JP6035445B2 - 情報処理システム、情報処理方法およびプログラム - Google Patents
情報処理システム、情報処理方法およびプログラム Download PDFInfo
- Publication number
- JP6035445B2 JP6035445B2 JP2016086915A JP2016086915A JP6035445B2 JP 6035445 B2 JP6035445 B2 JP 6035445B2 JP 2016086915 A JP2016086915 A JP 2016086915A JP 2016086915 A JP2016086915 A JP 2016086915A JP 6035445 B2 JP6035445 B2 JP 6035445B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- information
- unit
- processing
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
より詳細には、この情報処理システムは、対象情報をその内容および/またはその種類に基づいて集約することにより、対象情報の粒度を揃える。さらに、この情報処理システムは、これらの手法に加えて、またはこれらの手法に代えて、対象情報に対して予め設定された規則に基づく共通情報を付加し、この共通情報に基づいて対象情報を集約することにより、対象情報の粒度を揃える。
より詳細には、情報粒度を揃えるステップにおいて、対象情報をその内容および/またはその種類に基づいて集約することにより、対象情報の粒度を揃える。また、これらの手法に加えて、またはこれらの手法に代えて、対象情報に対して予め設定された規則に基づく共通情報を付加し、この共通情報に基づいて対象情報を集約することにより、対象情報の粒度を揃える。
以下では、検査対象のシステムから検知対象処理のログ(検知ログ)を取得して分析する本実施形態のログ分析システムを、検知対象処理としてネットワーク上の通信を監視し、検知ログとして通信ログを取得し分析するセキュリティ監視システムに適用した場合を例として説明する。ネットワークに接続されたサーバ等の情報処理装置では、ネットワークを介して様々な通信が行われる。本実施形態のセキュリティ監視システム(SOC(Security Operation Center)システム)は、監視対象装置である情報処理装置の通信を監視し、抽出すべき特定の性質を有する検知対象処理の一例として、外部からの不正なアクセスや内部からの不正な情報流出等のような問題のある通信を抽出する。
図1は、本実施形態のセキュリティ監視システムの構成例を示す図である。
図1に示すように、本実施形態によるセキュリティ監視システムは、監視対象装置100における通信を監視して通信ログを取得する取得装置としての検知デバイス110、ログ取得エージェント121およびログ管理サブシステム120と、取得された通信ログを処理して問題のある通信を抽出する処理装置としての監視サブシステム200と、監視サブシステム200による処理の結果を出力する出力装置としての端末装置300とを備える。図1に示す構成において、監視対象装置100に搭載される検知デバイス110およびログ取得エージェント121と、ログ管理サブシステム120、監視サブシステム200および端末装置300とを区別するために、監視対象装置100に搭載される構成要素を対象側システムと呼び、ログ管理サブシステム120、監視サブシステム200および端末装置300をセンター側システムと呼ぶ場合がある。なお、図1において、監視対象装置100は1台のみが例示されているが、実際のシステムにおいては、複数の監視対象装置100における通信を監視対象とする。
なお、本実施形態では、セキュリティ監視システムとしてのログ分析システムが、ネットワーク通信を監視対象として通信ログを取得する例について説明するが、通信以外の種々の処理において生成される様々なログを取得し検査するために本実施形態のログ分析システムを適用することも可能である。
なお、図1に示す構成例では、ログ取得エージェント121を対象側システムとして監視対象装置100に搭載する構成としたが、監視対象装置100に搭載せずにセンター側システムとして構成しても良い。この場合、ネットワークを介して監視対象装置100に接続された独立のサーバ等としてログ取得エージェント121を構成しても良いし、ログ管理サブシステム120の機能の一つとしてログ取得エージェント121を実現しても良い。
図2は、監視サブシステム200を構成する収集ユニット210の機能構成例を示す図である。
第1処理ユニットである収集ユニット210は、ログ管理サブシステム120から取得した通信ログファイルに対して、その通信ログファイルの元の通信ログ(生ログ)を取得した検知デバイス110の種類ごとに設定された処理を行う。ここで、検知デバイス110の種類とは、検知デバイス110のセンサ111およびセンサ・マネージャ112の機能を提供するIDS/IPS、ファイア・ウォール、ウィルス対策ソフト等の製品の種別を意味する。なお、検知デバイス110の種類を特定する情報(ID、製品名等)は、例えば、通信ログファイルに含まれている。
図3に示す例では、「初期情報取得」、「受信件数取得」、「受信ファイル登録」、「項目編集」、「フォーマット不一致ログ情報登録」、「ログ共通項目編集」、「顧客分割」等の処理を行う処理単位ブロック211が組み合わされて収集ユニット210が構成されている。なお、図3には、収集ユニット210を構成する処理単位ブロック211の一部のみが記載されている。例えば、「初期情報取得」、「受信件数取得」、「受信ファイル登録」等の処理単位ブロック211が、図2に示した分析対象ログ抽出処理を担い、「項目編集」、「フォーマット不一致ログ情報登録」、「ログ共通項目編集」等の処理単位ブロック211が、図2に示した正規化処理を担い、「顧客分割」等の処理単位ブロック211が、図2に示した振り分け処理を担う。
図4は、監視サブシステム200を構成する検出ユニット220の機能構成例を示す図である。
第2処理ユニットである検出ユニット220は、前段の収集ユニット210から取得した通信ログに対する処理として、その通信ログファイルの元の通信ログ(生ログ)を取得した検知デバイス110の分類ごとに設定された処理を行う。ここで、検知デバイス110の分類とは、検知デバイス110のセンサ111およびセンサ・マネージャ112の機能を提供するセキュリティ装置の種別(IDS/IPSやファイア・ウォール等)を意味する。なお、検知デバイス110の分類を特定する情報(ID、機器名等)は、例えば、通信ログファイルに含まれている。
図5に示す例では、「固有識別情報付加」、「通信方向区分付加」、「ルール・アクション付加」、「プロトコル番号・名称付加」、「国コード付加」、「集約規則判断」、「ホスト・スキャン集約」、「ポート・スキャン集約」等の処理を行う処理単位ブロック221が組み合わされて検出ユニット220が構成されている。なお、図5には、検出ユニット220を構成する処理単位ブロック221の一部のみが記載されている。例えば、「固有識別情報付加」、「通信方向区分付加」、「ルール・アクション付加」、「プロトコル番号・名称付加」、「国コード付加」等の処理単位ブロック221が、図4に示した共通情報の付加処理を担い、「集約規則判断」、「ホスト・スキャン集約」、「ポート・スキャン集約」等の処理単位ブロック221が、図4に示したログ集約(イベント化)処理を担う。
図6は、監視サブシステム200を構成する分析ユニット230の機能構成例を示す図である。
図6に示す構成例において、第3処理ユニットである分析ユニット230は、個別分析処理部230aと、イベント集積処理部230bと、相関分析処理部230cと、増分分析処理部230dとにより構成される。
分析ユニット230のイベント集積処理部230bにより、検出ユニット220から取得したイベントのうち、集積処理の対象となったイベントが集積されてイベント列が生成され、さらに検出事象候補が生成される。そして、検出事象候補ごとに、各検出事象候補に含まれるイベント列やイベントの間の相関関係に基づき、上記の攻撃パターン組み合わせ判定および件数閾値超過判定が行われる。
事象変化の判定では、前回の分析時と異なる分析ルールが適用された(事象が変化した)場合に、判定対象の検出事象候補に含まれる通信は問題のある通信であると判断する。
攻撃手段増加の判定では、前回分析時と同一ルールが適用されたが、確認対象の攻撃パターン情報が追加された(確認対象の攻撃手段が増えた)場合に、判定対象の検出事象候補に含まれる通信は問題のある通信であると判断する。
攻撃件数増加の判定では、確認対象の攻撃パターン情報が同一の通信(同一の攻撃手法)や、同一の攻撃元からの通信が継続しており、それらの通信による単位時間当たりのイベント件数が増加している場合に、判定対象の検出事象候補に含まれる通信は問題のある通信であると判断する。
攻撃先増加の判定では、攻撃先や接続先が増えた場合に、判定対象の検出事象候補に含まれる通信は問題のある通信であると判断する。
同じ検出事象候補に関する前回分析時の構成(図8(a))と今回分析時の構成(図8(b))とを比較すると、今回分析時の構成では、前回分析時には含まれていなかったイベント列(図8(b)において網掛けを付して記載)が新たに含まれている。このため、この検出事象候補は、上述した事象変化の判定、攻撃手段増加の判定、攻撃件数増加の判定、攻撃先増加の判定の何れかにおいて問題のある通信と判断される。
図9に示す例では、「リスト照合」、「イベント集約」、「イベント列集約」、「攻撃パターン組み合わせ判定」、「件数閾値超過判定」、「事象変化判定」、「攻撃手段増加判定」、「件数増加率判定」、「宛先IPアドレス増加判定」等の処理を行う処理単位ブロック231が組み合わされて分析ユニット230の各処理部230a〜230dが構成されている。なお、図9には、分析ユニット230を構成する処理単位ブロック231の一部のみが記載されている。例えば、「リスト照合」の処理単位ブロック231は、個別分析処理部230aの問題のある通信のリストとの照合を担う。「イベント集約」および「イベント列集約」の処理単位ブロック231は、イベント集積処理部230bによるイベント列および検出事象候補の生成を担う。「攻撃パターン組み合わせ判定」および「件数閾値超過判定」の処理単位ブロック231は、相関分析処理部230cによる分析を担う。「事象変化判定」、「攻撃手段増加判定」、「件数増加率判定」および「宛先IPアドレス増加判定」の処理単位ブロック231は、増分分析処理部230dによる分析を担う。この処理単位ブロック231の列により構成される個別分析処理部230a、イベント集積処理部230b、相関分析処理部230cおよび増分分析処理部230dは、複数用意して並列かつ非同期に処理を実行することができる。
図10は、監視サブシステム200の手動分析ユニット240の機能構成例を示す図である。
第4処理ユニットである手動分析ユニット240は、検出ユニット220および分析ユニット230による上記の各処理によって得られたイベント、イベント列および検出事象候補の情報と、分析ユニット230による分析結果とを記憶装置241に格納して管理する。また、手動分析ユニット240は、端末装置300からの要求に応じて、送受信部242により、記憶装置241に格納しているイベント、イベント列および検出事象候補の情報と、分析ユニット230による分析結果とを送る。さらに、手動分析ユニット240は、端末装置300においてこれらの情報に付与された情報を送受信部242により取得し、格納している各情報に付加して管理する。
本実施形態によるセキュリティ監視システムは、監視対象装置100における通信を監視して、問題のある通信をリアルタイムに検出する。すなわち、蓄積された通信ログファイルを解析して問題のある通信が行われていたことを事後的に発見するシステムではない。したがって、通信ログから問題のある通信を検出するための監視サブシステム200における各処理ユニット間における通信ログファイルの伝達は、できるだけ高速に行われることが望ましい。例えば、TCP(Transmission Control Protocol)等のようなコネクション型の通信ではなく、コネクションレス型の通信を行う。上述したように、本実施形態では、JMSに基づくコネクションレス型の通信を行うこととしている。
本実施形態では、監視サブシステム200を構成する処理ユニット列(収集ユニット210、検出ユニット220、分析ユニット230、手動分析ユニット240)において、先頭の処理ユニット(収集ユニット210)から最後の処理ユニット(手動分析ユニット240)まで、正常に通信ログの伝達が行われたことを、先頭の処理ユニットにフィードバックする構成を設けた。
図12に示すように、ある通信ログファイルが、1回目の送信において、収集ユニット210から検出ユニット220へ送信され、検出ユニット220による処理を経た後、検出ユニット220から分析ユニット230へ送信され、分析ユニット230に到達せずに消失したものとする。この場合、手動分析ユニット240から通信ログファイルを取得したことを示す通知が行われないので、収集ユニット210は、通信ログファイルを再送する(2回目の送信)。
なお、1回目の送信に係る通信ログファイルに対して行われた検出ユニット220の処理の結果は、1回目の送信に係る通信ログファイルと共に消失しているので、検出ユニット220は、再送された通信ログファイルに対して処理を行う。
なお、2回目の送信に係る通信ログファイルに対して行われた検出ユニット220および分析ユニット230の処理の結果は、2回目の送信に係る通信ログファイルと共に消失しているので、検出ユニット220および分析ユニット230は、再送された通信ログファイルに対して処理を行う。
図13に示す例において、1回目の送信では、通信ログファイルは、検出ユニット220による処理を経た後、分析ユニット230に到達せずに消失した。2回目の送信では、通信ログファイルは消失せずに手動分析ユニット240に到達したが、途中の処理に時間を要したため、手動分析ユニット240から収集ユニット210へ通知が行われる前に3回目の送信が行われた。さらに、2回目の送信に係る通信ログファイルに対する処理に時間を要したため、3回目の送信に係る通信ログファイルが、2回目の送信に係る通信ログファイルよりも先に手動分析ユニット240に到達した。この場合、手動分析ユニット240に到達した順番に関わらず、3回目(最後)の送信に係る通信ログファイルに対して行われた処理の結果が有効なデータとして扱われる。
なお、上記の場合、手動分析ユニット240に到達して記憶装置241に格納された、同じ通信ログファイルに関する重複したデータのうち、有効なデータ以外のデータ(図13に示す例では、2回目の送信に係る通信ログファイルに関するデータ)については、削除しても良いし、記憶装置241に格納されたまま放置しても良い。
上述した例のように、前に送信された通信ログファイルが手動分析ユニット240に到達する前に通信ログファイルの再送が行われた場合であって、後に送信された通信ログファイルが途中で消失する場合があり得る。図14に示す例では、2回目の送信に係る通信ログファイルが手動分析ユニット240に到達する前に通信ログファイルの再送(3回目の送信)が行われたが、3回目の送信に係る通信ログファイルは手動分析ユニット240に到達せずに消失している。この場合、手動分析ユニット240に到達して記憶装置241に格納されたのは、2回目の送信に係る通信ログファイルだけなので、この2回目の送信に係る通信ログファイルに関するデータが有効なデータとして扱われる。
一例としては、ある処理ユニットにおいて、再送された通信ログファイルが処理済みの通信ログファイルであった場合、既に存在している処理結果の情報を今回の処理結果に置き換えることが考えられる。すなわち、その通信ログファイルに関する前回の処理結果を破棄する。また、別の例としては、ある処理ユニットにおいて、再送された通信ログファイルが処理済みの通信ログファイルであった場合、その再送された通信ログファイルに対する処理をスキップして(飛ばして)、後段の処理ユニットへ通信ログファイルを送るようにしても良い。
図15は、端末装置300の機能構成例を示す図である。
図15に示す例において、端末装置300は、送受信部310と、データ処理部320とを備える。また、端末装置300は、液晶ディスプレイ等で実現される表示部330と、キーボードやマウス等の入力デバイスで実現される操作部340とを備える。
図16に示す例において、表示部330に表示される分析用画面は、検索条件表示領域331、検出事象候補表示領域332、イベント列表示領域333、イベント表示領域334、コメント表示領域335、重要度表示領域336の6個の表示領域により構成される。
重要度表示領域336には、検出事象候補表示領域332に表示された(すなわち、検索条件表示領域331において特定された検索条件で検索された)検出事象候補に対する評価を行うための評価レベルが示される。ここで、評価レベルとは、例えば、直ちに対策を取ることが必要か否か、引き続き同種の通信を検出して評価する必要があるか否か等の、検出事象候補により特定される通信に対する必要な対応等に応じて予め段階分けされた、重要度の値である。この重要度表示領域336は、解析者による重要度レベルの選択を受け付ける入力インターフェイスとなっている。そして、解析者は、重要度表示領域336に表示された重要度レベルの一つを選択することにより、検索された検出事象候補に対する評価を行う。
図17は、本実施形態の監視サブシステム200の各処理ユニットや端末装置300を構成するのに適用可能なハードウェア(コンピュータ)構成例を示す図である。
図17に示すコンピュータは、演算手段であるCPU(Central Processing Unit)10aと、主記憶手段であるメモリ10cを備える。また、外部デバイスとして、磁気ディスク装置(HDD:Hard Disk Drive)10g、ネットワーク・インターフェイス10f、ディスプレイ装置を含む表示機構10d、キーボードやマウス等の入力デバイス10i等を備える。
Claims (3)
- 処理対象である対象情報に対して予め設定された規則に基づく共通情報を付加し、当該共通情報に基づいて当該対象情報を集約することにより、当該対象情報の粒度を揃え、
情報粒度を揃えた前記対象情報を出力することを特徴とする、情報処理システム。 - コンピュータにより情報を処理する方法であって、
前記コンピュータが、処理対象である対象情報に対して予め設定された規則に基づく共通情報を付加し、当該共通情報に基づいて当該対象情報を集約することにより、当該対象情報の粒度を揃えるステップと、
前記コンピュータが、情報粒度を揃えた前記対象情報を出力するステップと、
を含むことを特徴とする、情報処理方法。 - コンピュータを制御して情報処理を行うプログラムであって、
前記コンピュータに、処理対象である対象情報に対して予め設定された規則に基づく共通情報を付加し、当該共通情報に基づいて当該対象情報を集約することにより、当該対象情報の粒度を揃える処理を実行させることを特徴とする、プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016086915A JP6035445B2 (ja) | 2016-04-25 | 2016-04-25 | 情報処理システム、情報処理方法およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016086915A JP6035445B2 (ja) | 2016-04-25 | 2016-04-25 | 情報処理システム、情報処理方法およびプログラム |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015161980A Division JP5927330B2 (ja) | 2015-08-19 | 2015-08-19 | 情報分析システム、情報分析方法およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016181263A JP2016181263A (ja) | 2016-10-13 |
JP6035445B2 true JP6035445B2 (ja) | 2016-11-30 |
Family
ID=57131883
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016086915A Active JP6035445B2 (ja) | 2016-04-25 | 2016-04-25 | 情報処理システム、情報処理方法およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6035445B2 (ja) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4129207B2 (ja) * | 2003-07-18 | 2008-08-06 | 株式会社日立製作所 | 不正侵入分析装置 |
JP4155208B2 (ja) * | 2004-02-23 | 2008-09-24 | 日本電気株式会社 | アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム |
JP2008083751A (ja) * | 2006-09-25 | 2008-04-10 | Hitachi Information Systems Ltd | 不正アクセス対応ネットワークシステム |
JP2010140111A (ja) * | 2008-12-09 | 2010-06-24 | Ricoh Co Ltd | 機器管理装置、機器管理システム、ログ管理方法、ログ管理プログラム、及びそのプログラムを記録した記録媒体 |
JP2012004987A (ja) * | 2010-06-18 | 2012-01-05 | Sony Corp | 中継装置、中継方法、無線通信システム、基地局、および無線通信装置 |
JP5721138B2 (ja) * | 2011-08-01 | 2015-05-20 | Kddi株式会社 | 端末普及数調査システム |
-
2016
- 2016-04-25 JP JP2016086915A patent/JP6035445B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016181263A (ja) | 2016-10-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5640166B1 (ja) | ログ分析システム | |
JP5640167B1 (ja) | ログ分析システム | |
US11522882B2 (en) | Detection of adversary lateral movement in multi-domain IIOT environments | |
US11882135B2 (en) | Machine-learning based approach for dynamically generating incident-specific playbooks for a security orchestration, automation and response (SOAR) platform | |
IL262866A (en) | Automated investigation of computer systems through behavioral intelligence | |
CN106462702B (zh) | 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统 | |
CN114050937A (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
JP5927330B2 (ja) | 情報分析システム、情報分析方法およびプログラム | |
JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
JP6035445B2 (ja) | 情報処理システム、情報処理方法およびプログラム | |
JP2017211806A (ja) | 通信の監視方法、セキュリティ管理システム及びプログラム | |
JP2015198455A (ja) | 処理システム、処理装置、処理方法およびプログラム | |
JP5797827B1 (ja) | 情報分析システム、情報分析方法およびプログラム | |
KR101712462B1 (ko) | Ip 위험군 탐지 시스템 | |
JP2019186686A (ja) | ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 | |
JP2016001493A (ja) | 情報分析システム、情報分析方法およびプログラム | |
JP2019175070A (ja) | アラート通知装置およびアラート通知方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20160816 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160823 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161003 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161025 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161031 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6035445 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |