JP6677169B2 - 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラム - Google Patents
通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラム Download PDFInfo
- Publication number
- JP6677169B2 JP6677169B2 JP2016563511A JP2016563511A JP6677169B2 JP 6677169 B2 JP6677169 B2 JP 6677169B2 JP 2016563511 A JP2016563511 A JP 2016563511A JP 2016563511 A JP2016563511 A JP 2016563511A JP 6677169 B2 JP6677169 B2 JP 6677169B2
- Authority
- JP
- Japan
- Prior art keywords
- alert
- importance
- communication information
- information
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める重要度算出手段を備える。
前記の構成を有する重要度算出装置によって求められた重要度、およびアラートに関するアラート情報の一部または全部の少なくとも何れかをオペレータが識別可能な態様によって提示する提示手段を備える。
監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める。
図1は、本発明の第1の実施形態における通信監視システム10の構成を示すブロック図である。また、図2は、本発明の第1の実施形態における重要度算出装置1の構成を示すブロック図である。
・検知時刻、
・検知ルールを識別可能な識別子、
・異常の原因である通信情報の送信元のIPアドレスおよびポート番号及び
・当該通信情報の送信先ホストのIPアドレスおよびポート番号。
即ち、アラート情報は、アラート識別子をキーとして、検知時刻と、検知ルールの識別子と、送信元のIPアドレスおよびポート番号と、送信先ホストのIPアドレスおよびポート番号とが関連付けられた情報である。
以下の説明では、重要度算出装置1が行う重要度の演算処理について図3を参照して説明する。
X1=(カウンタNEW)/(全てのNグラム数) ・・・・・(1)
ここで、「/」は、除算を表す(以下、各実施形態においても同様)。
次に、以下の説明では、Nグラムの出現に関する出現情報を、重要度算出装置1が記憶する動作について図4を参照して説明する。即ち、重要度算出部2は、図4に示すフローチャートに従いペイロードに含まれる全てのNグラムに対して、そのNグラムの出現に関する出現情報を記憶する。
次に、上述した本発明の第1の実施形態に係る重要度算出装置1を基本とする第2の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な部分を中心に説明する。その際、上述した各実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。
次に、上述した本発明の第2の実施形態に係る重要度算出装置21を基本とする第3の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な部分を中心に説明する。その際、上述した各実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。
X2=(カウンタNEW)/(全てのNグラム数) ・・・・・(2)
このように、重要度算出装置31は、新奇性の平均値を重要度として求める。
上述した実施形態において図面に示した各部は、ソフトウェアプログラムの機能単位(処理単位、ソフトウェアモジュール)と捉えることができる。これらの各ソフトウェアモジュールは、専用のハードウェアによって実現してもよい。但し、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定され得る。この場合のハードウェア環境の一例を、図15を参照して説明する。但し、図15中の矢印の向きは、一例を示すものであり、ブロック間の信号の向きを限定するものではない。
・ROM(Read_Only_Memory)302、
・RAM(Random_Access_Memory)303、
・ハードディスク304(記憶装置)、
・外部装置との通信インタフェース(図15において通信「I/F」(Interface)と示す)305、
・CD−ROM(Compact_Disc_Read_Only_Memory)等の記録媒体307に格納されたデータを読み書き可能なリーダライタ308。
2 重要度算出部
10 通信監視システム
20 通信監視システム
21 重要度算出装置
22 提示装置
23 重要度算出部
30 通信監視システム
31 重要度算出装置
32 重要度算出部
33 取得部
34 アラート情報取得部
35 重要度取得部
36 提示部
51 ネットワーク
51 監視対象ネットワーク
52 通信監視装置
53 検知部
54 通知部
61 検知アラートリスト
101 重要度情報
102 出現情報
103 アラート情報
104 ペイロード情報
300 情報処理装置
301 CPU
302 ROM
303 RAM
304 ハードディスク
305 通信インタフェース
306 バス
307 記録媒体
308 リーダライタ
Claims (10)
- 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める重要度算出手段を備え、
前記重要度算出手段は、前記通信情報に含まれる全ての第1のNグラムに対して、その第1のNグラムと同一の第2のNグラムが過去に出現したか否かを判別し、その判別結果に基づいて、前記重要度を求める重要度算出装置。 - 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める重要度算出手段を備え、
前記重要度算出手段は、前記通信情報を基に形成されたヒストグラムと、前記第2のアラートに関する通信情報を基に形成されたヒストグラムの平均との乖離に基づいて、前記重要度を求める重要度算出装置。 - 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める重要度算出手段を備え、
前記重要度算出手段は、前記通信情報に含まれる全ての第1のNグラムに対して、その第1のNグラムと同一の第2のNグラムが過去に出現した出現時刻から前記異常が検知された検知時刻までの経過時間に基づき求めた新奇性と、前記全ての第1のNグラムの数とに基づいて、前記重要度を求める重要度算出装置。 - 前記求めた重要度および前記アラートに関するアラート情報の一部または全部のうち、少なくとも何れかをオペレータが識別可能な態様によって提示する提示手段を備える
請求項1乃至請求項3の何れかに記載の重要度算出装置。 - 前記アラート情報は、少なくとも、前記アラートを識別可能なアラート識別子と、前記異常が検知された検知時刻と、前記異常を検知する際に用いられた検知ルールと、前記アラートの原因となった通信情報の送信元ホストのIPアドレスおよびポート番号と、前記通信情報の送信先ホストのIPアドレスおよびポート番号とが関連付けられた情報を含む
請求項4に記載の重要度算出装置。 - 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求め、
前記重要度は、前記通信情報に含まれる全ての第1のNグラムに対して、その第1のNグラムと同一の第2のNグラムが過去に出現したか否かを判別し、その判別結果に基づいて求める、通信監視システム。 - 請求項1乃至請求項5の何れかに記載された重要度算出装置によって求められた重要度、およびアラートに関するアラート情報の一部または全部のうち、少なくとも何れかをオペレータが識別可能な態様によって提示する提示手段を備える提示装置。
- 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求め、
前記重要度は、前記通信情報に含まれる全ての第1のNグラムに対して、その第1のNグラムと同一の第2のNグラムが過去に出現したか否かを判別し、その判別結果に基づいて求める、重要度算出方法。 - 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求め、
前記重要度は、前記通信情報に含まれる全ての第1のNグラムに対して、その第1のNグラムと同一の第2のNグラムが過去に出現したか否かを判別し、その判別結果に基づいて求める機能をコンピュータに実現させるコンピュータ・プログラム。 - 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求め、
前記重要度は、前記通信情報を基に形成されたヒストグラムと、前記第2のアラートに関する通信情報を基に形成されたヒストグラムの平均との乖離に基づいて求める、機能をコンピュータに実現させるコンピュータ・プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014249566 | 2014-12-10 | ||
JP2014249566 | 2014-12-10 | ||
PCT/JP2015/006117 WO2016092834A1 (ja) | 2014-12-10 | 2015-12-08 | 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2016092834A1 JPWO2016092834A1 (ja) | 2017-09-21 |
JP6677169B2 true JP6677169B2 (ja) | 2020-04-08 |
Family
ID=56107046
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016563511A Active JP6677169B2 (ja) | 2014-12-10 | 2015-12-08 | 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US10454959B2 (ja) |
JP (1) | JP6677169B2 (ja) |
WO (1) | WO2016092834A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10091217B2 (en) * | 2016-06-21 | 2018-10-02 | Logrhythm, Inc. | Risk based priority processing of data |
WO2018179329A1 (ja) * | 2017-03-31 | 2018-10-04 | 日本電気株式会社 | 抽出装置、抽出方法、コンピュータ可読媒体 |
US20200184072A1 (en) * | 2017-06-23 | 2020-06-11 | Nec Corporation | Analysis device, log analysis method, and recording medium |
JP2019149781A (ja) * | 2018-02-28 | 2019-09-05 | 沖電気工業株式会社 | セキュリティインシデント検出システム |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004234401A (ja) * | 2003-01-31 | 2004-08-19 | Hitachi Ltd | セキュリティ診断情報収集システム及びセキュリティ診断システム |
JP4619254B2 (ja) | 2005-09-30 | 2011-01-26 | 富士通株式会社 | Idsのイベント解析及び警告システム |
JP5183483B2 (ja) * | 2005-12-09 | 2013-04-17 | フラウンホファー‐ゲゼルシャフト・ツア・フェルデルング・デア・アンゲヴァンテン・フォルシュング・エー・ファウ | データ列の自動比較に用いられる方法およびその装置 |
US20110035802A1 (en) * | 2009-08-07 | 2011-02-10 | Microsoft Corporation | Representing virtual object priority based on relationships |
US9003518B2 (en) * | 2010-09-01 | 2015-04-07 | Raytheon Bbn Technologies Corp. | Systems and methods for detecting covert DNS tunnels |
EP2899665B1 (en) * | 2012-09-19 | 2020-03-04 | Mitsubishi Electric Corporation | Information processing device, information processing method, and program |
-
2015
- 2015-12-08 JP JP2016563511A patent/JP6677169B2/ja active Active
- 2015-12-08 WO PCT/JP2015/006117 patent/WO2016092834A1/ja active Application Filing
- 2015-12-08 US US15/532,171 patent/US10454959B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
WO2016092834A1 (ja) | 2016-06-16 |
JPWO2016092834A1 (ja) | 2017-09-21 |
US10454959B2 (en) | 2019-10-22 |
US20170272457A1 (en) | 2017-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6680840B2 (ja) | 不正デジタル証明書の自動検出 | |
EP3287927B1 (en) | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device | |
JP6677169B2 (ja) | 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラム | |
CN107943949B (zh) | 一种确定网络爬虫的方法及服务器 | |
JP2018032355A (ja) | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 | |
WO2015184752A1 (zh) | 一种异常进程检测方法及装置 | |
WO2016208159A1 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体 | |
JP6523582B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
WO2019026310A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
JP2018200642A (ja) | 脅威検出プログラム、脅威検出方法および情報処理装置 | |
JP7354137B2 (ja) | 脅威分析装置、脅威分析方法、および、プログラム | |
US20080137542A1 (en) | Method for detecting abnormal network packets | |
WO2021084961A1 (ja) | 分析装置及び分析方法 | |
US20220032950A1 (en) | Execution Sequence Integrity Parameter Monitoring System | |
US10846400B2 (en) | Output device, analysis device, and recording medium in which computer program is stored | |
JP4437410B2 (ja) | セキュリティ管理装置及びプログラム | |
WO2016180134A1 (zh) | 管理信息安全规范库的方法和装置 | |
US11232202B2 (en) | System and method for identifying activity in a computer system | |
US11809612B2 (en) | Method and intrusion manager for handling intrusion of electronic equipment | |
US11503060B2 (en) | Information processing apparatus, information processing system, security assessment method, and security assessment program | |
CN112134723A (zh) | 网络异常监测方法、装置、计算机设备和存储介质 | |
CN113127855A (zh) | 安全防护系统及方法 | |
KR20140044954A (ko) | 툴바를 통한 이중 안티 피싱 방법 및 서버 | |
WO2023175953A1 (ja) | 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体 | |
US8898781B2 (en) | Communications system having security apparatus, security apparatus and method herefor |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170608 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181115 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190903 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191017 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200212 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200225 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6677169 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |