JP2008098766A - Intrusion detector and intrusion detection program - Google Patents
Intrusion detector and intrusion detection program Download PDFInfo
- Publication number
- JP2008098766A JP2008098766A JP2006275392A JP2006275392A JP2008098766A JP 2008098766 A JP2008098766 A JP 2008098766A JP 2006275392 A JP2006275392 A JP 2006275392A JP 2006275392 A JP2006275392 A JP 2006275392A JP 2008098766 A JP2008098766 A JP 2008098766A
- Authority
- JP
- Japan
- Prior art keywords
- detection
- signature
- attack
- version number
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
この発明は、コンピュータ等への不正アクセスを検知する侵入検知装置(Intrusion Detection System:IDS)に係り、特に大量の攻撃検知処理時の負荷制御を可能にする不正侵入検知装置および不正侵入検知プログラムに関するものである。 The present invention relates to an intrusion detection system (IDS) that detects unauthorized access to a computer or the like, and more particularly to an unauthorized intrusion detection device and an unauthorized intrusion detection program that enable load control during a large amount of attack detection processing. Is.
周知のように、組織のネットワークを防御するセキュリティ手段の一つとして、ファイアウォールが広く知られている。一方、このファイアウォールと組み合わせて使用され、組織のネットワークに到達する通信パケットの監視、検出を行う不正侵入検知装置(例えば、特許文献1参照)が近年登場してきている。その理由は、従来のファイアウォールの機能が、設定内容に基づき、通信を通過させるか、通信を破棄するかだけしか行わないものである。具体的には、通信における送信元、宛先、リクエストするサービスの種別程度の情報しか検査していない。これに対して、不正侵入検知装置の方は、リクエストの内容までを見て、それが正常な通信か、攻撃なのかの判定を行う機能を持っている。
例えば、今、クラッカーによってポートスキャンが開始されたケースを想定する。ファイアウォールの場合、自己が権限を与えていないユーザのポートへのアクセスは、当然異常イベントとしてログ情報に記録する。しかし、その異常イベントが実際にポートスキャンであるかという判断は、システム管理者によって下されているのである。そのため、システム管理者には、連続したポート番号を使用し拒否されているイベントがあることを検知し、その内容がポートスキャンであることを判断できる能力が要求されると共に、ファイアウォールの設定内容(ルールベース)を更新する作業を常に実行し続けることが求められる。
As is well known, a firewall is widely known as one of security means for protecting an organization's network. On the other hand, an unauthorized intrusion detection device (for example, see Patent Document 1) that has been used in combination with this firewall and that monitors and detects communication packets that reach an organization's network has recently appeared. The reason is that the function of the conventional firewall only performs whether the communication is allowed to pass or the communication is discarded based on the setting contents. Specifically, only information about the transmission source, destination, and requested service type in communication is inspected. On the other hand, the unauthorized intrusion detection device has a function of judging whether it is normal communication or an attack by looking at the content of the request.
For example, assume a case where a port scan is started by a cracker. In the case of a firewall, access to a user port for which the user is not authorized is naturally recorded in log information as an abnormal event. However, the system administrator determines whether the abnormal event is actually a port scan. For this reason, the system administrator is required to detect that there is an event that is rejected by using consecutive port numbers, and to determine that the content is a port scan. (Rule base) is required to be constantly updated.
一方、不正侵入検知装置は、元々シーケンシャルにポート番号を変更してアクセスしてくる通信パケットを検出した場合に、自動的にポートスキャンであると判断する機能を備えている。そのため、ファイアウォールと組み合わせた場合、システム管理者の作業コストを大幅に削減できることになる。すなわち、不正侵入検知装置は、正常な通信であるか、攻撃なのかの判定を自動的に行うことにより、防御のために必要なファイアウォールのルールベースを変更するシステム管理者の作業を大幅に低減することができる。また、不正侵入検知装置では、送受信されている通信パケットの中から異常と思われるものを検知ログとして抽出し、後で照会しやすい形で記録するようにも設計されている。 On the other hand, the unauthorized intrusion detection device has a function of automatically determining that a port scan is performed when a communication packet that is accessed by sequentially changing the port number is detected. Therefore, when combined with a firewall, the work cost of the system administrator can be greatly reduced. In other words, the intrusion detection device automatically determines whether the communication is normal or an attack, thereby greatly reducing the work of the system administrator who changes the rule base of the firewall necessary for defense. can do. In addition, the unauthorized intrusion detection apparatus is also designed to extract from the transmitted / received communication packet what seems to be abnormal as a detection log and record it in a form that can be easily queried later.
攻撃と呼ばれる通信は、必ず攻撃を行うためのパターン情報を含んでいるから、不正侵入検知装置では、これらの既知攻撃パターンを記述した検知ロジックを作成しシグネチャと呼ばれるデータに登録しておく。そしてネットワーク上から通信パケットを取得すると、通信パケットごとにシグネチャを用いてマッチングを行い、攻撃通信であるか、通常通信であるかの攻撃判定を行い、攻撃と判定されたパケットに対して検知ログの作成を行って出力する。したがって、単位時間当たりに不正侵入する通信パケットの量が多くなると不正侵入検知装置の処理負荷は高くなるという問題がある。そこで、一般に不正侵入検知装置の導入形態としては、ファイアウォールで大半の攻撃を絞った後、ファイアウォールを通過する通信パケットに対して、不正侵入検知装置による判定・検知を行うようにしている。しかし、次に述べるような大量の不正パケットを送信する攻撃には対応できなくなっていた。 Since communication called an attack always includes pattern information for performing an attack, the unauthorized intrusion detection apparatus creates detection logic describing these known attack patterns and registers them in data called a signature. When a communication packet is acquired from the network, matching is performed using a signature for each communication packet, an attack determination is made as to whether the communication is attack communication or normal communication, and a detection log is detected for the packet determined to be an attack. Create and output. Therefore, there is a problem that the processing load of the unauthorized intrusion detection device increases when the amount of communication packets that are illegally intruded per unit time increases. Therefore, in general, as an introduction form of the unauthorized intrusion detection device, after most attacks are narrowed down by the firewall, the unauthorized intrusion detection device determines and detects communication packets passing through the firewall. However, it is no longer possible to deal with attacks that send a large number of illegal packets as described below.
ところで、近時、コンピュータ等への不正アクセスが横行しているが、中でもネットワークを通じた不正アクセス、すなわち攻撃で、相手のコンピュータやルータなどに不正なデータを送信して使用不能に陥らせたり、トラフィックを増大させて相手のネットワークを麻痺させたりするDDoS攻撃(Distributed Denial of Service Attack;分散サービス妨害攻撃)と呼ばれるものがある。このDDoS攻撃の場合は、第三者のマシンに攻撃プログラムを仕掛けて踏み台にし、その踏み台とした多数のマシンから標的とするマシンに大量のパケットを同時に送信する形態を採る。その結果、このように攻撃元が複数で、標的とされたコンピュータが1つである場合、その標的のコンピュータにかかる防御のための負荷は膨大なものとなる。DDoS攻撃に対しては、現状では、ある程度の対策はできても、少なくとも完全に防ぐ方法はなく、そのためインターネットの根幹に対する脅威となっている。 By the way, recently, unauthorized access to computers, etc. has been rampant, but in particular, unauthorized access through the network, that is, attacks, sending unauthorized data to the other computer or router etc., making it unusable, There is a so-called DDoS attack (Distributed Denial of Service Attack) that increases traffic and paralyzes the other party's network. In the case of this DDoS attack, an attack program is set on a third party machine to be used as a platform, and a large number of packets are simultaneously transmitted from a large number of machines as the platform to a target machine. As a result, when there are a plurality of attack sources and a single target computer as described above, the load for defense on the target computer becomes enormous. At present, there is no way to prevent DDoS attacks at least completely even though some countermeasures can be taken, and this is a threat to the fundamentals of the Internet.
また、ネットワーク型の不正侵入検知装置の処理性能を評価するためのSTICKと呼ばれる評価プログラムがある。これは、ネットワーク型の不正侵入検知装置のルールセットに定義された「検出されるための情報」を大量に送信して、不正侵入検知装置から偽の警告通知を多数発生させるフリーのソフトウェアツールである。これは、擬似的に多くの攻撃パケットを短時間で大量に生成することが可能であるがゆえに、攻撃者が、攻撃の隠蔽のためにSTICKを用いて偽の警告通知を多数発生させ、DDoS攻撃と同じような状態を作り、不正侵入検知装置の性能をダウンあるいは、無力化させるという問題が起こっている。
上述のようなDDoS攻撃に対する対策法は幾つか存在するが、いずれにしても、システム管理者による人手に頼らなければならず、それゆえ見逃されることも度々生じていた。
There is also an evaluation program called STICK for evaluating the processing performance of the network type unauthorized intrusion detection apparatus. This is a free software tool that sends a large amount of “information to be detected” defined in the rule set of a network-type intrusion detection device and generates many false warning notifications from the intrusion detection device. is there. This is because it is possible to generate a large number of pseudo-attack packets in a short period of time, so that the attacker generates many false warning notifications using STICK for concealing the attack, and DDoS There is a problem of creating a state similar to an attack and reducing or disabling the performance of the intrusion detection device.
There are several countermeasures against the DDoS attack as described above, but in any case, it has to be relied on by the system administrator and is often overlooked.
以上のように、従来のネットワーク型の不正侵入検知装置によれば、DDoS攻撃を受けてネットワークトラフィックが増加した場合、システム管理者による取りこぼしが起こりやすく、解析処理が追従できないといった問題が発生した。特に、不正侵入検知装置の分析能力をはるかに超える攻撃の場合、攻撃の検知ログの分析処理が飽和してしまい、最悪の場合、不正侵入検知装置自体の機能が停止に追い込まれる事態になるといった問題があった。 As described above, according to the conventional network-type unauthorized intrusion detection apparatus, when the network traffic increases due to the DDoS attack, the system administrator is likely to miss out and the analysis process cannot follow. In particular, in the case of an attack that far exceeds the analysis capability of the unauthorized intrusion detection device, the analysis processing of the attack detection log is saturated, and in the worst case, the function of the unauthorized intrusion detection device itself is forced to stop. There was a problem.
この発明は、以上のような問題を解決するためになされたもので、大量の攻撃に対しても攻撃検知処理の飽和を防ぐことを可能にする不正侵入検知装置および不正侵入検知プログラムを得ることを目的とする。 The present invention has been made to solve the above problems, and obtains an unauthorized intrusion detection apparatus and an unauthorized intrusion detection program that can prevent saturation of attack detection processing even for a large number of attacks. With the goal.
この発明の不正侵入検知装置は、ネットワーク上から取得した通信パケット情報と不正侵入手口のパターンを記述した検知ロジックを登録したシグネチャとのマッチングをとることにより攻撃判定を行い、攻撃と判定した検知ログを作成して出力する攻撃監視手段を備えた不正侵入検知装置において、攻撃監視手段で使用する検知ロジックに記載された各種の検知項目に対してそれぞれ攻撃検知度数が設定されると共に、バージョン番号が付されたシグネチャを1つ格納するシグネチャファイルと、攻撃監視手段の処理負荷に関連するデータ状態を監視し、当該データ状態の変化に応じてシグネチャファイルの現在使用対象となっているシグネチャの選択された検知項目の攻撃検知度数を減増変更すると共に、バージョン番号を新旧変更することにより当該シグネチャの更新を行い、この更新ごとに、更新されたシグネチャの攻撃監視手段への読み込みを再起動し、攻撃監視手段で出力した検知ログを計数し、当該計数値が更新されたシグネチャの検知項目ごとの攻撃検知度数に基づいて設定した閾値を超えるごとに該当する検知ログを1つ出力するよう制御する処理負荷制御手段を備えたものである。 The unauthorized intrusion detection apparatus according to the present invention performs an attack determination by matching a communication packet information acquired from a network with a signature in which a detection logic describing a pattern of an unauthorized intrusion technique is registered, and a detection log determined as an attack. In the intrusion detection device equipped with the attack monitoring means that creates and outputs the attack detection frequency is set for each of the various detection items described in the detection logic used by the attack monitoring means, and the version number is The signature file that stores one attached signature and the data state related to the processing load of the attack monitoring means are monitored, and the signature that is currently used for the signature file is selected according to the change in the data state. The detection number of detected items is increased or decreased, and the version number is changed. And the signature is updated every time the update is performed, the reading of the updated signature into the attack monitoring means is restarted, the detection log output by the attack monitoring means is counted, and the count value is updated. And a processing load control means for controlling to output one corresponding detection log every time a threshold set based on the attack detection frequency for each detection item is exceeded.
この発明によれば、攻撃を目的とする大量の通信パケットを取得して攻撃判定・検知処理を実行した場合でも、攻撃監視手段の攻撃判定・検知処理における処理負荷の異常な上昇を抑えることができ、その結果、CPU(Central Processing Unit)負荷の上昇も抑え、装置の停止を防ぐことが可能となる。 According to the present invention, even when a large amount of communication packets intended for an attack are acquired and attack determination / detection processing is executed, an abnormal increase in processing load in attack determination / detection processing of the attack monitoring means can be suppressed. As a result, it is possible to suppress an increase in CPU (Central Processing Unit) load and to prevent the apparatus from being stopped.
実施の形態1.
図1は、この発明の実施の形態1による不正侵入検知装置を含むネットワークシステムの機能構成を示すブロック図である。
不正侵入検知装置100が接続されたネットワーク400には、不正マシン401、正常マシン402、サーバ403などが適宜接続されており、ネットワーク400上には通信パケットが流れている。
不正侵入検知装置100の構成において、パケットキャプチャ部101、攻撃監視部(攻撃判定部102、攻撃検知部103からなる)120、シグネチャ読み込み部110、シグネチャファイル110a、検知ログ出力可否判定部105、検知ログ出力部106、シグネチャ更新部109は、従来の構成に略相当する機能である。特に、攻撃監視部120は特許文献1の図1における不正侵入検知装置200に相当する部分である。また、シグネチャ更新部109は、従来はシステム管理者が手動で操作していた部分である。
一方、破線で囲まれた処理負荷制御部121は、この発明の目的を達成するための主なる構成部分であり、上記シグネチャ更新部109、検知ログ出力可否判定部105を含み、検知攻撃情報管理部104、検知攻撃履歴ファイル104a、CPU負荷監視部107、シグネチャ更新内容作成部108、バージョン番号ファイル109a、シグネチャ履歴ファイル109b、バージョン番号抽出部112を備えている。
FIG. 1 is a block diagram showing a functional configuration of a network system including an unauthorized intrusion detection device according to
An unauthorized machine 401, a
In the configuration of the unauthorized intrusion detection apparatus 100, a
On the other hand, the processing
パケットキャプチャ部101は、ネットワーク400上から通信パケットを取得し、関連するパケットをつなげて連続した一つの情報にして、図示しないメモリ領域に格納すると共に、読み出して攻撃監視部120へ出力する手段である。攻撃判定部102は、パケットキャプチャ部101で取得した通信パケット情報とシグネチャとのマッチングをとることにより攻撃判定を行う手段である。攻撃検知部103は、攻撃判定の結果、特定の攻撃として識別された通信パケット情報について検知ログを作成し出力する手段である。検知ログ出力可否判定部105は、攻撃検知部103から出力された検知ログを、後段へ出力すべきか否かを閾値に基づいて判定する手段である。検知ログ出力部106は、検知ログ出力可否判定部105からの検知ログ、そのアラートを管理部200側へ出力する手段である。シグネチャファイル110aは、攻撃判定のマッチングの使用対象とするシグネチャを格納する手段である。ここで、シグネチャには、既知の不正侵入手口のパターンを記述した検知ロジックが登録されているが、この検知ロジックには、例えばプロトコルの種類、ポート番号、文字列(例、SQL SLAMMR、Ping Sweep)など、対象とする攻撃を検知するための各種の検知項目が含まれている。また、シグネチャには、攻撃名称、各検知項目に対して設定された攻撃検知度数(単位時間当たりの攻撃検知数)、シグネチャのバージョン番号などが記述されている。後述するが、この発明では、選択した検知項目の攻撃検知度数とバージョン番号を変更制御することが特徴の一つとなっている。
The
シグネチャ読み込み部110は、攻撃監視手段120で攻撃判定する際にマッチングに用いるシグネチャをシグネチャファイル110aから読み込む手段である。CPU負荷監視部107は、不正侵入検知装置100を含む処理のCPU負荷が所定の閾値を超えたか否かを常時監視する手段である。バージョン番号ファイル109aは、攻撃監視部120で現在の攻撃判定に使用しているシグネチャのバージョン番号を格納する手段である。バージョン番号抽出部112は、攻撃監視部120の監視結果に応じてバージョン番号ファイル109aから現在使用中のシグネチャのバージョン番号を取得する手段である。検知攻撃情報管理部104は、攻撃監視部120で出力された検知ログに記載された検知項目、検知日時を抽出して検知攻撃履歴ファイル104aに格納し、またマッチングで使用したシグネチャに記載の検知項目の攻撃検知度数を抽出し、他手段からの要求に応じて所定のデータを出力する手段である。シグネチャ更新内容作成部108は、CPU負荷が所定の閾値を超えた場合に検知攻撃情報管理部104から検知数が所定値より大きい検知項目とその検知数を取り寄せて各検知項目の検知度数をそれぞれ算出し、それら検知度数に所定の割合で減少を与える係数をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成する手段である。シグネチャ更新部109は、バージョン番号抽出部112で取得したバージョン番号に該当するシグネチャの選択された検知項目の攻撃検知度数を減増変更すると共に、バージョン番号を新旧変更するとともに、更新するシグネチャの検知項目とバージョン番号、日時をシグネチャの履歴としてシグネチャ履歴ファイル109bに格納し、この更新ごとに、更新されたシグネチャの攻撃監視部120への読み込みを再起動する手段である。
The
まず、従来の構成部分による攻撃判定・検知処理に相当する動作について説明する。
図1において、パケットキャプチャ部101は、ネットワーク400上から通信パケットを取得すると、一つの意味を持つ通信データ(これを、「通信パケット情報」と呼ぶことにする)を再構築して攻撃監視部120へ出力する。攻撃判定部102では、通信パケット情報を受け取ると、シグネチャ読み込み部110を起動してシグネチャファイル110aからシグネチャを読み込み、通信パケット情報とシグネチャとでマッチングを行い、当該通信パケット情報が不正侵入のデータであるかの攻撃判定処理を行う。具体的には、IPヘッダ部の解析、IPのデフラグメンテーション、プロトコル毎のヘッダ部の解析、TCP通信であればセッション管理などの処理を実行した後、シグネチャに含まれる検知項目合致するデータがあるかのマッチングを行い、合致するものがあれば異常あるいは攻撃通信と判定する。
First, an operation corresponding to an attack determination / detection process by a conventional component will be described.
In FIG. 1, when the
次に、攻撃検知部103では、攻撃判定部102で攻撃と判定された通信パケット情報に対して、シグネチャに記載された検知ロジックに従って攻撃検知処理を実行する。具体的には、攻撃判定部102で行った解析データに対して、シグネチャに記載された検知ロジック、例えば「プロトコルがTCPで、ポートが80で、データ部に***が含まれているものはWEBにおける***攻撃」というような既知の攻撃パターンに応じて調べ、マッチングで使用したシグネチャで指定している各種検知項目を検出する。この場合の検知項目の検出方法としては、シグネチャで設定している各検知項目の攻撃検知度数に従って行う。例えば或る検知項目について、10秒に1回検知したならば検知ログを出力するとか、あるいは10秒で10回検知したならば初めて検知ログを出力するというようにする。この場合に出力される検知ログの内容としては、攻撃名称、アラート、送信元IPアドレス、検知項目、検知日時などを含む。
従来の検知ログ出力可否判定部105の場合は、攻撃検知部103から出力された検知ログを計数し、当該計数値が予め設定された、あるいは手動で変更可能に設定された閾値を超えるごとに該当する検知ログを1つ出力する。検知ログ出力部106では、検知ログ出力可否判定部105から検知ログが出力された場合にその検知ログからアラートを抽出し、検知ログと共にデータを管理部200へ出力する。
Next, the
In the case of the conventional detection log output
次に、この発明に係る処理負荷制御部121によるシグネチャ更新処理について、図2のフローに従って説明する。
ここで、最初、シグネチャファイル110aに格納されている使用対象とするシグネチャには初期バージョン番号(デフォルト値、例えば「0」)が記述されているものとする。バージョン番号ファイル109aには、上記使用対象とするシグネチャの初期バージョン番号が格納されているものとする。シグネチャ読み込み部110は、最初の攻撃判定処理の起動時には、上記使用対象とするシグネチャを攻撃監視部120へ読み込むものとする。
また、攻撃監視部120が攻撃判定・検知処理を行っている状態において、検知攻撃情報管理部104では、攻撃監視部120が随時出力する検知ログから検知項目、検知日時を抽出して検知攻撃履歴ファイル104aに格納していき、また対応して使用したシグネチャに記載の検知項目の攻撃検知度数を抽出して検知ログ出力可否判定部105に出力しているものとする。
Next, the signature update processing by the processing
Here, it is assumed that an initial version number (default value, for example, “0”) is first described in the signature to be used stored in the
Further, in a state where the
CPU負荷監視部107では、不正侵入検知装置100を含む動作を制御しているCPU負荷の状態(攻撃監視部120の処理負荷に関連するデータ状態)を常時監視する(ステップST1)。ここで、このCPU負荷は今、CPU負荷が或る一定時間に亘って所定の閾値(例えば90%)を連続して超えたことを検出した場合、すなわち負荷が異常となる可能性が高い状態になった場合(ステップST2)、CPU負荷監視部107は、その負荷検出情報をバージョン番号抽出部112へ出力する。バージョン番号抽出部112では、検出情報を受けると、バージョン番号ファイル109aから現在使用中のシグネチャのバージョン番号を読み込んで、負荷検出情報と共にシグネチャ更新内容作成部108へ渡す(ステップST3)。シグネチャ更新内容作成部108では、受け取った負荷検出情報がCPU負荷上昇を示している場合、検知攻撃情報管理部104に対してシグネチャ更新内容の作成に用いる所定のデータを要求する。この要求に応じて検知攻撃情報管理部104では、現在から遡る所定期間内における検知数が所定値より大きい複数の検知項目とその検知数を抽出してシグネチャ更新内容作成部108へ渡す。シグネチャ更新内容作成部108は、取得した複数の検知項目の検知数から検知度数をそれぞれ算出し、算出した検知度数に所定の割合で減少を与える係数(例えば、一律1/2)をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成し、バージョン番号抽出部112から与えられた負荷検出情報、攻撃名称、初期バージョン番号と共にシグネチャ更新部109に渡す(ステップST6)。
The CPU
シグネチャ更新部109では、受け取った負荷検出情報がCPU負荷上昇を示している場合、初期バージョン番号に該当するシグネチャをシグネチャファイル110aから読み出し、当該シグネチャの初期バージョン番号を+1にした新バージョン番号に変更し、かつシグネチャ更新内容作成部108で作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更して、使用対象とするシグネチャとしてシグネチャファイル110aに記憶すると共に、更新したシグネチャを攻撃監視部120に読み込むようシグネチャ読み込み部110を再起動させる。また、このとき変更したシグネチャの新バージョン番号を、現在使用中のシグネチャのバージョン番号としてバージョン番号ファイル109aに記録する(ステップST8)。
When the received load detection information indicates an increase in CPU load, the
以上のシグネチャ更新処理の結果、攻撃監視部120が新バージョン番号を持つシグネチャを用いてマッチングを行い、攻撃と判定した検知ロジックを作成して出力することになる。この場合、攻撃検知部103において行う各種検知項目の検出処理は、シグネチャで設定された検知項目の攻撃検知度数に依存するので、したがって、これら攻撃検知度数が初期バージョン番号のものよりも低減するので、処理負荷も低減することになる。この一連のシグネチャ更新処理はCPU負荷が閾値以下の安全な状態に落ち着くまで、バージョン番号が増える方向に繰り返される。
また、ステップST8において、シグネチャ更新部109では、上記のようにシグネチャを更新した場合、その更新シグネチャの検知項目とバージョン番号、日時をシグネチャ履歴として前記シグネチャ履歴ファイル109bに格納する。これは、攻撃検知の頻度解析の際、更新時刻の攻撃検知度数を把握しておく必要があるためである。
As a result of the signature update process described above, the
In step ST8, when the
一方、上述の場合とは逆に、CPU負荷監視部107が、CPU負荷が一定時間閾値より低くなったことを検出した場合(ステップST2)、CPU負荷監視部107は、その負荷検出情報をバージョン番号抽出部112へ出力する。バージョン番号抽出部112では、検出情報を受けると、バージョン番号ファイル109aから現在使用中のシグネチャのバージョン番号を読み込んで、負荷検出情報と共にシグネチャ更新内容作成部108へ渡す(ステップST4)。シグネチャ更新内容作成部108では、受け取った負荷検出情報がCPU負荷低下を示している場合、入手したバージョン番号が初期値であるか否かを調べる(ステップST5)。初期値でない場合には、そのバージョン番号を負荷検出情報と共にシグネチャ更新部109に渡す(ステップST7)。シグネチャ更新部109では、負荷検出情報がCPU負荷低下を示している場合、シグネチャ更新内容作成部108から受け取ったバージョン番号を−1にして次に使用対象とするシグネチャのバージョン番号とし、この減らしたバージョン番号に対応するシグネチャを、シグネチャ履歴ファイル109bから最新日付の内容のシグネチャに変更し、かつ更新したシグネチャを攻撃監視部120に読み込むようシグネチャ読み込み部110を再起動させる。また、このときシグネチャ更新部109では、減らしたバージョン番号を現在使用中のシグネチャのバージョン番号としてバージョン番号ファイル109aに記録する(ステップST8)。すなわち、この更新データは1世代前の更新内容、言い換えれば1世代前に検知項目の攻撃検知度数が設定されたシグネチャとなる。
したがって、シグネチャで設定された検知項目の攻撃検知度数が現在のバージョン番号のものよりも増加するので、攻撃検知部103における処理負荷も増加することになる。この場合のシグネチャの更新処理は、現在使用対象とするシグネチャが初期バージョン番号となるまで繰り返される。その後の処理負荷制御部121の動作は、CPU負荷監視部107でCPU負荷が閾値を超える場合は再び攻撃検知度数を下げていく動作に移る。
On the other hand, contrary to the above case, when the CPU
Therefore, since the attack detection frequency of the detection item set in the signature is higher than that of the current version number, the processing load on the
以上、一連のシグネチャ更新処理を自動的に行い、装置全体の負荷状況に応じた攻撃判定・検知処理の統制・制御を実行することについて述べた。しかし、この場合、攻撃判定・検知処理により攻撃監視部120から出力する検知ログの出力度数は変化する。そのため、検知ログ出力可否判定部105で用いている閾値が従来のように一定だと検知ログ出力部106に出力する検知ログの出力度数も変化することになる。そこで、検知ログ出力可否判定部105の閾値を調整して、検知ログの出力度数を安定にする、検知ログの出力処理の統制が必要となる。
As described above, it has been described that a series of signature update processing is automatically performed and control / control of attack determination / detection processing according to the load status of the entire apparatus is executed. However, in this case, the output frequency of the detection log output from the
この発明の検知ログ出力可否判定部105では、検知攻撃情報管理部104で常時取得する現在使用中のシグネチャに記載の各検知項目の攻撃検知度数に基づいて出力可否の閾値を自動的に設定変更するようにする。例えば、各検知項目の攻撃検知度数の平均値をとり、その値を閾値とする。このことにより、出力可否の閾値は、検知ログの出力度数が増加した場合には高くし、逆に検知ログの出力度数が減少した場合には低く設定することができる。すなわち、検知ログ出力可否判定部105は、攻撃監視部120が出力する検知ログの出力数を計数して出力度数を算出し、当該出力度数がこの閾値を超えるごとに該当する検知ログを1つ出力することになり、検知ログ出力部106に与える検知ログの出力頻度を安定化させることができる。
The detection log output
以上説明してきた不正侵入検知装置100による処理は、プログラムによりコンピュータで実行させることができるものである。その場合のプログラムは、ネットワーク上から取得した通信パケット情報とシグネチャファイル110aから読み込んだ現在使用対象のシグネチャとのマッチングをとることにより攻撃判定を行い、攻撃と判定した検知ログを作成して出力する攻撃監視ステップと、この攻撃監視ステップにおいて出力された検知ログから検知項目、検知日時を抽出して検知攻撃履歴ファイル104aに格納し、また対応して使用したシグネチャに記載の検知項目の攻撃検知度数を抽出する検知攻撃履歴情報取得ステップと、コンピュータの動作制御を行うCPU負荷が所定の閾値を超えたか否かを常時監視する負荷監視ステップと、この負荷監視ステップにおける監視結果に応じてバージョン番号ファイル109aから現在使用中のシグネチャのバージョン番号を取得するバージョン番号抽出ステップと、CPU負荷が所定の閾値を超えた場合に検知攻撃履歴ファイル104aのデータの中から、現在から遡る所定期間内における検知数が所定値より大きい検知項目とその検知数を抽出する検知項目・検知数抽出ステップと、抽出した各検知項目について検知度数をそれぞれ算出し、算出した検知度数に所定の割合で減少を与える係数をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成する攻撃検知度数作成ステップと、バージョン番号抽出ステップで取得したバージョン番号に該当するシグネチャをシグネチャファイル110aから読み出し、当該シグネチャのバージョン番号を増加させた次のバージョン番号に変更し、かつ攻撃検知度数作成ステップで作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更してシグネチャファイル110aに使用対象シグネチャとして記憶すると同時に、この更新したシグネチャを読み込んで攻撃監視ステップの実行を再起動させ、当該更新したシグネチャのバージョン番号を現在使用中の番号としてバージョン番号ファイル109aに記憶するとともに、更新するシグネチャの検知項目とバージョン番号、日時をシグネチャ履歴としてシグネチャ履歴ファイル109bに格納するシグネチャ更新ステップと、検知攻撃履歴情報取得ステップにおいて得られる現在使用中のシグネチャに記載の各検知項目の攻撃検知度数に基づいて出力可否の閾値を設定し、攻撃監視ステップで出力する検知ログを計数し、当該計数値がこの閾値を超えるごとに該当する検知ログを1つ出力する検知ログ出力可否判定ステップとを有している。
The processing by the unauthorized intrusion detection apparatus 100 described above can be executed by a computer using a program. In this case, the program performs an attack determination by matching the communication packet information acquired from the network with the signature currently used read from the
また、このプログラムのシグネチャ更新ステップは、負荷監視ステップでCPU負荷が閾値以下となった場合には、バージョン番号抽出ステップで取得したバージョン番号を過去に用いた1つ手前のバージョン番号に変更し、シグネチャ履歴ファイル109bから当該過去に用いた1つ手前のバージョン番号でかつ最新日付のシグネチャを読み込んで攻撃監視ステップの実行を再起動させ、当該起動対象となったシグネチャのバージョン番号を現在使用中の番号としてバージョン番号ファイル109aに記憶する処理を行う。
Further, the signature update step of this program changes the version number acquired in the version number extraction step to the previous version number used in the past when the CPU load is equal to or less than the threshold value in the load monitoring step, The
以上のように、この実施の形態1によれば、攻撃判定・検知処理を含む動作制御を行うCPU負荷の状態に応じて、攻撃判定・検知処理のマッチングに使用するシグネチャに記載の検知項目の攻撃検知度数の設定を変更調整するシグネチャ更新処理を行うようにしたので、攻撃を目的とする大量の通信パケットを取得して攻撃判定・検知処理を実行した場合でも、その処理負荷の異常な上昇を抑えることができ、その結果、CPU負荷の上昇も抑えて装置の停止を防ぐことが可能となる。また、このシグネチャ更新処理により変更されたシグネチャに記載の検知項目の攻撃検知度数に基づいて、検知ログ出力可否判定処理で用いる閾値を変更調整するようにしたので、攻撃判定・検知処理によって後段に出力する検知ログの出力頻度を安定させることが可能となる。 As described above, according to the first embodiment, the detection items described in the signature used for matching of the attack determination / detection process are matched according to the state of the CPU load that performs the operation control including the attack determination / detection process. Since signature update processing that changes and adjusts the setting of attack detection frequency is performed, even when a large amount of communication packets for attack are acquired and attack determination / detection processing is executed, the processing load increases abnormally As a result, it is possible to prevent an increase in CPU load and prevent the apparatus from being stopped. In addition, the threshold used in the detection log output enable / disable determination process is changed and adjusted based on the attack detection frequency of the detection item described in the signature changed by the signature update process. It is possible to stabilize the output frequency of the output detection log.
実施の形態2.
図3はこの発明の実施の形態2による不正侵入検知装置を含むネットワークシステムの機能構成を示すブロック図である。図において、図1に相当する部分には同一符号を付し、原則としてその説明は省略する。図3の構成は、図1のCPU負荷監視部107が無く、また、シグネチャ更新内容作成部108の代わりに検知ログ出力監視・更新内容作成部111を設けた点が異なる。実施の形態1ではCPU負荷の状態を常時監視していたのに対し、実施の形態2では、検知ログの出力度数(攻撃監視部120の処理負荷に関連するデータ状態)を定期的に監視するようにした点に特徴がある。そのため、検知ログ出力監視・更新内容作成部111は、実施の形態1の図1に示すシグネチャ更新内容作成部108が行う処理に加え、攻撃監視部120における処理負荷を監視する機能を併せ持っている。
Embodiment 2. FIG.
FIG. 3 is a block diagram showing a functional configuration of a network system including an unauthorized intrusion detection device according to Embodiment 2 of the present invention. In the figure, portions corresponding to those in FIG. 1 are denoted by the same reference numerals, and description thereof will be omitted in principle. The configuration of FIG. 3 is different in that the CPU
次に、実施の形態2におけるシグネチャ更新処理について、図4に示す動作フローに従って説明する。
図3において、検知ログ出力監視・更新内容作成部111は、攻撃監視部120から検知攻撃情報管理部104に出力される検知項目の同じ検知ログを定期的に一定時間取得して出力度数を算出し、その出力度数をシグネチャ項目毎の検知ログを定期的に検知攻撃情報管理部104から取得して監視している(ステップST11)。このため、検知ログ出力監視・更新内容作成部111では、同じ検知項目の検知ログの出力度数に関する閾値(例えば、一定時間に20回)が予め設定されている。一定時間に取得した検知ログの出力度数がこの閾値を超えた場合(ステップST12)、検知ログ出力監視・更新内容作成部111は、バージョン番号抽出部112に対しバージョン番号ファイル109aに格納された現在使用中のシグネチャのバージョン番号を要求し、そのバージョン番号を取得する。次に検知ログ出力監視・更新内容作成部111では、検知攻撃情報管理部104に対してシグネチャ更新内容の作成に用いる所定のデータを要求する。この要求に応じて検知攻撃情報管理部104では、現在から遡る所定期間内における検知数が所定値より大きい複数の検知項目とその検知数を抽出して検知ログ出力監視・更新内容作成部111へ渡す。検知ログ出力監視・更新内容作成部111は、取得した複数の検知項目の検知数から検知度数をそれぞれ算出し、算出した検知度数に所定の割合で減少を与える係数(例えば、一律1/2)をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成し、バージョン番号抽出部112から与えられた初期バージョン番号、出力度数の検出情報と共にシグネチャ更新部109に渡す(ステップST13)。
Next, the signature update processing in the second embodiment will be described according to the operation flow shown in FIG.
In FIG. 3, the detection log output monitoring / update content creation unit 111 periodically obtains the same detection log of the detection items output from the
シグネチャ更新部109では、受け取った出力度数の検出情報が処理負荷上昇を示している場合、初期バージョン番号に該当するシグネチャをシグネチャファイル110aから読み出し、当該シグネチャの初期バージョン番号を+1にした新バージョン番号に変更し、かつ検知ログ出力監視・更新内容作成部111で作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更して、使用対象とするシグネチャとしてシグネチャファイル110aに記憶すると共に、更新したシグネチャを攻撃監視部120に読み込むようシグネチャ読み込み部110を再起動させる(ステップST16)。また、このとき変更したシグネチャの新バージョン番号を、現在使用中のシグネチャのバージョン番号としてバージョン番号ファイル109aに記録する。
また、シグネチャ更新部109では、上記のようにシグネチャを更新した場合、その更新シグネチャの検知項目とバージョン番号、日時をシグネチャ履歴としてシグネチャ履歴ファイル109bに格納する。
In the
In addition, when the signature is updated as described above, the
一方、上述の場合とは逆に、一定時間に取得した検知ログの出力度数が閾値より低くなった場合(ステップST12)、検知ログ出力監視・更新内容作成部111は、上記と同様にして、バージョン番号抽出部112を介してバージョン番号ファイル109aから現在使用中のシグネチャのバージョン番号を取得し(ステップST14)、取得したバージョン番号が初期値であるか否かを調べる(ステップST15)。初期値でない場合には、そのバージョン番号を出力度数の検出情報と共にシグネチャ更新部109に渡す(ステップST15)。シグネチャ更新部109では、出力度数の検出情報が処理負荷低下を示している場合、検知ログ出力監視・更新内容作成部111から受け取ったバージョン番号を−1にして次に使用対象とするシグネチャのバージョン番号とし、この減らしたバージョン番号に対応するシグネチャを、シグネチャ履歴ファイル109bから最新日付の内容のシグネチャに変更し、かつ更新したシグネチャを攻撃監視部120に読み込むようシグネチャ読み込み部110を再起動させる。また、このときシグネチャ更新部109では、減らしたバージョン番号を現在使用中のシグネチャのバージョン番号としてバージョン番号ファイル109aに記録する(ステップST16)。すなわち、この更新データは1世代前に検知項目の攻撃検知度数が設定されたシグネチャとなる。
その後、検知ログ出力可否判定部105による検知ログの出力処理の制御は、実施の形態1と同様にして行われる。
On the other hand, contrary to the above case, when the output frequency of the detection log acquired in a certain time is lower than the threshold (step ST12), the detection log output monitoring / update content creating unit 111 is similar to the above. The version number of the signature currently in use is acquired from the
Thereafter, control of detection log output processing by the detection log output
なお、以上説明したこの実施の形態2の処理をコンピュータで行わせるプログラムは、ネットワーク上から取得した通信パケット情報とシグネチャファイル110aから読み込んだ現在使用対象のシグネチャとのマッチングをとることにより攻撃判定を行い、攻撃と判定した検知ログを作成して出力する攻撃監視ステップと、この攻撃監視ステップにおいて出力された検知ログから検知項目、検知日時を抽出して検知攻撃履歴ファイル104aに格納し、また対応して使用したシグネチャに記載の検知項目の攻撃検知度数を抽出する検知攻撃履歴情報取得ステップと、この検知攻撃履歴情報取得ステップで収集する同じ検知ログの出力数を定期的に一定時間取得し、取得した検知ログの出力度数が予め設定した閾値を超えたか否かを監視する検知ログ出力度数監視ステップと、この検知ログ出力度数監視ステップにおける監視結果に応じてバージョン番号ファイル109aから検知項目が同じ現在使用中のシグネチャのバージョン番号を取得するバージョン番号抽出ステップと、検知ログ出力度数監視ステップにおいて検知ログの出力度数が予め設定した閾値を超えた場合に超えた場合には検知攻撃履歴ファイル104aのデータの中から、現在から遡る所定期間内における検知数が所定値より大きい検知項目とその検知数を抽出する検知項目・検知数抽出ステップと、抽出した各検知項目について検知度数をそれぞれ算出し、算出した検知度数に所定の割合で減少を与える係数をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成する攻撃検知度数作成ステップと、バージョン番号抽出ステップで取得したバージョン番号に該当するシグネチャをシグネチャファイル110aから読み出し、当該シグネチャのバージョン番号を増加させた次のバージョン番号に変更し、かつ攻撃検知度数作成ステップで作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更してシグネチャファイル110aに使用対象シグネチャとして記憶すると同時に、この更新したシグネチャを読み込んで前記攻撃監視ステップの実行を再起動させ、当該更新したシグネチャのバージョン番号を現在使用中の番号としてバージョン番号ファイル109aに記憶するとともに、更新するシグネチャの検知項目とバージョン番号、日時をシグネチャ履歴としてシグネチャ履歴ファイル109bに格納するシグネチャ更新ステップと、検知攻撃履歴情報取得ステップにおいて得られる現在使用中のシグネチャに記載の各検知項目の攻撃検知度数に基づいて出力可否の閾値を設定し、攻撃監視ステップで出力する検知ログを計数し、当該計数値が設定した閾値を超えるごとに該当する検知ログを1つ出力する検知ログ出力可否判定ステップとを有している。
The program for causing the computer to perform the processing of the second embodiment described above makes an attack determination by matching the communication packet information acquired from the network with the signature of the current use target read from the
また、このプログラムのシグネチャ更新ステップは、出力度数の検出情報が処理負荷低下を示している場合、バージョン番号抽出ステップで取得したバージョン番号を過去に用いた1つ手前のバージョン番号に変更し、シグネチャ履歴ファイル109bから当該過去に用いた1つ手前のバージョン番号でかつ最新日付のシグネチャを読み込んで攻撃監視ステップの実行を再起動させ、当該起動対象となったシグネチャのバージョン番号を現在使用中の番号としてバージョン番号ファイル109aに記憶する処理を行う。
Further, the signature update step of this program changes the version number acquired in the version number extraction step to the previous version number used in the past when the detection information of the output frequency indicates a reduction in processing load, Read the signature of the previous date and the latest date used in the past from the
以上のように、この実施の形態2によれば、攻撃判定・検知処理で出力される検知ログの出力度数の状態に応じて、マッチングに使用するシグネチャに記載の検知項目の攻撃検知度数の設定を変更調整するシグネチャ更新処理を行うようにしたので、実施の形態1と同様に、攻撃を目的とする大量の通信パケットを取得して攻撃判定・検知処理を実行した場合でも、その処理負荷の異常な上昇を抑えることができ、その結果、CPU負荷の上昇も抑えて装置の停止を防ぐことが可能となる。また、このシグネチャ更新処理により変更されたシグネチャに記載の検知項目の攻撃検知度数に基づいて、検知ログ出力可否判定処理で用いる閾値を変更調整するようにしたので、攻撃判定・検知処理によって後段に出力する検知ログの出力頻度を安定させることが可能となる。なお、この実施の形態2の場合は、検知ログの出力度数を監視するので、CPU負荷を監視する実施の形態1よりも構成上有利となる。 As described above, according to the second embodiment, the attack detection frequency of the detection item described in the signature used for matching is set according to the state of the output frequency of the detection log output in the attack determination / detection process. As in the first embodiment, even when a large amount of communication packets intended for an attack are acquired and the attack determination / detection process is executed, the processing load An abnormal increase can be suppressed, and as a result, an increase in CPU load can also be suppressed to prevent the apparatus from being stopped. In addition, the threshold used in the detection log output enable / disable determination process is changed and adjusted based on the attack detection frequency of the detection item described in the signature changed by the signature update process. It is possible to stabilize the output frequency of the output detection log. In the case of the second embodiment, since the output frequency of the detection log is monitored, the configuration is more advantageous than the first embodiment in which the CPU load is monitored.
100 不正侵入検知装置、101 パケットキャプチャ部、102 攻撃判定部、103 攻撃検知部、104 検知攻撃情報管理部、104a 検知攻撃履歴ファイル、105 検知ログ出力可否判定部、106 検知ログ出力部、107 CPU負荷監視部、108 シグネチャ更新内容作成部、109 シグネチャ更新部、109a バージョン番号ファイル、109b シグネチャ履歴ファイル、110 シグネチャ読み込み部、110a シグネチャファイル、111 検知ログ出力監視・更新内容作成部、112 バージョン番号抽出部、120 攻撃監視部、121 処理負荷制御部。 DESCRIPTION OF SYMBOLS 100 unauthorized intrusion detection apparatus, 101 packet capture part, 102 attack determination part, 103 attack detection part, 104 detection attack information management part, 104a detection attack history file, 105 detection log output availability determination part, 106 detection log output part, 107 CPU Load monitoring unit, 108 signature update content creation unit, 109 signature update unit, 109a version number file, 109b signature history file, 110 signature reading unit, 110a signature file, 111 detection log output monitoring / update content creation unit, 112 version number extraction Unit, 120 attack monitoring unit, 121 processing load control unit.
Claims (9)
前記攻撃監視手段で使用する検知ロジックに記載された各種の検知項目に対してそれぞれ攻撃検知度数が設定されると共に、バージョン番号が付されたシグネチャを1つ格納するシグネチャファイルと、
前記攻撃監視手段の処理負荷に関連するデータ状態を監視し、当該データ状態の変化に応じて前記シグネチャファイルの現在使用対象となっているシグネチャの選択された検知項目の攻撃検知度数を減増変更すると共に、バージョン番号を新旧変更することにより当該シグネチャの更新を行い、この更新ごとに、更新されたシグネチャの前記攻撃監視手段への読み込みを再起動し、前記攻撃監視手段で出力した検知ログを計数し、当該計数値が前記更新されたシグネチャの検知項目ごとの攻撃検知度数に基づいて設定した閾値を超えるごとに該当する検知ログを1つ出力するよう制御する処理負荷制御手段を備えたことを特徴とする不正侵入検知装置。 Attack monitoring means that performs attack determination by matching the communication packet information acquired from the network with the signature registered detection logic describing the pattern of unauthorized intrusion, and creates and outputs a detection log determined as an attack Intrusion detection device equipped with
A signature file that stores one signature with a version number and an attack detection frequency for each of the various detection items described in the detection logic used in the attack monitoring means;
The data state related to the processing load of the attack monitoring means is monitored, and the attack detection frequency of the selected detection item of the signature currently used in the signature file is increased or decreased according to the change in the data state In addition, the signature is updated by changing the version number between old and new, and for each update, reading of the updated signature into the attack monitoring unit is restarted, and the detection log output by the attack monitoring unit is displayed. A processing load control unit that counts and controls to output one corresponding detection log each time the counted value exceeds a threshold set based on the attack detection frequency for each detection item of the updated signature An intrusion detection device characterized by
攻撃監視手段が現在の攻撃判定に使用しているシグネチャに記載のバージョン番号を格納するバージョン番号ファイルと、
検知攻撃履歴ファイルと、
シグネチャ履歴ファイルと、
前記攻撃監視手段で出力された検知ログから検知項目、検知日時を抽出して前記検知攻撃履歴ファイルに格納し、また対応して使用したシグネチャに記載の検知項目の攻撃検知度数を抽出し、他手段からの要求に応じて所定のデータを出力する検知攻撃情報管理手段と、
当該装置を含む処理を実行するCPU負荷が所定の閾値を超えたか否かを常時監視する負荷監視手段と、
前記負荷監視手段の監視結果に応じて前記バージョン番号ファイルから現在使用中のシグネチャのバージョン番号を取得するバージョン番号抽出手段と、
前記バージョン番号抽出手段からCPU負荷が所定の閾値を超えたときに取得したバージョン番号が与えられた場合には、前記検知攻撃情報管理手段に要求を出して前記検知攻撃履歴ファイルのデータの中から抽出した、現在から遡る所定期間内における検知数が所定値より大きい検知項目とその検知数を取り寄せ、取り寄せた各検知項目の検知度数をそれぞれ算出して、算出した検知度数に所定の割合で減少を与える係数をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成するシグネチャ更新内容作成手段と、
前記バージョン番号抽出手段が取得したバージョン番号に該当するシグネチャを前記シグネチャファイルから読み出し、当該シグネチャのバージョン番号を増加させた次のバージョン番号に変更し、かつ前記シグネチャ更新内容作成手段が作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更して前記シグネチャファイルに使用対象シグネチャとして記憶すると同時に、この更新したシグネチャを前記攻撃監視手段に読み込むよう再起動させ、当該更新したシグネチャのバージョン番号を現在使用中の番号として前記バージョン番号ファイルに記憶するとともに、更新されたシグネチャの検知項目とバージョン番号及び日時をシグネチャ履歴として前記シグネチャ履歴ファイルに格納するシグネチャ更新手段と、
前記検知攻撃情報管理手段から得られた現在使用中のシグネチャに記載の各検知項目の攻撃検知度数に基づいて出力可否の閾値を設定し、前記攻撃監視手段が出力する検知ログを計数し、当該計数値が設定した閾値を超えるごとに該当する検知ログを1つ出力する検知ログ出力可否判定手段とを有したことを特徴とする請求項1記載の不正侵入検知装置。 The processing load control means
A version number file that stores the version number described in the signature used by the attack monitoring means for the current attack determination;
Detection attack history file,
A signature history file,
Extract detection items and detection date and time from the detection log output by the attack monitoring means, store them in the detection attack history file, extract the attack detection frequency of the detection items described in the signature used correspondingly, etc. Detection attack information management means for outputting predetermined data in response to a request from the means;
Load monitoring means for constantly monitoring whether or not the CPU load for executing processing including the device exceeds a predetermined threshold;
Version number extraction means for obtaining a version number of a signature currently in use from the version number file according to the monitoring result of the load monitoring means;
When the version number acquired when the CPU load exceeds a predetermined threshold value from the version number extraction unit, a request is made to the detection attack information management unit, and the data is stored in the detection attack history file. The number of detection items and the number of detections that have been extracted within a predetermined period that extends from the present are collected, and the detection frequency of each detection item is calculated, and the detection frequency is decreased by a predetermined rate. Signature update content creation means for creating a new attack detection frequency for each detection item by multiplying each by a coefficient that gives
The detection corresponding to the version number acquired by the version number extraction unit is read from the signature file, changed to the next version number obtained by increasing the version number of the signature, and each detection created by the signature update content creation unit Based on the new attack detection frequency of the item, the attack detection frequency of the corresponding detection item described in the signature is changed and stored as a target signature in the signature file, and at the same time, the updated signature is read into the attack monitoring means The version number of the updated signature is stored in the version number file as a currently used number, and the signature history file includes the updated signature detection item, version number, and date / time as a signature history. And signature updating means for storing,
Based on the attack detection frequency of each detection item described in the signature currently in use obtained from the detection attack information management means, set a threshold value of whether to output, count the detection log output by the attack monitoring means, The unauthorized intrusion detection apparatus according to claim 1, further comprising: a detection log output permission determination unit that outputs one corresponding detection log every time the count value exceeds a set threshold value.
攻撃監視手段が現在の攻撃判定に使用しているシグネチャのバージョン番号を格納するバージョン番号ファイルと、
他からの要求により前記バージョン番号ファイルから現在使用中のシグネチャのバージョン番号を取得するバージョン番号抽出手段と、
検知攻撃履歴ファイルと、
シグネチャ履歴ファイルと、
前記攻撃監視手段で出力された検知ログから検知項目、検知日時を抽出して前記検知攻撃履歴ファイルに格納し、また対応して使用したシグネチャに記載の検知項目の攻撃検知度数を抽出し、他手段からの要求に応じて所定のデータを出力する検知攻撃情報管理手段と、
前記検知攻撃情報管理手段から前記攻撃監視手段が出力する同じ検知ログを定期的に一定時間取得して当該検知ログの出力度数を算出し、算出した出力度数が予め設定した閾値を超えたか否かを常時監視し、超えた場合には前記バージョン番号抽出手段により前記バージョン番号ファイルから現在使用中のシグネチャのバージョン番号を取得すると共に、前記検知攻撃情報管理手段に要求を出して前記検知攻撃履歴ファイルのデータの中から抽出した、現在から遡る所定期間内における検知数が所定値より大きい検知項目とその検知数を取り寄せ、取り寄せた各検知項目の検知度数をそれぞれ算出して、算出した検知度数に所定の割合で減少を与える係数をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成する検知ログ出力監視・更新内容作成手段と、
前記バージョン番号抽出手段が取得したバージョン番号のシグネチャを前記シグネチャファイルから読み出し、当該シグネチャのバージョン番号を増加させた次のバージョン番号に変更し、かつ前記検知ログ出力監視・更新内容作成手段が作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更して前記シグネチャファイルに使用対象シグネチャとして記憶すると同時に、この更新したシグネチャを前記攻撃監視手段に読み込むよう再起動させ、当該更新したシグネチャのバージョン番号を現在使用中の番号として前記バージョン番号ファイルに記憶するとともに、更新されたシグネチャの検知項目とバージョン番号及び日時をシグネチャ履歴として前記シグネチャ履歴ファイルに格納するシグネチャ更新手段と、
前記検知攻撃情報管理手段から得られた現在使用中のシグネチャに記載の各検知項目の攻撃検知度数に基づいて出力可否の閾値を設定し、前記攻撃監視手段が出力する検知ログを計数し、当該計数値が設定した閾値を超えるごとに該当する検知ログを1つ出力する検知ログ出力可否判定手段とを有したことを特徴とする請求項1記載の不正侵入検知装置。 The processing load control means
A version number file that stores the version number of the signature used by the attack monitoring means for the current attack determination;
Version number extraction means for obtaining the version number of the signature currently in use from the version number file in response to a request from another;
Detection attack history file,
A signature history file,
Extract detection items and detection date and time from the detection log output by the attack monitoring means, store them in the detection attack history file, extract the attack detection frequency of the detection items described in the signature used correspondingly, etc. Detection attack information management means for outputting predetermined data in response to a request from the means;
Whether the same detection log output by the attack monitoring unit from the detection attack information management unit is periodically acquired for a certain period of time to calculate the output frequency of the detection log, and whether the calculated output frequency exceeds a preset threshold value Is constantly monitored, and if it exceeds, the version number extracting means obtains the version number of the signature currently in use from the version number file, and sends a request to the detected attack information management means to detect the detected attack history file. The number of detection items and the number of detections that have been extracted from the data, and the number of detections in the predetermined period retroactive from the present time is greater than the predetermined value, and the detection frequency of each detected detection item is calculated individually. Detection log output monitoring / update that creates a new attack detection frequency for each detection item by multiplying each by a factor that gives a decrease at a predetermined rate And the contents creation means,
The signature of the version number acquired by the version number extraction unit is read from the signature file, changed to the next version number obtained by increasing the version number of the signature, and created by the detection log output monitoring / update content creation unit Based on the new attack detection frequency of each detection item, the attack detection frequency of the corresponding detection item described in the signature is changed and stored as a signature to be used in the signature file. At the same time, the updated signature is stored in the attack monitoring unit. And the version number of the updated signature is stored in the version number file as a currently used number, and the signature history file includes the updated signature detection item, version number and date / time as a signature history. And signature updating means for storing,
Based on the attack detection frequency of each detection item described in the signature currently in use obtained from the detection attack information management means, set a threshold value of whether to output, count the detection log output by the attack monitoring means, The unauthorized intrusion detection apparatus according to claim 1, further comprising: a detection log output permission determination unit that outputs one corresponding detection log every time the count value exceeds a set threshold value.
前記攻撃監視ステップにおいて出力された検知ログから検知項目、検知日時を抽出して前記検知攻撃履歴ファイルに格納し、また対応して使用したシグネチャに記載の検知項目の攻撃検知度数を抽出する検知攻撃履歴情報取得ステップと、
前記コンピュータの動作制御を行うCPU負荷が所定の閾値を超えたか否かを常時監視する負荷監視ステップと、
この負荷監視ステップにおける監視結果に応じて前記バージョン番号ファイルから現在使用中のシグネチャのバージョン番号を取得するバージョン番号抽出ステップと、
前記CPU負荷が所定の閾値を超えた場合に、前記検知攻撃履歴ファイルのデータの中から、現在から遡る所定期間内における検知数が所定値より大きい検知項目とその検知数を抽出する検知項目・検知数抽出ステップと、
前記抽出した各検知項目について検知度数をそれぞれ算出し、算出した検知度数に所定の割合で減少を与える係数をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成する攻撃検知度数作成ステップと、
前記バージョン番号抽出ステップで取得したバージョン番号に該当するシグネチャを前記シグネチャファイルから読み出し、当該シグネチャのバージョン番号を増加させた次のバージョン番号に変更し、かつ前記攻撃検知度数作成ステップで作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更して前記シグネチャファイルに使用対象シグネチャとして記憶すると同時に、この更新したシグネチャを読み込んで前記攻撃監視ステップの実行を再起動させ、当該更新したシグネチャのバージョン番号を現在使用中の番号として前記バージョン番号ファイルに記憶し、前記更新されたシグネチャの検知項目とバージョン番号をシグネチャ履歴として前記シグネチャ履歴ファイルに格納するシグネチャ更新ステップと、
検知攻撃履歴情報取得ステップにおいて得られる現在使用中のシグネチャに記載の各検知項目の攻撃検知度数に基づいて出力可否の閾値を設定し、前記攻撃監視ステップで出力する検知ログを計数し、当該計数値が設定した閾値を超えるごとに該当する検知ログを1つ出力する検知ログ出力可否判定ステップとを有したことを特徴とする不正侵入検知プログラム。 A signature file that stores one signature with a version number and an attack detection frequency for each of the various detection items described in the detection logic describing the pattern of unauthorized intrusion, and a signature history Installed on a computer with a signature history file that stores the signature history, a version number file that stores the version number of the signature used for the current attack determination, and a detected attack history file, and acquired from the network Is an unauthorized intrusion detection program that executes an attack monitoring step that executes an attack determination step by creating a detection log that is determined to be an attack and outputting the detected log by matching the currently used target signature read from the signature file. There,
A detection attack that extracts a detection item and a detection date and time from the detection log output in the attack monitoring step, stores the detection item in the detection attack history file, and extracts an attack detection frequency of the detection item described in the correspondingly used signature History information acquisition step;
A load monitoring step of constantly monitoring whether or not the CPU load for controlling the operation of the computer exceeds a predetermined threshold;
A version number extraction step for obtaining the version number of the signature currently in use from the version number file according to the monitoring result in the load monitoring step;
When the CPU load exceeds a predetermined threshold, a detection item in which the number of detections in a predetermined period retroactive from the present time is larger than a predetermined value and a detection item for extracting the detection number from the data of the detection attack history file A detection number extraction step;
An attack detection frequency creation step of calculating a detection frequency for each of the extracted detection items and creating a new attack detection frequency for each detection item by multiplying the calculated detection frequency by a coefficient that gives a decrease at a predetermined rate, and
The signature corresponding to the version number acquired in the version number extraction step is read from the signature file, changed to the next version number obtained by increasing the version number of the signature, and each detection created in the attack detection frequency creation step Based on the new attack detection frequency of the item, the attack detection frequency of the corresponding detection item described in the signature is changed and stored as a target signature in the signature file, and at the same time, the updated signature is read and the attack monitoring step Is executed, the version number of the updated signature is stored in the version number file as a currently used number, and the detected items and version number of the updated signature are stored in the signature history file as a signature history. And signature updating step of,
Based on the attack detection frequency of each detection item described in the signature currently in use obtained in the detection attack history information acquisition step, a threshold value for output availability is set, the detection log output in the attack monitoring step is counted, An unauthorized intrusion detection program comprising: a detection log output availability determination step for outputting one corresponding detection log each time a numerical value exceeds a set threshold value.
前記攻撃監視ステップにおいて出力された検知ログから検知項目、検知日時を抽出して前記検知攻撃履歴ファイルに格納し、また対応して使用したシグネチャに記載の検知項目の攻撃検知度数を抽出する検知攻撃履歴情報取得ステップと、
前記検知攻撃履歴情報取得ステップで収集する検知項目の同じ検知ログの検知数を定期的に一定時間取得し、取得した検知ログの出力度数が予め設定した閾値を超えたか否かを監視する検知ログ出力度数監視ステップと、
前記検知ログ出力度数監視ステップにおける監視結果に応じて前記バージョン番号ファイルから現在使用中のシグネチャのバージョン番号を取得するバージョン番号抽出ステップと、
前記検知ログ出力度数監視ステップにおいて検知ログの検知度数が予め設定した閾値を超えた場合に超えた場合には、前記検知項目に基づいて前記検知攻撃履歴ファイルのデータの中から、現在から遡る所定期間内における検知数が所定値より大きい検知項目とその検知数を抽出する検知項目・検知数抽出ステップと、
前記抽出した各検知項目について検知度数をそれぞれ算出し、算出した検知度数に所定の割合で減少を与える係数をそれぞれ乗じて各検知項目の新たな攻撃検知度数を作成する攻撃検知度数作成ステップと、
前記バージョン番号抽出ステップで取得したバージョン番号に該当するシグネチャを前記シグネチャファイルから読み出し、当該シグネチャのバージョン番号を増加させた次のバージョン番号に変更し、かつ前記攻撃検知度数作成ステップで作成した各検知項目の新たな攻撃検知度数に基づいて当該シグネチャに記載の対応する検知項目の攻撃検知度数を変更して前記シグネチャファイルに使用対象シグネチャとして記憶すると同時に、この更新したシグネチャを読み込んで前記攻撃監視ステップの実行を再起動させ、当該更新したシグネチャのバージョン番号を現在使用中の番号として前記バージョン番号ファイルに記憶し、前記更新されたシグネチャの検知項目とバージョン番号をシグネチャ履歴として前記シグネチャ履歴ファイルに格納するシグネチャ更新ステップと、
前記検知攻撃履歴情報取得ステップにおいて得られる現在使用中のシグネチャに記載の各検知項目の攻撃検知度数に基づいて出力可否の閾値を設定し、前記攻撃監視ステップで出力する検知ログを計数し、当該計数値が設定した閾値を超えるごとに該当する検知ログを1つ出力する検知ログ出力可否判定ステップとを有したことを特徴とする不正侵入検知プログラム。 A signature file that stores one signature with a version number and an attack detection frequency for each of the various detection items described in the detection logic describing the pattern of unauthorized intrusion, and a signature history Installed on a computer with a signature history file that stores the signature history, a version number file that stores the version number of the signature used for the current attack determination, and a detected attack history file, and acquired from the network Is an unauthorized intrusion detection program that executes an attack monitoring step that executes an attack determination step by creating a detection log that is determined to be an attack and outputting the detected log by matching the currently used target signature read from the signature file. There,
A detection attack that extracts a detection item and a detection date and time from the detection log output in the attack monitoring step, stores the detection item in the detection attack history file, and extracts an attack detection frequency of the detection item described in the correspondingly used signature History information acquisition step;
A detection log that periodically acquires the number of detections of the same detection log of the detection items collected in the detection attack history information acquisition step for a certain period of time and monitors whether the output frequency of the acquired detection log exceeds a preset threshold value Output frequency monitoring step;
A version number extracting step of acquiring a version number of a signature currently in use from the version number file according to a monitoring result in the detection log output frequency monitoring step;
In the detection log output frequency monitoring step, when the detection frequency of the detection log exceeds a preset threshold value, a predetermined retroactive data from the detection attack history file data based on the detection item A detection item / detection number extraction step for extracting a detection item whose detection number in the period is larger than a predetermined value and the detection number,
An attack detection frequency creation step of calculating a detection frequency for each of the extracted detection items and creating a new attack detection frequency for each detection item by multiplying the calculated detection frequency by a coefficient that gives a decrease at a predetermined rate, and
The signature corresponding to the version number acquired in the version number extraction step is read from the signature file, changed to the next version number obtained by increasing the version number of the signature, and each detection created in the attack detection frequency creation step Based on the new attack detection frequency of the item, the attack detection frequency of the corresponding detection item described in the signature is changed and stored in the signature file as a target signature, and at the same time, the updated signature is read and the attack monitoring step Is executed, the version number of the updated signature is stored in the version number file as a currently used number, and the detected items and version number of the updated signature are stored in the signature history file as a signature history. And signature updating step of,
Based on the attack detection frequency of each detection item described in the signature currently in use obtained in the detection attack history information acquisition step, set a threshold value of whether to output, count the detection log output in the attack monitoring step, An unauthorized intrusion detection program comprising: a detection log output permission determination step for outputting one corresponding detection log each time the count value exceeds a set threshold value.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006275392A JP2008098766A (en) | 2006-10-06 | 2006-10-06 | Intrusion detector and intrusion detection program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006275392A JP2008098766A (en) | 2006-10-06 | 2006-10-06 | Intrusion detector and intrusion detection program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008098766A true JP2008098766A (en) | 2008-04-24 |
Family
ID=39381192
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006275392A Pending JP2008098766A (en) | 2006-10-06 | 2006-10-06 | Intrusion detector and intrusion detection program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008098766A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010226635A (en) * | 2009-03-25 | 2010-10-07 | Nippon Telegr & Teleph Corp <Ntt> | Communication server, and dos attack defense method |
JP2022500963A (en) * | 2018-09-19 | 2022-01-04 | マグデータ インクMagdata Inc. | Network security monitoring methods, network security monitoring devices and systems |
-
2006
- 2006-10-06 JP JP2006275392A patent/JP2008098766A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010226635A (en) * | 2009-03-25 | 2010-10-07 | Nippon Telegr & Teleph Corp <Ntt> | Communication server, and dos attack defense method |
JP2022500963A (en) * | 2018-09-19 | 2022-01-04 | マグデータ インクMagdata Inc. | Network security monitoring methods, network security monitoring devices and systems |
JP7178646B2 (en) | 2018-09-19 | 2022-11-28 | マグデータ インク | Network security monitoring method, network security monitoring device and system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8006302B2 (en) | Method and system for detecting unauthorized use of a communication network | |
CN109829297B (en) | Monitoring device, method and computer storage medium thereof | |
CN104144063B (en) | Web portal security monitoring and alarming system based on log analysis and firewall security matrix | |
Forrest et al. | The evolution of system-call monitoring | |
US9325725B2 (en) | Automated deployment of protection agents to devices connected to a distributed computer network | |
US8443449B1 (en) | Silent detection of malware and feedback over a network | |
US8752177B2 (en) | Methods and systems that selectively resurrect blocked communications between devices | |
US20080295172A1 (en) | Method, system and computer-readable media for reducing undesired intrusion alarms in electronic communications systems and networks | |
US7805762B2 (en) | Method and system for reducing the false alarm rate of network intrusion detection systems | |
JP2005506736A (en) | A method and apparatus for providing node security in a router of a packet network. | |
US20070204345A1 (en) | Method of detecting computer security threats | |
US8925081B2 (en) | Application based intrusion detection | |
JP4823813B2 (en) | Abnormality detection device, abnormality detection program, and recording medium | |
CN106850509B (en) | Network access control method and device | |
CN109784055B (en) | Method and system for rapidly detecting and preventing malicious software | |
CN103916376A (en) | Cloud system with attract defending mechanism and defending method thereof | |
JP2008098766A (en) | Intrusion detector and intrusion detection program | |
JP4159814B2 (en) | Interactive network intrusion detection system and interactive intrusion detection program | |
KR100432420B1 (en) | Efficient attack detection method using log in Intrusion Detection System | |
WO2016038662A1 (en) | Information processing device, information processing method and program | |
CN115801305A (en) | Network attack detection and identification method and related equipment | |
JP2003006027A (en) | Method for automatically setting access control policy and its system | |
JP2003186763A (en) | Detection and prevention method of breaking into computer system | |
EP1751651B1 (en) | Method and systems for computer security | |
KR100632204B1 (en) | Attack detection device on network and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080703 |