JP2005250802A - 不正アクセス検出装置及び不正アクセス検出プログラム - Google Patents
不正アクセス検出装置及び不正アクセス検出プログラム Download PDFInfo
- Publication number
- JP2005250802A JP2005250802A JP2004059725A JP2004059725A JP2005250802A JP 2005250802 A JP2005250802 A JP 2005250802A JP 2004059725 A JP2004059725 A JP 2004059725A JP 2004059725 A JP2004059725 A JP 2004059725A JP 2005250802 A JP2005250802 A JP 2005250802A
- Authority
- JP
- Japan
- Prior art keywords
- data
- access
- statistical model
- storage device
- feature amount
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】システムの運用コストを軽減できる不正アクセス検出装置を提供する。
【解決手段】受信したアクセスデータ5を解析し、異常データの特徴を示す特徴量データ12を算出するアクセス解析手段22と、特徴量データ22を特徴量蓄積データ23に挿入する学習手段24と、特徴量蓄積データ13から正常アクセスとみなされる値域と異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータ14を記憶する統計モデル構成手段14と、統計モデルデータ14とアクセスデータ5に関する特徴量データ12を読み出すとともに、特徴量データ12が統計モデルの異常アクセスとみなされる値域に属するか否かを判定する未知異常データ検出手段23と、所定の制御規則に基づいて統計モデル構成手段に統計モデルを再構成させる統計モデル再構成制御手段26とを備える。
【選択図】 図1
【解決手段】受信したアクセスデータ5を解析し、異常データの特徴を示す特徴量データ12を算出するアクセス解析手段22と、特徴量データ22を特徴量蓄積データ23に挿入する学習手段24と、特徴量蓄積データ13から正常アクセスとみなされる値域と異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータ14を記憶する統計モデル構成手段14と、統計モデルデータ14とアクセスデータ5に関する特徴量データ12を読み出すとともに、特徴量データ12が統計モデルの異常アクセスとみなされる値域に属するか否かを判定する未知異常データ検出手段23と、所定の制御規則に基づいて統計モデル構成手段に統計モデルを再構成させる統計モデル再構成制御手段26とを備える。
【選択図】 図1
Description
本発明は、通信ネットワークから受信するアクセスデータにおいて、異常データを検知する不正アクセス検出装置及び不正アクセス検出プログラムに関する。
インターネット等の通信ネットワークの不正アクセスの検出において、一般的にはファイアウォール等を介して所定のIPアドレス及びポート番号から受信したパケットについては通過させない方法が一般的である。しかし、このファイアウォールで防ぐことのできない攻撃は多様であるが、その中で、ウェブサーバ上のセキュリティーホール、即ちオペレーションシステムやブラウザなどのソフトウェアのバグや脆弱性を狙った攻撃も多い。例えば、HTTPリクエストに特定の文字列が含まれていると、そのHTTPリクエストが解読され実行されることにより、ウェブサーバ上で稼働しているCGI(Common gateway Interface)等のソフトウェアが、バッファオーバーフローなどにより予期せぬ動作を引き起こすといったことが挙げられる。この様なウェブサーバ上のソフトウェアの脆弱性を狙った攻撃に対応するために、クライアントからウェブサーバに送信されるHTTPリクエストをアプリケーション層で中継及び解析し、予め既知の攻撃の特徴を格納した攻撃パターンファイルと比較し、マッチした場合にセッション中継を遮断することにより、ウェブサーバを防御する方法がある(例えば、特許文献1)。
しかし上述した方法においては、攻撃パターンファイルに格納されていない未知の攻撃からはウェブサーバを防御することができない問題点があった。
そこで、ウェブサーバなどインターネットに接続された装置送信されたアクセスデータにおいて、不正アクセスを検知する技術分野において、アクセスデータに含まれる値の範囲や文字種別などを分析し、その平均値や分散を求め、統計的に異常とされる閾値を計算する。更にその閾値に基づいて、あるアクセスデータが統計的に正常であるか異常であるかを判断することにより、そのアクセスデータが不正アクセスに関わるものであるか否かを検出する技術を確立することが求められている。この技術は、予め与えられた既知の異常パターン或いは正常パターンからだけでは検出できない、未知の不正アクセスを検出できることが期待されている(例えば、非特許文献1)。
しかし上述した技術においては、単純に統計的に計算された閾値のみに依存する場合、未知の不正アクセスが真に不正アクセスであるか否かの判断能力が必ずしも十分ではない。例えば、特に閾値の近傍に評価されるアクセスデータについては、判断の正確性が弱くなる傾向があり、その閾値の設定が適切でないと、具体的には、正常であるものを異常として検出してしまう後検出、又は異常なものを検出できない不検出を引き起こす一員となる。
未知の不正アクセスの誤検出と不検出を削除するためには、管理者や専門家の知識に基づく判断によって、管理端末において正常であるか異常であるかの閾値を補正することが考えられ得る。しかしこの方法においては、インターネットに接続された機器に対するアクセスは膨大かつ多様であり、管理端末へ出力される警報ログの量が多すぎると、管理者の手に負えず、結局放置されてしまう問題が生じる。
これを解決するため、発明者らは管理端末において運用中に閾値を適切に補正する方法を発明した(例えば、特許文献2)。特許文献2に記載の方法においては、閾値よりわずかに異常と評価される、閾値外の予め定められた閾値近傍に属するアクセスデータについては誤検出の可能性があるものとして、誤検出補正管理部へ受け渡し、閾値よりわずかに正常とされる、閾値内の予め定めた閾値近傍に属するアクセスデータについては不検出の可能性があるものとして、不検出補正管理部へ受け渡す。
特開2002−063084号公報
特願2003−318796
ISSN 0919−6072 情報処理学会研究報告 情処研報 Vol.2003,No.74 2003年7月17日〜18日発行 発行人 社団法人 情報処理学会 p.91〜96 「HTTPリクエスト解析による未知攻撃防御システム」 今野 徹、楯岡 正道
しかし、特許文献2に記載の方法においては、管理者の存在を前提として、管理端末により補正されるので、管理者に負担が強いられる問題がある。更に、運用中にデータの異常性の判断基準、例えば閾値を変更するための手段がなかった。従って、運用時間が長期に及ぶ場合、アクセスデータの傾向の変化に対し、適切に追随するためには管理端末に置いて常に監視をするなどの対策を採る必要があり、負担やコストがかかる問題があった。
そこで、管理装置を介さず、閾値及び閾値を決定する統計モデルを運用中に適切に再構成し、システム全体の運用コストを軽減することが求められている。
従って本発明の目的は、システムの運用コストを軽減できる不正アクセス検出装置及び不正アクセス検出プログラムを提供することである。
上記課題を解決するために、本発明の第1の特徴は、ネットワークセグメントから受信したアクセスデータを解析し、異常データの特徴を示す特徴量データを算出して記憶装置に記憶するアクセス解析手段と、特徴量データを特徴量蓄積データに挿入して記憶装置に記憶する学習手段と、特徴量蓄積データを記憶装置から読み出し、正常アクセスとみなされる値域と異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータとして記憶装置に記憶する統計モデル構成手段と、記憶装置から統計モデルデータとアクセスデータに関する特徴量データを読み出すとともに、特徴量データが統計モデルの異常アクセスとみなされる値域に属するか否かを判定する未知異常データ検出手段と、所定の制御規則に基づいて統計モデル構成手段に統計モデルを再構成させる統計モデル再構成制御手段とを備える不正アクセス検出装置である。
この様な本発明によれば、特徴量蓄積データの内容が、運用中に常に変化して新しくなるその変化の状況に応じて統計モデルを再構成することにより、運用中に、外部から指示を受けることなく閾値が適切に補正される。これにより、管理端末からの設定や外部装置との連携といった運用コストを軽減することができる。
又、特徴量蓄積データは所定のメモリ容量を備える領域に格納されており、新たな特徴量データを特徴量蓄積データに挿入するとメモリ容量を超える場合、特徴量蓄積データを記憶装置から読み出し、特徴量蓄積データから最も古い特徴量データを検索して特徴量蓄積データから消去し、新たな特徴量データを特徴量蓄積データに挿入することが好ましい。
これによると、不正アクセス検出装置が保護するべきサーバの構成に変更があった場合でも、新しい構成に対応するアクセスデータを用いて統計モデルを生成することができる。
又、アクセス解析手段は、更にアクセスデータを受信する頻度を算出し、アクセス頻度データとして記憶装置に記憶し、統計モデル再構成制御手段は、アクセス頻度データを記憶装置から読み出して、アクセス頻度データが所定の量より少ない場合のみ、統計モデル構成手段に統計モデルを再構成させることが好ましい。
これによると、統計モデル再構成制御手段においてアクセス解析部の処理負荷を考慮するので、アクセス解析手段の処理負荷に応じて統計モデルの再構成処理を実行するか否かを決定することができる。これにより、不正アクセス検出装置の計算資源を有効に活用することができる。
又、統計モデル構成手段は、特徴量蓄積データを記憶装置から読み出し、閾値係数を制御因子として異常アクセスの検出率及び正常アクセスの誤検出率の算出に基づいて閾値係数を評価して最適な閾値係数を決定することにより、正常アクセスとみなされる値域と異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータとして記憶装置に記憶するのが好ましい。
これによると、外部からの入力がなくとも、不正アクセス検出装置内で閾値係数を算出し、正常アクセスとみなされる値域と異常アクセスとみなされる値域と区分する統計モデルを参照することによって、新たなアクセスデータが正常データであるか異常データであるかを判別することができる。
又、統計モデル構成手段において、検出率と誤検出率とを統合した評価指標に基づいて最適な閾値係数を決定するのが好ましい。
これによると二つの相反する評価特性をと総合的に評価することができるので、少ない計算量で最適な閾値係数を算出することができる。
本発明の第2の特徴は、ネットワークセグメントから受信したアクセスデータを解析し、異常データの特徴を示す特徴量データを算出して記憶装置に記憶するステップと、特徴量データを特徴量蓄積データに挿入して記憶装置に記憶するステップと、特徴量蓄積データを記憶装置から読み出し、正常アクセスとみなされる値域と異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータとして記憶装置に記憶するステップと、記憶装置から統計モデルデータとアクセスデータに関する特徴量データを読み出すとともに、特徴量データが統計モデルの異常アクセスとみなされる値域に属するか否かを判定するステップと、所定の制御規則に基づいて統計モデルを再構成させるステップとを備える不正アクセス検出プログラムである。
又、特徴量蓄積データは所定のメモリ容量を備える領域に格納されており、新たな特徴量データを特徴量蓄積データに挿入するとメモリ容量を超える場合、特徴量蓄積データを記憶装置から読み出し、特徴量蓄積データから最も古い特徴量データを検索して特徴量蓄積データから消去し、新たな特徴量データを特徴量蓄積データに挿入することが好ましい。
又、特徴量データを算出して記憶装置に記憶するステップは、更にアクセスデータを受信する頻度を算出し、アクセス頻度データとして記憶装置に記憶し、統計モデルを再構成させるステップは、アクセス頻度データを記憶装置から読み出して、アクセス頻度データが所定の量より少ない場合のみ、統計モデルを再構成させることが好ましい。
又、統計モデルデータとして記憶装置に記憶するステップは、特徴量蓄積データを記憶装置から読み出し、閾値係数を制御因子として異常アクセスの検出率及び正常アクセスの誤検出率の算出に基づいて閾値係数を評価して最適な閾値係数を決定することにより、正常アクセスとみなされる値域と異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータとして記憶装置に記憶するのが好ましい。
又、統計モデルデータとして記憶装置に記憶するステップにおいて、検出率と誤検出率とを統合した評価指標に基づいて最適な閾値係数を決定するのが好ましい。
本発明によれば、システム全体の運用コストを軽減できる不正アクセス検出装置及び不正アクセス検出プログラムを提供することができる。
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。
(第1の実施の形態)
図1を参照して、本発明の第1の実施の形態に係る不正アクセス検出装置1を説明する。不正アクセス検出装置1は、既知の異常データを検出するとともに、未知の異常データを検出する装置である。本発明の第1の実施の形態に係る不正アクセス検出装置1は、例えば、インターネットやイントラネットなどの第1のネットワークセグメント2から受信したアクセスデータ5が正常データの場合、アクセスデータ5を第2のネットワークセグメント3に通過させ、アクセスデータ5が異常データの場合、アクセスデータ5を第2のネットワークセグメント3に通過させることなく破棄するか、不正アクセスの可能性ありと付加情報を添付して第2のネットワークセグメント3へ通過させる。ここで、アクセスデータ5は、例えばHTTPリクエスト、SMTPリクエストなどの通信プロトコルに基づく情報である。不正アクセス検出装置1は、例えば一般的なコンピュータに不正アクセス検出プログラムなどのソフトウェアプログラムがインストールされ、そのソフトウェアプログラムが中央処理制御装置において実行されることにより実現される。
図1を参照して、本発明の第1の実施の形態に係る不正アクセス検出装置1を説明する。不正アクセス検出装置1は、既知の異常データを検出するとともに、未知の異常データを検出する装置である。本発明の第1の実施の形態に係る不正アクセス検出装置1は、例えば、インターネットやイントラネットなどの第1のネットワークセグメント2から受信したアクセスデータ5が正常データの場合、アクセスデータ5を第2のネットワークセグメント3に通過させ、アクセスデータ5が異常データの場合、アクセスデータ5を第2のネットワークセグメント3に通過させることなく破棄するか、不正アクセスの可能性ありと付加情報を添付して第2のネットワークセグメント3へ通過させる。ここで、アクセスデータ5は、例えばHTTPリクエスト、SMTPリクエストなどの通信プロトコルに基づく情報である。不正アクセス検出装置1は、例えば一般的なコンピュータに不正アクセス検出プログラムなどのソフトウェアプログラムがインストールされ、そのソフトウェアプログラムが中央処理制御装置において実行されることにより実現される。
図2に示すように、本発明の第1の実施の形態に係る不正アクセス検出装置1は、中央処理制御装置101、ROM(Read Only Memory)102、RAM(Random Access Memory)103及び入出力インタフェース109が、バス110を介して接続されている。入出力インタフェース109には、入力装置104、表示装置105、通信制御装置106、記憶装置107及びリムーバブルディスク108が接続されている。
中央処理制御装置101は、入力装置104からの入力信号に基づいてROM102から不正アクセス検出装置1を起動するためのブートプログラムを読み出して実行し、更に記憶装置107に記憶されたオペレーティングシステムを読み出す。更に中央処理制御装置101は、入力装置104や通信制御装置106などの入力信号に基づいて、各種装置の制御を行ったり、RAM103や記憶装置107などに記憶されたプログラム及びデータを読み出してRAM103にロードするとともに、RAM103から読み出されたプログラムのコマンドに基づいて、データの計算又は加工など、後述する一連の処理を実現する処理装置である。
入力装置104は、操作者が各種の操作を入力するキーボード、マウスなどの入力デバイスにより構成されており、操作者の操作に基づいて入力信号を作成し、入出力インタフェース109及びバス110を介して中央処理制御装置101に送信される。表示装置105は、CRT(Cathode Ray Tube)ディスプレイや液晶ディスプレイなどであり、中央処理制御装置101からバス110及び入出力インタフェース109を介して表示装置105において表示させる出力信号を受信し、例えば中央処理制御装置101の処理結果などを表示する装置である。通信制御装置106は、LANカードやモデムなどの装置であり、不正アクセス検出装置1をインターネットやLANなどの通信ネットワークに接続する装置である。通信制御装置106を介して通信ネットワークと送受信したデータは入力信号又は出力信号として、入出力インタフェース及びバス110を介して中央処理制御装置101に送受信される。
記憶装置107は磁気ディスク装置であって、中央処理制御装置101で実行されるプログラムやデータが記憶されている。リムーバブルディスク108は、光ディスクやフレキシブルディスクのことであり、ディスクドライブによって読み書きされた信号は、入出力インタフェース109及びバス110を介して中央処理制御装置101に送受信される。
本発明の第1の実施の形態に係る不正アクセス検出装置1の記憶装置107には、不正アクセス検出プログラムが記憶されるとともに、既知攻撃パターン11、特徴量データ12、特徴量蓄積データ13、統計モデルデータ14が記憶される。又、不正アクセス検出プログラムが不正アクセス検出装置1の中央処理制御装置101に読み込まれ実行されることによって、既知異常データ検出手段21、アクセス解析手段22、未知異常データ検出手段23、学習手段24、統計モデル構成手段25、統計モデル再構成制御手段26が不正アクセス検出装置1に実装される。
既知異常データ検出手段21は、既知の攻撃パターンが記憶された既知攻撃パターン11を記憶装置107から読み出すとともに、不正アクセス検出装置1が第1のネットワークセグメント2から受信したアクセスデータ5を解析して既知攻撃パターン11と一致するか否かを判定する手段である。アクセスデータ5が既知攻撃パターン11に記憶されたパターンと一致した場合、アクセスデータ5は異常データとして検出される。
アクセス解析手段22は、第1のネットワークセグメント2から受信したアクセスデータ5を解析し、異常データの特徴を示す特徴量データ12を算出して記憶装置107に記憶する手段である。アクセス解析手段22は、既知異常データ検出手段21において既知攻撃パターン11に記憶されたパターンと一致しないアクセスデータ5基づく情報を既知異常データ検出手段21から受信して、既知攻撃パターン11に一致しないアクセスデータ5を解析するのが好ましい。アクセス解析手段22は、具体的には、通信制御装置106を介して受信したパケットデータから、パケットデータに付与されたシーケンス番号に基づいてクライアント−サーバ間のアクセスデータを組み立て、組み立てられたアクセスデータに対して字句解析や構文解析を行い、アクセスデータに含まれる文字区分や数値情報などを抽出することにより、統計的な評価値データfmn(x)を算出して、特徴量データ12として記憶装置107に記憶する。
例えば、図3に示すようなHTTPリクエストを解析する場合を説明する。HTTPリクエストを意味のある文字列区分を抽出する。図3に示した例では、意味のある文字列区分とは、GETコマンドやPOSTコマンドなどのパラメータや、それらのパラメータにおいて指定されるCGIプログラムのパラメータなどの意味のある文字列区分などが第1乃至第3の文字列区分として定義されている。これらの各文字列区分mについての文字列特性、即ち異常で攻撃になりやすいとされる特定の文字種nが含まれるバイト数が、文字列区分m及び文字列特性nそれぞれについて、評価値データfmn(x)として算出され、特徴量データ12として記憶装置107に記憶される。例えば、文字列区分として2種類を扱い、文字列特性としてn種類に分類する場合、4×2=8種類の評価値データが算出される。
更に、アクセス解析手段22は、第1のネットワークセグメント2から受信したアクセスデータ5について、接続要求数やデータ転送量などのトラフィックに関する特徴量を算出し、特徴量データ12として更に挿入しても良い。
学習手段24は、特徴量データ12に記憶された特徴量データ12を特徴量蓄積データ13に挿入して記憶装置107に記憶する手段である。
統計モデル構成手段25は、特徴量蓄積データ13を記憶装置107から読み出し、正常アクセスとみなされる値域と異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータ14として記憶装置107に記憶する手段である。統計モデル構成手段25は、特徴量蓄積データ13を読み出して、統計処理により平均値や標準偏差を求め、例えば、マハラノビス距離として定義される特徴量空間を構築し、正常アクセスと異常アクセスとを分割する閾値を算出することにより求められる統計モデルを構成する。統計モデル構成手段25は、後述する統計モデル再構成制御手段26から送信されるトリガ信号を受信する度に、統計モデルを構成する。
ここで、統計モデル構成手段25は、特徴量蓄積データ13を記憶装置107から読み出し、閾値係数を制御因子として異常アクセスの検出率及び正常アクセスの誤検出率の算出に基づいて閾値係数を評価して最適な閾値係数を決定することにより、正常アクセスとみなされる値域と異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータ14として記憶装置に記憶しても良い。統計モデル構成手段25は、閾値係数Amnを制御因子として、後述するような評価方法により算出される。更に、統計モデル構成手段25において、検出率と誤検出率とを統合した評価指標に基づいて最適な閾値係数を決定しても良い。
未知異常データ検出手段23は、記憶装置107から統計モデルデータ14とアクセスデータ5に関する特徴量データ12を読み出すとともに、特徴量データ12が統計モデルの異常アクセスとみなされる値域に属するか否かを判定する手段である。異常アクセスであると検知されたアクセスデータ5は、第2のネットワークセグメント3に通過させずに破棄されるか、不正アクセスの可能性ありと付加情報が添付されて第2のネットワークセグメント3へ通過される。
統計モデル再構成制御手段26は、所定の制御規則に基づいて前記統計モデル構成手段に前記統計モデルを再構成させる手段である。統計モデル構成手段25に対して、所定の制御規則に従ってトリガ信号31を生成して送信することにより、統計モデル構成手段25に統計モデルを再構成させるのが好ましい。統計モデル再構成制御手段26は、特徴量蓄積データ13を常に読み出して、その蓄積状況に応じてその機能を有効としても良い。例えば、特徴量蓄積データ13に記憶された特徴量データの容量が所定の容量を超えた場合にトリガ信号31を生成し指示信号として統計モデル構成手段25に送信することにより、統計モデル構成手段25に統計モデルデータ14を生成させても良い。又、例えば統計モデル再構成制御手段26は、不正アクセス検出装置1に内蔵された時計機能を監視し、所定の時間が経過するとトリガ信号31を生成する。ここで所定の時間とは、例えば1日、1週間などの時間を示すもので、この時間は不正アクセス検出装置1の稼働状況に応じて予め定められているのが好ましい。
ここで、特徴量蓄積データ13は所定のメモリ容量を備える領域に格納されており、新たな特徴量データ12を特徴量蓄積データ13に挿入するとメモリ容量を超える場合、特徴量蓄積データ13を記憶装置107から読み出し、特徴量蓄積データ13から最も古い特徴量データを検索して特徴量蓄積データ13から消去し、新たな特徴量データ12を特徴量蓄積データ13に挿入するのが好ましい。即ち、特徴量蓄積データ13は、不正アクセス検出装置1のメモリやハードディスク等で構成される記憶装置107又はRAM103に蓄積されるので、これらのメモリ容量には一定の制約があるために、特に長期に及ぶ運用時間の全てに渡って、全ての解析結果を蓄積することはできない。従って、特徴量蓄積データ13は、例えば統計モデル再構成制御手段26によって、不要な特徴量データから破棄されるのが好ましい。
このとき、例えば過去の最も古い特徴量データから破棄する方法が考えられる。これにより、統計モデル再構成制御手段26は、最近の運用期間から可能な限り多くの解析結果に基づいて統計モデルを再構成させることができる。具体的には、メモリ容量の制約で特徴量蓄積データ13に割り当てられたメモリ容量が特徴量データの最大100万件分である場合を考える。例えば、統計モデル再構成制御手段26は、特徴量蓄積データ13に1万件蓄積される度に、統計モデル構成手段25に統計モデルを再構成させるトリガ信号31を送信し、100万件に達すると、最も古い1万件の解析結果を破棄するのが好ましい。
次に、図4を参照して、本発明の第1の実施の形態に係る不正アクセス検出方法を説明する。
まず、ステップS101において、第1のネットワークセグメント2から通信制御装置106によってアクセスデータ5が受信されると、ステップS102において、既知異常データ検出手段21によって既知攻撃パターン11と比較してアクセスデータ5が既知の異常データであるかが判定される。既知の異常データでない場合はステップS104に進み、異常データである場合はステップS107に進む。
ステップS103において異常データでないとされた場合、ステップS104において、アクセス解析手段22によってアクセスデータ5に基づいて特徴量データ12を算出するとともに、未知異常データ検出手段23によって、特徴量データ12と統計モデルデータ14とを比較して未知の異常データであるかが判定される。未知の異常データでない場合は、ステップS106においてアクセスデータ5を第2のネットワークセグメント3に通過させる。
ステップS103又はステップS105においてアクセスデータ5が異常データであると判定された場合、例えば、ステップS107においてアクセスデータ5を第2のネットワークセグメント3への通過が拒否される。
次に、図5を参照して、不正アクセス検出装置1の各処理について、運用時間に関連づけて説明する。
アクセス解析手段22によるアクセス解析処理は、運用開始から、アクセスデータ5を受信する度に定常的に実行され、アクセスデータ5の特徴量を算出する。一方、未知異常データ検出手段23による未知異常データ検出処理は、本発明の最良の実施の形態に係る不正アクセス検出装置1の運用初期は実行されず、所定の時間が経過した後に実行される。運用初期においては統計モデルデータ14が構成されていないので、異常を検出しないのが好ましい。所定の時間において十分な量のアクセスデータ5を受信し入力データとして蓄積された後、未知異常データ検出処理が実行されることにより、信頼性のある統計モデルの閾値に基づいて精度良未知異常データを検出することができる。
学習手段24による学習処理及び統計モデル構成手段25による統計モデル構成処理は、運用開始時から実行される。アクセス解析手段22によって算出された特徴量データ12は、学習手段24によって特徴量蓄積データ13に蓄積される。一方、統計モデル構成手段25による統計モデル構成処理は統計モデル再構成制御手段26からのトリガ信号31の受信を待機し、トリガ信号31を受信すると、統計モデルデータ14の構成を行う。
統計モデル再構成制御手段は、運用開始から準備状態となり、所定の時間が経過したり、所定の量の特徴量データが蓄積された場合などの制御規則に従って実行される。
これにより、不正アクセス検出装置1が保護するウェブサーバ等のサーバ構成の変更があった場合でも、管理端末を介すことなく統計モデルデータ14を再構成させることができる。例えば、ウェブサーバの運用上の理由から、ウェブサーバ上のHTMLファイルやCGIの構成が変更になった場合、古い構成に基づいたコンテンツに対するアクセスデータの統計モデルは不要であり、新しい構成のコンテンツに対するアクセスデータの統計モデルが新規に構成されなければならない。この様な場合、本発明の最良の実施の形態に係る不正アクセス検出装置1によると、管理端末を介すことなく適切な統計モデルが自動的に構成されることができる。
又、統計モデル再構成制御手段26は、特徴量蓄積データ13から所定の時間毎にデータをサンプリングして、サンプリングされなかった特徴量データを破棄する制御規則を適用しても良い。これにより統計モデル再構成制御手段26は、運用開始時からの全てに渡る解析結果から平滑に情報を抽出して統計モデルを再構成できるので、限られたリソースに記憶された多様なデータを可能な限り利用して、統計モデルデータ14を作成して、異常データを検出することもできる。
この様な、特徴量蓄積データ13の状況は、本発明の第1の実施の形態に係る不正アクセス検出装置1の特徴量蓄積データ13の状況は、運用時間中に常に変化して新しくなるので、その変化の状況に応じて統計モデル再構成制御手段26はトリガ信号31を統計モデル構成手段25に送信し、統計モデル構成手段25に統計モデルデータ14を再構成させることができる。これにより、不正アクセス検出装置1は、管理端末等の外部からの操作を必要することなく、運用に伴って生成された統計モデルデータに基づいて閾値が適切に補正される。
従って本発明によれば、従来のように管理端末が装置を監視して管理者によって閾値が補正されたり、管理者が装置を制御する工程を割愛することができるので、システムの運用コストを軽減することができる。
ここで、本発明の実施の形態における統計モデル構成手段25の具体的な処理を説明する。
本発明の実施の形態に係る不正アクセス検出装置1の統計モデル構成手段25は、第2のネットワークセグメント3側に設置されウェブサーバ等の不正アクセス検出装置1が保護するサーバへのアクセスデータが蓄積された特徴量蓄積データ13を読み出し、統計分布を求め、統計的に異常とみなしうる閾値を算出し、その閾値に基づいて、統計的に正常であるいか異常であるかを判定する。即ち、HTTPリクエストの評価値が式1の範囲内のときに正常アクセスと判断し、範囲外のときに異常、即ち未知の攻撃データに関わると判断される。
式1における平均値と標準偏差は、図6に示すような特徴量蓄積データ13の統計を取ることにより、即ち、アクセスデータ5に基づくHTTPリクエストデータを採取することにより決定される。一方、閾値係数Amnは、統計モデル構成手段25によって設定される値である。閾値係数Amnは、文字列区分m及び文字列特性nのそれぞれに応じて最良の値が決定される。
統計モデル構成手段25が算出する閾値係数Amnは、不正アクセス検出装置1の性能評価に影響を与える係数である。不正アクセス検出装置1の性能評価として、検出率が高く、誤検出率が低いことが要求される。
検出率とは未知の攻撃を見逃さずに検出する確率であって、式2の様に示される。
検出率は、1に近ければ近いほど良い特性である。値が大きければ大きいほど良い特性は、品質工学では望大特性と呼ばれる。ただし、「率」の単位は値域が0〜1なので、例えばオメガ変換を適用して値域を−∞〜+∞と変換し、解析精度を高めた上で、望大特性として評価する。
一方、誤検出率とは、正当なアクセスを未知攻撃として誤検出する確率であって、式3の様に示される。
誤検出率は、小さければ小さいほど良い特性である。この様な特性は、品質工学では望小特性と呼ばれる。誤検出率もオメガ変換を適用して、L18実験の推定精度を向上させる。
ここで、検出率(1−q)と誤検出率(p)については、不正アクセス検出装置1の入力と出力との間で、図7のような関係になる。
アクセスデータを正常か異常かを判別する閾値係数Amnの組合せにより、検出率と誤検出率は別々に変化するとともに、一方を良くすると他方が悪くなる傾向がある。ここでは、検出率及び誤検出率の双方を向上させる統計モデルデータ14を生成する。
一般に、システムの最適化を図るためには、システムの設計条件を変化させて、システムの入力と出力の関係を評価することが必要である。このシステムの設計条件を品質工学では「制御因子」と呼ぶ。即ち実験の条件である。
本発明の実施の形態に係る不正アクセス検出装置1では、閾値係数Amnを制御因子とした。閾値係数Amnの決め方によって、本システムによる検出率と誤検出率に影響を及ぼすので、閾値係数Amnを制御因子とする。一般的な傾向として、閾値係数Amnが大きい値であるほど検出率が高くなるが、誤検出率も高くなってしまう。逆に、閾値係数Amnが小さい値であるほど誤検出率が低くなるが、検出率も低くなってしまう。この様な相反している検出率と誤検出率について、両者が共に良くなるような、最適な閾値係数Amnを実験により見つけていく。
本発明の実施の形態においては、文字列区分mとして2種類を扱い、文字列特性nとして4種類に分類する場合を仮定した。一般には、HTTPリクエストから文字列区分や文字列特性を多様に抽出できるのであるが、これらに意味的なグルーピングを適用して、m*n=2*4=8通りとし、制御因子として取り扱い易くした。
そして、制御因子が8個の場合、タグチメソッドの「L18直交表」が適用できることに着目した。L18直交表とは、8個の制御因子に対し、2水準乃至3水準の値を割付けることにより、合計18通りの実験を行うこととする実験の計画表のことである。L18直交表によれば、本来4374通りの組合せ実験をしなければならないところを、18回の実験のみで、最適値を推定できる。
今回は、閾値係数Amnにおけるm、n各々の組合せ(図8で単に因子記号と表す)に対して、水準値として、現行条件、及び現行条件から加減して振った値を割付けた。現行条件とは、制御因子の現在の設定値のことであり、図8では○印が付されている。なお、因子記号A〜Hは、品質工学でL18直交表を説明するときの呼称であり、Aには2水準を割付け、B〜Hには3水準を割付けることとなっている。ここで、因子記号A〜Hは、m、n各々の組合せで決定される。
図8の割付け表から、L18直交表の定義に従って変換すると、図9に示すL18直交表が作成される。L18直交表は、どのような割付け方をしても、ある因子のどの水準に対しても、他の要因の全部の水準が同数回ずつ現れるようになっている。実験は、このようなL18直交表に従った条件に基づいて、検出率と誤検出率の算出について18通り行えば良い。
図8に示した各セルには、実験No.毎に子記号A〜Hに適用される閾値係数Amnがマッピングされている。図9に示した18通りの実験について、これらの各セルにマッピングされた閾値係数Amnに基づいて検出率及び誤検出率が算出されることにより、最適な閾値係数Amnが算出される。
ここで、誤差因子について説明する。品質工学において、誤差因子とは、品質をばらつかせる原因の総称であり、設計者が直接的に制御できないものである。これはノイズとも呼ばれる。本発明の実施の形態に係る不正アクセス検出装置1の場合、品質すなわち検出率と誤検出率をばらつかせる原因となるものであって、設計者が直接的に制御できないものとして、誤差因子はウェブサイトであるということができる。
タグチメソッドでは、誤差因子を取り入れて実験することで、安定性のある制御因子の条件を効率よく選択する。すなわち、誤差因子による品質特性への影響を計算に入れて、平均的に品質特性が良くなるようなシステムを目指すのである。そして、効率性の観点から、実験に取り入れる誤差因子の条件数は少ない方が好ましい。
本発明の実施の形態に係る不正アクセス検出装置1の場合は実験回数を極力減らす為、誤差因子の水準を2とした。すなわち、品質特性が最悪になる条件N1と、品質特性が最良になる条件N2を、実験に取り入れる。現行条件における本システムの結果をふまえ、誤差因子は以下のように定めた。
・誤差因子N1:現行条件で品質特性が悪かったウェブサイト
・誤差因子N2:現行条件で品質特性が良かったウェブサイト
図10に誤検出数及び検出数のL18実験結果を示す。図10(a)の表の誤検出数は、N1、N2の各ウェブサイトについて、実際のウェブアクセスから採取したHTTPリクエストの正常パターンの試験データの中で、未知攻撃検出システムによって誤って攻撃と判断されたパターン数である。一方、図10(b)の表の検出数は、N1、N2の各ウェブサイトについて、(仮想的に)流した攻撃パターンの試験データの中で、未知攻撃検出システムによって攻撃と判断されたパターン数である。誤検出数と検出数は、実験No.が異なると、判断基準となる閾値係数Amnの設定値が異なっているので、異なる結果となっている。
・誤差因子N2:現行条件で品質特性が良かったウェブサイト
図10に誤検出数及び検出数のL18実験結果を示す。図10(a)の表の誤検出数は、N1、N2の各ウェブサイトについて、実際のウェブアクセスから採取したHTTPリクエストの正常パターンの試験データの中で、未知攻撃検出システムによって誤って攻撃と判断されたパターン数である。一方、図10(b)の表の検出数は、N1、N2の各ウェブサイトについて、(仮想的に)流した攻撃パターンの試験データの中で、未知攻撃検出システムによって攻撃と判断されたパターン数である。誤検出数と検出数は、実験No.が異なると、判断基準となる閾値係数Amnの設定値が異なっているので、異なる結果となっている。
誤検出率は、図10(a)の誤検出数/正常パターン総数から計算される。検出率は、図10(b)の検出数/攻撃パターン総数から計算される。そしてオメガ変換を行うが、オメガ変換とは、特性値が「率」の単位である場合に、その値域0〜1を、−∞〜+∞へと変換することであり、これにより全値域での解析精度が上がる。具体的には、特性値をyとしたとき、オメガ変換後の特性値 y’ は、以下により計算される。
図11は、オメガ変換後の誤検出率に関するSN比の要因効果図である。横軸は制御因子とその水準値の組み合わせを列挙しており、縦軸は各制御因子の水準値によるSN比を表している。品質工学で言うSN比とは、SN比が高いほど、誤差因子による影響にかかわらず望ましい品質特性が得られる、ということを定量的に表現している。SN比の単位はデシベル(db)で表す。例えば、SN比が3db上がると分散(ばらつき)が1/2になることを意味し、10db上がると分散が1/10になることを意味する。
ここで、誤検出率は、すでに述べたように、望小特性である。望小特性におけるSN比は、
と定義される。また、SN比の要因効果図の右側には、要因効果図を見る際に必要な、分散分析表を付した。fを自由度、Sを変動、Vを分散という。各因子の中で、Vの値が、因子eのVの値より大きいものが、有意な因子であるという。図中、有意な因子にはVの欄に網掛けを記した。
図12 は、オメガ変換後の検出率に関するSN比の要因効果図である。検出率は、すでに述べたように、望大特性である。望大特性におけるSN比は、
と定義される。SN比は、主効果を仮定していることから、SN比同士で加法性が成り立つ。つまり、各制御因子のSN比の総和がシステムのSN比ということになる。タグチメソッドでは、各制御因子によるSN比の総和が最も高くなる条件が、最適条件であると推定する。
図11と図12において、○印を付けたのは現行条件である。そして、□印を付けたのは、分散分析にて有意な因子で、SN比を現行条件よりも高くする最適条件である。図11及び図12において共通に有効な因子としては、制御因子A〜Hの中で特に注目されるのは、制御因子Eである。制御因子Eを、現行条件のE2からE3と変えることによって、誤検出率において特にSN比が向上することが見て取れる。ただし、検出率においてはE3よりもE1の方が良いので、誤検出率と検出率の両方を考慮すると微妙な結果である。又、因子Hは、誤検出率と検出率で相反する効果が見られるので、単純には選択しにくくなっている。
ここで、誤検出率と検出率を統合して分析した実験結果について説明する。品質工学では「デジタルデータの標準SN比」という評価手法がある。これは、本発明の最良の実施の形態の誤検出率と検出率のように相反する指標を、一つに統合して総合的な評価ができる方法であり、本発明の最良の実施の形態においてこの手法を使って分析を行った。
具体的には図13を参照して説明する。まず、上述した式3で示される誤検出率については、分子となる誤検出数をN1とN2で合算し、分母となる正常パターン総数もN1とN2で合算し、その比率をpとして計算する。そして、上述した式2で示される検出率については、分母と分子を同様にN1とN2で合算した比率を求めるが、誤検出率と同じ望小特性として扱うために、1−qとして計算する。そして、
と計算し、更に、
とする。このρの値を用いて、デジタルデータの標準SN比を以下により計算する。
これにより、式6の様に示される検出率と誤検出率を統合した指標を算出することにより、検出率及び誤検出率の送半関係にある評価特性を総合的に評価することができる。
次に図14を参照して、検出率と誤検出率を統合した、デジタルデータの標準SN比の要因効果図を説明する。因子EとGで、現行条件よりもSN比が向上する水準が見つかった。上述した検出率と誤検出率を別々に分析した場合では、有意な因子がEのみで、しかも検出率と誤検出率で効果は相反していたので選択しがたかった。これに対し今回の分析結果を加味すると、総合的なSN比が向上し、誤検出率の削減を優先する観点からは、因子EとGにより誤検出率も削減する事が出来る。もう一つわかることは、水準値を変えることでSN比がほぼ単調に増加していると見られる因子が、A、D、Eと3つあることである。これらの因子については、さらに外側の水準値(高い水準値)を設定して、実験してみる価値があるといえる。
今回、デジタルデータの標準SN比を使って分析したが、この方法は相反関係にある評価特性を総合的に評価する場合に有効な手法であり、この手法の適用で有意な因子を抽出できた。
次に、確認実験について説明する。品質工学では、要因効果図から推定した最適条件について、その効果を確認実験により確認しなければならない。なぜなら、L18直交表の実験には、現行条件や最適条件の実験は含まれることが殆どないからである(確率的には18/4375)。
我々は、現行条件と、図14で推定した最適条件と、有望な因子A、D、Eについて更に外側の水準を用いた実験条件で、確認実験を行った。外側の水準は図15のように水準3〜水準6として設定した。図中、○印は現行条件、□は推定した最適条件である。
確認実験の結果を図16に示す。図16の結果から、現行条件から最適条件へ変えることで、誤検出率がウェブサイトN2で0.00160→0.00053と改善され、標準SN比が約0.3デシベル向上する事が確認できた。一方、検出率については現行条件の値を維持している。
また、外側条件、外側条件2へ振ることにより、誤検出率がウェブサイトN1で0.014→0.012と改善され、標準SN比が約0.3 デシベル向上した。
さらに、外側条件2から外側条件3へ振ってみたが、誤検出率、検出率、標準SN比いずれも向上しておらず、効果としては外側条件2で頭打ちであるといえる。
上述したような今回の実験結果では、検出率についてみると、閾値係数に依存せず現行条件と同等であり、向上はしなかった。この結果は、今回検討した範囲内でのパラメータチューニングによる未知攻撃検出の限界を意味していると考えられる。つまり、検出率を向上するためには、他の方法(他の文字列特性)を研究するべきである、という指針が得られる。
誤検出率については、性能向上をはかる余地があることがわかり、誤検出率を改善する事ができた。ウェブサイトN1で0.014→0.012、WebサイトN2で0.00160→0.00053である。さらに、この改善から、HTTPリクエストの文字列特性に関して当初はわからなかった、誤検出率の改善寄与度が大きい制御因子(特定の文字列区分と文字列特性の組合せにおける閾値係数の最適値)を発見することができた。
この様に、本発明の実施の形態に係るHTTPの未知攻撃を検出する不正アクセス検出装置において、品質工学の手法を適用することにより、検出精度を向上させる最適化を行うことができた。HTTPの未知攻撃検出という、ソフトウェア分野における難しい問題を扱う場合でも、不正アクセス検出装置の最適性を定量的に評価できることを示した。さらに、検出率を向上させるには他の手法を研究していかねばならないという指針が得られ、誤検出率の向上については文字列特性に関する貴重なノウハウが発見できる。
また、今回の様に検出率と誤検出率といった様に制御因子の効き方が相反する場合には「デジタルデータの標準SN比」が有効な解析手段であることを示した。
ソフトウェアシステムを設計する際、設計にパラメータチューニングの要素があるならば、開発の早い段階から品質工学やタグチメソッドを適用することで、本発明の第1の実施の形態に係る不正アクセス検出装置のように、効率的かつ適切に目標を達成できる。
(第2の実施の形態)
次に、図17を参照して本発明の第2の実施の形態に係る不正アクセス検出装置1を説明する。
次に、図17を参照して本発明の第2の実施の形態に係る不正アクセス検出装置1を説明する。
図17に示した本発明の第2の実施の形態に係る不正アクセス検出装置1は、図1に示した本発明の第1の実施の形態に係る不正アクセス検出装置1に比べて、アクセス頻度データ15を備えている点が異なる。
本発明の第2の実施の形態に係るアクセス解析手段22は、アクセスデータ5を受信する頻度を算出し、アクセス頻度データ15として記憶装置107に記憶する。
一方、本発明の第2の実施の形態に係る統計モデル再構成制御手段26は、アクセス頻度データ15を記憶装置107から読み出して、アクセス頻度データ15が所定の量より少ない場合のみ、統計モデル構成手段に統計モデルを再構成させる。このとき、統計モデル再構成制御手段26は、統計モデル構成手段25に対して、所定の制御規則に従ってトリガ信号を生成して送信することにより、統計モデル構成手段に統計モデルを再構成させるのが好ましい。
次に、図18を参照して、本発明の第2の実施の形態に係る統計モデル再構成制御手段26の処理を説明する。
まず、ステップステップS201において、統計モデル再構成制御手段26は、所定の制御規則を満たすか否かを判定する。満たしている場合、ステップS202において、アクセス頻度データ15を記憶装置107から読み出す。
次にステップS203において統計モデル再構成制御手段26は、ステップS202において読み出されたアクセス頻度データが、所定の値より高いか否かを判定する。所定の値が高い場合、そのまま処理を終了し、又所定の制御規則を満たすタイミングまで待機する。
ステップS203において統計モデル再構成制御手段26が、ステップS202において読み出されたアクセス頻度データが、所定の値より低い場合、ステップS204において、トリガ信号を生成して、統計モデル構成手段25に送信し、統計モデル構成手段25に特徴量蓄積データ13を読み出させて統計モデルデータ14を生成させる。
この様な本発明の第2の実施の形態に係る不正アクセス検出装置1は、トラフィック量に応じて、統計モデルの再構成を行うか否かを指示することができる。
即ち、本発明の第1の実施の形態に係る不正アクセス検出装置1において、統計モデル構成手段25における処理は非常に負荷が高いので、アクセス解析手段22によってアクセスデータ5を解析し、未知異常データ検出手段23によって異常データを検出する処理を滞り無く行わなければならない場合、異常データを検出する処理のみでCPUの負荷を圧迫するため、統計モデルの再構成を頻繁に行うことは難しかった。即ち、頻繁にアクセスデータ5を受信している場合に統計モデルデータの再構成を行うと、最優先に実行されなければならない異常データの検出のプライオリティが低下することにより、第1のネットワークセグメント2から第2のネットワークセグメント3へのアクセスデータの通過に遅延を生じさせることとなる。これにより、不正アクセス検出装置1は、クライアント−サーバ間のトラフィックのボトルネックとなりスループットを低下させてしまう場合がある。
しかし、本発明の第2の実施の形態に係る不正アクセス検出装置1においては、アクセス解析手段22の処理負荷が記憶されたアクセス頻度データ15を統計モデル再構成制御手段26が監視することにより、アクセス解析手段22の処理負荷が低い場合、統計モデルの再構成の処理を行い、一方アクセス解析手段22の処理負荷が高い状況であれば統計モデルの再構成の処理を中止又は抑制する制御を行うことができる。
この様な、本発明の第2の実施の形態に係る不正アクセス検出装置1によれば、統計モデル再構成制御手段26がアクセス頻度データ15を監視することにより、不正アクセス検出装置1の計算資源を有効に活用することが可能となる。
(その他の実施の形態)
上記のように、本発明の最良の実施の形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなる。
上記のように、本発明の最良の実施の形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなる。
本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
1…不正アクセス検出装置
2、3…ネットワークセグメント
3…第2のネットワークセグメント
5…アクセスデータ
11…既知攻撃パターン
12…特徴量データ
13…特徴量蓄積データ
14…統計モデルデータ
15…アクセス頻度データ
21…既知異常データ検出手段
22…アクセス解析手段
23…未知異常データ検出手段
24…学習手段
25…統計モデル構成手段
26…統計モデル再構成制御手段
31…トリガ信号
101…中央処理制御装置
102…ROM
103…RAM
104…入力装置
105…表示装置
106…通信制御装置
107…記憶装置
108…リムーバブルディスク
109…入出力インタフェース
110…バス
2、3…ネットワークセグメント
3…第2のネットワークセグメント
5…アクセスデータ
11…既知攻撃パターン
12…特徴量データ
13…特徴量蓄積データ
14…統計モデルデータ
15…アクセス頻度データ
21…既知異常データ検出手段
22…アクセス解析手段
23…未知異常データ検出手段
24…学習手段
25…統計モデル構成手段
26…統計モデル再構成制御手段
31…トリガ信号
101…中央処理制御装置
102…ROM
103…RAM
104…入力装置
105…表示装置
106…通信制御装置
107…記憶装置
108…リムーバブルディスク
109…入出力インタフェース
110…バス
Claims (10)
- ネットワークセグメントから受信したアクセスデータを解析し、異常データの特徴を示す特徴量データを算出して記憶装置に記憶するアクセス解析手段と、
前記特徴量データを特徴量蓄積データに挿入して前記記憶装置に記憶する学習手段と、
前記特徴量蓄積データを前記記憶装置から読み出し、正常アクセスとみなされる値域と異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータとして前記記憶装置に記憶する統計モデル構成手段と、
前記記憶装置から統計モデルデータと前記アクセスデータに関する特徴量データを読み出すとともに、前記特徴量データが前記統計モデルの異常アクセスとみなされる値域に属するか否かを判定する未知異常データ検出手段と、
所定の制御規則に基づいて前記統計モデル構成手段に前記統計モデルを再構成させる統計モデル再構成制御手段
とを備えることを特徴とする不正アクセス検出装置。 - 前記特徴量蓄積データは所定のメモリ容量を備える領域に格納されており、新たな前記特徴量データを前記特徴量蓄積データに挿入すると前記メモリ容量を超える場合、前記特徴量蓄積データを前記記憶装置から読み出し、前記特徴量蓄積データから最も古い特徴量データを検索して前記特徴量蓄積データから消去し、前記新たな特徴量データを前記特徴量蓄積データに挿入することを特徴とする請求項1に記載の不正アクセス検出装置。
- 前記アクセス解析手段は、更に前記アクセスデータを受信する頻度を算出し、アクセス頻度データとして前記記憶装置に記憶し、
前記統計モデル再構成制御手段は、前記アクセス頻度データを前記記憶装置から読み出して、前記アクセス頻度データが前記所定の量より少ない場合のみ、前記統計モデル構成手段に前記統計モデルを再構成させる
ことを特徴とする請求項1又は2に記載の不正アクセス検出装置。 - 前記統計モデル構成手段は、前記特徴量蓄積データを前記記憶装置から読み出し、閾値係数を制御因子として異常アクセスの検出率及び正常アクセスの誤検出率の算出に基づいて前記閾値係数を評価して最適な閾値係数を決定することにより、前記正常アクセスとみなされる値域と前記異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータとして前記記憶装置に記憶する
ことを特徴とする請求項1乃至3のいずれか1項に記載の不正アクセス検出装置。 - 前記統計モデル構成手段において、前記検出率と前記誤検出率とを統合した評価指標に基づいて前記最適な閾値係数を決定する
ことを特徴とする請求項4に記載の不正アクセス検出装置。 - ネットワークセグメントから受信したアクセスデータを解析し、異常データの特徴を示す特徴量データを算出して記憶装置に記憶するステップと、
前記特徴量データを特徴量蓄積データに挿入して前記記憶装置に記憶するステップと、
前記特徴量蓄積データを前記記憶装置から読み出し、正常アクセスとみなされる値域と異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータとして前記記憶装置に記憶するステップと、
前記記憶装置から統計モデルデータと前記アクセスデータに関する特徴量データを読み出すとともに、前記特徴量データが前記統計モデルの異常アクセスとみなされる値域に属するか否かを判定するステップと、
所定の制御規則に基づいて前記統計モデルを再構成させるステップ
とを備えることを特徴とする不正アクセス検出プログラム。 - 前記特徴量蓄積データは所定のメモリ容量を備える領域に格納されており、新たな前記特徴量データを前記特徴量蓄積データに挿入すると前記メモリ容量を超える場合、前記特徴量蓄積データを前記記憶装置から読み出し、前記特徴量蓄積データから最も古い特徴量データを検索して前記特徴量蓄積データから消去し、前記新たな特徴量データを前記特徴量蓄積データに挿入することを特徴とする請求項6に記載の不正アクセス検出プログラム。
- 前記特徴量データを算出して記憶装置に記憶するステップは、更に前記アクセスデータを受信する頻度を算出し、アクセス頻度データとして前記記憶装置に記憶し、
前記統計モデルを再構成させるステップは、前記アクセス頻度データを前記記憶装置から読み出して、前記アクセス頻度データが前記所定の量より少ない場合のみ、前記統計モデルを再構成させる
ことを特徴とする請求項6又は7に記載の不正アクセス検出プログラム。 - 前記統計モデルデータとして前記記憶装置に記憶するステップは、前記特徴量蓄積データを前記記憶装置から読み出し、閾値係数を制御因子として異常アクセスの検出率及び正常アクセスの誤検出率の算出に基づいて前記閾値係数を評価して最適な閾値係数を決定することにより、前記正常アクセスとみなされる値域と前記異常アクセスとみなされる値域を区分する統計モデルを構成し、統計モデルデータとして前記記憶装置に記憶する
ことを特徴とする請求項6乃至8のいずれか1項に記載の不正アクセス検出プログラム。 - 前記統計モデルデータとして前記記憶装置に記憶するステップにおいて、前記検出率と前記誤検出率とを統合した評価指標に基づいて前記最適な閾値係数を決定する
ことを特徴とする請求項9に記載の不正アクセス検出プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004059725A JP4261389B2 (ja) | 2004-03-03 | 2004-03-03 | 不正アクセス検出装置及び不正アクセス検出プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004059725A JP4261389B2 (ja) | 2004-03-03 | 2004-03-03 | 不正アクセス検出装置及び不正アクセス検出プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005250802A true JP2005250802A (ja) | 2005-09-15 |
| JP4261389B2 JP4261389B2 (ja) | 2009-04-30 |
Family
ID=35031232
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004059725A Expired - Fee Related JP4261389B2 (ja) | 2004-03-03 | 2004-03-03 | 不正アクセス検出装置及び不正アクセス検出プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4261389B2 (ja) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007189644A (ja) * | 2006-01-16 | 2007-07-26 | Mitsubishi Electric Corp | 管理装置及び管理方法及びプログラム |
| JP2007235879A (ja) * | 2006-03-03 | 2007-09-13 | Mitsubishi Electric Corp | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
| JP2007264760A (ja) * | 2006-03-27 | 2007-10-11 | Nec Corp | ログ解析システム、ログ解析ツール設定方法およびプログラム |
| JP2008003862A (ja) * | 2006-06-22 | 2008-01-10 | Fuji Xerox Co Ltd | 監査ログ生成装置、監査事象記録プログラムおよび画像処理装置 |
| JP2008084306A (ja) * | 2006-08-28 | 2008-04-10 | Nagaoka Univ Of Technology | 工業製品の生産支援方法およびプログラム |
| JP2008146157A (ja) * | 2006-12-06 | 2008-06-26 | Mitsubishi Electric Corp | ネットワーク異常判定装置 |
| JP2008154010A (ja) * | 2006-12-19 | 2008-07-03 | Mitsubishi Electric Corp | データ処理装置及びデータ処理方法及びプログラム |
| JP2008165292A (ja) * | 2006-12-27 | 2008-07-17 | Kddi Corp | ウェブページの改竄検知装置、プログラム、および記録媒体 |
| JP2010157151A (ja) * | 2008-12-29 | 2010-07-15 | Kan:Kk | アクセス解析システム及びアクセス解析方法 |
| JP2011154483A (ja) * | 2010-01-26 | 2011-08-11 | Fujitsu Ltd | 異常検出装置、プログラム、及び異常検出方法 |
| JP2011192097A (ja) * | 2010-03-16 | 2011-09-29 | Hitachi Ltd | 異常検知方法およびそれを用いた情報処理システム |
| US8726085B2 (en) | 2011-02-14 | 2014-05-13 | International Business Machines Corporation | Anomaly detection to implement security protection of a control system |
| US9075410B2 (en) | 2011-02-15 | 2015-07-07 | International Business Machines Corporation | Abnormality detection for isolating a control system |
| JP2016217942A (ja) * | 2015-05-22 | 2016-12-22 | 株式会社東芝 | スクリーニング方法 |
| US10091225B2 (en) | 2015-05-13 | 2018-10-02 | Fujitsu Limited | Network monitoring method and network monitoring device |
| US10678911B2 (en) | 2011-02-04 | 2020-06-09 | International Business Machines Corporation | Increasing availability of an industrial control system |
| JP2020516979A (ja) * | 2017-04-13 | 2020-06-11 | オラクル・インターナショナル・コーポレイション | 電力不正使用検出のための新しい非パラメトリック統計的挙動識別エコシステム |
| KR102206296B1 (ko) * | 2020-05-06 | 2021-01-25 | 주식회사 이글루시큐리티 | 보안관제 학습데이터 레이블링시스템 및 그 방법 |
-
2004
- 2004-03-03 JP JP2004059725A patent/JP4261389B2/ja not_active Expired - Fee Related
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007189644A (ja) * | 2006-01-16 | 2007-07-26 | Mitsubishi Electric Corp | 管理装置及び管理方法及びプログラム |
| JP4559974B2 (ja) * | 2006-01-16 | 2010-10-13 | 三菱電機株式会社 | 管理装置及び管理方法及びプログラム |
| JP2007235879A (ja) * | 2006-03-03 | 2007-09-13 | Mitsubishi Electric Corp | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
| JP4668092B2 (ja) * | 2006-03-03 | 2011-04-13 | 三菱電機株式会社 | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
| JP2007264760A (ja) * | 2006-03-27 | 2007-10-11 | Nec Corp | ログ解析システム、ログ解析ツール設定方法およびプログラム |
| JP4600327B2 (ja) * | 2006-03-27 | 2010-12-15 | 日本電気株式会社 | ログ解析システム、ログ解析ツール設定方法およびプログラム |
| JP2008003862A (ja) * | 2006-06-22 | 2008-01-10 | Fuji Xerox Co Ltd | 監査ログ生成装置、監査事象記録プログラムおよび画像処理装置 |
| JP2008084306A (ja) * | 2006-08-28 | 2008-04-10 | Nagaoka Univ Of Technology | 工業製品の生産支援方法およびプログラム |
| JP2008146157A (ja) * | 2006-12-06 | 2008-06-26 | Mitsubishi Electric Corp | ネットワーク異常判定装置 |
| JP2008154010A (ja) * | 2006-12-19 | 2008-07-03 | Mitsubishi Electric Corp | データ処理装置及びデータ処理方法及びプログラム |
| JP2008165292A (ja) * | 2006-12-27 | 2008-07-17 | Kddi Corp | ウェブページの改竄検知装置、プログラム、および記録媒体 |
| JP2010157151A (ja) * | 2008-12-29 | 2010-07-15 | Kan:Kk | アクセス解析システム及びアクセス解析方法 |
| JP2011154483A (ja) * | 2010-01-26 | 2011-08-11 | Fujitsu Ltd | 異常検出装置、プログラム、及び異常検出方法 |
| JP2011192097A (ja) * | 2010-03-16 | 2011-09-29 | Hitachi Ltd | 異常検知方法およびそれを用いた情報処理システム |
| US10678911B2 (en) | 2011-02-04 | 2020-06-09 | International Business Machines Corporation | Increasing availability of an industrial control system |
| US8726085B2 (en) | 2011-02-14 | 2014-05-13 | International Business Machines Corporation | Anomaly detection to implement security protection of a control system |
| US9064110B2 (en) | 2011-02-14 | 2015-06-23 | International Business Machines Corporation | Anomaly detection to implement security protection of a control system |
| US9075410B2 (en) | 2011-02-15 | 2015-07-07 | International Business Machines Corporation | Abnormality detection for isolating a control system |
| US9354625B2 (en) | 2011-02-15 | 2016-05-31 | International Business Machines Corporation | Abnormality detection for isolating a control system |
| US10091225B2 (en) | 2015-05-13 | 2018-10-02 | Fujitsu Limited | Network monitoring method and network monitoring device |
| JP2016217942A (ja) * | 2015-05-22 | 2016-12-22 | 株式会社東芝 | スクリーニング方法 |
| JP2020516979A (ja) * | 2017-04-13 | 2020-06-11 | オラクル・インターナショナル・コーポレイション | 電力不正使用検出のための新しい非パラメトリック統計的挙動識別エコシステム |
| JP7191837B2 (ja) | 2017-04-13 | 2022-12-19 | オラクル・インターナショナル・コーポレイション | 電力不正使用検出のための新しい非パラメトリック統計的挙動識別エコシステム |
| JP7465939B2 (ja) | 2017-04-13 | 2024-04-11 | オラクル・インターナショナル・コーポレイション | 電力不正使用検出のための新しい非パラメトリック統計的挙動識別エコシステム |
| KR102206296B1 (ko) * | 2020-05-06 | 2021-01-25 | 주식회사 이글루시큐리티 | 보안관제 학습데이터 레이블링시스템 및 그 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4261389B2 (ja) | 2009-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4261389B2 (ja) | 不正アクセス検出装置及び不正アクセス検出プログラム | |
| CN109831465B (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
| US10581885B1 (en) | Reinforcement learning method in which discount factor is automatically adjusted | |
| US9588821B2 (en) | Automatic determination of required resource allocation of virtual machines | |
| EP2566130B1 (en) | Automatic analysis of security related incidents in computer networks | |
| US7801985B1 (en) | Data transfer for network interaction fraudulence detection | |
| US8959571B2 (en) | Automated policy builder | |
| EP3704837B1 (en) | Dynamic socket qos settings for web service (http) connections | |
| US7941538B2 (en) | Dynamic management of resource utilization | |
| US20110078291A1 (en) | Distributed performance monitoring in soft real-time distributed systems | |
| US20130343213A1 (en) | Methods and Computer Program Products for Correlation Analysis of Network Traffic in a Network Device | |
| US10193908B2 (en) | Data transfer for network interaction fraudulence detection | |
| US20220191230A1 (en) | Diagnosing and managing network vulnerabilities | |
| US20230018908A1 (en) | Feedback-based control system for software defined networks | |
| US8472332B2 (en) | Apparatus for detecting quality deterioration of a telecommunications network by discriminating periodic faults | |
| US20230146912A1 (en) | Method, Apparatus, and Computing Device for Constructing Prediction Model, and Storage Medium | |
| JP2013500668A (ja) | 遊休ネットワーク・デバイスの識別 | |
| CN113992544B (zh) | 端口流量分配的优化方法、装置 | |
| CN117336228A (zh) | 一种基于机器学习的igp仿真推荐方法、装置及介质 | |
| US8627472B2 (en) | Determining heavy distinct hitters in a data stream | |
| CN107566187B (zh) | 一种sla违例监测方法、装置和系统 | |
| EP3432544B1 (en) | System and method of determining ddos attacks | |
| JP4852124B2 (ja) | 異常データ検出装置、異常データ検出方法及び異常データ検出プログラム | |
| JP5974905B2 (ja) | 応答時間監視プログラム、方法および応答時間監視装置 | |
| CN116720023B (zh) | 浏览器运行数据的处理方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071019 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071106 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071226 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081014 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081113 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20090108 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090127 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090205 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120220 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |