JP2010250607A - 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム - Google Patents

不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム Download PDF

Info

Publication number
JP2010250607A
JP2010250607A JP2009100130A JP2009100130A JP2010250607A JP 2010250607 A JP2010250607 A JP 2010250607A JP 2009100130 A JP2009100130 A JP 2009100130A JP 2009100130 A JP2009100130 A JP 2009100130A JP 2010250607 A JP2010250607 A JP 2010250607A
Authority
JP
Japan
Prior art keywords
storage device
pattern
attack
network
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009100130A
Other languages
English (en)
Inventor
Yuji Mihashi
裕治 三橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2009100130A priority Critical patent/JP2010250607A/ja
Publication of JP2010250607A publication Critical patent/JP2010250607A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】IDSにおける誤検知を低減し精度よく不正アクセスを検知する。
【解決手段】ホスト型IDS10よりネットワーク攻撃のログデータを受信し格納するログ取得部110と、ネットワーク型IDS20より前記ログデータが示すパケット送信元のIPアドレスに基づいて当該IPアドレスを送信元とするパケットデータを取得し格納するパケットデータ取得部111と、攻撃パターン解析で得たパターンが未登録であれば記憶装置101に新規登録し登録済みであれば該当パターンのネットワーク攻撃に対する対処レベル値を上昇させるパターン解析部112と、パターンの新規登録ないし対処レベル値の変化を検知し新たなパターンないし対処レベル値の変化に対応した新たなシグネチャでネットワーク型IDS20のシグネチャを更新するシグネチャ更新部113とから不正アクセス解析システム100を構成する。
【選択図】図1

Description

本発明は、不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラムに関するものであり、具体的には、IDSにおける誤検知を低減し精度よく不正アクセスを検知する技術に関する。
一般的なIDS((Intrusion Detection System:不正アクセス検知システム)は、異常パケットの検出、またはシグネチャによるパターン認識により、不正と思われるパケットを遮断する方式が採用されている。こうしたIDSの技術として例えば以下のような技術が提案されている。
すなわち、実稼動サーバと擬似サーバとをインターネットに接続するとともに、上記実稼動サーバ及び擬似サーバとインターネットとの間に不正データ識別振分手段を介在させ、この不正データ識別振分手段は、インターネットを介して入力された不正データパターンを識別して不正アクセスを検知する機能と、識別した不正なデータを擬似サーバに送る機能と、不正なデータ以外のデータを実稼動サーバに送る機能とを備えたことを特徴とする通信セキュリティシステム(特許文献1参照)などが提案されている。
特開2004−153485号公報
しかしながらIDSを採用しさえすれば不正アクセス等を検知しネットワークのセキュリティが保たれる訳ではない。実際に、IDSを採用しても誤検知によるパケット遮断が多く発生し、本当の不正アクセス(不正パケット)を遮断するために、ネットワーク管理者等の判断によりパケット遮断の決定を行う状況も多い。従ってネットワーク管理者らの経験や勘に頼る場面が生じやすく、担当者のスキル等により不正アクセスへの対処内容やレベルに差異が生まれがちである。また、ネットワーク攻撃を受ける頻度が高い大規模システムなどでは、いかに経験豊富な担当者であっても全てのネットワーク攻撃の事象について過去の履歴も含めて常に把握して、各ネットワーク攻撃事案に対し適切な判断を下すことは難しいと言える。
そこで本発明は上記課題を鑑みてなされたものであり、IDSにおける誤検知を低減し精度よく不正アクセスを検知する技術の提供を主たる目的とする。
上記課題を解決する本発明の不正アクセス解析システムは、ホスト型IDSおよびネットワーク型IDSと通信して前記ホスト型IDSが実装されたサーバ(監視対象)に対する不正アクセスの解析を行うコンピュータシステムであり、以下の手段を備える。すなわち、前記不正アクセス解析システムは、所定ネットワーク内のサーバに設置されたホスト型IDSより、前記サーバに対するネットワーク攻撃のログデータを受信し記憶装置に格納する、ログ取得部を備える。
また、前記不正アクセス解析システムは、前記所定ネットワークを監視対象とするネットワーク型IDSより、前記ログデータが示すパケット送信元のIPアドレスに基づいて、当該IPアドレスを送信元とするパケットデータを取得し記憶装置に格納する、パケットデータ取得部を備える。
また、前記不正アクセス解析システムは、前記記憶装置から前記パケットデータを読み出して攻撃パターン解析を実行し、この解析で得たパターンが記憶装置にて未登録であれば前記記憶装置に新規登録し、前記パターンが前記記憶装置にて登録済みであれば、前記記憶装置において登録されている該当パターンのネットワーク攻撃に対する対処レベル値を上昇させる、パターン解析部を備える。
また、前記不正アクセス解析システムは、前記記憶装置におけるパターンの新規登録ないし対処レベル値の変化を検知し、新たなパターンないし対処レベル値の変化に対応した新たなシグネチャで前記ネットワーク型IDSのシグネチャを更新する、シグネチャ更新部を備える。ネットワーク攻撃がTCPを用いて行われる場合、前記シグネチャ更新部は、TCPリセットパケットを送信してそのTCPセッションを切断する指示を、前記ネットワーク型IDS(ないしホスト型IDS)に送信するとしてよい(シグネチャに前記指示を含めるとしてよい)。
なお、前記ログ取得部は、前記ホスト型IDSより、前記サーバに対するネットワーク攻撃のログデータとしてパケット送信元のIPアドレスの他、ネットワーク攻撃を受けた攻撃時刻の情報を受信して記憶装置に格納するとすれば好適である。
この場合、前記パターン解析部は、前記攻撃パターン解析として、前記記憶装置に格納したパケットデータのうち前記攻撃時刻より所定時間だけタイムスタンプが古いパケットデータを予兆パケットデータとして記憶装置から読み出し、この予兆パケットデータを、記憶装置に予め記憶している攻撃前兆パケットの情報に照合し、前記予兆パケットデータ中から前記攻撃前兆パケットを検知し、該当ネットワーク攻撃に先だって前記攻撃前兆パケットが送信されるとのパターンを特定し、当該パターンが記憶装置にて未登録であれば前記記憶装置に新規登録し、前記パターンが前記記憶装置にて登録済みであれば、前記記憶装置において登録されている該当パターンのネットワーク攻撃に対する対処レベル値を上昇させる、こととなる。
また、本発明の不正アクセス解析方法は、情報処理装置が、以下の処理を実行するものとなる。すなわち、情報処理装置が、所定ネットワーク内のサーバに設置されたホスト型IDSより、前記サーバに対するネットワーク攻撃のログデータを受信し記憶装置に格納する処理を実行する。
また、前記情報処理装置は、前記所定ネットワークを監視対象とするネットワーク型IDSより、前記ログデータが示すパケット送信元のIPアドレスに基づいて、当該IPアドレスを送信元とするパケットデータを取得し記憶装置に格納する処理を実行する。
また、前記情報処理装置は、前記記憶装置から前記パケットデータを読み出して攻撃パターン解析を実行し、この解析で得たパターンが記憶装置にて未登録であれば前記記憶装置に新規登録し、前記パターンが前記記憶装置にて登録済みであれば、前記記憶装置において登録されている該当パターンのネットワーク攻撃に対する対処レベル値を上昇させる処理を実行する。
また、前記情報処理装置は、前記記憶装置におけるパターンの新規登録ないし対処レベル値の変化を検知し、新たなパターンないし対処レベル値の変化に対応した新たなシグネチャで前記ネットワーク型IDSのシグネチャを更新する処理を実行する。
また、本発明の不正アクセス解析プログラムは、情報処理装置に以下の処理を実行させるものとなる。すなわち、前記不正アクセス解析プログラムは、所定ネットワーク内のサーバに設置されたホスト型IDSより、前記サーバに対するネットワーク攻撃のログデータを受信し記憶装置に格納する処理と、前記所定ネットワークを監視対象とするネットワーク型IDSより、前記ログデータが示すパケット送信元のIPアドレスに基づいて、当該IPアドレスを送信元とするパケットデータを取得し記憶装置に格納する処理と、前記記憶装置から前記パケットデータを読み出して攻撃パターン解析を実行し、この解析で得たパターンが記憶装置にて未登録であれば前記記憶装置に新規登録し、前記パターンが前記記憶装置にて登録済みであれば、前記記憶装置において登録されている該当パターンのネットワーク攻撃に対する対処レベル値を上昇させる処理と、前記記憶装置におけるパターンの新規登録ないし対処レベル値の変化を検知し、新たなパターンないし対処レベル値の変化に対応した新たなシグネチャで前記ネットワーク型IDSのシグネチャを更新する処理と、を情報処理装置に実行させる。
なお、前記ホスト型IDSを実装したサーバは、実サービスを顧客等に提供中のサーバであれば、ネットワーク攻撃による影響が顧客サービスにまで及ぶ可能性があるため、例えば、いわゆるハニーポットとしてのサーバ装置を想定することもできる。ハニーポットは、ネットワーク攻撃者の侵入手法やコンピュータウイルスの振る舞いなどを調査・研究するためにインターネット上に設置したサーバやネットワーク機器である。また、ネットワーク攻撃には、例えば、DoS攻撃(Denial of Service attack)、ブルートフォース攻撃、DDoS、PoD、バッファオーバーフロー、SYNフラッド攻撃など様々なものがある。
本発明によれば、IDSにおける誤検知を低減し精度よく不正アクセスを検知できる。
本発明の一実施形態である不正アクセス解析システムのネットワーク構成図である。 本発明の一実施形態である(a)攻撃ログテーブル、(b)知識テーブル、(c)前兆情報テーブル、の各構成例を示す図である。 本発明の一実施形態である不正アクセス解析方法の処理フロー例1を示す図である。 本発明の一実施形態である不正アクセス解析方法の処理フロー例2を示す図である。 本発明の一実施形態である不正アクセス解析方法の処理フロー例3を示す図である。 本発明の一実施形態である不正アクセス解析方法の処理フロー例4を示す図である。 本発明の一実施形態である不正アクセス解析方法の処理フロー例5を示す図である。 本発明の一実施形態である不正アクセス解析方法の処理フロー例6を示す図である。
−−−システム構成−−−
以下に本発明の実施形態について図面を用いて詳細に説明する。図1は、本実施形態の不正アクセス解析システム100のネットワーク構成図である。図1に示す不正アクセス解析システム100は、IDSにおける誤検知を低減し精度良好な不正アクセス検知を実現するコンピュータシステムであり、サーバ装置を想定できる。
本実施形態において、前記不正アクセス解析システム100(以下システム100)は、例えば、監視対象のシステムやネットワークを管理する企業が運営するサーバコンピュータであり、例えば、企業内のネットワーク190に配置される。また、このシステム100は、ホスト型IDS10を実装したサーバ5や、ネットワーク型IDS20などと前記ネットワーク190で結ばれている。
前記ネットワーク型IDS20は、前記ネットワーク190のDMZ(DeMilitarized Zone:非武装地帯)に配置され、ネットワーク攻撃に関する攻撃パターンをシグネチャベースやアノマリベースで検知する。或いは、連続するパケットをシーケンス番号等に基づいて組立て直して解析し、攻撃有無を判断する機能を有する。また、このネットワーク型IDS20は、シグネチャデータや、前記ネットワーク190で取得したパケットデータを記憶した記憶装置、前記システム100と前記ネットワーク190を介して通信するNIC(Network Interface Card)などの通信装置を当然有している。ネットワーク型IDS20は、前記システム100からの要求に応じて記憶装置からパケットデータを抽出してNIC経由でシステム100に返信したり、前記システム100からの書換指示に応じてシグネチャ更新処理を行ったりする。
また、前記ホスト型IDS10は、ネットワーク攻撃から保護するサーバ5ごとに導入して、サーバ5自身のNIC(Network Interface Card)を出入りするパケットを前記ネットワーク型IDS20と同様の手法で解析するものであり、各種製品が販売されている。このホスト型IDS10は、前記サーバ5で稼働する各種OSにて管理しているシステムログファイルをモニタリングし、OSのセキュリティ機能などと協働し監視を行う。ホスト型IDS10は、前記サーバ5に対するネットワーク攻撃のログデータをサーバ5の記憶装置に記憶しており、適宜なタイミングで記憶装置からログデータを読み出し、前記サーバ5のNIC等を経由してシステム100に送信する。
こうした本実施形態における前記システム100は、本発明を実現する機能を備えるべくハードディスクドライブなどの不揮発性記憶装置たる記憶部101に格納されたプログラム102をRAM103に読み出し、演算装置たるCPU104により実行する。また、前記システム100は、コンピュータ装置が一般に備えている各種キーボードやボタン類などの入力装置105、ディスプレイなどの出力装置106を備えることができる。また、サーバ5が実装したホスト型IDS10や、ネットワーク型IDS20らとの間のデータ授受を担うNIC(Network Interface Card)など通信部107を有している。
続いて、前記システム100が、例えばプログラム102に基づき前記記憶部101にて構成・保持する機能部につき説明を行う。なお、システム100は、記憶装置(記憶部)において、攻撃ログテーブル125、知識テーブル126、前兆情報テーブル127を格納している(各テーブルについては後述する)。
前記システム100は、所定ネットワーク190内のサーバ5に設置されたホスト型IDS10より、前記サーバ5に対するネットワーク攻撃のログデータを受信し記憶装置101の攻撃ログテーブル125に格納する、ログ取得部110を備える。
また、前記システム100は、前記所定ネットワーク190を監視対象とするネットワーク型IDS20より、前記ログデータが示すパケット送信元のIPアドレスに基づいて、当該IPアドレスを送信元とするパケットデータを取得し記憶装置101に格納する、パケットデータ取得部111を備える。
また、前記システム100は、前記記憶装置101から前記パケットデータを読み出して攻撃パターン解析を実行し、この解析で得たパターンが記憶装置101の知識テーブル126にて未登録であれば前記記憶装置101の知識テーブル126に新規登録し、前記パターンが前記記憶装置101の知識テーブル126にて登録済みであれば、前記記憶装置の知識テーブル126において登録されている該当パターンのネットワーク攻撃に対する対処レベル値を上昇させる、パターン解析部112を備える。
また、前記システム100は、前記記憶装置101の知識テーブル126におけるパターンの新規登録ないし対処レベル値の変化を検知し、新たなパターンないし対処レベル値の変化に対応した新たなシグネチャで前記ネットワーク型IDS20のシグネチャを更新する、シグネチャ更新部113を備える。
なお、前記ログ取得部110は、前記ホスト型IDS10より、前記サーバ5に対するネットワーク攻撃のログデータとしてパケット送信元のIPアドレスの他、ネットワーク攻撃を受けた攻撃時刻の情報を受信して記憶装置101の攻撃ログテーブル125に格納するとすれば好適である。
この場合、前記パターン解析部112は、前記攻撃パターン解析として、前記記憶装置101に格納したパケットデータのうち前記攻撃時刻より所定時間だけタイムスタンプが古いパケットデータを予兆パケットデータとして記憶装置101から読み出し、この予兆パケットデータを、記憶装置101の前兆情報テーブル127に予め記憶している攻撃前兆パケットの情報に照合し、前記予兆パケットデータ中から前記攻撃前兆パケットを検知し、該当ネットワーク攻撃に先だって前記攻撃前兆パケットが送信されるとのパターンを特定し、当該パターンが記憶装置101の知識テーブル126にて未登録であれば前記記憶装置101の知識テーブル126に新規登録し、前記パターンが前記記憶装置101の知識テーブル126にて登録済みであれば、前記記憶装置101の知識テーブル126において登録されている該当パターンのネットワーク攻撃に対する対処レベル値を上昇させるこことする。
なお、前記システム100が監視対象とする前記サーバ5は、前記ホスト型IDS10をインストールされたサーバ装置であり、サーバ装置として、不揮発性の記憶装置、当該記憶装置に格納されたサーバプログラム、RAM、演算装置、前記システム100との間のデータ授受を担うNIC(Network Interface Card)など有している。
これまで示した前記システム100における各部110〜113はハードウェアとして実現してもよいし、メモリやHDD(Hard Disk Drive)などの適宜な記憶装置に格納したプログラムとして実現するとしてもよい。この場合、システム100のCPUがプログラム実行に合わせて記憶装置より該当プログラムをRAMに読み出して、これを実行することとなる。
−−−テーブル構造例−−−
次に、本実施形態の前記システム100が利用するテーブルの例について説明する。図2は本発明の一実施形態である(a)攻撃ログテーブル125、(b)知識テーブル126、(c)前兆情報テーブル127の各構成例を示す図である。
前記攻撃ログテーブル125は、前記ネットワーク190内のサーバ5に設置されたホスト型IDS10が前記サーバ5に対するネットワーク攻撃のログデータ(パケットデータ含む)を前記システム100に送信してきたデータの蓄積先となるテーブルである。このテーブルのデータ構造は、例えば、IPヘッダ部とIPパケット部の各データからなるレコードの集合体となっており、前記IPヘッダ部には、ネットワーク攻撃の実行体となったパケットに関して送信元IPアドレスと送信先IPアドレス、およびパケットの受信時刻(=攻撃時刻)の各データが含まれている。また前記IPパケット部には、該当パケットのパケット本体のデータが含まれている。
また、前記知識テーブル126は、ホスト型IDS10から得た前記ログデータが示す送信元IPアドレスをキーに、ネットワーク型IDS20から取得したパケット(つまり、ホスト型IDS10およびネットワーク型IDS20のそれぞれでキャプチャしたパケットのうち、前記送信元IPアドレスに関し一致するパケット)に関して攻撃パターン解析を実行して得たパターンの情報を格納したテーブルである。
このテーブルは、例えば、ネットワーク攻撃のパターンID(図の例ではパターン“A”〜“D”)をキーとして、攻撃種名、攻撃手法(攻撃パケットのデータ)、前兆データ(=ネットワーク攻撃に先だって送信されてくる攻撃前兆パケットのデータ)、および該当ネットワーク攻撃への対処レベル(例えば、“レベル1”は該当パケットの監視、“レベル2”は該当パケットの警戒、“レベル3”は該当パケットの遮断)を対応付けたレコードの集合体となっている。この対処レベルの値は、例えば、“1”であれば「システムから出力装置106や管理者端末等へのアラート出力を実行せずパケットの監視を継続」、“2”であれば「システムから出力装置106や管理者端末等へのアラート出力を実行」、“3”であれば「システムから出力装置106や管理者端末等へのアラート出力を実行し該当パケットの遮断」といった対処内容に対応している。なお、前記攻撃種名や攻撃方法と前記前兆データとの組み合わせをパターンとする。従って、攻撃種名や攻撃方法が同じネットワーク攻撃であっても、前兆データが異なる場合は別パターンとみなす。
また、ホスト型IDS10から攻撃ログデータとして受信したことはなくとも、既知の攻撃種名、攻撃手法に関するデータを1パターンのレコードとして当該知識テーブル126に格納していてもよい。この場合、前記対処レベルは、例えば、一致する攻撃手法(攻撃パケット)による攻撃を受けたとのログデータをホスト型IDS10から受信するまで“通常”とする。
また、前記前兆情報テーブル127は、攻撃前兆パケットの情報を格納したテーブルとなっている。攻撃前兆パケットとしては、例えば、所定ポートに対するバージョン情報の問い合わせを行うパケット、ポートスキャンを行うパケットなどネットワーク攻撃に先立って送られてくる偵察・調査用のパケットなどがあげられる(勿論、こうしたパケットに限定するものではない)。
−−−処理フロー例1−−−
以下、本実施形態における不正アクセス解析方法の実際手順について図に基づき説明する。なお、以下で説明する不正アクセス解析方法に対応する各種動作は、前記システム100を構成する各装置のRAMに読み出して実行するプログラムによって実現される。そして、このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。
図3は本実施形態の不正アクセス解析方法の処理フロー例1を示す図である。ここではまず、前記サーバ5に実装された前記ホスト型IDS10における処理について説明する。前記ホスト型IDS10は、サーバ5の仮想化プログラムによる仮想化コンピュータ上で実行されている各OS(図1の例では複数コンピュータ上のそれぞれで異なるOSが実行されている)環境下で稼働しているプログラムである。また各OS用のNIC(通信装置)経由で各ポート等が受信したパケットについて監視している。また、前記ホスト型IDS10は、ネットワーク攻撃を検知するために、攻撃検知の判断基準となるシグネチャ等のデータや攻撃検知アルゴリズムを当然備えており、受信パケットを前記判断基準のデータに照合したり、攻撃検知アルゴリズムに与えたりすることでネットワーク攻撃を検知する。
こうしたホスト型IDS10は、上述のようにネットワーク攻撃を検知し(s10)、その際のシステム時刻(サーバ5やOSのシステム時刻等、或いは前記システム100に問い合わせしてもよい)を攻撃時刻として取得する(s11)。続いてホスト型IDS10は、該当OSが稼働している仮想化コンピュータの記憶資源(ハードディスクドライブなど)において攻撃ログデータの格納用フォルダを作成し(s12)、攻撃ログデータおよび該当パケットデータが格納されたログファイル(HIDSログファイル)を、前記格納用フォルダにコピーする(s13)。同様に、該当OSにおけるシステムログファイルを前記格納用フォルダにコピーする(s14)。次に、前記ホスト型IDS10は、攻撃ログデータの転送プロセスへ処理を進める(s15)。
ここで前記ホスト型IDS10は、例えば前記ネットワーク190における前記システム100との通信確立処理を試行し、前記システム100との通信状況を判定する(s20)。前記システム100と通信可能でなければ(s21:No)、処理を前記ステップs20に戻し、通信可能になるまで処理を繰り返す。他方、前記システム100と通信可能であれば(s21:Yes)、前記ホスト型IDS10は、前記格納用フォルダに格納しておいた攻撃ログデータおよび該当パケットデータを含むログファイル、とシステムログファイルを前記システム100に送信する(s22)。一方、前記システム100のログ取得部110は、前記ホスト型IDS10より、前記各ログファイル(サーバ5に対するネットワーク攻撃のログデータ)を受信し、記憶装置101の攻撃ログテーブル125に格納する(s23)。他方、前記ホスト型IDS10は、前記格納用フォルダを退避させ処理を終了する(s24)。
−−−処理フロー例2−−−
次に、前記ネットワーク型IDS20での処理について説明する。図4は本実施形態の不正アクセス解析方法の処理フロー例2を示す図である。前記ネットワーク型IDS20は、前記ネットワーク190を流れるパケットをキャプチャし(s30)、そのデータを自身の記憶装置に格納している(s31)。ネットワーク型IDS20のハードウェアやキャプチャ手法については既存のものを採用すればよい。前記ネットワーク型IDS20は、例えば自身の記憶装置の容量に応じた数量分の最新のパケットデータを保持することになる。
上記ネットワーク型IDS20は、例えば前記ネットワーク190における前記システム100との通信確立処理を試行し、前記システム100との通信状況を判定する(s40)。前記システム100と通信可能でなければ(s41:No)、処理を前記ステップs40に戻し、通信可能になるまで処理を繰り返す。他方、前記システム100と通信可能であれば(s41:Yes)、前記ネットワーク型IDS20は、前記記憶装置に格納しておいたパケットデータを前記システム100に送信する(s42)。一方、前記システム100のパケットデータ取得部111は、前記ネットワーク型IDS20より、前記パケットデータを受信し、記憶装置101に格納する(s43)。
なお、前記システム100のパケットデータ取得部111は、前記ネットワーク型IDS20から全パケットデータを受信するのではなく、前記ログデータ(ホスト型IDS10から取得したもの)が示すパケット送信元のIPアドレス(=ネットワーク攻撃をしかけてきた機器のIPアドレス)に基づいて、当該IPアドレスを送信元とするパケットデータのみを選択受信するとしてもよい。或いは、前記システム100のパケットデータ取得部111が、前記ネットワーク型IDS20に対して、前記パケット送信元のIPアドレスをキーとしたパケットデータ要求を送信し、当該要求に基づいてネットワーク型IDS20から送られてくるパケットデータを受信し記憶装置に格納するとしてもよい。
−−−処理フロー例3−−−
次に、前記システム100における攻撃ログの解析とパターン生成の処理について説明する。図5は本実施形態の不正アクセス解析方法の処理フロー例3を示す図である。この場合、前記システム100のパケットデータ取得部111は、前記ネットワーク型IDS20より取得し記憶装置に格納しておいたパケットデータのうち、前記ホスト型IDS10から取得したログデータが示す仮想化コンピュータ(ないしサーバ5)=攻撃を受けたコンピュータのIPアドレスを送信先IPアドレスとし、前記ログデータが示すパケット送信元のIPアドレスを送信元IPアドレスとするパケットデータを抽出する(s50)。つまり、あるネットワーク攻撃(例えば“ZZ Attack”)を受けたコンピュータ(例えば“127.123.456.100”)について、ホスト型IDS10からログデータを通じて通知があった攻撃パケット(例えば、送信元IPアドレスが“123.456.789.111”のパケット)を抽出する。
続いて、前記システム100のパターン解析部112は、前記ステップs50で抽出したパケットデータを、各パケットデータのシーケンス番号に従って時系列ソートし(s51)、前記ログデータが示す攻撃時刻(例えば“12:00:02”)より所定時間だけタイムスタンプが古いパケットデータを予兆パケットデータとして検出する(s52)。また、前記パターン解析部112は、この予兆パケットデータを、前記前兆情報テーブル127の攻撃前兆パケットの情報に照合し、前記予兆パケットデータ中における前記攻撃前兆パケットをの有無を判定する(s53)。
前記ステップs53の判定処理により、攻撃前兆パケットの存在を検知できなかった場合(s54:No)、前記パターン解析部112は処理を終了する。他方、前記ステップs53の判定処理により、攻撃前兆パケット(例えば図2中の“Aタイプ”)の存在を検知した場合(s54:Yes)、前記パターン解析部112は、前記予兆パケットデータから、前記“Aタイプ”のパケットを攻撃前兆パケットとして抽出し(s55)、該当ネットワーク攻撃“ZZ Attack”に先だって前記攻撃前兆パケット“Aタイプ”が送信されるとのパターンを特定する。前記パターン解析部112は、前記ステップs55で特定したパターンを前記知識テーブル126に登録し(s56)、処理を終了する。このパターンの登録処理の詳細については下記処理フロー例4に示す。
なお、前記システム100のパターン解析部112は、前記ログデータが攻撃時刻の情報を含まない場合、前記ステップs50で抽出したパケットデータを、各パケットデータのシーケンス番号に従って時系列ソートし、前記記憶部101に備えた攻撃パターン情報のテーブル(攻撃名、攻撃手法のレコードが格納)に照合し、前記パケットデータが所定の攻撃パターンに該当するか判定することになる。前記パターン解析部112は、この判定で特定した攻撃パターンの情報(攻撃名、攻撃手法)を前記知識テーブル126に登録し、処理を終了する。
−−−処理フロー例4−−−
次に、前記パターンの登録処理と対処レベルの管理処理について説明する。図6は本実施形態の不正アクセス解析方法の処理フロー例4を示す図である。ここで前記システム100のパターン解析部112は、前記ステップs55で特定したパターン(攻撃名、攻撃手法、攻撃前兆パケットの組み合わせ。前記ログデータが攻撃時刻の情報を含まない場合は、攻撃名、攻撃手法の組み合わせ)が前記知識テーブル126にて未登録か否か判定する(s60)。前記パターンが未登録であれば(s61:No)、前記パターン解析部112は、前記知識テーブル126に該当パターンのデータを新規登録する(s62)。また前記パターン解析部112は、新規登録した前記パターンについて、前記知識テーブル126において対処レベルの値として“1”つまり“監視”レベルを設定して、知識テーブル126を更新する(s64)。
一方、前記ステップs61で、前記パターンが登録済みと判定すれば(s61:Yes)、前記パターン解析部112は、前記知識テーブル126における該当パターンのレコードにおいて対処レベルの値を読み取り、その値が“3”、つまり“遮断”レベルであるか判定する(s65)。前記対処レベルの値が“3”であれば(s65:Yes)、前記パターン解析部112は、例えば、“遮断”レベルのネットワーク攻撃があって該当パケットの遮断処理を実行する旨のメッセージ(記憶装置101に予め保持)をメールフォームに設定し、メーラー(記憶装置101に備えていて当該ステップにあわせて実行)を利用して管理者の端末等に送信し(s66)、処理を終了する。
一方、前記対処レベルの値が“3”でなければ(s65:No)、前記パターン解析部112は、さらに、前記対処レベルの値が“2”、つまり“警戒”レベルであるか判定する(s67)。前記対処レベルの値が“2”であれば(s67:Yes)、前記パターン解析部112は、前記パターンについて、前記知識テーブル126において対処レベルの値を“2”から“3”つまり“警戒”レベルから“遮断”レベルへとレベル値を上昇させて(s68)、知識テーブル126を更新する(s64)。
他方、前記対処レベルの値が“2”でなければ(s67:No)、前記パターン解析部112は、前記パターンについて、前記知識テーブル126において対処レベルの値を“1”から“2”つまり“監視”レベルから“警戒”レベルへとレベル値を上昇させて(s69)、知識テーブル126を更新し(s64)、処理を終了する。
−−−処理フロー例5−−−
次に、シグネチャの更新処理について説明する。図7は本実施形態の不正アクセス解析方法の処理フロー例4を示す図である。この場合、前記システム100のシグネチャ更新部113は、前記知識テーブル126におけるパターンの新規登録(処理フロー例4における前記ステップs62の実行イベント)ないし対処レベル値の変化(処理フロー例4における前記ステップs68、s69の実行イベント)といった更新処理の有無を検知する(s70)。
前記ステップs70により、前記知識テーブル126の更新処理を検知しなかったならば(s71:No)、前記シグネチャ更新部113は処理を終了する。他方、前記ステップs70により、前記知識テーブル126の更新処理を検知したならば(s71:Yes)、前記シグネチャ更新部113は、新たなパターンないし対処レベル値の変化に対応した新たなシグネチャファイルを生成し(s72)、記憶装置101に格納する。前記シグネチャ更新部113は、例えば、新たなパターンについては、該当パターンに関する情報(攻撃名、攻撃手法、攻撃前兆パケットの各データ、或いは特定のパケット送信元IPアドレス)や、該当パケット(攻撃前兆パケット、或いは特定のパケット送信元IPアドレスからのパケット)に対して行うべき前記“監視”に対応した処理内容に対応したシグネチャファイルを生成する。また例えば、対処レベル値が変化したパターンについては、該当パターンにおける該当パケット(攻撃前兆パケット、或いは特定のパケット送信元IPアドレスからのパケット)に対して行うべき“警戒”や“遮断”などの処理内容に対応したシグネチャファイルを生成する。シグネチャファイルの生成処理については、既存手法を採用すればよい。前記ネットワーク型IDS20のシグネチャを更新する。
続いて、前記システム100のシグネチャ更新部113は、例えば前記ネットワーク190における前記ネットワーク型IDS20との通信確立処理を試行し、前記ネットワーク型IDS20との通信状況を判定する(s74)。前記ネットワーク型IDS20と通信可能でなければ(s74:No)、処理を前記ステップs73に戻し、通信可能になるまで処理を繰り返す。他方、前記ネットワーク型IDS20と通信可能であれば(s74:Yes)、前記シグネチャ更新部113は、前記記憶装置101に格納しておいたシグネチャファイルを前記ネットワーク型IDS20に送信する(s75)。
一方、前記ネットワーク型IDS20は前記シグネチャファイルを前記システム100のシグネチャ更新部113から受信し、自身の記憶装置における該当パターンに関するシグネチャファイルを更新する(s76)。なお、前記ネットワーク型IDS20は、自身の記憶装置においてパターン毎のシグネチャファイルを記憶している。
−−−処理フロー例6−−−
次に、前記ネットワーク型IDS20での攻撃パケットの遮断処理について説明する。図8は本実施形態の不正アクセス解析方法の処理フロー例5を示す図である。前記システム100のシグネチャ更新部113により管理されているシグネチャファイルを利用する前記ネットワーク型IDS20は、前記ネットワーク190を流れるパケットに対し、シグネチャファイルとの照合を行って、マッチするシグネチャファイルに応じた処理を行っている。
この場合、前記ネットワーク型IDS20は、前記ネットワーク190の入り口(前記ネットワーク190において外部ネットワークに最も近い位置=外部ネットワークからファイヤウォールを通過した直後の全パケットを取得できる位置)にて、全パケットデータをキャプチャし(s80)、このパケットデータと前記各パターンのシグネチャファイルが示す攻撃前兆パケットのデータとの照合、或いは前記パケットデータの示すパケット送信元IPアドレスと前記シグネチャファイルが示す特定のパケット送信元IPアドレスとの照合を実行する(s81)。
前記ステップs81での照合処理により、あるシグネチャファイルとの一致が認められるパケットデータを特定した場合、前記ネットワーク型IDS20は、前記パケットデータとの一致を認めた該当シグネチャファイルが示す処理内容(例:“監視”、“警戒”、“遮断”のいずれか)を読み取り、その処理内容が“遮断”であるか判定する(s82)。この判定処理で、該当シグネチャファイルが示す処理内容が“遮断”でなければ(s82:No)、前記ネットワーク型IDS20は、当該パケットデータの遮断フローを終了する。他方、該当シグネチャファイルが示す処理内容が“遮断”であれば(s82:Yes)、前記ネットワーク型IDS20は、当該パケットデータの破棄処理や該当IPアドレスへのリセットパケット送信を行い(s83)、処理を終了する。
以上、本実施形態によれば、IDSにおける誤検知を低減し精度よく不正アクセスを検知できる。
以上、本発明の実施の形態について、その実施の形態に基づき具体的に説明したが、これに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
5 サーバ
10 ホスト型IDS
20 ネットワーク型IDS
100 不正アクセス解析システム
101 記憶部
102 プログラム
103 RAM(Random Access Memory)
104 CPU(Central Processing Unit)
105 入力装置
106 出力装置
107 NIC(通信部)
110 ログ取得部
111 パケットデータ取得部
112 パターン解析部
113 シグネチャ更新部
125 攻撃ログテーブル
127 前兆情報テーブル
126 知識テーブル
190 ネットワーク

Claims (4)

  1. 所定ネットワーク内のサーバに設置されたホスト型IDSより、前記サーバに対するネットワーク攻撃のログデータを受信し記憶装置に格納する、ログ取得部と、
    前記所定ネットワークを監視対象とするネットワーク型IDSより、前記ログデータが示すパケット送信元のIPアドレスに基づいて、当該IPアドレスを送信元とするパケットデータを取得し記憶装置に格納する、パケットデータ取得部と、
    前記記憶装置から前記パケットデータを読み出して攻撃パターン解析を実行し、この解析で得たパターンが記憶装置にて未登録であれば前記記憶装置に新規登録し、前記パターンが前記記憶装置にて登録済みであれば、前記記憶装置において登録されている該当パターンのネットワーク攻撃に対する対処レベル値を上昇させる、パターン解析部と、
    前記記憶装置におけるパターンの新規登録ないし対処レベル値の変化を検知し、新たなパターンないし対処レベル値の変化に対応した新たなシグネチャで前記ネットワーク型IDSのシグネチャを更新する、シグネチャ更新部と、
    を備える不正アクセス解析システム。
  2. 前記ログ取得部は、前記ホスト型IDSより、前記サーバに対するネットワーク攻撃のログデータとしてパケット送信元のIPアドレスの他、ネットワーク攻撃を受けた攻撃時刻の情報を受信して記憶装置に格納し、
    前記パターン解析部は、前記攻撃パターン解析として、前記記憶装置に格納したパケットデータのうち前記攻撃時刻より所定時間だけタイムスタンプが古いパケットデータを予兆パケットデータとして記憶装置から読み出し、この予兆パケットデータを、記憶装置に予め記憶している攻撃前兆パケットの情報に照合し、前記予兆パケットデータ中から前記攻撃前兆パケットを検知し、該当ネットワーク攻撃に先だって前記攻撃前兆パケットが送信されるとのパターンを特定し、当該パターンが記憶装置にて未登録であれば前記記憶装置に新規登録し、前記パターンが前記記憶装置にて登録済みであれば、前記記憶装置において登録されている該当パターンのネットワーク攻撃に対する対処レベル値を上昇させる、
    ことを特徴とする請求項1に記載の不正アクセス解析システム。
  3. 情報処理装置が、
    所定ネットワーク内のサーバに設置されたホスト型IDSより、前記サーバに対するネットワーク攻撃のログデータを受信し記憶装置に格納する処理と、
    前記所定ネットワークを監視対象とするネットワーク型IDSより、前記ログデータが示すパケット送信元のIPアドレスに基づいて、当該IPアドレスを送信元とするパケットデータを取得し記憶装置に格納する処理と、
    前記記憶装置から前記パケットデータを読み出して攻撃パターン解析を実行し、この解析で得たパターンが記憶装置にて未登録であれば前記記憶装置に新規登録し、前記パターンが前記記憶装置にて登録済みであれば、前記記憶装置において登録されている該当パターンのネットワーク攻撃に対する対処レベル値を上昇させる処理と、
    前記記憶装置におけるパターンの新規登録ないし対処レベル値の変化を検知し、新たなパターンないし対処レベル値の変化に対応した新たなシグネチャで前記ネットワーク型IDSのシグネチャを更新する処理と、
    を実行する不正アクセス解析方法。
  4. 情報処理装置に、
    所定ネットワーク内のサーバに設置されたホスト型IDSより、前記サーバに対するネットワーク攻撃のログデータを受信し記憶装置に格納する処理と、
    前記所定ネットワークを監視対象とするネットワーク型IDSより、前記ログデータが示すパケット送信元のIPアドレスに基づいて、当該IPアドレスを送信元とするパケットデータを取得し記憶装置に格納する処理と、
    前記記憶装置から前記パケットデータを読み出して攻撃パターン解析を実行し、この解析で得たパターンが記憶装置にて未登録であれば前記記憶装置に新規登録し、前記パターンが前記記憶装置にて登録済みであれば、前記記憶装置において登録されている該当パターンのネットワーク攻撃に対する対処レベル値を上昇させる処理と、
    前記記憶装置におけるパターンの新規登録ないし対処レベル値の変化を検知し、新たなパターンないし対処レベル値の変化に対応した新たなシグネチャで前記ネットワーク型IDSのシグネチャを更新する処理と、
    を実行させる不正アクセス解析プログラム。
JP2009100130A 2009-04-16 2009-04-16 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム Pending JP2010250607A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009100130A JP2010250607A (ja) 2009-04-16 2009-04-16 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009100130A JP2010250607A (ja) 2009-04-16 2009-04-16 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム

Publications (1)

Publication Number Publication Date
JP2010250607A true JP2010250607A (ja) 2010-11-04

Family

ID=43312855

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009100130A Pending JP2010250607A (ja) 2009-04-16 2009-04-16 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム

Country Status (1)

Country Link
JP (1) JP2010250607A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015093345A1 (ja) * 2013-12-17 2015-06-25 ソニー株式会社 通信装置、パケット監視方法及びコンピュータプログラム
EP2988468A1 (en) 2014-08-22 2016-02-24 Fujitsu Limited Apparatus, method, and program
DE102016114023A1 (de) 2015-07-30 2017-04-27 National University Corporation Yokohama System und Verfahren zum Erfassen eines Angriffs
US9916445B2 (en) 2014-02-26 2018-03-13 Mitsubishi Electric Corporation Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program
CN114866299A (zh) * 2022-04-22 2022-08-05 南方电网数字电网研究院有限公司 网络数据转发方法、装置、计算机设备和存储介质

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015093345A1 (ja) * 2013-12-17 2015-06-25 ソニー株式会社 通信装置、パケット監視方法及びコンピュータプログラム
JPWO2015093345A1 (ja) * 2013-12-17 2017-03-16 ソニー株式会社 通信装置、パケット監視方法及びコンピュータプログラム
US10084671B2 (en) 2013-12-17 2018-09-25 Sony Corporation Communication device and packet monitoring method
US9916445B2 (en) 2014-02-26 2018-03-13 Mitsubishi Electric Corporation Attack detection device, attack detection method, and non-transitory computer readable recording medium recorded with attack detection program
EP2988468A1 (en) 2014-08-22 2016-02-24 Fujitsu Limited Apparatus, method, and program
JP2016046654A (ja) * 2014-08-22 2016-04-04 富士通株式会社 セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム
US9813451B2 (en) 2014-08-22 2017-11-07 Fujitsu Limited Apparatus and method for detecting cyber attacks from communication sources
DE102016114023A1 (de) 2015-07-30 2017-04-27 National University Corporation Yokohama System und Verfahren zum Erfassen eines Angriffs
US10397244B2 (en) 2015-07-30 2019-08-27 Toyota Jidosha Kabushiki Kaisha System and method for detecting attack when sensor and traffic information are inconsistent
DE102016114023B4 (de) 2015-07-30 2024-06-06 National University Corporation Yokohama National University System und Verfahren zum Erfassen eines Angriffs
CN114866299A (zh) * 2022-04-22 2022-08-05 南方电网数字电网研究院有限公司 网络数据转发方法、装置、计算机设备和存储介质
CN114866299B (zh) * 2022-04-22 2024-03-26 南方电网数字电网研究院有限公司 网络数据转发方法、装置、计算机设备和存储介质

Similar Documents

Publication Publication Date Title
JP6894003B2 (ja) Apt攻撃に対する防御
CN108494746B (zh) 一种网络端口流量异常检测方法及系统
US11038906B1 (en) Network threat validation and monitoring
US7444679B2 (en) Network, method and computer readable medium for distributing security updates to select nodes on a network
EP3195124B1 (en) Malicious relay detection on networks
US9094288B1 (en) Automated discovery, attribution, analysis, and risk assessment of security threats
Xu et al. Alert correlation through triggering events and common resources
US11888882B2 (en) Network traffic correlation engine
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
US20030084328A1 (en) Method and computer-readable medium for integrating a decode engine with an intrusion detection system
WO2017139489A1 (en) Automated honeypot provisioning system
KR101360591B1 (ko) 화이트리스트를 이용한 네트워크 감시 장치 및 방법
CN108270722B (zh) 一种攻击行为检测方法和装置
JP6524789B2 (ja) ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置
US10178109B1 (en) Discovery of groupings of security alert types and corresponding complex multipart attacks, from analysis of massive security telemetry
JP2023050189A (ja) 脅威制御方法およびシステム
US20110030059A1 (en) Method for testing the security posture of a system
WO2021018440A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
JP2010250607A (ja) 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
US10721148B2 (en) System and method for botnet identification
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks