JP2007242002A - ネットワーク管理装置及びネットワーク管理方法及びプログラム - Google Patents
ネットワーク管理装置及びネットワーク管理方法及びプログラム Download PDFInfo
- Publication number
- JP2007242002A JP2007242002A JP2007027758A JP2007027758A JP2007242002A JP 2007242002 A JP2007242002 A JP 2007242002A JP 2007027758 A JP2007027758 A JP 2007027758A JP 2007027758 A JP2007027758 A JP 2007027758A JP 2007242002 A JP2007242002 A JP 2007242002A
- Authority
- JP
- Japan
- Prior art keywords
- terminal device
- identification information
- abnormality
- signature candidate
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】シグネチャの候補に対して、そのシグネチャ候補により感染が検知された端末がワーム感染の兆候を示すかを確認し、シグネチャの候補の正当性を評価する。
【解決手段】各IDSセンサ部2がネットワークを監視してシグネチャ候補を生成し、シグネチャ候補をIDS管理部1に送信し、IDS管理部1がシグネチャ候補を集約し、各IDSセンサ部2にシグネチャ候補を配布し、IDSセンサ部2では、配布されたシグネチャ候補を用いてネットワークを監視し、シグネチャ候補に合致する文字列を検知した場合に、当該文字列を含むパケットの送信元の端末を示すアラートをIDS管理部1に通知し、更に、端末の端末エージェント部3が端末の状態を監視し、端末が感染挙動を示した際に、当該端末を示す情報をIDS管理部1に送信し、IDS管理部1ではアラートと感染挙動を示した端末の情報に基づきシグネチャ候補の正当性の評価を行う。
【選択図】図1
【解決手段】各IDSセンサ部2がネットワークを監視してシグネチャ候補を生成し、シグネチャ候補をIDS管理部1に送信し、IDS管理部1がシグネチャ候補を集約し、各IDSセンサ部2にシグネチャ候補を配布し、IDSセンサ部2では、配布されたシグネチャ候補を用いてネットワークを監視し、シグネチャ候補に合致する文字列を検知した場合に、当該文字列を含むパケットの送信元の端末を示すアラートをIDS管理部1に通知し、更に、端末の端末エージェント部3が端末の状態を監視し、端末が感染挙動を示した際に、当該端末を示す情報をIDS管理部1に送信し、IDS管理部1ではアラートと感染挙動を示した端末の情報に基づきシグネチャ候補の正当性の評価を行う。
【選択図】図1
Description
本発明は、ネットワーク侵入検知技術に関し、特に、攻撃パケットの特徴パターンを定義したシグネチャを生成する技術に関する。
ネットワーク侵入検知では、既知の攻撃パケットの特徴パターンを定義した「シグネチャ」を事前に準備し、ネットワーク中のパケットとシグネチャを照合して攻撃を検知するMID(Misuse Intrusion Detection)方式が広く採用されている(例えば、特許文献1)。
MID方式は既知の攻撃を高精度に検知できるが、コンピュータワームは出現後短期間で多数の計算機に感染するため、未知であったコンピュータワームに対して自動的に、また誤検知率が十分に低いシグネチャを生成する技術が求められている。
また、コンピュータワームはファイルの形態を取らないものも多く、トラヒック解析の形でシグネチャを生成する技術が必要とされる。
MID方式は既知の攻撃を高精度に検知できるが、コンピュータワームは出現後短期間で多数の計算機に感染するため、未知であったコンピュータワームに対して自動的に、また誤検知率が十分に低いシグネチャを生成する技術が求められている。
また、コンピュータワームはファイルの形態を取らないものも多く、トラヒック解析の形でシグネチャを生成する技術が必要とされる。
上記のニーズに対して、近年、ネットワークトラヒックを観測し、トラヒック中に出現する高頻度の文字列パターンを抽出し、また、その送受信アドレスの散布度の高さを確認することによりコンピュータワームに対するシグネチャを自動生成する技術が提案されている。
例えば、非特許文献1に示す方法は、トラヒック中に頻出する文字列パターンを高速・省メモリ容量で抽出するRabin fingerprintingおよびMulti−stage filterというアルゴリズム、また、抽出した各文字列パターンの送受信アドレスの散布状況を高速・省メモリ容量で計測するscaled bitmapというアルゴリズム(同文献5.2節)を含んだ実現方法が示されている。この組み合わせにより、高頻度で出現し、また送信元・送信先アドレスの散布度の高い文字列パターンをシグネチャの候補として抽出する。
例えば、非特許文献1に示す方法は、トラヒック中に頻出する文字列パターンを高速・省メモリ容量で抽出するRabin fingerprintingおよびMulti−stage filterというアルゴリズム、また、抽出した各文字列パターンの送受信アドレスの散布状況を高速・省メモリ容量で計測するscaled bitmapというアルゴリズム(同文献5.2節)を含んだ実現方法が示されている。この組み合わせにより、高頻度で出現し、また送信元・送信先アドレスの散布度の高い文字列パターンをシグネチャの候補として抽出する。
しかしながら、出現頻度、送受信アドレスの散布度の高い文字列パターンは、正常なトラヒックにも含まれており、このようなパターンをシグネチャの候補から除外する必要がある。前記文献においては、この課題に対する対策として、出力された候補を人手等で精査することにより、正常トラヒックとみなされる文字列パターンを登録したホワイトリストを作成し、ホワイトリストに含まれる文字列をシグネチャの候補から自動的に除外する方法が示されている。
特開2002−073433号公報
「Automated Worm Fingerprinting」, Sumeet Singhほか、Proceedings of 6th ACM/USENIX Symposium on Operating System Design and Implementation(OSDI)、2004年12月
以上に示した従来技術では、出現頻度と送受信アドレスの散布度が高い文字列パターンをシグネチャとして抽出し、また、誤検知に対しては、正常な文字列パターンをホワイトリストとして登録し、候補から除外する方法が示されている。
ホワイトリストの対象には、WebのリクエストヘッダやMailのヘッダに出現するキーワード等のように、応用プロトコルの仕様・実装に応じて、正常トラヒック中にも頻出する文字列パターンがあるが、これらは、応用プロトコルの拡張や、その様々な実装例の出現、改訂によって追加を生じうるため、誤検知を防止するためには適切な頻度でホワイトリストの追加、改訂を行う必要がある。また、メーリングリスト、有名なサイトのURL(Uniform Resource Locator)、メールアドレス、流行語といったものも出現頻度・散布度の高い文字列であるが、これらをホワイトリストとして追加、改訂する作業はさらに自動化が困難である。
この発明は、上記のような問題点を解決することを主な目的の一つとしており、シグネチャの候補の各々に対して、そのシグネチャにより感染が検知されたホストが真にワーム感染の兆候を有するかどうかを自動的に確認し、シグネチャの候補の正当性を評価することにより、誤検知の恐れの少ない高精度のシグネチャを自動的に得ることを主な目的の一つとする。
本発明に係るネットワーク管理装置は、
監視対象ネットワークに含まれる複数の端末装置と、前記監視対象ネットワークを監視する監視装置と通信を行うネットワーク管理装置であって、
端末装置に異常を発生させるデータパターンの検出のためのシグネチャ候補を前記監視装置に対して送信するシグネチャ候補送信部と、
前記監視装置から、前記監視装置が前記シグネチャ候補を用いて検出したデータパターンの流通に関係のある端末装置の識別情報を通知するデータパターン検知通知を受信するデータパターン検知通知受信部と、
前記複数の端末装置のうち何らかの異常を感知した異常感知端末装置から、当該異常感知端末装置の識別情報を示す異常感知通知を受信する異常感知通知受信部と、
データパターン検知通知に示された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき、前記シグネチャ候補に対する評価を行うシグネチャ候補評価部とを有することを特徴とする。
監視対象ネットワークに含まれる複数の端末装置と、前記監視対象ネットワークを監視する監視装置と通信を行うネットワーク管理装置であって、
端末装置に異常を発生させるデータパターンの検出のためのシグネチャ候補を前記監視装置に対して送信するシグネチャ候補送信部と、
前記監視装置から、前記監視装置が前記シグネチャ候補を用いて検出したデータパターンの流通に関係のある端末装置の識別情報を通知するデータパターン検知通知を受信するデータパターン検知通知受信部と、
前記複数の端末装置のうち何らかの異常を感知した異常感知端末装置から、当該異常感知端末装置の識別情報を示す異常感知通知を受信する異常感知通知受信部と、
データパターン検知通知に示された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき、前記シグネチャ候補に対する評価を行うシグネチャ候補評価部とを有することを特徴とする。
本発明によれば、シグネチャ候補を用いた監視対象ネットワークに対する監視結果と、端末装置における異常感知結果から、シグネチャ候補の正当性を評価するため、誤検知及び検知漏れの恐れの少ない高精度のシグネチャを迅速かつ効率よく得ることができ、監視対象ネットワークにおけるセキュリティを高めることができる。
実施の形態1.
図1は本実施の形態に係るシステムのネットワーク上の配置構成例を示したシステム概念図である。
監視対象となる各サイト(監視対象ネットワーク)に配置されたIDS(Intrusion Detection System)センサ部2は、それぞれ、シグネチャに基づいてネットワーク侵入を検知する侵入検知センサである。また、各端末にソフトウェアとして設置された端末エージェント部3は、端末の動作状況を監視して、何らかの異常、例えばコンピュータワームの感染の兆候を検知するソフトウェアである。IDS管理部1は、前記のIDSセンサ部2ならびに端末エージェント部3を集中管理する手段である。
なお、IDS管理部1はネットワーク管理装置の例であり、IDSセンサ部2は監視装置の例であり、端末は端末装置の例である。
図1は本実施の形態に係るシステムのネットワーク上の配置構成例を示したシステム概念図である。
監視対象となる各サイト(監視対象ネットワーク)に配置されたIDS(Intrusion Detection System)センサ部2は、それぞれ、シグネチャに基づいてネットワーク侵入を検知する侵入検知センサである。また、各端末にソフトウェアとして設置された端末エージェント部3は、端末の動作状況を監視して、何らかの異常、例えばコンピュータワームの感染の兆候を検知するソフトウェアである。IDS管理部1は、前記のIDSセンサ部2ならびに端末エージェント部3を集中管理する手段である。
なお、IDS管理部1はネットワーク管理装置の例であり、IDSセンサ部2は監視装置の例であり、端末は端末装置の例である。
本実施の形態では、各IDSセンサ部2がネットワークを監視してシグネチャ候補を生成し、シグネチャ候補をIDS管理部1に送信し、IDS管理部1がシグネチャ候補を集約する。そして、IDS管理部1は、集約したシグネチャ候補を各IDSセンサ部2に配布し、IDSセンサ部2では、配布されたシグネチャ候補を用いてネットワークを監視し、シグネチャ候補に合致する文字列パターン(データパターン)を検知した場合に、当該文字列を含むパケットの流通に関係のある端末(例えば、当該パケットの送信元の端末)を示す検知アラートをIDS管理部1に通知する。
更に、端末の端末エージェント部3が端末の状態を監視し、端末が感染挙動を示した際に、当該異常が感知された端末を示すホスト感染監視情報をIDS管理部1に送信し、IDS管理部1では検知アラートに示された端末の情報とホスト感染監視情報に示された端末の情報に基づきシグネチャ候補の誤検知率、検知漏れ率を算定してシグネチャ候補の正当性の評価を行う。
更に、端末の端末エージェント部3が端末の状態を監視し、端末が感染挙動を示した際に、当該異常が感知された端末を示すホスト感染監視情報をIDS管理部1に送信し、IDS管理部1では検知アラートに示された端末の情報とホスト感染監視情報に示された端末の情報に基づきシグネチャ候補の誤検知率、検知漏れ率を算定してシグネチャ候補の正当性の評価を行う。
図14は、実施の形態1におけるIDS管理部1、IDSセンサ部2、端末のハードウェア資源の一例を示す図である。
図14において、IDS管理部1、IDSセンサ部2、端末は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介して、例えば、ROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。
図14において、IDS管理部1、IDSセンサ部2、端末は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介して、例えば、ROM913、RAM914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。
通信ボード915は、図1に示すように、ネットワークに接続されている。例えば、通信ボード915は、LAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)などに接続されていても構わない。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
上記プログラム群923には、以下に述べる説明において「〜部」、「〜手段」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」、「〜の評価結果」等として説明する情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示・抽出のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下で説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
ファイル群924には、以下に述べる説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」、「〜の評価結果」等として説明する情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示・抽出のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下で説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、以下に述べる説明において「〜部」、「〜手段」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」、「〜手段」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、以下に述べる「〜部」、「〜手段」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」、「〜手段」の手順や方法をコンピュータに実行させるものである。
次に、本実施の形態の詳細な構成を図2に示す。
IDSセンサ部2は、ネットワークトラヒックの観測からシグネチャ候補を生成するシグネチャ候補生成部8、ならびに、シグネチャ候補に基づいてネットワーク侵入を検知するネットワーク侵入検知部9を備える。
更に、シグネチャ候補を示すシグネチャ候補生成通知11を送信するシグネチャ候補生成通知送信部201と、シグネチャ候補の配布のためのシグネチャ候補配布通知12を受信するシグネチャ候補配布通知受信部202と、ネットワーク侵入検知部9のネットワーク侵入検知結果を通知する検知アラート13を送信する検知アラート送信部203を備える。
IDSセンサ部2は、ネットワークトラヒックの観測からシグネチャ候補を生成するシグネチャ候補生成部8、ならびに、シグネチャ候補に基づいてネットワーク侵入を検知するネットワーク侵入検知部9を備える。
更に、シグネチャ候補を示すシグネチャ候補生成通知11を送信するシグネチャ候補生成通知送信部201と、シグネチャ候補の配布のためのシグネチャ候補配布通知12を受信するシグネチャ候補配布通知受信部202と、ネットワーク侵入検知部9のネットワーク侵入検知結果を通知する検知アラート13を送信する検知アラート送信部203を備える。
端末エージェント部3は、端末の動作状況を監視してコンピュータワームの感染の兆候を検知するホスト感染監視部10と、検知結果を示すホスト感染監視情報をIDS管理部1に送信するホスト感染監視情報送信部301を備える。
IDS管理部1は、シグネチャ候補評価部4、シグネチャ候補表データベース5、アラート表データベース6、ホスト感染監視表データベース7、シグネチャ候補生成通知受信部101(シグネチャ候補受信部)、シグネチャ候補配布通知送信部102(シグネチャ候補送信部)、検知アラート受信部103(データパターン検出通知受信部)、ホスト感染監視情報受信部104(異常感知通知受信部)を備える。
各部の動作の詳細は、図3〜図11を参照しながら説明する。
各部の動作の詳細は、図3〜図11を参照しながら説明する。
なお、図2で示した構成例では、シグネチャ候補生成部8とネットワーク侵入検知部9はともにIDSセンサ部2に実装されているが、シグネチャ候補生成部8とネットワーク侵入検知部9を別の装置として実現しても差し支えない。
次に、ブロック図(図2)、タイミングチャート(図3)、ならびにデータ例(図4〜図9)を用いて、基本的な動作の流れを説明する。なお、図3に示されたS1〜S8の手順とS9〜S11の手順とは独立なタイミングで実施してよい。
IDSセンサ部2のシグネチャ候補生成部8は、従来技術例に示されたシグネチャ自動生成方法と同様の方法により、ネットワークトラヒックを監視し、シグネチャの候補を生成する(S1)。
そして、シグネチャの候補をシグネチャ候補生成通知11として、シグネチャ候補生成通知送信部201からIDS管理部1に送信する(S2)。
IDS管理部1では、シグネチャ候補生成通知受信部101がシグネチャ候補生成通知11を受信するとともに、シグネチャ候補評価部4に通知する(S2)。
ここで、シグネチャ候補の通知情報であるシグネチャ候補生成通知11の例を図4に示す。
図4の例のようにシグネチャ候補生成通知11は複数のシグネチャ候補を含んでもよい。また、各シグネチャ候補は、コンピュータワームの本体に含まれる文字列パターンを含むものであり、また、検知精度を高めるために、図4に示すように、コンピュータワームの他の特徴を識別する要素として、プロトコル種別などを含んでもよい。
そして、シグネチャの候補をシグネチャ候補生成通知11として、シグネチャ候補生成通知送信部201からIDS管理部1に送信する(S2)。
IDS管理部1では、シグネチャ候補生成通知受信部101がシグネチャ候補生成通知11を受信するとともに、シグネチャ候補評価部4に通知する(S2)。
ここで、シグネチャ候補の通知情報であるシグネチャ候補生成通知11の例を図4に示す。
図4の例のようにシグネチャ候補生成通知11は複数のシグネチャ候補を含んでもよい。また、各シグネチャ候補は、コンピュータワームの本体に含まれる文字列パターンを含むものであり、また、検知精度を高めるために、図4に示すように、コンピュータワームの他の特徴を識別する要素として、プロトコル種別などを含んでもよい。
シグネチャ候補評価部4はシグネチャ候補生成通知11を受け取り、含まれるシグネチャ候補をシグネチャ候補表データベース5のシグネチャ候補表に登録する(S3)。このとき、すでにシグネチャ候補表に登録されているシグネチャ候補と内容の一致するシグネチャ候補は重複して登録しないものとし、シグネチャ候補を一意に識別可能な候補番号を付与して登録する。
このように登録したシグネチャ候補表の例を図5に示す。候補番号501はシグネチャ候補評価部4が付与する、シグネチャ候補を一意識別する番号である。プロトコル502、文字列パターン503はシグネチャ候補生成通知11の内容に従う。
このように登録したシグネチャ候補表の例を図5に示す。候補番号501はシグネチャ候補評価部4が付与する、シグネチャ候補を一意識別する番号である。プロトコル502、文字列パターン503はシグネチャ候補生成通知11の内容に従う。
次に、シグネチャ候補評価部4は、シグネチャ候補表に登録されたシグネチャ候補と候補番号を示すシグネチャ候補配布通知12を生成し、シグネチャ候補配布通知送信部102が、シグネチャ候補配布通知12を各IDSセンサ部2に送信する(S4)。
この配布情報であるシグネチャ候補配布通知12の例を図6に示す。候補番号601、プロトコル602、文字列パターン603の内容は、図5に示したものと同じである。
この配布情報であるシグネチャ候補配布通知12の例を図6に示す。候補番号601、プロトコル602、文字列パターン603の内容は、図5に示したものと同じである。
各々のIDSセンサ部2が備えるネットワーク侵入検知部9はMID方式に基づくネットワーク侵入検知手段であり、上記のシグネチャ候補配布通知12に含まれるシグネチャ候補を検知パターンとしてネットワーク侵入検知を実施する(S5)。
いずれかのシグネチャ候補に対応したトラヒックを検出した場合は、ネットワーク侵入検知部9は、検知結果を示す検知アラート13を生成し、検知アラート送信部203が検知アラート13をIDS管理部1に送信する(S6、S7)。IDS管理部1では、検知アラート受信部103が、検知アラート13を受信し、シグネチャ候補評価部4に報告する(S7)。
そして、シグネチャ候補評価部4は検知アラート13を受信してアラート表データベース6のアラート表に登録する(S8)。
このとき通知する検知アラート13、および検知アラートを登録したアラート表の例を図7に示す。検知アラート13には、シグネチャ候補の候補番号、および、送信元のホストを識別する情報、たとえばトラヒックの送信元アドレスを含める。
なお、この検知アラートは、データパターン検知通知の例である。
いずれかのシグネチャ候補に対応したトラヒックを検出した場合は、ネットワーク侵入検知部9は、検知結果を示す検知アラート13を生成し、検知アラート送信部203が検知アラート13をIDS管理部1に送信する(S6、S7)。IDS管理部1では、検知アラート受信部103が、検知アラート13を受信し、シグネチャ候補評価部4に報告する(S7)。
そして、シグネチャ候補評価部4は検知アラート13を受信してアラート表データベース6のアラート表に登録する(S8)。
このとき通知する検知アラート13、および検知アラートを登録したアラート表の例を図7に示す。検知アラート13には、シグネチャ候補の候補番号、および、送信元のホストを識別する情報、たとえばトラヒックの送信元アドレスを含める。
なお、この検知アラートは、データパターン検知通知の例である。
以上の手順により、シグネチャ候補評価部4は、IDSセンサ部2で生成されたシグネチャ候補を収集してネットワークの各所に配備されたIDSセンサ部2の各々に配布し、配布したシグネチャに基づいたネットワーク侵入検知結果をIDSセンサ部2から網羅的に収集する。侵入検知結果には、シグネチャ候補の候補番号、および、送信元のホストを識別する情報が含まれる。
また、各端末にインストールされた端末エージェント部3に含まれるホスト感染監視部10は端末の活動を監視し、コンピュータワームの感染の兆候を検出する(S9)。その方法としてはシステムファイルや設定情報の改変を検知する等、従来技術として知られている方法を使用してよい。
端末エージェント部3のホスト感染監視部10は、検出結果を示すホスト感染監視情報14を生成し、ホスト感染監視情報送信部301がホスト感染監視情報14をIDS管理部1に送信する(S10)。
IDS管理部1では、ホスト感染監視情報受信部104が、ホスト感染監視情報14を受信し、シグネチャ候補評価部4にホスト感染監視情報14を報告し(S10)、シグネチャ候補評価部4はこれをホスト感染監視表データベース7のホスト感染監視表に記録する(S11)。
このホスト感染監視情報14とホスト感染監視表の例を図8に示す。ホスト感染監視情報14には、送信元の端末ごとに、感染挙動発生時刻801と感染挙動の詳細802の情報が含まれている。
また、ホスト感染監視表には、ホスト感染監視情報の送信元の端末の識別情報803、感染挙動発生時刻804と感染挙動の詳細805の情報が含まれている。
なお、ホスト感染監視情報14は、異常感知通知の例である。
端末エージェント部3のホスト感染監視部10は、検出結果を示すホスト感染監視情報14を生成し、ホスト感染監視情報送信部301がホスト感染監視情報14をIDS管理部1に送信する(S10)。
IDS管理部1では、ホスト感染監視情報受信部104が、ホスト感染監視情報14を受信し、シグネチャ候補評価部4にホスト感染監視情報14を報告し(S10)、シグネチャ候補評価部4はこれをホスト感染監視表データベース7のホスト感染監視表に記録する(S11)。
このホスト感染監視情報14とホスト感染監視表の例を図8に示す。ホスト感染監視情報14には、送信元の端末ごとに、感染挙動発生時刻801と感染挙動の詳細802の情報が含まれている。
また、ホスト感染監視表には、ホスト感染監視情報の送信元の端末の識別情報803、感染挙動発生時刻804と感染挙動の詳細805の情報が含まれている。
なお、ホスト感染監視情報14は、異常感知通知の例である。
最後に、検知アラートの件数、ホスト感染監視表の件数の閾値が到来した場合、シグネチャ候補評価部4は、S1〜S8で収集したアラート表(図7)と、S9〜S11で収集したホスト感染監視表(図8)とを用い、シグネチャ候補の正当性を評価する(S12)。
S12を実行するタイミングは実装により選択して良いが、一般に、十分な評価精度を得るには、アラート表、および、ホスト感染監視表に記録されたホスト数が十分大きな数となった時点が望ましく、一方、コンピュータワームが広範囲に感染しない段階で早期に対処するためには、あまり大きな数は望ましくない。このように、S12を実行するためのホスト数の基準値は、評価精度と早期検知のトレードオフの関係にあり、チューニングパラメータとして設定可能とすることが望ましい。
次に、シグネチャ候補評価部4におけるシグネチャ候補の評価(S12)の手法について述べる。
従来技術においても、端末エージェント部3において検知されるコンピュータワーム感染の予兆は比較的精度の高いものであり、本実施の形態においては、ホスト感染監視表(図8)に報告された検知結果が正しいと仮定して、各々のシグネチャ候補の正当性を判定する。
従来技術においても、端末エージェント部3において検知されるコンピュータワーム感染の予兆は比較的精度の高いものであり、本実施の形態においては、ホスト感染監視表(図8)に報告された検知結果が正しいと仮定して、各々のシグネチャ候補の正当性を判定する。
まず、シグネチャ候補評価部4は、図9に示すように、アラート表(図7)に蓄えられたアラートをシグネチャ候補番号毎に分類することにより、シグネチャ候補ごとに、そのシグネチャ候補でアラートが検知された送信元ホストの集合を算出する。
次に、シグネチャ候補評価部4は、おのおののシグネチャ候補に対する誤検知率、検知漏れ率を計算する。
図10は、上記の仮定における誤検知および検知漏れの概念を示したものである。あるシグネチャ候補Xに対してアラートが検知されたホストの集合をAとし、また、端末エージェント部3からホスト感染報告のあったホストの集合、つまりホスト感染監視表に登録されたホストの集合をBとすると、誤検知率、検知漏れ率は以下のように定義される。
誤検知率=n(A∩B)÷n(Aの要素数)
検知漏れ率=1−[n(A∩B)÷n(Bの要素数)]
ただし、集合Sに対してn(S)はSの集合の要素数であるとする。
次に、シグネチャ候補評価部4は、おのおののシグネチャ候補に対する誤検知率、検知漏れ率を計算する。
図10は、上記の仮定における誤検知および検知漏れの概念を示したものである。あるシグネチャ候補Xに対してアラートが検知されたホストの集合をAとし、また、端末エージェント部3からホスト感染報告のあったホストの集合、つまりホスト感染監視表に登録されたホストの集合をBとすると、誤検知率、検知漏れ率は以下のように定義される。
誤検知率=n(A∩B)÷n(Aの要素数)
検知漏れ率=1−[n(A∩B)÷n(Bの要素数)]
ただし、集合Sに対してn(S)はSの集合の要素数であるとする。
つまり、端末エージェント部3のホスト感染監視部10が感染挙動を検知していない(ホスト感染監視表に登録されていない)にもかからず、IDSセンサ部2のネットワーク侵入検知部9がアラートを検知している(アラート表に登録されている)場合は誤検知と判定される。一方、端末エージェント部3のホスト感染監視部10が感染挙動を検知している(ホスト感染監視表に登録されている)にもかからず、IDSセンサ部2のネットワーク侵入検知部9がアラートを検知していない(アラート表に登録されていない)場合は検知漏れと判定される。また、端末エージェント部3のホスト感染監視部10が感染挙動を検知しており(ホスト感染監視表に登録されている)、IDSセンサ部2のネットワーク侵入検知部9もアラートを検知している(アラート表に登録されている)場合は正しい検知と判定される。
また、シグネチャ候補評価部4は、例えば、誤検知率の閾値と検知漏れ率の閾値を用意し、以上のように算出されたシグネチャ候補の誤検知率、検知漏れ率がそれぞれの閾値を超えるか否かを判断して、シグネチャ候補の正当性を評価する。
シグネチャ候補評価部4は、例えば、誤検知率、検知漏れ率がそれぞれの閾値を下回るシグネチャ候補は正当であると評価して、これを正式なシグネチャとして登録することができる。
シグネチャ候補評価部4は、例えば、誤検知率、検知漏れ率がそれぞれの閾値を下回るシグネチャ候補は正当であると評価して、これを正式なシグネチャとして登録することができる。
次に、図11を参照して、本実施の形態に係るIDS管理部1に特化して動作例を説明する。
先ず、シグネチャ候補生成通知受信部101が、各IDSセンサ部2からシグネチャ候補生成通知11を受信する(S1101)。
次に、シグネチャ候補評価部4が、受信したシグネチャ候補をシグネチャ候補表データベース5のシグネチャ候補表(図5)に登録する(S1102)。
そして、シグネチャ候補評価部4は、シグネチャ候補表に所定数のシグネチャ候補が登録されるか、所定の配布周期が到来するのを待つ(S1103)。
配布タイミングになった場合は、シグネチャ候補評価部4は、シグネチャ候補配布通知(図6)を生成し、シグネチャ候補配布通知送信部102がシグネチャ候補配布通知を各IDSセンサ部2に送信する(S1104)(シグネチャ候補送信ステップ)。
次に、検知アラート受信部103が、各IDSセンサ部2から、シグネチャ候補配布通知として配布したシグネチャ候補に対する検知アラート(図7)を受信する(S1105)(データパターン検知通知受信ステップ)。
次に、シグネチャ候補評価部4が、アラート表データベース6のアラート表のエントリに、受信した検知アラートを追記する(S1106)。
次に、ホスト感染監視情報受信部104が、端末エージェント部3から、ホスト感染監視情報(図8)を受信する(S1107)(異常感知通知受信ステップ)。
次に、シグネチャ候補評価部4が、受信したホスト感染監視情報をホスト感染監視表データベース7のホスト感染監視表(図8)に登録する(S1108)。
なお、S1105〜S1108の処理は、図11に示す順序通りでなくてもよい。つまり、IDSセンサ部2からの検知アラートの送信と、端末エージェント部3からのホスト感染監視情報の送信は連動しておらず、それぞれ独立に行われることから、S1105〜S1108の処理はかならずしも図11の順序通りにはならない。
次に、シグネチャ候補評価部4は、検知アラートの件数、ホスト感染監視表の件数が閾値に達したか否かを判断し(S1109)、閾値に達していない場合は、S1105〜S1108の処理を繰り返し、閾値に達している場合は、S1110の処理を行う。
検知アラートの件数、ホスト感染監視表の件数が閾値に達している場合は、シグネチャ候補評価部4は、各シグネチャ候補の誤検知率、検知漏れ率を算出する(S1110)(シグネチャ候補評価ステップ)。
次に、シグネチャ候補評価部4は、算出した誤検知率、検知漏れ率と、それぞれの閾値とを比較し、各シグネチャ候補の正当性を評価する(S1111)(シグネチャ候補評価ステップ)。
そして、誤検知率、検知漏れ率が閾値以下のシグネチャ候補は正式なシグネチャとして登録される。
先ず、シグネチャ候補生成通知受信部101が、各IDSセンサ部2からシグネチャ候補生成通知11を受信する(S1101)。
次に、シグネチャ候補評価部4が、受信したシグネチャ候補をシグネチャ候補表データベース5のシグネチャ候補表(図5)に登録する(S1102)。
そして、シグネチャ候補評価部4は、シグネチャ候補表に所定数のシグネチャ候補が登録されるか、所定の配布周期が到来するのを待つ(S1103)。
配布タイミングになった場合は、シグネチャ候補評価部4は、シグネチャ候補配布通知(図6)を生成し、シグネチャ候補配布通知送信部102がシグネチャ候補配布通知を各IDSセンサ部2に送信する(S1104)(シグネチャ候補送信ステップ)。
次に、検知アラート受信部103が、各IDSセンサ部2から、シグネチャ候補配布通知として配布したシグネチャ候補に対する検知アラート(図7)を受信する(S1105)(データパターン検知通知受信ステップ)。
次に、シグネチャ候補評価部4が、アラート表データベース6のアラート表のエントリに、受信した検知アラートを追記する(S1106)。
次に、ホスト感染監視情報受信部104が、端末エージェント部3から、ホスト感染監視情報(図8)を受信する(S1107)(異常感知通知受信ステップ)。
次に、シグネチャ候補評価部4が、受信したホスト感染監視情報をホスト感染監視表データベース7のホスト感染監視表(図8)に登録する(S1108)。
なお、S1105〜S1108の処理は、図11に示す順序通りでなくてもよい。つまり、IDSセンサ部2からの検知アラートの送信と、端末エージェント部3からのホスト感染監視情報の送信は連動しておらず、それぞれ独立に行われることから、S1105〜S1108の処理はかならずしも図11の順序通りにはならない。
次に、シグネチャ候補評価部4は、検知アラートの件数、ホスト感染監視表の件数が閾値に達したか否かを判断し(S1109)、閾値に達していない場合は、S1105〜S1108の処理を繰り返し、閾値に達している場合は、S1110の処理を行う。
検知アラートの件数、ホスト感染監視表の件数が閾値に達している場合は、シグネチャ候補評価部4は、各シグネチャ候補の誤検知率、検知漏れ率を算出する(S1110)(シグネチャ候補評価ステップ)。
次に、シグネチャ候補評価部4は、算出した誤検知率、検知漏れ率と、それぞれの閾値とを比較し、各シグネチャ候補の正当性を評価する(S1111)(シグネチャ候補評価ステップ)。
そして、誤検知率、検知漏れ率が閾値以下のシグネチャ候補は正式なシグネチャとして登録される。
以上のような構成とすることにより、本実施の形態においては、ホワイトリストをメンテナンスする必要がなく、また、運用管理者による判断を必要とせずに、シグネチャの候補の正当性を自動的に評価できるので、運用上の負担が少なく、また、迅速に、誤検知の少ないシグネチャを生成できる。この結果、監視対象のネットワークにおけるセキュリティを高めることができる。特に、出現後短期間で多数の計算機に感染する未知のコンピュータワームに対するセキュリティ強度を高めることができる。
また、別の形態として、ネットワーク侵入検知部9は、シグネチャ候補に一致するパケットを検知した場合、すぐに検知アラートをシグネチャ候補評価部4に通知する代わりに、図9に示す形式と同様に各シグネチャ候補に対して検知された送信元ホストを記憶しておき、これをシグネチャ候補評価部4に通知し、また、シグネチャ候補評価部4は複数のネットワーク侵入検知部9から送られてきた情報をすべて収集することで、各シグネチャ候補に対して検知された送信元ホストの集合を集計することができる。このようにすると、同一の送信者から多数のアラートが生成されるようなケースにおいて、IDSセンサ部2とIDS管理部1との間のアラート通知の回数を削減し、処理効率を向上させることができる。
以上のように、本実施の形態では、以下の手段を備えたネットワーク侵入検知方式を説明した。
(a)ネットワークトラヒック上の文字列パターンの出現頻度とアドレス散布状況を監視し、出現頻度とアドレス散布度の高い文字列パターンをシグネチャの候補として抽出する、シグネチャ候補生成手段;
(b)各端末に設置され、当該端末がコンピュータワームに感染した兆候を検知する、ホスト感染監視手段;
(c)後述するシグネチャ候補評価手段からシグネチャ候補の配布を受けてネットワークトラヒックを監視し、当該のシグネチャと一致したパケットを検出し、検出した場合はパケットとマッチしたシグネチャ候補の識別とそのパケットの送信者の識別を含むアラートをシグネチャ候補評価手段に報告する、ネットワーク侵入検知手段;
(d)前記のシグネチャ候補生成手段からシグネチャの候補を収集し、
また、前記のネットワーク侵入検知手段に前記シグネチャの候補を配布して、そのシグネチャの候補により検知されたアラートを収集し、
また、前記のホスト感染監視手段から端末がコンピュータワームに感染した兆候を収集し、前記アラートに報告されたパケットの送信者の集合と、ホスト感染監視手段から報告された感染の恐れのある端末の集合を比較することにより、
おのおののシグネチャ候補の誤検知率、検知漏れ率の一方または双方を評価する、シグネチャ候補評価手段。
(a)ネットワークトラヒック上の文字列パターンの出現頻度とアドレス散布状況を監視し、出現頻度とアドレス散布度の高い文字列パターンをシグネチャの候補として抽出する、シグネチャ候補生成手段;
(b)各端末に設置され、当該端末がコンピュータワームに感染した兆候を検知する、ホスト感染監視手段;
(c)後述するシグネチャ候補評価手段からシグネチャ候補の配布を受けてネットワークトラヒックを監視し、当該のシグネチャと一致したパケットを検出し、検出した場合はパケットとマッチしたシグネチャ候補の識別とそのパケットの送信者の識別を含むアラートをシグネチャ候補評価手段に報告する、ネットワーク侵入検知手段;
(d)前記のシグネチャ候補生成手段からシグネチャの候補を収集し、
また、前記のネットワーク侵入検知手段に前記シグネチャの候補を配布して、そのシグネチャの候補により検知されたアラートを収集し、
また、前記のホスト感染監視手段から端末がコンピュータワームに感染した兆候を収集し、前記アラートに報告されたパケットの送信者の集合と、ホスト感染監視手段から報告された感染の恐れのある端末の集合を比較することにより、
おのおののシグネチャ候補の誤検知率、検知漏れ率の一方または双方を評価する、シグネチャ候補評価手段。
また、(c)に示したネットワーク侵入検知手段は、おのおのシグネチャ候補に対して検知されたパケット送信者の集合を記憶する、シグネチャ候補別送信者表を持ち、シグネチャ候補と一致したパケットを検出した場合はシグネチャ候補別送信者表に記録を行い、
更に、(d)に示したシグネチャ候補評価手段は、アラートの代わりに前記シグネチャ候補別送信者表を収集することを説明した。
更に、(d)に示したシグネチャ候補評価手段は、アラートの代わりに前記シグネチャ候補別送信者表を収集することを説明した。
つまり、本実施の形態では、監視対象ネットワークに含まれる複数の端末装置と、前記監視対象ネットワークを監視する監視装置と通信を行うネットワーク管理装置(IDS管理部)であって、
端末装置に異常を発生させるデータパターンの検出のためのシグネチャ候補を前記監視装置に対して送信するシグネチャ候補送信部と、
前記監視装置から、前記監視装置が前記シグネチャ候補を用いて検出したデータパターンの流通に関係のある端末装置の識別情報を通知するデータパターン検知通知を受信するデータパターン検知通知受信部と、
前記複数の端末装置のうち何らかの異常を感知した異常感知端末装置から、当該異常感知端末装置の識別情報を示す異常感知通知を受信する異常感知通知受信部と、
データパターン検知通知に示された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき、前記シグネチャ候補に対する評価を行うシグネチャ候補評価部とを有するネットワーク管理装置(IDS管理部)について説明した。
端末装置に異常を発生させるデータパターンの検出のためのシグネチャ候補を前記監視装置に対して送信するシグネチャ候補送信部と、
前記監視装置から、前記監視装置が前記シグネチャ候補を用いて検出したデータパターンの流通に関係のある端末装置の識別情報を通知するデータパターン検知通知を受信するデータパターン検知通知受信部と、
前記複数の端末装置のうち何らかの異常を感知した異常感知端末装置から、当該異常感知端末装置の識別情報を示す異常感知通知を受信する異常感知通知受信部と、
データパターン検知通知に示された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき、前記シグネチャ候補に対する評価を行うシグネチャ候補評価部とを有するネットワーク管理装置(IDS管理部)について説明した。
また、本実施の形態では、
前記シグネチャ候補評価部は、
前記データパターン検知通知受信部により受信されたデータパターン検知通知の受信数と前記異常感知通知受信部により受信された異常感知通知の受信数がそれぞれの閾値を上回った際に、データパターン検知通知に示された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき前記シグネチャ候補の誤検知率及び検知漏れ率の少なくともいずれかを算出し、算出結果に基づいて前記シグネチャ候補に対する評価を行うことを説明した。
前記シグネチャ候補評価部は、
前記データパターン検知通知受信部により受信されたデータパターン検知通知の受信数と前記異常感知通知受信部により受信された異常感知通知の受信数がそれぞれの閾値を上回った際に、データパターン検知通知に示された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき前記シグネチャ候補の誤検知率及び検知漏れ率の少なくともいずれかを算出し、算出結果に基づいて前記シグネチャ候補に対する評価を行うことを説明した。
さらに、本実施の形態では、
前記ネットワーク管理装置は、
複数のネットワーク監視装置に接続され、
前記ネットワーク管理装置は、更に、
前記複数のネットワーク監視装置のそれぞれから、それぞれのネットワーク監視装置で生成されたシグネチャ候補を受信するシグネチャ候補受信部を有し、
前記シグネチャ候補送信部は、
前記シグネチャ候補受信部により受信されたシグネチャを前記複数のネットワーク監視装置に対して送信することを説明した。
前記ネットワーク管理装置は、
複数のネットワーク監視装置に接続され、
前記ネットワーク管理装置は、更に、
前記複数のネットワーク監視装置のそれぞれから、それぞれのネットワーク監視装置で生成されたシグネチャ候補を受信するシグネチャ候補受信部を有し、
前記シグネチャ候補送信部は、
前記シグネチャ候補受信部により受信されたシグネチャを前記複数のネットワーク監視装置に対して送信することを説明した。
実施の形態2.
実施の形態1に示した構成(図1)は広範囲なネットワークに複数のIDSセンサ部2を配置し、IDS管理部1がそれらを集中管理する形態を示したが、小規模なネットワークに適した別の構成として、IDS管理部1とIDSセンサ部2を1つの装置で実現してもよい。
実施の形態1に示した構成(図1)は広範囲なネットワークに複数のIDSセンサ部2を配置し、IDS管理部1がそれらを集中管理する形態を示したが、小規模なネットワークに適した別の構成として、IDS管理部1とIDSセンサ部2を1つの装置で実現してもよい。
図12は、IDS管理部1とIDSセンサ部2を1つの装置で実現したIDS管理センサ部100(ネットワーク管理装置)の構成例を示す。
IDS管理センサ部100は、実施の形態1においてIDSセンサ部2に含まれていたシグネチャ候補生成部8とネットワーク侵入検知部9(ネットワーク監視部)を備える。更に、IDS管理センサ部100は、実施の形態1においてIDS管理部1に含まれていたシグネチャ候補評価部4、ホスト感染監視情報受信部104(異常感知通知受信部)、シグネチャ候補表データベース5(シグネチャ候補格納部)、アラート表データベース6、ホスト感染監視表データベース7を備える。
それぞれの要素の動作は、実施の形態1で示したものと同様である。
また、IDS管理センサ部100は、例えば、図14のハードウェアで構成されている。
IDS管理センサ部100は、実施の形態1においてIDSセンサ部2に含まれていたシグネチャ候補生成部8とネットワーク侵入検知部9(ネットワーク監視部)を備える。更に、IDS管理センサ部100は、実施の形態1においてIDS管理部1に含まれていたシグネチャ候補評価部4、ホスト感染監視情報受信部104(異常感知通知受信部)、シグネチャ候補表データベース5(シグネチャ候補格納部)、アラート表データベース6、ホスト感染監視表データベース7を備える。
それぞれの要素の動作は、実施の形態1で示したものと同様である。
また、IDS管理センサ部100は、例えば、図14のハードウェアで構成されている。
次に、本実施の形態に係るIDS管理センサ部100の動作例を図13を参照して説明する。
先ず、ネットワーク侵入検知部9が、シグネチャ候補を用いてネットワークを監視する(S1301)(ネットワーク監視ステップ)。このネットワークの監視は、実施の形態1でIDSセンサ部2のネットワーク侵入検知部9が行っていたものと同じ手法で行われる。なお、ネットワークの監視に用いるシグネチャ候補はシグネチャ候補生成部8が生成し、シグネチャ候補評価部4がシグネチャ候補表データベース5に登録しているものである。シグネチャ候補生成部8は、実施の形態1のIDSセンサ部2のシグネチャ候補生成部8と同様に、ネットワークトラヒックを監視し、シグネチャの候補を生成する。
次に、ネットワーク侵入検知部9が、シグネチャ候補に合致する文字列を抽出したかどうかを判断し(S1302)(ネットワーク監視ステップ)、シグネチャ候補に合致する文字列を検出した場合には、ネットワーク侵入検知部9は当該文字列が含まれたパケットの送信元ホストを特定する(S1303)(ネットワーク監視ステップ)。また、ネットワーク侵入検知部9は、実施の形態1と同様な検知アラート(図7)を生成し、シグネチャ候補評価部4に通知する。
次に、シグネチャ候補評価部4が、アラート表データベース6のアラート表のエントリに、ネットワーク侵入検知部9が生成した検知アラートを追記する(S1304)。
次に、ホスト感染監視情報受信部104が、端末エージェント部3から、ホスト感染監視情報(図8)を受信する(S1305)(異常感知通知受信ステップ)。
次に、シグネチャ候補評価部4が、受信したホスト感染監視情報をホスト感染監視表データベース7のホスト感染監視表(図8)に登録する(S1306)。
なお、S1301〜S1306の処理は、図13に示す順序通りでなくてもよい。つまり、ネットワーク侵入検知部9によるネットワークの監視と、端末エージェント部3からのホスト感染監視情報の送信は連動しておらず、それぞれ独立に行われることから、S1301〜S1306の処理はかならずしも図13の順序通りにはならない。
次に、シグネチャ候補評価部4は、検知アラートの件数、ホスト感染監視表の件数が閾値に達したか否かを判断し(S1307)、閾値に達していない場合は、S1301〜S1306の処理を繰り返し、閾値に達している場合は、S1308の処理を行う。
検知アラートの件数、ホスト感染監視表の件数が閾値に達している場合は、シグネチャ候補評価部4は、各シグネチャ候補の誤検知率、検知漏れ率を算出する(S1308)(シグネチャ候補評価ステップ)。
次に、シグネチャ候補評価部4は、算出した誤検知率、検知漏れ率と、それぞれの閾値とを比較し、各シグネチャ候補の正当性を評価する(S1309)(シグネチャ候補評価ステップ)。
そして、誤検知率、検知漏れ率が閾値以下のシグネチャ候補は正式なシグネチャとして登録される。
先ず、ネットワーク侵入検知部9が、シグネチャ候補を用いてネットワークを監視する(S1301)(ネットワーク監視ステップ)。このネットワークの監視は、実施の形態1でIDSセンサ部2のネットワーク侵入検知部9が行っていたものと同じ手法で行われる。なお、ネットワークの監視に用いるシグネチャ候補はシグネチャ候補生成部8が生成し、シグネチャ候補評価部4がシグネチャ候補表データベース5に登録しているものである。シグネチャ候補生成部8は、実施の形態1のIDSセンサ部2のシグネチャ候補生成部8と同様に、ネットワークトラヒックを監視し、シグネチャの候補を生成する。
次に、ネットワーク侵入検知部9が、シグネチャ候補に合致する文字列を抽出したかどうかを判断し(S1302)(ネットワーク監視ステップ)、シグネチャ候補に合致する文字列を検出した場合には、ネットワーク侵入検知部9は当該文字列が含まれたパケットの送信元ホストを特定する(S1303)(ネットワーク監視ステップ)。また、ネットワーク侵入検知部9は、実施の形態1と同様な検知アラート(図7)を生成し、シグネチャ候補評価部4に通知する。
次に、シグネチャ候補評価部4が、アラート表データベース6のアラート表のエントリに、ネットワーク侵入検知部9が生成した検知アラートを追記する(S1304)。
次に、ホスト感染監視情報受信部104が、端末エージェント部3から、ホスト感染監視情報(図8)を受信する(S1305)(異常感知通知受信ステップ)。
次に、シグネチャ候補評価部4が、受信したホスト感染監視情報をホスト感染監視表データベース7のホスト感染監視表(図8)に登録する(S1306)。
なお、S1301〜S1306の処理は、図13に示す順序通りでなくてもよい。つまり、ネットワーク侵入検知部9によるネットワークの監視と、端末エージェント部3からのホスト感染監視情報の送信は連動しておらず、それぞれ独立に行われることから、S1301〜S1306の処理はかならずしも図13の順序通りにはならない。
次に、シグネチャ候補評価部4は、検知アラートの件数、ホスト感染監視表の件数が閾値に達したか否かを判断し(S1307)、閾値に達していない場合は、S1301〜S1306の処理を繰り返し、閾値に達している場合は、S1308の処理を行う。
検知アラートの件数、ホスト感染監視表の件数が閾値に達している場合は、シグネチャ候補評価部4は、各シグネチャ候補の誤検知率、検知漏れ率を算出する(S1308)(シグネチャ候補評価ステップ)。
次に、シグネチャ候補評価部4は、算出した誤検知率、検知漏れ率と、それぞれの閾値とを比較し、各シグネチャ候補の正当性を評価する(S1309)(シグネチャ候補評価ステップ)。
そして、誤検知率、検知漏れ率が閾値以下のシグネチャ候補は正式なシグネチャとして登録される。
このように本実施の形態によれば、シグネチャ候補の生成、ネットワーク侵入検知、シグネチャ候補の評価を一つの装置で行うことから、小規模なネットワークにおいても、ホワイトリストをメンテナンスする必要がなく、また、運用管理者による判断を必要とせずに、シグネチャの候補の正当性を自動的に評価できる。このため、小規模なネットワークでも、運用上の負担が少なく、また、迅速に、誤検知の少ないシグネチャを生成できる。
以上のように、本実施の形態では、監視対象ネットワークに含まれる複数の端末装置と通信を行うネットワーク管理装置(IDS管理センサ部)であって、
端末装置に異常を発生させるデータパターンの検出のためのシグネチャ候補を格納するシグネチャ候補格納部と、
前記シグネチャ候補を用いて前記監視対象ネットワークを監視し、前記シグネチャ候補に合致するデータパターンを検出した際に、検出したデータパターンの流通に関係のある端末装置を特定するネットワーク監視部と、
前記複数の端末装置のうち何らかの異常を感知した異常感知端末装置から、当該異常感知端末装置の識別情報を示す異常感知通知を受信する異常感知通知受信部と、
前記ネットワーク監視部により特定された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき、前記シグネチャ候補に対する評価を行うシグネチャ候補評価部とを有するネットワーク管理装置(IDS管理センサ部)を説明した。
端末装置に異常を発生させるデータパターンの検出のためのシグネチャ候補を格納するシグネチャ候補格納部と、
前記シグネチャ候補を用いて前記監視対象ネットワークを監視し、前記シグネチャ候補に合致するデータパターンを検出した際に、検出したデータパターンの流通に関係のある端末装置を特定するネットワーク監視部と、
前記複数の端末装置のうち何らかの異常を感知した異常感知端末装置から、当該異常感知端末装置の識別情報を示す異常感知通知を受信する異常感知通知受信部と、
前記ネットワーク監視部により特定された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき、前記シグネチャ候補に対する評価を行うシグネチャ候補評価部とを有するネットワーク管理装置(IDS管理センサ部)を説明した。
また、本実施の形態では、
前記シグネチャ候補評価部は、
前記ネットワーク監視部により検出されたデータパターンの検出数と前記異常感知通知受信部により受信された異常感知通知の受信数がそれぞれの閾値を上回った際に、前記ネットワーク監視部により特定された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき前記シグネチャ候補の誤検知率及び検知漏れ率の少なくともいずれかを算出し、算出結果に基づいて前記シグネチャ候補に対する評価を行うことを説明した。
前記シグネチャ候補評価部は、
前記ネットワーク監視部により検出されたデータパターンの検出数と前記異常感知通知受信部により受信された異常感知通知の受信数がそれぞれの閾値を上回った際に、前記ネットワーク監視部により特定された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき前記シグネチャ候補の誤検知率及び検知漏れ率の少なくともいずれかを算出し、算出結果に基づいて前記シグネチャ候補に対する評価を行うことを説明した。
また、本実施の形態では、
前記ネットワーク管理装置は、更に、
前記監視対象ネットワークを監視して、シグネチャ候補を生成するシグネチャ生成部を有し、
前記シグネチャ格納部は、
前記シグネチャ候補生成部により生成されたシグネチャ候補を格納することを説明した。
前記ネットワーク管理装置は、更に、
前記監視対象ネットワークを監視して、シグネチャ候補を生成するシグネチャ生成部を有し、
前記シグネチャ格納部は、
前記シグネチャ候補生成部により生成されたシグネチャ候補を格納することを説明した。
以上、説明したように、実施の形態1、2では、ソフトウェアプログラムがシグネチャ候補の配布、検知アラートの収集、ホスト感染監視情報の収集、シグネチャ候補の正当性の評価の処理を行うため、これらの処理を実行するためのハードウェアたる新たな専用装置等を創作しなくとも、汎用のコンピュータや既存のネットワーク・システムとそのソフトウェアとを用いて、シグネチャ候補の配布、検知アラートの収集、ホスト感染監視情報の収集、シグネチャ候補の正当性の評価の処理を実現する専用装置を創作したのと同様な結果が得られるのであるから、この実施の形態のソフトウェアの開発は、自然法則を利用した技術的創作である。すなわち、この実施の形態のIDS管理部1又はIDS管理センサ部100(ネットワーク管理装置)の実現は、経済法則ではないし、人為的取決めでもないし、人間の精神活動でもなく、自然法則を利用した技術的創作である。
実施の形態1、2に示したIDS管理部1又はIDS管理センサ部100(ネットワーク管理装置)は、単体のコンピュータプログラムを含んで実現できるものである。このコンピュータプログラムは、ネットワーク侵入検知というセキュリティ分野で使用されるためにプログラムされるものであるが、プログラムされたコンピュータシステムは、物理的な製品として具現化された装置の特徴を有しており、自然法則を利用した技術的創作に該当するものである。
実施の形態3.
実施の形態1及び2では、シグネチャ候補評価部は、シグネチャ候補の正確性を、アラート情報とホスト感染監視情報を下にした相関判定を行うことよって評価している(例えば図3のS12の処理)。
実施の形態1及び2では、検知件数を尺度としたシグネチャ候補の評価を行っていたが、本実施の形態では、感染度を評価要素に加えた手法について説明する。
なお、本実施の形態に係るシステム構成は、実施の形態1又は2のシステム構成と同様であり、具体的には図2又は図12に示す構成と同様である。
また、ハードウェア構成についても、図14に示した構成と同様である。
実施の形態1及び2では、シグネチャ候補評価部は、シグネチャ候補の正確性を、アラート情報とホスト感染監視情報を下にした相関判定を行うことよって評価している(例えば図3のS12の処理)。
実施の形態1及び2では、検知件数を尺度としたシグネチャ候補の評価を行っていたが、本実施の形態では、感染度を評価要素に加えた手法について説明する。
なお、本実施の形態に係るシステム構成は、実施の形態1又は2のシステム構成と同様であり、具体的には図2又は図12に示す構成と同様である。
また、ハードウェア構成についても、図14に示した構成と同様である。
まず前提に立ち戻ると、相関判定の基本的な考え方は、以下の2条件を満たすものである。
1)特徴文字列の送信元ホストに感染兆候が認められる。
2)感染兆候のないホストからの該当文字列の送信が認められない。
これらは、つまり、以下の2つのルールと解釈できる。
Rule1:アラート表に存在する数が多いシグネチャ候補ほど、正確性の高いシグネチャ候補である。
Rule2:感染兆候が認められるエントリが多いシグネチャ候補ほど、正確性の高いシグネチャ候補である。
Rule1とRule2を両方とも満たすものを、正式なシグネチャとして最終的に選出する。
1)特徴文字列の送信元ホストに感染兆候が認められる。
2)感染兆候のないホストからの該当文字列の送信が認められない。
これらは、つまり、以下の2つのルールと解釈できる。
Rule1:アラート表に存在する数が多いシグネチャ候補ほど、正確性の高いシグネチャ候補である。
Rule2:感染兆候が認められるエントリが多いシグネチャ候補ほど、正確性の高いシグネチャ候補である。
Rule1とRule2を両方とも満たすものを、正式なシグネチャとして最終的に選出する。
次に、Rule1、Rule2を定量的に評価するための指標を決定する。
Rule1の指標:シグネチャ候補別のアラートの発生端末台数。
Rule2の指標:シグネチャ候補に関連したアラート発生端末のホスト感染度の平均。
本実施の形態では、この指標に基づいて、シグネチャ候補の適合性を算出する。
Rule1の指標:シグネチャ候補別のアラートの発生端末台数。
Rule2の指標:シグネチャ候補に関連したアラート発生端末のホスト感染度の平均。
本実施の形態では、この指標に基づいて、シグネチャ候補の適合性を算出する。
本実施の形態では、Rule1の発生端末台数、Rule2のホスト感染度をあらかじめ指定した閾値と比較し、閾値以上のものを、以下の手順により算出する。
図15を用いて、手順を説明する。
先ず、上記指標を算出するためのベースデータの作成を行う。
なお、図15は、実施の形態1の構成(図7)において、シグネチャ候補の評価において感染度を適用する場合のIDS管理部1の動作例を示すフローチャートである。
図15を用いて、手順を説明する。
先ず、上記指標を算出するためのベースデータの作成を行う。
なお、図15は、実施の形態1の構成(図7)において、シグネチャ候補の評価において感染度を適用する場合のIDS管理部1の動作例を示すフローチャートである。
先ず、実施の形態1の図11において説明したように、IDS管理部1では、各IDSセンサ部2からシグネチャ候補生成通知を受信した(S1501)後、S1102〜S1104に示した処理を経て、検知アラートを受信するとともに、シグネチャ候補に対するアラート表(以下、単にアラート表ともいう)のエントリに検知アラートを追記する(S1502)。
また、実施の形態1と同様に、IDS管理部1は、ホスト感染監視情報を受信し、ホスト感染監視表に登録する(S1503)。
この時点で、例えば、図16に示すアラート表、及び図17に示すホスト感染監視表が作成される。
また、実施の形態1と同様に、IDS管理部1は、ホスト感染監視情報を受信し、ホスト感染監視表に登録する(S1503)。
この時点で、例えば、図16に示すアラート表、及び図17に示すホスト感染監視表が作成される。
図16に示すアラート表は、図7に示す「更新されたアラート表」から「センサ706」の項目を省略したものである。
なお、図16では、説明用に、発信元ホストのIPアドレスの横にアルファベットを付記しているが、実際の運用では、IPアドレスのみで管理される。
図16に示すように、アドレス「192.168.0.100」には(A)を付記し、「192.168.10.1」には(B)を付記し、「192.168.0.100」には(C)を付記している。また、後述する図17に示す「192.168.0.110」には(D)を付記している。
また、図16において連番6と連番7の間を区切っているが、これは後述する集計単位(集計周期)の区切りを説明するためであり、図16の例では30分を集計単位としている。
なお、図16では、説明用に、発信元ホストのIPアドレスの横にアルファベットを付記しているが、実際の運用では、IPアドレスのみで管理される。
図16に示すように、アドレス「192.168.0.100」には(A)を付記し、「192.168.10.1」には(B)を付記し、「192.168.0.100」には(C)を付記している。また、後述する図17に示す「192.168.0.110」には(D)を付記している。
また、図16において連番6と連番7の間を区切っているが、これは後述する集計単位(集計周期)の区切りを説明するためであり、図16の例では30分を集計単位としている。
図17に示すホスト感染監視表は、図8に示す「ホスト感染監視表」から「詳細」の項目を省略し、「感染の可能性」及び「信頼度」の項目を追加したものである。
「感染の可能性」及び「信頼度」は、ホスト感染監視情報受信部104で追加された項目である。ホスト感染監視情報受信部104では、「発生時刻」及び「端末」の項目から構成されるホスト感染監視情報に対して「感染の可能性」及び「信頼度」を解析し、解析結果を付加する。
なお、この「感染の可能性」及び「信頼度」は、ホスト(端末)における異常の原因がワーム感染である確率を示している。つまり、連番1では、異常の原因として、ワーム感染の可能性があり、ワームに感染している確率(信頼度)が0.7であることを示している(信頼度は、最大で1)。他方、連番4では、異常の原因として、ワーム感染の可能性はなく、ワームに感染していない確率(信頼度)が1であることを示している。なお、連番4では、感染の可能性:なし、信頼度:1としているが、代わりに、感染可能性:あり、信頼度:0としてもよい。
この「感染の可能性」及び「信頼度」は、端末における異常の原因が端末に対する攻撃(ワーム)である確率を示しており、攻撃確率値に対応する。
また、図17でも、説明用に、IPアドレスの横にアルファベットを付記している。
「感染の可能性」及び「信頼度」は、ホスト感染監視情報受信部104で追加された項目である。ホスト感染監視情報受信部104では、「発生時刻」及び「端末」の項目から構成されるホスト感染監視情報に対して「感染の可能性」及び「信頼度」を解析し、解析結果を付加する。
なお、この「感染の可能性」及び「信頼度」は、ホスト(端末)における異常の原因がワーム感染である確率を示している。つまり、連番1では、異常の原因として、ワーム感染の可能性があり、ワームに感染している確率(信頼度)が0.7であることを示している(信頼度は、最大で1)。他方、連番4では、異常の原因として、ワーム感染の可能性はなく、ワームに感染していない確率(信頼度)が1であることを示している。なお、連番4では、感染の可能性:なし、信頼度:1としているが、代わりに、感染可能性:あり、信頼度:0としてもよい。
この「感染の可能性」及び「信頼度」は、端末における異常の原因が端末に対する攻撃(ワーム)である確率を示しており、攻撃確率値に対応する。
また、図17でも、説明用に、IPアドレスの横にアルファベットを付記している。
なお、ホスト感染監視情報受信部104は、感染の信頼度を、例えば、以下の手順で生成する。なお、以下の説明は、信頼度の生成手順の例を示しており、他の手順にて生成してもよい。
(1)一般的に、PC(Personal Computer)にワームが感染したとき、ワームはPCのレジストリ情報を書き換える、システムファイルが変更される、不正なパケットが大量に送信される等の活動を行う。このような挙動を特徴別に分類し、その分類を軸とする多次元ベクトル空間を生成する。
(2)既存ワームに感染したときの端末の挙動を観測し、その特徴を抽出する。
この作業を何度も繰り返し、特徴を学習する。
(3)学習によって抽出された特徴を定量的なパラメータ(変更のあったレジストリの数、送信・受信データ量等)で表現し、(1)の空間にマッピングすると、○○ワームのときはこの範囲、△△ワームはこの範囲という風に多次元空間上での範囲(図示すると楕円のイメージ)が定まってくる。
ここまでは、判定のための事前準備である。
そして、ある事象が起ったときに、その端末がワームに感染しているかどうかの判別は、その端末から抽出された特徴が、空間上の学習で定めた範囲に含まれるかどうかで決まる。
タイプAのワームの特徴を現す範囲の中心に近いほど、タイプAのワームに感染している可能性(=信頼性)が高く、中心から離れているほど感染可能性(=信頼度)は低いと考える。
つまり、中心からの距離が0(中心そのもの)は信頼度1、離れれば離れるほど信頼度は低くなるため、距離と反比例する。
(1)一般的に、PC(Personal Computer)にワームが感染したとき、ワームはPCのレジストリ情報を書き換える、システムファイルが変更される、不正なパケットが大量に送信される等の活動を行う。このような挙動を特徴別に分類し、その分類を軸とする多次元ベクトル空間を生成する。
(2)既存ワームに感染したときの端末の挙動を観測し、その特徴を抽出する。
この作業を何度も繰り返し、特徴を学習する。
(3)学習によって抽出された特徴を定量的なパラメータ(変更のあったレジストリの数、送信・受信データ量等)で表現し、(1)の空間にマッピングすると、○○ワームのときはこの範囲、△△ワームはこの範囲という風に多次元空間上での範囲(図示すると楕円のイメージ)が定まってくる。
ここまでは、判定のための事前準備である。
そして、ある事象が起ったときに、その端末がワームに感染しているかどうかの判別は、その端末から抽出された特徴が、空間上の学習で定めた範囲に含まれるかどうかで決まる。
タイプAのワームの特徴を現す範囲の中心に近いほど、タイプAのワームに感染している可能性(=信頼性)が高く、中心から離れているほど感染可能性(=信頼度)は低いと考える。
つまり、中心からの距離が0(中心そのもの)は信頼度1、離れれば離れるほど信頼度は低くなるため、距離と反比例する。
あるIPアドレスを持つ端末Aが感染しているかどうかの判別を行う手順を説明する。
(4)端末Aの挙動を、上記の(2)と同じパラメータに落とし込み、多次元空間のどこかにマッピングする。
(5)このマッピングされた位置と中心までの距離を計算する(計算ロジックは、例えば、マハラノビスの平方距離という手法を用いる)。
(6)さらに、計算した距離から、端末Aがそのグループに属する確率を計算する。この確率を信頼度として採用する。
(距離1の感染確率が0.9だからといって、距離2は0.45という風に単純な反比例にはならない。確率の計算には、例えば、統計学上のカイ2乗分布を使用する。)
(4)端末Aの挙動を、上記の(2)と同じパラメータに落とし込み、多次元空間のどこかにマッピングする。
(5)このマッピングされた位置と中心までの距離を計算する(計算ロジックは、例えば、マハラノビスの平方距離という手法を用いる)。
(6)さらに、計算した距離から、端末Aがそのグループに属する確率を計算する。この確率を信頼度として採用する。
(距離1の感染確率が0.9だからといって、距離2は0.45という風に単純な反比例にはならない。確率の計算には、例えば、統計学上のカイ2乗分布を使用する。)
次に、図15において、シグネチャ候補評価部4は、図16のアラート表から情報を集約し、図18に示すシグネチャ評価テーブルとし、このシグネチャ評価テーブルをアラートに関するベースデータに格納する(S1504)。
具体的には、アラート表からシグネチャ候補番号に関するエントリを抽出し、シグネチャ評価テーブルに保存する。シグネチャ候補番号とアラート発生端末(発信元ホスト)のIPアドレスを主キーとして、アラート初回発生時刻、アラート最終発生時刻、アラート回数(シグネチャ候補によるデータパターンの検出回数)を登録する。
従って、同一端末からのアラートでも関連するシグネチャ候補番号が異なる場合や、逆に同じシグネチャ候補番号に関連したアラートでも発生端末が異なる場合は、別のエントリとして登録する。
集約作業は周期的に行われ、前回収集した時刻を覚えておき、次にアラート表にアクセスするときは、前回収集した時刻以降のエントリのみを読み出す。
前述したように、集約作業は、図16及び図18の例では、30分を単位に行われ、図18の例では、2006/12/25 10:01から10:30の30分を対象にしており、図16の連番1〜6を集約した結果である。
例えば、図16の連番1の候補番号(2)及びIPアドレス(192.168.0.100(A))は、連番2、4においても共通するため、図18のシグネチャ評価テーブルにおいては、図16の連番1、2、4を集約し、連番1にて、アラート初回発生時刻:10:02、アラート最終発生時刻:10:15、アラート回数:3としている。
なお、図18でも、説明用にIPアドレスの横にアルファベットを付記している。
具体的には、アラート表からシグネチャ候補番号に関するエントリを抽出し、シグネチャ評価テーブルに保存する。シグネチャ候補番号とアラート発生端末(発信元ホスト)のIPアドレスを主キーとして、アラート初回発生時刻、アラート最終発生時刻、アラート回数(シグネチャ候補によるデータパターンの検出回数)を登録する。
従って、同一端末からのアラートでも関連するシグネチャ候補番号が異なる場合や、逆に同じシグネチャ候補番号に関連したアラートでも発生端末が異なる場合は、別のエントリとして登録する。
集約作業は周期的に行われ、前回収集した時刻を覚えておき、次にアラート表にアクセスするときは、前回収集した時刻以降のエントリのみを読み出す。
前述したように、集約作業は、図16及び図18の例では、30分を単位に行われ、図18の例では、2006/12/25 10:01から10:30の30分を対象にしており、図16の連番1〜6を集約した結果である。
例えば、図16の連番1の候補番号(2)及びIPアドレス(192.168.0.100(A))は、連番2、4においても共通するため、図18のシグネチャ評価テーブルにおいては、図16の連番1、2、4を集約し、連番1にて、アラート初回発生時刻:10:02、アラート最終発生時刻:10:15、アラート回数:3としている。
なお、図18でも、説明用にIPアドレスの横にアルファベットを付記している。
次に、シグネチャ候補評価部4は、ホスト感染監視表(図17)から情報を集約し、ホスト感染度を算出し、シグネチャ評価テーブル(図18)にホスト感染度を平均感染度として追記する(S1505)。
シグネチャ評価テーブルに平均感染度が追記されたものを、シグネチャ管理表という。図19は、シグネチャ管理表の例である。
ステップ1505では、シグネチャ候補評価部4は、上記アラート表からの情報集約の後、シグネチャ評価テーブル(図18)に存在するIPアドレスに対して、ホスト感染監視表(図17)の端末IPアドレスを検索し、同じIPアドレスを持つエントリを抽出し、各エントリの信頼度を集約して感染度を算出し、シグネチャ評価テーブルの平均感染度の項目に保存する。
個々のIPアドレスが対象とする抽出の範囲は、判定時刻が、アラート初回発生時刻を一定時間遡った時刻(「アラート初回発生時刻」−「あらかじめ定めた一定時間」)から、アラート最終発生時刻に出力された時刻までに含まれるエントリとする。その抽出範囲に含まれるエントリの数をカウントし、感染の有無を確認する。
抽出範囲に該当IPアドレスが存在し、その中の一つでも「感染あり」の結果が含まれている場合には、感染度を次式により計算する。
(感染可能性ありエントリの信頼度の合計 + 感染可能性なしエントリの(1−信頼度)の合計)÷抽出範囲に含まれるエントリ
例えば、上記の「あらかじめ定めた一定時間」を20分とした場合、図18の連番1では、「アラート初回発生時刻」−「あらかじめ定めた一定時間」=10:01−00:20=09:41となる。このため、抽出範囲は、09:41〜10:15となる。
そして、図17のホスト感染監視表においては、連番1、3、5のレコードが、IPアドレスが一致し、また、抽出範囲に含まれることになる。
このため、連番1、3、5の信頼度を集計し、平均をとることにより、平均感染度:0.8が導かれる((0.7+0.9+0.8)÷3=0.8)。
また、図18の連番4も連番1と同じIPアドレスであり、図17の連番1、3、5とIPアドレスと一致しており、また、時間的な条件にも合致するので、同様に平均官鮮度:0.8が導かれる。
また、図17に示すホスト感染監視表にある192.168.0.110(D)は、図16のアラート表にないため、図18のシグネチャ評価テーブルにエントリは存在せず、信頼度の集約は必要ない(アラート検知漏れに相当)。
抽出範囲に、該当IPアドレスを持つエントリが存在しない場合、または存在するエントリに「感染なし」の結果しか存在しないエントリは、シグネチャ評価テーブルの平均感染度に0を格納する。
例えば、図18に示すシグネチャ評価テーブルの192.168.0.200(C)は、ホスト感染監視表には含まれないため、平均感染度は0になる(アラート誤検知に相当)。
以上の手順により、シグネチャ評価テーブルに平均感染度が追加され、シグネチャ管理表となる。
なお、平均感染度は、IPアドレスが共通する信頼度を集約したものであり、信頼度とともに平均感染度も、端末に対する攻撃の確率を示す攻撃確率値として捉えることができる。
シグネチャ評価テーブルに平均感染度が追記されたものを、シグネチャ管理表という。図19は、シグネチャ管理表の例である。
ステップ1505では、シグネチャ候補評価部4は、上記アラート表からの情報集約の後、シグネチャ評価テーブル(図18)に存在するIPアドレスに対して、ホスト感染監視表(図17)の端末IPアドレスを検索し、同じIPアドレスを持つエントリを抽出し、各エントリの信頼度を集約して感染度を算出し、シグネチャ評価テーブルの平均感染度の項目に保存する。
個々のIPアドレスが対象とする抽出の範囲は、判定時刻が、アラート初回発生時刻を一定時間遡った時刻(「アラート初回発生時刻」−「あらかじめ定めた一定時間」)から、アラート最終発生時刻に出力された時刻までに含まれるエントリとする。その抽出範囲に含まれるエントリの数をカウントし、感染の有無を確認する。
抽出範囲に該当IPアドレスが存在し、その中の一つでも「感染あり」の結果が含まれている場合には、感染度を次式により計算する。
(感染可能性ありエントリの信頼度の合計 + 感染可能性なしエントリの(1−信頼度)の合計)÷抽出範囲に含まれるエントリ
例えば、上記の「あらかじめ定めた一定時間」を20分とした場合、図18の連番1では、「アラート初回発生時刻」−「あらかじめ定めた一定時間」=10:01−00:20=09:41となる。このため、抽出範囲は、09:41〜10:15となる。
そして、図17のホスト感染監視表においては、連番1、3、5のレコードが、IPアドレスが一致し、また、抽出範囲に含まれることになる。
このため、連番1、3、5の信頼度を集計し、平均をとることにより、平均感染度:0.8が導かれる((0.7+0.9+0.8)÷3=0.8)。
また、図18の連番4も連番1と同じIPアドレスであり、図17の連番1、3、5とIPアドレスと一致しており、また、時間的な条件にも合致するので、同様に平均官鮮度:0.8が導かれる。
また、図17に示すホスト感染監視表にある192.168.0.110(D)は、図16のアラート表にないため、図18のシグネチャ評価テーブルにエントリは存在せず、信頼度の集約は必要ない(アラート検知漏れに相当)。
抽出範囲に、該当IPアドレスを持つエントリが存在しない場合、または存在するエントリに「感染なし」の結果しか存在しないエントリは、シグネチャ評価テーブルの平均感染度に0を格納する。
例えば、図18に示すシグネチャ評価テーブルの192.168.0.200(C)は、ホスト感染監視表には含まれないため、平均感染度は0になる(アラート誤検知に相当)。
以上の手順により、シグネチャ評価テーブルに平均感染度が追加され、シグネチャ管理表となる。
なお、平均感染度は、IPアドレスが共通する信頼度を集約したものであり、信頼度とともに平均感染度も、端末に対する攻撃の確率を示す攻撃確率値として捉えることができる。
次に、シグネチャ候補評価部4は、シグネチャ評価表(図19)からRule1とRule2の指標を算出し、閾値と比較する。
まず、Rule1の指標である、シグネチャ候補番号別のアラートの発生端末台数を集計する。
シグネチャ管理表に含まれるシグネチャ候補番号別のIPアドレスの個数、つまりシグネチャ候補番号=Nを持つエントリの数をカウントする(S1506)。
例えば、図19のシグネチャ候補番号:2については、2つのエントリがあり、対象となる端末IPアドレスの個数(異常感知端末装置の個数)は2つとなる。
まず、Rule1の指標である、シグネチャ候補番号別のアラートの発生端末台数を集計する。
シグネチャ管理表に含まれるシグネチャ候補番号別のIPアドレスの個数、つまりシグネチャ候補番号=Nを持つエントリの数をカウントする(S1506)。
例えば、図19のシグネチャ候補番号:2については、2つのエントリがあり、対象となる端末IPアドレスの個数(異常感知端末装置の個数)は2つとなる。
次に、シグネチャ候補評価部4は、このカウント値を予め設定されている閾値と比較し、閾値以上のカウント値を持つシグネチャ候補番号に関してのみ、相関判定を行う。
ここで言う相関とは、シグネチャ候補と感染の関連性のことである。
Rule2の指標を算出し、算出値を閾値との比較することにより、相関判定を行う。
ここで言う相関とは、シグネチャ候補と感染の関連性のことである。
Rule2の指標を算出し、算出値を閾値との比較することにより、相関判定を行う。
Rule2の算出では、シグネチャ候補評価部4は、個々のシグネチャ候補番号に関するホスト感染度(評価値)を計算する(S1507)。
具体的には、同一のシグネチャ候補番号の感染度をアラート発生件数で重み付けし、平均を取る。
あるシグネチャ候補の感染度は、次式で算出される。
{(該当端末に関する平均感染度×その端末に発生したアラートの件数)の端末合計}÷そのシグネチャ候補に関するアラート発生件数の合計
例えば、図19に示すシグネチャ評価テーブルから、シグネチャ候補番号:2の感染度は、連番1の平均感染度とアラート回数、連番2の平均感染度とアラート回数を用いて、(0.8×3+0×1)÷(3+1)= 0.6となる。
次に、シグネチャ候補評価部4は、算出した感染度を、予め定めた閾値と比較し、閾値以上の感染度を持つシグネチャ候補番号を、Rule2を満たす正確性の高いシグネチャ候補として選出する(S1508)。
予め定めた閾値が0.9の場合、図19の例では、候補番号2のシグネチャ候補は採用されない。
具体的には、同一のシグネチャ候補番号の感染度をアラート発生件数で重み付けし、平均を取る。
あるシグネチャ候補の感染度は、次式で算出される。
{(該当端末に関する平均感染度×その端末に発生したアラートの件数)の端末合計}÷そのシグネチャ候補に関するアラート発生件数の合計
例えば、図19に示すシグネチャ評価テーブルから、シグネチャ候補番号:2の感染度は、連番1の平均感染度とアラート回数、連番2の平均感染度とアラート回数を用いて、(0.8×3+0×1)÷(3+1)= 0.6となる。
次に、シグネチャ候補評価部4は、算出した感染度を、予め定めた閾値と比較し、閾値以上の感染度を持つシグネチャ候補番号を、Rule2を満たす正確性の高いシグネチャ候補として選出する(S1508)。
予め定めた閾値が0.9の場合、図19の例では、候補番号2のシグネチャ候補は採用されない。
なお、以上の図15は、実施の形態1の構成において感染度を用いた場合の動作フローを説明しており、実施の形態2の構成に感染度を用いる場合のIDS管理センサ部の動作フローは図20に示す通りである。
図20では、S2001〜S2003が、図13のS1301〜S1306と同じ処理である。また、S2004〜S2008は、図15のS1504〜S1508と同じ処理である。
図20では、S2001〜S2003が、図13のS1301〜S1306と同じ処理である。また、S2004〜S2008は、図15のS1504〜S1508と同じ処理である。
以上のように、本実施の形態では、シグネチャ候補の評価に感染度という尺度を用いることによって、単なる件数による比較に比べて、正確性の高いシグネチャ候補を選出することが可能である。
以上、本実施の形態では、実施の形態1の構成を用いた場合に、シグネチャ候補評価部は、ホスト感染監視情報受信部(異常感知通知受信部)から、一つ以上の異常感知端末装置の識別情報を含み異常感知端末装置の識別情報ごとに異常感知端末装置における異常の原因がそれぞれの異常感知端末装置に対する攻撃である確率を攻撃確率値として示すホスト感染監視情報(異常感知通知)を入力し、ホスト感染監視情報に示される異常感知端末装置の識別情報とシグネチャ候補に対する検知アラート(データパターン検知通知)に示される端末装置の識別情報とを比較し、ホスト感染監視情報に示される異常感知端末装置の識別情報と一致する識別情報が検知アラートに含まれている場合に、一致する識別情報が検知アラートに含まれている異常感知端末装置の攻撃確率値に基づき、シグネチャ候補に対する評価を行うことを説明した。
また、本実施の形態では、シグネチャ候補評価部は、検知アラート受信部(データパターン検知通知受信部)から、一つ以上の端末装置の識別情報を含み端末装置の識別情報ごとにシグネチャ候補によるデータパターンの検出回数が示される検知アラートを入力し、ホスト感染監視情報に示される異常感知端末装置の識別情報と一致する識別情報が検知アラートに含まれている場合に、一致する識別情報が検知アラートに含まれている異常感知端末装置の攻撃確率値と当該異常感知端末装置の識別情報に一致する識別情報に対して検知アラートにおいて示されているデータパターンの検出回数とに基づき評価値を算出し、算出した評価値と当該評価値に対する閾値とを比較して前記シグネチャ候補に対する評価を行うことを説明した。
また、本実施の形態では、シグネチャ候補評価部は、ホスト感染監視情報に示される異常感知端末装置の識別情報と検知アラートに示される端末装置の識別情報とを比較し、異常感知通知に示される異常感知端末装置の識別情報と一致する識別情報が検知アラートに含まれている場合に、一致する識別情報が検知アラートに含まれている異常感知端末装置の個数を判定し、判定した異常感知端末装置の個数と異常感知端末装置の個数に対する閾値とを比較してシグネチャ候補に対する評価を行うことを説明した。
また、本実施の形態では、実施の形態2の構成を用いた場合に、シグネチャ候補評価部は、ホスト感染監視情報受信部(異常感知通知受信部)から、一つ以上の異常感知端末装置の識別情報を含み異常感知端末装置の識別情報ごとに異常感知端末装置における異常の原因がそれぞれの異常感知端末装置に対する攻撃である確率を攻撃確率値として示すホスト感染監視情報(異常感知通知)を入力し、ホスト感染監視情報に示される異常感知端末装置の識別情報とネットワーク侵入検知部により特定された端末装置の識別情報とを比較し、ホスト感染監視情報に示される異常感知端末装置の識別情報と一致する識別情報がネットワーク侵入検知部により特定されている場合に、一致する識別情報がネットワーク侵入検知部により特定されている異常感知端末装置の攻撃確率値に基づき、シグネチャ候補に対する評価を行うことを説明した。
また、本実施の形態では、シグネチャ候補評価部は、ネットワーク侵入検知部から、一つ以上の端末装置の識別情報と端末装置の識別情報ごとにシグネチャ候補によるデータパターンの検出回数が示される検知アラート(データパターン検知通知)を入力し、ホスト感染監視情報に示される異常感知端末装置の識別情報と検知アラートに示される端末装置の識別情報とを比較し、ホスト感染監視情報に示される異常感知端末装置の識別情報と一致する識別情報が検知アラートに含まれている場合に、一致する識別情報が検知アラートに含まれている異常感知端末装置の攻撃確率値と当該異常感知端末装置の識別情報に一致する識別情報に対して検知アラートにおいて示されているデータパターンの検出回数とに基づき評価値を算出し、算出した評価値と当該評価値に対する閾値とを比較してシグネチャ候補に対する評価を行うことを説明した。
また、本実施の形態では、シグネチャ候補評価部は、ホスト感染監視情報に示される異常感知端末装置の識別情報と一致する識別情報が検知アラートに含まれている場合に、一致する識別情報が検知アラートに含まれている異常感知端末装置の個数を判定し、判定した異常感知端末装置の個数と異常感知端末装置の個数に対する閾値とを比較してシグネチャ候補に対する評価を行うことを説明した。
1 IDS管理部、2 IDSセンサ部、3 端末エージェント部、4 シグネチャ候補評価部、5 シグネチャ候補表データベース、6 アラート表データベース、7 ホスト感染監視表データベース、8 シグネチャ候補生成部、9 ネットワーク侵入検知部、10 ホスト感染監視部、11 シグネチャ候補生成通知、12 シグネチャ候補配布通知、13 検知アラート、14 ホスト感染監視情報、100 IDS管理センサ部、101 シグネチャ候補生成通知受信部、102 シグネチャ候補配布通知送信部、103 検知アラート受信部、104 ホスト感染監視情報受信部、201 シグネチャ候補生成通知送信部、202 シグネチャ候補配布通知受信部、203 検知アラート送信部、301 ホスト感染監視情報送信部。
Claims (16)
- 監視対象ネットワークに含まれる複数の端末装置と、前記監視対象ネットワークを監視する監視装置と通信を行うネットワーク管理装置であって、
端末装置に異常を発生させるデータパターンの検出のためのシグネチャ候補を前記監視装置に対して送信するシグネチャ候補送信部と、
前記監視装置から、前記監視装置が前記シグネチャ候補を用いて検出したデータパターンの流通に関係のある端末装置の識別情報を通知するデータパターン検知通知を受信するデータパターン検知通知受信部と、
前記複数の端末装置のうち何らかの異常を感知した異常感知端末装置から、当該異常感知端末装置の識別情報を示す異常感知通知を受信する異常感知通知受信部と、
データパターン検知通知に示された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき、前記シグネチャ候補に対する評価を行うシグネチャ候補評価部とを有することを特徴とするネットワーク管理装置。 - 前記シグネチャ候補評価部は、
前記データパターン検知通知受信部により受信されたデータパターン検知通知の受信数と前記異常感知通知受信部により受信された異常感知通知の受信数がそれぞれの閾値を上回った際に、データパターン検知通知に示された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき前記シグネチャ候補の誤検知率及び検知漏れ率の少なくともいずれかを算出し、算出結果に基づいて前記シグネチャ候補に対する評価を行うことを特徴とする請求項1に記載のネットワーク管理装置。 - 前記ネットワーク管理装置は、
複数のネットワーク監視装置に接続され、
前記ネットワーク管理装置は、更に、
前記複数のネットワーク監視装置のそれぞれから、それぞれのネットワーク監視装置で生成されたシグネチャ候補を受信するシグネチャ候補受信部を有し、
前記シグネチャ候補送信部は、
前記シグネチャ候補受信部により受信されたシグネチャを前記複数のネットワーク監視装置に対して送信することを特徴とする請求項1に記載のネットワーク管理装置。 - 監視対象ネットワークに含まれる複数の端末装置と通信を行うネットワーク管理装置であって、
端末装置に異常を発生させるデータパターンの検出のためのシグネチャ候補を格納するシグネチャ候補格納部と、
前記シグネチャ候補を用いて前記監視対象ネットワークを監視し、前記シグネチャ候補に合致するデータパターンを検出した際に、検出したデータパターンの流通に関係のある端末装置を特定するネットワーク監視部と、
前記複数の端末装置のうち何らかの異常を感知した異常感知端末装置から、当該異常感知端末装置の識別情報を示す異常感知通知を受信する異常感知通知受信部と、
前記ネットワーク監視部により特定された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき、前記シグネチャ候補に対する評価を行うシグネチャ候補評価部とを有することを特徴とするネットワーク管理装置。 - 前記シグネチャ候補評価部は、
前記ネットワーク監視部により検出されたデータパターンの検出数と前記異常感知通知受信部により受信された異常感知通知の受信数がそれぞれの閾値を上回った際に、前記ネットワーク監視部により特定された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき前記シグネチャ候補の誤検知率及び検知漏れ率の少なく
ともいずれかを算出し、算出結果に基づいて前記シグネチャ候補に対する評価を行うことを特徴とする請求項4に記載のネットワーク管理装置。 - 前記ネットワーク管理装置は、更に、
前記監視対象ネットワークを監視して、シグネチャ候補を生成するシグネチャ生成部を有し、
前記シグネチャ格納部は、
前記シグネチャ候補生成部により生成されたシグネチャ候補を格納することを特徴とする請求項4に記載のネットワーク管理装置。 - 監視対象ネットワークに含まれる複数の端末装置と、前記監視対象ネットワークを監視する監視装置と通信を行うネットワーク管理方法であって、
端末装置に異常を発生させるデータパターンの検出のためのシグネチャ候補を前記監視装置に対して送信するシグネチャ候補送信ステップと、
前記監視装置から、前記監視装置が前記シグネチャ候補を用いて検出したデータパターンの流通に関係のある端末装置の識別情報を通知するデータパターン検知通知を受信するデータパターン検知通知受信ステップと、
前記複数の端末装置のうち何らかの異常を感知した異常感知端末装置から、当該異常感知端末装置の識別情報を示す異常感知通知を受信する異常感知通知受信ステップと、
データパターン検知通知に示された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき、前記シグネチャ候補に対する評価を行うシグネチャ候補評価ステップとを有することを特徴とするネットワーク管理方法。 - 監視対象ネットワークに含まれる複数の端末装置と通信を行うネットワーク管理方法であって、
端末装置に異常を発生させるデータパターンの検出のためのシグネチャ候補を用いて前記監視対象ネットワークを監視し、前記シグネチャ候補に合致するデータパターンを検出した際に、検出したデータパターンの流通に関係のある端末装置を特定するネットワーク監視ステップと、
前記複数の端末装置のうち何らかの異常を感知した異常感知端末装置から、当該異常感知端末装置の識別情報を示す異常感知通知を受信する異常感知通知受信ステップと、
前記ネットワーク監視ステップにより特定された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき、前記シグネチャ候補に対する評価を行うシグネチャ候補評価ステップとを有することを特徴とするネットワーク管理方法。 - 監視対象ネットワークに含まれる複数の端末装置と、前記監視対象ネットワークを監視する監視装置と通信を行うコンピュータに、
端末装置に異常を発生させるデータパターンの検出のためのシグネチャ候補を前記監視装置に対して送信するシグネチャ候補送信処理と、
前記監視装置から、前記監視装置が前記シグネチャ候補を用いて検出したデータパターンの流通に関係のある端末装置の識別情報を通知するデータパターン検知通知を受信するデータパターン検知通知受信処理と、
前記複数の端末装置のうち何らかの異常を感知した異常感知端末装置から、当該異常感知端末装置の識別情報を示す異常感知通知を受信する異常感知通知受信処理と、
データパターン検知通知に示された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき、前記シグネチャ候補に対する評価を行うシグネチャ候補評価処理とを実行させることを特徴とするプログラム。 - 監視対象ネットワークに含まれる複数の端末装置と通信を行うコンピュータに、
端末装置に異常を発生させるデータパターンの検出のためのシグネチャ候補を用いて前
記監視対象ネットワークを監視し、前記シグネチャ候補に合致するデータパターンを検出した際に、検出したデータパターンの流通に関係のある端末装置を特定するネットワーク監視処理と、
前記複数の端末装置のうち何らかの異常を感知した異常感知端末装置から、当該異常感知端末装置の識別情報を示す異常感知通知を受信する異常感知通知受信処理と、
前記ネットワーク監視処理により特定された端末装置の識別情報と異常感知通知に示された異常感知端末装置の識別情報とに基づき、前記シグネチャ候補に対する評価を行うシグネチャ候補評価処理とを実行させることを特徴とするプログラム。 - 前記シグネチャ候補評価部は、
前記異常感知通知受信部から、一つ以上の異常感知端末装置の識別情報を含み異常感知端末装置の識別情報ごとに異常感知端末装置における異常の原因がそれぞれの異常感知端末装置に対する攻撃である確率を攻撃確率値として示す異常感知通知を入力し、
前記異常感知通知に示される異常感知端末装置の識別情報と前記データパターン検知通知に示される端末装置の識別情報とを比較し、
前記異常感知通知に示される異常感知端末装置の識別情報と一致する識別情報が前記データパターン検知通知に含まれている場合に、一致する識別情報が前記データパターン検知通知に含まれている異常感知端末装置の攻撃確率値に基づき、前記シグネチャ候補に対する評価を行うことを特徴とする請求項1に記載のネットワーク管理装置。 - 前記シグネチャ候補評価部は、
前記データパターン検知通知受信部から、一つ以上の端末装置の識別情報を含み端末装置の識別情報ごとに前記シグネチャ候補によるデータパターンの検出回数が示されるデータパターン検知通知を入力し、
前記異常感知通知に示される異常感知端末装置の識別情報と一致する識別情報が前記データパターン検知通知に含まれている場合に、一致する識別情報が前記データパターン検知通知に含まれている異常感知端末装置の攻撃確率値と当該異常感知端末装置の識別情報に一致する識別情報に対して前記データパターン検知通知において示されているデータパターンの検出回数とに基づき評価値を算出し、算出した評価値と当該評価値に対する閾値とを比較して前記シグネチャ候補に対する評価を行うことを特徴とする請求項11に記載のネットワーク管理装置。 - 前記シグネチャ候補評価部は、
前記異常感知通知に示される異常感知端末装置の識別情報と前記データパターン検知通知に示される端末装置の識別情報とを比較し、
前記異常感知通知に示される異常感知端末装置の識別情報と一致する識別情報が前記データパターン検知通知に含まれている場合に、一致する識別情報が前記データパターン検知通知に含まれている異常感知端末装置の個数を判定し、判定した異常感知端末装置の個数と異常感知端末装置の個数に対する閾値とを比較して前記シグネチャ候補に対する評価を行うことを特徴とする請求項1に記載のネットワーク管理装置。 - 前記シグネチャ候補評価部は、
前記異常感知通知受信部から、一つ以上の異常感知端末装置の識別情報を含み異常感知端末装置の識別情報ごとに異常感知端末装置における異常の原因がそれぞれの異常感知端末装置に対する攻撃である確率を攻撃確率値として示す異常感知通知を入力し、
前記異常感知通知に示される異常感知端末装置の識別情報と前記ネットワーク監視部により特定された端末装置の識別情報とを比較し、
前記異常感知通知に示される異常感知端末装置の識別情報と一致する識別情報が前記ネットワーク監視部により特定されている場合に、一致する識別情報が前記ネットワーク監視部により特定されている異常感知端末装置の攻撃確率値に基づき、前記シグネチャ候補に対する評価を行うことを特徴とする請求項4に記載のネットワーク管理装置。 - 前記シグネチャ候補評価部は、
前記ネットワーク監視部から、一つ以上の端末装置の識別情報と端末装置の識別情報ごとに前記シグネチャ候補によるデータパターンの検出回数が示されるデータパターン検知通知を入力し、
前記異常感知通知に示される異常感知端末装置の識別情報と前記データパターン検知通知に示される端末装置の識別情報とを比較し、
前記異常感知通知に示される異常感知端末装置の識別情報と一致する識別情報が前記データパターン検知通知に含まれている場合に、一致する識別情報が前記データパターン検知通知に含まれている異常感知端末装置の攻撃確率値と当該異常感知端末装置の識別情報に一致する識別情報に対して前記データパターン検知通知において示されているデータパターンの検出回数とに基づき評価値を算出し、算出した評価値と当該評価値に対する閾値とを比較して前記シグネチャ候補に対する評価を行うことを特徴とする請求項14に記載のネットワーク管理装置。 - 前記シグネチャ候補評価部は、
前記異常感知通知に示される異常感知端末装置の識別情報と一致する識別情報が前記データパターン検知通知に含まれている場合に、一致する識別情報が前記データパターン検知通知に含まれている異常感知端末装置の個数を判定し、判定した異常感知端末装置の個数と異常感知端末装置の個数に対する閾値とを比較して前記シグネチャ候補に対する評価を行うことを特徴とする請求項15に記載のネットワーク管理装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007027758A JP2007242002A (ja) | 2006-02-10 | 2007-02-07 | ネットワーク管理装置及びネットワーク管理方法及びプログラム |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006033190 | 2006-02-10 | ||
JP2007027758A JP2007242002A (ja) | 2006-02-10 | 2007-02-07 | ネットワーク管理装置及びネットワーク管理方法及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007242002A true JP2007242002A (ja) | 2007-09-20 |
Family
ID=38587426
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007027758A Pending JP2007242002A (ja) | 2006-02-10 | 2007-02-07 | ネットワーク管理装置及びネットワーク管理方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007242002A (ja) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009129332A (ja) * | 2007-11-27 | 2009-06-11 | Kddi Corp | ポリシ生成システム、プログラム、および記録媒体 |
WO2014050424A1 (ja) | 2012-09-25 | 2014-04-03 | 三菱電機株式会社 | シグニチャ検証装置及びシグニチャ検証方法及びプログラム |
JP2016201115A (ja) * | 2011-02-15 | 2016-12-01 | ウェブルート インク. | マルウェアに対処するための方法及び装置 |
KR101761798B1 (ko) * | 2013-08-20 | 2017-07-26 | 한국전자통신연구원 | 제어 네트워크에서의 스캐닝 공격 탐지 장치 |
JP2017538376A (ja) * | 2014-10-31 | 2017-12-21 | サイバー クルシブル インコーポレイテッド.Cyber Crucible Inc. | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 |
WO2017217301A1 (ja) * | 2016-06-13 | 2017-12-21 | 日本電信電話株式会社 | ログ分析装置、ログ分析方法およびログ分析プログラム |
US9916445B2 (en) | 2014-02-26 | 2018-03-13 | Mitsubishi Electric Corporation | Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program |
WO2018159361A1 (ja) * | 2017-03-03 | 2018-09-07 | 日本電信電話株式会社 | 攻撃パターン抽出装置、攻撃パターン抽出方法および攻撃パターン抽出プログラム |
JP2020503635A (ja) * | 2016-12-29 | 2020-01-30 | クロニクル エルエルシー | セキュリティ脅威検出のための危殆化のインジケータを収集すること |
US10803170B2 (en) | 2005-06-30 | 2020-10-13 | Webroot Inc. | Methods and apparatus for dealing with malware |
JP2022512195A (ja) * | 2018-12-10 | 2022-02-02 | ビットディフェンダー アイピーアール マネジメント リミテッド | 挙動による脅威検出のためのシステムおよび方法 |
JP2022512192A (ja) * | 2018-12-10 | 2022-02-02 | ビットディフェンダー アイピーアール マネジメント リミテッド | 挙動による脅威検出のためのシステムおよび方法 |
-
2007
- 2007-02-07 JP JP2007027758A patent/JP2007242002A/ja active Pending
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11379582B2 (en) | 2005-06-30 | 2022-07-05 | Webroot Inc. | Methods and apparatus for malware threat research |
US10803170B2 (en) | 2005-06-30 | 2020-10-13 | Webroot Inc. | Methods and apparatus for dealing with malware |
JP2009129332A (ja) * | 2007-11-27 | 2009-06-11 | Kddi Corp | ポリシ生成システム、プログラム、および記録媒体 |
JP2019106216A (ja) * | 2011-02-15 | 2019-06-27 | ウェブルート インク. | マルウェアに対処するための方法及び装置 |
JP2016201115A (ja) * | 2011-02-15 | 2016-12-01 | ウェブルート インク. | マルウェアに対処するための方法及び装置 |
US10574630B2 (en) | 2011-02-15 | 2020-02-25 | Webroot Inc. | Methods and apparatus for malware threat research |
WO2014050424A1 (ja) | 2012-09-25 | 2014-04-03 | 三菱電機株式会社 | シグニチャ検証装置及びシグニチャ検証方法及びプログラム |
CN104603791A (zh) * | 2012-09-25 | 2015-05-06 | 三菱电机株式会社 | 签名验证装置及签名验证方法和程序 |
JP5868515B2 (ja) * | 2012-09-25 | 2016-02-24 | 三菱電機株式会社 | シグニチャ検証装置及びシグニチャ検証方法及びプログラム |
KR101761798B1 (ko) * | 2013-08-20 | 2017-07-26 | 한국전자통신연구원 | 제어 네트워크에서의 스캐닝 공격 탐지 장치 |
US9916445B2 (en) | 2014-02-26 | 2018-03-13 | Mitsubishi Electric Corporation | Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program |
JP2017538376A (ja) * | 2014-10-31 | 2017-12-21 | サイバー クルシブル インコーポレイテッド.Cyber Crucible Inc. | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 |
WO2017217301A1 (ja) * | 2016-06-13 | 2017-12-21 | 日本電信電話株式会社 | ログ分析装置、ログ分析方法およびログ分析プログラム |
US11356467B2 (en) | 2016-06-13 | 2022-06-07 | Nippon Telegraph And Telephone Corporation | Log analysis device, log analysis method, and log analysis program |
JPWO2017217301A1 (ja) * | 2016-06-13 | 2018-09-27 | 日本電信電話株式会社 | ログ分析装置、ログ分析方法およびログ分析プログラム |
JP2020503635A (ja) * | 2016-12-29 | 2020-01-30 | クロニクル エルエルシー | セキュリティ脅威検出のための危殆化のインジケータを収集すること |
US11244048B2 (en) | 2017-03-03 | 2022-02-08 | Nippon Telegraph And Telephone Corporation | Attack pattern extraction device, attack pattern extraction method, and attack pattern extraction program |
JPWO2018159361A1 (ja) * | 2017-03-03 | 2019-06-27 | 日本電信電話株式会社 | 攻撃パターン抽出装置、攻撃パターン抽出方法および攻撃パターン抽出プログラム |
WO2018159361A1 (ja) * | 2017-03-03 | 2018-09-07 | 日本電信電話株式会社 | 攻撃パターン抽出装置、攻撃パターン抽出方法および攻撃パターン抽出プログラム |
JP2022512195A (ja) * | 2018-12-10 | 2022-02-02 | ビットディフェンダー アイピーアール マネジメント リミテッド | 挙動による脅威検出のためのシステムおよび方法 |
JP2022512192A (ja) * | 2018-12-10 | 2022-02-02 | ビットディフェンダー アイピーアール マネジメント リミテッド | 挙動による脅威検出のためのシステムおよび方法 |
JP7319370B2 (ja) | 2018-12-10 | 2023-08-01 | ビットディフェンダー アイピーアール マネジメント リミテッド | 挙動による脅威検出のためのシステムおよび方法 |
JP7389806B2 (ja) | 2018-12-10 | 2023-11-30 | ビットディフェンダー アイピーアール マネジメント リミテッド | 挙動による脅威検出のためのシステムおよび方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2007242002A (ja) | ネットワーク管理装置及びネットワーク管理方法及びプログラム | |
EP3356985B1 (en) | Detection of security incidents with low confidence security events | |
JP7302019B2 (ja) | システムレベルセキュリティのための階層的挙動行動のモデル化および検出システムおよび方法 | |
WO2016132717A1 (ja) | ログ分析システム、ログ分析方法およびプログラム記録媒体 | |
US20170083703A1 (en) | Leveraging behavior-based rules for malware family classification | |
US11698962B2 (en) | Method for detecting intrusions in an audit log | |
JP5066544B2 (ja) | インシデント監視装置,方法,プログラム | |
US11797668B2 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
Xiao et al. | From patching delays to infection symptoms: Using risk profiles for an early discovery of vulnerabilities exploited in the wild | |
JP7069399B2 (ja) | コンピュータセキュリティインシデントを報告するためのシステムおよび方法 | |
JP2019028891A (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
Mughaid et al. | Utilizing machine learning algorithms for effectively detection iot ddos attacks | |
CN113343228B (zh) | 事件可信度分析方法、装置、电子设备及可读存储介质 | |
JP4559974B2 (ja) | 管理装置及び管理方法及びプログラム | |
Sallay et al. | Intrusion detection alert management for high‐speed networks: current researches and applications | |
JP2018160170A (ja) | 出力プログラム、情報処理装置、出力方法、生成プログラム、及び生成方法 | |
JP2017211806A (ja) | 通信の監視方法、セキュリティ管理システム及びプログラム | |
Lee et al. | Sierra: Ranking anomalous activities in enterprise networks | |
JP2019186686A (ja) | ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 | |
JP7033560B2 (ja) | 分析装置および分析方法 | |
US11232202B2 (en) | System and method for identifying activity in a computer system | |
Athira et al. | Standardisation and classification of alerts generated by intrusion detection systems | |
JP7412164B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
US12026255B1 (en) | Machine learning model adversarial attack monitoring | |
US20240320329A1 (en) | Machine Learning Model Adversarial Attack Monitoring |