JP2007164313A - Illegal access detection device - Google Patents
Illegal access detection device Download PDFInfo
- Publication number
- JP2007164313A JP2007164313A JP2005357237A JP2005357237A JP2007164313A JP 2007164313 A JP2007164313 A JP 2007164313A JP 2005357237 A JP2005357237 A JP 2005357237A JP 2005357237 A JP2005357237 A JP 2005357237A JP 2007164313 A JP2007164313 A JP 2007164313A
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- filter condition
- filter
- access detection
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
この発明は、ネットワークを流れるパケットを監視し、監視対象とする装置に対する不正アクセス、もしくは監視対象とする装置から行われる不正アクセスを検知するIntrusion Detection System(IDS)と呼ばれる不正アクセス検知装置に係るものであり、特に装置が正常通信を不正アクセスと判定する誤検出を低減するフィルタ設定を行う方式に関するものである。 The present invention relates to an unauthorized access detection device called Intrusion Detection System (IDS) that monitors packets flowing through a network and detects unauthorized access to the monitored device or unauthorized access from the monitored device. In particular, the present invention relates to a method for setting a filter to reduce erroneous detection in which the apparatus determines normal communication as unauthorized access.
従来、IDSのうち、ネットワーク型と分類されるものは監視対象ネットワーク上に通過する通信パケットを取得するように設置され、パケットに含まれるデータをシグネチャと呼ばれる検知条件と比較判定し、不正アクセスの可能性があるかどうかを判定してきた。IDSは通信そのものの遮断は行わないが、不正アクセスがあると判断すればログ等の形でユーザに通知し、ユーザが適切な対応をとることを可能としている。 Conventionally, an IDS classified as a network type is installed so as to acquire a communication packet passing over a monitored network, and the data contained in the packet is compared with a detection condition called a signature, and unauthorized access is detected. I have determined if there is a possibility. The IDS does not block the communication itself, but if it is determined that there is unauthorized access, it notifies the user in the form of a log or the like so that the user can take appropriate measures.
不正アクセスは、主にソフトウェアの設計ミス等によって生じた脆弱な箇所に対して行われるため、装置の利用目的やネットワーク構成によっては正常となる通信パケットが、特定の構成においてのみ不正な通信パケットとなる場合がある。このため、検知条件を定めるシグネチャにおいても、特定の構成においてのみ適用すべき条件が含まれており、想定外の構成において用いられた場合には、正常な通信を不正アクセスと誤検出する要因となっている。 Unauthorized access is performed mainly for vulnerable parts caused by software design mistakes, etc., so that communication packets that are normal depending on the purpose of use of the device and the network configuration may be illegal communication packets only in a specific configuration. There is a case. For this reason, the signature that defines the detection condition includes a condition that should be applied only in a specific configuration, and when used in an unexpected configuration, it is a factor that erroneously detects normal communication as unauthorized access. It has become.
このように、シグネチャの有効性が監視対象に依存することから、有効範囲に絞るための種々の方式が検討されている。例えば、IDS装置上で使用する個々のシグネチャについて、有効とするか無効とするかの設定を一括して切り替えるポリシー方式や、正常である通信を定義し、それ以外の通信を不正と判定するアノマリ検出方式などは、その対策の一例である。 As described above, since the validity of the signature depends on the monitoring target, various schemes for narrowing the effective range are being studied. For example, for each signature used on the IDS device, a policy method for switching the setting of whether to enable or disable collectively, an anomaly that defines normal communication and determines other communication as illegal The detection method is an example of the countermeasure.
前述した汎用性のある方式は、インターネットサービスプロバイダやハウジングサービスのように、接続される機器が不特定となる大規模ネットワークの場合に必要とされる。しかしながら、例えば多数の従業員を擁し独自にネットワークを構築している企業等においては、多くの場合、監視対象を限定することができる。このため、より確実に範囲を絞る方式として、監視対象とする通信、対象としない通信を予めフィルタ条件としてIDSに登録し、シグネチャを適用する通信を絞ることで誤検出を抑止することができる。フィルタの設定項目は異なるものの、多くのIDS製品でこのフィルタ方式が導入されている。 The general-purpose system described above is required for large-scale networks in which connected devices are unspecified, such as Internet service providers and housing services. However, in many cases, for example, companies that have a large number of employees and have built their own networks can limit the monitoring targets. For this reason, as a method of narrowing down the range more reliably, it is possible to prevent erroneous detection by registering communication to be monitored and communication not to be targeted in IDS as filter conditions in advance and narrowing down communication to which a signature is applied. Although the setting items of the filter are different, this filter method is introduced in many IDS products.
このフィルタ方式について、通信パケットの取得時点でフィルタを行う例として、通信パケット取得を行っている下位層にフィルタを設け、MACアドレスでのフィルタや、上位層で不正アクセスを検出した結果に基づく指示によってフィルタを設けることが示されている(例えば、特許文献1)。 As an example of filtering at the time of acquisition of communication packets for this filter method, a filter is provided in the lower layer where communication packets are acquired, and instructions based on the filter by MAC address or the result of detecting unauthorized access in the upper layer (See, for example, Patent Document 1).
しかしながら前記特許文献1に示されたフィルタ方式は、IDSの誤検出低減に成果を挙げたが、インターネットを用いた技術が近年ますます多様化するなかで、どのようにフィルタを設定すれば適切か、という新たな課題が生じている。一般的なIDS製品のシグネチャの数は数千を超えており、個々のシグネチャが有効となる条件を理解することは困難となってきている。このような状況にもかかわらず、指定すべきフィルタが監視対象に依存するため、フィルタ設定を自動化することができず、IDSで不正アクセスの監視を運用する側では試行錯誤を行ってフィルタを設定せざるを得ず、正常な通信を止めたり、不正アクセスを見逃してしまう、といった問題があった。
However, although the filter method disclosed in
この発明は、前記の課題を解決するためになされたものであり、多数のシグネチャを理解することを必要とせずに、IDS単体で効果的なフィルタを自動設定可能な不正アクセス検知装置を提供することを目的とする。 The present invention has been made to solve the above-described problems, and provides an unauthorized access detection apparatus capable of automatically setting an effective filter by using only an IDS without requiring understanding of a large number of signatures. For the purpose.
この発明は、ネットワーク上の監視対象機器に侵入する不正アクセスを検知する不正アクセス検知装置であって、
監視対象機器への不正アクセスの検出を抑制するためのフィルタ条件を設定するフィルタ条件設定部と、監視対象機器に流れる通信パケットを取得して、シグネチャおよびフィルタ条件設定部の出力するフィルタ条件に基づいて、不正アクセスを検出する不正アクセス検出部と、
外部から入力される設定情報をフィルタ条件に自動変換し、フィルタ条件設定部に出力するフィルタ条件変換部とを備えたものである。
The present invention is an unauthorized access detection device for detecting unauthorized access that enters a monitored device on a network,
Based on a filter condition setting unit for setting a filter condition for suppressing detection of unauthorized access to a monitored device, and a filter condition output from the signature and the filter condition setting unit for acquiring a communication packet flowing to the monitored device An unauthorized access detection unit for detecting unauthorized access;
A filter condition conversion unit that automatically converts setting information input from the outside into a filter condition and outputs it to the filter condition setting unit is provided.
この発明に係る不正アクセス検知装置は、不正アクセスの検出を抑制するためのフィルタ条件を設定するフィルタ条件設定部と、通信パケットを取得して、シグネチャおよびフィルタ条件設定部の出力するフィルタ条件に基づいて、不正アクセスを検出する不正アクセス検出部と、外部から入力される設定情報をフィルタ条件に自動変換し、フィルタ条件設定部に出力するフィルタ条件変換部を備えているので、通信パケットの遮断を行うことなくフィルタ条件を設定でき、運用者の負荷を低減でき正常な通信であるにもかかわらず、不正アクセスと誤検出する要因を低減可能となるという効果がある。 An unauthorized access detection apparatus according to the present invention is based on a filter condition setting unit that sets a filter condition for suppressing detection of unauthorized access, a communication packet, and a filter condition output from a signature and the filter condition setting unit And an unauthorized access detector that detects unauthorized access and a filter condition converter that automatically converts setting information input from the outside into a filter condition and outputs it to the filter condition setting unit. It is possible to set the filter condition without performing it, and it is possible to reduce the load on the operator and to reduce the factor of false detection of unauthorized access despite normal communication.
実施の形態1.
以下、この発明の実施の形態1を図1〜図3に基づいて説明する。
図1において、不正アクセス検知装置(IDS)100は、不正アクセス検出部1、アラート蓄積部2、シグネチャ3およびフィルタ条件設定部4と、外部から入力される設定情報である監視対象システム900に含まれる装置を定義した機器リスト6をフィルタ条件に変換するフィルタ条件変換部5とを備える。不正アクセス検知装置(IDS)100は監視対象機器であるサーバ901およびサーバ902から構成される監視対象システム900を監視し、この監視対象システム900は、外部ネットワーク904とルータ/ファイアウォール903により接続されている。
In FIG. 1, an unauthorized access detection device (IDS) 100 is included in an unauthorized
機器リスト6は、図2に示すテーブルに定義される。監視対象システム900にはサーバ901とサーバ902が含まれるため、それらのサーバについて、IPアドレス、利用目的を定義する。ここで、利用目的には、そのサーバの利用方法を端的に示す予め定められた分類を指定するものとする。例えばサーバ901の場合はWebサーバ、サーバ902の場合はファイルサーバが指定される。この場合、複数入力することも可能である。
The
フィルタ条件変換部5の動作は、図3に示す動作フローチャートに従って行われ、運用者により機器リスト6が提供されるたびに起動され、フィルタ条件設定部4への出力が完了することで終了する。図3における動作の各ステップは動作の順に付されたステップ番号S501〜S508に示してある通りであり、以下、フィルタ条件変換部5の動作をステップ番号順に説明する。
The operation of the filter
(1)ステップS501において、フィルタ条件変換部5の処理がスタートする。
(2)ステップS502において、機器リスト6から1つの装置情報(サーバ情報)を取得する。
(3)ステップS503において、装置情報のうち、読み込んだ利用目的1つを、フィルタ条件設定部のレコードに変換する。このステップS503は、S504、S505、S506、S507の各ステップから構成される。なお、S503において、利用目的=目的nは、前記Webサーバ、ファイルサーバ以外の他の利用目的を示す。
(4)ステップS504において、装置情報の利用目的1つを読み込み、利用目的に応じて予め定められた処理に遷移する。利用目的がWebサーバであった場合は、S505へ、利用目的がファイルサーバであった場合はS506へ遷移する。
(1) In step S501, the process of the filter
(2) In step S502, one piece of device information (server information) is acquired from the
(3) In step S503, one of the read usage purposes is converted into the record of the filter condition setting unit. This step S503 is composed of steps S504, S505, S506, and S507. In S503, usage purpose = purpose n indicates a usage purpose other than the Web server and the file server.
(4) In step S504, one usage purpose of the device information is read, and the process proceeds to a process predetermined according to the usage purpose. If the purpose of use is a Web server, the process proceeds to S505. If the purpose of use is a file server, the process proceeds to S506.
(5)ステップS505において、予め定められた、利用目的がWebサーバである場合の変換手順に従って、機器リスト6の情報をフィルタ条件に変換する。
(6)ステップS506において、予め定められた、利用目的がファイルサーバである場合の変換手順に従って、機器リスト6の情報をフィルタ条件に変換する。
(7)ステップS507において、機器リスト6から変換されたフィルタ条件をフィルタ条件設定部4のレコードとして出力する。このとき、1つの利用目的が複数のレコードに変換される場合もある。また、すでに出力されたレコードと同一のレコードとなる場合は出力しない。さらに、フィルタ条件が重複するレコードがあった場合は、フィルタされてはならない通信までフィルタすることのないように、それらのレコードを統合し、重複している部分だけを条件としたレコードをフィルタ条件設定部4に出力する。
(8)ステップS508において、処理中の装置情報に含まれる、全ての利用目的をフィルタ条件設定部4に出力した場合、S509へ、未処理の利用目的があれば、S504へ遷移する。
(9)ステップS509において、全ての装置情報の処理が完了した場合、S510へ、未処理の装置情報があれば、S502へ遷移する。
(10)ステップS510において、フィルタ条件変換部5の処理を終了する。
(5) In step S505, the information in the
(6) In step S506, the information in the
(7) In step S507, the filter condition converted from the
(8) If all the usage purposes included in the device information being processed are output to the filter
(9) If processing of all device information is completed in step S509, the process proceeds to S510. If there is unprocessed device information, the process proceeds to S502.
(10) In step S510, the process of the filter
この発明の実施の形態1による不正アクセス検知装置(IDS)100は、以上のような構成、機能を有し、前述のような動作フローによって生成されたフィルタ条件に基づき動作を行う。
すなわち不正アクセス検知装置(IDS)100は、外部から入力される設定情報である監視対象システム900の装置情報を定義した機器リスト6を入力することで、誤検出の低減を図るためのフィルタ条件設定部4を用い不正アクセス検知部1に出力することができる。このような機器リスト6をフィルタ条件設定部4に変換するフィルタ条件変換部5を不正アクセス検知装置(IDS)100に備えているため、不正アクセス検知装置(IDS)100によって監視対象システム900の監視を行う運用者は、フィルタ条件を設定するための技能を有することなく、把握している装置情報を機器リスト6として入力するだけで、誤検出の低減を図ることができるという効果がある。
The unauthorized access detection device (IDS) 100 according to the first embodiment of the present invention has the above-described configuration and function, and operates based on the filter conditions generated by the operation flow as described above.
That is, the unauthorized access detection device (IDS) 100 inputs a
なお、この実施の形態1による不正アクセス検知装置(IDS)100による外部からの入力される設定情報である機器リスト6は、本不正アクセス検知装置(IDS)100を新規にユーザに提供する際に運用者によって入力される場合、またはシステムに組み込み後サーバの増設がなされる場合に、運用者によって該当サーバに入力されるものであり、またこれに限らず随時必要に応じて前記設定情報が入力されてもよい。
The
すなわち本実施の形態1による不正アクセス検知装置(IDS)100は、簡単な構成でシステム内における監視対象機器の新規設置、増設に対しても、不正アクセスと判定する誤検出を低減するフィルタ設定を容易に行い、フィルタ条件設定部4、不正アクセス検出部1を介して、システムに流れるパケットを監視することができる。
In other words, the unauthorized access detection device (IDS) 100 according to the first embodiment has a filter configuration that reduces false detections for determining unauthorized access even when newly installing or adding monitored devices in the system with a simple configuration. It is easy to monitor the packet flowing through the system via the filter
実施の形態2.
この発明の実施の形態2について、図4、図5に基づいて説明する。
前述した実施の形態1では、前記フィルタ条件変換部5が機器リスト6に定義されたシステムに含まれる監視対象装置の利用目的を用いてフィルタ条件に変換して出力したが、この実施の形態2では、機器リスト6に追加定義されたOS、搭載ソフトウェアといった構成要素に基づいてフィルタ条件を生成し、フィルタ条件設定部4に出力する。
A second embodiment of the present invention will be described with reference to FIGS.
In the first embodiment described above, the filter
この実施の形態2において、機器リスト6は、図4に示すように、構成要素の情報を含むテーブルで示される。図4の例では、サーバ901はA社OSとC社ソフトウェアから構成され、また、サーバ902はB社OS及びD社ソフトウェアから構成されている。
In the second embodiment, the
この実施の形態2において、フィルタ条件変換部5の動作は、図5に示す動作フローチャートに従って行われ、機器リスト6が提供されるたびに起動され、フィルタ条件設定部4への出力が完了することで終了する。図5における動作の各ステップは、図3と同一のものは図3と同じ動作を示す。以下、フィルタ条件変換部5のうち、図3と異なる動作について、ステップ番号順に説明する。なお、S703において、構成要素=要素nは、前記A社OS、C社ソフトウェア以外の他の構成要素を示す。
In the second embodiment, the operation of the filter
(1)ステップS703において、装置情報のうち、読み込んだ構成要素1つを、フィルタ条件設定部4のレコードに変換する。このステップ703は、S704、S705、S706、S707の各ステップから構成される。
(4)ステップS704において、装置情報の構成要素1つを読み込み、構成要素に応じて予め定められた処理に遷移する。構成要素がA社OSであった場合は、S705へ、構成要素がC社ソフトウェアであった場合はS706へ遷移する。
(5)ステップS705において、予め定められた、構成要素がA社OSである場合の変換手順に従って、機器リスト6の情報をフィルタ条件に変換する。
(6)ステップS706において、予め定められた、構成要素がC社ソフトウェアである場合の変換手順に従って、機器リスト6の情報をフィルタ条件に変換する。
(1) In step S703, one of the read constituent elements in the device information is converted into a record of the filter
(4) In step S704, one component of the device information is read, and the process proceeds to a process predetermined according to the component. If the component is the company A OS, the process proceeds to S705. If the component is the company C software, the process proceeds to S706.
(5) In step S705, the information in the
(6) In step S706, the information in the
(7)ステップS707において、機器リスト6から変換されたフィルタ条件をフィルタ条件設定部4のレコードとして出力する。このとき、1つの構成要素が複数のレコードに変換される場合もある。また、すでに出力されたレコードと同一のレコードとなる場合は出力しない。さらに、フィルタ条件が重複するレコードがあった場合は、フィルタされてはならない通信までフィルタすることのないように、それらのレコードを統合し、重複している部分だけを条件としたレコードをフィルタ条件設定部4に出力する。
(8)ステップS708において、処理中の装置情報に含まれる、全ての構成要素をフィルタ条件設定部4に出力した場合、S509へ、未処理の構成要素があれば、S704へ遷移する。
(7) In step S707, the filter condition converted from the
(8) If all the components included in the device information being processed are output to the filter
この発明の実施の形態2による不正アクセス検知装置(IDS)100は、以上のような構成、機能を有し、前述のような動作フローによって生成されたフィルタ条件に基づき動作を行うことで、OS及び搭載されたソフトウェアに依存する不正アクセスについて、誤検出の低減を図ることができる。 The unauthorized access detection device (IDS) 100 according to the second embodiment of the present invention has the above-described configuration and function, and performs an operation based on the filter condition generated by the operation flow as described above, thereby enabling the OS. In addition, it is possible to reduce false detection of unauthorized access that depends on installed software.
例えば、監視対象システム900に含まれる装置がA社OSを用いられている場合、当該装置に対する通信を、B社OS向けに準備されたシグネチャで不正アクセスを検出することは明らかに誤検出である。また、当該装置がC社ソフトウェアを用いている場合に、D社ソフトウェアに対する不正アクセスを検出することも同様に誤検出であることが明らかである。
For example, when a device included in the
そのほか、外部から入力される設定情報内の構成要素としては、OS及び搭載ソフトウェアのほか、装置が含まれるネットワークセグメント、装置が保持するデータの種類が挙げられる。これらの情報が機器リスト6に含まれ、それらの情報に基づくフィルタ条件を出力することが可能なフィルタ条件変換部5が備えているので、より誤検出の低減を図ることのできるフィルタ条件を出力し、フィルタ条件設定部4、不正アクセス検出部1を介して、ネットワークを流れるパケットを監視することができる。
In addition, the components in the setting information input from the outside include the OS and the installed software, the network segment including the device, and the type of data held by the device. Since these pieces of information are included in the
この実施の形態2により、監視対象システム900の監視を行う運用者は、装置の利用目的のほか、簡単な構成を有する不正アクセス検知装置を用いて、監視対象装置を構成する要素を定義することにより、フィルタ条件変換部によって変換されるフィルタ条件を意識することなく、実施の形態1よりも更にきめ細やかな誤検出の低減を省力化して図ることができる。
According to the second embodiment, an operator who monitors the
実施の形態3.
この発明の実施の形態3について説明する。
最近の通信技術の進歩に伴うサーバの利用目的が細分化されてきているとともに、シグネチャの更新頻度が非常に高くなっており、不正アクセスの増加に伴って、1日に数回のシグネチャ更新が行われることもあり得る。その際、運用者のフィルタ条件更新の負荷を低減するためになされたものである。
この実施の形態3による不正アクセス検知装置(IDS)100を図6、図7を用いて説明する。図6に不正アクセス検知装置(IDS)100の構成を示す。なお、図1には記載のアラート蓄積部2は図6では図示省略している。図6に示すように、実施の形態1や実施の形態2と同じく、シグネチャ3及びフィルタ条件に基づいて動作する不正アクセス検出部1を備える。また、機器リスト6のフィルタ条件への変換は、シグネチャ3とともに提供される変換ルール53もしくは運用者が独自に定義した変換ルール54を格納した変換ルールデータベース52に基づいて、機器リスト変換部51により行われる。ここで前記変換ルールデータベース52と機器リスト変換部51とでフィルタ条件変換部5aを構成する。
The purpose of using the server has been subdivided along with recent advances in communication technology, and the signature update frequency has become very high. With the increase in unauthorized access, signature update several times a day It can be done. At that time, it was made in order to reduce the load of updating the filter condition of the operator.
The unauthorized access detection device (IDS) 100 according to the third embodiment will be described with reference to FIGS. FIG. 6 shows the configuration of the unauthorized access detection device (IDS) 100. Note that the
シグネチャ3とともに提供される変換ルール53もしくは運用者が独自に定義した変換ルール54は、図7に示す変換ルールテーブル55及び変数テーブル56により定義され、マージされて変換ルールデータベース52に格納されている。
The
フィルタ条件変換部5aである機器リスト変換部51は、前述の図3、図5に示す動作フローチャートの動作ステップS503もしくはS703において、変換ルールデータベース52を読み込み、機器リスト6に含まれる利用目的、構成要素を検索キーとして、該当する変換ルール53,54を取得する。この変換ルール53,54に基づいて、機器リスト6をフィルタ条件に変換する。
The device
図7の変換ルールテーブル55に定義される一部の情報は、例えばカスタマイズ変数名である、HTTP_PORTS等の変数名によって示される。変換ルール53及び変換ルール54では、変数テーブル56のようにこのHTTP_PORTSなどの変数の具体的な値を定義する。
Some information defined in the conversion rule table 55 in FIG. 7 is indicated by a variable name such as HTTP_PORTS, which is a customized variable name, for example. In the
この発明の実施の形態3によって、不正アクセス検知装置(IDS)100は実施の形態1及び実施の形態2のような、予め定められたフィルタ条件変換部5でなく、変換ルールデータベース52に、変換ルール53あるいは変換ルール54を追加し、機器リスト変換部51によってフィルタ条件を変換することが可能なフィルタ条件変換部5aを得ることができる。
According to the third embodiment of the present invention, the unauthorized access detection device (IDS) 100 converts the
例えば、シグネチャ提供者が、シグネチャ3とともに変換ルール53を提供することにより、機器リスト変換部51は、最新のシグネチャに対応して、機器リスト6をフィルタ条件に変換することができる。これによって、シグネチャ3が更新されたとしても、その更新が反映されたフィルタ条件を生成し、フィルタ条件設定部4に出力することができる。
For example, when the signature provider provides the
また、運用者が独自に変換ルール54を定義することで、シグネチャ提供者が想定していない変換方法を追加することが可能である。特に、HTTPのポート番号を一般的な80ではなく、プロクシを構築している場合など、8080といった独自のポート番号を用いるシステム機器を監視対象としている場合、変数テーブル56のHTTP_PORTSに80の代わりに8080を指定することで、変換ルール中の変数HTTP_PORTSが8080に置き換わり、個々の変換ルールを見直すことなく、適切なフィルタ条件変換を行うフィルタ条件変換部5aを得ることができる。
In addition, it is possible for an operator to add a conversion method that is not assumed by the signature provider by defining the
この発明の実施の形態3によって、不正アクセス検知装置(IDS)100は、シグネチャ3が更新された場合や、固有の変数に基づいて動作する監視対象システムの場合であっても、誤検出を低減することができるフィルタ条件を生成し、フィルタ条件設定部4、不正アクセス検出部1を介して、システムを流れるパケットを監視することができる。
このようにこの実施の形態3でも、簡単な構成の安価な装置によって通信パケットを遮断することなくフィルタ条件を設定でき、運用者の負荷の低減、省人化がはかれる。
According to the third embodiment of the present invention, the unauthorized access detection device (IDS) 100 reduces false detections even when the
As described above, also in the third embodiment, it is possible to set the filter condition without blocking the communication packet by an inexpensive apparatus having a simple configuration, thereby reducing the load on the operator and saving labor.
実施の形態4.
この実施の形態4は、実施の形態3で説明した1日数回にわたるシグネチャの更新が行われる際の運用者の負荷を低減するため、シグネチャと変換ルールの更新をトリガとしてフィルタ条件も自動更新するものである。
この発明の実施の形態4について、図8に基づいて説明する。
図8において、不正アクセス検知装置(IDS)100は、機器リスト変換部51と機器リストデータベース61を備える。その他については、前述した図6のものと同様であり、機器リスト変換部51、変換ルールデータベース52、機器リストデータベース61とでフィルタ条件変換部5bを構成する。
In the fourth embodiment, in order to reduce the load on the operator when the signature is updated several times a day as described in the third embodiment, the filter condition is automatically updated using the signature and conversion rule update as a trigger. Is.
In FIG. 8, the unauthorized access detection device (IDS) 100 includes a device
この実施の形態4において、機器リスト6は、機器リストデータベース61に格納されている。フィルタ条件変換部5bである機器リスト変換部51は、シグネチャ提供者よりシグネチャとともに提供される変換ルール53が変換ルールデータベース52に入力されるごとに、機器リストデータベース61をフィルタ条件に変換し、フィルタ条件設定部4に出力する。
In the fourth embodiment, the
この実施の形態4においては、シグネチャ提供者よりシグネチャが変更され、シグネチャ3及び変換ルール53が提供されるたびに、フィルタ条件を生成する。新たな不正アクセスの発生頻度は監視対象システムの構成変更の頻度より大変高く、それに併せたシグネチャの更新頻度も高い。この実施の形態4の不正アクセス検知装置(IDS)100によって、シグネチャの更新頻度が高くても、運用者は常に最新のシグネチャに適したフィルタ条件を生成し、フィルタ条件設定部4、不正アクセス検出部1を介してシステムを流れるパケットを監視することが可能となり、簡単な構成の安価な装置によるフィルタ条件の更新が自動的に行えるという効果がある。
In the fourth embodiment, each time the signature is changed by the signature provider and the
実施の形態5.
以下、この発明の実施の形態5について、図9に基づき説明する。
この実施の形態5は、不正アクセスに対処実施を行うかどうかを通知する動作をフィルタするためのフィルタ条件を出力する機能を設けたものである。
The fifth embodiment of the present invention will be described below with reference to FIG.
The fifth embodiment is provided with a function of outputting a filter condition for filtering an operation for notifying whether or not to deal with unauthorized access.
図9において、不正アクセス検知装置(IDS)100は、前記した実施の形態1、2の図1に示したアラート蓄積部2に替えて不正アクセス対処部8を設けたものである。
ここで、フィルタ条件変換部5は、実施の形態3に示した図6と同様な機器リスト変換部51及び変換ルールデータベース52によるものであってもかまわない。また、実施の形態4に示した図8と同様な機器リスト変換部51、変換ルースデータベース52、機器リストデータベース61により構成されるフィルタ条件変換部であってもよい。
In FIG. 9, an unauthorized access detection device (IDS) 100 is provided with an unauthorized
Here, the filter
図9において、不正アクセス検出部7は、フィルタ条件を考慮して異常と判断したものの検出結果を不正アクセス対処部8に通知する。不正アクセス対処部8は、不正アクセス検知装置(IDS)100の外部に設けられたファイアウォール装置903に指示を出し、ファイアウォールの設定を変更し、該当する通信パケットの遮断を行う。
In FIG. 9, the unauthorized
不正アクセス検出部7がフィルタ条件を考慮して正常と判断した場合、不正アクセス対処部8はファイアウォール903に対して、通信パケットの遮断の指示を行わない。
When the unauthorized
この発明の実施の形態5において、不正アクセス検知装置(IDS)100は、不正アクセス対処部8が自動で対処するので、運用者の誤検出に対処する手間を低減することが可能となり、正常な通信を妨げるなどの課題を回避することができる。なお、前述のファイアウォール903は、外部の装置であってもかまわないし、不正アクセス検知装置(IDS)100に設けられたものであってもかまわない。
In the fifth embodiment of the present invention, since the unauthorized access detection device (IDS) 100 is automatically handled by the unauthorized
また、不正アクセス対処部8が備える手段は、通信パケットの遮断の指示以外に、運用者に対して、音、表示、振動、メール送信による警報を出力する手段であってもよい。運用者は、前述の警報によって採るべき行動を選択するため、誤検出の低減による無駄な作業の発生を回避ができる。
Further, the means included in the unauthorized
このようなこの実施の形態5による不正アクセス検知装置(IDS)100は、前述した実施の形態4と同様に、簡単な構成で安価な装置によるフィルタ条件の更新が行えるとともに、加えて誤検出の低減による無駄な作業の発生を抑えることができる。 Such an unauthorized access detection device (IDS) 100 according to the fifth embodiment can update the filter condition with an inexpensive device with a simple configuration, as well as the fourth embodiment described above. Generation of useless work due to reduction can be suppressed.
この発明の実施の形態1〜5は、システムに流れるパケットを監視し、監視対象とする装置に対する不正アクセスを検知する不正アクセス検知装置に利用できる。
1 不正アクセス検出部、2 アラート蓄積部、3 シグネチャ、
4 フィルタ条件設定部、5,5a,5b フィルタ条件変換部、6 機器リスト、
8 不正アクセス対処部、51 機器リスト変換部、52 変換ルールデータベース、
53 変換ルール、54 変換ルール、100 不正アクセス検知装置。
1 Unauthorized access detector, 2 Alert accumulator, 3 Signature,
4 filter condition setting unit, 5, 5a, 5b filter condition conversion unit, 6 device list,
8 unauthorized access countermeasure unit, 51 device list conversion unit, 52 conversion rule database,
53 Conversion rule, 54 Conversion rule, 100 Unauthorized access detection device.
Claims (7)
前記監視対象機器への不正アクセスの検出を抑制するためのフィルタ条件を設定するフィルタ条件設定部と、前記監視対象機器に流れる通信パケットを取得して、シグネチャおよび前記フィルタ条件設定部の出力するフィルタ条件に基づいて、不正アクセスを検出する不正アクセス検出部と、
外部から入力される設定情報をフィルタ条件に自動変換し、前記フィルタ条件設定部に出力するフィルタ条件変換部とを備えたことを特徴とする不正アクセス検知装置。 An unauthorized access detection device that detects unauthorized access that enters a monitored device on a network,
A filter condition setting unit that sets a filter condition for suppressing detection of unauthorized access to the monitored device, and a filter that obtains a communication packet that flows to the monitored device and outputs the signature and the filter condition setting unit An unauthorized access detector for detecting unauthorized access based on the conditions;
An unauthorized access detection apparatus comprising: a filter condition conversion unit that automatically converts setting information input from the outside into a filter condition and outputs the filter condition to the filter condition setting unit.
前記機器の利用目的および構成要素のいずれか少なくとも一つを定義した機器リストから、前記利用目的、構成要素を検索キーとして、前記変換ルールデータベースから前記変換ルールを取得し、該変換ルールに基づいてフィルタ条件に自動変換し、前記フィルタ条件設定部に出力する機器リスト変換部とを備えていることを特徴とする請求項1に記載の不正アクセス検知装置。 The filter condition conversion unit includes a conversion rule database that stores a conversion rule defined by a conversion rule table that defines a variable name and a variable table that defines a specific value of the variable;
From the device list defining at least one of the usage purpose and component of the device, the conversion rule is acquired from the conversion rule database using the usage purpose and component as a search key, and based on the conversion rule The unauthorized access detection apparatus according to claim 1, further comprising: a device list conversion unit that automatically converts to a filter condition and outputs the filter condition to the filter condition setting unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005357237A JP2007164313A (en) | 2005-12-12 | 2005-12-12 | Illegal access detection device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005357237A JP2007164313A (en) | 2005-12-12 | 2005-12-12 | Illegal access detection device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007164313A true JP2007164313A (en) | 2007-06-28 |
Family
ID=38247152
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005357237A Pending JP2007164313A (en) | 2005-12-12 | 2005-12-12 | Illegal access detection device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007164313A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013017077A (en) * | 2011-07-05 | 2013-01-24 | Fujitsu Ltd | Information processor, information processing program, and management method |
WO2016038662A1 (en) * | 2014-09-08 | 2016-03-17 | 三菱電機株式会社 | Information processing device, information processing method and program |
WO2019003300A1 (en) * | 2017-06-27 | 2019-01-03 | 三菱電機ビルテクノサービス株式会社 | Intrusion detection device and intrusion detection method |
WO2019240020A1 (en) * | 2018-06-13 | 2019-12-19 | パナソニックIpマネジメント株式会社 | Improper communication detector, improper communication detection method, and manufacturing system |
-
2005
- 2005-12-12 JP JP2005357237A patent/JP2007164313A/en active Pending
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013017077A (en) * | 2011-07-05 | 2013-01-24 | Fujitsu Ltd | Information processor, information processing program, and management method |
WO2016038662A1 (en) * | 2014-09-08 | 2016-03-17 | 三菱電機株式会社 | Information processing device, information processing method and program |
JP6067195B2 (en) * | 2014-09-08 | 2017-01-25 | 三菱電機株式会社 | Information processing apparatus, information processing method, and program |
US9794274B2 (en) | 2014-09-08 | 2017-10-17 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
WO2019003300A1 (en) * | 2017-06-27 | 2019-01-03 | 三菱電機ビルテクノサービス株式会社 | Intrusion detection device and intrusion detection method |
WO2019004101A1 (en) * | 2017-06-27 | 2019-01-03 | 三菱電機ビルテクノサービス株式会社 | Intrusion detection device, intrusion detection method, and intrusion detection system |
JPWO2019004101A1 (en) * | 2017-06-27 | 2019-12-19 | 三菱電機ビルテクノサービス株式会社 | Intrusion detection device, intrusion detection method, and intrusion detection system |
WO2019240020A1 (en) * | 2018-06-13 | 2019-12-19 | パナソニックIpマネジメント株式会社 | Improper communication detector, improper communication detection method, and manufacturing system |
JPWO2019240020A1 (en) * | 2018-06-13 | 2021-06-24 | パナソニックIpマネジメント株式会社 | Fraudulent communication detection device, fraudulent communication detection method and manufacturing system |
JP7378089B2 (en) | 2018-06-13 | 2023-11-13 | パナソニックIpマネジメント株式会社 | Unauthorized communication detection device, unauthorized communication detection method, and manufacturing system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Stirland et al. | Developing cyber forensics for SCADA industrial control systems | |
US8640239B2 (en) | Network intrusion detection in a network that includes a distributed virtual switch fabric | |
US20100325685A1 (en) | Security Integration System and Device | |
US20210194909A1 (en) | Analysis device, method and system for operational technology system and storage medium | |
Stiawan et al. | The trends of intrusion prevention system network | |
JP2006119754A (en) | Network-type virus activity detection program, processing method and system | |
US20110307936A1 (en) | Network analysis | |
JP2006350561A (en) | Attack detection device | |
GB2532630A (en) | Network intrusion alarm method and system for nuclear power station | |
JP2019028891A (en) | Information processing device, information processing method and information processing program | |
JP2015173406A (en) | Analysis system, analysis device, and analysis program | |
JP2007164313A (en) | Illegal access detection device | |
JP2008083751A (en) | Network system coping with unauthorized access | |
JP6711452B2 (en) | Extraction device, extraction method, and program | |
JP6233414B2 (en) | Information processing apparatus, filtering system, filtering method, and filtering program | |
JP2017129894A (en) | Cyberattack detection system | |
JP4242852B2 (en) | Log total support device, log total support system, log total support program, and log total support method | |
JP5310094B2 (en) | Anomaly detection system, anomaly detection method and anomaly detection program | |
Tiwari et al. | Refinements in Zeek intrusion detection system | |
JP2009064098A (en) | Operation management system and analysis method to insufficient definition | |
JP5752020B2 (en) | Attack countermeasure device, attack countermeasure method, and attack countermeasure program | |
JP2005202664A (en) | Unauthorized access integration correspondence system | |
Geer | Behavior-based network security goes mainstream | |
JPWO2016170664A1 (en) | Abnormal packet filtering apparatus and abnormal packet filtering method | |
CN109302401B (en) | Information security protection method and device |