JP2004318759A - 攻撃情報管理装置、攻撃情報管理システム、攻撃情報管理方法、およびプログラム - Google Patents
攻撃情報管理装置、攻撃情報管理システム、攻撃情報管理方法、およびプログラム Download PDFInfo
- Publication number
- JP2004318759A JP2004318759A JP2003115381A JP2003115381A JP2004318759A JP 2004318759 A JP2004318759 A JP 2004318759A JP 2003115381 A JP2003115381 A JP 2003115381A JP 2003115381 A JP2003115381 A JP 2003115381A JP 2004318759 A JP2004318759 A JP 2004318759A
- Authority
- JP
- Japan
- Prior art keywords
- information
- attack
- sensor
- requester
- activity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
【課題】複数の運営者にわたるネットワーク攻撃についての広範な情報を収集して集中管理し、その情報を分析し、分析結果を情報要求者に提供する。
【解決手段】意図的にセキュリティホールを作りこんだ脆弱なサーバを有し、その脆弱なサーバに対する外部からの攻撃活動を検出する複数のセンサーと電気通信回線を介して接続された中央管理装置20であって、各センサーから攻撃活動に関する情報とセンサーの識別情報とを受信する攻撃情報受信部21と、それらの情報を対応付けて攻撃情報として記録する攻撃情報記録部22と、各センサーの種別又は設置地域を記憶するセンサーテーブル25と、攻撃情報をセンサーの種別又は設置地域毎に分類し出力する攻撃情報分析部24と、センサーの種別の変更を指示する設定変更指示部29と、情報要求者の宛先に警報を通知する警報通知部26と、警報を通知したことに対する課金情報を記録する課金情報記録部28とを備えた。
【選択図】 図6
【解決手段】意図的にセキュリティホールを作りこんだ脆弱なサーバを有し、その脆弱なサーバに対する外部からの攻撃活動を検出する複数のセンサーと電気通信回線を介して接続された中央管理装置20であって、各センサーから攻撃活動に関する情報とセンサーの識別情報とを受信する攻撃情報受信部21と、それらの情報を対応付けて攻撃情報として記録する攻撃情報記録部22と、各センサーの種別又は設置地域を記憶するセンサーテーブル25と、攻撃情報をセンサーの種別又は設置地域毎に分類し出力する攻撃情報分析部24と、センサーの種別の変更を指示する設定変更指示部29と、情報要求者の宛先に警報を通知する警報通知部26と、警報を通知したことに対する課金情報を記録する課金情報記録部28とを備えた。
【選択図】 図6
Description
【0001】
【発明の属する技術分野】
本発明は、意図的にセキュリティホールを作りこんであるサーバ(以下、「脆弱なサーバ」という)を有し、その脆弱なサーバに対する外部からの攻撃活動を検出する装置(以下、「センサー」という)をインターネット等の電気通信回線上の複数箇所に設置し、これら複数のセンサーから攻撃活動に関する情報(以下、「攻撃情報」という)を収集し管理する攻撃情報管理装置、攻撃情報管理システム、攻撃情報管理方法、およびプログラムに関する。
【0002】
【従来の技術】
近年、インターネットにおいては、ワームや不正アクセス等のネットワーク攻撃が社会問題化している。このようなネットワーク攻撃に対処するためには、その前兆活動や被害状況の正確な把握及び分析が必要不可欠である。
このうち、前兆活動の把握及び分析については、従来、不正な要求元にわざと侵入させ、侵入者には成功したと思わせておき、その間に不正に関する情報(アクセスの対象、侵入者のアドレス、手順等)を収集する方法が提案されていた(例えば、特許文献1参照。)。
また、被害状況の把握及び分析については、従来、監視対象ネットワークに対する不正侵入や攻撃をセンサー系により感知し、不正侵入や攻撃により停止したあるネットワーク要素を起点にネットワークサービス管理情報データベースを検索することにより被害評価を行う方法があった(例えば、特許文献2参照。)。
【0003】
【特許文献1】
特開2002−7234号公報(第8−9頁、図1)
【特許文献2】
特開2002−328893号公報(第3−5頁、図1)
【0004】
【発明が解決しようとする課題】
しかしながら、特許文献1、2記載の技術は、情報処理サーバ群、各種サービス提供サーバ群の運営者が独自にネットワーク攻撃の前兆活動や被害状況を採取するための機構を設置し、その機構が採取した情報に基づき運営者自身がネットワーク攻撃の状況の把握及び分析を行うものに過ぎなかった。昨今のネットワーク攻撃は、高度化、複雑化の一途をたどっており、このような昨今のネットワーク攻撃の実情に鑑みれば、このように各運営者が独自にネットワーク攻撃に対処する従来の方式では、自ずと限界がある。ネットワーク攻撃に対しては、複数の運営者にわたる広範な情報を収集し、専門的見地からその情報を分析することが有用であるが、特許文献1、2記載の技術のいずれも、このような広範な情報の収集、分析を可能とするものではなかった。
【0005】
本発明は、以上のような技術的課題を解決するためになされたものであって、その目的とするところは、インターネット等の電気通信回線を介したネットワーク攻撃の情報を複数の運営者から収集して集中管理し様々な側面から分析し、分析結果を要求する者に対し提供できるようにすることにある。
【0006】
【課題を解決するための手段】
かかる目的を達成するために、本発明は、中央管理装置(特許請求の範囲の「攻撃情報管理装置」に対応)が、複数のセンサーのそれぞれから、センサーの識別情報を含む攻撃情報を収集するようにしている。すなわち、本発明の攻撃情報管理装置は、意図的にセキュリティホールを作りこんだ脆弱なサーバを有しこの脆弱なサーバに対する外部からの攻撃活動を検出する複数のセンサーと電気通信回線を介して接続された攻撃情報管理装置であって、それら複数のセンサーのうち攻撃活動を検出したセンサーから、その攻撃活動に関する情報と、そのセンサーの識別情報とを受信する攻撃情報受信部と、この攻撃情報受信部が受信した攻撃活動に関する情報とセンサーの識別情報とを対応付けて攻撃情報として記録する攻撃情報記録部とを備えている。
【0007】
また、本発明は、複数のセンサーのそれぞれについて、センサーの種別、又は、センサーが設置された地域を記憶するセンサーテーブルと、攻撃情報記録部が記録した攻撃情報のうち所定の攻撃情報を、このセンサーテーブルに基づき、センサーの種別毎、又は、センサーの設置された地域毎に分類し出力する攻撃情報分析部とを更に備えるものであってもよい。さらに、複数のセンサーのうちのいずれかに対し、センサーの種別の設定の変更を指示するとともに、センサーテーブルに記憶されたそのセンサーの種別を同様に変更する設定変更指示部を更に備えるようにしてもよい。さらにまた、本発明は、攻撃情報記録部が記録した攻撃情報が所定の条件を満たした場合に、予め登録された情報要求者の宛先に警報を通知するための処理を行う警報通知部を備えるものであってもよい。また、警報を通知したことに対する対価を得るための課金情報として、センサーを設置している情報要求者とセンサーを設置していない情報要求者とで異なる料金を記録する課金情報記録部を更に備えてもよい。
【0008】
さらに、本発明は、意図的にセキュリティホールを作りこんだ脆弱なサーバを有しその脆弱なサーバに対する外部からの攻撃活動を検出する複数のセンサーと、これら複数のセンサーに対し電気通信回線を介して接続され、攻撃活動を集中管理する攻撃情報管理装置とを備えた攻撃情報管理システムをも提供する。このシステムにおいて、センサーは、脆弱なサーバに対する外部からの侵入が攻撃活動かどうかを判定する侵入検知部と、この侵入検知部により外部からの侵入が攻撃活動と判定された場合、その攻撃活動に関する情報を記録する第1の攻撃情報記録部と、この第1の攻撃情報記録部が記録した攻撃活動に関する情報に自センサーの識別情報を付した攻撃情報を攻撃情報管理装置に送信する攻撃情報送信部とを備える。また、攻撃情報管理装置は、複数のセンサーのうち攻撃活動を検出したセンサーから、攻撃情報を受信する攻撃情報受信部と、この攻撃情報受信部が受信した攻撃情報を記録する第2の攻撃情報記録部とを備える。
【0009】
一方、本発明が適用される攻撃情報管理システムにおける攻撃情報管理方法は、攻撃情報の要求者について、その情報要求者IDと、宛先情報との対応を、情報要求者テーブルに登録するステップと、複数のセンサーのうち攻撃活動を検出したセンサーから、その攻撃活動に関する情報と、そのセンサーの識別情報とを受信するステップと、攻撃活動に関する情報とセンサーの識別情報とを対応付けて攻撃情報として記録するステップと、記録された攻撃情報が所定の条件を満たした場合に、情報要求者テーブルに登録された宛先情報で示される宛先に対し警報を通知するための処理を行うステップとを含む。
【0010】
また、攻撃情報の要求者について、その情報要求者IDと、宛先情報と、センサーを設置しているかどうかを示す情報との対応を、情報要求者テーブルに登録するステップと、複数のセンサーのうち攻撃活動を検出したセンサーから、その攻撃活動に関する情報と、そのセンサーの識別情報とを受信するステップと、攻撃活動に関する情報とセンサーの識別情報とを対応付けて攻撃情報として記録するステップと、記録された攻撃情報が所定の条件を満たした場合に、情報要求者テーブルに登録された宛先情報で示される宛先に対し警報を通知するための処理を行うステップと、警報を通知した情報要求者がセンサーを設置しているかどうかを情報要求者テーブルに基づいて判断し、警報を通知したことに対する対価を得るための課金情報として、センサーを設置している情報要求者とセンサーを設置していない情報要求者とで異なる料金を記録するステップとを含むものでもよい。
【0011】
なお、これらの本発明は、攻撃情報管理装置として機能するコンピュータがこれらの各機能を実現することができるように構成されたプログラムとして把握することができる。このプログラムをコンピュータに対して提供する際に、例えばサーバコンピュータ等の攻撃情報管理装置にインストールされた状態にて提供される場合の他、コンピュータに実行させるプログラムをコンピュータが読取可能に記憶した記憶媒体にて提供する形態が考えられる。この記憶媒体としては、例えばCD−ROM媒体等が該当し、CD−ROM読取装置等によってプログラムが読み取られ、フラッシュROM等にこのプログラムが格納されて実行される。また、これらのプログラムは、例えば、プログラム伝送装置によってネットワークを介して提供される形態がある。このプログラム伝送装置としては、例えば、ホスト側のサーバに設けられ、プログラムを格納するメモリと、ネットワークを介してプログラムを提供するプログラム伝送手段とを備えている。
【0012】
このプログラムは、コンピュータに、攻撃情報の要求者について、その情報要求者IDと、宛先情報との対応を、情報要求者テーブルに登録する機能と、複数のセンサーのうち攻撃活動を検出したセンサーから、その攻撃活動に関する情報と、そのセンサーの識別情報とを受信する機能と、攻撃活動に関する情報とセンサーの識別情報とを対応付けて攻撃情報として記録する機能と、記録された攻撃情報が所定の条件を満たした場合に、情報要求者テーブルに登録された宛先情報で示される宛先に対し警報を通知するための処理を行う機能とを実現させる。
【0013】
また、コンピュータに、攻撃情報の要求者について、その情報要求者IDと、宛先情報と、センサーを設置しているかどうかを示す情報との対応を、情報要求者テーブルに登録する機能と、複数のセンサーのうち攻撃活動を検出したセンサーから、その攻撃活動に関する情報と、そのセンサーの識別情報とを受信する機能と、攻撃活動に関する情報とセンサーの識別情報とを対応付けて攻撃情報として記録する機能と、記録された攻撃情報が所定の条件を満たした場合に、情報要求者テーブルに登録された宛先情報で示される宛先に対し警報を通知するための処理を行う機能と、警報を通知した情報要求者がセンサーを設置しているかどうかを情報要求者テーブルに基づいて判断し、警報を通知したことに対する対価を得るための課金情報として、センサーを設置している情報要求者とセンサーを設置していない情報要求者とで異なる料金を記録する機能とを実現させるものでもよい。
【0014】
【発明の実施の形態】
以下、添付図面に基づき、本発明の実施の形態について詳細に説明する。
図1は、本実施の形態が適用される攻撃情報管理システム1の全体構成を説明するための図である。図1に示すように、本実施の形態では、意図的にセキュリティホールを作りこんである脆弱なサーバを含むセンサー10を複数個配置し、脆弱なサーバに対する外部からの攻撃を監視させる。また、複数のセンサー10は、インターネット等の電気通信回線を介して中央管理装置20に接続され、センサー10が取得した攻撃情報を中央管理装置20で収集し管理できるように構成されている。
【0015】
次に、センサー10の内部構成について説明する。
図2は、センサー10の構成を説明するためのブロック図である。図2に示すように、センサー10は、ファイアウォール11と、脆弱なサーバ12と、侵入検知部13と、攻撃情報記録部14と、攻撃情報送信部15とを有し、ファイアウォール11は、更に暗号化通信部16を有している。また、センサー10は、設定変更部17をも有している。
【0016】
ファイアウォール11は、インターネットから脆弱なサーバ12へのアクセスは自由に行えるように設定し、自身の存在を攻撃者には意識させないようにしておく。逆に、脆弱なサーバ12からインターネットへの攻撃が行われることのないように設定しておく。前者の設定は、インターネットからの全てのパケットを受け入れるように設定することで実現でき、また、後者の設定は、脆弱なサーバ12を送信元とする通信を全て遮断することによって実現できる。
【0017】
脆弱なサーバ12は、実コンピュータ上で仮想コンピュータを動作させることにより実現する。仮想コンピュータに侵入を試みた攻撃者に、実コンピュータの存在を気が付かれないように設定しておく。このような設定は、仮想コンピュータを実現する市販のソフトウェア(例えば、「VMware」)を利用することによって行う。また、仮想コンピュータにおいては、OSやサーバアプリケーションにセキュリティ対策が行われていない状態や、一般的によく見かけるありがちなセキュリティ上問題のある設定を意図的に施す。
【0018】
侵入検知部13は、一般の市販の侵入検知システムを用いて実現することができる。主な攻撃の識別を行うこともできるが、中央管理装置20で分析を行えるため、そのような攻撃の識別は必須ではない。
【0019】
攻撃情報記録部14は、脆弱なサーバ12に対する攻撃活動に関する情報(以下、「攻撃情報」という)を記録する。攻撃情報は、攻撃活動における全ての段階、例えば、1.調査段階、2.侵入段階、3.破壊段階、4.トロイの木馬設置段階、5.痕跡消去段階、等において記録される。その際、攻撃を受けた日時(以下、「攻撃日時」という)と、上記のような攻撃活動における段階を示す情報(以下、「段階情報」という)とを含めて記録される。なお、攻撃情報の記録は、脆弱なサーバ12を実現する仮想コンピュータが動作する実コンピュータ上で行われる。
【0020】
攻撃情報送信部15は、攻撃情報記録部14が記録した攻撃情報の中央管理装置20への送信を指示する機能である。具体的には、攻撃日時、段階情報、攻撃内容を含む攻撃情報に、更に自センサー10の識別情報(以下、「センサーID」という)を付して暗号化通信部16に受け渡すものである。
【0021】
暗号化通信部16は、攻撃情報送信部15から受け渡された攻撃情報を暗号化し、中央管理装置20に安全に送信する機能である。なお、図2では、暗号化通信部16をファイアウォール11の内部に図示しているが、これに限られず、暗号化通信部16は、ファイアウォール11から攻撃情報記録部14までの間の任意の場所にあればよい。
【0022】
設定変更部17は、中央管理装置20の指示に従い、脆弱なサーバ12におけるOS又はアプリケーションプログラムの設定を変更する機能である。
【0023】
また、図2においては、本実施の形態におけるセンサー10の内部構成を機能ブロック図として図示したが、本実施の形態においては、かかる機能の論理的な構成のみが意味を持っており、これらの機能が複数のハードウェア装置に分かれて実現されるか、一つのハードウェア装置に集約されて実現されるか、といった物理的な構成は問題とはしない。すなわち、図3に示すように、ファイアウォール11(暗号化通信部16を含む)と、脆弱なサーバ12と、侵入検知部13及び攻撃情報記録部14からなる機構とを別々のハードウェア装置で実現する構成であってもよい。また、図4に示すように、ファイアウォール11(暗号化通信部16を含む)、脆弱なサーバ12、侵入検知部13、攻撃情報記録部14の全てを含むセンサー10を一つのハードウェア装置で実現する構成であってもよい。
【0024】
また、センサー10の実現例として、脆弱なサーバ12と侵入検知部13と攻撃情報記録部14とを同一のコンピュータで実現した場合のセンサー10のプログラム構成を図5に示す。センサー10内には、ファイアウォール11を実現するプログラムに加え、ホストOS上に、侵入検知部13を実現するプログラム、攻撃情報記録部14を実現するプログラム、脆弱なサーバ12を実現するプログラムが動作する。このうち、例えば、侵入検知部13を実現するプログラム、攻撃情報記録部14を実現するプログラムは、実コンピュータ上で動作し、その実コンピュータ上で脆弱なサーバ12を実現するプログラムが動作する。
【0025】
次に、中央管理装置20の内部構成について説明する。
図6は、中央管理装置20の構成を説明するためのブロック図である。中央管理装置20は、攻撃情報受信部21と、攻撃情報記録部22と、攻撃情報ログ23と、攻撃情報分析部24と、センサーテーブル25と、警報通知部26と、情報要求者テーブル27と、課金情報記録部28と、設定変更指示部29とを有する。
【0026】
攻撃情報受信部21は、いずれかのセンサー10から送信されて来る攻撃情報を受信する機能である。攻撃情報記録部22は、攻撃情報受信部21が受信した攻撃情報を集積し攻撃情報ログ23に記録する。攻撃情報分析部24は、攻撃情報ログ23を監視しセンサーテーブル25を参照して攻撃情報の分析を行う。攻撃情報ログ23及びセンサーテーブル25には、攻撃情報を、各センサー毎、センサー種別毎、地域別、時間別等で分析するために必要な情報が記録されている。
【0027】
警報通知部26は、攻撃情報に関する警報を、情報要求者テーブル27に登録された情報要求者に対して通知する機能である。警報には、攻撃情報分析部24による分析で得られた攻撃情報を含めてもよい。課金情報記録部28は、警報を通知した情報要求者に対し、警報を通知したことに対する対価を求めるための課金情報を記録する機能である。
【0028】
設定変更指示部29は、指示されたセンサー10に対しOS又はアプリケーションプログラムの設定変更を指示する機能である。例えば、OSとしてLinuxが設定されていた脆弱なサーバ12のOSの設定をWindows(登録商標)に変更することを指示するものである。
【0029】
次に、センサー10にて実行される攻撃情報記録処理について説明する。
図7は、本実施の形態における攻撃情報記録処理の流れを示したフローチャートである。
まず、センサー10の侵入検知部13は、脆弱なサーバ12へ送信されて来るデータを受信し(ステップ101)、脆弱なサーバ12に対する攻撃かどうかを判定する(ステップ102)。侵入検知部13により攻撃であると判定された場合、攻撃情報記録部14は、攻撃情報の記録を開始する(ステップ103)。攻撃情報記録部14が攻撃情報を記録し終わるとすぐに、又は、攻撃情報を記録し終わった後の所定のタイミングで、攻撃情報送信部15は、攻撃情報の中央管理装置20への送信を指示し、暗号化通信部16が、攻撃情報を暗号化し、中央管理装置20に送信する(ステップ104)。この際、攻撃情報には、攻撃日時、段階情報、センサーIDが含まれる。そして、ステップ101へ戻り、脆弱なサーバ12へデータが送信されて来るのを侵入検知部13が待つ。また、ステップ102で攻撃ではないと判定された場合、データは設定変更部17にも供給される。設定変更部17は、OS又はアプリケーションプログラムの変更要求であるか判定し(ステップ105)、OS又はアプリケーションプログラムの変更要求であると判定されれば、脆弱なサーバ12におけるOS又はアプリケーションプログラムの設定を変更し(ステップ106)、ステップ101へ戻る。一方、ステップ105でOS又はアプリケーションプログラムの変更要求であると判定されなければ、そのままステップ101へ戻る。
【0030】
次に、中央管理装置20にて実行される攻撃情報収集処理について説明する。
図8は、本実施の形態における攻撃情報収集処理の流れを示したフローチャートである。
まず、中央管理装置20の攻撃情報受信部21は、複数のセンサー10のいずれかから暗号化された攻撃情報を受信し、復号化する(ステップ201)。次に、攻撃情報記録部22は、復号化された攻撃情報を攻撃情報ログ23に記録していく(ステップ202)。ここで、攻撃情報は、例えば、図10に示すように、攻撃日時とセンサーIDと段階情報と攻撃内容とを含んだ状態で記録される。
【0031】
一方、攻撃情報分析部24は、攻撃情報ログ23に記録される攻撃情報を監視しており、未知の攻撃が記録されているかどうか判定する(ステップ203)。攻撃情報分析部24は、未知の攻撃が記録されていると判定しなかった場合は、ステップ201へ戻るが、未知の攻撃が記録されていると判定した場合は、警報通知部26に警報の通知を指示する。なお、この際、攻撃情報ログ23から問題の攻撃情報を取り出して警報通知部26に受け渡し、警報の通知に含めるように指示してもよい。この場合、攻撃情報のうちどの情報をどのような形式で警報通知部26に受け渡し警報に含めるかは、本実施の形態において限定するものではないが、例えば、攻撃情報に含まれる段階情報を基に、今回検出された攻撃情報を前段階の攻撃情報と関連付けて受け渡すようにしてもよい(図10の例で言えば、同じセンサーIDである「S0001」に対する第1段階、第2段階、第3段階の攻撃情報を関連付ける等)。また、中央管理装置20は、図11に示すようなセンサーテーブル25を備えており、センサー毎に、センサーの種別(どのようなOSやアプリケーションプログラムが設定されているか)や、センサーが設置されている地域が管理されているので、攻撃情報をセンサー種別毎、センサーの設置された地域毎に整理して出力し、警報通知部26に受け渡すようにすることもできる。さらに、攻撃情報分析部24における自動的な分析に任せるのではなく、専門家が介在して攻撃情報のレポートを作成し、それを警報通知部26に伝えるようにしてもよい。
【0032】
次に、警報通知部26は、警報を通知する(ステップ204)。通知方法は、例えば、電子メール、電話である。また、急を要しない場合は、郵送でもよい。中央管理装置20は、攻撃情報の提供を求める情報要求者について、情報要求者IDと、宛先情報とを少なくとも対応付けた情報要求者テーブル27を事前に登録し保持しており、このテーブルに基づき警報の通知先を特定する。宛先情報の欄には、警報の通知方法として電子メールを用いる場合は電子メールアドレスが設定され、電話を用いる場合は電話番号が設定され、郵送を用いる場合は住所が設定される。図12は、警報の通知方法として電子メール、電話、郵送を混在して用いる場合の情報要求者テーブル27の一例を示す。この場合は、宛先情報が電子メールの規則に従うものである場合はその宛先情報の示す電子メールアドレス宛てに電子メールで警報を通知し、宛先情報が電話番号の規則に従うものである場合はその宛先情報の示す電話番号宛てに電話で警報を通知し、宛先情報が住所の規則に従うものである場合はその宛先情報の示す住所あてに郵送で警報を通知することになる。電子メールで警報を通知する場合は、中央管理装置20と接続されたメールサーバが自動的に電子メールを発信するようにすればよいが、電話や郵送で警報を通知する場合は、中央管理装置20が、電話番号や住所を含む警報通知指示を中央管理装置20のオペレータに提示し、オペレータがその指示に従って警報通知の手続きをとるようにしてもよい。なお、図12では、各情報要求者につき1つの宛先情報しか登録されていないが、2つ以上の宛先情報を登録することも可能である。
【0033】
また、情報要求者テーブル27は、各情報要求者がセンサー10を設置しているかどうかを示す情報も記憶している。この情報としては、例えば、図12に示すように各情報要求者が設置しているセンサー10を一意に識別するセンサーIDを用いることができる。言い換えれば、センサーIDが空白の場合、その情報要求者は、センサー10を設置していないことになる。警報通知部26は、攻撃情報分析部24から受け渡された攻撃情報をそのまま警報に含めるようにしてもよいが、情報要求者テーブル27においてセンサーIDの欄が空白の情報要求者に対しては、攻撃情報分析部24から受け渡された攻撃情報をそのまま警報に含めずに情報を制限した上で警報に含めるようにしてもよい。
【0034】
警報通知部26による警報の通知が完了すると、課金情報記録部28は、警報を通知したことに対する対価を得るための課金情報を情報要求者テーブル27に記録し(ステップ205)、ステップ201へ戻る。ここでの課金情報としては、一律の金額を課金してもよいし、提供した情報の量に応じて課金してもよい。また、情報要求者テーブル27に基づき各情報要求者がセンサー10を設置しているかどうかを判断し、センサー10を設置している情報要求者とセンサー10を設置していない情報要求者とで異なる料金を課金するように課金情報を登録してもよい。すなわち、例えば、センサー10を設置している情報要求者からはセンサー10を貸し出す契約を行った際にレンタル料として料金を徴収することとして攻撃情報の提供に関しては料金を徴収せず(あるいは低料金の徴収にとどめ)、主にセンサー10を設置していない情報要求者から攻撃情報の提供に関する料金を徴収するようにしてもよい。
【0035】
次に、中央管理装置20にて実行される設定情報変更指示処理について説明する。
図9は、本実施の形態における設定情報変更指示処理の流れを示したフローチャートである。
設定変更指示部29は、中央管理装置20を操作するオペレータの指示に従い、いずれかのセンサー10のOS又はアプリケーションプログラムの設定の変更を指示する(ステップ301)。次に、設定変更指示部29は、設定変更の指示を受けたセンサー10からの応答を受け、設定変更が正常終了したかどうかを判定する(ステップ302)。設定変更が正常終了したと判定された場合、設定変更指示部29は、センサーテーブル25において、該当するセンサーのセンサー種別を変更する処理を行い(ステップ303)、ステップ301へ戻る。一方、設定変更が正常終了しなかったと判定された場合、センサーテーブル25の情報の変更を行わずにステップ301へ戻る。
【0036】
なお、上記説明では、情報要求者テーブル27とセンサーテーブル25を別個のテーブルとしたが、一つのテーブルとして構成することも可能である。また、各センサー10は1つの脆弱なサーバ12を含むものとしたが、2つ以上の脆弱なサーバ12を含むようにしてもよい。その場合、攻撃情報分析部24における攻撃情報の分析は、センサー10毎だけでなく、センサー10内の脆弱なサーバ12毎にも行うことができる。
【0037】
以上、詳述したように、本実施の形態によれば、インターネット等の電気通信回線を介したネットワーク攻撃の情報を収集して集中管理することが可能となる。また、ネットワーク攻撃を収集するためのセンサーにおける設定を変更し様々な側面から分析できるようにすることもでき、分析結果を有償で提供することも可能となる。
【0038】
【発明の効果】
このように、本発明によれば、インターネット等の電気通信回線を介したネットワーク攻撃の情報を収集して集中管理することが可能となる。
【図面の簡単な説明】
【図1】本実施の形態が適用される攻撃情報管理システムの全体構成を説明するための図である。
【図2】センサーの構成を説明するためのブロック図である。
【図3】センサーの物理的な構成の一例を示した図である。
【図4】センサーの物理的な構成の一例を示した図である。
【図5】センサーにおけるプログラム構成の一例を示した図である。
【図6】中央管理装置の構成を説明するためのブロック図である。
【図7】本実施の形態における攻撃情報記録処理の流れを示したフローチャートである。
【図8】本実施の形態における攻撃情報収集処理の流れを示したフローチャートである。
【図9】本実施の形態における設定情報変更指示処理の流れを示したフローチャートである。
【図10】本実施の形態における攻撃情報ログの一例を示した図である。
【図11】本実施の形態におけるセンサーテーブルの一例を示した図である。
【図12】本実施の形態における情報要求者テーブルの一例を示した図である。
【符号の説明】
1…攻撃情報管理システム、10…センサー、11…ファイアウォール、12…脆弱なサーバ、13…侵入検知部、14,22…攻撃情報記録部、15…攻撃情報送信部、16…暗号化通信部、17…設定変更部、20…中央管理装置、21…攻撃情報受信部、23…攻撃情報ログ、24…攻撃情報分析部、25…センサーテーブル、26…警報通知部、27…情報要求者テーブル、28…課金情報記録部、29…設定変更指示部
【発明の属する技術分野】
本発明は、意図的にセキュリティホールを作りこんであるサーバ(以下、「脆弱なサーバ」という)を有し、その脆弱なサーバに対する外部からの攻撃活動を検出する装置(以下、「センサー」という)をインターネット等の電気通信回線上の複数箇所に設置し、これら複数のセンサーから攻撃活動に関する情報(以下、「攻撃情報」という)を収集し管理する攻撃情報管理装置、攻撃情報管理システム、攻撃情報管理方法、およびプログラムに関する。
【0002】
【従来の技術】
近年、インターネットにおいては、ワームや不正アクセス等のネットワーク攻撃が社会問題化している。このようなネットワーク攻撃に対処するためには、その前兆活動や被害状況の正確な把握及び分析が必要不可欠である。
このうち、前兆活動の把握及び分析については、従来、不正な要求元にわざと侵入させ、侵入者には成功したと思わせておき、その間に不正に関する情報(アクセスの対象、侵入者のアドレス、手順等)を収集する方法が提案されていた(例えば、特許文献1参照。)。
また、被害状況の把握及び分析については、従来、監視対象ネットワークに対する不正侵入や攻撃をセンサー系により感知し、不正侵入や攻撃により停止したあるネットワーク要素を起点にネットワークサービス管理情報データベースを検索することにより被害評価を行う方法があった(例えば、特許文献2参照。)。
【0003】
【特許文献1】
特開2002−7234号公報(第8−9頁、図1)
【特許文献2】
特開2002−328893号公報(第3−5頁、図1)
【0004】
【発明が解決しようとする課題】
しかしながら、特許文献1、2記載の技術は、情報処理サーバ群、各種サービス提供サーバ群の運営者が独自にネットワーク攻撃の前兆活動や被害状況を採取するための機構を設置し、その機構が採取した情報に基づき運営者自身がネットワーク攻撃の状況の把握及び分析を行うものに過ぎなかった。昨今のネットワーク攻撃は、高度化、複雑化の一途をたどっており、このような昨今のネットワーク攻撃の実情に鑑みれば、このように各運営者が独自にネットワーク攻撃に対処する従来の方式では、自ずと限界がある。ネットワーク攻撃に対しては、複数の運営者にわたる広範な情報を収集し、専門的見地からその情報を分析することが有用であるが、特許文献1、2記載の技術のいずれも、このような広範な情報の収集、分析を可能とするものではなかった。
【0005】
本発明は、以上のような技術的課題を解決するためになされたものであって、その目的とするところは、インターネット等の電気通信回線を介したネットワーク攻撃の情報を複数の運営者から収集して集中管理し様々な側面から分析し、分析結果を要求する者に対し提供できるようにすることにある。
【0006】
【課題を解決するための手段】
かかる目的を達成するために、本発明は、中央管理装置(特許請求の範囲の「攻撃情報管理装置」に対応)が、複数のセンサーのそれぞれから、センサーの識別情報を含む攻撃情報を収集するようにしている。すなわち、本発明の攻撃情報管理装置は、意図的にセキュリティホールを作りこんだ脆弱なサーバを有しこの脆弱なサーバに対する外部からの攻撃活動を検出する複数のセンサーと電気通信回線を介して接続された攻撃情報管理装置であって、それら複数のセンサーのうち攻撃活動を検出したセンサーから、その攻撃活動に関する情報と、そのセンサーの識別情報とを受信する攻撃情報受信部と、この攻撃情報受信部が受信した攻撃活動に関する情報とセンサーの識別情報とを対応付けて攻撃情報として記録する攻撃情報記録部とを備えている。
【0007】
また、本発明は、複数のセンサーのそれぞれについて、センサーの種別、又は、センサーが設置された地域を記憶するセンサーテーブルと、攻撃情報記録部が記録した攻撃情報のうち所定の攻撃情報を、このセンサーテーブルに基づき、センサーの種別毎、又は、センサーの設置された地域毎に分類し出力する攻撃情報分析部とを更に備えるものであってもよい。さらに、複数のセンサーのうちのいずれかに対し、センサーの種別の設定の変更を指示するとともに、センサーテーブルに記憶されたそのセンサーの種別を同様に変更する設定変更指示部を更に備えるようにしてもよい。さらにまた、本発明は、攻撃情報記録部が記録した攻撃情報が所定の条件を満たした場合に、予め登録された情報要求者の宛先に警報を通知するための処理を行う警報通知部を備えるものであってもよい。また、警報を通知したことに対する対価を得るための課金情報として、センサーを設置している情報要求者とセンサーを設置していない情報要求者とで異なる料金を記録する課金情報記録部を更に備えてもよい。
【0008】
さらに、本発明は、意図的にセキュリティホールを作りこんだ脆弱なサーバを有しその脆弱なサーバに対する外部からの攻撃活動を検出する複数のセンサーと、これら複数のセンサーに対し電気通信回線を介して接続され、攻撃活動を集中管理する攻撃情報管理装置とを備えた攻撃情報管理システムをも提供する。このシステムにおいて、センサーは、脆弱なサーバに対する外部からの侵入が攻撃活動かどうかを判定する侵入検知部と、この侵入検知部により外部からの侵入が攻撃活動と判定された場合、その攻撃活動に関する情報を記録する第1の攻撃情報記録部と、この第1の攻撃情報記録部が記録した攻撃活動に関する情報に自センサーの識別情報を付した攻撃情報を攻撃情報管理装置に送信する攻撃情報送信部とを備える。また、攻撃情報管理装置は、複数のセンサーのうち攻撃活動を検出したセンサーから、攻撃情報を受信する攻撃情報受信部と、この攻撃情報受信部が受信した攻撃情報を記録する第2の攻撃情報記録部とを備える。
【0009】
一方、本発明が適用される攻撃情報管理システムにおける攻撃情報管理方法は、攻撃情報の要求者について、その情報要求者IDと、宛先情報との対応を、情報要求者テーブルに登録するステップと、複数のセンサーのうち攻撃活動を検出したセンサーから、その攻撃活動に関する情報と、そのセンサーの識別情報とを受信するステップと、攻撃活動に関する情報とセンサーの識別情報とを対応付けて攻撃情報として記録するステップと、記録された攻撃情報が所定の条件を満たした場合に、情報要求者テーブルに登録された宛先情報で示される宛先に対し警報を通知するための処理を行うステップとを含む。
【0010】
また、攻撃情報の要求者について、その情報要求者IDと、宛先情報と、センサーを設置しているかどうかを示す情報との対応を、情報要求者テーブルに登録するステップと、複数のセンサーのうち攻撃活動を検出したセンサーから、その攻撃活動に関する情報と、そのセンサーの識別情報とを受信するステップと、攻撃活動に関する情報とセンサーの識別情報とを対応付けて攻撃情報として記録するステップと、記録された攻撃情報が所定の条件を満たした場合に、情報要求者テーブルに登録された宛先情報で示される宛先に対し警報を通知するための処理を行うステップと、警報を通知した情報要求者がセンサーを設置しているかどうかを情報要求者テーブルに基づいて判断し、警報を通知したことに対する対価を得るための課金情報として、センサーを設置している情報要求者とセンサーを設置していない情報要求者とで異なる料金を記録するステップとを含むものでもよい。
【0011】
なお、これらの本発明は、攻撃情報管理装置として機能するコンピュータがこれらの各機能を実現することができるように構成されたプログラムとして把握することができる。このプログラムをコンピュータに対して提供する際に、例えばサーバコンピュータ等の攻撃情報管理装置にインストールされた状態にて提供される場合の他、コンピュータに実行させるプログラムをコンピュータが読取可能に記憶した記憶媒体にて提供する形態が考えられる。この記憶媒体としては、例えばCD−ROM媒体等が該当し、CD−ROM読取装置等によってプログラムが読み取られ、フラッシュROM等にこのプログラムが格納されて実行される。また、これらのプログラムは、例えば、プログラム伝送装置によってネットワークを介して提供される形態がある。このプログラム伝送装置としては、例えば、ホスト側のサーバに設けられ、プログラムを格納するメモリと、ネットワークを介してプログラムを提供するプログラム伝送手段とを備えている。
【0012】
このプログラムは、コンピュータに、攻撃情報の要求者について、その情報要求者IDと、宛先情報との対応を、情報要求者テーブルに登録する機能と、複数のセンサーのうち攻撃活動を検出したセンサーから、その攻撃活動に関する情報と、そのセンサーの識別情報とを受信する機能と、攻撃活動に関する情報とセンサーの識別情報とを対応付けて攻撃情報として記録する機能と、記録された攻撃情報が所定の条件を満たした場合に、情報要求者テーブルに登録された宛先情報で示される宛先に対し警報を通知するための処理を行う機能とを実現させる。
【0013】
また、コンピュータに、攻撃情報の要求者について、その情報要求者IDと、宛先情報と、センサーを設置しているかどうかを示す情報との対応を、情報要求者テーブルに登録する機能と、複数のセンサーのうち攻撃活動を検出したセンサーから、その攻撃活動に関する情報と、そのセンサーの識別情報とを受信する機能と、攻撃活動に関する情報とセンサーの識別情報とを対応付けて攻撃情報として記録する機能と、記録された攻撃情報が所定の条件を満たした場合に、情報要求者テーブルに登録された宛先情報で示される宛先に対し警報を通知するための処理を行う機能と、警報を通知した情報要求者がセンサーを設置しているかどうかを情報要求者テーブルに基づいて判断し、警報を通知したことに対する対価を得るための課金情報として、センサーを設置している情報要求者とセンサーを設置していない情報要求者とで異なる料金を記録する機能とを実現させるものでもよい。
【0014】
【発明の実施の形態】
以下、添付図面に基づき、本発明の実施の形態について詳細に説明する。
図1は、本実施の形態が適用される攻撃情報管理システム1の全体構成を説明するための図である。図1に示すように、本実施の形態では、意図的にセキュリティホールを作りこんである脆弱なサーバを含むセンサー10を複数個配置し、脆弱なサーバに対する外部からの攻撃を監視させる。また、複数のセンサー10は、インターネット等の電気通信回線を介して中央管理装置20に接続され、センサー10が取得した攻撃情報を中央管理装置20で収集し管理できるように構成されている。
【0015】
次に、センサー10の内部構成について説明する。
図2は、センサー10の構成を説明するためのブロック図である。図2に示すように、センサー10は、ファイアウォール11と、脆弱なサーバ12と、侵入検知部13と、攻撃情報記録部14と、攻撃情報送信部15とを有し、ファイアウォール11は、更に暗号化通信部16を有している。また、センサー10は、設定変更部17をも有している。
【0016】
ファイアウォール11は、インターネットから脆弱なサーバ12へのアクセスは自由に行えるように設定し、自身の存在を攻撃者には意識させないようにしておく。逆に、脆弱なサーバ12からインターネットへの攻撃が行われることのないように設定しておく。前者の設定は、インターネットからの全てのパケットを受け入れるように設定することで実現でき、また、後者の設定は、脆弱なサーバ12を送信元とする通信を全て遮断することによって実現できる。
【0017】
脆弱なサーバ12は、実コンピュータ上で仮想コンピュータを動作させることにより実現する。仮想コンピュータに侵入を試みた攻撃者に、実コンピュータの存在を気が付かれないように設定しておく。このような設定は、仮想コンピュータを実現する市販のソフトウェア(例えば、「VMware」)を利用することによって行う。また、仮想コンピュータにおいては、OSやサーバアプリケーションにセキュリティ対策が行われていない状態や、一般的によく見かけるありがちなセキュリティ上問題のある設定を意図的に施す。
【0018】
侵入検知部13は、一般の市販の侵入検知システムを用いて実現することができる。主な攻撃の識別を行うこともできるが、中央管理装置20で分析を行えるため、そのような攻撃の識別は必須ではない。
【0019】
攻撃情報記録部14は、脆弱なサーバ12に対する攻撃活動に関する情報(以下、「攻撃情報」という)を記録する。攻撃情報は、攻撃活動における全ての段階、例えば、1.調査段階、2.侵入段階、3.破壊段階、4.トロイの木馬設置段階、5.痕跡消去段階、等において記録される。その際、攻撃を受けた日時(以下、「攻撃日時」という)と、上記のような攻撃活動における段階を示す情報(以下、「段階情報」という)とを含めて記録される。なお、攻撃情報の記録は、脆弱なサーバ12を実現する仮想コンピュータが動作する実コンピュータ上で行われる。
【0020】
攻撃情報送信部15は、攻撃情報記録部14が記録した攻撃情報の中央管理装置20への送信を指示する機能である。具体的には、攻撃日時、段階情報、攻撃内容を含む攻撃情報に、更に自センサー10の識別情報(以下、「センサーID」という)を付して暗号化通信部16に受け渡すものである。
【0021】
暗号化通信部16は、攻撃情報送信部15から受け渡された攻撃情報を暗号化し、中央管理装置20に安全に送信する機能である。なお、図2では、暗号化通信部16をファイアウォール11の内部に図示しているが、これに限られず、暗号化通信部16は、ファイアウォール11から攻撃情報記録部14までの間の任意の場所にあればよい。
【0022】
設定変更部17は、中央管理装置20の指示に従い、脆弱なサーバ12におけるOS又はアプリケーションプログラムの設定を変更する機能である。
【0023】
また、図2においては、本実施の形態におけるセンサー10の内部構成を機能ブロック図として図示したが、本実施の形態においては、かかる機能の論理的な構成のみが意味を持っており、これらの機能が複数のハードウェア装置に分かれて実現されるか、一つのハードウェア装置に集約されて実現されるか、といった物理的な構成は問題とはしない。すなわち、図3に示すように、ファイアウォール11(暗号化通信部16を含む)と、脆弱なサーバ12と、侵入検知部13及び攻撃情報記録部14からなる機構とを別々のハードウェア装置で実現する構成であってもよい。また、図4に示すように、ファイアウォール11(暗号化通信部16を含む)、脆弱なサーバ12、侵入検知部13、攻撃情報記録部14の全てを含むセンサー10を一つのハードウェア装置で実現する構成であってもよい。
【0024】
また、センサー10の実現例として、脆弱なサーバ12と侵入検知部13と攻撃情報記録部14とを同一のコンピュータで実現した場合のセンサー10のプログラム構成を図5に示す。センサー10内には、ファイアウォール11を実現するプログラムに加え、ホストOS上に、侵入検知部13を実現するプログラム、攻撃情報記録部14を実現するプログラム、脆弱なサーバ12を実現するプログラムが動作する。このうち、例えば、侵入検知部13を実現するプログラム、攻撃情報記録部14を実現するプログラムは、実コンピュータ上で動作し、その実コンピュータ上で脆弱なサーバ12を実現するプログラムが動作する。
【0025】
次に、中央管理装置20の内部構成について説明する。
図6は、中央管理装置20の構成を説明するためのブロック図である。中央管理装置20は、攻撃情報受信部21と、攻撃情報記録部22と、攻撃情報ログ23と、攻撃情報分析部24と、センサーテーブル25と、警報通知部26と、情報要求者テーブル27と、課金情報記録部28と、設定変更指示部29とを有する。
【0026】
攻撃情報受信部21は、いずれかのセンサー10から送信されて来る攻撃情報を受信する機能である。攻撃情報記録部22は、攻撃情報受信部21が受信した攻撃情報を集積し攻撃情報ログ23に記録する。攻撃情報分析部24は、攻撃情報ログ23を監視しセンサーテーブル25を参照して攻撃情報の分析を行う。攻撃情報ログ23及びセンサーテーブル25には、攻撃情報を、各センサー毎、センサー種別毎、地域別、時間別等で分析するために必要な情報が記録されている。
【0027】
警報通知部26は、攻撃情報に関する警報を、情報要求者テーブル27に登録された情報要求者に対して通知する機能である。警報には、攻撃情報分析部24による分析で得られた攻撃情報を含めてもよい。課金情報記録部28は、警報を通知した情報要求者に対し、警報を通知したことに対する対価を求めるための課金情報を記録する機能である。
【0028】
設定変更指示部29は、指示されたセンサー10に対しOS又はアプリケーションプログラムの設定変更を指示する機能である。例えば、OSとしてLinuxが設定されていた脆弱なサーバ12のOSの設定をWindows(登録商標)に変更することを指示するものである。
【0029】
次に、センサー10にて実行される攻撃情報記録処理について説明する。
図7は、本実施の形態における攻撃情報記録処理の流れを示したフローチャートである。
まず、センサー10の侵入検知部13は、脆弱なサーバ12へ送信されて来るデータを受信し(ステップ101)、脆弱なサーバ12に対する攻撃かどうかを判定する(ステップ102)。侵入検知部13により攻撃であると判定された場合、攻撃情報記録部14は、攻撃情報の記録を開始する(ステップ103)。攻撃情報記録部14が攻撃情報を記録し終わるとすぐに、又は、攻撃情報を記録し終わった後の所定のタイミングで、攻撃情報送信部15は、攻撃情報の中央管理装置20への送信を指示し、暗号化通信部16が、攻撃情報を暗号化し、中央管理装置20に送信する(ステップ104)。この際、攻撃情報には、攻撃日時、段階情報、センサーIDが含まれる。そして、ステップ101へ戻り、脆弱なサーバ12へデータが送信されて来るのを侵入検知部13が待つ。また、ステップ102で攻撃ではないと判定された場合、データは設定変更部17にも供給される。設定変更部17は、OS又はアプリケーションプログラムの変更要求であるか判定し(ステップ105)、OS又はアプリケーションプログラムの変更要求であると判定されれば、脆弱なサーバ12におけるOS又はアプリケーションプログラムの設定を変更し(ステップ106)、ステップ101へ戻る。一方、ステップ105でOS又はアプリケーションプログラムの変更要求であると判定されなければ、そのままステップ101へ戻る。
【0030】
次に、中央管理装置20にて実行される攻撃情報収集処理について説明する。
図8は、本実施の形態における攻撃情報収集処理の流れを示したフローチャートである。
まず、中央管理装置20の攻撃情報受信部21は、複数のセンサー10のいずれかから暗号化された攻撃情報を受信し、復号化する(ステップ201)。次に、攻撃情報記録部22は、復号化された攻撃情報を攻撃情報ログ23に記録していく(ステップ202)。ここで、攻撃情報は、例えば、図10に示すように、攻撃日時とセンサーIDと段階情報と攻撃内容とを含んだ状態で記録される。
【0031】
一方、攻撃情報分析部24は、攻撃情報ログ23に記録される攻撃情報を監視しており、未知の攻撃が記録されているかどうか判定する(ステップ203)。攻撃情報分析部24は、未知の攻撃が記録されていると判定しなかった場合は、ステップ201へ戻るが、未知の攻撃が記録されていると判定した場合は、警報通知部26に警報の通知を指示する。なお、この際、攻撃情報ログ23から問題の攻撃情報を取り出して警報通知部26に受け渡し、警報の通知に含めるように指示してもよい。この場合、攻撃情報のうちどの情報をどのような形式で警報通知部26に受け渡し警報に含めるかは、本実施の形態において限定するものではないが、例えば、攻撃情報に含まれる段階情報を基に、今回検出された攻撃情報を前段階の攻撃情報と関連付けて受け渡すようにしてもよい(図10の例で言えば、同じセンサーIDである「S0001」に対する第1段階、第2段階、第3段階の攻撃情報を関連付ける等)。また、中央管理装置20は、図11に示すようなセンサーテーブル25を備えており、センサー毎に、センサーの種別(どのようなOSやアプリケーションプログラムが設定されているか)や、センサーが設置されている地域が管理されているので、攻撃情報をセンサー種別毎、センサーの設置された地域毎に整理して出力し、警報通知部26に受け渡すようにすることもできる。さらに、攻撃情報分析部24における自動的な分析に任せるのではなく、専門家が介在して攻撃情報のレポートを作成し、それを警報通知部26に伝えるようにしてもよい。
【0032】
次に、警報通知部26は、警報を通知する(ステップ204)。通知方法は、例えば、電子メール、電話である。また、急を要しない場合は、郵送でもよい。中央管理装置20は、攻撃情報の提供を求める情報要求者について、情報要求者IDと、宛先情報とを少なくとも対応付けた情報要求者テーブル27を事前に登録し保持しており、このテーブルに基づき警報の通知先を特定する。宛先情報の欄には、警報の通知方法として電子メールを用いる場合は電子メールアドレスが設定され、電話を用いる場合は電話番号が設定され、郵送を用いる場合は住所が設定される。図12は、警報の通知方法として電子メール、電話、郵送を混在して用いる場合の情報要求者テーブル27の一例を示す。この場合は、宛先情報が電子メールの規則に従うものである場合はその宛先情報の示す電子メールアドレス宛てに電子メールで警報を通知し、宛先情報が電話番号の規則に従うものである場合はその宛先情報の示す電話番号宛てに電話で警報を通知し、宛先情報が住所の規則に従うものである場合はその宛先情報の示す住所あてに郵送で警報を通知することになる。電子メールで警報を通知する場合は、中央管理装置20と接続されたメールサーバが自動的に電子メールを発信するようにすればよいが、電話や郵送で警報を通知する場合は、中央管理装置20が、電話番号や住所を含む警報通知指示を中央管理装置20のオペレータに提示し、オペレータがその指示に従って警報通知の手続きをとるようにしてもよい。なお、図12では、各情報要求者につき1つの宛先情報しか登録されていないが、2つ以上の宛先情報を登録することも可能である。
【0033】
また、情報要求者テーブル27は、各情報要求者がセンサー10を設置しているかどうかを示す情報も記憶している。この情報としては、例えば、図12に示すように各情報要求者が設置しているセンサー10を一意に識別するセンサーIDを用いることができる。言い換えれば、センサーIDが空白の場合、その情報要求者は、センサー10を設置していないことになる。警報通知部26は、攻撃情報分析部24から受け渡された攻撃情報をそのまま警報に含めるようにしてもよいが、情報要求者テーブル27においてセンサーIDの欄が空白の情報要求者に対しては、攻撃情報分析部24から受け渡された攻撃情報をそのまま警報に含めずに情報を制限した上で警報に含めるようにしてもよい。
【0034】
警報通知部26による警報の通知が完了すると、課金情報記録部28は、警報を通知したことに対する対価を得るための課金情報を情報要求者テーブル27に記録し(ステップ205)、ステップ201へ戻る。ここでの課金情報としては、一律の金額を課金してもよいし、提供した情報の量に応じて課金してもよい。また、情報要求者テーブル27に基づき各情報要求者がセンサー10を設置しているかどうかを判断し、センサー10を設置している情報要求者とセンサー10を設置していない情報要求者とで異なる料金を課金するように課金情報を登録してもよい。すなわち、例えば、センサー10を設置している情報要求者からはセンサー10を貸し出す契約を行った際にレンタル料として料金を徴収することとして攻撃情報の提供に関しては料金を徴収せず(あるいは低料金の徴収にとどめ)、主にセンサー10を設置していない情報要求者から攻撃情報の提供に関する料金を徴収するようにしてもよい。
【0035】
次に、中央管理装置20にて実行される設定情報変更指示処理について説明する。
図9は、本実施の形態における設定情報変更指示処理の流れを示したフローチャートである。
設定変更指示部29は、中央管理装置20を操作するオペレータの指示に従い、いずれかのセンサー10のOS又はアプリケーションプログラムの設定の変更を指示する(ステップ301)。次に、設定変更指示部29は、設定変更の指示を受けたセンサー10からの応答を受け、設定変更が正常終了したかどうかを判定する(ステップ302)。設定変更が正常終了したと判定された場合、設定変更指示部29は、センサーテーブル25において、該当するセンサーのセンサー種別を変更する処理を行い(ステップ303)、ステップ301へ戻る。一方、設定変更が正常終了しなかったと判定された場合、センサーテーブル25の情報の変更を行わずにステップ301へ戻る。
【0036】
なお、上記説明では、情報要求者テーブル27とセンサーテーブル25を別個のテーブルとしたが、一つのテーブルとして構成することも可能である。また、各センサー10は1つの脆弱なサーバ12を含むものとしたが、2つ以上の脆弱なサーバ12を含むようにしてもよい。その場合、攻撃情報分析部24における攻撃情報の分析は、センサー10毎だけでなく、センサー10内の脆弱なサーバ12毎にも行うことができる。
【0037】
以上、詳述したように、本実施の形態によれば、インターネット等の電気通信回線を介したネットワーク攻撃の情報を収集して集中管理することが可能となる。また、ネットワーク攻撃を収集するためのセンサーにおける設定を変更し様々な側面から分析できるようにすることもでき、分析結果を有償で提供することも可能となる。
【0038】
【発明の効果】
このように、本発明によれば、インターネット等の電気通信回線を介したネットワーク攻撃の情報を収集して集中管理することが可能となる。
【図面の簡単な説明】
【図1】本実施の形態が適用される攻撃情報管理システムの全体構成を説明するための図である。
【図2】センサーの構成を説明するためのブロック図である。
【図3】センサーの物理的な構成の一例を示した図である。
【図4】センサーの物理的な構成の一例を示した図である。
【図5】センサーにおけるプログラム構成の一例を示した図である。
【図6】中央管理装置の構成を説明するためのブロック図である。
【図7】本実施の形態における攻撃情報記録処理の流れを示したフローチャートである。
【図8】本実施の形態における攻撃情報収集処理の流れを示したフローチャートである。
【図9】本実施の形態における設定情報変更指示処理の流れを示したフローチャートである。
【図10】本実施の形態における攻撃情報ログの一例を示した図である。
【図11】本実施の形態におけるセンサーテーブルの一例を示した図である。
【図12】本実施の形態における情報要求者テーブルの一例を示した図である。
【符号の説明】
1…攻撃情報管理システム、10…センサー、11…ファイアウォール、12…脆弱なサーバ、13…侵入検知部、14,22…攻撃情報記録部、15…攻撃情報送信部、16…暗号化通信部、17…設定変更部、20…中央管理装置、21…攻撃情報受信部、23…攻撃情報ログ、24…攻撃情報分析部、25…センサーテーブル、26…警報通知部、27…情報要求者テーブル、28…課金情報記録部、29…設定変更指示部
Claims (10)
- 意図的にセキュリティホールを作りこんだ脆弱なサーバを有し、当該脆弱なサーバに対する外部からの攻撃活動を検出する複数のセンサーと電気通信回線を介して接続された攻撃情報管理装置であって、
前記複数のセンサーのうち前記攻撃活動を検出したセンサーから、当該攻撃活動に関する情報と、当該センサーの識別情報とを受信する攻撃情報受信部と、
前記攻撃情報受信部が受信した前記攻撃活動に関する情報と前記センサーの識別情報とを対応付けて攻撃情報として記録する攻撃情報記録部とを備えたことを特徴とする攻撃情報管理装置。 - 前記複数のセンサーのそれぞれについて、センサーの種別、又は、センサーが設置された地域を記憶するセンサーテーブルと、
前記攻撃情報記録部が記録した攻撃情報のうち所定の攻撃情報を、前記センサーテーブルに基づき、センサーの種別毎、又は、センサーの設置された地域毎に分類し出力する攻撃情報分析部とを更に備えたことを特徴とする請求項1記載の攻撃情報管理装置。 - 前記複数のセンサーのうちのいずれかに対し、センサーの種別の設定の変更を指示するとともに、前記センサーテーブルに記憶された当該センサーの種別を同様に変更する設定変更指示部を更に備えたことを特徴とする請求項2記載の攻撃情報管理装置。
- 前記攻撃情報記録部が記録した攻撃情報が所定の条件を満たした場合に、予め登録された情報要求者の宛先に警報を通知するための処理を行う警報通知部を更に備えたことを特徴とする請求項1記載の攻撃情報管理装置。
- 前記警報を通知したことに対する対価を得るための課金情報として、前記センサーを設置している情報要求者と前記センサーを設置していない情報要求者とで異なる料金を記録する課金情報記録部を更に備えたことを特徴とする請求項4記載の攻撃情報管理装置。
- 意図的にセキュリティホールを作りこんだ脆弱なサーバを有し、当該脆弱なサーバに対する外部からの攻撃活動を検出する複数のセンサーと、
前記複数のセンサーに対し電気通信回線を介して接続され、前記攻撃活動を集中管理する攻撃情報管理装置とを備え、
前記センサーは、
前記脆弱なサーバに対する外部からの侵入が攻撃活動かどうかを判定する侵入検知部と、
前記侵入検知部により外部からの侵入が攻撃活動と判定された場合、当該攻撃活動に関する情報を記録する第1の攻撃情報記録部と、
前記第1の攻撃情報記録部が記録した攻撃活動に関する情報に自センサーの識別情報を付した攻撃情報を前記攻撃情報管理装置に送信する攻撃情報送信部とを備え、
前記攻撃情報管理装置は、
前記複数のセンサーのうち前記攻撃活動を検出したセンサーから、前記攻撃情報を受信する攻撃情報受信部と、
前記攻撃情報受信部が受信した前記攻撃情報を記録する第2の攻撃情報記録部とを備えたことを特徴とする攻撃情報管理システム。 - 攻撃情報の要求者について、その情報要求者IDと、宛先情報との対応を、情報要求者テーブルに登録するステップと、
複数のセンサーのうち攻撃活動を検出したセンサーから、当該攻撃活動に関する情報と、当該センサーの識別情報とを受信するステップと、
前記攻撃活動に関する情報と前記センサーの識別情報とを対応付けて攻撃情報として記録するステップと、
前記記録された攻撃情報が所定の条件を満たした場合に、前記情報要求者テーブルに登録された宛先情報で示される宛先に対し警報を通知するための処理を行うステップとを含むことを特徴とする攻撃情報管理方法。 - 攻撃情報の要求者について、その情報要求者IDと、宛先情報と、センサーを設置しているかどうかを示す情報との対応を、情報要求者テーブルに登録するステップと、
複数のセンサーのうち攻撃活動を検出したセンサーから、当該攻撃活動に関する情報と、当該センサーの識別情報とを受信するステップと、
前記攻撃活動に関する情報と前記センサーの識別情報とを対応付けて攻撃情報として記録するステップと、
前記記録された攻撃情報が所定の条件を満たした場合に、前記情報要求者テーブルに登録された宛先情報で示される宛先に対し警報を通知するための処理を行うステップと、
前記警報を通知した情報要求者がセンサーを設置しているかどうかを前記情報要求者テーブルに基づいて判断し、前記警報を通知したことに対する対価を得るための課金情報として、前記センサーを設置している情報要求者と前記センサーを設置していない情報要求者とで異なる料金を記録するステップとを含むことを特徴とする攻撃情報管理方法。 - コンピュータに、
攻撃情報の要求者について、その情報要求者IDと、宛先情報との対応を、情報要求者テーブルに登録する機能と、
複数のセンサーのうち攻撃活動を検出したセンサーから、当該攻撃活動に関する情報と、当該センサーの識別情報とを受信する機能と、
前記攻撃活動に関する情報と前記センサーの識別情報とを対応付けて攻撃情報として記録する機能と、
前記記録された攻撃情報が所定の条件を満たした場合に、前記情報要求者テーブルに登録された宛先情報で示される宛先に対し警報を通知するための処理を行う機能と
を実現させるためのプログラム。 - コンピュータに、
攻撃情報の要求者について、その情報要求者IDと、宛先情報と、センサーを設置しているかどうかを示す情報との対応を、情報要求者テーブルに登録する機能と、
複数のセンサーのうち攻撃活動を検出したセンサーから、当該攻撃活動に関する情報と、当該センサーの識別情報とを受信する機能と、
前記攻撃活動に関する情報と前記センサーの識別情報とを対応付けて攻撃情報として記録する機能と、
前記記録された攻撃情報が所定の条件を満たした場合に、前記情報要求者テーブルに登録された宛先情報で示される宛先に対し警報を通知するための処理を行う機能と、
前記警報を通知した情報要求者がセンサーを設置しているかどうかを前記情報要求者テーブルに基づいて判断し、前記警報を通知したことに対する対価を得るための課金情報として、前記センサーを設置している情報要求者と前記センサーを設置していない情報要求者とで異なる料金を記録する機能と
を実現させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003115381A JP2004318759A (ja) | 2003-04-21 | 2003-04-21 | 攻撃情報管理装置、攻撃情報管理システム、攻撃情報管理方法、およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003115381A JP2004318759A (ja) | 2003-04-21 | 2003-04-21 | 攻撃情報管理装置、攻撃情報管理システム、攻撃情報管理方法、およびプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004318759A true JP2004318759A (ja) | 2004-11-11 |
Family
ID=33474599
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003115381A Pending JP2004318759A (ja) | 2003-04-21 | 2003-04-21 | 攻撃情報管理装置、攻撃情報管理システム、攻撃情報管理方法、およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004318759A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9846781B2 (en) | 2013-04-19 | 2017-12-19 | Entit Software Llc | Unused parameters of application under test |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002251374A (ja) * | 2000-12-20 | 2002-09-06 | Fujitsu Ltd | 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
JP2002252654A (ja) * | 2001-02-23 | 2002-09-06 | Mitsubishi Electric Corp | 侵入検出装置およびシステムならびにルータ |
JP2004234401A (ja) * | 2003-01-31 | 2004-08-19 | Hitachi Ltd | セキュリティ診断情報収集システム及びセキュリティ診断システム |
-
2003
- 2003-04-21 JP JP2003115381A patent/JP2004318759A/ja active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002251374A (ja) * | 2000-12-20 | 2002-09-06 | Fujitsu Ltd | 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
JP2002252654A (ja) * | 2001-02-23 | 2002-09-06 | Mitsubishi Electric Corp | 侵入検出装置およびシステムならびにルータ |
JP2004234401A (ja) * | 2003-01-31 | 2004-08-19 | Hitachi Ltd | セキュリティ診断情報収集システム及びセキュリティ診断システム |
Non-Patent Citations (1)
Title |
---|
岩井 博樹: "IDS導入の真価を探る Seek the merit in implementing IDS", N+I NETWORK 第3巻 第1号, vol. 第3巻, JPN6009038109, 1 January 2003 (2003-01-01), JP, pages 78 - 81, ISSN: 0001380937 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9846781B2 (en) | 2013-04-19 | 2017-12-19 | Entit Software Llc | Unused parameters of application under test |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11271955B2 (en) | Platform and method for retroactive reclassification employing a cybersecurity-based global data store | |
KR100351306B1 (ko) | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 | |
US8516586B1 (en) | Classification of unknown computer network traffic | |
CA2391701C (en) | Method and system for remotely configuring and monitoring a communication device | |
WO2019133451A1 (en) | Platform and method for enhanced-cyber-attack detection and response employing a global data store | |
US11240275B1 (en) | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture | |
CN100386994C (zh) | 客户机装置、服务器装置以及权限控制方法 | |
US20060174346A1 (en) | Instrumentation for alarming a software product | |
US20060031938A1 (en) | Integrated emergency response system in information infrastructure and operating method therefor | |
US20120005743A1 (en) | Internal network management system, internal network management method, and program | |
KR101011456B1 (ko) | 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템 | |
JP2009048251A (ja) | 機器データ管理システム | |
JP7204247B2 (ja) | 脅威対応自動化方法 | |
EP3647982B1 (en) | Cyber attack evaluation method and cyber attack evaluation device | |
JP2009048250A (ja) | 機器データ管理システム | |
KR20110110431A (ko) | 정보보안 장치 및 방법 | |
JP4843546B2 (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
WO2003021402A2 (en) | Network security | |
JP2004318759A (ja) | 攻撃情報管理装置、攻撃情報管理システム、攻撃情報管理方法、およびプログラム | |
JP2002149435A (ja) | ネットワーク集中監視方法 | |
JP2006330926A (ja) | ウィルス感染検知装置 | |
KR101662530B1 (ko) | 호스트의 악성 도메인 접근 탐지와 차단 시스템, 및 그 방법 | |
KR20070090460A (ko) | 컴퓨터·네트워크 통합 포렌식스 시스템 | |
JP2005227982A (ja) | セキュリティ監視機能を備えたネットワークシステム、ログデータ解析端末及び情報端末 | |
CA3122328A1 (en) | A system for, and a method of creating cybersecurity situational awareness, threat detection and risk detection within the internet-of-things space |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060329 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090728 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091124 |