JP2007094997A - Idsのイベント解析及び警告システム - Google Patents
Idsのイベント解析及び警告システム Download PDFInfo
- Publication number
- JP2007094997A JP2007094997A JP2005286930A JP2005286930A JP2007094997A JP 2007094997 A JP2007094997 A JP 2007094997A JP 2005286930 A JP2005286930 A JP 2005286930A JP 2005286930 A JP2005286930 A JP 2005286930A JP 2007094997 A JP2007094997 A JP 2007094997A
- Authority
- JP
- Japan
- Prior art keywords
- data
- event
- alert
- unauthorized access
- event data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】ネットワーク内に攻撃元が存在する場合等も含め、ネットワークにおける不正アクセス等発生の場合にイベントデータを解析して該当通信イベント以降の不正アクセスの迅速な検出と的確なアラート発行を実現でき、不正アクセスに対する適切な対応を可能として二次的被害を抑止できるIDSのイベント解析及び警告システムを提供する。
【解決手段】イベントデータを処理制御部が解析し、イベントデータの一又は複数のデータ項目内容ごとにそれぞれ内容の共通する通信イベントの発生数を集計した集計数値情報を取得し、不正アクセス検出部で所定の検出条件にイベントデータ内容又は集計数値情報が合致するか否かを確認して不正アクセスの判定を行うことから、ネットワーク内で生じた異常を集計数値情報に基づいて識別、検出できることとなり、攻撃元が外部か内部かに関わりなく不正アクセス状態を検出して適切なアラートとして通知できる。
【選択図】 図2
【解決手段】イベントデータを処理制御部が解析し、イベントデータの一又は複数のデータ項目内容ごとにそれぞれ内容の共通する通信イベントの発生数を集計した集計数値情報を取得し、不正アクセス検出部で所定の検出条件にイベントデータ内容又は集計数値情報が合致するか否かを確認して不正アクセスの判定を行うことから、ネットワーク内で生じた異常を集計数値情報に基づいて識別、検出できることとなり、攻撃元が外部か内部かに関わりなく不正アクセス状態を検出して適切なアラートとして通知できる。
【選択図】 図2
Description
本発明は、監視対象のネットワークに設置されたIDSセンサより通知されたイベントデータを解析して適切なアラートを発行するIDSのイベント解析及び警告システムに関し、特に、IDSセンサから通知されるイベントデータを記録、蓄積して、この蓄積したイベントデータを解析して不正アクセスの判定に利用可能とし、アラート発行をより適切且つ迅速に行えるようにする、IDSのイベント解析及び警告システムに関する。
近年、コンピュータはネットワーク接続された使用形態が一般的となり、それに伴ってネットワークを介した不正アクセスやウィルス感染の危険も生じている。こうした危険に対するコンピュータの保護は急務となっており、特に外部ネットワークとの接続に際しては、必要な通信のみ通し、不要な通信を遮断して外部ネットワークからの攻撃や不正アクセスから内部ネットワークを保護するファイアウォールの利用にとどまらず、ファイアウォールでは阻止できないコンピュータ端末やネットワークに対する不正行為を検出して通知するIDS(Intrusion Detection System;侵入検知システム)を導入するケースも増えている。
従来、一般的に利用されているネットワーク型の侵入検知システムは、監視対象のネットワークにセンサとして設置、接続され、データベース化された多数のシグネチャ(ネットワーク上で既知の不正事例を分析して抽出された、攻撃や不正なアクセスと見なせるパターン)と、監視対象のネットワーク上に流れる通信パケットとを、逐一比較照合し、通信パケットとデータベース内のシグネチャの1つとが一致した場合、その通信パケットに対応する通信アクセスを不正と見なし、不正な事象を示すイベントデータ(アラート)を発行してセキュリティ管理者に通知するものとなっている。また、通知によりセキュリティ管理者の対策を促すだけでなく、不正アクセス等検出時には自動的にトラヒック制御や内外の通信を遮断する等の機能を備えているものもある。ただし、侵入検知システムは不正アクセスを確実に検知するために、パケットの不正に厳密に対応する仕組みとなっており、現実の運用では大量のアラートがセキュリティ管理者に通知されることも多く、実際に有害なアラートのみにフィルタリングを行う場合もある。一方、センサが監視できる範囲は、ネットワークのセグメント単位に限られるため、DMZや内部ネットワークなど各セグメント毎にセンサを設置する必要がある。
このような従来の侵入検知システムの例としては、特開2002−73433号公報、特開2004−30286号公報、特開2004−336130号公報、及び特開2005−210601号公報に記載されるものがある。
前記従来の侵入検知システムは、ネットワーク内のコンピュータへの不正アクセスを検出、通知する他、ネットワークを介して送信される所定のパケット数を監視、分析するなどにより、ネットワーク上の各種サーバに対して大量のサービス接続要求を送信し、サーバの負荷を高めてサーバをダウンさせたり、サービスを利用不能にしたりするサービス不能攻撃などにも対処可能となっている。
特開2002−73433号公報
特開2004−30286号公報
特開2004−336130号公報
特開2005−210601号公報
従来の侵入検知システムは前記各特許文献に示されるものとなっているが、こうした従来システムは外部ネットワークからの不正アクセスを想定したものとなっており、内部ネットワークが外部から攻撃を受けて内部ネットワーク内のある機器が不正動作状態に陥り、この機器から内部ネットワーク内の他の機器や外部ネットワークに対して、新たな攻撃が行われる場合、例えば、攻撃のいわゆる「踏み台」とされる例や、内部ネットワークに接続された機器を直接悪意のある人物に盗用される場合など、ネットワーク内部に攻撃元が存在する状態では、侵入検知システムによる検出は、所定アドレスに関するトラヒック増大などから異常の検出そのものは行える可能性はあるものの、内部ネットワークからの攻撃に対する適切な検知及び情報提供手段を、侵入検知システムが持っていないことから、単に異常状態の検出にとどまり、適切なアラートを発行することができず、異常の原因である外部からの攻撃やウィルス感染、内部からの不正アクセス等の予測が困難であるなど、管理者も適切に対処することができなくなり、外部ネットワークからの不正な通信を監視する手段を有しながら、内部ネットワーク内の機器からの攻撃による二次的な被害を避けられないという課題を有していた。
本発明は前記課題を解消するためになされたもので、ネットワーク内に攻撃元が存在する場合等も含め、ネットワークにおける不正アクセス等発生の場合にイベントデータを解析して該当通信イベント以降の不正アクセスの迅速な検出と的確なアラート発行を実現でき、不正アクセスに対する適切な対応を可能として二次的被害を抑止できるIDSのイベント解析及び警告システムを提供することを目的とする。
本発明に係るIDSのイベント解析及び警告システムは、監視対象となる所定のネットワークに接続されたIDSセンサより通知されたイベントデータを解析して適切なアラートを発行するIDSのイベント解析及び警告システムにおいて、前記IDSセンサより通知されたイベントデータを入出力部を介して受取り、イベントデータを所定時間だけ記録蓄積するデータ記録部と、前記データ記録部に記録蓄積された分のイベントデータについて、各イベントデータ内部を参照してイベントデータの一又は複数のデータ項目について内容別に集計を行って集計数値を導く処理制御部と、前記入出力部から得たイベントデータの内容及び/又は当該イベントデータ受け入れ時点における前記処理制御部で得られた集計数値情報を、所定の検出条件に照らし合わせ、イベントデータで示される通信イベントが不正アクセスに該当するか否かを判定する不正アクセス検出部と、当該不正アクセス検出部で不正アクセスとの判定がなされた場合に、不正アクセスの発生と不正内容を示すアラートを発行するアラート管理部とを備え、前記処理制御部が、前記アラート管理部によるアラート発行と同時に、前記イベントデータを所定のアラートデータとしてデータ記録部に記録するものである。
このように本発明によれば、IDSセンサから取得したイベントデータを処理制御部が解析し、イベントデータの一又は複数のデータ項目内容ごとにそれぞれ内容の共通するイベントデータを集計した集計数値情報を取得し、不正アクセス検出部で所定の検出条件にイベントデータ内容又は集計数値情報が合致するか否かを確認して不正アクセスの判定を行い、不正アクセスの場合にはアラート管理部がアラートを発行することにより、ネットワーク内で生じた所定アドレスへの大量不正アクセス等の異常を、所定通信イベントの発生数を示す集計数値情報に基づいて識別、検出できることとなり、攻撃元が外部か内部かに関わりなく不正アクセス状態を検出して適切なアラートとして通知することができ、管理者等の適切な対応を可能にしてネットワークへの被害を必要最小限に抑えられる。
また、本発明に係るIDSのイベント解析及び警告システムは必要に応じて、前記アラートデータに対応する通信イベントの送信元が前記ネットワーク内部である場合、前記データ記録部に蓄積されたイベントデータで、前記送信元に対して送信されている通信イベントに関するものの中から、所定の条件に対応するイベントデータを検索し抽出するイベントデータ検索部を備え、前記アラート管理部が、前記イベントデータ検索部の検索で得られた以前のイベントデータをアラート起点データとして、前記アラートデータと関連付けてデータ記録部に記録するものである。
このように本発明によれば、アラートを発行された通信イベントがネットワーク内部からの送信によるものである場合、イベントデータ検索部が蓄積されたイベントデータから前記通信イベントの送信元に対しなされた以前の不正アクセスに関わるものを検索、抽出し、得られたイベントデータをアラート管理部がアラート起点データとしてアラートデータと関連付けて記録することにより、アラート起点データを不正アクセスの判定に活用することでネットワーク内部での攻撃等不正アクセス発生のきっかけとなった外部からの送信イベントを識別でき、アラート起点データとして記録した以降は同様の通信イベントを不正と認識してアラート発行することができ、不正アクセスに対し適切な対応を迅速に行えることとなる。
また、本発明に係るIDSのイベント解析及び警告システムは必要に応じて、前記アラート管理部が、アラートデータを以前に前記データ記録部に記録した他のアラートデータと同じと判定した場合に、前記アラートデータに対応するアラート起点データと既に記録されている他のアラートデータに対応するアラート起点データとの一致点又は類似点を検出し、当該検出した共通又は類似点を前記不正アクセス検出部で用いる前記検出条件として採用するものである。
このように本発明によれば、アラートデータを以前の他のアラートデータと同じと判定した場合に、関連するアラート起点データ同士の一致点又は類似点を検出し、これを不正アクセス検出用の検出条件に用いることにより、同種の不正アクセス発生のきっかけとなった複数の通信イベントが同様の特徴を有する場合には、以降の同様の特徴を有する通信イベントの発生時にそのまま不正アクセスとして識別してアラートを発行することができ、攻撃等不正アクセスそのもの又はこれらにつながる通信イベントを適切且つ迅速に識別して的確なアラートを発行でき、不正アクセス検出の精度を高められると共に管理者の対応も容易となる。
以下、本発明の一実施の形態を図1ないし図3に基づいて説明する。本実施の形態は、ゲートウェイを介して外部ネットワークと隔てられた内部ネットワークにIDSセンサを接続して監視する状況に適用する場合の例を示す。この図1は本実施形態に係るIDSのイベント解析及び警告システムを設置したネットワークのブロック図、図2は本実施形態に係るIDSのイベント解析及び警告システムのブロック図、図3は本実施形態に係るIDSのイベント解析及び警告システムにおけるイベント解析処理のフローチャートである。
前記各図において本実施の形態に係るイベント解析及び警告システム1は、IDSセンサ90から送られたイベントデータを受信する入出力部10と、入出力部10を介して得られたイベントデータその他を記録するデータ記録部20と、システム各部における各処理の指示制御を行うと共にイベントデータの解析を行う処理制御部30と、イベントデータ内容について所定の検出条件を基に不正アクセスに係るか否かを判定して不正アクセスの検出を行う不正アクセス検出部40と、不正アクセスと判定された通信イベントについて、アラートを発行すると共に、記録済の蓄積データとの比較、条件に基づくデータ抽出、及びデータ相互の関連付け等を行うアラート管理部50と、データ記録部20に記録されたもののうち所定の条件に合致するイベントデータを検索、抽出するイベントデータ検索部60とを備える構成である。
本実施形態に係るシステムを用いるネットワーク100は、インターネット等の外部ネットワーク200に対しルータ110とファイアウォール120を介して接続された内部ネットワークであり、複数のコンピュータ70、80が接続される。IDSセンサ90はファイアウォール120より内側のネットワーク100に設けられることとなる。
前記入出力部10は、IDSセンサ90から発行されたイベントデータをファイルの形で受取り、処理制御部30にデータとして渡すものである。なお、IDSセンサ90は、監視対象となるネットワークのセグメント毎に配置される、いわゆるネットワーク型のものであり、ネットワークを監視し、あらかじめデータベース化されたシグネチャに対応する不正なパターンを持ったパケットを検知すると、それについてのイベントデータ(アラート)を発行する公知のシステムであり、説明を省略する。このIDSセンサにより、攻撃等不正アクセスの疑いのある不審なパケットがネットワークに存在する場合には、全てイベントデータが発行されて入出力部10に送信される仕組みとなっている。このIDSセンサ90の発行するイベントデータは、不正判断の根拠となったシグネチャ、送信元のIPアドレス、送信先のIPアドレス、ポート番号、発生時刻等を含んだものとなっている。
前記データ記録部20は、入出力部10を介して処理制御部30が一旦受取ったIDSセンサ90からのイベントデータを所定時間分記録蓄積すると共に、処理制御部30で集計解析されたイベントデータの各項目内容に関する集計数値情報を記録するものである。この他、データ記録部20は、不正アクセス分のイベントデータその他をアラートデータとして独立させて記録すると共に、このアラートデータと関連する過去のイベントデータをアラート起点データとして独立させて記録する。イベントデータは、データ記録部20に記録蓄積されて所定時間経過の後、アラートデータやアラート起点データとしてデータ記録部20の別の記録領域に記録されたものを除いて、古いデータは新たなデータに置換えられ、常に最新の記録から所定時間前までのデータのみ保持された状態となっている。
前記処理制御部30は、入出力部10から受取ったイベントデータをデータ記録部20に記録するよう指示制御すると同時に、データ記録部20に記録蓄積された所定時間分のイベントデータについて、データ内容を参照してイベントデータに含まれるパケットのヘッダ情報をはじめとする通信イベントを示す各項目のうち、送信元、送信先、シグネチャのそれぞれについて内容別に集計を行い、また、複数項目で同時にイベントデータ間で共通する内容があるもの毎に集計を行って、集計数値、すなわち各通信イベント発生数の情報を取得する解析処理を行うものである。複数項目にわたる集計では、具体的には、イ)送信元と送信先、シグネチャの各内容が全て一致する通信イベントごとに集計して得られる集計数値、ロ)送信元とシグネチャの各内容が一致する通信イベントごとに集計して得られる集計数値、ハ)送信先とシグネチャの各内容が一致する通信イベントごとに集計して得られる集計数値、並びに、ニ)送信元と送信先の各内容が一致する通信イベントごとに集計して得られる集計数値、がそれぞれ取得されることとなる。
さらに、処理制御部30は、不正アクセス検出部40にイベントデータや集計数値情報の不正アクセスとの関わりについて検証を行わせ、不正アクセス検出部40からイベントデータについて不正アクセスを示すものである旨を通知された場合、イベントデータを検出条件と一まとめにしてアラートデータとしてデータ記録部20に記録すると共に、アラート管理部50に指示してアラート発行処理を行わせる処理制御を行う仕組みである。
前記不正アクセス検出部40は、イベントデータ内容や処理制御部30で取得された集計数値情報をそれぞれ参照し、イベントデータが所定の検出条件に合致するか否か、集計数値情報が規定の上限数を超えたか否か検証して、このイベントデータで示される通信イベントが不正アクセスに該当するか否かを判定するものである。不正アクセスと判定した場合は、処理制御部30やアラート管理部50にその旨を通知する仕組みである。
前記アラート管理部50は、不正アクセス検出部40で不正アクセスであると判定されたイベントデータについて、検出条件に対応して不正アクセスの種類や検出に至った原因(イベント発生数過多など)を識別可能なアラートを発行するものである。また、アラート管理部50は、イベントデータ検索部60へのデータ検索指示を発行し、アラートデータに関わりのあるイベントデータを取得してアラート起点データとしてデータ記録部20にアラートデータと関連させつつ記録する仕組みである。これらアラートデータやアラート起点データについては、所定時間経過してもデータ記録部20から削除されることはない。アラート管理部50からのアラートの発行方法は、管理者向けのメール発送や管理者端末表示画面への情報表示など、公知のいずれの手法でもかまわず、さらに、直接ネットワーク制御機器をアラートに対応させて動作させ、トラヒックコントロールや通信遮断等を行わせるようにすることもできる。
前記イベントデータ検索部60は、前記アラートデータに対応する通信イベントの送信元が前記ネットワーク100内部である場合に、前記データ記録部20に蓄積されたイベントデータで、前記送信元に対して送信されている通信イベントに関するものの中から、アラート管理部50から与えられた条件に該当する内容(例えば、所定のアドレスが送信先となっているなど)を含むイベントデータを検索し抽出するものである。このイベントデータ検索部60で得られたイベントデータがアラート管理部50に渡されてアラート起点データとされる。イベントデータ検索部60における蓄積イベントデータの検索条件は、不正アクセス検出部40で通信イベントに対する不正アクセスの判定に用いた検出条件に応じて変化する。なお、検索に際しては、あらかじめ安全であると規定されたイベントや、送信元や発信先が安全であると規定されているデータは除外される仕組みである。
次に、前記構成に基づくIDSのイベント解析及び警告システムにおけるイベント解析処理について、図3に示すフローチャートに基づいて説明する。前提として、この処理に先立ち、対象となるネットワーク100がIDSセンサ90により監視されている状態にあるものとする。
まず、ネットワークを監視するIDSセンサ90で不正と見なされるパケットが検出される毎に、IDSセンサ90からこの不正事象についてのイベントデータが発行、出力され、入出力部10がファイルとして受取り、この入出力部20を介して処理制御部30にイベントデータが渡される(ステップ01)。処理制御部30は、イベントデータをデータ記録部20の所定領域に展開して過去の分と合わせて所定時間分だけ蓄積保持させる一方、これとは別に、データ内容をデータ記録部20のイベントログファイルに新規追加内容として追記記録する。
また、処理制御部30では、データ記録部20に蓄積保持されている所定時間分のイベントデータの中で、このイベントデータ中の各項目(送信元、送信先、シグネチャ)毎に内容別の集計を行い、また、複数項目で同時にイベントデータ間で共通する内容があるもの毎に集計を行って蓄積データ分の集計数値情報を取得する(ステップ02)。データ記録部20に記録されたイベントデータは所定時間保持され、所定時間経過した古いデータは新たに蓄積されるデータに置換えられる。また、集計数値情報は時間が経過してイベントデータの蓄積状態が変化する毎に再集計されて更新される。
新規イベントデータの内容がデータ記録部20に蓄積され、且つ集計数値情報に反映されたら、不正アクセス検出部40が、このイベントデータについてあらかじめ設定された検出条件に該当しているか否かを確認すると共に、処理制御部30で取得された集計数値情報を参照して、所定内容の単位時間あたり集計数値(通信イベント発生数)で検出条件として与えられた上限数を超えたものがあるか否かをそれぞれ確認することで、イベントデータがアラート発行を要するレベルの不正アクセスを示すものであるか否かを判定する(ステップ03)。不正アクセス検出部40は、この判定結果を処理制御部30に通知する。
不正アクセス検出部40で、イベントデータがアラート発行の必要な不正アクセスを示すものであると判定された場合、処理制御部30は、データ記録部20にこのイベントデータをアラートデータとして記録する(ステップ04)。アラートデータとして記録する内容は、イベントデータに加え、不正アクセス検出部40でイベントデータ内容が該当した検出条件又は項目の集計数等の検出結果とする。このアラートデータの記録と同時に、処理制御部30はアラート管理部50を動作させ、アラート管理部50は管理者宛にメールを発送したり、画面表示を行ったりするなどして、アラートデータの各内容をアラートとして発行する(ステップ05)。ネットワーク100において、アラートに対応してトラヒックコントロールや通信遮断等の不正アクセス対策を自動的に実行可能となっている場合には、この時点で適切な対策処理が実行されることとなる。
なお、前記ステップ03で不正アクセス検出部40がイベントデータを不正アクセスを示すものではないと判定した場合、前記ステップ01に戻り、以降の処理が繰返される。
なお、前記ステップ03で不正アクセス検出部40がイベントデータを不正アクセスを示すものではないと判定した場合、前記ステップ01に戻り、以降の処理が繰返される。
アラートデータの記録並びにアラートの発行を終えると、アラート管理部50はアラートデータの内容のうち、送信元のアドレス部分を参照し、不正アクセスとされた通信がネットワーク100内部から送信されたものか外部ネットワーク200から送信されたものかを判定する(ステップ06)。ネットワーク100内部からのものである場合、アラート管理部50はアラートデータの内容に基づき、イベントデータ検索部60に検索条件を付与して蓄積されたデータへの検索を実行させる。
イベントデータ検索部60は、データ記録部20に蓄積された各イベントデータから、あらかじめ単独では安全であると規定しているイベントや送信元、発信先等が安全であると規定されているデータを検索対象から除外した上で、前記アラートデータに示される送信元アドレスに対して過去に送信された通信に関するイベントデータ(すなわち、不正アクセスの原因たり得る攻撃等の通信イベント)を検索する(ステップ07)。そして、このイベントデータの中から一定条件に従ったものを抽出し、アラートデータと関連付ける形でアラート起点データとして登録し、記録する(ステップ08)。
この後、アラート管理部50では今回記録したアラートデータについて、データ記録部を参照し、過去に発行されたアラートデータの中から同一(同種)のアラートデータがあるか否かを判定し(ステップ09)、過去に存在する場合はこの同一(同種)のアラートデータと関連付けられているアラート起点データを抽出し、この抽出されたアラート起点データと、先の過程で登録したアラート起点データを比較し、データ内容の一致点(類似点)を検証する(ステップ10)。その観点は、1.所定項目(単独)で同一の内容を受信していないか、2.所定項目(複数・組合せ)で同一の内容を受信していないか、3.同一の送信元から同一のシグネチャに対応する内容を受信していないか、4.同一の送信元から受信していないか、といったものである。これら観点の追加は可能とする。
ここで確認した一致点(類似点)を不正アクセスの検出条件として使用可能か否かを判定する(ステップ11)。使用可能と判定した場合、前記一致点を不正アクセス検出部40において検出条件として使用可能な形式とした上で検出条件に加え(ステップ12)、以降の不正アクセス検出に利用する。
ただし、検出条件として採用するか否かの最終決定を自動で行うか手動で行うかの変更は可能である。
ただし、検出条件として採用するか否かの最終決定を自動で行うか手動で行うかの変更は可能である。
続いて、処理制御部は、ネットワークにおける不正アクセスの状況等から、イベント解析を停止可能であるか否か判定し(ステップ13)、イベント解析を停止できない場合、前記ステップ01に戻り、以降の処理を繰返す。
そして、前記ステップ13で、イベント解析を停止可能である場合は、一連の処理を終了する。
前記ステップ09で同一のアラートデータが過去に存在しないと判定した場合、並びに、前記ステップ11でアラート起点データ同士の一致点(類似点)を不正アクセスの検出条件として使用できないと判定した場合、そのままステップ13へ移行する。
そして、前記ステップ13で、イベント解析を停止可能である場合は、一連の処理を終了する。
前記ステップ09で同一のアラートデータが過去に存在しないと判定した場合、並びに、前記ステップ11でアラート起点データ同士の一致点(類似点)を不正アクセスの検出条件として使用できないと判定した場合、そのままステップ13へ移行する。
一方、前記ステップ06で不正アクセスとされた通信が外部ネットワーク200から送られたものと判定された場合、アラート管理部50では今回記録したアラートデータについて、過去に発行されたアラートデータの中から、データ内容のうち送信先が同一となっているアラートデータがあるかどうか参照し(ステップ14)、過去に存在する場合はこのアラートデータを抽出し、この抽出されたアラートデータと、今回記録したアラートデータを比較し、データ内容の一致点(類似点)を検証する(ステップ15)。その観点は、1.所定項目(単独)で同一の内容を受信していないか、2.所定項目(複数・組合せ)で同一の内容を受信していないか、3.同一の送信元から同一のシグネチャに対応する内容を受信していないか、4.同一の送信元から受信していないか、といったものである。これら観点の追加は可能とする。
ここで確認した一致点(類似点)を不正アクセスの検出条件として使用可能か否かを判定する(ステップ16)。使用可能と判定した場合、前記一致点を不正アクセス検出部40において検出条件として使用可能な形式とした上で、検出条件に加え(ステップ17)、前記ステップ13へ移行する。
前記ステップ14で送信先が同一のアラートデータが過去に存在しないと判定した場合、並びに、前記ステップ16でアラートデータ同士の一致点(類似点)を不正アクセスの検出条件として使用できないと判定した場合、そのままステップ13へ移行する。
さらに、前記構成に基づくIDSのイベント解析及び警告システムにおけるイベント解析の実際の処理動作について、具体的な例を用いて説明する。前提となる状況として、IDSセンサ90により監視されているネットワーク100にある所定のコンピュータ80がウィルス感染等によりネットワーク100に属する他のコンピュータ70に対し攻撃を開始した例を挙げる。
まず、ネットワーク100を監視するIDSセンサ90が、ウィルス感染により一部データ内容が不正となったパケットをシグネチャの一致により検出し、IDSセンサ90からこの不正事象についてのイベントデータが発行、出力され、入出力部10がファイルとして受取り、この入出力部10を介して処理制御部30にイベントデータが渡される(ステップ01)。処理制御部30は、イベントデータをデータ記録部20に所定時間分記録蓄積する一方、このデータ記録部に蓄積保持されている所定時間分のイベントデータの中で、このイベントデータ中の各項目(送信元、送信先、シグネチャ)毎に内容別の集計を行い、また、複数項目で同時にイベントデータ間で共通する内容があるもの毎に集計を行って所定時間分の集計数値情報を取得する(ステップ02)。
時間の経過に伴って、データ記録部20にはコンピュータ80からの攻撃に伴う異常を検知したIDSセンサ90から発行されたイベントデータが蓄積されていくこととなり、集計数値情報においても、攻撃元のコンピュータ80のアドレスを送信元とし且つ同じシグネチャとなるイベント発生数等が急激に増加することとなる。
新規イベントデータの内容がデータ記録部20に蓄積され、且つ集計数値情報に反映されると、不正アクセス検出部40で、イベントデータがアラート発行を要する不正アクセスを示すものであるか否かを判定する(ステップ03)。記録したイベントデータは、検出条件としてウィルス感染を示すシグネチャが含まれる点を与えている場合にはこれに該当することとなり、また、集計数値情報における前記イベント発生数に関しても、検出条件として単位時間あたりの上限数を与えられている場合は、感染後一定時間経過後にはこれを上回ることとなり、不正アクセス検出部40は、このイベントデータが不正アクセスを示すものであると判定して、処理制御部30に通知する。
処理制御部30は、データ記録部20にこのイベントデータをアラートデータとして記録する(ステップ04)。アラートデータとして記録する内容は、イベントデータに加え、検出条件となったシグネチャの存在と、攻撃元アドレスを送信元とするイベント発生数となる。このアラートデータの記録と共に、アラート管理部50はアラートデータの各内容をアラートとして管理者宛にメールを発送したり、端末画面への表示を行ったりする(ステップ05)。
この後、アラート管理部50はアラートデータの内容のうち、送信元のアドレス部分を参照し、不正アクセスとされた通信がネットワーク100内部から発せられたものであるとの判定を行う(ステップ06)ことから、アラートデータの内容に基づく検索条件を付与してイベントデータ検索部60に蓄積されたデータへの検索を実行させる。
イベントデータ検索部60は、データ記録部20に蓄積された各イベントデータから、前記アラートデータに示される送信元アドレスに対して過去に送信された通信に関するイベントデータ、すなわち、コンピュータ80に対して行われたウィルス感染の原因である可能性の高い通信に関するイベントデータを検索する(ステップ07)。そして、このイベントデータの中から通信内容に問題がないものを取除いて残ったものを抽出し、アラートデータと関連付ける形でアラート起点データとして登録し、記録する(ステップ08)。
さらに、アラート管理部50では前記アラートデータについて、データ記録部20を参照し、過去に発行されたアラートデータの中から同一のアラートデータがあるか否かを判定し(ステップ09)、過去に存在する場合はこの同一のアラートデータと関連付けられているアラート起点データを抽出し、このアラート起点データと、先の過程で登録したアラート起点データを比較し、データ内容の一致点(類似点)を所定の観点から検証する(ステップ10)。各アラート起点データにおいて、同一の送信元から同一のウィルス感染の疑いを示すシグネチャに対応する内容が送信されている、といった一致点があることから、この一致点である送信元アドレス及びシグネチャを不正アクセスの検出条件として使用可能か否かを判定する(ステップ11)。使用可能と判定した場合、この一致点である情報を不正アクセス検出部40において検出条件として使用可能な形式とした上で検出条件に加え(ステップ12)、以降の不正アクセス検出に利用する。こうした一連の各処理が、イベント解析を継続する間、繰返されることとなり、不正アクセスの検出、通知が時間の経過と共により適切且つ迅速に行えるようになる。
このように、本実施の形態に係るIDSのイベント解析及び警告システムにおいては、IDSセンサ90から取得したイベントデータを処理制御部30が解析し、イベントデータの一又は複数のデータ項目内容ごとにそれぞれ内容の共通するイベントデータを集計した集計数値情報を取得し、不正アクセス検出部40で所定の検出条件にイベントデータ内容又は集計数値情報が合致するか否かを確認して不正アクセスの判定を行い、不正アクセスの場合にはアラート管理部50がアラートを発行することから、ネットワーク100内で生じた所定アドレスへの大量不正アクセス等の異常を、所定通信イベントの発生数を示す集計数値情報に基づいて識別、検出できることとなり、攻撃元が外部か内部かに関わりなく不正アクセス状態を検出して適切なアラートとして通知することができ、管理者等の適切な対応を可能にしてネットワーク100への被害を必要最小限に抑えられる。また、アラートを発行された通信イベントがネットワーク100内部からの送信によるものである場合、蓄積されたイベントデータから前記通信イベントの送信元に対しなされた以前の不正アクセスに関わるものを検索、抽出し、アラート起点データとしてアラートデータと関連付けて記録することから、このアラート起点データを不正アクセスの判定に活用することで不正アクセス発生のきっかけとなったものと同様の通信イベントを不正アクセスと判定でき、不正アクセスへの対応を迅速に行える。
なお、前記実施の形態に係るIDSのイベント解析及び警告システムにおいては、処理制御部30で取得する集計数値情報について、イベントデータの集計対象の各項目及び複数項目の組合せのそれぞれについて、もれなく内容別の集計を行うようにしているが、これに限らず、受取った最新のイベントデータの内容に応じて、集計を行う項目を絞り込み、合わせて不正アクセス検出部40で検出条件と照合して不正判定対象とする集計数値情報の種類も同様に絞り込むこともでき、例えば、イベントデータの示す通信イベントの送信元が外部ネットワーク200で送信先がネットワーク100内部の場合、集計数値情報のうち送信先の内容に関する集計数値のみに着目してもかまわない場合もあることから、送信先内容別の集計に絞って処理を実施し、且つ不正アクセス検出部40では送信先の内容に関する集計数値のみを参照して判定を行うなど、各処理を大幅に簡略化して不正アクセスの判定をより迅速に行えることとなる。また、イベントデータの示す通信イベントの送信方向(外部→内部、内部→外部、内部→内部)に応じて、不正アクセス検出部40で不正アクセスと判定する集計数値、すなわち内容を同じくするイベント発生数の上限数を適宜調整することもでき、不正アクセスの起りやすさ等も考慮して適切な値を設定することでより的確な判定が行え、管理者の負担を軽減できる。
1 イベント解析及び警告システム
10 入出力部
20 データ記録部
30 処理制御部
40 不正アクセス検出部
50 アラート管理部
60 イベントデータ検索部
70、80 コンピュータ
90 IDSセンサ
100 ネットワーク
110 ルータ
120 ファイアウォール
200 外部ネットワーク
10 入出力部
20 データ記録部
30 処理制御部
40 不正アクセス検出部
50 アラート管理部
60 イベントデータ検索部
70、80 コンピュータ
90 IDSセンサ
100 ネットワーク
110 ルータ
120 ファイアウォール
200 外部ネットワーク
Claims (3)
- 監視対象となる所定のネットワークに接続されたIDSセンサより通知されたイベントデータを解析して適切なアラートを発行するIDSのイベント解析及び警告システムにおいて、
前記IDSセンサより通知されたイベントデータを入出力部を介して受取り、イベントデータを所定時間だけ記録蓄積するデータ記録部と、
前記データ記録部に記録蓄積された分のイベントデータについて、各イベントデータ内部を参照してイベントデータの一又は複数のデータ項目について内容別に集計を行って集計数値を導く処理制御部と、
前記入出力部から得たイベントデータの内容及び/又は当該イベントデータ受け入れ時点における前記処理制御部で得られた集計数値情報を、所定の検出条件に照らし合わせ、イベントデータで示される通信イベントが不正アクセスに該当するか否かを判定する不正アクセス検出部と、
当該不正アクセス検出部で不正アクセスとの判定がなされた場合に、不正アクセスの発生と不正内容を示すアラートを発行するアラート管理部とを備え、
前記処理制御部が、前記アラート管理部によるアラート発行と同時に、前記イベントデータを所定のアラートデータとしてデータ記録部に記録することを
特徴とするIDSのイベント解析及び警告システム。 - 前記請求項1に記載のIDSのイベント解析及び警告システムにおいて、
前記アラートデータに対応する通信イベントの送信元が前記ネットワーク内部である場合、前記データ記録部に蓄積されたイベントデータで、前記送信元に対して送信されている通信イベントに関するものの中から、所定の条件に対応するイベントデータを検索し抽出するイベントデータ検索部を備え、
前記アラート管理部が、前記イベントデータ検索部の検索で得られた以前のイベントデータをアラート起点データとして、前記アラートデータと関連付けてデータ記録部に記録することを
特徴とするIDSのイベント解析及び警告システム。 - 前記請求項2に記載のIDSのイベント解析及び警告システムにおいて、
前記アラート管理部が、アラートデータを以前に前記データ記録部に記録した他のアラートデータと同じと判定した場合に、前記アラートデータに対応するアラート起点データと既に記録されている他のアラートデータに対応するアラート起点データとの一致点又は類似点を検出し、
当該検出した一致点又は類似点を前記不正アクセス検出部で用いる前記検出条件として採用することを
特徴とするIDSのイベント解析及び警告システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005286930A JP4619254B2 (ja) | 2005-09-30 | 2005-09-30 | Idsのイベント解析及び警告システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005286930A JP4619254B2 (ja) | 2005-09-30 | 2005-09-30 | Idsのイベント解析及び警告システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007094997A true JP2007094997A (ja) | 2007-04-12 |
| JP4619254B2 JP4619254B2 (ja) | 2011-01-26 |
Family
ID=37980604
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005286930A Expired - Fee Related JP4619254B2 (ja) | 2005-09-30 | 2005-09-30 | Idsのイベント解析及び警告システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4619254B2 (ja) |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009171431A (ja) * | 2008-01-18 | 2009-07-30 | Oki Electric Ind Co Ltd | トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム |
| CN102591731A (zh) * | 2010-11-02 | 2012-07-18 | 国际商业机器公司 | 管理事故池以进行事件和警报分析的方法和系统 |
| US20120330918A1 (en) * | 2011-06-22 | 2012-12-27 | International Business Machines Corporation | Flexible event data content management for relevant event and alert analysis within a distributed processing system |
| US8386602B2 (en) | 2010-11-02 | 2013-02-26 | International Business Machines Corporation | Relevant alert delivery in a distributed processing system |
| US8495661B2 (en) | 2010-11-02 | 2013-07-23 | International Business Machines Corporation | Relevant alert delivery with event and alert suppression in a distributed processing system |
| US8621277B2 (en) | 2010-12-06 | 2013-12-31 | International Business Machines Corporation | Dynamic administration of component event reporting in a distributed processing system |
| US8676883B2 (en) | 2011-05-27 | 2014-03-18 | International Business Machines Corporation | Event management in a distributed processing system |
| US8688769B2 (en) | 2011-10-18 | 2014-04-01 | International Business Machines Corporation | Selected alert delivery in a distributed processing system |
| US8689050B2 (en) | 2011-06-22 | 2014-04-01 | International Business Machines Corporation | Restarting event and alert analysis after a shutdown in a distributed processing system |
| US8713581B2 (en) | 2011-10-27 | 2014-04-29 | International Business Machines Corporation | Selected alert delivery in a distributed processing system |
| US8737231B2 (en) | 2010-12-07 | 2014-05-27 | International Business Machines Corporation | Dynamic administration of event pools for relevant event and alert analysis during event storms |
| US8756462B2 (en) | 2011-05-24 | 2014-06-17 | International Business Machines Corporation | Configurable alert delivery for reducing the amount of alerts transmitted in a distributed processing system |
| US8805999B2 (en) | 2010-12-07 | 2014-08-12 | International Business Machines Corporation | Administering event reporting rules in a distributed processing system |
| US8868984B2 (en) | 2010-12-07 | 2014-10-21 | International Business Machines Corporation | Relevant alert delivery in a distributed processing system with event listeners and alert listeners |
| US8880943B2 (en) | 2011-06-22 | 2014-11-04 | International Business Machines Corporation | Restarting event and alert analysis after a shutdown in a distributed processing system |
| US8893157B2 (en) | 2011-10-18 | 2014-11-18 | International Business Machines Corporation | Administering incident pools for event and alert analysis |
| US8943366B2 (en) | 2012-08-09 | 2015-01-27 | International Business Machines Corporation | Administering checkpoints for incident analysis |
| US8954811B2 (en) | 2012-08-06 | 2015-02-10 | International Business Machines Corporation | Administering incident pools for incident analysis |
| JP5739034B1 (ja) * | 2014-03-19 | 2015-06-24 | 日本電信電話株式会社 | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
| US9086968B2 (en) | 2013-09-11 | 2015-07-21 | International Business Machines Corporation | Checkpointing for delayed alert creation |
| US9170860B2 (en) | 2013-07-26 | 2015-10-27 | International Business Machines Corporation | Parallel incident processing |
| US9178937B2 (en) | 2011-10-18 | 2015-11-03 | International Business Machines Corporation | Selected alert delivery in a distributed processing system |
| US9201756B2 (en) | 2011-05-27 | 2015-12-01 | International Business Machines Corporation | Administering event pools for relevant event analysis in a distributed processing system |
| US9246865B2 (en) | 2011-10-18 | 2016-01-26 | International Business Machines Corporation | Prioritized alert delivery in a distributed processing system |
| US9256482B2 (en) | 2013-08-23 | 2016-02-09 | International Business Machines Corporation | Determining whether to send an alert in a distributed processing system |
| US9286143B2 (en) | 2011-06-22 | 2016-03-15 | International Business Machines Corporation | Flexible event data content management for relevant event and alert analysis within a distributed processing system |
| US9348687B2 (en) | 2014-01-07 | 2016-05-24 | International Business Machines Corporation | Determining a number of unique incidents in a plurality of incidents for incident processing in a distributed processing system |
| US9361184B2 (en) | 2013-05-09 | 2016-06-07 | International Business Machines Corporation | Selecting during a system shutdown procedure, a restart incident checkpoint of an incident analyzer in a distributed processing system |
| US9602337B2 (en) | 2013-09-11 | 2017-03-21 | International Business Machines Corporation | Event and alert analysis in a distributed processing system |
| US9658902B2 (en) | 2013-08-22 | 2017-05-23 | Globalfoundries Inc. | Adaptive clock throttling for event processing |
| JP2017528853A (ja) * | 2014-07-18 | 2017-09-28 | ドイッチェ テレコム アーゲー | コンピュータネットワークへの攻撃を検出する方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2016092836A1 (ja) | 2014-12-10 | 2017-09-21 | 日本電気株式会社 | 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体 |
| JP6677169B2 (ja) | 2014-12-10 | 2020-04-08 | 日本電気株式会社 | 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラム |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005038116A (ja) * | 2003-07-18 | 2005-02-10 | Hitachi Ltd | 不正侵入分析装置 |
-
2005
- 2005-09-30 JP JP2005286930A patent/JP4619254B2/ja not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005038116A (ja) * | 2003-07-18 | 2005-02-10 | Hitachi Ltd | 不正侵入分析装置 |
Non-Patent Citations (2)
| Title |
|---|
| 竹森敬祐(外2名): "IDSログ分析支援システムの提案", 情報処理学会研究報告(2003−CSEC−21), vol. 2003, no. 45, JPN6010060395, 16 May 2003 (2003-05-16), JP, pages 65 - 70, ISSN: 0001758969 * |
| 竹森敬祐(外4名): "Security Operation CenterのためのIDSログ分析支援システム", 電子情報通信学会論文誌, vol. 87, no. 6, JPN6010060397, 1 June 2004 (2004-06-01), JP, pages 816 - 825, ISSN: 0001758970 * |
Cited By (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009171431A (ja) * | 2008-01-18 | 2009-07-30 | Oki Electric Ind Co Ltd | トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム |
| US8898299B2 (en) | 2010-11-02 | 2014-11-25 | International Business Machines Corporation | Administering incident pools for event and alert analysis |
| CN102591731A (zh) * | 2010-11-02 | 2012-07-18 | 国际商业机器公司 | 管理事故池以进行事件和警报分析的方法和系统 |
| CN102591731B (zh) * | 2010-11-02 | 2014-07-02 | 国际商业机器公司 | 管理事故池以进行事件和警报分析的方法和系统 |
| US8364813B2 (en) | 2010-11-02 | 2013-01-29 | International Business Machines Corporation | Administering incident pools for event and alert analysis |
| US8386602B2 (en) | 2010-11-02 | 2013-02-26 | International Business Machines Corporation | Relevant alert delivery in a distributed processing system |
| US8769096B2 (en) | 2010-11-02 | 2014-07-01 | International Business Machines Corporation | Relevant alert delivery in a distributed processing system |
| US8495661B2 (en) | 2010-11-02 | 2013-07-23 | International Business Machines Corporation | Relevant alert delivery with event and alert suppression in a distributed processing system |
| US8825852B2 (en) | 2010-11-02 | 2014-09-02 | International Business Machines Corporation | Relevant alert delivery in a distributed processing system |
| US8621277B2 (en) | 2010-12-06 | 2013-12-31 | International Business Machines Corporation | Dynamic administration of component event reporting in a distributed processing system |
| US8868986B2 (en) | 2010-12-07 | 2014-10-21 | International Business Machines Corporation | Relevant alert delivery in a distributed processing system with event listeners and alert listeners |
| US8868984B2 (en) | 2010-12-07 | 2014-10-21 | International Business Machines Corporation | Relevant alert delivery in a distributed processing system with event listeners and alert listeners |
| US8737231B2 (en) | 2010-12-07 | 2014-05-27 | International Business Machines Corporation | Dynamic administration of event pools for relevant event and alert analysis during event storms |
| US8805999B2 (en) | 2010-12-07 | 2014-08-12 | International Business Machines Corporation | Administering event reporting rules in a distributed processing system |
| US8756462B2 (en) | 2011-05-24 | 2014-06-17 | International Business Machines Corporation | Configurable alert delivery for reducing the amount of alerts transmitted in a distributed processing system |
| US8676883B2 (en) | 2011-05-27 | 2014-03-18 | International Business Machines Corporation | Event management in a distributed processing system |
| US9201756B2 (en) | 2011-05-27 | 2015-12-01 | International Business Machines Corporation | Administering event pools for relevant event analysis in a distributed processing system |
| US9213621B2 (en) | 2011-05-27 | 2015-12-15 | International Business Machines Corporation | Administering event pools for relevant event analysis in a distributed processing system |
| US9344381B2 (en) | 2011-05-27 | 2016-05-17 | International Business Machines Corporation | Event management in a distributed processing system |
| US8689050B2 (en) | 2011-06-22 | 2014-04-01 | International Business Machines Corporation | Restarting event and alert analysis after a shutdown in a distributed processing system |
| US8660995B2 (en) | 2011-06-22 | 2014-02-25 | International Business Machines Corporation | Flexible event data content management for relevant event and alert analysis within a distributed processing system |
| US8713366B2 (en) | 2011-06-22 | 2014-04-29 | International Business Machines Corporation | Restarting event and alert analysis after a shutdown in a distributed processing system |
| US8880943B2 (en) | 2011-06-22 | 2014-11-04 | International Business Machines Corporation | Restarting event and alert analysis after a shutdown in a distributed processing system |
| US8880944B2 (en) | 2011-06-22 | 2014-11-04 | International Business Machines Corporation | Restarting event and alert analysis after a shutdown in a distributed processing system |
| US9419650B2 (en) | 2011-06-22 | 2016-08-16 | International Business Machines Corporation | Flexible event data content management for relevant event and alert analysis within a distributed processing system |
| US20120330918A1 (en) * | 2011-06-22 | 2012-12-27 | International Business Machines Corporation | Flexible event data content management for relevant event and alert analysis within a distributed processing system |
| US9286143B2 (en) | 2011-06-22 | 2016-03-15 | International Business Machines Corporation | Flexible event data content management for relevant event and alert analysis within a distributed processing system |
| US8392385B2 (en) * | 2011-06-22 | 2013-03-05 | International Business Machines Corporation | Flexible event data content management for relevant event and alert analysis within a distributed processing system |
| US9178936B2 (en) | 2011-10-18 | 2015-11-03 | International Business Machines Corporation | Selected alert delivery in a distributed processing system |
| US8688769B2 (en) | 2011-10-18 | 2014-04-01 | International Business Machines Corporation | Selected alert delivery in a distributed processing system |
| US8893157B2 (en) | 2011-10-18 | 2014-11-18 | International Business Machines Corporation | Administering incident pools for event and alert analysis |
| US9178937B2 (en) | 2011-10-18 | 2015-11-03 | International Business Machines Corporation | Selected alert delivery in a distributed processing system |
| US9246865B2 (en) | 2011-10-18 | 2016-01-26 | International Business Machines Corporation | Prioritized alert delivery in a distributed processing system |
| US8713581B2 (en) | 2011-10-27 | 2014-04-29 | International Business Machines Corporation | Selected alert delivery in a distributed processing system |
| US8954811B2 (en) | 2012-08-06 | 2015-02-10 | International Business Machines Corporation | Administering incident pools for incident analysis |
| US8943366B2 (en) | 2012-08-09 | 2015-01-27 | International Business Machines Corporation | Administering checkpoints for incident analysis |
| US9361184B2 (en) | 2013-05-09 | 2016-06-07 | International Business Machines Corporation | Selecting during a system shutdown procedure, a restart incident checkpoint of an incident analyzer in a distributed processing system |
| US9170860B2 (en) | 2013-07-26 | 2015-10-27 | International Business Machines Corporation | Parallel incident processing |
| US9658902B2 (en) | 2013-08-22 | 2017-05-23 | Globalfoundries Inc. | Adaptive clock throttling for event processing |
| US9256482B2 (en) | 2013-08-23 | 2016-02-09 | International Business Machines Corporation | Determining whether to send an alert in a distributed processing system |
| US10171289B2 (en) | 2013-09-11 | 2019-01-01 | International Business Machines Corporation | Event and alert analysis in a distributed processing system |
| US9602337B2 (en) | 2013-09-11 | 2017-03-21 | International Business Machines Corporation | Event and alert analysis in a distributed processing system |
| US9086968B2 (en) | 2013-09-11 | 2015-07-21 | International Business Machines Corporation | Checkpointing for delayed alert creation |
| US9389943B2 (en) | 2014-01-07 | 2016-07-12 | International Business Machines Corporation | Determining a number of unique incidents in a plurality of incidents for incident processing in a distributed processing system |
| US9348687B2 (en) | 2014-01-07 | 2016-05-24 | International Business Machines Corporation | Determining a number of unique incidents in a plurality of incidents for incident processing in a distributed processing system |
| JP5739034B1 (ja) * | 2014-03-19 | 2015-06-24 | 日本電信電話株式会社 | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
| JP2017528853A (ja) * | 2014-07-18 | 2017-09-28 | ドイッチェ テレコム アーゲー | コンピュータネットワークへの攻撃を検出する方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4619254B2 (ja) | 2011-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4619254B2 (ja) | Idsのイベント解析及び警告システム | |
| JP5264470B2 (ja) | 攻撃判定装置及びプログラム | |
| JP5248612B2 (ja) | 侵入検知の方法およびシステム | |
| JP6001689B2 (ja) | ログ分析装置、情報処理方法及びプログラム | |
| KR100351306B1 (ko) | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 | |
| CN106330944B (zh) | 恶意系统漏洞扫描器的识别方法和装置 | |
| US7752668B2 (en) | Network virus activity detecting system, method, and program, and storage medium storing said program | |
| CN111010409B (zh) | 加密攻击网络流量检测方法 | |
| CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
| JP5066544B2 (ja) | インシデント監視装置,方法,プログラム | |
| KR101880162B1 (ko) | 자동제어시스템 내 제어신호 분석을 이용한 제어신호 무결성 검증 방법 | |
| KR102222377B1 (ko) | 위협 대응 자동화 방법 | |
| CN107918734B (zh) | 用于保护实物资产免受威胁的系统和方法 | |
| JP2006350561A (ja) | 攻撃検出装置 | |
| US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
| JP2008052637A (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| TWM542807U (zh) | 網路資訊安全偵測系統 | |
| JPWO2018179329A1 (ja) | 抽出装置、抽出方法、コンピュータ可読媒体 | |
| KR101268104B1 (ko) | 침입방지시스템 및 그 제어방법 | |
| JP2008022498A (ja) | ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム | |
| JP3966231B2 (ja) | ネットワークシステムと不正アクセス制御方法およびプログラム | |
| JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
| KR100545677B1 (ko) | 네트워크 인프라 장애 방지 시스템 및 방법 | |
| KR20180101868A (ko) | 악성 행위 의심 정보 탐지 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080411 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100803 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100930 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101026 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20101026 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131105 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |