のObject Attribu
tes句の対象装置属性群の配置位置は、公開サーバサ
イトの配置位置に限定されており、if句は侵入検知ポ
リシーA1001のものを継承し、すなわち検知条件A
を規定し、then句は侵入検知ポリシーA11002
独自の対処項目A1を規定するものである。ここで、O
bject Attributes句の配置位置とし
て、侵入検知ポリシーA11002の公開サーバサイト
は、侵入検知ポリシーA1001の管理範囲全域とは異
なっているけれども、公開サーバサイトは管理範囲全域
に当然に含まれるものであり、侵入検知ポリシーA11
002の公開サーバサイトは、侵入検知ポリシーA10
01の範囲内に含まれるものである。また、上述したよ
うに、侵入検知ポリシーA11002の検知条件も侵入
検知ポリシーA1001と同じであることから、ポリシ
ー全体として侵入検知ポリシーA11002は、侵入検
知ポリシーA1001を継承しているものということが
でき、侵入検知ポリシーA1001の下の階層を形成し
ている。
1001は、侵入検知管理システムの管理範囲全域に存
在する侵入検知装置に対して、検知条件Aを監視し、検
知条件Aに該当する兆候が発見された場合に、対処項目
Aを実施すべきであることを示している。この侵入検知
ポリシーA11002のObject Attribu
tes句の対象装置属性群の配置位置は、公開サーバサ
イトの配置位置に限定されており、if句は侵入検知ポ
リシーA1001のものを継承し、すなわち検知条件A
を規定し、then句は侵入検知ポリシーA11002
独自の対処項目A1を規定するものである。ここで、O
bject Attributes句の配置位置とし
て、侵入検知ポリシーA11002の公開サーバサイト
は、侵入検知ポリシーA1001の管理範囲全域とは異
なっているけれども、公開サーバサイトは管理範囲全域
に当然に含まれるものであり、侵入検知ポリシーA11
002の公開サーバサイトは、侵入検知ポリシーA10
01の範囲内に含まれるものである。また、上述したよ
うに、侵入検知ポリシーA11002の検知条件も侵入
検知ポリシーA1001と同じであることから、ポリシ
ー全体として侵入検知ポリシーA11002は、侵入検
知ポリシーA1001を継承しているものということが
でき、侵入検知ポリシーA1001の下の階層を形成し
ている。
【0068】侵入検知ポリシーA21003のObje
ct Attributes句の対象装置属性群の配置
位置は、公開サーバサイトの配置位置に限定されている
が、検知条件を規定するif句と検知条件に対応する対
処項目を規定するthen句の部分は、独自に規定され
ている。すなわち、if句には検知条件Aかつ検知条件
Bの状態が検出されたときが規定され、then句には
その場合に対応する対処項目A2が規定されている。こ
の場合、if句の検知条件Aかつ検知条件Bという条件
は、新たな検知条件Bが入ってきているけれども、その
条件の範囲は依然として検知条件A内にも含まれるとい
う点で、このif句の条件は侵入検知ポリシーA100
1のポリシーを継承している。したがって、侵入検知ポ
リシーA 21003も全体として侵入検知ポリシーA1
001を継承しているものということができ、侵入検知
ポリシーA1001の下の階層を形成している。
ct Attributes句の対象装置属性群の配置
位置は、公開サーバサイトの配置位置に限定されている
が、検知条件を規定するif句と検知条件に対応する対
処項目を規定するthen句の部分は、独自に規定され
ている。すなわち、if句には検知条件Aかつ検知条件
Bの状態が検出されたときが規定され、then句には
その場合に対応する対処項目A2が規定されている。こ
の場合、if句の検知条件Aかつ検知条件Bという条件
は、新たな検知条件Bが入ってきているけれども、その
条件の範囲は依然として検知条件A内にも含まれるとい
う点で、このif句の条件は侵入検知ポリシーA100
1のポリシーを継承している。したがって、侵入検知ポ
リシーA 21003も全体として侵入検知ポリシーA1
001を継承しているものということができ、侵入検知
ポリシーA1001の下の階層を形成している。
【0069】侵入検知ポリシーA1001、侵入検知ポ
リシーA11002や侵入検知ポリシーA21003は、
図8における侵入検知ポリシーデータベース801に格
納される。したがって、侵入検知ポリシーデータベース
801は、上述したようなポリシーの階層化の関係に基
づいて、各ポリシーを格納することができるように拡張
される。侵入検知ポリシーA11002や侵入検知ポリ
シーA21003が侵入検知装置に設定された後の動作
については、上述した実施の形態5で説明した場合と同
じであるので、説明は省略する。
リシーA11002や侵入検知ポリシーA21003は、
図8における侵入検知ポリシーデータベース801に格
納される。したがって、侵入検知ポリシーデータベース
801は、上述したようなポリシーの階層化の関係に基
づいて、各ポリシーを格納することができるように拡張
される。侵入検知ポリシーA11002や侵入検知ポリ
シーA21003が侵入検知装置に設定された後の動作
については、上述した実施の形態5で説明した場合と同
じであるので、説明は省略する。
【0070】以上のように、侵入検知ポリシーを階層化
することにより、ある侵入検知装置に対してより詳細な
レベルのポリシーを、侵入検知ポリシーデータベース8
01から検索し、配信設定することができる。つまり、
ある侵入検知装置が公開サーバサイトに配置されている
としたら、図10の例では、管理範囲全域に適用できる
侵入検知ポリシーA1001ではなく、配置場所が公開
サーバサイトのみに適用できる、より階層の低い侵入検
知ポリシーA11002、A21003が選択される。そ
して、これらのうち適当な侵入検知ポリシーがその侵入
検知装置に対して配信され、設定される。また、このよ
うに侵入検知ポリシーを階層化することによって、実施
の形態2で示したように、段階的なポリシーを設定する
ことも可能である。
することにより、ある侵入検知装置に対してより詳細な
レベルのポリシーを、侵入検知ポリシーデータベース8
01から検索し、配信設定することができる。つまり、
ある侵入検知装置が公開サーバサイトに配置されている
としたら、図10の例では、管理範囲全域に適用できる
侵入検知ポリシーA1001ではなく、配置場所が公開
サーバサイトのみに適用できる、より階層の低い侵入検
知ポリシーA11002、A21003が選択される。そ
して、これらのうち適当な侵入検知ポリシーがその侵入
検知装置に対して配信され、設定される。また、このよ
うに侵入検知ポリシーを階層化することによって、実施
の形態2で示したように、段階的なポリシーを設定する
ことも可能である。
【0071】このようなオブジェクト指向的にポリシー
を階層化することにより、侵入検知管理システムで使用
するポリシー群を、一般的なポリシーから限定的なポリ
シーへと階層的に管理することができる。また、侵入検
知ポリシーデータベース801に格納されるポリシーの
編集機能をシステム管理者に提供し、新規に限定的なポ
リシーを作成する場合には、この階層を用いて、上位と
するより一般的なポリシーを引用して記述できるように
することで、ポリシー作成者の編集の手間を削減するこ
と、あるいは階層的に表示することで各ポリシーの間の
関係の明確化や、見易さを実現することができる。な
お、図10では、単純に二階層の関係のみ示したが、こ
れは二階層に限定する趣旨のものではなく、三階層以上
の多階層であってもよい。
を階層化することにより、侵入検知管理システムで使用
するポリシー群を、一般的なポリシーから限定的なポリ
シーへと階層的に管理することができる。また、侵入検
知ポリシーデータベース801に格納されるポリシーの
編集機能をシステム管理者に提供し、新規に限定的なポ
リシーを作成する場合には、この階層を用いて、上位と
するより一般的なポリシーを引用して記述できるように
することで、ポリシー作成者の編集の手間を削減するこ
と、あるいは階層的に表示することで各ポリシーの間の
関係の明確化や、見易さを実現することができる。な
お、図10では、単純に二階層の関係のみ示したが、こ
れは二階層に限定する趣旨のものではなく、三階層以上
の多階層であってもよい。
【0072】実施の形態7.図11は、この発明にかか
る侵入検知管理システムの実施の形態7の構成を示すブ
ロック図である。この図11に示される構成は、図8に
示される構成にポリシー継承規則データベース1101
を付加したことにより、階層化したポリシーにおけるポ
リシーの多重継承を可能にすると共に、多重継承を行う
際の継承の優先関係を制御可能にすることを目的とす
る。このポリシー継承規則データベース1101は、ポ
リシー翻訳配信装置803に接続されている。
る侵入検知管理システムの実施の形態7の構成を示すブ
ロック図である。この図11に示される構成は、図8に
示される構成にポリシー継承規則データベース1101
を付加したことにより、階層化したポリシーにおけるポ
リシーの多重継承を可能にすると共に、多重継承を行う
際の継承の優先関係を制御可能にすることを目的とす
る。このポリシー継承規則データベース1101は、ポ
リシー翻訳配信装置803に接続されている。
【0073】図11および図12を用いて、ポリシー継
承規則データベース1101による階層化したポリシー
におけるポリシーの多重継承について説明する。図12
は、この実施の形態7における多重継承を説明するため
の階層的なポリシーの関係を示す模式図である。図12
において、侵入検知ポリシーA1201は、ポリシー階
層の上位にある侵入検知ポリシーであり、公開サーバサ
イトに配置されている侵入検知装置106に対し、検知
条件1の内容を検知した場合には、対処項目Aを行うこ
とを意図するものである。侵入検知ポリシーB1202
は、侵入検知ポリシーA1201と同レベルの階層にあ
る侵入検知ポリシーであり、HTTP(HyperTe
xt Transfer Protocol)サーバが
配置されているネットワーク上の侵入検知装置106に
対し、検知条件1の内容を検知した場合には、対処項目
ΔAおよび対処項目Bを行うことを意図するものであ
る。ここで、対処項目Aと対処項目ΔAは、相反する内
容であるとする。例えば、対処項目Aが、「侵入とみな
された通信を遮断する」であり、対処項目ΔAが、「侵
入とみなされた通信を遮断しないが、発信元に連絡す
る」であるような場合である。侵入検知ポリシーC12
03は、侵入検知ポリシーA1201および侵入検知ポ
リシーB1202の下位の階層に位置し、これらの侵入
検知ポリシーA1201、B1202を継承するポリシ
ーであるとする。この場合、両方の侵入検知ポリシーA
1201、B1202を継承するので、then句は
「対処項目Aかつ対処項目ΔAかつ対処項目B」という
内容になり、実行不可能になってしまう。
承規則データベース1101による階層化したポリシー
におけるポリシーの多重継承について説明する。図12
は、この実施の形態7における多重継承を説明するため
の階層的なポリシーの関係を示す模式図である。図12
において、侵入検知ポリシーA1201は、ポリシー階
層の上位にある侵入検知ポリシーであり、公開サーバサ
イトに配置されている侵入検知装置106に対し、検知
条件1の内容を検知した場合には、対処項目Aを行うこ
とを意図するものである。侵入検知ポリシーB1202
は、侵入検知ポリシーA1201と同レベルの階層にあ
る侵入検知ポリシーであり、HTTP(HyperTe
xt Transfer Protocol)サーバが
配置されているネットワーク上の侵入検知装置106に
対し、検知条件1の内容を検知した場合には、対処項目
ΔAおよび対処項目Bを行うことを意図するものであ
る。ここで、対処項目Aと対処項目ΔAは、相反する内
容であるとする。例えば、対処項目Aが、「侵入とみな
された通信を遮断する」であり、対処項目ΔAが、「侵
入とみなされた通信を遮断しないが、発信元に連絡す
る」であるような場合である。侵入検知ポリシーC12
03は、侵入検知ポリシーA1201および侵入検知ポ
リシーB1202の下位の階層に位置し、これらの侵入
検知ポリシーA1201、B1202を継承するポリシ
ーであるとする。この場合、両方の侵入検知ポリシーA
1201、B1202を継承するので、then句は
「対処項目Aかつ対処項目ΔAかつ対処項目B」という
内容になり、実行不可能になってしまう。
【0074】そこで、対処項目が複数存在する場合や、
相反する対処項目が存在する場合にポリシーを継承する
ときには、それぞれの項目に対して優先順位を付けるこ
とにより、問題を解決することができる。この図12の
例では、継承の優先順位は、図13に示す継承優先順位
定義データ1301を用いて決定される。この図13か
ら、継承優先順位1位の属性は配置位置であり、継承優
先順位2位の属性は提供サービスであるので、図12の
場合には、配置位置を指定している侵入検知ポリシーA
1201の方が、提供サービスを指定している侵入検知
ポリシーB1202よりも継承優先順位が高い。すなわ
ち、侵入検知ポリシーA1201の条件が優先される。
したがって、これら二つの侵入検知ポリシーA120
1、B1202を継承する場合のthen句は、侵入検
知ポリシーA1201から対処項目Aを選択し、侵入検
知ポリシーB1202から対処項目Bを選択した「対処
項目Aかつ対処項目B」となる。これが侵入検知ポリシ
ーC1203として図12に示されている。この侵入検
知ポリシーC1203は、公開サーバサイトに配置され
ていて、かつ提供サービスとしてHTTPサーバが配置
されているネットワーク上にある侵入検知装置に対し
て、検知条件1の内容を検知した場合には、対処項目A
および対処項目Bを行うことを意図するものである。な
お、図13に示される継承優先順位定義データ1301
は、図11のポリシー継承規則データベース1101中
に格納される。
相反する対処項目が存在する場合にポリシーを継承する
ときには、それぞれの項目に対して優先順位を付けるこ
とにより、問題を解決することができる。この図12の
例では、継承の優先順位は、図13に示す継承優先順位
定義データ1301を用いて決定される。この図13か
ら、継承優先順位1位の属性は配置位置であり、継承優
先順位2位の属性は提供サービスであるので、図12の
場合には、配置位置を指定している侵入検知ポリシーA
1201の方が、提供サービスを指定している侵入検知
ポリシーB1202よりも継承優先順位が高い。すなわ
ち、侵入検知ポリシーA1201の条件が優先される。
したがって、これら二つの侵入検知ポリシーA120
1、B1202を継承する場合のthen句は、侵入検
知ポリシーA1201から対処項目Aを選択し、侵入検
知ポリシーB1202から対処項目Bを選択した「対処
項目Aかつ対処項目B」となる。これが侵入検知ポリシ
ーC1203として図12に示されている。この侵入検
知ポリシーC1203は、公開サーバサイトに配置され
ていて、かつ提供サービスとしてHTTPサーバが配置
されているネットワーク上にある侵入検知装置に対し
て、検知条件1の内容を検知した場合には、対処項目A
および対処項目Bを行うことを意図するものである。な
お、図13に示される継承優先順位定義データ1301
は、図11のポリシー継承規則データベース1101中
に格納される。
【0075】侵入検知ポリシーデータベース801に基
づいて、ポリシー翻訳配信装置803は、ネットワーク
装置データベース103およびポリシー翻訳規則データ
ベース802を用いて、侵入検知管理システム上の個々
の侵入検知装置106に対して適当なポリシーに変換す
る。この機能が、ポリシー翻訳手段に相当する。このと
き、ポリシー翻訳配信装置803は、図12に示される
侵入検知ポリシーC1203のようなポリシーを定義
し、上位ポリシーとして侵入検知ポリシーA1201と
侵入検知ポリシーB1202を選択する際に、図13に
例示されるような継承優先順位定義データ1301を参
照し、優先度の高い上位ポリシーから定義内容を継承す
る。そして、ポリシー翻訳配信装置803は、それぞれ
の侵入検知装置106、106’・・・に対し、翻訳し
たポリシーを配信する。これ以降の流れは、上述した実
施の形態5で説明した場合と同様であるので、説明は省
略する。
づいて、ポリシー翻訳配信装置803は、ネットワーク
装置データベース103およびポリシー翻訳規則データ
ベース802を用いて、侵入検知管理システム上の個々
の侵入検知装置106に対して適当なポリシーに変換す
る。この機能が、ポリシー翻訳手段に相当する。このと
き、ポリシー翻訳配信装置803は、図12に示される
侵入検知ポリシーC1203のようなポリシーを定義
し、上位ポリシーとして侵入検知ポリシーA1201と
侵入検知ポリシーB1202を選択する際に、図13に
例示されるような継承優先順位定義データ1301を参
照し、優先度の高い上位ポリシーから定義内容を継承す
る。そして、ポリシー翻訳配信装置803は、それぞれ
の侵入検知装置106、106’・・・に対し、翻訳し
たポリシーを配信する。これ以降の流れは、上述した実
施の形態5で説明した場合と同様であるので、説明は省
略する。
【0076】ポリシー翻訳配信装置803が優先順位を
定めた侵入検知ポリシーを作成する場合において、自動
的に侵入検知ポリシーを構築した後に、または、ユーザ
に侵入検知ポリシーの構築結果を示して承認もしくは編
集を行わせた後に、侵入検知ポリシーデータベース80
1に登録するようにしてもよい。
定めた侵入検知ポリシーを作成する場合において、自動
的に侵入検知ポリシーを構築した後に、または、ユーザ
に侵入検知ポリシーの構築結果を示して承認もしくは編
集を行わせた後に、侵入検知ポリシーデータベース80
1に登録するようにしてもよい。
【0077】以上のように、この実施の形態7による侵
入検知管理システムによれば、複数のポリシーを継承す
る侵入検知ポリシーを活用するとともに、複数のポリシ
ーを多重継承することによって起こり得る定義内容の競
合を回避する手段を提供することができる。
入検知管理システムによれば、複数のポリシーを継承す
る侵入検知ポリシーを活用するとともに、複数のポリシ
ーを多重継承することによって起こり得る定義内容の競
合を回避する手段を提供することができる。
【0078】実施の形態8.図14は、この発明にかか
る侵入検知管理システムの実施の形態8の構成を示すブ
ロック図である。この実施の形態8に示す構成では、上
述した実施の形態5の侵入検知管理システムを拡張し、
該侵入検知管理システムの監視下にある各種ネットワー
ク機器やサービスの構成の変更を自動的に検知し、その
構成の変更に基づいてポリシーを再配信することを可能
にする。そのために、図14に示される構成は、図8の
構成にネットワーク構成変更自動検知装置1401が付
加されたものとなっている。このネットワーク構成変更
自動検知装置1401は、侵入検知管理システムの監視
下にある範囲のネットワークに存在する機器群107、
107’、・・・を定期的に検査し、ネットワーク装置
データベース103に登録されている装置のネットワー
ク構成情報と照合し、検査時の装置内容と登録されてい
る装置内容との間に相違がある場合には、その内容の追
加、変更を行うと同時に、相違した装置に対するポリシ
ーの再構成を行うものである。このような機能を持つネ
ットワーク構成変更自動検知装置1401として、公知
のものを使用することができる。
る侵入検知管理システムの実施の形態8の構成を示すブ
ロック図である。この実施の形態8に示す構成では、上
述した実施の形態5の侵入検知管理システムを拡張し、
該侵入検知管理システムの監視下にある各種ネットワー
ク機器やサービスの構成の変更を自動的に検知し、その
構成の変更に基づいてポリシーを再配信することを可能
にする。そのために、図14に示される構成は、図8の
構成にネットワーク構成変更自動検知装置1401が付
加されたものとなっている。このネットワーク構成変更
自動検知装置1401は、侵入検知管理システムの監視
下にある範囲のネットワークに存在する機器群107、
107’、・・・を定期的に検査し、ネットワーク装置
データベース103に登録されている装置のネットワー
ク構成情報と照合し、検査時の装置内容と登録されてい
る装置内容との間に相違がある場合には、その内容の追
加、変更を行うと同時に、相違した装置に対するポリシ
ーの再構成を行うものである。このような機能を持つネ
ットワーク構成変更自動検知装置1401として、公知
のものを使用することができる。
【0079】つぎに、この実施の形態8に示される侵入
検知管理システムの動作について説明する。ネットワー
ク構成変更自動検知装置1401は、侵入検知管理シス
テムを構成するネットワーク上の装置の変更を検知する
と、その装置の中で提供されているサービスの稼動状況
などを検査し、ポリシー配信状況データベース804を
参照して、変更があったネットワーク機器を監視する侵
入検知装置106に対して適切なポリシーが設定されて
いるか否かを判断する。例えば、新規に発見されたサー
バ装置でHTTPサービスが稼動している場合を例に挙
げて以下説明すると、ネットワーク構成変更自動検知装
置1401は、侵入検知ポリシーデータベース801か
ら、HTTPサーバ用の侵入検知ポリシーを検索する。
検索の結果、そのHTTPサーバ用の侵入検知ポリシー
が存在する場合には、そのサーバ装置に適当なHTTP
用の侵入検知ポリシーが、そのサーバ装置に配信され、
設定されているかについて判断する。判断にあたり、ネ
ットワーク構成変更自動検知装置1401は、ポリシー
配信状況データベース804に格納されている変更のあ
った装置の内容と比較する。適当なHTTPサーバ用の
侵入検知ポリシーがそのサーバ装置に配信されていなけ
れば、ポリシー翻訳配信装置803を用いて、そのHT
TPサーバ用の侵入検知ポリシーを、その変更のあった
サーバ装置を管理する侵入検知装置106へ配信しなお
す。また、HTTPサーバ用の侵入検知ポリシーが侵入
検知ポリシーデータベース801に存在しない場合に
は、上述した実施の形態5の手順に従って、そのサーバ
装置に対する侵入検知ポリシーを構成した後、検知対処
配信装置102を介して侵入検知装置106へその侵入
検知ポリシーを配信し、構成に変更のあった装置に設定
する。適当な侵入検知ポリシーの配信にあたって、変更
されたサーバ装置に適当な侵入検知ポリシーを自動的に
配信しても良いし、その侵入検知ポリシーをユーザに予
め提示し、ユーザの承認を得てから配信するようにして
もよい。
検知管理システムの動作について説明する。ネットワー
ク構成変更自動検知装置1401は、侵入検知管理シス
テムを構成するネットワーク上の装置の変更を検知する
と、その装置の中で提供されているサービスの稼動状況
などを検査し、ポリシー配信状況データベース804を
参照して、変更があったネットワーク機器を監視する侵
入検知装置106に対して適切なポリシーが設定されて
いるか否かを判断する。例えば、新規に発見されたサー
バ装置でHTTPサービスが稼動している場合を例に挙
げて以下説明すると、ネットワーク構成変更自動検知装
置1401は、侵入検知ポリシーデータベース801か
ら、HTTPサーバ用の侵入検知ポリシーを検索する。
検索の結果、そのHTTPサーバ用の侵入検知ポリシー
が存在する場合には、そのサーバ装置に適当なHTTP
用の侵入検知ポリシーが、そのサーバ装置に配信され、
設定されているかについて判断する。判断にあたり、ネ
ットワーク構成変更自動検知装置1401は、ポリシー
配信状況データベース804に格納されている変更のあ
った装置の内容と比較する。適当なHTTPサーバ用の
侵入検知ポリシーがそのサーバ装置に配信されていなけ
れば、ポリシー翻訳配信装置803を用いて、そのHT
TPサーバ用の侵入検知ポリシーを、その変更のあった
サーバ装置を管理する侵入検知装置106へ配信しなお
す。また、HTTPサーバ用の侵入検知ポリシーが侵入
検知ポリシーデータベース801に存在しない場合に
は、上述した実施の形態5の手順に従って、そのサーバ
装置に対する侵入検知ポリシーを構成した後、検知対処
配信装置102を介して侵入検知装置106へその侵入
検知ポリシーを配信し、構成に変更のあった装置に設定
する。適当な侵入検知ポリシーの配信にあたって、変更
されたサーバ装置に適当な侵入検知ポリシーを自動的に
配信しても良いし、その侵入検知ポリシーをユーザに予
め提示し、ユーザの承認を得てから配信するようにして
もよい。
【0080】以上のように、本発明による侵入検知管理
システムによれば、ネットワーク構成変更の際のポリシ
ーの配信状況の検証を自動化し、ネットワーク内の設定
を適切に保つことができる。また構成変更の際の再設定
の手間を削減することができる。
システムによれば、ネットワーク構成変更の際のポリシ
ーの配信状況の検証を自動化し、ネットワーク内の設定
を適切に保つことができる。また構成変更の際の再設定
の手間を削減することができる。
【0081】
【発明の効果】以上説明したように、この発明によれ
ば、侵入検知手段から侵入の情報を受け取ると、検知対
処データベースと対処状況保存データベースを参照し
て、侵入に対する過去の対処の段階からつぎに行うべき
検知対処ルールを選択する検知対処ルール選択手段とを
備えたので、システムへの不正な侵入に対して、段階的
な処理を行うことが可能となる。
ば、侵入検知手段から侵入の情報を受け取ると、検知対
処データベースと対処状況保存データベースを参照し
て、侵入に対する過去の対処の段階からつぎに行うべき
検知対処ルールを選択する検知対処ルール選択手段とを
備えたので、システムへの不正な侵入に対して、段階的
な処理を行うことが可能となる。
【0082】つぎの発明によれば、前記対処状況保存デ
ータベースに保存されている過去に実行した対処状況
を、該対処を実行してから一定期間の後に削除するよう
にしたので、不正侵入管理システムの過去の対処につい
て検索する負荷を減らすことができる。
ータベースに保存されている過去に実行した対処状況
を、該対処を実行してから一定期間の後に削除するよう
にしたので、不正侵入管理システムの過去の対処につい
て検索する負荷を減らすことができる。
【0083】つぎの発明によれば、複数の侵入検知手段
の状態を監視し、侵入検知グループデータベースから検
知対処ルールを設定する侵入検知装置を選択する手段を
有する検知対処手段を設けたので、複数の侵入検知手段
が存在する場合であっても、管理者は一台の侵入検知手
段に対して指示するように操作することが可能となる。
その結果、システムを管理する管理者の手間を省くこと
ができる。また、複数存在する侵入検知装置の間で侵入
検知の役割分担を行うこともできる。
の状態を監視し、侵入検知グループデータベースから検
知対処ルールを設定する侵入検知装置を選択する手段を
有する検知対処手段を設けたので、複数の侵入検知手段
が存在する場合であっても、管理者は一台の侵入検知手
段に対して指示するように操作することが可能となる。
その結果、システムを管理する管理者の手間を省くこと
ができる。また、複数存在する侵入検知装置の間で侵入
検知の役割分担を行うこともできる。
【0084】つぎの発明によれば、負荷分散手段を検知
対処手段に設けたので、負荷が高い侵入検知装置が存在
する場合には、他の侵入検知装置に負荷を分散させて、
効率よいシステムの運営を行うことが可能となる。
対処手段に設けたので、負荷が高い侵入検知装置が存在
する場合には、他の侵入検知装置に負荷を分散させて、
効率よいシステムの運営を行うことが可能となる。
【0085】つぎの発明によれば、複数の侵入検知手段
の状態を監視し、侵入検知グループデータベースから検
知対処ルールを設定する侵入検知装置を選択する手段を
有する検知対処手段と、検知対処データベースと対処状
況保存データベースを参照して、侵入に対する過去の対
処の段階からつぎに行うべき検知対処ルールを選択する
検知対処ルール選択手段とを備えたので、複数の侵入検
知手段が存在する場合であっても、管理者は一台の侵入
検知手段に対して指示するように操作することが可能で
あり、どの侵入検知手段で侵入が行われたかということ
を管理者が把握する必要がない。また、システムへの不
正な侵入に対して、段階的な処理を行うことが可能とな
る。
の状態を監視し、侵入検知グループデータベースから検
知対処ルールを設定する侵入検知装置を選択する手段を
有する検知対処手段と、検知対処データベースと対処状
況保存データベースを参照して、侵入に対する過去の対
処の段階からつぎに行うべき検知対処ルールを選択する
検知対処ルール選択手段とを備えたので、複数の侵入検
知手段が存在する場合であっても、管理者は一台の侵入
検知手段に対して指示するように操作することが可能で
あり、どの侵入検知手段で侵入が行われたかということ
を管理者が把握する必要がない。また、システムへの不
正な侵入に対して、段階的な処理を行うことが可能とな
る。
【0086】つぎの発明によれば、前記対処状況保存デ
ータベースに保存されている過去に実行した対処状況
を、該対処を実行してから一定期間の後に削除するよう
にしたので、不正侵入管理システムの過去の対処につい
て検索する負荷を減らすことができる。
ータベースに保存されている過去に実行した対処状況
を、該対処を実行してから一定期間の後に削除するよう
にしたので、不正侵入管理システムの過去の対処につい
て検索する負荷を減らすことができる。
【0087】つぎの発明によれば、正常状態データベー
スと、所定の時間が経過後にシステムの情報と前記正常
状態データベースに格納されている正常状態のシステム
の情報とを比較して改ざんの有無を判断する被害状況確
認手段と、対処解除手段とを備えたので、ある不正の侵
入等に対する対処を行ってから一定期間何も被害がない
場合には、自動的に先に行った対処を解除することがで
きる。これにより、過去に行われた対処であって、現在
ではもう被害がおきそうもない対処については、効率よ
く対処を解除することが可能となり、システムを管理す
る管理者の手間を省力化することが可能となる。
スと、所定の時間が経過後にシステムの情報と前記正常
状態データベースに格納されている正常状態のシステム
の情報とを比較して改ざんの有無を判断する被害状況確
認手段と、対処解除手段とを備えたので、ある不正の侵
入等に対する対処を行ってから一定期間何も被害がない
場合には、自動的に先に行った対処を解除することがで
きる。これにより、過去に行われた対処であって、現在
ではもう被害がおきそうもない対処については、効率よ
く対処を解除することが可能となり、システムを管理す
る管理者の手間を省力化することが可能となる。
【0088】つぎの発明によれば、前記検知対処データ
ベースは、前記ネットワーク機器群に一定期間内に所定
回数以上の侵入を検知した場合に行う同時発生時ルール
をさらに格納することができるので、一定期間内に所定
回数以上の不正なアクセスに対しての防御を提供するこ
とができる。
ベースは、前記ネットワーク機器群に一定期間内に所定
回数以上の侵入を検知した場合に行う同時発生時ルール
をさらに格納することができるので、一定期間内に所定
回数以上の不正なアクセスに対しての防御を提供するこ
とができる。
【0089】つぎの発明によれば、ポリシー翻訳配信手
段を備えたので、一つの上位概念的な侵入検知ポリシー
を侵入検知管理システムに与えるだけで、その侵入検知
ポリシーを、システムを構成するネットワーク機器にふ
さわしい侵入検知ポリシーに変換することができる。ま
た、それぞれのネットワーク機器に応じた検知対処ルー
ルを作成する必要がないので、装置ごとに検知対処ルー
ルを設定する手間を省くことができる。
段を備えたので、一つの上位概念的な侵入検知ポリシー
を侵入検知管理システムに与えるだけで、その侵入検知
ポリシーを、システムを構成するネットワーク機器にふ
さわしい侵入検知ポリシーに変換することができる。ま
た、それぞれのネットワーク機器に応じた検知対処ルー
ルを作成する必要がないので、装置ごとに検知対処ルー
ルを設定する手間を省くことができる。
【0090】つぎの発明によれば、対処状況保存データ
ベースを備えたので、システムへの不正な侵入に対し
て、段階的な処理を行うことが可能となる。これによ
り、侵入の兆候の初期段階では警戒的な対策を行い、よ
り深刻な問題を引き起こす兆候が検出されれば、それに
応じてより厳しい対処を行うという対策を施すことが可
能となる。
ベースを備えたので、システムへの不正な侵入に対し
て、段階的な処理を行うことが可能となる。これによ
り、侵入の兆候の初期段階では警戒的な対策を行い、よ
り深刻な問題を引き起こす兆候が検出されれば、それに
応じてより厳しい対処を行うという対策を施すことが可
能となる。
【0091】つぎの発明によれば、検知対処手段は、対
処状況保存データベースに保存されている過去に実行し
た対処状況を、対処を実行してから一定期間の後に削除
するようにしたので、不正侵入管理システムの過去の対
処について検索する負荷を減らすことができる。
処状況保存データベースに保存されている過去に実行し
た対処状況を、対処を実行してから一定期間の後に削除
するようにしたので、不正侵入管理システムの過去の対
処について検索する負荷を減らすことができる。
【0092】つぎの発明によれば、侵入検知ポリシーデ
ータベースに、階層化された前記侵入検知ポリシーを格
納することができるように構成したので、システムで使
用するポリシー群を一般的なポリシーから限定的なポリ
シーへ、階層的に管理することができる。また、この階
層を用いて、新規に限定的なポリシーを作成する場合
に、上位とするより一般的なポリシーを引用して記述で
きるようにすることで、ポリシー作成者の編集の手間を
削減することができる。さらに、階層的に表示すること
で、関係の明確化、見易さを実現することができる。
ータベースに、階層化された前記侵入検知ポリシーを格
納することができるように構成したので、システムで使
用するポリシー群を一般的なポリシーから限定的なポリ
シーへ、階層的に管理することができる。また、この階
層を用いて、新規に限定的なポリシーを作成する場合
に、上位とするより一般的なポリシーを引用して記述で
きるようにすることで、ポリシー作成者の編集の手間を
削減することができる。さらに、階層的に表示すること
で、関係の明確化、見易さを実現することができる。
【0093】つぎの発明によれば、上位の侵入検知ポリ
シーを継承する下位の侵入検知ポリシーを構築する場合
の前記上位の侵入検知ポリシー間の優先順位を規定した
ポリシー継承規則データベースを備えたので、複数のポ
リシーを継承する侵入検知ポリシーを活用することがで
きるとともに、複数のポリシーを多重継承することによ
って起こり得る定義内容の衝突を回避することができ
る。
シーを継承する下位の侵入検知ポリシーを構築する場合
の前記上位の侵入検知ポリシー間の優先順位を規定した
ポリシー継承規則データベースを備えたので、複数のポ
リシーを継承する侵入検知ポリシーを活用することがで
きるとともに、複数のポリシーを多重継承することによ
って起こり得る定義内容の衝突を回避することができ
る。
【0094】つぎの発明によれば、ネットワーク構成変
更自動検知手段を備えたので、ネットワークの構成の変
更の際のポリシーの配信状況の検証を自動化し、ネット
ワーク内の設定を適切に保つことができる。また、構成
変更の際の再設定の手間を削減することができる。
更自動検知手段を備えたので、ネットワークの構成の変
更の際のポリシーの配信状況の検証を自動化し、ネット
ワーク内の設定を適切に保つことができる。また、構成
変更の際の再設定の手間を削減することができる。
【図1】 この発明による侵入検知管理システムの実施
の形態1の構成を示すブロック図である。
の形態1の構成を示すブロック図である。
【図2】 段階的な侵入に対する検知対処ルールの一例
を示す図である。
を示す図である。
【図3】 この発明の実施の形態1の動作を表すフロー
チャートである。
チャートである。
【図4】 この発明による侵入検知管理システムの実施
の形態2で用いる同時発生時ルールの一例を示す図であ
る。
の形態2で用いる同時発生時ルールの一例を示す図であ
る。
【図5】 この発明による侵入検知管理システムの実施
の形態3の構成を示すブロック図である。
の形態3の構成を示すブロック図である。
【図6】 この発明による侵入検知管理システムの実施
の形態3で用いる自動解除可能ルールの一例を示す図で
ある。
の形態3で用いる自動解除可能ルールの一例を示す図で
ある。
【図7】 この発明による侵入検知管理システムの実施
の形態4の構成を示すブロック図である。
の形態4の構成を示すブロック図である。
【図8】 この発明による侵入検知管理システムの実施
の形態5の構成を示すブロック図である。
の形態5の構成を示すブロック図である。
【図9】 この発明による侵入検知管理システムの実施
の形態5で用いる侵入検知ポリシーの一例を示す図であ
る。
の形態5で用いる侵入検知ポリシーの一例を示す図であ
る。
【図10】 この発明による侵入検知管理システムの実
施の形態6で用いる階層化された侵入検知ポリシーの一
例を示す図である。
施の形態6で用いる階層化された侵入検知ポリシーの一
例を示す図である。
【図11】 この発明による侵入検知管理システムの実
施の形態7の構成を示すブロック図である。
施の形態7の構成を示すブロック図である。
【図12】 この発明による侵入検知管理システムの実
施の形態7における侵入検知ポリシーの継承の一例を示
す図である。
施の形態7における侵入検知ポリシーの継承の一例を示
す図である。
【図13】 この発明による侵入検知管理システムの実
施の形態7で用いる侵入検知ポリシーの継承優先順位定
義データの一例を示す図である。
施の形態7で用いる侵入検知ポリシーの継承優先順位定
義データの一例を示す図である。
【図14】 この発明による侵入検知管理システムの実
施の形態8の構成を示すブロック図である。
施の形態8の構成を示すブロック図である。
101 検知対処データベース、102 検知対処配信
装置、103 ネットワーク装置データベース、104
対処状況保存データベース、105 検知対処項目イ
ンタプリタ、106,106a,106b,106’
侵入検知装置、107,107’ ネットワーク機器
群、501 正常状態データベース、502 被害状況
確認装置、701 侵入検知グループデータベース、7
02 侵入検知グループマネージャ、801 侵入検知
ポリシーデータベース、802 ポリシー翻訳規則デー
タベース、803 ポリシー翻訳配信装置、804 ポ
リシー配信状況データベース、1101 ポリシー継承
規則データベース、1401ネットワーク構成変更自動
検知装置。
装置、103 ネットワーク装置データベース、104
対処状況保存データベース、105 検知対処項目イ
ンタプリタ、106,106a,106b,106’
侵入検知装置、107,107’ ネットワーク機器
群、501 正常状態データベース、502 被害状況
確認装置、701 侵入検知グループデータベース、7
02 侵入検知グループマネージャ、801 侵入検知
ポリシーデータベース、802 ポリシー翻訳規則デー
タベース、803 ポリシー翻訳配信装置、804 ポ
リシー配信状況データベース、1101 ポリシー継承
規則データベース、1401ネットワーク構成変更自動
検知装置。
─────────────────────────────────────────────────────
フロントページの続き
(72)発明者 原田 道明
東京都千代田区丸の内二丁目2番3号 三
菱電機株式会社内
(72)発明者 金枝上 敦史
東京都千代田区丸の内二丁目2番3号 三
菱電機株式会社内
Fターム(参考) 5B085 AE00 CE10
5B089 GA11 GA23 GB02 JA35 JB16
KA17 KB13 KC54 KE02 MC08
5K033 BA08 DB12 DB14 DB20 EA07
Claims (14)
- 【請求項1】 ネットワークに接続された機器群への不
正侵入を検知する侵入検知手段と、前記侵入が行われた
場合の検知対処ルールが侵入の程度に対応して段階的に
格納されている検知対処データベースと、過去の侵入に
対して実行した対処状況が保存されている対処状況保存
データベースと、前記ネットワーク機器群に対して処理
を行う検知対処手段とを備え、 前記検知対処手段は、 前記侵入検知手段による侵入検知が行われると、前記検
知対処データベースと前記対処状況保存データベースと
に基づいて、所定の検知対処ルールを選択する検知対処
ルール選択手段と、 該選択された検知対処ルールを前記ネットワーク機器群
に実行させる対処実行手段と、 該実行された対処状況を前記対処状況保存データベース
に登録する対処登録手段と、を備えることを特徴とする
侵入検知管理システム。 - 【請求項2】 前記検知対処手段は、前記対処状況保存
データベースに保存されている過去に実行した対処状況
を、前記対処実行手段による当該対処を実行してから一
定期間の後に削除する対処状況削除手段をさらに備える
ことを特徴とする請求項1に記載の侵入検知管理システ
ム。 - 【請求項3】 ネットワークに接続された複数のネット
ワーク機器に対する不正侵入を検知するとともに複数の
ネットワーク機器毎にグループ分けされた複数の侵入検
知手段と、前記侵入が行われた場合の検知対処ルールが
侵入の程度に応じて段階的に格納されている検知対処デ
ータベースと、当該グループに含まれる夫々の侵入検知
手段についての侵入検知項目情報を含むグループ定義情
報が各グループ毎に格納されている侵入検知グループデ
ータベースと、前記複数のネットワーク機器に対して処
理を行う検知対処手段とを備え、 前記検知対処手段は、 前記侵入検知グループデータベースに格納されている当
該グループに割り当てられる複数の侵入検知項目情報を
用いて、前記検知対処データベースから当該グループに
含まれる複数の侵入検知手段に割り当てる複数の検知対
処ルールを選択し、該選択した複数の検知対処ルールを
各侵入検知手段に割り当てる検知対処ルール設定手段
と、 前記侵入検知手段による侵入の検知が行われると、前記
割り当てられた前記検知対処ルールを当該グループに対
応する複数のネットワーク機器に実行させる対処実行手
段と、を備えることを特徴とする侵入検知管理システ
ム。 - 【請求項4】 前記検知対処手段は、同じグループで同
じ検知対処ルールを実行する複数の侵入検知手段にかか
る負荷を平準化させる負荷分散手段をさらに備えること
を特徴とする請求項3に記載の侵入検知管理システム。 - 【請求項5】 ネットワークに接続された複数のネット
ワーク機器に対する不正侵入を検知するとともに複数の
ネットワーク機器毎にグループ分けされた複数の侵入検
知手段と、前記侵入が行われた場合の検知対処ルールが
侵入の程度に応じて段階的に格納されている検知対処デ
ータベースと、当該グループに含まれる夫々の侵入検知
手段についての侵入検知項目情報を含むグループ定義情
報が各グループ毎に格納されている侵入検知グループデ
ータベースと、過去の侵入に対して実行された対処状況
が保存されている対処状況保存データベースと、前記複
数のネットワーク機器に対して処理を行う検知対処手段
とを備え、 前記検知対処手段は、 初回ルール設定時には、前記侵入検知グループデータベ
ースに格納されている当該グループに割り当てられる複
数の侵入検知項目情報を用いて、前記検知対処データベ
ースから当該グループに含まれる複数の侵入検知手段に
割り当てる複数の検知対処ルールを選択し、該選択した
複数の検知対処ルールを各侵入検知手段に割り当てる第
1の検知対処ルール設定手段と、 前記侵入検知手段による侵入検知が行われる度に、前記
検知対処データベースと前記対処状況保存データベース
とに基づいて、所定の検知対処ルールを選択し、該選択
した検知対処ルールを対応する侵入検知手段に割り当て
る第2の検知対処ルール設定手段と、 前記侵入検知手段による第1回目の侵入検知が行われる
と、前記第1の検知対処ルール設定手段によって割り当
てられた検知対処ルールを当該グループに対応する複数
のネットワーク機器に実行させ、前記侵入検知手段によ
る複数回目以降の侵入検知が行われると、前記第2の検
知対処ルール設定手段によって割り当てられた検知対処
ルールを当該グループに対応する複数のネットワーク機
器に実行させる対処実行手段と、 前記実行された対処状況を前記対処状況保存データベー
スに登録する対処登録手段と、を備えることを特徴とす
る侵入検知管理システム。 - 【請求項6】 前記検知対処手段は、前記対処状況保存
データベースに保存されている過去に実行した対処状況
を、前記対処実行手段による当該対処を実行してから一
定期間の後に削除する対処状況削除手段をさらに備える
ことを特徴とする請求項5に記載の侵入検知管理システ
ム。 - 【請求項7】 正常状態におけるシステム情報を格納す
る正常状態データベースと、所定の時間が経過後のシス
テム情報と前記正常状態データベースに格納されている
正常状態のシステム情報とを比較して改ざんの有無を判
断する被害状況確認手段とをさらに備え、 前記検知対処手段は、前記被害状況確認手段から被害が
ないという情報を受け取った場合に、先に実行した対処
を解除する対処解除手段をさらに含むことを特徴とする
請求項1〜6のいずれか一つに記載の侵入検知管理シス
テム。 - 【請求項8】 前記検知対処データベースには、所定回
数以上の侵入を検知した場合に行う同時発生時ルールが
さらに格納され、 前記検知対処手段は、所定時間内に所定回数以上の前記
検知対処ルールを検知すると、前記検知対処データベー
スに格納されている前記同時発生時ルールを実行する同
時発生時ルール実行手段をさらに備えることを特徴とす
る請求項1〜7のいずれか一つに記載の侵入検知管理シ
ステム。 - 【請求項9】 ネットワークに接続された機器群への不
正侵入を検知する侵入検知手段と、前記侵入が行われた
場合の対処を記述した侵入検知ポリシーが格納されてい
る侵入検知ポリシーデータベースと、ネットワーク構成
情報が格納されているネットワーク装置データベース
と、前記侵入検知ポリシーを処理するポリシー翻訳配信
手段と、前記ネットワーク機器群に対して処理を行う検
知対処手段とを備え、 前記ポリシー翻訳配信手段は、 前記ネットワーク装置データベースを参照して、前記侵
入検知ポリシーデータベースに格納されている前記侵入
検知ポリシーを前記各侵入検知手段に対応する侵入検知
ポリシーに翻訳するポリシー翻訳手段と、 該翻訳した侵入検知ポリシーを前記侵入検知手段へ配信
するポリシー配信手段と、 該翻訳した侵入検知ポリシーを前記侵入検知ポリシーデ
ータベースに格納するポリシー格納手段と、を備え、 前記検知対処手段は、 前記侵入検知手段による侵入検知が行われると、前記侵
入に対して行うべき侵入検知ポリシーを前記侵入検知ポ
リシーデータベースから選択するポリシー選択手段と、 該選択された侵入検知ポリシーを前記ネットワーク機器
群に対して実行する対処実行手段と、を備えることを特
徴とする侵入検知管理システム。 - 【請求項10】 過去の侵入に対して実行された対処状
況が保存されている対処状況保存データベースをさらに
備え、 前記ポリシー選択手段は、前記侵入検知手段による侵入
検知が行われると、前記侵入検知ポリシーデータベース
と前記対処状況保存データベースとに基づいて、所定の
侵入検知ポリシーを選択する手段を有し、 前記検知対処手段は、前記侵入に対して実行された対処
状況を前記対処状況保存データベースに登録する対処登
録手段をさらに備えることを特徴とする請求項9に記載
の侵入検知管理システム。 - 【請求項11】 前記検知対処手段は、前記対処状況保
存データベースに保存されている過去に実行された対処
状況を、前記対処実行手段による当該対処を実行してか
ら一定期間の後に削除する対処状況削除手段をさらに備
えることを特徴とする請求項10に記載の侵入検知管理
システム。 - 【請求項12】 前記侵入検知ポリシーデータベースに
は、階層化された前記侵入検知ポリシーが格納されるこ
とを特徴とする請求項9〜11のいずれか一つに記載の
侵入検知管理システム。 - 【請求項13】 前記侵入検知管理システムは、上位の
侵入検知ポリシーを継承する下位の侵入検知ポリシーを
構築する場合の前記上位の侵入検知ポリシー間の優先順
位を規定したポリシー継承規則データベースをさらに備
え、 前記ポリシー翻訳手段は、前記各侵入検知手段に対し
て、前記ネットワーク装置データベースおよび前記ポリ
シー継承規則データベースを参照して、前記侵入検知ポ
リシーデータベースに格納されている上位の侵入検知ポ
リシーを前記優先順位に基づく順序で下位の侵入検知ポ
リシーへ翻訳することを特徴とする請求項9〜12のい
ずれか一つに記載の侵入検知管理システム。 - 【請求項14】 システムの構成を監視し、システムの
構成に変更があった場合にその変更を検知し、該変更さ
れた構成に最適なポリシーの作成を前記ポリシー翻訳配
信手段に指示する手段を有するネットワーク構成変更自
動検知手段をさらに備えることを特徴とする請求項9〜
13のいずれか一つに記載の侵入検知管理システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001273701A JP2003085139A (ja) | 2001-09-10 | 2001-09-10 | 侵入検知管理システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2001273701A JP2003085139A (ja) | 2001-09-10 | 2001-09-10 | 侵入検知管理システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2003085139A true JP2003085139A (ja) | 2003-03-20 |
Family
ID=19098880
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001273701A Abandoned JP2003085139A (ja) | 2001-09-10 | 2001-09-10 | 侵入検知管理システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2003085139A (ja) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004328726A (ja) * | 2003-04-11 | 2004-11-18 | Alcatel | ネットワークマネジャsnmpトラップ抑制 |
JP2004362594A (ja) * | 2003-06-06 | 2004-12-24 | Microsoft Corp | 外部ネットワークデバイスを自動的に発見および構成する方法 |
JP2005327239A (ja) * | 2003-12-05 | 2005-11-24 | Microsoft Corp | セキュリティ関連プログラミング・インターフェース |
KR100609700B1 (ko) | 2004-07-20 | 2006-08-08 | 한국전자통신연구원 | 패킷 침입 탐지 규칙 간략화 장치 및 그 방법과 간략화된침입 탐지 규칙을 이용한 패킷 침입 탐지 장치 및 방법 |
JP2006295232A (ja) * | 2005-04-05 | 2006-10-26 | Lac Co Ltd | セキュリティ監視装置、セキュリティ監視方法、及びプログラム |
JP2008083751A (ja) * | 2006-09-25 | 2008-04-10 | Hitachi Information Systems Ltd | 不正アクセス対応ネットワークシステム |
JP2008107919A (ja) * | 2006-10-23 | 2008-05-08 | Yamaha Corp | ファイアウォール装置およびファイアウォールプログラム |
JP2009187587A (ja) * | 2003-03-31 | 2009-08-20 | Intel Corp | セキュリティポリシーを管理する方法及びシステム |
US7591009B2 (en) | 2004-08-17 | 2009-09-15 | Hitachi, Ltd. | Policy rule management support method and policy rule management support apparatus |
JP2010034708A (ja) * | 2008-07-25 | 2010-02-12 | Alaxala Networks Corp | 中継装置 |
JP2010525451A (ja) * | 2007-04-16 | 2010-07-22 | マイクロソフト コーポレーション | ポリシー管理基盤 |
JP2012203800A (ja) * | 2011-03-28 | 2012-10-22 | Sony Corp | 情報処理装置及び方法、並びにプログラム |
JP2016524211A (ja) * | 2013-05-23 | 2016-08-12 | ジェムアルト エスアー | 動的対抗策を実行するセキュアプラットフォーム |
JP2017034659A (ja) * | 2015-06-12 | 2017-02-09 | アクセンチュア グローバル ソリューションズ リミテッド | サービス志向ソフトウェア定義型セキュリティのフレームワーク |
WO2017135246A1 (ja) * | 2016-02-02 | 2017-08-10 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 制御装置、緩和システム、制御方法及びコンピュータプログラム |
WO2019035313A1 (ja) * | 2017-08-18 | 2019-02-21 | 日本電信電話株式会社 | 不正侵入防止装置、不正侵入防止方法、およびプログラム |
JP2019125344A (ja) * | 2018-01-12 | 2019-07-25 | パナソニックIpマネジメント株式会社 | 車両用システム及び制御方法 |
WO2019180989A1 (ja) * | 2018-03-20 | 2019-09-26 | 日本電気株式会社 | ヒアリングシステム、脅威対応システム、方法およびプログラム |
-
2001
- 2001-09-10 JP JP2001273701A patent/JP2003085139A/ja not_active Abandoned
Cited By (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009187587A (ja) * | 2003-03-31 | 2009-08-20 | Intel Corp | セキュリティポリシーを管理する方法及びシステム |
US10110632B2 (en) | 2003-03-31 | 2018-10-23 | Intel Corporation | Methods and systems for managing security policies |
JP4602683B2 (ja) * | 2003-04-11 | 2010-12-22 | アルカテル−ルーセント | ネットワークマネジャsnmpトラップ抑制 |
JP2004328726A (ja) * | 2003-04-11 | 2004-11-18 | Alcatel | ネットワークマネジャsnmpトラップ抑制 |
JP2004362594A (ja) * | 2003-06-06 | 2004-12-24 | Microsoft Corp | 外部ネットワークデバイスを自動的に発見および構成する方法 |
JP4676744B2 (ja) * | 2003-12-05 | 2011-04-27 | マイクロソフト コーポレーション | セキュリティ関連プログラミング・インターフェース |
JP2005327239A (ja) * | 2003-12-05 | 2005-11-24 | Microsoft Corp | セキュリティ関連プログラミング・インターフェース |
KR100609700B1 (ko) | 2004-07-20 | 2006-08-08 | 한국전자통신연구원 | 패킷 침입 탐지 규칙 간략화 장치 및 그 방법과 간략화된침입 탐지 규칙을 이용한 패킷 침입 탐지 장치 및 방법 |
US7158024B2 (en) | 2004-07-20 | 2007-01-02 | Electronics And Telecommunications Research Institute | Packet intrusion detection rule simplification apparatus and method, and packet intrusion detection apparatus and method using simplified intrusion detection rule |
US7591009B2 (en) | 2004-08-17 | 2009-09-15 | Hitachi, Ltd. | Policy rule management support method and policy rule management support apparatus |
JP2006295232A (ja) * | 2005-04-05 | 2006-10-26 | Lac Co Ltd | セキュリティ監視装置、セキュリティ監視方法、及びプログラム |
JP2008083751A (ja) * | 2006-09-25 | 2008-04-10 | Hitachi Information Systems Ltd | 不正アクセス対応ネットワークシステム |
JP2008107919A (ja) * | 2006-10-23 | 2008-05-08 | Yamaha Corp | ファイアウォール装置およびファイアウォールプログラム |
JP4702257B2 (ja) * | 2006-10-23 | 2011-06-15 | ヤマハ株式会社 | ファイアウォール装置およびファイアウォールプログラム |
JP2010525451A (ja) * | 2007-04-16 | 2010-07-22 | マイクロソフト コーポレーション | ポリシー管理基盤 |
JP2010034708A (ja) * | 2008-07-25 | 2010-02-12 | Alaxala Networks Corp | 中継装置 |
JP2012203800A (ja) * | 2011-03-28 | 2012-10-22 | Sony Corp | 情報処理装置及び方法、並びにプログラム |
US9514302B2 (en) | 2011-03-28 | 2016-12-06 | Sony Corporation | Information processing apparatus and method, and program |
JP2016524211A (ja) * | 2013-05-23 | 2016-08-12 | ジェムアルト エスアー | 動的対抗策を実行するセキュアプラットフォーム |
US10061920B2 (en) | 2013-05-23 | 2018-08-28 | Gemalto Sa | Secure platform implementing dynamic countermeasures |
JP2017034659A (ja) * | 2015-06-12 | 2017-02-09 | アクセンチュア グローバル ソリューションズ リミテッド | サービス志向ソフトウェア定義型セキュリティのフレームワーク |
US10999315B2 (en) | 2016-02-02 | 2021-05-04 | Ntt Communications Corporation | Control device, mitigation system, control method, and computer program |
JP2017138728A (ja) * | 2016-02-02 | 2017-08-10 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 制御装置、緩和システム、制御方法及びコンピュータプログラム |
WO2017135246A1 (ja) * | 2016-02-02 | 2017-08-10 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 制御装置、緩和システム、制御方法及びコンピュータプログラム |
WO2019035313A1 (ja) * | 2017-08-18 | 2019-02-21 | 日本電信電話株式会社 | 不正侵入防止装置、不正侵入防止方法、およびプログラム |
CN112889051A (zh) * | 2018-01-12 | 2021-06-01 | 松下知识产权经营株式会社 | 车辆用系统以及控制方法 |
JP2019125344A (ja) * | 2018-01-12 | 2019-07-25 | パナソニックIpマネジメント株式会社 | 車両用システム及び制御方法 |
JP7113337B2 (ja) | 2018-01-12 | 2022-08-05 | パナソニックIpマネジメント株式会社 | サーバ装置、車両装置、車両用システム及び情報処理方法 |
CN112889051B (zh) * | 2018-01-12 | 2024-08-23 | 松下汽车电子系统株式会社 | 车辆用系统以及控制方法 |
US12103478B2 (en) | 2018-01-12 | 2024-10-01 | Panasonic Automotive Systems Co., Ltd. | Vehicle system and information processing method |
JPWO2019180989A1 (ja) * | 2018-03-20 | 2021-02-18 | 日本電気株式会社 | ヒアリングシステム、脅威対応システム、方法およびプログラム |
WO2019180989A1 (ja) * | 2018-03-20 | 2019-09-26 | 日本電気株式会社 | ヒアリングシステム、脅威対応システム、方法およびプログラム |
JP7036193B2 (ja) | 2018-03-20 | 2022-03-15 | 日本電気株式会社 | ヒアリングシステム、脅威対応システム、方法およびプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2003085139A (ja) | 侵入検知管理システム | |
US7200616B2 (en) | Information management system, control method thereof, information management server and program for same | |
US8041435B2 (en) | Modular object dynamic hosting | |
JP4650203B2 (ja) | 情報システム及び管理計算機 | |
US8161047B2 (en) | Managing configuration items | |
US8181173B2 (en) | Determining priority for installing a patch into multiple patch recipients of a network | |
US7316016B2 (en) | Homogeneous monitoring of heterogeneous nodes | |
US9146965B2 (en) | Information processor, privilege management method, program, and recording medium | |
US8265775B2 (en) | Modular object publication and discovery | |
US8818757B2 (en) | Modular object and host matching | |
US20200236129A1 (en) | Systems and methods for vulnerability scorecard | |
CN108683652A (zh) | 一种基于行为权限的处理网络攻击行为的方法及装置 | |
US20060184490A1 (en) | System and method for enterprise policy management | |
US20070043716A1 (en) | Methods, systems and computer program products for changing objects in a directory system | |
JP2008186478A (ja) | コンピュータが実行可能なワークフロー制御システム | |
US8290841B2 (en) | System and method for automatically generating suggested entries for policy sets with incomplete coverage | |
JP2012527687A (ja) | サイバー脅威を予測するためのサイバー脅威予測エンジンシステム及び前記システムを利用したサイバー脅威予測方法 | |
CN110290138A (zh) | 适于测试数据库的限制登录方法和系统 | |
JP2003248596A (ja) | 多重計算機システムにおける処理の引継方法 | |
US20060020357A1 (en) | System, graphical user interface (GUI), method and program product for configuring an assembly line | |
CN113760441A (zh) | 容器创建方法、装置、电子设备及存储介质 | |
JP2011022955A (ja) | 障害対処支援システム、障害対処支援方法及び障害対処支援プログラム | |
JP2007226428A (ja) | 利用権限管理システム、利用権限管理装置、および利用権限管理プログラム | |
JP2019028948A (ja) | フロー生成プログラム、フロー生成装置及びフロー生成方法 | |
JP4854183B2 (ja) | 階層データ管理装置、階層データ管理プログラム、階層データ管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060607 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061031 |
|
A762 | Written abandonment of application |
Free format text: JAPANESE INTERMEDIATE CODE: A762 Effective date: 20061124 |