JP6760884B2 - Generation system, generation method and generation program - Google Patents
Generation system, generation method and generation program Download PDFInfo
- Publication number
- JP6760884B2 JP6760884B2 JP2017116153A JP2017116153A JP6760884B2 JP 6760884 B2 JP6760884 B2 JP 6760884B2 JP 2017116153 A JP2017116153 A JP 2017116153A JP 2017116153 A JP2017116153 A JP 2017116153A JP 6760884 B2 JP6760884 B2 JP 6760884B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- abnormal
- data related
- data
- abnormal communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、生成システム、生成方法及び生成プログラムに関する。 The present invention relates to a generation system, a generation method and a generation program.
企業網等のローカルエリアネットワーク(LAN:Local Area Network)では、インターネットのような不特定多数で使用される信頼性の低いネットワークと接続されるホストを外部の悪性通信から守るため、異常通信の検知や遮断を行うネットワーク型のセキュリティ対策装置が用いられる。ネットワーク型のセキュリティ対策装置としては、ファイアウォール、ネットワーク型IDS(Intrusion Detection System)、ネットワーク型IPS(Intrusion Prevention System)等が知られている。また、異常通信を検知するシステムを多層に設置し、異常通信の検知確率を高める手法が知られている(例えば、非特許文献1又は2を参照)。 In a local area network (LAN) such as a corporate network, abnormal communication is detected in order to protect the host connected to an unreliable network used by an unspecified number of people such as the Internet from external malicious communication. A network-type security countermeasure device that blocks or shuts down is used. As a network-type security countermeasure device, a firewall, a network-type IDS (Intrusion Detection System), a network-type IPS (Intrusion Prevention System), and the like are known. Further, there is known a method of increasing the detection probability of abnormal communication by installing a system for detecting abnormal communication in multiple layers (see, for example, Non-Patent Document 1 or 2).
しかしながら、従来の技術には、それぞれ検知ルールが異なる複数の異常通信検知システムを多層化して異常通信の検知を行う場合に、誤検知や見逃しの発生を抑えることができない場合があるという問題がある。 However, the conventional technology has a problem that it may not be possible to suppress the occurrence of false detections and oversights when a plurality of abnormal communication detection systems having different detection rules are multi-layered to detect abnormal communication. ..
例えば、悪性通信に関するデータに基づくシグネチャを検知ルールとして用いるミスユース検出型の異常通信検知システムと、正常通信に関するデータに基づく機械学習によって生成された写像関数を検知ルールとして用いるアノマリ検出型の異常通信検知システムと、を多層化する場合を考える。この場合、シグネチャと写像関数とを直接比較し、整合性を確認することは困難であるため、検知システム間の検知動作に矛盾が生じ、誤検知や見逃しが発生する場合がある。 For example, a misuse detection type abnormal communication detection system that uses a signature based on data related to malicious communication as a detection rule, and an anomaly detection type abnormal communication detection that uses a mapping function generated by machine learning based on data related to normal communication as a detection rule. Consider the case where the system and the system are multi-layered. In this case, since it is difficult to directly compare the signature and the mapping function to confirm the consistency, there may be a contradiction in the detection operation between the detection systems, and false detection or oversight may occur.
本発明の生成システムは、ネットワークに接続されたホストにおいて所定の期間に発生した通信に関する第1のデータと、テスト用に発生させる異常通信に関する第2のデータと、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールと、を取得する取得部と、通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、前記第1のデータを正常通信に関するデータと識別するように生成する生成部と、前記異常通信識別ルールに含まれるルールのうち、前記第1のデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールから削除する削除部と、前記第2のデータのうち、前記正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールに追加する追加部と、を有することを特徴とする。 In the generation system of the present invention, the first data related to the communication generated in a predetermined period in the host connected to the network, the second data related to the abnormal communication generated for the test, and the data related to the communication are the data related to the abnormal communication. An abnormal communication identification rule that identifies whether or not the data is normal, an acquisition unit that acquires the acquisition unit, and a normal communication identification rule that identifies whether or not the data related to communication is data related to normal communication, the first data is normal. The generator that generates data to identify the data related to communication and the rule that identifies the first data from the data related to abnormal communication among the rules included in the abnormal communication identification rule are deleted from the abnormal communication identification rule. A deletion unit, an additional unit that adds a rule for identifying data identified as data related to normal communication by the normal communication identification rule to data related to abnormal communication among the second data to the abnormal communication identification rule. It is characterized by having.
本発明によれば、それぞれ検知ルールが異なる複数の異常通信検知システムを多層化して異常通信の検知を行う場合に、誤検知や見逃しの発生を抑えることができる。 According to the present invention, when a plurality of abnormal communication detection systems having different detection rules are multi-layered to detect abnormal communication, it is possible to suppress the occurrence of erroneous detection and oversight.
以下に、本願に係る生成システム、生成方法及び生成プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。 Hereinafter, the generation system, the generation method, and the embodiment of the generation program according to the present application will be described in detail with reference to the drawings. The present invention is not limited to the embodiments described below.
[第1の実施形態の構成]
まず、図1から3を用いて、本実施形態の生成システムによって生成される異常検知に関するルールを用いて異常通信の検知を行う多層の構成の異常通信検知システムの設置について説明する。図1から3は、多層の構成の異常通信検知システムについて説明するための図である。
[Structure of the first embodiment]
First, using FIGS. 1 to 3, the installation of an anomaly communication detection system having a multi-layer structure for detecting anomaly communication using the rules for anomaly detection generated by the generation system of the present embodiment will be described. 1 to 3 are diagrams for explaining an abnormal communication detection system having a multi-layer structure.
図1は、一般的な企業網のネットワーク構成を示したものである。図1に示すように、複数のホスト5が繋がるLAN4とインターネットなどの不特定のネットワーク1は、ファイアウォール2を介して接続されている。また、ホスト5のセキュリティを守るため、設置区間3には、多層の構成の異常通信検知システムが設置される。多層の構成の異常通信検知システムには、IDSやIPSというセキュリティ対策装置が含まれる。
FIG. 1 shows a network configuration of a general corporate network. As shown in FIG. 1, a LAN 4 to which a plurality of
図2は、インライン型の設置方法を示している。この場合、図2に示すように、異常通信検知システム10aの1段目の層の異常通信検知システム100及び2段目の層の異常通信検知システム200は、インラインで接続される。
FIG. 2 shows an in-line type installation method. In this case, as shown in FIG. 2, the abnormal
一方、図3は、タップ型の設置方法を示している。この場合、図3に示すように、異常通信検知システム10bの1段目の層の異常通信検知システム100及び2段目の層の異常通信検知システム200は、ネットワーク装置6を介してファイアウォール2等と接続される。ネットワーク装置6は、ミラーポートを有し、トラフィックの複製を異常通信検知システム10bに渡すことができる。
On the other hand, FIG. 3 shows a tap type installation method. In this case, as shown in FIG. 3, the abnormality
図4を用いて、生成システムの構成について説明する。図4は、第1の実施形態に係る生成システムの構成の一例を示す図である。図4に示すように、生成システム300は、異常通信検知システム10に備えられる。異常通信検知システム10は、トラフィックキャプチャシステム50、1段目の層の異常通信検知システム100、2段目の層の異常通信検知システム200及び生成システム300を有し、外部システム群400と接続されている。
The configuration of the generation system will be described with reference to FIG. FIG. 4 is a diagram showing an example of the configuration of the generation system according to the first embodiment. As shown in FIG. 4, the
トラフィックキャプチャシステム50は、生成システム300の指示により指定されたホストの通信をキャプチャするシステムである。なお、トラフィックキャプチャシステム50は、異常通信検知システム10に流れるトラフィックをキャプチャリングできればよいため、インライン接続か、トラフィックのミラーリングが可能な装置を介したタップ接続にするかは問わない。
The
また、1段目の層の異常通信検知システム100は、自身に設定された検知ルール(例えば、異常通信識別ルール)により異常通信を検知するシステムである。また、2段目の層の異常通信検知システム200は、自身に設定された検知ルール(例えば、正常通信識別ルール)により正常通信を識別し、正常通信と識別できない通信を異常通信として検知するシステムである。外部システム群400は、生成システム300の指示により生成システム300がルール生成処理で使用するデータを提供するシステム群である。1段目の層の異常通信検知システム100は、第1の異常通信検知システムの一例である。2段目の層の異常通信検知システム200は、第2の異常通信検知システムの一例である。また、異常通信検知システム10は、異常通信識別ルールを用いて異常通信の検知を行う1段目の層の異常通信検知システム100と、正常通信識別ルールを用いて異常通信の検知を行う2段目の層の異常通信検知システム200と、を多層化した多層化異常通信検知システムの一例である。
Further, the abnormal
また、図4に示すように、生成システム300は、検知ルール生成制御部310、トラフィックキャプチャ管理部320、正常通信識別ルール生成部330、異常通信識別ルール生成部340、テストトラフィック管理部350及び検知ルール管理部360を有する。
Further, as shown in FIG. 4, the
また、トラフィックキャプチャ管理部320は、キャプチャデータ321を有する。また、正常通信識別ルール生成部330は、正常通信識別ルールデータ331を有する。また、異常通信識別ルール生成部340は、異常通信識別ルールデータ341を有する。また、テストトラフィック管理部350は、テストデータ351を有する。また、検知ルール管理部360は、検知ルールデータ361及び検知ルール配信部362を有する。
Further, the traffic capture management unit 320 has
生成システム300による検知ルール生成処理について説明する。外部システム群400は、トラフィックキャプチャシステム50及び生成システム300等から入力されたデータを基に検知ルールを生成する。また、生成システム300は、生成した検知ルールを、1段目の層の異常通信検知システム100及び2段目の層の異常通信検知システム200へ出力する。
The detection rule generation process by the
検知ルール生成処理は、生成システム300の内部に位置する検知ルール生成制御部310が、トラフィックキャプチャ管理部320、正常通信識別ルール生成部330、異常通信識別ルール生成部340、テストトラフィック管理部350及び検知ルール管理部360を制御することによって行われる。
In the detection rule generation process, the detection rule
図5を用いて、検知ルール生成制御部310の構成について説明する。図5は、第1の実施形態に係る検知ルール生成制御部の構成の一例を示す図である。図5に示すように、検知ルール生成制御部310は、取得部311、生成部312、誤検知検査部313、見逃し検査部314、削除部315、追加部316を有する。
The configuration of the detection rule
取得部311は、トラフィックキャプチャ管理部320を制御することにより、ネットワークに接続されたホストにおいて所定の期間に発生した通信に関するトラフィックキャプチャデータを取得する。トラフィックキャプチャ管理部320は、取得部311から指定されたホストのトラフィックキャプチャデータを、トラフィックキャプチャシステム50から取得する。そして、トラフィックキャプチャ管理部320は、取得したトラフィックキャプチャデータを、キャプチャデータ321に蓄積する。また、トラフィックキャプチャ管理部320は、取得部311からの指示でキャプチャデータ321に蓄積したトラフィックキャプチャデータを検知ルール管理部360へ送信する。また、トラフィックキャプチャ管理部320は、検知ルール管理部360から渡されるトラフィックキャプチャデータをキャプチャデータ321へ蓄積する。トラフィックキャプチャ管理部320によって取得されるトラフィックキャプチャデータは、第1のデータの一例である。
By controlling the traffic capture management unit 320, the acquisition unit 311 acquires traffic capture data related to the communication generated in a predetermined period on the host connected to the network. The traffic capture management unit 320 acquires the traffic capture data of the host designated by the acquisition unit 311 from the
また、異常通信検知システム10によって、正常であることが既知の通信が異常通信として検知された場合、取得部311は、正常であることが既知の通信が発生した期間を含む所定の期間に発生した通信に関するデータをトラフィックキャプチャデータとして取得することができる。また、異常通信検知システム10によって、異常であることが既知の通信が異常でない通信として検知された場合、取得部311は、異常であることが既知の通信が発生した期間を含む所定の期間のうち、異常であることが既知の通信が発生した期間を除く期間に発生した通信に関するデータをトラフィックキャプチャデータとして取得することができる。
Further, when the abnormal
また、生成部312は、正常通信識別ルール生成部330を制御することで、通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、トラフィックキャプチャデータを正常通信に関するデータと識別するように生成する。正常通信識別ルール生成部330は、生成部312から指定されたホストのトラフィックキャプチャデータを分析して、正常通信識別ルールを新たに生成し、正常通信識別ルールデータ331へ蓄積する。
Further, the generation unit 312 controls the normal communication identification
取得部311は、異常通信識別ルール生成部340を制御することにより、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールを取得する。異常通信識別ルール生成部340は、1段目の層の異常通信検知システム100を製造するベンダやセキュリティ業界のコミュニティ等、外部システム群400に分類されるいくつかの団体のシステム等から提供される異常通信識別ルールを取得し、異常通信識別ルールデータ341へ蓄積する。
By controlling the abnormal communication identification rule generation unit 340, the acquisition unit 311 acquires an abnormal communication identification rule that identifies whether or not the data related to communication is data related to abnormal communication. The abnormal communication identification rule generation unit 340 is provided by the systems of several organizations classified into the external system group 400, such as the vendor that manufactures the abnormal
取得部311は、テストトラフィック管理部350を制御することにより、テスト用に発生させる異常通信に関するテストデータを取得する。テストトラフィック管理部350は、テストトラフィックの生成を行うセキュリティ対策機器の試験用の機器であり、これを製造するベンダやセキュリティ業界のコミュニティ等、外部システム群400に分類されるいくつかの団体のシステムから提供されるテストデータ等を取得し、テストデータ351に蓄積する。また、テストトラフィック管理部350は、侵入テストで行われる脆弱性診断や攻撃パケットの再現等の通常とは異なる通信の生成、送信を自動で行うことができる。テストトラフィック管理部350によって取得されるテストデータは、第2のデータの一例である。
The acquisition unit 311 acquires test data related to abnormal communication generated for testing by controlling the test
誤検知検査部313は、検知ルール管理部360を制御することにより、誤検知に関する検査を実行する。また、見逃し検査部314は、検知ルール管理部360を制御することにより、見逃しに関する検査を実行する。検知ルール管理部360は、検知ルール生成制御部310からの指示により、1段目の層の異常通信検知システム100の仮想マシンをインスタンス化し、異常通信識別ルール生成部340から受け取る異常通信識別ルールをインスタンスに設定し、トラフィックキャプチャ管理部320及びテストトラフィック管理部350による通信テストを実施する。また、検知ルール管理部360は、2段目の層の異常通信検知システム200の仮想マシンをインスタンス化し、正常通信識別ルール生成部330から受け取る正常通信識別ルールをインスタンスに設定し、トラフィックキャプチャ管理部320及びテストトラフィック管理部350による通信テストの実施を行う。
The false
検知ルール管理部360は、インスタンス化した1段目の層の異常通信検知システム100の仮想マシンへの入力パケットの異常通信識別ルールへのヒットのログ情報を収集し、ログ情報を基に異常通信識別ルールを修正し、異常通信識別ルール生成部340へ渡す。また、検知ルール管理部360は、異常通信識別ルールを検知ルールデータ361に蓄積することができる。削除部315は、検知ルール管理部360を制御することにより、異常通信識別ルールに含まれるルールのうち、トラフィックキャプチャデータを異常通信に関するデータと識別するルールを、異常通信識別ルールから削除する。また、追加部316は、検知ルール管理部360を制御することにより、テストデータのうち、正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、異常通信識別ルールに追加する。
The detection
また、検知ルール管理部360は、インスタンス化した2段目の層の異常通信検知システム200の仮想マシンの出力パケットをキャプチャし、出力パケットのトラフィックキャプチャデータをトラフィックキャプチャ管理部320へ渡す。また、検知ルール管理部360は、正常通信識別ルールを検知ルールデータ361に蓄積することができる。
Further, the detection
検知ルール管理部360の検知ルール配信部362は、検知ルールデータ361に蓄積された検知ルールを、1段目の層の異常通信検知システム100と2段目の層の異常通信検知システム200へ配信する。
The detection
[第1の実施形態の処理]
ここで、図6から9を用いて、第1の実施形態に係る生成システムの処理について説明する。図6は、第1の実施形態に係る生成システムの処理の流れを示すフローチャートである。また、図7は、第1の実施形態に係る誤検知検査処理の流れを示すフローチャートである。また、図8は、第1の実施形態に係る見逃し検査処理の流れを示すフローチャートである。図9は、第1の実施形態に係る見逃し再検査処理の流れを示すフローチャートである。
[Processing of the first embodiment]
Here, the processing of the generation system according to the first embodiment will be described with reference to FIGS. 6 to 9. FIG. 6 is a flowchart showing a processing flow of the generation system according to the first embodiment. Further, FIG. 7 is a flowchart showing the flow of the false positive inspection process according to the first embodiment. Further, FIG. 8 is a flowchart showing the flow of the overlooked inspection process according to the first embodiment. FIG. 9 is a flowchart showing the flow of the overlooked re-inspection process according to the first embodiment.
図6は、検知ルールの新たな登録が必要になった場合(ステップS102、登録あり)と、検知ルールの更新が必要になった場合(ステップS102、更新あり)の処理の流れを示している。検知ルールの新たな登録が必要になった場合とは、例えば、ホストが新たにLANに接続された場合である。また、検知ルールの更新が必要になった場合とは、例えば、使用中の検知ルールを用いた検知において誤検知や見逃しが所定回数発生した場合である。 FIG. 6 shows a processing flow when a new detection rule needs to be registered (step S102, with registration) and when a detection rule needs to be updated (step S102, with update). .. The case where new registration of the detection rule is required is, for example, the case where the host is newly connected to the LAN. Further, the case where the detection rule needs to be updated is, for example, the case where false detection or oversight occurs a predetermined number of times in the detection using the detection rule in use.
また、ホストが新たにLANに接続された場合は、取得部311は、外部システム群400から、設定された当該ホストの属性情報を基に、異常通信識別ルール及びテストデータを取得する。 Further, when the host is newly connected to the LAN, the acquisition unit 311 acquires the abnormal communication identification rule and the test data from the external system group 400 based on the set attribute information of the host.
図10は、第1の実施形態に係る異常通信識別ルールの一例を示す図である。図10に示すように、例えば、異常通信識別ルールのうち、異常通信識別ルールIDが「A1」であるルールのルール内容は、通信相手が「任意」、プロトコルが「FTP」、パケットサイズが「50以上」、文字列が「任意」である。 FIG. 10 is a diagram showing an example of an abnormal communication identification rule according to the first embodiment. As shown in FIG. 10, for example, among the abnormal communication identification rules, the rule content of the rule whose abnormal communication identification rule ID is "A1" is that the communication partner is "arbitrary", the protocol is "FTP", and the packet size is "A1". "50 or more" and the character string is "arbitrary".
図11は、第1の実施形態に係るテストデータの一例を示す図である。図11に示すように、テストデータのうち、テストデータIDが「T1」であるテストデータの通信内容は、通信相手が「aからz」、プロトコルが「FTP」、パケットサイズが「30以上40以下」、文字列が「TARGET」である。 FIG. 11 is a diagram showing an example of test data according to the first embodiment. As shown in FIG. 11, among the test data, the communication content of the test data whose test data ID is "T1" is "a to z" for the communication partner, "FTP" for the protocol, and "30 or more and 40" for the packet size. Below ", the character string is" TARGET ".
取得部311は、新たなホストの登録の有無や、新たに検知ルールの更新が必要なホストの有無を確認する(ステップS101)。なお、以降の説明では、検知ルールの登録又は更新が必要となったホストを新ホストと呼ぶ。 The acquisition unit 311 confirms whether or not a new host is registered and whether or not there is a host that needs to newly update the detection rule (step S101). In the following description, the host for which the detection rule needs to be registered or updated is referred to as a new host.
ここで、検知ルールの新たな登録が必要になった場合(ステップS102、登録あり)、取得部311は、新ホストのトラフィックキャプチャデータを取得し、蓄積する(ステップS103)。図12は、第1の実施形態に係るホストのトラフィックキャプチャデータの一例を示す図である。図12に示すように、トラフィックキャプチャデータのうち、パケットIDが「P1」であるデータの通信内容は、通信相手が「a」、プロトコルが「FTP」、パケットサイズが「10」、文字列が「GET」である。 Here, when new registration of the detection rule is required (step S102, with registration), the acquisition unit 311 acquires and accumulates the traffic capture data of the new host (step S103). FIG. 12 is a diagram showing an example of traffic capture data of the host according to the first embodiment. As shown in FIG. 12, among the traffic capture data, the communication content of the data whose packet ID is "P1" is that the communication partner is "a", the protocol is "FTP", the packet size is "10", and the character string is. It is "GET".
次に、生成部312は、新ホストのトラフィックキャプチャデータから、正常通信識別ルールを生成する(ステップS104)。このとき、生成部312は、トラフィックキャプチャデータの内容を基に作成したホワイトリスト正常通信識別ルールとしてもよいし、トラフィックキャプチャデータを正常時の振る舞いとして機械学習を行うことで生成した写像関数を正常通信識別ルールとしてもよい。図13は、第1の実施形態に係る正常通信識別ルールの一例を示す図である。図13に示すように、正常通信識別ルールのうち、正常通信識別ルールIDが「N1」であるルールのルール内容は、通信相手が「aまたはb」、プロトコルが「FTP」、パケットサイズが「10以上50以下」、文字列が「GET」である。 Next, the generation unit 312 generates a normal communication identification rule from the traffic capture data of the new host (step S104). At this time, the generation unit 312 may use the whitelist normal communication identification rule created based on the contents of the traffic capture data, or the mapping function generated by performing machine learning using the traffic capture data as the normal behavior. It may be a communication identification rule. FIG. 13 is a diagram showing an example of a normal communication identification rule according to the first embodiment. As shown in FIG. 13, among the normal communication identification rules, the rule contents of the rule whose normal communication identification rule ID is "N1" are that the communication partner is "a or b", the protocol is "FTP", and the packet size is "N1". "10 or more and 50 or less", and the character string is "GET".
ここで、検知ルール生成制御部310は、1段目の層の異常通信検知システム100のインスタンスI1と2段目の層の異常通信検知システム200のインスタンスI2を生成する(ステップS105)。
Here, the detection rule
誤検知検査部313は、誤検知検査処理を行う(ステップS200)。誤検知検査部313は、図7に示すサブルーチンを実行することで誤検知検査処理を行う。図7に示すように、誤検知検査部313は、テスト環境をインスタンスI1(1段目の層の異常通信検知システム100の仮想マシンをインスタンス化したもの)、入力トラフィックを新ホストのトラフィックキャプチャデータ、使用ルールを異常通信識別ルールとしてテストを行う(ステップS201)。このとき、誤検知検査部313は、通信にヒットした異常検知識別ルールを検知ログとして記録しておき、インスタンスI1の検知ログの出力の有無によって検査を行う。つまり、誤検知検査処理において、誤検知検査部313は、トラフィックキャプチャデータを正常とみなし、トラフィックキャプチャデータが異常通信と識別された場合、誤検知が発生したとみなす。
The false
検知ログの出力があった場合(ステップS202、Yes)、削除部315は、新ホスト用の異常識別ルールから、通信にヒットした異常通信識別ルールを取り除いたものを、新ホスト用の新たな異常通信ルールとする(ステップS203)。一方、検知ログの出力がなかった場合(ステップS202、No)、誤検知検査部313は、誤検知はなかったものとみなし、ルールの削除を行わずにサブルーチンを終了する。
When the detection log is output (step S202, Yes), the
図14は、第1の実施形態に係る誤検知検査処理の結果の一例を示す図である。また、図15は、第1の実施形態に係る誤検知検査処理後の異常通信識別ルールの一例を示す図である。図14に示すように、異常通信識別ルールIDが「A1」であるルールが誤検知を発生させた場合、図15に示すように、削除部315は当該ルールを削除する。これにより、トラフィックキャプチャデータが異常通信識別ルールに基づいて異常と識別されることを回避することができる。
FIG. 14 is a diagram showing an example of the result of the false positive inspection process according to the first embodiment. Further, FIG. 15 is a diagram showing an example of an abnormal communication identification rule after the false positive inspection process according to the first embodiment. As shown in FIG. 14, when the rule whose abnormal communication identification rule ID is "A1" causes a false detection, the
ここで、図6に戻り、誤検知検査処理が行われた後、見逃し検査部314は、見逃し検査処理を行う(ステップS300)。見逃し検査部314は、図8に示すサブルーチンを実行することで見逃し検査処理を行う。図8に示すように、見逃し検査部314は、テスト環境をインスタンスI2(2段目の層の異常通信検知システム200の仮想マシンをインスタンス化したもの)、入力トラフィックをテストトラフィック管理部350の通信(テストデータに基づく通信)、使用ルールを正常通信識別ルールとしてテストを行う(ステップS301)。このとき、インスタンスI2は、正常通信識別ルールにヒットしなかったパケットを廃棄する。つまり、インスタンスI2は、正常通信識別ルールにヒットしたパケットのみを出力する。そして、見逃し検査部314は、インスタンスI2からの出力されたパケットの有無によって検査を行う。また、見逃し検査部314は、インスタンスI2から出力されたパケットのキャプチャを取得する。つまり、見逃し検査処理において、見逃し検査部314は、テストトラフィック管理部350の通信を正常でないものとみなし、当該通信が正常通信と識別された場合、見逃しが発生したとみなす。
Here, returning to FIG. 6, after the false detection inspection process is performed, the missed inspection unit 314 performs the missed inspection process (step S300). The overlook inspection unit 314 performs the overlook inspection process by executing the subroutine shown in FIG. As shown in FIG. 8, the overlook inspection unit 314 sets the test environment as instance I2 (instantiated virtual machine of the abnormal
出力パケットがあった場合(ステップS302、Yes)、見逃し検査部314は、インスタンスI2から出力されたパケットのキャプチャデータを見逃しトラフィックデータとして、キャプチャデータ321に登録する(ステップS303)。一方、出力パケットがなかった場合(ステップS302、No)、見逃し検査部314は、正常通信識別ルールを新ホスト用の検知ルールとして、検知ルールデータ361に登録する(ステップS304)。ここでは、見逃し検査部314は、見逃しが発生したテスト用のトラフィックデータを、見逃し再検査処理の対象としている。
When there is an output packet (step S302, Yes), the missed inspection unit 314 registers the captured data of the packet output from the instance I2 in the captured
図16は、第1の実施形態に係る見逃し検査処理の結果の一例を示す図である。また、図17は、第1の実施形態に係る見逃し検査処理後のテストデータの一例を示す図である。図16に示すように、テストデータIDが「T1」であるデータ及びテストデータIDが「T2」であるデータが見逃しを発生させた場合、図17に示すように、見逃し検査部314は、見逃しを発生させていないテストデータIDが「T3」であるデータを除いたテストデータを、見逃しトラフィックデータとする。 FIG. 16 is a diagram showing an example of the result of the oversight inspection process according to the first embodiment. Further, FIG. 17 is a diagram showing an example of test data after the overlooked inspection process according to the first embodiment. As shown in FIG. 16, when the data having the test data ID “T1” and the data having the test data ID “T2” cause an oversight, as shown in FIG. 17, the oversight inspection unit 314 misses the data. The test data excluding the data whose test data ID is "T3" is used as the overlooked traffic data.
ここで、図6に戻り、見逃し知検査処理が行われた後、見逃し検査部314は、見逃し再検査処理を行う(ステップS400)。見逃し検査部314は、図9に示すサブルーチンを実行することで見逃し再検査処理を行う。図9に示すように、見逃し検査部314は、新ホスト用の正常通信識別ルールが検知データへ登録されている場合(ステップS401、Yes)、見逃し再検査処理を行わずに、異常通信識別ルールを新ホスト用の検知ルールとして検知ルールデータ361へ登録する(ステップS402)。
Here, returning to FIG. 6, after the missed detection inspection process is performed, the missed inspection unit 314 performs the missed re-inspection process (step S400). The overlooked inspection unit 314 performs the overlooked re-inspection process by executing the subroutine shown in FIG. As shown in FIG. 9, when the normal communication identification rule for the new host is registered in the detection data (step S401, Yes), the missed inspection unit 314 does not perform the missed re-inspection process, and the abnormal communication identification rule Is registered in the
一方、見逃し検査部314は、新ホスト用の正常通信識別ルールが検知データへ登録されていない場合(ステップS401、No)、テスト環境をインスタンスI1、入力トラフィックを見逃しトラフィックデータ、使用ルールを異常通信識別ルールとしてテストを行う(ステップS403)。このとき、インスタンスI1は、異常通信識別ルールにヒットしなかったパケットを廃棄する。つまり、インスタンスI1は、異常通信識別ルールにヒットしたパケットのみを出力する。そして、見逃し検査部314は、インスタンスI1からの出力されたパケットの有無によって検査を行う。また、見逃し検査部314は、インスタンスI1から出力されたパケットのトラフィックキャプチャを取得する。つまり、見逃し再検査処理において、見逃し検査部314は、見逃しトラフィックデータが異常と識別されなかった場合、このような異常なトラフィックデータは、1段目の層の異常通信検知システム100及び2段目の層の異常通信検知システム200の両方で見逃しが発生するとみなす。
On the other hand, when the normal communication identification rule for the new host is not registered in the detection data (step S401, No), the missed inspection unit 314 sets the test environment as instance I1, misses the input traffic, and abnormally communicates the usage rule. A test is performed as an identification rule (step S403). At this time, the instance I1 discards the packet that does not hit the abnormal communication identification rule. That is, the instance I1 outputs only the packet that hits the abnormal communication identification rule. Then, the overlook inspection unit 314 inspects based on the presence or absence of the packet output from the instance I1. In addition, the missed inspection unit 314 acquires a traffic capture of the packet output from the instance I1. That is, in the overlooked re-inspection process, if the overlooked traffic data is not identified as abnormal by the overlooked inspection unit 314, such abnormal traffic data is transmitted to the abnormal
出力パケットがあった場合(ステップS404、Yes)、追加部316は、インスタンスI1から出力されたパケットのキャプチャデータから、異常通信識別ルールを生成し、異常通信識別ルールデータ341へ追加する(ステップS406)。そして、誤検知検査部313は、誤検知検査処理を行う(ステップS200)。ここで、ステップS406で追加した異常通信識別ルールがすべて残っていない場合(ステップS407、No)、追加部316は、さらに、インスタンスI1から出力されたパケットのキャプチャデータから、異常通信識別ルールを生成し、異常通信識別ルールデータ341へ追加する(ステップS406)。一方、ステップS406で追加した異常通信識別ルールがすべて残っている場合(ステップS407、Yes)、見逃し検査部314は、正常通信識別ルールを新ホスト用の検知ルールとして検知ルールデータ361へ登録する。
When there is an output packet (step S404, Yes), the addition unit 316 generates an abnormal communication identification rule from the captured data of the packet output from the instance I1 and adds it to the abnormal communication identification rule data 341 (step S406). ). Then, the false
また、出力パケットがなかった場合(ステップS404、No)も、見逃し検査部314は、正常通信識別ルールを新ホスト用の検知ルールとして検知ルールデータ361へ登録する(ステップS405)。そして、見逃し検査部314は、異常通信識別ルールを新ホスト用の検知ルールとして検知ルールデータ361へ登録する(ステップS402)。 Further, even when there is no output packet (step S404, No), the missed inspection unit 314 registers the normal communication identification rule as the detection rule for the new host in the detection rule data 361 (step S405). Then, the overlook inspection unit 314 registers the abnormal communication identification rule as the detection rule for the new host in the detection rule data 361 (step S402).
図18は、第1の実施形態に係る見逃し再検査処理の結果の一例を示す図である。また、図19は、第1の実施形態に係る見逃し再検査処理後の異常通信識別ルールの一例を示す図である。図18に示すように、テストデータIDが「T1」であるデータは、見逃し再検査処理においても異常と識別されなかったため、追加部316は、当該データから異常通信識別ルールが「A5」であるルールを生成し、異常通信識別ルールデータ341へ追加する。
FIG. 18 is a diagram showing an example of the result of the overlooked re-inspection process according to the first embodiment. Further, FIG. 19 is a diagram showing an example of an abnormal communication identification rule after the overlooked re-inspection process according to the first embodiment. As shown in FIG. 18, since the data whose test data ID is "T1" was not identified as abnormal even in the overlooked re-inspection process, the additional unit 316 has an abnormal communication identification rule of "A5" from the data. A rule is generated and added to the abnormal communication
ここで、図6に戻り、見逃し再検査処理が行われた後、検知ルール配信部362は、1段目の層の異常通信検知システム100及び2段目の層の異常通信検知システム200へ、新ホストの検知ルールを配信する(ステップS106)。そして、検知ルール生成制御部310は、1段目の層の異常通信検知システム100のインスタンスI1及び2段目の層の異常通信検知システム200のインスタンスI2を削除する(ステップS107)。そして、検知ルール生成制御部310は、処理をステップS101に戻し、検知ルール生成処理をさらに実行する。
Here, returning to FIG. 6, after the overlooked re-inspection process is performed, the detection
また、図6に示すように、検知ルールの更新が必要になった場合(ステップS102、更新あり)、取得部311は、検知ルールの更新種別が誤検知か見逃しのいずれであるかを確認する(ステップS501)。 Further, as shown in FIG. 6, when the detection rule needs to be updated (step S102, with update), the acquisition unit 311 confirms whether the update type of the detection rule is erroneous detection or overlooked. (Step S501).
更新種別が誤検知である場合(ステップS501、誤検知)、取得部311は、誤検知発生期間を含む期間の新ホストのトラフィックキャプチャデータを対象として選択し取得する(ステップS502)。図20は、第1の実施形態に係る誤検知に関する情報の一例を示す図である。取得部311は、図20に示す情報を基に、検知ルールの更新が必要であり、更新種別が誤検知であると判定する。図20は、1段目の層の異常通信検知システム100及び2段目の層の異常通信検知システム200において、2016/12/1 10:10:10に誤検知が発生したことを示している。
When the update type is false positive (step S501, false positive), the acquisition unit 311 selects and acquires the traffic capture data of the new host during the period including the false positive occurrence period (step S502). FIG. 20 is a diagram showing an example of information regarding false positives according to the first embodiment. Based on the information shown in FIG. 20, the acquisition unit 311 needs to update the detection rule, and determines that the update type is erroneous detection. FIG. 20 shows that an erroneous detection occurred at 10:10:10 on December 1, 2016 in the abnormal
図21は、第1の実施形態に係る誤検知が発生した際のキャプチャデータの取得について説明するための図である。図21に示すように、この場合、取得部311は、誤検知が発生した時点の前後の期間D002のトラフィックキャプチャデータを選択し取得する。期間D002は、検知ルールを登録する際にトラフィックキャプチャデータが取得される期間D001と同じ長さであってよい。 FIG. 21 is a diagram for explaining acquisition of captured data when a false positive according to the first embodiment occurs. As shown in FIG. 21, in this case, the acquisition unit 311 selects and acquires the traffic capture data of the period D002 before and after the time when the false detection occurs. The period D002 may be the same length as the period D001 in which the traffic capture data is acquired when the detection rule is registered.
一方、更新種別が見逃しである場合(ステップS501、見逃し)、取得部311は、見逃し発生期間を除いた期間の新ホストのトラフィックキャプチャデータを対象として選択し、検知を見逃したトラフィックキャプチャデータを見逃しトラフィックデータに含める(ステップS503)。図22は、第1の実施形態に係る見逃しに関する情報の一例を示す図である。取得部311は、図22に示す情報を基に、検知ルールの更新が必要であり、更新種別が見逃しであると判定する。図22は、1段目の層の異常通信検知システム100及び2段目の層の異常通信検知システム200において、2017/1/1 15:00:00に見逃しが発生し、そのときの通信内容が、プロトコルが「HTTP」、パケットサイズが「20」、文字列が「MARICIOUS」であったことを示している。
On the other hand, when the update type is overlooked (step S501, overlooked), the acquisition unit 311 selects the traffic capture data of the new host during the period excluding the overlook occurrence period, and overlooks the overlooked traffic capture data. Include in traffic data (step S503). FIG. 22 is a diagram showing an example of information regarding oversight according to the first embodiment. Based on the information shown in FIG. 22, the acquisition unit 311 determines that the detection rule needs to be updated and the update type is overlooked. In FIG. 22, in the abnormal
図23は、第1の実施形態に係る見逃しが発生した際のキャプチャデータの取得について説明するための図である。図23に示すように、この場合、取得部311は、見逃しが発生した時点の前後であって、見逃しが発生した期間を含まない期間D003のトラフィックキャプチャデータを選択し取得する。また、取得部311は、見逃しが発生した期間のトラフィックキャプチャデータを、見逃しトラフィックデータとして取得する。期間D003は、検知ルールを登録する際にトラフィックキャプチャデータが取得される期間D001と同じ長さであってよい。 FIG. 23 is a diagram for explaining acquisition of captured data when an oversight occurs according to the first embodiment. As shown in FIG. 23, in this case, the acquisition unit 311 selects and acquires the traffic capture data of the period D003 before and after the time when the oversight occurs and does not include the period in which the oversight occurs. In addition, the acquisition unit 311 acquires the traffic capture data of the period in which the oversight occurred as the overlooked traffic data. The period D003 may be the same length as the period D001 in which the traffic capture data is acquired when the detection rule is registered.
[第1の実施形態の効果]
取得部311は、ネットワークに接続されたホストにおいて所定の期間に発生した通信に関するトラフィックキャプチャデータと、テスト用に発生させる異常通信に関するテストデータと、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールと、を取得する。また、生成部312は、通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、トラフィックキャプチャデータを正常通信に関するデータと識別するように生成する。また、削除部315は、異常通信識別ルールに含まれるルールのうち、トラフィックキャプチャデータを異常通信に関するデータと識別するルールを、異常通信識別ルールから削除する。また、追加部316は、テストデータのうち、正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、異常通信識別ルールに追加する。このように、第1の実施形態では、トラフィックキャプチャデータ及びテストデータを介して検知ルールの評価を行うため、検知ルールが異なる場合であっても、検知ルール間の矛盾を解消し、整合性を保つことができる。このため、第1の実施形態によれば、検知ルールが異なる複数の異常通信検知システムを多層化して異常通信の検知を行う場合であっても、誤検知や見逃しの発生を抑えることができる。例えば、第1の実施形態によれば、ミスユース検出型の異常通信検知システムと、アノマリ検出型の異常通信検知システムとを多層化した異常通信検知システムにおいて、誤検知や見逃しの発生を抑えることができる。また、第1の実施形態では、検知ルールの生成が自動的に行われるため、ホストの初期導入時や運用中等において、従来と比較し少ない稼働で整合性の取れた検知ルールの生成ができる。
[Effect of the first embodiment]
The acquisition unit 311 determines whether the traffic capture data related to the communication generated in the predetermined period on the host connected to the network, the test data related to the abnormal communication generated for the test, and the data related to the communication are the data related to the abnormal communication. Acquires an abnormal communication identification rule that identifies the data. Further, the generation unit 312 generates a normal communication identification rule that identifies whether or not the data related to communication is data related to normal communication so as to identify the traffic capture data from the data related to normal communication. Further, the
追加部316は、テストデータのうち、正常通信識別ルールによって正常通信に関するデータと識別されたデータであって、異常識別ルールによって異常通信に関するデータと識別されないデータを異常通信に関するデータと識別するルールを、異常識別ルールに追加することができる。これにより、正常通信識別ルールのみでは見逃されてしまう異常通信を、異常通信識別ルールを用いて検知することが可能となる。 The additional unit 316 sets a rule for identifying data that is identified as data related to normal communication by the normal communication identification rule but not data related to abnormal communication by the abnormal communication identification rule as data related to abnormal communication among the test data. , Can be added to the anomaly identification rule. As a result, it becomes possible to detect abnormal communication that is overlooked only by the normal communication identification rule by using the abnormal communication identification rule.
異常通信識別ルールを用いて異常通信の検知を行う1段目の層の異常通信検知システム100と、正常通信識別ルールを用いて異常通信の検知を行う2段目の層の異常通信検知システム200と、を多層化した多層化異常通信検知システムによって、正常であることが既知の通信が異常通信として検知された場合、取得部311は、正常であることが既知の通信が発生した期間を含む所定の期間に発生した通信に関するデータをトラフィックキャプチャデータとして取得することができる。これにより、例えば、ホストの運用中のトラフィック特性の変化に起因した誤検知が発生した場合にも、当該誤検知に対応できるように、随時検知ルールを更新することができる。
An abnormal
異常通信識別ルールを用いて異常通信の検知を行う1段目の層の異常通信検知システム100と、正常通信識別ルールを用いて異常通信の検知を行う2段目の層の異常通信検知システム200と、を多層化した多層化異常通信検知システムによって、異常であることが既知の通信が異常でない通信として検知された場合、取得部311は、異常であることが既知の通信が発生した期間に期間を含む所定の期間のうち、異常であることが既知の通信が発生した期間を除く期間に発生した通信に関するデータをトラフィックキャプチャデータとして取得することができる。これにより、例えば、サイバー攻撃の変化に起因した見逃しが発生した場合にも、当該見逃しに対応できるように、随時検知ルールを更新することができる。
An abnormal
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[System configuration, etc.]
Further, each component of each of the illustrated devices is a functional concept, and does not necessarily have to be physically configured as shown in the figure. That is, the specific form of distribution / integration of each device is not limited to the one shown in the figure, and all or part of the device is functionally or physically distributed in arbitrary units according to various loads and usage conditions. It can be integrated and configured. Further, each processing function performed by each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 Further, among the processes described in the present embodiment, all or part of the processes described as being automatically performed can be manually performed, or the processes described as being manually performed can be performed. All or part of it can be done automatically by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above document and drawings can be arbitrarily changed unless otherwise specified.
[プログラム]
一実施形態として、生成システム30は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知ルールの生成を実行する生成プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の生成プログラムを情報処理装置に実行させることにより、情報処理装置を生成システム30として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
[program]
As one embodiment, the generation system 30 can be implemented by installing a generation program that executes the generation of the above detection rule as package software or online software on a desired computer. For example, by causing the information processing apparatus to execute the above generation program, the information processing apparatus can function as the generation system 30. The information processing device referred to here includes a desktop type or notebook type personal computer. In addition, the information processing device includes mobile communication terminals such as smartphones, mobile phones and PHS (Personal Handyphone System), and slate terminals such as PDAs (Personal Digital Assistants).
また、生成システム30は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の検知ルールの生成に関するサービスを提供する生成サーバ装置として実装することもできる。例えば、生成サーバ装置は、新ホストの属性情報を入力とし、生成した検知ルールを出力とする生成サービスを提供するサーバ装置として実装される。この場合、生成サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の検知ルールの生成に関するサービスを提供するクラウドとして実装することとしてもかまわない。 Further, the generation system 30 can be implemented as a generation server device in which the terminal device used by the user is a client and the service related to the generation of the above detection rule is provided to the client. For example, the generation server device is implemented as a server device that provides a generation service that inputs the attribute information of the new host and outputs the generated detection rule. In this case, the generation server device may be implemented as a Web server, or may be implemented as a cloud that provides the service related to the generation of the above detection rule by outsourcing.
図24は、生成プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
FIG. 24 is a diagram showing an example of a computer that executes a generation program. The
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
The
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、生成システム30の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、生成システム30における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
The hard disk drive 1090 stores, for example, the
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
Further, the setting data used in the processing of the above-described embodiment is stored as
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
1 ネットワーク
2 ファイアウォール
3 設置区間
4 LAN
5 ホスト
6 ネットワーク装置
10、10a、10b 異常通信検知システム
50 トラフィックキャプチャシステム
100 1段目の層の異常通信検知システム
200 2段目の層の異常通信検知システム
300 生成システム
310 検知ルール生成制御部
311 取得部
312 生成部
313 誤検知検査部
314 見逃し検査部
315 削除部
316 追加部
320 トラフィックキャプチャ管理部
321 キャプチャデータ
330 正常通信識別ルール生成部
331 正常通信識別ルールデータ
340 異常通信識別ルール生成部
341 異常通信識別ルールデータ
350 テストトラフィック管理部
351 テストデータ
360 検知ルール管理部
361 検知ルールデータ
362 検知ルール配信部
400 外部システム群
1 Network 2
5 Host 6
Claims (6)
通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、前記第1のデータを正常通信に関するデータと識別するように生成する生成部と、
前記異常通信識別ルールに含まれるルールのうち、前記第1のデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールから削除する削除部と、
前記第2のデータのうち、前記正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールに追加する追加部と、
を有し、
前記異常通信識別ルールを用いて異常通信の検知を行う第1の異常通信検知システムと、前記正常通信識別ルールを用いて異常通信の検知を行う第2の異常通信検知システムと、を多層化した多層化異常通信検知システムによって、正常であることが既知の通信が異常通信として検知された場合、前記取得部は、前記正常であることが既知の通信が発生した期間を含む前記所定の期間に発生した通信に関するデータを前記第1のデータとして取得することを特徴とする生成システム。 Identify whether the first data related to communication that occurred in a predetermined period on a host connected to the network, the second data related to abnormal communication generated for testing, and the data related to communication are data related to abnormal communication. Abnormal communication identification rule to acquire, acquisition unit to acquire,
A generator that generates a normal communication identification rule that identifies whether or not the data related to communication is data related to normal communication so as to identify the first data from the data related to normal communication.
Among the rules included in the abnormal communication identification rule, a deletion unit that deletes the rule that identifies the first data as data related to abnormal communication from the abnormal communication identification rule, and
Of the second data, an additional part that adds a rule for identifying data identified as data related to normal communication by the normal communication identification rule to data related to abnormal communication to the abnormal communication identification rule, and
Have a,
The first abnormal communication detection system that detects abnormal communication using the abnormal communication identification rule and the second abnormal communication detection system that detects abnormal communication using the normal communication identification rule are multi-layered. When the communication known to be normal is detected as abnormal communication by the multi-layered abnormal communication detection system, the acquisition unit is in the predetermined period including the period in which the communication known to be normal occurs. A generation system characterized in that data relating to the generated communication is acquired as the first data .
通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、前記第1のデータを正常通信に関するデータと識別するように生成する生成部と、
前記異常通信識別ルールに含まれるルールのうち、前記第1のデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールから削除する削除部と、
前記第2のデータのうち、前記正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールに追加する追加部と、
を有し、
前記異常通信識別ルールを用いて異常通信の検知を行う第1の異常通信検知システムと、前記正常通信識別ルールを用いて異常通信の検知を行う第2の異常通信検知システムと、を多層化した多層化異常通信検知システムによって、異常であることが既知の通信が異常でない通信として検知された場合、前記取得部は、前記異常であることが既知の通信が発生した期間を含む前記所定の期間のうち、前記異常であることが既知の通信が発生した期間を除く期間に発生した通信に関するデータを前記第1のデータとして取得することを特徴とする生成システム。 Identify whether the first data related to communication that occurred in a predetermined period on a host connected to the network, the second data related to abnormal communication generated for testing, and the data related to communication are data related to abnormal communication. Abnormal communication identification rule to acquire, acquisition unit to acquire,
A generator that generates a normal communication identification rule that identifies whether or not the data related to communication is data related to normal communication so as to identify the first data from the data related to normal communication.
Among the rules included in the abnormal communication identification rule, a deletion unit that deletes the rule that identifies the first data as data related to abnormal communication from the abnormal communication identification rule, and
Of the second data, an additional part that adds a rule for identifying data identified as data related to normal communication by the normal communication identification rule to data related to abnormal communication to the abnormal communication identification rule, and
Have,
The first abnormal communication detection system that detects abnormal communication using the abnormal communication identification rule and the second abnormal communication detection system that detects abnormal communication using the normal communication identification rule are multi-layered. When the multi-layered abnormal communication detection system detects a communication known to be abnormal as a non-abnormal communication, the acquisition unit receives the predetermined period including a period in which the communication known to be abnormal occurs. Among the generation systems, the generation system is characterized in that data related to communication generated during a period other than a period in which communication known to be abnormal is acquired is acquired as the first data .
ネットワークに接続されたホストにおいて所定の期間に発生した通信に関する第1のデータと、テスト用に発生させる異常通信に関する第2のデータと、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールと、を取得する取得工程と、
通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、前記第1のデータを正常通信に関するデータと識別するように生成する生成工程と、
前記異常通信識別ルールに含まれるルールのうち、前記第1のデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールから削除する削除工程と、
前記第2のデータのうち、前記正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールに追加する追加工程と、
を含み、
前記異常通信識別ルールを用いて異常通信の検知を行う第1の異常通信検知システムと、前記正常通信識別ルールを用いて異常通信の検知を行う第2の異常通信検知システムと、を多層化した多層化異常通信検知システムによって、正常であることが既知の通信が異常通信として検知された場合、前記取得工程は、前記正常であることが既知の通信が発生した期間を含む前記所定の期間に発生した通信に関するデータを前記第1のデータとして取得することを特徴とする生成方法。 A generation method performed by a computer
Identify whether the first data related to communication that occurred in a predetermined period on a host connected to the network, the second data related to abnormal communication generated for testing, and the data related to communication are data related to abnormal communication. Abnormal communication identification rule to be performed, acquisition process to acquire, and
A generation step of generating a normal communication identification rule for identifying whether or not the data related to communication is data related to normal communication so as to identify the first data from the data related to normal communication.
Among the rules included in the abnormal communication identification rule, a deletion step of deleting the rule for identifying the first data as data related to abnormal communication from the abnormal communication identification rule, and
Among the second data, an additional step of adding a rule for identifying data identified as data related to normal communication by the normal communication identification rule to data related to abnormal communication to the abnormal communication identification rule, and
Only including,
The first abnormal communication detection system that detects abnormal communication using the abnormal communication identification rule and the second abnormal communication detection system that detects abnormal communication using the normal communication identification rule are multi-layered. When the multi-layered abnormal communication detection system detects the communication known to be normal as abnormal communication, the acquisition step is performed in the predetermined period including the period in which the communication known to be normal occurs. A generation method characterized in that data relating to the generated communication is acquired as the first data .
ネットワークに接続されたホストにおいて所定の期間に発生した通信に関する第1のデータと、テスト用に発生させる異常通信に関する第2のデータと、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールと、を取得する取得工程と、Identify whether the first data related to communication that occurred in a predetermined period on a host connected to the network, the second data related to abnormal communication generated for testing, and the data related to communication are data related to abnormal communication. Abnormal communication identification rule to be performed, acquisition process to acquire, and
通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、前記第1のデータを正常通信に関するデータと識別するように生成する生成工程と、A generation step of generating a normal communication identification rule for identifying whether or not the data related to communication is data related to normal communication so as to identify the first data from the data related to normal communication.
前記異常通信識別ルールに含まれるルールのうち、前記第1のデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールから削除する削除工程と、Among the rules included in the abnormal communication identification rule, a deletion step of deleting the rule for identifying the first data as data related to abnormal communication from the abnormal communication identification rule, and
前記第2のデータのうち、前記正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールに追加する追加工程と、Among the second data, an additional step of adding a rule for identifying data identified as data related to normal communication by the normal communication identification rule to data related to abnormal communication to the abnormal communication identification rule, and
を含み、Including
前記異常通信識別ルールを用いて異常通信の検知を行う第1の異常通信検知システムと、前記正常通信識別ルールを用いて異常通信の検知を行う第2の異常通信検知システムと、を多層化した多層化異常通信検知システムによって、異常であることが既知の通信が異常でない通信として検知された場合、前記取得工程は、前記異常であることが既知の通信が発生した期間を含む前記所定の期間のうち、前記異常であることが既知の通信が発生した期間を除く期間に発生した通信に関するデータを前記第1のデータとして取得することを特徴とする生成方法。The first abnormal communication detection system that detects abnormal communication using the abnormal communication identification rule and the second abnormal communication detection system that detects abnormal communication using the normal communication identification rule are multi-layered. When the multi-layered abnormal communication detection system detects a communication known to be abnormal as a non-abnormal communication, the acquisition step is performed in the predetermined period including a period in which the communication known to be abnormal occurs. Among the generation methods, the generation method is characterized in that data relating to communication generated in a period other than the period in which communication known to be abnormal is generated is acquired as the first data.
ネットワークに接続されたホストにおいて所定の期間に発生した通信に関する第1のデータと、テスト用に発生させる異常通信に関する第2のデータと、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールと、を取得する取得ステップと、
通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、前記第1のデータを正常通信に関するデータと識別するように生成する生成ステップと、
前記異常通信識別ルールに含まれるルールのうち、前記第1のデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールから削除する削除ステップと、
前記第2のデータのうち、前記正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールに追加する追加ステップと、
を実行させ、
前記異常通信識別ルールを用いて異常通信の検知を行う第1の異常通信検知システムと、前記正常通信識別ルールを用いて異常通信の検知を行う第2の異常通信検知システムと、を多層化した多層化異常通信検知システムによって、正常であることが既知の通信が異常通信として検知された場合、前記取得ステップは、前記正常であることが既知の通信が発生した期間を含む前記所定の期間に発生した通信に関するデータを前記第1のデータとして取得することを特徴とする生成プログラム。 On the computer
Identify whether the first data related to communication that occurred in a predetermined period on a host connected to the network, the second data related to abnormal communication generated for testing, and the data related to communication are data related to abnormal communication. Abnormal communication identification rule to acquire, acquisition step to acquire,
A generation step of generating a normal communication identification rule for identifying whether or not the data related to communication is data related to normal communication so as to identify the first data from the data related to normal communication.
Among the rules included in the abnormal communication identification rule, a deletion step of deleting the rule that identifies the first data as data related to abnormal communication from the abnormal communication identification rule, and
Among the second data, an additional step of adding a rule for identifying data identified as data related to normal communication by the normal communication identification rule as data related to abnormal communication to the abnormal communication identification rule, and
To execute ,
The first abnormal communication detection system that detects abnormal communication using the abnormal communication identification rule and the second abnormal communication detection system that detects abnormal communication using the normal communication identification rule are multi-layered. When the multi-layered abnormal communication detection system detects communication known to be normal as abnormal communication, the acquisition step is performed during the predetermined period including the period during which the communication known to be normal occurs. A generation program characterized by acquiring data related to generated communication as the first data .
ネットワークに接続されたホストにおいて所定の期間に発生した通信に関する第1のデータと、テスト用に発生させる異常通信に関する第2のデータと、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールと、を取得する取得ステップと、Identify whether the first data related to communication that occurred in a predetermined period on a host connected to the network, the second data related to abnormal communication generated for testing, and the data related to communication are data related to abnormal communication. Abnormal communication identification rule to acquire, acquisition step to acquire,
通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、前記第1のデータを正常通信に関するデータと識別するように生成する生成ステップと、A generation step of generating a normal communication identification rule for identifying whether or not the data related to communication is data related to normal communication so as to identify the first data from the data related to normal communication.
前記異常通信識別ルールに含まれるルールのうち、前記第1のデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールから削除する削除ステップと、Among the rules included in the abnormal communication identification rule, a deletion step of deleting the rule that identifies the first data as data related to abnormal communication from the abnormal communication identification rule, and
前記第2のデータのうち、前記正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールに追加する追加ステップと、Among the second data, an additional step of adding a rule for identifying data identified as data related to normal communication by the normal communication identification rule as data related to abnormal communication to the abnormal communication identification rule, and
を実行させ、To execute,
前記異常通信識別ルールを用いて異常通信の検知を行う第1の異常通信検知システムと、前記正常通信識別ルールを用いて異常通信の検知を行う第2の異常通信検知システムと、を多層化した多層化異常通信検知システムによって、異常であることが既知の通信が異常でない通信として検知された場合、前記取得ステップは、前記異常であることが既知の通信が発生した期間を含む前記所定の期間のうち、前記異常であることが既知の通信が発生した期間を除く期間に発生した通信に関するデータを前記第1のデータとして取得することを特徴とする生成プログラム。The first abnormal communication detection system that detects abnormal communication using the abnormal communication identification rule and the second abnormal communication detection system that detects abnormal communication using the normal communication identification rule are multi-layered. When the multi-layered abnormal communication detection system detects a communication known to be abnormal as a non-abnormal communication, the acquisition step is the predetermined period including a period during which the communication known to be abnormal has occurred. Among the generation programs, the generation program is characterized by acquiring data related to communication generated in a period excluding the period in which communication known to be abnormal occurs as the first data.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017116153A JP6760884B2 (en) | 2017-06-13 | 2017-06-13 | Generation system, generation method and generation program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017116153A JP6760884B2 (en) | 2017-06-13 | 2017-06-13 | Generation system, generation method and generation program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019004260A JP2019004260A (en) | 2019-01-10 |
| JP6760884B2 true JP6760884B2 (en) | 2020-09-23 |
Family
ID=65008100
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017116153A Active JP6760884B2 (en) | 2017-06-13 | 2017-06-13 | Generation system, generation method and generation program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6760884B2 (en) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011244098A (en) * | 2010-05-14 | 2011-12-01 | Nippon Telegr & Teleph Corp <Ntt> | Traffic analysis system and traffic analysis method |
| JP2012084994A (en) * | 2010-10-07 | 2012-04-26 | Hitachi Ltd | Malware detection method and malware detection device |
| JP5639535B2 (en) * | 2011-06-10 | 2014-12-10 | 日本電信電話株式会社 | Benign domain name exclusion device, benign domain name exclusion method, and program |
| JP6086423B2 (en) * | 2012-11-14 | 2017-03-01 | 国立研究開発法人情報通信研究機構 | Unauthorized communication detection method by collating observation information of multiple sensors |
| IL226057A (en) * | 2013-04-28 | 2017-07-31 | Verint Systems Ltd | System and method for automated configuration of intrusion detection systems |
-
2017
- 2017-06-13 JP JP2017116153A patent/JP6760884B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019004260A (en) | 2019-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5972401B2 (en) | Attack analysis system, linkage device, attack analysis linkage method, and program | |
| US9306964B2 (en) | Using trust profiles for network breach detection | |
| US9667657B2 (en) | System and method of utilizing a dedicated computer security service | |
| US11522877B2 (en) | Systems and methods for identifying malicious actors or activities | |
| US20180034837A1 (en) | Identifying compromised computing devices in a network | |
| US20130096980A1 (en) | User-defined countermeasures | |
| US11861006B2 (en) | High-confidence malware severity classification of reference file set | |
| US11258812B2 (en) | Automatic characterization of malicious data flows | |
| US10484400B2 (en) | Dynamic sensors | |
| US10972490B2 (en) | Specifying system, specifying device, and specifying method | |
| US10904267B2 (en) | Non-intrusive threat detection in a computer network | |
| CN108369541B (en) | System and method for threat risk scoring of security threats | |
| US20160373447A1 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| JP6058246B2 (en) | Information processing apparatus, information processing method, and program | |
| US11025656B2 (en) | Automatic categorization of IDPS signatures from multiple different IDPS systems | |
| WO2016014014A1 (en) | Remedial action for release of threat data | |
| JP2014179025A (en) | Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program | |
| CN108804914B (en) | Abnormal data detection method and device | |
| US10075454B1 (en) | Using telemetry data to detect false positives | |
| US20200334353A1 (en) | Method and system for detecting and classifying malware based on families | |
| JP6760884B2 (en) | Generation system, generation method and generation program | |
| WO2020009094A1 (en) | Generation device, generation method, and generation program | |
| US20220237303A1 (en) | Attack graph processing device, method, and program | |
| JP7405162B2 (en) | Analytical systems, methods and programs | |
| JP6676790B2 (en) | Request control device, request control method, and request control program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190620 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200526 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200609 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200805 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200901 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200903 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6760884 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |