JP2010152773A - 攻撃判定装置及び攻撃判定方法及びプログラム - Google Patents
攻撃判定装置及び攻撃判定方法及びプログラム Download PDFInfo
- Publication number
- JP2010152773A JP2010152773A JP2008331774A JP2008331774A JP2010152773A JP 2010152773 A JP2010152773 A JP 2010152773A JP 2008331774 A JP2008331774 A JP 2008331774A JP 2008331774 A JP2008331774 A JP 2008331774A JP 2010152773 A JP2010152773 A JP 2010152773A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- log
- network
- determination
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】攻撃分類情報記憶部123が、攻撃があった場合にパラメータ値が閾値を超える評価パラメータのパターンが示される攻撃分類情報を記憶し、パラメータ検知情報受信部118が、異常検知装置112から、監視対象ネットワーク114でのトラフィック異常の検知を通知する検知情報116を受信し、ログ集計部119が、ルータ101等の監視対象ネットワーク114内の機器で生成されたログをログ収集装置109を介して取得し、特徴変化検出部120が、ログ集計部119でのログ集計結果に基づき、複数種の評価パラメータごとにパラメータ値が閾値を超えているか否かを判定し、攻撃判定部121が、特徴変化検出部120の判定結果と攻撃分類情報とを照合して、監視対象ネットワーク114に対する攻撃の有無を判定する。
【選択図】図1
Description
パターンマッチング方式では、既知の攻撃別にシグネチャを定義し、シグネチャと一致するデータがネットワーク上で観測された場合に攻撃として検知する。
したがって、新しく発生した攻撃(未知の攻撃)については、ベンダーから攻撃を検知するためのシグネチャがリリースされ、IDSに適用されるまでは検知することができないため、その間、攻撃にさらされていることを検知することができないという課題がある。
上記のような課題を解決するために、シグネチャによらない異常検知に基づく侵入検知装置の研究開発が盛んに行われている(例えば、特許文献1〜3)。
また、ネットワーク機器(IDS、ルータ、Firewall)から出力されるログに記録されるイベント到着間隔および継続時間に基づいた分析を行うことにより、時間的特性に特徴があるイベントの異常を検出することを可能とする方法が提案されている(特許文献2、特許文献3)。
特許文献2および特許文献3によれば、ネットワーク機器から収集されたログの単位時間あたりに発生する頻度についての統計分布(平均ならびに標準偏差)を基に稀率を算出して、所定の確率以下の稀率の場合に異常と検知する方法、ならびに、過去の攻撃時のデータに基づいて生成した統計分布と、分析対象の短期間のデータに基づいて生成した分布との相関度が高い場合に、分析対象の短期間において不正が発生したと判断する方法について記載されている。
さらに、検知した異常がどのような攻撃によって発生したのかについては、検知した異常の内容からは知ることができない。
したがって、異常が検知された場合に、それが、どのような攻撃を検知したのか、もしくは誤検知なのかについての判断は、人手によるログ分析が必要であり、運用者の作業負荷が高く、人為的な判断ミスも発生し易いという課題がある。
また、過去の攻撃時のデータの統計分布との相関係数から攻撃発生時との相関性の高さから不正が発生したと判断する方法(特許文献2〜3)については、過去に攻撃を受けたことがある攻撃の統計分布が必要となる。
しかしながら、攻撃発生時の統計分布は監視対象システムや攻撃の内容ごとに異なっているため、それぞれについて統計分布を実際に得ることは難しいという課題がある。
監視対象ネットワークのネットワークトラフィックの異常を検知する異常検知装置と、
前記監視対象ネットワークを流通する通信データに対して所定のデータ処理を行う1つ以上の通信機器がそれぞれのデータ処理に付随して生成したログを記憶するログ記憶装置とに接続され、
前記ログ記憶装置からログを取得するログ取得部と、
前記異常検知装置から、前記監視対象ネットワークのネットワークトラフィックの異常を検知したことを通知する検知情報を受信する検知情報受信部と、
前記検知情報受信部により検知情報が受信された場合に、前記ログ取得部により取得されたログに基づいて、前記監視対象ネットワークに対する攻撃の有無を判定する判定部とを有することを特徴とする。
図1は、本実施の形態に係るシステム構成例を示す構成図である。
なお、図1では、形式的に監視対象ネットワーク(114)と、101〜104を分けて記述しているが、実際には101〜104は、監視対象ネットワーク(114)上に存在している。
ルータ(101)、Firewall(102)、IDS(103)、各種サーバ(104)は、監視対象ネットワーク(114)を流通する通信データに対して所定のデータ処理を行っており、それぞれ通信機器の例である。
105〜108は、監視対象ネットワーク(114)に接続された各機器(101)〜(104)で記録されたログを表している。
ログ収集装置(109)は、ログ記憶装置の例である。
検知情報(116)は、異常検知装置(112)が監視対象ネットワーク(114)のネットワークトラフィックの異常を検知したことを通知する情報である。
より具体的には、ログ集計部(119)は、集計により、攻撃の判定に用いる複数種の評価パラメータのパラメータ値を導出する。
ログ集計部(119)は、ログ取得部及び判定部の例である。
攻撃分類情報は、攻撃の種類ごとに、複数種の評価パラメータのうち攻撃が行われた際にパラメータ値が定常範囲から外れることになるパラメータ(照合非定常パラメータ)が示される情報である。
攻撃分類情報は、例えば、図6及び図7に示す情報である。図6及び図7の詳細は後述するが、例えば、図6において、攻撃種別ごとに(ネットワーク感染型ワーム等)、攻撃が行われた際にパラメータ値が定常範囲から外れる評価パラメータには「増加」が示されている。
攻撃判定部(121)は、攻撃分類情報記憶部(123)に記憶されている攻撃分類情報に基づいて監視対象ネットワーク(114)に対する攻撃の有無、及び攻撃の種別を判定する。
より具体的には、特徴変化検出部(120)は、ログの集計値に基づき、複数種の評価パラメータのうちパラメータ値が定常範囲から外れている評価パラメータ(ログ導出非定常パラメータ)を抽出する。そして、攻撃判定部(121)は、特徴変化検出部(120)により抽出された評価パラメータ(ログ導出非定常パラメータ)と攻撃分類情報に「増加」と示されている評価パラメータ(照合非定常パラメータ)とを照合して、監視対象ネットワーク(114)に対する攻撃の有無及び攻撃の種類を判定する。
特徴変化検出部(120)及び攻撃判定部(121)は、判定部の例である。
本実施の形態では、異常検知装置(112)において異常が検知された後のログ分析に関するものであるため、異常検知装置(112)で異常が検知されるまでと、異常が検知された後とに分けて動作を説明する。
201は、クライアント端末を表しており、インターネット(202)に接続されている。
203および209は、ルータである。
204は、Firewallである。
211〜214は、IDSである。
205〜208は、それぞれ、Webサーバ、SMTPサーバ、DNSサーバ、Proxyサーバを表している。
203〜214の各要素は監視対象ネットワーク(114)に含まれる。
各サーバが接続されているネットワークを一般的に非武装地帯(DMZ:DeMilitarized Zone)と呼び、Firewallを介してインターネットと直接通信可能なネットワークとなっている。
監視対象ネットワーク(114)上のネットワーク機器(ルータ、Fierwall、IDS)およびサーバ(Webサーバ、SMTPサーバ、DNSサーバ、Proxyサーバ)では、クライアントからサーバ、もしくはサーバのIPアドレスセグメントに対して通信が発生した場合にログが記録される。
Webサーバ(205)へのアクセスはTCP(Transmission Control Protocol)の80番ポート宛の通信となる。
ルータ(203)の設定では、Firewall(204)で許可されている宛先IPアドレス、宛先ポート、プロトコルの組み合わせのみパケットをFirewall(204)へ転送することを想定する。
Firewall(204)では、インターネット(202)上の全ての発信元IPアドレスから、DMZ上の各サーバに対して許可された、プロトコル、宛先ポートの通信のみ許可し、また、TCPの場合は、コネクションが確立していない発信元とDMZ上のサーバとの通信は遮断することを想定する。
IDS(212)〜(214)では、IDS(212)〜(214)が接続されているネットワークセグメントを流れる全てのパケットを取り込んで、既知の攻撃のパターン(シグネチャ)に一致する通信がネットワークセグメント上を流れた場合に、攻撃の検知アラート(124)をログとして記録することを想定する。
送信されたSYNパケットは、インターネット(202)を介してルータ(203)に到達する。
ルータ(203)では、パケットの宛先IPアドレスである80番ポート宛の通信を転送する設定がなされているため、Firewall(204)へパケットを転送する。その際に、通信の記録としてNetFlowログが生成される。
Firewall(204)では、インターネット(202)からWebサーバ(205)へのTCP80番ポートへの通信を許可する設定がなされているため、パケットをWebサーバ(205)へ送信する。このとき、Firewall(204)では、通信を許可したログが記録される。
Webサーバ(205)では、受信したパケットに対してTCPのコネクションを作成するための応答(SYNACKパケット)を返し、Firewall(204)、ルータ(203)、インターネット(202)の順に経由してクライアント端末(201)に転送される。
TCPのコネクションが確立した後は、コネクション上で、HTTPに基づくGET(ページの転送を要求するメソッド)をクライアント端末(201)から、Webサーバ(205)に対して行い、Webサーバ(205)は、クライアント端末(201)が要求したWebページをクライアント端末(201)に対して送信する。
このとき、Webサーバ(205)は、アクセスログにWebサーバ(205)へのアクセス内容がログとして記録される。
最終的に、TCPのコネクションが切断された場合には、Firewall(204)でコネクションの切断ログが記録される。
TCPの場合、クライアント端末(201)からの通信の宛先IPアドレスが、DMZのネットワークセグメントに含まれるIPアドレスであり、かつ、Firewall(204)で許可されている宛先ポート番号であるが、TCPコネクションが未確立の場合は、Firewall(204)にて廃棄ログが記録され、当該パケットは廃棄される。
クライアント端末(201)からの通信に、シグネチャと一致するデータが含まれていた場合には、Firewall(204)を通過する通信の場合には、211、212、214のIDSで検知アラート(124)が記録され、Firewall(204)を通過しない場合には、211、212でのIDSで検知アラート(124)が記録され、ルータを通過しない場合には、211のIDSでのみ検知アラート(124)が記録される。
なお、ここで記載するレコードの項目に関しては、ログを記録するデバイスやプログラムのバージョン、指定するオプションによって異なってくるものであり、それら全てを記述しているものではない。
廃棄ログには、装置識別ID、時刻、ログメッセージID、ACL(Access Control List)のID、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、TCPフラグ、インタフェース名が含まれている。
NetFlowには、生成時刻、終了時刻、発信元IPアドレス、発信元ポート、宛先IPアドレス、宛先ポート、転送先ルータIPアドレス、パケット数、転送バイト数、プロトコルなどが記録されている。
通過ログでは、装置識別ID、時刻、ログの識別ID、ログメッセージ、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、インタフェース名が含まれている。
廃棄ログは、装置識別ID、時刻、ログの識別ID、ログメッセージ、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、TCPフラグ、インタフェース名が含まれている。
攻撃検知ログでは、装置識別ID、時刻、検知メッセージ、シグネチャID、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコルが含まれている。
アクセスログでは、装置識別ID、時刻、発信元IPアドレス、ユーザID、時刻、リクエスト内容、リターンコード、転送バイト数が含まれている。
エラーログでは、装置識別ID、時刻、サーバ上で発生した警告やエラーについてのメッセージが記録される。
なお、ログDB(111)に記録する際に、ログの種別を各ログのレコードへ付与するとともに、各ログの発信元IPアドレスを元にIPアドレスとIPアドレスが割り当てられている場所(国、端末設置場所)の対応表データを参照して発信元位置を特定し、各ログのレコードに付与する。
IPアドレスと国の対応表データとしては、地域別に公的機関によって管理され公開されているIPアドレスとドメイン表の情報である。例えば、日本に割り当てられたIPアドレスに関しては、社団法人 日本ネットワークインフォメーションセンター(JPNIC:Japan Network Information Center)から入手可能である。
また、IPアドレスと端末設置場所の対応表データとしては、各企業別に管理している資産管理台帳などに記載された、当該IPアドレスが付与された端末名、所有者、所有者の所属、端末設置場所、連絡先(電話番号、内線番号、メールアドレス)の情報からから特定可能である。
なお、本実施の形態においては、異常検知装置(112)内部の処理については、特に規定するものではないため、異常検知装置(112)の入力データとなるトラフィック情報(113)、ならびに、異常検知装置(112)の出力データであり、ネットワーク攻撃判定装置(117)の入力データとなる検知情報(116)について記述する。
トラフィック情報(113)としては、通信パケットのダンプログや、通信パケットのダンプログを元に集計処理されて生成されるNetFlowログ、単位時間あたりのSYNパケットの数、単位時間当たりのTCPコネクションの数などが分析対象となる。
なお、集計処理の際には、ログ収集装置(109)のログ収集部(110)で行うように、各ログの発信元IPアドレスを元に、IPアドレスとIPアドレスが割り当てられている場所(国、端末設置場所)の対応表データを参照して発信元位置を特定し、発信元位置別のトラフィックを監視しているものとする。
異常検知装置(112)の出力データである検知情報(116)は、異常検知装置(112)にて分析対象のトラフィックに異常が検出された場合に生成される。
異常検知装置(112)の出力データである検知情報(116)には、検知時刻、発信元位置、検知箇所、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコルに関する情報が含まれている。
なお、異常検知装置(112)における集計などのデータ処理の内容により、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコルのいずれか、もしくは、全てが含まれない場合があってもよいが、検知時刻、発信元位置、検知箇所については必ず含まれているものとする。
図3は、ネットワーク攻撃判定装置(117)の動きの概要を示したフロー図である。
ネットワーク攻撃判定装置(117)への入力データは、異常検知装置(112)から得られる検知情報(116)と、ログ収集装置(109)のログDB(111)から得られる収集された各種ログ(115)(発信元位置情報付与済み)となる。
ネットワーク攻撃判定装置(117)では、まず、異常検知装置(112)から検知情報(116)を検知情報受信部(118)によって受信する(S301)(検知情報受信ステップ)。
検知情報受信部(118)は、受信した検知情報(116)から、検知情報(116)を各項目(検知時刻、発信元位置、検知箇所、発信元IPアドレス、発信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコル)に分解する(S302)。
次にログ集計部(119)がログ集計処理を行う(S303)。
図4は、ログ集計部(119)の処理を表したフロー図である。
ログ集計部(119)では、検知情報受信部(118)によって検知情報から分解して得られた各項目のうち、検知時刻、発信元位置をキーワードとして、ログDB(111)を検索して関係するログを抽出する(S401)(ログ取得ステップ)。
ただし、検知時刻に関しては、異常検知装置(112)に設定されている集計の単位時間に合わせて、異常を検知したトラフィックデータが集計された時間で検索を実施する。
たとえば、集計の単位時間を30分とすると、検知時刻が10:35の時に、異常が検知された分析対象データが10:00〜10:30までに発生したデータの集計値である場合には、ログDB(111)を検索する条件として、10:00〜10:30のログを抽出する。
ログ集計部(119)では、ログDB(111)から抽出されたログを元に、評価パラメータの値を算出する(S402)(S403)(判定ステップ)。
ルータ廃棄ログについては、廃棄ログ件数、特定IPアドレスを発信元とするログ数となる。
また、IDS検知ログについては、既知攻撃を検知するアラート数、スキャンを検知するアラート数となる。
Firewall通過ログについては、発信元IPアドレス数、1IPからのアクセス数が少ない(n以下)通信の数、特定IPアドレスからのアクセス数となる。
Firewall遮断ログについては、サーバからインターネットへの通信数となる。
Webサーバアクセスログについては、アクセスログ数、URL長の長い(m文字以上)アクセス数となる。
Webサーバエラーログについては、エラー数となる。
Mailサーバログについては、特定メールアドレス宛のメール送信数となる。
Proxyサーバログについては、特定URL宛のPOST通信数となる。
これらは、後に、図6で示す攻撃分類情報に基づく攻撃判定部(121)における処理で利用する。
1IPからのアクセス数が少ない通信の数を算出する場合のnは事前に指定しておく。目安として、Webサーバ宛の場合は、n=10程度とする。また、URL長の長いアクセス数を算出する場合のmについても事前に指定しておく。
ルータNetFlowログの、特定IPアドレスを発信元とするログ数については、ルータの装置識別IDごと、発信元IPアドレス別にログの発生件数を集計する。
ルータ廃棄ログの、廃棄ログ件数は、ログDB(111)から抽出されたログから、ルータの装置識別IDごとに集計する。特定IPアドレスを発信元とするログ数については、ルータの装置識別IDごと、発信元IPアドレス別にログの発生件数を集計する。
IDS検知ログの、既知攻撃を検知するアラート数は、IDSの装置識別IDごとに、スキャンを検知するアラート以外のアラートの件数を集計する。
スキャンを検知するアラート数は、スキャンを検知したアラートのみの件数を、IDSの装置識別IDごとに、集計する。
Firewall通過ログに関しては、まず、発信元−宛先集計データを作成する。
発信元−宛先集計データは、発信元IPアドレス、宛先IPアドレス、宛先ポート番号が同じログを、Firewallの装置識別IDごとに集計したものである。
したがって、発信元−宛先集計データには、Firewallの装置識別ID、発信元IPアドレス、宛先IPアドレス、宛先ポート番号、集計値が含まれる。
生成された発信元−宛先集計データの、発信元IPアドレスの種類を集計したものが、発信元IPアドレス数となる。
1IPアドレスからのアクセス数が少ない通信の数は、生成された発信元−宛先集計データのうち、n以下のアクセス数を含むデータの数を集計する。
特定IPアドレスから特定IPアドレスへのアクセス数については、生成された発信元−宛先集計データの中から最大値を持つデータとなる。特定IPアドレスからの不特定多数IPアドレスへのアクセス数は、生成された発信元−宛先集計データを発信元IPアドレス別に集計する。
Firewallの遮断ログのサーバからDMZ外への通信数では、Fireallの装置識別IDごとに、遮断ログの発信元IPアドレスがDMZのネットワークセグメントからのものであるものを集計する。
Webサーバアクセスログのアクセスログ数は、Webサーバの装置識別IDごとに、アクセスログを集計する。URL長の長いアクセス数については、m文字以上のURLが記録されているアクセスログのみを集計する。
Webサーバエラーログのエラー数は、Webサーバの装置識別IDごとに、エラーログを集計する。
Mailサーバログの特定メールアドレス宛のメール送信数は、Mailサーバの装置識別IDごと、同一の宛先メールアドレス別に集計する。
Proxyサーバログの特定URL宛のPOST通信数は、Proxyサーバの装置識別IDごとに、ProxyサーバログのメソッドがPOSTであるログのうち、宛先URLが同一のログを集計する。
特徴変化検出部(120)では、装置識別IDごと、評価パラメータ別に定められた閾値を元に、ログ集計部(119)で算出された各評価パラメータの値が、閾値を超えているかどうかを判断する。この閾値を超える場合は、評価パラメータの値は定常範囲を外れていることになる。
特徴変化検出部(120)で用いる閾値は、手動もしくは自動で設定する。
手動で設定する場合には、ログ収集装置(109)でログを収集している個々のネットワーク機器、サーバ機器について一定の学習期間を設け、その間に収集された各種ログから、それぞれの評価パラメータを集計し、最大値のk倍を設定する。kの値はチューニングパラメータであり、実際にネットワーク攻撃判定を行いながら最適値に設定する。
自動で設定する場合には、ログ収集装置のログDB(111)から、検知のj週間前の同時間帯のログを抽出して、比較用の各評価パラメータを算出し、算出した比較用の評価パラメータをk倍した値を閾値として用いる。jの値の目安としては、1〜4(週間)とし、kについては手動で閾値を設定する場合と同様、実際にネットワーク攻撃判定を行いながら最適値に設定する。
攻撃判定部(121)では、特徴変化検出部(120)で決定された各評価パラメータ値の増加有無の判定結果と攻撃分類情報記憶部(123)の攻撃分類情報を比較して、検知した攻撃の種別ならびに、攻撃種別判定結果の確度を算出する。
図6は外部ネットワークからの攻撃に関する攻撃分類情報の例を示し、図7は内部ネットワークにおける攻撃に関する攻撃分類情報の例を示している。
攻撃分類情報では、各攻撃の分類種別において、評価パラメータ値の増加の有無についてのパターンが定義されている。
各評価パラメータ値の増加の有無の判定結果と攻撃分類情報との比較では、増加と判定された評価パラメータに着目して比較を行い、増加と判定された評価パラメータの組み合わせが最も一致している攻撃種別を特定する(S503)。
なお、特徴変化検出部(120)で、増加判定がなされた評価パラメータがなかった場合には、攻撃分類情報との比較処理はスキップする。
攻撃種別判定結果の確度は、特定された攻撃種別の攻撃分類情報に含まれる増加が観測される評価パラメータの総数に対する、実際に特徴変化検出部(120)で増加が観測された評価パラメータの数の比から算出する。つまり、特徴変化検出部(120)により増加と判定された評価パラメータと、攻撃分類情報に増加と示されている評価パラメータとの合致度合を算出して攻撃種別判定結果の確度を判断する。
例えば、図6において攻撃種別が、ネットワーク感染型ワームで外部ネットワークからの攻撃を検知した場合、攻撃分類情報では、各評価パラメータに関して11個の増加がパターンとして定義されており、実際に特徴変化検出部(120)で増加が観測された評価パラメータの数が10個一致していた場合は90.9%(≒10÷11×100)として算出する。
なお、特徴変化検出部(120)で、増加判定がなされた評価パラメータがなかった場合の確度は、0%とし、攻撃種別としては、通常発生しうる通信の誤検知と判定する。
アラート通知部(122)では、攻撃判定処理により得られた攻撃種別判定結果の確度の値を、閾値に応じてアラートレベルを判定してオペレータに通知する(S306)。
図8に、攻撃種別の確度に関する閾値表の一例を示す。
図8に示したように、アラートレベルによって、オペレータへのアラート通知の要否を判断した結果に基づいてアラート通知を行う。
オペレータへのアラート通知の内容としては、検知時刻、アラートレベル、発信元位置、判定された攻撃種別、確度、発信元IPアドレス、宛先IPアドレス、宛先ポート番号、プロトコルが含まれる。
また、図8の各アラートレベルの閾値および通知の要否については、監視ポリシにより、手動で設定を変えることにより、アラート通知の感度を調整する。
以上の実施の形態1では、ログ収集装置によって収集された各種ログから算出された評価パラメータと攻撃分類情報を比較することによって、攻撃種別の特定とレベル分けされたアラート通知によって異常検知装置(112)の誤検知によるアラートを低減するようにしたものであるが、次に、ネットワーク攻撃判定装置の判定結果から、攻撃の経路を特定する実施の形態2を示す。
図9において、801は、監視対象ネットワークのネットワーク図を表示する画面を表している。
なお、本実施の形態に係るシステム構成は図1に示した通りであり、また、ネットワーク攻撃判定装置(117)の内部構成例も図1に示した通りである。
したがって、特徴変化検出部(120)において、増加と判定された評価パラメータが、監視対象ネットワーク上のどの機器のログから生成されたのかが特定できる。
また、攻撃の発信元に関する情報としては、異常検知装置(112)の検知情報に含まれる発信元位置、および、発信元IPアドレス別に集計される評価パラメータに増加が検出された場合には、増加が観測された発信元IPアドレスまで特定できる。
そこで、あらかじめ描画されている監視対象ネットワークのネットワーク図において、オペレータへのアラート通知時に、自動、もしくは、オペレータからの指示入力により、アラート通知部(122)は、評価パラメータで増加が検出されたネットワーク機器、サーバ、発信元位置、発信元IPアドレスが付与された端末、および、それらを結合するネットワーク配線を強調して表示することによって、攻撃の通信経路をグラフィカルに特定する。
本実施の形態では、アラート通知部(122)は、攻撃経路情報生成部の例である。
発信元IPアドレスが端末12のものであると特定されているのは、ルータ5の特定IPアドレスを発信元とするログ数の集計で、発信元IPアドレスが特定されたためである。発信元IPアドレスが特定されなかった場合は、異常検知装置(112)で特定されている発信元位置に含まれる端末全て、もしくは、エリアを強調表示する。
また、ログ集計部(119)は、複数種の評価パラメータの1つとして、取得したログに示されている通信アドレスごとに通信アドレスの出現数を導出し、攻撃判定部(121)が、いずれかの通信アドレスの出現数が定常範囲から外れており監視対象ネットワーク(114)に対する攻撃が行われたと判断した場合に、出現数が定常範囲から外れている通信アドレスと、検知情報(116)に示されている発信元通信アドレスとに基づき、監視対象ネットワーク(114)に対する攻撃の攻撃元を推定する。
また、アラート通知部(122)は、攻撃判定部(121)により推定された攻撃経路及び攻撃元をグラフィカルに表示する攻撃経路情報(図9)を生成し、攻撃経路情報をオペレータに提示する。
図10は、実施の形態1及び2に示すネットワーク攻撃判定装置(117)のハードウェア資源の一例を示す図である。
なお、図10の構成は、あくまでもネットワーク攻撃判定装置(117)のハードウェア構成の一例を示すものであり、ネットワーク攻撃判定装置(117)のハードウェア構成は図10に記載の構成に限らず、他の構成であってもよい。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
ネットワーク攻撃判定装置(117)の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1及び2で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
Claims (12)
- 監視対象ネットワークのネットワークトラフィックの異常を検知する異常検知装置と、
前記監視対象ネットワークを流通する通信データに対して所定のデータ処理を行う1つ以上の通信機器がそれぞれのデータ処理に付随して生成したログを記憶するログ記憶装置とに接続され、
前記ログ記憶装置からログを取得するログ取得部と、
前記異常検知装置から、前記監視対象ネットワークのネットワークトラフィックの異常を検知したことを通知する検知情報を受信する検知情報受信部と、
前記検知情報受信部により検知情報が受信された場合に、前記ログ取得部により取得されたログに基づいて、前記監視対象ネットワークに対する攻撃の有無を判定する判定部とを有することを特徴とする攻撃判定装置。 - 前記判定部は、
前記ログ取得部により取得されたログに基づいて、前記監視対象ネットワークに対する攻撃の種類を判定することを特徴とする請求項1に記載の攻撃判定装置。 - 前記判定部は、
前記ログ取得部により取得されたログから、攻撃の判定に用いる複数種のパラメータのパラメータ値を導出し、複数種のパラメータのうちパラメータ値が定常範囲から外れているパラメータをログ導出非定常パラメータとして抽出し、抽出したログ導出非定常パラメータを用いて前記監視対象ネットワークに対する攻撃の有無を判定することを特徴とする請求項1又は2に記載の攻撃判定装置。 - 前記攻撃判定装置は、更に、
攻撃の種類ごとに、前記複数種のパラメータのうち攻撃が行われた際にパラメータ値が定常範囲から外れることになるパラメータを照合非定常パラメータとして示す攻撃分類情報を記憶する攻撃分類情報記憶部を有し、
前記判定部は、
抽出したログ導出非定常パラメータと前記攻撃分類情報に示されている照合非定常パラメータとを照合して、前記監視対象ネットワークに対する攻撃の有無及び攻撃の種類を判定することを特徴とする請求項3に記載の攻撃判定装置。 - 前記判定部は、
前記攻撃分類情報に示されている攻撃のうち、照合非定常パラメータの組み合わせがログ導出非定常パラメータの組み合わせに最も合致している攻撃が前記監視対象ネットワークに対して行われたと判定することを特徴とする請求項4に記載の攻撃判定装置。 - 前記判定部は、
照合非定常パラメータの組み合わせとログ導出非定常パラメータの組み合わせとの合致度合を算出して、攻撃種類の判定結果の確度を判断することを特徴とする請求項5に記載の攻撃判定装置。 - 前記攻撃判定装置は、
複数種の通信機器で生成されたログをログ生成元の通信機器の種類を識別して記憶するログ記憶装置に接続され、
前記判定部は、
通信機器の種類ごとに異なる種類のパラメータのパラメータ値を導出することを特徴とする請求項3〜6のいずれかに記載の攻撃判定装置。 - 前記攻撃判定装置は、
複数の通信機器で生成されたログをログの生成元の通信機器を識別して記憶するログ記憶装置に接続され、
前記判定部は、
前記監視対象ネットワークに対する攻撃が行われたと判断した場合に、抽出したログ導出非定常パラメータの導出元となったログの生成元の通信機器が、前記監視対象ネットワークに対する攻撃の攻撃経路に含まれていると推定することを特徴とする請求項1〜7のいずれかに記載の攻撃判定装置。 - 前記検知情報受信部は、
前記異常検知装置で検知された前記監視対象ネットワークのネットワークトラフィックの異常に関係する通信の発信元についての情報が1つ以上示されている検知情報を受信し、
前記判定部は、
複数種のパラメータのパラメータ値の1つとして、前記ログ取得部により取得されたログに示されている通信アドレスごとに通信アドレスの出現数を導出し、
いずれかの通信アドレスの出現数が定常範囲から外れており、前記監視対象ネットワークに対する攻撃が行われたと判断した場合に、出現数が定常範囲から外れている通信アドレスと、前記検知情報に示されている通信の発信元についての情報とに基づき、前記監視対象ネットワークに対する攻撃の攻撃元を推定することを特徴とする請求項8に記載の攻撃判定装置。 - 前記攻撃判定装置部は、更に、
前記判定部により推定された攻撃経路及び攻撃元をグラフィカルに表示する攻撃経路情報を生成する攻撃経路情報生成部を有することを特徴とする請求項9に記載の攻撃判定装置。 - 監視対象ネットワークのネットワークトラフィックの異常を検知する異常検知装置と、
前記監視対象ネットワークを流通する通信データに対して所定のデータ処理を行う1つ以上の通信機器がそれぞれのデータ処理に付随して生成したログを記憶するログ記憶装置とに接続されたコンピュータが、
前記ログ記憶装置からログを取得するログ取得ステップと、
前記異常検知装置から、前記監視対象ネットワークのネットワークトラフィックの異常を検知したことを通知する検知情報を受信する検知情報受信ステップと、
前記検知情報受信ステップにより検知情報が受信された場合に、前記ログ取得ステップにより取得されたログに基づいて、前記監視対象ネットワークに対する攻撃の有無を判定する判定ステップとを有することを特徴とする攻撃判定方法。 - 監視対象ネットワークのネットワークトラフィックの異常を検知する異常検知装置と、
前記監視対象ネットワークを流通する通信データに対して所定のデータ処理を行う1つ以上の通信機器がそれぞれのデータ処理に付随して生成したログを記憶するログ記憶装置とに接続されたコンピュータに、
前記ログ記憶装置からログを取得するログ取得処理と、
前記異常検知装置から、前記監視対象ネットワークのネットワークトラフィックの異常を検知したことを通知する検知情報を受信する検知情報受信処理と、
前記検知情報受信処理により検知情報が受信された場合に、前記ログ取得処理により取得されたログに基づいて、前記監視対象ネットワークに対する攻撃の有無を判定する判定処理とを実行させることを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008331774A JP5264470B2 (ja) | 2008-12-26 | 2008-12-26 | 攻撃判定装置及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008331774A JP5264470B2 (ja) | 2008-12-26 | 2008-12-26 | 攻撃判定装置及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010152773A true JP2010152773A (ja) | 2010-07-08 |
JP5264470B2 JP5264470B2 (ja) | 2013-08-14 |
Family
ID=42571761
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008331774A Expired - Fee Related JP5264470B2 (ja) | 2008-12-26 | 2008-12-26 | 攻撃判定装置及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5264470B2 (ja) |
Cited By (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013041367A (ja) * | 2011-08-12 | 2013-02-28 | Ntt Comware Corp | 運用管理装置、運用管理方法、及び運用管理プログラム |
JP2013081146A (ja) * | 2011-10-05 | 2013-05-02 | Mitsubishi Electric Corp | アドレス抽出装置 |
CN104504334A (zh) * | 2013-12-05 | 2015-04-08 | 卡巴斯基实验室封闭式股份公司 | 用于评估分类规则选择性的系统及方法 |
JP2015153077A (ja) * | 2014-02-13 | 2015-08-24 | 日本電信電話株式会社 | 監視機器情報分析装置及び方法及びプログラム |
JP2015197912A (ja) * | 2014-10-27 | 2015-11-09 | 株式会社ラック | 情報分析システム、情報分析方法およびプログラム |
JP2017528853A (ja) * | 2014-07-18 | 2017-09-28 | ドイッチェ テレコム アーゲー | コンピュータネットワークへの攻撃を検出する方法 |
US9794274B2 (en) | 2014-09-08 | 2017-10-17 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
JP2017225005A (ja) * | 2016-06-15 | 2017-12-21 | 富士通株式会社 | 情報処理装置、情報処理方法、プログラム及び情報処理システム |
KR101812732B1 (ko) * | 2015-12-30 | 2017-12-27 | 주식회사 시큐아이 | 보안 장치 및 이의 동작 방법 |
JP2018073140A (ja) * | 2016-10-31 | 2018-05-10 | 富士通株式会社 | ネットワーク監視装置、プログラム及び方法 |
US10069699B2 (en) | 2015-02-26 | 2018-09-04 | Nippon Telegraph And Telephone Corporation | Monitoring device information analyzing device and method, and non-transitory storage medium storing program |
JP2018530066A (ja) * | 2015-09-30 | 2018-10-11 | シマンテック コーポレーションSymantec Corporation | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 |
JP2018174444A (ja) * | 2017-03-31 | 2018-11-08 | 沖電気工業株式会社 | インシデント通知装置およびインシデント通知プログラム |
JP2019009680A (ja) * | 2017-06-27 | 2019-01-17 | 日本電信電話株式会社 | 検知装置および検知方法 |
CN111164575A (zh) * | 2017-10-11 | 2020-05-15 | 三菱电机株式会社 | 样本数据生成装置、样本数据生成方法和样本数据生成程序 |
JP2020088716A (ja) * | 2018-11-29 | 2020-06-04 | 株式会社デンソー | 中継装置 |
JP2020149390A (ja) * | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | サイバー攻撃検知装置 |
JPWO2020195230A1 (ja) * | 2019-03-28 | 2020-10-01 | ||
US10887331B2 (en) | 2014-03-20 | 2021-01-05 | Nec Coporation | Information processing apparatus and influence-process extraction method |
WO2021009870A1 (ja) * | 2019-07-17 | 2021-01-21 | 日本電気株式会社 | 分析システム、方法およびプログラム |
CN112437056A (zh) * | 2015-12-16 | 2021-03-02 | 松下电器(美国)知识产权公司 | 安全处理方法以及服务器 |
CN112822213A (zh) * | 2021-02-07 | 2021-05-18 | 国网福建省电力有限公司电力科学研究院 | 一种针对于电力监控系统的攻击取证与溯源方法 |
CN113544676A (zh) * | 2019-03-12 | 2021-10-22 | 三菱电机株式会社 | 攻击估计装置、攻击控制方法和攻击估计程序 |
CN113572778A (zh) * | 2021-07-27 | 2021-10-29 | 北京卫达信息技术有限公司 | 检测非法侵入网络的方法 |
WO2022019106A1 (ja) * | 2020-07-22 | 2022-01-27 | オムロン株式会社 | 制御装置、制御方法および制御プログラム |
WO2022107378A1 (ja) * | 2020-11-20 | 2022-05-27 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 攻撃解析装置、攻撃解析方法、および、プログラム |
WO2022137883A1 (ja) * | 2020-12-24 | 2022-06-30 | 日本電気株式会社 | 攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体 |
WO2022181495A1 (ja) * | 2021-02-26 | 2022-09-01 | Nttセキュリティ・ジャパン株式会社 | 情報処理システム、情報処理方法、及びプログラム |
WO2022264239A1 (ja) * | 2021-06-14 | 2022-12-22 | 日本電信電話株式会社 | アラート検証装置、アラート検証方法及びアラート検証プログラム |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007013590A (ja) * | 2005-06-30 | 2007-01-18 | Oki Electric Ind Co Ltd | ネットワーク監視システム、ネットワーク監視装置及びプログラム |
JP2007189644A (ja) * | 2006-01-16 | 2007-07-26 | Mitsubishi Electric Corp | 管理装置及び管理方法及びプログラム |
JP2008085819A (ja) * | 2006-09-28 | 2008-04-10 | Oki Electric Ind Co Ltd | ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム |
JP2008193302A (ja) * | 2007-02-02 | 2008-08-21 | Univ Of Electro-Communications | 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム |
-
2008
- 2008-12-26 JP JP2008331774A patent/JP5264470B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007013590A (ja) * | 2005-06-30 | 2007-01-18 | Oki Electric Ind Co Ltd | ネットワーク監視システム、ネットワーク監視装置及びプログラム |
JP2007189644A (ja) * | 2006-01-16 | 2007-07-26 | Mitsubishi Electric Corp | 管理装置及び管理方法及びプログラム |
JP2008085819A (ja) * | 2006-09-28 | 2008-04-10 | Oki Electric Ind Co Ltd | ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム |
JP2008193302A (ja) * | 2007-02-02 | 2008-08-21 | Univ Of Electro-Communications | 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム |
Cited By (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013041367A (ja) * | 2011-08-12 | 2013-02-28 | Ntt Comware Corp | 運用管理装置、運用管理方法、及び運用管理プログラム |
JP2013081146A (ja) * | 2011-10-05 | 2013-05-02 | Mitsubishi Electric Corp | アドレス抽出装置 |
CN104504334A (zh) * | 2013-12-05 | 2015-04-08 | 卡巴斯基实验室封闭式股份公司 | 用于评估分类规则选择性的系统及方法 |
JP2015153077A (ja) * | 2014-02-13 | 2015-08-24 | 日本電信電話株式会社 | 監視機器情報分析装置及び方法及びプログラム |
US10887331B2 (en) | 2014-03-20 | 2021-01-05 | Nec Coporation | Information processing apparatus and influence-process extraction method |
JP2017528853A (ja) * | 2014-07-18 | 2017-09-28 | ドイッチェ テレコム アーゲー | コンピュータネットワークへの攻撃を検出する方法 |
US9794274B2 (en) | 2014-09-08 | 2017-10-17 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
JP2015197912A (ja) * | 2014-10-27 | 2015-11-09 | 株式会社ラック | 情報分析システム、情報分析方法およびプログラム |
US10069699B2 (en) | 2015-02-26 | 2018-09-04 | Nippon Telegraph And Telephone Corporation | Monitoring device information analyzing device and method, and non-transitory storage medium storing program |
JP2018530066A (ja) * | 2015-09-30 | 2018-10-11 | シマンテック コーポレーションSymantec Corporation | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 |
CN112437056B (zh) * | 2015-12-16 | 2023-07-25 | 松下电器(美国)知识产权公司 | 安全处理方法以及服务器 |
CN112437056A (zh) * | 2015-12-16 | 2021-03-02 | 松下电器(美国)知识产权公司 | 安全处理方法以及服务器 |
KR101812732B1 (ko) * | 2015-12-30 | 2017-12-27 | 주식회사 시큐아이 | 보안 장치 및 이의 동작 방법 |
JP2017225005A (ja) * | 2016-06-15 | 2017-12-21 | 富士通株式会社 | 情報処理装置、情報処理方法、プログラム及び情報処理システム |
JP2018073140A (ja) * | 2016-10-31 | 2018-05-10 | 富士通株式会社 | ネットワーク監視装置、プログラム及び方法 |
JP2018174444A (ja) * | 2017-03-31 | 2018-11-08 | 沖電気工業株式会社 | インシデント通知装置およびインシデント通知プログラム |
JP2019009680A (ja) * | 2017-06-27 | 2019-01-17 | 日本電信電話株式会社 | 検知装置および検知方法 |
CN111164575A (zh) * | 2017-10-11 | 2020-05-15 | 三菱电机株式会社 | 样本数据生成装置、样本数据生成方法和样本数据生成程序 |
CN111164575B (zh) * | 2017-10-11 | 2023-08-22 | 三菱电机株式会社 | 样本数据生成装置、样本数据生成方法和计算机能读取的存储介质 |
JP2020088716A (ja) * | 2018-11-29 | 2020-06-04 | 株式会社デンソー | 中継装置 |
JP7388520B2 (ja) | 2018-11-29 | 2023-11-29 | 株式会社デンソー | 中継装置、及び通信方法 |
CN113544676A (zh) * | 2019-03-12 | 2021-10-22 | 三菱电机株式会社 | 攻击估计装置、攻击控制方法和攻击估计程序 |
JP2020149390A (ja) * | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | サイバー攻撃検知装置 |
JP7202932B2 (ja) | 2019-03-14 | 2023-01-12 | 三菱電機株式会社 | サイバー攻撃検知装置 |
JP7164016B2 (ja) | 2019-03-28 | 2022-11-01 | 日本電気株式会社 | 分析システム、方法およびプログラム |
JPWO2020195230A1 (ja) * | 2019-03-28 | 2020-10-01 | ||
WO2021009870A1 (ja) * | 2019-07-17 | 2021-01-21 | 日本電気株式会社 | 分析システム、方法およびプログラム |
WO2022019106A1 (ja) * | 2020-07-22 | 2022-01-27 | オムロン株式会社 | 制御装置、制御方法および制御プログラム |
WO2022107378A1 (ja) * | 2020-11-20 | 2022-05-27 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 攻撃解析装置、攻撃解析方法、および、プログラム |
WO2022137883A1 (ja) * | 2020-12-24 | 2022-06-30 | 日本電気株式会社 | 攻撃情報生成装置、制御方法、及び非一時的なコンピュータ可読媒体 |
CN112822213A (zh) * | 2021-02-07 | 2021-05-18 | 国网福建省电力有限公司电力科学研究院 | 一种针对于电力监控系统的攻击取证与溯源方法 |
WO2022181495A1 (ja) * | 2021-02-26 | 2022-09-01 | Nttセキュリティ・ジャパン株式会社 | 情報処理システム、情報処理方法、及びプログラム |
WO2022264239A1 (ja) * | 2021-06-14 | 2022-12-22 | 日本電信電話株式会社 | アラート検証装置、アラート検証方法及びアラート検証プログラム |
CN113572778A (zh) * | 2021-07-27 | 2021-10-29 | 北京卫达信息技术有限公司 | 检测非法侵入网络的方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5264470B2 (ja) | 2013-08-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5264470B2 (ja) | 攻撃判定装置及びプログラム | |
US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
EP3356985B1 (en) | Detection of security incidents with low confidence security events | |
JP4619254B2 (ja) | Idsのイベント解析及び警告システム | |
US10616258B2 (en) | Security information and event management | |
EP2953298B1 (en) | Log analysis device, information processing method and program | |
US7752665B1 (en) | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory | |
TW201703465A (zh) | 網路異常偵測技術 | |
CN111010409B (zh) | 加密攻击网络流量检测方法 | |
CN106330944B (zh) | 恶意系统漏洞扫描器的识别方法和装置 | |
CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
US20080295172A1 (en) | Method, system and computer-readable media for reducing undesired intrusion alarms in electronic communications systems and networks | |
US20040143753A1 (en) | Network risk analysis | |
CN109587179A (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
KR20090087437A (ko) | 트래픽 검출 방법 및 장치 | |
US20200195672A1 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
US20140115663A1 (en) | Method for detecting unauthorized access and network monitoring apparatus | |
US20090178140A1 (en) | Network intrusion detection system | |
KR102244036B1 (ko) | 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법 | |
US20200106791A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics | |
JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
JP4170301B2 (ja) | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム | |
US20220263846A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111024 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130123 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130205 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130307 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130402 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130430 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5264470 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |