JP2019146070A - Filter control device, filter control program, and filter control method - Google Patents

Filter control device, filter control program, and filter control method Download PDF

Info

Publication number
JP2019146070A
JP2019146070A JP2018029742A JP2018029742A JP2019146070A JP 2019146070 A JP2019146070 A JP 2019146070A JP 2018029742 A JP2018029742 A JP 2018029742A JP 2018029742 A JP2018029742 A JP 2018029742A JP 2019146070 A JP2019146070 A JP 2019146070A
Authority
JP
Japan
Prior art keywords
filter
communication history
tendency
communication
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018029742A
Other languages
Japanese (ja)
Inventor
健嗣 八百
Kenji Yao
健嗣 八百
中村 信之
Nobuyuki Nakamura
信之 中村
康太 土江
Kota Tsuchie
康太 土江
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2018029742A priority Critical patent/JP2019146070A/en
Publication of JP2019146070A publication Critical patent/JP2019146070A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

To provide a filter control device capable of making filtering more efficient according to the trend of a communication history which is an investigation object for monitoring vicious communication.SOLUTION: A filter control device of the present invention controls filter processing of a communication history that is an investigation object for monitoring vicious communication. The filter control device includes a filter management control unit for performing control of whether to apply a filter to the communication history and application order on the basis of the trend of the input communication history.SELECTED DRAWING: Figure 1

Description

本発明は、フィルタ制御装置、フィルタ制御プログラム及びフィルタ制御方法に関し、例えば、サイバー攻撃監視のために調査対象となるログのフィルタリングシステムに適用し得る。   The present invention relates to a filter control device, a filter control program, and a filter control method, and can be applied to, for example, a log filtering system to be investigated for cyber attack monitoring.

従来、サイバー攻撃監視の目的で、プロキシサーバなどの社内装置に記録されるログ情報を調査し、マルウェアのダウンロードや攻撃者サーバとの通信といった悪性通信を検出する取り組みが実施されている。   Conventionally, for the purpose of cyber attack monitoring, efforts have been made to investigate log information recorded in an in-house device such as a proxy server and detect malicious communication such as downloading malware or communicating with an attacker server.

一般にアクセス履歴などのログ情報は膨大であり、そのほとんどが悪性でない通信によるログ情報であることが多い。そのような前提で、すべてのログ情報の中から悪性通信を総当り的に見つけ出すというアプローチは、監視工数が大きく効率的でない。   In general, log information such as access history is enormous, and most of it is log information by non-malignant communication. Under such a premise, an approach of brute force finding out all log information from all log information requires a large number of monitoring steps and is not efficient.

ところで、悪性通信を効率良く発見するための一つの手法として、ログ情報のフィルタリングが存在する。ログ情報のフィルタリングにより調査すべきログの総数を減少させることができるため、悪性通信の検出速度向上が期待できる。   Incidentally, filtering of log information exists as one method for efficiently discovering malicious communication. Since the total number of logs to be investigated can be reduced by filtering the log information, the detection speed of malicious communication can be improved.

ただし、利用するフィルタによっては、削減効果が低いものもある。例えば、複数のフィルタを順番に適用する多段構成のフィルタリングシステムの場合、初めに削減効果が低いフィルタを適用すると、フィルタリング処理を実施するにも関わらず、次段のフィルタへの入力ログも減少せず、システム全体としてフィルタリング処理効率が悪くなるという問題を考慮しなければならない。   However, some filters have a low reduction effect. For example, in the case of a multi-stage filtering system that applies a plurality of filters in order, if a filter with a low reduction effect is applied first, the input log to the next-stage filter will also be reduced despite the filtering process being performed. However, it is necessary to consider the problem that the filtering processing efficiency deteriorates as a whole system.

上記問題を解決する方法として、例えば、特許文献1には、各フィルタがフィルタリングルールにマッチした回数をカウントし、マッチカウントが高いフィルタほど適用順序を前段に移動するように再配置する方法が開示されている。   As a method for solving the above problem, for example, Patent Document 1 discloses a method of counting the number of times each filter matches a filtering rule and rearranging the filters so that the higher the match count is, the earlier the application order is moved. Has been.

特開2000−174808号公報JP 2000-174808 A

しかしながら、特許文献1に記載の方法は、現在受信するパケットが、その後に受信するパケットの傾向と同様であるという前提の上でフィルタリング処理効率が向上するものである。例えば、社内から社外へのアクセスログから悪性通信を見つけ出すためのログのフィルタリングという観点では、平日・休日の違いや通常勤務時間内・外によるログの傾向に違いが存在する。   However, the method described in Patent Document 1 improves the filtering processing efficiency on the premise that the currently received packet has the same tendency as the packet received thereafter. For example, from the viewpoint of log filtering for finding malicious communications from internal to external access logs, there are differences in the log trends depending on weekdays / holidays and normal working hours.

そのため、通信履歴の傾向に応じてフィルタリングを効率化できるフィルタ制御装置、フィルタ制御プログラム及びフィルタ制御方法が望まれている。   Therefore, a filter control device, a filter control program, and a filter control method that can improve the filtering efficiency according to the trend of the communication history are desired.

第1の本発明は、悪性通信を監視するための調査対象となる通信履歴のフィルタ処理を制御するフィルタ制御装置であって、入力された前記通信履歴の傾向に基づき、前記通信履歴に対するフィルタの適用の有無および適用順を制御するフィルタ管理制御部を有することを特徴とする。   A first aspect of the present invention is a filter control device that controls a filtering process of a communication history to be investigated for monitoring malignant communication, and a filter for the communication history is based on a tendency of the input communication history. It has a filter management control part which controls the presence or absence of application, and an application order.

第2の本発明のフィルタ制御プログラムは、悪性通信を監視するための調査対象となる通信履歴のフィルタ処理を制御するフィルタ制御装置に搭載されるコンピュータを、入力された前記通信履歴の傾向に基づき、前記通信履歴に対するフィルタの適用の有無および適用順を制御するフィルタ管理制御部として機能させることを特徴とする。   The filter control program according to the second aspect of the present invention provides a computer mounted on a filter control device that controls filtering processing of a communication history to be investigated for monitoring malignant communication based on the tendency of the input communication history. , And functioning as a filter management control unit for controlling the presence / absence and the order of application of filters to the communication history.

第3の本発明は、悪性通信を監視するための調査対象となる通信履歴のフィルタ処理を制御するフィルタ制御方法であって、フィルタ管理制御部を有し、前記フィルタ管理制御部は、入力された前記通信履歴の傾向に基づき、前記通信履歴に対するフィルタの適用の有無および適用順を制御することを特徴とする。   A third aspect of the present invention is a filter control method for controlling a filtering process of a communication history to be investigated for monitoring malignant communication, comprising a filter management control unit, wherein the filter management control unit is input Further, the presence / absence of application of a filter to the communication history and the order of application are controlled based on the trend of the communication history.

本発明によれば、通信履歴の傾向に応じてフィルタリングを効率化できる。   ADVANTAGE OF THE INVENTION According to this invention, filtering can be made efficient according to the tendency of communication history.

実施形態に係るフィルタ制御装置の機能的構成を示すブロック図である。It is a block diagram which shows the functional structure of the filter control apparatus which concerns on embodiment. 実施形態に係るフィルタリングシステムの構成例(その1)を示すブロック図である。It is a block diagram which shows the structural example (the 1) of the filtering system which concerns on embodiment. 実施形態に係るフィルタ適用管理テーブルの一例を示す図(その1)である。It is a figure (the 1) which shows an example of the filter application management table which concerns on embodiment. 実施形態に係るフィルタリングシステムの構成例(その2)を示すブロック図である。It is a block diagram which shows the structural example (the 2) of the filtering system which concerns on embodiment. 実施形態に係るフィルタ適用管理テーブルの一例を示す図(その2)である。It is FIG. (2) which shows an example of the filter application management table which concerns on embodiment. 実施形態に係るフィルタ適用管理テーブルの一例を示す図(その3)である。It is FIG. (3) which shows an example of the filter application management table which concerns on embodiment. 実施形態に係るフィルタリングシステムの構成例(その3)を示すブロック図である。It is a block diagram which shows the structural example (the 3) of the filtering system which concerns on embodiment.

(A)主たる実施形態
以下、本発明に係るフィルタ制御装置、フィルタ制御プログラム及びフィルタ制御方法の主たる実施形態を、図面を参照しながら詳述する。 (A) Main Embodiment Hereinafter, a main embodiment of a filter control device, a filter control program, and a filter control method according to the present invention will be described in detail with reference to the drawings.

(A−1)実施形態の構成
図1は、実施形態に係るフィルタ制御装置の機能的構成を示すブロック図である。また、図2は、実施形態に係るフィルタリングシステムの構成を示すブロック図である。図2で示すフィルタリングシステム1は、図1で示すフィルタ制御装置が1又は複数備わることにより形成される。フィルタリングシステム1は、種々様々な装置に搭載することができるが、例えば、社内ネットワークと社外ネットワークの境界に設置される装置(ファイアウォール)、プロキシサーバ等に搭載しても良いし、また社内ネットワーク上のログを一元管理する装置に搭載しても良い。 (A-1) Configuration of Embodiment FIG. 1 is a block diagram illustrating a functional configuration of a filter control device according to an embodiment. FIG. 2 is a block diagram showing the configuration of the filtering system according to the embodiment. The filtering system 1 shown in FIG. 2 is formed by including one or a plurality of filter control devices shown in FIG. The filtering system 1 can be mounted on various devices. For example, the filtering system 1 may be mounted on a device (firewall) installed at the boundary between the internal network and the external network, a proxy server, etc. It may be mounted on a device that centrally manages these logs.

図1において、フィルタ制御装置10は、フィルタ管理制御部11及び複数のフィルタ処理部12(12−1〜12−n)を有する。実施施形態に係るフィルタ制御装置は、図1に示す各構成部を搭載した専用のICチップ等のハードウェアとして構成しても良いし、又は、CPUと、CPUが実行するプログラムを中心としてソフトウェア的に構成して良いが、機能的には、図1で表すことができる。   In FIG. 1, the filter control apparatus 10 includes a filter management control unit 11 and a plurality of filter processing units 12 (12-1 to 12-n). The filter control apparatus according to the embodiment may be configured as hardware such as a dedicated IC chip on which each component shown in FIG. 1 is mounted, or software centered on a CPU and a program executed by the CPU. Although functionally configured, it can be functionally represented in FIG.

フィルタ処理部12は、フィルタ管理制御部11から与えられたログ情報を規定のルールに従ってフィルタ処理(フィルタリング)し、フィルタ処理した結果(フィルタリング後のログ情報)を、フィルタ管理制御部11に出力するものである。フィルタ処理部12は、種々様々なフィルタ処理を適用することができるが、例えば、悪性でないとみなせるドメインへのアクセスログをフィルタする処理であったり、社外との通信ログで通信が成立していないものをフィルタする処理であったり、前日と比べてアクセス数が同等のドメインをフィルタリングする処理であったり等のフィルタ処理を適用しても良い。図1では、特徴の異なるフィルタ処理の数に応じて、フィルタ処理部12(12−1〜12−n)が形成される例が示されている。   The filter processing unit 12 performs filtering processing (filtering) on the log information given from the filter management control unit 11 according to a prescribed rule, and outputs the filtering result (log information after filtering) to the filter management control unit 11. Is. The filter processing unit 12 can apply various types of filter processing. For example, the filter processing unit 12 is a process of filtering an access log to a domain that can be regarded as not malignant, or communication has not been established with a communication log with an outside company. A filtering process such as filtering a thing or a process of filtering a domain having the same number of accesses as compared to the previous day may be applied. FIG. 1 shows an example in which the filter processing units 12 (12-1 to 12-n) are formed according to the number of filter processes having different characteristics.

フィルタ管理制御部11は、入力されたログ(ログ情報)に適用し得る1以上のフィルタを管理するものであり、取得したログの傾向を加味して、フィルタの適用の有無、及び適用順を制御するものである。   The filter management control unit 11 manages one or more filters that can be applied to the input log (log information), and considers the tendency of the acquired log to determine whether or not to apply the filter and the application order. It is something to control.

ログの傾向とは、ログの「取得場所」や「取得時間」に依存して得られる傾向である。例えば、社内から社外へのアクセスログ(例えば、社内のプロキシサーバで取得)に関して、グローバルIPアドレスや名前解決可能なドメイン名が宛先となるログが多数で、それ以外(例えば、社内ローカルアドレス宛や名前解決不可能なドメイン名)は存在しても検出対象ではない可能性が高いという傾向である。また例えば、企業のドメインアクセス傾向であり、当該企業で取得されるログに関して、平日の通常業務時間中は情報調査のために検索サイトへのアクセスが多く、通常業務時間外はニュースサイトへのアクセスが多いという傾向である。また例えば、ある部署(送信元IPアドレスで識別可能とする)では、休日明けにアップデート関係のアクセスが多数発生するという傾向である。これらログの傾向は、例えば、有限個のパラメータで定義できる。例えば、各パラメータは、社外ログか社内ログかのフラグや、勤務時間内か勤務時間外かのフラグ等である。   The log tendency is a tendency to be obtained depending on the “acquisition location” and “acquisition time” of the log. For example, with regard to access logs from inside the company to outside the company (for example, acquired by an in-house proxy server), there are a large number of logs destined for global IP addresses or domain names that can be resolved, There is a tendency that even if a domain name that cannot be resolved) is present, it is not likely to be detected. Also, for example, there is a tendency for a company to access the domain. For logs acquired by the company, there are many accesses to search sites for information research during normal business hours on weekdays, and access to news sites outside normal business hours. There is a tendency that there are many. Also, for example, in a certain department (which can be identified by the transmission source IP address), there is a tendency that many update-related accesses occur after the holiday. These log trends can be defined by, for example, a finite number of parameters. For example, each parameter is a flag indicating whether it is an external log or an internal log, a flag indicating whether it is working hours or not working hours, and the like.

ログの傾向の取得方法としては、事前に設定されても良いし、外部から適時与えられても良い。また、実際に任意数のログを教師データとして傾向をフィルタ管理制御部11が作成しても良い。   The log trend acquisition method may be set in advance, or may be given from the outside in a timely manner. Further, the filter management control unit 11 may actually create a tendency using any number of logs as teacher data.

フィルタ管理制御部11は、当該フィルタ管理制御部11で管理する1以上のフィルタ(フィルタ処理部12)に対して、ログの傾向(有限個のパラメータ)が定義された場合に、適用の有無や、適用順のパターンを予め定義しておく。この定義は、例えば、フィルタ管理制御部11が管理するフィルタ(フィルタ処理部12)を追加するときに、事前に実施される。   The filter management control unit 11 determines whether or not it is applied when log trends (finite number of parameters) are defined for one or more filters (filter processing unit 12) managed by the filter management control unit 11. The pattern of the application order is defined in advance. This definition is performed in advance, for example, when a filter (filter processing unit 12) managed by the filter management control unit 11 is added.

フィルタ管理制御部11は、ログの傾向を加味して、フィルタ処理部12の適用やその適用順を制御する。例えば、社内から社外へのアクセスログにおいて、社内ローカルアドレス宛や名前解決不可能なドメイン名を取り除くフィルタは、削減効果が低いと考えられるため、フィルタ適用順としては後に設定する。また例えば、悪性でないとみなせるドメインへのアクセスログを取り除くフィルタは、平日の通常業務時間中のログに関しては、ニュースサイトのフィルタよりも検察サイトのフィルタを前に設定し、通常業務時間外のログに関しては、その逆に設定する。また例えば、前日と比べてアクセス数が同等のサイトを取り除くフィルタは、休日明けのログに適用してもフィルタ効果が期待できないため、休日明けのログには適用しないといった制御を行う。   The filter management control unit 11 controls the application of the filter processing unit 12 and the order of application in consideration of the log tendency. For example, a filter that removes a domain name addressed to an in-house local address or a name that cannot be resolved in an access log from the inside of the company to the outside of the company is considered to have a low reduction effect. Therefore, the filter application order is set later. Also, for example, a filter that removes access logs to domains that can be regarded as non-malignant is set for the prosecution site filter before the news site filter for logs during normal business hours on weekdays, and logs outside normal business hours Is set to the opposite. Further, for example, a filter that removes a site having the same number of accesses as compared to the previous day is not applied to the log after the holidays because the filter effect cannot be expected even when applied to the log after the holidays.

図3は、実施形態に係るフィルタ適用管理テーブルの一例を示す図である。   FIG. 3 is a diagram illustrating an example of a filter application management table according to the embodiment.

図3では、フィルタとしてA、B、Cの3種類が存在し、各フィルタが、業務時間内/業務時間外/深夜早朝の時間帯において、社内ログ、/社外ログ、又は事務職系職場ログ/技術職系職場ログに対してどれくらいの削減効果が存在するかを段階毎に示している。削減効果は、例えば、「0」〜「5」の6段階で示し、数値が大きいほど削減効果が高いことを示し、数値が小さいほど削減効果が低いことを示す。また、数値の「0」は、フィルグ適用効果が低く、フィルタを適用する必要がないことを示している。ここで、A〜Cの種類のフィルタは、例えば、フィルタ処理部12−1〜12−3のフィルタが該当する。   In FIG. 3, there are three types of filters A, B, and C, and each filter is an internal log, an external log, or an office job log / It shows how much the reduction effect exists on the technical workplace log for each stage. The reduction effect is shown, for example, in six stages from “0” to “5”. The larger the numerical value, the higher the reduction effect, and the smaller the numerical value, the lower the reduction effect. Also, the numerical value “0” indicates that the effect of applying the flag is low and it is not necessary to apply the filter. Here, the filters of types A to C correspond to the filters of the filter processing units 12-1 to 12-3, for example.

フィルタ管理制御部11は、入力されたログに対して、図3に示すようなフィルタ適用管理テーブル30を参照し、各フィルタの適用有無や適用順を決定する。例えば、フィルタ管理制御部11は、業務時間内における社内向けのログに対しては、A〜Cの全てのフィルタを適用し、最も数値が高い値(5)であるAのフィルタ、次に数値が高い値(3)であるBのフィルタ、数値が最も低い値(1)であるCのフィルタの順に適用するフィルタの順番を決定する。また例えば、フィルタ管理制御部11は、深夜早朝の時間帯における技術職系職場ログに対しては、B、Cの2種類のフィルタを適用し、数値の値に従い、Cのフィルタ、Bのフィルタの順に適用するフィルタの順番を決定する。   The filter management control unit 11 refers to a filter application management table 30 as shown in FIG. 3 with respect to the input log, and determines whether or not to apply each filter and the application order. For example, the filter management control unit 11 applies all of the filters A to C to the in-house log during business hours, filters A with the highest numerical value (5), and then the numerical value. The order of the filters to be applied is determined in the order of the B filter having the highest value (3) and the C filter having the lowest value (1). Further, for example, the filter management control unit 11 applies two types of filters B and C to the technical workplace log in the time zone of midnight and early morning, and according to the numerical value, the filter C and the filter B The order of filters to be applied is determined.

また、フィルタ管理制御部11は、他のフィルタ制御装置10に対してログおよび当該ログの傾向を与え、他のフィルタ制御装置10より、フィルタ後のログを取得するようにしても良い。フィルタ制御装置10が他のフィルタ制御装置10と連係してログをフィルタリングする例については、動作の項で詳述する。   In addition, the filter management control unit 11 may give a log and a tendency of the log to the other filter control device 10, and may obtain a post-filter log from the other filter control device 10. An example in which the filter control device 10 filters logs in cooperation with other filter control devices 10 will be described in detail in the section of operation.

(A−2)実施形態の動作
次に、以上のような構成を有する実施形態に係るフィルタリングシステム1の動作を、図面を参照しながら説明する。 (A-2) Operation | movement of embodiment Next, operation | movement of the filtering system 1 which concerns on embodiment which has the above structures is demonstrated, referring drawings.

図4は、実施形態に係るフィルタリングシステムの構成例(その2)を示すブロック図である。図4において、フィルタリングシステム1は、2つのフィルタ制御装置10−1及びフィルタ制御装置10−2を備える。以下では、2つのフィルタ制御装置10−1及びフィルタ制御装置10−1が連係して外部から与えられたログ情報(ログ)をフィルタリングする動作例を示す。   FIG. 4 is a block diagram illustrating a configuration example (No. 2) of the filtering system according to the embodiment. In FIG. 4, the filtering system 1 includes two filter control devices 10-1 and 10-2. Below, the two filter control apparatuses 10-1 and the filter control apparatus 10-1 show the operation example which filters log information (log) given from the outside in cooperation.

図4において、フィルタリングシステム1の処理は、大別すると、ログ情報を取得し、ログの傾向を把握するステップS101の処理と、フィルタの適用有無及び適用順を制御するステップS102の処理と、適用するフィルタにおいて、フィルタリングを行うステップS103〜S105の処理と、フィルタリングしたログを出力するSステップ106の処理に大別できる。以下では各処理の詳細について述べる。   In FIG. 4, the processing of the filtering system 1 can be broadly divided into the processing of step S <b> 101 for acquiring log information and grasping the tendency of the log, the processing of step S <b> 102 for controlling the presence / absence and application order of the filter, and application. In the filter to be performed, the processing can be roughly divided into the processing of steps S103 to S105 for performing filtering and the processing of S step 106 for outputting the filtered log. Details of each process will be described below.

[S101]ログ情報の取得とログの傾向把握
フィルタ制御装置10−1のフィルタ管理制御部11−1は、任意期間のログ情報を取得する。例えば、フィルタ管理制御部11は、取得した通信ログからランダムサンプリングし、一般的な統計手法により、休日明けの平日の通常勤務時間に取得された社外への通信ログであるというログの傾向を得る。なお、このログの傾向の把握は、外部の装置が行い、フィルタ管理制御部11−1は、その結果を受け取る構成でも良い。 [S101] Obtaining Log Information and Understanding Log Trend The filter management control unit 11-1 of the filter control apparatus 10-1 obtains log information for an arbitrary period. For example, the filter management control unit 11 performs random sampling from the acquired communication log, and obtains a log tendency of being a communication log for outside the company acquired during normal working hours on weekdays after the holidays by a general statistical method. . The log trend may be grasped by an external device, and the filter management control unit 11-1 may receive the result.

[S102]フィルタの適用有無と適用順の制御
フィルタ管理制御部11−1は、例えば、休日明けの平日の通常勤務時間(業務時間)に取得された社外への通信ログであるという傾向を有するログに対して、フィルタ適用管理テーブル30−1を参照して、フィルタの適用有無及び適用順を制御する。なお、図4の例では、フィルタ管理制御部11−1が管理するフィルタは、フィルタ制御装置10−1のフィルタ処理部12(12−1〜12−3)に搭載されるフィルタA〜Cと、フィルタ制御装置10−2のフィルタ処理部12(12−4、12−5)に搭載されるフィルタD(D1、D2)である。 [S102] Control of Filter Applicability and Order of Application The filter management control unit 11-1 has a tendency to be a communication log for outside the company acquired, for example, during normal working hours (business hours) on weekdays after holidays. For the log, the filter application management table 30-1 is referenced to control the presence / absence and application order of the filters. In the example of FIG. 4, the filters managed by the filter management control unit 11-1 are filters A to C mounted on the filter processing unit 12 (12-1 to 12-3) of the filter control device 10-1. These are filters D (D1, D2) mounted on the filter processing unit 12 (12-4, 12-5) of the filter control device 10-2.

フィルタAは、ニュース系サイトのドメインへのアクセスログをフィルタリングするものである。また、フィルタBは、検索系サイトのドメインへのアクセスログをフィルタリングするものである。さらに、フィルタCは、前日と比べてアクセス数が同等のドメインをフィルタリングするものである。そして、フィルタDは、社外とのアクセスログ以外をフィルタリングするものである。   The filter A filters the access log to the domain of the news site. Filter B filters the access log to the domain of the search site. Further, the filter C filters domains having the same number of accesses as compared to the previous day. The filter D is for filtering except for the access log with outside the company.

「休日明けの平日の通常勤務時間に取得された社外への通信ログである」というログの傾向は、図5のフィルタ適用管理テーブル30−1では、業務時間内(休日明け)及び社外向けの項目が交差するセルが対応するものである。つまり、対応するフィルタAのセルは「3」であり、フィルタBのセルは「4」であり、フィルタCのセルは「0」であり、フィルタDのセルは「1」である。   The log trend that “It is a communication log to the outside that is acquired during normal working hours on weekdays after the holidays” indicates that the log application management table 30-1 in FIG. The cells where the items intersect correspond. That is, the corresponding filter A cell is “3”, filter B cell is “4”, filter C cell is “0”, and filter D cell is “1”.

従って、フィルタ管理制御部11−1は、取得したログに対して、A、B、Dのフィルタを、B→A→Dの順に適用することを決定する。なお、フィルタCに関しては、休日明けのログでは、その性質上フィルタ効果を期待できないため、フィルタの適用自体を行わない。   Therefore, the filter management control unit 11-1 determines to apply the A, B, and D filters to the acquired log in the order of B → A → D. Note that the filter C is not applied to the filter C because the filter effect cannot be expected in the log after the holidays due to its nature.

[S103]フィルタ処理部(フィルタB)の適用
フィルタ管理制御部11−1は、ログをフィルタ処理部12−2(フィルタB)に与える。フィルタ処理部12−2(フィルタB)は、与えられたログに対して、フィルタリングを行い、フィルタリングしたログをフィルタ管理制御部11−1に返信する。 [S103] Application of Filter Processing Unit (Filter B) The filter management control unit 11-1 provides a log to the filter processing unit 12-2 (filter B). The filter processing unit 12-2 (filter B) performs filtering on the given log and returns the filtered log to the filter management control unit 11-1.

[S104]フィルタ処理部(フィルタA)の適用
フィルタ管理制御部11−1は、ステップS103でフィルタリングしたログを、フィルタ処理部12−1(フィルタA)に与える。フィルタ処理部12−1(フィルタA)は、与えられたログに対して、フィルタリングを行い、フィルタリングしたログをフィルタ管理制御部11−1に返信する。 [S104] Application of Filter Processing Unit (Filter A) The filter management control unit 11-1 gives the log filtered in step S103 to the filter processing unit 12-1 (filter A). The filter processing unit 12-1 (filter A) performs filtering on the given log, and returns the filtered log to the filter management control unit 11-1.

[S105]フィルタ処理部(フィルタD)の適用
フィルタ管理制御部11−1は、ステップS104でフィルタリングしたログ及びログの傾向(休日明けの平日の通常勤務時間に取得された社外への通信ログであるという傾向)を、フィルタ制御装置10−2のフィルタ管理制御部11−2に与える。 [S105] Application of Filter Processing Unit (Filter D) The filter management control unit 11-1 uses the log filtered in step S104 and the log tendency (communication log to outside the company acquired during normal working hours on weekdays after holidays). Is given) to the filter management control unit 11-2 of the filter control apparatus 10-2.

フィルタ管理制御部11−2では、フィルタ処理部12−4(フィルタD1)及びフィルタ処理部12−5(フィルタD2)を管理している。フィルタD1は、宛先が社内ローカルアドレスをフィルタリングするものである。また、フィルタBは、名前解決不可能なドメインをフィルタリングするものである。   The filter management control unit 11-2 manages the filter processing unit 12-4 (filter D1) and the filter processing unit 12-5 (filter D2). The filter D1 is for filtering destination local addresses in the company. Filter B filters domains that cannot be resolved.

フィルタ管理制御部11−2は、例えば、ログの傾向から自身が保持するフィルタ適用管理テーブル30−2(図6)を参照しても、各セルの値が全て同じ値(1)のため、フィルタの適用順が処理効率にあまり影響しないと判断する。この場合、フィルタ管理制御部11−2は、順にフィルタの適用を実施する。   For example, even if the filter management control unit 11-2 refers to the filter application management table 30-2 (FIG. 6) held by itself from the log trend, the values of the cells are all the same value (1). It is determined that the application order of filters does not significantly affect the processing efficiency. In this case, the filter management control unit 11-2 sequentially applies the filters.

つまり、フィルタ管理制御部11−1は、フィルタ処理部12−4(フィルタD1)、フィルタ処理部12−5(フィルタD1)の順に、与えられたログに対してフィルタリングを行わせる。   That is, the filter management control unit 11-1 performs filtering on a given log in the order of the filter processing unit 12-4 (filter D1) and the filter processing unit 12-5 (filter D1).

そして、フィルタ管理制御部11−2は、フィルタリングしたログをフィルタ制御装置10−1のフィルタ管理制御部11−1に返信する。   Then, the filter management control unit 11-2 returns the filtered log to the filter management control unit 11-1 of the filter control device 10-1.

[S106]フィルタリング結果の出力
フィルタ管理制御部11−1は、種々のフィルタでフィルタリングした結果(ログ)を要求元に出力する。 [S106] Output of filtering results The filter management control unit 11-1 outputs the results (logs) filtered by various filters to the request source.

(A−2)実施形態の効果
上記実施形態によれば、フィルタ制御装置10(フィルタ管理制御部11)は、ログの取得場所や取得時間を加味してフィルタ適用順やフィルタの適用有無を制御する。例えば、複数のフィルタ(フィルタ処理部12)を順番に適用する多段構成のフィルタリングシステムにおいて、ログの取得場所や取得時間に応じてフィルタの適用順を制御できるため、削減効果が低いフィルタが含まれる場合でも、フィルタリング処理効率を向上させることができる(削減効果が低いフィルタは後回しにできる)。 (A-2) Effect of Embodiment According to the above-described embodiment, the filter control device 10 (filter management control unit 11) controls the filter application order and whether or not the filter is applied in consideration of the log acquisition location and acquisition time. To do. For example, in a multi-stage filtering system that applies a plurality of filters (filter processing unit 12) in order, the filter application order can be controlled according to the log acquisition location and acquisition time, and therefore a filter with a low reduction effect is included. Even in this case, the filtering processing efficiency can be improved (filters with a low reduction effect can be postponed).

また、ログの取得場所や取得時間に応じてフィルタの効果が期待できない場合には、フィルタ管理制御部11は、フィルタの適用自体を無効に制御することで、無駄なフィルタ処理を省くことができ、フィルタリング処理効率を向上させることができる。   In addition, when the filter effect cannot be expected according to the log acquisition location and acquisition time, the filter management control unit 11 can eliminate unnecessary filter processing by invalidating the application of the filter itself. The filtering processing efficiency can be improved.

(B)他の実施形態
本発明は、上記実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。 (B) Other Embodiments The present invention is not limited to the above-described embodiments, and may include modified embodiments as exemplified below.

(B−1)上記実施形態では、フィルタ制御装置10がフィルタ処理部12とフィルタ管理制御部11とで構成される例を示したが、この構成に限定されるものではない。フィルタ制御装置10はフィルタ管理制御部11だけを備え、フィルタ処理部12は他の装置が備える構成としても良い。   (B-1) In the above-described embodiment, the example in which the filter control device 10 is configured by the filter processing unit 12 and the filter management control unit 11 has been described. However, the configuration is not limited thereto. The filter control device 10 may include only the filter management control unit 11 and the filter processing unit 12 may include other devices.

(B−2)上記実施形態の図4の動作例では、フィルタ制御装置10−1が取得したログに対するフィルタリング結果を応答する例を示したが、この動作に限定されるものではない。例えば、図7に示すフィルタリングシステム1のように、フィルタ制御装置10−3がログの傾向のみをフィルタ制御装置10−4と、フィルタ制御装置10−5にそれぞれ与え、フィルタ制御装置10−4及びフィルタ制御装置10−5がそれぞれ並列にログ情報のフィルタリング結果を返信する構成としても良い。   (B-2) In the operation example of FIG. 4 of the above-described embodiment, an example in which the filtering result with respect to the log acquired by the filter control apparatus 10-1 has been shown, but the operation is not limited to this operation. For example, like the filtering system 1 shown in FIG. 7, the filter control device 10-3 gives only the log tendency to the filter control device 10-4 and the filter control device 10-5, respectively, and the filter control device 10-4 and The filter control device 10-5 may return the filtering result of log information in parallel.

1…フィルタリングシステム、10(10−1〜10−n)…フィルタ制御装置、11(11−1〜11−n)…フィルタ管理制御部、12(12−1〜12−n)…フィルタ処理部、30(30−1、30−2)…フィルタ適用管理テーブル。   DESCRIPTION OF SYMBOLS 1 ... Filtering system, 10 (10-1-10-n) ... Filter control apparatus, 11 (11-1-11-n) ... Filter management control part, 12 (12-1-12-n) ... Filter processing part 30 (30-1, 30-2) ... Filter application management table.

Claims (10)

悪性通信を監視するための調査対象となる通信履歴のフィルタ処理を制御するフィルタ制御装置であって、
入力された前記通信履歴の傾向に基づき、前記通信履歴に対するフィルタの適用の有無および適用順を制御するフィルタ管理制御部を有することを特徴とするフィルタ制御装置。 A filter control device for controlling filtering processing of communication history to be investigated for monitoring malicious communication,
A filter control apparatus, comprising: a filter management control unit that controls whether or not a filter is applied to the communication history and an application order based on the input communication history tendency. 前記フィルタ管理制御部の制御に基づき、前記通信履歴に対して所定のフィルタリング処理を行い、フィルタリングされた前記通信履歴を出力する1又は2以上のフィルタ処理部をさらに有することを特徴とする請求項1に記載のフィルタ制御装置。   The system further comprises one or more filter processing units that perform a predetermined filtering process on the communication history based on the control of the filter management control unit and output the filtered communication history. 2. The filter control device according to 1. 前記通信履歴の傾向は、前記通信履歴の取得場所に依存して得られる傾向であることを特徴とする請求項1又は2に記載のフィルタ制御装置。   The filter control apparatus according to claim 1, wherein the tendency of the communication history is a tendency obtained depending on a place where the communication history is acquired. 前記通信履歴が、外部ネットワークが介在する通信履歴であり、
前記通信履歴の傾向は、前記外部ネットワークへのアクセスが大多数を占めているとの傾向であることを特徴とする請求項3に記載のフィルタ制御装置。 The communication history is a communication history through which an external network is interposed,
The filter control apparatus according to claim 3, wherein the communication history has a tendency that access to the external network occupies a majority. 前記外部ネットワークへのアクセスが特定のドメインに偏っていることを特徴とする請求項4に記載のフィルタ制御装置。   5. The filter control apparatus according to claim 4, wherein access to the external network is biased toward a specific domain. 前記通信履歴の傾向は、前記通信履歴の取得時間に依存して得られる傾向であることを特徴とする請求項1又は2に記載のフィルタ制御装置。   The filter control apparatus according to claim 1, wherein the tendency of the communication history is a tendency obtained depending on an acquisition time of the communication history. 前記通信履歴には、前記通信履歴の取得年月日及び時刻が含まれ、
前記通信履歴の傾向は、業務時間内又は業務時間外のいずれかに区別できる傾向であることを特徴とする請求項6に記載のフィルタ制御装置。 The communication history includes the acquisition date and time of the communication history,
The filter control apparatus according to claim 6, wherein the tendency of the communication history is a tendency to distinguish between a business time and a non-business time. 前記通信履歴の傾向に対して、フィルタリング効果を示す指標がフィルタの種類毎に予め定義されたフィルタ適用管理情報をさらに有し、
前記フィルタ管理制御部は、前記フィルタ適用管理情報を用いて、前記通信履歴に対するフィルタの適用の有無および適用順を制御する
ことを特徴とする請求項1〜7のいずれかに記載のフィルタ制御装置。 For the trend of the communication history, an index indicating a filtering effect further includes filter application management information defined in advance for each type of filter,
The filter control apparatus according to claim 1, wherein the filter management control unit controls presence / absence and application order of a filter with respect to the communication history, using the filter application management information. . 悪性通信を監視するための調査対象となる通信履歴のフィルタ処理を制御するフィルタ制御装置に搭載されるコンピュータを、
入力された前記通信履歴の傾向に基づき、前記通信履歴に対するフィルタの適用の有無および適用順を制御するフィルタ管理制御部として機能させることを特徴とするフィルタ制御プログラム。 A computer installed in a filter control device that controls filtering processing of communication history to be investigated for monitoring malicious communication,
A filter control program that functions as a filter management control unit that controls whether or not a filter is applied to the communication history and an application order based on the tendency of the input communication history. 悪性通信を監視するための調査対象となる通信履歴のフィルタ処理を制御するフィルタ制御方法であって、
フィルタ管理制御部を有し、
前記フィルタ管理制御部は、入力された前記通信履歴の傾向に基づき、前記通信履歴に対するフィルタの適用の有無および適用順を制御することを特徴とするフィルタ制御方法。 A filter control method for controlling a filtering process of communication history to be investigated for monitoring malicious communication,
A filter management control unit;
The filter management control unit controls whether or not to apply a filter to the communication history and the order of application based on the input tendency of the communication history.
JP2018029742A 2018-02-22 2018-02-22 Filter control device, filter control program, and filter control method Pending JP2019146070A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018029742A JP2019146070A (en) 2018-02-22 2018-02-22 Filter control device, filter control program, and filter control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018029742A JP2019146070A (en) 2018-02-22 2018-02-22 Filter control device, filter control program, and filter control method

Publications (1)

Publication Number Publication Date
JP2019146070A true JP2019146070A (en) 2019-08-29

Family

ID=67774021

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018029742A Pending JP2019146070A (en) 2018-02-22 2018-02-22 Filter control device, filter control program, and filter control method

Country Status (1)

Country Link
JP (1) JP2019146070A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022000071A (en) * 2020-06-19 2022-01-04 株式会社三共 Game machine

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022000071A (en) * 2020-06-19 2022-01-04 株式会社三共 Game machine

Similar Documents

Publication Publication Date Title
US11297109B2 (en) System and method for cybersecurity reconnaissance, analysis, and score generation using distributed systems
US20200296137A1 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
US20220224723A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
Jiang et al. Identifying suspicious activities through dns failure graph analysis
US10193929B2 (en) Methods and systems for improving analytics in distributed networks
US20180241767A1 (en) System and method for cybersecurity analysis and score generation for insurance purposes
US12058177B2 (en) Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance
US7633855B2 (en) System and method for resolving address conflicts in a network
US20220014561A1 (en) System and methods for automated internet-scale web application vulnerability scanning and enhanced security profiling
US20180034837A1 (en) Identifying compromised computing devices in a network
US8955128B1 (en) Systems and methods for selectively regulating network traffic
RU2634209C1 (en) System and method of autogeneration of decision rules for intrusion detection systems with feedback
US20120134271A1 (en) Identification of underutilized network devices
CN110809010A (en) Threat information processing method, device, electronic equipment and medium
KR20110132973A (en) Automating network reconfiguration during migrations
KR20140027616A (en) Apparatus and method for detecting http botnet based on the density of web transaction
WO2020106810A1 (en) Method and system for remediating cybersecurity vulnerabilities based on utilization
AU2020380362B2 (en) System and methods for querying and updating databases
US20230283641A1 (en) Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement
US20230362131A1 (en) Systems and methods for monitoring and securing networks using a shared buffer
WO2021243321A1 (en) A system and methods for score cybersecurity
CN110943883B (en) Network flow statistical method, system, gateway and computer readable storage medium
Weigert et al. Mining large distributed log data in near real time
JP2019146070A (en) Filter control device, filter control program, and filter control method
CN104239337A (en) TCAM (ternary content addressable memory) based table look-up processing method and device