JP2004220373A - Unauthorized access detection log information analysis support system, unauthorized access detection log information analysis support method, and computer program thereof - Google Patents

Unauthorized access detection log information analysis support system, unauthorized access detection log information analysis support method, and computer program thereof Download PDF

Info

Publication number
JP2004220373A
JP2004220373A JP2003007551A JP2003007551A JP2004220373A JP 2004220373 A JP2004220373 A JP 2004220373A JP 2003007551 A JP2003007551 A JP 2003007551A JP 2003007551 A JP2003007551 A JP 2003007551A JP 2004220373 A JP2004220373 A JP 2004220373A
Authority
JP
Japan
Prior art keywords
detection
log information
intrusion
pattern
detection log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003007551A
Other languages
Japanese (ja)
Inventor
Masayasu Shioda
雅康 塩田
Masaru Ashizawa
賢 芦沢
Akishi Hamaoka
晃史 濱岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2003007551A priority Critical patent/JP2004220373A/en
Publication of JP2004220373A publication Critical patent/JP2004220373A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an unauthorized access detection log information analysis support system which can accumulate know-how of an operation personnel. <P>SOLUTION: This system is provided with an IDS manager part 12 which collects detection log information from an intrusion detection apparatus and performs format conversion, a detection log information DB (31) which accumulates the detection log information, an intrusion behavior pattern generating part 23 which generates intrusion behavior patterns and accumulates them in a intrusion behavior pattern DB (33), a pattern evaluating parameter DB (34) which stores pattern evaluating parameters, an intrusion behavior pattern evaluating part 25 which obtains correlation of detection log information to the intrusion behavior evaluating parameters and evaluates the intrusion behavior pattern based on the correlation and the pattern evaluating parameters, and an intrusion behavior pattern evaluating result DB (35) which stores evaluating results by the intrusion behavior pattern evaluating part. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、不正アクセス検知ログ情報分析支援装置、不正アクセス検知ログ情報分析支援方法及びコンピュータプログラムに係り、更に詳しくは、コンピュータネットワーク上で不正侵入者を検知する侵入検知装置から出力される検知ログを収集し、分析する分析支援装置に関する。
【0002】
【従来の技術】
パソコン等の情報端末に対し不正侵入を試みるハッカー等と呼ばれる不正侵入者の脅威から、情報端末を守る手段の一つとして、不正アクセスを検知する侵入検知装置が従来から広く普及しており、この種の装置はIDS(Intrusion Detection System)と呼ばれている。
【0003】
例えば、特許文献1に開示された侵入検知装置は、パケット取得・選択手段が、特定のコンピュータネットワークを流れる所定のパケットの取得し選択し、ユーザデータ作成手段が、当該パケットから得られる情報に基づき、当該パケットを送信したユーザの個人的特徴を数値化した特徴データをユーザデータとして作成している。
【0004】
また、前記特定のコンピュータネットワークにおける正規ユーザの個人的特徴を数値化した特徴データが、当該正規ユーザが過去に送信したパケットから得られた情報に基づいて作成され、監査データとして監査データ記憶部に記録され、ユーザ判定手段が、ユーザデータを監査データ記憶部に記録された監査データと比較し、当該ユーザデータに対応するユーザが、前記特定のコンピュータネットワークにおける正規ユーザであるか否かを判定している。
【0005】
つまり、上記侵入検知装置は、パケット送信者の個人的特徴を数値化したユーザデータと、正規ユーザの個人的特徴を数値化した監査データとを用いて、不正侵入者による不正アクセスを検知するものである。この場合、ユーザの個人的特徴をどのように数値化し、ユーザデータと監査データをどのように比較するのかは、運用者が独自に判断する必要がある。
【0006】
【特許文献1】
特開2001−202333号公報
【0007】
【発明が解決しようとする課題】
一般に、侵入検知装置において、過剰な情報を抽出すれば誤検知が含まれることになる一方(False Positive)、過小な情報を抽出すれば検出漏れを生じることになる(False Negative)。このため、何を検知情報として抽出するのかは運用者の独自判断に依存し、運用者によって誤検知や検知漏れが多くなるという運用上の問題があった。
【0008】
例えば、不正侵入行為と定義した文字列パターンを用いて、ネットワークパケット又はシステムログ等に対するマッチング処理を行って、不正アクセスを検知して警報を出力する場合、1回又は複数の侵入行為に対して多量の検知ログが得られることから、状況分析が必要となる。しかしながら、当該分析処理は、運用者の経験に頼る部分に大きいため、運用者によっては本質的な状況把握が困難なために、誤検知による誤警報が出力されやすいといった問題があった。
【0009】
しかも、個々の運用者が侵入検知装置の出力する検知ログを独自分析しているため、その分析手法は継承され難く、ますます各運用者の経験及び能力に依存することになり、そのノウハウを蓄積し難いという問題点があった。その結果、運用者によって状況分析も異なり、誤検知が生じ易いという問題があった。
【0010】
例えば、侵入者は自分の端末からダイレクトに攻撃するだけでなく、いくつかの踏み台端末を経由して行われることが少なくない。また、攻撃ツール等での侵入行為が自動化されている場合もあるが、検知事象間の関係は明示化されることはなかった。このため、踏み台とされている端末はどこからどこまでなのか、その侵入及び攻撃がどの段階まで進行しているのかを判断するのは、高度な分析能力を要するが、この判断は運用者の経験にのみ依存し、そのノウハウは蓄積し難いという問題点があった。
【0011】
本発明は、上記の事情に鑑みてなされたものであり、運用者のノウハウを蓄積することができる不正アクセス検知ログ情報分析支援装置を提供することを目的とする。また、この様な分析支援装置に適用可能な不正アクセス検知ログ情報分析支援方法及びコンピュータプログラムを提供することを目的とする。
【0012】
【課題を解決するための手段】本発明による不正アクセス検知ログ情報分析支援装置は、侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うIDSマネージャ部と、フォーマット変換された検知ログ情報を蓄積する検知ログ情報データベースと、不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出し、侵入行為パターンを生成する侵入行為パターン作成部と、侵入行為パターン作成部により生成された侵入行為パターンを蓄積する侵入行為パターンデータベースと、侵入行為パターンを評価するためのパターン評価用パラメータを格納するパターン評価用パラメータデータベースと、検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価部と、侵入行為パターン評価部による評価結果を蓄積する侵入行為パターン評価結果データベースとを備えて構成される。
【0013】
また、本発明による不正アクセス検知ログ情報分析支援方法は、侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うステップと、フォーマット変換された検知ログ情報を検知ログ情報データベースに蓄積するステップと、不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出して侵入行為パターンを生成し、侵入行為パターンデータベースに蓄積する侵入行為パターン作成ステップと、検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価ステップと、侵入行為パターン評価部による評価結果を侵入行為パターン評価結果データベースに蓄積するステップとを備える。
【0014】
また、本発明によるコンピュータプログラムは、侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うステップと、フォーマット変換された検知ログ情報を検知ログ情報データベースに蓄積するステップと、不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出して侵入行為パターンを生成し、侵入行為パターンデータベースに蓄積する侵入行為パターン作成ステップと、検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価ステップと、侵入行為パターン評価部による評価結果を侵入行為パターン評価結果データベースに蓄積するステップとを実行するように構成される。
【0015】
この様な構成により、収集した検知ログ情報から侵入行為パターンを抽出して蓄積するとともに、侵入行為パターンを評価し、その評価結果を蓄積することができる。
【0016】
【発明の実施の形態】
実施の形態1.
図1は、本発明の実施の形態1による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。このコンピュータネットワークは、インターネットなどの外部ネットワーク6に接続されたLAN(Local Area Network)5により構成される。
【0017】
LAN5は、不正アクセス検知ログ情報分析支援サーバ1と、複数の端末装置2及び3と、ハブ(HUB)4とにより構成される2系統のネットワーク5a,5bからなる。端末装置2(図中の端末A)は、ホスト型のIDSエージェントが搭載されたサーバ等の端末装置であり、端末装置3(図中の端末B)は、ネットワーク型のIDSエージェント及びIDSマネージャが搭載されたサーバ等の端末装置である。
【0018】
ホスト型のIDSエージェントとは、端末装置のOS(Operating System)及びアプリケーション・ソフトウエアが出力するシステムログ等のイベントデータに基づいて侵入検知を行うソフトウエアである。また、ネットワーク型のIDSエージェントとは、ネットワーク上のパケットデータに基づいて侵入検知を行うソフトウエアである。
【0019】
つまり、IDSエージェントが搭載された端末装置2,3は、不正アクセスを検知して検知ログを出力する侵入検知装置(IDSセンサー)である。また、IDSマネージャは、各IDSエージェントから出力される検知ログを収集するソフトウエアであり、IDSエージェントとは、別の端末に搭載されていてもよい。
【0020】
ハブ4は、端末装置2,3を接続するための集線装置であり、複数のハブ4がカスケード接続され、各ハブ4に対し端末装置2,3を接続することができる。
各端末装置2及び3は、ハブ4を介してLAN5a(実線で示されたネットワーク)に接続され、LAN5aを介して更に外部ネットワーク6に接続される。
【0021】
また、各端末装置2及び3は、LAN5aから独立し、外部ネットワーク6に接続されていないLAN5b(破線で示されたネットワーク)にも接続されている。このLAN5bは、不正アクセス検知ログ情報分析支援サーバ1が接続されたIDS専用ラインである。不正アクセス検知ログ情報分析支援サーバ1は、各IDSエージェントで生成され、IDSマネージャが収集した検知ログについて、分析及び評価を行って、情報を蓄積している。
【0022】
ここでは、インターネット6に接続された不正アクセス端末装置7から端末装置2,3を攻撃する場合の例について説明するが、本発明は、不正アクセス端末装置7がLAN5aに接続されている場合にも適用することができる。
【0023】
図2は、図1のコンピュータネットワークの要部について詳細な構成例を示したブロック図である。IDSエージェント部10は、端末装置2に搭載されたホスト型のIDSエージェントである。各IDSエージェント部10は、イベントデータに対し、シグニチャー(Signature)と呼ばれるデータベースを用いてパターンマッチングを行って、不正アクセスを検知し、検知ログデータを生成している。
【0024】
IDSエージェント部11は、端末装置3に搭載されたネットワーク型のIDSエージェントである。各IDSエージェント部11は、ネットワーク上のパケットデータに対し、IDSエージェント部10と同様のパターンマッチングを行って、不正アクセスを検知し、検知ログデータを生成している。
【0025】
IDSマネージャ部12は、端末装置3に搭載され、検知ログの収集を行っている。IDSマネージャ部12は、検知ログ格納部20と、検知ログ情報変換部21により構成される。複数の端末装置2,3内のIDSエージェント10,11においてパターンマッチングで得られた検知ログは、IDS専用ライン5bを介して、IDSマネージャ部12に送られる。
【0026】
IDSエージェント部10,11で生成される検知ログは、検知時刻、検知イベント(事象)名、検知イベント(事象)番号、送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、検知センサ名称等からなる。
【0027】
これらの検知ログは、検知ログ格納部20に一旦格納され、検知ログ情報変換部21によりフォーマット変換が行われる。市販のIDSエージェントが出力する検知ログのフォーマットは、製品ごとに異なる。例えば、検知イベント名で管理された検知ログが出力され、あるいは、検知イベント番号で管理された検知ログが出力される。検知ログ情報変換部21は、これら種々のフォーマットからなる検知ログを不正アクセス検知ログ情報分析支援サーバ1において分析処理可能な統一フォーマットに変換している。
【0028】
不正アクセス検知ログ情報分析支援サーバ1は、検知ログ情報分析支援データベース30、検知ログ情報分析支援統制管理部22、侵入行為パターン分析・作成部23、侵入行為パターン表示・編集部24、侵入行為パターン評価部25、及び、侵入行為パターン評価結果表示部26により構成される。
【0029】
検知ログ情報分析支援データベース30以外の各ブロック22〜26は、不正アクセス検知ログ情報分析支援サーバ1において実行可能なコンピュータプログラムとして実現され、これらのプログラムは、CD−ROMなどの光記憶媒体、磁気テープなどの磁気記憶媒体、半導体メモリ、その他のコンピュータ読取可能な記憶媒体に格納して提供することができる。
【0030】
検知ログ情報分析支援データベース30は、検知ログ情報DB(データベース)31、ネットワーク構成情報DB(32)、侵入行為パターンDB(33)、パターン評価用パラメータDB(34)、及び、侵入行為パターン評価結果DB(35)により構成される。
【0031】
検知ログ情報DB(31)は、各IDSエージェント部10,11により生成され、IDSマネージャ部12においてフォーマット変換された検知ログを蓄積するデータベースである。
【0032】
ネットワーク構成情報DB(32)は、予め与えられたネットワークの構成に関する種々の情報、例えば、ホスト名称、IPアドレスなどをネットワーク構成情報として記憶保持するデータベースである。これらのネットワーク構成情報は、抽出された侵入行為パターンを評価する際、不正アクセスのあった場所等を特定するために使用される。
【0033】
侵入行為パターンDB(33)は、検知ログ情報DB(31)の検知ログに基づいて、侵入行為パターン分析・作成部23により抽出された侵入行為パターンを蓄積するデータベースである。
【0034】
パターン評価用パラメータDB(34)は、評価用パラメータを記憶保持しているデータベースである。これらの評価用パラメータは、侵入行為パターン評価部25が侵入行為パターンを評価する際に必要となる評価処理のためのパラメータである。侵入行為パターン評価結果DB(35)は、侵入行為パターン評価部25による侵入行為パターンの評価結果が格納されるデータベースである。
【0035】
検知ログ情報分析支援統制管理部22は、侵入行為パターン分析・作成部23、侵入行為パターン表示・編集部24、侵入行為パターン評価部25、及び、侵入行為パターン評価結果表示部26と、IDSマネージャ部12の検知ログ情報変換部21の制御を行っている。
【0036】
侵入行為パターン分析・作成部23は、検知ログ情報を分析し、当該侵入行為に対する特徴的な検知事象を抽出するとともに、抽出された検知事象群について侵入行為パターンを生成し、侵入行為パターンDB(33)に蓄積している。この侵入行為パターンは、IDSエージェントにより収集された検知事象の種類、順序及び相対的な検知時刻により構成される。
【0037】
侵入行為パターンが生成される検知ログ情報は、ホスト型のIDSエージェント部10により生成された検知ログ情報であってもよいし、ネットワーク型のIDSエージェント部11により生成された検知ログ情報であってもよい。また、ホスト型及びネットワーク型のIDSエージェント部10及び11により生成された検知ログ情報を組み合わせて使用することもできる。
【0038】
検知時刻については、誤差を考慮して、統計的な情報処理が行われ、平均、標準偏差(分散)などの統計的情報を含めた侵入行為パターンが生成される。すなわち、検知ログ情報を分類し、時系列的に整理して、統計分析を実施した結果、不正アクセスの特徴と思われる検知事象群が抽出され、侵入行為パターンが生成される。上記の統計的処理は、市販ツールにより実現可能である。
【0039】
一般に、不正アクセスは、単発で行われることは少なく、繰り返しパラメータを変えて行われ、あるいは複合的に行われる場合が多い。このため、不正アクセスは複数回行われることが多く、この様な場合、IDSエージェントは複数のイベント情報を検知することになる。ところが、IDSエージェントの検知情報には、誤検知された不正アクセス以外のイベント情報も含まれるため、不正アクセスがあった場合に、どの様なイベントがどの様な順序で発生するのかを調べることによって、不正アクセスを認識することが可能となる。
【0040】
図3は、侵入行為パターンについての説明図である。図中(a)は検知ログ情報の一例を示した図である。IDSエージェント部10,11において検知事象としてイベントe1〜e5が検知され、それぞれの検知時刻(例えば不正侵入パケットの到来時刻)がt0〜t4であったとする。図中の(b)は、このとき侵入行為パターン分析・作成部23により生成される侵入行為パターンの一例を示した図である。
【0041】
侵入行為パターンは、相対的な検知時刻△t1〜△t4及びイベントe1〜e5の種類及び順序からなる。相対的な検知時刻△t1〜△t4は、一連の検知事象e1〜e5の時間間隔であり、1つ前の検知事象の検知時刻に対する相対的な検知時刻として与えられる。すなわち、各検知事象e2〜e5の検知時刻を△t1〜△t4としており、△tn=tn−t(n−1)(n=1〜4)と表される。
【0042】
なお、到来時刻が同一のイベントを侵入行為パターンとして抽出(選択)することも可能であるものとする。また、侵入行為パターンを抽出する単位をユニットと定義し、同一順列の侵入行為パターンは複数ユニットを蓄積可能とし、統計的な情報処理(例えば平均)を行うものとする。
【0043】
侵入行為パターン表示・編集部24は、侵入行為パターンDB(33)の侵入行為パターンを図示しない表示装置に表示する。 例えば、検知情報を時系列で表示し、また、任意の区間、IPアドレス、ポート番号、種類で検索可能とする。更に、IPアドレスごとに種類別頻度表示、検知情報ごとの頻度表示、侵入行為パターン比較を可能とする時系列表示などを行う。
【0044】
また、侵入行為パターンDB(33)の侵入行為パターンの編集、例えば侵入行為パターンの修正やマージ(結合)などを行って、再び侵入行為パターンDB(33)へ書き込む。このため、運用者(オペレータ)は、侵入行為パターンDB(33)内に蓄積された侵入行為パターンを参照し、編集することができる。
【0045】
侵入行為パターン評価部25は、検知ログ情報DB(31)に蓄積された検知事象(イベント)について、侵入行為パターンDB(33)内の侵入行為パターンとのマッチング処理を行って、各侵入行為パターンに対する評価を行っている。この侵入行為パターン評価は、パターン評価用パラメータDB(34)内の評価用パラメータを用いて、マッチング処理で求められた両者の相関度を評価することによって行われる。評価結果は侵入行為パターン評価結果DB(35)に蓄積される。
【0046】
図4及び図5は、侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。図4の(a)には、検知ログ情報の一例が示され、図4の(b)には、侵入行為パターンの一例が示されている。検知ログ情報と、侵入行為パターンとのマッチング処理は、検知事象の順列及び相対的な検知時刻の2要素に関して行われる。すなわち、検知事象ごとの順列及び相対時刻について相互相関をとり、得られた各相関度に基づいて侵入行為パターンとの相関度が求められる。
【0047】
IDSエージェント部10,11により検知され、検知ログ情報DB(31)に蓄積された検知事象e1〜e5の相対的な検知時刻を△t1’〜△t4’とする。これらの検知時刻△t1’〜△t4’について、侵入行為パターンにおける相対的な検知時刻△t1〜△t4の平均値との相互相関をとる。
【0048】
図5は、相互相関を求める方法の一例が示された図である。侵入行為パターン及び検知ログにおいて対応する検知事象の相関度は、両者の相対的な検知時刻の差分を所定の分布関数における確率に変換した数値として求められる。図5には、中央値△tn、標準偏差σの正規分布における分布確率Pn(x)の例が示されている。当該分布の中央値△tn(n=1〜4)及び標準偏差σは、侵入行為パターンとして与えられる。
【0049】
対応する検知事象について、侵入行為パターンにおける検知時刻(平均値)を△tn、検知ログにおける検知時刻を△tn’とすれば、検知時刻のずれ△tn−△tn’に基づく確率がPn(△tn’)として得られる。
【0050】
一連の各検知事象e1〜e5について相互相関を求め、これらの相関値に基づいて侵入行為パターンとの相関度が求められる。例えば、次式に示すようにN個の各検知事象ごとの相関度Pi(△ti)の平均値として侵入行為パターンとの相関度が求められる。
【数1】

Figure 2004220373
【0051】
図6は、評価用パラメータの一例の概要を示した図である。評価用パラメータを用いて、侵入行為パラメータとの相関度が求められ、その相関度が評価される。この評価結果は、侵入行為パターン評価結果として、侵入行為パターン評価結果DB(35)に格納される。
【0052】
評価用パラメータは、評価対象範囲、IP同一モード及び評価基準値からなる。評価対象範囲は、検知事象ごとの各平均時刻(相対的な検知時刻の平均値)から相関処理対象を判断する基準範囲であり、標準偏差を単位とする。この値を下回った場合は、侵入行為パターンと断定できるほどの相関がないと判断する。すなわち、IDSエージェント部10,11により検知され、検知ログ情報DB(31)に蓄積された検知事象e1〜e5の相対的な検知時刻△t0’〜△t4’の最大値を示している。
【0053】
IP同一モードは、評価処理の実施対象を同一ターゲットIPのみとするモードである。IP同一モードを指定した場合、相関処理対象のイベントでも、異なるターゲットIPの場合は、相関処理を実施しない。すなわち、検知ログ情報の送信元(ターゲット)IPが、P1〜Pnまで同一であることの条件を追加している。
【0054】
評価基準値は、評価処理における有意判定の基準値である。この値を下回った場合は、侵入行為パターンと断定できるほどの評価がないと判断する。すなわち、上式(1)により求められた相関度(マッチング率、最終確率値)の侵入行為パターンに対する有意判定の基準値が示されている。
【0055】
侵入行為パターン評価結果表示部26は、侵入行為パターン評価結果DB(35)の侵入行為パターン評価結果を図示しない表示装置に表示する。このため、運用者(オペレータ)は、侵入行為パターン評価結果DB(35)内に蓄積された侵入行為パターン評価結果を参照して、各侵入行為パターンの検証を行うことができる。この場合、必要に応じて、ネットワーク構成情報DB(32)を参照し、侵入行為パターン評価結果とともに、当該侵入行為が検知された場所等を表示してもよい。
【0056】
この様にして、侵入行為パターンを侵入行為パターンDB(33)に蓄積するとともに、侵入行為パターン評価結果を侵入行為パターン評価結果DB(35)に蓄積することにより、侵入行為パターン評価結果に基づいて侵入行為パターンを検証し、必要に応じて侵入行為パターンを編集することができる。
【0057】
このため、侵入行為パターンを向上させることができ、運用者のノウハウを蓄積することができる。すなわち、多数の検知情報からなる検知ログに対する統計的な情報処理は、市販ツールによっても可能であるが、ここでは、その結果を侵入行為パターンとして評価し管理しているため、ノウハウとして蓄積することができる。
【0058】
また、踏み台とされている端末装置2,3についても、当該踏み台を含めた一連の不正アクセスについて侵入行為パターンを作成すれば、検知することができる。
【0059】
なお、本実施の形態による不正アクセス検知ログ情報分析支援サーバは、各IDSエージェントの出力する検知ログに基づいて侵入行為パターンを生成し、評価している。このため、オンライン、オフラインにかかわらず動作させることができる。すなわち、オフライン・モードでは、事前に収集した検知ログ情報に対して、侵入行為パターンを評価し、オンライン・モードでは、収集中の検知ログ情報に対して、侵入行為パターンを評価する。
【0060】
実施の形態2. 実施の形態1では、侵入行為パターンの各検知事象の検知時刻として、直前の検知事象に対する相対的な検知時刻を用いる場合の例について説明した。これに対し、実施の形態2では、侵入行為パターンを構成する最初の検知事象の検知時刻に対する相対的な検知時刻を用いる場合について説明する。
【0061】
図7は、本発明の実施の形態2における侵入行為パターンについての説明図である。図中の(a)は検知ログ情報の一例を示した図である。IDSエージェント部10,11において検知事象としてイベントe1〜e5が検知され、それぞれの検知時刻(例えば不正侵入パケットの到来時刻)がt0〜t4であったとする。図中の(b)は、このとき侵入行為パターン分析・作成部23により生成される侵入行為パターンの一例を示した図である。
【0062】
相対的な検知時刻△t1〜△t4は、一連の検知事象e1〜e5の時間間隔であり、本実施の形態では、最初の検知事象e1の検知時刻に対する各検知事象e2〜e5の相対的な検知時刻を△t1〜△t4としており、△tn=tn−t0(n=1〜4)と表される。
【0063】
図8は、侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。図8の(a)には、検知ログ情報の一例が示され、図8の(b)には、侵入行為パターンの一例が示されている。検知ログ情報と、侵入行為パターンとのマッチング処理は、実施の形態1と全く同様にして、検知事象の順列及び相対的な検知時刻の2要素に関して行われる。
【0064】
実施の形態3. 実施の形態1では、侵入行為パターンとの相関度を求める際、正規分布における分布確率を用いる場合の例について説明したが、本発明は、この様な場合に限定されない。例えば、正規分布に代えて、指数分布、γ分布、χ(カイ)2乗分布、β分布、F分布、t分布などを用いて侵入行為パターンとの相関度を求めることもできる。
【0065】
実施の形態4. 本実施の形態では、本発明の他の適用例について説明する。図9は、本発明の実施の形態4による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。このネットワークは、遠隔地に設置された3つのLAN40〜42をインターネット43又は専用線44により接続して構成される。ここでは、LAN40が本社、LAN41が支社A、LAN42が支社Bにそれぞれ設置されたネットワークであるものとする。
【0066】
各LAN40〜42は、それぞれがルータ50、ファイアウォール装置51、侵入検知装置(IDS)52及び複数の端末装置53により構成される。また、LAN40は、更にネットワーク統括管理装置54を備えている。各LAN40〜42は、ルータ50を介してインターネット43又は専用線44に接続されている。また、ルータ50及び各端末装置53の間にファイアウォール装置51を設置して、外部から各端末装置53への不正侵入を抑制している。
【0067】
侵入検知装置52は、図1におけるIDSエージェントが搭載された端末装置2,3に相当する装置である。侵入検知装置52は、各LAN40〜42内のファイアウォール装置51の外側の通信経路51Aにおいて、外部から内部への侵入を検知するとともに、ファイアウォール装置51の内側の通信経路51Bにおいて、内部から外部への出力を検知し、検知ログを生成している。この様にして各LAN40〜42の侵入検知装置52により生成された検知ログは、本社のLAN40内のネットワーク統括管理装置54へ送信される。
【0068】
また、ネットワーク統括管理装置54は、図1の不正アクセス検知ログ情報分析支援サーバ1に相当する装置である。ネットワーク統括管理装置54は、各侵入検知装置52から受信した検知ログ情報に基づいて、侵入行為パターンを生成するとともに、侵入行為パターンの評価を行っている。
【0069】
この場合、本社及び各支社ごとに1つの侵入検知装置52を設け、ファイアウォール装置51の前後で不正アクセスを検知するとともに、これらの検知ログを分析するネットワーク統括管理装置54が本社にのみ設けられている。このため、少ない侵入検知装置52及び不正アクセス検知ログ情報分析支援サーバを用いて効率的に侵入検知と、検知ログ情報の分析支援を行うことができる。
【0070】
図10は、ネットワーク統括管理装置54における表示の一例を示した図である。侵入検知の通知を行った侵入検知装置52の所在地が、ネットワーク統括管理装置54の画面上に表示される。ここでは、LAN41(支社A)において侵入検知された場合の例が示されている。この様な位置情報は、図2のネットワーク構成情報DB(32)に格納されている。
【0071】
【発明の効果】本発明によれば、収集した検知ログ情報から侵入行為パターンを抽出して蓄積するとともに、侵入行為パターンを評価し、その評価結果を蓄積することができるため、運用者のノウハウを蓄積することができる。
【図面の簡単な説明】
【図1】本発明の実施の形態1による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。
【図2】図1のコンピュータネットワークの要部について詳細な構成例を示したブロック図である。
【図3】侵入行為パターンについての説明図である。
【図4】侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。
【図5】相互相関を求める方法の一例が示された図である。
【図6】評価用パラメータの一例の概要を示した図である。
【図7】本発明の実施の形態2における侵入行為パターンについての説明図である。
【図8】侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。
【図9】本発明の実施の形態4による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。
【図10】ネットワーク統括管理装置における表示の一例を示した図である。
【符号の説明】
1 不正アクセス検知ログ情報分析支援サーバ、
10 侵入検知部(ホスト型)、11 侵入検知部(ネットワーク型)、
12 IDSマネージャ部、21 検知ログ情報変換部、
22 検知ログ情報分析支援統制管理部、
23 侵入行為パターン分析・作成部、
24 侵入行為パターン表示・編集部、25 侵入行為パターン評価部、
26 侵入行為パターン評価結果表示部、
30 検知ログ情報分析支援データベース部、31 検知ログ情報DB、
32 ネットワーク構成情報DB、33 侵入行為パターンDB、
34 パターン評価用パラメータDB、
35 侵入行為パターン評価結果DB[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an unauthorized access detection log information analysis support device, an unauthorized access detection log information analysis support method, and a computer program, and more particularly, to a detection log output from an intrusion detection device that detects an unauthorized intruder on a computer network. And an analysis support device that collects and analyzes data.
[0002]
[Prior art]
Intrusion detection devices that detect unauthorized access have been widely used as one of the means to protect information terminals from the threat of intruders called hackers who attempt to infiltrate information terminals such as personal computers. This type of device is called an IDS (Intrusion Detection System).
[0003]
For example, in an intrusion detection device disclosed in Patent Document 1, a packet acquisition / selection unit acquires and selects a predetermined packet flowing through a specific computer network, and a user data creation unit uses a packet based on information obtained from the packet. Then, feature data in which the personal features of the user who transmitted the packet are quantified is created as user data.
[0004]
In addition, characteristic data in which the personal characteristics of the authorized user in the specific computer network are quantified is created based on information obtained from a packet transmitted by the authorized user in the past, and is stored as audit data in the audit data storage unit. The recorded user determination means compares the user data with the audit data recorded in the audit data storage unit, and determines whether the user corresponding to the user data is an authorized user in the specific computer network. ing.
[0005]
That is, the intrusion detection device detects unauthorized access by an unauthorized intruder using user data obtained by quantifying the personal characteristics of the packet sender and audit data obtained by quantifying the personal characteristics of the authorized user. It is. In this case, it is necessary for the operator to determine how to digitize the personal characteristics of the user and how to compare the user data with the audit data.
[0006]
[Patent Document 1]
JP 2001-202333 A
[0007]
[Problems to be solved by the invention]
In general, in the intrusion detection device, if excessive information is extracted, erroneous detection is included (False Positive), but if too small information is extracted, detection failure occurs (False Negative). For this reason, what to extract as the detection information depends on the operator's own judgment, and there is an operational problem that erroneous detection and omission of detection are increased by the operator.
[0008]
For example, when a matching process is performed on a network packet or a system log, etc. using a character string pattern defined as an unauthorized intrusion act to detect unauthorized access and output an alarm, one or more intrusion acts Since a large amount of detection logs can be obtained, a situation analysis is required. However, since the analysis process is largely dependent on the experience of the operator, it is difficult for some operators to grasp the essential situation, so that there is a problem that a false alarm due to false detection is likely to be output.
[0009]
In addition, since each operator independently analyzes the detection log output by the intrusion detection device, the analysis method is difficult to be inherited, and further depends on the experience and ability of each operator, and the know-how is There was a problem that accumulation was difficult. As a result, there is a problem that the situation analysis differs depending on the operator, and erroneous detection is likely to occur.
[0010]
For example, an intruder not only attacks directly from his / her terminal, but is often performed via several platform terminals. In some cases, the intrusion with an attack tool or the like has been automated, but the relationship between the detected events has not been specified. For this reason, it is necessary to have a high level of analytical ability to judge where the terminal that is being used as a platform is and how far the intrusion and attack are progressing, but this judgment depends on the experience of the operator. And the know-how is difficult to accumulate.
[0011]
The present invention has been made in view of the above circumstances, and has as its object to provide an unauthorized access detection log information analysis support device capable of accumulating know-how of an operator. It is another object of the present invention to provide an unauthorized access detection log information analysis support method and a computer program applicable to such an analysis support device.
[0012]
An unauthorized access detection log information analysis support device according to the present invention collects detection log information including a plurality of unauthorized access detection information output from an intrusion detection device, and collects the collected detection log information. An IDS manager unit that converts the format of the log, a detection log information database that stores the detection log information that has been converted, and a detection event that is characteristic of unauthorized access detection information is extracted from the detection log information that is stored in the detection log information database. The intrusion act pattern creation unit that generates the intrusion act pattern, the intrusion act pattern database that stores the intrusion act pattern generated by the intrusion act pattern creation unit, and a pattern evaluation parameter for evaluating the intrusion act pattern are stored. Pattern evaluation parameter database and detection log information A correlation measure for the intrusion behavior evaluation pattern of the detection log information stored in the database, and an intrusion behavior pattern evaluation unit for evaluating the intrusion behavior pattern based on the correlation degree and the parameter for pattern evaluation; And an intrusion act pattern evaluation result database that accumulates evaluation results.
[0013]
Further, the unauthorized access detection log information analysis support method according to the present invention collects detection log information including a plurality of unauthorized access detection information output from the intrusion detection device, and performs format conversion of the collected detection log information. Storing the format-converted detection log information in the detection log information database, and extracting intrusion behavior patterns by extracting detection events characteristic of unauthorized access detection information from the detection log information stored in the detection log information database Then, an intrusion act pattern creating step to be accumulated in the intrusion act pattern database, and a correlation degree of the detection log information accumulated in the detection log information database with respect to the intrusion act evaluation pattern is obtained, based on the correlation degree and the parameter for pattern evaluation, Intrusion act pattern evaluations that evaluate intrusion act patterns Comprising a-up, a step of storing the result of evaluation by the intrusion pattern evaluation unit to intrusion pattern evaluation result database.
[0014]
Also, the computer program according to the present invention collects detection log information including a plurality of unauthorized access detection information output from the intrusion detection device, and performs format conversion of the collected detection log information. Accumulating log information in a detection log information database; extracting detection events characteristic of unauthorized access detection information from the detection log information stored in the detection log information database to generate an intrusion act pattern; A step of creating an intrusion act pattern to be stored in the database, and calculating a correlation between the detection log information stored in the detection log information database and the intrusion act evaluation pattern, and evaluating the intrusion act pattern based on the correlation and the pattern evaluation parameter. Intrusion act pattern evaluation step and intrusion Configured to perform the step of storing the result of evaluation by the pattern evaluation unit to intrusion pattern evaluation result database for.
[0015]
With such a configuration, it is possible to extract and accumulate the intrusion act pattern from the collected detection log information, evaluate the intrusion act pattern, and accumulate the evaluation result.
[0016]
BEST MODE FOR CARRYING OUT THE INVENTION
Embodiment 1 FIG.
FIG. 1 is a block diagram showing a configuration example of a computer network to which an unauthorized access detection log information analysis support device according to a first embodiment of the present invention is applied. The computer network includes a LAN (Local Area Network) 5 connected to an external network 6 such as the Internet.
[0017]
The LAN 5 is composed of two systems of networks 5 a and 5 b including an unauthorized access detection log information analysis support server 1, a plurality of terminal devices 2 and 3, and a hub (HUB) 4. The terminal device 2 (terminal A in the figure) is a terminal device such as a server on which a host type IDS agent is mounted, and the terminal device 3 (terminal B in the diagram) is a network type IDS agent and IDS manager. It is a terminal device such as a mounted server.
[0018]
The host-type IDS agent is software that performs intrusion detection based on event data such as an OS (Operating System) of a terminal device and a system log output from application software. The network type IDS agent is software that performs intrusion detection based on packet data on the network.
[0019]
That is, the terminal devices 2 and 3 equipped with the IDS agent are intrusion detection devices (IDS sensors) that detect unauthorized access and output a detection log. The IDS manager is software for collecting detection logs output from each IDS agent, and may be mounted on a terminal different from the IDS agent.
[0020]
The hub 4 is a line concentrator for connecting the terminal devices 2 and 3. A plurality of hubs 4 are connected in cascade, and the terminal devices 2 and 3 can be connected to each hub 4.
Each of the terminal devices 2 and 3 is connected to a LAN 5a (a network indicated by a solid line) via a hub 4, and further connected to an external network 6 via the LAN 5a.
[0021]
Further, each of the terminal devices 2 and 3 is independent of the LAN 5a and is also connected to a LAN 5b (a network shown by a broken line) which is not connected to the external network 6. This LAN 5b is an IDS dedicated line to which the unauthorized access detection log information analysis support server 1 is connected. The unauthorized access detection log information analysis support server 1 analyzes and evaluates the detection log generated by each IDS agent and collected by the IDS manager, and accumulates information.
[0022]
Here, an example in which the unauthorized access terminal device 7 connected to the Internet 6 attacks the terminal devices 2 and 3 will be described. However, the present invention is also applicable to a case where the unauthorized access terminal device 7 is connected to the LAN 5a. Can be applied.
[0023]
FIG. 2 is a block diagram showing a detailed configuration example of a main part of the computer network of FIG. The IDS agent unit 10 is a host-type IDS agent mounted on the terminal device 2. Each IDS agent unit 10 performs pattern matching on the event data using a database called a signature, detects unauthorized access, and generates detection log data.
[0024]
The IDS agent unit 11 is a network type IDS agent mounted on the terminal device 3. Each IDS agent unit 11 performs the same pattern matching as that of the IDS agent unit 10 on packet data on the network, detects unauthorized access, and generates detection log data.
[0025]
The IDS manager unit 12 is mounted on the terminal device 3 and collects detection logs. The IDS manager unit 12 includes a detection log storage unit 20 and a detection log information conversion unit 21. Detection logs obtained by pattern matching in the IDS agents 10 and 11 in the terminal devices 2 and 3 are sent to the IDS manager unit 12 via the IDS dedicated line 5b.
[0026]
The detection logs generated by the IDS agent units 10 and 11 include a detection time, a detection event (event) name, a detection event (event) number, a source IP address, a destination IP address, a source port number, and a destination port number. , Detection sensor name, and the like.
[0027]
These detection logs are temporarily stored in the detection log storage unit 20, and the format conversion is performed by the detection log information conversion unit 21. The format of the detection log output by a commercially available IDS agent differs for each product. For example, a detection log managed by a detection event name is output, or a detection log managed by a detection event number is output. The detection log information conversion unit 21 converts the detection logs having these various formats into a unified format that can be analyzed and processed by the unauthorized access detection log information analysis support server 1.
[0028]
The unauthorized access detection log information analysis support server 1 includes a detection log information analysis support database 30, a detection log information analysis support control management unit 22, an intrusion activity pattern analysis / creation unit 23, an intrusion activity pattern display / edit unit 24, an intrusion activity pattern It comprises an evaluation unit 25 and an intrusion act pattern evaluation result display unit 26.
[0029]
Each of the blocks 22 to 26 other than the detection log information analysis support database 30 is realized as a computer program that can be executed in the unauthorized access detection log information analysis support server 1, and these programs include an optical storage medium such as a CD-ROM, It can be provided by being stored in a magnetic storage medium such as a tape, a semiconductor memory, or another computer-readable storage medium.
[0030]
The detection log information analysis support database 30 includes a detection log information DB (database) 31, a network configuration information DB (32), an intrusion act pattern DB (33), a pattern evaluation parameter DB (34), and an intrusion act pattern evaluation result. It is composed of a DB (35).
[0031]
The detection log information DB (31) is a database that stores the detection logs generated by the IDS agent units 10 and 11 and converted in format by the IDS manager unit 12.
[0032]
The network configuration information DB (32) is a database that stores and holds, as network configuration information, various pieces of information related to the network configuration given in advance, for example, host names, IP addresses, and the like. These network configuration information are used to identify a place where an unauthorized access has been made when evaluating the extracted intrusion act pattern.
[0033]
The intrusion act pattern DB (33) is a database that accumulates intrusion act patterns extracted by the intrusion act pattern analysis / creation unit 23 based on the detection log of the detection log information DB (31).
[0034]
The pattern evaluation parameter DB (34) is a database that stores and holds evaluation parameters. These evaluation parameters are parameters for an evaluation process required when the intrusion act pattern evaluation unit 25 evaluates the intrusion act pattern. The intrusion act pattern evaluation result DB (35) is a database in which the intrusion act pattern evaluation unit 25 stores the intrusion act pattern evaluation results.
[0035]
The detection log information analysis support control management unit 22 includes an intrusion act pattern analysis and creation unit 23, an intrusion act pattern display and editing unit 24, an intrusion act pattern evaluation unit 25, an intrusion act pattern evaluation result display unit 26, and an IDS manager. The detection log information conversion unit 21 of the unit 12 is controlled.
[0036]
The intrusion act pattern analysis / creation unit 23 analyzes the detection log information, extracts a characteristic detection event for the intrusion act, generates an intrusion act pattern for the extracted detection event group, and generates an intrusion act pattern DB ( 33). This intrusion act pattern is constituted by the types, order, and relative detection times of the detection events collected by the IDS agent.
[0037]
The detection log information in which the intrusion act pattern is generated may be detection log information generated by the host type IDS agent unit 10 or detection log information generated by the network type IDS agent unit 11. Is also good. Also, the detection log information generated by the host type and network type IDS agent units 10 and 11 can be used in combination.
[0038]
Regarding the detection time, statistical information processing is performed in consideration of an error, and an intrusion act pattern including statistical information such as an average and a standard deviation (variance) is generated. That is, as a result of classifying the detection log information, arranging them in a time series, and performing a statistical analysis, a group of detection events considered to be a characteristic of unauthorized access is extracted, and an intrusion act pattern is generated. The above-described statistical processing can be realized by a commercially available tool.
[0039]
In general, unauthorized access is rarely performed in a single shot, and is often performed by repeatedly changing parameters, or in a complex manner. Therefore, unauthorized access is often performed a plurality of times. In such a case, the IDS agent detects a plurality of event information. However, the detection information of the IDS agent includes event information other than the erroneously detected unauthorized access. Therefore, when an unauthorized access occurs, it is necessary to examine what kind of event occurs and in what order. This makes it possible to recognize unauthorized access.
[0040]
FIG. 3 is an explanatory diagram of an intrusion act pattern. (A) in the figure is a diagram showing an example of the detection log information. It is assumed that the IDS agent units 10 and 11 detect events e1 to e5 as detection events, and that respective detection times (for example, arrival times of unauthorized intrusion packets) are t0 to t4. (B) in the figure is a diagram showing an example of the intrusion act pattern generated by the intrusion act pattern analysis / creation unit 23 at this time.
[0041]
The intrusion act pattern includes relative detection times Δt1 to Δt4 and types and orders of events e1 to e5. The relative detection times Δt1 to Δt4 are time intervals of a series of detection events e1 to e5, and are given as relative detection times with respect to the detection time of the immediately preceding detection event. That is, the detection times of the respective detection events e2 to e5 are set to △ t1 to △ t4, and are expressed as △ tn = tn−t (n−1) (n = 1 to 4).
[0042]
It is assumed that events having the same arrival time can be extracted (selected) as an intrusion act pattern. In addition, a unit for extracting an intrusion act pattern is defined as a unit, and a plurality of units of the intrusion act pattern having the same permutation can be accumulated, and statistical information processing (for example, average) is performed.
[0043]
The intrusion act pattern display / edit unit 24 displays the intrusion act pattern in the intrusion act pattern DB (33) on a display device (not shown). For example, the detection information is displayed in chronological order, and the search can be performed by an arbitrary section, an IP address, a port number, and a type. Further, a frequency display for each type of IP address, a frequency display for each piece of detection information, a time-series display for enabling intrusion act pattern comparison, and the like are performed.
[0044]
In addition, the intrusion act pattern is edited in the intrusion act pattern DB (33), for example, the intrusion act pattern is corrected or merged (combined), and written in the intrusion act pattern DB (33) again. Therefore, the operator (operator) can refer to and edit the intrusion act patterns stored in the intrusion act pattern DB (33).
[0045]
The intrusion act pattern evaluation unit 25 performs a matching process on the detection events (events) stored in the detection log information DB (31) with the intrusion act pattern in the intrusion act pattern DB (33), and performs each intrusion act pattern. Is being evaluated. This intrusion act pattern evaluation is performed by using the evaluation parameters in the pattern evaluation parameter DB (34) to evaluate the degree of correlation between the two determined by the matching process. The evaluation result is stored in the intrusion act pattern evaluation result DB (35).
[0046]
4 and 5 are explanatory diagrams showing the concept of the evaluation process in the intrusion act pattern evaluation unit 25. FIG. 4A shows an example of the detection log information, and FIG. 4B shows an example of the intrusion act pattern. The matching processing between the detection log information and the intrusion act pattern is performed with respect to two elements of a permutation of detection events and a relative detection time. That is, the cross-correlation is obtained for the permutation and the relative time for each detection event, and the degree of correlation with the intrusion act pattern is obtained based on each obtained degree of correlation.
[0047]
The relative detection times of the detection events e1 to e5 detected by the IDS agent units 10 and 11 and stored in the detection log information DB (31) are denoted by △ t1 'to △ t4 ′. For these detection times △ t1 'to △ t4 ’, a cross-correlation with the average value of relative detection times △ t1 to △ t4 in the intrusion act pattern is obtained.
[0048]
FIG. 5 is a diagram illustrating an example of a method for obtaining a cross-correlation. The correlation between the detection event corresponding to the intrusion act pattern and the detection log is obtained as a numerical value obtained by converting the difference between the relative detection times of the two into a probability in a predetermined distribution function. FIG. 5 shows an example of the distribution probability Pn (x) in the normal distribution of the median Δtn and the standard deviation σ. The median Δtn (n = 1 to 4) and the standard deviation σ of the distribution are given as an intrusion act pattern.
[0049]
Assuming that the detection time (average value) in the intrusion act pattern is △ tn and the detection time in the detection log is △ tn 'for the corresponding detection event, the probability based on the detection time shift △ tn- △ tn' is Pn (△ tn ').
[0050]
A cross-correlation is determined for each of a series of detection events e1 to e5, and a degree of correlation with the intrusion act pattern is determined based on these correlation values. For example, as shown in the following equation, the correlation with the intrusion act pattern is obtained as the average value of the correlation Pi (△ ti) for each of the N detection events.
(Equation 1)
Figure 2004220373
[0051]
FIG. 6 is a diagram showing an outline of an example of the evaluation parameters. The degree of correlation with the intrusion act parameter is obtained using the evaluation parameter, and the degree of correlation is evaluated. This evaluation result is stored in the intrusion act pattern evaluation result DB (35) as an intrusion act pattern evaluation result.
[0052]
The evaluation parameter includes an evaluation target range, an IP same mode, and an evaluation reference value. The evaluation target range is a reference range for determining a correlation process target from each average time (average value of relative detection times) for each detection event, and has a standard deviation as a unit. If the value falls below this value, it is determined that there is no correlation that can be concluded with the intrusion act pattern. That is, it indicates the maximum value of the relative detection times {t0 ′ to Δt4 ′ of the detection events e1 to e5 detected by the IDS agent units 10 and 11 and stored in the detection log information DB (31).
[0053]
The same IP mode is a mode in which only the same target IP is subjected to the evaluation processing. When the same IP mode is specified, the correlation processing is not performed even for the event to be correlated even if the target IP is different. That is, the condition that the transmission source (target) IP of the detection log information is the same for P1 to Pn is added.
[0054]
The evaluation criterion value is a criterion value for the significance determination in the evaluation processing. If the value falls below this value, it is determined that there is no evaluation enough to conclude that the pattern is an intrusion act pattern. That is, the reference value of the significance determination for the intrusion act pattern of the correlation degree (matching rate, final probability value) obtained by the above equation (1) is shown.
[0055]
The intrusion act pattern evaluation result display unit 26 displays the intrusion act pattern evaluation result of the intrusion act pattern evaluation result DB (35) on a display device (not shown). Thus, the operator (operator) can verify each intrusion act pattern by referring to the intrusion act pattern evaluation results accumulated in the intrusion act pattern evaluation result DB (35). In this case, if necessary, the network configuration information DB (32) may be referred to and the location where the intrusion act is detected may be displayed together with the intrusion act pattern evaluation result.
[0056]
In this way, the intrusion act pattern is accumulated in the intrusion act pattern DB (33) and the intrusion act pattern evaluation result is accumulated in the intrusion act pattern evaluation result DB (35). The intruder pattern can be verified, and the intruder pattern can be edited as needed.
[0057]
For this reason, the intrusion act pattern can be improved, and the know-how of the operator can be accumulated. In other words, statistical information processing of the detection log consisting of a large number of detection information is also possible with commercially available tools, but here, the results are evaluated and managed as intrusion act patterns, so they should be accumulated as know-how. Can be.
[0058]
In addition, the terminal devices 2 and 3, which are used as a step platform, can be detected by creating an intrusion act pattern for a series of unauthorized access including the step platform.
[0059]
The unauthorized access detection log information analysis support server according to the present embodiment generates and evaluates an intrusion act pattern based on the detection log output from each IDS agent. Therefore, it can be operated regardless of online or offline. That is, in the offline mode, the intrusion act pattern is evaluated with respect to the detection log information collected in advance, and in the online mode, the intrusion act pattern is evaluated with respect to the detection log information being collected.
[0060]
Embodiment 2 FIG. In the first embodiment, an example has been described in which the detection time relative to the immediately preceding detection event is used as the detection time of each detection event of the intrusion act pattern. On the other hand, in the second embodiment, a case will be described in which a detection time relative to the detection time of the first detection event forming the intrusion act pattern is used.
[0061]
FIG. 7 is an explanatory diagram of an intrusion act pattern according to Embodiment 2 of the present invention. (A) in the figure shows an example of the detection log information. It is assumed that the IDS agent units 10 and 11 detect events e1 to e5 as detection events, and that respective detection times (for example, arrival times of unauthorized intrusion packets) are t0 to t4. (B) in the figure is a diagram showing an example of the intrusion act pattern generated by the intrusion act pattern analysis / creation unit 23 at this time.
[0062]
The relative detection times △ t1 to △ t4 are time intervals of a series of detection events e1 to e5, and in the present embodiment, relative detection times e2 to e5 with respect to the detection time of the first detection event e1. The detection times are △ t1 to △ t4, and are represented as △ tn = tn-t0 (n = 1 to 4).
[0063]
FIG. 8 is an explanatory diagram showing the concept of the evaluation process in the intrusion act pattern evaluation unit 25. FIG. 8A shows an example of the detection log information, and FIG. 8B shows an example of the intrusion act pattern. The matching processing between the detection log information and the intrusion act pattern is performed for two elements of the permutation of detection events and the relative detection time in exactly the same manner as in the first embodiment.
[0064]
Embodiment 3 FIG. In the first embodiment, an example in which a distribution probability in a normal distribution is used when obtaining a degree of correlation with an intrusion act pattern has been described. However, the present invention is not limited to such a case. For example, the correlation with the intrusion act pattern can be obtained using an exponential distribution, a γ distribution, a χ (chi) square distribution, a β distribution, an F distribution, a t distribution, or the like instead of the normal distribution.
[0065]
Embodiment 4 FIG. In this embodiment, another application example of the present invention will be described. FIG. 9 is a block diagram showing a configuration example of a computer network to which the unauthorized access detection log information analysis support device according to the fourth embodiment of the present invention is applied. This network is configured by connecting three LANs 40 to 42 installed at remote locations via the Internet 43 or a dedicated line 44. Here, it is assumed that the LAN 40 is a network installed at the head office, the LAN 41 is a network installed at the branch office A, and the LAN 42 is a network installed at the branch office B.
[0066]
Each of the LANs 40 to 42 includes a router 50, a firewall device 51, an intrusion detection device (IDS) 52, and a plurality of terminal devices 53. The LAN 40 further includes a network general management device 54. Each of the LANs 40 to 42 is connected to the Internet 43 or a dedicated line 44 via a router 50. In addition, a firewall device 51 is installed between the router 50 and each terminal device 53 to suppress unauthorized intrusion into each terminal device 53 from outside.
[0067]
The intrusion detection device 52 is a device corresponding to the terminal devices 2 and 3 equipped with the IDS agent in FIG. The intrusion detection device 52 detects intrusion from the outside to the inside on the communication path 51A outside the firewall device 51 in each of the LANs 40 to 42, and detects communication from the inside to the outside on the communication path 51B inside the firewall device 51. Output is detected and a detection log is generated. The detection log generated by the intrusion detection device 52 of each of the LANs 40 to 42 in this way is transmitted to the network general management device 54 in the LAN 40 of the head office.
[0068]
Further, the network integrated management device 54 is a device corresponding to the unauthorized access detection log information analysis support server 1 of FIG. The network overall management device 54 generates an intrusion act pattern based on the detection log information received from each intrusion detection device 52 and evaluates the intrusion act pattern.
[0069]
In this case, one intrusion detection device 52 is provided for each head office and each branch office, and a network general management device 54 that detects unauthorized access before and after the firewall device 51 and analyzes these detection logs is provided only at the head office. I have. For this reason, the intrusion detection and the analysis support of the detection log information can be efficiently performed using the intrusion detection device 52 and the unauthorized access detection log information analysis support server with a small number.
[0070]
FIG. 10 is a diagram showing an example of a display on the network management device 54. The location of the intrusion detection device 52 that has notified the intrusion detection is displayed on the screen of the network management device 54. Here, an example in which an intrusion is detected in the LAN 41 (branch A) is shown. Such position information is stored in the network configuration information DB (32) of FIG.
[0071]
According to the present invention, intrusion act patterns can be extracted and collected from the collected detection log information, and the intrusion act patterns can be evaluated and the evaluation results can be accumulated. Can be accumulated.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration example of a computer network to which an unauthorized access detection log information analysis support device according to a first embodiment of the present invention is applied.
FIG. 2 is a block diagram showing a detailed configuration example of a main part of the computer network of FIG. 1;
FIG. 3 is an explanatory diagram of an intrusion act pattern.
FIG. 4 is an explanatory diagram showing a concept of an evaluation process in an intrusion act pattern evaluation unit 25;
FIG. 5 is a diagram illustrating an example of a method for obtaining a cross-correlation.
FIG. 6 is a diagram showing an outline of an example of an evaluation parameter.
FIG. 7 is an explanatory diagram of an intrusion act pattern according to Embodiment 2 of the present invention.
FIG. 8 is an explanatory diagram showing the concept of the evaluation process in the intrusion act pattern evaluation unit 25.
FIG. 9 is a block diagram showing a configuration example of a computer network to which an unauthorized access detection log information analysis support device according to a fourth embodiment of the present invention is applied.
FIG. 10 is a diagram showing an example of a display on the network supervisory device.
[Explanation of symbols]
1 unauthorized access detection log information analysis support server,
10 intrusion detection unit (host type), 11 intrusion detection unit (network type),
12 IDS manager unit, 21 detection log information conversion unit,
22 Detection Log Information Analysis Support Control Management Department,
23 Intrusion act pattern analysis and creation department,
24 Intrusion act pattern display / editing unit, 25 Intrusion act pattern evaluation unit,
26 Intrusion act pattern evaluation result display section,
30 detection log information analysis support database unit, 31 detection log information DB,
32 network configuration information DB, 33 intrusion act pattern DB,
34 parameter DB for pattern evaluation,
35 Intrusion act pattern evaluation result DB

Claims (9)

侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うIDSマネージャ部と、
フォーマット変換された検知ログ情報を蓄積する検知ログ情報データベースと、
不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出し、侵入行為パターンを生成する侵入行為パターン作成部と、
侵入行為パターン作成部により生成された侵入行為パターンを蓄積する侵入行為パターンデータベースと、
侵入行為パターンを評価するためのパターン評価用パラメータを格納するパターン評価用パラメータデータベースと、
検知ログ情報データベースに蓄積された検知ログ情報の侵入行為パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価部と、
侵入行為パターン評価部による評価結果を蓄積する侵入行為パターン評価結果データベースとを備えたことを特徴とする不正アクセス検知ログ情報分析支援装置。An IDS manager unit that collects detection log information including a plurality of unauthorized access detection information output from the intrusion detection device, and converts the format of the collected detection log information;
A detection log information database that stores detection log information that has been converted in format,
An intrusion act pattern creating unit that extracts a detection event characteristic of the unauthorized access detection information from the detection log information stored in the detection log information database and generates an intrusion act pattern;
An intrusion act pattern database that accumulates intrusion act patterns generated by the intrusion act pattern creation unit,
A pattern evaluation parameter database storing pattern evaluation parameters for evaluating an intrusion act pattern,
An intrusion act pattern evaluation unit that calculates a degree of correlation with the intrusion act pattern of the detection log information stored in the detection log information database, and evaluates the intrusion act pattern based on the correlation degree and the parameter for pattern evaluation;
An unauthorized access detection log information analysis support device, comprising: an intrusion act pattern evaluation result database that accumulates evaluation results by an intrusion act pattern evaluation unit. 上記侵入行為パターンが、複数の不正アクセス検知情報の順序及び相対的検知時刻からなることを特徴とする請求項1に記載の不正アクセス検知ログ情報分析支援装置。2. The unauthorized access detection log information analysis support device according to claim 1, wherein the intrusion act pattern comprises an order of a plurality of unauthorized access detection information and a relative detection time. 上記相対的検知時刻は、侵入行為パターンを構成する各検知事象の検知時刻について、直前に検知された検知事象の検知時刻に対する時間間隔として求められることを特徴とする請求項2に記載の不正アクセス検知ログ情報分析支援装置。The unauthorized access according to claim 2, wherein the relative detection time is obtained as a time interval with respect to the detection time of each detection event constituting the intrusion act pattern with respect to the detection time of the detection event detected immediately before. Detection log information analysis support device. 上記相対的検知時刻は、侵入行為パターンを構成する各検知事象の検知時刻について、最初の検知事象の検知時刻に対する時間間隔として求められることを特徴とする請求項2に記載の不正アクセス検知ログ情報分析支援装置。3. The unauthorized access detection log information according to claim 2, wherein the relative detection time is obtained as a time interval with respect to the detection time of the first detection event for each detection event constituting the intrusion act pattern. Analysis support device. 上記侵入行為パターン評価部は、検知ログ情報及び侵入行為評価パターンにおける相対的検知時刻のずれを所定の分布関数における分布確率に変換した相関度を求めることを特徴とする請求項4に記載の不正アクセス検知ログ情報分析支援装置。The fraudulent activity according to claim 4, wherein the intrusion activity pattern evaluation unit obtains a correlation degree obtained by converting a relative detection time difference between the detection log information and the intrusion activity evaluation pattern into a distribution probability in a predetermined distribution function. Access detection log information analysis support device. 上記IDSマネージャ部が、2以上の侵入検知装置から出力される検知ログ情報を収集することを特徴とする請求項1に記載の不正アクセス検知ログ情報分析支援装置。The unauthorized access detection log information analysis support device according to claim 1, wherein the IDS manager unit collects detection log information output from two or more intrusion detection devices. 上記IDSマネージャ部が、ホスト型侵入検知装置及びネットワーク型侵入検知装置から出力される検知ログ情報を収集することを特徴とする請求項6に記載の不正アクセス検知ログ情報分析支援装置。The unauthorized access detection log information analysis support device according to claim 6, wherein the IDS manager unit collects detection log information output from the host-type intrusion detection device and the network-type intrusion detection device. 侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うステップと、
フォーマット変換された検知ログ情報を検知ログ情報データベースに蓄積するステップと、
不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出して侵入行為パターンを生成し、侵入行為パターンデータベースに蓄積する侵入行為パターン作成ステップと、
検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価ステップと、
侵入行為パターン評価部による評価結果を侵入行為パターン評価結果データベースに蓄積するステップとを備えたことを特徴とする不正アクセス検知ログ情報分析支援方法。Collecting detection log information including a plurality of unauthorized access detection information output from the intrusion detection device, and converting the format of the collected detection log information;
Accumulating the format-converted detection log information in a detection log information database;
An intrusion act pattern creation step of extracting a detection event characteristic of the unauthorized access detection information from the detection log information accumulated in the detection log information database to generate an intrusion act pattern, and accumulating the intrusion act pattern database;
An intrusion act pattern evaluation step of obtaining a correlation degree with respect to the intrusion act evaluation pattern of the detection log information accumulated in the detection log information database, and evaluating the intrusion act pattern based on the correlation degree and the pattern evaluation parameter;
Storing an evaluation result by an intrusion act pattern evaluation unit in an intrusion act pattern evaluation result database. 侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うステップと、
フォーマット変換された検知ログ情報を検知ログ情報データベースに蓄積するステップと、
不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出して侵入行為パターンを生成し、侵入行為パターンデータベースに蓄積する侵入行為パターン作成ステップと、
検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価ステップと、
侵入行為パターン評価部による評価結果を侵入行為パターン評価結果データベースに蓄積するステップとを実行することを特徴とするコンピュータプログラム。Collecting detection log information including a plurality of unauthorized access detection information output from the intrusion detection device, and converting the format of the collected detection log information;
Accumulating the format-converted detection log information in a detection log information database;
An intrusion act pattern creation step of extracting a detection event characteristic of the unauthorized access detection information from the detection log information accumulated in the detection log information database to generate an intrusion act pattern, and accumulating the intrusion act pattern database;
An intrusion act pattern evaluation step of obtaining a correlation degree with respect to the intrusion act evaluation pattern of the detection log information accumulated in the detection log information database, and evaluating the intrusion act pattern based on the correlation degree and the pattern evaluation parameter;
Accumulating the evaluation result by the intrusion act pattern evaluation unit in the intrusion act pattern evaluation result database.
JP2003007551A 2003-01-15 2003-01-15 Unauthorized access detection log information analysis support system, unauthorized access detection log information analysis support method, and computer program thereof Pending JP2004220373A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003007551A JP2004220373A (en) 2003-01-15 2003-01-15 Unauthorized access detection log information analysis support system, unauthorized access detection log information analysis support method, and computer program thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003007551A JP2004220373A (en) 2003-01-15 2003-01-15 Unauthorized access detection log information analysis support system, unauthorized access detection log information analysis support method, and computer program thereof

Publications (1)

Publication Number Publication Date
JP2004220373A true JP2004220373A (en) 2004-08-05

Family

ID=32897616

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003007551A Pending JP2004220373A (en) 2003-01-15 2003-01-15 Unauthorized access detection log information analysis support system, unauthorized access detection log information analysis support method, and computer program thereof

Country Status (1)

Country Link
JP (1) JP2004220373A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236862A (en) * 2004-02-23 2005-09-02 Kddi Corp Log analyzing device and program, and recording medium
EP2950228A1 (en) 2014-05-28 2015-12-02 Fujitsu Limited Authentication information theft detection method, authentication information theft detection device, and program for the same
KR101767454B1 (en) * 2015-11-12 2017-08-14 주식회사 엔젠소프트 Method and apparatus of fraud detection for analyzing behavior pattern
US9819691B2 (en) 2014-12-26 2017-11-14 Fujitsu Limited Network monitoring system and method

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236862A (en) * 2004-02-23 2005-09-02 Kddi Corp Log analyzing device and program, and recording medium
EP2950228A1 (en) 2014-05-28 2015-12-02 Fujitsu Limited Authentication information theft detection method, authentication information theft detection device, and program for the same
US9819691B2 (en) 2014-12-26 2017-11-14 Fujitsu Limited Network monitoring system and method
KR101767454B1 (en) * 2015-11-12 2017-08-14 주식회사 엔젠소프트 Method and apparatus of fraud detection for analyzing behavior pattern

Similar Documents

Publication Publication Date Title
JP6703613B2 (en) Anomaly detection in data stream
JP5038888B2 (en) Pattern discovery method and system in network security system
KR101538709B1 (en) Anomaly detection system and method for industrial control network
JP6201614B2 (en) Log analysis apparatus, method and program
EP2517437B1 (en) Intrusion detection in communication networks
CN111935172B (en) Network abnormal behavior detection method based on network topology, computer device and computer readable storage medium
JP2018533897A5 (en)
US20060259968A1 (en) Log analysis system, method and apparatus
US20080141332A1 (en) System, method and program product for identifying network-attack profiles and blocking network intrusions
WO2003100619A1 (en) Unauthorized access detection apparatus, unauthorized access detection program, and unauthorized access detection method
CN112184091A (en) Industrial control system security threat assessment method, device and system
CN112671767A (en) Security event early warning method and device based on alarm data analysis
JP2019036865A (en) Communication analysis device, communication analysis program, and communication analysis method
JP2004186878A (en) Intrusion detecting apparatus and intrusion detecting program
CN113645215A (en) Method, device, equipment and storage medium for detecting abnormal network traffic data
CN117375985A (en) Method and device for determining security risk index, storage medium and electronic device
JP2004220373A (en) Unauthorized access detection log information analysis support system, unauthorized access detection log information analysis support method, and computer program thereof
EP2911362B1 (en) Method and system for detecting intrusion in networks and systems based on business-process specification
CN115801307A (en) Method and system for carrying out port scanning detection by using server log
JP6780326B2 (en) Information processing equipment and programs
CN111767571B (en) Detection method for medical data leakage
JP4487291B2 (en) Monitoring result recording system, common log generation device, and program
CN112511545A (en) Method for reporting security event in industrial audit system
JP2019175070A (en) Alert notification device and alert notification method
EP4332804A2 (en) System for automatically evaluating the quality of network traffic signatures

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050107

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070123

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070522