JP2007164313A - Illegal access detection device - Google Patents

Illegal access detection device Download PDF

Info

Publication number
JP2007164313A
JP2007164313A JP2005357237A JP2005357237A JP2007164313A JP 2007164313 A JP2007164313 A JP 2007164313A JP 2005357237 A JP2005357237 A JP 2005357237A JP 2005357237 A JP2005357237 A JP 2005357237A JP 2007164313 A JP2007164313 A JP 2007164313A
Authority
JP
Japan
Prior art keywords
unauthorized access
filter condition
filter
access detection
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005357237A
Other languages
Japanese (ja)
Inventor
Shigeki Fukushima
繁樹 福島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2005357237A priority Critical patent/JP2007164313A/en
Publication of JP2007164313A publication Critical patent/JP2007164313A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To automatically prepare filter conditions according to set information in order to solve the problem that it is difficult for an illegal access detection device which monitors a packet running through a network, and detects illegal access to a device to be monitored to properly set filter conditions while technologies using the Internet are made variable. <P>SOLUTION: This illegal access detection device is provided with: a filter condition setting part; an illegal access detection part for detecting illegal access based on filter conditions outputted by the filter condition setting part and a filter condition converting part for automatically converting set information inputted from the outside into filter conditions, and for outputting it to the filter condition setting part. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

この発明は、ネットワークを流れるパケットを監視し、監視対象とする装置に対する不正アクセス、もしくは監視対象とする装置から行われる不正アクセスを検知するIntrusion Detection System(IDS)と呼ばれる不正アクセス検知装置に係るものであり、特に装置が正常通信を不正アクセスと判定する誤検出を低減するフィルタ設定を行う方式に関するものである。   The present invention relates to an unauthorized access detection device called Intrusion Detection System (IDS) that monitors packets flowing through a network and detects unauthorized access to the monitored device or unauthorized access from the monitored device. In particular, the present invention relates to a method for setting a filter to reduce erroneous detection in which the apparatus determines normal communication as unauthorized access.

従来、IDSのうち、ネットワーク型と分類されるものは監視対象ネットワーク上に通過する通信パケットを取得するように設置され、パケットに含まれるデータをシグネチャと呼ばれる検知条件と比較判定し、不正アクセスの可能性があるかどうかを判定してきた。IDSは通信そのものの遮断は行わないが、不正アクセスがあると判断すればログ等の形でユーザに通知し、ユーザが適切な対応をとることを可能としている。   Conventionally, an IDS classified as a network type is installed so as to acquire a communication packet passing over a monitored network, and the data contained in the packet is compared with a detection condition called a signature, and unauthorized access is detected. I have determined if there is a possibility. The IDS does not block the communication itself, but if it is determined that there is unauthorized access, it notifies the user in the form of a log or the like so that the user can take appropriate measures.

不正アクセスは、主にソフトウェアの設計ミス等によって生じた脆弱な箇所に対して行われるため、装置の利用目的やネットワーク構成によっては正常となる通信パケットが、特定の構成においてのみ不正な通信パケットとなる場合がある。このため、検知条件を定めるシグネチャにおいても、特定の構成においてのみ適用すべき条件が含まれており、想定外の構成において用いられた場合には、正常な通信を不正アクセスと誤検出する要因となっている。   Unauthorized access is performed mainly for vulnerable parts caused by software design mistakes, etc., so that communication packets that are normal depending on the purpose of use of the device and the network configuration may be illegal communication packets only in a specific configuration. There is a case. For this reason, the signature that defines the detection condition includes a condition that should be applied only in a specific configuration, and when used in an unexpected configuration, it is a factor that erroneously detects normal communication as unauthorized access. It has become.

このように、シグネチャの有効性が監視対象に依存することから、有効範囲に絞るための種々の方式が検討されている。例えば、IDS装置上で使用する個々のシグネチャについて、有効とするか無効とするかの設定を一括して切り替えるポリシー方式や、正常である通信を定義し、それ以外の通信を不正と判定するアノマリ検出方式などは、その対策の一例である。   As described above, since the validity of the signature depends on the monitoring target, various schemes for narrowing the effective range are being studied. For example, for each signature used on the IDS device, a policy method for switching the setting of whether to enable or disable collectively, an anomaly that defines normal communication and determines other communication as illegal The detection method is an example of the countermeasure.

前述した汎用性のある方式は、インターネットサービスプロバイダやハウジングサービスのように、接続される機器が不特定となる大規模ネットワークの場合に必要とされる。しかしながら、例えば多数の従業員を擁し独自にネットワークを構築している企業等においては、多くの場合、監視対象を限定することができる。このため、より確実に範囲を絞る方式として、監視対象とする通信、対象としない通信を予めフィルタ条件としてIDSに登録し、シグネチャを適用する通信を絞ることで誤検出を抑止することができる。フィルタの設定項目は異なるものの、多くのIDS製品でこのフィルタ方式が導入されている。   The general-purpose system described above is required for large-scale networks in which connected devices are unspecified, such as Internet service providers and housing services. However, in many cases, for example, companies that have a large number of employees and have built their own networks can limit the monitoring targets. For this reason, as a method of narrowing down the range more reliably, it is possible to prevent erroneous detection by registering communication to be monitored and communication not to be targeted in IDS as filter conditions in advance and narrowing down communication to which a signature is applied. Although the setting items of the filter are different, this filter method is introduced in many IDS products.

このフィルタ方式について、通信パケットの取得時点でフィルタを行う例として、通信パケット取得を行っている下位層にフィルタを設け、MACアドレスでのフィルタや、上位層で不正アクセスを検出した結果に基づく指示によってフィルタを設けることが示されている(例えば、特許文献1)。   As an example of filtering at the time of acquisition of communication packets for this filter method, a filter is provided in the lower layer where communication packets are acquired, and instructions based on the filter by MAC address or the result of detecting unauthorized access in the upper layer (See, for example, Patent Document 1).

特開2004−140618号公報(6頁)JP 2004-140618 A (page 6)

しかしながら前記特許文献1に示されたフィルタ方式は、IDSの誤検出低減に成果を挙げたが、インターネットを用いた技術が近年ますます多様化するなかで、どのようにフィルタを設定すれば適切か、という新たな課題が生じている。一般的なIDS製品のシグネチャの数は数千を超えており、個々のシグネチャが有効となる条件を理解することは困難となってきている。このような状況にもかかわらず、指定すべきフィルタが監視対象に依存するため、フィルタ設定を自動化することができず、IDSで不正アクセスの監視を運用する側では試行錯誤を行ってフィルタを設定せざるを得ず、正常な通信を止めたり、不正アクセスを見逃してしまう、といった問題があった。   However, although the filter method disclosed in Patent Document 1 has been successful in reducing false detection of IDS, it is appropriate to set the filter as the technology using the Internet is diversifying in recent years. A new problem has arisen. Since the number of signatures of a general IDS product exceeds several thousand, it has become difficult to understand the conditions under which individual signatures are valid. In spite of this situation, the filter to be specified depends on the monitoring target, so the filter setting cannot be automated, and the side that operates unauthorized access monitoring with IDS performs trial and error to set the filter. Inevitably, there were problems such as stopping normal communication and overlooking unauthorized access.

この発明は、前記の課題を解決するためになされたものであり、多数のシグネチャを理解することを必要とせずに、IDS単体で効果的なフィルタを自動設定可能な不正アクセス検知装置を提供することを目的とする。   The present invention has been made to solve the above-described problems, and provides an unauthorized access detection apparatus capable of automatically setting an effective filter by using only an IDS without requiring understanding of a large number of signatures. For the purpose.

この発明は、ネットワーク上の監視対象機器に侵入する不正アクセスを検知する不正アクセス検知装置であって、
監視対象機器への不正アクセスの検出を抑制するためのフィルタ条件を設定するフィルタ条件設定部と、監視対象機器に流れる通信パケットを取得して、シグネチャおよびフィルタ条件設定部の出力するフィルタ条件に基づいて、不正アクセスを検出する不正アクセス検出部と、
外部から入力される設定情報をフィルタ条件に自動変換し、フィルタ条件設定部に出力するフィルタ条件変換部とを備えたものである。 The present invention is an unauthorized access detection device for detecting unauthorized access that enters a monitored device on a network,
Based on a filter condition setting unit for setting a filter condition for suppressing detection of unauthorized access to a monitored device, and a filter condition output from the signature and the filter condition setting unit for acquiring a communication packet flowing to the monitored device An unauthorized access detection unit for detecting unauthorized access;
A filter condition conversion unit that automatically converts setting information input from the outside into a filter condition and outputs it to the filter condition setting unit is provided.

この発明に係る不正アクセス検知装置は、不正アクセスの検出を抑制するためのフィルタ条件を設定するフィルタ条件設定部と、通信パケットを取得して、シグネチャおよびフィルタ条件設定部の出力するフィルタ条件に基づいて、不正アクセスを検出する不正アクセス検出部と、外部から入力される設定情報をフィルタ条件に自動変換し、フィルタ条件設定部に出力するフィルタ条件変換部を備えているので、通信パケットの遮断を行うことなくフィルタ条件を設定でき、運用者の負荷を低減でき正常な通信であるにもかかわらず、不正アクセスと誤検出する要因を低減可能となるという効果がある。   An unauthorized access detection apparatus according to the present invention is based on a filter condition setting unit that sets a filter condition for suppressing detection of unauthorized access, a communication packet, and a filter condition output from a signature and the filter condition setting unit And an unauthorized access detector that detects unauthorized access and a filter condition converter that automatically converts setting information input from the outside into a filter condition and outputs it to the filter condition setting unit. It is possible to set the filter condition without performing it, and it is possible to reduce the load on the operator and to reduce the factor of false detection of unauthorized access despite normal communication.

実施の形態1.
以下、この発明の実施の形態1を図1〜図3に基づいて説明する。
図1において、不正アクセス検知装置(IDS)100は、不正アクセス検出部1、アラート蓄積部2、シグネチャ3およびフィルタ条件設定部4と、外部から入力される設定情報である監視対象システム900に含まれる装置を定義した機器リスト6をフィルタ条件に変換するフィルタ条件変換部5とを備える。不正アクセス検知装置(IDS)100は監視対象機器であるサーバ901およびサーバ902から構成される監視対象システム900を監視し、この監視対象システム900は、外部ネットワーク904とルータ/ファイアウォール903により接続されている。 Embodiment 1 FIG.
Embodiment 1 of the present invention will be described below with reference to FIGS.
In FIG. 1, an unauthorized access detection device (IDS) 100 is included in an unauthorized access detection unit 1, an alert storage unit 2, a signature 3 and a filter condition setting unit 4, and a monitoring target system 900 which is setting information input from the outside. And a filter condition conversion unit 5 that converts a device list 6 defining devices to be converted into filter conditions. The unauthorized access detection device (IDS) 100 monitors a monitoring target system 900 including a server 901 and a server 902 which are monitoring target devices. The monitoring target system 900 is connected to an external network 904 by a router / firewall 903. Yes.

機器リスト6は、図2に示すテーブルに定義される。監視対象システム900にはサーバ901とサーバ902が含まれるため、それらのサーバについて、IPアドレス、利用目的を定義する。ここで、利用目的には、そのサーバの利用方法を端的に示す予め定められた分類を指定するものとする。例えばサーバ901の場合はWebサーバ、サーバ902の場合はファイルサーバが指定される。この場合、複数入力することも可能である。   The device list 6 is defined in the table shown in FIG. Since the monitoring target system 900 includes a server 901 and a server 902, an IP address and a purpose of use are defined for these servers. Here, for the purpose of use, it is assumed that a predetermined classification that simply indicates how to use the server is designated. For example, the server 901 designates a Web server, and the server 902 designates a file server. In this case, a plurality of inputs can be made.

フィルタ条件変換部5の動作は、図3に示す動作フローチャートに従って行われ、運用者により機器リスト6が提供されるたびに起動され、フィルタ条件設定部4への出力が完了することで終了する。図3における動作の各ステップは動作の順に付されたステップ番号S501〜S508に示してある通りであり、以下、フィルタ条件変換部5の動作をステップ番号順に説明する。   The operation of the filter condition conversion unit 5 is performed according to the operation flowchart shown in FIG. 3, is activated every time the device list 6 is provided by the operator, and ends when the output to the filter condition setting unit 4 is completed. Each step of the operation in FIG. 3 is as shown in step numbers S501 to S508 given in the order of the operation. Hereinafter, the operation of the filter condition conversion unit 5 will be described in the order of the step numbers.

(1)ステップS501において、フィルタ条件変換部5の処理がスタートする。
(2)ステップS502において、機器リスト6から1つの装置情報(サーバ情報)を取得する。
(3)ステップS503において、装置情報のうち、読み込んだ利用目的1つを、フィルタ条件設定部のレコードに変換する。このステップS503は、S504、S505、S506、S507の各ステップから構成される。なお、S503において、利用目的=目的nは、前記Webサーバ、ファイルサーバ以外の他の利用目的を示す。
(4)ステップS504において、装置情報の利用目的1つを読み込み、利用目的に応じて予め定められた処理に遷移する。利用目的がWebサーバであった場合は、S505へ、利用目的がファイルサーバであった場合はS506へ遷移する。 (1) In step S501, the process of the filter condition conversion unit 5 starts.
(2) In step S502, one piece of device information (server information) is acquired from the device list 6.
(3) In step S503, one of the read usage purposes is converted into the record of the filter condition setting unit. This step S503 is composed of steps S504, S505, S506, and S507. In S503, usage purpose = purpose n indicates a usage purpose other than the Web server and the file server.
(4) In step S504, one usage purpose of the device information is read, and the process proceeds to a process predetermined according to the usage purpose. If the purpose of use is a Web server, the process proceeds to S505. If the purpose of use is a file server, the process proceeds to S506.

(5)ステップS505において、予め定められた、利用目的がWebサーバである場合の変換手順に従って、機器リスト6の情報をフィルタ条件に変換する。
(6)ステップS506において、予め定められた、利用目的がファイルサーバである場合の変換手順に従って、機器リスト6の情報をフィルタ条件に変換する。
(7)ステップS507において、機器リスト6から変換されたフィルタ条件をフィルタ条件設定部4のレコードとして出力する。このとき、1つの利用目的が複数のレコードに変換される場合もある。また、すでに出力されたレコードと同一のレコードとなる場合は出力しない。さらに、フィルタ条件が重複するレコードがあった場合は、フィルタされてはならない通信までフィルタすることのないように、それらのレコードを統合し、重複している部分だけを条件としたレコードをフィルタ条件設定部4に出力する。
(8)ステップS508において、処理中の装置情報に含まれる、全ての利用目的をフィルタ条件設定部4に出力した場合、S509へ、未処理の利用目的があれば、S504へ遷移する。
(9)ステップS509において、全ての装置情報の処理が完了した場合、S510へ、未処理の装置情報があれば、S502へ遷移する。
(10)ステップS510において、フィルタ条件変換部5の処理を終了する。 (5) In step S505, the information in the device list 6 is converted into filter conditions according to a predetermined conversion procedure when the purpose of use is a Web server.
(6) In step S506, the information in the device list 6 is converted into filter conditions according to a predetermined conversion procedure when the purpose of use is a file server.
(7) In step S507, the filter condition converted from the device list 6 is output as a record of the filter condition setting unit 4. At this time, one usage purpose may be converted into a plurality of records. Also, if the record is the same as the already output record, it is not output. Furthermore, if there are records with overlapping filter conditions, these records are integrated so that the communication that should not be filtered is not filtered. Output to the setting unit 4.
(8) If all the usage purposes included in the device information being processed are output to the filter condition setting unit 4 in step S508, the process proceeds to S509, and if there is an unprocessed usage purpose, the process proceeds to S504.
(9) If processing of all device information is completed in step S509, the process proceeds to S510. If there is unprocessed device information, the process proceeds to S502.
(10) In step S510, the process of the filter condition conversion unit 5 is terminated.

この発明の実施の形態1による不正アクセス検知装置(IDS)100は、以上のような構成、機能を有し、前述のような動作フローによって生成されたフィルタ条件に基づき動作を行う。
すなわち不正アクセス検知装置(IDS)100は、外部から入力される設定情報である監視対象システム900の装置情報を定義した機器リスト6を入力することで、誤検出の低減を図るためのフィルタ条件設定部4を用い不正アクセス検知部1に出力することができる。このような機器リスト6をフィルタ条件設定部4に変換するフィルタ条件変換部5を不正アクセス検知装置(IDS)100に備えているため、不正アクセス検知装置(IDS)100によって監視対象システム900の監視を行う運用者は、フィルタ条件を設定するための技能を有することなく、把握している装置情報を機器リスト6として入力するだけで、誤検出の低減を図ることができるという効果がある。 The unauthorized access detection device (IDS) 100 according to the first embodiment of the present invention has the above-described configuration and function, and operates based on the filter conditions generated by the operation flow as described above.
That is, the unauthorized access detection device (IDS) 100 inputs a device list 6 that defines device information of the monitored system 900 that is setting information input from the outside, thereby setting filter conditions for reducing false detections. It is possible to output to the unauthorized access detection unit 1 using the unit 4. Since the unauthorized access detection device (IDS) 100 includes the filter condition conversion unit 5 that converts the device list 6 into the filter condition setting unit 4, the monitored system 900 is monitored by the unauthorized access detection device (IDS) 100. There is an effect that the operator who performs the operation can reduce false detections only by inputting the grasped device information as the device list 6 without having the skill to set the filter condition.

なお、この実施の形態1による不正アクセス検知装置(IDS)100による外部からの入力される設定情報である機器リスト6は、本不正アクセス検知装置(IDS)100を新規にユーザに提供する際に運用者によって入力される場合、またはシステムに組み込み後サーバの増設がなされる場合に、運用者によって該当サーバに入力されるものであり、またこれに限らず随時必要に応じて前記設定情報が入力されてもよい。   The device list 6 which is setting information input from the outside by the unauthorized access detection device (IDS) 100 according to the first embodiment is used when the unauthorized access detection device (IDS) 100 is newly provided to a user. When entered by the operator, or when a server is added after being installed in the system, it is entered by the operator to the corresponding server. Not limited to this, the setting information is entered as needed. May be.

すなわち本実施の形態1による不正アクセス検知装置(IDS)100は、簡単な構成でシステム内における監視対象機器の新規設置、増設に対しても、不正アクセスと判定する誤検出を低減するフィルタ設定を容易に行い、フィルタ条件設定部4、不正アクセス検出部1を介して、システムに流れるパケットを監視することができる。   In other words, the unauthorized access detection device (IDS) 100 according to the first embodiment has a filter configuration that reduces false detections for determining unauthorized access even when newly installing or adding monitored devices in the system with a simple configuration. It is easy to monitor the packet flowing through the system via the filter condition setting unit 4 and the unauthorized access detection unit 1.

実施の形態2.
この発明の実施の形態2について、図4、図5に基づいて説明する。
前述した実施の形態1では、前記フィルタ条件変換部5が機器リスト6に定義されたシステムに含まれる監視対象装置の利用目的を用いてフィルタ条件に変換して出力したが、この実施の形態2では、機器リスト6に追加定義されたOS、搭載ソフトウェアといった構成要素に基づいてフィルタ条件を生成し、フィルタ条件設定部4に出力する。 Embodiment 2. FIG.
A second embodiment of the present invention will be described with reference to FIGS.
In the first embodiment described above, the filter condition conversion unit 5 converts the output into the filter condition using the usage purpose of the monitoring target device included in the system defined in the device list 6, and outputs the filter condition. Then, filter conditions are generated based on components such as an OS and installed software additionally defined in the device list 6 and output to the filter condition setting unit 4.

この実施の形態2において、機器リスト6は、図4に示すように、構成要素の情報を含むテーブルで示される。図4の例では、サーバ901はA社OSとC社ソフトウェアから構成され、また、サーバ902はB社OS及びD社ソフトウェアから構成されている。   In the second embodiment, the device list 6 is shown as a table including component information as shown in FIG. In the example of FIG. 4, the server 901 is composed of an A company OS and C company software, and the server 902 is composed of a B company OS and a D company software.

この実施の形態2において、フィルタ条件変換部5の動作は、図5に示す動作フローチャートに従って行われ、機器リスト6が提供されるたびに起動され、フィルタ条件設定部4への出力が完了することで終了する。図5における動作の各ステップは、図3と同一のものは図3と同じ動作を示す。以下、フィルタ条件変換部5のうち、図3と異なる動作について、ステップ番号順に説明する。なお、S703において、構成要素=要素nは、前記A社OS、C社ソフトウェア以外の他の構成要素を示す。   In the second embodiment, the operation of the filter condition conversion unit 5 is performed according to the operation flowchart shown in FIG. 5 and is activated every time the device list 6 is provided, and the output to the filter condition setting unit 4 is completed. End with. Each step in the operation in FIG. 5 is the same as that in FIG. Hereinafter, operations of the filter condition conversion unit 5 different from those in FIG. 3 will be described in the order of step numbers. In S703, the component = element n indicates a component other than the company A OS and the company C software.

(1)ステップS703において、装置情報のうち、読み込んだ構成要素1つを、フィルタ条件設定部4のレコードに変換する。このステップ703は、S704、S705、S706、S707の各ステップから構成される。
(4)ステップS704において、装置情報の構成要素1つを読み込み、構成要素に応じて予め定められた処理に遷移する。構成要素がA社OSであった場合は、S705へ、構成要素がC社ソフトウェアであった場合はS706へ遷移する。
(5)ステップS705において、予め定められた、構成要素がA社OSである場合の変換手順に従って、機器リスト6の情報をフィルタ条件に変換する。
(6)ステップS706において、予め定められた、構成要素がC社ソフトウェアである場合の変換手順に従って、機器リスト6の情報をフィルタ条件に変換する。 (1) In step S703, one of the read constituent elements in the device information is converted into a record of the filter condition setting unit 4. This step 703 is composed of steps S704, S705, S706, and S707.
(4) In step S704, one component of the device information is read, and the process proceeds to a process predetermined according to the component. If the component is the company A OS, the process proceeds to S705. If the component is the company C software, the process proceeds to S706.
(5) In step S705, the information in the device list 6 is converted into filter conditions according to a predetermined conversion procedure when the component is the company A OS.
(6) In step S706, the information in the device list 6 is converted into the filter condition according to a predetermined conversion procedure when the component is the C company software.

(7)ステップS707において、機器リスト6から変換されたフィルタ条件をフィルタ条件設定部4のレコードとして出力する。このとき、1つの構成要素が複数のレコードに変換される場合もある。また、すでに出力されたレコードと同一のレコードとなる場合は出力しない。さらに、フィルタ条件が重複するレコードがあった場合は、フィルタされてはならない通信までフィルタすることのないように、それらのレコードを統合し、重複している部分だけを条件としたレコードをフィルタ条件設定部4に出力する。
(8)ステップS708において、処理中の装置情報に含まれる、全ての構成要素をフィルタ条件設定部4に出力した場合、S509へ、未処理の構成要素があれば、S704へ遷移する。 (7) In step S707, the filter condition converted from the device list 6 is output as a record of the filter condition setting unit 4. At this time, one component may be converted into a plurality of records. Also, if the record is the same as the already output record, it is not output. Furthermore, if there are records with overlapping filter conditions, these records are integrated so that the communication that should not be filtered is not filtered. Output to the setting unit 4.
(8) If all the components included in the device information being processed are output to the filter condition setting unit 4 in step S708, the process proceeds to S509, and if there is an unprocessed component, the process proceeds to S704.

この発明の実施の形態2による不正アクセス検知装置(IDS)100は、以上のような構成、機能を有し、前述のような動作フローによって生成されたフィルタ条件に基づき動作を行うことで、OS及び搭載されたソフトウェアに依存する不正アクセスについて、誤検出の低減を図ることができる。   The unauthorized access detection device (IDS) 100 according to the second embodiment of the present invention has the above-described configuration and function, and performs an operation based on the filter condition generated by the operation flow as described above, thereby enabling the OS. In addition, it is possible to reduce false detection of unauthorized access that depends on installed software.

例えば、監視対象システム900に含まれる装置がA社OSを用いられている場合、当該装置に対する通信を、B社OS向けに準備されたシグネチャで不正アクセスを検出することは明らかに誤検出である。また、当該装置がC社ソフトウェアを用いている場合に、D社ソフトウェアに対する不正アクセスを検出することも同様に誤検出であることが明らかである。   For example, when a device included in the monitoring target system 900 uses an A company OS, it is clearly a false detection to detect unauthorized access using a signature prepared for the company B OS for communication with the device. . Further, when the apparatus uses the C company software, it is clear that detecting unauthorized access to the D company software is also a false detection.

そのほか、外部から入力される設定情報内の構成要素としては、OS及び搭載ソフトウェアのほか、装置が含まれるネットワークセグメント、装置が保持するデータの種類が挙げられる。これらの情報が機器リスト6に含まれ、それらの情報に基づくフィルタ条件を出力することが可能なフィルタ条件変換部5が備えているので、より誤検出の低減を図ることのできるフィルタ条件を出力し、フィルタ条件設定部4、不正アクセス検出部1を介して、ネットワークを流れるパケットを監視することができる。   In addition, the components in the setting information input from the outside include the OS and the installed software, the network segment including the device, and the type of data held by the device. Since these pieces of information are included in the device list 6 and the filter condition conversion unit 5 capable of outputting filter conditions based on the information is provided, a filter condition that can further reduce false detection is output. The packet flowing through the network can be monitored via the filter condition setting unit 4 and the unauthorized access detection unit 1.

この実施の形態2により、監視対象システム900の監視を行う運用者は、装置の利用目的のほか、簡単な構成を有する不正アクセス検知装置を用いて、監視対象装置を構成する要素を定義することにより、フィルタ条件変換部によって変換されるフィルタ条件を意識することなく、実施の形態1よりも更にきめ細やかな誤検出の低減を省力化して図ることができる。   According to the second embodiment, an operator who monitors the monitoring target system 900 defines the elements constituting the monitoring target device by using an unauthorized access detection device having a simple configuration in addition to the purpose of use of the device. As a result, it is possible to save labor by reducing the erroneous detection more finely than in the first embodiment without being conscious of the filter condition converted by the filter condition conversion unit.

実施の形態3.
この発明の実施の形態3について説明する。
最近の通信技術の進歩に伴うサーバの利用目的が細分化されてきているとともに、シグネチャの更新頻度が非常に高くなっており、不正アクセスの増加に伴って、1日に数回のシグネチャ更新が行われることもあり得る。その際、運用者のフィルタ条件更新の負荷を低減するためになされたものである。
この実施の形態3による不正アクセス検知装置(IDS)100を図6、図7を用いて説明する。図6に不正アクセス検知装置(IDS)100の構成を示す。なお、図1には記載のアラート蓄積部2は図6では図示省略している。図6に示すように、実施の形態1や実施の形態2と同じく、シグネチャ3及びフィルタ条件に基づいて動作する不正アクセス検出部1を備える。また、機器リスト6のフィルタ条件への変換は、シグネチャ3とともに提供される変換ルール53もしくは運用者が独自に定義した変換ルール54を格納した変換ルールデータベース52に基づいて、機器リスト変換部51により行われる。ここで前記変換ルールデータベース52と機器リスト変換部51とでフィルタ条件変換部5aを構成する。 Embodiment 3 FIG.
Embodiment 3 of the present invention will be described.
The purpose of using the server has been subdivided along with recent advances in communication technology, and the signature update frequency has become very high. With the increase in unauthorized access, signature update several times a day It can be done. At that time, it was made in order to reduce the load of updating the filter condition of the operator.
The unauthorized access detection device (IDS) 100 according to the third embodiment will be described with reference to FIGS. FIG. 6 shows the configuration of the unauthorized access detection device (IDS) 100. Note that the alert storage unit 2 shown in FIG. 1 is not shown in FIG. As shown in FIG. 6, similarly to the first and second embodiments, the unauthorized access detection unit 1 that operates based on the signature 3 and the filter condition is provided. The device list 6 is converted into filter conditions by the device list conversion unit 51 based on the conversion rule 53 provided together with the signature 3 or the conversion rule database 52 storing the conversion rule 54 uniquely defined by the operator. Done. Here, the conversion rule database 52 and the device list converter 51 constitute a filter condition converter 5a.

シグネチャ3とともに提供される変換ルール53もしくは運用者が独自に定義した変換ルール54は、図7に示す変換ルールテーブル55及び変数テーブル56により定義され、マージされて変換ルールデータベース52に格納されている。   The conversion rule 53 provided with the signature 3 or the conversion rule 54 uniquely defined by the operator is defined by the conversion rule table 55 and the variable table 56 shown in FIG. 7, merged and stored in the conversion rule database 52. .

フィルタ条件変換部5aである機器リスト変換部51は、前述の図3、図5に示す動作フローチャートの動作ステップS503もしくはS703において、変換ルールデータベース52を読み込み、機器リスト6に含まれる利用目的、構成要素を検索キーとして、該当する変換ルール53,54を取得する。この変換ルール53,54に基づいて、機器リスト6をフィルタ条件に変換する。   The device list conversion unit 51 as the filter condition conversion unit 5a reads the conversion rule database 52 in the operation step S503 or S703 of the operation flowchart shown in FIGS. The corresponding conversion rules 53 and 54 are acquired using the element as a search key. Based on the conversion rules 53 and 54, the device list 6 is converted into a filter condition.

図7の変換ルールテーブル55に定義される一部の情報は、例えばカスタマイズ変数名である、HTTP_PORTS等の変数名によって示される。変換ルール53及び変換ルール54では、変数テーブル56のようにこのHTTP_PORTSなどの変数の具体的な値を定義する。   Some information defined in the conversion rule table 55 in FIG. 7 is indicated by a variable name such as HTTP_PORTS, which is a customized variable name, for example. In the conversion rule 53 and the conversion rule 54, specific values of variables such as HTTP_PORTS are defined as in the variable table 56.

この発明の実施の形態3によって、不正アクセス検知装置(IDS)100は実施の形態1及び実施の形態2のような、予め定められたフィルタ条件変換部5でなく、変換ルールデータベース52に、変換ルール53あるいは変換ルール54を追加し、機器リスト変換部51によってフィルタ条件を変換することが可能なフィルタ条件変換部5aを得ることができる。   According to the third embodiment of the present invention, the unauthorized access detection device (IDS) 100 converts the conversion rule database 52 into the conversion rule database 52 instead of the predetermined filter condition conversion unit 5 as in the first and second embodiments. By adding the rule 53 or the conversion rule 54, it is possible to obtain the filter condition conversion unit 5a that can convert the filter condition by the device list conversion unit 51.

例えば、シグネチャ提供者が、シグネチャ3とともに変換ルール53を提供することにより、機器リスト変換部51は、最新のシグネチャに対応して、機器リスト6をフィルタ条件に変換することができる。これによって、シグネチャ3が更新されたとしても、その更新が反映されたフィルタ条件を生成し、フィルタ条件設定部4に出力することができる。   For example, when the signature provider provides the conversion rule 53 together with the signature 3, the device list conversion unit 51 can convert the device list 6 into a filter condition corresponding to the latest signature. Accordingly, even if the signature 3 is updated, a filter condition reflecting the update can be generated and output to the filter condition setting unit 4.

また、運用者が独自に変換ルール54を定義することで、シグネチャ提供者が想定していない変換方法を追加することが可能である。特に、HTTPのポート番号を一般的な80ではなく、プロクシを構築している場合など、8080といった独自のポート番号を用いるシステム機器を監視対象としている場合、変数テーブル56のHTTP_PORTSに80の代わりに8080を指定することで、変換ルール中の変数HTTP_PORTSが8080に置き換わり、個々の変換ルールを見直すことなく、適切なフィルタ条件変換を行うフィルタ条件変換部5aを得ることができる。   In addition, it is possible for an operator to add a conversion method that is not assumed by the signature provider by defining the conversion rule 54 independently. In particular, when a system device using a unique port number such as 8080 is to be monitored, such as when a proxy is being built instead of the general port number of 80, instead of 80 in HTTP_PORTS of the variable table 56 By specifying 8080, the variable HTTP_PORTS in the conversion rule is replaced with 8080, and it is possible to obtain the filter condition conversion unit 5a that performs appropriate filter condition conversion without reviewing each conversion rule.

この発明の実施の形態3によって、不正アクセス検知装置(IDS)100は、シグネチャ3が更新された場合や、固有の変数に基づいて動作する監視対象システムの場合であっても、誤検出を低減することができるフィルタ条件を生成し、フィルタ条件設定部4、不正アクセス検出部1を介して、システムを流れるパケットを監視することができる。
このようにこの実施の形態3でも、簡単な構成の安価な装置によって通信パケットを遮断することなくフィルタ条件を設定でき、運用者の負荷の低減、省人化がはかれる。 According to the third embodiment of the present invention, the unauthorized access detection device (IDS) 100 reduces false detections even when the signature 3 is updated or in the case of a monitored system that operates based on a unique variable. Filter conditions that can be generated are generated, and packets flowing through the system can be monitored via the filter condition setting unit 4 and the unauthorized access detection unit 1.
As described above, also in the third embodiment, it is possible to set the filter condition without blocking the communication packet by an inexpensive apparatus having a simple configuration, thereby reducing the load on the operator and saving labor.

実施の形態4.
この実施の形態4は、実施の形態3で説明した1日数回にわたるシグネチャの更新が行われる際の運用者の負荷を低減するため、シグネチャと変換ルールの更新をトリガとしてフィルタ条件も自動更新するものである。
この発明の実施の形態4について、図8に基づいて説明する。
図8において、不正アクセス検知装置(IDS)100は、機器リスト変換部51と機器リストデータベース61を備える。その他については、前述した図6のものと同様であり、機器リスト変換部51、変換ルールデータベース52、機器リストデータベース61とでフィルタ条件変換部5bを構成する。 Embodiment 4 FIG.
In the fourth embodiment, in order to reduce the load on the operator when the signature is updated several times a day as described in the third embodiment, the filter condition is automatically updated using the signature and conversion rule update as a trigger. Is.
Embodiment 4 of the present invention will be described with reference to FIG.
In FIG. 8, the unauthorized access detection device (IDS) 100 includes a device list conversion unit 51 and a device list database 61. Others are the same as those in FIG. 6 described above, and the device list conversion unit 51, the conversion rule database 52, and the device list database 61 constitute the filter condition conversion unit 5b.

この実施の形態4において、機器リスト6は、機器リストデータベース61に格納されている。フィルタ条件変換部5bである機器リスト変換部51は、シグネチャ提供者よりシグネチャとともに提供される変換ルール53が変換ルールデータベース52に入力されるごとに、機器リストデータベース61をフィルタ条件に変換し、フィルタ条件設定部4に出力する。   In the fourth embodiment, the device list 6 is stored in the device list database 61. Each time the conversion rule 53 provided together with the signature is input from the signature provider to the conversion rule database 52, the device list conversion unit 51 as the filter condition conversion unit 5b converts the device list database 61 into a filter condition, Output to the condition setting unit 4.

この実施の形態4においては、シグネチャ提供者よりシグネチャが変更され、シグネチャ3及び変換ルール53が提供されるたびに、フィルタ条件を生成する。新たな不正アクセスの発生頻度は監視対象システムの構成変更の頻度より大変高く、それに併せたシグネチャの更新頻度も高い。この実施の形態4の不正アクセス検知装置(IDS)100によって、シグネチャの更新頻度が高くても、運用者は常に最新のシグネチャに適したフィルタ条件を生成し、フィルタ条件設定部4、不正アクセス検出部1を介してシステムを流れるパケットを監視することが可能となり、簡単な構成の安価な装置によるフィルタ条件の更新が自動的に行えるという効果がある。   In the fourth embodiment, each time the signature is changed by the signature provider and the signature 3 and the conversion rule 53 are provided, the filter condition is generated. The frequency of new unauthorized access is much higher than the frequency of configuration change of the monitored system, and the signature update frequency is also high. By using the unauthorized access detection device (IDS) 100 according to the fourth embodiment, even if the signature update frequency is high, the operator always generates a filter condition suitable for the latest signature, and the filter condition setting unit 4, unauthorized access detection It is possible to monitor a packet flowing through the system via the unit 1, and there is an effect that the filter condition can be automatically updated by an inexpensive apparatus having a simple configuration.

実施の形態5.
以下、この発明の実施の形態5について、図9に基づき説明する。
この実施の形態5は、不正アクセスに対処実施を行うかどうかを通知する動作をフィルタするためのフィルタ条件を出力する機能を設けたものである。 Embodiment 5 FIG.
The fifth embodiment of the present invention will be described below with reference to FIG.
The fifth embodiment is provided with a function of outputting a filter condition for filtering an operation for notifying whether or not to deal with unauthorized access.

図9において、不正アクセス検知装置(IDS)100は、前記した実施の形態1、2の図1に示したアラート蓄積部2に替えて不正アクセス対処部8を設けたものである。
ここで、フィルタ条件変換部5は、実施の形態3に示した図6と同様な機器リスト変換部51及び変換ルールデータベース52によるものであってもかまわない。また、実施の形態4に示した図8と同様な機器リスト変換部51、変換ルースデータベース52、機器リストデータベース61により構成されるフィルタ条件変換部であってもよい。 In FIG. 9, an unauthorized access detection device (IDS) 100 is provided with an unauthorized access countermeasure unit 8 in place of the alert storage unit 2 shown in FIG.
Here, the filter condition conversion unit 5 may be based on the device list conversion unit 51 and the conversion rule database 52 similar to those shown in FIG. Moreover, the filter condition conversion part comprised by the apparatus list conversion part 51 similar to FIG. 8 shown in Embodiment 4, the conversion loose database 52, and the apparatus list database 61 may be sufficient.

図9において、不正アクセス検出部7は、フィルタ条件を考慮して異常と判断したものの検出結果を不正アクセス対処部8に通知する。不正アクセス対処部8は、不正アクセス検知装置(IDS)100の外部に設けられたファイアウォール装置903に指示を出し、ファイアウォールの設定を変更し、該当する通信パケットの遮断を行う。   In FIG. 9, the unauthorized access detection unit 7 notifies the unauthorized access handling unit 8 of the detection result of what is determined to be abnormal in consideration of the filter condition. The unauthorized access handling unit 8 issues an instruction to the firewall device 903 provided outside the unauthorized access detection device (IDS) 100, changes the firewall settings, and blocks the corresponding communication packet.

不正アクセス検出部7がフィルタ条件を考慮して正常と判断した場合、不正アクセス対処部8はファイアウォール903に対して、通信パケットの遮断の指示を行わない。   When the unauthorized access detecting unit 7 determines that the access is normal in consideration of the filter condition, the unauthorized access handling unit 8 does not instruct the firewall 903 to block the communication packet.

この発明の実施の形態5において、不正アクセス検知装置(IDS)100は、不正アクセス対処部8が自動で対処するので、運用者の誤検出に対処する手間を低減することが可能となり、正常な通信を妨げるなどの課題を回避することができる。なお、前述のファイアウォール903は、外部の装置であってもかまわないし、不正アクセス検知装置(IDS)100に設けられたものであってもかまわない。   In the fifth embodiment of the present invention, since the unauthorized access detection device (IDS) 100 is automatically handled by the unauthorized access handling unit 8, it is possible to reduce the trouble of handling the erroneous detection of the operator, which is normal. Issues such as hindering communication can be avoided. The firewall 903 described above may be an external device, or may be provided in the unauthorized access detection device (IDS) 100.

また、不正アクセス対処部8が備える手段は、通信パケットの遮断の指示以外に、運用者に対して、音、表示、振動、メール送信による警報を出力する手段であってもよい。運用者は、前述の警報によって採るべき行動を選択するため、誤検出の低減による無駄な作業の発生を回避ができる。   Further, the means included in the unauthorized access countermeasure unit 8 may be a means for outputting an alarm by sound, display, vibration, or mail transmission to the operator in addition to an instruction to block the communication packet. Since the operator selects an action to be taken according to the above-described alarm, it is possible to avoid generation of useless work due to reduction of false detection.

このようなこの実施の形態5による不正アクセス検知装置(IDS)100は、前述した実施の形態4と同様に、簡単な構成で安価な装置によるフィルタ条件の更新が行えるとともに、加えて誤検出の低減による無駄な作業の発生を抑えることができる。   Such an unauthorized access detection device (IDS) 100 according to the fifth embodiment can update the filter condition with an inexpensive device with a simple configuration, as well as the fourth embodiment described above. Generation of useless work due to reduction can be suppressed.

この発明の実施の形態1〜5は、システムに流れるパケットを監視し、監視対象とする装置に対する不正アクセスを検知する不正アクセス検知装置に利用できる。   Embodiments 1 to 5 of the present invention can be used for an unauthorized access detection device that monitors packets flowing through the system and detects unauthorized access to a device to be monitored.

この発明の実施の形態1の不正アクセス検知装置を示すブロック図である。It is a block diagram which shows the unauthorized access detection apparatus of Embodiment 1 of this invention. この発明の実施の形態1の機器リストの例を示す説明図である。It is explanatory drawing which shows the example of the apparatus list of Embodiment 1 of this invention. この発明の実施の形態1のフィルタ条件変換部の動作フローチャートである。It is an operation | movement flowchart of the filter condition conversion part of Embodiment 1 of this invention. この発明の実施の形態2の機器リストの例を示す説明図である。It is explanatory drawing which shows the example of the apparatus list of Embodiment 2 of this invention. この発明の実施の形態2のフィルタ条件変換部の動作フローチャートである。It is an operation | movement flowchart of the filter condition conversion part of Embodiment 2 of this invention. この発明の実施の形態3の不正アクセス検知装置を示すブロック図である。It is a block diagram which shows the unauthorized access detection apparatus of Embodiment 3 of this invention. この発明の実施の形態3における変換ルールを示す説明図である。It is explanatory drawing which shows the conversion rule in Embodiment 3 of this invention. この発明の実施の形態4の不正アクセス検知装置を示すブロック図である。It is a block diagram which shows the unauthorized access detection apparatus of Embodiment 4 of this invention. この発明の実施の形態5の不正アクセス検知装置を示すブロック図である。It is a block diagram which shows the unauthorized access detection apparatus of Embodiment 5 of this invention.

符号の説明Explanation of symbols

1 不正アクセス検出部、2 アラート蓄積部、3 シグネチャ、
4 フィルタ条件設定部、5,5a,5b フィルタ条件変換部、6 機器リスト、
8 不正アクセス対処部、51 機器リスト変換部、52 変換ルールデータベース、
53 変換ルール、54 変換ルール、100 不正アクセス検知装置。 1 Unauthorized access detector, 2 Alert accumulator, 3 Signature,
4 filter condition setting unit, 5, 5a, 5b filter condition conversion unit, 6 device list,
8 unauthorized access countermeasure unit, 51 device list conversion unit, 52 conversion rule database,
53 Conversion rule, 54 Conversion rule, 100 Unauthorized access detection device.

Claims (7)

ネットワーク上の監視対象機器に侵入する不正アクセスを検知する不正アクセス検知装置であって、
前記監視対象機器への不正アクセスの検出を抑制するためのフィルタ条件を設定するフィルタ条件設定部と、前記監視対象機器に流れる通信パケットを取得して、シグネチャおよび前記フィルタ条件設定部の出力するフィルタ条件に基づいて、不正アクセスを検出する不正アクセス検出部と、
外部から入力される設定情報をフィルタ条件に自動変換し、前記フィルタ条件設定部に出力するフィルタ条件変換部とを備えたことを特徴とする不正アクセス検知装置。 An unauthorized access detection device that detects unauthorized access that enters a monitored device on a network,
A filter condition setting unit that sets a filter condition for suppressing detection of unauthorized access to the monitored device, and a filter that obtains a communication packet that flows to the monitored device and outputs the signature and the filter condition setting unit An unauthorized access detector for detecting unauthorized access based on the conditions;
An unauthorized access detection apparatus comprising: a filter condition conversion unit that automatically converts setting information input from the outside into a filter condition and outputs the filter condition to the filter condition setting unit. 前記外部から前記フィルタ条件変換部に入力される設定情報は、監視対象となる機器を定義した機器リストであることを特徴とする請求項1に記載の不正アクセス検知装置。 The unauthorized access detection apparatus according to claim 1, wherein the setting information input from the outside to the filter condition conversion unit is a device list defining devices to be monitored. 前記機器リストは、機器の利用目的を定義したものであることを特徴とする請求項2に記載の不正アクセス検知装置。 The unauthorized access detection apparatus according to claim 2, wherein the device list defines a purpose of use of the device. 前記機器リストは、機器の構成要素を定義したものであることを特徴とする請求項2に記載の不正アクセス検知装置。 The unauthorized access detection apparatus according to claim 2, wherein the device list defines components of the device. 前記フィルタ条件変換部は、変数名を定義する変換ルールテーブルと、前記変数の具体的な値を定義する変数テーブルとによって定義された変換ルールを格納する変換ルールデータベースと、
前記機器の利用目的および構成要素のいずれか少なくとも一つを定義した機器リストから、前記利用目的、構成要素を検索キーとして、前記変換ルールデータベースから前記変換ルールを取得し、該変換ルールに基づいてフィルタ条件に自動変換し、前記フィルタ条件設定部に出力する機器リスト変換部とを備えていることを特徴とする請求項1に記載の不正アクセス検知装置。 The filter condition conversion unit includes a conversion rule database that stores a conversion rule defined by a conversion rule table that defines a variable name and a variable table that defines a specific value of the variable;
From the device list defining at least one of the usage purpose and component of the device, the conversion rule is acquired from the conversion rule database using the usage purpose and component as a search key, and based on the conversion rule The unauthorized access detection apparatus according to claim 1, further comprising: a device list conversion unit that automatically converts to a filter condition and outputs the filter condition to the filter condition setting unit. 前記シグネチャまたは前記変換ルールが入力された際に、前記機器リスト変換部を起動することを特徴とする請求項5に記載の不正アクセス検知装置。 6. The unauthorized access detection apparatus according to claim 5, wherein the device list conversion unit is activated when the signature or the conversion rule is input. 不正アクセスを前記不正アクセス検出部が検出したとき、該当する通信パケットを遮断するよう出力する不正アクセス対処部が設けられていることを特徴とする請求項1に記載の不正アクセス検知装置。 2. The unauthorized access detection device according to claim 1, further comprising an unauthorized access countermeasure unit that outputs to block a corresponding communication packet when the unauthorized access detection unit detects unauthorized access.
JP2005357237A 2005-12-12 2005-12-12 Illegal access detection device Pending JP2007164313A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005357237A JP2007164313A (en) 2005-12-12 2005-12-12 Illegal access detection device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005357237A JP2007164313A (en) 2005-12-12 2005-12-12 Illegal access detection device

Publications (1)

Publication Number Publication Date
JP2007164313A true JP2007164313A (en) 2007-06-28

Family

ID=38247152

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005357237A Pending JP2007164313A (en) 2005-12-12 2005-12-12 Illegal access detection device

Country Status (1)

Country Link
JP (1) JP2007164313A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013017077A (en) * 2011-07-05 2013-01-24 Fujitsu Ltd Information processor, information processing program, and management method
WO2016038662A1 (en) * 2014-09-08 2016-03-17 三菱電機株式会社 Information processing device, information processing method and program
WO2019003300A1 (en) * 2017-06-27 2019-01-03 三菱電機ビルテクノサービス株式会社 Intrusion detection device and intrusion detection method
WO2019240020A1 (en) * 2018-06-13 2019-12-19 パナソニックIpマネジメント株式会社 Improper communication detector, improper communication detection method, and manufacturing system

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013017077A (en) * 2011-07-05 2013-01-24 Fujitsu Ltd Information processor, information processing program, and management method
WO2016038662A1 (en) * 2014-09-08 2016-03-17 三菱電機株式会社 Information processing device, information processing method and program
JP6067195B2 (en) * 2014-09-08 2017-01-25 三菱電機株式会社 Information processing apparatus, information processing method, and program
US9794274B2 (en) 2014-09-08 2017-10-17 Mitsubishi Electric Corporation Information processing apparatus, information processing method, and computer readable medium
WO2019003300A1 (en) * 2017-06-27 2019-01-03 三菱電機ビルテクノサービス株式会社 Intrusion detection device and intrusion detection method
WO2019004101A1 (en) * 2017-06-27 2019-01-03 三菱電機ビルテクノサービス株式会社 Intrusion detection device, intrusion detection method, and intrusion detection system
JPWO2019004101A1 (en) * 2017-06-27 2019-12-19 三菱電機ビルテクノサービス株式会社 Intrusion detection device, intrusion detection method, and intrusion detection system
WO2019240020A1 (en) * 2018-06-13 2019-12-19 パナソニックIpマネジメント株式会社 Improper communication detector, improper communication detection method, and manufacturing system
JPWO2019240020A1 (en) * 2018-06-13 2021-06-24 パナソニックIpマネジメント株式会社 Fraudulent communication detection device, fraudulent communication detection method and manufacturing system
JP7378089B2 (en) 2018-06-13 2023-11-13 パナソニックIpマネジメント株式会社 Unauthorized communication detection device, unauthorized communication detection method, and manufacturing system

Similar Documents

Publication Publication Date Title
Stirland et al. Developing cyber forensics for SCADA industrial control systems
US8640239B2 (en) Network intrusion detection in a network that includes a distributed virtual switch fabric
US20100325685A1 (en) Security Integration System and Device
US20210194909A1 (en) Analysis device, method and system for operational technology system and storage medium
Stiawan et al. The trends of intrusion prevention system network
JP2006119754A (en) Network-type virus activity detection program, processing method and system
US20110307936A1 (en) Network analysis
JP2006350561A (en) Attack detection device
GB2532630A (en) Network intrusion alarm method and system for nuclear power station
JP2019028891A (en) Information processing device, information processing method and information processing program
JP2015173406A (en) Analysis system, analysis device, and analysis program
JP2007164313A (en) Illegal access detection device
JP2008083751A (en) Network system coping with unauthorized access
JP6711452B2 (en) Extraction device, extraction method, and program
JP6233414B2 (en) Information processing apparatus, filtering system, filtering method, and filtering program
JP2017129894A (en) Cyberattack detection system
JP4242852B2 (en) Log total support device, log total support system, log total support program, and log total support method
JP5310094B2 (en) Anomaly detection system, anomaly detection method and anomaly detection program
Tiwari et al. Refinements in Zeek intrusion detection system
JP2009064098A (en) Operation management system and analysis method to insufficient definition
JP5752020B2 (en) Attack countermeasure device, attack countermeasure method, and attack countermeasure program
JP2005202664A (en) Unauthorized access integration correspondence system
Geer Behavior-based network security goes mainstream
JPWO2016170664A1 (en) Abnormal packet filtering apparatus and abnormal packet filtering method
CN109302401B (en) Information security protection method and device