JP2004046742A - 攻撃分析装置、センサ、攻撃分析方法及びプログラム - Google Patents
攻撃分析装置、センサ、攻撃分析方法及びプログラム Download PDFInfo
- Publication number
- JP2004046742A JP2004046742A JP2002206154A JP2002206154A JP2004046742A JP 2004046742 A JP2004046742 A JP 2004046742A JP 2002206154 A JP2002206154 A JP 2002206154A JP 2002206154 A JP2002206154 A JP 2002206154A JP 2004046742 A JP2004046742 A JP 2004046742A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- information
- alert
- alert information
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
【課題】検知したネットワーク攻撃についての分析処理の効率を向上させる。
【解決手段】IDS11及びファイアウオール13は、ネットワーク攻撃を検知すると、ログデータと、攻撃検知の要因となったパケットデータを用いて生成されたアラート識別子と、を含むアラート情報をコリレーション装置15に送信する。コリレーション装置15は、受信したアラート情報に含まれるアラート識別子を用いて、同一の攻撃に属するアラート情報を識別し、アラート情報を攻撃単位で攻撃情報として統合データベースに記憶する。そして、統合データベースに記憶された攻撃情報等を管理者の端末等に供給する。
【選択図】 図1
【解決手段】IDS11及びファイアウオール13は、ネットワーク攻撃を検知すると、ログデータと、攻撃検知の要因となったパケットデータを用いて生成されたアラート識別子と、を含むアラート情報をコリレーション装置15に送信する。コリレーション装置15は、受信したアラート情報に含まれるアラート識別子を用いて、同一の攻撃に属するアラート情報を識別し、アラート情報を攻撃単位で攻撃情報として統合データベースに記憶する。そして、統合データベースに記憶された攻撃情報等を管理者の端末等に供給する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
この発明は、ネットワーク攻撃を検知し、分析するためのシステムに関する。
【0002】
【従来の技術】
従来、ネットワーク攻撃を検知するシステムでは、ファイアウオール、IDS等のセンサを導入して、外部からの不正アクセスを検知し、セキュリティの確保を実現していた。
【0003】
【発明が解決しようとする課題】
上記のようなシステムでは、ネットワークに複数のセンサを設置している場合、一つの攻撃に対して各センサが個別に反応するため、複数の攻撃があったようにみえてしまう。このため、最終的には、管理者がログデータ等を見て攻撃の内容を判断していたため、処理効率が悪く、また、管理者の作業負荷が大きかった。
また、攻撃の開始点、終了点、経路等について管理者が視覚的に把握できる手段の実現が望まれていた。
【0004】
この発明は、上記実状に鑑みてなされたものであり、検知したネットワーク攻撃についての分析処理の効率を向上させることができる攻撃分析装置、センサ、攻撃分析方法等を提供することを目的とする。
また、ネットワーク攻撃の分析処理における管理者の作業負荷を軽減させることができる攻撃分析装置、センサ、攻撃分析方法等を提供することを他の目的とする。
また、ネットワーク攻撃の内容を管理者が視覚的に把握することができる攻撃分析装置、センサ、攻撃分析方法等を提供することを他の目的とする。
【0005】
【課題を解決するための手段】
上記目的を達成するため、この発明の第1の観点に係る攻撃分析装置は、
ネットワーク攻撃を検知する複数のセンサと接続可能な攻撃分析装置であって、
攻撃を検知した各前記センサから、ログデータと、攻撃検知の要因となったパケットデータを用いて生成されたアラート識別情報と、を含むアラート情報を受信する手段と、
受信したアラート情報に含まれるアラート識別情報を用いて、同一の攻撃に属するアラート情報を識別し、前記アラート情報を攻撃単位でデータベースに記憶する識別手段と、
前記データベースに記憶された攻撃単位のアラート情報を出力する出力手段と、
を備えることを特徴とする。
【0006】
この発明によれば、各センサが発するアラート情報について、同一の攻撃に属するアラート情報を識別することができるため、ネットワーク攻撃の分析処理における管理者の作業負荷を軽減することができるとともに、分析処理の効率化を図ることができる。
【0007】
アラート情報の受信に応じて所定のワーク領域を参照し、該アラート情報と同一の攻撃に属するアラート情報が前記ワーク領域に存在するかを判別する判別手段と、
前記判別手段により、該当するアラート情報が前記ワーク領域に存在しないと判別された場合、前記受信したアラート情報に含まれる時刻情報に基づいて該アラート情報が属する攻撃の開始時刻を決定し、攻撃開始時刻情報として前記データベースにおける攻撃単位のアラート情報と関連付けて記憶するとともに、前記受信したアラート情報を前記ワーク領域に記憶する手段と、
前記判別手段により、該当するアラート情報が前記ワーク領域に存在すると判別された場合、前記ワーク領域における該当アラート情報の時刻情報を、前記受信したアラート情報の時刻情報で更新する手段と、
前記ワーク領域に存在する各アラート情報について、該アラート情報に含まれる時刻情報が示す時刻から一定時間が経過したものを検出し、検出したアラート情報を前記ワーク領域から削除するとともに、削除時刻に基づいて、該アラート情報が属する攻撃の終了時刻を決定し、攻撃終了時刻情報として前記データベースにおける攻撃単位のアラート情報と関連付けて記憶する手段と、をさらに備えてもよく、
前記出力手段は、前記攻撃単位のアラート情報に関連付けられている攻撃の開始時刻と終了時刻の情報を出力する手段をさらに備えてもよい。
これにより、各攻撃の開始時刻・終了時刻等を判定することができるため、ネットワーク攻撃の分析処理における管理者の作業負荷を軽減することができるとともに、分析処理の効率化を図ることができる。
【0008】
前記出力手段は、前記データベースに記憶されている攻撃単位のアラート情報について、攻撃の方向性と、攻撃の指向性と、攻撃の深度と、の少なくとも1つの情報を、図を用いて表示するための画面情報を出力するようにしてもよい。
【0009】
前記識別手段は、アラート識別子を有しないアラート情報をセンサから受信した場合、該アラート情報に含まれるログデータと、アラート識別子を有するアラート情報のログデータを照合して、同一の攻撃に属するアラート情報を識別するようにしてもよい。
【0010】
この発明の第2の観点に係るセンサは、
ネットワーク上でパケットを監視して攻撃を検知するセンサであって、
ログデータと、攻撃検知の要因となったパケットデータを用いて生成したアラート識別情報と、を含むアラート情報を所定の装置に送信する、
ことを特徴とする。
【0011】
この発明の第3の観点に係る攻撃分析方法は、
ネットワーク攻撃を検知する複数のセンサと攻撃分析装置とを備えるネットワークシステムにおける攻撃分析方法であって、
攻撃を検知した各前記センサにおいて、ログデータと、攻撃検知の要因となったパケットデータを用いて生成されたアラート識別情報と、を含むアラート情報を前記攻撃分析装置に送信し、
前記攻撃分析装置において、前記センサから受信したアラート情報に含まれるアラート識別情報を用いて、同一の攻撃に属するアラート情報を識別し、前記アラート情報を攻撃単位で所定のデータベースに記憶し、
前記データベースに記憶された攻撃単位のアラート情報を出力する、
ことを特徴とする。
【0012】
この発明によれば、各センサが発するアラート情報について、同一の攻撃に属するアラート情報を識別することができるため、ネットワーク攻撃の分析処理における管理者の作業負荷を軽減することができるとともに、分析処理の効率化を図ることができる。
【0013】
前記攻撃分析装置において、アラート情報の受信に応じて所定のワーク領域を参照し、該アラート情報と同一の攻撃に属するアラート情報が前記ワーク領域に存在するかを判別してもよく、
該当するアラート情報が前記ワーク領域に存在しないと判別された場合、前記受信したアラート情報に含まれる時刻情報に基づいて該アラート情報が属する攻撃の開始時刻を決定し、攻撃開始時刻情報として前記データベースにおける攻撃単位のアラート情報と関連付けて記憶するとともに、前記受信したアラート情報を前記ワーク領域に記憶してもよく、
該当するアラート情報が前記ワーク領域に存在すると判別された場合、前記ワーク領域における該当アラート情報の時刻情報を、前記受信したアラート情報の時刻情報で更新してもよく、
前記分析装置において、前記ワーク領域に存在する各アラート情報について、該アラート情報に含まれる時刻情報が示す時刻から一定時間が経過したものを検出し、検出したアラート情報を前記ワーク領域から削除するとともに、削除時刻に基づいて、該アラート情報が属する攻撃の終了時刻を決定し、攻撃終了時刻情報として前記データベースにおける攻撃単位のアラート情報と関連付けて記憶してもよく、
前記データベースにおける攻撃単位のアラート情報と、該攻撃単位のアラート情報に関連付けられている攻撃の開始時刻と終了時刻の情報と、を出力してもよい。
【0014】
この発明の第4の観点に係るプログラムは、
コンピュータを、
請求項1又は2に記載の攻撃分析装置として機能させることを特徴とする。
【0015】
【発明の実施の形態】
以下、本発明の実施の形態に係る攻撃検知システムについて図面を参照して説明する。
【0016】
図1はこの発明の実施の形態に係る攻撃検知システムの構成を示す図である。図示するように、この攻撃検知システムは、センタ内でネットワーク10を介して相互に接続される複数のIDS(Intrusion Detection System)11及びファイアウオール13と、各IDS11及びファイアウオール13と所定のネットワークを介して相互に接続されるコリレーション装置15と、を備えている。
【0017】
ネットワーク10は、外部ネットワークと接続可能なセンタ内の内部ネットワークであり、IDS11、ファイアウオール13等が接続されている。また、ネットワーク10は、ウェブサーバ、ファイルサーバ、データベースサーバ等の種々のサーバ、クライアント端末等が接続されている。
【0018】
IDS11は、ネットワークへの不正な侵入を検出するためのものであり、制御部、記憶部、通信制御部等を備えるコンピュータに所定の動作プログラム等をインストールし、動作プログラムを起動することにより実現される。
IDS11は、ネットワーク10上を流れるパケットを監視するNIDS(ネットワーク型IDS)111と、ホスト(サーバ)のシスログ等を監視するHIDS(ホスト型IDS)112と、を含む。
【0019】
NIDS111は、例えば図2に示すように、パケットチェック部111a、アラート識別子生成部111b、シグネチャデータベース111c、アラートログデータベース111dを論理的に備える。
パケットチェック部111aは、攻撃パターンに関する情報が登録されているシグネチャデータベース111cを参照し、ネットワーク上を流れるパケットについて、そのパケットが攻撃に関するものであるか否かを判別する。そして、攻撃を検出した場合には、ログデータ(攻撃先、攻撃元、攻撃名、攻撃検出時刻(アラート発生時刻)等を含む)を生成してアラートログデータベース111dに記憶するとともに、後述のアラート識別子生成部111bにより生成されたアラート識別子と、ログデータを含むアラートと、を含むアラート情報をコリレーション装置15に送信する処理を行う。
【0020】
アラート識別子生成部111bは、パケットチェック部111aにより攻撃に関する内容を有する不正なパケットが検出された場合、検出した不正なパケットのデータと一方向関数を用いてアラート識別子を生成する処理を行う。
シグネチャデータベース111cは、攻撃パターンに関する情報を記憶する。アラートログデータベース111dは、攻撃が検出された際に生成されるログデータを記憶する。
【0021】
HIDS112は、例えば図3に示すように、シスログ監視部112a、アラートログデータベース112bを論理的に備える。
シスログ監視部112aは、サーバのシスログを監視して、重要なプロセスの起動等を検知する。そして、重要なプロセスの起動を検知した場合には、ログデータを生成してアラートログデータベース112bに記憶するとともに、ログデータを含むアラート情報をコリレーション装置15に送信する処理を行う。
アラートログデータベース112bは、重要なプロセスの起動が検出された際に生成されるログデータを記憶する。
【0022】
ファイアウオール13は、例えば図4に示すように、パケットチェック部13a、アラート識別子生成部13b、アラートログデータベース13cを論理的に備える。
パケットチェック部13aは、予め設定されている、フィルタリングの条件に関する情報(ポリシー)に基づいてパケットのフィルタリング等を行う。そして、不正なパケットを検出した場合には、ログデータを生成してアラートログデータベース131cに記憶するとともに、後述のアラート識別子生成部131bにより生成されたアラート識別子と、ログデータを含むアラートと、を含むアラート情報をコリレーション装置15に送信する処理を行う。
アラート識別子生成部13bは、パケットチェック部13aにより不正なパケットが検出された場合、その不正なパケットのデータと一方向関数を用いてアラート識別子を生成する処理を行う。
ログデータベース13cは、不正なパケットが検出された際に生成されるログデータを記憶する。
【0023】
コリレーション装置15は、例えば図5に示すように、制御部151と、記憶部152と、通信制御部153と、を備えるサーバ等のコンピュータにより構成される。
【0024】
制御部151は、記憶部152に記憶される動作プログラム等を実行することにより、相関判定部151a、分析画面処理部151b等を実現する。
【0025】
相関判定部151aは、各センサ(IDS11及びファイアウオール13)から受信した各アラート情報について、それぞれの相関をとって同じ攻撃に属するアラート情報を識別するとともに、各攻撃の開始時間・終了時間を判定し、記憶部152の統合データベース152aに登録する。
【0026】
具体的には、相関判定部151aは、IDS11、ファイアウオール13からのアラート情報の受信に応じて、所定のワーク領域(以下、「アタックステートバッファ」と呼ぶ)を参照する。
このアタックステートバッファには、例えば図6に示すような、攻撃元アドレス、攻撃先アドレス、攻撃名(コマンド名等)、時刻情報(アラート発生時刻等)等の所定情報(以下、チェック情報)が書き込まれる。相関判定部151aは、参照したアタックステートバッファに、受信したアラート情報に対応する、すなわち、攻撃先、攻撃元、攻撃名が同一であるチェック情報があるか否かを判別し、対応するチェック情報が無い場合には、新たな攻撃とみなし、受信したアラート情報に基づくチェック情報(攻撃先アドレス、攻撃元アドレス、攻撃名、時刻情報等)をアタックステートバッファに書き込むとともに、例えば図7に示すような、アラート識別子、攻撃名、攻撃元アドレス、攻撃先アドレス、攻撃開始時間、攻撃終了時間、センサ情報(センサの種別及びセンサの識別コード)、等のデータ項目を有する攻撃情報を生成して統合データベース152aに登録する。
【0027】
また、受信したアラート情報に対応するチェック情報がアタックステートバッファに記憶されている場合には、一連の攻撃とみなし、該当するチェック情報の時刻情報をアラート発生時刻で更新する。そして、統合データベース152aにおいて対応する(識別子コードとセンサ種別が同一である等)攻撃情報にセンサの識別コードを追加設定する。
【0028】
また、相関判定部151aは、アタックステートバッファに登録された各チェック情報について時刻情報を参照し、その時刻から所定時間が経過しているチェック情報についてはアタックステートバッファから消去するとともに、時刻情報が示す時刻を、統合データベース152aにおいて消去したチェック情報に対応する攻撃情報の攻撃終了時間に設定する。
【0029】
また、相関判定部151aは、各アラート情報に対応する攻撃情報を統合データベース152aに登録する際、そのアラート識別子を参照して、同じアラート識別子を有するアラート情報については、同じ攻撃名に変更して登録する処理をセンサ種別毎に行う。例えば、NIDS111(A)とNIDS111(C)から、同じアラート識別子を有するアラート情報を受信した場合には、NIDS111(C)のアラート情報の攻撃名をNIDS111(A)のアラート情報の攻撃名に変更する等して攻撃名を同一にして登録する。
また、アラート識別子を有しないHIDS112からのアラート情報については、そのアラート情報に含まれるログデータと、NIDS111からのアラート情報に含まれるログデータのテキストマッチングにより相関を取り、同一の攻撃に属するHIDS112のアラート情報を検出し、そのアラート情報に含まれるアラート識別子を付すことにより相関をとる。
【0030】
例えば、図8に示すような、NIDS111からのアラート情報AL1を受信した後に、HIDS112からアラート情報AL2を受信した場合には、ログデータのテキストマッチングにより、アラート情報AL1のログデータにおけるコマンド名の一部の「inetinfo.exe」と、アラート情報のAL2のログデータにおける起動プロセス名「inetinfo.exe」の一致が検出されるため、アラート情報AL1のアラート識別子「523212」がアラート情報AL2に付与される。
【0031】
また、相関判定部151aは、アタックステートバッファに登録された各チェック情報について時刻情報を参照し、その時刻から所定時間が経過しているチェック情報についてはアタックステートバッファから消去するとともに、時刻情報が示す時刻を、統合データベース152aにおいて消去したチェック情報に対応する攻撃情報の攻撃終了時間に設定する。
【0032】
分析画面処理部151bは、統合データベース152aに登録された攻撃情報やログデータ等を用いて、本システムにより検知された各攻撃に関する情報を視覚的に表現する分析画面を生成し、管理者の端末等に供給する処理を行う。
分析画面の一例を図9に示す。分析画面処理部151bは、この分析画面において、例えば、センサに着目したネットワーク図を表示するとともに、各攻撃とについて、攻撃時間、攻撃の深度等をグラフ等を用いて視覚的に表す。また、各攻撃のいずれかが管理者によってクリック等により選択されると、ネットワーク図において、その攻撃に反応したセンサが分かるような表示を行い(例えば、該当センサの表示色の輝度を上げる等)、また、攻撃の経路及び指向性を表示する。攻撃の経路及び指向性の判断方法は任意であり、例えば、反応したセンサを通過するようなネットワーク経路を求めてもよい。そして、求めた経路を延長する等して攻撃の指向性を求めても良い。また、攻撃の深さの判別方法は任意であり、例えば、外部ネットワークとの接点からどの程度内部ネットワークに侵入されたかを判別してもよく、また、攻撃対象となった層(例えば、アプリケーション層、プレゼンテーション層、セッション層等)に基づいて判別してもよい。
【0033】
記憶部152は、制御部151が実行する動作プログラム、処理に必要な各種のデータ、各センサから受信したアラート情報等を記憶する。
また、記憶部152は、例えば図7に示すような攻撃情報を記憶する統合データベース152aを備える。
【0034】
通信制御部153は、所定のネットワークを介してIDS11、ファイアウオール13等とデータ通信を行うためのものである。
【0035】
以下に、本発明の実施の形態に係る攻撃検知システムの動作について本発明の特徴部分を中心に説明する。
コリレーション装置15が各攻撃の開始時間、終了時間を決定する処理について図10、図11を参照して説明する。
【0036】
図10は、各センサからのアラート情報の受信に応じてコリレーション装置15において実行されるフローチャートである。
コリレーション装置15は、受信したアラート情報について、アタックステートバッファを参照し、同じ攻撃元、攻撃先、攻撃名を持つチェック情報が存在するか否かを判別する(ステップS1)。
【0037】
該当するチェック情報がアタックステートバッファに存在すると判別された場合には、該当するチェック情報の時刻情報を、受信したアラート情報に含まれる時刻情報で更新して、本処理を終了する(ステップS2)。
【0038】
また、該当するチェック情報がアタックステートバッファに存在しないと判別された場合には、受信したアラート情報に基づくチェック情報を生成して、アタックステートバッファに登録するとともに、アラート情報における時刻情報を攻撃開始時刻に設定した攻撃情報を生成して統合データベース152aに登録し、本処理を終了する(ステップS3)。
【0039】
図11は、所定時間毎にコリレーション装置15において実行されるフローチャートである。
コリレーション装置15は、アタックステートバッファを参照して、登録されている各チェック情報について、時刻情報が示す時刻から一定時間を経過したものがあるか否かを判別する(ステップS11)。
【0040】
該当するチェック情報がある場合には、そのチェック情報をアタックステートバッファから削除するとともに、削除した時刻を攻撃終了時間として、統合データベース152aにおいて対応する攻撃情報に設定して、本処理を終了する(ステップS12)。
【0041】
また、該当するチェック情報がない場合には、そのまま本処理を終了する。
これにより、各攻撃の開始時間、終了時間が統合データベース152aに登録される。
【0042】
次に、コリレーション装置15において各攻撃の開始時間、終了時間を決定する処理を具体例を用いて説明する。
例えば、図12に示すように、コリレーション装置15において、NIDS111(A)からアラート情報AL1を、NIDS111(B)からアラート情報AL2を、ファイアウオール13からアラート情報AL3を、それぞれ受信したこととする(L1)。
コリレーション装置15は、アタックステートバッファを参照し、これらと対応する(攻撃先、攻撃元、攻撃名が同一である)チェック情報が存在するかを判別する。この例では、対応するチェック情報はアタックステートバッファに登録されていないこととする。コリレーション装置15は、受信したアラート情報AL1、AL2、AL3に対応するチェック情報CH1、CH2、CH3をアタックステートバッファに書き込むとともに(L2)、各アラート情報における時刻情報を「攻撃開始時間」に設定した攻撃情報AT1、AT2を統合データベース152aに登録する(L3)。
これにより、攻撃の攻撃開始時間が決定される。
【0043】
次に、図13に示すように、コリレーション装置15において、ファイアウオール13(C)からアラート情報AL4を受信したこととする(L4)。
コリレーション装置15は、アタックステートバッファを参照し、これに対応するチェック情報CH3が存在すると判別すると、その時刻情報を、受信したアラート情報AL4の時刻情報で更新する(L5)。
【0044】
そして、図14に示すように、コリレーション装置15は、アタックステートバッファへの登録時刻から一定時間が経過したチェック情報CH1、CH2が存在すると判別した場合には、そのチェック情報を削除するとともに(L6)、統合データベース152aにおいて対応する攻撃情報AT1の「攻撃終了時間」にチェック情報の削除時刻を設定する(L7)。
これにより、攻撃の攻撃終了時間が決定される。
【0045】
以上説明したように、本発明によれば、各センサが発するアラート情報について相関を取り、同一の攻撃に属するアラート情報を識別し、また、各攻撃の開始時刻・終了時刻等を判定することができる。また、各攻撃に関する各種情報を視覚的に管理者に提示することができる。これにより、ネットワーク攻撃の分析処理における管理者の作業負荷を軽減するとともに、分析処理の効率化を図ることができる。
【0046】
なお、アラート識別子の生成方法は、一方向関数を利用する上記方法に限定されず任意であり、種々の生成方法も使用可能である。
【0047】
また、各装置やDBの構成は、任意に変更可能である。例えば、統合データベース152aは、攻撃情報を、攻撃毎、センサ種別毎にまとめるようにしているが、単に、攻撃毎にまとめるような構成にしてもよい。
また、チェック情報、攻撃情報のデータ構造は一例であり、攻撃元、攻撃先、攻撃名等の上記処理に必要なデータを含んでいればよく、他の種々のデータ構造も適用可能である。
なお、上記説明では、セキュリティ上の観点から、運用されているネットワーク10上にコリレーション装置15を設置しないようにしているが、これに限定されず、ネットワーク10上に設置するようにしてもよい。
【0048】
なお、この発明のシステムは、専用のシステムによらず、通常のコンピュータシステムを用いても実現可能である。例えば、上述の動作を実行するためのプログラムをコンピュータ読み取り可能な記録媒体(FD、CD−ROM、DVD等)に格納して配布し、該プログラムをコンピュータにインストールすることにより、上述の処理を実行する各IDS11、ファイアウオール13、コリレーション装置15等を構成してもよい。また、インターネット等のネットワーク上のサーバ装置が有するディスク装置に格納しておき、例えば搬送波に重畳してコンピュータにダウンロード等するようにしてもよい。
また、上述の機能を、OSが分担又はOSとアプリケーションの共同により実現する場合等には、OS以外の部分のみを媒体に格納して配布してもよく、また、搬送波に重畳してコンピュータにダウンロード等してもよい。
【0049】
【発明の効果】
この発明によれば、ネットワーク攻撃の分析処理における管理者の作業負荷を軽減することができ、分析処理の効率化を図ることができる。
【図面の簡単な説明】
【図1】この発明の実施の形態に係る攻撃検知システムの構成を示す図である。
【図2】図1の攻撃検知システムで使用されるNIDSの構成を示す図である。
【図3】図1の攻撃検知システムで使用されるHIDSの構成を示す図である。
【図4】図1の攻撃検知システムで使用されるファイアウオールの構成を示す図である。
【図5】図1の攻撃検知システムで使用されるコリレーション装置の構成を示す図である。
【図6】アタックステートバッファに記憶される情報の一例を示す図である。
【図7】攻撃情報のデータ構造の一例を示す図である。
【図8】HIDSからアラート情報を受信した場合の処理を具体的に説明するための図である。
【図9】分析画面の一例を示す図である。
【図10】攻撃の開始時間を決定する処理を説明するためのフローチャートである。
【図11】攻撃の終了時間を決定する処理を説明するためのフローチャートである。
【図12】攻撃情報の開始時間、終了時間を決定する処理を具体的に説明するための図である。
【図13】攻撃情報の開始時間、終了時間を決定する処理を具体的に説明するための図である。
【図14】攻撃情報の開始時間、終了時間を決定する処理を具体的に説明するための図である。
【符号の説明】
10 ネットワーク
11 IDS
111 NIDS
112 HIDS
13 ファイアウオール
15 コリレーション装置
111a パケットチェック部
111b アラート識別子生成部
111c シグネチャデータベース
111d アラートログデータベース
112a シスログ監視部
112b アラートログデータベース
13a パケットチェック部
13b アラート識別子生成部
13c アラートログデータベース
151 制御部
152 記憶部
153 通信制御部
【発明の属する技術分野】
この発明は、ネットワーク攻撃を検知し、分析するためのシステムに関する。
【0002】
【従来の技術】
従来、ネットワーク攻撃を検知するシステムでは、ファイアウオール、IDS等のセンサを導入して、外部からの不正アクセスを検知し、セキュリティの確保を実現していた。
【0003】
【発明が解決しようとする課題】
上記のようなシステムでは、ネットワークに複数のセンサを設置している場合、一つの攻撃に対して各センサが個別に反応するため、複数の攻撃があったようにみえてしまう。このため、最終的には、管理者がログデータ等を見て攻撃の内容を判断していたため、処理効率が悪く、また、管理者の作業負荷が大きかった。
また、攻撃の開始点、終了点、経路等について管理者が視覚的に把握できる手段の実現が望まれていた。
【0004】
この発明は、上記実状に鑑みてなされたものであり、検知したネットワーク攻撃についての分析処理の効率を向上させることができる攻撃分析装置、センサ、攻撃分析方法等を提供することを目的とする。
また、ネットワーク攻撃の分析処理における管理者の作業負荷を軽減させることができる攻撃分析装置、センサ、攻撃分析方法等を提供することを他の目的とする。
また、ネットワーク攻撃の内容を管理者が視覚的に把握することができる攻撃分析装置、センサ、攻撃分析方法等を提供することを他の目的とする。
【0005】
【課題を解決するための手段】
上記目的を達成するため、この発明の第1の観点に係る攻撃分析装置は、
ネットワーク攻撃を検知する複数のセンサと接続可能な攻撃分析装置であって、
攻撃を検知した各前記センサから、ログデータと、攻撃検知の要因となったパケットデータを用いて生成されたアラート識別情報と、を含むアラート情報を受信する手段と、
受信したアラート情報に含まれるアラート識別情報を用いて、同一の攻撃に属するアラート情報を識別し、前記アラート情報を攻撃単位でデータベースに記憶する識別手段と、
前記データベースに記憶された攻撃単位のアラート情報を出力する出力手段と、
を備えることを特徴とする。
【0006】
この発明によれば、各センサが発するアラート情報について、同一の攻撃に属するアラート情報を識別することができるため、ネットワーク攻撃の分析処理における管理者の作業負荷を軽減することができるとともに、分析処理の効率化を図ることができる。
【0007】
アラート情報の受信に応じて所定のワーク領域を参照し、該アラート情報と同一の攻撃に属するアラート情報が前記ワーク領域に存在するかを判別する判別手段と、
前記判別手段により、該当するアラート情報が前記ワーク領域に存在しないと判別された場合、前記受信したアラート情報に含まれる時刻情報に基づいて該アラート情報が属する攻撃の開始時刻を決定し、攻撃開始時刻情報として前記データベースにおける攻撃単位のアラート情報と関連付けて記憶するとともに、前記受信したアラート情報を前記ワーク領域に記憶する手段と、
前記判別手段により、該当するアラート情報が前記ワーク領域に存在すると判別された場合、前記ワーク領域における該当アラート情報の時刻情報を、前記受信したアラート情報の時刻情報で更新する手段と、
前記ワーク領域に存在する各アラート情報について、該アラート情報に含まれる時刻情報が示す時刻から一定時間が経過したものを検出し、検出したアラート情報を前記ワーク領域から削除するとともに、削除時刻に基づいて、該アラート情報が属する攻撃の終了時刻を決定し、攻撃終了時刻情報として前記データベースにおける攻撃単位のアラート情報と関連付けて記憶する手段と、をさらに備えてもよく、
前記出力手段は、前記攻撃単位のアラート情報に関連付けられている攻撃の開始時刻と終了時刻の情報を出力する手段をさらに備えてもよい。
これにより、各攻撃の開始時刻・終了時刻等を判定することができるため、ネットワーク攻撃の分析処理における管理者の作業負荷を軽減することができるとともに、分析処理の効率化を図ることができる。
【0008】
前記出力手段は、前記データベースに記憶されている攻撃単位のアラート情報について、攻撃の方向性と、攻撃の指向性と、攻撃の深度と、の少なくとも1つの情報を、図を用いて表示するための画面情報を出力するようにしてもよい。
【0009】
前記識別手段は、アラート識別子を有しないアラート情報をセンサから受信した場合、該アラート情報に含まれるログデータと、アラート識別子を有するアラート情報のログデータを照合して、同一の攻撃に属するアラート情報を識別するようにしてもよい。
【0010】
この発明の第2の観点に係るセンサは、
ネットワーク上でパケットを監視して攻撃を検知するセンサであって、
ログデータと、攻撃検知の要因となったパケットデータを用いて生成したアラート識別情報と、を含むアラート情報を所定の装置に送信する、
ことを特徴とする。
【0011】
この発明の第3の観点に係る攻撃分析方法は、
ネットワーク攻撃を検知する複数のセンサと攻撃分析装置とを備えるネットワークシステムにおける攻撃分析方法であって、
攻撃を検知した各前記センサにおいて、ログデータと、攻撃検知の要因となったパケットデータを用いて生成されたアラート識別情報と、を含むアラート情報を前記攻撃分析装置に送信し、
前記攻撃分析装置において、前記センサから受信したアラート情報に含まれるアラート識別情報を用いて、同一の攻撃に属するアラート情報を識別し、前記アラート情報を攻撃単位で所定のデータベースに記憶し、
前記データベースに記憶された攻撃単位のアラート情報を出力する、
ことを特徴とする。
【0012】
この発明によれば、各センサが発するアラート情報について、同一の攻撃に属するアラート情報を識別することができるため、ネットワーク攻撃の分析処理における管理者の作業負荷を軽減することができるとともに、分析処理の効率化を図ることができる。
【0013】
前記攻撃分析装置において、アラート情報の受信に応じて所定のワーク領域を参照し、該アラート情報と同一の攻撃に属するアラート情報が前記ワーク領域に存在するかを判別してもよく、
該当するアラート情報が前記ワーク領域に存在しないと判別された場合、前記受信したアラート情報に含まれる時刻情報に基づいて該アラート情報が属する攻撃の開始時刻を決定し、攻撃開始時刻情報として前記データベースにおける攻撃単位のアラート情報と関連付けて記憶するとともに、前記受信したアラート情報を前記ワーク領域に記憶してもよく、
該当するアラート情報が前記ワーク領域に存在すると判別された場合、前記ワーク領域における該当アラート情報の時刻情報を、前記受信したアラート情報の時刻情報で更新してもよく、
前記分析装置において、前記ワーク領域に存在する各アラート情報について、該アラート情報に含まれる時刻情報が示す時刻から一定時間が経過したものを検出し、検出したアラート情報を前記ワーク領域から削除するとともに、削除時刻に基づいて、該アラート情報が属する攻撃の終了時刻を決定し、攻撃終了時刻情報として前記データベースにおける攻撃単位のアラート情報と関連付けて記憶してもよく、
前記データベースにおける攻撃単位のアラート情報と、該攻撃単位のアラート情報に関連付けられている攻撃の開始時刻と終了時刻の情報と、を出力してもよい。
【0014】
この発明の第4の観点に係るプログラムは、
コンピュータを、
請求項1又は2に記載の攻撃分析装置として機能させることを特徴とする。
【0015】
【発明の実施の形態】
以下、本発明の実施の形態に係る攻撃検知システムについて図面を参照して説明する。
【0016】
図1はこの発明の実施の形態に係る攻撃検知システムの構成を示す図である。図示するように、この攻撃検知システムは、センタ内でネットワーク10を介して相互に接続される複数のIDS(Intrusion Detection System)11及びファイアウオール13と、各IDS11及びファイアウオール13と所定のネットワークを介して相互に接続されるコリレーション装置15と、を備えている。
【0017】
ネットワーク10は、外部ネットワークと接続可能なセンタ内の内部ネットワークであり、IDS11、ファイアウオール13等が接続されている。また、ネットワーク10は、ウェブサーバ、ファイルサーバ、データベースサーバ等の種々のサーバ、クライアント端末等が接続されている。
【0018】
IDS11は、ネットワークへの不正な侵入を検出するためのものであり、制御部、記憶部、通信制御部等を備えるコンピュータに所定の動作プログラム等をインストールし、動作プログラムを起動することにより実現される。
IDS11は、ネットワーク10上を流れるパケットを監視するNIDS(ネットワーク型IDS)111と、ホスト(サーバ)のシスログ等を監視するHIDS(ホスト型IDS)112と、を含む。
【0019】
NIDS111は、例えば図2に示すように、パケットチェック部111a、アラート識別子生成部111b、シグネチャデータベース111c、アラートログデータベース111dを論理的に備える。
パケットチェック部111aは、攻撃パターンに関する情報が登録されているシグネチャデータベース111cを参照し、ネットワーク上を流れるパケットについて、そのパケットが攻撃に関するものであるか否かを判別する。そして、攻撃を検出した場合には、ログデータ(攻撃先、攻撃元、攻撃名、攻撃検出時刻(アラート発生時刻)等を含む)を生成してアラートログデータベース111dに記憶するとともに、後述のアラート識別子生成部111bにより生成されたアラート識別子と、ログデータを含むアラートと、を含むアラート情報をコリレーション装置15に送信する処理を行う。
【0020】
アラート識別子生成部111bは、パケットチェック部111aにより攻撃に関する内容を有する不正なパケットが検出された場合、検出した不正なパケットのデータと一方向関数を用いてアラート識別子を生成する処理を行う。
シグネチャデータベース111cは、攻撃パターンに関する情報を記憶する。アラートログデータベース111dは、攻撃が検出された際に生成されるログデータを記憶する。
【0021】
HIDS112は、例えば図3に示すように、シスログ監視部112a、アラートログデータベース112bを論理的に備える。
シスログ監視部112aは、サーバのシスログを監視して、重要なプロセスの起動等を検知する。そして、重要なプロセスの起動を検知した場合には、ログデータを生成してアラートログデータベース112bに記憶するとともに、ログデータを含むアラート情報をコリレーション装置15に送信する処理を行う。
アラートログデータベース112bは、重要なプロセスの起動が検出された際に生成されるログデータを記憶する。
【0022】
ファイアウオール13は、例えば図4に示すように、パケットチェック部13a、アラート識別子生成部13b、アラートログデータベース13cを論理的に備える。
パケットチェック部13aは、予め設定されている、フィルタリングの条件に関する情報(ポリシー)に基づいてパケットのフィルタリング等を行う。そして、不正なパケットを検出した場合には、ログデータを生成してアラートログデータベース131cに記憶するとともに、後述のアラート識別子生成部131bにより生成されたアラート識別子と、ログデータを含むアラートと、を含むアラート情報をコリレーション装置15に送信する処理を行う。
アラート識別子生成部13bは、パケットチェック部13aにより不正なパケットが検出された場合、その不正なパケットのデータと一方向関数を用いてアラート識別子を生成する処理を行う。
ログデータベース13cは、不正なパケットが検出された際に生成されるログデータを記憶する。
【0023】
コリレーション装置15は、例えば図5に示すように、制御部151と、記憶部152と、通信制御部153と、を備えるサーバ等のコンピュータにより構成される。
【0024】
制御部151は、記憶部152に記憶される動作プログラム等を実行することにより、相関判定部151a、分析画面処理部151b等を実現する。
【0025】
相関判定部151aは、各センサ(IDS11及びファイアウオール13)から受信した各アラート情報について、それぞれの相関をとって同じ攻撃に属するアラート情報を識別するとともに、各攻撃の開始時間・終了時間を判定し、記憶部152の統合データベース152aに登録する。
【0026】
具体的には、相関判定部151aは、IDS11、ファイアウオール13からのアラート情報の受信に応じて、所定のワーク領域(以下、「アタックステートバッファ」と呼ぶ)を参照する。
このアタックステートバッファには、例えば図6に示すような、攻撃元アドレス、攻撃先アドレス、攻撃名(コマンド名等)、時刻情報(アラート発生時刻等)等の所定情報(以下、チェック情報)が書き込まれる。相関判定部151aは、参照したアタックステートバッファに、受信したアラート情報に対応する、すなわち、攻撃先、攻撃元、攻撃名が同一であるチェック情報があるか否かを判別し、対応するチェック情報が無い場合には、新たな攻撃とみなし、受信したアラート情報に基づくチェック情報(攻撃先アドレス、攻撃元アドレス、攻撃名、時刻情報等)をアタックステートバッファに書き込むとともに、例えば図7に示すような、アラート識別子、攻撃名、攻撃元アドレス、攻撃先アドレス、攻撃開始時間、攻撃終了時間、センサ情報(センサの種別及びセンサの識別コード)、等のデータ項目を有する攻撃情報を生成して統合データベース152aに登録する。
【0027】
また、受信したアラート情報に対応するチェック情報がアタックステートバッファに記憶されている場合には、一連の攻撃とみなし、該当するチェック情報の時刻情報をアラート発生時刻で更新する。そして、統合データベース152aにおいて対応する(識別子コードとセンサ種別が同一である等)攻撃情報にセンサの識別コードを追加設定する。
【0028】
また、相関判定部151aは、アタックステートバッファに登録された各チェック情報について時刻情報を参照し、その時刻から所定時間が経過しているチェック情報についてはアタックステートバッファから消去するとともに、時刻情報が示す時刻を、統合データベース152aにおいて消去したチェック情報に対応する攻撃情報の攻撃終了時間に設定する。
【0029】
また、相関判定部151aは、各アラート情報に対応する攻撃情報を統合データベース152aに登録する際、そのアラート識別子を参照して、同じアラート識別子を有するアラート情報については、同じ攻撃名に変更して登録する処理をセンサ種別毎に行う。例えば、NIDS111(A)とNIDS111(C)から、同じアラート識別子を有するアラート情報を受信した場合には、NIDS111(C)のアラート情報の攻撃名をNIDS111(A)のアラート情報の攻撃名に変更する等して攻撃名を同一にして登録する。
また、アラート識別子を有しないHIDS112からのアラート情報については、そのアラート情報に含まれるログデータと、NIDS111からのアラート情報に含まれるログデータのテキストマッチングにより相関を取り、同一の攻撃に属するHIDS112のアラート情報を検出し、そのアラート情報に含まれるアラート識別子を付すことにより相関をとる。
【0030】
例えば、図8に示すような、NIDS111からのアラート情報AL1を受信した後に、HIDS112からアラート情報AL2を受信した場合には、ログデータのテキストマッチングにより、アラート情報AL1のログデータにおけるコマンド名の一部の「inetinfo.exe」と、アラート情報のAL2のログデータにおける起動プロセス名「inetinfo.exe」の一致が検出されるため、アラート情報AL1のアラート識別子「523212」がアラート情報AL2に付与される。
【0031】
また、相関判定部151aは、アタックステートバッファに登録された各チェック情報について時刻情報を参照し、その時刻から所定時間が経過しているチェック情報についてはアタックステートバッファから消去するとともに、時刻情報が示す時刻を、統合データベース152aにおいて消去したチェック情報に対応する攻撃情報の攻撃終了時間に設定する。
【0032】
分析画面処理部151bは、統合データベース152aに登録された攻撃情報やログデータ等を用いて、本システムにより検知された各攻撃に関する情報を視覚的に表現する分析画面を生成し、管理者の端末等に供給する処理を行う。
分析画面の一例を図9に示す。分析画面処理部151bは、この分析画面において、例えば、センサに着目したネットワーク図を表示するとともに、各攻撃とについて、攻撃時間、攻撃の深度等をグラフ等を用いて視覚的に表す。また、各攻撃のいずれかが管理者によってクリック等により選択されると、ネットワーク図において、その攻撃に反応したセンサが分かるような表示を行い(例えば、該当センサの表示色の輝度を上げる等)、また、攻撃の経路及び指向性を表示する。攻撃の経路及び指向性の判断方法は任意であり、例えば、反応したセンサを通過するようなネットワーク経路を求めてもよい。そして、求めた経路を延長する等して攻撃の指向性を求めても良い。また、攻撃の深さの判別方法は任意であり、例えば、外部ネットワークとの接点からどの程度内部ネットワークに侵入されたかを判別してもよく、また、攻撃対象となった層(例えば、アプリケーション層、プレゼンテーション層、セッション層等)に基づいて判別してもよい。
【0033】
記憶部152は、制御部151が実行する動作プログラム、処理に必要な各種のデータ、各センサから受信したアラート情報等を記憶する。
また、記憶部152は、例えば図7に示すような攻撃情報を記憶する統合データベース152aを備える。
【0034】
通信制御部153は、所定のネットワークを介してIDS11、ファイアウオール13等とデータ通信を行うためのものである。
【0035】
以下に、本発明の実施の形態に係る攻撃検知システムの動作について本発明の特徴部分を中心に説明する。
コリレーション装置15が各攻撃の開始時間、終了時間を決定する処理について図10、図11を参照して説明する。
【0036】
図10は、各センサからのアラート情報の受信に応じてコリレーション装置15において実行されるフローチャートである。
コリレーション装置15は、受信したアラート情報について、アタックステートバッファを参照し、同じ攻撃元、攻撃先、攻撃名を持つチェック情報が存在するか否かを判別する(ステップS1)。
【0037】
該当するチェック情報がアタックステートバッファに存在すると判別された場合には、該当するチェック情報の時刻情報を、受信したアラート情報に含まれる時刻情報で更新して、本処理を終了する(ステップS2)。
【0038】
また、該当するチェック情報がアタックステートバッファに存在しないと判別された場合には、受信したアラート情報に基づくチェック情報を生成して、アタックステートバッファに登録するとともに、アラート情報における時刻情報を攻撃開始時刻に設定した攻撃情報を生成して統合データベース152aに登録し、本処理を終了する(ステップS3)。
【0039】
図11は、所定時間毎にコリレーション装置15において実行されるフローチャートである。
コリレーション装置15は、アタックステートバッファを参照して、登録されている各チェック情報について、時刻情報が示す時刻から一定時間を経過したものがあるか否かを判別する(ステップS11)。
【0040】
該当するチェック情報がある場合には、そのチェック情報をアタックステートバッファから削除するとともに、削除した時刻を攻撃終了時間として、統合データベース152aにおいて対応する攻撃情報に設定して、本処理を終了する(ステップS12)。
【0041】
また、該当するチェック情報がない場合には、そのまま本処理を終了する。
これにより、各攻撃の開始時間、終了時間が統合データベース152aに登録される。
【0042】
次に、コリレーション装置15において各攻撃の開始時間、終了時間を決定する処理を具体例を用いて説明する。
例えば、図12に示すように、コリレーション装置15において、NIDS111(A)からアラート情報AL1を、NIDS111(B)からアラート情報AL2を、ファイアウオール13からアラート情報AL3を、それぞれ受信したこととする(L1)。
コリレーション装置15は、アタックステートバッファを参照し、これらと対応する(攻撃先、攻撃元、攻撃名が同一である)チェック情報が存在するかを判別する。この例では、対応するチェック情報はアタックステートバッファに登録されていないこととする。コリレーション装置15は、受信したアラート情報AL1、AL2、AL3に対応するチェック情報CH1、CH2、CH3をアタックステートバッファに書き込むとともに(L2)、各アラート情報における時刻情報を「攻撃開始時間」に設定した攻撃情報AT1、AT2を統合データベース152aに登録する(L3)。
これにより、攻撃の攻撃開始時間が決定される。
【0043】
次に、図13に示すように、コリレーション装置15において、ファイアウオール13(C)からアラート情報AL4を受信したこととする(L4)。
コリレーション装置15は、アタックステートバッファを参照し、これに対応するチェック情報CH3が存在すると判別すると、その時刻情報を、受信したアラート情報AL4の時刻情報で更新する(L5)。
【0044】
そして、図14に示すように、コリレーション装置15は、アタックステートバッファへの登録時刻から一定時間が経過したチェック情報CH1、CH2が存在すると判別した場合には、そのチェック情報を削除するとともに(L6)、統合データベース152aにおいて対応する攻撃情報AT1の「攻撃終了時間」にチェック情報の削除時刻を設定する(L7)。
これにより、攻撃の攻撃終了時間が決定される。
【0045】
以上説明したように、本発明によれば、各センサが発するアラート情報について相関を取り、同一の攻撃に属するアラート情報を識別し、また、各攻撃の開始時刻・終了時刻等を判定することができる。また、各攻撃に関する各種情報を視覚的に管理者に提示することができる。これにより、ネットワーク攻撃の分析処理における管理者の作業負荷を軽減するとともに、分析処理の効率化を図ることができる。
【0046】
なお、アラート識別子の生成方法は、一方向関数を利用する上記方法に限定されず任意であり、種々の生成方法も使用可能である。
【0047】
また、各装置やDBの構成は、任意に変更可能である。例えば、統合データベース152aは、攻撃情報を、攻撃毎、センサ種別毎にまとめるようにしているが、単に、攻撃毎にまとめるような構成にしてもよい。
また、チェック情報、攻撃情報のデータ構造は一例であり、攻撃元、攻撃先、攻撃名等の上記処理に必要なデータを含んでいればよく、他の種々のデータ構造も適用可能である。
なお、上記説明では、セキュリティ上の観点から、運用されているネットワーク10上にコリレーション装置15を設置しないようにしているが、これに限定されず、ネットワーク10上に設置するようにしてもよい。
【0048】
なお、この発明のシステムは、専用のシステムによらず、通常のコンピュータシステムを用いても実現可能である。例えば、上述の動作を実行するためのプログラムをコンピュータ読み取り可能な記録媒体(FD、CD−ROM、DVD等)に格納して配布し、該プログラムをコンピュータにインストールすることにより、上述の処理を実行する各IDS11、ファイアウオール13、コリレーション装置15等を構成してもよい。また、インターネット等のネットワーク上のサーバ装置が有するディスク装置に格納しておき、例えば搬送波に重畳してコンピュータにダウンロード等するようにしてもよい。
また、上述の機能を、OSが分担又はOSとアプリケーションの共同により実現する場合等には、OS以外の部分のみを媒体に格納して配布してもよく、また、搬送波に重畳してコンピュータにダウンロード等してもよい。
【0049】
【発明の効果】
この発明によれば、ネットワーク攻撃の分析処理における管理者の作業負荷を軽減することができ、分析処理の効率化を図ることができる。
【図面の簡単な説明】
【図1】この発明の実施の形態に係る攻撃検知システムの構成を示す図である。
【図2】図1の攻撃検知システムで使用されるNIDSの構成を示す図である。
【図3】図1の攻撃検知システムで使用されるHIDSの構成を示す図である。
【図4】図1の攻撃検知システムで使用されるファイアウオールの構成を示す図である。
【図5】図1の攻撃検知システムで使用されるコリレーション装置の構成を示す図である。
【図6】アタックステートバッファに記憶される情報の一例を示す図である。
【図7】攻撃情報のデータ構造の一例を示す図である。
【図8】HIDSからアラート情報を受信した場合の処理を具体的に説明するための図である。
【図9】分析画面の一例を示す図である。
【図10】攻撃の開始時間を決定する処理を説明するためのフローチャートである。
【図11】攻撃の終了時間を決定する処理を説明するためのフローチャートである。
【図12】攻撃情報の開始時間、終了時間を決定する処理を具体的に説明するための図である。
【図13】攻撃情報の開始時間、終了時間を決定する処理を具体的に説明するための図である。
【図14】攻撃情報の開始時間、終了時間を決定する処理を具体的に説明するための図である。
【符号の説明】
10 ネットワーク
11 IDS
111 NIDS
112 HIDS
13 ファイアウオール
15 コリレーション装置
111a パケットチェック部
111b アラート識別子生成部
111c シグネチャデータベース
111d アラートログデータベース
112a シスログ監視部
112b アラートログデータベース
13a パケットチェック部
13b アラート識別子生成部
13c アラートログデータベース
151 制御部
152 記憶部
153 通信制御部
Claims (8)
- ネットワーク攻撃を検知する複数のセンサと接続可能な攻撃分析装置であって、
攻撃を検知した各前記センサから、ログデータと、攻撃検知の要因となったパケットデータを用いて生成されたアラート識別情報と、を含むアラート情報を受信する手段と、
受信したアラート情報に含まれるアラート識別情報を用いて、同一の攻撃に属するアラート情報を識別し、前記アラート情報を攻撃単位でデータベースに記憶する識別手段と、
前記データベースに記憶された攻撃単位のアラート情報を出力する出力手段と、
を備えることを特徴とする攻撃分析装置。 - アラート情報の受信に応じて所定のワーク領域を参照し、該アラート情報と同一の攻撃に属するアラート情報が前記ワーク領域に存在するかを判別する判別手段と、
前記判別手段により、該当するアラート情報が前記ワーク領域に存在しないと判別された場合、前記受信したアラート情報に含まれる時刻情報に基づいて該アラート情報が属する攻撃の開始時刻を決定し、攻撃開始時刻情報として前記データベースにおける攻撃単位のアラート情報と関連付けて記憶するとともに、前記受信したアラート情報を前記ワーク領域に記憶する手段と、
前記判別手段により、該当するアラート情報が前記ワーク領域に存在すると判別された場合、前記ワーク領域における該当アラート情報の時刻情報を、前記受信したアラート情報の時刻情報で更新する手段と、
前記ワーク領域に存在する各アラート情報について、該アラート情報に含まれる時刻情報が示す時刻から一定時間が経過したものを検出し、検出したアラート情報を前記ワーク領域から削除するとともに、削除時刻に基づいて、該アラート情報が属する攻撃の終了時刻を決定し、攻撃終了時刻情報として前記データベースにおける攻撃単位のアラート情報と関連付けて記憶する手段と、をさらに備え、
前記出力手段は、前記攻撃単位のアラート情報に関連付けられている攻撃の開始時刻と終了時刻の情報を出力する手段をさらに備える、
ことを特徴とする請求項1に記載の攻撃分析装置。 - 前記出力手段は、前記データベースに記憶されている攻撃単位のアラート情報について、攻撃の方向性と、攻撃の指向性と、攻撃の深度と、の少なくとも1つの情報を、図を用いて表示するための画面情報を出力する、
ことを特徴とする請求項1又は2に記載の攻撃分析装置。 - 前記識別手段は、アラート識別子を有しないアラート情報をセンサから受信した場合、該アラート情報に含まれるログデータと、アラート識別子を有するアラート情報のログデータを照合して、同一の攻撃に属するアラート情報を識別する、
ことを特徴とする請求項1乃至3のいずれか1項に記載の攻撃分析装置。 - ネットワーク上でパケットを監視して攻撃を検知するセンサであって、
ログデータと、攻撃検知の要因となったパケットデータを用いて生成したアラート識別情報と、を含むアラート情報を所定の装置に送信する、
ことを特徴とするセンサ。 - ネットワーク攻撃を検知する複数のセンサと攻撃分析装置とを備えるネットワークシステムにおける攻撃分析方法であって、
攻撃を検知した各前記センサにおいて、ログデータと、攻撃検知の要因となったパケットデータを用いて生成されたアラート識別情報と、を含むアラート情報を前記攻撃分析装置に送信し、
前記攻撃分析装置において、前記センサから受信したアラート情報に含まれるアラート識別情報を用いて、同一の攻撃に属するアラート情報を識別し、前記アラート情報を攻撃単位で所定のデータベースに記憶し、
前記データベースに記憶された攻撃単位のアラート情報を出力する、
ことを特徴とする攻撃分析方法。 - 前記攻撃分析装置において、アラート情報の受信に応じて所定のワーク領域を参照し、該アラート情報と同一の攻撃に属するアラート情報が前記ワーク領域に存在するかを判別し、
該当するアラート情報が前記ワーク領域に存在しないと判別された場合、前記受信したアラート情報に含まれる時刻情報に基づいて該アラート情報が属する攻撃の開始時刻を決定し、攻撃開始時刻情報として前記データベースにおける攻撃単位のアラート情報と関連付けて記憶するとともに、前記受信したアラート情報を前記ワーク領域に記憶し、
該当するアラート情報が前記ワーク領域に存在すると判別された場合、前記ワーク領域における該当アラート情報の時刻情報を、前記受信したアラート情報の時刻情報で更新し、
前記分析装置において、前記ワーク領域に存在する各アラート情報について、該アラート情報に含まれる時刻情報が示す時刻から一定時間が経過したものを検出し、検出したアラート情報を前記ワーク領域から削除するとともに、削除時刻に基づいて、該アラート情報が属する攻撃の終了時刻を決定し、攻撃終了時刻情報として前記データベースにおける攻撃単位のアラート情報と関連付けて記憶し、
前記データベースにおける攻撃単位のアラート情報と、該攻撃単位のアラート情報に関連付けられている攻撃の開始時刻と終了時刻の情報と、を出力する、
ことを特徴とする請求項6に記載の攻撃分析方法。 - コンピュータを、
請求項1又は2に記載の攻撃分析装置として機能させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002206154A JP2004046742A (ja) | 2002-07-15 | 2002-07-15 | 攻撃分析装置、センサ、攻撃分析方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002206154A JP2004046742A (ja) | 2002-07-15 | 2002-07-15 | 攻撃分析装置、センサ、攻撃分析方法及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004046742A true JP2004046742A (ja) | 2004-02-12 |
Family
ID=31711263
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002206154A Pending JP2004046742A (ja) | 2002-07-15 | 2002-07-15 | 攻撃分析装置、センサ、攻撃分析方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004046742A (ja) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005341217A (ja) * | 2004-05-27 | 2005-12-08 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
| US7243147B2 (en) * | 2002-12-30 | 2007-07-10 | Bellsouth Ip Corporation | Systems and methods for the detection and management of network assets |
| JP2008083751A (ja) * | 2006-09-25 | 2008-04-10 | Hitachi Information Systems Ltd | 不正アクセス対応ネットワークシステム |
| JP2009129332A (ja) * | 2007-11-27 | 2009-06-11 | Kddi Corp | ポリシ生成システム、プログラム、および記録媒体 |
| JP2010521749A (ja) * | 2007-03-14 | 2010-06-24 | マイクロソフト コーポレーション | 企業セキュリティアセスメントの共有 |
| JP2011130238A (ja) * | 2009-12-18 | 2011-06-30 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック監視方法および異常トラヒック監視装置 |
| US8955105B2 (en) | 2007-03-14 | 2015-02-10 | Microsoft Corporation | Endpoint enabled for enterprise security assessment sharing |
| JP2018049602A (ja) * | 2016-09-06 | 2018-03-29 | アクセンチュア グローバル ソリューションズ リミテッド | ネットワークの異常検出システムのためのグラフ・データベース分析 |
| JP2019050477A (ja) * | 2017-09-08 | 2019-03-28 | 株式会社日立製作所 | インシデント分析装置およびその分析方法 |
| JPWO2020195230A1 (ja) * | 2019-03-28 | 2020-10-01 | ||
| WO2021144859A1 (ja) * | 2020-01-14 | 2021-07-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 侵入経路分析装置および侵入経路分析方法 |
| JPWO2022091720A1 (ja) * | 2020-10-26 | 2022-05-05 |
-
2002
- 2002-07-15 JP JP2002206154A patent/JP2004046742A/ja active Pending
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7243147B2 (en) * | 2002-12-30 | 2007-07-10 | Bellsouth Ip Corporation | Systems and methods for the detection and management of network assets |
| JP2005341217A (ja) * | 2004-05-27 | 2005-12-08 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
| JP2008083751A (ja) * | 2006-09-25 | 2008-04-10 | Hitachi Information Systems Ltd | 不正アクセス対応ネットワークシステム |
| JP2010521749A (ja) * | 2007-03-14 | 2010-06-24 | マイクロソフト コーポレーション | 企業セキュリティアセスメントの共有 |
| US8955105B2 (en) | 2007-03-14 | 2015-02-10 | Microsoft Corporation | Endpoint enabled for enterprise security assessment sharing |
| US8959568B2 (en) | 2007-03-14 | 2015-02-17 | Microsoft Corporation | Enterprise security assessment sharing |
| JP2009129332A (ja) * | 2007-11-27 | 2009-06-11 | Kddi Corp | ポリシ生成システム、プログラム、および記録媒体 |
| JP2011130238A (ja) * | 2009-12-18 | 2011-06-30 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック監視方法および異常トラヒック監視装置 |
| JP2018049602A (ja) * | 2016-09-06 | 2018-03-29 | アクセンチュア グローバル ソリューションズ リミテッド | ネットワークの異常検出システムのためのグラフ・データベース分析 |
| JP2019050477A (ja) * | 2017-09-08 | 2019-03-28 | 株式会社日立製作所 | インシデント分析装置およびその分析方法 |
| JPWO2020195230A1 (ja) * | 2019-03-28 | 2020-10-01 | ||
| JP7164016B2 (ja) | 2019-03-28 | 2022-11-01 | 日本電気株式会社 | 分析システム、方法およびプログラム |
| US12034757B2 (en) | 2019-03-28 | 2024-07-09 | Nec Corporation | Analysis system, method, and program |
| WO2021144859A1 (ja) * | 2020-01-14 | 2021-07-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 侵入経路分析装置および侵入経路分析方法 |
| WO2021145144A1 (ja) * | 2020-01-14 | 2021-07-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 侵入経路分析装置および侵入経路分析方法 |
| JPWO2022091720A1 (ja) * | 2020-10-26 | 2022-05-05 | ||
| WO2022091720A1 (ja) * | 2020-10-26 | 2022-05-05 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理方法及びプログラム |
| JP7291909B2 (ja) | 2020-10-26 | 2023-06-16 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理方法及びプログラム |
| US11765191B2 (en) | 2020-10-26 | 2023-09-19 | Panasonic Intellectual Property Management Co., Ltd. | Information processing device and information processing method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Baykara et al. | A novel honeypot based security approach for real-time intrusion detection and prevention systems | |
| JP4743911B2 (ja) | 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備 | |
| US8539570B2 (en) | Method for managing a virtual machine | |
| US7703138B2 (en) | Use of application signature to identify trusted traffic | |
| US9438623B1 (en) | Computer exploit detection using heap spray pattern matching | |
| US8566941B2 (en) | Method and system for cloaked observation and remediation of software attacks | |
| US9756074B2 (en) | System and method for IPS and VM-based detection of suspicious objects | |
| EP1491019B1 (en) | Method and system for reducing the false alarm rate of network intrusion detection systems | |
| US20150013007A1 (en) | Malicious code infection cause-and-effect analysis | |
| US20080320499A1 (en) | Method and System for Direct Insertion of a Virtual Machine Driver | |
| US20060130145A1 (en) | System and method for analyzing malicious code protocol and generating harmful traffic | |
| US20040088564A1 (en) | Method of hindering the propagation of a computer virus | |
| US20080320561A1 (en) | Method and System for Collaboration Involving Enterprise Nodes | |
| US20050138402A1 (en) | Methods and apparatus for hierarchical system validation | |
| WO2001084270A2 (en) | Method and system for intrusion detection in a computer network | |
| JP2006146891A (ja) | セキュリティポリシーを配布するための方法およびシステム | |
| JPWO2004084063A1 (ja) | ウィルスの感染を阻止する方法およびシステム | |
| WO2005057345A2 (en) | Real-time change detection for network systems | |
| JP2014525639A (ja) | クラウド技術を用いたマルウェアの動的駆除 | |
| US9866575B2 (en) | Management and distribution of virtual cyber sensors | |
| CN111565202B (zh) | 一种内网漏洞攻击防御方法及相关装置 | |
| JP6524789B2 (ja) | ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置 | |
| JP2004046742A (ja) | 攻撃分析装置、センサ、攻撃分析方法及びプログラム | |
| JP2019536158A (ja) | 検知結果が有効であるかないかを検証する方法およびシステム | |
| US20050259657A1 (en) | Using address ranges to detect malicious activity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20051129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051206 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060404 |