JP2004220373A - Unauthorized access detection log information analysis support system, unauthorized access detection log information analysis support method, and computer program thereof - Google Patents
Unauthorized access detection log information analysis support system, unauthorized access detection log information analysis support method, and computer program thereof Download PDFInfo
- Publication number
- JP2004220373A JP2004220373A JP2003007551A JP2003007551A JP2004220373A JP 2004220373 A JP2004220373 A JP 2004220373A JP 2003007551 A JP2003007551 A JP 2003007551A JP 2003007551 A JP2003007551 A JP 2003007551A JP 2004220373 A JP2004220373 A JP 2004220373A
- Authority
- JP
- Japan
- Prior art keywords
- detection
- log information
- intrusion
- pattern
- detection log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、不正アクセス検知ログ情報分析支援装置、不正アクセス検知ログ情報分析支援方法及びコンピュータプログラムに係り、更に詳しくは、コンピュータネットワーク上で不正侵入者を検知する侵入検知装置から出力される検知ログを収集し、分析する分析支援装置に関する。
【0002】
【従来の技術】
パソコン等の情報端末に対し不正侵入を試みるハッカー等と呼ばれる不正侵入者の脅威から、情報端末を守る手段の一つとして、不正アクセスを検知する侵入検知装置が従来から広く普及しており、この種の装置はIDS(Intrusion Detection System)と呼ばれている。
【0003】
例えば、特許文献1に開示された侵入検知装置は、パケット取得・選択手段が、特定のコンピュータネットワークを流れる所定のパケットの取得し選択し、ユーザデータ作成手段が、当該パケットから得られる情報に基づき、当該パケットを送信したユーザの個人的特徴を数値化した特徴データをユーザデータとして作成している。
【0004】
また、前記特定のコンピュータネットワークにおける正規ユーザの個人的特徴を数値化した特徴データが、当該正規ユーザが過去に送信したパケットから得られた情報に基づいて作成され、監査データとして監査データ記憶部に記録され、ユーザ判定手段が、ユーザデータを監査データ記憶部に記録された監査データと比較し、当該ユーザデータに対応するユーザが、前記特定のコンピュータネットワークにおける正規ユーザであるか否かを判定している。
【0005】
つまり、上記侵入検知装置は、パケット送信者の個人的特徴を数値化したユーザデータと、正規ユーザの個人的特徴を数値化した監査データとを用いて、不正侵入者による不正アクセスを検知するものである。この場合、ユーザの個人的特徴をどのように数値化し、ユーザデータと監査データをどのように比較するのかは、運用者が独自に判断する必要がある。
【0006】
【特許文献1】
特開2001−202333号公報
【0007】
【発明が解決しようとする課題】
一般に、侵入検知装置において、過剰な情報を抽出すれば誤検知が含まれることになる一方(False Positive)、過小な情報を抽出すれば検出漏れを生じることになる(False Negative)。このため、何を検知情報として抽出するのかは運用者の独自判断に依存し、運用者によって誤検知や検知漏れが多くなるという運用上の問題があった。
【0008】
例えば、不正侵入行為と定義した文字列パターンを用いて、ネットワークパケット又はシステムログ等に対するマッチング処理を行って、不正アクセスを検知して警報を出力する場合、1回又は複数の侵入行為に対して多量の検知ログが得られることから、状況分析が必要となる。しかしながら、当該分析処理は、運用者の経験に頼る部分に大きいため、運用者によっては本質的な状況把握が困難なために、誤検知による誤警報が出力されやすいといった問題があった。
【0009】
しかも、個々の運用者が侵入検知装置の出力する検知ログを独自分析しているため、その分析手法は継承され難く、ますます各運用者の経験及び能力に依存することになり、そのノウハウを蓄積し難いという問題点があった。その結果、運用者によって状況分析も異なり、誤検知が生じ易いという問題があった。
【0010】
例えば、侵入者は自分の端末からダイレクトに攻撃するだけでなく、いくつかの踏み台端末を経由して行われることが少なくない。また、攻撃ツール等での侵入行為が自動化されている場合もあるが、検知事象間の関係は明示化されることはなかった。このため、踏み台とされている端末はどこからどこまでなのか、その侵入及び攻撃がどの段階まで進行しているのかを判断するのは、高度な分析能力を要するが、この判断は運用者の経験にのみ依存し、そのノウハウは蓄積し難いという問題点があった。
【0011】
本発明は、上記の事情に鑑みてなされたものであり、運用者のノウハウを蓄積することができる不正アクセス検知ログ情報分析支援装置を提供することを目的とする。また、この様な分析支援装置に適用可能な不正アクセス検知ログ情報分析支援方法及びコンピュータプログラムを提供することを目的とする。
【0012】
【課題を解決するための手段】本発明による不正アクセス検知ログ情報分析支援装置は、侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うIDSマネージャ部と、フォーマット変換された検知ログ情報を蓄積する検知ログ情報データベースと、不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出し、侵入行為パターンを生成する侵入行為パターン作成部と、侵入行為パターン作成部により生成された侵入行為パターンを蓄積する侵入行為パターンデータベースと、侵入行為パターンを評価するためのパターン評価用パラメータを格納するパターン評価用パラメータデータベースと、検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価部と、侵入行為パターン評価部による評価結果を蓄積する侵入行為パターン評価結果データベースとを備えて構成される。
【0013】
また、本発明による不正アクセス検知ログ情報分析支援方法は、侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うステップと、フォーマット変換された検知ログ情報を検知ログ情報データベースに蓄積するステップと、不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出して侵入行為パターンを生成し、侵入行為パターンデータベースに蓄積する侵入行為パターン作成ステップと、検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価ステップと、侵入行為パターン評価部による評価結果を侵入行為パターン評価結果データベースに蓄積するステップとを備える。
【0014】
また、本発明によるコンピュータプログラムは、侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うステップと、フォーマット変換された検知ログ情報を検知ログ情報データベースに蓄積するステップと、不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出して侵入行為パターンを生成し、侵入行為パターンデータベースに蓄積する侵入行為パターン作成ステップと、検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価ステップと、侵入行為パターン評価部による評価結果を侵入行為パターン評価結果データベースに蓄積するステップとを実行するように構成される。
【0015】
この様な構成により、収集した検知ログ情報から侵入行為パターンを抽出して蓄積するとともに、侵入行為パターンを評価し、その評価結果を蓄積することができる。
【0016】
【発明の実施の形態】
実施の形態1.
図1は、本発明の実施の形態1による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。このコンピュータネットワークは、インターネットなどの外部ネットワーク6に接続されたLAN(Local Area Network)5により構成される。
【0017】
LAN5は、不正アクセス検知ログ情報分析支援サーバ1と、複数の端末装置2及び3と、ハブ(HUB)4とにより構成される2系統のネットワーク5a,5bからなる。端末装置2(図中の端末A)は、ホスト型のIDSエージェントが搭載されたサーバ等の端末装置であり、端末装置3(図中の端末B)は、ネットワーク型のIDSエージェント及びIDSマネージャが搭載されたサーバ等の端末装置である。
【0018】
ホスト型のIDSエージェントとは、端末装置のOS(Operating System)及びアプリケーション・ソフトウエアが出力するシステムログ等のイベントデータに基づいて侵入検知を行うソフトウエアである。また、ネットワーク型のIDSエージェントとは、ネットワーク上のパケットデータに基づいて侵入検知を行うソフトウエアである。
【0019】
つまり、IDSエージェントが搭載された端末装置2,3は、不正アクセスを検知して検知ログを出力する侵入検知装置(IDSセンサー)である。また、IDSマネージャは、各IDSエージェントから出力される検知ログを収集するソフトウエアであり、IDSエージェントとは、別の端末に搭載されていてもよい。
【0020】
ハブ4は、端末装置2,3を接続するための集線装置であり、複数のハブ4がカスケード接続され、各ハブ4に対し端末装置2,3を接続することができる。
各端末装置2及び3は、ハブ4を介してLAN5a(実線で示されたネットワーク)に接続され、LAN5aを介して更に外部ネットワーク6に接続される。
【0021】
また、各端末装置2及び3は、LAN5aから独立し、外部ネットワーク6に接続されていないLAN5b(破線で示されたネットワーク)にも接続されている。このLAN5bは、不正アクセス検知ログ情報分析支援サーバ1が接続されたIDS専用ラインである。不正アクセス検知ログ情報分析支援サーバ1は、各IDSエージェントで生成され、IDSマネージャが収集した検知ログについて、分析及び評価を行って、情報を蓄積している。
【0022】
ここでは、インターネット6に接続された不正アクセス端末装置7から端末装置2,3を攻撃する場合の例について説明するが、本発明は、不正アクセス端末装置7がLAN5aに接続されている場合にも適用することができる。
【0023】
図2は、図1のコンピュータネットワークの要部について詳細な構成例を示したブロック図である。IDSエージェント部10は、端末装置2に搭載されたホスト型のIDSエージェントである。各IDSエージェント部10は、イベントデータに対し、シグニチャー(Signature)と呼ばれるデータベースを用いてパターンマッチングを行って、不正アクセスを検知し、検知ログデータを生成している。
【0024】
IDSエージェント部11は、端末装置3に搭載されたネットワーク型のIDSエージェントである。各IDSエージェント部11は、ネットワーク上のパケットデータに対し、IDSエージェント部10と同様のパターンマッチングを行って、不正アクセスを検知し、検知ログデータを生成している。
【0025】
IDSマネージャ部12は、端末装置3に搭載され、検知ログの収集を行っている。IDSマネージャ部12は、検知ログ格納部20と、検知ログ情報変換部21により構成される。複数の端末装置2,3内のIDSエージェント10,11においてパターンマッチングで得られた検知ログは、IDS専用ライン5bを介して、IDSマネージャ部12に送られる。
【0026】
IDSエージェント部10,11で生成される検知ログは、検知時刻、検知イベント(事象)名、検知イベント(事象)番号、送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、検知センサ名称等からなる。
【0027】
これらの検知ログは、検知ログ格納部20に一旦格納され、検知ログ情報変換部21によりフォーマット変換が行われる。市販のIDSエージェントが出力する検知ログのフォーマットは、製品ごとに異なる。例えば、検知イベント名で管理された検知ログが出力され、あるいは、検知イベント番号で管理された検知ログが出力される。検知ログ情報変換部21は、これら種々のフォーマットからなる検知ログを不正アクセス検知ログ情報分析支援サーバ1において分析処理可能な統一フォーマットに変換している。
【0028】
不正アクセス検知ログ情報分析支援サーバ1は、検知ログ情報分析支援データベース30、検知ログ情報分析支援統制管理部22、侵入行為パターン分析・作成部23、侵入行為パターン表示・編集部24、侵入行為パターン評価部25、及び、侵入行為パターン評価結果表示部26により構成される。
【0029】
検知ログ情報分析支援データベース30以外の各ブロック22〜26は、不正アクセス検知ログ情報分析支援サーバ1において実行可能なコンピュータプログラムとして実現され、これらのプログラムは、CD−ROMなどの光記憶媒体、磁気テープなどの磁気記憶媒体、半導体メモリ、その他のコンピュータ読取可能な記憶媒体に格納して提供することができる。
【0030】
検知ログ情報分析支援データベース30は、検知ログ情報DB(データベース)31、ネットワーク構成情報DB(32)、侵入行為パターンDB(33)、パターン評価用パラメータDB(34)、及び、侵入行為パターン評価結果DB(35)により構成される。
【0031】
検知ログ情報DB(31)は、各IDSエージェント部10,11により生成され、IDSマネージャ部12においてフォーマット変換された検知ログを蓄積するデータベースである。
【0032】
ネットワーク構成情報DB(32)は、予め与えられたネットワークの構成に関する種々の情報、例えば、ホスト名称、IPアドレスなどをネットワーク構成情報として記憶保持するデータベースである。これらのネットワーク構成情報は、抽出された侵入行為パターンを評価する際、不正アクセスのあった場所等を特定するために使用される。
【0033】
侵入行為パターンDB(33)は、検知ログ情報DB(31)の検知ログに基づいて、侵入行為パターン分析・作成部23により抽出された侵入行為パターンを蓄積するデータベースである。
【0034】
パターン評価用パラメータDB(34)は、評価用パラメータを記憶保持しているデータベースである。これらの評価用パラメータは、侵入行為パターン評価部25が侵入行為パターンを評価する際に必要となる評価処理のためのパラメータである。侵入行為パターン評価結果DB(35)は、侵入行為パターン評価部25による侵入行為パターンの評価結果が格納されるデータベースである。
【0035】
検知ログ情報分析支援統制管理部22は、侵入行為パターン分析・作成部23、侵入行為パターン表示・編集部24、侵入行為パターン評価部25、及び、侵入行為パターン評価結果表示部26と、IDSマネージャ部12の検知ログ情報変換部21の制御を行っている。
【0036】
侵入行為パターン分析・作成部23は、検知ログ情報を分析し、当該侵入行為に対する特徴的な検知事象を抽出するとともに、抽出された検知事象群について侵入行為パターンを生成し、侵入行為パターンDB(33)に蓄積している。この侵入行為パターンは、IDSエージェントにより収集された検知事象の種類、順序及び相対的な検知時刻により構成される。
【0037】
侵入行為パターンが生成される検知ログ情報は、ホスト型のIDSエージェント部10により生成された検知ログ情報であってもよいし、ネットワーク型のIDSエージェント部11により生成された検知ログ情報であってもよい。また、ホスト型及びネットワーク型のIDSエージェント部10及び11により生成された検知ログ情報を組み合わせて使用することもできる。
【0038】
検知時刻については、誤差を考慮して、統計的な情報処理が行われ、平均、標準偏差(分散)などの統計的情報を含めた侵入行為パターンが生成される。すなわち、検知ログ情報を分類し、時系列的に整理して、統計分析を実施した結果、不正アクセスの特徴と思われる検知事象群が抽出され、侵入行為パターンが生成される。上記の統計的処理は、市販ツールにより実現可能である。
【0039】
一般に、不正アクセスは、単発で行われることは少なく、繰り返しパラメータを変えて行われ、あるいは複合的に行われる場合が多い。このため、不正アクセスは複数回行われることが多く、この様な場合、IDSエージェントは複数のイベント情報を検知することになる。ところが、IDSエージェントの検知情報には、誤検知された不正アクセス以外のイベント情報も含まれるため、不正アクセスがあった場合に、どの様なイベントがどの様な順序で発生するのかを調べることによって、不正アクセスを認識することが可能となる。
【0040】
図3は、侵入行為パターンについての説明図である。図中(a)は検知ログ情報の一例を示した図である。IDSエージェント部10,11において検知事象としてイベントe1〜e5が検知され、それぞれの検知時刻(例えば不正侵入パケットの到来時刻)がt0〜t4であったとする。図中の(b)は、このとき侵入行為パターン分析・作成部23により生成される侵入行為パターンの一例を示した図である。
【0041】
侵入行為パターンは、相対的な検知時刻△t1〜△t4及びイベントe1〜e5の種類及び順序からなる。相対的な検知時刻△t1〜△t4は、一連の検知事象e1〜e5の時間間隔であり、1つ前の検知事象の検知時刻に対する相対的な検知時刻として与えられる。すなわち、各検知事象e2〜e5の検知時刻を△t1〜△t4としており、△tn=tn−t(n−1)(n=1〜4)と表される。
【0042】
なお、到来時刻が同一のイベントを侵入行為パターンとして抽出(選択)することも可能であるものとする。また、侵入行為パターンを抽出する単位をユニットと定義し、同一順列の侵入行為パターンは複数ユニットを蓄積可能とし、統計的な情報処理(例えば平均)を行うものとする。
【0043】
侵入行為パターン表示・編集部24は、侵入行為パターンDB(33)の侵入行為パターンを図示しない表示装置に表示する。 例えば、検知情報を時系列で表示し、また、任意の区間、IPアドレス、ポート番号、種類で検索可能とする。更に、IPアドレスごとに種類別頻度表示、検知情報ごとの頻度表示、侵入行為パターン比較を可能とする時系列表示などを行う。
【0044】
また、侵入行為パターンDB(33)の侵入行為パターンの編集、例えば侵入行為パターンの修正やマージ(結合)などを行って、再び侵入行為パターンDB(33)へ書き込む。このため、運用者(オペレータ)は、侵入行為パターンDB(33)内に蓄積された侵入行為パターンを参照し、編集することができる。
【0045】
侵入行為パターン評価部25は、検知ログ情報DB(31)に蓄積された検知事象(イベント)について、侵入行為パターンDB(33)内の侵入行為パターンとのマッチング処理を行って、各侵入行為パターンに対する評価を行っている。この侵入行為パターン評価は、パターン評価用パラメータDB(34)内の評価用パラメータを用いて、マッチング処理で求められた両者の相関度を評価することによって行われる。評価結果は侵入行為パターン評価結果DB(35)に蓄積される。
【0046】
図4及び図5は、侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。図4の(a)には、検知ログ情報の一例が示され、図4の(b)には、侵入行為パターンの一例が示されている。検知ログ情報と、侵入行為パターンとのマッチング処理は、検知事象の順列及び相対的な検知時刻の2要素に関して行われる。すなわち、検知事象ごとの順列及び相対時刻について相互相関をとり、得られた各相関度に基づいて侵入行為パターンとの相関度が求められる。
【0047】
IDSエージェント部10,11により検知され、検知ログ情報DB(31)に蓄積された検知事象e1〜e5の相対的な検知時刻を△t1’〜△t4’とする。これらの検知時刻△t1’〜△t4’について、侵入行為パターンにおける相対的な検知時刻△t1〜△t4の平均値との相互相関をとる。
【0048】
図5は、相互相関を求める方法の一例が示された図である。侵入行為パターン及び検知ログにおいて対応する検知事象の相関度は、両者の相対的な検知時刻の差分を所定の分布関数における確率に変換した数値として求められる。図5には、中央値△tn、標準偏差σの正規分布における分布確率Pn(x)の例が示されている。当該分布の中央値△tn(n=1〜4)及び標準偏差σは、侵入行為パターンとして与えられる。
【0049】
対応する検知事象について、侵入行為パターンにおける検知時刻(平均値)を△tn、検知ログにおける検知時刻を△tn’とすれば、検知時刻のずれ△tn−△tn’に基づく確率がPn(△tn’)として得られる。
【0050】
一連の各検知事象e1〜e5について相互相関を求め、これらの相関値に基づいて侵入行為パターンとの相関度が求められる。例えば、次式に示すようにN個の各検知事象ごとの相関度Pi(△ti)の平均値として侵入行為パターンとの相関度が求められる。
【数1】
【0051】
図6は、評価用パラメータの一例の概要を示した図である。評価用パラメータを用いて、侵入行為パラメータとの相関度が求められ、その相関度が評価される。この評価結果は、侵入行為パターン評価結果として、侵入行為パターン評価結果DB(35)に格納される。
【0052】
評価用パラメータは、評価対象範囲、IP同一モード及び評価基準値からなる。評価対象範囲は、検知事象ごとの各平均時刻(相対的な検知時刻の平均値)から相関処理対象を判断する基準範囲であり、標準偏差を単位とする。この値を下回った場合は、侵入行為パターンと断定できるほどの相関がないと判断する。すなわち、IDSエージェント部10,11により検知され、検知ログ情報DB(31)に蓄積された検知事象e1〜e5の相対的な検知時刻△t0’〜△t4’の最大値を示している。
【0053】
IP同一モードは、評価処理の実施対象を同一ターゲットIPのみとするモードである。IP同一モードを指定した場合、相関処理対象のイベントでも、異なるターゲットIPの場合は、相関処理を実施しない。すなわち、検知ログ情報の送信元(ターゲット)IPが、P1〜Pnまで同一であることの条件を追加している。
【0054】
評価基準値は、評価処理における有意判定の基準値である。この値を下回った場合は、侵入行為パターンと断定できるほどの評価がないと判断する。すなわち、上式(1)により求められた相関度(マッチング率、最終確率値)の侵入行為パターンに対する有意判定の基準値が示されている。
【0055】
侵入行為パターン評価結果表示部26は、侵入行為パターン評価結果DB(35)の侵入行為パターン評価結果を図示しない表示装置に表示する。このため、運用者(オペレータ)は、侵入行為パターン評価結果DB(35)内に蓄積された侵入行為パターン評価結果を参照して、各侵入行為パターンの検証を行うことができる。この場合、必要に応じて、ネットワーク構成情報DB(32)を参照し、侵入行為パターン評価結果とともに、当該侵入行為が検知された場所等を表示してもよい。
【0056】
この様にして、侵入行為パターンを侵入行為パターンDB(33)に蓄積するとともに、侵入行為パターン評価結果を侵入行為パターン評価結果DB(35)に蓄積することにより、侵入行為パターン評価結果に基づいて侵入行為パターンを検証し、必要に応じて侵入行為パターンを編集することができる。
【0057】
このため、侵入行為パターンを向上させることができ、運用者のノウハウを蓄積することができる。すなわち、多数の検知情報からなる検知ログに対する統計的な情報処理は、市販ツールによっても可能であるが、ここでは、その結果を侵入行為パターンとして評価し管理しているため、ノウハウとして蓄積することができる。
【0058】
また、踏み台とされている端末装置2,3についても、当該踏み台を含めた一連の不正アクセスについて侵入行為パターンを作成すれば、検知することができる。
【0059】
なお、本実施の形態による不正アクセス検知ログ情報分析支援サーバは、各IDSエージェントの出力する検知ログに基づいて侵入行為パターンを生成し、評価している。このため、オンライン、オフラインにかかわらず動作させることができる。すなわち、オフライン・モードでは、事前に収集した検知ログ情報に対して、侵入行為パターンを評価し、オンライン・モードでは、収集中の検知ログ情報に対して、侵入行為パターンを評価する。
【0060】
実施の形態2. 実施の形態1では、侵入行為パターンの各検知事象の検知時刻として、直前の検知事象に対する相対的な検知時刻を用いる場合の例について説明した。これに対し、実施の形態2では、侵入行為パターンを構成する最初の検知事象の検知時刻に対する相対的な検知時刻を用いる場合について説明する。
【0061】
図7は、本発明の実施の形態2における侵入行為パターンについての説明図である。図中の(a)は検知ログ情報の一例を示した図である。IDSエージェント部10,11において検知事象としてイベントe1〜e5が検知され、それぞれの検知時刻(例えば不正侵入パケットの到来時刻)がt0〜t4であったとする。図中の(b)は、このとき侵入行為パターン分析・作成部23により生成される侵入行為パターンの一例を示した図である。
【0062】
相対的な検知時刻△t1〜△t4は、一連の検知事象e1〜e5の時間間隔であり、本実施の形態では、最初の検知事象e1の検知時刻に対する各検知事象e2〜e5の相対的な検知時刻を△t1〜△t4としており、△tn=tn−t0(n=1〜4)と表される。
【0063】
図8は、侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。図8の(a)には、検知ログ情報の一例が示され、図8の(b)には、侵入行為パターンの一例が示されている。検知ログ情報と、侵入行為パターンとのマッチング処理は、実施の形態1と全く同様にして、検知事象の順列及び相対的な検知時刻の2要素に関して行われる。
【0064】
実施の形態3. 実施の形態1では、侵入行為パターンとの相関度を求める際、正規分布における分布確率を用いる場合の例について説明したが、本発明は、この様な場合に限定されない。例えば、正規分布に代えて、指数分布、γ分布、χ(カイ)2乗分布、β分布、F分布、t分布などを用いて侵入行為パターンとの相関度を求めることもできる。
【0065】
実施の形態4. 本実施の形態では、本発明の他の適用例について説明する。図9は、本発明の実施の形態4による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。このネットワークは、遠隔地に設置された3つのLAN40〜42をインターネット43又は専用線44により接続して構成される。ここでは、LAN40が本社、LAN41が支社A、LAN42が支社Bにそれぞれ設置されたネットワークであるものとする。
【0066】
各LAN40〜42は、それぞれがルータ50、ファイアウォール装置51、侵入検知装置(IDS)52及び複数の端末装置53により構成される。また、LAN40は、更にネットワーク統括管理装置54を備えている。各LAN40〜42は、ルータ50を介してインターネット43又は専用線44に接続されている。また、ルータ50及び各端末装置53の間にファイアウォール装置51を設置して、外部から各端末装置53への不正侵入を抑制している。
【0067】
侵入検知装置52は、図1におけるIDSエージェントが搭載された端末装置2,3に相当する装置である。侵入検知装置52は、各LAN40〜42内のファイアウォール装置51の外側の通信経路51Aにおいて、外部から内部への侵入を検知するとともに、ファイアウォール装置51の内側の通信経路51Bにおいて、内部から外部への出力を検知し、検知ログを生成している。この様にして各LAN40〜42の侵入検知装置52により生成された検知ログは、本社のLAN40内のネットワーク統括管理装置54へ送信される。
【0068】
また、ネットワーク統括管理装置54は、図1の不正アクセス検知ログ情報分析支援サーバ1に相当する装置である。ネットワーク統括管理装置54は、各侵入検知装置52から受信した検知ログ情報に基づいて、侵入行為パターンを生成するとともに、侵入行為パターンの評価を行っている。
【0069】
この場合、本社及び各支社ごとに1つの侵入検知装置52を設け、ファイアウォール装置51の前後で不正アクセスを検知するとともに、これらの検知ログを分析するネットワーク統括管理装置54が本社にのみ設けられている。このため、少ない侵入検知装置52及び不正アクセス検知ログ情報分析支援サーバを用いて効率的に侵入検知と、検知ログ情報の分析支援を行うことができる。
【0070】
図10は、ネットワーク統括管理装置54における表示の一例を示した図である。侵入検知の通知を行った侵入検知装置52の所在地が、ネットワーク統括管理装置54の画面上に表示される。ここでは、LAN41(支社A)において侵入検知された場合の例が示されている。この様な位置情報は、図2のネットワーク構成情報DB(32)に格納されている。
【0071】
【発明の効果】本発明によれば、収集した検知ログ情報から侵入行為パターンを抽出して蓄積するとともに、侵入行為パターンを評価し、その評価結果を蓄積することができるため、運用者のノウハウを蓄積することができる。
【図面の簡単な説明】
【図1】本発明の実施の形態1による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。
【図2】図1のコンピュータネットワークの要部について詳細な構成例を示したブロック図である。
【図3】侵入行為パターンについての説明図である。
【図4】侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。
【図5】相互相関を求める方法の一例が示された図である。
【図6】評価用パラメータの一例の概要を示した図である。
【図7】本発明の実施の形態2における侵入行為パターンについての説明図である。
【図8】侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。
【図9】本発明の実施の形態4による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。
【図10】ネットワーク統括管理装置における表示の一例を示した図である。
【符号の説明】
1 不正アクセス検知ログ情報分析支援サーバ、
10 侵入検知部(ホスト型)、11 侵入検知部(ネットワーク型)、
12 IDSマネージャ部、21 検知ログ情報変換部、
22 検知ログ情報分析支援統制管理部、
23 侵入行為パターン分析・作成部、
24 侵入行為パターン表示・編集部、25 侵入行為パターン評価部、
26 侵入行為パターン評価結果表示部、
30 検知ログ情報分析支援データベース部、31 検知ログ情報DB、
32 ネットワーク構成情報DB、33 侵入行為パターンDB、
34 パターン評価用パラメータDB、
35 侵入行為パターン評価結果DB[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an unauthorized access detection log information analysis support device, an unauthorized access detection log information analysis support method, and a computer program, and more particularly, to a detection log output from an intrusion detection device that detects an unauthorized intruder on a computer network. And an analysis support device that collects and analyzes data.
[0002]
[Prior art]
Intrusion detection devices that detect unauthorized access have been widely used as one of the means to protect information terminals from the threat of intruders called hackers who attempt to infiltrate information terminals such as personal computers. This type of device is called an IDS (Intrusion Detection System).
[0003]
For example, in an intrusion detection device disclosed in
[0004]
In addition, characteristic data in which the personal characteristics of the authorized user in the specific computer network are quantified is created based on information obtained from a packet transmitted by the authorized user in the past, and is stored as audit data in the audit data storage unit. The recorded user determination means compares the user data with the audit data recorded in the audit data storage unit, and determines whether the user corresponding to the user data is an authorized user in the specific computer network. ing.
[0005]
That is, the intrusion detection device detects unauthorized access by an unauthorized intruder using user data obtained by quantifying the personal characteristics of the packet sender and audit data obtained by quantifying the personal characteristics of the authorized user. It is. In this case, it is necessary for the operator to determine how to digitize the personal characteristics of the user and how to compare the user data with the audit data.
[0006]
[Patent Document 1]
JP 2001-202333 A
[0007]
[Problems to be solved by the invention]
In general, in the intrusion detection device, if excessive information is extracted, erroneous detection is included (False Positive), but if too small information is extracted, detection failure occurs (False Negative). For this reason, what to extract as the detection information depends on the operator's own judgment, and there is an operational problem that erroneous detection and omission of detection are increased by the operator.
[0008]
For example, when a matching process is performed on a network packet or a system log, etc. using a character string pattern defined as an unauthorized intrusion act to detect unauthorized access and output an alarm, one or more intrusion acts Since a large amount of detection logs can be obtained, a situation analysis is required. However, since the analysis process is largely dependent on the experience of the operator, it is difficult for some operators to grasp the essential situation, so that there is a problem that a false alarm due to false detection is likely to be output.
[0009]
In addition, since each operator independently analyzes the detection log output by the intrusion detection device, the analysis method is difficult to be inherited, and further depends on the experience and ability of each operator, and the know-how is There was a problem that accumulation was difficult. As a result, there is a problem that the situation analysis differs depending on the operator, and erroneous detection is likely to occur.
[0010]
For example, an intruder not only attacks directly from his / her terminal, but is often performed via several platform terminals. In some cases, the intrusion with an attack tool or the like has been automated, but the relationship between the detected events has not been specified. For this reason, it is necessary to have a high level of analytical ability to judge where the terminal that is being used as a platform is and how far the intrusion and attack are progressing, but this judgment depends on the experience of the operator. And the know-how is difficult to accumulate.
[0011]
The present invention has been made in view of the above circumstances, and has as its object to provide an unauthorized access detection log information analysis support device capable of accumulating know-how of an operator. It is another object of the present invention to provide an unauthorized access detection log information analysis support method and a computer program applicable to such an analysis support device.
[0012]
An unauthorized access detection log information analysis support device according to the present invention collects detection log information including a plurality of unauthorized access detection information output from an intrusion detection device, and collects the collected detection log information. An IDS manager unit that converts the format of the log, a detection log information database that stores the detection log information that has been converted, and a detection event that is characteristic of unauthorized access detection information is extracted from the detection log information that is stored in the detection log information database. The intrusion act pattern creation unit that generates the intrusion act pattern, the intrusion act pattern database that stores the intrusion act pattern generated by the intrusion act pattern creation unit, and a pattern evaluation parameter for evaluating the intrusion act pattern are stored. Pattern evaluation parameter database and detection log information A correlation measure for the intrusion behavior evaluation pattern of the detection log information stored in the database, and an intrusion behavior pattern evaluation unit for evaluating the intrusion behavior pattern based on the correlation degree and the parameter for pattern evaluation; And an intrusion act pattern evaluation result database that accumulates evaluation results.
[0013]
Further, the unauthorized access detection log information analysis support method according to the present invention collects detection log information including a plurality of unauthorized access detection information output from the intrusion detection device, and performs format conversion of the collected detection log information. Storing the format-converted detection log information in the detection log information database, and extracting intrusion behavior patterns by extracting detection events characteristic of unauthorized access detection information from the detection log information stored in the detection log information database Then, an intrusion act pattern creating step to be accumulated in the intrusion act pattern database, and a correlation degree of the detection log information accumulated in the detection log information database with respect to the intrusion act evaluation pattern is obtained, based on the correlation degree and the parameter for pattern evaluation, Intrusion act pattern evaluations that evaluate intrusion act patterns Comprising a-up, a step of storing the result of evaluation by the intrusion pattern evaluation unit to intrusion pattern evaluation result database.
[0014]
Also, the computer program according to the present invention collects detection log information including a plurality of unauthorized access detection information output from the intrusion detection device, and performs format conversion of the collected detection log information. Accumulating log information in a detection log information database; extracting detection events characteristic of unauthorized access detection information from the detection log information stored in the detection log information database to generate an intrusion act pattern; A step of creating an intrusion act pattern to be stored in the database, and calculating a correlation between the detection log information stored in the detection log information database and the intrusion act evaluation pattern, and evaluating the intrusion act pattern based on the correlation and the pattern evaluation parameter. Intrusion act pattern evaluation step and intrusion Configured to perform the step of storing the result of evaluation by the pattern evaluation unit to intrusion pattern evaluation result database for.
[0015]
With such a configuration, it is possible to extract and accumulate the intrusion act pattern from the collected detection log information, evaluate the intrusion act pattern, and accumulate the evaluation result.
[0016]
BEST MODE FOR CARRYING OUT THE INVENTION
FIG. 1 is a block diagram showing a configuration example of a computer network to which an unauthorized access detection log information analysis support device according to a first embodiment of the present invention is applied. The computer network includes a LAN (Local Area Network) 5 connected to an external network 6 such as the Internet.
[0017]
The
[0018]
The host-type IDS agent is software that performs intrusion detection based on event data such as an OS (Operating System) of a terminal device and a system log output from application software. The network type IDS agent is software that performs intrusion detection based on packet data on the network.
[0019]
That is, the
[0020]
The hub 4 is a line concentrator for connecting the
Each of the
[0021]
Further, each of the
[0022]
Here, an example in which the unauthorized access terminal device 7 connected to the Internet 6 attacks the
[0023]
FIG. 2 is a block diagram showing a detailed configuration example of a main part of the computer network of FIG. The
[0024]
The IDS agent unit 11 is a network type IDS agent mounted on the
[0025]
The
[0026]
The detection logs generated by the
[0027]
These detection logs are temporarily stored in the detection
[0028]
The unauthorized access detection log information
[0029]
Each of the
[0030]
The detection log information
[0031]
The detection log information DB (31) is a database that stores the detection logs generated by the
[0032]
The network configuration information DB (32) is a database that stores and holds, as network configuration information, various pieces of information related to the network configuration given in advance, for example, host names, IP addresses, and the like. These network configuration information are used to identify a place where an unauthorized access has been made when evaluating the extracted intrusion act pattern.
[0033]
The intrusion act pattern DB (33) is a database that accumulates intrusion act patterns extracted by the intrusion act pattern analysis /
[0034]
The pattern evaluation parameter DB (34) is a database that stores and holds evaluation parameters. These evaluation parameters are parameters for an evaluation process required when the intrusion act
[0035]
The detection log information analysis support
[0036]
The intrusion act pattern analysis /
[0037]
The detection log information in which the intrusion act pattern is generated may be detection log information generated by the host type
[0038]
Regarding the detection time, statistical information processing is performed in consideration of an error, and an intrusion act pattern including statistical information such as an average and a standard deviation (variance) is generated. That is, as a result of classifying the detection log information, arranging them in a time series, and performing a statistical analysis, a group of detection events considered to be a characteristic of unauthorized access is extracted, and an intrusion act pattern is generated. The above-described statistical processing can be realized by a commercially available tool.
[0039]
In general, unauthorized access is rarely performed in a single shot, and is often performed by repeatedly changing parameters, or in a complex manner. Therefore, unauthorized access is often performed a plurality of times. In such a case, the IDS agent detects a plurality of event information. However, the detection information of the IDS agent includes event information other than the erroneously detected unauthorized access. Therefore, when an unauthorized access occurs, it is necessary to examine what kind of event occurs and in what order. This makes it possible to recognize unauthorized access.
[0040]
FIG. 3 is an explanatory diagram of an intrusion act pattern. (A) in the figure is a diagram showing an example of the detection log information. It is assumed that the
[0041]
The intrusion act pattern includes relative detection times Δt1 to Δt4 and types and orders of events e1 to e5. The relative detection times Δt1 to Δt4 are time intervals of a series of detection events e1 to e5, and are given as relative detection times with respect to the detection time of the immediately preceding detection event. That is, the detection times of the respective detection events e2 to e5 are set to △ t1 to △ t4, and are expressed as △ tn = tn−t (n−1) (n = 1 to 4).
[0042]
It is assumed that events having the same arrival time can be extracted (selected) as an intrusion act pattern. In addition, a unit for extracting an intrusion act pattern is defined as a unit, and a plurality of units of the intrusion act pattern having the same permutation can be accumulated, and statistical information processing (for example, average) is performed.
[0043]
The intrusion act pattern display /
[0044]
In addition, the intrusion act pattern is edited in the intrusion act pattern DB (33), for example, the intrusion act pattern is corrected or merged (combined), and written in the intrusion act pattern DB (33) again. Therefore, the operator (operator) can refer to and edit the intrusion act patterns stored in the intrusion act pattern DB (33).
[0045]
The intrusion act
[0046]
4 and 5 are explanatory diagrams showing the concept of the evaluation process in the intrusion act
[0047]
The relative detection times of the detection events e1 to e5 detected by the
[0048]
FIG. 5 is a diagram illustrating an example of a method for obtaining a cross-correlation. The correlation between the detection event corresponding to the intrusion act pattern and the detection log is obtained as a numerical value obtained by converting the difference between the relative detection times of the two into a probability in a predetermined distribution function. FIG. 5 shows an example of the distribution probability Pn (x) in the normal distribution of the median Δtn and the standard deviation σ. The median Δtn (n = 1 to 4) and the standard deviation σ of the distribution are given as an intrusion act pattern.
[0049]
Assuming that the detection time (average value) in the intrusion act pattern is △ tn and the detection time in the detection log is △ tn 'for the corresponding detection event, the probability based on the detection time shift △ tn- △ tn' is Pn (△ tn ').
[0050]
A cross-correlation is determined for each of a series of detection events e1 to e5, and a degree of correlation with the intrusion act pattern is determined based on these correlation values. For example, as shown in the following equation, the correlation with the intrusion act pattern is obtained as the average value of the correlation Pi (△ ti) for each of the N detection events.
(Equation 1)
[0051]
FIG. 6 is a diagram showing an outline of an example of the evaluation parameters. The degree of correlation with the intrusion act parameter is obtained using the evaluation parameter, and the degree of correlation is evaluated. This evaluation result is stored in the intrusion act pattern evaluation result DB (35) as an intrusion act pattern evaluation result.
[0052]
The evaluation parameter includes an evaluation target range, an IP same mode, and an evaluation reference value. The evaluation target range is a reference range for determining a correlation process target from each average time (average value of relative detection times) for each detection event, and has a standard deviation as a unit. If the value falls below this value, it is determined that there is no correlation that can be concluded with the intrusion act pattern. That is, it indicates the maximum value of the relative detection times {t0 ′ to Δt4 ′ of the detection events e1 to e5 detected by the
[0053]
The same IP mode is a mode in which only the same target IP is subjected to the evaluation processing. When the same IP mode is specified, the correlation processing is not performed even for the event to be correlated even if the target IP is different. That is, the condition that the transmission source (target) IP of the detection log information is the same for P1 to Pn is added.
[0054]
The evaluation criterion value is a criterion value for the significance determination in the evaluation processing. If the value falls below this value, it is determined that there is no evaluation enough to conclude that the pattern is an intrusion act pattern. That is, the reference value of the significance determination for the intrusion act pattern of the correlation degree (matching rate, final probability value) obtained by the above equation (1) is shown.
[0055]
The intrusion act pattern evaluation
[0056]
In this way, the intrusion act pattern is accumulated in the intrusion act pattern DB (33) and the intrusion act pattern evaluation result is accumulated in the intrusion act pattern evaluation result DB (35). The intruder pattern can be verified, and the intruder pattern can be edited as needed.
[0057]
For this reason, the intrusion act pattern can be improved, and the know-how of the operator can be accumulated. In other words, statistical information processing of the detection log consisting of a large number of detection information is also possible with commercially available tools, but here, the results are evaluated and managed as intrusion act patterns, so they should be accumulated as know-how. Can be.
[0058]
In addition, the
[0059]
The unauthorized access detection log information analysis support server according to the present embodiment generates and evaluates an intrusion act pattern based on the detection log output from each IDS agent. Therefore, it can be operated regardless of online or offline. That is, in the offline mode, the intrusion act pattern is evaluated with respect to the detection log information collected in advance, and in the online mode, the intrusion act pattern is evaluated with respect to the detection log information being collected.
[0060]
[0061]
FIG. 7 is an explanatory diagram of an intrusion act pattern according to
[0062]
The relative detection times △ t1 to △ t4 are time intervals of a series of detection events e1 to e5, and in the present embodiment, relative detection times e2 to e5 with respect to the detection time of the first detection event e1. The detection times are △ t1 to △ t4, and are represented as △ tn = tn-t0 (n = 1 to 4).
[0063]
FIG. 8 is an explanatory diagram showing the concept of the evaluation process in the intrusion act
[0064]
[0065]
Embodiment 4 FIG. In this embodiment, another application example of the present invention will be described. FIG. 9 is a block diagram showing a configuration example of a computer network to which the unauthorized access detection log information analysis support device according to the fourth embodiment of the present invention is applied. This network is configured by connecting three
[0066]
Each of the
[0067]
The
[0068]
Further, the network integrated management device 54 is a device corresponding to the unauthorized access detection log information
[0069]
In this case, one
[0070]
FIG. 10 is a diagram showing an example of a display on the network management device 54. The location of the
[0071]
According to the present invention, intrusion act patterns can be extracted and collected from the collected detection log information, and the intrusion act patterns can be evaluated and the evaluation results can be accumulated. Can be accumulated.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration example of a computer network to which an unauthorized access detection log information analysis support device according to a first embodiment of the present invention is applied.
FIG. 2 is a block diagram showing a detailed configuration example of a main part of the computer network of FIG. 1;
FIG. 3 is an explanatory diagram of an intrusion act pattern.
FIG. 4 is an explanatory diagram showing a concept of an evaluation process in an intrusion act
FIG. 5 is a diagram illustrating an example of a method for obtaining a cross-correlation.
FIG. 6 is a diagram showing an outline of an example of an evaluation parameter.
FIG. 7 is an explanatory diagram of an intrusion act pattern according to
FIG. 8 is an explanatory diagram showing the concept of the evaluation process in the intrusion act
FIG. 9 is a block diagram showing a configuration example of a computer network to which an unauthorized access detection log information analysis support device according to a fourth embodiment of the present invention is applied.
FIG. 10 is a diagram showing an example of a display on the network supervisory device.
[Explanation of symbols]
1 unauthorized access detection log information analysis support server,
10 intrusion detection unit (host type), 11 intrusion detection unit (network type),
12 IDS manager unit, 21 detection log information conversion unit,
22 Detection Log Information Analysis Support Control Management Department,
23 Intrusion act pattern analysis and creation department,
24 Intrusion act pattern display / editing unit, 25 Intrusion act pattern evaluation unit,
26 Intrusion act pattern evaluation result display section,
30 detection log information analysis support database unit, 31 detection log information DB,
32 network configuration information DB, 33 intrusion act pattern DB,
34 parameter DB for pattern evaluation,
35 Intrusion act pattern evaluation result DB
Claims (9)
フォーマット変換された検知ログ情報を蓄積する検知ログ情報データベースと、
不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出し、侵入行為パターンを生成する侵入行為パターン作成部と、
侵入行為パターン作成部により生成された侵入行為パターンを蓄積する侵入行為パターンデータベースと、
侵入行為パターンを評価するためのパターン評価用パラメータを格納するパターン評価用パラメータデータベースと、
検知ログ情報データベースに蓄積された検知ログ情報の侵入行為パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価部と、
侵入行為パターン評価部による評価結果を蓄積する侵入行為パターン評価結果データベースとを備えたことを特徴とする不正アクセス検知ログ情報分析支援装置。An IDS manager unit that collects detection log information including a plurality of unauthorized access detection information output from the intrusion detection device, and converts the format of the collected detection log information;
A detection log information database that stores detection log information that has been converted in format,
An intrusion act pattern creating unit that extracts a detection event characteristic of the unauthorized access detection information from the detection log information stored in the detection log information database and generates an intrusion act pattern;
An intrusion act pattern database that accumulates intrusion act patterns generated by the intrusion act pattern creation unit,
A pattern evaluation parameter database storing pattern evaluation parameters for evaluating an intrusion act pattern,
An intrusion act pattern evaluation unit that calculates a degree of correlation with the intrusion act pattern of the detection log information stored in the detection log information database, and evaluates the intrusion act pattern based on the correlation degree and the parameter for pattern evaluation;
An unauthorized access detection log information analysis support device, comprising: an intrusion act pattern evaluation result database that accumulates evaluation results by an intrusion act pattern evaluation unit.
フォーマット変換された検知ログ情報を検知ログ情報データベースに蓄積するステップと、
不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出して侵入行為パターンを生成し、侵入行為パターンデータベースに蓄積する侵入行為パターン作成ステップと、
検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価ステップと、
侵入行為パターン評価部による評価結果を侵入行為パターン評価結果データベースに蓄積するステップとを備えたことを特徴とする不正アクセス検知ログ情報分析支援方法。Collecting detection log information including a plurality of unauthorized access detection information output from the intrusion detection device, and converting the format of the collected detection log information;
Accumulating the format-converted detection log information in a detection log information database;
An intrusion act pattern creation step of extracting a detection event characteristic of the unauthorized access detection information from the detection log information accumulated in the detection log information database to generate an intrusion act pattern, and accumulating the intrusion act pattern database;
An intrusion act pattern evaluation step of obtaining a correlation degree with respect to the intrusion act evaluation pattern of the detection log information accumulated in the detection log information database, and evaluating the intrusion act pattern based on the correlation degree and the pattern evaluation parameter;
Storing an evaluation result by an intrusion act pattern evaluation unit in an intrusion act pattern evaluation result database.
フォーマット変換された検知ログ情報を検知ログ情報データベースに蓄積するステップと、
不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出して侵入行為パターンを生成し、侵入行為パターンデータベースに蓄積する侵入行為パターン作成ステップと、
検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価ステップと、
侵入行為パターン評価部による評価結果を侵入行為パターン評価結果データベースに蓄積するステップとを実行することを特徴とするコンピュータプログラム。Collecting detection log information including a plurality of unauthorized access detection information output from the intrusion detection device, and converting the format of the collected detection log information;
Accumulating the format-converted detection log information in a detection log information database;
An intrusion act pattern creation step of extracting a detection event characteristic of the unauthorized access detection information from the detection log information accumulated in the detection log information database to generate an intrusion act pattern, and accumulating the intrusion act pattern database;
An intrusion act pattern evaluation step of obtaining a correlation degree with respect to the intrusion act evaluation pattern of the detection log information accumulated in the detection log information database, and evaluating the intrusion act pattern based on the correlation degree and the pattern evaluation parameter;
Accumulating the evaluation result by the intrusion act pattern evaluation unit in the intrusion act pattern evaluation result database.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003007551A JP2004220373A (en) | 2003-01-15 | 2003-01-15 | Unauthorized access detection log information analysis support system, unauthorized access detection log information analysis support method, and computer program thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003007551A JP2004220373A (en) | 2003-01-15 | 2003-01-15 | Unauthorized access detection log information analysis support system, unauthorized access detection log information analysis support method, and computer program thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004220373A true JP2004220373A (en) | 2004-08-05 |
Family
ID=32897616
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003007551A Pending JP2004220373A (en) | 2003-01-15 | 2003-01-15 | Unauthorized access detection log information analysis support system, unauthorized access detection log information analysis support method, and computer program thereof |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004220373A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005236862A (en) * | 2004-02-23 | 2005-09-02 | Kddi Corp | Log analyzing device and program, and recording medium |
EP2950228A1 (en) | 2014-05-28 | 2015-12-02 | Fujitsu Limited | Authentication information theft detection method, authentication information theft detection device, and program for the same |
KR101767454B1 (en) * | 2015-11-12 | 2017-08-14 | 주식회사 엔젠소프트 | Method and apparatus of fraud detection for analyzing behavior pattern |
US9819691B2 (en) | 2014-12-26 | 2017-11-14 | Fujitsu Limited | Network monitoring system and method |
-
2003
- 2003-01-15 JP JP2003007551A patent/JP2004220373A/en active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005236862A (en) * | 2004-02-23 | 2005-09-02 | Kddi Corp | Log analyzing device and program, and recording medium |
EP2950228A1 (en) | 2014-05-28 | 2015-12-02 | Fujitsu Limited | Authentication information theft detection method, authentication information theft detection device, and program for the same |
US9819691B2 (en) | 2014-12-26 | 2017-11-14 | Fujitsu Limited | Network monitoring system and method |
KR101767454B1 (en) * | 2015-11-12 | 2017-08-14 | 주식회사 엔젠소프트 | Method and apparatus of fraud detection for analyzing behavior pattern |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6703613B2 (en) | Anomaly detection in data stream | |
JP5038888B2 (en) | Pattern discovery method and system in network security system | |
KR101538709B1 (en) | Anomaly detection system and method for industrial control network | |
JP6201614B2 (en) | Log analysis apparatus, method and program | |
EP2517437B1 (en) | Intrusion detection in communication networks | |
CN111935172B (en) | Network abnormal behavior detection method based on network topology, computer device and computer readable storage medium | |
JP2018533897A5 (en) | ||
US20060259968A1 (en) | Log analysis system, method and apparatus | |
US20080141332A1 (en) | System, method and program product for identifying network-attack profiles and blocking network intrusions | |
WO2003100619A1 (en) | Unauthorized access detection apparatus, unauthorized access detection program, and unauthorized access detection method | |
CN112184091A (en) | Industrial control system security threat assessment method, device and system | |
CN112671767A (en) | Security event early warning method and device based on alarm data analysis | |
JP2019036865A (en) | Communication analysis device, communication analysis program, and communication analysis method | |
JP2004186878A (en) | Intrusion detecting apparatus and intrusion detecting program | |
CN113645215A (en) | Method, device, equipment and storage medium for detecting abnormal network traffic data | |
CN117375985A (en) | Method and device for determining security risk index, storage medium and electronic device | |
JP2004220373A (en) | Unauthorized access detection log information analysis support system, unauthorized access detection log information analysis support method, and computer program thereof | |
EP2911362B1 (en) | Method and system for detecting intrusion in networks and systems based on business-process specification | |
CN115801307A (en) | Method and system for carrying out port scanning detection by using server log | |
JP6780326B2 (en) | Information processing equipment and programs | |
CN111767571B (en) | Detection method for medical data leakage | |
JP4487291B2 (en) | Monitoring result recording system, common log generation device, and program | |
CN112511545A (en) | Method for reporting security event in industrial audit system | |
JP2019175070A (en) | Alert notification device and alert notification method | |
EP4332804A2 (en) | System for automatically evaluating the quality of network traffic signatures |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050107 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070123 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070522 |