JP6320329B2 - White list creation device - Google Patents
White list creation device Download PDFInfo
- Publication number
- JP6320329B2 JP6320329B2 JP2015049775A JP2015049775A JP6320329B2 JP 6320329 B2 JP6320329 B2 JP 6320329B2 JP 2015049775 A JP2015049775 A JP 2015049775A JP 2015049775 A JP2015049775 A JP 2015049775A JP 6320329 B2 JP6320329 B2 JP 6320329B2
- Authority
- JP
- Japan
- Prior art keywords
- white list
- unit
- rule
- data
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明の実施形態は、ホワイトリスト作成装置に関する。 Embodiments described herein relate generally to a white list creation apparatus.
従来、監視対象箇所を通過するデータを監視し、予め定められたルール(いわゆるブラックリスト)に該当するデータを遮断ないし除外することが行われている。また、このルールを適宜変更する技術が知られている。しかしながら、従来の技術では、データを遮断ないし除外するためのルールではなく、データを許可するためのルール(いわゆるホワイトリスト)を好適に作成することができない場合があった。 Conventionally, data passing through a monitoring target location is monitored, and data corresponding to a predetermined rule (so-called black list) is blocked or excluded. Further, a technique for appropriately changing this rule is known. However, in the conventional technique, there are cases where it is not possible to suitably create a rule for allowing data (a so-called white list) rather than a rule for blocking or excluding data.
セキュリティ監視機能を実行するセキュリティ監視用装置は1台あたりの性能があらかじめ想定されており、また、監視対象セグメント一つに対して1つ設置、あるいはルータやサーバに対して1ずつ設置、のように装置の配置場所や台数の制限がある場合が多い。 The performance of each security monitoring device that executes the security monitoring function is assumed in advance, and one device is installed for each monitored segment, or one device is installed for each router or server. In many cases, there are restrictions on the location and number of devices.
セキュリティ監視機能に求められる要件には、検査対象データの検査処理を全て完了することがある。例えば、1秒当たり10件のデータが検査対象として生じる場合は、1件のデータ処理時間は1/10秒以下であることが求められる。検査対象のデータが処理性能を超えて発生している場合、全てのデータを時間内に検査することができない。そのような場合の対応方法としては、定期的あるいは処理能力を超えた時点で、一部のデータを検査対象から外す、すなわち検査をせずに廃棄することが一般的である。この場合、検査対象から漏れたデータに正しくないデータが含まれていても、検査できないため、監視機能の利用者は、不正なデータに気づくことができない。 A requirement required for the security monitoring function is to complete all inspection processing of inspection target data. For example, when 10 data items per second are generated as inspection targets, the data processing time for one data item is required to be 1/10 second or less. When the data to be inspected is generated exceeding the processing performance, all the data cannot be inspected in time. As a countermeasure method in such a case, it is general that some data is excluded from the inspection target at regular intervals or when the processing capacity is exceeded, that is, discarded without inspection. In this case, even if incorrect data is included in the data leaked from the inspection target, since the inspection cannot be performed, the user of the monitoring function cannot recognize the illegal data.
また、セキュリティ監視機能の性能は、監視機能が実行される監視用装置の性能と、検査ルールの内容と数に依存している。監視用装置の性能を事前に十分なものにして対応することも可能だが、監視対象データ量が想定より多い場合や急な増加などに対応することはできない。検査ルールの内容と数は、現在経験則に基づいて単純化したり減らしたりして対応しているが、この場合、不必要に減らしすぎてしまう問題や、監視強度に偏りが起きてしまう問題がある。 The performance of the security monitoring function depends on the performance of the monitoring device that executes the monitoring function, and the contents and number of inspection rules. Although it is possible to handle the monitoring device with sufficient performance in advance, it is not possible to cope with a case where the amount of data to be monitored is larger than expected or a sudden increase. The content and number of inspection rules are currently simplified or reduced based on empirical rules. However, in this case, there are problems that are unnecessarily reduced or that the monitoring intensity is biased. is there.
本発明が解決しようとする課題は、監視装置の性能と使用環境に応じたホワイトリストを作成することができるホワイトリスト作成装置を提供することである。 The problem to be solved by the present invention is to provide a white list creation device capable of creating a white list according to the performance and usage environment of a monitoring device.
実施形態のホワイトリスト作成装置は、取得部と、決定部とを持つ。取得部は、監視対象システムからログを取得する。決定部は、前記取得部により取得されたログの内容および数と、データが許可されたものか否かを検知するための検知ルールを定めたホワイトリストを使用して前記監視対象システムの監視を行う監視装置の性能とに基づいて、前記ホワイトリストの内容を決定する。 The white list creation device of the embodiment has an acquisition unit and a determination unit. The acquisition unit acquires a log from the monitoring target system. The determination unit monitors the monitoring target system by using a white list that defines the content and number of logs acquired by the acquisition unit and a detection rule for detecting whether the data is permitted or not. The content of the white list is determined based on the performance of the monitoring device to be performed.
以下、実施形態のホワイトリスト作成装置を、図面を参照して説明する。 Hereinafter, a white list creation apparatus according to an embodiment will be described with reference to the drawings.
図1は、実施形態のホワイトリスト作成装置1が使用される環境の一例を示す図である。ホワイトリスト作成装置1は、セキュリティ監視装置100が使用するホワイトリストWLを作成する装置である。セキュリティ監視装置100は、ホワイトリストWLを使用して、監視対象システムTSを監視する。監視対象システムTSは、例えば、複数の通信ノードND(1)、ND(2)、ND(3)、ND(4)と、ネットワークNWと各通信ノードとを接続するルータRTとを含む。セキュリティ監視装置100は、監視対象システムTS上の通信パケットや通信データ、システムログなどの検査対象データを随時取得し、ホワイトリストWLを使用して、これらの検査対象データが正当なものかどうか(許可されたものかどうか)をチェックする。これによって、セキュリティ監視装置100は、サイバー攻撃や、悪意のある振る舞いを検知する。
FIG. 1 is a diagram illustrating an example of an environment in which the
ホワイトリストWLとは、検査対象データが許可されたデータかどうかを検知するための検知ルールを列挙したデータである。この検知ルールは、許可されたアプリケーション起動記録や通信パケット、通信データ等のデータの特徴を示すものであり、複数の構成要素(パラメータ)の値で構成される。以下、検知ルールの形態(いずれのパラメータを要求するものであるか)を、「パターン」と称する。 The white list WL is data that lists detection rules for detecting whether the inspection target data is permitted data. This detection rule indicates the characteristics of data such as permitted application activation records, communication packets, and communication data, and is composed of values of a plurality of components (parameters). Hereinafter, the form of the detection rule (which parameter is required) is referred to as a “pattern”.
図2は、ホワイトリストWLの内容の一例を示す図である。図2の例では、検知ルール1、2共に、3種類のパラメータ(送信元IP(Internet Protocol)アドレス、受信先IPアドレス、およびプロトコル)が一致することを要求するパターンを備えている。
FIG. 2 is a diagram illustrating an example of the contents of the white list WL. In the example of FIG. 2, both
アプリケーション起動記録を検知する場合、検知ルールのパターンは、「実行マシン識別子」と「アプリケーション名」の組や、「実行マシン識別子」と「サービス名や関数名」の組のような、アプリケーションの起動に関係するパラメータを含むように構成される。また、通信パケットや通信データを検知する場合、検知ルールのパターンは、「送信元の識別情報」、「受信先の識別情報」、「受信先のポート番号」、「通信プロトコル」、「データに含まれるキーワード」等のパラメータの組み合わせを含むように構成される。これらのパラメータは、個別の情報でも、グループでも、“any”のような全てを表すものでもよい。例えば、「実行マシン識別子=”A”、アプリケーション名=”B”」のような、特定のマシンと特定のアプリケーションの組み合わせで規定されてもよいし、「実行マシン識別子=”any”、アプリケーション名=”B”」のような、実行するマシンに関係なく、アプリケーションBの実行が正しいというように規定することも可能である。図2における項目が空欄となっているパラメータは、上記”any”に相当する。検知パターンには、事象の発生時刻や発生頻度などのパラメータを追加することも可能である。 When detecting an application startup record, the detection rule pattern is an application startup such as a pair of “execution machine identifier” and “application name” or a combination of “execution machine identifier” and “service name or function name”. Is configured to include parameters related to. In addition, when detecting communication packets and communication data, the detection rule patterns are “transmission source identification information”, “reception destination identification information”, “reception destination port number”, “communication protocol”, “data It is configured to include a combination of parameters such as “included keyword”. These parameters may represent individual information, groups, or all such as “any”. For example, it may be specified by a combination of a specific machine and a specific application such as “execution machine identifier =“ A ”, application name =“ B ””, or “execution machine identifier =“ any ”, application name It is also possible to specify that execution of application B is correct regardless of the machine to be executed, such as “=“ B ””. The parameter in which the item in FIG. 2 is blank corresponds to the above “any”. Parameters such as event occurrence time and occurrence frequency can be added to the detection pattern.
ここで、検知ルールは、監視対象システムTSの構成に応じてカスタマイズされるものであるため、監視対象システムTS毎に、検知ルール数、パターン、パラメータ数共に異なるものとなる場合がある。この点は、ホワイトリストWLではなく、データを遮断ないし除外するためのルールを定めたブラックリストを使用する場合と相違する。ブラックリストを使用する場合、セキュリティレベルの設定によってルールの適用程度が調整されるものの、監視対象システムTSの構成に応じてルール自体が根本から再構成されるようなことは少ないからである。 Here, since the detection rule is customized according to the configuration of the monitoring target system TS, the number of detection rules, the pattern, and the number of parameters may be different for each monitoring target system TS. This is different from the case of using a black list that defines a rule for blocking or excluding data, instead of the white list WL. This is because, when the black list is used, although the degree of application of the rule is adjusted by setting the security level, the rule itself is rarely reconfigured based on the configuration of the monitored system TS.
図3は、セキュリティ監視装置100により実行される処理の流れを示すフローチャートである。まず、セキュリティ監視装置100は、ホワイトリストWLから検知ルールを読み込む(ステップS200)。
FIG. 3 is a flowchart showing a flow of processing executed by the
次に、セキュリティ監視装置100は、ルータRT等から検査対象データを取得し(ステップS202)、検知ルールと検査対象データの内容を、パラメータ毎に照合する(ステップS204)。そして、セキュリティ監視装置100は、検査対象データがいずれか一つの検知ルールと、全てのパラメータで一致したか否かを判定する(ステップS206)。検査対象データがいずれの検知ルールとも、全てのパラメータで一致しなかった場合、セキュリティ監視装置100は、警告通知等、一致しないときの処理を実行する(ステップS208)。セキュリティ監視装置100は、ステップS202からステップS208の処理を繰り返し実行する。
Next, the
図1に示すホワイトリスト作成装置1は、取得ログデータの内容や、セキュリティ監視装置100の性能等に基づいて、ホワイトリストWLの内容を決定する。ホワイトリスト作成装置1は、例えば、WAN(Wide Area Network)やLAN(Local Area Network)等のネットワークNWを介してルータRTやセキュリティ監視装置100と通信する。また、ホワイトリスト作成装置1は、セキュリティ監視装置100に直接、通信ケーブル等を介して接続されてもよい(図1における「1*」)。また、ホワイトリスト作成装置1は、監視対象システムTSを構成するLANに接続されてもよい。
The white
図4は、ホワイトリスト作成装置1のハードウェア構成例を示す図である。図示するように、ホワイトリスト作成装置1は、CPU(Central Processing Unit)等のプロセッサ10と、記憶装置11と、ドライブ装置12と、メモリ装置14と、表示装置15と、入力装置16と、インターフェース装置17とを備える。
FIG. 4 is a diagram illustrating a hardware configuration example of the white
プロセッサ10は、記憶装置11に記憶されたプログラムを実行する。記憶装置11は、例えば、ROMやHDD(Hard Disk Drive)、フラッシュメモリ等である。記憶装置11には、後述する各機能部を実現するための性能評価プログラム、およびホワイトリスト作成プログラム等が記憶されている。ドライブ装置12には、各種可搬型の記憶媒体13が装着され、記憶媒体13からプログラムやデータを読み込む。メモリ装置14は、例えばRAM(Random Access Memory)であり、プロセッサ10が使用するワーキングメモリとして機能する。表示装置15は、LCD(Liquid Crystal Display)や有機EL(Electroluminescence)表示装置等である。入力装置16は、キーボードやマウス、タッチパネル等の入力デバイスを含む。インターフェース装置17は、ネットワークNWに接続するためのネットワークカード等を含む。
The
プロセッサ10が実行するプログラムは、ホワイトリスト作成装置1の出荷時に予め記憶装置11に記憶されていてもよいし、記憶媒体13に記憶されたものがドライブ装置12によって読み込まれ、記憶装置11にインストールされてもよい。また、プロセッサ10が実行するプログラムは、インターフェース装置17によってネットワークNWを介して他のコンピュータ装置からダウンロードされてもよい。
The program executed by the
<性能評価段階>
以下、性能評価段階の処理について説明する。図5は、ホワイトリスト作成装置1の性能評価段階における機能構成例を示す図である。ホワイトリスト作成装置1は、性能評価段階における機能構成として、例えば、セキュリティ監視装置性能評価部20を備える。セキュリティ監視装置性能評価部20は、例えば、記憶装置11に記憶されたプログラムをプロセッサ10が実行することにより機能するソフトウェア機能部である。また、セキュリティ監視装置性能評価部20は、LSI(Large Scale Integration)やASIC(Application Specific Integrated Circuit)等のハードウェア機能部であってもよい。なお、以降では、記憶装置11とメモリ装置14とを総称して記憶部50と表記することがある。なお、記憶部50の一部または全部は、ホワイトリスト作成装置1とネットワークNW等を介して接続される外部装置により実現されてもよい。
<Performance evaluation stage>
Hereinafter, processing in the performance evaluation stage will be described. FIG. 5 is a diagram illustrating a functional configuration example of the white
性能評価段階において、記憶部50には、取得ログデータ51と、セキュリティ監視装置性能データ52とが記憶される。取得ログデータ51は、監視対象システムTSから一定期間、インターフェース装置17を介して取得されたログデータである。このログデータは、例えば、ルータRTにおいてミラーポート機能によって収集されたものである。
In the performance evaluation stage, the
セキュリティ監視装置性能評価部20は、取得ログデータ51に対して適用可能な全種類の検知ルールを作成する。そして、セキュリティ監視装置性能評価部20は、作成した全種類の検知ルールのパターン毎に、ログ1件を単位時間(例えば1[sec])で処理可能なルール数を算出し、セキュリティ監視装置性能データ52として記憶部50に記憶させる。
The security monitoring device
図6は、セキュリティ監視装置性能評価部20により実行される処理の流れを示すフローチャートである。まず、セキュリティ監視装置性能評価部20は、取得ログデータ51から、適用可能な検知ルールのパターンを全て作成する(ステップS300)。例えば、取得ログデータ51を構成する項目のうち、監視対象項目が7つである場合、適用可能なパターンは、2の7乗マイナス1で127通りとなる。図7は、パラメータの種類が7種類である場合に適用可能な検知ルールのパターンの一例を示す図である。
FIG. 6 is a flowchart showing the flow of processing executed by the security monitoring device
次に、セキュリティ監視装置性能評価部20は、ステップS300において生成された各パターンに対して値を設定し、性能評価用検知ルールを作成する(ステップS302)。図8は、ステップS300において処理対象となる取得ログデータ51の一例を示す図であり、図9は、図8に示す取得ログデータ51から作成される全てのパターンの検知ルールを示す図である。
Next, the security monitoring device
また、セキュリティ監視装置性能評価部20は、取得ログデータ51から適切な数のデータを抽出し、性能評価用のサンプルログデータを作成する(ステップS304)。次に、セキュリティ監視装置性能評価部20は、サンプルログデータをセキュリティ監視装置100に送信する(ステップS306)。
Also, the security monitoring device
次に、セキュリティ監視装置性能評価部20は、ステップS300で生成した検知ルールのパターンから一つのパターンを選択し(ステップS308)、選択したパターンに対してステップS302で値が設定された検知ルールをセキュリティ監視装置100に送信する(ステップS310)。次に、セキュリティ監視装置性能評価部20は、セキュリティ監視装置100に処理を指示し、開始時刻を記憶部50に記録する(ステップS312)。そして、セキュリティ監視装置性能評価部20は、セキュリティ監視装置100から完了通知を受信するまで待機し(ステップS314)、完了通知を受信すると終了時刻を記憶部50に記録する(ステップS316)。
Next, the security monitoring device
そして、セキュリティ監視装置性能評価部20は、サンプルログデータのログ数を、開始時刻から終了時刻までの間の時間で除算して得られる、検知ルールのパターンに対応付けた「ログ1件を単位時間で処理可能なルール数」という内容の情報を、セキュリティ監視装置性能データ52に追加する(ステップS318)。セキュリティ監視装置性能評価部20は、全てのパターンを選択し終えるまで、ステップS308からステップS318の処理を繰り返し実行する(ステップS320)。図10は、セキュリティ監視装置性能データ52として記憶部50に記憶される情報の一例を示す図である。図10におけるRnk(k=1〜N)は、パターンkについてのログ1件を単位時間で処理可能なルール数を示している。
The security monitoring device
<ホワイトリスト作成段階>
以下、ホワイトリスト作成段階の処理について説明する。ホワイトリストWLは、(1)登録された検知ルールの数が多い、(2)検知ルールを構成するパラメータの数が多い、(3)検知ルールを構成するパラメータの数が同じ場合は、詳細に値が決まっている程、誤検知の少ない処理が可能となるが、反面、処理時間が長くなるという傾向を有している。従って、必要なパラメータ数を確保しつつ、処理が期待される時間内に完了する程度に簡略化された検知ルールで構成されたホワイトリストが望ましいということになる。ホワイトリスト作成装置1は、このような観点からホワイトリストWLを作成する。
<Whitelist creation stage>
Hereinafter, processing in the whitelist creation stage will be described. The white list WL is detailed when (1) the number of registered detection rules is large, (2) the number of parameters constituting the detection rule is large, and (3) the number of parameters constituting the detection rule is the same. As the value is determined, processing with less false detection is possible, but on the other hand, the processing time tends to be longer. Therefore, it is desirable to have a white list composed of detection rules that are simplified to the extent that processing is completed within an expected time while ensuring the necessary number of parameters. The white
図11は、ホワイトリスト作成装置1のホワイトリスト作成段階における機能構成例を示す図である。ホワイトリスト作成装置1は、ホワイトリスト作成段階における機能構成として、ログデータ最大値算出部22と、ログパターンルール化部23と、ホワイトリスト毎処理可能ログ数算出部24と、ログ数比較・ルール有効性検証部25と、ルール再設計部26と、使用ルール決定部27とを備える。これらの機能部は、例えば、記憶装置11に記憶されたプログラムをプロセッサ10が実行することにより機能するソフトウェア機能部である。また、これらの機能部のうち一部または全部は、LSIやASIC等のハードウェア機能部であってもよい。記憶部50には、取得ログデータ51およびセキュリティ監視装置性能データ52の他、監視対象システム情報53、ホワイトリスト案54、ホワイトリストと処理可能ログ数のリスト55等が記憶される。監視対象システム情報53は、後述するようにルール再設計部26によって使用される、監視対象システムTSに含まれる機器の重要度の情報を含む。
FIG. 11 is a diagram illustrating a functional configuration example of the white
ホワイトリスト案54は、ログパターンルール化部23により作成され、ルール再設計部26によって修正されるホワイトリスト案である。ホワイトリスト案54は、複数のホワイトリスト案を含む場合がある。これは、ホワイトリスト作成装置1が複数の監視対象システムTSに対するホワイトリストWLを並行して作成する場合に生じ得る。
The
ホワイトリストと処理可能ログ数のリスト55は、ホワイトリスト毎処理可能ログ数算出部24により算出された、ホワイトリスト毎の一定時間あたりの処理可能ログ数のリストである。
The
ログデータ最大値算出部22は、単位時間あたりのログデータ数の最大値Lnを算出する。図12は、ログデータ最大値算出部22による処理を説明するための図である。ログデータ最大値算出部22は、例えば、取得ログデータ51を参照し、取得ログデータ51の収集期間を一定時間tm毎に分割してサンプリング期間を設定し、期間内のログデータ数の積算値が最も多いサンプリング期間を抽出する。そして、抽出した期間内のログデータ数の積算値を一定時間tmで除算した後を、単位時間あたりのログデータ数の最大値Lnとして算出する。以下、この単位時間は1[sec]であるものとする。
The log data maximum
ログパターンルール化部23は、取得ログデータ51を参照し、ホワイトリスト案54を作成する。ログパターンルール化部23は、例えば、最も詳細な検知ルール、すなわち、使用するパラメータが最も多くなるように定めた検知ルールの集合を、ホワイトリスト案54として記憶部50に記憶させる。この当初作成されるホワイトリスト案54は、取得ログデータ51における監視対象項目の全てを監視するものである。なお、ログパターンルール化部23による処理は、一部または全部において、入力装置16に対してなされた入力操作に従って行われてもよい。
The log pattern
ホワイトリスト毎処理可能ログ数算出部24は、ホワイトリスト案54と、セキュリティ監視装置性能データ52とを参照し、対象となるセキュリティ監視装置100が、ホワイトリスト案54を使用した場合に、単位時間あたりに処理可能なログ数を算出する。
The number of logs that can be processed for each
ログ数比較・ルール有効性検証部25は、ホワイトリスト毎処理可能ログ数算出部24により算出された単位時間あたりに処理可能なログデータ数と、ログデータ最大値算出部22により算出された単位時間あたりのログデータ数の最大値Lnとを比較し、その時点におけるホワイトリスト案54を使用した場合に、対象となるセキュリティ監視装置100が十分に監視を行うことが可能か否かを判定する。
The log number comparison / rule
ルール再設計部26は、ログ数比較・ルール有効性検証部25により、対象となるセキュリティ監視装置100が十分に監視を行うことができないと判定された場合に、ホワイトリスト案54を修正する。使用ルール決定部27は、ログ数比較・ルール有効性検証部25により、対象となるセキュリティ監視装置100が十分に監視を行うことができると判定された場合に、その時点におけるホワイトリスト案54をホワイトリストWLとして確定する。
The
以下、ホワイトリスト作成段階の処理の流れについて説明する。図13は、ホワイトリスト作成段階における処理の流れを示すフローチャートである。まず、インターフェース装置17がルータRT等からログを取得し、取得ログ51として記憶部50に記憶させる(ステップS400)。
Hereinafter, the flow of processing in the whitelist creation stage will be described. FIG. 13 is a flowchart showing the flow of processing in the whitelist creation stage. First, the
次に、ログパターンルール化部23が、他のログと同じ内容のログ(重複ログ)を削除する(ステップS402)。次に、ログパターンルール化部23が、ログデータ1件ずつを、最も詳細なルール、すなわち、構成要素が最も多いパターンでルール化し、その集合をリストとしたものを、検知ルールの初期バージョンとして作成する(ステップS404)。このとき、設計書などの監視対象セグメントの情報からデータを取得して、適宜可能なルールを追加してもよい。
Next, the log pattern
次に、ログパターンルール化部23が、初期バージョンの全ての検知ルールについて、MACアドレス情報を使用しないプロトコルの場合は、MACアドレスパラメータ値を削除(“any”に置き換え)し(ステップS406)、同様に、IPアドレス情報を使用しないプロトコルの場合は、IPアドレスパラメータ値を削除(“any”に置き換え)する(ステップS408)。ステップS408の処理が行われたものが、ホワイトリスト案54に相当する。
Next, the log pattern
次に、ホワイトリスト毎処理可能ログ数算出部24が、その時点で設定されている検知ルール(ホワイトリストWL)を用いた場合に、単位時間あたりに処理可能なログ数を算出する(ステップS410)。パターンk(k=1〜N)に対して実装するルール数がIRkであるとすると、各パターンを用いた場合にログデータ1件を処理するのに要する時間は、IRk/Rkである。従って、パターンがN個存在する場合、ログ1件を処理するのに要する時間の合計Ttotalは、式(1)で表される。
次に、ホワイトリスト毎処理可能ログ数算出部24が、Ttotalの逆数を求めることにより、単位時間に処理可能なログ数1/Ttotal(処理性能を示す指標値の一例)を求め、ホワイトリストと処理可能ログ数のリスト55として記憶部50に記憶させる(ステップS412)。
Next, the white list processable log
次に、ログ数比較・ルール有効性検証部25が、単位時間に処理可能なログ数1/Ttotalと、ログデータ最大値算出部22により算出された単位時間あたりのログデータ数の最大値Lnとを比較し(ステップS414)、単位時間に処理可能なログ数1/Ttotalが、単位時間あたりのログデータ数の最大値Ln以上であるか否かを判定する(ステップS416)。
Next, the log number comparison / rule
単位時間に処理可能なログ数1/Ttotalが、単位時間あたりのログデータ数の最大値Ln以上である場合、使用ルール決定部27が、その時点でホワイトリスト案として設定されているホワイトリストWLを、使用されるホワイトリストWLとして決定する(ステップS418)。一方、単位時間に処理可能なログ数1/Ttotalが、単位時間あたりのログデータ数の最大値Ln未満である場合、ルール再設計部26によるルール再設計が行われる(ステップS420)。
When the
ルール再設計では、重要度の低い機器、アプリケーション、サービスに関係するルールを順に対象とする。それらのルールを構成するパラメータの数を減らすことによって、処理速度を上げ処理可能なログ量を増やすという手順を取る。また、ルール再設計においては、ルールを必要以上に緩いものにしないため、ルール再設計対象機器をあらかじめ限定しておき、その機器に関するルールのみを再設計対象としてもよい。すなわち、項目の削除が許可されない機器が存在してもよい。 In rule redesign, rules related to less important devices, applications, and services are sequentially targeted. By reducing the number of parameters constituting these rules, a procedure is taken to increase the processing speed and increase the amount of logs that can be processed. Further, in rule redesign, since rules are not made looser than necessary, rule redesign target devices may be limited in advance, and only rules related to the devices may be redesigned. That is, there may be a device that is not permitted to delete an item.
図14は、ルール再設計処理(図13のステップS420の処理)の流れを示すフローチャートである。なお、このフローチャートにおいて使用される変数p、qは、図13に示すフローチャートの処理が開始されるときに初期化され、共に1に設定されているものとする。 FIG. 14 is a flowchart showing the flow of the rule redesign process (the process of step S420 in FIG. 13). Note that the variables p and q used in this flowchart are initialized when the processing of the flowchart shown in FIG. 13 is started, and both are set to 1.
まず、ルール再設計部26は、変数pを参照し、重要度が低い方からp番目の機器が存在するか否かを判定する(ステップS500)。重要度が低い方からp番目の機器が存在する場合、ルール再設計部26は、重要度が低い方からp番目の機器を受信先とするルールを抽出する(ステップS502)。
First, the
次に、ルール再設計部26は、ステップS502で抽出したルールについて、既に「データ内容」の項目のパラメータ値が削除済であるか否かを判定する(ステップS504)。ルール再設計部26は、既に「データ内容」の項目のパラメータ値が削除済でない場合、ステップS502で抽出したルールから「データ内容」の項目のパラメータ値を削除して(“any”に置き換え)ホワイトリスト案54を書き換える(ステップS506)。そして、再設計処理が終了し、図13のステップS410以下の処理が実行される。
Next, the
ルール再設計部26は、ステップS502で抽出したルールについて、既に「データ内容」の項目のパラメータ値が削除済である場合、ステップS502で抽出したルールについて、既に「ポート番号」の項目のパラメータ値が削除済であるか否かを判定する(ステップS508)。ルール再設計部26は、既に「ポート番号」の項目のパラメータ値が削除済でない場合、ステップS502で抽出したルールから「ポート番号」の項目のパラメータ値を削除して(“any”に置き換え)ホワイトリスト案54を書き換える(ステップS510)。そして、再設計処理が終了し、図13のステップS410以下の処理が実行される。
If the parameter value of the item “data content” has already been deleted for the rule extracted in step S502, the
ルール再設計部26は、ステップS502で抽出したルールについて、既に「ポート番号」の項目が削除済である場合、ステップS502で抽出したルールについて、既に送信元情報を修正済であるか否かを判定する(ステップS512)。ルール再設計部26は、既に送信元情報を修正済でない場合、送信元情報を修正する(ステップS514)。ルール再設計部26は、既に送信元情報を修正済でない場合、すなわち、送信元に関する情報である「送信元MACアドレス」と「送信元IPアドレス」とのうち一方または双方が削除されず、その結果“any”となっていなければ、ルール再設計部26は、これらのうち一方または双方を削除して双方が“any”となるようにし、ホワイトリスト案54を書き換える。そして、再設計処理が終了し、図13のステップS410以下の処理が実行される。
If the “port number” item has already been deleted for the rule extracted in step S502, the
ステップS502で抽出したルールについて、既に送信元情報を修正済である場合、ルール再設計部26は、変数pを1インクリメントし(ステップS516)、再設計処理を終了する。そして、図13のステップS410以下の処理が実行される。
When the transmission source information has already been corrected for the rule extracted in step S502, the
ステップS500において、重要度が低い方からp番目の機器が存在しないと判定された場合、ルール再設計部26は、変数qを参照し、重要度が低い方からq番目の機器が存在するか否かを判定する(ステップS520)。ここで、「重要度が低い方からp番目の機器が存在しない」場合とは、監視対象システムTSにおける機器がp個である場合の他、監視対象システムTSにおけるp個の機器には重要度が設定され、p+1番目以降の機器には重要度が設定されていない場合も含む。後者の場合、p+1番目以降の機器は、検知ルールの妥協が許可されない、セキュリティ上の重要度の高い機器である。
When it is determined in step S500 that the p-th device does not exist from the lower importance level, the
重要度が低い方からq番目の機器が存在する場合、ルール再設計部26は、重要度が低い方からq番目の機器を受信先とするルールを抽出する(ステップS522)。次に、ルール再設計部26は、ステップS522で抽出したルールについて、「プロトコル」の項目のパラメータ値を削除して(“any”に置き換え)ホワイトリスト案54を書き換える(ステップS524)。そして、ルール再設計部26は、変数pを1インクリメントし(ステップS526)、再設計処理を終了する。そして、図13のステップS410以下の処理が実行される。
When there is a q-th device from the lowest importance level, the
ステップS520において重要度が低い方からq番目の機器が存在しないと判定された場合、再設計は不可能と判断し、エラー終了する(ステップS528)。 If it is determined in step S520 that there is no q-th device from the lowest importance level, it is determined that redesign is impossible, and the process ends with an error (step S528).
以上説明した少なくともひとつの実施形態によれば、監視対象システムからログデータを取得し、取得されたログデータの内容および数と、データが許可されたものか否かを検知するための検知ルールを定めたホワイトリストを使用して監視対象システムの監視を行うセキュリティ監視装置の性能とに基づいて、ホワイトリストの内容を決定することにより、セキュリティ監視装置の性能と使用環境に応じたホワイトリストを作成することができる。 According to at least one embodiment described above, the log data is acquired from the monitoring target system, and the detection rule for detecting the content and number of the acquired log data and whether the data is permitted or not is provided. Based on the performance of the security monitoring device that monitors the monitored system using the defined white list, the white list is created according to the performance of the security monitoring device and the usage environment by determining the contents of the white list. can do.
また、実施形態によれば、ログデータにおける監視対象項目の全てを監視するホワイトリスト案を作成し、ホワイトリスト案を用いてセキュリティ監視装置が監視を行った場合の処理性能を示す指標値が、取得部により取得されたログデータのピークに基づいて算出される下限値を上回るまで、ホワイトリスト案から監視対象項目を徐々に削減することで、ホワイトリストの内容を決定するため、セキュリティ監視装置の性能を十分に発揮可能な範囲内で最適なホワイトリストを作成することができる。 Further, according to the embodiment, a whitelist plan for monitoring all of the monitoring target items in the log data is created, and an index value indicating processing performance when the security monitoring apparatus performs monitoring using the whitelist plan, In order to determine the content of the whitelist by gradually reducing the monitoring target items from the whitelist plan until the lower limit calculated based on the peak of the log data acquired by the acquisition unit is exceeded, An optimal white list can be created within a range where the performance can be fully exhibited.
また、実施形態によれば、予め設定された監視対象システムを構成する機器に関する優先順位や監視対象項目に関する優先順位に従って、ホワイトリスト案から監視対象項目を徐々に削減するため、セキュリティの低下を抑制しつつ、セキュリティ監視装置の性能を十分に発揮可能な範囲内でホワイトリストを作成することができる。 In addition, according to the embodiment, the monitoring target items are gradually reduced from the whitelist plan according to the preset priority order regarding the devices constituting the monitoring target system and the priority order regarding the monitoring target items, thereby suppressing a decrease in security. However, it is possible to create a white list within a range in which the performance of the security monitoring apparatus can be sufficiently exhibited.
また、実施形態によれば、監視対象項目の数が異なる性能評価用検知ルール群と、サンプルデータをセキュリティ監視装置に送信して疑似的に監視を行わせることで、セキュリティ監視装置の性能を評価し、評価されたセキュリティ監視装置の性能に基づいてホワイトリストの内容を決定するため、種々の性能を有するセキュリティ監視装置に対応したホワイトリストを作成することができる。 In addition, according to the embodiment, the performance evaluation detection rule group having a different number of items to be monitored and the performance of the security monitoring device are evaluated by transmitting sample data to the security monitoring device to perform pseudo monitoring. Since the contents of the white list are determined based on the evaluated performance of the security monitoring device, a white list corresponding to the security monitoring device having various performances can be created.
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。 Although several embodiments of the present invention have been described, these embodiments are presented by way of example and are not intended to limit the scope of the invention. These embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the spirit of the invention. These embodiments and their modifications are included in the scope and gist of the invention, and are also included in the invention described in the claims and the equivalents thereof.
1…ホワイトリスト作成装置、20…セキュリティ監視装置性能評価部、22…ログデータ最大値算出部、23…ログパターンルール化部、24…ホワイトリスト毎処理可能ログ数算出部、25…ログ数比較・ルール有効性検証部、26…ルール再設計部、27…使用ルール決定部、50…記憶部、100…セキュリティ監視装置、WL…ホワイトリスト、TS…監視対象システム
DESCRIPTION OF
Claims (5)
前記取得部により取得されたログデータの内容および数と、データが許可されたものか否かを検知するための検知ルールを定めたホワイトリストを使用して前記監視対象システムの監視を行う監視装置の性能とに基づいて、前記ホワイトリストの内容を決定する決定部と、
を備えるホワイトリスト作成装置。 An acquisition unit for acquiring log data from the monitored system;
A monitoring device that monitors the monitoring target system using a white list that defines the content and number of log data acquired by the acquisition unit and a detection rule for detecting whether the data is permitted or not A determination unit for determining the content of the white list based on the performance of
A white list creation device comprising:
請求項1記載のホワイトリスト作成装置。 The determination unit creates a whitelist plan for monitoring all items to be monitored in the log data acquired by the acquisition unit, and determines the processing performance when the monitoring device performs monitoring using the whitelist plan. The content of the white list is reduced by gradually reducing the monitoring target items from the white list plan until the index value shown exceeds the lower limit value calculated based on the peak of the log data acquired by the acquisition unit. decide,
The white list creation apparatus according to claim 1.
請求項2記載のホワイトリスト作成装置。 The determination unit gradually reduces monitoring target items from the whitelist plan according to a priority order related to devices that configure the monitoring target system set in advance.
The white list creation apparatus according to claim 2.
請求項2または3記載のホワイトリスト作成装置。 The determining unit gradually reduces the monitoring target items from the whitelist plan according to a priority order regarding the monitoring target items set in advance.
The white list creation apparatus according to claim 2 or 3.
前記決定部は、前記性能評価部により評価された前記監視装置の性能に基づいて、前記ホワイトリストの内容を決定する、
請求項2から4のうちいずれか1項記載のホワイトリスト作成装置。 A performance evaluation detection rule group having a different number of items to be monitored, and a performance evaluation unit that evaluates the performance of the monitoring device by sending sample data to the monitoring device and performing pseudo monitoring. ,
The determination unit determines the content of the white list based on the performance of the monitoring device evaluated by the performance evaluation unit.
The white list creation apparatus according to any one of claims 2 to 4.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015049775A JP6320329B2 (en) | 2015-03-12 | 2015-03-12 | White list creation device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015049775A JP6320329B2 (en) | 2015-03-12 | 2015-03-12 | White list creation device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016171449A JP2016171449A (en) | 2016-09-23 |
JP6320329B2 true JP6320329B2 (en) | 2018-05-09 |
Family
ID=56984257
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015049775A Active JP6320329B2 (en) | 2015-03-12 | 2015-03-12 | White list creation device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6320329B2 (en) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6877278B2 (en) * | 2017-07-19 | 2021-05-26 | アラクサラネットワークス株式会社 | Relay device |
JP7006335B2 (en) * | 2018-02-06 | 2022-01-24 | トヨタ自動車株式会社 | In-vehicle communication system, in-vehicle communication method, and program |
JP6857627B2 (en) * | 2018-03-07 | 2021-04-14 | 株式会社日立製作所 | White list management system |
JP7028025B2 (en) * | 2018-03-30 | 2022-03-02 | 日本電気株式会社 | Information processing systems, edge devices, and information processing methods |
JP6917482B2 (en) * | 2020-01-14 | 2021-08-11 | 三菱電機株式会社 | Communication control system, master device, communication control method and communication control program |
DE112020006533T5 (en) * | 2020-01-15 | 2022-11-17 | Mitsubishi Electric Corporation | RELAY UNIT AND RELAY PROCEDURE |
CN112069137B (en) * | 2020-09-02 | 2024-05-17 | 阿波罗智联(北京)科技有限公司 | Method, device, electronic equipment and computer readable storage medium for generating information |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4888369B2 (en) * | 2007-12-13 | 2012-02-29 | 日本電気株式会社 | Data search device, data search method, and data search program |
JP2008140403A (en) * | 2007-12-25 | 2008-06-19 | Fujitsu Ltd | Reception server |
JP5721535B2 (en) * | 2011-05-20 | 2015-05-20 | Kddi株式会社 | E-mail classification device, e-mail classification method, and e-mail classification program |
-
2015
- 2015-03-12 JP JP2015049775A patent/JP6320329B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016171449A (en) | 2016-09-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6320329B2 (en) | White list creation device | |
CN110719291B (en) | Network threat identification method and identification system based on threat information | |
CN110121876B (en) | System and method for detecting malicious devices by using behavioral analysis | |
EP3399716B1 (en) | Network security threat intelligence sharing | |
CN109992989B (en) | System for query injection detection using abstract syntax tree | |
JP5972401B2 (en) | Attack analysis system, linkage device, attack analysis linkage method, and program | |
US9531746B2 (en) | Generating accurate preemptive security device policy tuning recommendations | |
JP2020052686A (en) | Vulnerability evaluating device, vulnerability evaluating system, and method thereof | |
TW201931187A (en) | URL attack detection method and apparatus, and electronic device | |
US20180307832A1 (en) | Information processing device, information processing method, and computer readable medium | |
JP2018005818A (en) | Abnormality detection system and abnormality detection method | |
CN109690548B (en) | Computing device protection based on device attributes and device risk factors | |
JP6058246B2 (en) | Information processing apparatus, information processing method, and program | |
CN106161342A (en) | The dynamic optimization of safety applications | |
JP2016143299A (en) | Risk evaluation system and risk evaluation method | |
CN106209759A (en) | Detection resides in the apocrypha on network | |
US20210160273A1 (en) | Method for calculating risk for industrial control system and apparatus using the same | |
JP2016152594A (en) | Network attack monitoring device, network attack monitoring method, and program | |
US20170289283A1 (en) | Automated dpi process | |
US20170346827A1 (en) | Using a probability-based model to detect random content in a protocol field associated with network traffic | |
JP6523582B2 (en) | INFORMATION PROCESSING APPARATUS, INFORMATION PROCESSING METHOD, AND INFORMATION PROCESSING PROGRAM | |
KR101859562B1 (en) | Method and Apparatus for Analyzing Vulnerability Information | |
US20210400079A1 (en) | Risk analyzer and risk analysis method | |
JP2018196054A (en) | Evaluation program, evaluation method and information processing device | |
CN110392032B (en) | Method, device and storage medium for detecting abnormal URL |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170403 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180126 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180306 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180403 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6320329 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |