JP5116447B2 - ポリシ生成システム、プログラム、および記録媒体 - Google Patents

ポリシ生成システム、プログラム、および記録媒体 Download PDF

Info

Publication number
JP5116447B2
JP5116447B2 JP2007297684A JP2007297684A JP5116447B2 JP 5116447 B2 JP5116447 B2 JP 5116447B2 JP 2007297684 A JP2007297684 A JP 2007297684A JP 2007297684 A JP2007297684 A JP 2007297684A JP 5116447 B2 JP5116447 B2 JP 5116447B2
Authority
JP
Japan
Prior art keywords
event
detection system
information
host
hids
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007297684A
Other languages
English (en)
Other versions
JP2009123052A (ja
Inventor
隆将 磯原
敬祐 竹森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2007297684A priority Critical patent/JP5116447B2/ja
Publication of JP2009123052A publication Critical patent/JP2009123052A/ja
Application granted granted Critical
Publication of JP5116447B2 publication Critical patent/JP5116447B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ホスト型侵入検知システムが監視を行う際のポリシ(方針)を示すポリシ情報を生成するポリシ生成システムに関する。また、本発明は、ポリシ生成システムとしてコンピュータを機能させるためのプログラム、およびそのプログラムを記録したコンピュータ読み取り可能な記録媒体にも関する。
ホスト型侵入検知システム(Host-based Intrusion Detection System:HIDS)の代表的な侵入検知方式の1つに、監視対象のホストが管理するファイルの正常な状態を予めデータベースに記録しておき、ホスト内のシステムの状態を定期的に監視して正常時の状態と比較することで、ファイルの改ざんを検知する方式がある。これは、多くの侵入において、ファイルが改ざんされることに注目した方式である。
HIDSが攻撃によるホストへの侵入を正確に検知するためには、監視対象のファイルを定義するポリシファイル(ポリシ情報)の適切な設定が重要となる。HIDSのポリシファイルには、例えばどのディレクトリの、どのファイルを、どのくらいの間隔で監視するのかという情報が含まれる。HIDS以外にも、ポリシファイルの設定を行う機器がある。例えば、特許文献1には、ネットワーク型侵入検知システム(Network-based Intrusion Detection System:NIDS)の不正アクセス検出機能を利用してファイアウォールのポリシファイルを自動更新する技術が記載されている。また、特許文献2には、ファイアウォールが検知したDoS(Denial of Service)攻撃の情報に基づいてルータのポリシファイルを自動更新する技術が記載されている。
特開2005−71218号公報 特開2005−197823号公報
しかし、攻撃対象になるファイルがOSやアプリケーション毎に異なることや、攻撃を受けていないOSやアプリケーションによる正常なファイル変更も多岐に渡ることなどから、HIDSのポリシファイルを適切に設定することは難しい。このためHIDSのポリシファイルの作成は運用者の技量に依存しており、設定の不備が生じる恐れがある。
本発明は、上述した課題に鑑みてなされたものであって、運用者の技量に依存せずにポリシ情報を生成することができるポリシ生成システム、プログラム、および記録媒体を提供することを目的とする。
本発明は、上記の課題を解決するため、以下の事項に基づいてなされたものである。ネットワーク型侵入検知システムまたはウィルス検知システムと、ホスト型侵入検知システムとから出力されるイベント情報を関連付けることによって、攻撃によるイベントと、攻撃の影響を受けていないイベントとを識別することが可能となる。例えば、ネットワーク型侵入検知システムまたはウィルス検知システムと、ホスト型侵入検知システムとがほぼ同時刻にそれぞれ独立にイベントを検知した場合、そのイベントは、攻撃による影響が現れていることを示している。
また、ホスト型侵入検知システムのみがイベントを検知した場合や、ネットワーク型侵入検知システムまたはウィルス検知システムのみがイベントを検知した場合、そのイベントは、OSやアプリケーションによる正常な動作、または攻撃が失敗したことを示している。上記のことから、実際の攻撃によるイベント情報を収集し、そのイベント情報に基づいて、攻撃の影響が反映されたポリシ情報を生成することによって、ポリシ情報の生成において運用者の技量を排除することが可能となる。
上記の事項に鑑み、本発明は、ネットワーク型侵入検知システムまたはウィルス検知システムと、ホスト型侵入検知システムとから出力されるイベント情報を収集するイベント収集手段と、イベントの検知時刻に基づいて前記イベント情報を互いに関連付ける関連付け手段と、互いに関連付けた前記イベント情報に基づいて、攻撃によるイベントの出現頻度に関する統計値を算出する統計値算出手段と、前記ホスト型侵入検知システムが行う監視に関する指標値を前記統計値に基づいて算出する指標値算出手段と、前記ホスト型侵入検知システムが監視する対象を特定する情報と前記指標値を含むポリシ情報を生成する情報生成手段とを備えたことを特徴とするポリシ生成システムである。
また、本発明のポリシ生成システムにおいて、前記指標値算出手段は、前記指標値として、前記ホスト型侵入検知システムが監視を行う監視間隔を算出することを特徴とする。
また、本発明のポリシ生成システムにおいて、前記指標値算出手段は、前記指標値として、前記ホスト型侵入検知システムが検知するイベントが攻撃によるものである可能性を示す信頼度を算出することを特徴とする。
また、本発明のポリシ生成システムにおいて、前記指標値算出手段はさらに、前記ホスト型侵入検知システムから出力されるイベント重要度と前記信頼度に基づいて、前記ホスト型侵入検知システムが検知したイベントに対する対応優先度を算出し、前記情報生成手段はさらに、イベントの識別情報と前記対応優先度を含む情報を生成することを特徴とする。
また、本発明のポリシ生成システムにおいて、前記指標値算出手段はさらに、前記統計値に基づいて、前記ホスト型侵入検知システムまたは前記ウィルス検知システムが検知したイベントと、前記ネットワーク型侵入検知システムが検知したイベントとの相関度を算出し、前記情報生成手段はさらに、イベントの識別情報と前記相関度を含む情報を生成することを特徴とする。
また、本発明のポリシ生成システムは、前記ホスト型侵入検知システムまたは前記ウィルス検知システムの初期状態の情報を記憶する初期状態記憶手段と、前記初期状態の情報に基づいて、前記ホスト型侵入検知システムまたは前記ウィルス検知システムを仮想環境上で起動する起動制御手段とをさらに備えたことを特徴とする。
また、本発明は、上記のポリシ生成システムとしてコンピュータを機能させるためのプログラムである。
また、本発明は、上記のプログラムを記録したコンピュータ読み取り可能な記録媒体である。
本発明によれば、運用者の技量に依存せずにポリシ情報を生成することができるという効果が得られる。
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態によるポリシ生成システムの構成を示している。まず、図1に示す各構成について説明する。このポリシ生成システムはインターネット100に接続している。イベント収集部1は、ネットワーク型侵入検知システム(NIDS)、ホスト型侵入検知システム(HIDS)、およびウィルス検知システム(Virus Intrusion Detection System:VDS)から出力されるイベント情報を収集し、イベント情報記憶部2に格納する。イベント情報記憶部2は、イベント収集部によって収集されたイベント情報を記憶する。HIDSとVDSは同一のホスト内で起動するが、NIDSは、HIDSおよびVDSが起動するホストとは別個の装置であってもよいし、HIDSおよびVDSが起動するホスト内にNIDSを設けてもよい。本実施形態では、このNIDS、HIDS、およびVDSが攻撃を監視する。
NIDS10はインターネット100上の通信を監視し、例えばネットワーク回線上を流れるパケットのパターンが、予め定義しておいた攻撃パターンと一致する場合に、攻撃を検知したとみなす。NIDS10は、攻撃パターンを含むパケットを検知すると、そのパケットが攻撃先のシステムに対して影響を及ぼすか否かに関わらず、イベント情報を出力する。
HIDSおよびVDSは、ホスト内の仮想環境上で動作する仮想マシン(Virtual Machine:VM)によって実現される。本実施形態では、VM11,12,13がホスト内に設けられ、各VMにHIDS11a,12a,13aとVDS11b,12b,13bとが設けられている。各VMのOSやアプリケーションの構成は異なっているものとする。各VMの動作は、VMM(Virtual Machine Monitor)14によって制御され、各VMはVMM14を介してホスト内のCPUおよびメモリの資源を共有する。図1では3台のVMが示されているが、VMの数はこれに限らない。
仮想環境ではなく実機を用いた場合、図2に示すように、例えば3台のホスト20a,20b,20cに対して個別に環境の構築を行わなければならない。また、攻撃を受けた場合、攻撃の監視を続行するためには、再度各ホストの環境を構築しなければならない。したがって、実機を用いた場合には、環境の構築に時間を要する。
一方、VMMを用いた仮想環境では、全てのホストはファイルとして扱われる。図3に示すように、例えば、1つのホストに対応したファイル30aをコピーしてファイル30bを作成することによって、容易に新たなホストを追加することが可能である。また、例えばホスト内に攻撃が侵入し、そのホストに対応したファイル30cが改ざんを受けた場合でも、ファイルの内容を書き換えて元の状態に戻すことによって、ホストを復旧することができる。このように、仮想環境上でホストを構築することによって、様々な構成のホストを容易に作成することができると共に、ホストが攻撃を受けた場合でも正常な状態に容易に復元することができる。
図1に示した構成の説明に戻る。本実施形態では、攻撃に関するイベント情報の収集に係る手間を削減するため、VM11,12,13を定期的に再起動する機能をホストに持たせている。再起動制御部15は、VMM14を介してVM11,12,13の再起動を制御する。この再起動の際には、再起動制御部15は、初期状態記憶部3に保存されている各VMの初期状態の情報を取得し、その情報に基づいて、各VMに対応するファイルを書き換えることによって、各VMを再起動する。
初期状態記憶部3は、各VMの初期状態の情報として、ディスクイメージと各種設定ファイルを記憶する。ディスクイメージは、ホストのハードディスク環境を模倣したファイルである。また、各種設定ファイルには、各ホストのメモリ使用量やネットワーク設定等に関する情報が含まれる。
イベント処理部4は、イベント情報を関連付ける処理と、互いに関連付けたイベント情報を用いた統計処理とを実行する。統計情報記憶部5は、統計処理によって生成された統計情報を記憶する。ポリシファイル生成部6は、HIDSが行う監視に関する指標値を算出し、その指標値を含むHIDSのポリシファイルおよびそれに付随する情報の生成処理を実行する。ポリシファイル記憶部7は、HIDSのポリシファイルおよびそれに付随する情報を記憶する。ポリシファイル記憶部7が記憶するHIDSのポリシファイル等は、HIDSを実装する他のホストで適宜利用される。
次に、本実施形態で収集されるイベント情報について説明する。各HIDSは各VM上の全てのディレクトリとその中のファイルを定期的に監視し、ディレクトリおよびファイルの変更、追加、削除の有無を判定する。前回の監視時と比較して、ディレクトリまたはファイルに変更、追加、削除のいずれかがあった場合、各HIDSはイベント情報を出力する。図4(a)に示すように、HIDSのイベント情報40は、日時40a、ディレクトリ名40b、ファイル名40c、およびイベント内容40dの各情報を含んでいる。
NIDS10は、インターネット100を経由した、攻撃パターンと一致するパケットを検知し、イベント情報を出力する。図4(b)に示すように、NIDSのイベント情報41は、日時41a、攻撃名41b、Source IPおよびPort41c(送信元のIPアドレスおよびポート番号)、Destination IPおよびPort41d(送信先のIPアドレスおよびポート番号)の各情報を含んでいる。
各VDSは各VM上のファイルを定期的に監視し、変更または追加のあったファイルに対して、予め定義されているウィルスパターンとのパターンマッチングを行い、ウィルスの有無を判定する。ウィルスパターンと一致するパターンがファイルから検出された場合、各VDSはイベント情報を出力する。図4(c)に示すように、VDSのイベント情報42は、日時42a、ウィルス名42b、ディレクトリ名42c、およびファイル名42dの各情報を含んでいる。
次に、イベント処理部4がイベント情報を関連付ける処理の詳細を説明する。イベント処理部4は、NIDS、HIDS、VDSから出力されたイベント情報に含まれる日時の情報(イベントの検知時刻)に基づいて、HIDSおよびVDSが起動しているホスト(VM)のOSとアプリケーションの組合せ毎に各イベント情報を関連付ける。以下で説明する処理はOSとアプリケーションの組合せ毎に実行され、各組合せに対応したポリシファイルが生成される。
図5は、各イベント情報の時系列上の関係を示している。時刻t1,t2,t3,t4,t5は、VMの再起動を行う時刻を示している。また、各時刻間の時間区間をタイムスロットと定義する。タイムスロットTS1(t1〜t2)では、HIDSがホストへの影響を検知してイベント情報50aを出力したときに、NIDSとVDSもイベント情報50b,50cを出力しており、各イベントが関連していることが分かる。したがって、イベント情報50a,50b,50cは、攻撃によるイベントを示している。
タイムスロットTS2(t2〜t3)では、HIDSとVDSがイベントを検知していないため、ホスト(VM)には影響が出ていない。しかし、NIDSがイベント情報51a,51bを出力しており、侵入に至らなかった攻撃パケットによる冗長なイベントが検知されていることが分かる。タイムスロットTS3(t3〜t4)では、HIDSとVDSがイベント情報52a,52b,52cを出力しているにもかかわらず、NIDSがイベントを検知していないことから、NIDSにとって未知の攻撃パケットによるイベントが検知されていることが分かる。タイムスロットTS4(t4〜t5)では、HIDSのみがイベント情報53aを出力しており、HIDSの誤検知(OSやアプリケーションによる正常な動作の検知)と考えられる。
以下では、あるタイムスロットにおいて、「HIDS」と「NIDSもしくはVDS」の両者がイベントを検知した場合、そのイベントをHIDS Positiveイベントと呼び、「HIDS」のみがイベントを検知した場合、そのイベントをHIDS Negativeイベントと呼ぶことにする。要するに、HIDS Positiveイベントは、攻撃による影響が現れたことを意味し、HIDS Negativeイベントは、システムによる自動的な更新や攻撃の失敗を意味する。
イベント処理部4は、VMの再起動タイミング間の同一タイムスロットで検出されたイベント情報を関連付け、図6に示すテーブル60を生成する。テーブル60では、HIDSで検知されたイベントを基準として、NIDSおよびVDSで検知されたイベントが関連付けられている。各タイムスロットにおいて、1つのテーブル60が生成される。あるタイムスロットにおいて、HIDSがイベントを検知したにもかかわらず、NIDSおよびVDSの一方または両方がイベントを検知しなかった場合には、NIDSまたはVDSのイベントを記載する欄が空欄となる。
イベント処理部4は、NIDSの個々のイベントを検索キーとして、その検索キーと一致するNIDSのイベントが記録されているテーブルをテーブル60の中から検索し、抽出する。イベント処理部4は、抽出したテーブルの情報を集約し、NIDSのイベントを基準とするテーブル61を生成する。また、イベント処理部4は、NIDSの個々のイベントの組合せを検索キーとして、その検索キーと一致するNIDSのイベントの組合せが記録されているテーブルをテーブル60の中から検索し、抽出する。イベント処理部4は、抽出したテーブルの情報を集約し、NIDSのイベントの組合せを基準とするテーブル62を生成する。なお、上記の代わりに、VDSのイベントやその組合せを検索キーとして上記と同様のテーブルを生成してもよい。
また、イベント処理部4は各イベントの出現確率(統計値)を算出する。イベント処理部4が算出する各イベントの出現確率は、HIDSイベントのPositive出現確率、HIDSイベントのNegative出現確率、NIDSイベントの出現確率、およびVDSイベントの出現確率である。
HIDSイベントのPositive出現確率は、HIDSが検知した各イベントをHIDS PositiveイベントとHIDS Negativeイベントに分類した場合にHIDS Positiveイベントが占める割合である。すなわち、HIDSイベントのPositive出現確率は、HIDS Positiveイベントが出現したタイムスロット数と、HIDS PositiveイベントおよびHIDS Negativeイベントが出現したタイムスロット数との比で表される。同様に、HIDSイベントのNegative出現確率は、HIDS Negativeイベントが出現したタイムスロット数と、HIDS PositiveイベントおよびHIDS Negativeイベントが出現したタイムスロット数との比で表される。HIDSの1種類のイベントについてのHIDSイベントのPositive出現確率とHIDSイベントのNegative出現確率の和は1となる。HIDSの各種類のイベントについて、Positive出現確率とNegative出現確率が算出される。
NIDSイベントの出現確率は、HIDS Positiveイベントと関連付けられている、NIDSが検知した各イベントの出現確率である。すなわち、NIDSイベントの出現確率は、HIDS Positiveイベントが出現したタイムスロットで出現したNIDSの特定のイベント数と、HIDS Positiveイベントが出現したタイムスロットで出現したNIDSの全イベント数との比で表される。同様に、VDSイベントの出現確率は、HIDS Positiveイベントが出現したタイムスロットで出現したVDSの特定のイベント数と、HIDS Positiveイベントが出現したタイムスロットで出現したVDSの全イベント数との比で表される。テーブル61,62には、上記のようにして算出した各イベントの出現確率も含まれている。
イベント処理部4は、テーブル61,62に基づいて、図7に示す統計情報を生成し、統計情報記憶部5に格納する。この統計情報は、互いに関連付けられたHIDSイベント情報70、NIDSイベント情報71、およびVDSイベント情報72を含んでいる。HIDSイベント情報70は、HIDSが検知したイベントに関する統計情報であり、ディレクトリ名70a、ファイル名70b、イベント内容70c(変更・追加・削除のいずれか)、および出現確率70d(HIDSイベントのPositive出現確率およびNegative出現確率)を含んでいる。
NIDSイベント情報71は、NIDSが検知したイベントに関する統計情報であり、イベント名71aおよび出現確率71bを含んでいる。HIDSが検知した1種類のイベントに対して、NIDSが検知した1または複数種類のイベントの統計情報が関連付けられている。VDSイベント情報72は、VDSが検知したイベントに関する統計情報であり、イベント名72aおよび出現確率72bを含んでいる。HIDSが検知した1種類のイベントに対して、VDSが検知した1または複数種類のイベントの統計情報が関連付けられている。HIDSが検知した各イベントに対して、図7に示す統計情報が生成される。
次に、ポリシファイル生成部6が、HIDSのポリシファイルおよびそれに付随する情報を生成する処理の詳細を説明する。図8は、ポリシファイル生成部6が生成するポリシファイルの内容を示している。図8(a)に示すポリシファイル80は、HIDSが監視を行う監視間隔に関するポリシファイルであり、図8(b)に示すポリシファイル81は、HIDSが検知するイベントが攻撃によるものであるか否かを示すイベントの信頼度に関するポリシファイルである。
ポリシファイル80は、HIDSが監視する対象を特定するディレクトリ名80aおよびファイル名80bと監視間隔80cとを含んでいる。HIDSがディレクトリ単位で監視を行う場合もあるため、ファイル名がない場合もある。監視間隔は、VMの再起動周期を単位とする以下の(1)式で示される。(1)式において、HIDS_Positive_Rate(P)はHIDSイベントのPositive出現確率である。
Figure 0005116447
HIDSイベントのPositive出現確率が大きい場合(攻撃に関するイベントの出現確率が大きい場合)には監視間隔が短くなり、HIDSイベントのPositive出現確率が小さい場合(攻撃に関するイベントの出現確率が小さい場合)には監視間隔が長くなる。ポリシファイル80に従って監視間隔を設定することによって、攻撃に関するイベントの出現頻度に応じて監視に適した監視間隔を設定することができる。
HIDSによるホストの監視では、定期的に攻撃の有無を検知する方式と、攻撃の有無を検証する要求が発生したときに攻撃の有無を検知する方式とがある。定期的に攻撃の有無を検知する場合には、ポリシファイルで規定されている監視間隔で監視が行われる。また、要求が発生したときに攻撃の有無を検知する場合には要求の発生時にディレクトリやファイルの全てに対して監視が行われる。
ポリシファイル81は、HIDSが監視する対象を特定するディレクトリ名81aおよびファイル名81bとイベント名81cおよびイベントの信頼度81dとを含んでいる。HIDSがディレクトリ単位で監視を行う場合もあるため、ファイル名がない場合もある。HIDSが検知したイベントiの信頼度は以下の(2)式で示される。(2)式において、HIDS_Positive_Rate(P)はイベントiのPositive出現確率である。
HIDSイベント信頼度(C)=HIDS_Positive_Rate(P) ・・・(2)
ポリシファイル81に基づいて各種情報を表示することによって、運用者に対してイベントの確認に関する指針を与えることができる。図9は、HIDSが検知したイベントとその信頼度の関係を表示するWebインタフェースの表示項目の設計例を示している。図9(a)は、信頼度の高いイベントから順に情報を並べた状態を示している。HIDSの運用者は、信頼度の高いイベントから順番に確認することができる。図9(b)は、イベント種別をキーとして情報を並べた状態を示している。HIDSの運用者は、変更/追加/削除されるファイルとその信頼度を把握することができる。
また、ポリシファイル生成部6は、ポリシファイルに付随する情報として、以下で説明するHIDSイベント原因推定値とHIDSイベントウィルス推定値を算出する。従来のHIDSから出力されるイベント情報からは、監視対象のファイルが変更/追加/削除されたことしか分からない。したがって、攻撃を監視するためにHIDSだけが設置されている場合には、HIDSからイベント情報が出力された場合に、どのような攻撃によってイベントが発生したのかが全く分からない。そこで、本実施形態では、HIDSが検知したイベントの発生原因である攻撃の可能性を示す推定値をポリシファイル生成部6が算出する。
HIDSイベント原因推定値は、HIDSが検知したイベントの発生原因となるNIDSのイベントの可能性を示しており、(3)式により算出される。言い換えると、HIDSイベント原因推定値は、HIDSが検知したイベントとNIDSが検知したイベントとの相関度を示している。(3)式において、HIDS_Positive_Rate(P)は、HIDSが検知したイベントiのPositive出現確率であり、NIDS_Rate(I)は、NIDSが検知したイベントjの出現確率であり、それぞれ統計情報として統計情報記憶部5に格納されている。
HIDSイベント原因推定値(EI)=HIDS_Positive_Rate(P)×NIDS_Rate(I) ・・・(3)
HIDSイベントウィルス推定値は、HIDSが検知したイベントの発生原因となるVDSのイベントの可能性を示しており、(4)式により算出される。言い換えると、HIDSイベントウィルス推定値は、HIDSが検知したイベントとVDSが検知したイベントとの相関度を示している。(4)式において、HIDS_Positive_Rate(P)は、HIDSが検知したイベントiのPositive出現確率であり、VDS_Rate(V)は、VDSが検知したイベントjの出現確率であり、それぞれ統計情報として統計情報記憶部5に格納されている。
HIDSイベントウィルス推定値(EV)=HIDS_Positive_Rate(P)×VDS_Rate(V) ・・・(4)
ポリシファイル生成部6は、算出したHIDSイベント原因推定値およびHIDSイベントウィルス推定値をHIDSおよびNIDSそれぞれのイベント名と関連付けてポリシファイル記憶部7に格納する。この情報は以下のように利用される。HIDSがイベントを検知したときに、このイベントと関連付けられたNIDSまたはVDSのイベント名と上記の推定値が画面に表示される。これによって、HIDSの運用者は、HIDSが検知したイベントの発生原因となった攻撃を推測することができる。
また、ポリシファイル生成部6は、ポリシファイルに付随する情報として、(5)式によってイベント対応の優先度を算出する。(5)式において、HIDSイベント危険度(R)は、HIDSから出力されるイベントの危険度(重要度)を示している。多くのHIDSではイベント毎に危険度が予め定義されている。この危険度は、ディレクトリやファイルの変更等が行われる場所に応じて定義されている。例えば、ホスト内のシステムに影響を及ぼす可能性が高いディレクトリやファイルに関するイベントの危険度は高く、ユーザによる変更等が行われる可能性が高いディレクトリやファイルに関するイベントの危険度は低い。
HIDSイベント対応優先度(A)=HIDSイベント危険度(R)×HIDSイベント信頼度(C) ・・・(5)
ポリシファイル生成部6は、算出したHIDSイベント対応優先度をHIDSのイベント名と関連付けてポリシファイル記憶部7に格納する。この情報は以下のように利用される。HIDSがイベントを検知したときに、このイベントと関連付けられたイベント対応優先度が画面に表示される。イベントの危険度が高い、かつイベントの信頼度が高い場合には、システムに影響を及ぼすディレクトリやファイルに対して攻撃が行われた可能性が高く、このようなイベントには優先的に対応すべきである。また、イベントの危険度が低い、かつイベントの信頼度が低い場合には、システムに影響を及ぼすディレクトリやファイルに対して攻撃が行われた可能性が低く、このようなイベントへの対応は後回しでもよい。したがって、イベント対応優先度に応じて、HIDSの運用者は、HIDSが検知したどのイベントから優先的に対応すべきかを容易に判断することができる。
上述したように、本実施形態によれば、運用者の技量に依存することなく、実際の攻撃の影響が反映されたポリシファイルを生成することができる。また、OSとアプリケーションの組合せ毎にイベント情報を分類し、各組合せについてポリシファイルを生成することによって、精度の高いポリシファイルを生成することができる。
また、従来のHIDSでは、監視間隔を定める指針がなかったため、頻繁に監視を行うことによるホストのCPUへの無駄な負荷等の問題があった。これに対して本実施形態では、攻撃の頻度に応じた監視間隔を含むポリシファイルが生成される。この監視間隔をHIDSに設定することによって、ホストのCPUへの無駄な負荷等を抑制することができる。
また、従来、HIDSのみが実装されている環境では、HIDSがイベントを検知したときに、攻撃によってイベントが発生したのか、それともホスト内のシステムの正常な動作によってイベントが発生したのかが分からない場合がある。これに対して本実施形態では、HIDSが検知したイベントが攻撃によるものである可能性を示す信頼度が算出される。この信頼度を運用者に提示することによって、運用者に対してイベントの確認に関する指針を与えることができる。さらに、本実施形態では、この信頼度とイベント危険度に基づくイベント対応優先度が算出される。このイベント対応優先度を運用者に提示することによって、運用者は、HIDSが検知したどのイベントから優先的に対応すべきかを容易に判断することができる。
また、本実施形態では、HIDSが検知したイベントの発生原因である攻撃の可能性を示す推定値が算出される。この推定値を運用者に提示することによって、運用者は、HIDSが検知したイベントの発生原因となった攻撃を推測することができる。
また、本実施形態では、仮想環境上でHIDSおよびVDSが起動する。これによって、様々な構成のホストを容易に作成することができると共に、ホストが攻撃を受けた場合でも正常な状態に容易に復元することができる。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上記の実施形態では、NIDSとVDSの両方が設けられているが、NIDSとVDSの一方のみが設けられていてもよい。
また、上記の実施形態によるポリシ生成システムの動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
本発明の一実施形態によるポリシ生成システムの構成を示すブロック図である。 本発明の一実施形態において、実機と仮想環境によるホスト構築法の違いを説明するための説明図である。 本発明の一実施形態において、実機と仮想環境によるホスト構築法の違いを説明するための説明図である。 本発明の一実施形態におけるHIDS、NIDS、およびVDSが出力するイベント情報のフォーマットを示す参考図である。 本発明の一実施形態におけるイベント情報の時系列上の関係を示す参考図である。 本発明の一実施形態におけるイベント情報の処理方法を説明するための説明図である。 本発明の一実施形態における統計情報の内容を示す参考図である。 本発明の一実施形態におけるポリシファイルの内容を示す参考図である。 本発明の一実施形態におけるHIDSが検知するイベントとその信頼度の関係を示す参考図である。
符号の説明
1・・・イベント収集部(イベント収集手段)、2・・・イベント情報記憶部、3・・・初期状態記憶部(初期状態記憶手段)、4・・・イベント処理部(関連付け手段、統計値算出手段)、5・・・統計情報記憶部、6・・・ポリシファイル生成部(指標値算出手段、情報生成手段)、7・・・ポリシファイル記憶部、10・・・NIDS、11,12,13・・・VM、14・・・VMM、15・・・再起動制御部(起動制御手段)

Claims (8)

  1. ネットワーク型侵入検知システムまたはウィルス検知システムと、ホスト型侵入検知システムとから出力されるイベント情報を収集するイベント収集手段と、
    イベントの検知時刻に基づいて前記イベント情報を互いに関連付ける関連付け手段と、
    互いに関連付けた前記イベント情報に基づいて、前記ホスト型侵入検知システムと、前記ネットワーク型侵入検知システムまたは前記ウィルス検知システムとの両者が検知したイベント、および、前記ホスト型侵入検知システムのみが検知したイベントの出現頻度に関する統計値を算出する統計値算出手段と、
    前記ホスト型侵入検知システムが行う監視に関する指標値を前記統計値に基づいて算出する指標値算出手段と、
    前記ホスト型侵入検知システムが監視する対象を特定する情報と前記指標値を含むポリシ情報を生成する情報生成手段と、
    を備えたことを特徴とするポリシ生成システム。
  2. 前記指標値算出手段は、前記指標値として、前記ホスト型侵入検知システムが監視を行う監視間隔を算出することを特徴とする請求項1に記載のポリシ生成システム。
  3. 前記指標値算出手段は、前記指標値として、前記ホスト型侵入検知システムが検知したイベントに対して、前記ホスト型侵入検知システムと、前記ネットワーク型侵入検知システムまたは前記ウィルス検知システムとの両者が検知したイベントが占める割合である信頼度を算出することを特徴とする請求項1に記載のポリシ生成システム。
  4. 前記指標値算出手段はさらに、前記ホスト型侵入検知システムから出力されるイベント重要度と前記信頼度に基づいて、前記ホスト型侵入検知システムが検知したイベントに対する対応優先度を算出し、
    前記情報生成手段はさらに、イベントの識別情報と前記対応優先度を含む情報を生成する
    ことを特徴とする請求項3に記載のポリシ生成システム。
  5. 前記指標値算出手段はさらに、前記統計値に基づいて、前記ホスト型侵入検知システムが検知したイベントと、前記ネットワーク型侵入検知システムまたは前記ウィルス検知システムが検知したイベントとの相関度を算出し、
    前記情報生成手段はさらに、イベントの識別情報と前記相関度を含む情報を生成する
    ことを特徴とする請求項1に記載のポリシ生成システム。
  6. 前記ホスト型侵入検知システムまたは前記ウィルス検知システムの初期状態の情報を記憶する初期状態記憶手段と、
    前記初期状態の情報に基づいて、前記ホスト型侵入検知システムまたは前記ウィルス検知システムを仮想環境上で起動する起動制御手段と、
    をさらに備えたことを特徴とする請求項1〜請求項5のいずれかに記載のポリシ生成システム。
  7. 請求項1〜請求項6のいずれかに記載のポリシ生成システムとしてコンピュータを機能させるためのプログラム。
  8. 請求項7に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
JP2007297684A 2007-11-16 2007-11-16 ポリシ生成システム、プログラム、および記録媒体 Active JP5116447B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007297684A JP5116447B2 (ja) 2007-11-16 2007-11-16 ポリシ生成システム、プログラム、および記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007297684A JP5116447B2 (ja) 2007-11-16 2007-11-16 ポリシ生成システム、プログラム、および記録媒体

Publications (2)

Publication Number Publication Date
JP2009123052A JP2009123052A (ja) 2009-06-04
JP5116447B2 true JP5116447B2 (ja) 2013-01-09

Family

ID=40815119

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007297684A Active JP5116447B2 (ja) 2007-11-16 2007-11-16 ポリシ生成システム、プログラム、および記録媒体

Country Status (1)

Country Link
JP (1) JP5116447B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5952219B2 (ja) * 2013-05-23 2016-07-13 日本電信電話株式会社 ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム
JP5952220B2 (ja) * 2013-05-23 2016-07-13 日本電信電話株式会社 ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム
CN107077563A (zh) * 2014-11-14 2017-08-18 三菱电机株式会社 信息处理装置、信息处理方法以及程序

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004185455A (ja) * 2002-12-05 2004-07-02 Hitachi Ltd 情報セキュリティポリシーの監査支援方法および装置
JP2005099982A (ja) * 2003-09-24 2005-04-14 Hitachi Ltd ファイル監視装置
JP4156540B2 (ja) * 2004-02-23 2008-09-24 Kddi株式会社 ログ分析装置、ログ分析プログラムおよび記録媒体
JP4845467B2 (ja) * 2004-11-08 2011-12-28 株式会社エヌ・ティ・ティ・ドコモ デバイス管理装置、デバイス及びデバイス管理方法
JP4095076B2 (ja) * 2005-03-28 2008-06-04 エヌ・ティ・ティ・コミュニケーションズ株式会社 セキュリティ情報交換による評価指標算出に基いたセキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム

Also Published As

Publication number Publication date
JP2009123052A (ja) 2009-06-04

Similar Documents

Publication Publication Date Title
JP5517267B2 (ja) ウェブページ改竄防止設備、ウェブページ改竄防止方法及びそのシステム
JP5440273B2 (ja) スナップショット管理方法、スナップショット管理装置、及びプログラム
US7228565B2 (en) Event reporting between a reporting computer and a receiving computer
JP5144488B2 (ja) 情報処理システムおよびプログラム
US10452469B2 (en) Server performance correction using remote server actions
WO2014179805A1 (en) Method and apparatus for providing forensic visibility into systems and networks
JP5066544B2 (ja) インシデント監視装置,方法,プログラム
Wang et al. NetSpy: Automatic generation of spyware signatures for NIDS
US9450980B2 (en) Automatic malignant code collecting system
JP4823813B2 (ja) 異常検知装置、異常検知プログラム、および記録媒体
JP2014086821A (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
JP2008027322A (ja) セキュリティ管理システムおよびその方法
JP5116447B2 (ja) ポリシ生成システム、プログラム、および記録媒体
JP5111073B2 (ja) ポリシ生成システム、プログラム、および記録媒体
JP6294847B2 (ja) ログ管理制御システムおよびログ管理制御方法
JP2010009411A (ja) 仮想化環境運用支援システム及び仮想環境運用支援プログラム
KR101060596B1 (ko) 악성 파일 탐지 시스템, 악성 파일 탐지 장치 및 그 방법
JP2004046742A (ja) 攻撃分析装置、センサ、攻撃分析方法及びプログラム
JP2010250607A (ja) 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム
TWI640891B (zh) 偵測惡意程式的方法和裝置
US20170054742A1 (en) Information processing apparatus, information processing method, and computer readable medium
JP6780326B2 (ja) 情報処理装置及びプログラム
JP6476853B2 (ja) ネットワーク監視システム及び方法
JP6269004B2 (ja) 監視支援プログラム、監視支援方法および監視支援装置
US8930369B2 (en) Information processing apparatus, message classifying method and non-transitory medium for associating series of transactions

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100716

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100720

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120530

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120710

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120831

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20120903

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121002

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121016

R150 Certificate of patent or registration of utility model

Ref document number: 5116447

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151026

Year of fee payment: 3