JP5066544B2 - インシデント監視装置,方法,プログラム - Google Patents
インシデント監視装置,方法,プログラム Download PDFInfo
- Publication number
- JP5066544B2 JP5066544B2 JP2009085580A JP2009085580A JP5066544B2 JP 5066544 B2 JP5066544 B2 JP 5066544B2 JP 2009085580 A JP2009085580 A JP 2009085580A JP 2009085580 A JP2009085580 A JP 2009085580A JP 5066544 B2 JP5066544 B2 JP 5066544B2
- Authority
- JP
- Japan
- Prior art keywords
- incident
- information
- address
- name
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
(2)同一インシデント名,かつ同一送信先IPアドレスであるインシデントの検出件数,
(3)同一インシデント名の検出件数,
(4)同一インシデント名,かつ同一送信先IPアドレス,かつ同一送信元IPアドレスの組み合わせ数,
(5)同一インシデント名,かつ同一送信先IPアドレスの組み合わせ数,
(6)インシデント名の組み合わせ数。
インシデント監視装置1は,管理者端末6のコンソール画面に,画面表示による通知として,重要度に対応した色と,文字によるインシデント情報の表示を行う。例えば,重要度=異常であれば,インシデント名と「不正アクセスの可能性あり」の旨の表示を「赤色」で,重要度=警告であれば,インシデント名と「不正アクセスの予兆の可能性あり」の旨の表示を「黄色」で,重要度=正常であれば,「問題なし」の旨の表示を「緑色」で,重要度=要確認であれば,インシデント名と「許可されたものであれば問題なし(通常は明らかに問題のあるインシデント)を示す」の旨の表示を「朱色」で,それぞれ行う。
インシデント監視装置1は,インシデント分析が必要な場合(例えば,重要度が正常以外のインシデントがある場合)に,管理者端末6または他の音声出力装置を介して所定のサウンドを出力する。
インシデント監視装置1は,インシデント分析が必要な場合に,インシデント分析用シート20またはサマリー(例えば,検出インシデント一覧)を電子メールとして管理者端末6または所定の宛先へ送信する。
インシデント監視装置1は,インシデント分析が必要な場合に,例えば,オペレーティングシステムWindowsのアプリケーションプログラム・ログにインシデントのサマリーを出力する。例えば,インシデント監視装置1は,WindowsOSのSNMP通信管理機能によるSNMPトラップを送信し,管理者端末6へインシデント・ログを通知する。
インシデント監視装置1は,インシデント分析が必要な場合に,管理者端末6または所定の装置のアプリケーションプログラムを起動する。例えば,警告灯の起動等のアプリケーションを実行する。
(1)インシデント・ログの取得
イベント監視部11は,インシデント監視装置1が有するスケジューラ(図2に図示しない)により,検索時間範囲の時間間隔で,インシデント・ログ記憶部10を検索する。
イベント監視部11は,抽出したインシデント・ログのインシデント名ごとの重要度を判別するため,以下の処理の順で,インシデントを評価して,最初に一致した条件の重要度を決定する。
イベント監視部11は,重要度と検索範囲の時間とを,管理者端末6の画面に表示する。また,決定した重要度に基づいて画面に表示するインシデント名の表示色を変えたり,所定のメッセージを表示したりする。
イベント監視部11は,重要度が”警告”,”異常”または”要確認”であるインシデントがある場合に,ワークテーブル203のデータをもとに,インシデント分析用シート20を作成するためのデータ(作成用データ)を編集出力し,分析用情報記憶部106に格納する。イベント監視部11が作成する作成用データは,第1の作成用情報に相当する。
イベント監視部11は,重要度が”警告”,”異常”または”要確認”である場合に,さらに,所定の通知態様に応じて,検出インシデントを通知する。
(1)インシデント・ログの取得
イベント検出状況監視部12は,インシデント監視装置1が有するスケジューラにより,検索時間範囲の時間間隔で,現在から検索時間範囲の時間を過去に遡った時間範囲のインシデント・ログ情報を,インシデント・ログ記憶部10から検索,抽出する。
イベント検出状況監視部12は,各インシデント名について,インシデントの発生件数および所定の組み合わせの条件に該当する検出件数(該当件数)とそれぞれに対する所定の閾値とを比較する。
・同一インシデント名かつ同一送信先IPアドレスの件数で閾値を超えている場合,
・同一インシデント名の件数で閾値を超えている場合,
・同一インシデント名かつ同一送信先IPアドレスかつ同一送信元IPアドレスの組み合わせ数が閾値を超えている場合,
・同一インシデント名かつ同一送信先IPアドレスの組み合わせ数が閾値を超えている場合,
・インシデント名の組み合わせ数が閾値を超えている場合。
イベント検出状況監視部12は,インシデントの検出状況(検出件数または該当件数)が閾値を超えている場合に,所定の通知態様に応じて,インシデント検出状況を通知する。
(1)インシデント分析用シート20の作成用データの取得
分析用情報生成部13は,分析用情報記憶部106から,インシデント分析用シート20の作成用データ206,210を取得する。
分析用情報生成部13は,インシデント分析用シート20の作成用データ206,210が含む送信元IPアドレスおよび送信先IPアドレスから,グローバルIPアドレスを抽出して,図13に示すようなグローバルIPアドレスリスト211を作成して,IPアドレス一覧記憶部108に格納する。
分析用情報生成部13は,分析用情報記憶部106の作成用データ206,210を編集して,各インシデントのインシデント分析用シート用データを生成する。インシデント分析用シート用データは,図17および図18に示すインシデント分析用シート20の中間データである。
分析用情報生成部13は,インシデント分析用シート20のファイル出力を行う。また,分析用情報生成部13は,インシデント分析用シート20の印刷が要求されている場合には,インシデント分析用シート20のプリンタ出力を行う。
割り当て先情報検索部14は,分析用情報生成部13によって格納されたグローバルIPアドレスリスト211を,IPアドレス一覧記憶部108から取り出して,グローバルIPアドレスリスト211から,ローカルIPアドレス,正当ではないIPアドレス,重複するIPアドレスを削除する。
10 インシデント・ログ記憶部
11 イベント監視部
12 イベント検出状況監視部
13 分析用情報生成部
14 割り当て先情報検索部
101 トリガ関連付け情報記憶部
102 内部IPアドレス一覧記憶部
103 ローカルIPアドレス情報記憶部
105 問い合わせ先記憶部
106 分析用情報記憶部
108 IPアドレス一覧記憶部
109 グローバルIPアドレス情報記憶部
20 インシデント分析用シート
2 監視対象
3 センサ
4 インターネット
5 インターネットレジストリの管理サーバ
6 管理者端末
Claims (6)
- ネットワークに接続するコンピュータシステムで生じるインシデントを監視する装置であって,
コンピュータシステムを監視するセンサが検出したインシデントに関する情報であって,インシデント名と,検出日時と,送信元IPアドレスと,送信先IPアドレスと,センサが付加したインシデントの脅威の程度を示すプライオリティとを含むインシデント・ログ情報を記憶するインシデント・ログ記憶部と,
監視対象のコンピュータシステムの内部で使用される内部IPアドレスと前記内部IPアドレスの割り当て先とを登録した内部IPアドレス情報を記憶する内部IPアドレス情報記憶部と,
インシデント分析用情報を作成するための作成用情報を記憶する分析用情報記憶部と,
前記インシデント・ログ記憶部から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理と,前記抽出したインシデント・ログ情報をもとに,インシデント名ごとに,時間範囲内でのインシデントの検出件数とプライオリティとをもとに重要度を判定する処理と,前記インシデント名ごとにインシデントの情報を編集して,インシデント名に対する重要度と編集した情報とを,第1の作成用情報として前記分析用情報記憶部に格納する処理とを行うイベント監視部と,
前記インシデント・ログ記憶部から,前記インシデント・ログ情報を抽出する処理と,
前記抽出したインシデント・ログ情報をもとに,インシデント名ごとのインシデントの検出件数と所定の組み合わせ条件における検出件数である該当件数とを計算して,前記検出件数と前記該当件数とを所定の閾値と比較する処理と,前記検出件数または前記該当件数が前記閾値以上であるインシデント名について,前記インシデント名ごとにインシデントの情報を編集し,編集した情報を第2の作成用情報として前記分析用情報記憶部に格納する処理とを行うイベント検出状況監視部と,
前記第1の作成用情報と前記第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,グローバルIPアドレスの割り当て先を特定する情報を,前記グローバルIPアドレスの割り振りを管轄するインターネットレジストリの管理サーバから取得する割り当て先情報検索部と,
前記第1の作成用情報と前記第2の作成用情報と前記割り当て先情報検索部が取得したグローバルIPアドレス割り当て先の情報とを用いて,検出したインシデントに関するインシデント分析用情報を生成して出力する分析用情報生成部とを備える
ことを特徴とするインシデント監視装置。 - 前記イベント監視部は,前記インシデント名の重要度に応じて,前記インシデント名によるインシデントが発生したインシデント名を,所定の態様で通知する
ことを特徴とする請求項1に記載のインシデント監視装置。 - 前記イベント監視部は,前記インシデント・ログ情報に含まれる送信先または送信元のIPアドレスが前記監視対象の内部に存在するIPアドレスであるかを特定して,インシデントとされたデータ通信のアクセス方向を特定して,前記特定したアクセス方向を含む前記第1の作成用情報を生成する
ことを特徴とする請求項1または請求項2に記載のインシデント監視装置。 - 前記イベント検出状況監視部は,前記検出件数または前記該当件数が所定の通知閾値以上である前記インシデント名について,インシデントの閾値を超えた状況の発生を所定の態様で通知する
ことを特徴とする請求項1または請求項3のいずれか一項に記載のインシデント監視装置。 - ネットワークに接続するコンピュータシステムで生じるインシデントを監視するインシデント監視システムが実行する処理方法であって,
監視対象のコンピュータシステムでのインシデントの発生を監視するセンサと,
コンピュータシステムを監視するセンサが検出したインシデントに関する情報であって,インシデント名と,検出日時と,送信元IPアドレスと,送信先IPアドレスと,センサが付加したインシデントの脅威の程度を示すプライオリティとを含むインシデント・ログ情報を記憶するインシデント・ログ記憶部と,
監視対象のコンピュータシステムの内部で使用される内部IPアドレスと前記内部IPアドレスの割り当て先とを登録した内部IPアドレス情報を記憶する内部IPアドレス情報記憶部と,
インシデント分析用情報を作成するための作成用情報を記憶する分析用情報記憶部とを備える前記インシデント監視システムが,
前記インシデント・ログ記憶部から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理過程と,
前記抽出したインシデント・ログ情報をもとに,インシデント名ごとに,時間範囲内でのインシデントの検出件数とプライオリティとをもとに重要度を判定する処理過程と,
前記インシデント名ごとにインシデントの情報を編集して,インシデント名に対する重要度と編集した情報とを,第1の作成用情報として前記分析用情報記憶部に格納する処理過程と,
前記抽出したインシデント・ログ情報をもとに,インシデント名ごとのインシデントの検出件数と所定の組み合わせ条件における検出件数である該当件数とを計算して,前記検出件数と前記該当件数とを所定の閾値と比較する処理過程と,
前記検出件数または前記該当件数が前記閾値以上であるインシデント名について,前記インシデント名ごとにインシデントの情報を編集し,編集した情報を第2の作成用情報として前記分析用情報記憶部に格納する処理過程と,
前記第1の作成用情報と前記第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,グローバルIPアドレスの割り当て先を特定する情報を,前記グローバルIPアドレスの割り振りを管轄するインターネットレジストリの管理サーバから取得する処理過程と,
前記第1の作成用情報と前記第2の作成用情報と前記割り当て先情報検索部が取得したグローバルIPアドレス割り当て先の情報とを用いて,検出したインシデントに関するインシデント分析用情報を生成して出力する処理過程とを備える
ことを特徴とするインシデント監視方法。 - コンピュータを,ネットワークに接続するコンピュータシステムで生じるインシデントを監視するインシデント監視装置として機能させるプログラムであって,
前記コンピュータを,
コンピュータシステムを監視するセンサが検出したインシデントに関する情報であって,インシデント名と,検出日時と,送信元IPアドレスと,送信先IPアドレスと,センサが付加したインシデントの脅威の程度を示すプライオリティとを含むインシデント・ログ情報を記憶するインシデント・ログ記憶部と,
監視対象のコンピュータシステムの内部で使用される内部IPアドレスと前記内部IPアドレスの割り当て先とを登録した内部IPアドレス情報を記憶する内部IPアドレス情報記憶部と,
インシデント分析用情報を作成するための作成用情報を記憶する分析用情報記憶部と,
前記インシデント・ログ記憶部から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理と,前記抽出したインシデント・ログ情報をもとに,インシデント名ごとに,時間範囲内でのインシデントの検出件数とプライオリティとをもとに重要度を判定する処理と,前記インシデント名ごとにインシデントの情報を編集して,インシデント名に対する重要度と編集した情報とを,第1の作成用情報として前記分析用情報記憶部に格納する処理とを行うイベント監視部と,
前記インシデント・ログ記憶部から,前記インシデント・ログ情報を抽出する処理と,
前記抽出したインシデント・ログ情報をもとに,インシデント名ごとのインシデントの検出件数と所定の組み合わせ条件における検出件数である該当件数とを計算して,前記検出件数と前記該当件数とを所定の閾値と比較する処理と,前記検出件数または前記該当件数が前記閾値以上であるインシデント名について,前記インシデント名ごとにインシデントの情報を編集し,編集した情報を第2の作成用情報として前記分析用情報記憶部に格納する処理とを行うイベント検出状況監視部と,
前記第1の作成用情報と前記第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,グローバルIPアドレスの割り当て先を特定する情報を,前記グローバルIPアドレスの割り振りを管轄するインターネットレジストリの管理サーバから取得する割り当て先情報検索部と,
前記第1の作成用情報と前記第2の作成用情報と前記割り当て先情報検索部が取得したグローバルIPアドレス割り当て先の情報とを用いて,検出したインシデントに関するインシデント分析用情報を生成して出力する分析用情報生成部として機能させる
ことを特徴とするインシデント監視プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009085580A JP5066544B2 (ja) | 2009-03-31 | 2009-03-31 | インシデント監視装置,方法,プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009085580A JP5066544B2 (ja) | 2009-03-31 | 2009-03-31 | インシデント監視装置,方法,プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010237975A JP2010237975A (ja) | 2010-10-21 |
JP5066544B2 true JP5066544B2 (ja) | 2012-11-07 |
Family
ID=43092228
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009085580A Expired - Fee Related JP5066544B2 (ja) | 2009-03-31 | 2009-03-31 | インシデント監視装置,方法,プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5066544B2 (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106062765B (zh) | 2014-02-26 | 2017-09-22 | 三菱电机株式会社 | 攻击检测装置和攻击检测方法 |
PL2975801T3 (pl) * | 2014-07-18 | 2017-07-31 | Deutsche Telekom Ag | Sposób rozpoznawania ataku w sieci komputerowej |
JP2015198455A (ja) * | 2015-03-31 | 2015-11-09 | 株式会社ラック | 処理システム、処理装置、処理方法およびプログラム |
JP5927330B2 (ja) * | 2015-08-19 | 2016-06-01 | 株式会社ラック | 情報分析システム、情報分析方法およびプログラム |
JP6105792B1 (ja) * | 2016-07-04 | 2017-03-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP2018174444A (ja) * | 2017-03-31 | 2018-11-08 | 沖電気工業株式会社 | インシデント通知装置およびインシデント通知プログラム |
JP6563578B1 (ja) * | 2018-09-26 | 2019-08-21 | 株式会社ラック | 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム |
EP4135261B1 (en) * | 2018-10-17 | 2024-04-17 | Panasonic Intellectual Property Corporation of America | Information processing device, information processing method, and program |
JP7149888B2 (ja) * | 2018-10-17 | 2022-10-07 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 情報処理装置、情報処理方法及びプログラム |
WO2020084675A1 (ja) * | 2018-10-22 | 2020-04-30 | 日本電気株式会社 | セキュリティ分析支援装置、セキュリティ分析支援方法、及びコンピュータ読み取り可能な記録媒体 |
JP6899972B2 (ja) * | 2018-11-16 | 2021-07-07 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
CN112583850B (zh) * | 2020-12-27 | 2023-02-24 | 杭州迪普科技股份有限公司 | 网络攻击防护方法、装置及系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0677666A (ja) * | 1991-09-10 | 1994-03-18 | Hitachi Chem Co Ltd | ポリイミド系材料を使用した多層配線板の製造方法 |
JP2005109847A (ja) * | 2003-09-30 | 2005-04-21 | Secom Joshinetsu Co Ltd | セキュリティ管理装置 |
JP4437410B2 (ja) * | 2004-02-16 | 2010-03-24 | 三菱電機株式会社 | セキュリティ管理装置及びプログラム |
JP4328679B2 (ja) * | 2004-06-30 | 2009-09-09 | インターナショナル・ビジネス・マシーンズ・コーポレーション | コンピュータネットワークの運用監視方法及び装置並びにプログラム |
-
2009
- 2009-03-31 JP JP2009085580A patent/JP5066544B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2010237975A (ja) | 2010-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5066544B2 (ja) | インシデント監視装置,方法,プログラム | |
US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
US8726382B2 (en) | Methods and systems for automated detection and tracking of network attacks | |
US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
US9027121B2 (en) | Method and system for creating a record for one or more computer security incidents | |
US9780995B2 (en) | Advanced intelligence engine | |
US7752665B1 (en) | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
AU2011332881B2 (en) | Advanced intelligence engine | |
US20030084318A1 (en) | System and method of graphically correlating data for an intrusion protection system | |
US20050060562A1 (en) | Method and system for displaying network security incidents | |
US20030084328A1 (en) | Method and computer-readable medium for integrating a decode engine with an intrusion detection system | |
US20030083847A1 (en) | User interface for presenting data for an intrusion protection system | |
JP5144488B2 (ja) | 情報処理システムおよびプログラム | |
CN110300100A (zh) | 日志审计的关联分析方法与系统 | |
CN112905548B (zh) | 一种安全审计系统及方法 | |
JP2004318552A (ja) | Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム | |
JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
US20030084340A1 (en) | System and method of graphically displaying data for an intrusion protection system | |
CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
JP2008193538A (ja) | ネットワークへの攻撃監視装置および攻撃証跡管理装置 | |
Giacinto et al. | Alarm clustering for intrusion detection systems in computer networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100720 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120718 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120807 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120813 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5066544 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150817 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |