JP2006093832A - 侵入検知システム及び侵入検知プログラム並びに侵入検知情報分析装置及び侵入検知情報分析プログラム - Google Patents
侵入検知システム及び侵入検知プログラム並びに侵入検知情報分析装置及び侵入検知情報分析プログラム Download PDFInfo
- Publication number
- JP2006093832A JP2006093832A JP2004273497A JP2004273497A JP2006093832A JP 2006093832 A JP2006093832 A JP 2006093832A JP 2004273497 A JP2004273497 A JP 2004273497A JP 2004273497 A JP2004273497 A JP 2004273497A JP 2006093832 A JP2006093832 A JP 2006093832A
- Authority
- JP
- Japan
- Prior art keywords
- intrusion
- record
- attack
- unit
- monitoring target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 監視対象システムに対するネットワーク経由の侵入を示す記録から、攻撃に対する対処要否を運用者に提示する侵入検知システムを得る。
【解決手段】 検出部11は、監視対象システム15が接続されたネットワーク19上のパケットを取得し、この取得したパケットから攻撃者の侵入を検出し、この検出された攻撃対象装置を含む侵入記録をデータ蓄積部12に蓄積し、このデータ蓄積部12に蓄積された侵入記録の攻撃対象装置と、予め監視対象定義部14により定義された監視対象システム15内の装置とを分析部13により比較して、侵入記録が監視対象システム15に対する攻撃かどうかを判定して、攻撃に対する対処の必要性を判定し、この分析部13の判定で対処の必要性のある侵入記録を表示部18で表示して、運用者に知らせるようにした。
【選択図】図1
【解決手段】 検出部11は、監視対象システム15が接続されたネットワーク19上のパケットを取得し、この取得したパケットから攻撃者の侵入を検出し、この検出された攻撃対象装置を含む侵入記録をデータ蓄積部12に蓄積し、このデータ蓄積部12に蓄積された侵入記録の攻撃対象装置と、予め監視対象定義部14により定義された監視対象システム15内の装置とを分析部13により比較して、侵入記録が監視対象システム15に対する攻撃かどうかを判定して、攻撃に対する対処の必要性を判定し、この分析部13の判定で対処の必要性のある侵入記録を表示部18で表示して、運用者に知らせるようにした。
【選択図】図1
Description
この発明は、 監視対象システムに対するネットワーク経由の攻撃を検知し、対処の要否を運用者に提示する侵入検知システム及び侵入検知プログラム、並びに監視対象システムに対するネットワーク経由の攻撃を分析し、対処の要否を運用者に提示する侵入検知情報分析装置及び侵入検知情報分析プログラムに関するものである。
従来、ネットワークを監視する侵入検知システムでは、パケット、監視対象システムのログ等に含まれるポート番号、特定のデータ列等の特徴から、コンピュータシステムに対する侵入の有無を判定している。例えば、特許文献1では、ネットワークを通過するパケットと、そのパケットに対する応答パケットを検査することにより、侵入の有無を判定している。
侵入検知システムの別の形態として、監視対象システムのログから異常を検知する特許文献2及び特許文献3では、ユーザーの振る舞いの解析によって異常を判定するか、もしくは通常のアクセス経路と比較することで、侵入の有無を判定している。
また、これらの侵入検知システムを視覚的に示す方式として、特許文献4がある。特許文献4は、分析対象ログファイルをフォーマット変換した後、複数の分析対象ログを統合し、統合されたログを分析して不正アクセスの有無を判断するもので、不正アクセスの可能性に応じて、色分けされて表示される。
侵入検知システムでは、正常動作と異常動作を区別することで、侵入を検知するが、攻撃手法が多様であり、すべての侵入を漏れなく検出し、正常動作を誤って異常と検出することを皆無にすることは非常に困難である。判定の結果、侵入を見逃すフォルス・ネガティブ、および正常動作を異常と判定するフォルス・ポジティブが発生する。侵入検知システムの運用者は、このフォルス・ネガティブ、フォルス・ポジティブの含まれた検知ログから、対処を講じる必要性を判断しなければならず、検知ログを分析するための専門技能が必要となる問題点があった。
例えば、特許文献1の例では、攻撃パケットと応答パケットの双方を検査することで、フォルス・ポジティブの可能性を減らしているが、パケット単体でコンピュータを攻撃する場合にフォルス・ネガティブが発生するため、実運用上は、異常と判定されなかったパケットも検査しなければならない。
また、特許文献2及び特許文献3では、フォルス・ネガティブ、フォルス・ポジティブを抑制する可能性のある技術ではあるものの、判定手法上、攻撃手法を特定できないため、運用者は、対処を講じるために別の検知手段を用意しなければならない。
多くの場合、フォルス・ポジティブ、フォルス・ネガティブは、監視対象システムに精通した技術者が運用し、経験に基づいて判断を行ってきたが、データセンター等の大規模システムを監視するような場合は、運用者が監視対象システムの詳細を把握することは困難であり、侵入検知システムを有効に活用できなかった。
また、運用者に提示する方法としても、監視システムの分野で行われているように、特許文献4に示される不正アクセスの可能性に応じて表示を色分けする方法が考えられるが、特許文献1の例と同様に、フォルス・ネガティブを避けるために可能性の低いパケットも監視しなければならなかった。
また、大量の不正侵入が試みられているインターネット向けの侵入検知システムでは、単体の不正アクセスではなく、不正侵入の目的や、不正侵入のプロセス全体を把握することが必要である。しかしながら、分析技術が未成熟なため、このような分析は、運用者個人の技量による面が大きく、新しい運用者を育成するためのハードルが高い状況も存在する。このように運用者を支援するシステムが市場に存在していないことにより、運用者の負担は増加する一方といえる。
この発明は、上述のような課題を解決するためになされたものであり、監視対象システムに対するネットワーク経由の侵入を示す記録から、攻撃に対する対処要否を運用者に提示する侵入検知システムを得ることを第一の目的とする。
また、監視対象システムに対するネットワーク経由の侵入を示す記録から、攻撃に対する対処要否を運用者に提示する侵入検知プログラムを得ることを第二の目的とする。
また、監視対象システムに対するネットワーク経由の侵入を示す記録を分析し、攻撃に対する対処要否を運用者に提示する侵入検知情報分析装置を得ることを第三の目的にしている。
また、監視対象システムに対するネットワーク経由の侵入を示す記録を分析し、攻撃に対する対処要否を運用者に提示する侵入検知情報分析プログラムを得ることを第四の目的にしている。
また、監視対象システムに対するネットワーク経由の侵入を示す記録から、攻撃に対する対処要否を運用者に提示する侵入検知プログラムを得ることを第二の目的とする。
また、監視対象システムに対するネットワーク経由の侵入を示す記録を分析し、攻撃に対する対処要否を運用者に提示する侵入検知情報分析装置を得ることを第三の目的にしている。
また、監視対象システムに対するネットワーク経由の侵入を示す記録を分析し、攻撃に対する対処要否を運用者に提示する侵入検知情報分析プログラムを得ることを第四の目的にしている。
この発明に係わる侵入検知システムにおいては、監視対象システムが接続されたネットワーク上のパケットを取得し、この取得したパケットから攻撃者の侵入を検出する検出部、この検出部により検出された侵入の攻撃対象装置を含む侵入記録を蓄積するデータ蓄積部、監視対象システム内の装置を定義する監視対象定義部、データ蓄積部に蓄積された侵入記録の攻撃対象装置と監視対象定義部により定義された装置とを比較することにより、侵入記録が監視対象システムに対する攻撃かどうかを判定して、侵入記録に対する対処の必要性を判定する分析部、及びこの分析部により対処の必要性が判定された侵入記録を表示する表示部を備えたものである。
この発明は、以上説明したように、監視対象システムが接続されたネットワーク上のパケットを取得し、この取得したパケットから攻撃者の侵入を検出する検出部、この検出部により検出された侵入の攻撃対象装置を含む侵入記録を蓄積するデータ蓄積部、監視対象システム内の装置を定義する監視対象定義部、データ蓄積部に蓄積された侵入記録の攻撃対象装置と監視対象定義部により定義された装置とを比較することにより、侵入記録が監視対象システムに対する攻撃かどうかを判定して、侵入記録に対する対処の必要性を判定する分析部、及びこの分析部により対処の必要性が判定された侵入記録を表示する表示部を備えたので、不正侵入を検知したとき、侵入に対する対処要否を運用者に提示することにより、運用者は、適切に侵入に対処することができる。
実施の形態1.
以下、この発明の実施の形態1を図に基づいて説明する。
図1は、この発明の実施の形態1による侵入検知システムを示す概略構成図である。
図1において、侵入検知システム10(以下、IDSという。)は、ネットワーク19からパケットを収集し、不正侵入の可能性がある行為をパケットから判定する検出部11と、検出部11の出力を蓄積するデータ蓄積部12と、データ蓄積部12の情報から侵入が実際に成功し得る攻撃であるかどうかを判定する分析部13と、その分析部13の分析に必要なデータとして、監視対象システム15内のサーバ(装置)情報が定義され、これを格納した監視対象定義部14と、IDSの運用者への表示を行う表示部18とから構成される。ここで、ハッカーまたはクラッカーなどと呼ばれる不正侵入を試みる人や、ワームやウイルスなどのことを攻撃者と呼ぶ。
このIDS10が監視している監視対象システム15は、例えば、攻撃者であるクラッカー25が存在するインターネット等のネットワーク23から、ファイアウォール24により隔てられたネットワーク19上にDNSサーバ16、ウェブサーバ17を有するものとする。これらのサーバには、それぞれ固有のアドレス192.168.0.5と、192.168.0.1が割り当てられている。IDS10の運用者は、表示部18の出力に基づき、監視対象システム15に対する攻撃を監視する。
以下、この発明の実施の形態1を図に基づいて説明する。
図1は、この発明の実施の形態1による侵入検知システムを示す概略構成図である。
図1において、侵入検知システム10(以下、IDSという。)は、ネットワーク19からパケットを収集し、不正侵入の可能性がある行為をパケットから判定する検出部11と、検出部11の出力を蓄積するデータ蓄積部12と、データ蓄積部12の情報から侵入が実際に成功し得る攻撃であるかどうかを判定する分析部13と、その分析部13の分析に必要なデータとして、監視対象システム15内のサーバ(装置)情報が定義され、これを格納した監視対象定義部14と、IDSの運用者への表示を行う表示部18とから構成される。ここで、ハッカーまたはクラッカーなどと呼ばれる不正侵入を試みる人や、ワームやウイルスなどのことを攻撃者と呼ぶ。
このIDS10が監視している監視対象システム15は、例えば、攻撃者であるクラッカー25が存在するインターネット等のネットワーク23から、ファイアウォール24により隔てられたネットワーク19上にDNSサーバ16、ウェブサーバ17を有するものとする。これらのサーバには、それぞれ固有のアドレス192.168.0.5と、192.168.0.1が割り当てられている。IDS10の運用者は、表示部18の出力に基づき、監視対象システム15に対する攻撃を監視する。
なお、図1では、検出部11が取得する情報をネットワーク19から取得したパケットとして述べているが、ネットワーク19にインラインで設置されたIDSを通過するパケット、監視対象ホストに組み込まれたホスト型IDSが取得したログ等から得られた同種の情報であっても構わない。
図2は、従来のIDSが運用者に提示していた不正侵入の記録の例を示す説明図である。
図2において、攻撃元アドレス、攻撃対象アドレス、重要度を有する、攻撃Aワームに対する記録21、22が示されている。
図3は、この発明の実施の形態1による侵入検知システムが対象とするネットワーク経由の侵入の例を示す説明図である。
図3において、10、16、17、19、23〜25は図1におけるものと同一のものである。図3には、未登録サーバ31が示されている。
図2において、攻撃元アドレス、攻撃対象アドレス、重要度を有する、攻撃Aワームに対する記録21、22が示されている。
図3は、この発明の実施の形態1による侵入検知システムが対象とするネットワーク経由の侵入の例を示す説明図である。
図3において、10、16、17、19、23〜25は図1におけるものと同一のものである。図3には、未登録サーバ31が示されている。
図4は、この発明の実施の形態1による侵入検知システムの分析・表示部の処理を示すフローチャートである。
図5は、この発明の実施の形態1による侵入検知システムが備える監視対象定義部の定義の例を示す説明図である。
図5において、監視対象定義部による監視対象システムの定義51、52が示されている。
図6は、この発明の実施の形態1による侵入検知システムが運用者に提示する記録の例を示す説明図である。
図6において、Aワームに対する記録61、62には、対処要否項目63が含まれる。
図5は、この発明の実施の形態1による侵入検知システムが備える監視対象定義部の定義の例を示す説明図である。
図5において、監視対象定義部による監視対象システムの定義51、52が示されている。
図6は、この発明の実施の形態1による侵入検知システムが運用者に提示する記録の例を示す説明図である。
図6において、Aワームに対する記録61、62には、対処要否項目63が含まれる。
次に、実施の形態1の動作について説明する。
図2は、クラッカー25等の名称で呼ばれる攻撃者が、監視対象システム15に侵入、攻撃を試みた場合に、検出部11が、データ蓄積部12に格納する記録の一例を示しており、記録21は、Aワームという攻撃に対して、攻撃対象アドレスが192.168.0.1であることを示しており、記録22は、Aワームという攻撃に対して、攻撃対象アドレスが192.168.0.2であることを示している。
図3は、記録21と記録22が示す影響を示したものである。記録21によれば、攻撃者は、ウェブサーバ17を攻撃している。記録22によれば、攻撃者は、実際には存在しない未登録サーバ31を攻撃対象としているため、本来、無意味な行為である。本発明によらないIDSでは、運用者は、データ蓄積部12に基づく出力が運用者に提示されるため、監視対象システム15に精通していなければ、記録21及び記録22が示す影響、監視対象システム15における対処の必要性を判断することができない。
図2は、クラッカー25等の名称で呼ばれる攻撃者が、監視対象システム15に侵入、攻撃を試みた場合に、検出部11が、データ蓄積部12に格納する記録の一例を示しており、記録21は、Aワームという攻撃に対して、攻撃対象アドレスが192.168.0.1であることを示しており、記録22は、Aワームという攻撃に対して、攻撃対象アドレスが192.168.0.2であることを示している。
図3は、記録21と記録22が示す影響を示したものである。記録21によれば、攻撃者は、ウェブサーバ17を攻撃している。記録22によれば、攻撃者は、実際には存在しない未登録サーバ31を攻撃対象としているため、本来、無意味な行為である。本発明によらないIDSでは、運用者は、データ蓄積部12に基づく出力が運用者に提示されるため、監視対象システム15に精通していなければ、記録21及び記録22が示す影響、監視対象システム15における対処の必要性を判断することができない。
これに対し、本発明では、図4に示すフローチャートの手順に従ってデータ蓄積部12を処理することにより、前述の困難を解決する。図4の処理は、分析部13の一部として実装される。
この処理には、データ蓄積部12から侵入記録を取得するデータ取得処理(ステップ41)、取得した侵入記録と監視対象定義部14の定義とを比較し、それぞれの侵入記録が、監視対象システム15に対する攻撃であるかどうかを判定する対処要否判定処理(ステップ42)、一次ログに判定結果を追加して、表示もしくは保存用のデータとして格納する表示部出力処理(ステップ43)が含まれる。
この処理には、データ蓄積部12から侵入記録を取得するデータ取得処理(ステップ41)、取得した侵入記録と監視対象定義部14の定義とを比較し、それぞれの侵入記録が、監視対象システム15に対する攻撃であるかどうかを判定する対処要否判定処理(ステップ42)、一次ログに判定結果を追加して、表示もしくは保存用のデータとして格納する表示部出力処理(ステップ43)が含まれる。
監視対象システム15に関して監視対象定義部14で定義した情報の一例を図5に示す。この例では、監視対象システム内に、192.168.0.1のアドレスと、192.168.0.5のアドレスのサーバ(装置)が存在していることを示している。分析部13に含まれる処理により、例えば、図2に示した記録21及び記録22のそれぞれが、監視対象システム15に実際に影響を与える攻撃であったかどうかを判定することができ、その結果を、例えば図6の対処要否項目63に示す対処要否の評価結果として、運用者に提示することが可能となる。
運用者は、記録21を処理した結果である記録61と、記録22を処理した結果である記録62を同時に見たときに、記録61の攻撃が、実際に監視対象システム15に影響を与える攻撃であることを知ることができる。
運用者は、記録21を処理した結果である記録61と、記録22を処理した結果である記録62を同時に見たときに、記録61の攻撃が、実際に監視対象システム15に影響を与える攻撃であることを知ることができる。
実施の形態1によれば、不正侵入を検知したとき、侵入に対する対処要否を運用者に提示するので、運用者は、これに適切に対処することができる。
実施の形態2.
図7は、この発明の実施の形態2による侵入検知システムが備える監視対象定義部の定義の例を示す説明図である。
図7において、監視対象定義部による監視対象システムの定義がポート71を含めて示されている。
図8は、この発明の実施の形態2による侵入検知システムが運用者に提示する記録の例を示す説明図である。
図8において、Aワームに対する対処要否及びポートを含む記録81、82が、示されている。
図7は、この発明の実施の形態2による侵入検知システムが備える監視対象定義部の定義の例を示す説明図である。
図7において、監視対象定義部による監視対象システムの定義がポート71を含めて示されている。
図8は、この発明の実施の形態2による侵入検知システムが運用者に提示する記録の例を示す説明図である。
図8において、Aワームに対する対処要否及びポートを含む記録81、82が、示されている。
実施の形態1では、図5に示す定義により、監視対象システム15に含まれるサーバごとに、実際に攻撃が成功する可能性があるかどうかの判定を行ったが、実施の形態2は、図7に示すように、監視対象定義部14の定義項目として、サーバが公開しているポート番号やネットワークインタフェース等の追加情報を項目71として設け、サービスや物理ポート単位に判定を行うことができるようにした。このため、運用者が、監視対象システム15の各サーバが提供しているサービスを知らなくても、記録が示す攻撃の影響を知ることができる。
これにより、図8の記録81、記録82の例に示すように、1つのサーバに対する攻撃が複数のポートを対象に行われている場合、対処を必要とする記録が、どちらであるかを運用者に提示することができる。図8においては、存在するポート番号に対する攻撃である記録81の方が、存在しないポート番号に対する攻撃である記録82よりも対処要否が高くなっている。特に、セキュリティ確保のため、一般的な番号以外のポート番号をサーバが使用している状況においても、運用者が正しく攻撃の影響を監視することができる。
実施の形態2によれば、監視対象システムの定義にポート番号を含めるようにしたので、不正侵入を検知したとき、ポート毎に侵入に対する対処要否を運用者に提示することができる。
実施の形態3.
図9は、この発明の実施の形態3による侵入検知システムが備える監視対象定義部の定義の例を示す説明図である。
図9において、監視対象定義部による監視対象システムの定義91が、ネットワークの名称を含めて示されている。
図10は、この発明の実施の形態3による侵入検知システムが運用者に提示する記録の例を示す説明図である。
図10において、Aワームに対する記録101、102、103には、ネットワークの名称が加えられた対象IP104、ポート105、送信元IP106が、示されている。
図9は、この発明の実施の形態3による侵入検知システムが備える監視対象定義部の定義の例を示す説明図である。
図9において、監視対象定義部による監視対象システムの定義91が、ネットワークの名称を含めて示されている。
図10は、この発明の実施の形態3による侵入検知システムが運用者に提示する記録の例を示す説明図である。
図10において、Aワームに対する記録101、102、103には、ネットワークの名称が加えられた対象IP104、ポート105、送信元IP106が、示されている。
実施の形態1及び実施の形態2では、攻撃に対して対処の必要があるかどうかを判定する場合に着目して述べたが、例えば、ある特定のサーバを探そうとしている情報収集行為など、攻撃者の動向を監視することも侵入検知システム10の運用者には求められている。
実施の形態3は、この解決のため、監視対象定義部14における定義で、図9の定義91に示すように、監視対象システムに関連するネットワークの名称を付加するとともに、このネットワークの名称を、データ蓄積部12に蓄積される侵入記録にも追加して、運用者に提示する記録に付加する。
例えば、実際には存在しないサーバである、図3の未登録サーバ31に対する情報収集行為が行われる場合は、図10の記録101、記録102、記録103などにおいて、項目104の対象IP欄に、定義したネットワークの名称が示される。
これにより、ネットワークの情報収集行為が行われた場合に、運用者がその傾向を確認することができる。特に、NATと呼ばれるアドレス変換機構を用いてサーバを公開しているような場合、IPアドレスを見ただけでは、どのネットワークに所属するかが判定できないが、本発明は、これを解決することができる。
例えば、実際には存在しないサーバである、図3の未登録サーバ31に対する情報収集行為が行われる場合は、図10の記録101、記録102、記録103などにおいて、項目104の対象IP欄に、定義したネットワークの名称が示される。
これにより、ネットワークの情報収集行為が行われた場合に、運用者がその傾向を確認することができる。特に、NATと呼ばれるアドレス変換機構を用いてサーバを公開しているような場合、IPアドレスを見ただけでは、どのネットワークに所属するかが判定できないが、本発明は、これを解決することができる。
実施の形態3の発明は、項目105のポートについても適用することができる。これにより、監視対象システム15にNAPTと呼ばれるアドレス・ボート変換機構が用いられている場合においても運用者が状況と対処要否を確認することができる。
また、運用者に提示する付加記録は、攻撃対象装置以外にも適用することができる。例えば、図10の項目106の送信元IPに対して記録を付加することにより、攻撃者が外部のネットワークに存在するのか、または、内部のネットワークに存在するのかを運用者に提示することができる。これにより、運用者は、外部からの侵入だけではなく、内部からの情報漏えいについても監視できる。
実施の形態3によれば、ネットワークの名称を監視対象定義部の定義に加えたので、不正侵入が行われたネットワークを運用者に提示することができる。
実施の形態4.
図11は、この発明の実施の形態4による侵入検知システムを示す概略構成図である。
図11において、10〜14、18は図1におけるものと同一のものである。図11では、ネットワークへの侵入、ウイルスなどの攻撃ワームの属性情報を格納した検知定義部113を設け、検出部11での攻撃ワームの検出に用いるとともに、分析部13での攻撃ワームに対する対処要否の判定にも用いる。
図12は、この発明の実施の形態4による侵入検知システムが備える検知定義部の定義の例を示す説明図である。
図12において、ワームの攻撃属性を示す定義121、122が示され、それぞれ属性として、OS情報、バージョン情報が示されている。
図11は、この発明の実施の形態4による侵入検知システムを示す概略構成図である。
図11において、10〜14、18は図1におけるものと同一のものである。図11では、ネットワークへの侵入、ウイルスなどの攻撃ワームの属性情報を格納した検知定義部113を設け、検出部11での攻撃ワームの検出に用いるとともに、分析部13での攻撃ワームに対する対処要否の判定にも用いる。
図12は、この発明の実施の形態4による侵入検知システムが備える検知定義部の定義の例を示す説明図である。
図12において、ワームの攻撃属性を示す定義121、122が示され、それぞれ属性として、OS情報、バージョン情報が示されている。
図13は、この発明の実施の形態4による侵入検知システムが備える監視対象定義部の定義の例を示す説明図である。
図13において、監視対象定義部により定義された定義131が示され、サーバのOS情報、バージョン情報が示されている。
図14は、この発明の実施の形態4による侵入検知システムが運用者に提示する記録の例を示す説明図である。
図14において、運用者に提示される記録141、142が示されている。
図13において、監視対象定義部により定義された定義131が示され、サーバのOS情報、バージョン情報が示されている。
図14は、この発明の実施の形態4による侵入検知システムが運用者に提示する記録の例を示す説明図である。
図14において、運用者に提示される記録141、142が示されている。
実施の形態1〜3では、監視対象システム15に関する情報を監視対象定義部14で定義することにより、対処要否を判定する場合について述べたが、実施の形態4は、図11に示すように、IDS10が、検出部11でネットワークへの侵入、ウイルス等を検出するために用いるワームの攻撃属性情報を格納した検知定義部113を設け、この情報を、分析部13で用いる処理を設けた。この検知定義部113の情報を用いて、ネットワークへの侵入、ウイルス等の属性を、分析部13の対処要否の判定に用いることにより、運用者が表示部18の出力に基づき、攻撃への対処要否をより詳細に判定することができる。
この検知定義部113に定義される情報の一例を図12に示す。定義121は、Aワームという攻撃が、LinuxAというOSのバージョンAを攻撃するものであることを示している。定義122は、UNIX(登録商標)BというOSのバージョンBを攻撃するものであることを示している。監視対象定義部14にも、図13の定義131のように、サーバのOS情報、バージョン情報を定義する。また、直接サーバの脆弱性情報と結びつくパッチの適用状況等のメンテナンス情報を保持しておくことが望ましい。
表示部18は、前述の実施の形態と同様に、データ蓄積部12の記録に対して、監視対象定義部14の定義を参照し、OS等の情報を得る。同時に、検知定義部113に定義されたウイルス等の攻撃の属性を参照し、監視対象定義部14から得られたOS等の情報とを比較する。
ウイルス等は、特定のOS、アプリケーション、バージョン、特定のパッチが適用されていないサーバに対して影響を及ぼす場合が多いため、OSやバージョンを識別することにより、運用者が実際に対処しなければならない攻撃を区別することができる。
例えば、図14に示す記録141のAワームと記録142のBワームは、同じポート番号を対象とする攻撃であるが、定義122と定義131により記録142の攻撃について、OS、バージョンが一致することが判定できるため、OS等が一致しない記録141は、対処要否が低いと判定でき、記録142は、対処要否が高いと判定できる。
例えば、図14に示す記録141のAワームと記録142のBワームは、同じポート番号を対象とする攻撃であるが、定義122と定義131により記録142の攻撃について、OS、バージョンが一致することが判定できるため、OS等が一致しない記録141は、対処要否が低いと判定でき、記録142は、対処要否が高いと判定できる。
従来のIDSでは、このようにワームの属性を監視対象システムの情報と結びつけて運用者に提示する機能を備えていなかったが、本発明によって、これらの情報を結びつける機能を設けることにより、運用者が対処要否を判定することができる。
この例では、OS、バージョン及びパッチ適用状況を属性情報として用いたが、属性情報に導入されているアプリケーション、ライブラリ、モデム等の付属機器、ネットワーク回線の帯域などの情報を用いることもできる。これらの情報をOS及びメンテナンス情報と呼ぶ。特に、サーバに導入されているアプリケーション、ライブラリ等の数は、多数あるため、従来、運用者が、監視対象システムの仕様書とウイルスの性質とを比較しなければならなかった作業を自動化することができる。
実施の形態4によれば、ワームの攻撃属性情報を格納した検知定義部113を設け、これを分析部13で用いることにより、運用者により精度の高い対処要否を提示することができる。
実施の形態5.
図15は、この発明の実施の形態5による侵入検知システムが運用者に提示する表示の例を示す図である。
図15において、攻撃に対する対処要否を示す項目151が示されている。
図16は、この発明の実施の形態5による侵入検知システムが運用者に提示する別の表示の例を示す図である。
図16において、記録162、163には、攻撃の状況を示す項目161が、設けられている。
図17は、この発明の実施の形態5による侵入検知システムが運用者に提示するさらに別の表示の例を示す図である。
図17において、記録172、173に、攻撃への対処要否と重要度を示す項目171が設けられている。
図15は、この発明の実施の形態5による侵入検知システムが運用者に提示する表示の例を示す図である。
図15において、攻撃に対する対処要否を示す項目151が示されている。
図16は、この発明の実施の形態5による侵入検知システムが運用者に提示する別の表示の例を示す図である。
図16において、記録162、163には、攻撃の状況を示す項目161が、設けられている。
図17は、この発明の実施の形態5による侵入検知システムが運用者に提示するさらに別の表示の例を示す図である。
図17において、記録172、173に、攻撃への対処要否と重要度を示す項目171が設けられている。
実施の形態1及び実施の形態2では、図6及び図8のように、運用者に攻撃への対処要否を提示し、実施の形態3では、図10の項目104のように、運用者に、攻撃先の対象IPアドレス対処要否を提示したが、実施の形態5は、これらの記録の運用者への提示の仕方についてのもので、色替して提示する、フォントを変更して表示する、別表を設けて提示するなどの強調表示を行うものや、警告音を鳴らすなどの方法を用いるものである。
上述のように、本発明では多数の情報が攻撃に対する判定に用いられており、これらの情報を効果的に運用者に表示する方法が求められる。
このため、図15の項目151に示すように、対処の必要性に応じてゲージ等の画像により表示するようにした。
色替え等の方法では、個々の侵入記録に差をつける表示方法のため、フォルス・ネガティブの可能性がある。これに対して、時系列に提供される記録に対するゲージ表示は、グラフと同様に、全体的な傾向を示すことができる。そのため、フォルス・ネガティブの可能性が色替え等の方法よりも少ない。
なお、ゲージの代わりに装飾文字を用いることもできる。また、確実に注目しなければならない判定結果に対しては、従来の監視システムで用いられている色替え等の表現を併用することで、運用者に注意を喚起することができる。
このため、図15の項目151に示すように、対処の必要性に応じてゲージ等の画像により表示するようにした。
色替え等の方法では、個々の侵入記録に差をつける表示方法のため、フォルス・ネガティブの可能性がある。これに対して、時系列に提供される記録に対するゲージ表示は、グラフと同様に、全体的な傾向を示すことができる。そのため、フォルス・ネガティブの可能性が色替え等の方法よりも少ない。
なお、ゲージの代わりに装飾文字を用いることもできる。また、確実に注目しなければならない判定結果に対しては、従来の監視システムで用いられている色替え等の表現を併用することで、運用者に注意を喚起することができる。
図16の項目161は、さらに対象サーバに関する情報を組合せた形態である。記録162に示すBワームの攻撃に対する対処の必要性が高いと判定した結果を、状況欄の背景に表示し、監視対象定義部14の情報から、攻撃が外部から、内部のウェブサーバを対象としていることが分かるため、「侵入」の文字を表示する。
記録163では、管理対象外のホストに対する攻撃であり、対処の必要性が低く判定されているが、内部サーバからの情報発信であることから、情報漏えいの可能性があることを示す「漏えい」の文字を表示している。
記録163では、管理対象外のホストに対する攻撃であり、対処の必要性が低く判定されているが、内部サーバからの情報発信であることから、情報漏えいの可能性があることを示す「漏えい」の文字を表示している。
このように、色、画像もしくは装飾文字等を組合せた強調表示を行うことにより、運用者は、監視対象定義部14に定義された情報を得ることができるだけでなく、項目161のみで当該行に示された情報の概要を得ることができるため、項目161を列方向に確認するだけで、監視対象システム15に対して、外部からのワームの侵入、内部でのワームの活動、被害の規模などの侵入状況を知ることができる。
もちろん、十分な表示領域がある場合は、監視対象定義部14の情報を文字として表示することもできる。
また、表示方法のカスタマイズ機能を設けることで、運用者が必要に応じて、表示したい列の項目を指定することができる。また、行、列、背景の色替え、表示フォント指定等の表現のカスタマイズ機能と併用することで、運用者ごとに、それぞれ適した表示を行うこともできる。このように、運用者により表示を調整変更できるようにすることにより、運用者にとって見やすい表示とすることができる。表示方法を運用舎ごとの設定情報として、運用者がログインする際などに運用者ごとの設定情報を読み込み、自動的に表示を切替えるようにしてもよい。
図17の項目171は、検知定義部113に定義された情報と対処の必要性の判定結果を組合せた表示例である。不正侵入による被害の規模は、攻撃手法により、ある程度決定されている。このため、攻撃手法などの検知項目ごとに被害の規模を示した重要度を定め、検知定義部113で定義しておく。
この検知定義部113から得た重要度と、対処の必要性を示すゲージの値(パーセンテージ)を、横向きの棒グラフとして項目171に表示する。この項目171は、重要度と対処の必要性の時系列グラフである。すなわち、記録172では、情報収集行為であるため、攻撃の重要度は低い。しかしながら、攻撃対象IPアドレスが内部のウェブサーバであることから、対処の必要性は、100%と捉える。このとき、ゲージは短いものの、ゲージ全体が、塗りつぶされた状態が運用者に示される。なお、侵入記録における攻撃の重要度を、攻撃の重要度、侵入記録の重要度などとも呼ぶ。
この検知定義部113から得た重要度と、対処の必要性を示すゲージの値(パーセンテージ)を、横向きの棒グラフとして項目171に表示する。この項目171は、重要度と対処の必要性の時系列グラフである。すなわち、記録172では、情報収集行為であるため、攻撃の重要度は低い。しかしながら、攻撃対象IPアドレスが内部のウェブサーバであることから、対処の必要性は、100%と捉える。このとき、ゲージは短いものの、ゲージ全体が、塗りつぶされた状態が運用者に示される。なお、侵入記録における攻撃の重要度を、攻撃の重要度、侵入記録の重要度などとも呼ぶ。
記録173では、Aワーム自体は、非常に危険な攻撃であるものの、攻撃対象IPアドレスが、存在していないホストを示しているため、実際に攻撃が成立することはなく、対処の必要性は低い。このとき、攻撃の重要度を示すゲージは、最大値を示すものの、対処の必要性は、その何%かの長さのゲージとして示される。
この対処の必要性には、攻撃に対して求められるパッチ等の適用状況も含まれるため、サーバの脆弱性対策が適切に行われていれば、攻撃の重要度が高くても、低いパーセンテージが示される。また、攻撃の重要度が低くても、何の対策も行っていなければ、いずれ被害が発生する可能性があり、その危険性をゲージが塗りつぶされることによって、運用者が把握することができる。
この対処の必要性には、攻撃に対して求められるパッチ等の適用状況も含まれるため、サーバの脆弱性対策が適切に行われていれば、攻撃の重要度が高くても、低いパーセンテージが示される。また、攻撃の重要度が低くても、何の対策も行っていなければ、いずれ被害が発生する可能性があり、その危険性をゲージが塗りつぶされることによって、運用者が把握することができる。
この表示により、運用者は、項目171を見ることにより、攻撃の危険性に対して、サーバ側がどの程度対策されているかを把握するとともに、記録172と記録173のように、複数の攻撃が同時に行われた場合に、どちらの攻撃に対する対処を優先するべきかの指標を得ることができる。ここで、侵入記録の重要度と対処の必要性をともに表示したが、どちらかだけを表示してもよい。
実施の形態5によれば、攻撃の対処要否や重要度を、把握しやすいように強調表示するので、運用者は、監視対象システムに対する攻撃を的確に把握することができる。
実施の形態6.
図18は、この発明の実施の形態6による侵入検知システムが運用者に提示する表示の例を示す図である。
図18において、表示には、運用者の対処済チェックボックスを設けた項目181と、運用者のメッセージを記録する項目182が設けられている。
図19は、この発明の実施の形態6による侵入検知システムの対処運用画面の例を示す図である。
図19において、全ての記録を表示した画面191と、対処の必要が高い記録を表示した画面192が表示され、対処作業が完了した記録に対して、ポップアップダイアログ193により、入力を行うと、画面191、192に反映される。
図18は、この発明の実施の形態6による侵入検知システムが運用者に提示する表示の例を示す図である。
図18において、表示には、運用者の対処済チェックボックスを設けた項目181と、運用者のメッセージを記録する項目182が設けられている。
図19は、この発明の実施の形態6による侵入検知システムの対処運用画面の例を示す図である。
図19において、全ての記録を表示した画面191と、対処の必要が高い記録を表示した画面192が表示され、対処作業が完了した記録に対して、ポップアップダイアログ193により、入力を行うと、画面191、192に反映される。
実施の形態1〜5では、運用者に侵入プロセス全体を見通すための機能を提供したが、実際には個々の記録全てについて、監視が行き届いている必要がある。実施の形態6は、この課題を解決するためのものである。
このため、図18では、項目181、項目182のように、対処済チェックボックス、もしくは運用者が自由にメッセージを記録するためのコメント欄を設けたものである。
また、図19では、全ての記録を表示した画面191に対して、対処の必要性が高いと判定され、特定の閾値を超えた記録を画面192に転記するようにしている。
このため、図18では、項目181、項目182のように、対処済チェックボックス、もしくは運用者が自由にメッセージを記録するためのコメント欄を設けたものである。
また、図19では、全ての記録を表示した画面191に対して、対処の必要性が高いと判定され、特定の閾値を超えた記録を画面192に転記するようにしている。
図18の項目181は、新しい記録が最初に表示された際に、対処済チェックボックスがチェックされていない状態で表示される。運用者は、その記録に対して、対処した場合、もしくは対処の必要がないと判断した場合に、このチェックボックスを反転し、対処済みとする。
この方法により、運用者は、大量の記録の中から、未対処の項目を見逃すことなく、侵入に対する対処に従事することができる。
また、対処済チェックボックスだけでは、運用者が記録を見返したときに、どのような判断で対処済としたか、忘れる可能性がある。これを防ぐため、項目182のコメント欄に、備忘録を記録することで、作業記録としても用いることができるようになる。
この方法により、運用者は、大量の記録の中から、未対処の項目を見逃すことなく、侵入に対する対処に従事することができる。
また、対処済チェックボックスだけでは、運用者が記録を見返したときに、どのような判断で対処済としたか、忘れる可能性がある。これを防ぐため、項目182のコメント欄に、備忘録を記録することで、作業記録としても用いることができるようになる。
また、実施の形態6は、運用者が、確実に監視し、対処を実施するために、対処の必要な記録を別画面に転記して管理する。この運用画面を図19に示す。全ての記録を表示した画面191に対して、対処の必要性が高いと判定され、特定の閾値を超えた記録を画面192に転記する。
運用者は、この画面に基づき、侵入に対する対処を行い、作業が完了した場合は、ポップアップダイアログ193、もしくは画面上に設けられたボタン等により、対処が完了したことを入力する。この入力結果は、画面191に反映され、画面192からは、対処済みの記録の表示が消える。
この方式を採用することにより、運用者は、大量の記録から、スクロールや検索処理等によって対処の必要性のある項目を探すことなく、侵入への対処を実施することができる。
運用者は、この画面に基づき、侵入に対する対処を行い、作業が完了した場合は、ポップアップダイアログ193、もしくは画面上に設けられたボタン等により、対処が完了したことを入力する。この入力結果は、画面191に反映され、画面192からは、対処済みの記録の表示が消える。
この方式を採用することにより、運用者は、大量の記録から、スクロールや検索処理等によって対処の必要性のある項目を探すことなく、侵入への対処を実施することができる。
なお、上記の記述では、主に記録が大量に蓄積される状態を想定したが、その逆として、記録が少ない場合も想定される。ウイルスは、予め活動時期が決められているものがあり、また、不正侵入、サービス不能攻撃といったものは、長期休暇や、特別な記念日に活発になる傾向があるため、攻撃が少ない時期もある。
このような場合に、運用者が、何も表示されない画面を監視することは、効率が悪いため、警報による通知を併用することができる。対処の必要性が高いと判定され、特定の閾値を超えた記録が現れた場合に、警報を音で鳴らすことで、運用者が、報告書作成等の他の作業を実施中であっても、これを中断し、本来の運用監視と、侵入に対する対処に従事することができる。
また、警報を音で鳴らす代わりに、運用者が携帯している携帯電話機等にメールメッセージを送信することもできる。
このような場合に、運用者が、何も表示されない画面を監視することは、効率が悪いため、警報による通知を併用することができる。対処の必要性が高いと判定され、特定の閾値を超えた記録が現れた場合に、警報を音で鳴らすことで、運用者が、報告書作成等の他の作業を実施中であっても、これを中断し、本来の運用監視と、侵入に対する対処に従事することができる。
また、警報を音で鳴らす代わりに、運用者が携帯している携帯電話機等にメールメッセージを送信することもできる。
実施の形態6によれば、記録に対処済チェックボックスやコメント欄を設けて、攻撃への対処を管理するので、運用者は、大量の記録の中から、未対処の項目を見逃すことなく、侵入に対する対処に従事することができる。
また、運用者が、確実に監視し、対処を実施するために、対処の必要な記録を別画面に転記して管理するようにしたので、運用者は、大量の記録から、スクロールや検索処理等によって対処の必要性のある項目を探すことなく、対処を実施することができる。
また、対処の必要性が高いと判定され、特定の閾値を超えた記録が現れた場合に、警報を音で鳴らしたり、メールメッセージを送信することで、運用者が、報告書作成等の他の作業を実施中であっても、これを中断し、本来の運用監視と、侵入に対する対処に従事することができる。
また、運用者が、確実に監視し、対処を実施するために、対処の必要な記録を別画面に転記して管理するようにしたので、運用者は、大量の記録から、スクロールや検索処理等によって対処の必要性のある項目を探すことなく、対処を実施することができる。
また、対処の必要性が高いと判定され、特定の閾値を超えた記録が現れた場合に、警報を音で鳴らしたり、メールメッセージを送信することで、運用者が、報告書作成等の他の作業を実施中であっても、これを中断し、本来の運用監視と、侵入に対する対処に従事することができる。
実施の形態7.
図20は、この発明の実施の形態7による侵入検知システムが運用者に提示するグラフ表示画面の例を示す図である。
図20において、グラフ表示画面201の横軸は時間、縦軸は攻撃の重要度または対処の必要性である。
図20は、この発明の実施の形態7による侵入検知システムが運用者に提示するグラフ表示画面の例を示す図である。
図20において、グラフ表示画面201の横軸は時間、縦軸は攻撃の重要度または対処の必要性である。
実施の形態5では、リアルタイムに更新される記録から対処の必要性を判断するための表示方法を得るために、記録中に、ゲージとして示すものについて記述したが、実施の形態7は、このゲージと同等の情報を、時系列に沿ったグラフとして表示するものである。
図20のように、グラフ化することによる利点として、記録画面では表示することができない、1週間、1ヶ月、1年といった表示期間で表示を行うことができる。この結果から、実施の形態5で述べたように、表示期間を通じて、攻撃に対して、サーバ側の対策がどの程度行われてきたかを把握することができるため、運用者が、監視対象システムの防御策の増強を提案するなど、コンサルタントとしての業務を行うことを可能とする。
図20のように、グラフ化することによる利点として、記録画面では表示することができない、1週間、1ヶ月、1年といった表示期間で表示を行うことができる。この結果から、実施の形態5で述べたように、表示期間を通じて、攻撃に対して、サーバ側の対策がどの程度行われてきたかを把握することができるため、運用者が、監視対象システムの防御策の増強を提案するなど、コンサルタントとしての業務を行うことを可能とする。
実施の形態7によれば、グラフ表示画面に、時系列的に攻撃の重要度と対処の必要性を表示するようにしたので、運用者は、表示期間を通じて、攻撃に対して、サーバ側の対策がどの程度行われてきたかを把握することができる。
実施の形態8.
図21は、この発明の実施の形態8による侵入検知情報分析装置を示す概略構成図である。
図21において、12〜14、18は図11におけるものと同一のものである。IDS情報分析装置151(侵入検知情報分析装置)は、12〜14、18に加えて、ファイルなどに格納された侵入記録のデータを入力するファイル入力部152を有している。
図21は、この発明の実施の形態8による侵入検知情報分析装置を示す概略構成図である。
図21において、12〜14、18は図11におけるものと同一のものである。IDS情報分析装置151(侵入検知情報分析装置)は、12〜14、18に加えて、ファイルなどに格納された侵入記録のデータを入力するファイル入力部152を有している。
実施の形態1〜7では、リアルタイムに運用者が監視するために、侵入検知システム10にネットワークからパケットを取得する検出部11を備えるものであったが、実施の形態8は、取得した侵入記録を運用者に分析して表示するため、図21に示すIDS情報分析装置151に、検出部ではなく、ファイル等の形式で保存された情報を入力するファイル入力部152を備えたものである。
このIDS情報分析装置151は、オフライン環境での分析を可能とするだけではなく、運用者を育成するための訓練装置としても用いることができる。これにより、IDS運用者の育成という課題を解決するための環境を提供することができる。
このIDS情報分析装置151は、オフライン環境での分析を可能とするだけではなく、運用者を育成するための訓練装置としても用いることができる。これにより、IDS運用者の育成という課題を解決するための環境を提供することができる。
実施の形態8によれば、ファイル入力部152を備えたIDS情報分析装置151により、オフライン環境での攻撃記録の分析を行うことができる。
実施の形態9.
実施の形態1〜7の侵入検知システムまたは実施の形態8のIDS情報分析装置を、侵入検知プログラムまたは侵入検知情報分析プログラムとしたものが実施の形態9である。
これらのプログラムは、記録媒体に格納され、またはネットワークを経由して提供される形態のプログラムとして、コンピュータシステムにインストールされる。
実施の形態1〜7の侵入検知システムまたは実施の形態8のIDS情報分析装置を、侵入検知プログラムまたは侵入検知情報分析プログラムとしたものが実施の形態9である。
これらのプログラムは、記録媒体に格納され、またはネットワークを経由して提供される形態のプログラムとして、コンピュータシステムにインストールされる。
この侵入検知プログラムは、次のステップを有する。
監視対象システム内の装置を定義する監視対象定義部を参照するプログラムであって、監視対象システムが接続されたネットワーク上のパケットを取得し、この取得したパケットから攻撃者の侵入を検出する第一のステップと、この第一のステップにより検出された侵入の攻撃対象装置を含む侵入記録を蓄積する第二のステップと、この第二のステップにより蓄積された侵入記録の攻撃対象装置と監視対象定義部に定義された装置とを比較することにより、侵入記録が監視対象システムに対する攻撃かどうかを判定して、攻撃に対する対処の必要性を判定する第三のステップと、この第三のステップにより対処の必要性が判定された侵入記録を表示する第四のステップとを含む。
監視対象システム内の装置を定義する監視対象定義部を参照するプログラムであって、監視対象システムが接続されたネットワーク上のパケットを取得し、この取得したパケットから攻撃者の侵入を検出する第一のステップと、この第一のステップにより検出された侵入の攻撃対象装置を含む侵入記録を蓄積する第二のステップと、この第二のステップにより蓄積された侵入記録の攻撃対象装置と監視対象定義部に定義された装置とを比較することにより、侵入記録が監視対象システムに対する攻撃かどうかを判定して、攻撃に対する対処の必要性を判定する第三のステップと、この第三のステップにより対処の必要性が判定された侵入記録を表示する第四のステップとを含む。
また、侵入検知情報分析プログラムは、実施の形態8のIDS情報分析装置に対応しており、上述の第一のステップが、攻撃対象装置を含む侵入記録のデータを入力する第五のステップに置き換えられたものである。
10 侵入検知システム
11 検出部
12 データ蓄積部
13 分析部
14 監視対象定義部
15 監視対象システム
16 DNSサーバ
17 ウェブサーバ
18 表示部
19 ネットワーク
23 ネットワーク
24 ファイアウォール
25 クラッカー
113 検知定義部
151 IDS情報分析装置
152 ファイル入力部
11 検出部
12 データ蓄積部
13 分析部
14 監視対象定義部
15 監視対象システム
16 DNSサーバ
17 ウェブサーバ
18 表示部
19 ネットワーク
23 ネットワーク
24 ファイアウォール
25 クラッカー
113 検知定義部
151 IDS情報分析装置
152 ファイル入力部
Claims (18)
- 監視対象システムが接続されたネットワーク上のパケットを取得し、この取得したパケットから攻撃者の侵入を検出する検出部、この検出部により検出された侵入の攻撃対象装置を含む上記侵入記録を蓄積するデータ蓄積部、上記監視対象システム内の装置を定義する監視対象定義部、上記データ蓄積部に蓄積された上記侵入記録の攻撃対象装置と上記監視対象定義部により定義された装置とを比較することにより、上記侵入記録が上記監視対象システムに対する攻撃かどうかを判定して、上記侵入記録に対する対処の必要性を判定する分析部、及びこの分析部により対処の必要性が判定された上記侵入記録を表示する表示部を備えたことを特徴とする侵入検知システム。
- 上記監視対象定義部による上記監視対象システム内の装置の定義は、装置のネットワークアドレスにより行うとともに、上記データ蓄積部により蓄積された侵入記録には、上記攻撃対象装置のネットワークアドレスが含まれることを特徴とする請求項1記載の侵入検知システム。
- 上記監視対象定義部による上記監視対象システム内の装置の定義は、装置のネットワークアドレス及びポート番号により行うとともに、上記データ蓄積部により蓄積された侵入記録には、上記攻撃対象装置のネットワークアドレス及びポート番号が含まれることを特徴とする請求項1記載の侵入検知システム。
- 上記監視対象定義部は、上記監視対象システムに関連するネットワークの名称を定義するとともに、上記表示部により表示される侵入記録には、侵入されたネットワークの名称が含まれることを特徴とする請求項1〜請求項3のいずれかに記載の侵入検知システム。
- 上記攻撃者の属性情報を有する検知定義部を備え、上記侵入記録には上記攻撃者を含み、上記監視対象定義部による上記監視対象システム内の装置の定義には、上記装置のOS及びメンテナンス情報を含む属性情報が含まれるとともに、上記分析部は、上記侵入記録の上記攻撃者に関する上記検知定義部の属性情報と、上記侵入記録の攻撃対象装置に関する上記監視対象定義部の属性情報を比較して、上記侵入記録に対する対処の必要性を判定することを特徴とする請求項1〜請求項4のいずれかに記載の侵入検知システム。
- 上記攻撃者の属性情報を有する検知定義部を備え、上記侵入記録には上記攻撃者が含まれるとともに、上記分析部は、上記検知定義部の上記侵入記録の上記攻撃者に関する属性情報から上記侵入記録の重要度を判断し、この重要度を考慮して上記侵入記録に対する対処の必要性を判定することを特徴とする請求項1〜請求項4のいずれかに記載の侵入検知システム。
- 上記攻撃者の属性情報を有する検知定義部を備え、上記侵入記録には上記攻撃者が含まれるとともに、上記分析部は、上記検知定義部の上記侵入記録の上記攻撃者に関する属性情報から上記侵入記録の重要度を判断し、上記表示部は、上記侵入記録の表示に当たって、上記侵入記録の重要度に応じた強調表示を行うことを特徴とする請求項1〜請求項4のいずれかに記載の侵入検知システム。
- 上記表示部は、上記侵入記録の表示に当たって、対処の必要性に応じた強調表示を行うことを特徴とする請求項1〜請求項7のいずれかに記載の侵入検知システム。
- 上記表示部は、上記侵入記録の表示に当たって、対処の必要性を時系列グラフにより表示することを特徴とする請求項1〜請求項8のいずれかに記載の侵入検知システム。
- 上記表示部は、上記侵入記録の表示に当たって、重要度を時系列グラフにより表示することを特徴とする請求項6または請求項7記載の侵入検知システム。
- 上記表示部による上記侵入記録の表示は、運用者により変更調整できることを特徴とする請求項1〜請求項9のいずれかに記載の侵入検知システム。
- 上記表示部は、上記侵入記録ごとに運用者が付加情報を追記できる欄を表示することを特徴とする請求項1〜請求項11のいずれかに記載の侵入検知システム。
- 上記表示部は、侵入記録ごとに対処の状況を表示することを特徴とする請求項1〜請求項12のいずれかに記載の侵入検知システム。
- 上記表示部は、対処の必要性があるか重要度が高いかのいずれか少なくとも一つの条件を満足する侵入記録を別画面に表示することを特徴とする請求項1〜請求項12のいずれかに記載の侵入検知システム。
- 上記表示部に上記対処の必要性のある侵入記録が表示された際に、警報を発することを特徴とする請求項1〜請求項14のいずれかに記載の侵入検知システム。
- 攻撃対象装置を含む侵入記録のデータを入力するファイル入力部、このファイル入力部により入力された攻撃対象装置を含む上記侵入記録を蓄積するデータ蓄積部、上記監視対象システム内の装置を定義する監視対象定義部、上記データ蓄積部に蓄積された上記侵入記録の攻撃対象装置と上記監視対象定義部により定義された装置とを比較することにより、上記侵入記録が上記監視対象システムに対する攻撃かどうかを判定して、上記攻撃に対する対処の必要性を判定する分析部、及びこの分析部により対処の必要性が判定された上記侵入記録を表示する表示部を備えたことを特徴とする侵入検知情報分析装置。
- 監視対象システム内の装置を定義する監視対象定義部を参照するプログラムであって、上記監視対象システムが接続されたネットワーク上のパケットを取得し、この取得したパケットから攻撃者の侵入を検出する第一のステップ、この第一のステップにより検出された侵入の攻撃対象装置を含む侵入記録を蓄積する第二のステップ、この第二のステップにより蓄積された上記侵入記録の攻撃対象装置と上記監視対象定義部に定義された装置とを比較することにより、上記侵入記録が上記監視対象システムに対する攻撃かどうかを判定して、上記攻撃に対する対処の必要性を判定する第三のステップ、及びこの第三のステップにより対処の必要性が判定された上記侵入記録を表示する第四のステップを含むことを特徴とする侵入検知プログラム。
- 監視対象システム内の装置を定義する監視対象定義部を参照するプログラムであって、攻撃対象装置を含む侵入記録のデータを入力する第五のステップ、この第五のステップにより入力された侵入の攻撃対象装置を含む侵入記録を蓄積する第二のステップ、この第二のステップにより蓄積された上記侵入記録の攻撃対象装置と上記監視対象定義部に定義された装置とを比較することにより、上記侵入記録が上記監視対象システムに対する攻撃かどうかを判定して、上記攻撃に対する対処の必要性を判定する第三のステップ、及びこの第三のステップにより対処の必要性が判定された上記侵入記録を表示する第四のステップを含むことを特徴とする侵入検知情報分析プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004273497A JP2006093832A (ja) | 2004-09-21 | 2004-09-21 | 侵入検知システム及び侵入検知プログラム並びに侵入検知情報分析装置及び侵入検知情報分析プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004273497A JP2006093832A (ja) | 2004-09-21 | 2004-09-21 | 侵入検知システム及び侵入検知プログラム並びに侵入検知情報分析装置及び侵入検知情報分析プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006093832A true JP2006093832A (ja) | 2006-04-06 |
Family
ID=36234423
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004273497A Pending JP2006093832A (ja) | 2004-09-21 | 2004-09-21 | 侵入検知システム及び侵入検知プログラム並びに侵入検知情報分析装置及び侵入検知情報分析プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006093832A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008287722A (ja) * | 2007-05-16 | 2008-11-27 | Beijing Kingsoft Software Co Ltd | リスクレベル分析装置およびリスクレベル分析方法 |
| JP2015216549A (ja) * | 2014-05-12 | 2015-12-03 | 富士通株式会社 | 表示方法、表示装置および表示プログラム |
| JP2017502442A (ja) * | 2013-12-26 | 2017-01-19 | ファイヤアイ インク | 疑わしいオブジェクトにおけるエクスプロイトを自動的に実証し、当該実証済みエクスプロイトに関連付けられた表示情報を強調するシステム、装置、および方法 |
| JP2020060992A (ja) * | 2018-10-11 | 2020-04-16 | 富士通株式会社 | 表示制御方法、表示制御プログラム、および表示制御装置 |
| JP2020126586A (ja) * | 2019-01-16 | 2020-08-20 | シーメンス アクチエンゲゼルシヤフトSiemens Aktiengesellschaft | ログデータの完全性保護 |
| JPWO2020195228A1 (ja) * | 2019-03-28 | 2020-10-01 |
-
2004
- 2004-09-21 JP JP2004273497A patent/JP2006093832A/ja active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008287722A (ja) * | 2007-05-16 | 2008-11-27 | Beijing Kingsoft Software Co Ltd | リスクレベル分析装置およびリスクレベル分析方法 |
| JP2017502442A (ja) * | 2013-12-26 | 2017-01-19 | ファイヤアイ インク | 疑わしいオブジェクトにおけるエクスプロイトを自動的に実証し、当該実証済みエクスプロイトに関連付けられた表示情報を強調するシステム、装置、および方法 |
| JP2015216549A (ja) * | 2014-05-12 | 2015-12-03 | 富士通株式会社 | 表示方法、表示装置および表示プログラム |
| JP2020060992A (ja) * | 2018-10-11 | 2020-04-16 | 富士通株式会社 | 表示制御方法、表示制御プログラム、および表示制御装置 |
| JP2020126586A (ja) * | 2019-01-16 | 2020-08-20 | シーメンス アクチエンゲゼルシヤフトSiemens Aktiengesellschaft | ログデータの完全性保護 |
| JPWO2020195228A1 (ja) * | 2019-03-28 | 2020-10-01 | ||
| WO2020195228A1 (ja) * | 2019-03-28 | 2020-10-01 | 日本電気株式会社 | 分析システム、方法およびプログラム |
| JP7107432B2 (ja) | 2019-03-28 | 2022-07-27 | 日本電気株式会社 | 分析システム、方法およびプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11956208B2 (en) | Graphical representation of security threats in a network | |
| US10135862B1 (en) | Testing security incident response through automated injection of known indicators of compromise | |
| JP5066544B2 (ja) | インシデント監視装置,方法,プログラム | |
| JP2009282983A (ja) | サーバーの脆弱点を点検するためのシステム及びその方法 | |
| JP2004318552A (ja) | Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム | |
| JP2007094997A (ja) | Idsのイベント解析及び警告システム | |
| CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| WO2019026310A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
| JP6407184B2 (ja) | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム | |
| US10454959B2 (en) | Importance-level calculation device, output device, and recording medium in which computer program is stored | |
| JP2006093832A (ja) | 侵入検知システム及び侵入検知プログラム並びに侵入検知情報分析装置及び侵入検知情報分析プログラム | |
| JP2005202664A (ja) | 不正アクセス統合対応システム | |
| JP2006295232A (ja) | セキュリティ監視装置、セキュリティ監視方法、及びプログラム | |
| JP5752020B2 (ja) | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム | |
| CN116886335A (zh) | 一种数据安全管理系统 | |
| JP2006350543A (ja) | ログ分析装置 | |
| CN113904920B (zh) | 基于失陷设备的网络安全防御方法、装置及系统 | |
| CN113055362B (zh) | 异常行为的预防方法、装置、设备及存储介质 | |
| Thompson et al. | Network intrusion detection cognitive task analysis: Textual and visual tool usage and recommendations | |
| JP2018169643A (ja) | セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法 | |
| CN114189361A (zh) | 防御威胁的态势感知方法、装置及系统 | |
| JP7435186B2 (ja) | 異常監視支援装置、プログラム及び方法 | |
| JP2008193302A (ja) | 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061011 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081001 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081007 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081202 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081216 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090407 |