JP2008098766A - Intrusion detector and intrusion detection program - Google Patents

Intrusion detector and intrusion detection program Download PDF

Info

Publication number
JP2008098766A
JP2008098766A JP2006275392A JP2006275392A JP2008098766A JP 2008098766 A JP2008098766 A JP 2008098766A JP 2006275392 A JP2006275392 A JP 2006275392A JP 2006275392 A JP2006275392 A JP 2006275392A JP 2008098766 A JP2008098766 A JP 2008098766A
Authority
JP
Japan
Prior art keywords
detection
signature
attack
version number
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006275392A
Other languages
Japanese (ja)
Inventor
Masayasu Shioda
雅康 塩田
Tomoyuki Kawaguchi
知幸 河口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2006275392A priority Critical patent/JP2008098766A/en
Publication of JP2008098766A publication Critical patent/JP2008098766A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prevent attack detection processing from getting saturated even against a large number of attacks. <P>SOLUTION: The intrusion detector has a processing load control means of performing control for: monitoring a data state associated with the processing load on an attack monitoring means; increasing or decreasing the attack detection degree of a selected detection item of a signature being used at present in a signature file according to change in data state; updating the signature by renewing a version number; restarting a read of the updated signature into the attack monitoring means each time the signature is updated; counting detection logs output by the attack monitoring means; and outputting one corresponding detection log each time the counted value exceeds a threshold set based upon the attack detection degree of each detection item of the updated signature. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

この発明は、コンピュータ等への不正アクセスを検知する侵入検知装置(Intrusion Detection System:IDS)に係り、特に大量の攻撃検知処理時の負荷制御を可能にする不正侵入検知装置および不正侵入検知プログラムに関するものである。   The present invention relates to an intrusion detection system (IDS) that detects unauthorized access to a computer or the like, and more particularly to an unauthorized intrusion detection device and an unauthorized intrusion detection program that enable load control during a large amount of attack detection processing. Is.

周知のように、組織のネットワークを防御するセキュリティ手段の一つとして、ファイアウォールが広く知られている。一方、このファイアウォールと組み合わせて使用され、組織のネットワークに到達する通信パケットの監視、検出を行う不正侵入検知装置(例えば、特許文献1参照)が近年登場してきている。その理由は、従来のファイアウォールの機能が、設定内容に基づき、通信を通過させるか、通信を破棄するかだけしか行わないものである。具体的には、通信における送信元、宛先、リクエストするサービスの種別程度の情報しか検査していない。これに対して、不正侵入検知装置の方は、リクエストの内容までを見て、それが正常な通信か、攻撃なのかの判定を行う機能を持っている。
例えば、今、クラッカーによってポートスキャンが開始されたケースを想定する。ファイアウォールの場合、自己が権限を与えていないユーザのポートへのアクセスは、当然異常イベントとしてログ情報に記録する。しかし、その異常イベントが実際にポートスキャンであるかという判断は、システム管理者によって下されているのである。そのため、システム管理者には、連続したポート番号を使用し拒否されているイベントがあることを検知し、その内容がポートスキャンであることを判断できる能力が要求されると共に、ファイアウォールの設定内容(ルールベース)を更新する作業を常に実行し続けることが求められる。 As is well known, a firewall is widely known as one of security means for protecting an organization's network. On the other hand, an unauthorized intrusion detection device (for example, see Patent Document 1) that has been used in combination with this firewall and that monitors and detects communication packets that reach an organization's network has recently appeared. The reason is that the function of the conventional firewall only performs whether the communication is allowed to pass or the communication is discarded based on the setting contents. Specifically, only information about the transmission source, destination, and requested service type in communication is inspected. On the other hand, the unauthorized intrusion detection device has a function of judging whether it is normal communication or an attack by looking at the content of the request.
For example, assume a case where a port scan is started by a cracker. In the case of a firewall, access to a user port for which the user is not authorized is naturally recorded in log information as an abnormal event. However, the system administrator determines whether the abnormal event is actually a port scan. For this reason, the system administrator is required to detect that there is an event that is rejected by using consecutive port numbers, and to determine that the content is a port scan. (Rule base) is required to be constantly updated.

一方、不正侵入検知装置は、元々シーケンシャルにポート番号を変更してアクセスしてくる通信パケットを検出した場合に、自動的にポートスキャンであると判断する機能を備えている。そのため、ファイアウォールと組み合わせた場合、システム管理者の作業コストを大幅に削減できることになる。すなわち、不正侵入検知装置は、正常な通信であるか、攻撃なのかの判定を自動的に行うことにより、防御のために必要なファイアウォールのルールベースを変更するシステム管理者の作業を大幅に低減することができる。また、不正侵入検知装置では、送受信されている通信パケットの中から異常と思われるものを検知ログとして抽出し、後で照会しやすい形で記録するようにも設計されている。   On the other hand, the unauthorized intrusion detection device has a function of automatically determining that a port scan is performed when a communication packet that is accessed by sequentially changing the port number is detected. Therefore, when combined with a firewall, the work cost of the system administrator can be greatly reduced. In other words, the intrusion detection device automatically determines whether the communication is normal or an attack, thereby greatly reducing the work of the system administrator who changes the rule base of the firewall necessary for defense. can do. In addition, the unauthorized intrusion detection apparatus is also designed to extract from the transmitted / received communication packet what seems to be abnormal as a detection log and record it in a form that can be easily queried later.

攻撃と呼ばれる通信は、必ず攻撃を行うためのパターン情報を含んでいるから、不正侵入検知装置では、これらの既知攻撃パターンを記述した検知ロジックを作成しシグネチャと呼ばれるデータに登録しておく。そしてネットワーク上から通信パケットを取得すると、通信パケットごとにシグネチャを用いてマッチングを行い、攻撃通信であるか、通常通信であるかの攻撃判定を行い、攻撃と判定されたパケットに対して検知ログの作成を行って出力する。したがって、単位時間当たりに不正侵入する通信パケットの量が多くなると不正侵入検知装置の処理負荷は高くなるという問題がある。そこで、一般に不正侵入検知装置の導入形態としては、ファイアウォールで大半の攻撃を絞った後、ファイアウォールを通過する通信パケットに対して、不正侵入検知装置による判定・検知を行うようにしている。しかし、次に述べるような大量の不正パケットを送信する攻撃には対応できなくなっていた。   Since communication called an attack always includes pattern information for performing an attack, the unauthorized intrusion detection apparatus creates detection logic describing these known attack patterns and registers them in data called a signature. When a communication packet is acquired from the network, matching is performed using a signature for each communication packet, an attack determination is made as to whether the communication is attack communication or normal communication, and a detection log is detected for the packet determined to be an attack. Create and output. Therefore, there is a problem that the processing load of the unauthorized intrusion detection device increases when the amount of communication packets that are illegally intruded per unit time increases. Therefore, in general, as an introduction form of the unauthorized intrusion detection device, after most attacks are narrowed down by the firewall, the unauthorized intrusion detection device determines and detects communication packets passing through the firewall. However, it is no longer possible to deal with attacks that send a large number of illegal packets as described below.

ところで、近時、コンピュータ等への不正アクセスが横行しているが、中でもネットワークを通じた不正アクセス、すなわち攻撃で、相手のコンピュータやルータなどに不正なデータを送信して使用不能に陥らせたり、トラフィックを増大させて相手のネットワークを麻痺させたりするDDoS攻撃(Distributed Denial of Service Attack;分散サービス妨害攻撃)と呼ばれるものがある。このDDoS攻撃の場合は、第三者のマシンに攻撃プログラムを仕掛けて踏み台にし、その踏み台とした多数のマシンから標的とするマシンに大量のパケットを同時に送信する形態を採る。その結果、このように攻撃元が複数で、標的とされたコンピュータが1つである場合、その標的のコンピュータにかかる防御のための負荷は膨大なものとなる。DDoS攻撃に対しては、現状では、ある程度の対策はできても、少なくとも完全に防ぐ方法はなく、そのためインターネットの根幹に対する脅威となっている。   By the way, recently, unauthorized access to computers, etc. has been rampant, but in particular, unauthorized access through the network, that is, attacks, sending unauthorized data to the other computer or router etc., making it unusable, There is a so-called DDoS attack (Distributed Denial of Service Attack) that increases traffic and paralyzes the other party's network. In the case of this DDoS attack, an attack program is set on a third party machine to be used as a platform, and a large number of packets are simultaneously transmitted from a large number of machines as the platform to a target machine. As a result, when there are a plurality of attack sources and a single target computer as described above, the load for defense on the target computer becomes enormous. At present, there is no way to prevent DDoS attacks at least completely even though some countermeasures can be taken, and this is a threat to the fundamentals of the Internet.

また、ネットワーク型の不正侵入検知装置の処理性能を評価するためのSTICKと呼ばれる評価プログラムがある。これは、ネットワーク型の不正侵入検知装置のルールセットに定義された「検出されるための情報」を大量に送信して、不正侵入検知装置から偽の警告通知を多数発生させるフリーのソフトウェアツールである。これは、擬似的に多くの攻撃パケットを短時間で大量に生成することが可能であるがゆえに、攻撃者が、攻撃の隠蔽のためにSTICKを用いて偽の警告通知を多数発生させ、DDoS攻撃と同じような状態を作り、不正侵入検知装置の性能をダウンあるいは、無力化させるという問題が起こっている。
上述のようなDDoS攻撃に対する対策法は幾つか存在するが、いずれにしても、システム管理者による人手に頼らなければならず、それゆえ見逃されることも度々生じていた。 There is also an evaluation program called STICK for evaluating the processing performance of the network type unauthorized intrusion detection apparatus. This is a free software tool that sends a large amount of “information to be detected” defined in the rule set of a network-type intrusion detection device and generates many false warning notifications from the intrusion detection device. is there. This is because it is possible to generate a large number of pseudo-attack packets in a short period of time, so that the attacker generates many false warning notifications using STICK for concealing the attack, and DDoS There is a problem of creating a state similar to an attack and reducing or disabling the performance of the intrusion detection device.
There are several countermeasures against the DDoS attack as described above, but in any case, it has to be relied on by the system administrator and is often overlooked.

特開2005−210601号公報(図1)Japanese Patent Laying-Open No. 2005-210601 (FIG. 1)

以上のように、従来のネットワーク型の不正侵入検知装置によれば、DDoS攻撃を受けてネットワークトラフィックが増加した場合、システム管理者による取りこぼしが起こりやすく、解析処理が追従できないといった問題が発生した。特に、不正侵入検知装置の分析能力をはるかに超える攻撃の場合、攻撃の検知ログの分析処理が飽和してしまい、最悪の場合、不正侵入検知装置自体の機能が停止に追い込まれる事態になるといった問題があった。   As described above, according to the conventional network-type unauthorized intrusion detection apparatus, when the network traffic increases due to the DDoS attack, the system administrator is likely to miss out and the analysis process cannot follow. In particular, in the case of an attack that far exceeds the analysis capability of the unauthorized intrusion detection device, the analysis processing of the attack detection log is saturated, and in the worst case, the function of the unauthorized intrusion detection device itself is forced to stop. There was a problem.

この発明は、以上のような問題を解決するためになされたもので、大量の攻撃に対しても攻撃検知処理の飽和を防ぐことを可能にする不正侵入検知装置および不正侵入検知プログラムを得ることを目的とする。   The present invention has been made to solve the above problems, and obtains an unauthorized intrusion detection apparatus and an unauthorized intrusion detection program that can prevent saturation of attack detection processing even for a large number of attacks. With the goal.

この発明の不正侵入検知装置は、ネットワーク上から取得した通信パケット情報と不正侵入手口のパターンを記述した検知ロジックを登録したシグネチャとのマッチングをとることにより攻撃判定を行い、攻撃と判定した検知ログを作成して出力する攻撃監視手段を備えた不正侵入検知装置において、攻撃監視手段で使用する検知ロジックに記載された各種の検知項目に対してそれぞれ攻撃検知度数が設定されると共に、バージョン番号が付されたシグネチャを1つ格納するシグネチャファイルと、攻撃監視手段の処理負荷に関連するデータ状態を監視し、当該データ状態の変化に応じてシグネチャファイルの現在使用対象となっているシグネチャの選択された検知項目の攻撃検知度数を減増変更すると共に、バージョン番号を新旧変更することにより当該シグネチャの更新を行い、この更新ごとに、更新されたシグネチャの攻撃監視手段への読み込みを再起動し、攻撃監視手段で出力した検知ログを計数し、当該計数値が更新されたシグネチャの検知項目ごとの攻撃検知度数に基づいて設定した閾値を超えるごとに該当する検知ログを1つ出力するよう制御する処理負荷制御手段を備えたものである。   The unauthorized intrusion detection apparatus according to the present invention performs an attack determination by matching a communication packet information acquired from a network with a signature in which a detection logic describing a pattern of an unauthorized intrusion technique is registered, and a detection log determined as an attack. In the intrusion detection device equipped with the attack monitoring means that creates and outputs the attack detection frequency is set for each of the various detection items described in the detection logic used by the attack monitoring means, and the version number is The signature file that stores one attached signature and the data state related to the processing load of the attack monitoring means are monitored, and the signature that is currently used for the signature file is selected according to the change in the data state. The detection number of detected items is increased or decreased, and the version number is changed. And the signature is updated every time the update is performed, the reading of the updated signature into the attack monitoring means is restarted, the detection log output by the attack monitoring means is counted, and the count value is updated. And a processing load control means for controlling to output one corresponding detection log every time a threshold set based on the attack detection frequency for each detection item is exceeded.

この発明によれば、攻撃を目的とする大量の通信パケットを取得して攻撃判定・検知処理を実行した場合でも、攻撃監視手段の攻撃判定・検知処理における処理負荷の異常な上昇を抑えることができ、その結果、CPU(Central Processing Unit)負荷の上昇も抑え、装置の停止を防ぐことが可能となる。   According to the present invention, even when a large amount of communication packets intended for an attack are acquired and attack determination / detection processing is executed, an abnormal increase in processing load in attack determination / detection processing of the attack monitoring means can be suppressed. As a result, it is possible to suppress an increase in CPU (Central Processing Unit) load and to prevent the apparatus from being stopped.

実施の形態1.
図1は、この発明の実施の形態1による不正侵入検知装置を含むネットワークシステムの機能構成を示すブロック図である。
不正侵入検知装置100が接続されたネットワーク400には、不正マシン401、正常マシン402、サーバ403などが適宜接続されており、ネットワーク400上には通信パケットが流れている。
不正侵入検知装置100の構成において、パケットキャプチャ部101、攻撃監視部(攻撃判定部102、攻撃検知部103からなる)120、シグネチャ読み込み部110、シグネチャファイル110a、検知ログ出力可否判定部105、検知ログ出力部106、シグネチャ更新部109は、従来の構成に略相当する機能である。特に、攻撃監視部120は特許文献1の図1における不正侵入検知装置200に相当する部分である。また、シグネチャ更新部109は、従来はシステム管理者が手動で操作していた部分である。
一方、破線で囲まれた処理負荷制御部121は、この発明の目的を達成するための主なる構成部分であり、上記シグネチャ更新部109、検知ログ出力可否判定部105を含み、検知攻撃情報管理部104、検知攻撃履歴ファイル104a、CPU負荷監視部107、シグネチャ更新内容作成部108、バージョン番号ファイル109a、シグネチャ履歴ファイル109b、バージョン番号抽出部112を備えている。 Embodiment 1 FIG.
FIG. 1 is a block diagram showing a functional configuration of a network system including an unauthorized intrusion detection device according to Embodiment 1 of the present invention.
An unauthorized machine 401, a normal machine 402, a server 403, and the like are appropriately connected to the network 400 to which the unauthorized intrusion detection apparatus 100 is connected, and a communication packet flows on the network 400.
In the configuration of the unauthorized intrusion detection apparatus 100, a packet capture unit 101, an attack monitoring unit (consisting of an attack determination unit 102 and an attack detection unit 103) 120, a signature reading unit 110, a signature file 110a, a detection log output availability determination unit 105, a detection The log output unit 106 and the signature update unit 109 are functions substantially corresponding to the conventional configuration. In particular, the attack monitoring unit 120 is a part corresponding to the unauthorized intrusion detection apparatus 200 in FIG. The signature update unit 109 is a part that has been manually operated by a system administrator.
On the other hand, the processing load control unit 121 surrounded by a broken line is a main component for achieving the object of the present invention, and includes the signature update unit 109 and the detection log output availability determination unit 105, and includes detection attack information management. Unit 104, detection attack history file 104a, CPU load monitoring unit 107, signature update content creation unit 108, version number file 109a, signature history file 109b, and version number extraction unit 112.

パケットキャプチャ部101は、ネットワーク400上から通信パケットを取得し、関連するパケットをつなげて連続した一つの情報にして、図示しないメモリ領域に格納すると共に、読み出して攻撃監視部120へ出力する手段である。攻撃判定部102は、パケットキャプチャ部101で取得した通信パケット情報とシグネチャとのマッチングをとることにより攻撃判定を行う手段である。攻撃検知部103は、攻撃判定の結果、特定の攻撃として識別された通信パケット情報について検知ログを作成し出力する手段である。検知ログ出力可否判定部105は、攻撃検知部103から出力された検知ログを、後段へ出力すべきか否かを閾値に基づいて判定する手段である。検知ログ出力部106は、検知ログ出力可否判定部105からの検知ログ、そのアラートを管理部200側へ出力する手段である。シグネチャファイル110aは、攻撃判定のマッチングの使用対象とするシグネチャを格納する手段である。ここで、シグネチャには、既知の不正侵入手口のパターンを記述した検知ロジックが登録されているが、この検知ロジックには、例えばプロトコルの種類、ポート番号、文字列(例、SQL SLAMMR、Ping Sweep)など、対象とする攻撃を検知するための各種の検知項目が含まれている。また、シグネチャには、攻撃名称、各検知項目に対して設定された攻撃検知度数(単位時間当たりの攻撃検知数)、シグネチャのバージョン番号などが記述されている。後述するが、この発明では、選択した検知項目の攻撃検知度数とバージョン番号を変更制御することが特徴の一つとなっている。   The packet capture unit 101 is a means for acquiring a communication packet from the network 400, connecting related packets into continuous information, storing it in a memory area (not shown), and reading and outputting it to the attack monitoring unit 120. is there. The attack determination unit 102 is a unit that performs attack determination by matching the communication packet information acquired by the packet capture unit 101 with the signature. The attack detection unit 103 is a unit that creates and outputs a detection log for communication packet information identified as a specific attack as a result of the attack determination. The detection log output availability determination unit 105 is a unit that determines whether the detection log output from the attack detection unit 103 should be output to the subsequent stage based on a threshold value. The detection log output unit 106 is a unit that outputs the detection log and the alert from the detection log output permission determination unit 105 to the management unit 200 side. The signature file 110a is a means for storing a signature to be used for attack determination matching. Here, a detection logic describing a known illegal intrusion technique pattern is registered in the signature. For example, the protocol type, port number, and character string (eg, SQL SLAMMR, Ping Sweep) are registered in this detection logic. ) And other detection items for detecting the target attack. The signature describes the attack name, the degree of attack detection set for each detection item (the number of attack detections per unit time), the signature version number, and the like. As will be described later, in the present invention, one feature is that the attack detection frequency and the version number of the selected detection item are changed and controlled.

シグネチャ読み込み部110は、攻撃監視手段120で攻撃判定する際にマッチングに用いるシグネチャをシグネチャファイル110aから読み込む手段である。CPU負荷監視部107は、不正侵入検知装置100を含む処理のCPU負荷が所定の閾値を超えたか否かを常時監視する手段である。バージョン番号ファイル109aは、攻撃監視部120で現在の攻撃判定に使用しているシグネチャのバージョン番号を格納する手段である。バージョン番号抽出部112は、攻撃監視部120の監視結果に応じてバージョン番号ファイル109aから現在使用中のシグネチャのバージョン番号を取得する手段である。検知攻撃情報管理部104は、攻撃監視部120で出力された検知ログに記載された検知項目、検知日時を抽出して検知攻撃履歴ファイル104aに格納し、またマッチングで使用したシグネチャに記載の検知項目の攻撃検知度数を抽出し、他手段からの要求に応じて所定のデータを出力する手段である。シグネチャ更新内容作成部108は、CPU負荷が所定の閾値を超えた場合に検知攻撃情報管理部104から検知数が所定値より大きい検知項目とその検知数を取り寄せて各検知項目の検知度数をそれぞれ算出し、それら検知度数に所定の割合で減少を与える係数をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成する手段である。シグネチャ更新部109は、バージョン番号抽出部112で取得したバージョン番号に該当するシグネチャの選択された検知項目の攻撃検知度数を減増変更すると共に、バージョン番号を新旧変更するとともに、更新するシグネチャの検知項目とバージョン番号、日時をシグネチャの履歴としてシグネチャ履歴ファイル109bに格納し、この更新ごとに、更新されたシグネチャの攻撃監視部120への読み込みを再起動する手段である。   The signature reading unit 110 is a unit that reads a signature used for matching when the attack monitoring unit 120 determines an attack from the signature file 110a. The CPU load monitoring unit 107 is means for constantly monitoring whether the CPU load of the process including the unauthorized intrusion detection device 100 exceeds a predetermined threshold. The version number file 109a is a means for storing the version number of the signature used in the current attack determination by the attack monitoring unit 120. The version number extraction unit 112 is a means for acquiring the version number of the signature currently in use from the version number file 109a according to the monitoring result of the attack monitoring unit 120. The detection attack information management unit 104 extracts the detection items and detection dates described in the detection log output by the attack monitoring unit 120, stores them in the detection attack history file 104a, and detects the detection described in the signature used for matching This is means for extracting the attack detection frequency of an item and outputting predetermined data in response to a request from another means. When the CPU load exceeds a predetermined threshold, the signature update content creation unit 108 obtains the detection items whose detection number is larger than the predetermined value and the detection number from the detection attack information management unit 104, and sets the detection frequency of each detection item. It is a means for creating a new attack detection frequency for each detection item by calculating and multiplying each detection frequency by a coefficient that decreases at a predetermined rate. The signature update unit 109 detects the signature to be updated while changing the version number between old and new and changing the attack detection frequency of the detection item selected for the signature corresponding to the version number acquired by the version number extraction unit 112 This is means for storing the item, version number, and date / time as signature history in the signature history file 109b, and restarting reading of the updated signature into the attack monitoring unit 120 for each update.

まず、従来の構成部分による攻撃判定・検知処理に相当する動作について説明する。
図1において、パケットキャプチャ部101は、ネットワーク400上から通信パケットを取得すると、一つの意味を持つ通信データ(これを、「通信パケット情報」と呼ぶことにする)を再構築して攻撃監視部120へ出力する。攻撃判定部102では、通信パケット情報を受け取ると、シグネチャ読み込み部110を起動してシグネチャファイル110aからシグネチャを読み込み、通信パケット情報とシグネチャとでマッチングを行い、当該通信パケット情報が不正侵入のデータであるかの攻撃判定処理を行う。具体的には、IPヘッダ部の解析、IPのデフラグメンテーション、プロトコル毎のヘッダ部の解析、TCP通信であればセッション管理などの処理を実行した後、シグネチャに含まれる検知項目合致するデータがあるかのマッチングを行い、合致するものがあれば異常あるいは攻撃通信と判定する。 First, an operation corresponding to an attack determination / detection process by a conventional component will be described.
In FIG. 1, when the packet capture unit 101 acquires a communication packet from the network 400, the packet capture unit 101 reconstructs communication data having one meaning (hereinafter referred to as “communication packet information”) to reconstruct the attack monitoring unit. 120 is output. Upon receiving the communication packet information, the attack determination unit 102 activates the signature reading unit 110, reads the signature from the signature file 110a, performs matching between the communication packet information and the signature, and the communication packet information is the data of unauthorized intrusion. Perform an attack determination process. Specifically, after processing such as analysis of the IP header part, IP defragmentation, header part for each protocol, and session management for TCP communication, there is data that matches the detection items included in the signature. If there is a match, it is determined as abnormal or attack communication.

次に、攻撃検知部103では、攻撃判定部102で攻撃と判定された通信パケット情報に対して、シグネチャに記載された検知ロジックに従って攻撃検知処理を実行する。具体的には、攻撃判定部102で行った解析データに対して、シグネチャに記載された検知ロジック、例えば「プロトコルがTCPで、ポートが80で、データ部に***が含まれているものはWEBにおける***攻撃」というような既知の攻撃パターンに応じて調べ、マッチングで使用したシグネチャで指定している各種検知項目を検出する。この場合の検知項目の検出方法としては、シグネチャで設定している各検知項目の攻撃検知度数に従って行う。例えば或る検知項目について、10秒に1回検知したならば検知ログを出力するとか、あるいは10秒で10回検知したならば初めて検知ログを出力するというようにする。この場合に出力される検知ログの内容としては、攻撃名称、アラート、送信元IPアドレス、検知項目、検知日時などを含む。
従来の検知ログ出力可否判定部105の場合は、攻撃検知部103から出力された検知ログを計数し、当該計数値が予め設定された、あるいは手動で変更可能に設定された閾値を超えるごとに該当する検知ログを1つ出力する。検知ログ出力部106では、検知ログ出力可否判定部105から検知ログが出力された場合にその検知ログからアラートを抽出し、検知ログと共にデータを管理部200へ出力する。 Next, the attack detection unit 103 executes an attack detection process on the communication packet information determined as an attack by the attack determination unit 102 according to the detection logic described in the signature. Specifically, the detection logic described in the signature for the analysis data performed by the attack determination unit 102, for example, “the protocol is TCP, the port is 80, and the data part includes ***. Is checked according to a known attack pattern such as “*** Attack on WEB”, and various detection items specified by the signature used in the matching are detected. In this case, the detection item detection method is performed according to the attack detection frequency of each detection item set in the signature. For example, if a detection item is detected once every 10 seconds, a detection log is output, or if a detection item is detected 10 times in 10 seconds, the detection log is output for the first time. The contents of the detection log output in this case include an attack name, an alert, a transmission source IP address, a detection item, a detection date and time, and the like.
In the case of the conventional detection log output availability determination unit 105, the detection log output from the attack detection unit 103 is counted, and every time the count value exceeds a preset threshold or a threshold that can be manually changed. One corresponding detection log is output. When the detection log is output from the detection log output permission determination unit 105, the detection log output unit 106 extracts an alert from the detection log, and outputs the data together with the detection log to the management unit 200.

次に、この発明に係る処理負荷制御部121によるシグネチャ更新処理について、図2のフローに従って説明する。
ここで、最初、シグネチャファイル110aに格納されている使用対象とするシグネチャには初期バージョン番号(デフォルト値、例えば「0」)が記述されているものとする。バージョン番号ファイル109aには、上記使用対象とするシグネチャの初期バージョン番号が格納されているものとする。シグネチャ読み込み部110は、最初の攻撃判定処理の起動時には、上記使用対象とするシグネチャを攻撃監視部120へ読み込むものとする。
また、攻撃監視部120が攻撃判定・検知処理を行っている状態において、検知攻撃情報管理部104では、攻撃監視部120が随時出力する検知ログから検知項目、検知日時を抽出して検知攻撃履歴ファイル104aに格納していき、また対応して使用したシグネチャに記載の検知項目の攻撃検知度数を抽出して検知ログ出力可否判定部105に出力しているものとする。 Next, the signature update processing by the processing load control unit 121 according to the present invention will be described according to the flow of FIG.
Here, it is assumed that an initial version number (default value, for example, “0”) is first described in the signature to be used stored in the signature file 110a. It is assumed that the version number file 109a stores the initial version number of the signature to be used. The signature reading unit 110 reads the signature to be used into the attack monitoring unit 120 when the first attack determination process is activated.
Further, in a state where the attack monitoring unit 120 is performing the attack determination / detection process, the detected attack information management unit 104 extracts the detection item and the detection date / time from the detection log output by the attack monitoring unit 120 as needed to detect the detected attack history. It is assumed that the attack detection frequency of the detection item described in the signature used correspondingly and stored in the file 104a is extracted and output to the detection log output permission determination unit 105.

CPU負荷監視部107では、不正侵入検知装置100を含む動作を制御しているCPU負荷の状態(攻撃監視部120の処理負荷に関連するデータ状態)を常時監視する(ステップST1)。ここで、このCPU負荷は今、CPU負荷が或る一定時間に亘って所定の閾値(例えば90%)を連続して超えたことを検出した場合、すなわち負荷が異常となる可能性が高い状態になった場合(ステップST2)、CPU負荷監視部107は、その負荷検出情報をバージョン番号抽出部112へ出力する。バージョン番号抽出部112では、検出情報を受けると、バージョン番号ファイル109aから現在使用中のシグネチャのバージョン番号を読み込んで、負荷検出情報と共にシグネチャ更新内容作成部108へ渡す(ステップST3)。シグネチャ更新内容作成部108では、受け取った負荷検出情報がCPU負荷上昇を示している場合、検知攻撃情報管理部104に対してシグネチャ更新内容の作成に用いる所定のデータを要求する。この要求に応じて検知攻撃情報管理部104では、現在から遡る所定期間内における検知数が所定値より大きい複数の検知項目とその検知数を抽出してシグネチャ更新内容作成部108へ渡す。シグネチャ更新内容作成部108は、取得した複数の検知項目の検知数から検知度数をそれぞれ算出し、算出した検知度数に所定の割合で減少を与える係数(例えば、一律1/2)をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成し、バージョン番号抽出部112から与えられた負荷検出情報、攻撃名称、初期バージョン番号と共にシグネチャ更新部109に渡す(ステップST6)。   The CPU load monitoring unit 107 constantly monitors the CPU load state (data state related to the processing load of the attack monitoring unit 120) that controls the operation including the unauthorized intrusion detection apparatus 100 (step ST1). Here, when it is detected that the CPU load has continuously exceeded a predetermined threshold (for example, 90%) for a certain period of time, that is, the load is likely to become abnormal. (Step ST2), the CPU load monitoring unit 107 outputs the load detection information to the version number extraction unit 112. When receiving the detection information, the version number extraction unit 112 reads the version number of the signature currently in use from the version number file 109a and passes it to the signature update content creation unit 108 together with the load detection information (step ST3). When the received load detection information indicates an increase in CPU load, the signature update content creation unit 108 requests predetermined data used to create signature update content from the detected attack information management unit 104. In response to this request, the detection attack information management unit 104 extracts a plurality of detection items whose detection number is larger than a predetermined value and the detection number in a predetermined period retroactive from the present time, and passes them to the signature update content creation unit 108. The signature update content creation unit 108 calculates the detection frequency from the acquired detection numbers of the plurality of detection items, and multiplies the calculated detection frequency by a coefficient (for example, uniform ½) that decreases at a predetermined rate. A new attack detection frequency for each detection item is created and passed to the signature update unit 109 together with the load detection information, attack name, and initial version number given from the version number extraction unit 112 (step ST6).

シグネチャ更新部109では、受け取った負荷検出情報がCPU負荷上昇を示している場合、初期バージョン番号に該当するシグネチャをシグネチャファイル110aから読み出し、当該シグネチャの初期バージョン番号を+1にした新バージョン番号に変更し、かつシグネチャ更新内容作成部108で作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更して、使用対象とするシグネチャとしてシグネチャファイル110aに記憶すると共に、更新したシグネチャを攻撃監視部120に読み込むようシグネチャ読み込み部110を再起動させる。また、このとき変更したシグネチャの新バージョン番号を、現在使用中のシグネチャのバージョン番号としてバージョン番号ファイル109aに記録する(ステップST8)。   When the received load detection information indicates an increase in CPU load, the signature update unit 109 reads the signature corresponding to the initial version number from the signature file 110a and changes the signature to the new version number with the initial version number set to +1. In addition, based on the new attack detection frequency of each detection item created by the signature update content creation unit 108, the attack detection frequency of the corresponding detection item described in the signature is changed, and the signature file is used as a signature to be used. The signature reading unit 110 is restarted so as to read the updated signature into the attack monitoring unit 120. Also, the new version number of the signature changed at this time is recorded in the version number file 109a as the version number of the signature currently in use (step ST8).

以上のシグネチャ更新処理の結果、攻撃監視部120が新バージョン番号を持つシグネチャを用いてマッチングを行い、攻撃と判定した検知ロジックを作成して出力することになる。この場合、攻撃検知部103において行う各種検知項目の検出処理は、シグネチャで設定された検知項目の攻撃検知度数に依存するので、したがって、これら攻撃検知度数が初期バージョン番号のものよりも低減するので、処理負荷も低減することになる。この一連のシグネチャ更新処理はCPU負荷が閾値以下の安全な状態に落ち着くまで、バージョン番号が増える方向に繰り返される。
また、ステップST8において、シグネチャ更新部109では、上記のようにシグネチャを更新した場合、その更新シグネチャの検知項目とバージョン番号、日時をシグネチャ履歴として前記シグネチャ履歴ファイル109bに格納する。これは、攻撃検知の頻度解析の際、更新時刻の攻撃検知度数を把握しておく必要があるためである。 As a result of the signature update process described above, the attack monitoring unit 120 performs matching using a signature having a new version number, and generates and outputs a detection logic determined to be an attack. In this case, the detection processing of various detection items performed in the attack detection unit 103 depends on the attack detection frequency of the detection item set in the signature, and therefore, these attack detection frequencies are lower than those of the initial version number. The processing load is also reduced. This series of signature update processing is repeated in the direction in which the version number increases until the CPU load settles to a safe state below the threshold.
In step ST8, when the signature update unit 109 updates the signature as described above, the detection item, version number, and date / time of the updated signature are stored in the signature history file 109b as a signature history. This is because it is necessary to grasp the attack detection frequency at the update time when analyzing the frequency of attack detection.

一方、上述の場合とは逆に、CPU負荷監視部107が、CPU負荷が一定時間閾値より低くなったことを検出した場合(ステップST2)、CPU負荷監視部107は、その負荷検出情報をバージョン番号抽出部112へ出力する。バージョン番号抽出部112では、検出情報を受けると、バージョン番号ファイル109aから現在使用中のシグネチャのバージョン番号を読み込んで、負荷検出情報と共にシグネチャ更新内容作成部108へ渡す(ステップST4)。シグネチャ更新内容作成部108では、受け取った負荷検出情報がCPU負荷低下を示している場合、入手したバージョン番号が初期値であるか否かを調べる(ステップST5)。初期値でない場合には、そのバージョン番号を負荷検出情報と共にシグネチャ更新部109に渡す(ステップST7)。シグネチャ更新部109では、負荷検出情報がCPU負荷低下を示している場合、シグネチャ更新内容作成部108から受け取ったバージョン番号を−1にして次に使用対象とするシグネチャのバージョン番号とし、この減らしたバージョン番号に対応するシグネチャを、シグネチャ履歴ファイル109bから最新日付の内容のシグネチャに変更し、かつ更新したシグネチャを攻撃監視部120に読み込むようシグネチャ読み込み部110を再起動させる。また、このときシグネチャ更新部109では、減らしたバージョン番号を現在使用中のシグネチャのバージョン番号としてバージョン番号ファイル109aに記録する(ステップST8)。すなわち、この更新データは1世代前の更新内容、言い換えれば1世代前に検知項目の攻撃検知度数が設定されたシグネチャとなる。
したがって、シグネチャで設定された検知項目の攻撃検知度数が現在のバージョン番号のものよりも増加するので、攻撃検知部103における処理負荷も増加することになる。この場合のシグネチャの更新処理は、現在使用対象とするシグネチャが初期バージョン番号となるまで繰り返される。その後の処理負荷制御部121の動作は、CPU負荷監視部107でCPU負荷が閾値を超える場合は再び攻撃検知度数を下げていく動作に移る。 On the other hand, contrary to the above case, when the CPU load monitoring unit 107 detects that the CPU load has become lower than the threshold for a certain time (step ST2), the CPU load monitoring unit 107 changes the load detection information to the version. The number is output to the number extraction unit 112. When receiving the detection information, the version number extraction unit 112 reads the version number of the signature currently in use from the version number file 109a and passes it to the signature update content creation unit 108 together with the load detection information (step ST4). If the received load detection information indicates a decrease in CPU load, signature update content creation section 108 checks whether or not the obtained version number is an initial value (step ST5). If it is not the initial value, the version number is passed to the signature update unit 109 together with the load detection information (step ST7). In the signature update unit 109, when the load detection information indicates a decrease in CPU load, the version number received from the signature update content creation unit 108 is set to -1 to be the version number of the next signature to be used, and this reduction is performed. The signature corresponding to the version number is changed from the signature history file 109b to the signature having the latest date, and the signature reading unit 110 is restarted so that the updated signature is read into the attack monitoring unit 120. At this time, the signature update unit 109 records the reduced version number in the version number file 109a as the version number of the signature currently in use (step ST8). In other words, this update data is a signature in which the attack detection frequency of the detection item is set one generation before, that is, the update contents one generation before.
Therefore, since the attack detection frequency of the detection item set in the signature is higher than that of the current version number, the processing load on the attack detection unit 103 also increases. The signature update process in this case is repeated until the signature currently used is the initial version number. The subsequent operation of the processing load control unit 121 shifts to an operation in which the CPU load monitoring unit 107 lowers the attack detection frequency again when the CPU load exceeds the threshold value.

以上、一連のシグネチャ更新処理を自動的に行い、装置全体の負荷状況に応じた攻撃判定・検知処理の統制・制御を実行することについて述べた。しかし、この場合、攻撃判定・検知処理により攻撃監視部120から出力する検知ログの出力度数は変化する。そのため、検知ログ出力可否判定部105で用いている閾値が従来のように一定だと検知ログ出力部106に出力する検知ログの出力度数も変化することになる。そこで、検知ログ出力可否判定部105の閾値を調整して、検知ログの出力度数を安定にする、検知ログの出力処理の統制が必要となる。   As described above, it has been described that a series of signature update processing is automatically performed and control / control of attack determination / detection processing according to the load status of the entire apparatus is executed. However, in this case, the output frequency of the detection log output from the attack monitoring unit 120 is changed by the attack determination / detection process. For this reason, if the threshold used in the detection log output enable / disable determination unit 105 is constant as in the prior art, the output frequency of the detection log output to the detection log output unit 106 also changes. Therefore, it is necessary to regulate the detection log output processing by adjusting the threshold value of the detection log output permission determination unit 105 to stabilize the detection log output frequency.

この発明の検知ログ出力可否判定部105では、検知攻撃情報管理部104で常時取得する現在使用中のシグネチャに記載の各検知項目の攻撃検知度数に基づいて出力可否の閾値を自動的に設定変更するようにする。例えば、各検知項目の攻撃検知度数の平均値をとり、その値を閾値とする。このことにより、出力可否の閾値は、検知ログの出力度数が増加した場合には高くし、逆に検知ログの出力度数が減少した場合には低く設定することができる。すなわち、検知ログ出力可否判定部105は、攻撃監視部120が出力する検知ログの出力数を計数して出力度数を算出し、当該出力度数がこの閾値を超えるごとに該当する検知ログを1つ出力することになり、検知ログ出力部106に与える検知ログの出力頻度を安定化させることができる。   The detection log output propriety determination unit 105 of the present invention automatically changes the setting of the output propriety threshold based on the attack detection frequency of each detection item described in the signature currently in use that is always acquired by the detection attack information management unit 104. To do. For example, the average value of the attack detection frequency of each detection item is taken and the value is set as a threshold value. As a result, the threshold value for whether or not output is possible can be set high when the output frequency of the detection log increases, and conversely when the output frequency of the detection log decreases. That is, the detection log output availability determination unit 105 calculates the output frequency by counting the number of detection log outputs output by the attack monitoring unit 120, and adds one corresponding detection log each time the output frequency exceeds this threshold. Thus, the output frequency of the detection log given to the detection log output unit 106 can be stabilized.

以上説明してきた不正侵入検知装置100による処理は、プログラムによりコンピュータで実行させることができるものである。その場合のプログラムは、ネットワーク上から取得した通信パケット情報とシグネチャファイル110aから読み込んだ現在使用対象のシグネチャとのマッチングをとることにより攻撃判定を行い、攻撃と判定した検知ログを作成して出力する攻撃監視ステップと、この攻撃監視ステップにおいて出力された検知ログから検知項目、検知日時を抽出して検知攻撃履歴ファイル104aに格納し、また対応して使用したシグネチャに記載の検知項目の攻撃検知度数を抽出する検知攻撃履歴情報取得ステップと、コンピュータの動作制御を行うCPU負荷が所定の閾値を超えたか否かを常時監視する負荷監視ステップと、この負荷監視ステップにおける監視結果に応じてバージョン番号ファイル109aから現在使用中のシグネチャのバージョン番号を取得するバージョン番号抽出ステップと、CPU負荷が所定の閾値を超えた場合に検知攻撃履歴ファイル104aのデータの中から、現在から遡る所定期間内における検知数が所定値より大きい検知項目とその検知数を抽出する検知項目・検知数抽出ステップと、抽出した各検知項目について検知度数をそれぞれ算出し、算出した検知度数に所定の割合で減少を与える係数をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成する攻撃検知度数作成ステップと、バージョン番号抽出ステップで取得したバージョン番号に該当するシグネチャをシグネチャファイル110aから読み出し、当該シグネチャのバージョン番号を増加させた次のバージョン番号に変更し、かつ攻撃検知度数作成ステップで作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更してシグネチャファイル110aに使用対象シグネチャとして記憶すると同時に、この更新したシグネチャを読み込んで攻撃監視ステップの実行を再起動させ、当該更新したシグネチャのバージョン番号を現在使用中の番号としてバージョン番号ファイル109aに記憶するとともに、更新するシグネチャの検知項目とバージョン番号、日時をシグネチャ履歴としてシグネチャ履歴ファイル109bに格納するシグネチャ更新ステップと、検知攻撃履歴情報取得ステップにおいて得られる現在使用中のシグネチャに記載の各検知項目の攻撃検知度数に基づいて出力可否の閾値を設定し、攻撃監視ステップで出力する検知ログを計数し、当該計数値がこの閾値を超えるごとに該当する検知ログを1つ出力する検知ログ出力可否判定ステップとを有している。   The processing by the unauthorized intrusion detection apparatus 100 described above can be executed by a computer using a program. In this case, the program performs an attack determination by matching the communication packet information acquired from the network with the signature currently used read from the signature file 110a, and creates and outputs a detection log determined as an attack. The attack monitoring step, and the detection items and the detection date and time are extracted from the detection log output in this attack monitoring step, stored in the detection attack history file 104a, and the attack detection frequency of the detection items described in the signature used correspondingly A detection attack history information acquisition step for extracting information, a load monitoring step for constantly monitoring whether the CPU load for controlling the operation of the computer exceeds a predetermined threshold, and a version number file according to the monitoring result in the load monitoring step Signature version currently in use since 109a A version number extracting step for acquiring a number, a detection item in which the number of detections in a predetermined period retroactive to the present from the data of the detection attack history file 104a when the CPU load exceeds a predetermined threshold, A detection item / detection number extraction step for extracting the number of detections, and a detection frequency for each extracted detection item are calculated, and a new factor for each detection item is calculated by multiplying the calculated detection frequency by a factor that decreases at a predetermined rate. The signature corresponding to the version number acquired in the attack detection frequency creation step and the version number extraction step for creating the attack detection frequency is read from the signature file 110a and changed to the next version number obtained by increasing the version number of the signature, And new attacks for each detection item created in the attack detection frequency creation step Based on the knowledge number, the attack detection degree of the corresponding detection item described in the signature is changed and stored in the signature file 110a as the signature to be used, and at the same time, the updated signature is read to restart the execution of the attack monitoring step. A signature update step of storing the version number of the updated signature in the version number file 109a as a number currently in use, and storing the detection item, version number, and date / time of the signature to be updated in the signature history file 109b as a signature history; , Set the threshold of whether or not to output based on the attack detection frequency of each detection item described in the signature currently in use obtained in the detection attack history information acquisition step, count the detection log output in the attack monitoring step, Numerical value is this threshold A detection log output availability determination step for outputting one corresponding detection log each time the number exceeds.

また、このプログラムのシグネチャ更新ステップは、負荷監視ステップでCPU負荷が閾値以下となった場合には、バージョン番号抽出ステップで取得したバージョン番号を過去に用いた1つ手前のバージョン番号に変更し、シグネチャ履歴ファイル109bから当該過去に用いた1つ手前のバージョン番号でかつ最新日付のシグネチャを読み込んで攻撃監視ステップの実行を再起動させ、当該起動対象となったシグネチャのバージョン番号を現在使用中の番号としてバージョン番号ファイル109aに記憶する処理を行う。   Further, the signature update step of this program changes the version number acquired in the version number extraction step to the previous version number used in the past when the CPU load is equal to or less than the threshold value in the load monitoring step, The signature history file 109b with the latest version number used in the past and the signature of the latest date is read, the execution of the attack monitoring step is restarted, and the version number of the signature targeted for activation is currently being used. The number is stored in the version number file 109a as a number.

以上のように、この実施の形態1によれば、攻撃判定・検知処理を含む動作制御を行うCPU負荷の状態に応じて、攻撃判定・検知処理のマッチングに使用するシグネチャに記載の検知項目の攻撃検知度数の設定を変更調整するシグネチャ更新処理を行うようにしたので、攻撃を目的とする大量の通信パケットを取得して攻撃判定・検知処理を実行した場合でも、その処理負荷の異常な上昇を抑えることができ、その結果、CPU負荷の上昇も抑えて装置の停止を防ぐことが可能となる。また、このシグネチャ更新処理により変更されたシグネチャに記載の検知項目の攻撃検知度数に基づいて、検知ログ出力可否判定処理で用いる閾値を変更調整するようにしたので、攻撃判定・検知処理によって後段に出力する検知ログの出力頻度を安定させることが可能となる。   As described above, according to the first embodiment, the detection items described in the signature used for matching of the attack determination / detection process are matched according to the state of the CPU load that performs the operation control including the attack determination / detection process. Since signature update processing that changes and adjusts the setting of attack detection frequency is performed, even when a large amount of communication packets for attack are acquired and attack determination / detection processing is executed, the processing load increases abnormally As a result, it is possible to prevent an increase in CPU load and prevent the apparatus from being stopped. In addition, the threshold used in the detection log output enable / disable determination process is changed and adjusted based on the attack detection frequency of the detection item described in the signature changed by the signature update process. It is possible to stabilize the output frequency of the output detection log.

実施の形態2.
図3はこの発明の実施の形態2による不正侵入検知装置を含むネットワークシステムの機能構成を示すブロック図である。図において、図1に相当する部分には同一符号を付し、原則としてその説明は省略する。図3の構成は、図1のCPU負荷監視部107が無く、また、シグネチャ更新内容作成部108の代わりに検知ログ出力監視・更新内容作成部111を設けた点が異なる。実施の形態1ではCPU負荷の状態を常時監視していたのに対し、実施の形態2では、検知ログの出力度数(攻撃監視部120の処理負荷に関連するデータ状態)を定期的に監視するようにした点に特徴がある。そのため、検知ログ出力監視・更新内容作成部111は、実施の形態1の図1に示すシグネチャ更新内容作成部108が行う処理に加え、攻撃監視部120における処理負荷を監視する機能を併せ持っている。 Embodiment 2. FIG.
FIG. 3 is a block diagram showing a functional configuration of a network system including an unauthorized intrusion detection device according to Embodiment 2 of the present invention. In the figure, portions corresponding to those in FIG. 1 are denoted by the same reference numerals, and description thereof will be omitted in principle. The configuration of FIG. 3 is different in that the CPU load monitoring unit 107 of FIG. 1 is not provided and a detection log output monitoring / update content creation unit 111 is provided instead of the signature update content creation unit 108. In the first embodiment, the CPU load state is constantly monitored. In the second embodiment, the detection log output frequency (data state related to the processing load of the attack monitoring unit 120) is periodically monitored. There is a feature in this point. Therefore, the detection log output monitoring / update content creation unit 111 has a function of monitoring the processing load in the attack monitoring unit 120 in addition to the processing performed by the signature update content creation unit 108 shown in FIG. 1 of the first embodiment. .

次に、実施の形態2におけるシグネチャ更新処理について、図4に示す動作フローに従って説明する。
図3において、検知ログ出力監視・更新内容作成部111は、攻撃監視部120から検知攻撃情報管理部104に出力される検知項目の同じ検知ログを定期的に一定時間取得して出力度数を算出し、その出力度数をシグネチャ項目毎の検知ログを定期的に検知攻撃情報管理部104から取得して監視している(ステップST11)。このため、検知ログ出力監視・更新内容作成部111では、同じ検知項目の検知ログの出力度数に関する閾値(例えば、一定時間に20回)が予め設定されている。一定時間に取得した検知ログの出力度数がこの閾値を超えた場合(ステップST12)、検知ログ出力監視・更新内容作成部111は、バージョン番号抽出部112に対しバージョン番号ファイル109aに格納された現在使用中のシグネチャのバージョン番号を要求し、そのバージョン番号を取得する。次に検知ログ出力監視・更新内容作成部111では、検知攻撃情報管理部104に対してシグネチャ更新内容の作成に用いる所定のデータを要求する。この要求に応じて検知攻撃情報管理部104では、現在から遡る所定期間内における検知数が所定値より大きい複数の検知項目とその検知数を抽出して検知ログ出力監視・更新内容作成部111へ渡す。検知ログ出力監視・更新内容作成部111は、取得した複数の検知項目の検知数から検知度数をそれぞれ算出し、算出した検知度数に所定の割合で減少を与える係数(例えば、一律1/2)をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成し、バージョン番号抽出部112から与えられた初期バージョン番号、出力度数の検出情報と共にシグネチャ更新部109に渡す(ステップST13)。 Next, the signature update processing in the second embodiment will be described according to the operation flow shown in FIG.
In FIG. 3, the detection log output monitoring / update content creation unit 111 periodically obtains the same detection log of the detection items output from the attack monitoring unit 120 to the detection attack information management unit 104 and calculates the output frequency. The output frequency is monitored by periodically obtaining a detection log for each signature item from the detection attack information management unit 104 (step ST11). For this reason, in the detection log output monitoring / update content creation unit 111, a threshold (for example, 20 times in a fixed time) regarding the output frequency of the detection log of the same detection item is set in advance. When the output frequency of the detection log acquired in a certain time exceeds this threshold (step ST12), the detection log output monitoring / update content creation unit 111 stores the current number stored in the version number file 109a with respect to the version number extraction unit 112 Request the version number of the signature in use and get the version number. Next, the detection log output monitoring / update content creation unit 111 requests the detection attack information management unit 104 for predetermined data used to create signature update content. In response to this request, the detection attack information management unit 104 extracts a plurality of detection items whose detection number is larger than a predetermined value and the detection number in a predetermined period retroactive to the present, and outputs the detection number to the detection log output monitoring / update content creation unit 111 hand over. The detection log output monitoring / update content creation unit 111 calculates a detection frequency from the acquired detection numbers of a plurality of detection items, and a coefficient that decreases the calculated detection frequency at a predetermined rate (for example, uniform 1/2). And a new attack detection frequency for each detection item is created and passed to the signature update unit 109 together with the initial version number and output frequency detection information given from the version number extraction unit 112 (step ST13).

シグネチャ更新部109では、受け取った出力度数の検出情報が処理負荷上昇を示している場合、初期バージョン番号に該当するシグネチャをシグネチャファイル110aから読み出し、当該シグネチャの初期バージョン番号を+1にした新バージョン番号に変更し、かつ検知ログ出力監視・更新内容作成部111で作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更して、使用対象とするシグネチャとしてシグネチャファイル110aに記憶すると共に、更新したシグネチャを攻撃監視部120に読み込むようシグネチャ読み込み部110を再起動させる(ステップST16)。また、このとき変更したシグネチャの新バージョン番号を、現在使用中のシグネチャのバージョン番号としてバージョン番号ファイル109aに記録する。
また、シグネチャ更新部109では、上記のようにシグネチャを更新した場合、その更新シグネチャの検知項目とバージョン番号、日時をシグネチャ履歴としてシグネチャ履歴ファイル109bに格納する。 In the signature update unit 109, when the received detection information of the output frequency indicates an increase in processing load, the signature corresponding to the initial version number is read from the signature file 110a, and the initial version number of the signature is set to +1. And change the attack detection degree of the corresponding detection item described in the signature based on the new attack detection degree of each detection item created by the detection log output monitoring / update content creation unit 111 to be used The signature reading unit 110 is restarted so as to read the updated signature into the attack monitoring unit 120 (step ST16). Also, the new version number of the signature changed at this time is recorded in the version number file 109a as the version number of the signature currently in use.
In addition, when the signature is updated as described above, the signature update unit 109 stores the detection item, version number, and date / time of the updated signature in the signature history file 109b as a signature history.

一方、上述の場合とは逆に、一定時間に取得した検知ログの出力度数が閾値より低くなった場合(ステップST12)、検知ログ出力監視・更新内容作成部111は、上記と同様にして、バージョン番号抽出部112を介してバージョン番号ファイル109aから現在使用中のシグネチャのバージョン番号を取得し(ステップST14)、取得したバージョン番号が初期値であるか否かを調べる(ステップST15)。初期値でない場合には、そのバージョン番号を出力度数の検出情報と共にシグネチャ更新部109に渡す(ステップST15)。シグネチャ更新部109では、出力度数の検出情報が処理負荷低下を示している場合、検知ログ出力監視・更新内容作成部111から受け取ったバージョン番号を−1にして次に使用対象とするシグネチャのバージョン番号とし、この減らしたバージョン番号に対応するシグネチャを、シグネチャ履歴ファイル109bから最新日付の内容のシグネチャに変更し、かつ更新したシグネチャを攻撃監視部120に読み込むようシグネチャ読み込み部110を再起動させる。また、このときシグネチャ更新部109では、減らしたバージョン番号を現在使用中のシグネチャのバージョン番号としてバージョン番号ファイル109aに記録する(ステップST16)。すなわち、この更新データは1世代前に検知項目の攻撃検知度数が設定されたシグネチャとなる。
その後、検知ログ出力可否判定部105による検知ログの出力処理の制御は、実施の形態1と同様にして行われる。 On the other hand, contrary to the above case, when the output frequency of the detection log acquired in a certain time is lower than the threshold (step ST12), the detection log output monitoring / update content creating unit 111 is similar to the above. The version number of the signature currently in use is acquired from the version number file 109a via the version number extraction unit 112 (step ST14), and it is checked whether or not the acquired version number is an initial value (step ST15). If it is not the initial value, the version number is passed to the signature update unit 109 together with the output frequency detection information (step ST15). In the signature update unit 109, if the detection information of the output frequency indicates a reduction in processing load, the version number received from the detection log output monitoring / update content creation unit 111 is set to −1, and the version of the signature to be used next The signature corresponding to the reduced version number is changed from the signature history file 109b to the signature having the latest date, and the signature reading unit 110 is restarted to read the updated signature into the attack monitoring unit 120. At this time, the signature update unit 109 records the reduced version number in the version number file 109a as the version number of the signature currently in use (step ST16). That is, this update data becomes a signature in which the attack detection frequency of the detection item is set one generation before.
Thereafter, control of detection log output processing by the detection log output permission determination unit 105 is performed in the same manner as in the first embodiment.

なお、以上説明したこの実施の形態2の処理をコンピュータで行わせるプログラムは、ネットワーク上から取得した通信パケット情報とシグネチャファイル110aから読み込んだ現在使用対象のシグネチャとのマッチングをとることにより攻撃判定を行い、攻撃と判定した検知ログを作成して出力する攻撃監視ステップと、この攻撃監視ステップにおいて出力された検知ログから検知項目、検知日時を抽出して検知攻撃履歴ファイル104aに格納し、また対応して使用したシグネチャに記載の検知項目の攻撃検知度数を抽出する検知攻撃履歴情報取得ステップと、この検知攻撃履歴情報取得ステップで収集する同じ検知ログの出力数を定期的に一定時間取得し、取得した検知ログの出力度数が予め設定した閾値を超えたか否かを監視する検知ログ出力度数監視ステップと、この検知ログ出力度数監視ステップにおける監視結果に応じてバージョン番号ファイル109aから検知項目が同じ現在使用中のシグネチャのバージョン番号を取得するバージョン番号抽出ステップと、検知ログ出力度数監視ステップにおいて検知ログの出力度数が予め設定した閾値を超えた場合に超えた場合には検知攻撃履歴ファイル104aのデータの中から、現在から遡る所定期間内における検知数が所定値より大きい検知項目とその検知数を抽出する検知項目・検知数抽出ステップと、抽出した各検知項目について検知度数をそれぞれ算出し、算出した検知度数に所定の割合で減少を与える係数をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成する攻撃検知度数作成ステップと、バージョン番号抽出ステップで取得したバージョン番号に該当するシグネチャをシグネチャファイル110aから読み出し、当該シグネチャのバージョン番号を増加させた次のバージョン番号に変更し、かつ攻撃検知度数作成ステップで作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更してシグネチャファイル110aに使用対象シグネチャとして記憶すると同時に、この更新したシグネチャを読み込んで前記攻撃監視ステップの実行を再起動させ、当該更新したシグネチャのバージョン番号を現在使用中の番号としてバージョン番号ファイル109aに記憶するとともに、更新するシグネチャの検知項目とバージョン番号、日時をシグネチャ履歴としてシグネチャ履歴ファイル109bに格納するシグネチャ更新ステップと、検知攻撃履歴情報取得ステップにおいて得られる現在使用中のシグネチャに記載の各検知項目の攻撃検知度数に基づいて出力可否の閾値を設定し、攻撃監視ステップで出力する検知ログを計数し、当該計数値が設定した閾値を超えるごとに該当する検知ログを1つ出力する検知ログ出力可否判定ステップとを有している。   The program for causing the computer to perform the processing of the second embodiment described above makes an attack determination by matching the communication packet information acquired from the network with the signature of the current use target read from the signature file 110a. An attack monitoring step for generating and outputting a detection log determined to be an attack, extracting a detection item and a detection date and time from the detection log output in the attack monitoring step, and storing them in the detection attack history file 104a. The detection attack history information acquisition step for extracting the attack detection frequency of the detection item described in the signature used in this way, and the number of outputs of the same detection log collected in this detection attack history information acquisition step are periodically acquired for a certain period of time, Monitors whether the output frequency of the acquired detection log exceeds a preset threshold An intelligent log output frequency monitoring step, a version number extracting step for acquiring a version number of a signature currently in use having the same detection item from the version number file 109a according to the monitoring result in the detection log output frequency monitoring step, and a detection log output In the frequency monitoring step, when the output frequency of the detection log exceeds a preset threshold value, the detection number in the detection attack history file 104a is detected with a detection number greater than a predetermined value from a current period. The detection item / detection number extraction step for extracting the item and its detection number, the detection frequency is calculated for each extracted detection item, and each detection item is multiplied by a coefficient that reduces the calculated detection frequency at a predetermined rate. An attack detection frequency creation step for creating a new attack detection frequency for A signature corresponding to the version number acquired in the number extraction step is read from the signature file 110a, changed to the next version number obtained by increasing the version number of the signature, and new detection items created in the attack detection frequency creation step The attack detection frequency of the corresponding detection item described in the signature is changed based on the specific attack detection frequency and stored as a signature to be used in the signature file 110a. At the same time, the updated signature is read to execute the attack monitoring step. The version number of the updated signature is stored in the version number file 109a as a currently used number, and the signature history file 10 is used with the signature detection item, version number, date and time to be updated as a signature history. A threshold value for whether or not to output is set based on the attack detection frequency of each detection item described in the signature currently in use obtained in the signature update step stored in 9b and the detected attack history information acquisition step, and is output in the attack monitoring step A detection log output availability determination step for counting the detection log and outputting one corresponding detection log each time the count value exceeds a set threshold value.

また、このプログラムのシグネチャ更新ステップは、出力度数の検出情報が処理負荷低下を示している場合、バージョン番号抽出ステップで取得したバージョン番号を過去に用いた1つ手前のバージョン番号に変更し、シグネチャ履歴ファイル109bから当該過去に用いた1つ手前のバージョン番号でかつ最新日付のシグネチャを読み込んで攻撃監視ステップの実行を再起動させ、当該起動対象となったシグネチャのバージョン番号を現在使用中の番号としてバージョン番号ファイル109aに記憶する処理を行う。   Further, the signature update step of this program changes the version number acquired in the version number extraction step to the previous version number used in the past when the detection information of the output frequency indicates a reduction in processing load, Read the signature of the previous date and the latest date used in the past from the history file 109b, restart the execution of the attack monitoring step, and use the version number of the signature as the activation target that is currently in use Is stored in the version number file 109a.

以上のように、この実施の形態2によれば、攻撃判定・検知処理で出力される検知ログの出力度数の状態に応じて、マッチングに使用するシグネチャに記載の検知項目の攻撃検知度数の設定を変更調整するシグネチャ更新処理を行うようにしたので、実施の形態1と同様に、攻撃を目的とする大量の通信パケットを取得して攻撃判定・検知処理を実行した場合でも、その処理負荷の異常な上昇を抑えることができ、その結果、CPU負荷の上昇も抑えて装置の停止を防ぐことが可能となる。また、このシグネチャ更新処理により変更されたシグネチャに記載の検知項目の攻撃検知度数に基づいて、検知ログ出力可否判定処理で用いる閾値を変更調整するようにしたので、攻撃判定・検知処理によって後段に出力する検知ログの出力頻度を安定させることが可能となる。なお、この実施の形態2の場合は、検知ログの出力度数を監視するので、CPU負荷を監視する実施の形態1よりも構成上有利となる。   As described above, according to the second embodiment, the attack detection frequency of the detection item described in the signature used for matching is set according to the state of the output frequency of the detection log output in the attack determination / detection process. As in the first embodiment, even when a large amount of communication packets intended for an attack are acquired and the attack determination / detection process is executed, the processing load An abnormal increase can be suppressed, and as a result, an increase in CPU load can also be suppressed to prevent the apparatus from being stopped. In addition, the threshold used in the detection log output enable / disable determination process is changed and adjusted based on the attack detection frequency of the detection item described in the signature changed by the signature update process. It is possible to stabilize the output frequency of the output detection log. In the case of the second embodiment, since the output frequency of the detection log is monitored, the configuration is more advantageous than the first embodiment in which the CPU load is monitored.

この発明の実施の形態1による不正侵入検知装置を含むネットワークシステムの機能構成を示すブロック図である。It is a block diagram which shows the function structure of the network system containing the unauthorized intrusion detection apparatus by Embodiment 1 of this invention. この発明の実施の形態1に係る処理負荷制御部のシグネチャ更新処理を説明するフローチャートである。It is a flowchart explaining the signature update process of the processing load control part which concerns on Embodiment 1 of this invention. この発明の実施の形態2による不正侵入検知装置を含むネットワークシステムの機能構成を示すブロック図である。It is a block diagram which shows the function structure of the network system containing the unauthorized intrusion detection apparatus by Embodiment 2 of this invention. この発明の実施の形態2に係る処理負荷制御部のシグネチャ更新処理を説明するフローチャートである。It is a flowchart explaining the signature update process of the processing load control part which concerns on Embodiment 2 of this invention.

符号の説明Explanation of symbols

100 不正侵入検知装置、101 パケットキャプチャ部、102 攻撃判定部、103 攻撃検知部、104 検知攻撃情報管理部、104a 検知攻撃履歴ファイル、105 検知ログ出力可否判定部、106 検知ログ出力部、107 CPU負荷監視部、108 シグネチャ更新内容作成部、109 シグネチャ更新部、109a バージョン番号ファイル、109b シグネチャ履歴ファイル、110 シグネチャ読み込み部、110a シグネチャファイル、111 検知ログ出力監視・更新内容作成部、112 バージョン番号抽出部、120 攻撃監視部、121 処理負荷制御部。   DESCRIPTION OF SYMBOLS 100 unauthorized intrusion detection apparatus, 101 packet capture part, 102 attack determination part, 103 attack detection part, 104 detection attack information management part, 104a detection attack history file, 105 detection log output availability determination part, 106 detection log output part, 107 CPU Load monitoring unit, 108 signature update content creation unit, 109 signature update unit, 109a version number file, 109b signature history file, 110 signature reading unit, 110a signature file, 111 detection log output monitoring / update content creation unit, 112 version number extraction Unit, 120 attack monitoring unit, 121 processing load control unit.

Claims (9)

ネットワーク上から取得した通信パケット情報と不正侵入手口のパターンを記述した検知ロジックを登録したシグネチャとのマッチングをとることにより攻撃判定を行い、攻撃と判定した検知ログを作成して出力する攻撃監視手段を備えた不正侵入検知装置において、
前記攻撃監視手段で使用する検知ロジックに記載された各種の検知項目に対してそれぞれ攻撃検知度数が設定されると共に、バージョン番号が付されたシグネチャを1つ格納するシグネチャファイルと、
前記攻撃監視手段の処理負荷に関連するデータ状態を監視し、当該データ状態の変化に応じて前記シグネチャファイルの現在使用対象となっているシグネチャの選択された検知項目の攻撃検知度数を減増変更すると共に、バージョン番号を新旧変更することにより当該シグネチャの更新を行い、この更新ごとに、更新されたシグネチャの前記攻撃監視手段への読み込みを再起動し、前記攻撃監視手段で出力した検知ログを計数し、当該計数値が前記更新されたシグネチャの検知項目ごとの攻撃検知度数に基づいて設定した閾値を超えるごとに該当する検知ログを1つ出力するよう制御する処理負荷制御手段を備えたことを特徴とする不正侵入検知装置。 Attack monitoring means that performs attack determination by matching the communication packet information acquired from the network with the signature registered detection logic describing the pattern of unauthorized intrusion, and creates and outputs a detection log determined as an attack Intrusion detection device equipped with
A signature file that stores one signature with a version number and an attack detection frequency for each of the various detection items described in the detection logic used in the attack monitoring means;
The data state related to the processing load of the attack monitoring means is monitored, and the attack detection frequency of the selected detection item of the signature currently used in the signature file is increased or decreased according to the change in the data state In addition, the signature is updated by changing the version number between old and new, and for each update, reading of the updated signature into the attack monitoring unit is restarted, and the detection log output by the attack monitoring unit is displayed. A processing load control unit that counts and controls to output one corresponding detection log each time the counted value exceeds a threshold set based on the attack detection frequency for each detection item of the updated signature An intrusion detection device characterized by 処理負荷制御手段は、
攻撃監視手段が現在の攻撃判定に使用しているシグネチャに記載のバージョン番号を格納するバージョン番号ファイルと、
検知攻撃履歴ファイルと、
シグネチャ履歴ファイルと、
前記攻撃監視手段で出力された検知ログから検知項目、検知日時を抽出して前記検知攻撃履歴ファイルに格納し、また対応して使用したシグネチャに記載の検知項目の攻撃検知度数を抽出し、他手段からの要求に応じて所定のデータを出力する検知攻撃情報管理手段と、
当該装置を含む処理を実行するCPU負荷が所定の閾値を超えたか否かを常時監視する負荷監視手段と、
前記負荷監視手段の監視結果に応じて前記バージョン番号ファイルから現在使用中のシグネチャのバージョン番号を取得するバージョン番号抽出手段と、
前記バージョン番号抽出手段からCPU負荷が所定の閾値を超えたときに取得したバージョン番号が与えられた場合には、前記検知攻撃情報管理手段に要求を出して前記検知攻撃履歴ファイルのデータの中から抽出した、現在から遡る所定期間内における検知数が所定値より大きい検知項目とその検知数を取り寄せ、取り寄せた各検知項目の検知度数をそれぞれ算出して、算出した検知度数に所定の割合で減少を与える係数をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成するシグネチャ更新内容作成手段と、
前記バージョン番号抽出手段が取得したバージョン番号に該当するシグネチャを前記シグネチャファイルから読み出し、当該シグネチャのバージョン番号を増加させた次のバージョン番号に変更し、かつ前記シグネチャ更新内容作成手段が作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更して前記シグネチャファイルに使用対象シグネチャとして記憶すると同時に、この更新したシグネチャを前記攻撃監視手段に読み込むよう再起動させ、当該更新したシグネチャのバージョン番号を現在使用中の番号として前記バージョン番号ファイルに記憶するとともに、更新されたシグネチャの検知項目とバージョン番号及び日時をシグネチャ履歴として前記シグネチャ履歴ファイルに格納するシグネチャ更新手段と、
前記検知攻撃情報管理手段から得られた現在使用中のシグネチャに記載の各検知項目の攻撃検知度数に基づいて出力可否の閾値を設定し、前記攻撃監視手段が出力する検知ログを計数し、当該計数値が設定した閾値を超えるごとに該当する検知ログを1つ出力する検知ログ出力可否判定手段とを有したことを特徴とする請求項1記載の不正侵入検知装置。 The processing load control means
A version number file that stores the version number described in the signature used by the attack monitoring means for the current attack determination;
Detection attack history file,
A signature history file,
Extract detection items and detection date and time from the detection log output by the attack monitoring means, store them in the detection attack history file, extract the attack detection frequency of the detection items described in the signature used correspondingly, etc. Detection attack information management means for outputting predetermined data in response to a request from the means;
Load monitoring means for constantly monitoring whether or not the CPU load for executing processing including the device exceeds a predetermined threshold;
Version number extraction means for obtaining a version number of a signature currently in use from the version number file according to the monitoring result of the load monitoring means;
When the version number acquired when the CPU load exceeds a predetermined threshold value from the version number extraction unit, a request is made to the detection attack information management unit, and the data is stored in the detection attack history file. The number of detection items and the number of detections that have been extracted within a predetermined period that extends from the present are collected, and the detection frequency of each detection item is calculated, and the detection frequency is decreased by a predetermined rate. Signature update content creation means for creating a new attack detection frequency for each detection item by multiplying each by a coefficient that gives
The detection corresponding to the version number acquired by the version number extraction unit is read from the signature file, changed to the next version number obtained by increasing the version number of the signature, and each detection created by the signature update content creation unit Based on the new attack detection frequency of the item, the attack detection frequency of the corresponding detection item described in the signature is changed and stored as a target signature in the signature file, and at the same time, the updated signature is read into the attack monitoring means The version number of the updated signature is stored in the version number file as a currently used number, and the signature history file includes the updated signature detection item, version number, and date / time as a signature history. And signature updating means for storing,
Based on the attack detection frequency of each detection item described in the signature currently in use obtained from the detection attack information management means, set a threshold value of whether to output, count the detection log output by the attack monitoring means, The unauthorized intrusion detection apparatus according to claim 1, further comprising: a detection log output permission determination unit that outputs one corresponding detection log every time the count value exceeds a set threshold value. シグネチャ更新手段は、負荷監視手段でCPU負荷が閾値以下となった場合には、バージョン番号抽出手段が取得したバージョン番号を過去に用いた1つ手前のバージョン番号に変更し、シグネチャ履歴ファイルから前記過去に用いた1つ手前のバージョン番号でかつ最新日付のシグネチャを前記攻撃監視手段に読み込むよう再起動し、当該起動対象となったシグネチャのバージョン番号を現在使用中の番号として前記バージョン番号ファイルに記憶するようにしたことを特徴とする請求項2記載の不正侵入検知装置。   The signature update means changes the version number acquired by the version number extraction means to the previous version number used in the past when the CPU load is less than or equal to the threshold value by the load monitoring means, Reboot to read the signature with the latest version number and the latest date used in the past into the attack monitoring means, and use the version number of the signature as the activation target as the currently used number in the version number file. The unauthorized intrusion detection apparatus according to claim 2, wherein the unauthorized intrusion detection apparatus is stored. 処理負荷制御手段は、
攻撃監視手段が現在の攻撃判定に使用しているシグネチャのバージョン番号を格納するバージョン番号ファイルと、
他からの要求により前記バージョン番号ファイルから現在使用中のシグネチャのバージョン番号を取得するバージョン番号抽出手段と、
検知攻撃履歴ファイルと、
シグネチャ履歴ファイルと、
前記攻撃監視手段で出力された検知ログから検知項目、検知日時を抽出して前記検知攻撃履歴ファイルに格納し、また対応して使用したシグネチャに記載の検知項目の攻撃検知度数を抽出し、他手段からの要求に応じて所定のデータを出力する検知攻撃情報管理手段と、
前記検知攻撃情報管理手段から前記攻撃監視手段が出力する同じ検知ログを定期的に一定時間取得して当該検知ログの出力度数を算出し、算出した出力度数が予め設定した閾値を超えたか否かを常時監視し、超えた場合には前記バージョン番号抽出手段により前記バージョン番号ファイルから現在使用中のシグネチャのバージョン番号を取得すると共に、前記検知攻撃情報管理手段に要求を出して前記検知攻撃履歴ファイルのデータの中から抽出した、現在から遡る所定期間内における検知数が所定値より大きい検知項目とその検知数を取り寄せ、取り寄せた各検知項目の検知度数をそれぞれ算出して、算出した検知度数に所定の割合で減少を与える係数をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成する検知ログ出力監視・更新内容作成手段と、
前記バージョン番号抽出手段が取得したバージョン番号のシグネチャを前記シグネチャファイルから読み出し、当該シグネチャのバージョン番号を増加させた次のバージョン番号に変更し、かつ前記検知ログ出力監視・更新内容作成手段が作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更して前記シグネチャファイルに使用対象シグネチャとして記憶すると同時に、この更新したシグネチャを前記攻撃監視手段に読み込むよう再起動させ、当該更新したシグネチャのバージョン番号を現在使用中の番号として前記バージョン番号ファイルに記憶するとともに、更新されたシグネチャの検知項目とバージョン番号及び日時をシグネチャ履歴として前記シグネチャ履歴ファイルに格納するシグネチャ更新手段と、
前記検知攻撃情報管理手段から得られた現在使用中のシグネチャに記載の各検知項目の攻撃検知度数に基づいて出力可否の閾値を設定し、前記攻撃監視手段が出力する検知ログを計数し、当該計数値が設定した閾値を超えるごとに該当する検知ログを1つ出力する検知ログ出力可否判定手段とを有したことを特徴とする請求項1記載の不正侵入検知装置。 The processing load control means
A version number file that stores the version number of the signature used by the attack monitoring means for the current attack determination;
Version number extraction means for obtaining the version number of the signature currently in use from the version number file in response to a request from another;
Detection attack history file,
A signature history file,
Extract detection items and detection date and time from the detection log output by the attack monitoring means, store them in the detection attack history file, extract the attack detection frequency of the detection items described in the signature used correspondingly, etc. Detection attack information management means for outputting predetermined data in response to a request from the means;
Whether the same detection log output by the attack monitoring unit from the detection attack information management unit is periodically acquired for a certain period of time to calculate the output frequency of the detection log, and whether the calculated output frequency exceeds a preset threshold value Is constantly monitored, and if it exceeds, the version number extracting means obtains the version number of the signature currently in use from the version number file, and sends a request to the detected attack information management means to detect the detected attack history file. The number of detection items and the number of detections that have been extracted from the data, and the number of detections in the predetermined period retroactive from the present time is greater than the predetermined value, and the detection frequency of each detected detection item is calculated individually. Detection log output monitoring / update that creates a new attack detection frequency for each detection item by multiplying each by a factor that gives a decrease at a predetermined rate And the contents creation means,
The signature of the version number acquired by the version number extraction unit is read from the signature file, changed to the next version number obtained by increasing the version number of the signature, and created by the detection log output monitoring / update content creation unit Based on the new attack detection frequency of each detection item, the attack detection frequency of the corresponding detection item described in the signature is changed and stored as a signature to be used in the signature file. At the same time, the updated signature is stored in the attack monitoring unit. And the version number of the updated signature is stored in the version number file as a currently used number, and the signature history file includes the updated signature detection item, version number and date / time as a signature history. And signature updating means for storing,
Based on the attack detection frequency of each detection item described in the signature currently in use obtained from the detection attack information management means, set a threshold value of whether to output, count the detection log output by the attack monitoring means, The unauthorized intrusion detection apparatus according to claim 1, further comprising: a detection log output permission determination unit that outputs one corresponding detection log every time the count value exceeds a set threshold value. シグネチャ更新手段は、検知ログ出力監視・更新内容作成手段で算出した検知ログの出力度数が予め設定した閾値以下となった場合には、前記バージョン番号ファイルから取得したバージョン番号を過去に用いた1つ手前のバージョン番号に変更し、シグネチャ履歴ファイルから前記過去に用いた1つ手前のバージョン番号でかつ最新日付のシグネチャを前記攻撃監視手段に読み込むよう再起動し、当該起動対象となったシグネチャのバージョン番号を現在使用中の番号として前記バージョン番号ファイルに記憶するようにしたことを特徴とする請求項4記載の不正侵入検知装置。   The signature update means uses the version number acquired from the version number file in the past when the output frequency of the detection log calculated by the detection log output monitoring / update content creation means falls below a preset threshold value. Change to the previous version number, restart from the signature history file so that the signature with the latest version number and the latest date used in the past is read into the attack monitoring means. 5. The unauthorized intrusion detection apparatus according to claim 4, wherein the version number is stored in the version number file as a number currently in use. 不正侵入手口のパターンを記述した検知ロジックに記載された各種の検知項目に対してそれぞれ攻撃検知度数が設定されると共に、バージョン番号が付されたシグネチャを1つ格納するシグネチャファイルと、シグネチャの履歴を格納するシグネチャ履歴ファイルと、現在の攻撃判定に使用しているシグネチャのバージョン番号を格納するバージョン番号ファイルと、検知攻撃履歴ファイルとを備えたコンピュータにインストールし、ネットワーク上から取得した通信パケット情報と前記シグネチャファイルから読み込んだ現在使用対象のシグネチャとのマッチングをとることにより攻撃判定を行い、攻撃と判定した検知ログを作成して出力する攻撃監視ステップを当該コンピュータに実行させる不正侵入検知プログラムであって、
前記攻撃監視ステップにおいて出力された検知ログから検知項目、検知日時を抽出して前記検知攻撃履歴ファイルに格納し、また対応して使用したシグネチャに記載の検知項目の攻撃検知度数を抽出する検知攻撃履歴情報取得ステップと、
前記コンピュータの動作制御を行うCPU負荷が所定の閾値を超えたか否かを常時監視する負荷監視ステップと、
この負荷監視ステップにおける監視結果に応じて前記バージョン番号ファイルから現在使用中のシグネチャのバージョン番号を取得するバージョン番号抽出ステップと、
前記CPU負荷が所定の閾値を超えた場合に、前記検知攻撃履歴ファイルのデータの中から、現在から遡る所定期間内における検知数が所定値より大きい検知項目とその検知数を抽出する検知項目・検知数抽出ステップと、
前記抽出した各検知項目について検知度数をそれぞれ算出し、算出した検知度数に所定の割合で減少を与える係数をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成する攻撃検知度数作成ステップと、
前記バージョン番号抽出ステップで取得したバージョン番号に該当するシグネチャを前記シグネチャファイルから読み出し、当該シグネチャのバージョン番号を増加させた次のバージョン番号に変更し、かつ前記攻撃検知度数作成ステップで作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更して前記シグネチャファイルに使用対象シグネチャとして記憶すると同時に、この更新したシグネチャを読み込んで前記攻撃監視ステップの実行を再起動させ、当該更新したシグネチャのバージョン番号を現在使用中の番号として前記バージョン番号ファイルに記憶し、前記更新されたシグネチャの検知項目とバージョン番号をシグネチャ履歴として前記シグネチャ履歴ファイルに格納するシグネチャ更新ステップと、
検知攻撃履歴情報取得ステップにおいて得られる現在使用中のシグネチャに記載の各検知項目の攻撃検知度数に基づいて出力可否の閾値を設定し、前記攻撃監視ステップで出力する検知ログを計数し、当該計数値が設定した閾値を超えるごとに該当する検知ログを1つ出力する検知ログ出力可否判定ステップとを有したことを特徴とする不正侵入検知プログラム。 A signature file that stores one signature with a version number and an attack detection frequency for each of the various detection items described in the detection logic describing the pattern of unauthorized intrusion, and a signature history Installed on a computer with a signature history file that stores the signature history, a version number file that stores the version number of the signature used for the current attack determination, and a detected attack history file, and acquired from the network Is an unauthorized intrusion detection program that executes an attack monitoring step that executes an attack determination step by creating a detection log that is determined to be an attack and outputting the detected log by matching the currently used target signature read from the signature file. There,
A detection attack that extracts a detection item and a detection date and time from the detection log output in the attack monitoring step, stores the detection item in the detection attack history file, and extracts an attack detection frequency of the detection item described in the correspondingly used signature History information acquisition step;
A load monitoring step of constantly monitoring whether or not the CPU load for controlling the operation of the computer exceeds a predetermined threshold;
A version number extraction step for obtaining the version number of the signature currently in use from the version number file according to the monitoring result in the load monitoring step;
When the CPU load exceeds a predetermined threshold, a detection item in which the number of detections in a predetermined period retroactive from the present time is larger than a predetermined value and a detection item for extracting the detection number from the data of the detection attack history file A detection number extraction step;
An attack detection frequency creation step of calculating a detection frequency for each of the extracted detection items and creating a new attack detection frequency for each detection item by multiplying the calculated detection frequency by a coefficient that gives a decrease at a predetermined rate, and
The signature corresponding to the version number acquired in the version number extraction step is read from the signature file, changed to the next version number obtained by increasing the version number of the signature, and each detection created in the attack detection frequency creation step Based on the new attack detection frequency of the item, the attack detection frequency of the corresponding detection item described in the signature is changed and stored as a target signature in the signature file, and at the same time, the updated signature is read and the attack monitoring step Is executed, the version number of the updated signature is stored in the version number file as a currently used number, and the detected items and version number of the updated signature are stored in the signature history file as a signature history. And signature updating step of,
Based on the attack detection frequency of each detection item described in the signature currently in use obtained in the detection attack history information acquisition step, a threshold value for output availability is set, the detection log output in the attack monitoring step is counted, An unauthorized intrusion detection program comprising: a detection log output availability determination step for outputting one corresponding detection log each time a numerical value exceeds a set threshold value. シグネチャ更新ステップは、負荷監視ステップでCPU負荷が閾値以下となった場合には、バージョン番号抽出ステップで取得したバージョン番号を過去に用いた1つ手前のバージョン番号に変更し、シグネチャ履歴ファイルから前記過去に用いた1つ手前のバージョン番号でかつ最新日付のシグネチャを読み込んで前記攻撃監視ステップの実行を再起動させ、当該起動対象となったシグネチャのバージョン番号を現在使用中の番号として前記バージョン番号ファイルに記憶することを特徴とする請求項6記載の不正侵入検知プログラム。   The signature update step changes the version number acquired in the version number extraction step to the previous version number used in the past when the CPU load is equal to or less than the threshold value in the load monitoring step, and the signature history file The signature with the latest version number used in the past and the latest date is read, the execution of the attack monitoring step is restarted, and the version number of the signature as the activation target is set as the currently used number. 7. The unauthorized intrusion detection program according to claim 6, which is stored in a file. 不正侵入手口のパターンを記述した検知ロジックに記載された各種の検知項目に対してそれぞれ攻撃検知度数が設定されると共に、バージョン番号が付されたシグネチャを1つ格納するシグネチャファイルと、シグネチャの履歴を格納するシグネチャ履歴ファイルと、現在の攻撃判定に使用しているシグネチャのバージョン番号を格納するバージョン番号ファイルと、検知攻撃履歴ファイルとを備えたコンピュータにインストールし、ネットワーク上から取得した通信パケット情報と前記シグネチャファイルから読み込んだ現在使用対象のシグネチャとのマッチングをとることにより攻撃判定を行い、攻撃と判定した検知ログを作成して出力する攻撃監視ステップを当該コンピュータに実行させる不正侵入検知プログラムであって、
前記攻撃監視ステップにおいて出力された検知ログから検知項目、検知日時を抽出して前記検知攻撃履歴ファイルに格納し、また対応して使用したシグネチャに記載の検知項目の攻撃検知度数を抽出する検知攻撃履歴情報取得ステップと、
前記検知攻撃履歴情報取得ステップで収集する検知項目の同じ検知ログの検知数を定期的に一定時間取得し、取得した検知ログの出力度数が予め設定した閾値を超えたか否かを監視する検知ログ出力度数監視ステップと、
前記検知ログ出力度数監視ステップにおける監視結果に応じて前記バージョン番号ファイルから現在使用中のシグネチャのバージョン番号を取得するバージョン番号抽出ステップと、
前記検知ログ出力度数監視ステップにおいて検知ログの検知度数が予め設定した閾値を超えた場合に超えた場合には、前記検知項目に基づいて前記検知攻撃履歴ファイルのデータの中から、現在から遡る所定期間内における検知数が所定値より大きい検知項目とその検知数を抽出する検知項目・検知数抽出ステップと、
前記抽出した各検知項目について検知度数をそれぞれ算出し、算出した検知度数に所定の割合で減少を与える係数をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成する攻撃検知度数作成ステップと、
前記バージョン番号抽出ステップで取得したバージョン番号に該当するシグネチャを前記シグネチャファイルから読み出し、当該シグネチャのバージョン番号を増加させた次のバージョン番号に変更し、かつ前記攻撃検知度数作成ステップで作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更して前記シグネチャファイルに使用対象シグネチャとして記憶すると同時に、この更新したシグネチャを読み込んで前記攻撃監視ステップの実行を再起動させ、当該更新したシグネチャのバージョン番号を現在使用中の番号として前記バージョン番号ファイルに記憶し、前記更新されたシグネチャの検知項目とバージョン番号をシグネチャ履歴として前記シグネチャ履歴ファイルに格納するシグネチャ更新ステップと、
前記検知攻撃履歴情報取得ステップにおいて得られる現在使用中のシグネチャに記載の各検知項目の攻撃検知度数に基づいて出力可否の閾値を設定し、前記攻撃監視ステップで出力する検知ログを計数し、当該計数値が設定した閾値を超えるごとに該当する検知ログを1つ出力する検知ログ出力可否判定ステップとを有したことを特徴とする不正侵入検知プログラム。 A signature file that stores one signature with a version number and an attack detection frequency for each of the various detection items described in the detection logic describing the pattern of unauthorized intrusion, and a signature history Installed on a computer with a signature history file that stores the signature history, a version number file that stores the version number of the signature used for the current attack determination, and a detected attack history file, and acquired from the network Is an unauthorized intrusion detection program that executes an attack monitoring step that executes an attack determination step by creating a detection log that is determined to be an attack and outputting the detected log by matching the currently used target signature read from the signature file. There,
A detection attack that extracts a detection item and a detection date and time from the detection log output in the attack monitoring step, stores the detection item in the detection attack history file, and extracts an attack detection frequency of the detection item described in the correspondingly used signature History information acquisition step;
A detection log that periodically acquires the number of detections of the same detection log of the detection items collected in the detection attack history information acquisition step for a certain period of time and monitors whether the output frequency of the acquired detection log exceeds a preset threshold value Output frequency monitoring step;
A version number extracting step of acquiring a version number of a signature currently in use from the version number file according to a monitoring result in the detection log output frequency monitoring step;
In the detection log output frequency monitoring step, when the detection frequency of the detection log exceeds a preset threshold value, a predetermined retroactive data from the detection attack history file data based on the detection item A detection item / detection number extraction step for extracting a detection item whose detection number in the period is larger than a predetermined value and the detection number,
An attack detection frequency creation step of calculating a detection frequency for each of the extracted detection items and creating a new attack detection frequency for each detection item by multiplying the calculated detection frequency by a coefficient that gives a decrease at a predetermined rate, and
The signature corresponding to the version number acquired in the version number extraction step is read from the signature file, changed to the next version number obtained by increasing the version number of the signature, and each detection created in the attack detection frequency creation step Based on the new attack detection frequency of the item, the attack detection frequency of the corresponding detection item described in the signature is changed and stored in the signature file as a target signature, and at the same time, the updated signature is read and the attack monitoring step Is executed, the version number of the updated signature is stored in the version number file as a currently used number, and the detected items and version number of the updated signature are stored in the signature history file as a signature history. And signature updating step of,
Based on the attack detection frequency of each detection item described in the signature currently in use obtained in the detection attack history information acquisition step, set a threshold value of whether to output, count the detection log output in the attack monitoring step, An unauthorized intrusion detection program comprising: a detection log output permission determination step for outputting one corresponding detection log each time the count value exceeds a set threshold value. シグネチャ更新ステップは、バージョン番号抽出ステップで取得したバージョン番号を過去に用いた1つ手前のバージョン番号に変更し、シグネチャ履歴ファイルから前記過去に用いた1つ手前のバージョン番号でかつ最新日付のシグネチャを読み込んで前記攻撃監視ステップの実行を再起動させ、当該起動対象となったシグネチャのバージョン番号を現在使用中の番号として前記バージョン番号ファイルに記憶することを特徴とする請求項8記載の不正侵入検知プログラム。   In the signature update step, the version number acquired in the version number extraction step is changed to the previous version number used in the past, and the signature having the latest version number in the past from the signature history file is used. 9. The unauthorized intrusion according to claim 8, wherein the execution of the attack monitoring step is restarted, and the version number of the signature to be activated is stored in the version number file as a currently used number. Detection program.
JP2006275392A 2006-10-06 2006-10-06 Intrusion detector and intrusion detection program Pending JP2008098766A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006275392A JP2008098766A (en) 2006-10-06 2006-10-06 Intrusion detector and intrusion detection program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006275392A JP2008098766A (en) 2006-10-06 2006-10-06 Intrusion detector and intrusion detection program

Publications (1)

Publication Number Publication Date
JP2008098766A true JP2008098766A (en) 2008-04-24

Family

ID=39381192

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006275392A Pending JP2008098766A (en) 2006-10-06 2006-10-06 Intrusion detector and intrusion detection program

Country Status (1)

Country Link
JP (1) JP2008098766A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010226635A (en) * 2009-03-25 2010-10-07 Nippon Telegr & Teleph Corp <Ntt> Communication server, and dos attack defense method
JP2022500963A (en) * 2018-09-19 2022-01-04 マグデータ インクMagdata Inc. Network security monitoring methods, network security monitoring devices and systems

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010226635A (en) * 2009-03-25 2010-10-07 Nippon Telegr & Teleph Corp <Ntt> Communication server, and dos attack defense method
JP2022500963A (en) * 2018-09-19 2022-01-04 マグデータ インクMagdata Inc. Network security monitoring methods, network security monitoring devices and systems
JP7178646B2 (en) 2018-09-19 2022-11-28 マグデータ インク Network security monitoring method, network security monitoring device and system

Similar Documents

Publication Publication Date Title
US8006302B2 (en) Method and system for detecting unauthorized use of a communication network
CN109829297B (en) Monitoring device, method and computer storage medium thereof
CN104144063B (en) Web portal security monitoring and alarming system based on log analysis and firewall security matrix
Forrest et al. The evolution of system-call monitoring
US9325725B2 (en) Automated deployment of protection agents to devices connected to a distributed computer network
US8443449B1 (en) Silent detection of malware and feedback over a network
US8752177B2 (en) Methods and systems that selectively resurrect blocked communications between devices
US20080295172A1 (en) Method, system and computer-readable media for reducing undesired intrusion alarms in electronic communications systems and networks
US7805762B2 (en) Method and system for reducing the false alarm rate of network intrusion detection systems
JP2005506736A (en) A method and apparatus for providing node security in a router of a packet network.
US20070204345A1 (en) Method of detecting computer security threats
US8925081B2 (en) Application based intrusion detection
JP4823813B2 (en) Abnormality detection device, abnormality detection program, and recording medium
CN106850509B (en) Network access control method and device
CN109784055B (en) Method and system for rapidly detecting and preventing malicious software
CN103916376A (en) Cloud system with attract defending mechanism and defending method thereof
JP2008098766A (en) Intrusion detector and intrusion detection program
JP4159814B2 (en) Interactive network intrusion detection system and interactive intrusion detection program
KR100432420B1 (en) Efficient attack detection method using log in Intrusion Detection System
WO2016038662A1 (en) Information processing device, information processing method and program
CN115801305A (en) Network attack detection and identification method and related equipment
JP2003006027A (en) Method for automatically setting access control policy and its system
JP2003186763A (en) Detection and prevention method of breaking into computer system
EP1751651B1 (en) Method and systems for computer security
KR100632204B1 (en) Attack detection device on network and method

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080703