JP2019175070A - アラート通知装置およびアラート通知方法 - Google Patents

アラート通知装置およびアラート通知方法 Download PDF

Info

Publication number
JP2019175070A
JP2019175070A JP2018061694A JP2018061694A JP2019175070A JP 2019175070 A JP2019175070 A JP 2019175070A JP 2018061694 A JP2018061694 A JP 2018061694A JP 2018061694 A JP2018061694 A JP 2018061694A JP 2019175070 A JP2019175070 A JP 2019175070A
Authority
JP
Japan
Prior art keywords
alert
unit
analysis
combination
incident
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018061694A
Other languages
English (en)
Other versions
JP7081953B2 (ja
Inventor
岩崎 信也
Shinya Iwasaki
信也 岩崎
幸洋 小西
Yukihiro Konishi
幸洋 小西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Ltd
Original Assignee
Hitachi Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Systems Ltd filed Critical Hitachi Systems Ltd
Priority to JP2018061694A priority Critical patent/JP7081953B2/ja
Publication of JP2019175070A publication Critical patent/JP2019175070A/ja
Application granted granted Critical
Publication of JP7081953B2 publication Critical patent/JP7081953B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】セキュリティインシデントが生じた場合に運用者に精度よくアラートを通知する。【解決手段】アラート通知装置は、ログ情報が入力されるアラートログ入力部10と、アラートログ入力部で入力されたログ情報に基づき、インシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計する集計部31と、集計部が集計した発生数であって、所定時間内における発生元識別子ごとの組み合わせの発生数に基づき、組み合わせを分類するクラスタ分析を行う分析部32と、分析部の分析結果に基づき、運用者が対応するための優先度を判定する判定部33と、判定部が判定した優先度に基づき、アラートを通知する通知部34と、を備え、判定部は、所定時間内における発生元識別子ごとの組み合わせの発生数が小さい組み合わせを優先すべきであると判定する。【選択図】図2

Description

本発明は、アラート通知装置およびアラート通知方法に関する。
従来から、ITシステムにおけるセキュリティインシデントが発生した場合に、運用者に精度よくアラートを通知するための技術が知られている。ここで、精度よくアラートを通知するとは、ITシステムの運用者に通知する必要のないインシデントは通知せず、通知する必要のあるインシデントは漏れなく通知することである。
例えば、特許文献1は、障害の発生確率を算出する処理を、より精度よく実施することができる障害予兆診断装置を提案する。この障害予兆診断装置では、予兆診断モデル作成ブロックにて、障害の種類毎に、当該障害の種類に関連する複数の画像形成パラメータの特徴量を要素とした正常データ群及び障害予兆データ群を複数のクラスタに分割し、複数のクラスタの各々について予兆診断モデルを作成する。そして、予兆診断ブロックにて、予兆診断の対象となる画像形成装置について、障害の種類毎に、当該障害の種類に関連する複数の画像形成パラメータの特徴量を要素とした予兆診断データ群との適合性が最も高い予兆診断モデルを選択し、当該予兆診断モデルを用いて障害の予兆診断を行う。
特開2015−036961号公報
上述した従来技術では、所定の特徴量を要素とした複数のクラスタに分割し、複数のクラスタの各々について予兆診断モデルを作成しておく必要がある。しかし、事前に設定されたモデルやルールに基づくと、所謂ゼロデイ攻撃(脆弱性の公開前にその脆弱性を利用する攻撃手法)などには対応できず、また常に情報を収集し新しいパターンのモデルやルールを設定する必要がある。
また、セキュリティインシデントなどの異常を検出するためには、通常、教師あり法と教師なし法の2つの方法がある。教師あり法は、セキュリティインシデントを監視する機器が生成するログ情報内のそれぞれのイベントのラベルが既知であるため正確性ではすぐれているが、全てのイベントに対してラベルを付与するのは非常に人的コストを必要する。特にセキュリティインシデントにおいては、何が正常で何が異常かは、時間や対象により変化する。ある時点では正常の可能性が高いイベントも、将来的には新しい攻撃手法や脆弱性によって異常の可能性が高くなることもある。このため教師あり法では定期的にラベルを作り直す必要があり非常にコストを要する。教師なし法は、正確性では教師あり法に劣るが、ラベルを人的に付与する手間を必要とせずイベントから自動で検出するため、比較的低コストに実現可能である。
そこで、本発明は、教師なし法の一種であるクラスタ分析により、セキュリティインシデントが生じた場合に運用者に精度よくアラートを通知するための優先度を判定するアラート通知装置およびアラート通知方法を提供する。
上記課題を解決するために、セキュリティインシデントを監視する機器が生成するログ情報に基づいてアラートを通知するアラート通知装置において、ログ情報が入力されるアラートログ入力部と、アラートログ入力部で入力されたログ情報に基づき、インシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計する集計部と、集計部が集計した発生数であって、所定時間内における発生元識別子ごとの組み合わせの発生数に基づき、組み合わせを分類するクラスタ分析を行う分析部と、分析部の分析結果に基づき、運用者が対応するための優先度を判定する判定部と、判定部が判定した優先度に基づき、アラートを通知する通知部と、を備え、判定部は、所定時間内における発生元識別子ごとの組み合わせの発生数が小さい組み合わせを優先すべきであると判定するアラート通知装置が提供される。
これによれば、所定時間内におけるインシデントの種別の組み合わせの発生数(頻度)において、発生数の小さい組み合わせに係るインシデントを運用者が対応すべきインシデントとして優先するように判定することで、運用者に精度よくアラートを通知するアラート通知装置を提供できる。
さらに、分析部が行うクラスタ分析のクラスタ数を統計的手法により最適化する最適化部をさらに備えることを特徴としてもよい。
これによれば、クラスタ数を最適化することで、精度のより良いアラート通知装置を提供できる。
さらに、分析部が行うクラスタ分析は、特異点分析と特性分析の2段階分析を含むことを特徴としてもよい。
これによれば、正常なイベントがクラスタ分析のノイズとなることを回避でき、アラート通知の精度を向上することができる。
上記課題を解決するために、セキュリティインシデントを監視する機器が生成するログ情報に基づいてアラートを通知するアラート通知方法において、ログ情報に基づき、インシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計し、所定時間内における発生元識別子ごとの組み合わせの発生数に基づき、組み合わせを分類するクラスタ分析を行い、クラスタ分析の結果に基づき、所定時間内における発生元識別子ごとの組み合わせの発生数が小さい組み合わせを優先すべきであると判定し、判定した前記優先度に基づき、アラートを通知するアラート通知方法が提供される。
これによれば、所定時間内におけるインシデントの種別の組み合わせの発生数(頻度)において、発生数の小さい組み合わせに係るインシデントを運用者が対応すべきインシデントとして優先するように判定することで、運用者に精度よくアラートを通知するアラート通知方法を提供できる。
本発明によれば、クラスタ分析により、セキュリティインシデントが生じた場合に運用者に精度よくアラートを通知する優先度を判定するアラート通知装置およびアラート通知方法を提供することができる。
本発明に係る第一実施例のアラート通知装置を含むシステム全体構成図。 本発明に係る第一実施例のアラート通知装置のブロック構成図。 本発明に係る第一実施例のアラート通知装置の集計部における動作を示すフローチャート。 本発明に係る第一実施例のアラート通知装置の集計部における、組み合わせの発生数の集計方法を示す説明図。 本発明に係る第一実施例のアラート通知装置の分析部における動作を示すフローチャート。 本発明に係る第一実施例の変形例のアラート通知装置のブロック構成図。 本発明に係る第一実施例の変形例のアラート通知装置の分析部における動作を示すフローチャート。 標準的なインシデント対応の流れを示す説明図。 侵害検知システムの標準的なログの例。
以下に、図面を参照しながら、本発明に係る実施例について説明する。
<第一実施例>
図1〜図5を参照し、本実施例におけるアラート通知装置100を説明する。アラート通知装置100は、図1に示すように、サイバーセキュリティ対策として、インターネットに接続されたウェブサーバなどのIT機器WSにアクセスする要求を監視するシステムで使用される。アラート通知装置100は、ファイアウォールや侵入検知システムまたはこれらの機能を統合した統合脅威管理装置(Unified Threat Management)などのセキュリティデバイスSDの管理を行い、セキュリティデバイスSDで発生したアラートを監視する。
セキュリティデバイスSDは、インターネットに接続されたウェブサーバなどのIT機器WSにアクセスするすべての要求を監視し、不正アクセスなどのセキュリティインシデントの可能性のあるすべてのイベントをアラートログとして、転送装置FDに送信する。転送装置FDは、アラート通知装置100が設置されるサーバサイドに対するクライアントサイドとして、ネットワークを経由して、セキュリティデバイスSDからのアラートログを含むログ情報を集約装置IDに転送する。集約装置IDは、転送されたアラートに対して必要な情報を付加、統合し、アラートログなどのログ情報をアラートDBに格納すると共に、アラート通知装置100にも送信する。アラートDBは、過去のすべてのアラートログが格納されている。アラート通知装置100は、集約装置IDまたはアラートDBからアラートログの入力を受け付け、分析を行うことで、分析官に対して大量のアラートの中から優先すべきアラートを抽出して提示する。
なお、分析官によるインシデント対応とは、インシデントを検知した際に優先度判定・事象分析・対応計画や障害復旧を行うことである。インシデント対応の標準的な流れは、図8に示すように、セキュリティデバイスSDによるインシデント検知の報告を受けると、その後は以下の手順で対応する。なお、顧客や関連機関からの事象連絡もありうるが、ここでは説明は省略する。
(1)連絡受領
検知や連絡を受けた際に、連絡官がその情報を確認し、インシデントとして起票する。
(2)トリアージ
トリアージは、専門のセキュリティ分析官が起票したインシデントを調査し、対応が必要か否かを決定する。誤検知などインシデントではなかった場合や優先度が一定以下の場合などは対応の必要がないと判断する。
(3)事象分析
セキュリティ侵害が起きたことを前提に被害の把握や侵害範囲を切り分ける。マルウェアの感染が疑われるPCの詳細な解析など、フォレンジック作業を行う。この作業では実環境を模擬した調査環境を構築し、感染したマルウェアを実行し侵害内容を分析する。さらにネットワークトラフィックを一つずつ分析して、感染の広がりを確認することで侵害の全容を明らかにする。
(4)対応計画/実施
事象分析の結果を元に、障害の復旧や情報流出への対応、再発防止策などを計画し、実施する。
アラート通知装置100は、このようなインシデント対応の中で、図8に示すように、セキュリティデバイスSDからのアラートログを分析して、連絡官や分析官などの人が関わる必要のあるアラートのみを抽出し、後工程の人の作業を効率化することを目途とするものである。
図2に示すように、アラート通知装置100は、アラートログを含むログ情報が入力されるアラートログ入力部10と、アラートログ入力部10に入力されたログ情報を整形するアラートログ整形部20と、整形されたログ情報の中からアラートとして通知するか否かを分析するアラート分析部30と、を備える。
アラートログ入力部10は、転送装置FDからのログ情報を受信して、またはアラートDBに格納された過去のログ情報を読み出して、アラート通知装置100の中に取り込む。読み込むタイミングは、新たなインシデントの可能性のあるアラートを転送装置FDから受信した場合(リアルタイム処理)、定期的にアラートDBから読み込む場合(定期的処理)、または、分析官からの要求に基づいてアラートDBから読み込む場合(要求処理)など、アラートログ入力部10は、様々なタイミングでログ情報をアラート通知装置100の中に取り込む。
アラートログ整形部20は、様々なセキュリティデバイスSDが作成するログ情報の異なるログデータ形式(フォーマット)を、統一的なデータ形式にして後工程の処理を統一的に行えるようにする。アラートログ整形部20は、様々な形式で作成されたログ情報を、たとえば表1に示すようなデータ形式に変換する。
Figure 2019175070
この統一的なデータ形式は、共通部とカスタム部に分かれている。共通部は、セキュリティデバイスSDのアラートの標準的な項目を持ち、カスタム部には共通化できない項目を格納する。このため、カスタム部は、スキーマレスな構造となる。ログ情報の統一的データ形式への変換は定義ファイルで設定可能であり、運用者は小さい負担でアラート形式を追加できる。
アラート分析部30は、大量のログ情報の中から人の分析に掛ける必要なアラートなのか否かの優先度を分析する。アラート分析部30は、所定時間内に発生した所定条件を有するアラートの発生数を集計する集計部31と、その発生数に基づいてクラスタ分析を行う分析部32と、その分析結果に基づいて分析官などの運用者が対応するための優先度を判定する判定部33と、その優先度に基づきアラートを通知する通知部34と、を備える。
集計部31は、アラートログ入力部10で入力されたログ情報に基づき、あるインシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計する。図3を参照して、集計部31の動作を説明する。なお、図内のSはステップを意味する。
集計部31は、S100において、アラートログ整形部20が出力したアラートを取得する。ここでは、このアラートを対象アラートと呼ぶ。この対象アラートは、所定の時間(たとえば30分間)に含まれるアラートを含み、その所定の時間の起点は、あるインシデントが発生した時刻である。対象アラートは、その起点から所定時間遡った過去の時間帯のアラートであってもよいし、その起点から所定時間下った(起点から見たら未来の)時間帯のアラートであってもよい。すなわち、集計部31は、あるインシデントの発生時刻からの所定時間内の発生数を集計する。集計部31は、S102において、対象アラートの中から1件ずつ抽出する。集計部31は、以下に説明するS104〜S112の動作を、対象アラートのすべてを処理するまで継続する(S114)。
集計部31は、S104において、対象アラートの中から運用対象や分析対象となる1または複数の攻撃先を抽出する。攻撃先とは、攻撃者から攻撃を受けているクライアントサイドのIT機器WSであり、攻撃者とは、セキュリティインシデントを発生させている装置であり、典型的には両者ともIPアドレス(攻撃先識別子と発生元識別子)である。集計部31は、S106において、同一攻撃先で抽出された対象アラートの中から、同一の攻撃種別(インシデントの種別)を抽出する。攻撃種別とは、攻撃者が攻撃先に行っている攻撃のタイプであり、たとえば、以下に示すようなものを言う。
・Apache Struts Content-Type Remote Code Execution
・Apache Win32 Batch File Remote Command Execution
たとえば、侵害検知システム(IDS:Intrusion Detection System)のログは、図9に示すように、発生時刻、攻撃者IPアドレス、攻撃先IPアドレス、攻撃種別名などが含まれている。
集計部31は、この段階でアラートログから、同一攻撃先かつ同一攻撃種別で抽出されたアラート群を抽出しており、運用対象や分析対象に対して攻撃している種別ごとに抽出している。ここで、これを関連アラートと言う。そして、集計部31は、S108において、関連アラートの中から同じ攻撃とみなせるアラートのみを抽出する。通常はアラートの原因となった要求を送信した発生元IPアドレスの一致したアラートが同一攻撃者に関するアラートであり同じ攻撃とみなせる。ここで、これを抽出アラートと言う。また、集計部31は、ここで、特徴を顕在化させるための条件により抽出する。この特徴を顕在化させるための条件は、セキュリティデバイスSDによって条件が異なる。通常は必要ないが、セキュリティデバイスSDによっては[対象アラートと異なる攻撃識別子のアラート]のみの条件を設定する。
集計部31は、S110において、抽出アラートの攻撃種別ごとに攻撃識別子を付し、抽出アラートの攻撃識別子を一覧化する。そして、集計部31は、S112において、攻撃識別子毎に件数をカウントし、集計する。集計部31は、図4に示すように、インシデントの種別の組み合わせごとの発生数を集計する。本図内に示す第1時間帯は、攻撃種別Aが発生した時を起点にしてそれ以降の所定時間内に発生した攻撃種別の組合せを示す。第1時間帯では、攻撃種別の組合せ〔A,B,C〕において発生数は〔A:1,B:2,C:1〕である。すなわち、第1時間帯は、Aという攻撃種別が1件、Bという攻撃種別が2件、Cという攻撃種別が1件あった。同様に、第2時間帯では、攻撃種別の組合せ〔B,C,E〕において発生数は〔B:2,C:1,E:1〕である。第3時間帯では、攻撃種別の組合せ〔B,C,E〕において発生数は〔B:1,C:1,E:1〕である。
分析部32は、集計部31が集計した、所定時間内における発生元識別子ごとの攻撃種別の組合せの発生数に基づき、組み合わせを分類するクラスタ分析を行う。判定部33は、分析部32の分析結果に基づき、運用者が対応するための優先度を判定する。図5を参照して、分析部32と判定部33の動作を説明する。分析部32は、S200において集計部31が集計した発生元識別子ごとの攻撃種別(インシデントの種別)の組合せの発生数を取得し、S202において分析しやすいように正規化する。そして、分析部32は、S204において正規化結果を元にクラスタ分析のパラメータを設定し、S206において正規化結果のデータセットをクラスタ分析する。
分析部32が行うクラスタ分析の手法は、様々な手法が適用し得るが、k−means法やk−means++法が好適である。k−means法は、クラスタの中心を見つけるアルゴリズムであり、以下の式となる
Figure 2019175070
 なお、v(i,…,n)は各クラスタ、x(i,…,n)は各データである。
k−means法のアルゴリズムの手順は以下のとおりである。
(1) 入力データに対してランダムにクラスタをふる。
(2) 各クラスタの中心をデータから計算する。
(3) 各データと各クラスタの中心の距離から、最も近いクラスタに振り分ける。
(4) 上記の処理で全てのデータのクラスタが変化しない、あるいは事前に設定した一定の閾値を下回った場合に、処理を終了する。そうでない場合は上記の処理を繰り返す。
クラスタの分割数は、エルボー法で決定することが好ましい。エルボー法ではクラスタ数を変えながら、手順(2)のクラスタと各データとの距離の低下が緩やかになったらその境となるクラスタ数を最適なクラスタ数とする。k−means法では、データに割り当てる初期クラスタに結果が大きく依存することがあるので、繰り返し適用し、もっともよい結果を選択する。その点、k−means++法では、データに初期に割り当てるクラスタをデータから統計的に算出することで、すなわちデータにクラスタを割り当てる際にクラスタ中心が互いに遠くなるように割り当てを実施することで、k−means法に比べ分類精度が良くなる。そして、分析部32は、S208において、クラスタ結果から優先度判定を行うための基準、たとえば、各クラスタ内のデータ数の計算、クラスタの大きさ、密度、各クラスタ間の距離を計算する判定基準計算処理を行う。
判定部33は、S210において、分析部32のクラスタ分析の結果に基づき、所定時間内における発生元識別子(発生元IP)ごとの、発生数が小さい攻撃種別の組み合わせを優先すべきであると判定する。すなわち、攻撃種別の組み合わせが低い頻度で発生する場合、その組み合わせ内のいずれかの攻撃(インシデント)が運用者の分析が必要なものとして優先度が高くなる。
通知部34は、S212において、判定部33が判定した優先度に基づき、たとえば「緊急通報」として運用者にアラートを通知する。通知部34が行う通知は、運用者に対して視覚的なもの、聴覚的なもの、その他いかなる方法により行われてもよい。
上述したように、アラート通知装置100は、セキュリティインシデントを監視する機器が生成するログ情報に基づいてアラートを通知する装置であって、ログ情報が入力されるアラートログ入力部10と、アラートログ入力部10で入力されたログ情報に基づき、インシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計する集計部31と、集計部31が集計した発生数であって、所定時間内における発生元識別子ごとの組み合わせの発生数に基づき、組み合わせを分類するクラスタ分析を行う分析部32と、分析部32の分析結果に基づき、運用者が対応するための優先度を判定する判定部33と、判定部33が判定した優先度に基づき、アラートを通知する通知部34と、を備え、判定部33は、所定時間内における発生元識別子ごとの組み合わせの発生数が小さい組み合わせを優先すべきであると判定する。このように、所定時間内におけるインシデントの種別の組み合わせの発生数(頻度)において、発生数の小さい組み合わせに係るインシデントを運用者が対応すべきインシデントとして優先するように判定することで、運用者に精度よくアラートを通知するアラート通知装置100を提供できる。
また、上述したことは、アラート通知方法についても述べている。すなわち、このアラート通知方法は、セキュリティインシデントを監視する機器が生成するログ情報に基づいてアラートを通知するアラート通知方法であって、ログ情報に基づき、インシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計し、所定時間内における発生元識別子ごとの組み合わせの発生数に基づき、組み合わせを分類するクラスタ分析を行い、クラスタ分析の結果に基づき、所定時間内における発生元識別子ごとの組み合わせの発生数が小さい組み合わせを優先すべきであると判定し、判定した優先度に基づき、アラートを通知する。同様に、このように、所定時間内におけるインシデントの種別の組み合わせの発生数(頻度)において、発生数の小さい組み合わせに係るインシデントを運用者が対応すべきインシデントとして優先するように判定することで、運用者に精度よくアラートを通知するアラート通知方法を提供できる。
<第一実施例の変形例>
図6を参照し、本実施例の変形例に係るアラート通知装置100Aについて説明する。なお、重複記載を避けるため、上記実施例と同じ構成要素には同じ符号を付し、説明を省略する。アラート通知装置100Aは、アラートログを含むログ情報が入力されるアラートログ入力部10と、アラートログ入力部10に入力されたログ情報を整形するアラートログ整形部20と、整形されたログ情報の中からアラートとして通知するか否かを分析するアラート分析部30Aと、を備える。アラート分析部30Aは、所定時間内に発生した所定条件を有するアラートの発生数を集計する集計部31と、その発生数に基づいてクラスタ分析を行う分析部32Aと、その分析結果に基づいて分析官などの運用者が対応するための優先度を判定する判定部33と、その優先度に基づきアラートを通知する通知部34と、分析部32Aが行うクラスタ分析のクラスタ数を統計的手法により最適化する最適化部35と、を備える。
最適化部35は、たとえば分析官(運用者)が高い優先度で通知を受けたアラートを分析した結果重要なインシデントに係るものではないと判断されるケースが多い場合などに、分析官からの係る判断を受け付け、分析部32Aにフィードバックする。最適化部35は、かかる判断を受け付けた場合、たとえばクラスタ分析のクラスタ数を変更するなど、分析官のフィードバックに応じてクラスタ分析のパラメータ等を調整し最適化を実施する。これによれば、アラート通知装置100Aは、クラスタ数を最適化することで、精度のより良いアラート通知装置を提供できる。
また、図7を参照し、さらなる変形例を説明する。分析部32Aは、上述したようにS200〜S208で示した処理を行う。分析部32Aは、上述したS206のクラスタ分析の前に実施する特異点分析と特性分析の2段階分析の方法を含む。分析部32Aは、S2061において、正規化結果(すなわち上記抽出アラートの集合)に対してクラスタ分析を実施する。この場合、上記のクラスタ分析と違い、外れ値を取る。これにより多数の同様の傾向があるデータはクラスタが構成され、ユニークなデータは外れ値となる。なお、この場合、好適なクラスタ分析はDBSCANである。
次に、分析部32Aは、S2062において、特性分析を実施する。この特性分析では、特異点分析の結果から外れ値のみを対象として、更にクラスタ分析を実施することで外れ値のみで、クラスタを構成する。この後の処理は、上記クラスタ分析の手法と同じである。このように、クラスタ分析を特異点分析と特性分析の2段階で分析することで、正常なイベントがクラスタ分析のノイズとなることを回避でき、アラート通知の精度をさらに向上することができる。
なお、本発明は、例示した実施例に限定するものではなく、特許請求の範囲の各項に記載された内容から逸脱しない範囲の構成による実施が可能である。すなわち、本発明は、主に特定の実施形態に関して特に図示され、かつ説明されているが、本発明の技術的思想および目的の範囲から逸脱することなく、以上述べた実施形態に対し、数量、その他の詳細な構成において、当業者が様々な変形を加えることができるものである。
100 アラート通知装置
10 アラートログ入力部
20 アラートログ整形部
30 アラート分析部
31 集計部
32 分析部
33 判定部
34 通知部
35 最適化部
SD セキュリティデバイス(セキュリティインシデントを監視する機器)
FD 転送装置
ID 集約装置
SV サーバ
CL クライアント

Claims (4)

  1. セキュリティインシデントを監視する機器が生成するログ情報に基づいてアラートを通知するアラート通知装置において、
    前記ログ情報が入力されるアラートログ入力部と、
    前記アラートログ入力部で入力された前記ログ情報に基づき、インシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計する集計部と、
    前記集計部が集計した発生数であって、前記所定時間内における前記発生元識別子ごとの前記組み合わせの発生数に基づき、前記組み合わせを分類するクラスタ分析を行う分析部と、
    前記分析部の分析結果に基づき、運用者が対応するための優先度を判定する判定部と、
    前記判定部が判定した優先度に基づき、アラートを通知する通知部と、
    を備え、
    前記判定部は、前記所定時間内における前記発生元識別子ごとの前記組み合わせの発生数が小さい前記組み合わせを優先すべきであると判定する、
    アラート通知装置。
  2. 前記分析部が行うクラスタ分析のクラスタ数を統計的手法により最適化する最適化部をさらに備えることを特徴とする請求項1に記載のアラート通知装置。
  3. 前記分析部が行うクラスタ分析は、特異点分析と特性分析の2段階分析を含むことを特徴とする請求項1または2に記載のアラート通知装置。
  4. セキュリティインシデントを監視する機器が生成するログ情報に基づいてアラートを通知するアラート通知方法において、
    前記ログ情報に基づき、インシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計し、
    前記所定時間内における前記発生元識別子ごとの前記組み合わせの発生数に基づき、前記組み合わせを分類するクラスタ分析を行い、
    前記クラスタ分析の結果に基づき、前記所定時間内における前記発生元識別子ごとの前記組み合わせの発生数が小さい前記組み合わせを優先すべきであると判定し、
    判定した優先度に基づき、アラートを通知する、
    アラート通知方法。
JP2018061694A 2018-03-28 2018-03-28 アラート通知装置およびアラート通知方法 Active JP7081953B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018061694A JP7081953B2 (ja) 2018-03-28 2018-03-28 アラート通知装置およびアラート通知方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018061694A JP7081953B2 (ja) 2018-03-28 2018-03-28 アラート通知装置およびアラート通知方法

Publications (2)

Publication Number Publication Date
JP2019175070A true JP2019175070A (ja) 2019-10-10
JP7081953B2 JP7081953B2 (ja) 2022-06-07

Family

ID=68168930

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018061694A Active JP7081953B2 (ja) 2018-03-28 2018-03-28 アラート通知装置およびアラート通知方法

Country Status (1)

Country Link
JP (1) JP7081953B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112021001648T5 (de) 2020-03-17 2023-03-23 Panasonic Intellectual Property Management Co., Ltd. Prioritätsbestimmungssystem, Prioritätsbestimmungsverfahren und Programm

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120284793A1 (en) * 2011-05-06 2012-11-08 Lockheed Martin Corporation Intrusion detection using mdl clustering
JP2014120001A (ja) * 2012-12-17 2014-06-30 Kddi Corp 監視装置、監視対象ホストの監視方法、監視プログラム及び記録媒体
JP2016046654A (ja) * 2014-08-22 2016-04-04 富士通株式会社 セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム
JP2016146174A (ja) * 2015-02-06 2016-08-12 パナソニックIpマネジメント株式会社 決定方法およびプログラム
US20170017901A1 (en) * 2015-07-16 2017-01-19 Falkonry Inc. Machine Learning of Physical Conditions Based on Abstract Relations and Sparse Labels
US20170093902A1 (en) * 2015-09-30 2017-03-30 Symantec Corporation Detection of security incidents with low confidence security events

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120284793A1 (en) * 2011-05-06 2012-11-08 Lockheed Martin Corporation Intrusion detection using mdl clustering
JP2014120001A (ja) * 2012-12-17 2014-06-30 Kddi Corp 監視装置、監視対象ホストの監視方法、監視プログラム及び記録媒体
JP2016046654A (ja) * 2014-08-22 2016-04-04 富士通株式会社 セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム
JP2016146174A (ja) * 2015-02-06 2016-08-12 パナソニックIpマネジメント株式会社 決定方法およびプログラム
US20170017901A1 (en) * 2015-07-16 2017-01-19 Falkonry Inc. Machine Learning of Physical Conditions Based on Abstract Relations and Sparse Labels
US20170093902A1 (en) * 2015-09-30 2017-03-30 Symantec Corporation Detection of security incidents with low confidence security events

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
高倉 弘喜他: "インターネットにおける未知攻撃の状況とその検知手法", 第70回 人工知能基本問題研究会資料, JPN6022004276, 30 June 2008 (2008-06-30), pages 31 - 36, ISSN: 0004700729 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112021001648T5 (de) 2020-03-17 2023-03-23 Panasonic Intellectual Property Management Co., Ltd. Prioritätsbestimmungssystem, Prioritätsbestimmungsverfahren und Programm
US11748157B2 (en) 2020-03-17 2023-09-05 Panasonic Intellectual Property Management Co., Ltd. Priority determination system, priority determination method, and recording medium

Also Published As

Publication number Publication date
JP7081953B2 (ja) 2022-06-07

Similar Documents

Publication Publication Date Title
CN112769796B (zh) 一种基于端侧边缘计算的云网端协同防御方法及系统
JP6703613B2 (ja) データストリームにおける異常検出
CN107454109B (zh) 一种基于http流量分析的网络窃密行为检测方法
US10257216B2 (en) Method and system for obtaining and analyzing forensic data in a distributed computer infrastructure
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
JP2018533897A5 (ja)
KR101827197B1 (ko) 로그 분석 시스템
KR101538709B1 (ko) 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법
US10104108B2 (en) Log analysis system
JP6097889B2 (ja) 監視システム、監視装置、および検査装置
JP6442051B2 (ja) コンピュータネットワークへの攻撃を検出する方法
JP7311350B2 (ja) 監視装置、監視方法、および監視プログラム
US9961047B2 (en) Network security management
CN112839017A (zh) 一种网络攻击检测方法及其装置、设备和存储介质
JP2019175070A (ja) アラート通知装置およびアラート通知方法
JP2017211806A (ja) 通信の監視方法、セキュリティ管理システム及びプログラム
CN115632884B (zh) 基于事件分析的网络安全态势感知方法与系统
CN117424797B (zh) 一种实时大并发告警接收和处理方法
JP5927330B2 (ja) 情報分析システム、情報分析方法およびプログラム
JP2015198455A (ja) 処理システム、処理装置、処理方法およびプログラム
JP5797827B1 (ja) 情報分析システム、情報分析方法およびプログラム
CN117897702A (zh) 用于自动评估网络流量签名的质量的系统和方法
KR20230009307A (ko) IoT 장치 식별 방법 및 이를 구현한 네트워크 관리 장치
CN117857156A (zh) 基于工控行为分析的工控网络威胁分析方法
CN114422324A (zh) 一种告警信息的处理方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210315

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220404

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220526

R150 Certificate of patent or registration of utility model

Ref document number: 7081953

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150