JP2004030286A - 侵入検知システムおよび侵入検知プログラム - Google Patents
侵入検知システムおよび侵入検知プログラム Download PDFInfo
- Publication number
- JP2004030286A JP2004030286A JP2002186298A JP2002186298A JP2004030286A JP 2004030286 A JP2004030286 A JP 2004030286A JP 2002186298 A JP2002186298 A JP 2002186298A JP 2002186298 A JP2002186298 A JP 2002186298A JP 2004030286 A JP2004030286 A JP 2004030286A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- intrusion detection
- intrusion
- information
- detection information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】複数の侵入検知装置から生成された侵入検知情報を収集し、ブラックリストを作成して的確に防御手段を指示することができる侵入検知システムおよび侵入検知プログラムを提供する。
【解決手段】侵入検知装置(NIDS)10−1〜3は、監視する内部ネットワークに送られてきたパケット情報を検出して構成内容を解析し、不正アクセスを検出して侵入検知情報を生成する。アラート収集装置20は、この侵入検知情報を収集して、集計とスコアリングを行い、攻撃スコアを算出する。算出されたスコアに基づき防御手段の指示を含むブラックリスト30を作成し、出力する。
【選択図】 図1
【解決手段】侵入検知装置(NIDS)10−1〜3は、監視する内部ネットワークに送られてきたパケット情報を検出して構成内容を解析し、不正アクセスを検出して侵入検知情報を生成する。アラート収集装置20は、この侵入検知情報を収集して、集計とスコアリングを行い、攻撃スコアを算出する。算出されたスコアに基づき防御手段の指示を含むブラックリスト30を作成し、出力する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
この発明は、コンピュータネットワークにおける不正な手段による侵入を監視し、検知する侵入検知システムに用いて好適な侵入検知システムおよび侵入検知プログラムに関する。
【0002】
【従来の技術】
各種の情報を提供するWebサーバや電子メールの送受信を行うメールサーバなどネットワークに接続されたコンピュータシステムは、常に不正な攻撃の危険にさらされている。このような攻撃からシステムを防御するために、防御の構成に応じて侵入検知システムやファイアウォールが設けられる。攻撃手法は、非常に巧妙になってきているが、侵入前に必要な情報を収集する過程を経て行われる。侵入検知システムは、この情報収集のためのアクセスを監視して、不正を検知する。侵入検知システムとしては、監視対象となる内部ネットワークが接続されるネットワーク接続部分に設けられるネットワーク型侵入検知システム、監視対象のホストに設けられるホスト型侵入検知システムなどがある。従来、これらの侵入検知システムは、監視するネットワークを流れる信号あるいは監視対象のホストへのアクセスを監視して不正な通信を検知する。そして、侵入検知情報を生成し、その検知情報に基づく防御のための指示を出力する。不正な通信としては、攻撃のターゲットであるサーバなどのコンピュータシステムの情報を入手するためのポートスキャンや稼動しているアプリケーションを強制的に停止させてしまうアクセスなどがある。
【0003】
【発明が解決しようとする課題】
上述のように、従来の侵入検知システムにおいては、監視対象のネットワークまたはホストへのアクセスを監視し、不正な通信を検知している。従って、インターネットに接続されている他のネットワークへの攻撃の状況を知ることはできない。そのために、特定の攻撃元が複数ターゲットへの攻撃を行っていることを検知することが困難という問題があった。また、ポートスキャンを大きな時間間隔あるいは間欠的に行うスロースキャンを検出することは、一つのネットワークまたはホストを監視しているだけでは極めて難しいという問題があった。さらに、ネットワーク全体で受けている攻撃の状況を把握できないために、不正侵入検知結果に基づく細かな防御策を、迅速に講じることが困難であった。また、ネットワーク型侵入検知システムとファイアウォールなどとの組み合わせによってネットワークを制御する場合、当該ファイアウォールに検知情報を提供する侵入検知システムを必ず設置しなければならないという問題があった。
【0004】
この発明は、上記の点に鑑みてなされたもので、その目的は、ネットワークに接続された複数の侵入検知装置から生成された検知情報を収集して不正な侵入を検知することによって、ますます巧妙になる攻撃を的確に検知することができる侵入検知方法および侵入検知システム並びに侵入検知プログラムを提供することにある。また、他の目的は、複数の侵入検知システムから収集された検知情報に基づいて攻撃スコアを算出し、ブラックリストを作成して、より確実な防御手段の指示を行うことができる侵入検知システムおよび侵入検知プログラムを提供することにある。
【0005】
【課題を解決するための手段】
上記の課題を解決するために、請求項1に記載の発明は、複数の侵入検知装置により、ネットワークを介してコンピュータシステムに侵入する不正侵入を検知して検知情報を生成する検知情報生成手段と、前記生成された検知情報を収集し、集計処理する集計手段と、前記集計された情報をスコアリング処理し、攻撃スコアを算出する攻撃スコア算出手段と、前記攻撃スコアに基づいて、不正な侵入に対する防御処理を決定する防御処理決定手段と、前記攻撃スコアに基き、攻撃元ホストおよび前記防御処理の情報から成るブラックリストを作成して出力するブラックリスト作成手段とを有することを特徴とする侵入検知システムである。
【0006】
請求項2に記載の発明は、請求項1に記載の侵入検知システムにおいて、前記集計手段は、収集された時系列の検知情報を集計して単一の攻撃元または複数の攻撃元をまとめてグループ化した攻撃元のリストを作成することを特徴とする。
【0007】
請求項3に記載の発明は、請求項1に記載の侵入検知システムにおいて、前記攻撃スコア算出手段は、前記検知情報の重要度に時間減衰する関数を用いて攻撃スコアを算出することを特徴とする。
【0008】
請求項4に記載の発明は、請求項1に記載の侵入検知システムにおいて、前記ブラックリスト作成手段は、前記検知情報の集計結果から、前記攻撃スコアがある値以上になる攻撃元を抽出して前記攻撃元のブラックリストを作成することを特徴とする。
【0009】
請求項5に記載の発明は、請求項1に記載の侵入検知システムにおいて、前記ブラックリスト作成手段は、前記攻撃スコアと前記集計手段により作成されたリストにおける順位に基づいて攻撃元を抽出してブラックリストを作成することを特徴とする。
【0010】
請求項6に記載の発明は、複数の侵入検知装置により、ネットワークを介してコンピュータシステムに侵入する不正侵入を検知して検知情報を生成するステップと、前記生成された検知情報を収集し、集計処理するステップと、前記集計された情報をスコアリング処理し、攻撃スコアを算出するステップと、前記攻撃スコアに基づいて、不正な侵入に対する防御手段を決定するステップと、前記攻撃スコアに基き、攻撃元および前記防御手段の情報から成るブラックリストを作成して出力するステップとをコンピュータに実行させるための侵入検知プログラムである。
請求項7に記載の発明は、複数の侵入検知装置により、ネットワークを介してコンピュータシステムに侵入する不正侵入を検知して検知情報を生成する検知情報生成手段と、前記生成された検知情報を収集し、集計処理する集計手段と、前記集計された情報をスコアリング処理し、攻撃スコアを算出する攻撃スコア算出手段と、前記攻撃スコアに基づいて、不正な侵入に対する防御処理を決定する防御処理決定手段と、前記攻撃スコアに基き、攻撃対象および前記防御処理の情報から成るリストを作成して出力するリスト作成手段とを有することを特徴とする侵入検知システムである。
【0011】
【発明の実施の形態】
(第1の実施の形態)以下、図面を参照して第1の実施の形態について説明する。図1は、同実施形態による侵入検知システムの構成を示すブロック図である。同図において、10−1〜3はインターネット100に接続されたネットワーク侵入検知装置(NIDS)である。20は、NIDS・10−1〜3から出力された侵入検知情報を収集し、ブラックリストを作成するアラート収集装置である。アラート収集装置20に侵入検知情報を供給するNIDS・10の台数には、特に制限はなく不正侵入の検知情報を収集するネットワーク上の範囲をどのように設定するかを考慮して決められる。例えば、自治体において複数の内部ネットワークを監視するために検知情報を統合して管理する場合、複数の企業間にまたがって検知情報を統合管理する場合など情報通信システムの構成に応じて設置する台数は決められる。30は、攻撃元のブラックリストである。
【0012】
侵入検知システムは、侵入検知情報に基づいて攻撃スコアを算出して防御のためのアクションを決定し、ブラックリスト30の所定の欄にアクションの情報を加える。このアクションは、攻撃スコアに応じて、アクセスの拒否(Deny)、帯域制限、誤った応答の発信、攻撃者に侵入可能にみせるおとりサーバ(デコイ:Decoy)への誘導などに分けられる。また、アクションには、このようなセキュリティポリシーの変更などのネットワーク制御だけでなく、攻撃元のネットワーク管理者への不正アクセスの報告のためのメール送信等も含まれる。101は、インターネット100に接続された侵入者ホストである。102は、ネットワーク集中制御装置であり、侵入検知システムから供給される防御手段の指示を含むブラックリスト30に基づいて、インターネット100と内部ネットワークの間、あるいはインターネット100に接続されたバックボーンネットワークとサブネットワークの間に設置されたファイアウォールに制御信号を出力する。
【0013】
図2は、侵入検知システムがファイアウォール(FW)と組み合わせて用いられた場合の構成を示すブロック図である。FW1・50−1,FW2・50−2,FWx・50−xは、それぞれインターネット100と内部ネットワーク(NW)1,2,Xの間に設置され、ネットワーク集中制御装置102から制御信号を受信する。同図において、内部NWXのゲートには、FWxのみ設置され、NIDSは設置されない。FWxは、NIDS1・10−1、NIDS2・10−2によって検知された侵入検知情報に基づいて制御される。
【0014】
図3は、アラート収集装置20を構成するブラックリスト作成部のブロック図である。27は、NIDS・10−1〜n(nは自然数)から受信した侵入検知情報を時系列に記録したIPアドレス別の検知情報履歴を示すアラートリスト(Alert List)である。24は、入力された侵入検知情報を集計ルール(Aggregation Rule)21に従って、集計処理を行う集計処理部(Aggregation)である。集計処理部24は、侵入検知情報を攻撃元ホストごとに集計したIPアドレス別リスト、攻撃元ホストをサブネットワーク毎に集計したサブネットワーク別リスト、攻撃元ホストをドメイン毎に集計したIPドメイン別リスト、および攻撃元ホストを国毎に集計した国別リストを作成してインシデントリスト(Incident List)28を作成する。
【0015】
25は、スコアリングルール(Scoring Rule)22に基づいて不正侵入の攻撃スコアを算出するスコアリング処理を行い、全ての不正侵入の攻撃スコアを記録したグレイリスト(Gray List)29を作成するスコアリング処理部である。スコアリングルール22は、攻撃種別、攻撃の重要度、経過時間による減衰関数などに応じてスコアを算出するルールを記録する。26は、グレイリスト29からリスティングルール(Listing Rule)23に基づいてブラックリスト(Black List)30に記録する攻撃元ホストを抽出するリスト(List)作成部である。リスティングルール23には、例えば、閾値を定め、スコアがその値以上になる攻撃元ホストを抽出する、あるいはスコアと各リストの上位の順位と組み合わせて選択するなどのルールが用いられる。
【0016】
図4(A)は、侵入検知情報を攻撃元ホスト別に集計したインシデントリスト28の例を示す図である。同図に示すように、侵入検知情報によりIPアドレス、ドメイン名、攻撃の頻度などが記録される。さらに、ブラックリスト30に基づいて決定されたアクション(Action)が付加される。図4(B)は、グレイリスト29のドメイン別スコアリストの例を示す図である。グレイリスト29には、ドメイン名、攻撃の頻度、スコアおよびアクションが記録される。このグレイリスト29に記録された中からリスティングルール23に基づいて抽出された攻撃元ホストの情報によりブラックリスト30が作成される。
【0017】
以下、図1〜図3を参照して、侵入検知システムの動作を説明する。先ず、NIDS1・10−1、NIDS2・10−2は、内部NW1、NW2に送られてくるパケット情報を検出して構成内容を解析し、予め設定した情報との比較、照合を行う。そして、不正アクセスを検出した場合、侵入検知情報を生成する。アラート収集装置20は、この侵入検知情報を受けて、アラートリスト27にIPアドレス別に検知情報履歴を記録する。集計処理部24は、入力された侵入検知情報を集計ルール21に定められたルールに従って、集計処理を行い、検知情報のIPアドレス別リストおよび攻撃元ホストのサブネットワーク別リスト、IPドメイン別リストと国別リストから成るインシデントリスト28を作成する。次に、スコアリング処理部25は、スキャンの頻度、攻撃の期間などをパラメータとするスコアリングルール22に基づいて検知情報のスコアリング処理を行い、スキャンスコア、短期攻撃スコア、中期攻撃スコア、長期攻撃スコアを算出する。
【0018】
算出された各スコアは、ドメイン名とともにグレイリスト29に加えられる。リスト作成部26は、検知された攻撃が、リスティングルール23に定められた閾値以上のスコアの場合、ブラックリスト30に記録し、スコアに応じた防御のためのアクションを決定する。ここで、このスコアが高くアクションとしてアクセスの拒否が決定されたものとする。決定されたアクションは、グレイリスト29、ブラックリスト30の該当するIPアドレス、ドメイン名のアクション欄に加えられる。そして、侵入検知システムからアクセス拒否のための処理を行う指示含むブラックリスト30がネットワーク集中制御装置102に送られる。ネットワーク集中制御装置102は、侵入検知システムからのブラックリスト30の情報に基づいてアクセス拒否の処置を行うようにFW1・50−1,FW2・50−2およびFWx・50−xに制御信号を発信する。FW1・50−1およびFW2・50−2は、受信した制御信号に基づき、指示されたホストからのアクセスを拒否する設定を行う。
なお、上記ブラックリストに代えて、あるいは、ブラックリストに加えて攻撃対象を集計したリスト(レッドリストという)を作成してもよい。すなわち、頻繁に攻撃される箇所を上述したブラックリストと同様の手法でリスト化してレッドリストを作成し、そこに飛来した攻撃に対してスコアを算出して防御のためのアクションを決定する。
【0019】
(第2の実施の形態)図5は第2の実施の形態による侵入検知システムの構成を示すブロック図である。信頼度問い合わせサーバ103は、侵入検知システムから入力されたブラックリスト30の情報を記憶装置に記憶し、この情報に基づいてファイアウォールを含むネットワーク管理システム50からの必要なアクションの問い合わせなどに対して情報を提供する。なお、信頼度問い合わせサーバ103は、複数のブラックリスト30から情報を受けて記憶することができる。このように、侵入検知システムとファイアウォールを別けて設置することにより、複数の侵入検知システムを分散して配置し、各侵入検知システムの負荷を軽減することができる。
なお、上記第2の実施形態に加えて、信頼度問い合わせサーバと侵入検知システム/ファイアウオールを含むネットワーク管理システム間の通信は、盗聴防止のため必要に応じて暗号化を行うことができる。また、これらシステムは互いの信憑性の確認のため、必要に応じて電子認証システム等を介した認証処理を行うことができる。
【0020】
【発明の効果】
以上説明したように、本発明によれば、複数の侵入検知装置によって検知された不正侵入の情報を集計して用いるので、一箇所の侵入検知装置では検出が困難なスロースキャンや複数ターゲットへの攻撃を検知可能になり、侵入検知システムの不正侵入検出能力を高めることができるという効果が得られる。また、インシデントリストに複数の地点からの長期の検知情報を蓄積することができるために、侵入検知情報の統合管理および長期にわたる攻撃元ホストの活動傾向の分析が可能になる。さらに、複数の侵入検知装置からの情報を集計して用いるため、必ずしも全ての内部ネットワークに侵入検知装置を設置する必要がなくなり、ネットワーク全体のセキュリティ対策のためのコストを低減できるという効果が得られる。また、侵入検知システムから検知情報をネットワーク制御装置に供給することによって攻撃に対して自動的に防御のアクションをとることができるようになり、ネットワークの信頼度を高めるという効果が得られる。
【図面の簡単な説明】
【図1】第1の実施の形態による侵入検知システムの構成を示すブロック図である。
【図2】同実施形態の侵入検知システムとファイアウォールの構成を示すブロック図である。
【図3】ブラックリスト作成部の構成を示すブロック図である。
【図4】インシデントリストおよびグレイリストの例を示す図である。
【図5】第2の実施の形態による侵入検知システムの構成を示すブロック図である。
【符号の説明】
10−1〜3 ネットワーク侵入検知装置(NIDS)
20 アラート収集装置
21 集計ルール(Aggregation Rule)
22 スコアリングルール(Scoring Rule)
23 リスティングルール(Listing Rule)
24 集計処理部(Aggregation)
25 スコアリング処理部(Scoring)
26 リスト作成部
27 アラートリスト(Alert List)
28 インシデントリスト(Incident List)
29 グレイリスト(Gray List)
30 ブラックリスト(Black List)
【発明の属する技術分野】
この発明は、コンピュータネットワークにおける不正な手段による侵入を監視し、検知する侵入検知システムに用いて好適な侵入検知システムおよび侵入検知プログラムに関する。
【0002】
【従来の技術】
各種の情報を提供するWebサーバや電子メールの送受信を行うメールサーバなどネットワークに接続されたコンピュータシステムは、常に不正な攻撃の危険にさらされている。このような攻撃からシステムを防御するために、防御の構成に応じて侵入検知システムやファイアウォールが設けられる。攻撃手法は、非常に巧妙になってきているが、侵入前に必要な情報を収集する過程を経て行われる。侵入検知システムは、この情報収集のためのアクセスを監視して、不正を検知する。侵入検知システムとしては、監視対象となる内部ネットワークが接続されるネットワーク接続部分に設けられるネットワーク型侵入検知システム、監視対象のホストに設けられるホスト型侵入検知システムなどがある。従来、これらの侵入検知システムは、監視するネットワークを流れる信号あるいは監視対象のホストへのアクセスを監視して不正な通信を検知する。そして、侵入検知情報を生成し、その検知情報に基づく防御のための指示を出力する。不正な通信としては、攻撃のターゲットであるサーバなどのコンピュータシステムの情報を入手するためのポートスキャンや稼動しているアプリケーションを強制的に停止させてしまうアクセスなどがある。
【0003】
【発明が解決しようとする課題】
上述のように、従来の侵入検知システムにおいては、監視対象のネットワークまたはホストへのアクセスを監視し、不正な通信を検知している。従って、インターネットに接続されている他のネットワークへの攻撃の状況を知ることはできない。そのために、特定の攻撃元が複数ターゲットへの攻撃を行っていることを検知することが困難という問題があった。また、ポートスキャンを大きな時間間隔あるいは間欠的に行うスロースキャンを検出することは、一つのネットワークまたはホストを監視しているだけでは極めて難しいという問題があった。さらに、ネットワーク全体で受けている攻撃の状況を把握できないために、不正侵入検知結果に基づく細かな防御策を、迅速に講じることが困難であった。また、ネットワーク型侵入検知システムとファイアウォールなどとの組み合わせによってネットワークを制御する場合、当該ファイアウォールに検知情報を提供する侵入検知システムを必ず設置しなければならないという問題があった。
【0004】
この発明は、上記の点に鑑みてなされたもので、その目的は、ネットワークに接続された複数の侵入検知装置から生成された検知情報を収集して不正な侵入を検知することによって、ますます巧妙になる攻撃を的確に検知することができる侵入検知方法および侵入検知システム並びに侵入検知プログラムを提供することにある。また、他の目的は、複数の侵入検知システムから収集された検知情報に基づいて攻撃スコアを算出し、ブラックリストを作成して、より確実な防御手段の指示を行うことができる侵入検知システムおよび侵入検知プログラムを提供することにある。
【0005】
【課題を解決するための手段】
上記の課題を解決するために、請求項1に記載の発明は、複数の侵入検知装置により、ネットワークを介してコンピュータシステムに侵入する不正侵入を検知して検知情報を生成する検知情報生成手段と、前記生成された検知情報を収集し、集計処理する集計手段と、前記集計された情報をスコアリング処理し、攻撃スコアを算出する攻撃スコア算出手段と、前記攻撃スコアに基づいて、不正な侵入に対する防御処理を決定する防御処理決定手段と、前記攻撃スコアに基き、攻撃元ホストおよび前記防御処理の情報から成るブラックリストを作成して出力するブラックリスト作成手段とを有することを特徴とする侵入検知システムである。
【0006】
請求項2に記載の発明は、請求項1に記載の侵入検知システムにおいて、前記集計手段は、収集された時系列の検知情報を集計して単一の攻撃元または複数の攻撃元をまとめてグループ化した攻撃元のリストを作成することを特徴とする。
【0007】
請求項3に記載の発明は、請求項1に記載の侵入検知システムにおいて、前記攻撃スコア算出手段は、前記検知情報の重要度に時間減衰する関数を用いて攻撃スコアを算出することを特徴とする。
【0008】
請求項4に記載の発明は、請求項1に記載の侵入検知システムにおいて、前記ブラックリスト作成手段は、前記検知情報の集計結果から、前記攻撃スコアがある値以上になる攻撃元を抽出して前記攻撃元のブラックリストを作成することを特徴とする。
【0009】
請求項5に記載の発明は、請求項1に記載の侵入検知システムにおいて、前記ブラックリスト作成手段は、前記攻撃スコアと前記集計手段により作成されたリストにおける順位に基づいて攻撃元を抽出してブラックリストを作成することを特徴とする。
【0010】
請求項6に記載の発明は、複数の侵入検知装置により、ネットワークを介してコンピュータシステムに侵入する不正侵入を検知して検知情報を生成するステップと、前記生成された検知情報を収集し、集計処理するステップと、前記集計された情報をスコアリング処理し、攻撃スコアを算出するステップと、前記攻撃スコアに基づいて、不正な侵入に対する防御手段を決定するステップと、前記攻撃スコアに基き、攻撃元および前記防御手段の情報から成るブラックリストを作成して出力するステップとをコンピュータに実行させるための侵入検知プログラムである。
請求項7に記載の発明は、複数の侵入検知装置により、ネットワークを介してコンピュータシステムに侵入する不正侵入を検知して検知情報を生成する検知情報生成手段と、前記生成された検知情報を収集し、集計処理する集計手段と、前記集計された情報をスコアリング処理し、攻撃スコアを算出する攻撃スコア算出手段と、前記攻撃スコアに基づいて、不正な侵入に対する防御処理を決定する防御処理決定手段と、前記攻撃スコアに基き、攻撃対象および前記防御処理の情報から成るリストを作成して出力するリスト作成手段とを有することを特徴とする侵入検知システムである。
【0011】
【発明の実施の形態】
(第1の実施の形態)以下、図面を参照して第1の実施の形態について説明する。図1は、同実施形態による侵入検知システムの構成を示すブロック図である。同図において、10−1〜3はインターネット100に接続されたネットワーク侵入検知装置(NIDS)である。20は、NIDS・10−1〜3から出力された侵入検知情報を収集し、ブラックリストを作成するアラート収集装置である。アラート収集装置20に侵入検知情報を供給するNIDS・10の台数には、特に制限はなく不正侵入の検知情報を収集するネットワーク上の範囲をどのように設定するかを考慮して決められる。例えば、自治体において複数の内部ネットワークを監視するために検知情報を統合して管理する場合、複数の企業間にまたがって検知情報を統合管理する場合など情報通信システムの構成に応じて設置する台数は決められる。30は、攻撃元のブラックリストである。
【0012】
侵入検知システムは、侵入検知情報に基づいて攻撃スコアを算出して防御のためのアクションを決定し、ブラックリスト30の所定の欄にアクションの情報を加える。このアクションは、攻撃スコアに応じて、アクセスの拒否(Deny)、帯域制限、誤った応答の発信、攻撃者に侵入可能にみせるおとりサーバ(デコイ:Decoy)への誘導などに分けられる。また、アクションには、このようなセキュリティポリシーの変更などのネットワーク制御だけでなく、攻撃元のネットワーク管理者への不正アクセスの報告のためのメール送信等も含まれる。101は、インターネット100に接続された侵入者ホストである。102は、ネットワーク集中制御装置であり、侵入検知システムから供給される防御手段の指示を含むブラックリスト30に基づいて、インターネット100と内部ネットワークの間、あるいはインターネット100に接続されたバックボーンネットワークとサブネットワークの間に設置されたファイアウォールに制御信号を出力する。
【0013】
図2は、侵入検知システムがファイアウォール(FW)と組み合わせて用いられた場合の構成を示すブロック図である。FW1・50−1,FW2・50−2,FWx・50−xは、それぞれインターネット100と内部ネットワーク(NW)1,2,Xの間に設置され、ネットワーク集中制御装置102から制御信号を受信する。同図において、内部NWXのゲートには、FWxのみ設置され、NIDSは設置されない。FWxは、NIDS1・10−1、NIDS2・10−2によって検知された侵入検知情報に基づいて制御される。
【0014】
図3は、アラート収集装置20を構成するブラックリスト作成部のブロック図である。27は、NIDS・10−1〜n(nは自然数)から受信した侵入検知情報を時系列に記録したIPアドレス別の検知情報履歴を示すアラートリスト(Alert List)である。24は、入力された侵入検知情報を集計ルール(Aggregation Rule)21に従って、集計処理を行う集計処理部(Aggregation)である。集計処理部24は、侵入検知情報を攻撃元ホストごとに集計したIPアドレス別リスト、攻撃元ホストをサブネットワーク毎に集計したサブネットワーク別リスト、攻撃元ホストをドメイン毎に集計したIPドメイン別リスト、および攻撃元ホストを国毎に集計した国別リストを作成してインシデントリスト(Incident List)28を作成する。
【0015】
25は、スコアリングルール(Scoring Rule)22に基づいて不正侵入の攻撃スコアを算出するスコアリング処理を行い、全ての不正侵入の攻撃スコアを記録したグレイリスト(Gray List)29を作成するスコアリング処理部である。スコアリングルール22は、攻撃種別、攻撃の重要度、経過時間による減衰関数などに応じてスコアを算出するルールを記録する。26は、グレイリスト29からリスティングルール(Listing Rule)23に基づいてブラックリスト(Black List)30に記録する攻撃元ホストを抽出するリスト(List)作成部である。リスティングルール23には、例えば、閾値を定め、スコアがその値以上になる攻撃元ホストを抽出する、あるいはスコアと各リストの上位の順位と組み合わせて選択するなどのルールが用いられる。
【0016】
図4(A)は、侵入検知情報を攻撃元ホスト別に集計したインシデントリスト28の例を示す図である。同図に示すように、侵入検知情報によりIPアドレス、ドメイン名、攻撃の頻度などが記録される。さらに、ブラックリスト30に基づいて決定されたアクション(Action)が付加される。図4(B)は、グレイリスト29のドメイン別スコアリストの例を示す図である。グレイリスト29には、ドメイン名、攻撃の頻度、スコアおよびアクションが記録される。このグレイリスト29に記録された中からリスティングルール23に基づいて抽出された攻撃元ホストの情報によりブラックリスト30が作成される。
【0017】
以下、図1〜図3を参照して、侵入検知システムの動作を説明する。先ず、NIDS1・10−1、NIDS2・10−2は、内部NW1、NW2に送られてくるパケット情報を検出して構成内容を解析し、予め設定した情報との比較、照合を行う。そして、不正アクセスを検出した場合、侵入検知情報を生成する。アラート収集装置20は、この侵入検知情報を受けて、アラートリスト27にIPアドレス別に検知情報履歴を記録する。集計処理部24は、入力された侵入検知情報を集計ルール21に定められたルールに従って、集計処理を行い、検知情報のIPアドレス別リストおよび攻撃元ホストのサブネットワーク別リスト、IPドメイン別リストと国別リストから成るインシデントリスト28を作成する。次に、スコアリング処理部25は、スキャンの頻度、攻撃の期間などをパラメータとするスコアリングルール22に基づいて検知情報のスコアリング処理を行い、スキャンスコア、短期攻撃スコア、中期攻撃スコア、長期攻撃スコアを算出する。
【0018】
算出された各スコアは、ドメイン名とともにグレイリスト29に加えられる。リスト作成部26は、検知された攻撃が、リスティングルール23に定められた閾値以上のスコアの場合、ブラックリスト30に記録し、スコアに応じた防御のためのアクションを決定する。ここで、このスコアが高くアクションとしてアクセスの拒否が決定されたものとする。決定されたアクションは、グレイリスト29、ブラックリスト30の該当するIPアドレス、ドメイン名のアクション欄に加えられる。そして、侵入検知システムからアクセス拒否のための処理を行う指示含むブラックリスト30がネットワーク集中制御装置102に送られる。ネットワーク集中制御装置102は、侵入検知システムからのブラックリスト30の情報に基づいてアクセス拒否の処置を行うようにFW1・50−1,FW2・50−2およびFWx・50−xに制御信号を発信する。FW1・50−1およびFW2・50−2は、受信した制御信号に基づき、指示されたホストからのアクセスを拒否する設定を行う。
なお、上記ブラックリストに代えて、あるいは、ブラックリストに加えて攻撃対象を集計したリスト(レッドリストという)を作成してもよい。すなわち、頻繁に攻撃される箇所を上述したブラックリストと同様の手法でリスト化してレッドリストを作成し、そこに飛来した攻撃に対してスコアを算出して防御のためのアクションを決定する。
【0019】
(第2の実施の形態)図5は第2の実施の形態による侵入検知システムの構成を示すブロック図である。信頼度問い合わせサーバ103は、侵入検知システムから入力されたブラックリスト30の情報を記憶装置に記憶し、この情報に基づいてファイアウォールを含むネットワーク管理システム50からの必要なアクションの問い合わせなどに対して情報を提供する。なお、信頼度問い合わせサーバ103は、複数のブラックリスト30から情報を受けて記憶することができる。このように、侵入検知システムとファイアウォールを別けて設置することにより、複数の侵入検知システムを分散して配置し、各侵入検知システムの負荷を軽減することができる。
なお、上記第2の実施形態に加えて、信頼度問い合わせサーバと侵入検知システム/ファイアウオールを含むネットワーク管理システム間の通信は、盗聴防止のため必要に応じて暗号化を行うことができる。また、これらシステムは互いの信憑性の確認のため、必要に応じて電子認証システム等を介した認証処理を行うことができる。
【0020】
【発明の効果】
以上説明したように、本発明によれば、複数の侵入検知装置によって検知された不正侵入の情報を集計して用いるので、一箇所の侵入検知装置では検出が困難なスロースキャンや複数ターゲットへの攻撃を検知可能になり、侵入検知システムの不正侵入検出能力を高めることができるという効果が得られる。また、インシデントリストに複数の地点からの長期の検知情報を蓄積することができるために、侵入検知情報の統合管理および長期にわたる攻撃元ホストの活動傾向の分析が可能になる。さらに、複数の侵入検知装置からの情報を集計して用いるため、必ずしも全ての内部ネットワークに侵入検知装置を設置する必要がなくなり、ネットワーク全体のセキュリティ対策のためのコストを低減できるという効果が得られる。また、侵入検知システムから検知情報をネットワーク制御装置に供給することによって攻撃に対して自動的に防御のアクションをとることができるようになり、ネットワークの信頼度を高めるという効果が得られる。
【図面の簡単な説明】
【図1】第1の実施の形態による侵入検知システムの構成を示すブロック図である。
【図2】同実施形態の侵入検知システムとファイアウォールの構成を示すブロック図である。
【図3】ブラックリスト作成部の構成を示すブロック図である。
【図4】インシデントリストおよびグレイリストの例を示す図である。
【図5】第2の実施の形態による侵入検知システムの構成を示すブロック図である。
【符号の説明】
10−1〜3 ネットワーク侵入検知装置(NIDS)
20 アラート収集装置
21 集計ルール(Aggregation Rule)
22 スコアリングルール(Scoring Rule)
23 リスティングルール(Listing Rule)
24 集計処理部(Aggregation)
25 スコアリング処理部(Scoring)
26 リスト作成部
27 アラートリスト(Alert List)
28 インシデントリスト(Incident List)
29 グレイリスト(Gray List)
30 ブラックリスト(Black List)
Claims (7)
- 複数の侵入検知装置により、ネットワークを介してコンピュータシステムに侵入する不正侵入を検知して検知情報を生成する検知情報生成手段と、
前記生成された検知情報を収集し、集計処理する集計手段と、
前記集計された情報をスコアリング処理し、攻撃スコアを算出する攻撃スコア算出手段と、
前記攻撃スコアに基づいて、不正な侵入に対する防御処理を決定する防御処理決定手段と、
前記攻撃スコアに基き、攻撃元ホストおよび前記防御処理の情報から成るブラックリストを作成して出力するブラックリスト作成手段と、
を有することを特徴とする侵入検知システム。 - 前記集計手段は、収集された時系列の検知情報を集計して単一の攻撃元または複数の攻撃元をまとめてグループ化した攻撃元のリストを作成することを特徴とする請求項1に記載の侵入検知システム。
- 前記攻撃スコア算出手段は、前記検知情報の重要度に時間減衰する関数を用いて攻撃スコアを算出することを特徴とする請求項1に記載の侵入検知システム。
- 前記ブラックリスト作成手段は、前記検知情報の集計結果から、前記攻撃スコアがある値以上になる攻撃元を抽出して前記攻撃元のブラックリストを作成することを特徴とする請求項1に記載の侵入検知システム。
- 前記ブラックリスト作成手段は、前記攻撃スコアと前記集計手段により作成されたリストにおける順位に基づいて攻撃元を抽出してブラックリストを作成することを特徴とする請求項1に記載の侵入検知システム。
- 複数の侵入検知装置により、ネットワークを介してコンピュータシステムに侵入する不正侵入を検知して検知情報を生成するステップと、
前記生成された検知情報を収集し、集計処理するステップと、
前記集計された情報をスコアリング処理し、攻撃スコアを算出するステップと、
前記攻撃スコアに基づいて、不正な侵入に対する防御手段を決定するステップと、
前記攻撃スコアに基き、攻撃元および前記防御手段の情報から成るブラックリストを作成して出力するステップと
をコンピュータに実行させるための侵入検知プログラム。 - 複数の侵入検知装置により、ネットワークを介してコンピュータシステムに侵入する不正侵入を検知して検知情報を生成する検知情報生成手段と、
前記生成された検知情報を収集し、集計処理する集計手段と、
前記集計された情報をスコアリング処理し、攻撃スコアを算出する攻撃スコア算出手段と、
前記攻撃スコアに基づいて、不正な侵入に対する防御処理を決定する防御処理決定手段と、
前記攻撃スコアに基き、攻撃対象および前記防御処理の情報から成るリストを作成して出力するリスト作成手段と、
を有することを特徴とする侵入検知システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002186298A JP2004030286A (ja) | 2002-06-26 | 2002-06-26 | 侵入検知システムおよび侵入検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002186298A JP2004030286A (ja) | 2002-06-26 | 2002-06-26 | 侵入検知システムおよび侵入検知プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004030286A true JP2004030286A (ja) | 2004-01-29 |
Family
ID=31181686
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002186298A Pending JP2004030286A (ja) | 2002-06-26 | 2002-06-26 | 侵入検知システムおよび侵入検知プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004030286A (ja) |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006237842A (ja) * | 2005-02-23 | 2006-09-07 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク制御システムおよびネットワーク制御方法 |
| JP2007028268A (ja) * | 2005-07-19 | 2007-02-01 | Kddi Corp | 不正パケットを送信する端末の帯域割当を制限する基地局、システム及び方法 |
| JP2007081638A (ja) * | 2005-09-13 | 2007-03-29 | Fuji Xerox Co Ltd | 画像処理装置及び不正アクセス防止方法 |
| JP2008500657A (ja) * | 2004-05-21 | 2008-01-10 | エヌエイチエヌ コーポレーション | 命令語の有効性判断方法及びそのシステム |
| WO2009041686A1 (ja) * | 2007-09-28 | 2009-04-02 | Nippon Telegraph And Telephone Corporation | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
| JP2010033539A (ja) * | 2008-07-30 | 2010-02-12 | Korea Electronics Telecommun | リバースキャッシングプロキシを用いたウェブ基盤の逆追跡システム |
| JP2010161488A (ja) * | 2009-01-06 | 2010-07-22 | National Institute Of Information & Communication Technology | ネットワーク監視システム及びその方法 |
| JP2010198386A (ja) * | 2009-02-25 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視システムおよび不正アクセス監視方法 |
| JP2010537525A (ja) * | 2007-08-21 | 2010-12-02 | エヌイーシー ヨーロッパ リミテッド | マルチメディアシステムへの攻撃を検知する方法および攻撃検知機能を備えたマルチメディアシステム |
| JP2011165073A (ja) * | 2010-02-12 | 2011-08-25 | Nec Corp | 属性情報交換システム、属性情報交換方法、属性情報交換プログラム |
| JP2011526751A (ja) * | 2008-07-04 | 2011-10-13 | アルカテル−ルーセント | 通信ネットワークのための侵入防止方法およびシステム |
| JP2012114719A (ja) * | 2010-11-25 | 2012-06-14 | Kddi Corp | 検知装置、検知方法及び検知プログラム |
| US8463727B2 (en) | 2006-08-24 | 2013-06-11 | Duaxes Corporation | Communication management system and communication management method |
| JP2013152497A (ja) * | 2012-01-24 | 2013-08-08 | Nec System Technologies Ltd | ブラックリスト抽出装置、抽出方法および抽出プログラム |
| US8572759B2 (en) | 2006-08-24 | 2013-10-29 | Duaxes Corporation | Communication management system and communication management method |
| JP2014112448A (ja) * | 2014-03-19 | 2014-06-19 | Ntt Communications Corp | アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム |
| WO2014119669A1 (ja) * | 2013-01-30 | 2014-08-07 | 日本電信電話株式会社 | ログ分析装置、情報処理方法及びプログラム |
| JP2015092404A (ja) * | 2004-09-17 | 2015-05-14 | デジタル エンボイ, インコーポレイテッド | 不正リスクアドバイザー |
| WO2015141628A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | Url選定方法、url選定システム、url選定装置及びurl選定プログラム |
| JP2015170219A (ja) * | 2014-03-07 | 2015-09-28 | 株式会社日立システムズ | アクセス管理方法およびアクセス管理システム |
| JP2019004249A (ja) * | 2017-06-13 | 2019-01-10 | 日本電信電話株式会社 | ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム |
| JP2020065242A (ja) * | 2018-10-17 | 2020-04-23 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 情報処理装置、情報処理方法及びプログラム |
| WO2020079928A1 (ja) * | 2018-10-17 | 2020-04-23 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 情報処理装置、情報処理方法及びプログラム |
| CN112867643A (zh) * | 2018-10-17 | 2021-05-28 | 松下电器(美国)知识产权公司 | 信息处理装置、信息处理方法以及程序 |
| JPWO2021124485A1 (ja) * | 2019-12-18 | 2021-06-24 | ||
| JP2022514172A (ja) * | 2018-11-30 | 2022-02-10 | シスコ テクノロジー,インコーポレイテッド | 相乗的なdnsセキュリティ更新 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07262135A (ja) * | 1994-03-17 | 1995-10-13 | Hitachi Ltd | セキュリティ管理装置 |
| JP2001313640A (ja) * | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| JP2002251374A (ja) * | 2000-12-20 | 2002-09-06 | Fujitsu Ltd | 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
-
2002
- 2002-06-26 JP JP2002186298A patent/JP2004030286A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07262135A (ja) * | 1994-03-17 | 1995-10-13 | Hitachi Ltd | セキュリティ管理装置 |
| JP2001313640A (ja) * | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| JP2002251374A (ja) * | 2000-12-20 | 2002-09-06 | Fujitsu Ltd | 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
Non-Patent Citations (3)
| Title |
|---|
| TAE HO CHO: "DEVS Simulation of distributed intrusion detection systems", TRANSACTIONS OF THE SOCIETY FOR COMPUTER SIMULATION INTERNATIONA ARCHIVE, JPN6008013992, September 2001 (2001-09-01), pages 133 - 146, ISSN: 0001008790 * |
| 油川 良太 RYOUTA ABURAKAWA: "分散NIDSによる広域不正アクセスの検知手法の提案 A proposal of detecting wide area illegal access", 電子情報通信学会技術研究報告 VOL.101 NO.291 IEICE TECHNICAL REPORT, vol. 第101巻, JPN6008013989, 7 September 2001 (2001-09-07), JP, pages 49 - 54, ISSN: 0001008789 * |
| 鳥居悟、小村昌弘ほか: "オープンベンダ不正アクセス対策システムにおける統合フレームワークの提案", コンピュータセキュリティシンポジウム’99(CSS'99), vol. 99, no. 15, JPN4007007365, 21 October 1999 (1999-10-21), JP, pages 153 - 158, ISSN: 0001008791 * |
Cited By (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8065258B2 (en) | 2004-05-21 | 2011-11-22 | Nhn Business Platform Corporation | Computer-implemented method of determining validity of a command line |
| JP2008500657A (ja) * | 2004-05-21 | 2008-01-10 | エヌエイチエヌ コーポレーション | 命令語の有効性判断方法及びそのシステム |
| US9058350B2 (en) | 2004-05-21 | 2015-06-16 | Naver Corporation | Computer-implemented method of determining validity of a command line |
| US8756188B2 (en) | 2004-05-21 | 2014-06-17 | Nhn Business Platform Corporation | Computer-implemented method of determining validity of a command line |
| JP4722927B2 (ja) * | 2004-05-21 | 2011-07-13 | エヌエイチエヌ ビジネス プラットフォーム コーポレーション | 命令語の有効性判断方法及びそのシステム |
| JP2015092404A (ja) * | 2004-09-17 | 2015-05-14 | デジタル エンボイ, インコーポレイテッド | 不正リスクアドバイザー |
| JP2006237842A (ja) * | 2005-02-23 | 2006-09-07 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク制御システムおよびネットワーク制御方法 |
| JP2007028268A (ja) * | 2005-07-19 | 2007-02-01 | Kddi Corp | 不正パケットを送信する端末の帯域割当を制限する基地局、システム及び方法 |
| JP2007081638A (ja) * | 2005-09-13 | 2007-03-29 | Fuji Xerox Co Ltd | 画像処理装置及び不正アクセス防止方法 |
| US8463727B2 (en) | 2006-08-24 | 2013-06-11 | Duaxes Corporation | Communication management system and communication management method |
| US8572759B2 (en) | 2006-08-24 | 2013-10-29 | Duaxes Corporation | Communication management system and communication management method |
| JP2010537525A (ja) * | 2007-08-21 | 2010-12-02 | エヌイーシー ヨーロッパ リミテッド | マルチメディアシステムへの攻撃を検知する方法および攻撃検知機能を備えたマルチメディアシステム |
| JP4827972B2 (ja) * | 2007-09-28 | 2011-11-30 | 日本電信電話株式会社 | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
| US8347383B2 (en) | 2007-09-28 | 2013-01-01 | Nippon Telegraph And Telephone Corporation | Network monitoring apparatus, network monitoring method, and network monitoring program |
| WO2009041686A1 (ja) * | 2007-09-28 | 2009-04-02 | Nippon Telegraph And Telephone Corporation | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
| JP2011526751A (ja) * | 2008-07-04 | 2011-10-13 | アルカテル−ルーセント | 通信ネットワークのための侵入防止方法およびシステム |
| US8341721B2 (en) | 2008-07-30 | 2012-12-25 | Electronics And Telecommunications Research Institute | Web-based traceback system and method using reverse caching proxy |
| JP2010033539A (ja) * | 2008-07-30 | 2010-02-12 | Korea Electronics Telecommun | リバースキャッシングプロキシを用いたウェブ基盤の逆追跡システム |
| JP2010161488A (ja) * | 2009-01-06 | 2010-07-22 | National Institute Of Information & Communication Technology | ネットワーク監視システム及びその方法 |
| JP2010198386A (ja) * | 2009-02-25 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視システムおよび不正アクセス監視方法 |
| JP2011165073A (ja) * | 2010-02-12 | 2011-08-25 | Nec Corp | 属性情報交換システム、属性情報交換方法、属性情報交換プログラム |
| JP2012114719A (ja) * | 2010-11-25 | 2012-06-14 | Kddi Corp | 検知装置、検知方法及び検知プログラム |
| JP2013152497A (ja) * | 2012-01-24 | 2013-08-08 | Nec System Technologies Ltd | ブラックリスト抽出装置、抽出方法および抽出プログラム |
| WO2014119669A1 (ja) * | 2013-01-30 | 2014-08-07 | 日本電信電話株式会社 | ログ分析装置、情報処理方法及びプログラム |
| JP6001689B2 (ja) * | 2013-01-30 | 2016-10-05 | 日本電信電話株式会社 | ログ分析装置、情報処理方法及びプログラム |
| US9860278B2 (en) | 2013-01-30 | 2018-01-02 | Nippon Telegraph And Telephone Corporation | Log analyzing device, information processing method, and program |
| JP2015170219A (ja) * | 2014-03-07 | 2015-09-28 | 株式会社日立システムズ | アクセス管理方法およびアクセス管理システム |
| JP2014112448A (ja) * | 2014-03-19 | 2014-06-19 | Ntt Communications Corp | アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム |
| WO2015141628A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | Url選定方法、url選定システム、url選定装置及びurl選定プログラム |
| JP5986340B2 (ja) * | 2014-03-19 | 2016-09-06 | 日本電信電話株式会社 | Url選定方法、url選定システム、url選定装置及びurl選定プログラム |
| US10462158B2 (en) | 2014-03-19 | 2019-10-29 | Nippon Telegraph And Telephone Corporation | URL selection method, URL selection system, URL selection device, and URL selection program |
| JP2019004249A (ja) * | 2017-06-13 | 2019-01-10 | 日本電信電話株式会社 | ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム |
| CN112867643A (zh) * | 2018-10-17 | 2021-05-28 | 松下电器(美国)知识产权公司 | 信息处理装置、信息处理方法以及程序 |
| WO2020079928A1 (ja) * | 2018-10-17 | 2020-04-23 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 情報処理装置、情報処理方法及びプログラム |
| JP2020065242A (ja) * | 2018-10-17 | 2020-04-23 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 情報処理装置、情報処理方法及びプログラム |
| CN112867642A (zh) * | 2018-10-17 | 2021-05-28 | 松下电器(美国)知识产权公司 | 信息处理装置、信息处理方法以及程序 |
| JP7344009B2 (ja) | 2018-10-17 | 2023-09-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 情報処理装置、情報処理方法及びプログラム |
| US11790088B2 (en) | 2018-10-17 | 2023-10-17 | Panasonic Intellectual Property Corporation Of America | Information processing device, information processing method, and recording medium |
| CN112867643B (zh) * | 2018-10-17 | 2023-12-05 | 松下电器(美国)知识产权公司 | 信息处理装置、信息处理方法以及记录介质 |
| CN112867642B (zh) * | 2018-10-17 | 2023-12-05 | 松下电器(美国)知识产权公司 | 信息处理装置、信息处理方法以及记录介质 |
| JP2022514172A (ja) * | 2018-11-30 | 2022-02-10 | シスコ テクノロジー,インコーポレイテッド | 相乗的なdnsセキュリティ更新 |
| JP7373560B2 (ja) | 2018-11-30 | 2023-11-02 | シスコ テクノロジー,インコーポレイテッド | 相乗的なdnsセキュリティ更新 |
| JPWO2021124485A1 (ja) * | 2019-12-18 | 2021-06-24 | ||
| JP7416089B2 (ja) | 2019-12-18 | 2024-01-17 | 日本電気株式会社 | 管理装置、管理方法、及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2004030286A (ja) | 侵入検知システムおよび侵入検知プログラム | |
| Pilli et al. | Network forensic frameworks: Survey and research challenges | |
| Ghorbani et al. | Network intrusion detection and prevention: concepts and techniques | |
| Zou et al. | The monitoring and early detection of internet worms | |
| Zou et al. | Monitoring and early warning for internet worms | |
| Jin et al. | Hop-count filtering: an effective defense against spoofed DDoS traffic | |
| Zeidanloo et al. | A taxonomy of botnet detection techniques | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| CA2499938C (en) | Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| US20080313734A1 (en) | DISTRIBUTED SYSTEM AND METHOD FOR THE DETECTION OF eTHREATS | |
| US20080301812A1 (en) | Method and system for counting new destination addresses | |
| Qin et al. | Worm detection using local networks | |
| Ádám et al. | Artificial neural network based IDS | |
| Alparslan et al. | BotNet detection: Enhancing analysis by using data mining techniques | |
| JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
| Prasad et al. | Flooding attacks to internet threat monitors (ITM): modeling and counter measures using botnet and honeypots | |
| Prasad et al. | IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots | |
| CN114172881A (zh) | 基于预测的网络安全验证方法、装置及系统 | |
| Faizal et al. | Threshold verification technique for network intrusion detection system | |
| Sivabalan et al. | Detecting IoT zombie attacks on web servers | |
| Collins et al. | On the limits of payload-oblivious network attack detection | |
| Anand et al. | Network intrusion detection and prevention | |
| Yang et al. | A Distributed Honeypot System for Grid Security | |
| Tang et al. | Honids: Enhancing honeypot system with intrusion detection models |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050224 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080319 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080325 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080729 |