JP5111073B2 - ポリシ生成システム、プログラム、および記録媒体 - Google Patents

ポリシ生成システム、プログラム、および記録媒体 Download PDF

Info

Publication number
JP5111073B2
JP5111073B2 JP2007305883A JP2007305883A JP5111073B2 JP 5111073 B2 JP5111073 B2 JP 5111073B2 JP 2007305883 A JP2007305883 A JP 2007305883A JP 2007305883 A JP2007305883 A JP 2007305883A JP 5111073 B2 JP5111073 B2 JP 5111073B2
Authority
JP
Japan
Prior art keywords
event
detection system
nids
information
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007305883A
Other languages
English (en)
Other versions
JP2009129332A (ja
Inventor
敬祐 竹森
隆将 磯原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2007305883A priority Critical patent/JP5111073B2/ja
Publication of JP2009129332A publication Critical patent/JP2009129332A/ja
Application granted granted Critical
Publication of JP5111073B2 publication Critical patent/JP5111073B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Description

本発明は、ネットワーク型侵入検知システムが検知したイベントに運用者が対応する際のポリシ(方針)を示すポリシ情報を生成するポリシ生成システムに関する。また、本発明は、ポリシ生成システムとしてコンピュータを機能させるためのプログラム、およびそのプログラムを記録したコンピュータ読み取り可能な記録媒体にも関する。
ネットワーク型侵入検知システム(Network-based Intrusion Detection System:NIDS)の代表的な侵入検知方式の1つに、ネットワーク回線上を流れるパケットのパターンが、予め定義しておいた攻撃パターンと一致する場合に、攻撃を検知したとみなすシグネチャマッチング方式がある。NIDSは、攻撃パターンを含むパケットを検知する(イベントを検知する)と、そのパケットが攻撃先のシステムに対して影響を及ぼすか否かに関わらず、イベント情報を出力する。
NIDSがイベントを検知した場合に、NIDSを設置しているシステム内のホストの状態を確認するか否かはNIDSの運用者の判断に委ねられている。しかし、ホストにおけるOSやアプリケーションの設定に応じて攻撃の有効性が異なるため、運用者はホストのOSやアプリケーションの状態を全て把握しておき、NIDSが検知したイベントの内容とOSやアプリケーションの状態とに応じて、ホストの確認作業を行うか否かを判断する必要がある。あるいは、NIDSがイベントを検知する毎に、運用者は逐一ホストの確認作業を行う必要がある。このため、確認作業の必要なイベントを選定するポリシファイルを作成することが重要である。
NIDS以外にも、ポリシファイルの設定を行う機器がある。例えば、特許文献1には、NIDSの不正アクセス検出機能を利用してファイアウォールのポリシファイルを自動更新する技術が記載されている。また、特許文献2には、ファイアウォールが検知したDoS(Denial of Service)攻撃の情報に基づいてルータのポリシファイルを自動更新する技術が記載されている。
特開2005−71218号公報 特開2005−197823号公報
しかし、NIDSのポリシファイルの作成は運用者の技量に依存しており、設定の不備が生じる恐れがある。
本発明は、上述した課題に鑑みてなされたものであって、運用者の技量に依存せずにポリシ情報を生成することができるポリシ生成システム、プログラム、および記録媒体を提供することを目的とする。
本発明は、上記の課題を解決するため、以下の事項に基づいてなされたものである。ホスト型侵入検知システムまたはウィルス検知システムと、ネットワーク型侵入検知システムとから出力されるイベント情報を関連付けることによって、攻撃によるイベントと、攻撃の影響を受けていないイベントとを識別することが可能となる。例えば、ホスト型侵入検知システムまたはウィルス検知システムと、ネットワーク型侵入検知システムとがほぼ同時刻にそれぞれ独立にイベントを検知した場合、そのイベントは、攻撃による影響が現れていることを示している。
また、ネットワーク型侵入検知システムのみがイベントを検知した場合や、ホスト型侵入検知システムまたはウィルス検知システムのみがイベントを検知した場合、そのイベントは、OSやアプリケーションによる正常な動作、または攻撃が失敗したことを示している。上記のことから、実際の攻撃によるイベント情報を収集し、そのイベント情報に基づいて、攻撃の影響が反映されたポリシ情報を生成することによって、ポリシ情報の生成において運用者の技量を排除することが可能となる。
上記の事項に鑑み、本発明は、ホスト型侵入検知システムまたはウィルス検知システムと、ネットワーク型侵入検知システムとから出力されるイベント情報を収集するイベント収集手段と、イベントの検知時刻に基づいて前記イベント情報を互いに関連付ける関連付け手段と、互いに関連付けた前記イベント情報に基づいて、攻撃によるイベントの出現頻度に関する統計値を算出する統計値算出手段と、前記ネットワーク型侵入検知システムが検知するイベントに関する指標値を前記統計値に基づいて算出する指標値算出手段と、前記ネットワーク型侵入検知システムが検知するイベントの識別情報と前記指標値を含むポリシ情報を生成する情報生成手段とを備えたことを特徴とするポリシ生成システムである。
また、本発明のポリシ生成システムにおいて、前記指標値算出手段は、前記指標値として、前記ネットワーク型侵入検知システムが検知するイベントの信頼度を算出することを特徴とする。
また、本発明のポリシ生成システムにおいて、前記指標値算出手段は、前記指標値として、前記ホスト型侵入検知システムまたは前記ウィルス検知システムが検知したイベントと、前記ネットワーク型侵入検知システムが検知したイベントとの相関度を算出することを特徴とする。
また、本発明のポリシ生成システムは、前記ホスト型侵入検知システムまたは前記ウィルス検知システムの初期状態の情報を記憶する初期状態記憶手段と、前記初期状態の情報に基づいて、前記ホスト型侵入検知システムまたは前記ウィルス検知システムを仮想環境上で起動する起動制御手段とをさらに備えたことを特徴とする。
また、本発明は、上記のポリシ生成システムとしてコンピュータを機能させるためのプログラムである。
また、本発明は、上記のプログラムを記録したコンピュータ読み取り可能な記録媒体である。
本発明によれば、運用者の技量に依存せずにポリシ情報を生成することができるという効果が得られる。
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態によるポリシ生成システムの構成を示している。まず、図1に示す各構成について説明する。このポリシ生成システムはインターネット100に接続している。イベント収集部1は、ネットワーク型侵入検知システム(NIDS)、ホスト型侵入検知システム(Host-based Intrusion Detection System:HIDS)、およびウィルス検知システム(Virus Intrusion Detection System:VDS)から出力されるイベント情報を収集し、イベント情報記憶部2に格納する。イベント情報記憶部2は、イベント収集部によって収集されたイベント情報を記憶する。HIDSとVDSは同一のホスト内で起動するが、NIDSは、HIDSおよびVDSが起動するホストとは別個の装置であってもよいし、HIDSおよびVDSが起動するホスト内にNIDSを設けてもよい。本実施形態では、このNIDS、HIDS、およびVDSが攻撃を監視する。
NIDS10はインターネット100上の通信を監視し、例えばネットワーク回線上を流れるパケットのパターンが、予め定義しておいた攻撃パターンと一致する場合に、攻撃を検知したとみなす。NIDS10は、攻撃パターンを含むパケットを検知すると、そのパケットが攻撃先のシステムに対して影響を及ぼすか否かに関わらず、イベント情報を出力する。
HIDSおよびVDSは、ホスト内の仮想環境上で動作する仮想マシン(Virtual Machine:VM)によって実現される。本実施形態では、VM11,12,13がホスト内に設けられ、各VMにHIDS11a,12a,13aとVDS11b,12b,13bとが設けられている。各VMのOSやアプリケーションの構成は異なっているものとする。各VMの動作は、VMM(Virtual Machine Monitor)14によって制御され、各VMはVMM14を介してホスト内のCPUおよびメモリの資源を共有する。図1では3台のVMが示されているが、VMの数はこれに限らない。
仮想環境ではなく実機を用いた場合、図2に示すように、例えば3台のホスト20a,20b,20cに対して個別に環境の構築を行わなければならない。また、攻撃を受けた場合、攻撃の監視を続行するためには、再度各ホストの環境を構築しなければならない。したがって、実機を用いた場合には、環境の構築に時間を要する。
一方、VMMを用いた仮想環境では、全てのホストはファイルとして扱われる。図3に示すように、例えば、1つのホストに対応したファイル30aをコピーしてファイル30bを作成することによって、容易に新たなホストを追加することが可能である。また、例えばホスト内に攻撃が侵入し、そのホストに対応したファイル30cが改ざんを受けた場合でも、ファイルの内容を書き換えて元の状態に戻すことによって、ホストを復旧することができる。このように、仮想環境上でホストを構築することによって、様々な構成のホストを容易に作成することができると共に、ホストが攻撃を受けた場合でも正常な状態に容易に復元することができる。
図1に示した構成の説明に戻る。本実施形態では、攻撃に関するイベント情報の収集に係る手間を削減するため、VM11,12,13を定期的に再起動する機能をホストに持たせている。再起動制御部15は、VMM14を介してVM11,12,13の再起動を制御する。この再起動の際には、再起動制御部15は、初期状態記憶部3に保存されている各VMの初期状態の情報を取得し、その情報に基づいて、各VMに対応するファイルを書き換えることによって、各VMを再起動する。
初期状態記憶部3は、各VMの初期状態の情報として、ディスクイメージと各種設定ファイルを記憶する。ディスクイメージは、ホストのハードディスク環境を模倣したファイルである。また、各種設定ファイルには、各ホストのメモリ使用量やネットワーク設定等に関する情報が含まれる。
イベント処理部4は、イベント情報を関連付ける処理と、互いに関連付けたイベント情報を用いた統計処理とを実行する。統計情報記憶部5は、統計処理によって生成された統計情報を記憶する。ポリシファイル生成部6は、NIDSが検知するイベントに関する指標値を算出し、その指標値を含むNIDSのポリシファイルの生成処理を実行する。ポリシファイル記憶部7は、NIDSのポリシファイルを記憶する。ポリシファイル記憶部7が記憶するNIDSのポリシファイルは、NIDSが設置されている他のシステム内のホストで適宜利用される。
次に、本実施形態で収集されるイベント情報について説明する。各HIDSは各VM上の全てのディレクトリとその中のファイルを定期的に監視し、ディレクトリおよびファイルの変更、追加、削除の有無を判定する。前回の監視時と比較して、ディレクトリまたはファイルに変更、追加、削除のいずれかがあった場合、各HIDSはイベント情報を出力する。図4(a)に示すように、HIDSのイベント情報40は、日時40a、ディレクトリ名40b、ファイル名40c、およびイベント内容40dの各情報を含んでいる。
NIDS10は、インターネット100を経由した、攻撃パターンと一致するパケットを検知し、イベント情報を出力する。図4(b)に示すように、NIDSのイベント情報41は、日時41a、攻撃名41b、Source IPおよびPort41c(送信元のIPアドレスおよびポート番号)、Destination IPおよびPort41d(送信先のIPアドレスおよびポート番号)の各情報を含んでいる。
各VDSは各VM上のファイルを定期的に監視し、変更または追加のあったファイルに対して、予め定義されているウィルスパターンとのパターンマッチングを行い、ウィルスの有無を判定する。ウィルスパターンと一致するパターンがファイルから検出された場合、各VDSはイベント情報を出力する。図4(c)に示すように、VDSのイベント情報42は、日時42a、ウィルス名42b、ディレクトリ名42c、およびファイル名42dの各情報を含んでいる。
次に、イベント処理部4がイベント情報を関連付ける処理の詳細を説明する。イベント処理部4は、NIDS、HIDS、VDSから出力されたイベント情報に含まれる日時の情報(イベントの検知時刻)に基づいて、HIDSおよびVDSが起動しているホスト(VM)のOSとアプリケーションの組合せ毎に各イベント情報を関連付ける。以下で説明する処理はOSとアプリケーションの組合せ毎に実行され、各組合せに対応したポリシファイルが生成される。
図5は、各イベント情報の時系列上の関係を示している。時刻t1,t2,t3,t4,t5は、VMの再起動を行う時刻を示している。また、各時刻間の時間区間をタイムスロットと定義する。タイムスロットTS1(t1〜t2)では、HIDSがホストへの影響を検知してイベント情報50aを出力したときに、NIDSとVDSもイベント情報50b,50cを出力しており、各イベントが関連していることが分かる。したがって、イベント情報50a,50b,50cは、攻撃によるイベントを示している。
タイムスロットTS2(t2〜t3)では、HIDSとVDSがイベントを検知していないため、ホスト(VM)には影響が出ていない。しかし、NIDSがイベント情報51a,51bを出力しており、侵入に至らなかった攻撃パケットによる冗長なイベントが検知されていることが分かる。タイムスロットTS3(t3〜t4)では、HIDSとVDSがイベント情報52a,52b,52cを出力しているにもかかわらず、NIDSがイベントを検知していないことから、NIDSにとって未知の攻撃パケットによるイベントが検知されていることが分かる。タイムスロットTS4(t4〜t5)では、HIDSのみがイベント情報53aを出力しており、HIDSの誤検知(OSやアプリケーションによる正常な動作の検知)と考えられる。
以下では、あるタイムスロットにおいて、「NIDS」と「HIDSもしくはVDS」の両者がイベントを検知した場合、そのイベントをNIDS Positiveイベントと呼び、「NIDS」のみがイベントを検知した場合、そのイベントをNIDS Negativeイベントと呼ぶことにする。要するに、NIDS Positiveイベントは、攻撃による影響が現れたことを意味し、NIDS Negativeイベントは、システムによる自動的な更新や攻撃の失敗を意味する。
イベント処理部4は、VMの再起動タイミング間の同一タイムスロットで検出されたイベント情報を関連付け、図6に示すテーブル60を生成する。テーブル60では、NIDSで検知されたイベントを基準として、HIDSおよびVDSで検知されたイベントが関連付けられている。各タイムスロットにおいて、1つのテーブル60が生成される。あるタイムスロットにおいて、NIDSがイベントを検知したにもかかわらず、HIDSおよびVDSの一方または両方がイベントを検知しなかった場合には、HIDSまたはVDSのイベントを記載する欄が空欄となる。
イベント処理部4は、HIDSの個々のイベントを検索キーとして、その検索キーと一致するHIDSのイベントが記録されているテーブルをテーブル60の中から検索し、抽出する。イベント処理部4は、抽出したテーブルの情報を集約し、HIDSのイベントを基準とするテーブル61を生成する。また、イベント処理部4は、HIDSの個々のイベントの組合せを検索キーとして、その検索キーと一致するHIDSのイベントの組合せが記録されているテーブルをテーブル60の中から検索し、抽出する。イベント処理部4は、抽出したテーブルの情報を集約し、HIDSのイベントの組合せを基準とするテーブル62を生成する。なお、上記の代わりに、VDSのイベントやその組合せを検索キーとして上記と同様のテーブルを生成してもよい。
また、イベント処理部4は各イベントの出現確率(統計値)を算出する。イベント処理部4が算出する各イベントの出現確率は、NIDSイベントのPositive出現確率、NIDSイベントのNegative出現確率、HIDSイベントの出現確率、およびVDSイベントの出現確率である。
NIDSイベントのPositive出現確率は、NIDSが検知した各イベントをNIDS PositiveイベントとNIDS Negativeイベントに分類した場合にNIDS Positiveイベントが占める割合である。すなわち、NIDSイベントのPositive出現確率は、NIDS Positiveイベントが出現したタイムスロット数と、NIDS PositiveイベントおよびNIDS Negativeイベントが出現したタイムスロット数との比で表される。同様に、NIDSイベントのNegative出現確率は、NIDS Negativeイベントが出現したタイムスロット数と、NIDS PositiveイベントおよびNIDS Negativeイベントが出現したタイムスロット数との比で表される。NIDSの1種類のイベントについてのNIDSイベントのPositive出現確率とNIDSイベントのNegative出現確率の和は1となる。NIDSの各種類のイベントについて、Positive出現確率とNegative出現確率が算出される。
HIDSイベントの出現確率は、NIDS Positiveイベントと関連付けられている、HIDSが検知した各イベントの出現確率である。すなわち、HIDSイベントの出現確率は、NIDS Positiveイベントが出現したタイムスロットで出現したHIDSの特定のイベント数と、NIDS Positiveイベントが出現したタイムスロットで出現したHIDSの全イベント数との比で表される。同様に、VDSイベントの出現確率は、NIDS Positiveイベントが出現したタイムスロットで出現したVDSの特定のイベント数と、NIDS Positiveイベントが出現したタイムスロットで出現したVDSの全イベント数との比で表される。テーブル61,62には、上記のようにして算出した各イベントの出現確率も含まれている。
イベント処理部4は、テーブル61,62に基づいて、図7に示す統計情報を生成し、統計情報記憶部5に格納する。この統計情報は、互いに関連付けられたNIDSイベント情報70、HIDSイベント情報71、およびVDSイベント情報72を含んでいる。NIDSイベント情報70は、NIDSが検知したイベントに関する統計情報であり、イベント名70aおよび出現確率70b(NIDSイベントのPositive出現確率およびNegative出現確率)を含んでいる。
HIDSイベント情報71は、HIDSが検知したイベントに関する統計情報であり、ディレクトリ名71a、ファイル名71b、イベント内容71c(変更・追加・削除のいずれか)、および出現確率71dを含んでいる。NIDSが検知した1種類のイベントに対して、HIDSが検知した1または複数種類のイベントの統計情報が関連付けられている。VDSイベント情報72は、VDSが検知したイベントに関する統計情報であり、イベント名72aおよび出現確率72bを含んでいる。NIDSが検知した1種類のイベントに対して、VDSが検知した1または複数種類のイベントの統計情報が関連付けられている。NIDSが検知した各イベントに対して、図7に示す統計情報が生成される。
次に、ポリシファイル生成部6が、NIDSのポリシファイルを生成する処理の詳細を説明する。図8は、ポリシファイル生成部6が生成するポリシファイルの内容を示している。図8に示すポリシファイル80は、NIDSが検知するイベントの信頼度に関するポリシファイルである。このイベントの信頼度とは、NIDSが検知するイベントが、システム内のホストに影響を与える攻撃によるイベントである可能性(言い換えると、NIDSが検知したイベントの発生原因となった攻撃によるホストへの影響の可能性)を示すものである。
ポリシファイル80は、イベント名80aとイベントの信頼度80bとを含んでいる。NIDSが検知したイベントiの信頼度は以下の(1)式で示される。(1)式において、NIDS_Positive_Rate(P)はイベントiのPositive出現確率である。(1)式が示す信頼度は、NIDSが検知したイベントiの発生原因となった攻撃によって、ホスト内の更新/追加/削除またはウィルス検知が実際に発生している可能性を示している。
NIDSイベント信頼度(C)=NIDS_Positive_Rate(P) ・・・(1)
NIDSから出力されるイベント情報からは、侵入の痕跡しか分からない。したがって、攻撃を監視するためにNIDSのみが実装されている環境では、NIDSがイベントを検知したときに、NIDSを設置しているシステム内のホストが攻撃の影響を受けているか否かが分からないため、ホストの状態を確認するか否かを運用者が判断できない場合がある。
しかし、上記のポリシファイル80に基づいて各種情報を表示することによって、運用者に対してイベントへの対応に関する指針を与えることができる。すなわち、NIDSがイベントを検知した場合に、運用者は信頼度に従って、NIDSを設置しているシステム内のホストの状態を確認するか否かを決定することができる。あるいは、運用者は信頼度に従って、NIDSの監視シグネチャにイベントを登録するか否かを決定することができる。これによって、監視シグネチャの情報量を必要なものだけに抑えることが可能となるため、冗長なイベント情報の出力を抑制したり、NIDSの処理を高速化したりすることができる。
また、ポリシファイル生成部6は、イベントに関する指標値として、以下で説明するNIDSイベント原因推定値とNIDSイベントウィルス推定値を算出する。攻撃を監視するためにNIDSだけが設置されている場合には、NIDSからイベント情報が出力された場合に、ホスト内のどのディレクトリやファイルを確認すれば攻撃の影響の有無を確認することができるのかということや、どのようなウィルスに感染している可能性があるのかということが分からない。そこで、本実施形態では、NIDSが検知したイベントの発生原因となった攻撃によってHIDSまたはVDSのイベントが発生した可能性を示す推定値をポリシファイル生成部6が算出する。
NIDSイベント原因推定値は、NIDSが検知したイベントの発生原因となった攻撃によって発生するHIDSのイベントの可能性を示しており、(2)式により算出される。言い換えると、NIDSイベント原因推定値は、NIDSが検知したイベントとHIDSが検知したイベントとの相関度を示している。(2)式において、NIDS_Positive_Rate(P)は、NIDSが検知したイベントiのPositive出現確率であり、HIDS_Rate(I)は、HIDSが検知したイベントjの出現確率であり、それぞれ統計情報として統計情報記憶部5に格納されている。
NIDSイベント原因推定値(EI)=NIDS_Positive_Rate(P)×HIDS_Rate(I) ・・・(2)
NIDSイベントウィルス推定値は、NIDSが検知したイベントの発生原因となった攻撃によって発生するVDSのイベントの可能性を示しており、(3)式により算出される。言い換えると、NIDSイベントウィルス推定値は、NIDSが検知したイベントとVDSが検知したイベントとの相関度を示している。(3)式において、NIDS_Positive_Rate(P)は、NIDSが検知したイベントiのPositive出現確率であり、VDS_Rate(V)は、VDSが検知したイベントjの出現確率であり、それぞれ統計情報として統計情報記憶部5に格納されている。
NIDSイベントウィルス推定値(EV)=NIDS_Positive_Rate(P)×VDS_Rate(V) ・・・(3)
ポリシファイル生成部6は、NIDSのイベント名と、上記のようにして算出したNIDSイベント原因推定値およびNIDSイベントウィルス推定値と、HIDSのイベント名(イベントに係るディレクトリやファイルの情報を含む)およびVDSのイベント名(イベントに係るウィルスの情報を含む)とを含むポリシファイルをポリシファイル記憶部7に格納する。このポリシファイルは以下のように利用される。NIDSがイベントを検知したときに、このイベントと関連付けられたHIDSまたはVDSのイベント名と上記の推定値が画面に表示される。これによって、NIDSの運用者は、ホスト内のどのディレクトリやファイルを確認すればよいのかを判断したり、どのようなウィルスに感染している可能性があるのかを推定したりすることができる。
上述したように、本実施形態によれば、運用者の技量に依存することなく、実際の攻撃の影響が反映されたポリシファイルを生成することができる。また、OSとアプリケーションの組合せ毎にイベント情報を分類し、各組合せについてポリシファイルを生成することによって、精度の高いポリシファイルを生成することができる。
また、本実施形態では、NIDSが検知したイベントが、システム内のホストに影響を与える攻撃によるイベントである可能性を示す信頼度が算出される。この信頼度を運用者に提示することによって、運用者に対してイベントへの対応に関する指針を与えることができる。
また、本実施形態では、NIDSが検知したイベントの発生原因となった攻撃によってHIDSまたはVDSのイベントが発生した可能性を示す推定値が算出される。この推定値を運用者に提示することによって、運用者は、ホスト内のどのディレクトリやファイルを確認すればよいのかを判断したり、どのようなウィルスに感染している可能性があるのかを推定したりすることができる。
また、本実施形態では、仮想環境上でHIDSおよびVDSが起動する。これによって、様々な構成のホストを容易に作成することができると共に、ホストが攻撃を受けた場合でも正常な状態に容易に復元することができる。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上記の実施形態では、HIDSとVDSの両方が設けられているが、HIDSとVDSの一方のみが設けられていてもよい。
また、上記の実施形態によるポリシ生成システムの動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
本発明の一実施形態によるポリシ生成システムの構成を示すブロック図である。 本発明の一実施形態において、実機と仮想環境によるホスト構築法の違いを説明するための説明図である。 本発明の一実施形態において、実機と仮想環境によるホスト構築法の違いを説明するための説明図である。 本発明の一実施形態におけるHIDS、NIDS、およびVDSが出力するイベント情報のフォーマットを示す参考図である。 本発明の一実施形態におけるイベント情報の時系列上の関係を示す参考図である。 本発明の一実施形態におけるイベント情報の処理方法を説明するための説明図である。 本発明の一実施形態における統計情報の内容を示す参考図である。 本発明の一実施形態におけるポリシファイルの内容を示す参考図である。
符号の説明
1・・・イベント収集部(イベント収集手段)、2・・・イベント情報記憶部、3・・・初期状態記憶部(初期状態記憶手段)、4・・・イベント処理部(関連付け手段、統計値算出手段)、5・・・統計情報記憶部、6・・・ポリシファイル生成部(指標値算出手段、情報生成手段)、7・・・ポリシファイル記憶部、10・・・NIDS、11,12,13・・・VM、14・・・VMM、15・・・再起動制御部(起動制御手段)

Claims (6)

  1. ホスト型侵入検知システムまたはウィルス検知システムと、ネットワーク型侵入検知システムとから出力されるイベント情報を収集するイベント収集手段と、
    イベントの検知時刻に基づいて前記イベント情報を、前記ホスト型侵入検知システムまたは前記ウィルス検知システムが起動するホストのOSとアプリケーションの組合せ毎に互いに関連付ける関連付け手段と、
    互いに関連付けた前記イベント情報に基づいて、攻撃によるイベントの出現頻度に関する統計値を前記OSと前記アプリケーションの組合せ毎に算出する統計値算出手段と、
    前記ネットワーク型侵入検知システムが検知するイベントに関する指標値を前記統計値に基づいて前記OSと前記アプリケーションの組合せ毎に算出する指標値算出手段と、
    前記ネットワーク型侵入検知システムが検知するイベントの識別情報と前記指標値を含むポリシ情報を前記OSと前記アプリケーションの組合せ毎に生成する情報生成手段と、
    を備えたことを特徴とするポリシ生成システム。
  2. 前記指標値算出手段は、前記指標値として、前記ネットワーク型侵入検知システムが検知するイベントの信頼度を算出することを特徴とする請求項1に記載のポリシ生成システム。
  3. 前記指標値算出手段は、前記指標値として、前記ホスト型侵入検知システムまたは前記ウィルス検知システムが検知したイベントと、前記ネットワーク型侵入検知システムが検知したイベントとの相関度を算出することを特徴とする請求項1に記載のポリシ生成システム。
  4. 前記ホスト型侵入検知システムまたは前記ウィルス検知システムの初期状態の情報を記憶する初期状態記憶手段と、
    前記初期状態の情報に基づいて、前記ホスト型侵入検知システムまたは前記ウィルス検知システムを仮想環境上で起動する起動制御手段と、
    をさらに備えたことを特徴とする請求項1〜請求項3のいずれかに記載のポリシ生成システム。
  5. 請求項1〜請求項4のいずれかに記載のポリシ生成システムとしてコンピュータを機能させるためのプログラム。
  6. 請求項5に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
JP2007305883A 2007-11-27 2007-11-27 ポリシ生成システム、プログラム、および記録媒体 Expired - Fee Related JP5111073B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007305883A JP5111073B2 (ja) 2007-11-27 2007-11-27 ポリシ生成システム、プログラム、および記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007305883A JP5111073B2 (ja) 2007-11-27 2007-11-27 ポリシ生成システム、プログラム、および記録媒体

Publications (2)

Publication Number Publication Date
JP2009129332A JP2009129332A (ja) 2009-06-11
JP5111073B2 true JP5111073B2 (ja) 2012-12-26

Family

ID=40820157

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007305883A Expired - Fee Related JP5111073B2 (ja) 2007-11-27 2007-11-27 ポリシ生成システム、プログラム、および記録媒体

Country Status (1)

Country Link
JP (1) JP5111073B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5389740B2 (ja) * 2010-06-08 2014-01-15 日本電信電話株式会社 更新方法、更新装置及び更新システム
JP5736346B2 (ja) * 2012-06-06 2015-06-17 株式会社エヌ・ティ・ティ・データ 仮想化装置、仮想化制御方法、仮想化装置制御プログラム
JP6053948B2 (ja) * 2013-10-24 2016-12-27 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
JP6010672B2 (ja) * 2015-09-17 2016-10-19 株式会社エヌ・ティ・ティ・データ セキュリティ設定システム、セキュリティ設定方法およびプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004046742A (ja) * 2002-07-15 2004-02-12 Ntt Data Corp 攻撃分析装置、センサ、攻撃分析方法及びプログラム
JP2004185455A (ja) * 2002-12-05 2004-07-02 Hitachi Ltd 情報セキュリティポリシーの監査支援方法および装置
JP3974879B2 (ja) * 2003-07-02 2007-09-12 株式会社ラック 不正アクセス情報保全装置、不正アクセス情報保全方法、およびプログラム
JP2005071218A (ja) * 2003-08-27 2005-03-17 Nec Fielding Ltd 不正アクセス防御システム、ポリシ管理装置、不正アクセス防御方法、及びプログラム
JP4156540B2 (ja) * 2004-02-23 2008-09-24 Kddi株式会社 ログ分析装置、ログ分析プログラムおよび記録媒体
JP4845467B2 (ja) * 2004-11-08 2011-12-28 株式会社エヌ・ティ・ティ・ドコモ デバイス管理装置、デバイス及びデバイス管理方法
JP4095076B2 (ja) * 2005-03-28 2008-06-04 エヌ・ティ・ティ・コミュニケーションズ株式会社 セキュリティ情報交換による評価指標算出に基いたセキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム
JP2007242002A (ja) * 2006-02-10 2007-09-20 Mitsubishi Electric Corp ネットワーク管理装置及びネットワーク管理方法及びプログラム

Also Published As

Publication number Publication date
JP2009129332A (ja) 2009-06-11

Similar Documents

Publication Publication Date Title
US20200366694A1 (en) Methods and systems for malware host correlation
EP3214568B1 (en) Method, apparatus and system for processing cloud application attack behaviours in cloud computing system
US7673341B2 (en) System and method of efficiently identifying and removing active malware from a computer
KR101394424B1 (ko) 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템
RU2617654C2 (ru) Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя
JP5920169B2 (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
US8776240B1 (en) Pre-scan by historical URL access
Bollapragada et al. Inside cisco ios software architecture
US20210182388A1 (en) Corrective action on malware intrusion detection using file introspection
US11880458B2 (en) Malware detection based on user interactions
JP5111073B2 (ja) ポリシ生成システム、プログラム、および記録媒体
JP2019097133A (ja) 通信監視システム及び通信監視方法
JP6489239B2 (ja) 通信装置、システム、方法、及びプログラム
JP2007323354A (ja) マシン管理システム
JP6738013B2 (ja) 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置
JP5116447B2 (ja) ポリシ生成システム、プログラム、および記録媒体
JP2004046742A (ja) 攻撃分析装置、センサ、攻撃分析方法及びプログラム
JP6067195B2 (ja) 情報処理装置及び情報処理方法及びプログラム
US7856573B2 (en) WPAR halted attack introspection stack execution detection
WO2020246011A1 (ja) ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体
JP4050253B2 (ja) コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム
JP6476853B2 (ja) ネットワーク監視システム及び方法
WO2020255185A1 (ja) 攻撃グラフ加工装置、方法およびプログラム
US20170085586A1 (en) Information processing device, communication history analysis method, and medium
JP2005085157A (ja) 不正アクセス検出装置、不正アクセス検出方法、および管理端末

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100716

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100720

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120530

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120619

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120817

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20120817

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120911

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121009

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151019

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees