JP2010152773A - 攻撃判定装置及び攻撃判定方法及びプログラム - Google Patents
攻撃判定装置及び攻撃判定方法及びプログラム Download PDFInfo
- Publication number
- JP2010152773A JP2010152773A JP2008331774A JP2008331774A JP2010152773A JP 2010152773 A JP2010152773 A JP 2010152773A JP 2008331774 A JP2008331774 A JP 2008331774A JP 2008331774 A JP2008331774 A JP 2008331774A JP 2010152773 A JP2010152773 A JP 2010152773A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- log
- network
- determination
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】監視対象ネットワークに対する攻撃の有無を精度よく判定する。
【解決手段】攻撃分類情報記憶部123が、攻撃があった場合にパラメータ値が閾値を超える評価パラメータのパターンが示される攻撃分類情報を記憶し、パラメータ検知情報受信部118が、異常検知装置112から、監視対象ネットワーク114でのトラフィック異常の検知を通知する検知情報116を受信し、ログ集計部119が、ルータ101等の監視対象ネットワーク114内の機器で生成されたログをログ収集装置109を介して取得し、特徴変化検出部120が、ログ集計部119でのログ集計結果に基づき、複数種の評価パラメータごとにパラメータ値が閾値を超えているか否かを判定し、攻撃判定部121が、特徴変化検出部120の判定結果と攻撃分類情報とを照合して、監視対象ネットワーク114に対する攻撃の有無を判定する。
【選択図】図1
【解決手段】攻撃分類情報記憶部123が、攻撃があった場合にパラメータ値が閾値を超える評価パラメータのパターンが示される攻撃分類情報を記憶し、パラメータ検知情報受信部118が、異常検知装置112から、監視対象ネットワーク114でのトラフィック異常の検知を通知する検知情報116を受信し、ログ集計部119が、ルータ101等の監視対象ネットワーク114内の機器で生成されたログをログ収集装置109を介して取得し、特徴変化検出部120が、ログ集計部119でのログ集計結果に基づき、複数種の評価パラメータごとにパラメータ値が閾値を超えているか否かを判定し、攻撃判定部121が、特徴変化検出部120の判定結果と攻撃分類情報とを照合して、監視対象ネットワーク114に対する攻撃の有無を判定する。
【選択図】図1
Description
本発明は、ネットワーク不正アクセス検知技術に関する。
現在、ネットワーク不正アクセス検知技術としては、攻撃データパターンを定義したシグネチャを用いた侵入検知装置(IDS:Intrusion Detection System)によるパターンマッチング方式が主流である。
パターンマッチング方式では、既知の攻撃別にシグネチャを定義し、シグネチャと一致するデータがネットワーク上で観測された場合に攻撃として検知する。
したがって、新しく発生した攻撃(未知の攻撃)については、ベンダーから攻撃を検知するためのシグネチャがリリースされ、IDSに適用されるまでは検知することができないため、その間、攻撃にさらされていることを検知することができないという課題がある。
上記のような課題を解決するために、シグネチャによらない異常検知に基づく侵入検知装置の研究開発が盛んに行われている(例えば、特許文献1〜3)。
パターンマッチング方式では、既知の攻撃別にシグネチャを定義し、シグネチャと一致するデータがネットワーク上で観測された場合に攻撃として検知する。
したがって、新しく発生した攻撃(未知の攻撃)については、ベンダーから攻撃を検知するためのシグネチャがリリースされ、IDSに適用されるまでは検知することができないため、その間、攻撃にさらされていることを検知することができないという課題がある。
上記のような課題を解決するために、シグネチャによらない異常検知に基づく侵入検知装置の研究開発が盛んに行われている(例えば、特許文献1〜3)。
特許文献1では、攻撃によってネットワークトラフィックの状態(トラフィック量、アクセス数など)に異常な変化が観測された場合に、異常(攻撃)の発生として検知する。したがって、未知の攻撃であっても検知可能である。
また、ネットワーク機器(IDS、ルータ、Firewall)から出力されるログに記録されるイベント到着間隔および継続時間に基づいた分析を行うことにより、時間的特性に特徴があるイベントの異常を検出することを可能とする方法が提案されている(特許文献2、特許文献3)。
特許文献2および特許文献3によれば、ネットワーク機器から収集されたログの単位時間あたりに発生する頻度についての統計分布(平均ならびに標準偏差)を基に稀率を算出して、所定の確率以下の稀率の場合に異常と検知する方法、ならびに、過去の攻撃時のデータに基づいて生成した統計分布と、分析対象の短期間のデータに基づいて生成した分布との相関度が高い場合に、分析対象の短期間において不正が発生したと判断する方法について記載されている。
特開2008−146157号公報
特開2005−236862号公報
特開2005−236863号公報
また、ネットワーク機器(IDS、ルータ、Firewall)から出力されるログに記録されるイベント到着間隔および継続時間に基づいた分析を行うことにより、時間的特性に特徴があるイベントの異常を検出することを可能とする方法が提案されている(特許文献2、特許文献3)。
特許文献2および特許文献3によれば、ネットワーク機器から収集されたログの単位時間あたりに発生する頻度についての統計分布(平均ならびに標準偏差)を基に稀率を算出して、所定の確率以下の稀率の場合に異常と検知する方法、ならびに、過去の攻撃時のデータに基づいて生成した統計分布と、分析対象の短期間のデータに基づいて生成した分布との相関度が高い場合に、分析対象の短期間において不正が発生したと判断する方法について記載されている。
従来のネットワークトラフィックやログ発生頻度の異常から攻撃を検知する侵入検知装置(特許文献1〜3)においては、攻撃ではない偶発的に発生する統計的な特徴の変化についても攻撃として検知してしまうため、誤検知が発生する。
さらに、検知した異常がどのような攻撃によって発生したのかについては、検知した異常の内容からは知ることができない。
したがって、異常が検知された場合に、それが、どのような攻撃を検知したのか、もしくは誤検知なのかについての判断は、人手によるログ分析が必要であり、運用者の作業負荷が高く、人為的な判断ミスも発生し易いという課題がある。
また、過去の攻撃時のデータの統計分布との相関係数から攻撃発生時との相関性の高さから不正が発生したと判断する方法(特許文献2〜3)については、過去に攻撃を受けたことがある攻撃の統計分布が必要となる。
しかしながら、攻撃発生時の統計分布は監視対象システムや攻撃の内容ごとに異なっているため、それぞれについて統計分布を実際に得ることは難しいという課題がある。
さらに、検知した異常がどのような攻撃によって発生したのかについては、検知した異常の内容からは知ることができない。
したがって、異常が検知された場合に、それが、どのような攻撃を検知したのか、もしくは誤検知なのかについての判断は、人手によるログ分析が必要であり、運用者の作業負荷が高く、人為的な判断ミスも発生し易いという課題がある。
また、過去の攻撃時のデータの統計分布との相関係数から攻撃発生時との相関性の高さから不正が発生したと判断する方法(特許文献2〜3)については、過去に攻撃を受けたことがある攻撃の統計分布が必要となる。
しかしながら、攻撃発生時の統計分布は監視対象システムや攻撃の内容ごとに異なっているため、それぞれについて統計分布を実際に得ることは難しいという課題がある。
本発明は上記のような課題を解決することを主な目的の一つとし、ネットワーク異常検知システムにて検知されたトラフィックの異常が、攻撃によるものか否か、および、攻撃であればどのような種別の攻撃であるのかを判別することを主な目的とする。
本発明に係る攻撃判定装置は、
監視対象ネットワークのネットワークトラフィックの異常を検知する異常検知装置と、
前記監視対象ネットワークを流通する通信データに対して所定のデータ処理を行う1つ以上の通信機器がそれぞれのデータ処理に付随して生成したログを記憶するログ記憶装置とに接続され、
前記ログ記憶装置からログを取得するログ取得部と、
前記異常検知装置から、前記監視対象ネットワークのネットワークトラフィックの異常を検知したことを通知する検知情報を受信する検知情報受信部と、
前記検知情報受信部により検知情報が受信された場合に、前記ログ取得部により取得されたログに基づいて、前記監視対象ネットワークに対する攻撃の有無を判定する判定部とを有することを特徴とする。
監視対象ネットワークのネットワークトラフィックの異常を検知する異常検知装置と、
前記監視対象ネットワークを流通する通信データに対して所定のデータ処理を行う1つ以上の通信機器がそれぞれのデータ処理に付随して生成したログを記憶するログ記憶装置とに接続され、
前記ログ記憶装置からログを取得するログ取得部と、
前記異常検知装置から、前記監視対象ネットワークのネットワークトラフィックの異常を検知したことを通知する検知情報を受信する検知情報受信部と、
前記検知情報受信部により検知情報が受信された場合に、前記ログ取得部により取得されたログに基づいて、前記監視対象ネットワークに対する攻撃の有無を判定する判定部とを有することを特徴とする。
本発明によれば、監視対象ネットワークでのネットワークトラフィックの異常が検知された場合に、当該監視対象ネットワークでの通信データの流通に付随して生成されたログを用いて、監視対象ネットワークに対する攻撃があったのか否かを判定するため、検知されたトラフィックの異常が攻撃によるものであるか否かを精度よく判定することができる。
実施の形態1.
図1は、本実施の形態に係るシステム構成例を示す構成図である。
図1は、本実施の形態に係るシステム構成例を示す構成図である。
図1において、101〜104は、それぞれ監視対象ネットワーク(114)に接続されたルータ、Firewall、IDS、各種サーバを表している。
なお、図1では、形式的に監視対象ネットワーク(114)と、101〜104を分けて記述しているが、実際には101〜104は、監視対象ネットワーク(114)上に存在している。
ルータ(101)、Firewall(102)、IDS(103)、各種サーバ(104)は、監視対象ネットワーク(114)を流通する通信データに対して所定のデータ処理を行っており、それぞれ通信機器の例である。
105〜108は、監視対象ネットワーク(114)に接続された各機器(101)〜(104)で記録されたログを表している。
なお、図1では、形式的に監視対象ネットワーク(114)と、101〜104を分けて記述しているが、実際には101〜104は、監視対象ネットワーク(114)上に存在している。
ルータ(101)、Firewall(102)、IDS(103)、各種サーバ(104)は、監視対象ネットワーク(114)を流通する通信データに対して所定のデータ処理を行っており、それぞれ通信機器の例である。
105〜108は、監視対象ネットワーク(114)に接続された各機器(101)〜(104)で記録されたログを表している。
109は、ログ収集装置を表しており、各機器(101)〜(104)がそれぞれのデータ処理に付随して生成したログ(105)〜(108)を収集するログ収集部(110)と、収集したログを記録しておくログDB(111)から構成されている。
ログ収集装置(109)は、ログ記憶装置の例である。
ログ収集装置(109)は、ログ記憶装置の例である。
112は、監視対象ネットワーク(114)から分析対象となるトラフィック情報(113)を取得、分析して、監視対象ネットワーク(114)のネットワークトラフィックの異常を検出した場合に攻撃の発生として検知する異常検知装置を表している。
117は、ネットワーク攻撃判定装置を表している。ネットワーク攻撃判定装置(117)は攻撃判定装置の例である。
ネットワーク攻撃判定装置(117)において、検知情報受信部(118)は、異常検知装置(112)からの検知情報(116)を受信する。
検知情報(116)は、異常検知装置(112)が監視対象ネットワーク(114)のネットワークトラフィックの異常を検知したことを通知する情報である。
検知情報(116)は、異常検知装置(112)が監視対象ネットワーク(114)のネットワークトラフィックの異常を検知したことを通知する情報である。
ログ集計部(119)は、ログ収集装置(109)のログDB(111)に記録された各種ログ(115)を取り出して集計する。
より具体的には、ログ集計部(119)は、集計により、攻撃の判定に用いる複数種の評価パラメータのパラメータ値を導出する。
ログ集計部(119)は、ログ取得部及び判定部の例である。
より具体的には、ログ集計部(119)は、集計により、攻撃の判定に用いる複数種の評価パラメータのパラメータ値を導出する。
ログ集計部(119)は、ログ取得部及び判定部の例である。
攻撃分類情報記憶部(123)は、攻撃分類情報を記憶する。
攻撃分類情報は、攻撃の種類ごとに、複数種の評価パラメータのうち攻撃が行われた際にパラメータ値が定常範囲から外れることになるパラメータ(照合非定常パラメータ)が示される情報である。
攻撃分類情報は、例えば、図6及び図7に示す情報である。図6及び図7の詳細は後述するが、例えば、図6において、攻撃種別ごとに(ネットワーク感染型ワーム等)、攻撃が行われた際にパラメータ値が定常範囲から外れる評価パラメータには「増加」が示されている。
攻撃分類情報は、攻撃の種類ごとに、複数種の評価パラメータのうち攻撃が行われた際にパラメータ値が定常範囲から外れることになるパラメータ(照合非定常パラメータ)が示される情報である。
攻撃分類情報は、例えば、図6及び図7に示す情報である。図6及び図7の詳細は後述するが、例えば、図6において、攻撃種別ごとに(ネットワーク感染型ワーム等)、攻撃が行われた際にパラメータ値が定常範囲から外れる評価パラメータには「増加」が示されている。
特徴変化検出部(120)は、ログ集計部(119)によって得られた集計値と平常時に観測される値との比較を行う。
攻撃判定部(121)は、攻撃分類情報記憶部(123)に記憶されている攻撃分類情報に基づいて監視対象ネットワーク(114)に対する攻撃の有無、及び攻撃の種別を判定する。
より具体的には、特徴変化検出部(120)は、ログの集計値に基づき、複数種の評価パラメータのうちパラメータ値が定常範囲から外れている評価パラメータ(ログ導出非定常パラメータ)を抽出する。そして、攻撃判定部(121)は、特徴変化検出部(120)により抽出された評価パラメータ(ログ導出非定常パラメータ)と攻撃分類情報に「増加」と示されている評価パラメータ(照合非定常パラメータ)とを照合して、監視対象ネットワーク(114)に対する攻撃の有無及び攻撃の種類を判定する。
特徴変化検出部(120)及び攻撃判定部(121)は、判定部の例である。
攻撃判定部(121)は、攻撃分類情報記憶部(123)に記憶されている攻撃分類情報に基づいて監視対象ネットワーク(114)に対する攻撃の有無、及び攻撃の種別を判定する。
より具体的には、特徴変化検出部(120)は、ログの集計値に基づき、複数種の評価パラメータのうちパラメータ値が定常範囲から外れている評価パラメータ(ログ導出非定常パラメータ)を抽出する。そして、攻撃判定部(121)は、特徴変化検出部(120)により抽出された評価パラメータ(ログ導出非定常パラメータ)と攻撃分類情報に「増加」と示されている評価パラメータ(照合非定常パラメータ)とを照合して、監視対象ネットワーク(114)に対する攻撃の有無及び攻撃の種類を判定する。
特徴変化検出部(120)及び攻撃判定部(121)は、判定部の例である。
アラート通知部(122)は、攻撃の判定結果を検知アラート(124)としてオペレータへ通知する。
また、図1において、矢印はデータの流れる方向を表している。
次に動作について説明する。
本実施の形態では、異常検知装置(112)において異常が検知された後のログ分析に関するものであるため、異常検知装置(112)で異常が検知されるまでと、異常が検知された後とに分けて動作を説明する。
本実施の形態では、異常検知装置(112)において異常が検知された後のログ分析に関するものであるため、異常検知装置(112)で異常が検知されるまでと、異常が検知された後とに分けて動作を説明する。
図2に、インターネット接続点におけるネットワーク構成の一例を示す。
201は、クライアント端末を表しており、インターネット(202)に接続されている。
203および209は、ルータである。
204は、Firewallである。
211〜214は、IDSである。
205〜208は、それぞれ、Webサーバ、SMTPサーバ、DNSサーバ、Proxyサーバを表している。
203〜214の各要素は監視対象ネットワーク(114)に含まれる。
各サーバが接続されているネットワークを一般的に非武装地帯(DMZ:DeMilitarized Zone)と呼び、Firewallを介してインターネットと直接通信可能なネットワークとなっている。
監視対象ネットワーク(114)上のネットワーク機器(ルータ、Fierwall、IDS)およびサーバ(Webサーバ、SMTPサーバ、DNSサーバ、Proxyサーバ)では、クライアントからサーバ、もしくはサーバのIPアドレスセグメントに対して通信が発生した場合にログが記録される。
201は、クライアント端末を表しており、インターネット(202)に接続されている。
203および209は、ルータである。
204は、Firewallである。
211〜214は、IDSである。
205〜208は、それぞれ、Webサーバ、SMTPサーバ、DNSサーバ、Proxyサーバを表している。
203〜214の各要素は監視対象ネットワーク(114)に含まれる。
各サーバが接続されているネットワークを一般的に非武装地帯(DMZ:DeMilitarized Zone)と呼び、Firewallを介してインターネットと直接通信可能なネットワークとなっている。
監視対象ネットワーク(114)上のネットワーク機器(ルータ、Fierwall、IDS)およびサーバ(Webサーバ、SMTPサーバ、DNSサーバ、Proxyサーバ)では、クライアントからサーバ、もしくはサーバのIPアドレスセグメントに対して通信が発生した場合にログが記録される。
次に、図2を用いて、ネットワーク機器ならびにサーバにおいて記録されるログについて、インターネット(202)に接続されたクライアント端末(201)が、DMZ上のWebサーバ(205)へアクセスした場合を例に説明する。
Webサーバ(205)へのアクセスはTCP(Transmission Control Protocol)の80番ポート宛の通信となる。
ルータ(203)の設定では、Firewall(204)で許可されている宛先IPアドレス、宛先ポート、プロトコルの組み合わせのみパケットをFirewall(204)へ転送することを想定する。
Firewall(204)では、インターネット(202)上の全ての発信元IPアドレスから、DMZ上の各サーバに対して許可された、プロトコル、宛先ポートの通信のみ許可し、また、TCPの場合は、コネクションが確立していない発信元とDMZ上のサーバとの通信は遮断することを想定する。
IDS(212)〜(214)では、IDS(212)〜(214)が接続されているネットワークセグメントを流れる全てのパケットを取り込んで、既知の攻撃のパターン(シグネチャ)に一致する通信がネットワークセグメント上を流れた場合に、攻撃の検知アラート(124)をログとして記録することを想定する。
Webサーバ(205)へのアクセスはTCP(Transmission Control Protocol)の80番ポート宛の通信となる。
ルータ(203)の設定では、Firewall(204)で許可されている宛先IPアドレス、宛先ポート、プロトコルの組み合わせのみパケットをFirewall(204)へ転送することを想定する。
Firewall(204)では、インターネット(202)上の全ての発信元IPアドレスから、DMZ上の各サーバに対して許可された、プロトコル、宛先ポートの通信のみ許可し、また、TCPの場合は、コネクションが確立していない発信元とDMZ上のサーバとの通信は遮断することを想定する。
IDS(212)〜(214)では、IDS(212)〜(214)が接続されているネットワークセグメントを流れる全てのパケットを取り込んで、既知の攻撃のパターン(シグネチャ)に一致する通信がネットワークセグメント上を流れた場合に、攻撃の検知アラート(124)をログとして記録することを想定する。
クライアント端末(201)とWebサーバ(205)の通信を行うために、クライアント端末(201)では、まず、TCPのコネクションを生成するパケット(SYNパケット)をWebサーバ(205)のIPアドレスの80番ポート宛に送信する。
送信されたSYNパケットは、インターネット(202)を介してルータ(203)に到達する。
ルータ(203)では、パケットの宛先IPアドレスである80番ポート宛の通信を転送する設定がなされているため、Firewall(204)へパケットを転送する。その際に、通信の記録としてNetFlowログが生成される。
Firewall(204)では、インターネット(202)からWebサーバ(205)へのTCP80番ポートへの通信を許可する設定がなされているため、パケットをWebサーバ(205)へ送信する。このとき、Firewall(204)では、通信を許可したログが記録される。
Webサーバ(205)では、受信したパケットに対してTCPのコネクションを作成するための応答(SYNACKパケット)を返し、Firewall(204)、ルータ(203)、インターネット(202)の順に経由してクライアント端末(201)に転送される。
送信されたSYNパケットは、インターネット(202)を介してルータ(203)に到達する。
ルータ(203)では、パケットの宛先IPアドレスである80番ポート宛の通信を転送する設定がなされているため、Firewall(204)へパケットを転送する。その際に、通信の記録としてNetFlowログが生成される。
Firewall(204)では、インターネット(202)からWebサーバ(205)へのTCP80番ポートへの通信を許可する設定がなされているため、パケットをWebサーバ(205)へ送信する。このとき、Firewall(204)では、通信を許可したログが記録される。
Webサーバ(205)では、受信したパケットに対してTCPのコネクションを作成するための応答(SYNACKパケット)を返し、Firewall(204)、ルータ(203)、インターネット(202)の順に経由してクライアント端末(201)に転送される。
次に、SYNACKパケットを受信したクライアント端末(201)からコネクションを確立するためのパケット(ACKパケット)が、インターネット(202)、ルータ(203)、Firewall(204)の順に経由して、Webサーバ(205)に到達することによって、TCPのコネクションが確立する。
TCPのコネクションが確立した後は、コネクション上で、HTTPに基づくGET(ページの転送を要求するメソッド)をクライアント端末(201)から、Webサーバ(205)に対して行い、Webサーバ(205)は、クライアント端末(201)が要求したWebページをクライアント端末(201)に対して送信する。
このとき、Webサーバ(205)は、アクセスログにWebサーバ(205)へのアクセス内容がログとして記録される。
最終的に、TCPのコネクションが切断された場合には、Firewall(204)でコネクションの切断ログが記録される。
TCPのコネクションが確立した後は、コネクション上で、HTTPに基づくGET(ページの転送を要求するメソッド)をクライアント端末(201)から、Webサーバ(205)に対して行い、Webサーバ(205)は、クライアント端末(201)が要求したWebページをクライアント端末(201)に対して送信する。
このとき、Webサーバ(205)は、アクセスログにWebサーバ(205)へのアクセス内容がログとして記録される。
最終的に、TCPのコネクションが切断された場合には、Firewall(204)でコネクションの切断ログが記録される。
クライアント端末(201)からの通信の宛先IPアドレスが、DMZのネットワークセグメントに含まれるIPアドレスであっても、Firewall(204)で許可されないプロトコル、宛先ポート番号であった場合には、ルータ(203)にて廃棄ログが記録され、当該パケットは廃棄される。
TCPの場合、クライアント端末(201)からの通信の宛先IPアドレスが、DMZのネットワークセグメントに含まれるIPアドレスであり、かつ、Firewall(204)で許可されている宛先ポート番号であるが、TCPコネクションが未確立の場合は、Firewall(204)にて廃棄ログが記録され、当該パケットは廃棄される。
クライアント端末(201)からの通信に、シグネチャと一致するデータが含まれていた場合には、Firewall(204)を通過する通信の場合には、211、212、214のIDSで検知アラート(124)が記録され、Firewall(204)を通過しない場合には、211、212でのIDSで検知アラート(124)が記録され、ルータを通過しない場合には、211のIDSでのみ検知アラート(124)が記録される。
TCPの場合、クライアント端末(201)からの通信の宛先IPアドレスが、DMZのネットワークセグメントに含まれるIPアドレスであり、かつ、Firewall(204)で許可されている宛先ポート番号であるが、TCPコネクションが未確立の場合は、Firewall(204)にて廃棄ログが記録され、当該パケットは廃棄される。
クライアント端末(201)からの通信に、シグネチャと一致するデータが含まれていた場合には、Firewall(204)を通過する通信の場合には、211、212、214のIDSで検知アラート(124)が記録され、Firewall(204)を通過しない場合には、211、212でのIDSで検知アラート(124)が記録され、ルータを通過しない場合には、211のIDSでのみ検知アラート(124)が記録される。
次に、各ログに記録されるレコードの項目について説明する。
なお、ここで記載するレコードの項目に関しては、ログを記録するデバイスやプログラムのバージョン、指定するオプションによって異なってくるものであり、それら全てを記述しているものではない。
なお、ここで記載するレコードの項目に関しては、ログを記録するデバイスやプログラムのバージョン、指定するオプションによって異なってくるものであり、それら全てを記述しているものではない。
ルータで記録されるログは、廃棄ログとNetFlowログとなる。
廃棄ログには、装置識別ID、時刻、ログメッセージID、ACL(Access Control List)のID、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、TCPフラグ、インタフェース名が含まれている。
NetFlowには、生成時刻、終了時刻、発信元IPアドレス、発信元ポート、宛先IPアドレス、宛先ポート、転送先ルータIPアドレス、パケット数、転送バイト数、プロトコルなどが記録されている。
廃棄ログには、装置識別ID、時刻、ログメッセージID、ACL(Access Control List)のID、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、TCPフラグ、インタフェース名が含まれている。
NetFlowには、生成時刻、終了時刻、発信元IPアドレス、発信元ポート、宛先IPアドレス、宛先ポート、転送先ルータIPアドレス、パケット数、転送バイト数、プロトコルなどが記録されている。
Firewallで記録されるログは、通過ログ、廃棄ログとなる。
通過ログでは、装置識別ID、時刻、ログの識別ID、ログメッセージ、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、インタフェース名が含まれている。
廃棄ログは、装置識別ID、時刻、ログの識別ID、ログメッセージ、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、TCPフラグ、インタフェース名が含まれている。
通過ログでは、装置識別ID、時刻、ログの識別ID、ログメッセージ、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、インタフェース名が含まれている。
廃棄ログは、装置識別ID、時刻、ログの識別ID、ログメッセージ、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、TCPフラグ、インタフェース名が含まれている。
IDSで記録されるログは、IDSによる攻撃検知ログとなる。
攻撃検知ログでは、装置識別ID、時刻、検知メッセージ、シグネチャID、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコルが含まれている。
攻撃検知ログでは、装置識別ID、時刻、検知メッセージ、シグネチャID、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコルが含まれている。
Webサーバでは、アクセスログとエラーログが含まれている。
アクセスログでは、装置識別ID、時刻、発信元IPアドレス、ユーザID、時刻、リクエスト内容、リターンコード、転送バイト数が含まれている。
エラーログでは、装置識別ID、時刻、サーバ上で発生した警告やエラーについてのメッセージが記録される。
アクセスログでは、装置識別ID、時刻、発信元IPアドレス、ユーザID、時刻、リクエスト内容、リターンコード、転送バイト数が含まれている。
エラーログでは、装置識別ID、時刻、サーバ上で発生した警告やエラーについてのメッセージが記録される。
Mailサーバでは、送受信したメールのヘッダ情報(装置識別ID、時刻、発信元メールアドレス、宛先メールアドレスなど)が含まれている。
Proxyサーバでは、装置識別ID、時刻、および、中継した内部ネットワークから外部ネットワークへのHTTP通信に関するヘッダ情報(発信元IPアドレス、宛先IPアドレス、宛先URL、HTTPメソッドなど)が含まれている。
上記の各種ネットワーク機器ならびにサーバで記録されたログは、図1のログ収集装置(109)のログ収集部(110)によって、ネットワークを経由して収集され、ログDB(111)に記録される。
なお、ログDB(111)に記録する際に、ログの種別を各ログのレコードへ付与するとともに、各ログの発信元IPアドレスを元にIPアドレスとIPアドレスが割り当てられている場所(国、端末設置場所)の対応表データを参照して発信元位置を特定し、各ログのレコードに付与する。
IPアドレスと国の対応表データとしては、地域別に公的機関によって管理され公開されているIPアドレスとドメイン表の情報である。例えば、日本に割り当てられたIPアドレスに関しては、社団法人 日本ネットワークインフォメーションセンター(JPNIC:Japan Network Information Center)から入手可能である。
また、IPアドレスと端末設置場所の対応表データとしては、各企業別に管理している資産管理台帳などに記載された、当該IPアドレスが付与された端末名、所有者、所有者の所属、端末設置場所、連絡先(電話番号、内線番号、メールアドレス)の情報からから特定可能である。
なお、ログDB(111)に記録する際に、ログの種別を各ログのレコードへ付与するとともに、各ログの発信元IPアドレスを元にIPアドレスとIPアドレスが割り当てられている場所(国、端末設置場所)の対応表データを参照して発信元位置を特定し、各ログのレコードに付与する。
IPアドレスと国の対応表データとしては、地域別に公的機関によって管理され公開されているIPアドレスとドメイン表の情報である。例えば、日本に割り当てられたIPアドレスに関しては、社団法人 日本ネットワークインフォメーションセンター(JPNIC:Japan Network Information Center)から入手可能である。
また、IPアドレスと端末設置場所の対応表データとしては、各企業別に管理している資産管理台帳などに記載された、当該IPアドレスが付与された端末名、所有者、所有者の所属、端末設置場所、連絡先(電話番号、内線番号、メールアドレス)の情報からから特定可能である。
次に、異常検知装置(112)について動作を説明する。
なお、本実施の形態においては、異常検知装置(112)内部の処理については、特に規定するものではないため、異常検知装置(112)の入力データとなるトラフィック情報(113)、ならびに、異常検知装置(112)の出力データであり、ネットワーク攻撃判定装置(117)の入力データとなる検知情報(116)について記述する。
なお、本実施の形態においては、異常検知装置(112)内部の処理については、特に規定するものではないため、異常検知装置(112)の入力データとなるトラフィック情報(113)、ならびに、異常検知装置(112)の出力データであり、ネットワーク攻撃判定装置(117)の入力データとなる検知情報(116)について記述する。
監視対象ネットワーク(114)から取得されるトラフィック情報(113)は、監視対象ネットワーク上の特定箇所を流れる通信に関する情報である。
トラフィック情報(113)としては、通信パケットのダンプログや、通信パケットのダンプログを元に集計処理されて生成されるNetFlowログ、単位時間あたりのSYNパケットの数、単位時間当たりのTCPコネクションの数などが分析対象となる。
なお、集計処理の際には、ログ収集装置(109)のログ収集部(110)で行うように、各ログの発信元IPアドレスを元に、IPアドレスとIPアドレスが割り当てられている場所(国、端末設置場所)の対応表データを参照して発信元位置を特定し、発信元位置別のトラフィックを監視しているものとする。
異常検知装置(112)の出力データである検知情報(116)は、異常検知装置(112)にて分析対象のトラフィックに異常が検出された場合に生成される。
異常検知装置(112)の出力データである検知情報(116)には、検知時刻、発信元位置、検知箇所、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコルに関する情報が含まれている。
なお、異常検知装置(112)における集計などのデータ処理の内容により、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコルのいずれか、もしくは、全てが含まれない場合があってもよいが、検知時刻、発信元位置、検知箇所については必ず含まれているものとする。
トラフィック情報(113)としては、通信パケットのダンプログや、通信パケットのダンプログを元に集計処理されて生成されるNetFlowログ、単位時間あたりのSYNパケットの数、単位時間当たりのTCPコネクションの数などが分析対象となる。
なお、集計処理の際には、ログ収集装置(109)のログ収集部(110)で行うように、各ログの発信元IPアドレスを元に、IPアドレスとIPアドレスが割り当てられている場所(国、端末設置場所)の対応表データを参照して発信元位置を特定し、発信元位置別のトラフィックを監視しているものとする。
異常検知装置(112)の出力データである検知情報(116)は、異常検知装置(112)にて分析対象のトラフィックに異常が検出された場合に生成される。
異常検知装置(112)の出力データである検知情報(116)には、検知時刻、発信元位置、検知箇所、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコルに関する情報が含まれている。
なお、異常検知装置(112)における集計などのデータ処理の内容により、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコルのいずれか、もしくは、全てが含まれない場合があってもよいが、検知時刻、発信元位置、検知箇所については必ず含まれているものとする。
次に、ネットワーク攻撃判定装置(117)の動作について説明する。
図3は、ネットワーク攻撃判定装置(117)の動きの概要を示したフロー図である。
図3は、ネットワーク攻撃判定装置(117)の動きの概要を示したフロー図である。
ネットワーク攻撃判定装置(117)は、異常検知装置(112)にて、分析対象トラフィックから異常が検出されたことをトリガとして動作する。
ネットワーク攻撃判定装置(117)への入力データは、異常検知装置(112)から得られる検知情報(116)と、ログ収集装置(109)のログDB(111)から得られる収集された各種ログ(115)(発信元位置情報付与済み)となる。
ネットワーク攻撃判定装置(117)では、まず、異常検知装置(112)から検知情報(116)を検知情報受信部(118)によって受信する(S301)(検知情報受信ステップ)。
検知情報受信部(118)は、受信した検知情報(116)から、検知情報(116)を各項目(検知時刻、発信元位置、検知箇所、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル)に分解する(S302)。
次にログ集計部(119)がログ集計処理を行う(S303)。
ネットワーク攻撃判定装置(117)への入力データは、異常検知装置(112)から得られる検知情報(116)と、ログ収集装置(109)のログDB(111)から得られる収集された各種ログ(115)(発信元位置情報付与済み)となる。
ネットワーク攻撃判定装置(117)では、まず、異常検知装置(112)から検知情報(116)を検知情報受信部(118)によって受信する(S301)(検知情報受信ステップ)。
検知情報受信部(118)は、受信した検知情報(116)から、検知情報(116)を各項目(検知時刻、発信元位置、検知箇所、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル)に分解する(S302)。
次にログ集計部(119)がログ集計処理を行う(S303)。
ここで、ログ集計部(119)によるログ集計処理の詳細を説明する。
図4は、ログ集計部(119)の処理を表したフロー図である。
ログ集計部(119)では、検知情報受信部(118)によって検知情報から分解して得られた各項目のうち、検知時刻、発信元位置をキーワードとして、ログDB(111)を検索して関係するログを抽出する(S401)(ログ取得ステップ)。
ただし、検知時刻に関しては、異常検知装置(112)に設定されている集計の単位時間に合わせて、異常を検知したトラフィックデータが集計された時間で検索を実施する。
たとえば、集計の単位時間を30分とすると、検知時刻が10:35の時に、異常が検知された分析対象データが10:00〜10:30までに発生したデータの集計値である場合には、ログDB(111)を検索する条件として、10:00〜10:30のログを抽出する。
ログ集計部(119)では、ログDB(111)から抽出されたログを元に、評価パラメータの値を算出する(S402)(S403)(判定ステップ)。
図4は、ログ集計部(119)の処理を表したフロー図である。
ログ集計部(119)では、検知情報受信部(118)によって検知情報から分解して得られた各項目のうち、検知時刻、発信元位置をキーワードとして、ログDB(111)を検索して関係するログを抽出する(S401)(ログ取得ステップ)。
ただし、検知時刻に関しては、異常検知装置(112)に設定されている集計の単位時間に合わせて、異常を検知したトラフィックデータが集計された時間で検索を実施する。
たとえば、集計の単位時間を30分とすると、検知時刻が10:35の時に、異常が検知された分析対象データが10:00〜10:30までに発生したデータの集計値である場合には、ログDB(111)を検索する条件として、10:00〜10:30のログを抽出する。
ログ集計部(119)では、ログDB(111)から抽出されたログを元に、評価パラメータの値を算出する(S402)(S403)(判定ステップ)。
評価パラメータとしては、ルータNetFlowログについては、特定IPアドレスを発信元とするログ数となる。
ルータ廃棄ログについては、廃棄ログ件数、特定IPアドレスを発信元とするログ数となる。
また、IDS検知ログについては、既知攻撃を検知するアラート数、スキャンを検知するアラート数となる。
Firewall通過ログについては、発信元IPアドレス数、1IPからのアクセス数が少ない(n以下)通信の数、特定IPアドレスからのアクセス数となる。
Firewall遮断ログについては、サーバからインターネットへの通信数となる。
Webサーバアクセスログについては、アクセスログ数、URL長の長い(m文字以上)アクセス数となる。
Webサーバエラーログについては、エラー数となる。
Mailサーバログについては、特定メールアドレス宛のメール送信数となる。
Proxyサーバログについては、特定URL宛のPOST通信数となる。
これらは、後に、図6で示す攻撃分類情報に基づく攻撃判定部(121)における処理で利用する。
1IPからのアクセス数が少ない通信の数を算出する場合のnは事前に指定しておく。目安として、Webサーバ宛の場合は、n=10程度とする。また、URL長の長いアクセス数を算出する場合のmについても事前に指定しておく。
ルータNetFlowログの、特定IPアドレスを発信元とするログ数については、ルータの装置識別IDごと、発信元IPアドレス別にログの発生件数を集計する。
ルータ廃棄ログの、廃棄ログ件数は、ログDB(111)から抽出されたログから、ルータの装置識別IDごとに集計する。特定IPアドレスを発信元とするログ数については、ルータの装置識別IDごと、発信元IPアドレス別にログの発生件数を集計する。
IDS検知ログの、既知攻撃を検知するアラート数は、IDSの装置識別IDごとに、スキャンを検知するアラート以外のアラートの件数を集計する。
スキャンを検知するアラート数は、スキャンを検知したアラートのみの件数を、IDSの装置識別IDごとに、集計する。
Firewall通過ログに関しては、まず、発信元−宛先集計データを作成する。
発信元−宛先集計データは、発信元IPアドレス、宛先IPアドレス、宛先ポート番号が同じログを、Firewallの装置識別IDごとに集計したものである。
したがって、発信元−宛先集計データには、Firewallの装置識別ID、発信元IPアドレス、宛先IPアドレス、宛先ポート番号、集計値が含まれる。
生成された発信元−宛先集計データの、発信元IPアドレスの種類を集計したものが、発信元IPアドレス数となる。
1IPアドレスからのアクセス数が少ない通信の数は、生成された発信元−宛先集計データのうち、n以下のアクセス数を含むデータの数を集計する。
特定IPアドレスから特定IPアドレスへのアクセス数については、生成された発信元−宛先集計データの中から最大値を持つデータとなる。特定IPアドレスからの不特定多数IPアドレスへのアクセス数は、生成された発信元−宛先集計データを発信元IPアドレス別に集計する。
Firewallの遮断ログのサーバからDMZ外への通信数では、Fireallの装置識別IDごとに、遮断ログの発信元IPアドレスがDMZのネットワークセグメントからのものであるものを集計する。
Webサーバアクセスログのアクセスログ数は、Webサーバの装置識別IDごとに、アクセスログを集計する。URL長の長いアクセス数については、m文字以上のURLが記録されているアクセスログのみを集計する。
Webサーバエラーログのエラー数は、Webサーバの装置識別IDごとに、エラーログを集計する。
Mailサーバログの特定メールアドレス宛のメール送信数は、Mailサーバの装置識別IDごと、同一の宛先メールアドレス別に集計する。
Proxyサーバログの特定URL宛のPOST通信数は、Proxyサーバの装置識別IDごとに、ProxyサーバログのメソッドがPOSTであるログのうち、宛先URLが同一のログを集計する。
ルータ廃棄ログについては、廃棄ログ件数、特定IPアドレスを発信元とするログ数となる。
また、IDS検知ログについては、既知攻撃を検知するアラート数、スキャンを検知するアラート数となる。
Firewall通過ログについては、発信元IPアドレス数、1IPからのアクセス数が少ない(n以下)通信の数、特定IPアドレスからのアクセス数となる。
Firewall遮断ログについては、サーバからインターネットへの通信数となる。
Webサーバアクセスログについては、アクセスログ数、URL長の長い(m文字以上)アクセス数となる。
Webサーバエラーログについては、エラー数となる。
Mailサーバログについては、特定メールアドレス宛のメール送信数となる。
Proxyサーバログについては、特定URL宛のPOST通信数となる。
これらは、後に、図6で示す攻撃分類情報に基づく攻撃判定部(121)における処理で利用する。
1IPからのアクセス数が少ない通信の数を算出する場合のnは事前に指定しておく。目安として、Webサーバ宛の場合は、n=10程度とする。また、URL長の長いアクセス数を算出する場合のmについても事前に指定しておく。
ルータNetFlowログの、特定IPアドレスを発信元とするログ数については、ルータの装置識別IDごと、発信元IPアドレス別にログの発生件数を集計する。
ルータ廃棄ログの、廃棄ログ件数は、ログDB(111)から抽出されたログから、ルータの装置識別IDごとに集計する。特定IPアドレスを発信元とするログ数については、ルータの装置識別IDごと、発信元IPアドレス別にログの発生件数を集計する。
IDS検知ログの、既知攻撃を検知するアラート数は、IDSの装置識別IDごとに、スキャンを検知するアラート以外のアラートの件数を集計する。
スキャンを検知するアラート数は、スキャンを検知したアラートのみの件数を、IDSの装置識別IDごとに、集計する。
Firewall通過ログに関しては、まず、発信元−宛先集計データを作成する。
発信元−宛先集計データは、発信元IPアドレス、宛先IPアドレス、宛先ポート番号が同じログを、Firewallの装置識別IDごとに集計したものである。
したがって、発信元−宛先集計データには、Firewallの装置識別ID、発信元IPアドレス、宛先IPアドレス、宛先ポート番号、集計値が含まれる。
生成された発信元−宛先集計データの、発信元IPアドレスの種類を集計したものが、発信元IPアドレス数となる。
1IPアドレスからのアクセス数が少ない通信の数は、生成された発信元−宛先集計データのうち、n以下のアクセス数を含むデータの数を集計する。
特定IPアドレスから特定IPアドレスへのアクセス数については、生成された発信元−宛先集計データの中から最大値を持つデータとなる。特定IPアドレスからの不特定多数IPアドレスへのアクセス数は、生成された発信元−宛先集計データを発信元IPアドレス別に集計する。
Firewallの遮断ログのサーバからDMZ外への通信数では、Fireallの装置識別IDごとに、遮断ログの発信元IPアドレスがDMZのネットワークセグメントからのものであるものを集計する。
Webサーバアクセスログのアクセスログ数は、Webサーバの装置識別IDごとに、アクセスログを集計する。URL長の長いアクセス数については、m文字以上のURLが記録されているアクセスログのみを集計する。
Webサーバエラーログのエラー数は、Webサーバの装置識別IDごとに、エラーログを集計する。
Mailサーバログの特定メールアドレス宛のメール送信数は、Mailサーバの装置識別IDごと、同一の宛先メールアドレス別に集計する。
Proxyサーバログの特定URL宛のPOST通信数は、Proxyサーバの装置識別IDごとに、ProxyサーバログのメソッドがPOSTであるログのうち、宛先URLが同一のログを集計する。
次に、特徴変化検出部(120)について説明する。
特徴変化検出部(120)では、装置識別IDごと、評価パラメータ別に定められた閾値を元に、ログ集計部(119)で算出された各評価パラメータの値が、閾値を超えているかどうかを判断する。この閾値を超える場合は、評価パラメータの値は定常範囲を外れていることになる。
特徴変化検出部(120)で用いる閾値は、手動もしくは自動で設定する。
手動で設定する場合には、ログ収集装置(109)でログを収集している個々のネットワーク機器、サーバ機器について一定の学習期間を設け、その間に収集された各種ログから、それぞれの評価パラメータを集計し、最大値のk倍を設定する。kの値はチューニングパラメータであり、実際にネットワーク攻撃判定を行いながら最適値に設定する。
自動で設定する場合には、ログ収集装置のログDB(111)から、検知のj週間前の同時間帯のログを抽出して、比較用の各評価パラメータを算出し、算出した比較用の評価パラメータをk倍した値を閾値として用いる。jの値の目安としては、1〜4(週間)とし、kについては手動で閾値を設定する場合と同様、実際にネットワーク攻撃判定を行いながら最適値に設定する。
特徴変化検出部(120)では、装置識別IDごと、評価パラメータ別に定められた閾値を元に、ログ集計部(119)で算出された各評価パラメータの値が、閾値を超えているかどうかを判断する。この閾値を超える場合は、評価パラメータの値は定常範囲を外れていることになる。
特徴変化検出部(120)で用いる閾値は、手動もしくは自動で設定する。
手動で設定する場合には、ログ収集装置(109)でログを収集している個々のネットワーク機器、サーバ機器について一定の学習期間を設け、その間に収集された各種ログから、それぞれの評価パラメータを集計し、最大値のk倍を設定する。kの値はチューニングパラメータであり、実際にネットワーク攻撃判定を行いながら最適値に設定する。
自動で設定する場合には、ログ収集装置のログDB(111)から、検知のj週間前の同時間帯のログを抽出して、比較用の各評価パラメータを算出し、算出した比較用の評価パラメータをk倍した値を閾値として用いる。jの値の目安としては、1〜4(週間)とし、kについては手動で閾値を設定する場合と同様、実際にネットワーク攻撃判定を行いながら最適値に設定する。
そして、特徴変化検出部(120)は、装置識別ID別に算出された各評価パラメータについてパラメータ値の増加の有無を一意に決定する(S304)。
次に、攻撃判定部(121)が攻撃判定処理を行う(S305)。
図5は、攻撃判定部(121)の攻撃判定処理(判定ステップ)を表したフロー図である。
攻撃判定部(121)では、特徴変化検出部(120)で決定された各評価パラメータ値の増加有無の判定結果と攻撃分類情報記憶部(123)の攻撃分類情報を比較して、検知した攻撃の種別ならびに、攻撃種別判定結果の確度を算出する。
攻撃判定部(121)では、特徴変化検出部(120)で決定された各評価パラメータ値の増加有無の判定結果と攻撃分類情報記憶部(123)の攻撃分類情報を比較して、検知した攻撃の種別ならびに、攻撃種別判定結果の確度を算出する。
図6及び図7に、攻撃分類情報の一例を示す。
図6は外部ネットワークからの攻撃に関する攻撃分類情報の例を示し、図7は内部ネットワークにおける攻撃に関する攻撃分類情報の例を示している。
攻撃分類情報では、各攻撃の分類種別において、評価パラメータ値の増加の有無についてのパターンが定義されている。
図6は外部ネットワークからの攻撃に関する攻撃分類情報の例を示し、図7は内部ネットワークにおける攻撃に関する攻撃分類情報の例を示している。
攻撃分類情報では、各攻撃の分類種別において、評価パラメータ値の増加の有無についてのパターンが定義されている。
攻撃判定部(121)は、特徴変化検出部(120)により増加と判定された評価パラメータがある場合(S501でYES)は、各評価パラメータ値の判定結果と攻撃分類情報とを比較する(S502)。
各評価パラメータ値の増加の有無の判定結果と攻撃分類情報との比較では、増加と判定された評価パラメータに着目して比較を行い、増加と判定された評価パラメータの組み合わせが最も一致している攻撃種別を特定する(S503)。
なお、特徴変化検出部(120)で、増加判定がなされた評価パラメータがなかった場合には、攻撃分類情報との比較処理はスキップする。
各評価パラメータ値の増加の有無の判定結果と攻撃分類情報との比較では、増加と判定された評価パラメータに着目して比較を行い、増加と判定された評価パラメータの組み合わせが最も一致している攻撃種別を特定する(S503)。
なお、特徴変化検出部(120)で、増加判定がなされた評価パラメータがなかった場合には、攻撃分類情報との比較処理はスキップする。
攻撃種別を特定した後に、攻撃判定部(121)は、攻撃種別判定結果の確度を算出する(S504)。
攻撃種別判定結果の確度は、特定された攻撃種別の攻撃分類情報に含まれる増加が観測される評価パラメータの総数に対する、実際に特徴変化検出部(120)で増加が観測された評価パラメータの数の比から算出する。つまり、特徴変化検出部(120)により増加と判定された評価パラメータと、攻撃分類情報に増加と示されている評価パラメータとの合致度合を算出して攻撃種別判定結果の確度を判断する。
例えば、図6において攻撃種別が、ネットワーク感染型ワームで外部ネットワークからの攻撃を検知した場合、攻撃分類情報では、各評価パラメータに関して11個の増加がパターンとして定義されており、実際に特徴変化検出部(120)で増加が観測された評価パラメータの数が10個一致していた場合は90.9%(≒10÷11×100)として算出する。
なお、特徴変化検出部(120)で、増加判定がなされた評価パラメータがなかった場合の確度は、0%とし、攻撃種別としては、通常発生しうる通信の誤検知と判定する。
攻撃種別判定結果の確度は、特定された攻撃種別の攻撃分類情報に含まれる増加が観測される評価パラメータの総数に対する、実際に特徴変化検出部(120)で増加が観測された評価パラメータの数の比から算出する。つまり、特徴変化検出部(120)により増加と判定された評価パラメータと、攻撃分類情報に増加と示されている評価パラメータとの合致度合を算出して攻撃種別判定結果の確度を判断する。
例えば、図6において攻撃種別が、ネットワーク感染型ワームで外部ネットワークからの攻撃を検知した場合、攻撃分類情報では、各評価パラメータに関して11個の増加がパターンとして定義されており、実際に特徴変化検出部(120)で増加が観測された評価パラメータの数が10個一致していた場合は90.9%(≒10÷11×100)として算出する。
なお、特徴変化検出部(120)で、増加判定がなされた評価パラメータがなかった場合の確度は、0%とし、攻撃種別としては、通常発生しうる通信の誤検知と判定する。
次に、アラート通知部(122)の処理について説明する。
アラート通知部(122)では、攻撃判定処理により得られた攻撃種別判定結果の確度の値を、閾値に応じてアラートレベルを判定してオペレータに通知する(S306)。
図8に、攻撃種別の確度に関する閾値表の一例を示す。
図8に示したように、アラートレベルによって、オペレータへのアラート通知の要否を判断した結果に基づいてアラート通知を行う。
オペレータへのアラート通知の内容としては、検知時刻、アラートレベル、発信元位置、判定された攻撃種別、確度、発信元IPアドレス、宛先IPアドレス、宛先ポート番号、プロトコルが含まれる。
また、図8の各アラートレベルの閾値および通知の要否については、監視ポリシにより、手動で設定を変えることにより、アラート通知の感度を調整する。
アラート通知部(122)では、攻撃判定処理により得られた攻撃種別判定結果の確度の値を、閾値に応じてアラートレベルを判定してオペレータに通知する(S306)。
図8に、攻撃種別の確度に関する閾値表の一例を示す。
図8に示したように、アラートレベルによって、オペレータへのアラート通知の要否を判断した結果に基づいてアラート通知を行う。
オペレータへのアラート通知の内容としては、検知時刻、アラートレベル、発信元位置、判定された攻撃種別、確度、発信元IPアドレス、宛先IPアドレス、宛先ポート番号、プロトコルが含まれる。
また、図8の各アラートレベルの閾値および通知の要否については、監視ポリシにより、手動で設定を変えることにより、アラート通知の感度を調整する。
また、オペレータへのアラート通知の有無によらず、ネットワーク攻撃判定装置(117)の動作履歴を後からオペレータが参照できるようにするため、ログ集計部(119)、特徴変化検出部(120)、攻撃判定部(121)の結果は、テキスト形式でネットワーク攻撃判定装置(117)上の記憶領域に保存しておく。
以上のように、トラフィック情報から異常を検知する異常検知装置において異常が検知された場合に、監視対象ネットワーク上の各ネットワーク機器、ならびに、各サーバからのログを集計して、各ログに対する評価パラメータを算出すると共に、攻撃種別による各ログへの影響を評価パラメータでモデル化して攻撃分類情報を定義し、観測された各ログに対する評価パラメータの増加の有無により、攻撃分類情報と比較して攻撃種別の判定を行い、判定の確度によってアラートをレベル分けし、アラートレベルに応じてオペレータへ通知するようにしているので、異常検知装置によって通常発生しうる範囲のトラフィック変動を検知してしまうような誤検知によるアラートの発生を低減できるとともに、異常検知装置が検出した攻撃種別を特定することによって、攻撃種別に応じて迅速な対応をとることが可能となる。
以上、本実施の形態では、既存の異常検知装置で異常を検知した場合に、ルータやファイアウォールなどのネットワーク機器、ならびに、通信を受信したサーバ、侵入検知装置(IDS:Intrusion Detection System)で記録されるログ(通信確立の有無、パケットの通過/廃棄ログ、サーバアクセス/エラーログ、IDS検知ログ)を集計し、通常時に観測される値と比較することで、検知した異常が実際の攻撃を検知したものであるか、もしくは、誤検知であるかを判定するネットワーク攻撃判定装置を説明した。
実施の形態2.
以上の実施の形態1では、ログ収集装置によって収集された各種ログから算出された評価パラメータと攻撃分類情報を比較することによって、攻撃種別の特定とレベル分けされたアラート通知によって異常検知装置(112)の誤検知によるアラートを低減するようにしたものであるが、次に、ネットワーク攻撃判定装置の判定結果から、攻撃の経路を特定する実施の形態2を示す。
以上の実施の形態1では、ログ収集装置によって収集された各種ログから算出された評価パラメータと攻撃分類情報を比較することによって、攻撃種別の特定とレベル分けされたアラート通知によって異常検知装置(112)の誤検知によるアラートを低減するようにしたものであるが、次に、ネットワーク攻撃判定装置の判定結果から、攻撃の経路を特定する実施の形態2を示す。
図9は、本実施の形態に係るネットワーク攻撃判定装置(117)で攻撃の経路が特定された結果の一例を表している。
図9において、801は、監視対象ネットワークのネットワーク図を表示する画面を表している。
なお、本実施の形態に係るシステム構成は図1に示した通りであり、また、ネットワーク攻撃判定装置(117)の内部構成例も図1に示した通りである。
図9において、801は、監視対象ネットワークのネットワーク図を表示する画面を表している。
なお、本実施の形態に係るシステム構成は図1に示した通りであり、また、ネットワーク攻撃判定装置(117)の内部構成例も図1に示した通りである。
ネットワーク攻撃判定装置(117)のログ集計部(119)では、装置識別IDごとに評価パラメータを算出する。
したがって、特徴変化検出部(120)において、増加と判定された評価パラメータが、監視対象ネットワーク上のどの機器のログから生成されたのかが特定できる。
また、攻撃の発信元に関する情報としては、異常検知装置(112)の検知情報に含まれる発信元位置、および、発信元IPアドレス別に集計される評価パラメータに増加が検出された場合には、増加が観測された発信元IPアドレスまで特定できる。
そこで、あらかじめ描画されている監視対象ネットワークのネットワーク図において、オペレータへのアラート通知時に、自動、もしくは、オペレータからの指示入力により、アラート通知部(122)は、評価パラメータで増加が検出されたネットワーク機器、サーバ、発信元位置、発信元IPアドレスが付与された端末、および、それらを結合するネットワーク配線を強調して表示することによって、攻撃の通信経路をグラフィカルに特定する。
本実施の形態では、アラート通知部(122)は、攻撃経路情報生成部の例である。
したがって、特徴変化検出部(120)において、増加と判定された評価パラメータが、監視対象ネットワーク上のどの機器のログから生成されたのかが特定できる。
また、攻撃の発信元に関する情報としては、異常検知装置(112)の検知情報に含まれる発信元位置、および、発信元IPアドレス別に集計される評価パラメータに増加が検出された場合には、増加が観測された発信元IPアドレスまで特定できる。
そこで、あらかじめ描画されている監視対象ネットワークのネットワーク図において、オペレータへのアラート通知時に、自動、もしくは、オペレータからの指示入力により、アラート通知部(122)は、評価パラメータで増加が検出されたネットワーク機器、サーバ、発信元位置、発信元IPアドレスが付与された端末、および、それらを結合するネットワーク配線を強調して表示することによって、攻撃の通信経路をグラフィカルに特定する。
本実施の形態では、アラート通知部(122)は、攻撃経路情報生成部の例である。
図9では、評価パラメータとして、ルータ1、ルータ2、ルータ5のNetFlowログの特定IPアドレスを発信元とするログ数、Firewall通過ログの特定IPアドレスからの特定IPアドレスへのアクセス数、Proxyサーバログの特定URL宛のPOST通信数で増加と判定され、攻撃種別がWebによる情報漏洩と判断された場合を図示したものである。
発信元IPアドレスが端末12のものであると特定されているのは、ルータ5の特定IPアドレスを発信元とするログ数の集計で、発信元IPアドレスが特定されたためである。発信元IPアドレスが特定されなかった場合は、異常検知装置(112)で特定されている発信元位置に含まれる端末全て、もしくは、エリアを強調表示する。
発信元IPアドレスが端末12のものであると特定されているのは、ルータ5の特定IPアドレスを発信元とするログ数の集計で、発信元IPアドレスが特定されたためである。発信元IPアドレスが特定されなかった場合は、異常検知装置(112)で特定されている発信元位置に含まれる端末全て、もしくは、エリアを強調表示する。
このように、本実施の形態では、攻撃判定部(121)は、監視対象ネットワーク(114)に対する攻撃が行われたと判断した場合に、特徴変化検出部(120)でパラメータ値が増加していると判定された評価パラメータ(ログ導出非定常パラメータ)の導出元となったログの生成元の通信機器が、監視対象ネットワーク(114)に対する攻撃の攻撃経路に含まれていると推定する。
また、ログ集計部(119)は、複数種の評価パラメータの1つとして、取得したログに示されている通信アドレスごとに通信アドレスの出現数を導出し、攻撃判定部(121)が、いずれかの通信アドレスの出現数が定常範囲から外れており監視対象ネットワーク(114)に対する攻撃が行われたと判断した場合に、出現数が定常範囲から外れている通信アドレスと、検知情報(116)に示されている発信元通信アドレスとに基づき、監視対象ネットワーク(114)に対する攻撃の攻撃元を推定する。
また、アラート通知部(122)は、攻撃判定部(121)により推定された攻撃経路及び攻撃元をグラフィカルに表示する攻撃経路情報(図9)を生成し、攻撃経路情報をオペレータに提示する。
また、ログ集計部(119)は、複数種の評価パラメータの1つとして、取得したログに示されている通信アドレスごとに通信アドレスの出現数を導出し、攻撃判定部(121)が、いずれかの通信アドレスの出現数が定常範囲から外れており監視対象ネットワーク(114)に対する攻撃が行われたと判断した場合に、出現数が定常範囲から外れている通信アドレスと、検知情報(116)に示されている発信元通信アドレスとに基づき、監視対象ネットワーク(114)に対する攻撃の攻撃元を推定する。
また、アラート通知部(122)は、攻撃判定部(121)により推定された攻撃経路及び攻撃元をグラフィカルに表示する攻撃経路情報(図9)を生成し、攻撃経路情報をオペレータに提示する。
以上のように、ネットワーク攻撃判定装置における分析の結果を、監視対象ネットワークのネットワーク図に図示することによって、実施の形態1で得られる攻撃種別に加え、その攻撃の経路についても特定されるため、対策が必要な箇所が明確になるとともに、事後の対策として、どの機器のログを保全しておけばよいのかについても、容易に選出可能となる。
以上、本実施の形態では、攻撃があったと判定した場合に、ログの特徴が変化した機器をネットワーク図で示すことにより、攻撃の経路を特定するネットワーク攻撃判定装置を説明した。
最後に、実施の形態1及び2に示したネットワーク攻撃判定装置(117)のハードウェア構成例について説明する。
図10は、実施の形態1及び2に示すネットワーク攻撃判定装置(117)のハードウェア資源の一例を示す図である。
なお、図10の構成は、あくまでもネットワーク攻撃判定装置(117)のハードウェア構成の一例を示すものであり、ネットワーク攻撃判定装置(117)のハードウェア構成は図10に記載の構成に限らず、他の構成であってもよい。
図10は、実施の形態1及び2に示すネットワーク攻撃判定装置(117)のハードウェア資源の一例を示す図である。
なお、図10の構成は、あくまでもネットワーク攻撃判定装置(117)のハードウェア構成の一例を示すものであり、ネットワーク攻撃判定装置(117)のハードウェア構成は図10に記載の構成に限らず、他の構成であってもよい。
図10において、ネットワーク攻撃判定装置(117)は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
通信ボード915は、ネットワークに接続されている。例えば、通信ボード915は、LAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)などに接続されていても構わない。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
また、RAM914には、CPU911に実行させるオペレーティングシステム921のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
また、ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
ネットワーク攻撃判定装置(117)の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
ネットワーク攻撃判定装置(117)の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
上記プログラム群923には、実施の形態1及び2の説明において「〜部」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、実施の形態1及び2の説明において、「〜の判断」、「〜の判定」、「〜の計算」、「〜の算出」、「〜の抽出」、「〜の比較」、「〜の評価」、「〜の更新」、「〜の設定」、「〜の登録」、「〜の選択」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1及び2で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1及び2で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、実施の形態1及び2の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1及び2の「〜部」としてコンピュータを機能させるものである。あるいは、実施の形態1及び2の「〜部」の手順や方法をコンピュータに実行させるものである。
このように、実施の形態1及び2に示すネットワーク攻撃判定装置(117)は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
101 ルータ、102 Firewall、103 IDS、104 サーバ、105 ログ、106 ログ、107 ログ、108 ログ、109 ログ収集装置、110 ログ収集部、111 ログDB、112 異常検知装置、113 トラフィック情報、114 監視対象ネットワーク、115 ログ、116 検知情報、117 ネットワーク攻撃判定装置、118 検知情報受信部、119 ログ集計部、120 特徴変化検出部、121 攻撃判定部、122 アラート通知部、123 攻撃分類情報記憶部、124 検知アラート。
Claims (12)
- 監視対象ネットワークのネットワークトラフィックの異常を検知する異常検知装置と、
前記監視対象ネットワークを流通する通信データに対して所定のデータ処理を行う1つ以上の通信機器がそれぞれのデータ処理に付随して生成したログを記憶するログ記憶装置とに接続され、
前記ログ記憶装置からログを取得するログ取得部と、
前記異常検知装置から、前記監視対象ネットワークのネットワークトラフィックの異常を検知したことを通知する検知情報を受信する検知情報受信部と、
前記検知情報受信部により検知情報が受信された場合に、前記ログ取得部により取得されたログに基づいて、前記監視対象ネットワークに対する攻撃の有無を判定する判定部とを有することを特徴とする攻撃判定装置。 - 前記判定部は、
前記ログ取得部により取得されたログに基づいて、前記監視対象ネットワークに対する攻撃の種類を判定することを特徴とする請求項1に記載の攻撃判定装置。 - 前記判定部は、
前記ログ取得部により取得されたログから、攻撃の判定に用いる複数種のパラメータのパラメータ値を導出し、複数種のパラメータのうちパラメータ値が定常範囲から外れているパラメータをログ導出非定常パラメータとして抽出し、抽出したログ導出非定常パラメータを用いて前記監視対象ネットワークに対する攻撃の有無を判定することを特徴とする請求項1又は2に記載の攻撃判定装置。 - 前記攻撃判定装置は、更に、
攻撃の種類ごとに、前記複数種のパラメータのうち攻撃が行われた際にパラメータ値が定常範囲から外れることになるパラメータを照合非定常パラメータとして示す攻撃分類情報を記憶する攻撃分類情報記憶部を有し、
前記判定部は、
抽出したログ導出非定常パラメータと前記攻撃分類情報に示されている照合非定常パラメータとを照合して、前記監視対象ネットワークに対する攻撃の有無及び攻撃の種類を判定することを特徴とする請求項3に記載の攻撃判定装置。 - 前記判定部は、
前記攻撃分類情報に示されている攻撃のうち、照合非定常パラメータの組み合わせがログ導出非定常パラメータの組み合わせに最も合致している攻撃が前記監視対象ネットワークに対して行われたと判定することを特徴とする請求項4に記載の攻撃判定装置。 - 前記判定部は、
照合非定常パラメータの組み合わせとログ導出非定常パラメータの組み合わせとの合致度合を算出して、攻撃種類の判定結果の確度を判断することを特徴とする請求項5に記載の攻撃判定装置。 - 前記攻撃判定装置は、
複数種の通信機器で生成されたログをログ生成元の通信機器の種類を識別して記憶するログ記憶装置に接続され、
前記判定部は、
通信機器の種類ごとに異なる種類のパラメータのパラメータ値を導出することを特徴とする請求項3〜6のいずれかに記載の攻撃判定装置。 - 前記攻撃判定装置は、
複数の通信機器で生成されたログをログの生成元の通信機器を識別して記憶するログ記憶装置に接続され、
前記判定部は、
前記監視対象ネットワークに対する攻撃が行われたと判断した場合に、抽出したログ導出非定常パラメータの導出元となったログの生成元の通信機器が、前記監視対象ネットワークに対する攻撃の攻撃経路に含まれていると推定することを特徴とする請求項1〜7のいずれかに記載の攻撃判定装置。 - 前記検知情報受信部は、
前記異常検知装置で検知された前記監視対象ネットワークのネットワークトラフィックの異常に関係する通信の発信元についての情報が1つ以上示されている検知情報を受信し、
前記判定部は、
複数種のパラメータのパラメータ値の1つとして、前記ログ取得部により取得されたログに示されている通信アドレスごとに通信アドレスの出現数を導出し、
いずれかの通信アドレスの出現数が定常範囲から外れており、前記監視対象ネットワークに対する攻撃が行われたと判断した場合に、出現数が定常範囲から外れている通信アドレスと、前記検知情報に示されている通信の発信元についての情報とに基づき、前記監視対象ネットワークに対する攻撃の攻撃元を推定することを特徴とする請求項8に記載の攻撃判定装置。 - 前記攻撃判定装置部は、更に、
前記判定部により推定された攻撃経路及び攻撃元をグラフィカルに表示する攻撃経路情報を生成する攻撃経路情報生成部を有することを特徴とする請求項9に記載の攻撃判定装置。 - 監視対象ネットワークのネットワークトラフィックの異常を検知する異常検知装置と、
前記監視対象ネットワークを流通する通信データに対して所定のデータ処理を行う1つ以上の通信機器がそれぞれのデータ処理に付随して生成したログを記憶するログ記憶装置とに接続されたコンピュータが、
前記ログ記憶装置からログを取得するログ取得ステップと、
前記異常検知装置から、前記監視対象ネットワークのネットワークトラフィックの異常を検知したことを通知する検知情報を受信する検知情報受信ステップと、
前記検知情報受信ステップにより検知情報が受信された場合に、前記ログ取得ステップにより取得されたログに基づいて、前記監視対象ネットワークに対する攻撃の有無を判定する判定ステップとを有することを特徴とする攻撃判定方法。 - 監視対象ネットワークのネットワークトラフィックの異常を検知する異常検知装置と、
前記監視対象ネットワークを流通する通信データに対して所定のデータ処理を行う1つ以上の通信機器がそれぞれのデータ処理に付随して生成したログを記憶するログ記憶装置とに接続されたコンピュータに、
前記ログ記憶装置からログを取得するログ取得処理と、
前記異常検知装置から、前記監視対象ネットワークのネットワークトラフィックの異常を検知したことを通知する検知情報を受信する検知情報受信処理と、
前記検知情報受信処理により検知情報が受信された場合に、前記ログ取得処理により取得されたログに基づいて、前記監視対象ネットワークに対する攻撃の有無を判定する判定処理とを実行させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008331774A JP5264470B2 (ja) | 2008-12-26 | 2008-12-26 | 攻撃判定装置及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008331774A JP5264470B2 (ja) | 2008-12-26 | 2008-12-26 | 攻撃判定装置及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010152773A true JP2010152773A (ja) | 2010-07-08 |
| JP5264470B2 JP5264470B2 (ja) | 2013-08-14 |
Family
ID=42571761
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008331774A Expired - Fee Related JP5264470B2 (ja) | 2008-12-26 | 2008-12-26 | 攻撃判定装置及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5264470B2 (ja) |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013041367A (ja) * | 2011-08-12 | 2013-02-28 | Ntt Comware Corp | 運用管理装置、運用管理方法、及び運用管理プログラム |
| JP2013081146A (ja) * | 2011-10-05 | 2013-05-02 | Mitsubishi Electric Corp | アドレス抽出装置 |
| CN104504334A (zh) * | 2013-12-05 | 2015-04-08 | 卡巴斯基实验室封闭式股份公司 | 用于评估分类规则选择性的系统及方法 |
| JP2015153077A (ja) * | 2014-02-13 | 2015-08-24 | 日本電信電話株式会社 | 監視機器情報分析装置及び方法及びプログラム |
| JP2015197912A (ja) * | 2014-10-27 | 2015-11-09 | 株式会社ラック | 情報分析システム、情報分析方法およびプログラム |
| JP2017528853A (ja) * | 2014-07-18 | 2017-09-28 | ドイッチェ テレコム アーゲー | コンピュータネットワークへの攻撃を検出する方法 |
| US9794274B2 (en) | 2014-09-08 | 2017-10-17 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
| JP2017225005A (ja) * | 2016-06-15 | 2017-12-21 | 富士通株式会社 | 情報処理装置、情報処理方法、プログラム及び情報処理システム |
| KR101812732B1 (ko) * | 2015-12-30 | 2017-12-27 | 주식회사 시큐아이 | 보안 장치 및 이의 동작 방법 |
| JP2018073140A (ja) * | 2016-10-31 | 2018-05-10 | 富士通株式会社 | ネットワーク監視装置、プログラム及び方法 |
| US10069699B2 (en) | 2015-02-26 | 2018-09-04 | Nippon Telegraph And Telephone Corporation | Monitoring device information analyzing device and method, and non-transitory storage medium storing program |
| JP2018530066A (ja) * | 2015-09-30 | 2018-10-11 | シマンテック コーポレーションSymantec Corporation | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 |
| JP2018174444A (ja) * | 2017-03-31 | 2018-11-08 | 沖電気工業株式会社 | インシデント通知装置およびインシデント通知プログラム |
| JP2019009680A (ja) * | 2017-06-27 | 2019-01-17 | 日本電信電話株式会社 | 検知装置および検知方法 |
| CN111164575A (zh) * | 2017-10-11 | 2020-05-15 | 三菱电机株式会社 | 样本数据生成装置、样本数据生成方法和样本数据生成程序 |
| JP2020088716A (ja) * | 2018-11-29 | 2020-06-04 | 株式会社デンソー | 中継装置 |
| JP2020149390A (ja) * | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | サイバー攻撃検知装置 |
| JPWO2020195230A1 (ja) * | 2019-03-28 | 2020-10-01 | ||
| US10887331B2 (en) | 2014-03-20 | 2021-01-05 | Nec Coporation | Information processing apparatus and influence-process extraction method |
| WO2021009870A1 (ja) * | 2019-07-17 | 2021-01-21 | 日本電気株式会社 | 分析システム、方法およびプログラム |
| CN112437056A (zh) * | 2015-12-16 | 2021-03-02 | 松下电器(美国)知识产权公司 | 安全处理方法以及服务器 |
| CN112822213A (zh) * | 2021-02-07 | 2021-05-18 | 国网福建省电力有限公司电力科学研究院 | 一种针对于电力监控系统的攻击取证与溯源方法 |
| CN113544676A (zh) * | 2019-03-12 | 2021-10-22 | 三菱电机株式会社 | 攻击估计装置、攻击控制方法和攻击估计程序 |
| CN113572778A (zh) * | 2021-07-27 | 2021-10-29 | 北京卫达信息技术有限公司 | 检测非法侵入网络的方法 |
| WO2022019106A1 (ja) * | 2020-07-22 | 2022-01-27 | オムロン株式会社 | 制御装置、制御方法および制御プログラム |
| WO2022107378A1 (ja) * | 2020-11-20 | 2022-05-27 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 攻撃解析装置、攻撃解析方法、および、プログラム |
| WO2022137883A1 (ja) * | 2020-12-24 | 2022-06-30 | 日本電気株式会社 | 攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体 |
| WO2022181495A1 (ja) * | 2021-02-26 | 2022-09-01 | Nttセキュリティ・ジャパン株式会社 | 情報処理システム、情報処理方法、及びプログラム |
| WO2022264239A1 (ja) * | 2021-06-14 | 2022-12-22 | 日本電信電話株式会社 | アラート検証装置、アラート検証方法及びアラート検証プログラム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007013590A (ja) * | 2005-06-30 | 2007-01-18 | Oki Electric Ind Co Ltd | ネットワーク監視システム、ネットワーク監視装置及びプログラム |
| JP2007189644A (ja) * | 2006-01-16 | 2007-07-26 | Mitsubishi Electric Corp | 管理装置及び管理方法及びプログラム |
| JP2008085819A (ja) * | 2006-09-28 | 2008-04-10 | Oki Electric Ind Co Ltd | ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム |
| JP2008193302A (ja) * | 2007-02-02 | 2008-08-21 | Univ Of Electro-Communications | 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム |
-
2008
- 2008-12-26 JP JP2008331774A patent/JP5264470B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007013590A (ja) * | 2005-06-30 | 2007-01-18 | Oki Electric Ind Co Ltd | ネットワーク監視システム、ネットワーク監視装置及びプログラム |
| JP2007189644A (ja) * | 2006-01-16 | 2007-07-26 | Mitsubishi Electric Corp | 管理装置及び管理方法及びプログラム |
| JP2008085819A (ja) * | 2006-09-28 | 2008-04-10 | Oki Electric Ind Co Ltd | ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム |
| JP2008193302A (ja) * | 2007-02-02 | 2008-08-21 | Univ Of Electro-Communications | 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム |
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013041367A (ja) * | 2011-08-12 | 2013-02-28 | Ntt Comware Corp | 運用管理装置、運用管理方法、及び運用管理プログラム |
| JP2013081146A (ja) * | 2011-10-05 | 2013-05-02 | Mitsubishi Electric Corp | アドレス抽出装置 |
| CN104504334A (zh) * | 2013-12-05 | 2015-04-08 | 卡巴斯基实验室封闭式股份公司 | 用于评估分类规则选择性的系统及方法 |
| JP2015153077A (ja) * | 2014-02-13 | 2015-08-24 | 日本電信電話株式会社 | 監視機器情報分析装置及び方法及びプログラム |
| US10887331B2 (en) | 2014-03-20 | 2021-01-05 | Nec Coporation | Information processing apparatus and influence-process extraction method |
| JP2017528853A (ja) * | 2014-07-18 | 2017-09-28 | ドイッチェ テレコム アーゲー | コンピュータネットワークへの攻撃を検出する方法 |
| US9794274B2 (en) | 2014-09-08 | 2017-10-17 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
| JP2015197912A (ja) * | 2014-10-27 | 2015-11-09 | 株式会社ラック | 情報分析システム、情報分析方法およびプログラム |
| US10069699B2 (en) | 2015-02-26 | 2018-09-04 | Nippon Telegraph And Telephone Corporation | Monitoring device information analyzing device and method, and non-transitory storage medium storing program |
| JP2018530066A (ja) * | 2015-09-30 | 2018-10-11 | シマンテック コーポレーションSymantec Corporation | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 |
| CN112437056B (zh) * | 2015-12-16 | 2023-07-25 | 松下电器(美国)知识产权公司 | 安全处理方法以及服务器 |
| CN112437056A (zh) * | 2015-12-16 | 2021-03-02 | 松下电器(美国)知识产权公司 | 安全处理方法以及服务器 |
| KR101812732B1 (ko) * | 2015-12-30 | 2017-12-27 | 주식회사 시큐아이 | 보안 장치 및 이의 동작 방법 |
| JP2017225005A (ja) * | 2016-06-15 | 2017-12-21 | 富士通株式会社 | 情報処理装置、情報処理方法、プログラム及び情報処理システム |
| JP2018073140A (ja) * | 2016-10-31 | 2018-05-10 | 富士通株式会社 | ネットワーク監視装置、プログラム及び方法 |
| JP2018174444A (ja) * | 2017-03-31 | 2018-11-08 | 沖電気工業株式会社 | インシデント通知装置およびインシデント通知プログラム |
| JP2019009680A (ja) * | 2017-06-27 | 2019-01-17 | 日本電信電話株式会社 | 検知装置および検知方法 |
| CN111164575A (zh) * | 2017-10-11 | 2020-05-15 | 三菱电机株式会社 | 样本数据生成装置、样本数据生成方法和样本数据生成程序 |
| CN111164575B (zh) * | 2017-10-11 | 2023-08-22 | 三菱电机株式会社 | 样本数据生成装置、样本数据生成方法和计算机能读取的存储介质 |
| JP2020088716A (ja) * | 2018-11-29 | 2020-06-04 | 株式会社デンソー | 中継装置 |
| JP7388520B2 (ja) | 2018-11-29 | 2023-11-29 | 株式会社デンソー | 中継装置、及び通信方法 |
| CN113544676A (zh) * | 2019-03-12 | 2021-10-22 | 三菱电机株式会社 | 攻击估计装置、攻击控制方法和攻击估计程序 |
| JP2020149390A (ja) * | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | サイバー攻撃検知装置 |
| JP7202932B2 (ja) | 2019-03-14 | 2023-01-12 | 三菱電機株式会社 | サイバー攻撃検知装置 |
| JP7164016B2 (ja) | 2019-03-28 | 2022-11-01 | 日本電気株式会社 | 分析システム、方法およびプログラム |
| JPWO2020195230A1 (ja) * | 2019-03-28 | 2020-10-01 | ||
| WO2021009870A1 (ja) * | 2019-07-17 | 2021-01-21 | 日本電気株式会社 | 分析システム、方法およびプログラム |
| WO2022019106A1 (ja) * | 2020-07-22 | 2022-01-27 | オムロン株式会社 | 制御装置、制御方法および制御プログラム |
| WO2022107378A1 (ja) * | 2020-11-20 | 2022-05-27 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 攻撃解析装置、攻撃解析方法、および、プログラム |
| WO2022137883A1 (ja) * | 2020-12-24 | 2022-06-30 | 日本電気株式会社 | 攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体 |
| CN112822213A (zh) * | 2021-02-07 | 2021-05-18 | 国网福建省电力有限公司电力科学研究院 | 一种针对于电力监控系统的攻击取证与溯源方法 |
| WO2022181495A1 (ja) * | 2021-02-26 | 2022-09-01 | Nttセキュリティ・ジャパン株式会社 | 情報処理システム、情報処理方法、及びプログラム |
| WO2022264239A1 (ja) * | 2021-06-14 | 2022-12-22 | 日本電信電話株式会社 | アラート検証装置、アラート検証方法及びアラート検証プログラム |
| CN113572778A (zh) * | 2021-07-27 | 2021-10-29 | 北京卫达信息技术有限公司 | 检测非法侵入网络的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5264470B2 (ja) | 2013-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5264470B2 (ja) | 攻撃判定装置及びプログラム | |
| US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| EP3356985B1 (en) | Detection of security incidents with low confidence security events | |
| JP4619254B2 (ja) | Idsのイベント解析及び警告システム | |
| US10616258B2 (en) | Security information and event management | |
| EP2953298B1 (en) | Log analysis device, information processing method and program | |
| US7752665B1 (en) | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory | |
| TW201703465A (zh) | 網路異常偵測技術 | |
| CN111010409B (zh) | 加密攻击网络流量检测方法 | |
| CN106330944B (zh) | 恶意系统漏洞扫描器的识别方法和装置 | |
| CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
| US20080295172A1 (en) | Method, system and computer-readable media for reducing undesired intrusion alarms in electronic communications systems and networks | |
| US20040143753A1 (en) | Network risk analysis | |
| CN109587179A (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| KR20090087437A (ko) | 트래픽 검출 방법 및 장치 | |
| US20200195672A1 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
| US20140115663A1 (en) | Method for detecting unauthorized access and network monitoring apparatus | |
| US20090178140A1 (en) | Network intrusion detection system | |
| KR102244036B1 (ko) | 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법 | |
| US20200106791A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics | |
| JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
| JP4170301B2 (ja) | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム | |
| US20220263846A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
| JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111024 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130123 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130205 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130307 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130402 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130430 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5264470 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |