JP6067195B2 - 情報処理装置及び情報処理方法及びプログラム - Google Patents
情報処理装置及び情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP6067195B2 JP6067195B2 JP2016547271A JP2016547271A JP6067195B2 JP 6067195 B2 JP6067195 B2 JP 6067195B2 JP 2016547271 A JP2016547271 A JP 2016547271A JP 2016547271 A JP2016547271 A JP 2016547271A JP 6067195 B2 JP6067195 B2 JP 6067195B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- extraction
- extraction time
- selection
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
Description
本発明は、攻撃検知システムに関する。
従来の攻撃検知システムは、セキュリティ装置が検出した攻撃パケットの疑いのあるパケットが検証用ネットワーク上でどのような動作をするかを確認して、当該パケットが攻撃パケットであるか否かを判定していた(例えば、特許文献1)。
従来の攻撃検知システムでは、保護対象ネットワークの他に検証用ネットワークを用意しなければならないという課題がある。
また、検証用ネットワークは、保護対象ネットワークとは別のネットワークであるため、検証用ネットワークを用いた検証では保護対象ネットワークで攻撃が発生していないと判定されても、実際には保護対象ネットワークで攻撃が発生している場合もある。
また、逆に、検証用ネットワークを用いた検証では保護対象ネットワークで攻撃が発生していると判定されても、実際には保護対象ネットワークでは攻撃が発生していない場合もある。
このように、従来の攻撃検知システムでは、検証用ネットワークを用いることによる検知漏れ又は誤検知が起こり得るという課題がある。
また、検証用ネットワークは、保護対象ネットワークとは別のネットワークであるため、検証用ネットワークを用いた検証では保護対象ネットワークで攻撃が発生していないと判定されても、実際には保護対象ネットワークで攻撃が発生している場合もある。
また、逆に、検証用ネットワークを用いた検証では保護対象ネットワークで攻撃が発生していると判定されても、実際には保護対象ネットワークでは攻撃が発生していない場合もある。
このように、従来の攻撃検知システムでは、検証用ネットワークを用いることによる検知漏れ又は誤検知が起こり得るという課題がある。
本発明は、このような課題を解決することを主な目的とし、検証用ネットワークを用いることなく、攻撃パケットを検知できる構成を得ることを主な目的とする。
本発明に係る情報処理装置は、
送信元が保護対象装置であるパケットと送信先が前記保護対象装置であるパケットを収集する情報処理装置であって、
収集されたパケットごとにエントリを設け、各エントリに、パケットの発生時刻とともにパケットの属性データを記述してパケット情報を生成するパケット情報生成部と、
攻撃の複数の類型が示され、類型ごとに、抽出時間幅と抽出条件とが定義されている定義情報を記憶する定義情報記憶部と、
送信元が前記保護対象装置であるパケットと送信先が前記保護対象装置であるパケットの中から前記複数の類型のうちのいずれかの類型に該当するパケットが検出された際に、検出された検出パケットの類型に対して前記定義情報で定義されている抽出時間幅と抽出条件とを選択抽出時間幅と選択抽出条件として選択し、前記検出パケットの発生時刻から前記選択抽出時間幅分の抽出時間帯を指定する選択部と、
発生時刻が前記抽出時間帯に含まれ、属性データが前記選択抽出条件に合致するエントリを前記パケット情報から抽出する抽出部と、
前記抽出部の抽出結果に基づき、前記保護対象装置への攻撃の有無を判定する判定部とを有することを特徴とする。
送信元が保護対象装置であるパケットと送信先が前記保護対象装置であるパケットを収集する情報処理装置であって、
収集されたパケットごとにエントリを設け、各エントリに、パケットの発生時刻とともにパケットの属性データを記述してパケット情報を生成するパケット情報生成部と、
攻撃の複数の類型が示され、類型ごとに、抽出時間幅と抽出条件とが定義されている定義情報を記憶する定義情報記憶部と、
送信元が前記保護対象装置であるパケットと送信先が前記保護対象装置であるパケットの中から前記複数の類型のうちのいずれかの類型に該当するパケットが検出された際に、検出された検出パケットの類型に対して前記定義情報で定義されている抽出時間幅と抽出条件とを選択抽出時間幅と選択抽出条件として選択し、前記検出パケットの発生時刻から前記選択抽出時間幅分の抽出時間帯を指定する選択部と、
発生時刻が前記抽出時間帯に含まれ、属性データが前記選択抽出条件に合致するエントリを前記パケット情報から抽出する抽出部と、
前記抽出部の抽出結果に基づき、前記保護対象装置への攻撃の有無を判定する判定部とを有することを特徴とする。
本発明では、攻撃の類型ごとに定義された抽出時間幅と抽出条件と、収集されたパケットのデータ属性とに基づき、保護対象装置への攻撃の有無を判定する。
このため、本発明では、検証用ネットワークを設けることなく、保護対象装置への攻撃の有無を判定することができる。
また、本発明では、保護対象装置が送信元であるパケット及び保護対象装置が送信先であるパケットに対する分析により保護対象装置への攻撃の有無を判定するため、検知漏れ又は誤検知を回避することができる。
このため、本発明では、検証用ネットワークを設けることなく、保護対象装置への攻撃の有無を判定することができる。
また、本発明では、保護対象装置が送信元であるパケット及び保護対象装置が送信先であるパケットに対する分析により保護対象装置への攻撃の有無を判定するため、検知漏れ又は誤検知を回避することができる。
実施の形態1.
図1は、本実施の形態における攻撃検知システム1のシステム構成例を示す図である。
図1は、本実施の形態における攻撃検知システム1のシステム構成例を示す図である。
図1の攻撃検知システム1において、外部ネットワーク2に接続されたネットワーク装置3は、セキュリティ装置4を介して保護対象装置5と接続されている。
また、ネットワーク装置3は、攻撃検知装置6を介して、監視装置7と接続されている。
セキュリティ装置4は、攻撃検知装置6とも接続されている。
また、ネットワーク装置3は、攻撃検知装置6を介して、監視装置7と接続されている。
セキュリティ装置4は、攻撃検知装置6とも接続されている。
ここで、保護対象装置5は、PC(Personal Computer)やサーバなどのコンピュータである。
保護対象装置5は、ネットワーク装置3とセキュリティ装置4を介して、外部ネットワーク2上のコンピュータ(図示せず)と通信を行っている。
図1では、保護対象装置5は1台のみが図示されているが、保護対象装置5は複数台あってもよい。
保護対象装置5は、ネットワーク装置3とセキュリティ装置4を介して、外部ネットワーク2上のコンピュータ(図示せず)と通信を行っている。
図1では、保護対象装置5は1台のみが図示されているが、保護対象装置5は複数台あってもよい。
ネットワーク装置3は、ネットワークルータやネットワークスイッチなどの通信のパケットを中継する装置である。
ネットワーク装置3は、外部ネットワーク2とセキュリティ装置4の間で通信されるパケットを全て攻撃検知装置6へも転送する設定がなされている。
すなわち、ネットワーク装置3は、送信元が保護対象装置5であるパケットと、送信先が保護対象装置5であるパケットを、攻撃検知装置6に転送する。
ネットワーク装置3は、外部ネットワーク2とセキュリティ装置4の間で通信されるパケットを全て攻撃検知装置6へも転送する設定がなされている。
すなわち、ネットワーク装置3は、送信元が保護対象装置5であるパケットと、送信先が保護対象装置5であるパケットを、攻撃検知装置6に転送する。
セキュリティ装置4は、侵入検知装置(IDS)、侵入防止装置(IPS)、統合脅威管理装置(UTM)またはアンチウイルスゲートウェイ装置などである。
また、セキュリティ装置4は、保護対象装置5への攻撃が疑われる不審なパケットを検出した際にアラートを、攻撃検知装置6へ送信する設定がなされている。
また、セキュリティ装置4は、保護対象装置5への攻撃が疑われる不審なパケットを検出した際にアラートを、攻撃検知装置6へ送信する設定がなされている。
攻撃検知装置6は、ネットワーク装置3から転送されたパケットを受信する。
つまり、攻撃検知装置6は、送信元が保護対象装置5であるパケットと送信先が保護対象装置5であるパケットを収集する。
また、攻撃検知装置6は、ネットワーク装置3から受信したパケットの属性データを記録する。
そして、攻撃検知装置6は、不審なパケットがセキュリティ装置4により検出され、セキュリティ装置からアラートが送信された際に、記録しているパケットの属性データを解析し、当該不審なパケットによる保護対象装置5への攻撃の有無を判定する。
攻撃検知装置6は、情報処理装置の例に相当する。
つまり、攻撃検知装置6は、送信元が保護対象装置5であるパケットと送信先が保護対象装置5であるパケットを収集する。
また、攻撃検知装置6は、ネットワーク装置3から受信したパケットの属性データを記録する。
そして、攻撃検知装置6は、不審なパケットがセキュリティ装置4により検出され、セキュリティ装置からアラートが送信された際に、記録しているパケットの属性データを解析し、当該不審なパケットによる保護対象装置5への攻撃の有無を判定する。
攻撃検知装置6は、情報処理装置の例に相当する。
図2は、本実施の形態における攻撃検知システム1のシステム構成の別の例を示す図である。
図2の構成例では、ネットワーク装置3と保護対象装置5がセキュリティ装置4を介さずに直接接続されている。
図2の各装置は、図1に示したものと同じである。
また、攻撃検知システム1の別の構成例として、セキュリティ装置4は、攻撃検知装置6と直接には接続されずに、ネットワーク装置3を介して攻撃検知装置6と接続されるようにすることもできる。
図2の各装置は、図1に示したものと同じである。
また、攻撃検知システム1の別の構成例として、セキュリティ装置4は、攻撃検知装置6と直接には接続されずに、ネットワーク装置3を介して攻撃検知装置6と接続されるようにすることもできる。
図3は、攻撃検知装置6のハードウェア資源の一例を示す図である。
図3において、攻撃検知装置6は、プログラムを実行するCPU(Central Processing Unit)11を備えている。
CPU11はバス12を介してRAM(Random Access Memory)13、通信ボード14、磁気ディスク装置、フラッシュメモリ、あるいはSSD(Solid State Drive)からなる記憶装置15と接続され、これらのハードウェアを制御する。
通信ボード14は、LAN(Local Area Network)ケーブルなどの伝送媒体を介して、ネットワーク装置3、セキュリティ装置4、監視装置7と接続される。
記憶装置15には、OS(Operating System)16、プログラム群17、データ群18が格納されており、OS16及びプログラム群17は、記憶装置15からRAM13上にロードされ、CPU11により実行される。
CPU11はバス12を介してRAM(Random Access Memory)13、通信ボード14、磁気ディスク装置、フラッシュメモリ、あるいはSSD(Solid State Drive)からなる記憶装置15と接続され、これらのハードウェアを制御する。
通信ボード14は、LAN(Local Area Network)ケーブルなどの伝送媒体を介して、ネットワーク装置3、セキュリティ装置4、監視装置7と接続される。
記憶装置15には、OS(Operating System)16、プログラム群17、データ群18が格納されており、OS16及びプログラム群17は、記憶装置15からRAM13上にロードされ、CPU11により実行される。
図4は、攻撃検知装置6のハードウェア資源の別の例を示す図である。
図4のハードウェア構成では、図3の構成と比較して、ROM(Read Only Memory)19が追加されている。
そして、ROM19にOS16が格納されている。
そして、ROM19にOS16が格納されている。
図5は、本実施の形態に係る攻撃検知装置6の機能構成例を示す。
パケット情報生成部21は、パケット情報を生成する。
パケット情報は、ネットワーク装置3から受信したパケットごとにエントリが設けられ、各エントリにパケットの発生時刻とともにパケットの属性データが記述される情報である。
パケット情報は、例えば、図7に示す情報である。
パケット情報の詳細は、図7を参照して後述する。
パケット情報生成部21は、ネットワーク装置3からパケットを受信する度に、受信したパケットについてのエントリを作成して、パケット情報250を更新する。
パケット情報は、ネットワーク装置3から受信したパケットごとにエントリが設けられ、各エントリにパケットの発生時刻とともにパケットの属性データが記述される情報である。
パケット情報は、例えば、図7に示す情報である。
パケット情報の詳細は、図7を参照して後述する。
パケット情報生成部21は、ネットワーク装置3からパケットを受信する度に、受信したパケットについてのエントリを作成して、パケット情報250を更新する。
確認ポイントファイル記憶部27は、確認ポイントファイルを記憶する。
確認ポイントファイルでは、攻撃の複数の類型(攻撃タイプ)が示され、類型(攻撃タイプ)ごとに、抽出時間幅と抽出条件とが定義されている。
確認ポイントファイルは、例えば、図9に示す情報である。
確認ポイントファイルの詳細は、図9を参照して後述する。
なお、確認ポイントファイルは定義情報の例であり、確認ポイントファイル記憶部27は定義情報記憶部の例に相当する。
確認ポイントファイルでは、攻撃の複数の類型(攻撃タイプ)が示され、類型(攻撃タイプ)ごとに、抽出時間幅と抽出条件とが定義されている。
確認ポイントファイルは、例えば、図9に示す情報である。
確認ポイントファイルの詳細は、図9を参照して後述する。
なお、確認ポイントファイルは定義情報の例であり、確認ポイントファイル記憶部27は定義情報記憶部の例に相当する。
抽出部22は、セキュリティ装置4により不審パケットが検出された際に、確認ポイントファイルに定義されている抽出時間幅(確認時間)と抽出条件(送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号、サイズ)とに基づき、パケット情報から所定のエントリを抽出する。
選択判定部24は、セキュリティ装置4により不審パケットが検出された際に、抽出部22が用いる抽出時間幅と抽出条件とを選択する。
また、選択判定部24は、抽出部22の抽出結果に確認ポイントファイルに記述されている判定基準を適用して、不審パケットによる保護対象装置5への攻撃の有無を判定する。
選択判定部24は、選択部及び判定部の例に相当する。
また、選択判定部24は、抽出部22の抽出結果に確認ポイントファイルに記述されている判定基準を適用して、不審パケットによる保護対象装置5への攻撃の有無を判定する。
選択判定部24は、選択部及び判定部の例に相当する。
アラート処理部23は、選択判定部24により保護対象装置5への攻撃が検知された場合に、監視装置7に攻撃の検知を通知するアラートを出力する。
パケット情報記憶部25は、パケット情報生成部21が生成したパケット情報を記憶する。
保護対象装置テーブル記憶部26は、保護対象装置テーブルを記憶する。
保護対象装置テーブルは、保護対象装置の属性が記述されたテーブルであり、例えば、図8に示す情報である。
保護対象装置テーブルの詳細は、図8を参照して後述する。
保護対象装置テーブルは、保護対象装置の属性が記述されたテーブルであり、例えば、図8に示す情報である。
保護対象装置テーブルの詳細は、図8を参照して後述する。
図6は、記憶装置15の記憶内容を示す。
記憶装置15は、プログラム群17とデータ群18が格納されている。
記憶装置15は、プログラム群17とデータ群18が格納されている。
プログラム群17には、パケット情報生成プログラム210、抽出プログラム220、アラート処理プログラム230、選択判定プログラム240が格納される。
パケット情報生成プログラム210は、パケット情報生成部21を実現するためのプログラムである。
すなわち、CPU11がパケット情報生成プログラム210を実行することでパケット情報生成部21が実現される。
抽出プログラム220は、抽出部22を実現するためのプログラムである。
すなわち、CPU11が抽出プログラム220を実行することで抽出部22が実現される。
アラート処理プログラム230は、アラート処理部23を実現するためのプログラムである。
すなわち、CPU11がアラート処理プログラム230を実行することでアラート処理部23が実現される。
選択判定プログラム240は、選択判定部24を実現するためのプログラムである。
すなわち、CPU11が選択判定プログラム240を実行することで選択判定部24が実現される。
パケット情報生成プログラム210は、パケット情報生成部21を実現するためのプログラムである。
すなわち、CPU11がパケット情報生成プログラム210を実行することでパケット情報生成部21が実現される。
抽出プログラム220は、抽出部22を実現するためのプログラムである。
すなわち、CPU11が抽出プログラム220を実行することで抽出部22が実現される。
アラート処理プログラム230は、アラート処理部23を実現するためのプログラムである。
すなわち、CPU11がアラート処理プログラム230を実行することでアラート処理部23が実現される。
選択判定プログラム240は、選択判定部24を実現するためのプログラムである。
すなわち、CPU11が選択判定プログラム240を実行することで選択判定部24が実現される。
データ群18には、パケット情報250、保護対象装置テーブル260、確認ポイントファイル270が格納される。
すなわち、記憶装置15のデータ群18が格納される領域が、パケット情報記憶部25、保護対象装置テーブル記憶部26、確認ポイントファイル記憶部27に相当する。
すなわち、記憶装置15のデータ群18が格納される領域が、パケット情報記憶部25、保護対象装置テーブル記憶部26、確認ポイントファイル記憶部27に相当する。
図7は、パケット情報250の一例を示す。
パケット情報250には、パケットに対して割り当てた番号31、パケットの発生時刻32、送信元IPアドレス33、送信元ポート番号34、送信先IPアドレス35、送信先ポート番号36、プロトコル37、パケットの長さ38、その他の情報39が記録される。
パケットの発生時刻32は、パケットが送信元から送信された時刻である。
パケットの発生時刻32は、パケットが送信元から送信された時刻である。
図8は、保護対象装置テーブル260の一例を示す。
図8の保護対象装置テーブル260には、複数の保護対象装置5の属性が記述されている。
図8の保護対象装置テーブル260には、複数の保護対象装置5の属性が記述されている。
保護対象装置テーブル260には、保護対象装置5に割り当てた番号41、保護対象装置5のIPアドレス42、保護対象装置5の種別43、用途44、外部との通信で許可されているポート番号45が記述される。
図9は、確認ポイントファイル270の一例を示す。
確認ポイントファイル270には、シグニチャID51、攻撃タイプ52、送信元IPアドレス53、送信元ポート番号54、送信先IPアドレス55、送信先ポート番号56、確認時間57、サイズ58、判定基準59が記述されている。
シグニチャID51は、セキュリティ装置4に格納されている攻撃検知のシグニチャのIDであり、図9には一例を示している。
攻撃タイプ52は、セキュリティ装置4に格納されている攻撃検知のシグニチャの分類であり、図9には一例を示している。
つまり、攻撃タイプ52は、シグニチャIDで特定されるシグニチャで検出される攻撃の類型を表す。
例えば、シグニチャID:1のシグニチャではExploitタイプの攻撃を検出することができる。
確認ポイントファイル270には、シグニチャID51、攻撃タイプ52、送信元IPアドレス53、送信元ポート番号54、送信先IPアドレス55、送信先ポート番号56、確認時間57、サイズ58、判定基準59が記述されている。
シグニチャID51は、セキュリティ装置4に格納されている攻撃検知のシグニチャのIDであり、図9には一例を示している。
攻撃タイプ52は、セキュリティ装置4に格納されている攻撃検知のシグニチャの分類であり、図9には一例を示している。
つまり、攻撃タイプ52は、シグニチャIDで特定されるシグニチャで検出される攻撃の類型を表す。
例えば、シグニチャID:1のシグニチャではExploitタイプの攻撃を検出することができる。
図9において、“Any”は特に指定しないことを示す。
“$SRC_ADDR”は、アラートの原因になったパケットの送信元IPアドレスを示す。
“$SRC_PORT”は、アラートの原因になったパケットの送信元ポート番号を示す。
“$DST_ADDR”は、アラートの原因になったパケットの送信先IPアドレスを示す。
“$DST_PORT”は、アラートの原因になったパケットの送信先ポート番号を示す。
番号が複数ある場合は[]に“,”で区切って列挙している。
指定番号以外を示す場合は、“〜”を前に付けている。
“$SRC_ADDR”は、アラートの原因になったパケットの送信元IPアドレスを示す。
“$SRC_PORT”は、アラートの原因になったパケットの送信元ポート番号を示す。
“$DST_ADDR”は、アラートの原因になったパケットの送信先IPアドレスを示す。
“$DST_PORT”は、アラートの原因になったパケットの送信先ポート番号を示す。
番号が複数ある場合は[]に“,”で区切って列挙している。
指定番号以外を示す場合は、“〜”を前に付けている。
送信元IPアドレス53は、抽出対象のパケットの送信元IPアドレスを示している。
送信元ポート番号54は、抽出対象のパケットの送信元ポート番号を示している。
送信先IPアドレス55は、抽出対象のパケットの送信先IPアドレスを示している。
送信先ポート番号56は、抽出対象のパケットの送信先ポート番号を示している。
送信元ポート番号54は、抽出対象のパケットの送信元ポート番号を示している。
送信先IPアドレス55は、抽出対象のパケットの送信先IPアドレスを示している。
送信先ポート番号56は、抽出対象のパケットの送信先ポート番号を示している。
確認時間57は、抽出時間幅と抽出時間幅の適用方向を示している。
つまり、確認時間57の数値が抽出時間幅(秒数)を表し、“:”を挟んだ数値の位置が適用方向を表している。
“:”の前の数値は、不審パケットの発生時刻から遡る抽出時間幅の秒数を示し、“:”の後の数値は、不審パケットの発生時刻に後続する抽出時間幅の秒数を示している。
例えば、“600:600”は、不審パケットの発生時刻から600秒遡った時刻から、不審パケットの発生時刻から600秒経過した時刻までの時間を指定している。
つまり、確認時間57の数値が抽出時間幅(秒数)を表し、“:”を挟んだ数値の位置が適用方向を表している。
“:”の前の数値は、不審パケットの発生時刻から遡る抽出時間幅の秒数を示し、“:”の後の数値は、不審パケットの発生時刻に後続する抽出時間幅の秒数を示している。
例えば、“600:600”は、不審パケットの発生時刻から600秒遡った時刻から、不審パケットの発生時刻から600秒経過した時刻までの時間を指定している。
サイズ58は、抽出対象のパケットのサイズを示している。
数値の場合には、サイズが数値と一致するパケット、“Any”は全てのサイズのパケットを、“Same”は同じサイズのパケットを抽出の対象とすることを示している。
数値の場合は、前に<、≦、>、≧の不等号を置いて範囲を指定する。
数値の場合には、サイズが数値と一致するパケット、“Any”は全てのサイズのパケットを、“Same”は同じサイズのパケットを抽出の対象とすることを示している。
数値の場合は、前に<、≦、>、≧の不等号を置いて範囲を指定する。
判定基準59は、抽出したパケットの個数と累計サイズとこれらの論理演算に関する判定条件を“,”で区切って示している。
パケットの個数は、“Any”は特に条件に指定しないこと、“≧m”(mは正整数)はm以上の個数のパケットがあること、“≦n”(nは正整数)はn以下の個数のパケットがあることを示している。
“+x%”(xは正整数)の場合は、不審パケットの発生時刻の前後で、パケットの個数がx%増加することを示す。
“−y%”(yは1から100の整数)の場合は、不審パケットの発生時刻の前後で、パケットの個数がy%減少することを示す。
パケットの累計サイズは、“Any”は特に条件を指定しないこと、“≧m”(mは正整数)は累計サイズがm以上であること、“≦n”(nは正整数)は累計サイズがn以下であることを示している。
“+x%”(xは正整数)の場合は、不審パケットの発生時刻の前後で、パケットの累計サイズがx%増加することを示す。
“−y%”(yは1から100の整数)の場合は、不審パケットの発生時刻の前後で、パケットの累計サイズがy%減少することを示す。
論理演算は、ANDとORがあり、ANDはパケットの個数と累計サイズがともに条件を満たしていることが必要であることを示しており、ORは何れか一方が条件を満たしていればよいことを示す。
パケットの個数は、“Any”は特に条件に指定しないこと、“≧m”(mは正整数)はm以上の個数のパケットがあること、“≦n”(nは正整数)はn以下の個数のパケットがあることを示している。
“+x%”(xは正整数)の場合は、不審パケットの発生時刻の前後で、パケットの個数がx%増加することを示す。
“−y%”(yは1から100の整数)の場合は、不審パケットの発生時刻の前後で、パケットの個数がy%減少することを示す。
パケットの累計サイズは、“Any”は特に条件を指定しないこと、“≧m”(mは正整数)は累計サイズがm以上であること、“≦n”(nは正整数)は累計サイズがn以下であることを示している。
“+x%”(xは正整数)の場合は、不審パケットの発生時刻の前後で、パケットの累計サイズがx%増加することを示す。
“−y%”(yは1から100の整数)の場合は、不審パケットの発生時刻の前後で、パケットの累計サイズがy%減少することを示す。
論理演算は、ANDとORがあり、ANDはパケットの個数と累計サイズがともに条件を満たしていることが必要であることを示しており、ORは何れか一方が条件を満たしていればよいことを示す。
攻撃者が保護対象装置5への侵入に成功していれば、攻撃者から保護対象装置5のポートに対して基盤構築のためのファイルをアップロードする通信が行われるため、通信量の増加が確認されるはずである。
1行目のエントリ(攻撃タイプ52:Exploit)では、このような観点から、“$DST_ADDR”を送信先IPアドレスとし、“$DST_PORT”を送信先ポート番号とするパケットの累計サイズが30%増加することを判定基準59としている。
また、ブラックリストに登録されているサイトと保護対象装置5との通信がなされていれば、遠隔操作のための、定期的な通信が行われるため、サイズが同じパケットの外部への通信が多数観測されるはずである。
2行目のエントリ(攻撃タイプ52:Blacklist)では、このような観点から、“$SRC_ADDR”を送信元IPアドレスとし、[80、443]を送信先ポート番号とするパケットの個数が100以上であることを判定基準59としている。
また、マルウェアが検出されたならば、保護対象装置5から外部へ許可されていない通信が観測されるはずである。
3行目のエントリ(攻撃タイプ52:Malware)では、このような観点から、“$DST_ADDR”を送信元IPアドレスとし、“〜[80,443]”を送信元ポート番号とするパケットが1つ以上あることを判定基準59としている。
1行目のエントリ(攻撃タイプ52:Exploit)では、このような観点から、“$DST_ADDR”を送信先IPアドレスとし、“$DST_PORT”を送信先ポート番号とするパケットの累計サイズが30%増加することを判定基準59としている。
また、ブラックリストに登録されているサイトと保護対象装置5との通信がなされていれば、遠隔操作のための、定期的な通信が行われるため、サイズが同じパケットの外部への通信が多数観測されるはずである。
2行目のエントリ(攻撃タイプ52:Blacklist)では、このような観点から、“$SRC_ADDR”を送信元IPアドレスとし、[80、443]を送信先ポート番号とするパケットの個数が100以上であることを判定基準59としている。
また、マルウェアが検出されたならば、保護対象装置5から外部へ許可されていない通信が観測されるはずである。
3行目のエントリ(攻撃タイプ52:Malware)では、このような観点から、“$DST_ADDR”を送信元IPアドレスとし、“〜[80,443]”を送信元ポート番号とするパケットが1つ以上あることを判定基準59としている。
選択判定部24は、確認ポイントファイル270を読み出し、セキュリティ装置4において不審パケットの検出に用いたシグニチャのシグニチャIDが記述されたエントリに記述されている確認時間57を選択する。
また、選択判定部24は、当該エントリに記述されている送信元IPアドレス53、送信元ポート番号54、送信先IPアドレス55、送信先ポート番号56及びサイズ58を選択する。
選択判定部24が選択した確認時間57は選択抽出時間幅の例に相当し、抽出部22が選択した送信元IPアドレス53、送信元ポート番号54、送信先IPアドレス55、送信先ポート番号56及びサイズ58は選択抽出条件の例に相当する。
また、選択判定部24は、検出された不審パケットの発生時刻から確認時間57分の抽出時間帯を指定する。
次に、抽出部22が、パケット情報250(図7)から、時刻32が抽出時間帯に含まれ、属性データ(送信元IPアドレス33、送信元ポート番号34、送信先IPアドレス35、送信先ポート番号36、長さ38)が選択された抽出条件(送信元IPアドレス53、送信元ポート番号54、送信先IPアドレス55、送信先ポート番号56及びサイズ58)に合致するエントリを抽出する。
その後、選択判定部24が、抽出部22により抽出されたエントリの個数(パケットの個数)及び抽出部22により抽出されたエントリに記述されたサイズの合計を、判定基準59と照合し、判定基準59に合致する場合は、選択判定部24は不審パケットにより保護対象装置5への攻撃があったと判定する。
また、選択判定部24は、当該エントリに記述されている送信元IPアドレス53、送信元ポート番号54、送信先IPアドレス55、送信先ポート番号56及びサイズ58を選択する。
選択判定部24が選択した確認時間57は選択抽出時間幅の例に相当し、抽出部22が選択した送信元IPアドレス53、送信元ポート番号54、送信先IPアドレス55、送信先ポート番号56及びサイズ58は選択抽出条件の例に相当する。
また、選択判定部24は、検出された不審パケットの発生時刻から確認時間57分の抽出時間帯を指定する。
次に、抽出部22が、パケット情報250(図7)から、時刻32が抽出時間帯に含まれ、属性データ(送信元IPアドレス33、送信元ポート番号34、送信先IPアドレス35、送信先ポート番号36、長さ38)が選択された抽出条件(送信元IPアドレス53、送信元ポート番号54、送信先IPアドレス55、送信先ポート番号56及びサイズ58)に合致するエントリを抽出する。
その後、選択判定部24が、抽出部22により抽出されたエントリの個数(パケットの個数)及び抽出部22により抽出されたエントリに記述されたサイズの合計を、判定基準59と照合し、判定基準59に合致する場合は、選択判定部24は不審パケットにより保護対象装置5への攻撃があったと判定する。
次にデータの流れについて説明する。
図10は、攻撃検知システム1内の主なデータの流れを論理的に示した図である。
図10は、図6をベースにしている。
また、図10では、プログラム群17の各プログラムは、記憶装置15からRAM13上へロードされている状態を示している。
図10は、攻撃検知システム1内の主なデータの流れを論理的に示した図である。
図10は、図6をベースにしている。
また、図10では、プログラム群17の各プログラムは、記憶装置15からRAM13上へロードされている状態を示している。
各プログラムの命令は、バス12を介してCPU11に読み込まれて実行されるが、これはコンピュータを知っている者には明らかであるため、以下の説明では、CPU11及びバス12についての説明は省略する。
つまり、以下では、CPU11がパケット情報生成プログラム210を実行することで実現される動作をパケット情報生成部21の動作として説明する。
同様に、CPU11が抽出プログラム220を実行することで実現される動作を抽出部22の動作として説明する。
同様に、CPU11が選択判定プログラム240を実行することで実現される動作を選択判定部24の動作として説明する。
同様に、CPU11がアラート処理プログラム230を実行することで実現される動作をアラート処理部23の動作として説明する。
つまり、以下では、CPU11がパケット情報生成プログラム210を実行することで実現される動作をパケット情報生成部21の動作として説明する。
同様に、CPU11が抽出プログラム220を実行することで実現される動作を抽出部22の動作として説明する。
同様に、CPU11が選択判定プログラム240を実行することで実現される動作を選択判定部24の動作として説明する。
同様に、CPU11がアラート処理プログラム230を実行することで実現される動作をアラート処理部23の動作として説明する。
ネットワーク装置3は、設定に従い、外部ネットワーク2と保護対象装置5の間で通信されるパケットを攻撃検知装置6へ送信する。
攻撃検知装置6のパケット情報生成部21が、通信ボード14を経由してこのパケットを受信し、受信したパケットのエントリをパケット情報250に追加する。
当該エントリには、図7に示すように、受信したパケットの属性データ(時刻、送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号、プロトコル、長さ、その他の情報)が記述される。
パケット情報生成部21は、ネットワーク装置3からパケットを受信する度に、受信したパケットのエントリを生成する。
パケット情報250は、記憶装置15上のパケット情報記憶部25に格納する。
当該エントリには、図7に示すように、受信したパケットの属性データ(時刻、送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号、プロトコル、長さ、その他の情報)が記述される。
パケット情報生成部21は、ネットワーク装置3からパケットを受信する度に、受信したパケットのエントリを生成する。
パケット情報250は、記憶装置15上のパケット情報記憶部25に格納する。
また、セキュリティ装置4は、シグニチャ(攻撃パターン)が含まれる不審なパケットを検知した際にアラートを、攻撃検知装置6へ送信する。
つまり、セキュリティ装置4は、確認ポイントファイル270(図9)のいずれかの攻撃タイプ52に該当する不審なパケットを検出した場合には、検出した不審なパケットを通知するアラートを攻撃検知装置6へ送信する。
アラートには、シグニチャID、発生時刻、不審なパケットの送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号が含まれる。
つまり、セキュリティ装置4は、確認ポイントファイル270(図9)のいずれかの攻撃タイプ52に該当する不審なパケットを検出した場合には、検出した不審なパケットを通知するアラートを攻撃検知装置6へ送信する。
アラートには、シグニチャID、発生時刻、不審なパケットの送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号が含まれる。
攻撃検知装置6のアラート処理部23が通信ボード14を介してこのアラートを受信し、アラートを一時的に記憶する。
そして、アラート処理部23は、アラートに含まれるシグニチャID、発生時刻、不審なパケットの送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号を含む確認要求を選択判定部24に出力する。
そして、アラート処理部23は、アラートに含まれるシグニチャID、発生時刻、不審なパケットの送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号を含む確認要求を選択判定部24に出力する。
選択判定部24は、シグニチャIDに対応する確認ポイントファイル270のエントリ(確認ポイントともいう)を記憶装置15から読み出す。
また、選択判定部24は、読み出したエントリ(確認ポイント)に示される確認時間57を抽出部22が用いる抽出時間幅として選択する。
また、選択判定部24は、読み出したエントリに示される送信元IPアドレス53、送信元ポート番号54、送信先IPアドレス55、送信先ポート番号56及びサイズ58を抽出部22が用いる抽出条件として選択する。
更に、選択判定部24は、不審パケットの発生時刻から抽出時間幅分の時間帯を抽出時間帯として指定する。
そして、選択判定部24は、抽出時間帯及び抽出条件と、アラート処理部23からの確認要求とが含まれる抽出要求を抽出部22に出力する。
また、選択判定部24は、読み出したエントリ(確認ポイント)に示される確認時間57を抽出部22が用いる抽出時間幅として選択する。
また、選択判定部24は、読み出したエントリに示される送信元IPアドレス53、送信元ポート番号54、送信先IPアドレス55、送信先ポート番号56及びサイズ58を抽出部22が用いる抽出条件として選択する。
更に、選択判定部24は、不審パケットの発生時刻から抽出時間幅分の時間帯を抽出時間帯として指定する。
そして、選択判定部24は、抽出時間帯及び抽出条件と、アラート処理部23からの確認要求とが含まれる抽出要求を抽出部22に出力する。
抽出プログラム220は、選択判定部24からのパケット取得要求に従い、該当するエントリを記憶装置15のパケット情報250から抽出し、抽出結果を選択判定部24へ返す。
選択判定部24は、抽出部22から受け取った抽出結果を、確認ポイントファイル270の判定基準59に従って解析して、攻撃の有無を判定し、判定結果をアラート処理部23へ返す。
アラート処理部23では、選択判定部24の判定結果に従い、アラートの破棄、あるいは、監視装置7へのアラート送信を行う。
次に、フローチャートを参照して、攻撃検知装置6の動作例を説明する。
図11は、パケット情報生成部21の動作例を示したフローチャートである。
パケット情報生成部21は、通信ボード14がネットワーク装置3から送られてきたパケットを受信した際に起動される。
パケット情報生成部21は、受信したパケットを、パケット情報250のデータフィールドごとに切り分ける(ステップS101)。
次に、パケット情報生成部21は、受信したパケットから、パケット情報250の新たなエントリを生成し、新たなエントリをパケット情報250に追加し、新たなエントリが追加されたパケット情報250を記憶装置15に格納する(ステップS102)。
パケット情報生成部21は、受信したパケットを、パケット情報250のデータフィールドごとに切り分ける(ステップS101)。
次に、パケット情報生成部21は、受信したパケットから、パケット情報250の新たなエントリを生成し、新たなエントリをパケット情報250に追加し、新たなエントリが追加されたパケット情報250を記憶装置15に格納する(ステップS102)。
図12は、抽出部22の動作例を示したフローチャートである。
抽出部22は、選択判定部24から抽出要求が出力された際に起動される。
抽出部22は、抽出要求の抽出時間帯及び抽出条件に合致するパケット情報250のエントリを記憶装置15から読み込む(ステップS201)。
そして、抽出部22は、読み込んだエントリを選択判定部24へ返す(ステップS202)。
抽出部22は、抽出要求の抽出時間帯及び抽出条件に合致するパケット情報250のエントリを記憶装置15から読み込む(ステップS201)。
そして、抽出部22は、読み込んだエントリを選択判定部24へ返す(ステップS202)。
図13は、アラート処理部23の動作例を示したフローチャートである。
アラート処理部23は、通信ボード14がセキュリティ装置4からのアラートを受信した際に起動される。
アラート処理部23は、受信したアラートをRAM13上に一時的に記憶する(ステップS301)。
次に、アラート処理部23は、アラートに含まれるシグニチャID、発生時刻、送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号を含む確認要求を選択判定部24に出力する(ステップS302)。
次に、アラート処理部23は、選択判定部24からの応答に含まれる判定結果をチェックする(ステップS303)。
判定結果が「誤検知」の場合には、アラート処理部23は、ステップS301で一時的にRAM13上に記憶していたアラートを廃棄する(ステップS304)。
判定結果が「攻撃検知」の場合には、アラート処理部23は、ステップS301でRAM13上に一時的に記憶していたアラートを監視装置7に送信(ステップS305)する。
アラート処理部23は、受信したアラートをRAM13上に一時的に記憶する(ステップS301)。
次に、アラート処理部23は、アラートに含まれるシグニチャID、発生時刻、送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号を含む確認要求を選択判定部24に出力する(ステップS302)。
次に、アラート処理部23は、選択判定部24からの応答に含まれる判定結果をチェックする(ステップS303)。
判定結果が「誤検知」の場合には、アラート処理部23は、ステップS301で一時的にRAM13上に記憶していたアラートを廃棄する(ステップS304)。
判定結果が「攻撃検知」の場合には、アラート処理部23は、ステップS301でRAM13上に一時的に記憶していたアラートを監視装置7に送信(ステップS305)する。
図14は、選択判定部24の動作例を示したフローチャートである。
選択判定部24は、アラート処理部23から確認要求が出力された際に起動される。
選択判定部24は、確認要求のシグニチャIDに該当する確認ポイントファイル270のエントリ(確認ポイント)を記憶装置15から読み込む(ステップS401)。
選択判定部24は、確認要求のシグニチャIDに該当する確認ポイントファイル270のエントリ(確認ポイント)を記憶装置15から読み込む(ステップS401)。
選択判定部24は、確認ポイントの確認時間57の“:”の前の数値が0よりも大きいか確認する(ステップS402)。
確認ポイントの確認時間57の“:”の前の数値が0よりも大きい場合は、選択判定部24は、不審パケットの発生時刻から“:”の前の数値分の秒数を引いた時刻から発生時刻までの時間を抽出時間帯として指定する。
また、選択判定部24は、確認ポイントに記述されている送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号を抽出条件として指定する。
そして、選択判定部24は、抽出時間帯と、抽出条件と、確認要求とが含まれる抽出要求を抽出部22に出力する(ステップS403)。
確認ポイントの確認時間57の“:”の前の数値が0の場合には、選択判定部24は、ステップS405を実行する。
確認ポイントの確認時間57の“:”の前の数値が0よりも大きい場合は、選択判定部24は、不審パケットの発生時刻から“:”の前の数値分の秒数を引いた時刻から発生時刻までの時間を抽出時間帯として指定する。
また、選択判定部24は、確認ポイントに記述されている送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号を抽出条件として指定する。
そして、選択判定部24は、抽出時間帯と、抽出条件と、確認要求とが含まれる抽出要求を抽出部22に出力する(ステップS403)。
確認ポイントの確認時間57の“:”の前の数値が0の場合には、選択判定部24は、ステップS405を実行する。
次に、選択判定部24は、確認ポイントの確認時間57の“:”の後の数値が0よりも大きいか確認する(ステップS404)。
確認ポイントの確認時間57の“:”の後の数値が0よりも大きい場合は、選択判定部24は、不審パケットの発生時刻から、発生時刻に“:”の後の数値分の秒数を足した時刻までの時間を抽出時間帯として指定する。
また、選択判定部24は、確認ポイントに記述されている送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号を抽出条件として指定する。
そして、選択判定部24は、抽出時間帯と、抽出条件と、確認要求とが含まれる抽出要求を抽出部22に出力する(ステップS405)。
確認ポイントの確認時間57の“:”の後の数値が0よりも大きい場合は、選択判定部24は、不審パケットの発生時刻から、発生時刻に“:”の後の数値分の秒数を足した時刻までの時間を抽出時間帯として指定する。
また、選択判定部24は、確認ポイントに記述されている送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号を抽出条件として指定する。
そして、選択判定部24は、抽出時間帯と、抽出条件と、確認要求とが含まれる抽出要求を抽出部22に出力する(ステップS405)。
なお、確認ポイントの確認時間57の“:”の前の数値も後の数値も0よりも大きい場合は、ステップS403を省略し、ステップS405において、不審パケットの発生時刻から“:”の前の数値分の秒数を引いた時刻から、不審パケットの発生時刻に“:”の後の数値分の秒数を足した時刻までの時間を抽出時間帯として指定し、確認ポイントに記述されている送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号を抽出条件として指定するようにしてもよい。
抽出部22から抽出結果を得た場合に、選択判定部24は、確認ポイントの判定基準59のパケットの個数に“Any”が記述されているかをチェックする(ステップS406)。
パケットの個数が“Any”でない場合には、抽出部22から取得したエントリの個数を元に、個数についての判定結果を生成する(ステップS407)。
次に、選択判定部24は、確認ポイントの判定基準59のパケットの累計サイズに“Any”が記述されているかをチェックする(ステップS408)。
パケットの累計サイズが“Any”でない場合には、抽出部22から取得したエントリに記述されている“長さ”の累積を元に、パケットの累計サイズについての判定結果を生成する(ステップS409)。
ステップS406で、確認ポイントの判定基準59のパケットの個数に“Any”が指定されている場合には、選択判定部24は、ステップS408を実行する。
ステップS408で、確認ポイントの判定基準59のパケットの累計サイズに“Any”が指定されている場合には、ステップS410を実行する。
パケットの個数が“Any”でない場合には、抽出部22から取得したエントリの個数を元に、個数についての判定結果を生成する(ステップS407)。
次に、選択判定部24は、確認ポイントの判定基準59のパケットの累計サイズに“Any”が記述されているかをチェックする(ステップS408)。
パケットの累計サイズが“Any”でない場合には、抽出部22から取得したエントリに記述されている“長さ”の累積を元に、パケットの累計サイズについての判定結果を生成する(ステップS409)。
ステップS406で、確認ポイントの判定基準59のパケットの個数に“Any”が指定されている場合には、選択判定部24は、ステップS408を実行する。
ステップS408で、確認ポイントの判定基準59のパケットの累計サイズに“Any”が指定されている場合には、ステップS410を実行する。
次に、選択判定部24は、判断基準59の論理演算に従い、パケットの個数の判定結果とパケットの累計サイズの判定結果より、検知の判定結果を生成する(ステップS410)。
次に、選択判定部24は、ステップS410で生成した検知の判定結果をアラート処理部23へ応答する(ステップS411)。
次に、選択判定部24は、ステップS410で生成した検知の判定結果をアラート処理部23へ応答する(ステップS411)。
次に、具体例を用いて、本実施の形態に係る攻撃検知装置6の動作例を説明する。
以下では、図7に示すパケット情報250が記憶装置15で記憶されていると仮定する。
以下では、図7に示すパケット情報250が記憶装置15で記憶されていると仮定する。
セキュリティ装置4において不審なパケットが検出されると、アラート処理部23は、アラートに含まれるシグニチャID、発生時刻、送信元IPアドレス、送信元ポート番号、送信先IPアドレス、送信先ポート番号を含む確認要求を選択判定部24に出力する。
ここでは、確認要求に含まれる内容は以下であるとする。
シグニチャID:1
発生時刻:2014.6.28.13:36:15.0001
送信元IPアドレス:10.0.0.100
送信元ポート番号:51355
送信先IPアドレス:192.168.1.10
送信先ポート番号:80
ここでは、確認要求に含まれる内容は以下であるとする。
シグニチャID:1
発生時刻:2014.6.28.13:36:15.0001
送信元IPアドレス:10.0.0.100
送信元ポート番号:51355
送信先IPアドレス:192.168.1.10
送信先ポート番号:80
選択判定部24は、シグニチャID:1のエントリを確認ポイントとして確認ポイントファイル270から読み出す。
確認ポイントの確認時間57には、“600:600”が記述されているので、選択判定部24は、“2014.6.28.13:26:15.0001”から“2014.6.28.13:46:15.0001”までの時間を抽出時間幅として指定する。
次に、選択判定部24は、確認ポイントの送信元IPアドレス53、送信元ポート番号54、送信先IPアドレス55、送信先ポート番号56及びサイズ58に記述されている、“Any”、“Any”、“$DST_ADDR”、“$DST_PORT”、“Any”を抽出条件として指定する。
そして、選択判定部24は、抽出時間幅と、抽出条件と、アラート処理部23からの確認要求が含まれる抽出要求を抽出部22に出力する。
確認ポイントの確認時間57には、“600:600”が記述されているので、選択判定部24は、“2014.6.28.13:26:15.0001”から“2014.6.28.13:46:15.0001”までの時間を抽出時間幅として指定する。
次に、選択判定部24は、確認ポイントの送信元IPアドレス53、送信元ポート番号54、送信先IPアドレス55、送信先ポート番号56及びサイズ58に記述されている、“Any”、“Any”、“$DST_ADDR”、“$DST_PORT”、“Any”を抽出条件として指定する。
そして、選択判定部24は、抽出時間幅と、抽出条件と、アラート処理部23からの確認要求が含まれる抽出要求を抽出部22に出力する。
抽出部22は、抽出要求に従ってパケット情報250を探索する。
具体的には、抽出部22は、時刻32に記述されている時刻が、抽出時間幅である“2014.6.28.13:26:15.0001”−“2014.6.28.13:46:15.0001”の範囲に含まれ、抽出条件に合致するエントリをパケット情報250から抽出する。
例えば、図7の1行目では、時刻32に記述されている時刻は抽出時間幅に含まれる。
また、図7の1行目の送信先IPアドレスは“192.168.1.10”であり、送信先IPアドレスの抽出条件“$DST_ADDR”に合致し、送信先ポート番号は“80”であり、送信先ポート番号の抽出条件“$DST_PORT”に合致する。
また、送信元IPアドレスの抽出条件と送信元ポート番号の抽出条件とサイズの抽出条件は“Any”である。
このため、抽出部22は、図7の1行目のエントリを抽出する。
抽出部22は、時刻32に記述される時刻が抽出時間幅に含まれるエントリに対して、同様の照合を行い、抽出したエントリを選択判定部24に出力する。
具体的には、抽出部22は、時刻32に記述されている時刻が、抽出時間幅である“2014.6.28.13:26:15.0001”−“2014.6.28.13:46:15.0001”の範囲に含まれ、抽出条件に合致するエントリをパケット情報250から抽出する。
例えば、図7の1行目では、時刻32に記述されている時刻は抽出時間幅に含まれる。
また、図7の1行目の送信先IPアドレスは“192.168.1.10”であり、送信先IPアドレスの抽出条件“$DST_ADDR”に合致し、送信先ポート番号は“80”であり、送信先ポート番号の抽出条件“$DST_PORT”に合致する。
また、送信元IPアドレスの抽出条件と送信元ポート番号の抽出条件とサイズの抽出条件は“Any”である。
このため、抽出部22は、図7の1行目のエントリを抽出する。
抽出部22は、時刻32に記述される時刻が抽出時間幅に含まれるエントリに対して、同様の照合を行い、抽出したエントリを選択判定部24に出力する。
選択判定部24では、抽出部22からの抽出結果と確認ポイントの判定基準59とを比較する。
確認ポイントの判定基準59は、“Any,+30%,AND”である。
パケットの個数の判定基準は“Any”であるため、選択判定部24は、図14のステップS407は行わない。
一方、パケットの累計サイズの判定基準は“+30%”であるため、選択判定部24は、図14のステップS409を行う。
つまり、選択判定部24は、抽出部22から出力されたエントリの長さ38の欄に記載のサイズに基づき、不審パケットの発生時刻より前の累計サイズと、不審パケットの発生時刻以後の累計サイズを算出する。
そして、発生時刻後の累計サイズが、発生時刻より前の累計サイズに比べて30%以上大きい場合は、選択判定部24は、不審パケットにより保護対象装置5への攻撃が発生していると判定する。
確認ポイントの判定基準59は、“Any,+30%,AND”である。
パケットの個数の判定基準は“Any”であるため、選択判定部24は、図14のステップS407は行わない。
一方、パケットの累計サイズの判定基準は“+30%”であるため、選択判定部24は、図14のステップS409を行う。
つまり、選択判定部24は、抽出部22から出力されたエントリの長さ38の欄に記載のサイズに基づき、不審パケットの発生時刻より前の累計サイズと、不審パケットの発生時刻以後の累計サイズを算出する。
そして、発生時刻後の累計サイズが、発生時刻より前の累計サイズに比べて30%以上大きい場合は、選択判定部24は、不審パケットにより保護対象装置5への攻撃が発生していると判定する。
以上のように、本実施の形態によれば、検証用ネットワークを設けることなく、保護対象装置への攻撃の有無を判定することができる。
また、本実施の形態では、セキュリティ装置がシグニチャに基づいて検出したパケットの攻撃タイプに応じて、当該パケットの発生時刻の前の発生時刻のパケット、あるいは後の発生時刻のパケット、または前の発生時刻のパケットと後の発生時刻のパケットを分析する。
このため、検証用ネットワークを用いることによる検知漏れ又は誤検知を回避することができる。
また、本実施の形態では、セキュリティ装置がシグニチャに基づいて検出したパケットの攻撃タイプに応じて、当該パケットの発生時刻の前の発生時刻のパケット、あるいは後の発生時刻のパケット、または前の発生時刻のパケットと後の発生時刻のパケットを分析する。
このため、検証用ネットワークを用いることによる検知漏れ又は誤検知を回避することができる。
なお、本実施の形態では、判定結果が「誤検知」の場合には、アラート処理部23がアラートを廃棄したが、アラートを廃棄せずに、アラートのレベルを「低」(または、「1」)にした後に、アラートを監視装置7に送信するようにすることもできる。
実施の形態2.
以上の実施の形態1では、確認ポイントファイル270は、システム管理者がエディタ等を使って作成するようにしたものであるが、次にツールを使って作成する実施の形態を示す。
以下では、主に実施の形態1との差分を説明する。
以下で説明していない事項は、実施の形態1で説明したものと同様である。
以上の実施の形態1では、確認ポイントファイル270は、システム管理者がエディタ等を使って作成するようにしたものであるが、次にツールを使って作成する実施の形態を示す。
以下では、主に実施の形態1との差分を説明する。
以下で説明していない事項は、実施の形態1で説明したものと同様である。
図15は、本実施の形態に係る攻撃検知装置6のハードウェア資源の一例を示す図である。
図15では、図3のハードウェア資源と比較して、ディスプレイ61、キーボード62、マウス63が追加されている。
図15では、図3のハードウェア資源と比較して、ディスプレイ61、キーボード62、マウス63が追加されている。
図16は、本実施の形態に係る攻撃検知装置6の機能構成例を示す。
図16の構成では、図5の構成と比較して、確認ポイント生成部28が追加されている。
確認ポイント生成部28は、ユーザ(システム管理者)の指示に従って、確認ポイントファイル270の定義内容を変更する。
確認ポイント生成部28は、定義情報変更部の例に相当する。
また、図15では図示を省略しているが、確認ポイント生成部28を実現する確認ポイント生成プログラムがプログラム群17に含まれている。
CPU11が確認ポイント生成プログラムを実行することで、以下に説明する確認ポイント生成部28の機能が実現される。
図16の構成では、図5の構成と比較して、確認ポイント生成部28が追加されている。
確認ポイント生成部28は、ユーザ(システム管理者)の指示に従って、確認ポイントファイル270の定義内容を変更する。
確認ポイント生成部28は、定義情報変更部の例に相当する。
また、図15では図示を省略しているが、確認ポイント生成部28を実現する確認ポイント生成プログラムがプログラム群17に含まれている。
CPU11が確認ポイント生成プログラムを実行することで、以下に説明する確認ポイント生成部28の機能が実現される。
図17は、確認ポイント生成部28の操作画面イメージを示す。
操作画面には、確認ポイント説明610が表示され、確認ポイントの変更が可能な部分に対して、入力フィールドが表示される(図17の場合は、符号620と符号630)。
図17は、図9のシグニチャID:1の確認ポイントについての操作画面である。
符号620は、確認時間57の秒数(600:600)が変更可能であることを示している。
符号630は、判定基準59の累計サイズの基準(+30%)が変更可能であることを示している。
確認ポイント説明610の下には、保存ボタン640、終了ボタン650、前のシグニチャへの移動ボタン660、次のシグニチャへの移動ボタン670が表示される。
図17の例では、確認時間57の秒数と判定基準59の累計サイズの基準が変更可能な例を示しているが、他の項目を変更の対象にすることも可能である。
操作画面には、確認ポイント説明610が表示され、確認ポイントの変更が可能な部分に対して、入力フィールドが表示される(図17の場合は、符号620と符号630)。
図17は、図9のシグニチャID:1の確認ポイントについての操作画面である。
符号620は、確認時間57の秒数(600:600)が変更可能であることを示している。
符号630は、判定基準59の累計サイズの基準(+30%)が変更可能であることを示している。
確認ポイント説明610の下には、保存ボタン640、終了ボタン650、前のシグニチャへの移動ボタン660、次のシグニチャへの移動ボタン670が表示される。
図17の例では、確認時間57の秒数と判定基準59の累計サイズの基準が変更可能な例を示しているが、他の項目を変更の対象にすることも可能である。
次に、図18のフローチャートを参照して、確認ポイント生成部28の動作例を説明する。
確認ポイント生成部28が起動されると、確認ポイント生成部28は内部変数のシグニチャIDを1にセットする(ステップS501)。
次に、確認ポイント生成部28は内部変数のシグニチャIDにセットされているシグニチャIDの確認ポイントを確認ポイントファイル270から読み込み、読み込んだ確認ポイントの内容を確認ポイント説明610に表示する。
ユーザからボタンが押下された際に、確認ポイント生成部28は、どのボタンが押下されたかをチェックする(ステップS503)。
前のシグニチャへの移動ボタン660が押下された場合、確認ポイント生成部28は、シグニチャIDを1減らし(ステップS504)、ステップS502からの処理を繰り返す。
次のシグニチャへの移動ボタン670が押下された場合、確認ポイント生成部28は、シグニチャIDを1増やし(ステップS505)、ステップS502からの処理を繰り返す。
保存ボタン640が押下された場合、確認ポイント生成部28は、入力フィールドの内容を、確認ポイントファイル270の該当するシグニチャIDのエントリへ書き込み(ステップS505)、ステップS502からの処理を繰り返す。
終了ボタン650が押下された場合には、確認ポイント生成部28は、処理を終了する。
次に、確認ポイント生成部28は内部変数のシグニチャIDにセットされているシグニチャIDの確認ポイントを確認ポイントファイル270から読み込み、読み込んだ確認ポイントの内容を確認ポイント説明610に表示する。
ユーザからボタンが押下された際に、確認ポイント生成部28は、どのボタンが押下されたかをチェックする(ステップS503)。
前のシグニチャへの移動ボタン660が押下された場合、確認ポイント生成部28は、シグニチャIDを1減らし(ステップS504)、ステップS502からの処理を繰り返す。
次のシグニチャへの移動ボタン670が押下された場合、確認ポイント生成部28は、シグニチャIDを1増やし(ステップS505)、ステップS502からの処理を繰り返す。
保存ボタン640が押下された場合、確認ポイント生成部28は、入力フィールドの内容を、確認ポイントファイル270の該当するシグニチャIDのエントリへ書き込み(ステップS505)、ステップS502からの処理を繰り返す。
終了ボタン650が押下された場合には、確認ポイント生成部28は、処理を終了する。
このように、本実施の形態によれば、攻撃タイプに合わせて、確認ポイントの説明を、システム管理者に表示し、確認時間や抽出条件をパラメータとして示すことで、システム管理者は、容易に確認ポイントを設定することができる。
以上、本発明の実施の形態について説明したが、これら2つの実施の形態を組み合わせて実施しても構わない。
あるいは、これら2つの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これら2つの実施の形態を部分的に組み合わせて実施しても構わない。
なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。
あるいは、これら2つの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これら2つの実施の形態を部分的に組み合わせて実施しても構わない。
なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。
1 攻撃検知システム、2 外部ネットワーク、3 ネットワーク装置、4 セキュリティ装置、5 保護対象装置、6 攻撃検知装置、7 監視装置、11 CPU、12 バス、13 RAM、14 通信ボード、15 記憶装置、16 OS、17 プログラム群、18 データ群、19 ROM、21 パケット情報生成部、22 抽出部、23 アラート処理部、24 選択判定部、25 パケット情報記憶部、26 保護対象装置テーブル記憶部、27 確認ポイントファイル記憶部、28 確認ポイント生成部、61 ディスプレイ、62 キーボード、63 マウス、210 パケット情報生成プログラム、220 抽出プログラム、230 アラート処理プログラム、240 選択判定プログラム、250 パケット情報、260 保護対象装置テーブル、270 確認ポイントファイル。
Claims (10)
- 送信元が保護対象装置であるパケットと送信先が前記保護対象装置であるパケットを収集する情報処理装置であって、
収集されたパケットごとにエントリを設け、各エントリに、パケットの発生時刻とともにパケットの属性データを記述してパケット情報を生成するパケット情報生成部と、
攻撃の複数の類型が示され、類型ごとに、抽出時間幅と抽出条件とが定義されている定義情報を記憶する定義情報記憶部と、
送信元が前記保護対象装置であるパケットと送信先が前記保護対象装置であるパケットの中から前記複数の類型のうちのいずれかの類型に該当するパケットが検出された際に、検出された検出パケットの類型に対して前記定義情報で定義されている抽出時間幅と抽出条件とを選択抽出時間幅と選択抽出条件として選択し、前記検出パケットの発生時刻から前記選択抽出時間幅分の抽出時間帯を指定する選択部と、
発生時刻が前記抽出時間帯に含まれ、属性データが前記選択抽出条件に合致するエントリを前記パケット情報から抽出する抽出部と、
前記抽出部の抽出結果に基づき、前記保護対象装置への攻撃の有無を判定する判定部とを有することを特徴とする情報処理装置。 - 前記定義情報記憶部は、
攻撃の類型ごとに、前記抽出時間幅と前記抽出条件とともに、前記抽出時間幅の適用方向が定義されている定義情報を記憶しており、
前記選択部は、
前記定義情報において前記検出パケットの類型に対して前記抽出時間幅の適用方向として前方が定義されている場合に、前記検出パケットの発生時刻から前記選択抽出時間幅分遡った抽出時間帯を指定し、
前記定義情報において前記検出パケットの類型に対して前記抽出時間幅の適用方向として後方が定義されている場合に、前記検出パケットの発生時刻に後続する前記選択抽出時間幅分の抽出時間帯を指定し、
前記定義情報において前記検出パケットの類型に対して前記抽出時間幅の適用方向として前方と後方とが定義されている場合に、前記検出パケットの発生時刻から前記選択抽出時間幅分遡った抽出時間帯と前記検出パケットの発生時刻に後続する前記選択抽出時間幅分の抽出時間帯とを指定することを特徴とする請求項1に記載の情報処理装置。 - 前記パケット情報生成部は、
各エントリに、前記属性データとして、収集されたパケットの送信元アドレス、送信元ポート番号、送信先アドレス、送信先ポート番号、通信プロトコル及びパケットサイズが記述されるパケット情報を生成し、
前記定義情報記憶部は、
前記抽出条件として、前記送信元アドレスについての条件、前記送信元ポート番号についての条件、前記送信先アドレスについての条件、前記送信先ポート番号についての条件、前記通信プロトコルについての条件及び前記パケットサイズについての条件の少なくともいずれかが定義されている定義情報を記憶していることを特徴とする請求項1に記載の情報処理装置。 - 前記定義情報記憶部は、
攻撃の類型ごとに、前記抽出時間幅と前記抽出条件とともに、前記保護対象装置に対する攻撃の有無を判定するための判定基準が定義されている定義情報を記憶しており、
前記判定部は、
前記抽出部の抽出結果と、前記検出パケットの類型に対して前記定義情報で定義されている判定基準とに基づき、前記保護対象装置への攻撃の有無を判定することを特徴とする請求項1に記載の情報処理装置。 - 前記選択部は、
送信元が前記保護対象装置であるパケットと送信先が前記保護対象装置であるパケットを検査するセキュリティ装置により前記複数の類型のうちのいずれかの類型に該当するパケットが検出された際に、前記選択抽出時間幅と前記選択抽出条件とを選択することを特徴とする請求項1に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記判定部の判定の結果、前記保護対象装置への攻撃が検知された場合に、アラートを出力するアラート処理部を有することを特徴とする請求項1に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記情報処理装置のユーザの指示に従って、前記定義情報に定義されている抽出時間幅及び抽出条件の少なくともいずれかを変更する定義情報変更部を有することを特徴とする請求項1に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記情報処理装置のユーザの指示に従って、前記定義情報に定義されている判定基準を変更する定義情報変更部を有することを特徴とする請求項4に記載の情報処理装置。 - 送信元が保護対象装置であるパケットと送信先が前記保護対象装置であるパケットを収集するコンピュータが行う情報処理方法であって、
前記コンピュータが、収集されたパケットごとにエントリを設け、各エントリに、パケットの発生時刻とともにパケットの属性データを記述してパケット情報を生成し、
前記コンピュータが、攻撃の複数の類型が示され、類型ごとに、抽出時間幅と抽出条件とが定義されている定義情報を記憶領域から読み出し、
送信元が前記保護対象装置であるパケットと送信先が前記保護対象装置であるパケットの中から前記複数の類型のうちのいずれかの類型に該当するパケットが検出された際に、前記コンピュータが、検出された検出パケットの類型に対して前記定義情報で定義されている抽出時間幅と抽出条件とを選択抽出時間幅と選択抽出条件として選択し、前記検出パケットの発生時刻から前記選択抽出時間幅分の抽出時間帯を指定し、
発生時刻が前記抽出時間帯に含まれ、属性データが前記選択抽出条件に合致するエントリを前記パケット情報から抽出し、
前記コンピュータが、抽出結果に基づき、前記保護対象装置への攻撃の有無を判定することを特徴とする情報処理方法。 - 送信元が保護対象装置であるパケットと送信先が前記保護対象装置であるパケットを収集するコンピュータに、
収集されたパケットごとにエントリを設け、各エントリに、パケットの発生時刻とともにパケットの属性データを記述してパケット情報を生成するパケット情報生成処理と、
攻撃の複数の類型が示され、類型ごとに、抽出時間幅と抽出条件とが定義されている定義情報を記憶領域から読み出す定義情報読み出し処理と、
送信元が前記保護対象装置であるパケットと送信先が前記保護対象装置であるパケットの中から前記複数の類型のうちのいずれかの類型に該当するパケットが検出された際に、検出された検出パケットの類型に対して前記定義情報で定義されている抽出時間幅と抽出条件とを選択抽出時間幅と選択抽出条件として選択し、前記検出パケットの発生時刻から前記選択抽出時間幅分の抽出時間帯を指定する選択処理と、
発生時刻が前記抽出時間帯に含まれ、属性データが前記選択抽出条件に合致するエントリを前記パケット情報から抽出する抽出処理と、
前記抽出処理の抽出結果に基づき、前記保護対象装置への攻撃の有無を判定する判定処理とを実行させることを特徴とするプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2014/073691 WO2016038662A1 (ja) | 2014-09-08 | 2014-09-08 | 情報処理装置及び情報処理方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6067195B2 true JP6067195B2 (ja) | 2017-01-25 |
| JPWO2016038662A1 JPWO2016038662A1 (ja) | 2017-04-27 |
Family
ID=55458455
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016547271A Expired - Fee Related JP6067195B2 (ja) | 2014-09-08 | 2014-09-08 | 情報処理装置及び情報処理方法及びプログラム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9794274B2 (ja) |
| JP (1) | JP6067195B2 (ja) |
| CN (1) | CN106576072B (ja) |
| WO (1) | WO2016038662A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6869100B2 (ja) | 2017-05-12 | 2021-05-12 | 株式会社Pfu | 情報処理装置、不正活動分類方法および不正活動分類用プログラム |
| JP7014125B2 (ja) * | 2018-10-12 | 2022-02-01 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
| CN113039411A (zh) * | 2018-11-28 | 2021-06-25 | 三菱电机株式会社 | 攻击消除装置、攻击消除方法以及攻击消除程序 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005229573A (ja) * | 2004-02-13 | 2005-08-25 | Lg N-Sys Inc | ネットワーク保安システム及びその動作方法 |
| JP2007164313A (ja) * | 2005-12-12 | 2007-06-28 | Mitsubishi Electric Corp | 不正アクセス検知装置 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6279113B1 (en) * | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
| US7941855B2 (en) * | 2003-04-14 | 2011-05-10 | New Mexico Technical Research Foundation | Computationally intelligent agents for distributed intrusion detection system and method of practicing same |
| JP2005057522A (ja) | 2003-08-05 | 2005-03-03 | Kddi Corp | ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム |
| US7873997B2 (en) * | 2004-03-12 | 2011-01-18 | New Jersey Institute Of Technology | Deterministic packet marking |
| US20060037077A1 (en) * | 2004-08-16 | 2006-02-16 | Cisco Technology, Inc. | Network intrusion detection system having application inspection and anomaly detection characteristics |
| EP1806888B1 (en) | 2004-10-28 | 2012-04-25 | Nippon Telegraph And Telephone Corporation | Denial-of-service attack detecting system, and denial-of-service attack detecting method |
| JP2006148778A (ja) | 2004-11-24 | 2006-06-08 | Nippon Telegr & Teleph Corp <Ntt> | パケット転送制御装置 |
| JP4545647B2 (ja) | 2005-06-17 | 2010-09-15 | 富士通株式会社 | 攻撃検知・防御システム |
| US7746862B1 (en) * | 2005-08-02 | 2010-06-29 | Juniper Networks, Inc. | Packet processing in a multiple processor system |
| JP4668092B2 (ja) | 2006-03-03 | 2011-04-13 | 三菱電機株式会社 | 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム |
| US8307430B1 (en) * | 2007-01-30 | 2012-11-06 | Riorey, Inc. | Method and system for UDP flood attack detection |
| JP4889618B2 (ja) | 2007-11-29 | 2012-03-07 | 三菱電機株式会社 | データ処理装置及びデータ処理方法及びプログラム |
| US8339959B1 (en) * | 2008-05-20 | 2012-12-25 | Juniper Networks, Inc. | Streamlined packet forwarding using dynamic filters for routing and security in a shared forwarding plane |
| JP5264470B2 (ja) | 2008-12-26 | 2013-08-14 | 三菱電機株式会社 | 攻撃判定装置及びプログラム |
| JP2011198149A (ja) * | 2010-03-19 | 2011-10-06 | Toshiba Corp | セキュリティリスク検出システム |
| JP5454363B2 (ja) * | 2010-06-02 | 2014-03-26 | 富士通株式会社 | 解析プログラム、解析装置および解析方法 |
| US9660894B2 (en) * | 2011-04-19 | 2017-05-23 | Mitsubishi Electric Corporation | Network analysis assistance device, network assessment device, network analysis assistance method, network assessment method, network analysis assistance program and network assessment program |
| JP5792654B2 (ja) * | 2012-02-15 | 2015-10-14 | 株式会社日立製作所 | セキュリティ監視システムおよびセキュリティ監視方法 |
-
2014
- 2014-09-08 WO PCT/JP2014/073691 patent/WO2016038662A1/ja active Application Filing
- 2014-09-08 JP JP2016547271A patent/JP6067195B2/ja not_active Expired - Fee Related
- 2014-09-08 US US15/502,969 patent/US9794274B2/en not_active Expired - Fee Related
- 2014-09-08 CN CN201480081284.XA patent/CN106576072B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005229573A (ja) * | 2004-02-13 | 2005-08-25 | Lg N-Sys Inc | ネットワーク保安システム及びその動作方法 |
| JP2007164313A (ja) * | 2005-12-12 | 2007-06-28 | Mitsubishi Electric Corp | 不正アクセス検知装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9794274B2 (en) | 2017-10-17 |
| WO2016038662A1 (ja) | 2016-03-17 |
| CN106576072A (zh) | 2017-04-19 |
| CN106576072B (zh) | 2018-06-12 |
| US20170237751A1 (en) | 2017-08-17 |
| JPWO2016038662A1 (ja) | 2017-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2017200969B2 (en) | Path scanning for the detection of anomalous subgraphs and use of dns requests and host agents for anomaly/change detection and network situational awareness | |
| EP3068095B1 (en) | Monitoring apparatus and method | |
| US9479528B2 (en) | Signature rule processing method, server, and intrusion prevention system | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| JPWO2014119669A1 (ja) | ログ分析装置、情報処理方法及びプログラム | |
| CN110572412A (zh) | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 | |
| JP6523582B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| US9866575B2 (en) | Management and distribution of virtual cyber sensors | |
| JP6067195B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| JP4161989B2 (ja) | ネットワーク監視システム | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| KR20190098492A (ko) | 지능형 보안 시스템 및 방법 | |
| EP3338405B1 (en) | System and method for detecting attacks on mobile ad hoc networks based on network flux | |
| KR101987031B1 (ko) | 네트워크 관제를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치 | |
| KR101986738B1 (ko) | 네트워크 관제 서비스를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치 | |
| US20150222648A1 (en) | Apparatus for analyzing the attack feature dna and method thereof | |
| JP3822588B2 (ja) | 不正アクセス検出装置、不正アクセス検出方法、および管理端末 | |
| JP2009129332A (ja) | ポリシ生成システム、プログラム、および記録媒体 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
| WO2019123449A1 (en) | A system and method for analyzing network traffic | |
| CN109302401A (zh) | 信息安全防护方法及装置 | |
| JP4572906B2 (ja) | 端末監視システム | |
| WO2017021706A1 (en) | Probabilistic processor monitoring | |
| KR101610893B1 (ko) | 세션 로그 처리 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20161102 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161122 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161220 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6067195 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |