JP2004336130A - Network state monitoring system and program - Google Patents
Network state monitoring system and program Download PDFInfo
- Publication number
- JP2004336130A JP2004336130A JP2003125397A JP2003125397A JP2004336130A JP 2004336130 A JP2004336130 A JP 2004336130A JP 2003125397 A JP2003125397 A JP 2003125397A JP 2003125397 A JP2003125397 A JP 2003125397A JP 2004336130 A JP2004336130 A JP 2004336130A
- Authority
- JP
- Japan
- Prior art keywords
- alert
- model
- information
- alerts
- generated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークの監視技術に関する。
【0002】
【従来の技術】
ネットワークへの様々な攻撃を検知してアラートを発生するIDS(侵入検知システム;Intrution Detection System)が開発され、利用されている(例えば、特許文献1)。IDSは、ネットワーク上の機器に何らかの攻撃が発生したときにアラートを発生する。
【0003】
しかし、従来のIDSは、攻撃の事実を取りこぼさないようにするため、攻撃に敏感に反応するように作られている。このため、普通の運用であっても、IDSからは大量のアラートが出力され続ける。そこで、現在、セキュリティ管理の分野では、実害のあるアラートのみを監視装置に表示してセキュリティ管理者に知らせるようにフィルタリングしている。フィルタリングされたアラートは捨てられている。捨てられたアラートには重要な情報が眠っていると考えられているが、その利用方法が確立していない。
【0004】
また、IDSから発行されるアラートを有効に活用するため、侵入パターンに応じた複数の検出パターンを準備しておき、発生したアラートを検出パターンと比較することにより、不正を検出することが特許文献1に開示されている。特許文献1に開示された監視システムでは、予め準備した検出パターンに一致しない侵入パターンについては、検知することができないという問題があった。
【0005】
【特許文献1】
特開2002−342276号公報
【0006】
また、従来、ネットワーク上に配置されるファイアウオール装置や各ネットワーク機器から出力される情報を、ネットワーク状態の管理に有効に活用することができなかった。また、従来は、情報システム全体を概観して、正常に使われているのか、一部のサイトで異常な使われ方をしているのか、全体的に異常な使われ方をしているのか、把握する手法が確立していない。
【0007】
【発明が解決しようとする課題】
本発明は、上述した事情に鑑みてなされたもので、信頼度の高いネットワーク状態監視システムを提供することを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成するため、本発明の第1の観点に係る、ネットワーク状態監視システムは、
ネットワーク上に配置され、ネットワークへの攻撃を検出し、攻撃を検出すると、アラートを発生する侵入検知手段と、
前記複数の侵入検知手段により発生されたアラートを特定する情報を収集するアラート情報収集手段と、
前記アラート情報収集手段により収集されたアラートに関する情報に基づいて生成されたアラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを記憶するモデル記憶手段と、
発生したアラートの履歴情報を取得するアラート履歴情報取得手段と、
前記アラート履歴情報取得手段で取得されたアラート履歴情報により特定されるアラートの組合せを前記モデル記憶手段に記憶されたモデルと対比し、いずれかのモデルに合致する場合には、登録されているアクションを実行し、いずれのモデルにも合致しない場合には、異常を検知する異常検知手段と、
を備えることを特徴とする。
【0009】
例えば、前記モデル記憶手段は、出力されたアラートの種類の組合せとアクションとを対応付けて記憶し、前記異常検知手段は、新たなアラートが発生した場合に、攻撃者とアラートの種類とを特定し、前記アラート履歴情報取得手段に記憶されているアラート履歴情報から、その攻撃者が過去に発行させたアラートの種類を求め、その攻撃者が過去に発行させたアラートの種類の組合せと今回のアラートの種類との組合せが、前記モデル記憶手段に記憶されているアラートの種類の組合せのいずれかに合致する場合には、登録されているアクションを実行し、いずれにも合致しない場合には、異常を通知する。
【0010】
例えば、前記モデル記憶手段は、出力されたアラートの種類の順番とアクションとを対応付けて記憶し、前記異常検知手段は、新たなアラートが発生した場合に、攻撃者とアラートの種類とを特定し、前記アラート履歴情報取得手段に記憶されているアラート履歴情報から、その攻撃者が過去に発行させたアラートの種類の順番を求め、その攻撃者が過去に発行させたアラートと今回のアラートとの種類の順番が、前記モデル記憶手段に記憶されているアラートの種類の順番のいずれかに合致する場合には、登録されているアクションを実行し、いずれにも合致しない場合には、異常を通知する。
【0011】
例えば、前記モデル記憶手段は、アラートの出力量の時間推移のモデルを記憶し、前記異常検知手段は、前記アラート履歴情報取得手段により取得されたアラートの量と前記アラートの出力量の時間推移のモデルとを対比し、対比結果に基づいて、異常を通知する。
【0012】
発生したアラートの種類に基づいて、アラート発生者を分類(クラスタリング)する分類手段を配置してもよい。また、アラートの発生者別に、発生したアラートの種類と量とを求める手段と、求めたアラートの種類と量とに基づいて、同一傾向のアラート発生者を同一の分類に分類する分類手段とを配置してもよい。
【0013】
通信量を測定する通信量測定手段をさらに配置し、前記モデル記憶手段は、前記通信量の時間推移のモデルを記憶し、前記異常検知手段は、前記通信量測定手段で測定された通信量と前記通信量の時間推移のモデルとを対比し、対比結果に基づいて、異常を通知するようにしてもよい。
【0014】
アクセス量を測定するアクセス量測定手段をさらに配置し、前記モデル記憶手段は、前記アクセス量の時間推移のモデルを記憶し、前記異常検知手段は、前記アクセス量測定手段で測定されたアクセス量と前記アクセス量の時間推移のモデルとを対比し、対比結果に基づいて、異常を通知するようにしてもよい。
【0015】
上記目的を達成するため、本発明の第2の観点に係るネットワーク状態監視システムは、
ネットワークへの攻撃を検出するとアラートを発生する複数の侵入検知手段から、発生したアラートの情報を収集するアラート情報収集手段と、
前記アラート情報収集手段により収集されたアラートの情報に基づいてアラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを生成するモデル生成手段と、
前記アラート情報収集手段により収集されたアラートの情報に基づいて、発生したアラートの履歴情報を生成するアラート履歴生成手段と、
を備えることを特徴とする。
【0016】
例えば、前記アラート情報収集手段は、複数のローカルシステムに配置された侵入検知手段が発生したアラートの情報を収集し、前記モデル生成手段は、前記アラート情報収集手段により収集された複数のローカルシステムで発生したアラートの情報に基づいて、アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを生成する手段と、発生したアラートの履歴情報を生成する手段と、各ローカルシステムの異常検出装置に、生成したモデルと履歴情報とを提供する送信手段と、を備える。
【0017】
上記目的を達成するため、本発明の第3の観点に係るネットワーク状態監視システムは、
ネットワークへの攻撃を検出する侵入検知手段から発生されるアラートを受信するアラート受信手段と、
前記アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを記憶するモデル記憶手段と、
前記侵入検知手段が発生したアラートの履歴情報を記憶するアラート履歴記憶手段と、
前記アラート受信手段で受信した新たなアラートと前記アラート履歴記憶手段に記憶されているアラートの履歴とから生成されたアラート情報を、前記モデル記憶手段に記憶されたモデルと対比し、いずれかのモデルに合致する場合には、登録されているアクションを実行し、いずれのモデルにも合致しない場合には、異常を検知する異常検知手段と、
を備えることを特徴とする。
【0018】
上記目的を達成するため、本発明の第4の観点に係る、コンピュータプログラムは、
コンピュータ又はコンピュータ群を、
ネットワークへの攻撃を検出するとアラートを発生する複数の侵入検知手段から、発生したアラートの情報を収集するアラート情報収集手段、
前記アラート情報収集手段で収集されたアラートの情報に基づいて、アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを生成するモデル生成手段、
前記アラート情報収集手段で収集されたアラートの情報に基づいて、発生したアラートの履歴情報を生成するアラート履歴生成手段、
として機能させることを特徴とする。
【0019】
上記目的を達成するため、本発明の第5の観点に係る、コンピュータプログラムは、
アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを記憶するモデル記憶手段、
発生したアラートの履歴情報を記憶するアラート履歴記憶手段、
ネットワークへの攻撃を検出する侵入検知手段からのアラートを受信するアラート受信手段、
前記アラート受信手段で受信した新たなアラートと前記アラート履歴記憶手段に記憶されているアラートの履歴とから生成されたアラート情報を、前記モデル記憶手段に記憶されたモデルと対比し、いずれかのモデルに合致する場合には、登録されているアクションを実行し、いずれのモデルにも合致しない場合には、異常を検知する異常検知手段、
として機能させる。
【0020】
【発明の実施の形態】
以下、本発明の実施の形態に係るネットワーク状態監視システムを備えたネットワークシステムを説明する。
【0021】
この実施形態に係るネットワークシステム11は、図1に示すように、複数のローカルシステム21(21−1〜21−n)と、該複数のローカルシステム21にWAN(広域ネットワーク)25を介して接続されたサイバー攻撃対処センタ23とを備える。
【0022】
各ローカルシステム21は、一又は複数の侵入検知システム(IDS;Intrusion Detection System)31と、ファイアウオール33と、異常検出装置35と、ルータ37と、一又は複数のネットワーク機器39と、を備える。
【0023】
各IDS31は、ローカルシステム21内の機器に何らかの攻撃があったときに、攻撃元のIPアドレス、ポート番号、攻撃対象のIPアドレス、ポート番号、攻撃の内容等を示すアラート(アラート情報)を異常検出装置35に出力する。
【0024】
異常検出装置35は、IDS31から出力されるアラートに基づいて、ローカルシステム21内の異常の有無を判別し、また、発生されたアラートの情報を集約してサイバー攻撃センタ23に通知する。また、ローカルシステム21内のシステム異常を検出し、その情報を集約してサイバー攻撃センタ23に通知する。
【0025】
異常検出装置35は、図2に示すように、制御部111と、記憶部112と、通信部113と、入力部114と、表示部115とを備える。
【0026】
制御部111は、プロセッサ等から構成され、記憶部112に記憶された動作プログラムに従って後述する異常検出動作を行う。
記憶部112には、制御部111の動作プログラムと共に、1)アラート出力パターンモデル、2)アラート出力シーケンシャルパターンモデル、3)攻撃者情報1及び2、4)時間遷移モデル、が記憶されている。
【0027】
ここで、1)アラート出力パターンモデルは、図3(a)に示すように、アラートの種類の組合せと、それに対するアクションとを対応付けるモデルである。「結論」に相当する種類のアラートが発生されたときに、それ以前のフラグ「1」が設定されている種類のアラートが出力されている場合に、対応する「アクション」を実行することを定義する。
【0028】
また、2)アラート出力シーケンシャルパターンモデルは、図3(b)に示すように、出力の順番まで考慮して、アラートの種類の組合せと、それに対するアクションとを対応付けるモデルである。登録されている順番通りにアラートが発生したときに、対応する「アクション」を実行することを定義する。
【0029】
3)攻撃者情報1は、図3(c)に示すように、攻撃者別に、どの種類のアラートを発生させたかを示す情報である。攻撃者情報2は、図3(d)に示すように、攻撃者別に、どのような順番でアラートを発生させたかを示す情報である。
【0030】
さらに、4)時間遷移モデルは、図4(a)〜(c)に示すように、IDS31から出力されるアラートの総量を予想するモデル、ルータ37等が判別するパケット量(トラヒック量;通信量)を予想するモデル、さらに、アクセス量(総アクセス量)を予想するモデル、等を含む。例えば、1日、1週間、1時間、等を1タイムスロットとして、過去の実績に基づいて、アラートの総量や、通信パケット量(トラヒック量;通信量)や、アクセス量を予想するモデルである。
【0031】
通信部113は、LAN(ローカルエリアネットワーク)を介して、ローカルシステム21内の各種装置やWAN25を介した通信を行う。入力部114は、各種情報、コマンド、等を入力する。表示部115は、各種情報を表示する。
【0032】
図1に示すファイアウオール33は、そこを通過する様々なアクセスを条件によって制限したり、あるいは内容を置き換えたりして外部からローカルシステム21を防護する。例えば、外部側の相手のIPアドレスを見て、通過を許したり許さなかったりの制御(パケット・フィルタリング)を行う。また、アクセスするプロトコル(http,SMTP,ftp,telnetなど)とアクセス方向(ローカルシステムから外部か、その逆か)に応じて通過を許したり許さなかったりの制御(アプリケーション・ゲートウエイ)を行う。なお、httpは、ホームページ送受信用のプロトコル。SMTP はインターネットメール送信のためのプロトコル。ftpは、ファイル転送用のプロトコル。telnetは、サーバにログインし、操作を行うためのプロトコルである。また、ファイアウオール33は、telnet,ftp等のセッションの履歴を取得し、異常検出装置35に履歴情報を提供する。
【0033】
ルータ37は、ローカルシステム21と外部のWAN25間の通信を可能とするものである。ルータ37は、ローカルシステム21と外部との間の通信量(パケット総量;トラヒック量)とを測定し、異常検出装置35に提供する。
【0034】
ネットワーク機器39は、クライアント端末、サーバ装置等から構成され、ローカルシステム21内部で相互にアクセスすると共にファイアウオール33、ルータ37を介して外部と通信を行う。ネットワーク機器39によるアクセス及びネットワーク機器へのアクセスの状況がIDS31により監視される。
【0035】
一方、サイバー攻撃対処センタ23は、各ローカルシステム21の各異常検出装置35の記憶部112に記憶されるモデルを適宜更新すると共にネットワーク全体を監視するためのものであり、1又は複数の侵入検知システム(IDS)31と、異常検出装置35と、ファイアウオール33と、ルータ37と、監視装置41と、攻撃者管理システム43と、DB(データベース)サーバ45と、を備える。
【0036】
侵入検知装置(IDS)31〜ルータ37までは、ローカルシステム21に配置されているものと実質的に同一である。
監視装置41は、システム全体及び各ローカルシステム21のネットワークコンデションを監視する装置であり、例えば、バッチ処理で、回帰分析等を用いたデータ・マイニング処理を行って、前述の種々のモデルを生成し、各ローカルシステム21の異常検出装置35に深夜などに配信する。
攻撃者管理システム43は、後述する攻撃者のクラスタリング結果(同一傾向の攻撃を行う攻撃者の分類)に基づいて、注視すべき攻撃者を登録する。
【0037】
DBサーバ45は、複数のローカルシステム21のIDS31から発行されたアラートの履歴、複数のローカルシステム21の異常検出装置35から出力された異常検出の通知の履歴、複数のローカルシステム21のファイアウオール33から出力されたアクセスの頻度の履歴、複数のローカルシステム21のルータ37から出力された通信パケットの総量等の情報を蓄積し、その履歴を取得する。また、DBサーバ45は、各ローカルシステム21で発生したシステム障害の情報等をも蓄積する。
【0038】
次に、上記構成のネットワーク状態監視システムによる監視動作を説明する。
まず、各ローカルシステム21内の異常検出装置35による異常検出動作を、図5〜図7のフローチャートを参照して説明する。
【0039】
まず、IDS31は、ローカルシステム21内のいずれかの機器への攻撃を検出すると、発生時間、攻撃者(IPアドレス、ポート番号)、攻撃を受けたもの(IPアドレス、ポート番号)、攻撃の内容、等を特定して、アラートを発行する。このアラートは異常検出装置35の通信部113を介して制御部111に伝達される。
【0040】
制御部111は、アラートに応答して、図5のフローチャートに示す異常検出処理を開始し、まず、アラートの内容(攻撃者、攻撃対象、アラートの種類)を特定する(ステップS11)。
次に、現在のタイムスロットのアラート数を+1する(ステップS12)。
続いて、アラート出力パターンに基づく異常検出を行う(ステップS13)。
続いて、アラート出力のシーケンシャルパターンに基づく異常検出を行う(ステップS14)。
【0041】
次に、ステップS13のアラート出力パターンに基づく異常検出処理について、図6を参照して説明する。
まず、ステップS11で特定したアラートの攻撃者をキーに、図3(c)に示す記憶部112に記憶されている攻撃者情報1を検索し、その攻撃者が過去にどのようなアラートを発生させているか、即ち、アラート発生履歴を特定する(ステップS21)。
【0042】
次に、特定した過去のアラート履歴と今回のアラートとの組合せが、図3(a)に示すアラート出力パターンモデルに登録されているか否かを判別する(ステップS22)。即ち、今回のアラートを「結論」、過去のアラート発生履歴を条件とするアラートの組合せがアラート出力パターンモデルに登録されているか否かを判別する(ステップS22)。
【0043】
登録されていれば、モデルに設定されているアクション(無視又はアラーム発生)を実行する(ステップS23)。
一方、登録されていなければ、アラームを発生する(ステップS24)。
【0044】
次に、今回のアラートが攻撃者情報1に登録されているか否かを判別し(ステップS25)、登録されていなければ、登録する(ステップS26)。
【0045】
以上の動作を具体例に基づいて説明すると、例えば、あるアラートが発生する直前の攻撃者情報1が図3(c)に示す内容で、アラート出力パターンモデルが(a)に示す内容であり、この状態で、攻撃者βによるアラートCが発生したとする。
【0046】
制御部111は、攻撃者βをキーに、攻撃者情報1を検索し、(アラートA,B,C,D...)について(1,0,0,1...)を求める(ステップS21)。(なお、フラグ「1」が過去にそのアラートが発生したことを示しているとする)。
【0047】
次に、判別した過去のアラートを条件として、今回のアラートを結果とするパターンが図3(a)のアラート出力パターンモデルに登録されているいずれかのパターンと一致するか否かを判別する(ステップS22)。すると、図3(a)の第3行に示すパターンに一致することが判別される。そこで、その行に設定されているアクションである「アラーム」が実行され、異常を示すアラームがステップS23で発行される。
【0048】
続いて、今回のアラートが攻撃者情報1に登録されているか否かを判別する(ステップS25)。この例では、図3(c)には攻撃者βとアラートCの組合せには、フラグがセットされていないので、新たにフラグをセットし、攻撃者情報1を(1,0,1、1...)に更新する(ステップS26)。
【0049】
なお、仮に、判別した過去のアラートを条件として、今回のアラートを結果とするパターンが図3(a)のアラート出力パターンモデルに登録されているいずれかのパターンと一致しない場合(ステップS22;No)は、アラームがステップS24で発行される。
【0050】
次に、ステップS14のアラート出力のシーケンシャルパターンに基づく異常検出処理について、図7を参照して説明する。
まず、ステップS11で特定したアラートの攻撃者をキーに、図3(d)に示す攻撃者情報2を検索し、その攻撃者が過去にどのよう順番でアラートを発生させているかを特定する(ステップS31)。
【0051】
次に、検索したアラートの履歴(シーケンス)の最後尾に今回発生したアラートを付け加え、アラートの新たなシーケンスを生成する(ステップS32)。
【0052】
次に、生成したアラートのシーケンスについて、アラートの取りうるシーケンシャルパターンを全て作成する(ステップS33)。仮に、n個のアラートのシーケンスが存在するとすれば、最初に、任意の2個を抽出して、これらのシーケンシャルパターンを作成する。次に、任意の3個を抽出して、これらのシーケンシャルパターンを作成する。...n個を抽出してシーケンシャルパターンを作成するまで、同様の処理を繰り返す。
【0053】
次に、ステップS33で生成した、アラートの取りうるシーケンシャルパターンのそれぞれについて、図3(b)に示すシーケンシャルモデルのいずれかに一致するか否か判別する(ステップS34)。
一致するものがあれば、モデルに設定されているアクション(無視又はアラーム発行)を実行する(ステップS35)。なお、取りうるシーケンシャルパターンの複数のものがモデルに一致する場合には、それぞれについて、アクションを実行する。
【0054】
一方、一致するものがなければ、アラームを発生する(ステップS36)。一致しないものが複数ある場合には、それぞれについて、アラームを発生する。
次に、今回のアラートを攻撃者情報2に登録する(ステップS37)。
【0055】
以上の動作を具体例で説明すると、例えば、あるアラートが発生する直前の攻撃者情報2が図3(d)に示すような内容で、アラート出力シーケンシャルパターンモデルが図3(b)に示す内容であり、この状態で、攻撃者βによるアラートCが発生したとする。
【0056】
すると、制御部111は、攻撃者がβで、アラートがCであることを判別し(ステップS11)、攻撃者βをキーに、攻撃者情報2を検索し(ステップS31)、攻撃者βによる攻撃のシーケンス(この例では、アラートA,アラートD)を求める。次に、このアラートのシーケンスの末尾に今回のアラートを追加し、(アラートA,アラートD,アラートC)というシーケンスを求める(ステップS32)。
【0057】
このアラートのシーケンスを、取りうるシーケンシャルパターンに展開し(ステップS33)、図8(a)に示す4つのシーケンシャルパターンが得られる。
次に、いずれかのパターンがシーケンシャルモデルのいずれかに合致するか否かを判別する(ステップS34)。この例では、第4行のパターン(アラートA、アラートD,アラートC)がアラート出力シーケンシャルパターンモデルの第3行のパターンに合致するので、そこに登録されているアクション「アラーム」を実行する(ステップS35)。続いて、今回のアラートを攻撃者情報2に追加し、図8(b)に示すように更新する(ステップS37)。
【0058】
なお、仮に、図8(a)に示す取りうるシーケンシャルパターンのいずれかが、図3(b)のアラート出力シーケンシャルパターンモデルのいずれにも一致しない場合(ステップS34;No)は、アラームがステップS36で発行される。
【0059】
以上で、アラート発生時の異常検出装置35の動作の説明を終了する。
【0060】
一方、異常検出装置35の制御部111は、時間遷移モデルに基づいて予め設定されているタイムスロットが終了するタイミングで、タイマ割込等に従って、図9に示す処理を実行する。
【0061】
まず、現在時刻が、時間遷移モデル上のタイムスロットのいずれに属すかを判別する(ステップS41)。
【0062】
次に、記憶部112に記憶されている現在のタイムスロットのアラート数(ステップS12でカウントされていたもの)を読み出し(ステップS42)、さらに、記憶部112に格納されている時間遷移アラートモデル(図4(a))を読み出し(ステップS43)、アラート数が予測範囲を逸脱しているか否かを判別する(ステップS44)。例えば、実際のアラート数が予測モデルが予測しているアラート数の2/3から4/3の範囲にあれば、これは予測範囲内であると判別し、また、この範囲以外であれば、予測範囲を逸脱していると判別する。実際のアラート数が予測範囲を逸脱する場合には、アラームを発生する(ステップS45)。一方、予測範囲内の場合には、例えば、何もしない。
【0063】
次に、パケットの入出力量(数)の履歴をルータ37に問い合わせて取得し(ステップS46)、記憶部112から、図4(b)に示すパケット入出量の時間遷移予測モデルを読み出し(ステップS47)、現タイムスロットの実際のパケット数が予測範囲を逸脱しているか否かを判別する(ステップS48)。例えば、実際のパケット数が予測モデルが予測しているパケット数の2/3から4/3の範囲にあれば、これは予測範囲内であると判別し、また、この範囲以外であれば、予測範囲を逸脱していると判別する。実際のパケット数が予測範囲を逸脱する場合には、アラームを発生し(ステップS49)、予測範囲内の場合には何もしない。
【0064】
次に、ファイヤウオール33に問い合わせて、現タイムスロットでのtelnet, ftp等の実際のアクセス頻度(量)を取得し(ステップS50)、記憶部112から、図4(c)に示すアクセス量の予測モデルを読み出し(ステップS51)、アクセス頻度が予測範囲を逸脱しているか否かを判別する(ステップS52)。例えば、実際のアクセス頻度が予測モデルが予測しているアクセス頻度の2/3から4/3の範囲にあれば、これは予測範囲内であると判別し、また、この範囲以外であれば、予測範囲を逸脱していると判別する。実際のアクセス頻度が予測範囲を逸脱する場合には、アラームを発生する(ステップS53)。一方、予測範囲内の場合には何もしない。
【0065】
以上で、今回の割り込み処理を終了する。
【0066】
次に、サイバー攻撃対処センタ23の動作を説明する。
前述のように、サイバー攻撃対処センタ23は、大きく分けて2つの機能を有する。第1は、前述の各異常検出装置35の記憶部112に記憶されるモデルを適宜更新する処理であり、第2は、ローカルシステム21全体を監視する処理である。
【0067】
まず、モデルを生成して、配信する処理について図10を参照して説明する。DBサーバ45は、深夜等に、全てのローカルシステム21の異常検出装置35にアクセスし、全てのログ情報(アラートログ、パケットの入出力量、エラーパケットの数、許可されていないトラヒックや許可されていてもtelnet,login,ftp等のセッションがあった場合のログ、パケットの入出量、エラーパケット数等の情報)、及び、ローカルシステム21に発生した異常の情報を取得する(ステップS61)。
【0068】
一方、監視装置41は、DBサーバ45が収集して蓄積したログに対して、データマイニングの手法を用いて、アラートの組とその結果とを対応付ける(ステップS62)。ここで、アラートの組とは、例えば、アラートの種類の組み合わせ(順番を問題としない)とアラートのシーケンス(順番を問題とする)との両方を含む。
【0069】
次に、監視装置41は、アラートの組合せの結果と任意に設定した基準とを比較して、結果が基準以上(重大)ならば、「アラームの発生」をアクションに設定し、結果が基準未満(軽微)ならば、「無視」をアクションに設定する(ステップS63)。例えば、ある特定のアラートの組合せが成立した後に、基準以上の重大な結果が発生する(蓋然性が高い)と判別された場合には、「アラームの発生」をアクションに設定する。逆に、ある特定のアラートの組合せが成立しても、なにも異変が起こらない(蓋然性が高い)と判別された場合には、「無視」をアクションに設定する。
【0070】
また、監視装置41は、アラートの履歴を攻撃者別にソートして、整理し、攻撃者情報1と攻撃者情報2とを更新する(ステップS64)。
【0071】
また、監視装置41は、収集したアラート履歴、通信パケット量、エラーパケット量、アクセス量などに基づいて、各ローカルシステム21で、今後の規定期間に発生するであろうアラートの量、通信パケットの量、アクセス量の予想値を求める(ステップS65)。この予想値を求める際には、月、日、曜日等を考慮する。これは、攻撃者は、「一定期間継続して攻撃を仕掛ける傾向」や、「複数の攻撃者が同時に攻撃を仕掛ける傾向」や「特定の曜日や時期に攻撃を仕掛ける傾向」があることに着目したものである。このようにして、時間遷移モデルを生成する。このような予想は、例えば、月、日、曜日等を説明変数に加えた回帰分析により可能である。
【0072】
このようにして、アラート出力パターンモデルと、アラート出力シーケンシャルパターンモデルと、3つの時間遷移モデルとを生成し、各異常検出装置35に配信する(ステップS66)。各異常検出装置35は、これらのモデルを受信して、記憶部112に記憶する。
【0073】
一方、攻撃者管理システム43は、図11に示すように、DBサーバ45よりアラート情報のログを受領する(ステップS71)。
【0074】
次に、図11に示すように、攻撃者別にアラートの種類とそのアラートの発生のさせ方を、図12に示すようにまとめ、アラートの発生のさせ方をベクトル化する(ステップS72)。即ち、アラートの種類別の発生回数を要素とするベクトルを生成する。各攻撃者のアラートの発生のさせ方をベクトル化する。生成されたベクトルを特徴ベクトルと呼ぶ。例えば、図12の攻撃者αであれば、(24,20,0,0)という特徴ベクトルが得られる。次に、特徴ベクトルを用いて、攻撃者をクラスタ化する(ステップS73)。即ち、各特徴ベクトルの類似度を求め(例えば、特徴ベクトルの単位ベクトル同士の内積を求めて、内積の小さいものは類似すると認定できる)、一定の基準に基づいて、類似の攻撃を行う攻撃者を1つのまとまりとして、攻撃者を分類する。さらに、図13に例示するように、クラスタ化した攻撃者を可視化して(ステップS74)、オペレータの要求に応じて、表示装置に表示する(ステップS75)。セキュリティ管理者は、分類結果を見て、攻撃者の特徴を把握し、注意が必要な攻撃者をピックアップし、今後の監視方式に役立てることができる。このような処理を行うことにより、例えば、図12の攻撃者αとγとが類似することが容易に判別できる。
【0075】
なお、アラートの発生のさせ方をベクトル化する手法は任意である。例えば、各攻撃者が単位時間に発生されたアラート数で表現することも可能である。
【0076】
監視装置41は、ネットワーク全体を監視し、各ローカルシステム21からのアラーム信号を検知し、ローカルシステム21毎及びネットワーク全体の異常状態を判別する。即ち、情報システムを概観して、正常に使われているのか、一部のサイトで異常な使われ方をしているのか、全体的に異常な使われ方をしているのか、等を判別する。そして、必要に応じて、各ローカルシステム21の異常検出のしきい値を修正したり、システム全体の安全性(ネットワークコンデンション)を調整する。
【0077】
例えば、監視装置41は、特定のローカルシステム21−kの異常検出装置35から異常状態が通知された場合に、そのローカルシステム21−kのネットワークコンデション(情報システムがどれだけ安全な状態かを示す指標)を引き上げ、そのローカルシステム21−kのIDS31のシグネチャ(攻撃と推測されるパケットの特徴をパターン化したもの)を、より危険の高い状態用のシグネチャに切り替えることを指示する。この指示に応答して、ローカルシステム21−kのIDS31は、シグネチャを切り替える。
【0078】
また、監視装置41は、例えば、特定数以上のローカルシステム21、例えば、2つ以上のローカルシステム21の異常検出装置35から異常状態が通知された場合に、本情報システムのネットワークコンデションを引き上げ、各ローカルシステム21のIDS31のシグネチャを、より危険の高い状態用のシグネチャに切り替えることを指示する。この指示に応答して、各ローカルシステム21のIDS31は、シグネチャを切り替える。
【0079】
このように、監視装置41は、情報システム全体を概観して、正常に使われているのか、一部のサイトで異常な使われ方をしているのか、全体的に異常な使われ方をしているのかを把握し、正常に使われている場合には、その状態を維持し(或いは、ネットワークコンデションを下げて)、一部のサイトで異常な使われ方をしている場合には、そのローカルサイトのネットワークコンデションのレベルを引き上げ、全体的に異常な使われ方をしている場合には、情報システム全体のネットワークコンデションを上げる等、情報システムの安全性を適宜高めることができる。
【0080】
以上、説明したように、この実施の形態によれば、IDS31のアラート出力のログを使って、アラート出力パターンモデル、アラート出力シーケンシャルパターンモデル、アラート出力量推移モデル等で表現し、各ローカルシステム21でのIDS31のアラートの出力され方の異常を検知し、対応するアクションを実行させることができる。
また、アラートが発生したときに、IDS31のアラート出力のログを使って、アラート出力パターンモデル、アラート出力シーケンシャルパターンモデルのいずれにも該当しない場合に、異常を報知させることにより、パターンモデルに登録されていない異常を検出できる。
【0081】
また、各ローカルシステム21のトラヒック(パケット量)をモデル化し、各サイトのトラヒックの異常を検知することができる。
さらに、蓄積されたファイアウオール33のログを使って、定常時の情報システムの状態(Telnet,ftpセッション等の頻度)をモデル化し、セッションの頻度の異常を検知することができる。
【0082】
さらに、監視装置で全体を監視して、システム全体のネットワークコンディションを決めることにより、IDS31のシグネチャの変更、ファイアウオール33のルール変更等のアクションを統一的に指示することができる。
また、攻撃者をアラートの特徴ベクトルで分類することにより、注視すべき攻撃者を特定しやすくなる。
【0083】
なお、この発明は上記実施の形態に限定されず、種々の変形及び応用が可能である。
【0084】
また、コンピュータ又はコンピュータ群に、上述の動作を実行するためのプログラム、即ち、上述のマウスポインタユーティリティプログラムを格納した媒体(フレキシブルディスク、CD−ROM等)から該プログラムをインストールすることにより、上述の処理を実行するコンピュータ等を構成することができる。なお、上述の機能を、OSが分担又はOSとアプリケーションの共同により実現する場合等には、OS以外の部分のみを媒体に格納してもよい。
【0085】
なお、搬送波をプログラム信号で変調して、通信を介して配信することも可能である。
【0086】
【発明の効果】
以上説明したように、本発明によれば、信頼性の高いネットワーク状態監視システムを提供できる。
【図面の簡単な説明】
【図1】本発明の実施形態に係る監視システムを備えるネットワークの構成例を示す図である。
【図2】図1に示す異常検出装置の構成例を示す図である。
【図3】異常監視装置に格納されるデータの例を示す図である。
【図4】異常監視装置に格納されるデータの例を示す図である。
【図5】IDSからアラートが発生された際の異常検出装置の動作を説明するためのフローチャートである。
【図6】図5のフローチャートのうち、アラート出力パターンモデルに基づく異常検出動作を説明するためのフローチャートである。
【図7】図5のフローチャートのうち、アラート出力のシーケンシャルパターンモデルに基づく異常検出動作を説明するためのフローチャートである。
【図8】(a)は、図7のステップS33で実行されるアラートのとりうるシーケンシャルパターンを求める処理を説明するための図、(b)は攻撃者情報2の更新された状態を示す図である。
【図9】時間遷移モデルに基づく異常検出処理を説明するためのフローチャートである。
【図10】モデル更新処理を説明するための図である。
【図11】攻撃者をクラスタリングする処理を説明するための図である。
【図12】攻撃者をクラスタリングする処理を説明するための図である。
【図13】攻撃者をクラスタリングし、可視化した例を説明するための図である。
【符号の説明】
21 ローカルシステム
23 サイバー攻撃対処センタ
33 ファイアウオール
35 異常検出装置
37 ルータ
41 監視装置
43 攻撃者管理システム
45 DBサーバ[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to network monitoring technology.
[0002]
[Prior art]
2. Description of the Related Art An IDS (Intrusion Detection System) that detects various attacks on a network and generates an alert has been developed and used (for example, Patent Document 1). The IDS generates an alert when any attack occurs on a device on the network.
[0003]
However, conventional IDSs are designed to be sensitive to attacks in order to keep the facts of the attack out of sight. Therefore, even in normal operation, a large amount of alerts are continuously output from the IDS. Therefore, in the field of security management, filtering is performed so that only alerts having a harmful effect are displayed on a monitoring device to notify a security manager. Filtered alerts have been discarded. It is thought that important information is asleep in the discarded alert, but its use has not been established.
[0004]
Further, in order to effectively utilize an alert issued from an IDS, a plurality of detection patterns corresponding to an intrusion pattern are prepared, and a fraud is detected by comparing the generated alert with the detection pattern. 1. The monitoring system disclosed in
[0005]
[Patent Document 1]
JP-A-2002-342276
[0006]
Conventionally, information output from a firewall device or each network device arranged on a network cannot be effectively used for managing a network state. Also, in the past, an overview of the entire information system was used to determine whether it was used properly, was used abnormally at some sites, or was used abnormally as a whole. , The method to grasp is not established.
[0007]
[Problems to be solved by the invention]
The present invention has been made in view of the above circumstances, and has as its object to provide a highly reliable network state monitoring system.
[0008]
[Means for Solving the Problems]
To achieve the above object, a network condition monitoring system according to a first aspect of the present invention comprises:
Intrusion detection means that is located on the network, detects attacks on the network, and generates an alert when an attack is detected;
Alert information collecting means for collecting information identifying an alert generated by the plurality of intrusion detecting means,
Model storage means for storing a model that associates an output pattern of an alert generated based on information about an alert collected by the alert information collection means with an action for the output pattern,
An alert history information acquisition unit for acquiring history information of an alert that has occurred,
The combination of alerts specified by the alert history information acquired by the alert history information acquisition unit is compared with the model stored in the model storage unit, and if any of the models matches, the registered action And if it does not match any of the models, an abnormality detection means for detecting an abnormality,
It is characterized by having.
[0009]
For example, the model storage unit stores the combination of the output type of alert and the action in association with each other, and the abnormality detection unit specifies the attacker and the type of alert when a new alert is generated. Then, from the alert history information stored in the alert history information acquiring means, the type of alert issued by the attacker in the past is obtained, and the combination of the type of alert issued by the attacker in the past and the current If the combination with the type of the alert matches any of the combinations of the types of the alerts stored in the model storage means, the registered action is executed. Notify an error.
[0010]
For example, the model storage unit stores the order of the type of the output alert and the action in association with each other, and the abnormality detection unit specifies the attacker and the type of the alert when a new alert occurs. Then, from the alert history information stored in the alert history information acquiring means, the order of the types of alerts issued by the attacker in the past is obtained, and the alert issued by the attacker in the past and the current alert are determined. If the order of the type matches any of the order of the types of alerts stored in the model storage means, the registered action is executed. Notice.
[0011]
For example, the model storage unit stores a model of a time transition of the output amount of the alert, and the abnormality detection unit stores the amount of the alert acquired by the alert history information acquiring unit and the time transition of the output amount of the alert. The model is compared, and an abnormality is notified based on the comparison result.
[0012]
Classification means for classifying (clustering) alert generators based on the type of alert that has occurred may be arranged. Further, a means for determining the type and amount of an alert that has occurred for each alert generator, and a classification means for classifying alert generators having the same tendency into the same category based on the type and amount of the determined alert are provided. It may be arranged.
[0013]
A communication amount measuring unit for measuring the communication amount is further arranged, the model storage unit stores a model of the time transition of the communication amount, and the abnormality detecting unit includes the communication amount measured by the communication amount measuring unit. A comparison may be made with the model of the time change of the communication traffic, and an abnormality may be notified based on the comparison result.
[0014]
An access amount measuring unit for measuring an access amount is further arranged, the model storage unit stores a model of a time transition of the access amount, and the abnormality detecting unit stores the access amount measured by the access amount measuring unit. A model may be compared with the time change model of the access amount, and an abnormality may be notified based on the comparison result.
[0015]
To achieve the above object, a network condition monitoring system according to a second aspect of the present invention comprises:
An alert information collection unit that collects information on an alert that has occurred from a plurality of intrusion detection units that generate an alert when a network attack is detected;
Model generation means for generating a model that associates an alert output pattern with an action for the output pattern based on the alert information collected by the alert information collection means,
Alert history generation means for generating history information of the generated alert based on the information of the alert collected by the alert information collection means,
It is characterized by having.
[0016]
For example, the alert information collecting means collects information on alerts generated by the intrusion detecting means arranged in a plurality of local systems, and the model generating means includes a plurality of local systems collected by the alert information collecting means. Based on the information on the alert that has occurred, means for generating a model that associates an output pattern of the alert with an action for the output pattern, means for generating history information of the alert that has occurred, and an abnormality detection device of each local system. Transmission means for providing the generated model and the history information.
[0017]
To achieve the above object, a network condition monitoring system according to a third aspect of the present invention comprises:
An alert receiving means for receiving an alert generated from an intrusion detecting means for detecting an attack on the network;
Model storage means for storing a model that associates the output pattern of the alert with an action for the output pattern,
Alert history storage means for storing history information of alerts generated by the intrusion detection means,
Alert information generated from the new alert received by the alert receiving means and the alert history stored in the alert history storage means is compared with a model stored in the model storage means, and any one of the models is compared. If it matches, the registered action is executed, and if it does not match any model, an abnormality detecting means for detecting an abnormality,
It is characterized by having.
[0018]
In order to achieve the above object, a computer program according to a fourth aspect of the present invention comprises:
Computer or group of computers,
An alert information collection unit that collects information on generated alerts from multiple intrusion detection units that generate alerts when network attacks are detected,
Model generation means for generating a model that associates an alert output pattern with an action for the output pattern based on the alert information collected by the alert information collection means,
Alert history generation means for generating history information of the generated alert based on the information of the alert collected by the alert information collection means,
It is characterized by functioning as
[0019]
To achieve the above object, a computer program according to a fifth aspect of the present invention comprises:
Model storage means for storing a model that associates an alert output pattern with an action for the output pattern,
Alert history storage means for storing history information of the alerts that have occurred,
Alert receiving means for receiving alerts from intrusion detection means for detecting attacks on the network,
Alert information generated from the new alert received by the alert receiving means and the alert history stored in the alert history storage means is compared with a model stored in the model storage means, and any one of the models is compared. If it does not match any of the models, execute the registered action.
Function as
[0020]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, a network system including a network state monitoring system according to an embodiment of the present invention will be described.
[0021]
The
[0022]
Each
[0023]
Each of the
[0024]
The
[0025]
As shown in FIG. 2, the
[0026]
The control unit 111 includes a processor and the like, and performs an abnormality detection operation described later according to an operation program stored in the
The
[0027]
Here, 1) the alert output pattern model is a model that associates a combination of alert types with an action corresponding to the combination, as shown in FIG. Defines that when an alert of the type corresponding to “conclusion” is generated, the corresponding “action” is executed when an alert of the type with the previous flag “1” is output. I do.
[0028]
Also, 2) the alert output sequential pattern model is a model that associates a combination of alert types with an action corresponding to the alert type in consideration of the output order, as shown in FIG. 3B. Define that the corresponding "action" is executed when an alert occurs in the registered order.
[0029]
3) The
[0030]
Further, 4) the time transition model is, as shown in FIGS. 4A to 4C, a model for estimating the total amount of alerts output from the
[0031]
The
[0032]
The
[0033]
The
[0034]
The
[0035]
On the other hand, the cyber
[0036]
The intrusion detection devices (IDS) 31 to the
The
The
[0037]
The
[0038]
Next, a monitoring operation by the network state monitoring system having the above configuration will be described.
First, the abnormality detection operation by the
[0039]
First, upon detecting an attack on any device in the
[0040]
The control unit 111 starts the abnormality detection processing shown in the flowchart of FIG. 5 in response to the alert, and first specifies the content of the alert (attacker, attack target, type of alert) (step S11).
Next, the number of alerts in the current time slot is incremented by one (step S12).
Subsequently, abnormality detection is performed based on the alert output pattern (step S13).
Subsequently, abnormality detection is performed based on the sequential pattern of the alert output (step S14).
[0041]
Next, the abnormality detection processing based on the alert output pattern in step S13 will be described with reference to FIG.
First, the
[0042]
Next, it is determined whether or not the combination of the specified past alert history and the current alert is registered in the alert output pattern model shown in FIG. 3A (step S22). That is, it is determined whether the current alert is “conclusion” and a combination of alerts based on the past alert occurrence history is registered in the alert output pattern model (step S22).
[0043]
If it is registered, the action (ignore or alarm generation) set in the model is executed (step S23).
On the other hand, if not registered, an alarm is generated (step S24).
[0044]
Next, it is determined whether or not the current alert is registered in the attacker information 1 (step S25), and if not, the alert is registered (step S26).
[0045]
The above operation will be described based on a specific example. For example, the
[0046]
The control unit 111 searches the
[0047]
Next, based on the determined past alert, it is determined whether or not the pattern resulting from the current alert matches any of the patterns registered in the alert output pattern model of FIG. Step S22). Then, it is determined that the pattern matches the pattern shown in the third row of FIG. Therefore, the action “alarm” set in the row is executed, and an alarm indicating an abnormality is issued in step S23.
[0048]
Subsequently, it is determined whether or not the current alert is registered in the attacker information 1 (step S25). In this example, since no flag is set in the combination of the attacker β and the alert C in FIG. 3C, a new flag is set and the
[0049]
Note that, if the pattern resulting from the current alert does not match any of the patterns registered in the alert output pattern model of FIG. 3A on the condition of the determined past alert (step S22; No) ), An alarm is issued in step S24.
[0050]
Next, the abnormality detection processing based on the sequential pattern of the alert output in step S14 will be described with reference to FIG.
First, the
[0051]
Next, the alert that has occurred this time is added to the end of the history (sequence) of the retrieved alert, and a new alert sequence is generated (step S32).
[0052]
Next, for the generated alert sequence, all possible sequential patterns of the alert are created (step S33). Assuming that a sequence of n alerts exists, first, two arbitrary alerts are extracted and these sequential patterns are created. Next, three sequential patterns are created by extracting three arbitrary patterns. . . . The same processing is repeated until n pieces are extracted and a sequential pattern is created.
[0053]
Next, it is determined whether or not each of the sequential patterns that can be taken by the alert generated in step S33 matches one of the sequential models shown in FIG. 3B (step S34).
If there is a match, the action (ignore or issue alarm) set in the model is executed (step S35). If a plurality of possible sequential patterns match the model, an action is executed for each of them.
[0054]
On the other hand, if there is no match, an alarm is generated (step S36). If there is more than one that does not match, an alarm is generated for each.
Next, the current alert is registered in the attacker information 2 (step S37).
[0055]
The above operation will be described in a specific example. For example, the
[0056]
Then, the control unit 111 determines that the attacker is β and the alert is C (step S11), searches the
[0057]
This alert sequence is developed into possible sequential patterns (step S33), and four sequential patterns shown in FIG. 8A are obtained.
Next, it is determined whether any of the patterns matches any of the sequential models (step S34). In this example, since the pattern on the fourth line (alert A, alert D, alert C) matches the pattern on the third line of the alert output sequential pattern model, the action “alarm” registered therein is executed ( Step S35). Subsequently, the current alert is added to the
[0058]
If one of the possible sequential patterns shown in FIG. 8A does not match any of the alert output sequential pattern models in FIG. 3B (step S34; No), the alarm is issued in step S36. Issued at
[0059]
This is the end of the description of the operation of the
[0060]
On the other hand, the control unit 111 of the
[0061]
First, it is determined which of the time slots on the time transition model the current time belongs to (step S41).
[0062]
Next, the number of alerts of the current time slot (counted in step S12) stored in the
[0063]
Next, the history of the packet input / output amount (number) is obtained by inquiring of the router 37 (step S46), and the time transition prediction model of the packet input / output amount shown in FIG. ), It is determined whether or not the actual number of packets in the current time slot is out of the prediction range (step S48). For example, if the actual number of packets is in the range of 2/3 to 4/3 of the number of packets predicted by the prediction model, it is determined that this is within the prediction range. It is determined that it is out of the prediction range. If the actual number of packets deviates from the prediction range, an alarm is generated (step S49), and if it is within the prediction range, nothing is done.
[0064]
Next, an inquiry is made to the
[0065]
This is the end of the current interrupt processing.
[0066]
Next, the operation of the cyber
As described above, the cyber
[0067]
First, a process of generating and distributing a model will be described with reference to FIG. The
[0068]
On the other hand, the
[0069]
Next, the
[0070]
Further, the
[0071]
Further, based on the collected alert history, the amount of communication packets, the amount of error packets, the amount of access, and the like, the
[0072]
In this way, an alert output pattern model, an alert output sequential pattern model, and three time transition models are generated and distributed to each abnormality detection device 35 (step S66). Each
[0073]
On the other hand, as shown in FIG. 11, the
[0074]
Next, as shown in FIG. 11, the types of alerts and the manner in which the alert is generated for each attacker are summarized as shown in FIG. 12, and the manner in which the alert is generated is vectorized (step S72). That is, a vector having the number of occurrences of each type of alert as an element is generated. Vectorize how each attacker generates an alert. The generated vector is called a feature vector. For example, in the case of the attacker α in FIG. 12, a feature vector of (24, 20, 0, 0) is obtained. Next, the attacker is clustered using the feature vector (step S73). That is, the similarity of each feature vector is obtained (for example, an inner product between unit vectors of the feature vector is obtained, and a product having a small inner product can be determined to be similar), and an attacker who performs a similar attack based on a predetermined criterion. As one unit, and classify the attackers. Further, as illustrated in FIG. 13, the clustered attackers are visualized (step S74) and displayed on the display device in response to the request of the operator (step S75). By looking at the classification result, the security administrator can grasp the characteristics of the attacker, pick up the attacker who needs attention, and use it for future monitoring methods. By performing such processing, for example, it can be easily determined that the attackers α and γ in FIG. 12 are similar.
[0075]
In addition, a method of vectorizing a method of generating an alert is arbitrary. For example, each attacker can be represented by the number of alerts generated per unit time.
[0076]
The
[0077]
For example, when the
[0078]
Further, the
[0079]
As described above, the
[0080]
As described above, according to the present embodiment, the log of the alert output of the
In addition, when an alert is generated, if an alert output log of the
[0081]
In addition, the traffic (packet amount) of each
Furthermore, using the accumulated log of the
[0082]
Furthermore, by monitoring the entire system with the monitoring device and determining the network condition of the entire system, it is possible to uniformly instruct actions such as a change in the signature of the
Further, by classifying the attackers by the feature vector of the alert, it is easy to specify the attackers to be watched.
[0083]
The present invention is not limited to the above embodiment, and various modifications and applications are possible.
[0084]
In addition, by installing a program for executing the above-described operation on a computer or a group of computers from a medium (flexible disk, CD-ROM, or the like) storing the above-described mouse pointer utility program, the above-described program is installed. A computer or the like that executes the processing can be configured. In the case where the above-described functions are realized by the sharing of the OS or the joint use of the OS and the application, only the portion other than the OS may be stored in the medium.
[0085]
Note that it is also possible to modulate a carrier with a program signal and distribute it via communication.
[0086]
【The invention's effect】
As described above, according to the present invention, a highly reliable network state monitoring system can be provided.
[Brief description of the drawings]
FIG. 1 is a diagram illustrating a configuration example of a network including a monitoring system according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating a configuration example of the abnormality detection device illustrated in FIG. 1;
FIG. 3 is a diagram illustrating an example of data stored in an abnormality monitoring device.
FIG. 4 is a diagram showing an example of data stored in the abnormality monitoring device.
FIG. 5 is a flowchart illustrating an operation of the abnormality detection device when an alert is generated from the IDS.
FIG. 6 is a flowchart for explaining an abnormality detection operation based on the alert output pattern model in the flowchart of FIG. 5;
FIG. 7 is a flowchart for explaining an abnormality detection operation based on a sequential pattern model of an alert output in the flowchart of FIG. 5;
8A is a diagram for explaining a process for obtaining a sequential pattern that can be taken by an alert executed in step S33 of FIG. 7, and FIG. 8B is a diagram showing an updated state of the
FIG. 9 is a flowchart illustrating an abnormality detection process based on a time transition model.
FIG. 10 is a diagram for explaining a model update process.
FIG. 11 is a diagram illustrating a process of clustering attackers.
FIG. 12 is a diagram illustrating a process of clustering attackers.
FIG. 13 is a diagram illustrating an example in which an attacker is clustered and visualized.
[Explanation of symbols]
21 Local system
23 Cyber Attack Response Center
33 Firewall
35 Anomaly detection device
37 router
41 Monitoring device
43 Attacker Management System
45 DB server
Claims (13)
前記複数の侵入検知手段により発生されたアラートを特定する情報を収集するアラート情報収集手段と、
前記アラート情報収集手段により収集されたアラートに関する情報に基づいて生成されたアラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを記憶するモデル記憶手段と、
発生したアラートの履歴情報を取得するアラート履歴情報取得手段と、
前記アラート履歴情報取得手段で取得されたアラート履歴情報により特定されるアラートの組合せを前記モデル記憶手段に記憶されたモデルと対比し、いずれかのモデルに合致する場合には、登録されているアクションを実行し、いずれのモデルにも合致しない場合には、異常を検知する異常検知手段と、
を備えることを特徴とするネットワーク状態監視システム。Intrusion detection means that is located on the network, detects attacks on the network, and generates an alert when an attack is detected;
Alert information collecting means for collecting information identifying an alert generated by the plurality of intrusion detecting means,
Model storage means for storing a model that associates an output pattern of an alert generated based on information about an alert collected by the alert information collection means with an action for the output pattern,
An alert history information acquisition unit for acquiring history information of an alert that has occurred,
The combination of alerts specified by the alert history information acquired by the alert history information acquisition unit is compared with the model stored in the model storage unit, and if any of the models matches, the registered action And if it does not match any of the models, an abnormality detection means for detecting an abnormality,
A network condition monitoring system comprising:
前記異常検知手段は、新たなアラートが発生した場合に、攻撃者とアラートの種類とを特定し、前記アラート履歴情報取得手段に記憶されているアラート履歴情報から、その攻撃者が過去に発行させたアラートの種類を求め、その攻撃者が過去に発行させたアラートの種類の組合せと今回のアラートの種類との組合せが、前記モデル記憶手段に記憶されているアラートの種類の組合せのいずれかに合致する場合には、登録されているアクションを実行し、いずれにも合致しない場合には、異常を通知する、
ことを特徴とする請求項1に記載のネットワーク状態監視システム。The model storage means stores the combination of the output alert type and the action in association with each other,
The abnormality detecting means, when a new alert is generated, identifies the attacker and the type of the alert, and from the alert history information stored in the alert history information acquiring means, causes the attacker to issue the alert in the past. The combination of the type of alert issued by the attacker in the past and the combination of the current alert type is determined as one of the combinations of the types of alerts stored in the model storage means. If they match, execute the registered action, and if they do not match, notify the abnormality,
The network status monitoring system according to claim 1, wherein:
前記異常検知手段は、新たなアラートが発生した場合に、攻撃者とアラートの種類とを特定し、前記アラート履歴情報取得手段に記憶されているアラート履歴情報から、その攻撃者が過去に発行させたアラートの種類の順番を求め、その攻撃者が過去に発行させたアラートと今回のアラートとの種類の順番が、前記モデル記憶手段に記憶されているアラートの種類の順番のいずれかに合致する場合には、登録されているアクションを実行し、いずれにも合致しない場合には、異常を通知する、
ことを特徴とする請求項1又は2に記載のネットワーク状態監視システム。The model storage unit stores the order of the type of the output alert and the action in association with each other,
The abnormality detecting means, when a new alert is generated, identifies the attacker and the type of the alert, and from the alert history information stored in the alert history information acquiring means, causes the attacker to issue the alert in the past. The order of the types of the alerts obtained is obtained, and the order of the types of the alerts issued by the attacker in the past and the current alerts matches one of the orders of the types of the alerts stored in the model storage means. In that case, execute the registered action, and if none of them match, notify the abnormality,
The network status monitoring system according to claim 1 or 2, wherein:
前記異常検知手段は、前記アラート履歴情報取得手段により取得されたアラートの量と前記アラートの出力量の時間推移のモデルとを対比し、対比結果に基づいて、異常を通知する、
ことを特徴とする請求項1、2又は3に記載のネットワーク状態監視システム。The model storage means stores a model of a time transition of the output amount of the alert,
The abnormality detection unit compares the amount of the alert acquired by the alert history information acquisition unit with a model of the time transition of the output amount of the alert, and notifies an abnormality based on the comparison result.
The network status monitoring system according to claim 1, 2 or 3, wherein:
前記モデル記憶手段は、前記通信量の時間推移のモデルを記憶し、
前記異常検知手段は、前記通信量測定手段で測定された通信量と前記通信量の時間推移のモデルとを対比し、対比結果に基づいて、異常を通知する、
ことを特徴とする請求項1乃至6のいずれか1項に記載のネットワーク状態監視システム。Further comprising a communication amount measuring means for measuring the communication amount,
The model storage means stores a model of the time transition of the traffic,
The abnormality detecting unit compares the traffic measured by the traffic measuring unit with a model of the time transition of the traffic, and notifies an abnormality based on the comparison result.
The network status monitoring system according to claim 1, wherein:
前記モデル記憶手段は、前記アクセス量の時間推移のモデルを記憶し、
前記異常検知手段は、前記アクセス量測定手段で測定されたアクセス量と前記アクセス量の時間推移のモデルとを対比し、対比結果に基づいて、異常を通知する、
ことを特徴とする請求項1乃至7のいずれか1項に記載のネットワーク状態監視システム。Further comprising an access amount measuring means for measuring the access amount,
The model storage means stores a model of a time transition of the access amount,
The abnormality detection unit compares the access amount measured by the access amount measurement unit with a model of the time transition of the access amount, and notifies an abnormality based on the comparison result.
The network status monitoring system according to any one of claims 1 to 7, wherein:
前記アラート情報収集手段により収集されたアラートの情報に基づいてアラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを生成するモデル生成手段と、
前記アラート情報収集手段により収集されたアラートの情報に基づいて、発生したアラートの履歴情報を生成するアラート履歴生成手段と、
を備えることを特徴とするネットワーク状態監視システム。An alert information collection unit that collects information on an alert that has occurred from a plurality of intrusion detection units that generate an alert when a network attack is detected;
Model generation means for generating a model that associates an alert output pattern with an action for the output pattern based on the alert information collected by the alert information collection means,
Alert history generation means for generating history information of the generated alert based on the information of the alert collected by the alert information collection means,
A network condition monitoring system comprising:
前記モデル生成手段は、前記アラート情報収集手段により収集された複数のローカルシステムで発生したアラートの情報に基づいて、アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを生成する手段と、発生したアラートの履歴情報を生成する手段と、各ローカルシステムの異常検出装置に、生成したモデルと履歴情報とを提供する送信手段と、を備える、
ことを特徴とする請求項9に記載のネットワーク状態監視システム。The alert information collecting means collects information on alerts generated by intrusion detection means arranged in a plurality of local systems,
The model generation unit generates a model that associates an alert output pattern with an action corresponding to the output pattern based on information on alerts generated in the plurality of local systems collected by the alert information collection unit. Means for generating history information of the generated alert, and transmission means for providing the generated model and history information to the abnormality detection device of each local system,
The network status monitoring system according to claim 9, wherein:
前記アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを記憶するモデル記憶手段と、
前記侵入検知手段が発生したアラートの履歴情報を記憶するアラート履歴記憶手段と、
前記アラート受信手段で受信した新たなアラートと前記アラート履歴記憶手段に記憶されているアラートの履歴とから生成されたアラート情報を、前記モデル記憶手段に記憶されたモデルと対比し、いずれかのモデルに合致する場合には、登録されているアクションを実行し、いずれのモデルにも合致しない場合には、異常を検知する異常検知手段と、
を備えることを特徴とするネットワーク状態監視システム。An alert receiving means for receiving an alert generated from an intrusion detecting means for detecting an attack on the network;
Model storage means for storing a model that associates the output pattern of the alert with an action for the output pattern,
Alert history storage means for storing history information of alerts generated by the intrusion detection means,
Alert information generated from the new alert received by the alert receiving means and the alert history stored in the alert history storage means is compared with a model stored in the model storage means, and any one of the models is compared. If it matches, the registered action is executed, and if it does not match any model, an abnormality detecting means for detecting an abnormality,
A network condition monitoring system comprising:
ネットワークへの攻撃を検出するとアラートを発生する複数の侵入検知手段から、発生したアラートの情報を収集するアラート情報収集手段、
前記アラート情報収集手段で収集されたアラートの情報に基づいて、アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを生成するモデル生成手段、
前記アラート情報収集手段で収集されたアラートの情報に基づいて、発生したアラートの履歴情報を生成するアラート履歴生成手段、
として機能させるコンピュータプログラム。Computer or group of computers,
An alert information collection unit that collects information on generated alerts from multiple intrusion detection units that generate alerts when network attacks are detected,
Model generation means for generating a model that associates an alert output pattern with an action for the output pattern based on the alert information collected by the alert information collection means,
Alert history generation means for generating history information of the generated alert based on the information of the alert collected by the alert information collection means,
Computer program to function as.
アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを記憶するモデル記憶手段、
発生したアラートの履歴情報を記憶するアラート履歴記憶手段、
ネットワークへの攻撃を検出する侵入検知手段からのアラートを受信するアラート受信手段、
前記アラート受信手段で受信した新たなアラートと前記アラート履歴記憶手段に記憶されているアラートの履歴とから生成されたアラート情報を、前記モデル記憶手段に記憶されたモデルと対比し、いずれかのモデルに合致する場合には、登録されているアクションを実行し、いずれのモデルにも合致しない場合には、異常を検知する異常検知手段、
として機能させるコンピュータプログラム。Computer or group of computers,
Model storage means for storing a model that associates an alert output pattern with an action for the output pattern,
Alert history storage means for storing history information of the alerts that have occurred,
Alert receiving means for receiving alerts from intrusion detection means for detecting attacks on the network,
Alert information generated from the new alert received by the alert receiving means and the alert history stored in the alert history storage means is compared with a model stored in the model storage means, and any one of the models is compared. If it does not match any of the models, execute the registered action.
Computer program to function as.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003125397A JP3697249B2 (en) | 2003-04-30 | 2003-04-30 | Network status monitoring system and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003125397A JP3697249B2 (en) | 2003-04-30 | 2003-04-30 | Network status monitoring system and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004336130A true JP2004336130A (en) | 2004-11-25 |
JP3697249B2 JP3697249B2 (en) | 2005-09-21 |
Family
ID=33502677
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003125397A Expired - Lifetime JP3697249B2 (en) | 2003-04-30 | 2003-04-30 | Network status monitoring system and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP3697249B2 (en) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006077666A1 (en) * | 2004-12-28 | 2006-07-27 | Kyoto University | Observation data display device, observation data display method, observation data display program, and computer-readable recording medium containing the program |
JP2007335951A (en) * | 2006-06-12 | 2007-12-27 | Kddi R & D Laboratories Inc | Communicating monitoring apparatus, communicating monitoring method, and program |
US7752663B2 (en) | 2005-05-12 | 2010-07-06 | Hitachi, Ltd. | Log analysis system, method and apparatus |
JP2016027491A (en) * | 2011-09-15 | 2016-02-18 | マカフィー, インコーポレイテッド | Method, logic and apparatus for real-time customized threat protection |
JP2017139558A (en) * | 2016-02-02 | 2017-08-10 | 日本電信電話株式会社 | Abnormality detection device, abnormality detection system, abnormality detection method, and program |
EP3246841A4 (en) * | 2015-01-16 | 2017-12-06 | Mitsubishi Electric Corporation | Data assessment device, data assessment method, and program |
EP3460701A4 (en) * | 2016-06-23 | 2019-05-22 | Mitsubishi Electric Corporation | Intrusion detection device and intrusion detection program |
JP2019080211A (en) * | 2017-10-26 | 2019-05-23 | 株式会社日立製作所 | Countermeasure planning system and monitoring device for control system |
JP2021018630A (en) * | 2019-07-22 | 2021-02-15 | ソフトバンク株式会社 | Alarm aggregation sorting device and alarm aggregation sorting method |
AT523933A4 (en) * | 2020-11-18 | 2022-01-15 | Ait Austrian Inst Tech Gmbh | Method for classifying abnormal operating states of a computer network |
-
2003
- 2003-04-30 JP JP2003125397A patent/JP3697249B2/en not_active Expired - Lifetime
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006077666A1 (en) * | 2004-12-28 | 2006-07-27 | Kyoto University | Observation data display device, observation data display method, observation data display program, and computer-readable recording medium containing the program |
US7752663B2 (en) | 2005-05-12 | 2010-07-06 | Hitachi, Ltd. | Log analysis system, method and apparatus |
JP2007335951A (en) * | 2006-06-12 | 2007-12-27 | Kddi R & D Laboratories Inc | Communicating monitoring apparatus, communicating monitoring method, and program |
JP2016027491A (en) * | 2011-09-15 | 2016-02-18 | マカフィー, インコーポレイテッド | Method, logic and apparatus for real-time customized threat protection |
KR20160128434A (en) * | 2011-09-15 | 2016-11-07 | 맥아피 인코퍼레이티드 | System and method for real-time customized threat protection |
KR101898793B1 (en) * | 2011-09-15 | 2018-09-13 | 맥아피, 엘엘씨 | System and method for real-time customized threat protection |
EP3246841A4 (en) * | 2015-01-16 | 2017-12-06 | Mitsubishi Electric Corporation | Data assessment device, data assessment method, and program |
US10171252B2 (en) | 2015-01-16 | 2019-01-01 | Mitsubishi Electric Corporation | Data determination apparatus, data determination method, and computer readable medium |
JP2017139558A (en) * | 2016-02-02 | 2017-08-10 | 日本電信電話株式会社 | Abnormality detection device, abnormality detection system, abnormality detection method, and program |
EP3460701A4 (en) * | 2016-06-23 | 2019-05-22 | Mitsubishi Electric Corporation | Intrusion detection device and intrusion detection program |
JP2019080211A (en) * | 2017-10-26 | 2019-05-23 | 株式会社日立製作所 | Countermeasure planning system and monitoring device for control system |
JP2021018630A (en) * | 2019-07-22 | 2021-02-15 | ソフトバンク株式会社 | Alarm aggregation sorting device and alarm aggregation sorting method |
JP7034989B2 (en) | 2019-07-22 | 2022-03-14 | ソフトバンク株式会社 | Alarm aggregation sorting device and alarm aggregation sorting method |
AT523933A4 (en) * | 2020-11-18 | 2022-01-15 | Ait Austrian Inst Tech Gmbh | Method for classifying abnormal operating states of a computer network |
AT523933B1 (en) * | 2020-11-18 | 2022-01-15 | Ait Austrian Inst Tech Gmbh | Method for classifying abnormal operating states of a computer network |
Also Published As
Publication number | Publication date |
---|---|
JP3697249B2 (en) | 2005-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11522887B2 (en) | Artificial intelligence controller orchestrating network components for a cyber threat defense | |
US10476749B2 (en) | Graph-based fusing of heterogeneous alerts | |
US11902322B2 (en) | Method, apparatus, and system to map network reachability | |
US11201882B2 (en) | Detection of malicious network activity | |
EP2040435B1 (en) | Intrusion detection method and system | |
US7752665B1 (en) | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory | |
Treinen et al. | A framework for the application of association rule mining in large intrusion detection infrastructures | |
EP3712797A1 (en) | Explaining causes of network anomalies | |
US10476752B2 (en) | Blue print graphs for fusing of heterogeneous alerts | |
US20020059078A1 (en) | Probabilistic alert correlation | |
JP6442051B2 (en) | How to detect attacks on computer networks | |
KR20150091775A (en) | Method and System of Network Traffic Analysis for Anomalous Behavior Detection | |
Iturbe et al. | Towards large-scale, heterogeneous anomaly detection systems in industrial networks: A survey of current trends | |
White et al. | Cooperating security managers: Distributed intrusion detection systems | |
Wurzenberger et al. | AECID: A Self-learning Anomaly Detection Approach based on Light-weight Log Parser Models. | |
JP3697249B2 (en) | Network status monitoring system and program | |
JP6616045B2 (en) | Graph-based combination of heterogeneous alerts | |
CN114189361B (en) | Situation awareness method, device and system for defending threat | |
CN114172881A (en) | Network security verification method, device and system based on prediction | |
Lee et al. | Sierra: Ranking anomalous activities in enterprise networks | |
Bailey et al. | Intrusion detection using clustering of network traffic flows | |
WO2017176673A1 (en) | Blue print graphs for fusing of heterogeneous alerts | |
US20230009270A1 (en) | OPC UA-Based Anomaly Detection and Recovery System and Method | |
Capuzzi et al. | IRSS: Incident response support system | |
Singhal et al. | Intrusion detection systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050323 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050329 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050621 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050701 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 3697249 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080708 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090708 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090708 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100708 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110708 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110708 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120708 Year of fee payment: 7 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120708 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130708 Year of fee payment: 8 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |