JP2009123052A - Policy generation system, program and recording medium - Google Patents
Policy generation system, program and recording medium Download PDFInfo
- Publication number
- JP2009123052A JP2009123052A JP2007297684A JP2007297684A JP2009123052A JP 2009123052 A JP2009123052 A JP 2009123052A JP 2007297684 A JP2007297684 A JP 2007297684A JP 2007297684 A JP2007297684 A JP 2007297684A JP 2009123052 A JP2009123052 A JP 2009123052A
- Authority
- JP
- Japan
- Prior art keywords
- event
- information
- hids
- detection system
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、ホスト型侵入検知システムが監視を行う際のポリシ(方針)を示すポリシ情報を生成するポリシ生成システムに関する。また、本発明は、ポリシ生成システムとしてコンピュータを機能させるためのプログラム、およびそのプログラムを記録したコンピュータ読み取り可能な記録媒体にも関する。 The present invention relates to a policy generation system that generates policy information indicating a policy (policy) when a host-type intrusion detection system performs monitoring. The present invention also relates to a program for causing a computer to function as a policy generation system, and a computer-readable recording medium on which the program is recorded.
ホスト型侵入検知システム(Host-based Intrusion Detection System:HIDS)の代表的な侵入検知方式の1つに、監視対象のホストが管理するファイルの正常な状態を予めデータベースに記録しておき、ホスト内のシステムの状態を定期的に監視して正常時の状態と比較することで、ファイルの改ざんを検知する方式がある。これは、多くの侵入において、ファイルが改ざんされることに注目した方式である。 As one of the typical intrusion detection methods of the Host-based Intrusion Detection System (HIDS), the normal status of files managed by the monitored host is recorded in the database in advance. There is a method of detecting file tampering by periodically monitoring the system status of the system and comparing it with the normal status. This is a method that pays attention to the fact that a file is falsified in many intrusions.
HIDSが攻撃によるホストへの侵入を正確に検知するためには、監視対象のファイルを定義するポリシファイル(ポリシ情報)の適切な設定が重要となる。HIDSのポリシファイルには、例えばどのディレクトリの、どのファイルを、どのくらいの間隔で監視するのかという情報が含まれる。HIDS以外にも、ポリシファイルの設定を行う機器がある。例えば、特許文献1には、ネットワーク型侵入検知システム(Network-based Intrusion Detection System:NIDS)の不正アクセス検出機能を利用してファイアウォールのポリシファイルを自動更新する技術が記載されている。また、特許文献2には、ファイアウォールが検知したDoS(Denial of Service)攻撃の情報に基づいてルータのポリシファイルを自動更新する技術が記載されている。
しかし、攻撃対象になるファイルがOSやアプリケーション毎に異なることや、攻撃を受けていないOSやアプリケーションによる正常なファイル変更も多岐に渡ることなどから、HIDSのポリシファイルを適切に設定することは難しい。このためHIDSのポリシファイルの作成は運用者の技量に依存しており、設定の不備が生じる恐れがある。 However, it is difficult to set the HIDS policy file appropriately because the attack target file varies depending on the OS and application, and normal file changes by the OS and application that are not under attack are diverse. . For this reason, the creation of a policy file for HIDS depends on the skill of the operator, and there is a risk of incomplete settings.
本発明は、上述した課題に鑑みてなされたものであって、運用者の技量に依存せずにポリシ情報を生成することができるポリシ生成システム、プログラム、および記録媒体を提供することを目的とする。 The present invention has been made in view of the above-described problems, and an object thereof is to provide a policy generation system, a program, and a recording medium that can generate policy information without depending on the skill of an operator. To do.
本発明は、上記の課題を解決するため、以下の事項に基づいてなされたものである。ネットワーク型侵入検知システムまたはウィルス検知システムと、ホスト型侵入検知システムとから出力されるイベント情報を関連付けることによって、攻撃によるイベントと、攻撃の影響を受けていないイベントとを識別することが可能となる。例えば、ネットワーク型侵入検知システムまたはウィルス検知システムと、ホスト型侵入検知システムとがほぼ同時刻にそれぞれ独立にイベントを検知した場合、そのイベントは、攻撃による影響が現れていることを示している。 In order to solve the above-described problems, the present invention has been made based on the following matters. By associating event information output from a network-type intrusion detection system or virus detection system with a host-type intrusion detection system, it becomes possible to identify an event caused by an attack and an event that is not affected by the attack. . For example, if a network type intrusion detection system or virus detection system and a host type intrusion detection system detect an event independently at approximately the same time, the event indicates that an influence of an attack has appeared.
また、ホスト型侵入検知システムのみがイベントを検知した場合や、ネットワーク型侵入検知システムまたはウィルス検知システムのみがイベントを検知した場合、そのイベントは、OSやアプリケーションによる正常な動作、または攻撃が失敗したことを示している。上記のことから、実際の攻撃によるイベント情報を収集し、そのイベント情報に基づいて、攻撃の影響が反映されたポリシ情報を生成することによって、ポリシ情報の生成において運用者の技量を排除することが可能となる。 In addition, when only the host-type intrusion detection system detects the event, or when only the network-type intrusion detection system or virus detection system detects the event, the event is a normal operation or attack by the OS or application has failed. It is shown that. From the above, by collecting event information from actual attacks and generating policy information that reflects the impact of the attack based on the event information, the operator's skill is eliminated in the generation of policy information Is possible.
上記の事項に鑑み、本発明は、ネットワーク型侵入検知システムまたはウィルス検知システムと、ホスト型侵入検知システムとから出力されるイベント情報を収集するイベント収集手段と、イベントの検知時刻に基づいて前記イベント情報を互いに関連付ける関連付け手段と、互いに関連付けた前記イベント情報に基づいて、攻撃によるイベントの出現頻度に関する統計値を算出する統計値算出手段と、前記ホスト型侵入検知システムが行う監視に関する指標値を前記統計値に基づいて算出する指標値算出手段と、前記ホスト型侵入検知システムが監視する対象を特定する情報と前記指標値を含むポリシ情報を生成する情報生成手段とを備えたことを特徴とするポリシ生成システムである。 In view of the above, the present invention provides a network type intrusion detection system or virus detection system, event collection means for collecting event information output from the host type intrusion detection system, and the event based on the event detection time. An association means for associating information with each other, a statistical value calculation means for calculating a statistical value related to an appearance frequency of an event due to an attack based on the event information associated with each other, and an index value relating to monitoring performed by the host-type intrusion detection system Index value calculating means for calculating based on a statistical value, information specifying means for generating policy information including the index value and information for specifying an object to be monitored by the host-type intrusion detection system This is a policy generation system.
また、本発明のポリシ生成システムにおいて、前記指標値算出手段は、前記指標値として、前記ホスト型侵入検知システムが監視を行う監視間隔を算出することを特徴とする。 In the policy generation system of the present invention, the index value calculation means calculates a monitoring interval at which the host-type intrusion detection system performs monitoring as the index value.
また、本発明のポリシ生成システムにおいて、前記指標値算出手段は、前記指標値として、前記ホスト型侵入検知システムが検知するイベントが攻撃によるものである可能性を示す信頼度を算出することを特徴とする。 In the policy generation system of the present invention, the index value calculation means calculates, as the index value, a reliability indicating that the event detected by the host-type intrusion detection system may be due to an attack. And
また、本発明のポリシ生成システムにおいて、前記指標値算出手段はさらに、前記ホスト型侵入検知システムから出力されるイベント重要度と前記信頼度に基づいて、前記ホスト型侵入検知システムが検知したイベントに対する対応優先度を算出し、前記情報生成手段はさらに、イベントの識別情報と前記対応優先度を含む情報を生成することを特徴とする。 In the policy generation system according to the present invention, the index value calculation unit may further detect an event detected by the host-type intrusion detection system based on the event importance and the reliability output from the host-type intrusion detection system. The correspondence priority is calculated, and the information generation unit further generates information including event identification information and the correspondence priority.
また、本発明のポリシ生成システムにおいて、前記指標値算出手段はさらに、前記統計値に基づいて、前記ホスト型侵入検知システムまたは前記ウィルス検知システムが検知したイベントと、前記ネットワーク型侵入検知システムが検知したイベントとの相関度を算出し、前記情報生成手段はさらに、イベントの識別情報と前記相関度を含む情報を生成することを特徴とする。 In the policy generation system of the present invention, the index value calculation means may further detect an event detected by the host-type intrusion detection system or the virus detection system and the network-type intrusion detection system based on the statistical value. The degree of correlation with the event is calculated, and the information generation unit further generates information including event identification information and the degree of correlation.
また、本発明のポリシ生成システムは、前記ホスト型侵入検知システムまたは前記ウィルス検知システムの初期状態の情報を記憶する初期状態記憶手段と、前記初期状態の情報に基づいて、前記ホスト型侵入検知システムまたは前記ウィルス検知システムを仮想環境上で起動する起動制御手段とをさらに備えたことを特徴とする。 The policy generation system according to the present invention includes an initial state storage means for storing information on an initial state of the host type intrusion detection system or the virus detection system, and the host type intrusion detection system based on the information on the initial state. Alternatively, it further includes activation control means for activating the virus detection system in a virtual environment.
また、本発明は、上記のポリシ生成システムとしてコンピュータを機能させるためのプログラムである。 Moreover, this invention is a program for functioning a computer as said policy production | generation system.
また、本発明は、上記のプログラムを記録したコンピュータ読み取り可能な記録媒体である。 The present invention is a computer-readable recording medium on which the above program is recorded.
本発明によれば、運用者の技量に依存せずにポリシ情報を生成することができるという効果が得られる。 According to the present invention, it is possible to generate policy information without depending on the skill of the operator.
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態によるポリシ生成システムの構成を示している。まず、図1に示す各構成について説明する。このポリシ生成システムはインターネット100に接続している。イベント収集部1は、ネットワーク型侵入検知システム(NIDS)、ホスト型侵入検知システム(HIDS)、およびウィルス検知システム(Virus Intrusion Detection System:VDS)から出力されるイベント情報を収集し、イベント情報記憶部2に格納する。イベント情報記憶部2は、イベント収集部によって収集されたイベント情報を記憶する。HIDSとVDSは同一のホスト内で起動するが、NIDSは、HIDSおよびVDSが起動するホストとは別個の装置であってもよいし、HIDSおよびVDSが起動するホスト内にNIDSを設けてもよい。本実施形態では、このNIDS、HIDS、およびVDSが攻撃を監視する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows the configuration of a policy generation system according to an embodiment of the present invention. First, each configuration shown in FIG. 1 will be described. This policy generation system is connected to the Internet 100. The
NIDS10はインターネット100上の通信を監視し、例えばネットワーク回線上を流れるパケットのパターンが、予め定義しておいた攻撃パターンと一致する場合に、攻撃を検知したとみなす。NIDS10は、攻撃パターンを含むパケットを検知すると、そのパケットが攻撃先のシステムに対して影響を及ぼすか否かに関わらず、イベント情報を出力する。
The NIDS 10 monitors communications on the Internet 100, and considers that an attack has been detected when, for example, the pattern of a packet flowing on the network line matches a predefined attack pattern. When the
HIDSおよびVDSは、ホスト内の仮想環境上で動作する仮想マシン(Virtual Machine:VM)によって実現される。本実施形態では、VM11,12,13がホスト内に設けられ、各VMにHIDS11a,12a,13aとVDS11b,12b,13bとが設けられている。各VMのOSやアプリケーションの構成は異なっているものとする。各VMの動作は、VMM(Virtual Machine Monitor)14によって制御され、各VMはVMM14を介してホスト内のCPUおよびメモリの資源を共有する。図1では3台のVMが示されているが、VMの数はこれに限らない。
HIDS and VDS are realized by a virtual machine (VM) operating on a virtual environment in the host. In this embodiment,
仮想環境ではなく実機を用いた場合、図2に示すように、例えば3台のホスト20a,20b,20cに対して個別に環境の構築を行わなければならない。また、攻撃を受けた場合、攻撃の監視を続行するためには、再度各ホストの環境を構築しなければならない。したがって、実機を用いた場合には、環境の構築に時間を要する。
When a real machine is used instead of a virtual environment, as shown in FIG. 2, for example, an environment must be individually constructed for three
一方、VMMを用いた仮想環境では、全てのホストはファイルとして扱われる。図3に示すように、例えば、1つのホストに対応したファイル30aをコピーしてファイル30bを作成することによって、容易に新たなホストを追加することが可能である。また、例えばホスト内に攻撃が侵入し、そのホストに対応したファイル30cが改ざんを受けた場合でも、ファイルの内容を書き換えて元の状態に戻すことによって、ホストを復旧することができる。このように、仮想環境上でホストを構築することによって、様々な構成のホストを容易に作成することができると共に、ホストが攻撃を受けた場合でも正常な状態に容易に復元することができる。
On the other hand, in a virtual environment using VMM, all hosts are handled as files. As shown in FIG. 3, for example, a new host can be easily added by creating a
図1に示した構成の説明に戻る。本実施形態では、攻撃に関するイベント情報の収集に係る手間を削減するため、VM11,12,13を定期的に再起動する機能をホストに持たせている。再起動制御部15は、VMM14を介してVM11,12,13の再起動を制御する。この再起動の際には、再起動制御部15は、初期状態記憶部3に保存されている各VMの初期状態の情報を取得し、その情報に基づいて、各VMに対応するファイルを書き換えることによって、各VMを再起動する。
Returning to the description of the configuration shown in FIG. In the present embodiment, the host is provided with a function of periodically restarting the
初期状態記憶部3は、各VMの初期状態の情報として、ディスクイメージと各種設定ファイルを記憶する。ディスクイメージは、ホストのハードディスク環境を模倣したファイルである。また、各種設定ファイルには、各ホストのメモリ使用量やネットワーク設定等に関する情報が含まれる。
The initial
イベント処理部4は、イベント情報を関連付ける処理と、互いに関連付けたイベント情報を用いた統計処理とを実行する。統計情報記憶部5は、統計処理によって生成された統計情報を記憶する。ポリシファイル生成部6は、HIDSが行う監視に関する指標値を算出し、その指標値を含むHIDSのポリシファイルおよびそれに付随する情報の生成処理を実行する。ポリシファイル記憶部7は、HIDSのポリシファイルおよびそれに付随する情報を記憶する。ポリシファイル記憶部7が記憶するHIDSのポリシファイル等は、HIDSを実装する他のホストで適宜利用される。
The event processing unit 4 executes processing for associating event information and statistical processing using event information associated with each other. The statistical
次に、本実施形態で収集されるイベント情報について説明する。各HIDSは各VM上の全てのディレクトリとその中のファイルを定期的に監視し、ディレクトリおよびファイルの変更、追加、削除の有無を判定する。前回の監視時と比較して、ディレクトリまたはファイルに変更、追加、削除のいずれかがあった場合、各HIDSはイベント情報を出力する。図4(a)に示すように、HIDSのイベント情報40は、日時40a、ディレクトリ名40b、ファイル名40c、およびイベント内容40dの各情報を含んでいる。
Next, event information collected in the present embodiment will be described. Each HIDS periodically monitors all directories on each VM and the files in them to determine whether directories and files have been changed, added, or deleted. Each HIDS outputs event information when there is any change, addition, or deletion to a directory or file compared to the previous monitoring. As shown in FIG. 4A, the
NIDS10は、インターネット100を経由した、攻撃パターンと一致するパケットを検知し、イベント情報を出力する。図4(b)に示すように、NIDSのイベント情報41は、日時41a、攻撃名41b、Source IPおよびPort41c(送信元のIPアドレスおよびポート番号)、Destination IPおよびPort41d(送信先のIPアドレスおよびポート番号)の各情報を含んでいる。
The
各VDSは各VM上のファイルを定期的に監視し、変更または追加のあったファイルに対して、予め定義されているウィルスパターンとのパターンマッチングを行い、ウィルスの有無を判定する。ウィルスパターンと一致するパターンがファイルから検出された場合、各VDSはイベント情報を出力する。図4(c)に示すように、VDSのイベント情報42は、日時42a、ウィルス名42b、ディレクトリ名42c、およびファイル名42dの各情報を含んでいる。
Each VDS periodically monitors the files on each VM and performs pattern matching with a virus pattern that has been changed or added to determine whether or not there is a virus. When a pattern that matches the virus pattern is detected from the file, each VDS outputs event information. As shown in FIG. 4 (c), the
次に、イベント処理部4がイベント情報を関連付ける処理の詳細を説明する。イベント処理部4は、NIDS、HIDS、VDSから出力されたイベント情報に含まれる日時の情報(イベントの検知時刻)に基づいて、HIDSおよびVDSが起動しているホスト(VM)のOSとアプリケーションの組合せ毎に各イベント情報を関連付ける。以下で説明する処理はOSとアプリケーションの組合せ毎に実行され、各組合せに対応したポリシファイルが生成される。 Next, details of processing in which the event processing unit 4 associates event information will be described. The event processing unit 4 uses the date and time information (event detection time) included in the event information output from NIDS, HIDS, and VDS to determine the OS and application of the host (VM) on which HIDS and VDS are running. Each event information is associated with each combination. The processing described below is executed for each combination of OS and application, and a policy file corresponding to each combination is generated.
図5は、各イベント情報の時系列上の関係を示している。時刻t1,t2,t3,t4,t5は、VMの再起動を行う時刻を示している。また、各時刻間の時間区間をタイムスロットと定義する。タイムスロットTS1(t1〜t2)では、HIDSがホストへの影響を検知してイベント情報50aを出力したときに、NIDSとVDSもイベント情報50b,50cを出力しており、各イベントが関連していることが分かる。したがって、イベント情報50a,50b,50cは、攻撃によるイベントを示している。
FIG. 5 shows the time series relationship of each event information. Times t1, t2, t3, t4, and t5 indicate times when the VM is restarted. A time interval between each time is defined as a time slot. In time slot TS1 (t1 to t2), when HIDS detects the influence on the host and
タイムスロットTS2(t2〜t3)では、HIDSとVDSがイベントを検知していないため、ホスト(VM)には影響が出ていない。しかし、NIDSがイベント情報51a,51bを出力しており、侵入に至らなかった攻撃パケットによる冗長なイベントが検知されていることが分かる。タイムスロットTS3(t3〜t4)では、HIDSとVDSがイベント情報52a,52b,52cを出力しているにもかかわらず、NIDSがイベントを検知していないことから、NIDSにとって未知の攻撃パケットによるイベントが検知されていることが分かる。タイムスロットTS4(t4〜t5)では、HIDSのみがイベント情報53aを出力しており、HIDSの誤検知(OSやアプリケーションによる正常な動作の検知)と考えられる。
In the time slot TS2 (t2 to t3), the HIDS and VDS do not detect the event, so the host (VM) is not affected. However, NIDS outputs the
以下では、あるタイムスロットにおいて、「HIDS」と「NIDSもしくはVDS」の両者がイベントを検知した場合、そのイベントをHIDS Positiveイベントと呼び、「HIDS」のみがイベントを検知した場合、そのイベントをHIDS Negativeイベントと呼ぶことにする。要するに、HIDS Positiveイベントは、攻撃による影響が現れたことを意味し、HIDS Negativeイベントは、システムによる自動的な更新や攻撃の失敗を意味する。 In the following, if both “HIDS” and “NIDS or VDS” detect an event in a time slot, the event is called a HIDS Positive event. If only “HIDS” detects an event, the event is HIDS. Let's call it a Negative event. In short, the HIDS Positive event means that an influence of an attack has appeared, and the HIDS Negative event means an automatic update by the system or an attack failure.
イベント処理部4は、VMの再起動タイミング間の同一タイムスロットで検出されたイベント情報を関連付け、図6に示すテーブル60を生成する。テーブル60では、HIDSで検知されたイベントを基準として、NIDSおよびVDSで検知されたイベントが関連付けられている。各タイムスロットにおいて、1つのテーブル60が生成される。あるタイムスロットにおいて、HIDSがイベントを検知したにもかかわらず、NIDSおよびVDSの一方または両方がイベントを検知しなかった場合には、NIDSまたはVDSのイベントを記載する欄が空欄となる。 The event processing unit 4 associates the event information detected in the same time slot between the VM restart timings, and generates the table 60 shown in FIG. In the table 60, events detected by NIDS and VDS are associated with each other based on events detected by HIDS. One table 60 is generated in each time slot. If a HIDS detects an event in one time slot, but one or both of the NIDS and VDS do not detect the event, the column describing the NIDS or VDS event is blank.
イベント処理部4は、NIDSの個々のイベントを検索キーとして、その検索キーと一致するNIDSのイベントが記録されているテーブルをテーブル60の中から検索し、抽出する。イベント処理部4は、抽出したテーブルの情報を集約し、NIDSのイベントを基準とするテーブル61を生成する。また、イベント処理部4は、NIDSの個々のイベントの組合せを検索キーとして、その検索キーと一致するNIDSのイベントの組合せが記録されているテーブルをテーブル60の中から検索し、抽出する。イベント処理部4は、抽出したテーブルの情報を集約し、NIDSのイベントの組合せを基準とするテーブル62を生成する。なお、上記の代わりに、VDSのイベントやその組合せを検索キーとして上記と同様のテーブルを生成してもよい。 The event processing unit 4 uses the individual NIDS events as search keys, searches the table 60 for records of NIDS events that match the search keys, and extracts them. The event processing unit 4 aggregates the extracted table information and generates a table 61 based on NIDS events. Also, the event processing unit 4 searches the table 60 for a table in which combinations of NIDS events that match the search key are recorded using the combinations of individual NIDS events as search keys, and extracts them. The event processing unit 4 aggregates the extracted table information and generates a table 62 based on the combination of NIDS events. Instead of the above, a table similar to the above may be generated using a VDS event or a combination thereof as a search key.
また、イベント処理部4は各イベントの出現確率(統計値)を算出する。イベント処理部4が算出する各イベントの出現確率は、HIDSイベントのPositive出現確率、HIDSイベントのNegative出現確率、NIDSイベントの出現確率、およびVDSイベントの出現確率である。 Further, the event processing unit 4 calculates the appearance probability (statistical value) of each event. The appearance probability of each event calculated by the event processing unit 4 is the positive appearance probability of the HIDS event, the negative appearance probability of the HIDS event, the appearance probability of the NIDS event, and the appearance probability of the VDS event.
HIDSイベントのPositive出現確率は、HIDSが検知した各イベントをHIDS PositiveイベントとHIDS Negativeイベントに分類した場合にHIDS Positiveイベントが占める割合である。すなわち、HIDSイベントのPositive出現確率は、HIDS Positiveイベントが出現したタイムスロット数と、HIDS PositiveイベントおよびHIDS Negativeイベントが出現したタイムスロット数との比で表される。同様に、HIDSイベントのNegative出現確率は、HIDS Negativeイベントが出現したタイムスロット数と、HIDS PositiveイベントおよびHIDS Negativeイベントが出現したタイムスロット数との比で表される。HIDSの1種類のイベントについてのHIDSイベントのPositive出現確率とHIDSイベントのNegative出現確率の和は1となる。HIDSの各種類のイベントについて、Positive出現確率とNegative出現確率が算出される。 The Positive appearance probability of the HIDS event is a ratio of the HIDS Positive event when each event detected by the HIDS is classified into the HIDS Positive event and the HIDS Negative event. That is, the positive appearance probability of the HIDS event is represented by the ratio between the number of time slots in which the HIDS Positive event has appeared and the number of time slots in which the HIDS Positive event and the HIDS Negative event have appeared. Similarly, the negative appearance probability of the HIDS event is represented by a ratio between the number of time slots in which the HIDS Negative event has appeared and the number of time slots in which the HIDS Positive event and the HIDS Negative event have appeared. The sum of Positive appearance probability of HIDS event and Negative appearance probability of HIDS event for one type of HIDS event is 1. For each type of HIDS event, a Positive appearance probability and a Negative appearance probability are calculated.
NIDSイベントの出現確率は、HIDS Positiveイベントと関連付けられている、NIDSが検知した各イベントの出現確率である。すなわち、NIDSイベントの出現確率は、HIDS Positiveイベントが出現したタイムスロットで出現したNIDSの特定のイベント数と、HIDS Positiveイベントが出現したタイムスロットで出現したNIDSの全イベント数との比で表される。同様に、VDSイベントの出現確率は、HIDS Positiveイベントが出現したタイムスロットで出現したVDSの特定のイベント数と、HIDS Positiveイベントが出現したタイムスロットで出現したVDSの全イベント数との比で表される。テーブル61,62には、上記のようにして算出した各イベントの出現確率も含まれている。 The appearance probability of the NIDS event is the appearance probability of each event detected by NIDS, which is associated with the HIDS Positive event. In other words, the probability of occurrence of NIDS events is expressed as the ratio of the number of specific NIDS events that occurred in the time slot in which the HIDS Positive event occurred and the total number of NIDS events that occurred in the time slot in which the HIDS Positive event occurred. The Similarly, the appearance probability of a VDS event is expressed as the ratio of the number of specific VDS events that occurred in the time slot in which the HIDS Positive event occurred and the total number of VDS events that occurred in the time slot in which the HIDS Positive event occurred. Is done. The tables 61 and 62 also include the appearance probability of each event calculated as described above.
イベント処理部4は、テーブル61,62に基づいて、図7に示す統計情報を生成し、統計情報記憶部5に格納する。この統計情報は、互いに関連付けられたHIDSイベント情報70、NIDSイベント情報71、およびVDSイベント情報72を含んでいる。HIDSイベント情報70は、HIDSが検知したイベントに関する統計情報であり、ディレクトリ名70a、ファイル名70b、イベント内容70c(変更・追加・削除のいずれか)、および出現確率70d(HIDSイベントのPositive出現確率およびNegative出現確率)を含んでいる。
The event processing unit 4 generates statistical information shown in FIG. 7 based on the tables 61 and 62 and stores the statistical information in the statistical
NIDSイベント情報71は、NIDSが検知したイベントに関する統計情報であり、イベント名71aおよび出現確率71bを含んでいる。HIDSが検知した1種類のイベントに対して、NIDSが検知した1または複数種類のイベントの統計情報が関連付けられている。VDSイベント情報72は、VDSが検知したイベントに関する統計情報であり、イベント名72aおよび出現確率72bを含んでいる。HIDSが検知した1種類のイベントに対して、VDSが検知した1または複数種類のイベントの統計情報が関連付けられている。HIDSが検知した各イベントに対して、図7に示す統計情報が生成される。
The
次に、ポリシファイル生成部6が、HIDSのポリシファイルおよびそれに付随する情報を生成する処理の詳細を説明する。図8は、ポリシファイル生成部6が生成するポリシファイルの内容を示している。図8(a)に示すポリシファイル80は、HIDSが監視を行う監視間隔に関するポリシファイルであり、図8(b)に示すポリシファイル81は、HIDSが検知するイベントが攻撃によるものであるか否かを示すイベントの信頼度に関するポリシファイルである。
Next, the details of the process in which the policy file generating unit 6 generates the HIDS policy file and the accompanying information will be described. FIG. 8 shows the contents of the policy file generated by the policy file generating unit 6. A
ポリシファイル80は、HIDSが監視する対象を特定するディレクトリ名80aおよびファイル名80bと監視間隔80cとを含んでいる。HIDSがディレクトリ単位で監視を行う場合もあるため、ファイル名がない場合もある。監視間隔は、VMの再起動周期を単位とする以下の(1)式で示される。(1)式において、HIDS_Positive_Rate(P)はHIDSイベントのPositive出現確率である。
The
HIDSイベントのPositive出現確率が大きい場合(攻撃に関するイベントの出現確率が大きい場合)には監視間隔が短くなり、HIDSイベントのPositive出現確率が小さい場合(攻撃に関するイベントの出現確率が小さい場合)には監視間隔が長くなる。ポリシファイル80に従って監視間隔を設定することによって、攻撃に関するイベントの出現頻度に応じて監視に適した監視間隔を設定することができる。
When the positive appearance probability of the HIDS event is high (when the appearance probability of the event related to the attack is high), the monitoring interval is shortened. When the positive appearance probability of the HIDS event is low (when the appearance probability of the event related to the attack is low), The monitoring interval becomes longer. By setting the monitoring interval according to the
HIDSによるホストの監視では、定期的に攻撃の有無を検知する方式と、攻撃の有無を検証する要求が発生したときに攻撃の有無を検知する方式とがある。定期的に攻撃の有無を検知する場合には、ポリシファイルで規定されている監視間隔で監視が行われる。また、要求が発生したときに攻撃の有無を検知する場合には要求の発生時にディレクトリやファイルの全てに対して監視が行われる。 Host monitoring by HIDS includes a method of periodically detecting the presence or absence of an attack and a method of detecting the presence or absence of an attack when a request for verifying the presence or absence of an attack occurs. When periodically detecting the presence or absence of an attack, monitoring is performed at the monitoring interval defined in the policy file. When detecting the presence or absence of an attack when a request occurs, all directories and files are monitored when the request occurs.
ポリシファイル81は、HIDSが監視する対象を特定するディレクトリ名81aおよびファイル名81bとイベント名81cおよびイベントの信頼度81dとを含んでいる。HIDSがディレクトリ単位で監視を行う場合もあるため、ファイル名がない場合もある。HIDSが検知したイベントiの信頼度は以下の(2)式で示される。(2)式において、HIDS_Positive_Rate(Pi)はイベントiのPositive出現確率である。
The
HIDSイベント信頼度(Ci)=HIDS_Positive_Rate(Pi) ・・・(2) HIDS event reliability (C i ) = HIDS_Positive_Rate (P i ) (2)
ポリシファイル81に基づいて各種情報を表示することによって、運用者に対してイベントの確認に関する指針を与えることができる。図9は、HIDSが検知したイベントとその信頼度の関係を表示するWebインタフェースの表示項目の設計例を示している。図9(a)は、信頼度の高いイベントから順に情報を並べた状態を示している。HIDSの運用者は、信頼度の高いイベントから順番に確認することができる。図9(b)は、イベント種別をキーとして情報を並べた状態を示している。HIDSの運用者は、変更/追加/削除されるファイルとその信頼度を把握することができる。
By displaying various types of information based on the
また、ポリシファイル生成部6は、ポリシファイルに付随する情報として、以下で説明するHIDSイベント原因推定値とHIDSイベントウィルス推定値を算出する。従来のHIDSから出力されるイベント情報からは、監視対象のファイルが変更/追加/削除されたことしか分からない。したがって、攻撃を監視するためにHIDSだけが設置されている場合には、HIDSからイベント情報が出力された場合に、どのような攻撃によってイベントが発生したのかが全く分からない。そこで、本実施形態では、HIDSが検知したイベントの発生原因である攻撃の可能性を示す推定値をポリシファイル生成部6が算出する。 In addition, the policy file generation unit 6 calculates a HIDS event cause estimated value and a HIDS event virus estimated value described below as information accompanying the policy file. The event information output from the conventional HIDS can only know that the monitored file has been changed / added / deleted. Therefore, when only HIDS is installed to monitor an attack, when the event information is output from HIDS, it is completely unknown what kind of attack caused the event. Therefore, in the present embodiment, the policy file generation unit 6 calculates an estimated value indicating the possibility of an attack that is the cause of the occurrence of the event detected by HIDS.
HIDSイベント原因推定値は、HIDSが検知したイベントの発生原因となるNIDSのイベントの可能性を示しており、(3)式により算出される。言い換えると、HIDSイベント原因推定値は、HIDSが検知したイベントとNIDSが検知したイベントとの相関度を示している。(3)式において、HIDS_Positive_Rate(Pi)は、HIDSが検知したイベントiのPositive出現確率であり、NIDS_Rate(Ij)は、NIDSが検知したイベントjの出現確率であり、それぞれ統計情報として統計情報記憶部5に格納されている。
HIDSイベント原因推定値(EIi)=HIDS_Positive_Rate(Pi)×NIDS_Rate(Ij) ・・・(3)
The estimated HIDS event cause value indicates the possibility of an NIDS event that is the cause of the occurrence of an event detected by HIDS, and is calculated by equation (3). In other words, the HIDS event cause estimation value indicates the degree of correlation between the event detected by HIDS and the event detected by NIDS. In Equation (3), HIDS_Positive_Rate (P i ) is the positive appearance probability of event i detected by HIDS, NIDS_Rate (I j ) is the appearance probability of event j detected by NIDS, and each is statistical information. It is stored in the
HIDS event cause estimated value (EI i ) = HIDS_Positive_Rate (P i ) × NIDS_Rate (I j ) (3)
HIDSイベントウィルス推定値は、HIDSが検知したイベントの発生原因となるVDSのイベントの可能性を示しており、(4)式により算出される。言い換えると、HIDSイベントウィルス推定値は、HIDSが検知したイベントとVDSが検知したイベントとの相関度を示している。(4)式において、HIDS_Positive_Rate(Pi)は、HIDSが検知したイベントiのPositive出現確率であり、VDS_Rate(Vj)は、VDSが検知したイベントjの出現確率であり、それぞれ統計情報として統計情報記憶部5に格納されている。
HIDSイベントウィルス推定値(EVi)=HIDS_Positive_Rate(Pi)×VDS_Rate(Vj) ・・・(4)
The estimated value of the HIDS event virus indicates the possibility of the VDS event causing the occurrence of the event detected by the HIDS, and is calculated by the equation (4). In other words, the HIDS event virus estimated value indicates the degree of correlation between the event detected by HIDS and the event detected by VDS. In equation (4), HIDS_Positive_Rate (P i ) is the positive appearance probability of event i detected by HIDS, VDS_Rate (V j ) is the appearance probability of event j detected by VDS, and each is statistical information. It is stored in the
HIDS event virus estimated value (EV i ) = HIDS_Positive_Rate (P i ) × VDS_Rate (V j ) (4)
ポリシファイル生成部6は、算出したHIDSイベント原因推定値およびHIDSイベントウィルス推定値をHIDSおよびNIDSそれぞれのイベント名と関連付けてポリシファイル記憶部7に格納する。この情報は以下のように利用される。HIDSがイベントを検知したときに、このイベントと関連付けられたNIDSまたはVDSのイベント名と上記の推定値が画面に表示される。これによって、HIDSの運用者は、HIDSが検知したイベントの発生原因となった攻撃を推測することができる。 The policy file generation unit 6 stores the calculated HIDS event cause estimated value and HIDS event virus estimated value in the policy file storage unit 7 in association with the event names of HIDS and NIDS. This information is used as follows. When HIDS detects an event, the NIDS or VDS event name associated with this event and the above estimated value are displayed on the screen. This allows the HIDS operator to infer the attack that caused the event detected by HIDS.
また、ポリシファイル生成部6は、ポリシファイルに付随する情報として、(5)式によってイベント対応の優先度を算出する。(5)式において、HIDSイベント危険度(Ri)は、HIDSから出力されるイベントの危険度(重要度)を示している。多くのHIDSではイベント毎に危険度が予め定義されている。この危険度は、ディレクトリやファイルの変更等が行われる場所に応じて定義されている。例えば、ホスト内のシステムに影響を及ぼす可能性が高いディレクトリやファイルに関するイベントの危険度は高く、ユーザによる変更等が行われる可能性が高いディレクトリやファイルに関するイベントの危険度は低い。
HIDSイベント対応優先度(Ai)=HIDSイベント危険度(Ri)×HIDSイベント信頼度(Ci) ・・・(5)
Further, the policy file generation unit 6 calculates the priority corresponding to the event by the equation (5) as information accompanying the policy file. In the equation (5), the HIDS event risk level (R i ) indicates the risk level (importance level) of the event output from the HIDS. Many HIDS have a predefined risk level for each event. This degree of risk is defined according to the location where the directory or file is changed. For example, the risk level of events related to directories and files that are highly likely to affect the system in the host is high, and the risk level of events related to directories and files that are likely to be changed by the user is low.
HIDS event response priority (A i ) = HIDS event risk (R i ) × HIDS event reliability (C i ) (5)
ポリシファイル生成部6は、算出したHIDSイベント対応優先度をHIDSのイベント名と関連付けてポリシファイル記憶部7に格納する。この情報は以下のように利用される。HIDSがイベントを検知したときに、このイベントと関連付けられたイベント対応優先度が画面に表示される。イベントの危険度が高い、かつイベントの信頼度が高い場合には、システムに影響を及ぼすディレクトリやファイルに対して攻撃が行われた可能性が高く、このようなイベントには優先的に対応すべきである。また、イベントの危険度が低い、かつイベントの信頼度が低い場合には、システムに影響を及ぼすディレクトリやファイルに対して攻撃が行われた可能性が低く、このようなイベントへの対応は後回しでもよい。したがって、イベント対応優先度に応じて、HIDSの運用者は、HIDSが検知したどのイベントから優先的に対応すべきかを容易に判断することができる。 The policy file generation unit 6 stores the calculated HIDS event response priority in the policy file storage unit 7 in association with the HIDS event name. This information is used as follows. When HIDS detects an event, the event response priority associated with this event is displayed on the screen. If the event risk level is high and the event reliability level is high, there is a high possibility that an attack has been performed on a directory or file that affects the system. Should. Also, if the event risk level is low and the event reliability level is low, it is unlikely that an attack has been performed on the directory or file that affects the system, and the response to such an event is postponed. But you can. Therefore, the HIDS operator can easily determine which event detected by HIDS should be preferentially handled according to the event response priority.
上述したように、本実施形態によれば、運用者の技量に依存することなく、実際の攻撃の影響が反映されたポリシファイルを生成することができる。また、OSとアプリケーションの組合せ毎にイベント情報を分類し、各組合せについてポリシファイルを生成することによって、精度の高いポリシファイルを生成することができる。 As described above, according to the present embodiment, it is possible to generate a policy file that reflects the influence of an actual attack without depending on the skill of the operator. Further, by classifying event information for each combination of OS and application and generating a policy file for each combination, a highly accurate policy file can be generated.
また、従来のHIDSでは、監視間隔を定める指針がなかったため、頻繁に監視を行うことによるホストのCPUへの無駄な負荷等の問題があった。これに対して本実施形態では、攻撃の頻度に応じた監視間隔を含むポリシファイルが生成される。この監視間隔をHIDSに設定することによって、ホストのCPUへの無駄な負荷等を抑制することができる。 In addition, in the conventional HIDS, there is no guideline for determining the monitoring interval, so there is a problem such as a wasteful load on the CPU of the host due to frequent monitoring. In contrast, in the present embodiment, a policy file including a monitoring interval corresponding to the frequency of attacks is generated. By setting this monitoring interval to HIDS, useless load on the host CPU can be suppressed.
また、従来、HIDSのみが実装されている環境では、HIDSがイベントを検知したときに、攻撃によってイベントが発生したのか、それともホスト内のシステムの正常な動作によってイベントが発生したのかが分からない場合がある。これに対して本実施形態では、HIDSが検知したイベントが攻撃によるものである可能性を示す信頼度が算出される。この信頼度を運用者に提示することによって、運用者に対してイベントの確認に関する指針を与えることができる。さらに、本実施形態では、この信頼度とイベント危険度に基づくイベント対応優先度が算出される。このイベント対応優先度を運用者に提示することによって、運用者は、HIDSが検知したどのイベントから優先的に対応すべきかを容易に判断することができる。 Also, in an environment where only HIDS is implemented in the past, when HIDS detects an event, it is not known whether the event occurred due to an attack or the normal operation of the system in the host. There is. On the other hand, in this embodiment, the reliability indicating the possibility that the event detected by HIDS is due to an attack is calculated. By presenting this reliability to the operator, it is possible to give a guideline for event confirmation to the operator. Furthermore, in this embodiment, the event response priority based on the reliability and the event risk is calculated. By presenting this event response priority to the operator, the operator can easily determine which event detected by HIDS should be preferentially handled.
また、本実施形態では、HIDSが検知したイベントの発生原因である攻撃の可能性を示す推定値が算出される。この推定値を運用者に提示することによって、運用者は、HIDSが検知したイベントの発生原因となった攻撃を推測することができる。 Further, in the present embodiment, an estimated value indicating the possibility of an attack that is a cause of occurrence of an event detected by HIDS is calculated. By presenting this estimated value to the operator, the operator can infer the attack that caused the occurrence of the event detected by HIDS.
また、本実施形態では、仮想環境上でHIDSおよびVDSが起動する。これによって、様々な構成のホストを容易に作成することができると共に、ホストが攻撃を受けた場合でも正常な状態に容易に復元することができる。 In this embodiment, HIDS and VDS are activated in the virtual environment. As a result, it is possible to easily create hosts having various configurations, and it is possible to easily restore a normal state even when the host is attacked.
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上記の実施形態では、NIDSとVDSの両方が設けられているが、NIDSとVDSの一方のみが設けられていてもよい。 As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the above-described embodiments, and includes design changes and the like without departing from the gist of the present invention. . For example, in the above embodiment, both NIDS and VDS are provided, but only one of NIDS and VDS may be provided.
また、上記の実施形態によるポリシ生成システムの動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。 Further, the program for realizing the operation and function of the policy generation system according to the above embodiment may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read and executed by the computer. Good.
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。 Here, the “computer” includes a homepage providing environment (or display environment) if the WWW system is used. The “computer-readable recording medium” refers to a storage device such as a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a hard disk built in the computer. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 The program described above may be transmitted from a computer storing the program in a storage device or the like to another computer via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the above-described program may be for realizing a part of the above-described function. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer, what is called a difference file (difference program) may be sufficient.
1・・・イベント収集部(イベント収集手段)、2・・・イベント情報記憶部、3・・・初期状態記憶部(初期状態記憶手段)、4・・・イベント処理部(関連付け手段、統計値算出手段)、5・・・統計情報記憶部、6・・・ポリシファイル生成部(指標値算出手段、情報生成手段)、7・・・ポリシファイル記憶部、10・・・NIDS、11,12,13・・・VM、14・・・VMM、15・・・再起動制御部(起動制御手段)
DESCRIPTION OF
Claims (8)
イベントの検知時刻に基づいて前記イベント情報を互いに関連付ける関連付け手段と、
互いに関連付けた前記イベント情報に基づいて、攻撃によるイベントの出現頻度に関する統計値を算出する統計値算出手段と、
前記ホスト型侵入検知システムが行う監視に関する指標値を前記統計値に基づいて算出する指標値算出手段と、
前記ホスト型侵入検知システムが監視する対象を特定する情報と前記指標値を含むポリシ情報を生成する情報生成手段と、
を備えたことを特徴とするポリシ生成システム。 Event collection means for collecting event information output from the network type intrusion detection system or virus detection system and the host type intrusion detection system;
Association means for associating the event information with each other based on an event detection time;
Based on the event information associated with each other, a statistical value calculating means for calculating a statistical value related to the appearance frequency of an event due to an attack,
Index value calculation means for calculating an index value related to monitoring performed by the host-type intrusion detection system based on the statistical value;
Information generating means for generating policy information including information specifying the target monitored by the host-type intrusion detection system and the index value;
A policy generation system comprising:
前記情報生成手段はさらに、イベントの識別情報と前記対応優先度を含む情報を生成する
ことを特徴とする請求項3に記載のポリシ生成システム。 The index value calculation means further calculates a response priority for the event detected by the host-type intrusion detection system based on the event importance and the reliability output from the host-type intrusion detection system,
The policy generation system according to claim 3, wherein the information generation unit further generates information including event identification information and the correspondence priority.
前記情報生成手段はさらに、イベントの識別情報と前記相関度を含む情報を生成する
ことを特徴とする請求項1に記載のポリシ生成システム。 The index value calculation means further calculates a correlation degree between the event detected by the host-type intrusion detection system or the virus detection system and the event detected by the network-type intrusion detection system based on the statistical value,
The policy generation system according to claim 1, wherein the information generation unit further generates information including event identification information and the degree of correlation.
前記初期状態の情報に基づいて、前記ホスト型侵入検知システムまたは前記ウィルス検知システムを仮想環境上で起動する起動制御手段と、
をさらに備えたことを特徴とする請求項1〜請求項5のいずれかに記載のポリシ生成システム。 Initial state storage means for storing information on an initial state of the host-type intrusion detection system or the virus detection system;
Based on the initial state information, a start control means for starting the host-type intrusion detection system or the virus detection system in a virtual environment;
The policy generation system according to claim 1, further comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007297684A JP5116447B2 (en) | 2007-11-16 | 2007-11-16 | Policy generation system, program, and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007297684A JP5116447B2 (en) | 2007-11-16 | 2007-11-16 | Policy generation system, program, and recording medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009123052A true JP2009123052A (en) | 2009-06-04 |
JP5116447B2 JP5116447B2 (en) | 2013-01-09 |
Family
ID=40815119
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007297684A Active JP5116447B2 (en) | 2007-11-16 | 2007-11-16 | Policy generation system, program, and recording medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5116447B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014229126A (en) * | 2013-05-23 | 2014-12-08 | 日本電信電話株式会社 | File monitoring cycle control device, file monitoring cycle control system, file monitoring cycle control method and file monitoring cycle control program |
JP2014229127A (en) * | 2013-05-23 | 2014-12-08 | 日本電信電話株式会社 | File monitoring cycle calculation device, file monitoring cycle calculation system, file monitoring cycle calculation method and file monitoring cycle calculation program |
WO2016075825A1 (en) * | 2014-11-14 | 2016-05-19 | 三菱電機株式会社 | Information processing device and information processing method and program |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004185455A (en) * | 2002-12-05 | 2004-07-02 | Hitachi Ltd | Method for supporting audit on information security policy and device |
JP2005099982A (en) * | 2003-09-24 | 2005-04-14 | Hitachi Ltd | File monitoring device |
JP2005236863A (en) * | 2004-02-23 | 2005-09-02 | Kddi Corp | Log analyzing device and program, and recording medium |
JP2006155583A (en) * | 2004-11-08 | 2006-06-15 | Ntt Docomo Inc | Device management apparatus and method, and device |
JP2006279338A (en) * | 2005-03-28 | 2006-10-12 | Ntt Communications Kk | Security management device based on evaluation index calculation by security information interchange, method of managing security, and security management program |
-
2007
- 2007-11-16 JP JP2007297684A patent/JP5116447B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004185455A (en) * | 2002-12-05 | 2004-07-02 | Hitachi Ltd | Method for supporting audit on information security policy and device |
JP2005099982A (en) * | 2003-09-24 | 2005-04-14 | Hitachi Ltd | File monitoring device |
JP2005236863A (en) * | 2004-02-23 | 2005-09-02 | Kddi Corp | Log analyzing device and program, and recording medium |
JP2006155583A (en) * | 2004-11-08 | 2006-06-15 | Ntt Docomo Inc | Device management apparatus and method, and device |
JP2006279338A (en) * | 2005-03-28 | 2006-10-12 | Ntt Communications Kk | Security management device based on evaluation index calculation by security information interchange, method of managing security, and security management program |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014229126A (en) * | 2013-05-23 | 2014-12-08 | 日本電信電話株式会社 | File monitoring cycle control device, file monitoring cycle control system, file monitoring cycle control method and file monitoring cycle control program |
JP2014229127A (en) * | 2013-05-23 | 2014-12-08 | 日本電信電話株式会社 | File monitoring cycle calculation device, file monitoring cycle calculation system, file monitoring cycle calculation method and file monitoring cycle calculation program |
WO2016075825A1 (en) * | 2014-11-14 | 2016-05-19 | 三菱電機株式会社 | Information processing device and information processing method and program |
JP6058246B2 (en) * | 2014-11-14 | 2017-01-11 | 三菱電機株式会社 | Information processing apparatus, information processing method, and program |
CN107077563A (en) * | 2014-11-14 | 2017-08-18 | 三菱电机株式会社 | Information processor, information processing method and program |
Also Published As
Publication number | Publication date |
---|---|
JP5116447B2 (en) | 2013-01-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5517267B2 (en) | Web page alteration prevention equipment, web page alteration prevention method and system | |
JP5440273B2 (en) | Snapshot management method, snapshot management device, and program | |
JP5144488B2 (en) | Information processing system and program | |
US10452469B2 (en) | Server performance correction using remote server actions | |
WO2014179805A1 (en) | Method and apparatus for providing forensic visibility into systems and networks | |
Wang et al. | NetSpy: Automatic generation of spyware signatures for NIDS | |
US9450980B2 (en) | Automatic malignant code collecting system | |
CN111600850A (en) | Method, equipment and storage medium for detecting mine digging virtual currency | |
JP6524789B2 (en) | Network monitoring method, network monitoring program and network monitoring device | |
JP2014086821A (en) | Unauthorized connection detection method, network monitoring device, and program | |
JP2010237975A (en) | Incident monitoring apparatus, method and program | |
JP4823813B2 (en) | Abnormality detection device, abnormality detection program, and recording medium | |
CN111818073A (en) | Method, device, equipment and medium for detecting defect host | |
CN113849820A (en) | Vulnerability detection method and device | |
JP5116447B2 (en) | Policy generation system, program, and recording medium | |
JP5111073B2 (en) | Policy generation system, program, and recording medium | |
JP2010009411A (en) | Virtual environment operation support system and virtual environment operation support program | |
KR101060596B1 (en) | Malicious file detection system, malicious file detection device and method | |
US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
JP2004046742A (en) | Attack analysis apparatus, sensor, attack analysis method and program | |
JP2010250607A (en) | System, method and program for analysis of unauthorized access | |
TWI640891B (en) | Method and apparatus for detecting malware | |
JP2006221327A (en) | Computer system and storage device | |
JP6780326B2 (en) | Information processing equipment and programs | |
JP6476853B2 (en) | Network monitoring system and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100716 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100720 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120530 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120710 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120831 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20120903 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121002 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121016 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5116447 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151026 Year of fee payment: 3 |