JP6760884B2 - Generation system, generation method and generation program - Google Patents

Generation system, generation method and generation program Download PDF

Info

Publication number
JP6760884B2
JP6760884B2 JP2017116153A JP2017116153A JP6760884B2 JP 6760884 B2 JP6760884 B2 JP 6760884B2 JP 2017116153 A JP2017116153 A JP 2017116153A JP 2017116153 A JP2017116153 A JP 2017116153A JP 6760884 B2 JP6760884 B2 JP 6760884B2
Authority
JP
Japan
Prior art keywords
communication
abnormal
data related
data
abnormal communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017116153A
Other languages
Japanese (ja)
Other versions
JP2019004260A (en
Inventor
南 拓也
拓也 南
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017116153A priority Critical patent/JP6760884B2/en
Publication of JP2019004260A publication Critical patent/JP2019004260A/en
Application granted granted Critical
Publication of JP6760884B2 publication Critical patent/JP6760884B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、生成システム、生成方法及び生成プログラムに関する。 The present invention relates to a generation system, a generation method and a generation program.

企業網等のローカルエリアネットワーク(LAN:Local Area Network)では、インターネットのような不特定多数で使用される信頼性の低いネットワークと接続されるホストを外部の悪性通信から守るため、異常通信の検知や遮断を行うネットワーク型のセキュリティ対策装置が用いられる。ネットワーク型のセキュリティ対策装置としては、ファイアウォール、ネットワーク型IDS(Intrusion Detection System)、ネットワーク型IPS(Intrusion Prevention System)等が知られている。また、異常通信を検知するシステムを多層に設置し、異常通信の検知確率を高める手法が知られている(例えば、非特許文献1又は2を参照)。 In a local area network (LAN) such as a corporate network, abnormal communication is detected in order to protect the host connected to an unreliable network used by an unspecified number of people such as the Internet from external malicious communication. A network-type security countermeasure device that blocks or shuts down is used. As a network-type security countermeasure device, a firewall, a network-type IDS (Intrusion Detection System), a network-type IPS (Intrusion Prevention System), and the like are known. Further, there is known a method of increasing the detection probability of abnormal communication by installing a system for detecting abnormal communication in multiple layers (see, for example, Non-Patent Document 1 or 2).

経済産業省、“サイバーセキュリティ経営ガイドライン”、[online]、[平成29年6月5日検索]、インターネット(http://www.meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf)Ministry of Economy, Trade and Industry, "Cyber Security Management Guidelines", [online], [Search on June 5, 2017], Internet (http://www.meti.go.jp/press/2015/12/20151228002/20151228002- 2.pdf) IPA、“サイバーセキュリティ経営ガイドライン解説書”、[online]、[平成29年6月5日検索]、インターネット(https://www.ipa.go.jp/files/000056148.pdf)IPA, "Cyber Security Management Guideline Manual", [online], [Search on June 5, 2017], Internet (https://www.ipa.go.jp/files/000056148.pdf)

しかしながら、従来の技術には、それぞれ検知ルールが異なる複数の異常通信検知システムを多層化して異常通信の検知を行う場合に、誤検知や見逃しの発生を抑えることができない場合があるという問題がある。 However, the conventional technology has a problem that it may not be possible to suppress the occurrence of false detections and oversights when a plurality of abnormal communication detection systems having different detection rules are multi-layered to detect abnormal communication. ..

例えば、悪性通信に関するデータに基づくシグネチャを検知ルールとして用いるミスユース検出型の異常通信検知システムと、正常通信に関するデータに基づく機械学習によって生成された写像関数を検知ルールとして用いるアノマリ検出型の異常通信検知システムと、を多層化する場合を考える。この場合、シグネチャと写像関数とを直接比較し、整合性を確認することは困難であるため、検知システム間の検知動作に矛盾が生じ、誤検知や見逃しが発生する場合がある。 For example, a misuse detection type abnormal communication detection system that uses a signature based on data related to malicious communication as a detection rule, and an anomaly detection type abnormal communication detection that uses a mapping function generated by machine learning based on data related to normal communication as a detection rule. Consider the case where the system and the system are multi-layered. In this case, since it is difficult to directly compare the signature and the mapping function to confirm the consistency, there may be a contradiction in the detection operation between the detection systems, and false detection or oversight may occur.

本発明の生成システムは、ネットワークに接続されたホストにおいて所定の期間に発生した通信に関する第1のデータと、テスト用に発生させる異常通信に関する第2のデータと、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールと、を取得する取得部と、通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、前記第1のデータを正常通信に関するデータと識別するように生成する生成部と、前記異常通信識別ルールに含まれるルールのうち、前記第1のデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールから削除する削除部と、前記第2のデータのうち、前記正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールに追加する追加部と、を有することを特徴とする。 In the generation system of the present invention, the first data related to the communication generated in a predetermined period in the host connected to the network, the second data related to the abnormal communication generated for the test, and the data related to the communication are the data related to the abnormal communication. An abnormal communication identification rule that identifies whether or not the data is normal, an acquisition unit that acquires the acquisition unit, and a normal communication identification rule that identifies whether or not the data related to communication is data related to normal communication, the first data is normal. The generator that generates data to identify the data related to communication and the rule that identifies the first data from the data related to abnormal communication among the rules included in the abnormal communication identification rule are deleted from the abnormal communication identification rule. A deletion unit, an additional unit that adds a rule for identifying data identified as data related to normal communication by the normal communication identification rule to data related to abnormal communication among the second data to the abnormal communication identification rule. It is characterized by having.

本発明によれば、それぞれ検知ルールが異なる複数の異常通信検知システムを多層化して異常通信の検知を行う場合に、誤検知や見逃しの発生を抑えることができる。 According to the present invention, when a plurality of abnormal communication detection systems having different detection rules are multi-layered to detect abnormal communication, it is possible to suppress the occurrence of erroneous detection and oversight.

図1は、多層の構成の異常通信検知システムについて説明するための図である。FIG. 1 is a diagram for explaining an abnormal communication detection system having a multi-layer structure. 図2は、多層の構成の異常通信検知システムについて説明するための図である。FIG. 2 is a diagram for explaining an abnormal communication detection system having a multi-layer structure. 図3は、多層の構成の異常通信検知システムについて説明するための図である。FIG. 3 is a diagram for explaining an abnormal communication detection system having a multi-layer structure. 図4は、第1の実施形態に係る生成システムの構成の一例を示す図である。FIG. 4 is a diagram showing an example of the configuration of the generation system according to the first embodiment. 図5は、第1の実施形態に係る検知ルール生成制御部の構成の一例を示す図である。FIG. 5 is a diagram showing an example of the configuration of the detection rule generation control unit according to the first embodiment. 図6は、第1の実施形態に係る生成システムの処理の流れを示すフローチャートである。FIG. 6 is a flowchart showing a processing flow of the generation system according to the first embodiment. 図7は、第1の実施形態に係る誤検知検査処理の流れを示すフローチャートである。FIG. 7 is a flowchart showing the flow of the false positive inspection process according to the first embodiment. 図8は、第1の実施形態に係る見逃し検査処理の流れを示すフローチャートである。FIG. 8 is a flowchart showing the flow of the overlooked inspection process according to the first embodiment. 図9は、第1の実施形態に係る見逃し再検査処理の流れを示すフローチャートである。FIG. 9 is a flowchart showing the flow of the overlooked re-inspection process according to the first embodiment. 図10は、第1の実施形態に係る異常通信識別ルールの一例を示す図である。FIG. 10 is a diagram showing an example of an abnormal communication identification rule according to the first embodiment. 図11は、第1の実施形態に係るテストデータの一例を示す図である。FIG. 11 is a diagram showing an example of test data according to the first embodiment. 図12は、第1の実施形態に係るホストのトラフィックキャプチャデータの一例を示す図である。FIG. 12 is a diagram showing an example of traffic capture data of the host according to the first embodiment. 図13は、第1の実施形態に係る正常通信識別ルールの一例を示す図である。FIG. 13 is a diagram showing an example of a normal communication identification rule according to the first embodiment. 図14は、第1の実施形態に係る誤検知検査処理の結果の一例を示す図である。FIG. 14 is a diagram showing an example of the result of the false positive inspection process according to the first embodiment. 図15は、第1の実施形態に係る誤検知検査処理後の異常通信識別ルールの一例を示す図である。FIG. 15 is a diagram showing an example of an abnormal communication identification rule after the false positive inspection process according to the first embodiment. 図16は、第1の実施形態に係る見逃し検査処理の結果の一例を示す図である。FIG. 16 is a diagram showing an example of the result of the oversight inspection process according to the first embodiment. 図17は、第1の実施形態に係る見逃し検査処理後のテストデータの一例を示す図である。FIG. 17 is a diagram showing an example of test data after the overlooked inspection process according to the first embodiment. 図18は、第1の実施形態に係る見逃し再検査処理の結果の一例を示す図である。FIG. 18 is a diagram showing an example of the result of the overlooked re-inspection process according to the first embodiment. 図19は、第1の実施形態に係る見逃し再検査処理後の異常通信識別ルールの一例を示す図である。FIG. 19 is a diagram showing an example of an abnormal communication identification rule after the overlooked re-inspection process according to the first embodiment. 図20は、第1の実施形態に係る誤検知に関する情報の一例を示す図である。FIG. 20 is a diagram showing an example of information regarding false positives according to the first embodiment. 図21は、第1の実施形態に係る誤検知が発生した際のキャプチャデータの取得について説明するための図である。FIG. 21 is a diagram for explaining acquisition of captured data when a false positive according to the first embodiment occurs. 図22は、第1の実施形態に係る見逃しに関する情報の一例を示す図である。FIG. 22 is a diagram showing an example of information regarding oversight according to the first embodiment. 図23は、第1の実施形態に係る見逃しが発生した際のキャプチャデータの取得について説明するための図である。FIG. 23 is a diagram for explaining acquisition of captured data when an oversight occurs according to the first embodiment. 図24は、生成プログラムを実行するコンピュータの一例を示す図である。FIG. 24 is a diagram showing an example of a computer that executes a generation program.

以下に、本願に係る生成システム、生成方法及び生成プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。 Hereinafter, the generation system, the generation method, and the embodiment of the generation program according to the present application will be described in detail with reference to the drawings. The present invention is not limited to the embodiments described below.

[第1の実施形態の構成]
まず、図1から3を用いて、本実施形態の生成システムによって生成される異常検知に関するルールを用いて異常通信の検知を行う多層の構成の異常通信検知システムの設置について説明する。図1から3は、多層の構成の異常通信検知システムについて説明するための図である。
[Structure of the first embodiment]
First, using FIGS. 1 to 3, the installation of an anomaly communication detection system having a multi-layer structure for detecting anomaly communication using the rules for anomaly detection generated by the generation system of the present embodiment will be described. 1 to 3 are diagrams for explaining an abnormal communication detection system having a multi-layer structure.

図1は、一般的な企業網のネットワーク構成を示したものである。図1に示すように、複数のホスト5が繋がるLAN4とインターネットなどの不特定のネットワーク1は、ファイアウォール2を介して接続されている。また、ホスト5のセキュリティを守るため、設置区間3には、多層の構成の異常通信検知システムが設置される。多層の構成の異常通信検知システムには、IDSやIPSというセキュリティ対策装置が含まれる。 FIG. 1 shows a network configuration of a general corporate network. As shown in FIG. 1, a LAN 4 to which a plurality of hosts 5 are connected and an unspecified network 1 such as the Internet are connected via a firewall 2. Further, in order to protect the security of the host 5, an abnormal communication detection system having a multi-layer structure is installed in the installation section 3. The multi-layered abnormality communication detection system includes security countermeasure devices such as IDS and IPS.

図2は、インライン型の設置方法を示している。この場合、図2に示すように、異常通信検知システム10aの1段目の層の異常通信検知システム100及び2段目の層の異常通信検知システム200は、インラインで接続される。 FIG. 2 shows an in-line type installation method. In this case, as shown in FIG. 2, the abnormal communication detection system 100 of the first layer of the abnormal communication detection system 10a and the abnormal communication detection system 200 of the second layer are connected in-line.

一方、図3は、タップ型の設置方法を示している。この場合、図3に示すように、異常通信検知システム10bの1段目の層の異常通信検知システム100及び2段目の層の異常通信検知システム200は、ネットワーク装置6を介してファイアウォール2等と接続される。ネットワーク装置6は、ミラーポートを有し、トラフィックの複製を異常通信検知システム10bに渡すことができる。 On the other hand, FIG. 3 shows a tap type installation method. In this case, as shown in FIG. 3, the abnormality communication detection system 100 of the first layer and the abnormality communication detection system 200 of the second layer of the abnormality communication detection system 10b are the firewall 2 and the like via the network device 6. Is connected with. The network device 6 has a mirror port and can pass a copy of the traffic to the abnormal communication detection system 10b.

図4を用いて、生成システムの構成について説明する。図4は、第1の実施形態に係る生成システムの構成の一例を示す図である。図4に示すように、生成システム300は、異常通信検知システム10に備えられる。異常通信検知システム10は、トラフィックキャプチャシステム50、1段目の層の異常通信検知システム100、2段目の層の異常通信検知システム200及び生成システム300を有し、外部システム群400と接続されている。 The configuration of the generation system will be described with reference to FIG. FIG. 4 is a diagram showing an example of the configuration of the generation system according to the first embodiment. As shown in FIG. 4, the generation system 300 is provided in the abnormality communication detection system 10. The anomaly communication detection system 10 has a traffic capture system 50, an anomaly communication detection system 100 of the first layer, an anomaly communication detection system 200 of the second layer, and a generation system 300, and is connected to the external system group 400. ing.

トラフィックキャプチャシステム50は、生成システム300の指示により指定されたホストの通信をキャプチャするシステムである。なお、トラフィックキャプチャシステム50は、異常通信検知システム10に流れるトラフィックをキャプチャリングできればよいため、インライン接続か、トラフィックのミラーリングが可能な装置を介したタップ接続にするかは問わない。 The traffic capture system 50 is a system that captures the communication of the host designated by the instruction of the generation system 300. Since the traffic capture system 50 only needs to be able to capture the traffic flowing through the abnormal communication detection system 10, it does not matter whether it is an in-line connection or a tap connection via a device capable of mirroring the traffic.

また、1段目の層の異常通信検知システム100は、自身に設定された検知ルール(例えば、異常通信識別ルール)により異常通信を検知するシステムである。また、2段目の層の異常通信検知システム200は、自身に設定された検知ルール(例えば、正常通信識別ルール)により正常通信を識別し、正常通信と識別できない通信を異常通信として検知するシステムである。外部システム群400は、生成システム300の指示により生成システム300がルール生成処理で使用するデータを提供するシステム群である。1段目の層の異常通信検知システム100は、第1の異常通信検知システムの一例である。2段目の層の異常通信検知システム200は、第2の異常通信検知システムの一例である。また、異常通信検知システム10は、異常通信識別ルールを用いて異常通信の検知を行う1段目の層の異常通信検知システム100と、正常通信識別ルールを用いて異常通信の検知を行う2段目の層の異常通信検知システム200と、を多層化した多層化異常通信検知システムの一例である。 Further, the abnormal communication detection system 100 of the first layer is a system that detects abnormal communication according to a detection rule (for example, an abnormal communication identification rule) set in itself. Further, the abnormal communication detection system 200 in the second layer is a system that identifies normal communication according to a detection rule set by itself (for example, a normal communication identification rule) and detects communication that cannot be identified as normal communication as abnormal communication. Is. The external system group 400 is a system group that provides data used by the generation system 300 in the rule generation process according to the instruction of the generation system 300. The abnormality communication detection system 100 of the first layer is an example of the first abnormality communication detection system. The abnormality communication detection system 200 of the second stage is an example of the second abnormality communication detection system. Further, the abnormal communication detection system 10 includes an abnormal communication detection system 100 of the first layer that detects abnormal communication using the abnormal communication identification rule and a two-stage that detects abnormal communication using the normal communication identification rule. This is an example of a multi-layered abnormal communication detection system in which the abnormal communication detection system 200 of the eye layer is multi-layered.

また、図4に示すように、生成システム300は、検知ルール生成制御部310、トラフィックキャプチャ管理部320、正常通信識別ルール生成部330、異常通信識別ルール生成部340、テストトラフィック管理部350及び検知ルール管理部360を有する。 Further, as shown in FIG. 4, the generation system 300 includes a detection rule generation control unit 310, a traffic capture management unit 320, a normal communication identification rule generation unit 330, an abnormal communication identification rule generation unit 340, a test traffic management unit 350, and a detection. It has a rule management unit 360.

また、トラフィックキャプチャ管理部320は、キャプチャデータ321を有する。また、正常通信識別ルール生成部330は、正常通信識別ルールデータ331を有する。また、異常通信識別ルール生成部340は、異常通信識別ルールデータ341を有する。また、テストトラフィック管理部350は、テストデータ351を有する。また、検知ルール管理部360は、検知ルールデータ361及び検知ルール配信部362を有する。 Further, the traffic capture management unit 320 has capture data 321. Further, the normal communication identification rule generation unit 330 has normal communication identification rule data 331. Further, the abnormal communication identification rule generation unit 340 has abnormal communication identification rule data 341. Further, the test traffic management unit 350 has test data 351. Further, the detection rule management unit 360 has a detection rule data 361 and a detection rule distribution unit 362.

生成システム300による検知ルール生成処理について説明する。外部システム群400は、トラフィックキャプチャシステム50及び生成システム300等から入力されたデータを基に検知ルールを生成する。また、生成システム300は、生成した検知ルールを、1段目の層の異常通信検知システム100及び2段目の層の異常通信検知システム200へ出力する。 The detection rule generation process by the generation system 300 will be described. The external system group 400 generates a detection rule based on the data input from the traffic capture system 50, the generation system 300, and the like. Further, the generation system 300 outputs the generated detection rule to the abnormal communication detection system 100 of the first layer and the abnormal communication detection system 200 of the second layer.

検知ルール生成処理は、生成システム300の内部に位置する検知ルール生成制御部310が、トラフィックキャプチャ管理部320、正常通信識別ルール生成部330、異常通信識別ルール生成部340、テストトラフィック管理部350及び検知ルール管理部360を制御することによって行われる。 In the detection rule generation process, the detection rule generation control unit 310 located inside the generation system 300 performs the traffic capture management unit 320, the normal communication identification rule generation unit 330, the abnormal communication identification rule generation unit 340, the test traffic management unit 350, and the test traffic management unit 350. This is done by controlling the detection rule management unit 360.

図5を用いて、検知ルール生成制御部310の構成について説明する。図5は、第1の実施形態に係る検知ルール生成制御部の構成の一例を示す図である。図5に示すように、検知ルール生成制御部310は、取得部311、生成部312、誤検知検査部313、見逃し検査部314、削除部315、追加部316を有する。 The configuration of the detection rule generation control unit 310 will be described with reference to FIG. FIG. 5 is a diagram showing an example of the configuration of the detection rule generation control unit according to the first embodiment. As shown in FIG. 5, the detection rule generation control unit 310 includes an acquisition unit 311, a generation unit 312, a false detection inspection unit 313, a missed inspection unit 314, a deletion unit 315, and an additional unit 316.

取得部311は、トラフィックキャプチャ管理部320を制御することにより、ネットワークに接続されたホストにおいて所定の期間に発生した通信に関するトラフィックキャプチャデータを取得する。トラフィックキャプチャ管理部320は、取得部311から指定されたホストのトラフィックキャプチャデータを、トラフィックキャプチャシステム50から取得する。そして、トラフィックキャプチャ管理部320は、取得したトラフィックキャプチャデータを、キャプチャデータ321に蓄積する。また、トラフィックキャプチャ管理部320は、取得部311からの指示でキャプチャデータ321に蓄積したトラフィックキャプチャデータを検知ルール管理部360へ送信する。また、トラフィックキャプチャ管理部320は、検知ルール管理部360から渡されるトラフィックキャプチャデータをキャプチャデータ321へ蓄積する。トラフィックキャプチャ管理部320によって取得されるトラフィックキャプチャデータは、第1のデータの一例である。 By controlling the traffic capture management unit 320, the acquisition unit 311 acquires traffic capture data related to the communication generated in a predetermined period on the host connected to the network. The traffic capture management unit 320 acquires the traffic capture data of the host designated by the acquisition unit 311 from the traffic capture system 50. Then, the traffic capture management unit 320 accumulates the acquired traffic capture data in the capture data 321. Further, the traffic capture management unit 320 transmits the traffic capture data accumulated in the capture data 321 to the detection rule management unit 360 according to the instruction from the acquisition unit 311. Further, the traffic capture management unit 320 stores the traffic capture data passed from the detection rule management unit 360 in the capture data 321. The traffic capture data acquired by the traffic capture management unit 320 is an example of the first data.

また、異常通信検知システム10によって、正常であることが既知の通信が異常通信として検知された場合、取得部311は、正常であることが既知の通信が発生した期間を含む所定の期間に発生した通信に関するデータをトラフィックキャプチャデータとして取得することができる。また、異常通信検知システム10によって、異常であることが既知の通信が異常でない通信として検知された場合、取得部311は、異常であることが既知の通信が発生した期間を含む所定の期間のうち、異常であることが既知の通信が発生した期間を除く期間に発生した通信に関するデータをトラフィックキャプチャデータとして取得することができる。 Further, when the abnormal communication detection system 10 detects the communication known to be normal as abnormal communication, the acquisition unit 311 occurs in a predetermined period including the period in which the communication known to be normal occurs. Data related to the communication can be acquired as traffic capture data. Further, when the abnormal communication detection system 10 detects that the communication known to be abnormal is a non-abnormal communication, the acquisition unit 311 receives the communication for a predetermined period including the period in which the communication known to be abnormal occurs. Of these, data related to communication that occurred during a period other than the period when communication known to be abnormal can be acquired can be acquired as traffic capture data.

また、生成部312は、正常通信識別ルール生成部330を制御することで、通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、トラフィックキャプチャデータを正常通信に関するデータと識別するように生成する。正常通信識別ルール生成部330は、生成部312から指定されたホストのトラフィックキャプチャデータを分析して、正常通信識別ルールを新たに生成し、正常通信識別ルールデータ331へ蓄積する。 Further, the generation unit 312 controls the normal communication identification rule generation unit 330 to set the normal communication identification rule for identifying whether or not the data related to communication is the data related to normal communication, and the traffic capture data as data related to normal communication. Generate to identify as. The normal communication identification rule generation unit 330 analyzes the traffic capture data of the host designated by the generation unit 312, newly generates a normal communication identification rule, and stores it in the normal communication identification rule data 331.

取得部311は、異常通信識別ルール生成部340を制御することにより、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールを取得する。異常通信識別ルール生成部340は、1段目の層の異常通信検知システム100を製造するベンダやセキュリティ業界のコミュニティ等、外部システム群400に分類されるいくつかの団体のシステム等から提供される異常通信識別ルールを取得し、異常通信識別ルールデータ341へ蓄積する。 By controlling the abnormal communication identification rule generation unit 340, the acquisition unit 311 acquires an abnormal communication identification rule that identifies whether or not the data related to communication is data related to abnormal communication. The abnormal communication identification rule generation unit 340 is provided by the systems of several organizations classified into the external system group 400, such as the vendor that manufactures the abnormal communication detection system 100 of the first layer and the community of the security industry. The abnormal communication identification rule is acquired and stored in the abnormal communication identification rule data 341.

取得部311は、テストトラフィック管理部350を制御することにより、テスト用に発生させる異常通信に関するテストデータを取得する。テストトラフィック管理部350は、テストトラフィックの生成を行うセキュリティ対策機器の試験用の機器であり、これを製造するベンダやセキュリティ業界のコミュニティ等、外部システム群400に分類されるいくつかの団体のシステムから提供されるテストデータ等を取得し、テストデータ351に蓄積する。また、テストトラフィック管理部350は、侵入テストで行われる脆弱性診断や攻撃パケットの再現等の通常とは異なる通信の生成、送信を自動で行うことができる。テストトラフィック管理部350によって取得されるテストデータは、第2のデータの一例である。 The acquisition unit 311 acquires test data related to abnormal communication generated for testing by controlling the test traffic management unit 350. The test traffic management unit 350 is a device for testing a security countermeasure device that generates test traffic, and is a system of several organizations classified into an external system group 400, such as a vendor that manufactures the device and a community in the security industry. The test data and the like provided by the above are acquired and stored in the test data 351. In addition, the test traffic management unit 350 can automatically generate and transmit unusual communications such as vulnerability diagnosis and reproduction of attack packets performed in the penetration test. The test data acquired by the test traffic management unit 350 is an example of the second data.

誤検知検査部313は、検知ルール管理部360を制御することにより、誤検知に関する検査を実行する。また、見逃し検査部314は、検知ルール管理部360を制御することにより、見逃しに関する検査を実行する。検知ルール管理部360は、検知ルール生成制御部310からの指示により、1段目の層の異常通信検知システム100の仮想マシンをインスタンス化し、異常通信識別ルール生成部340から受け取る異常通信識別ルールをインスタンスに設定し、トラフィックキャプチャ管理部320及びテストトラフィック管理部350による通信テストを実施する。また、検知ルール管理部360は、2段目の層の異常通信検知システム200の仮想マシンをインスタンス化し、正常通信識別ルール生成部330から受け取る正常通信識別ルールをインスタンスに設定し、トラフィックキャプチャ管理部320及びテストトラフィック管理部350による通信テストの実施を行う。 The false detection inspection unit 313 executes an inspection related to false detection by controlling the detection rule management unit 360. In addition, the oversight inspection unit 314 controls the detection rule management unit 360 to execute an inspection related to oversight. The detection rule management unit 360 instantiates the virtual machine of the abnormal communication detection system 100 in the first layer according to the instruction from the detection rule generation control unit 310, and receives the abnormal communication identification rule from the abnormal communication identification rule generation unit 340. It is set in the instance, and the communication test is performed by the traffic capture management unit 320 and the test traffic management unit 350. Further, the detection rule management unit 360 instantiates the virtual machine of the abnormal communication detection system 200 in the second layer, sets the normal communication identification rule received from the normal communication identification rule generation unit 330 in the instance, and sets the normal communication identification rule to the instance, and sets the traffic capture management unit. A communication test is carried out by 320 and the test traffic management unit 350.

検知ルール管理部360は、インスタンス化した1段目の層の異常通信検知システム100の仮想マシンへの入力パケットの異常通信識別ルールへのヒットのログ情報を収集し、ログ情報を基に異常通信識別ルールを修正し、異常通信識別ルール生成部340へ渡す。また、検知ルール管理部360は、異常通信識別ルールを検知ルールデータ361に蓄積することができる。削除部315は、検知ルール管理部360を制御することにより、異常通信識別ルールに含まれるルールのうち、トラフィックキャプチャデータを異常通信に関するデータと識別するルールを、異常通信識別ルールから削除する。また、追加部316は、検知ルール管理部360を制御することにより、テストデータのうち、正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、異常通信識別ルールに追加する。 The detection rule management unit 360 collects log information of hits to the abnormal communication identification rule of the input packet to the virtual machine of the instantiated first-stage layer abnormal communication detection system 100, and performs abnormal communication based on the log information. The identification rule is modified and passed to the abnormal communication identification rule generation unit 340. Further, the detection rule management unit 360 can accumulate the abnormal communication identification rule in the detection rule data 361. By controlling the detection rule management unit 360, the deletion unit 315 deletes from the abnormal communication identification rule the rule that identifies the traffic capture data as the data related to the abnormal communication among the rules included in the abnormal communication identification rule. Further, the additional unit 316 controls the detection rule management unit 360 to set a rule for identifying the data identified as the data related to the normal communication by the normal communication identification rule as the data related to the abnormal communication among the test data. Add to the identification rule.

また、検知ルール管理部360は、インスタンス化した2段目の層の異常通信検知システム200の仮想マシンの出力パケットをキャプチャし、出力パケットのトラフィックキャプチャデータをトラフィックキャプチャ管理部320へ渡す。また、検知ルール管理部360は、正常通信識別ルールを検知ルールデータ361に蓄積することができる。 Further, the detection rule management unit 360 captures the output packet of the virtual machine of the abnormal communication detection system 200 of the second stage instantiated layer, and passes the traffic capture data of the output packet to the traffic capture management unit 320. Further, the detection rule management unit 360 can store the normal communication identification rule in the detection rule data 361.

検知ルール管理部360の検知ルール配信部362は、検知ルールデータ361に蓄積された検知ルールを、1段目の層の異常通信検知システム100と2段目の層の異常通信検知システム200へ配信する。 The detection rule distribution unit 362 of the detection rule management unit 360 distributes the detection rules accumulated in the detection rule data 361 to the abnormal communication detection system 100 of the first layer and the abnormal communication detection system 200 of the second layer. To do.

[第1の実施形態の処理]
ここで、図6から9を用いて、第1の実施形態に係る生成システムの処理について説明する。図6は、第1の実施形態に係る生成システムの処理の流れを示すフローチャートである。また、図7は、第1の実施形態に係る誤検知検査処理の流れを示すフローチャートである。また、図8は、第1の実施形態に係る見逃し検査処理の流れを示すフローチャートである。図9は、第1の実施形態に係る見逃し再検査処理の流れを示すフローチャートである。
[Processing of the first embodiment]
Here, the processing of the generation system according to the first embodiment will be described with reference to FIGS. 6 to 9. FIG. 6 is a flowchart showing a processing flow of the generation system according to the first embodiment. Further, FIG. 7 is a flowchart showing the flow of the false positive inspection process according to the first embodiment. Further, FIG. 8 is a flowchart showing the flow of the overlooked inspection process according to the first embodiment. FIG. 9 is a flowchart showing the flow of the overlooked re-inspection process according to the first embodiment.

図6は、検知ルールの新たな登録が必要になった場合(ステップS102、登録あり)と、検知ルールの更新が必要になった場合(ステップS102、更新あり)の処理の流れを示している。検知ルールの新たな登録が必要になった場合とは、例えば、ホストが新たにLANに接続された場合である。また、検知ルールの更新が必要になった場合とは、例えば、使用中の検知ルールを用いた検知において誤検知や見逃しが所定回数発生した場合である。 FIG. 6 shows a processing flow when a new detection rule needs to be registered (step S102, with registration) and when a detection rule needs to be updated (step S102, with update). .. The case where new registration of the detection rule is required is, for example, the case where the host is newly connected to the LAN. Further, the case where the detection rule needs to be updated is, for example, the case where false detection or oversight occurs a predetermined number of times in the detection using the detection rule in use.

また、ホストが新たにLANに接続された場合は、取得部311は、外部システム群400から、設定された当該ホストの属性情報を基に、異常通信識別ルール及びテストデータを取得する。 Further, when the host is newly connected to the LAN, the acquisition unit 311 acquires the abnormal communication identification rule and the test data from the external system group 400 based on the set attribute information of the host.

図10は、第1の実施形態に係る異常通信識別ルールの一例を示す図である。図10に示すように、例えば、異常通信識別ルールのうち、異常通信識別ルールIDが「A1」であるルールのルール内容は、通信相手が「任意」、プロトコルが「FTP」、パケットサイズが「50以上」、文字列が「任意」である。 FIG. 10 is a diagram showing an example of an abnormal communication identification rule according to the first embodiment. As shown in FIG. 10, for example, among the abnormal communication identification rules, the rule content of the rule whose abnormal communication identification rule ID is "A1" is that the communication partner is "arbitrary", the protocol is "FTP", and the packet size is "A1". "50 or more" and the character string is "arbitrary".

図11は、第1の実施形態に係るテストデータの一例を示す図である。図11に示すように、テストデータのうち、テストデータIDが「T1」であるテストデータの通信内容は、通信相手が「aからz」、プロトコルが「FTP」、パケットサイズが「30以上40以下」、文字列が「TARGET」である。 FIG. 11 is a diagram showing an example of test data according to the first embodiment. As shown in FIG. 11, among the test data, the communication content of the test data whose test data ID is "T1" is "a to z" for the communication partner, "FTP" for the protocol, and "30 or more and 40" for the packet size. Below ", the character string is" TARGET ".

取得部311は、新たなホストの登録の有無や、新たに検知ルールの更新が必要なホストの有無を確認する(ステップS101)。なお、以降の説明では、検知ルールの登録又は更新が必要となったホストを新ホストと呼ぶ。 The acquisition unit 311 confirms whether or not a new host is registered and whether or not there is a host that needs to newly update the detection rule (step S101). In the following description, the host for which the detection rule needs to be registered or updated is referred to as a new host.

ここで、検知ルールの新たな登録が必要になった場合(ステップS102、登録あり)、取得部311は、新ホストのトラフィックキャプチャデータを取得し、蓄積する(ステップS103)。図12は、第1の実施形態に係るホストのトラフィックキャプチャデータの一例を示す図である。図12に示すように、トラフィックキャプチャデータのうち、パケットIDが「P1」であるデータの通信内容は、通信相手が「a」、プロトコルが「FTP」、パケットサイズが「10」、文字列が「GET」である。 Here, when new registration of the detection rule is required (step S102, with registration), the acquisition unit 311 acquires and accumulates the traffic capture data of the new host (step S103). FIG. 12 is a diagram showing an example of traffic capture data of the host according to the first embodiment. As shown in FIG. 12, among the traffic capture data, the communication content of the data whose packet ID is "P1" is that the communication partner is "a", the protocol is "FTP", the packet size is "10", and the character string is. It is "GET".

次に、生成部312は、新ホストのトラフィックキャプチャデータから、正常通信識別ルールを生成する(ステップS104)。このとき、生成部312は、トラフィックキャプチャデータの内容を基に作成したホワイトリスト正常通信識別ルールとしてもよいし、トラフィックキャプチャデータを正常時の振る舞いとして機械学習を行うことで生成した写像関数を正常通信識別ルールとしてもよい。図13は、第1の実施形態に係る正常通信識別ルールの一例を示す図である。図13に示すように、正常通信識別ルールのうち、正常通信識別ルールIDが「N1」であるルールのルール内容は、通信相手が「aまたはb」、プロトコルが「FTP」、パケットサイズが「10以上50以下」、文字列が「GET」である。 Next, the generation unit 312 generates a normal communication identification rule from the traffic capture data of the new host (step S104). At this time, the generation unit 312 may use the whitelist normal communication identification rule created based on the contents of the traffic capture data, or the mapping function generated by performing machine learning using the traffic capture data as the normal behavior. It may be a communication identification rule. FIG. 13 is a diagram showing an example of a normal communication identification rule according to the first embodiment. As shown in FIG. 13, among the normal communication identification rules, the rule contents of the rule whose normal communication identification rule ID is "N1" are that the communication partner is "a or b", the protocol is "FTP", and the packet size is "N1". "10 or more and 50 or less", and the character string is "GET".

ここで、検知ルール生成制御部310は、1段目の層の異常通信検知システム100のインスタンスI1と2段目の層の異常通信検知システム200のインスタンスI2を生成する(ステップS105)。 Here, the detection rule generation control unit 310 generates an instance I1 of the abnormal communication detection system 100 of the first layer and an instance I2 of the abnormal communication detection system 200 of the second layer (step S105).

誤検知検査部313は、誤検知検査処理を行う(ステップS200)。誤検知検査部313は、図7に示すサブルーチンを実行することで誤検知検査処理を行う。図7に示すように、誤検知検査部313は、テスト環境をインスタンスI1(1段目の層の異常通信検知システム100の仮想マシンをインスタンス化したもの)、入力トラフィックを新ホストのトラフィックキャプチャデータ、使用ルールを異常通信識別ルールとしてテストを行う(ステップS201)。このとき、誤検知検査部313は、通信にヒットした異常検知識別ルールを検知ログとして記録しておき、インスタンスI1の検知ログの出力の有無によって検査を行う。つまり、誤検知検査処理において、誤検知検査部313は、トラフィックキャプチャデータを正常とみなし、トラフィックキャプチャデータが異常通信と識別された場合、誤検知が発生したとみなす。 The false positive inspection unit 313 performs false positive inspection processing (step S200). The false positive inspection unit 313 performs false positive inspection processing by executing the subroutine shown in FIG. 7. As shown in FIG. 7, the false positive inspection unit 313 sets the test environment as instance I1 (instantiated virtual machine of the abnormal communication detection system 100 in the first layer), and sets the input traffic as the traffic capture data of the new host. , The usage rule is tested as an abnormal communication identification rule (step S201). At this time, the false detection inspection unit 313 records the abnormality detection identification rule that hits the communication as a detection log, and performs the inspection depending on whether or not the detection log of the instance I1 is output. That is, in the false positive inspection process, the false positive inspection unit 313 considers the traffic capture data to be normal, and when the traffic capture data is identified as abnormal communication, it considers that false positive has occurred.

検知ログの出力があった場合(ステップS202、Yes)、削除部315は、新ホスト用の異常識別ルールから、通信にヒットした異常通信識別ルールを取り除いたものを、新ホスト用の新たな異常通信ルールとする(ステップS203)。一方、検知ログの出力がなかった場合(ステップS202、No)、誤検知検査部313は、誤検知はなかったものとみなし、ルールの削除を行わずにサブルーチンを終了する。 When the detection log is output (step S202, Yes), the deletion unit 315 removes the abnormal communication identification rule that hits the communication from the abnormal identification rule for the new host, and removes the new abnormality for the new host. It is a communication rule (step S203). On the other hand, when there is no output of the detection log (step S202, No), the false detection inspection unit 313 considers that there is no false detection, and terminates the subroutine without deleting the rule.

図14は、第1の実施形態に係る誤検知検査処理の結果の一例を示す図である。また、図15は、第1の実施形態に係る誤検知検査処理後の異常通信識別ルールの一例を示す図である。図14に示すように、異常通信識別ルールIDが「A1」であるルールが誤検知を発生させた場合、図15に示すように、削除部315は当該ルールを削除する。これにより、トラフィックキャプチャデータが異常通信識別ルールに基づいて異常と識別されることを回避することができる。 FIG. 14 is a diagram showing an example of the result of the false positive inspection process according to the first embodiment. Further, FIG. 15 is a diagram showing an example of an abnormal communication identification rule after the false positive inspection process according to the first embodiment. As shown in FIG. 14, when the rule whose abnormal communication identification rule ID is "A1" causes a false detection, the deletion unit 315 deletes the rule as shown in FIG. As a result, it is possible to prevent the traffic capture data from being identified as abnormal based on the abnormal communication identification rule.

ここで、図6に戻り、誤検知検査処理が行われた後、見逃し検査部314は、見逃し検査処理を行う(ステップS300)。見逃し検査部314は、図8に示すサブルーチンを実行することで見逃し検査処理を行う。図8に示すように、見逃し検査部314は、テスト環境をインスタンスI2(2段目の層の異常通信検知システム200の仮想マシンをインスタンス化したもの)、入力トラフィックをテストトラフィック管理部350の通信(テストデータに基づく通信)、使用ルールを正常通信識別ルールとしてテストを行う(ステップS301)。このとき、インスタンスI2は、正常通信識別ルールにヒットしなかったパケットを廃棄する。つまり、インスタンスI2は、正常通信識別ルールにヒットしたパケットのみを出力する。そして、見逃し検査部314は、インスタンスI2からの出力されたパケットの有無によって検査を行う。また、見逃し検査部314は、インスタンスI2から出力されたパケットのキャプチャを取得する。つまり、見逃し検査処理において、見逃し検査部314は、テストトラフィック管理部350の通信を正常でないものとみなし、当該通信が正常通信と識別された場合、見逃しが発生したとみなす。 Here, returning to FIG. 6, after the false detection inspection process is performed, the missed inspection unit 314 performs the missed inspection process (step S300). The overlook inspection unit 314 performs the overlook inspection process by executing the subroutine shown in FIG. As shown in FIG. 8, the overlook inspection unit 314 sets the test environment as instance I2 (instantiated virtual machine of the abnormal communication detection system 200 in the second layer), and inputs input traffic to the test traffic management unit 350. (Communication based on test data), a test is performed using the usage rule as a normal communication identification rule (step S301). At this time, the instance I2 discards the packet that did not hit the normal communication identification rule. That is, the instance I2 outputs only the packets that hit the normal communication identification rule. Then, the overlook inspection unit 314 inspects based on the presence or absence of the packet output from the instance I2. In addition, the missed inspection unit 314 acquires a capture of the packet output from the instance I2. That is, in the missed inspection process, the missed inspection unit 314 considers the communication of the test traffic management unit 350 to be abnormal, and if the communication is identified as normal communication, it considers that the missed communication has occurred.

出力パケットがあった場合(ステップS302、Yes)、見逃し検査部314は、インスタンスI2から出力されたパケットのキャプチャデータを見逃しトラフィックデータとして、キャプチャデータ321に登録する(ステップS303)。一方、出力パケットがなかった場合(ステップS302、No)、見逃し検査部314は、正常通信識別ルールを新ホスト用の検知ルールとして、検知ルールデータ361に登録する(ステップS304)。ここでは、見逃し検査部314は、見逃しが発生したテスト用のトラフィックデータを、見逃し再検査処理の対象としている。 When there is an output packet (step S302, Yes), the missed inspection unit 314 registers the captured data of the packet output from the instance I2 in the captured data 321 as missed traffic data (step S303). On the other hand, when there is no output packet (step S302, No), the overlook inspection unit 314 registers the normal communication identification rule as the detection rule for the new host in the detection rule data 361 (step S304). Here, the overlooked inspection unit 314 targets the overlooked test traffic data for the overlooked re-inspection process.

図16は、第1の実施形態に係る見逃し検査処理の結果の一例を示す図である。また、図17は、第1の実施形態に係る見逃し検査処理後のテストデータの一例を示す図である。図16に示すように、テストデータIDが「T1」であるデータ及びテストデータIDが「T2」であるデータが見逃しを発生させた場合、図17に示すように、見逃し検査部314は、見逃しを発生させていないテストデータIDが「T3」であるデータを除いたテストデータを、見逃しトラフィックデータとする。 FIG. 16 is a diagram showing an example of the result of the oversight inspection process according to the first embodiment. Further, FIG. 17 is a diagram showing an example of test data after the overlooked inspection process according to the first embodiment. As shown in FIG. 16, when the data having the test data ID “T1” and the data having the test data ID “T2” cause an oversight, as shown in FIG. 17, the oversight inspection unit 314 misses the data. The test data excluding the data whose test data ID is "T3" is used as the overlooked traffic data.

ここで、図6に戻り、見逃し知検査処理が行われた後、見逃し検査部314は、見逃し再検査処理を行う(ステップS400)。見逃し検査部314は、図9に示すサブルーチンを実行することで見逃し再検査処理を行う。図9に示すように、見逃し検査部314は、新ホスト用の正常通信識別ルールが検知データへ登録されている場合(ステップS401、Yes)、見逃し再検査処理を行わずに、異常通信識別ルールを新ホスト用の検知ルールとして検知ルールデータ361へ登録する(ステップS402)。 Here, returning to FIG. 6, after the missed detection inspection process is performed, the missed inspection unit 314 performs the missed re-inspection process (step S400). The overlooked inspection unit 314 performs the overlooked re-inspection process by executing the subroutine shown in FIG. As shown in FIG. 9, when the normal communication identification rule for the new host is registered in the detection data (step S401, Yes), the missed inspection unit 314 does not perform the missed re-inspection process, and the abnormal communication identification rule Is registered in the detection rule data 361 as a detection rule for the new host (step S402).

一方、見逃し検査部314は、新ホスト用の正常通信識別ルールが検知データへ登録されていない場合(ステップS401、No)、テスト環境をインスタンスI1、入力トラフィックを見逃しトラフィックデータ、使用ルールを異常通信識別ルールとしてテストを行う(ステップS403)。このとき、インスタンスI1は、異常通信識別ルールにヒットしなかったパケットを廃棄する。つまり、インスタンスI1は、異常通信識別ルールにヒットしたパケットのみを出力する。そして、見逃し検査部314は、インスタンスI1からの出力されたパケットの有無によって検査を行う。また、見逃し検査部314は、インスタンスI1から出力されたパケットのトラフィックキャプチャを取得する。つまり、見逃し再検査処理において、見逃し検査部314は、見逃しトラフィックデータが異常と識別されなかった場合、このような異常なトラフィックデータは、1段目の層の異常通信検知システム100及び2段目の層の異常通信検知システム200の両方で見逃しが発生するとみなす。 On the other hand, when the normal communication identification rule for the new host is not registered in the detection data (step S401, No), the missed inspection unit 314 sets the test environment as instance I1, misses the input traffic, and abnormally communicates the usage rule. A test is performed as an identification rule (step S403). At this time, the instance I1 discards the packet that does not hit the abnormal communication identification rule. That is, the instance I1 outputs only the packet that hits the abnormal communication identification rule. Then, the overlook inspection unit 314 inspects based on the presence or absence of the packet output from the instance I1. In addition, the missed inspection unit 314 acquires a traffic capture of the packet output from the instance I1. That is, in the overlooked re-inspection process, if the overlooked traffic data is not identified as abnormal by the overlooked inspection unit 314, such abnormal traffic data is transmitted to the abnormal communication detection system 100 of the first layer and the second stage. It is considered that an oversight occurs in both of the abnormal communication detection system 200 of the layer.

出力パケットがあった場合(ステップS404、Yes)、追加部316は、インスタンスI1から出力されたパケットのキャプチャデータから、異常通信識別ルールを生成し、異常通信識別ルールデータ341へ追加する(ステップS406)。そして、誤検知検査部313は、誤検知検査処理を行う(ステップS200)。ここで、ステップS406で追加した異常通信識別ルールがすべて残っていない場合(ステップS407、No)、追加部316は、さらに、インスタンスI1から出力されたパケットのキャプチャデータから、異常通信識別ルールを生成し、異常通信識別ルールデータ341へ追加する(ステップS406)。一方、ステップS406で追加した異常通信識別ルールがすべて残っている場合(ステップS407、Yes)、見逃し検査部314は、正常通信識別ルールを新ホスト用の検知ルールとして検知ルールデータ361へ登録する。 When there is an output packet (step S404, Yes), the addition unit 316 generates an abnormal communication identification rule from the captured data of the packet output from the instance I1 and adds it to the abnormal communication identification rule data 341 (step S406). ). Then, the false positive inspection unit 313 performs the false positive inspection process (step S200). Here, when all the abnormal communication identification rules added in step S406 do not remain (step S407, No), the additional unit 316 further generates an abnormal communication identification rule from the captured data of the packet output from the instance I1. Then, it is added to the abnormal communication identification rule data 341 (step S406). On the other hand, when all the abnormal communication identification rules added in step S406 remain (step S407, Yes), the overlook inspection unit 314 registers the normal communication identification rule as the detection rule for the new host in the detection rule data 361.

また、出力パケットがなかった場合(ステップS404、No)も、見逃し検査部314は、正常通信識別ルールを新ホスト用の検知ルールとして検知ルールデータ361へ登録する(ステップS405)。そして、見逃し検査部314は、異常通信識別ルールを新ホスト用の検知ルールとして検知ルールデータ361へ登録する(ステップS402)。 Further, even when there is no output packet (step S404, No), the missed inspection unit 314 registers the normal communication identification rule as the detection rule for the new host in the detection rule data 361 (step S405). Then, the overlook inspection unit 314 registers the abnormal communication identification rule as the detection rule for the new host in the detection rule data 361 (step S402).

図18は、第1の実施形態に係る見逃し再検査処理の結果の一例を示す図である。また、図19は、第1の実施形態に係る見逃し再検査処理後の異常通信識別ルールの一例を示す図である。図18に示すように、テストデータIDが「T1」であるデータは、見逃し再検査処理においても異常と識別されなかったため、追加部316は、当該データから異常通信識別ルールが「A5」であるルールを生成し、異常通信識別ルールデータ341へ追加する。 FIG. 18 is a diagram showing an example of the result of the overlooked re-inspection process according to the first embodiment. Further, FIG. 19 is a diagram showing an example of an abnormal communication identification rule after the overlooked re-inspection process according to the first embodiment. As shown in FIG. 18, since the data whose test data ID is "T1" was not identified as abnormal even in the overlooked re-inspection process, the additional unit 316 has an abnormal communication identification rule of "A5" from the data. A rule is generated and added to the abnormal communication identification rule data 341.

ここで、図6に戻り、見逃し再検査処理が行われた後、検知ルール配信部362は、1段目の層の異常通信検知システム100及び2段目の層の異常通信検知システム200へ、新ホストの検知ルールを配信する(ステップS106)。そして、検知ルール生成制御部310は、1段目の層の異常通信検知システム100のインスタンスI1及び2段目の層の異常通信検知システム200のインスタンスI2を削除する(ステップS107)。そして、検知ルール生成制御部310は、処理をステップS101に戻し、検知ルール生成処理をさらに実行する。 Here, returning to FIG. 6, after the overlooked re-inspection process is performed, the detection rule distribution unit 362 moves to the abnormal communication detection system 100 of the first layer and the abnormal communication detection system 200 of the second layer. The detection rule of the new host is distributed (step S106). Then, the detection rule generation control unit 310 deletes the instance I1 of the abnormal communication detection system 100 in the first layer and the instance I2 of the abnormal communication detection system 200 in the second layer (step S107). Then, the detection rule generation control unit 310 returns the process to step S101, and further executes the detection rule generation process.

また、図6に示すように、検知ルールの更新が必要になった場合(ステップS102、更新あり)、取得部311は、検知ルールの更新種別が誤検知か見逃しのいずれであるかを確認する(ステップS501)。 Further, as shown in FIG. 6, when the detection rule needs to be updated (step S102, with update), the acquisition unit 311 confirms whether the update type of the detection rule is erroneous detection or overlooked. (Step S501).

更新種別が誤検知である場合(ステップS501、誤検知)、取得部311は、誤検知発生期間を含む期間の新ホストのトラフィックキャプチャデータを対象として選択し取得する(ステップS502)。図20は、第1の実施形態に係る誤検知に関する情報の一例を示す図である。取得部311は、図20に示す情報を基に、検知ルールの更新が必要であり、更新種別が誤検知であると判定する。図20は、1段目の層の異常通信検知システム100及び2段目の層の異常通信検知システム200において、2016/12/1 10:10:10に誤検知が発生したことを示している。 When the update type is false positive (step S501, false positive), the acquisition unit 311 selects and acquires the traffic capture data of the new host during the period including the false positive occurrence period (step S502). FIG. 20 is a diagram showing an example of information regarding false positives according to the first embodiment. Based on the information shown in FIG. 20, the acquisition unit 311 needs to update the detection rule, and determines that the update type is erroneous detection. FIG. 20 shows that an erroneous detection occurred at 10:10:10 on December 1, 2016 in the abnormal communication detection system 100 of the first layer and the abnormal communication detection system 200 of the second layer. ..

図21は、第1の実施形態に係る誤検知が発生した際のキャプチャデータの取得について説明するための図である。図21に示すように、この場合、取得部311は、誤検知が発生した時点の前後の期間D002のトラフィックキャプチャデータを選択し取得する。期間D002は、検知ルールを登録する際にトラフィックキャプチャデータが取得される期間D001と同じ長さであってよい。 FIG. 21 is a diagram for explaining acquisition of captured data when a false positive according to the first embodiment occurs. As shown in FIG. 21, in this case, the acquisition unit 311 selects and acquires the traffic capture data of the period D002 before and after the time when the false detection occurs. The period D002 may be the same length as the period D001 in which the traffic capture data is acquired when the detection rule is registered.

一方、更新種別が見逃しである場合(ステップS501、見逃し)、取得部311は、見逃し発生期間を除いた期間の新ホストのトラフィックキャプチャデータを対象として選択し、検知を見逃したトラフィックキャプチャデータを見逃しトラフィックデータに含める(ステップS503)。図22は、第1の実施形態に係る見逃しに関する情報の一例を示す図である。取得部311は、図22に示す情報を基に、検知ルールの更新が必要であり、更新種別が見逃しであると判定する。図22は、1段目の層の異常通信検知システム100及び2段目の層の異常通信検知システム200において、2017/1/1 15:00:00に見逃しが発生し、そのときの通信内容が、プロトコルが「HTTP」、パケットサイズが「20」、文字列が「MARICIOUS」であったことを示している。 On the other hand, when the update type is overlooked (step S501, overlooked), the acquisition unit 311 selects the traffic capture data of the new host during the period excluding the overlook occurrence period, and overlooks the overlooked traffic capture data. Include in traffic data (step S503). FIG. 22 is a diagram showing an example of information regarding oversight according to the first embodiment. Based on the information shown in FIG. 22, the acquisition unit 311 determines that the detection rule needs to be updated and the update type is overlooked. In FIG. 22, in the abnormal communication detection system 100 of the first layer and the abnormal communication detection system 200 of the second layer, an oversight occurred at 15:00:00 on January 1, 2017, and the communication contents at that time. However, it indicates that the protocol was "HTTP", the packet size was "20", and the character string was "MARICIOUS".

図23は、第1の実施形態に係る見逃しが発生した際のキャプチャデータの取得について説明するための図である。図23に示すように、この場合、取得部311は、見逃しが発生した時点の前後であって、見逃しが発生した期間を含まない期間D003のトラフィックキャプチャデータを選択し取得する。また、取得部311は、見逃しが発生した期間のトラフィックキャプチャデータを、見逃しトラフィックデータとして取得する。期間D003は、検知ルールを登録する際にトラフィックキャプチャデータが取得される期間D001と同じ長さであってよい。 FIG. 23 is a diagram for explaining acquisition of captured data when an oversight occurs according to the first embodiment. As shown in FIG. 23, in this case, the acquisition unit 311 selects and acquires the traffic capture data of the period D003 before and after the time when the oversight occurs and does not include the period in which the oversight occurs. In addition, the acquisition unit 311 acquires the traffic capture data of the period in which the oversight occurred as the overlooked traffic data. The period D003 may be the same length as the period D001 in which the traffic capture data is acquired when the detection rule is registered.

[第1の実施形態の効果]
取得部311は、ネットワークに接続されたホストにおいて所定の期間に発生した通信に関するトラフィックキャプチャデータと、テスト用に発生させる異常通信に関するテストデータと、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールと、を取得する。また、生成部312は、通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、トラフィックキャプチャデータを正常通信に関するデータと識別するように生成する。また、削除部315は、異常通信識別ルールに含まれるルールのうち、トラフィックキャプチャデータを異常通信に関するデータと識別するルールを、異常通信識別ルールから削除する。また、追加部316は、テストデータのうち、正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、異常通信識別ルールに追加する。このように、第1の実施形態では、トラフィックキャプチャデータ及びテストデータを介して検知ルールの評価を行うため、検知ルールが異なる場合であっても、検知ルール間の矛盾を解消し、整合性を保つことができる。このため、第1の実施形態によれば、検知ルールが異なる複数の異常通信検知システムを多層化して異常通信の検知を行う場合であっても、誤検知や見逃しの発生を抑えることができる。例えば、第1の実施形態によれば、ミスユース検出型の異常通信検知システムと、アノマリ検出型の異常通信検知システムとを多層化した異常通信検知システムにおいて、誤検知や見逃しの発生を抑えることができる。また、第1の実施形態では、検知ルールの生成が自動的に行われるため、ホストの初期導入時や運用中等において、従来と比較し少ない稼働で整合性の取れた検知ルールの生成ができる。
[Effect of the first embodiment]
The acquisition unit 311 determines whether the traffic capture data related to the communication generated in the predetermined period on the host connected to the network, the test data related to the abnormal communication generated for the test, and the data related to the communication are the data related to the abnormal communication. Acquires an abnormal communication identification rule that identifies the data. Further, the generation unit 312 generates a normal communication identification rule that identifies whether or not the data related to communication is data related to normal communication so as to identify the traffic capture data from the data related to normal communication. Further, the deletion unit 315 deletes the rule that identifies the traffic capture data from the data related to the abnormal communication among the rules included in the abnormal communication identification rule from the abnormal communication identification rule. In addition, the additional unit 316 adds a rule for identifying the data identified as the data related to the normal communication by the normal communication identification rule to the data related to the abnormal communication among the test data to the abnormal communication identification rule. As described above, in the first embodiment, since the detection rule is evaluated via the traffic capture data and the test data, even if the detection rules are different, the contradiction between the detection rules is eliminated and the consistency is improved. Can be kept. Therefore, according to the first embodiment, even when a plurality of abnormal communication detection systems having different detection rules are multi-layered to detect abnormal communication, it is possible to suppress the occurrence of erroneous detection and oversight. For example, according to the first embodiment, in an abnormal communication detection system in which a misuse detection type abnormal communication detection system and an anomaly detection type abnormal communication detection system are multi-layered, it is possible to suppress the occurrence of false detections and oversights. it can. Further, in the first embodiment, since the detection rule is automatically generated, it is possible to generate a consistent detection rule with less operation than before at the time of initial introduction or operation of the host.

追加部316は、テストデータのうち、正常通信識別ルールによって正常通信に関するデータと識別されたデータであって、異常識別ルールによって異常通信に関するデータと識別されないデータを異常通信に関するデータと識別するルールを、異常識別ルールに追加することができる。これにより、正常通信識別ルールのみでは見逃されてしまう異常通信を、異常通信識別ルールを用いて検知することが可能となる。 The additional unit 316 sets a rule for identifying data that is identified as data related to normal communication by the normal communication identification rule but not data related to abnormal communication by the abnormal communication identification rule as data related to abnormal communication among the test data. , Can be added to the anomaly identification rule. As a result, it becomes possible to detect abnormal communication that is overlooked only by the normal communication identification rule by using the abnormal communication identification rule.

異常通信識別ルールを用いて異常通信の検知を行う1段目の層の異常通信検知システム100と、正常通信識別ルールを用いて異常通信の検知を行う2段目の層の異常通信検知システム200と、を多層化した多層化異常通信検知システムによって、正常であることが既知の通信が異常通信として検知された場合、取得部311は、正常であることが既知の通信が発生した期間を含む所定の期間に発生した通信に関するデータをトラフィックキャプチャデータとして取得することができる。これにより、例えば、ホストの運用中のトラフィック特性の変化に起因した誤検知が発生した場合にも、当該誤検知に対応できるように、随時検知ルールを更新することができる。 An abnormal communication detection system 100 in the first layer that detects abnormal communication using the abnormal communication identification rule, and an abnormal communication detection system 200 in the second layer that detects abnormal communication using the normal communication identification rule. When a communication known to be normal is detected as an abnormal communication by the multi-layered abnormal communication detection system, the acquisition unit 311 includes a period during which the communication known to be normal occurs. Data related to communication that occurred in a predetermined period can be acquired as traffic capture data. As a result, for example, even when a false positive occurs due to a change in traffic characteristics during the operation of the host, the detection rule can be updated at any time so as to respond to the false positive.

異常通信識別ルールを用いて異常通信の検知を行う1段目の層の異常通信検知システム100と、正常通信識別ルールを用いて異常通信の検知を行う2段目の層の異常通信検知システム200と、を多層化した多層化異常通信検知システムによって、異常であることが既知の通信が異常でない通信として検知された場合、取得部311は、異常であることが既知の通信が発生した期間に期間を含む所定の期間のうち、異常であることが既知の通信が発生した期間を除く期間に発生した通信に関するデータをトラフィックキャプチャデータとして取得することができる。これにより、例えば、サイバー攻撃の変化に起因した見逃しが発生した場合にも、当該見逃しに対応できるように、随時検知ルールを更新することができる。 An abnormal communication detection system 100 in the first layer that detects abnormal communication using the abnormal communication identification rule, and an abnormal communication detection system 200 in the second layer that detects abnormal communication using the normal communication identification rule. When a communication known to be abnormal is detected as a non-abnormal communication by the multi-layered abnormal communication detection system, the acquisition unit 311 is in the period when the communication known to be abnormal occurs. Of the predetermined period including the period, data related to the communication generated in the period excluding the period in which the communication known to be abnormal occurred can be acquired as the traffic capture data. As a result, for example, even if an oversight occurs due to a change in a cyber attack, the detection rule can be updated at any time so that the oversight can be dealt with.

[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[System configuration, etc.]
Further, each component of each of the illustrated devices is a functional concept, and does not necessarily have to be physically configured as shown in the figure. That is, the specific form of distribution / integration of each device is not limited to the one shown in the figure, and all or part of the device is functionally or physically distributed in arbitrary units according to various loads and usage conditions. It can be integrated and configured. Further, each processing function performed by each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.

また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 Further, among the processes described in the present embodiment, all or part of the processes described as being automatically performed can be manually performed, or the processes described as being manually performed can be performed. All or part of it can be done automatically by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above document and drawings can be arbitrarily changed unless otherwise specified.

[プログラム]
一実施形態として、生成システム30は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知ルールの生成を実行する生成プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の生成プログラムを情報処理装置に実行させることにより、情報処理装置を生成システム30として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
[program]
As one embodiment, the generation system 30 can be implemented by installing a generation program that executes the generation of the above detection rule as package software or online software on a desired computer. For example, by causing the information processing apparatus to execute the above generation program, the information processing apparatus can function as the generation system 30. The information processing device referred to here includes a desktop type or notebook type personal computer. In addition, the information processing device includes mobile communication terminals such as smartphones, mobile phones and PHS (Personal Handyphone System), and slate terminals such as PDAs (Personal Digital Assistants).

また、生成システム30は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の検知ルールの生成に関するサービスを提供する生成サーバ装置として実装することもできる。例えば、生成サーバ装置は、新ホストの属性情報を入力とし、生成した検知ルールを出力とする生成サービスを提供するサーバ装置として実装される。この場合、生成サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の検知ルールの生成に関するサービスを提供するクラウドとして実装することとしてもかまわない。 Further, the generation system 30 can be implemented as a generation server device in which the terminal device used by the user is a client and the service related to the generation of the above detection rule is provided to the client. For example, the generation server device is implemented as a server device that provides a generation service that inputs the attribute information of the new host and outputs the generated detection rule. In this case, the generation server device may be implemented as a Web server, or may be implemented as a cloud that provides the service related to the generation of the above detection rule by outsourcing.

図24は、生成プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。 FIG. 24 is a diagram showing an example of a computer that executes a generation program. The computer 1000 has, for example, a memory 1010 and a CPU 1020. The computer 1000 also has a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. Each of these parts is connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。 The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM 1012. The ROM 1011 stores, for example, a boot program such as a BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1090. The disk drive interface 1040 is connected to the disk drive 1100. For example, a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100. The serial port interface 1050 is connected to, for example, a mouse 1110 and a keyboard 1120. The video adapter 1060 is connected to, for example, the display 1130.

ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、生成システム30の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、生成システム30における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。 The hard disk drive 1090 stores, for example, the OS 1091, the application program 1092, the program module 1093, and the program data 1094. That is, the program that defines each process of the generation system 30 is implemented as a program module 1093 in which a code that can be executed by a computer is described. The program module 1093 is stored in, for example, the hard disk drive 1090. For example, a program module 1093 for executing a process similar to the functional configuration in the generation system 30 is stored in the hard disk drive 1090. The hard disk drive 1090 may be replaced by an SSD.

また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。 Further, the setting data used in the processing of the above-described embodiment is stored as program data 1094 in, for example, a memory 1010 or a hard disk drive 1090. Then, the CPU 1020 reads the program module 1093 and the program data 1094 stored in the memory 1010 and the hard disk drive 1090 into the RAM 1012 and executes them as needed.

なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。 The program module 1093 and the program data 1094 are not limited to those stored in the hard disk drive 1090, but may be stored in, for example, a removable storage medium and read by the CPU 1020 via the disk drive 1100 or the like. Alternatively, the program module 1093 and the program data 1094 may be stored in another computer connected via a network (LAN, WAN (Wide Area Network), etc.). Then, the program module 1093 and the program data 1094 may be read by the CPU 1020 from another computer via the network interface 1070.

1 ネットワーク
2 ファイアウォール
3 設置区間
4 LAN
5 ホスト
6 ネットワーク装置
10、10a、10b 異常通信検知システム
50 トラフィックキャプチャシステム
100 1段目の層の異常通信検知システム
200 2段目の層の異常通信検知システム
300 生成システム
310 検知ルール生成制御部
311 取得部
312 生成部
313 誤検知検査部
314 見逃し検査部
315 削除部
316 追加部
320 トラフィックキャプチャ管理部
321 キャプチャデータ
330 正常通信識別ルール生成部
331 正常通信識別ルールデータ
340 異常通信識別ルール生成部
341 異常通信識別ルールデータ
350 テストトラフィック管理部
351 テストデータ
360 検知ルール管理部
361 検知ルールデータ
362 検知ルール配信部
400 外部システム群
1 Network 2 Firewall 3 Installation section 4 LAN
5 Host 6 Network device 10, 10a, 10b Abnormal communication detection system 50 Traffic capture system 100 Abnormal communication detection system for the first layer 200 Abnormal communication detection system for the second layer 300 Generation system 310 Detection rule generation control unit 311 Acquisition unit 312 Generation unit 313 False detection inspection unit 314 Overlooked inspection unit 315 Deleted unit 316 Addition unit 320 Traffic capture management unit 321 Captured data 330 Normal communication identification rule generation unit 331 Normal communication identification rule data 340 Abnormal communication identification rule generation unit 341 Abnormality Communication identification rule data 350 Test traffic management unit 351 Test data 360 Detection rule management unit 361 Detection rule data 362 Detection rule distribution unit 400 External system group

Claims (6)

ネットワークに接続されたホストにおいて所定の期間に発生した通信に関する第1のデータと、テスト用に発生させる異常通信に関する第2のデータと、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールと、を取得する取得部と、
通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、前記第1のデータを正常通信に関するデータと識別するように生成する生成部と、
前記異常通信識別ルールに含まれるルールのうち、前記第1のデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールから削除する削除部と、
前記第2のデータのうち、前記正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールに追加する追加部と、
を有し、
前記異常通信識別ルールを用いて異常通信の検知を行う第1の異常通信検知システムと、前記正常通信識別ルールを用いて異常通信の検知を行う第2の異常通信検知システムと、を多層化した多層化異常通信検知システムによって、正常であることが既知の通信が異常通信として検知された場合、前記取得部は、前記正常であることが既知の通信が発生した期間を含む前記所定の期間に発生した通信に関するデータを前記第1のデータとして取得することを特徴とする生成システム。
Identify whether the first data related to communication that occurred in a predetermined period on a host connected to the network, the second data related to abnormal communication generated for testing, and the data related to communication are data related to abnormal communication. Abnormal communication identification rule to acquire, acquisition unit to acquire,
A generator that generates a normal communication identification rule that identifies whether or not the data related to communication is data related to normal communication so as to identify the first data from the data related to normal communication.
Among the rules included in the abnormal communication identification rule, a deletion unit that deletes the rule that identifies the first data as data related to abnormal communication from the abnormal communication identification rule, and
Of the second data, an additional part that adds a rule for identifying data identified as data related to normal communication by the normal communication identification rule to data related to abnormal communication to the abnormal communication identification rule, and
Have a,
The first abnormal communication detection system that detects abnormal communication using the abnormal communication identification rule and the second abnormal communication detection system that detects abnormal communication using the normal communication identification rule are multi-layered. When the communication known to be normal is detected as abnormal communication by the multi-layered abnormal communication detection system, the acquisition unit is in the predetermined period including the period in which the communication known to be normal occurs. A generation system characterized in that data relating to the generated communication is acquired as the first data .
ネットワークに接続されたホストにおいて所定の期間に発生した通信に関する第1のデータと、テスト用に発生させる異常通信に関する第2のデータと、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールと、を取得する取得部と、
通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、前記第1のデータを正常通信に関するデータと識別するように生成する生成部と、
前記異常通信識別ルールに含まれるルールのうち、前記第1のデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールから削除する削除部と、
前記第2のデータのうち、前記正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールに追加する追加部と、
を有し、
前記異常通信識別ルールを用いて異常通信の検知を行う第1の異常通信検知システムと、前記正常通信識別ルールを用いて異常通信の検知を行う第2の異常通信検知システムと、を多層化した多層化異常通信検知システムによって、異常であることが既知の通信が異常でない通信として検知された場合、前記取得部は、前記異常であることが既知の通信が発生した期間を含む前記所定の期間のうち、前記異常であることが既知の通信が発生した期間を除く期間に発生した通信に関するデータを前記第1のデータとして取得することを特徴とする生成システム。
Identify whether the first data related to communication that occurred in a predetermined period on a host connected to the network, the second data related to abnormal communication generated for testing, and the data related to communication are data related to abnormal communication. Abnormal communication identification rule to acquire, acquisition unit to acquire,
A generator that generates a normal communication identification rule that identifies whether or not the data related to communication is data related to normal communication so as to identify the first data from the data related to normal communication.
Among the rules included in the abnormal communication identification rule, a deletion unit that deletes the rule that identifies the first data as data related to abnormal communication from the abnormal communication identification rule, and
Of the second data, an additional part that adds a rule for identifying data identified as data related to normal communication by the normal communication identification rule to data related to abnormal communication to the abnormal communication identification rule, and
Have,
The first abnormal communication detection system that detects abnormal communication using the abnormal communication identification rule and the second abnormal communication detection system that detects abnormal communication using the normal communication identification rule are multi-layered. When the multi-layered abnormal communication detection system detects a communication known to be abnormal as a non-abnormal communication, the acquisition unit receives the predetermined period including a period in which the communication known to be abnormal occurs. Among the generation systems, the generation system is characterized in that data related to communication generated during a period other than a period in which communication known to be abnormal is acquired is acquired as the first data .
コンピュータによって実行される生成方法であって、
ネットワークに接続されたホストにおいて所定の期間に発生した通信に関する第1のデータと、テスト用に発生させる異常通信に関する第2のデータと、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールと、を取得する取得工程と、
通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、前記第1のデータを正常通信に関するデータと識別するように生成する生成工程と、
前記異常通信識別ルールに含まれるルールのうち、前記第1のデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールから削除する削除工程と、
前記第2のデータのうち、前記正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールに追加する追加工程と、
を含み、
前記異常通信識別ルールを用いて異常通信の検知を行う第1の異常通信検知システムと、前記正常通信識別ルールを用いて異常通信の検知を行う第2の異常通信検知システムと、を多層化した多層化異常通信検知システムによって、正常であることが既知の通信が異常通信として検知された場合、前記取得工程は、前記正常であることが既知の通信が発生した期間を含む前記所定の期間に発生した通信に関するデータを前記第1のデータとして取得することを特徴とする生成方法。
A generation method performed by a computer
Identify whether the first data related to communication that occurred in a predetermined period on a host connected to the network, the second data related to abnormal communication generated for testing, and the data related to communication are data related to abnormal communication. Abnormal communication identification rule to be performed, acquisition process to acquire, and
A generation step of generating a normal communication identification rule for identifying whether or not the data related to communication is data related to normal communication so as to identify the first data from the data related to normal communication.
Among the rules included in the abnormal communication identification rule, a deletion step of deleting the rule for identifying the first data as data related to abnormal communication from the abnormal communication identification rule, and
Among the second data, an additional step of adding a rule for identifying data identified as data related to normal communication by the normal communication identification rule to data related to abnormal communication to the abnormal communication identification rule, and
Only including,
The first abnormal communication detection system that detects abnormal communication using the abnormal communication identification rule and the second abnormal communication detection system that detects abnormal communication using the normal communication identification rule are multi-layered. When the multi-layered abnormal communication detection system detects the communication known to be normal as abnormal communication, the acquisition step is performed in the predetermined period including the period in which the communication known to be normal occurs. A generation method characterized in that data relating to the generated communication is acquired as the first data .
コンピュータによって実行される生成方法であって、A generation method performed by a computer
ネットワークに接続されたホストにおいて所定の期間に発生した通信に関する第1のデータと、テスト用に発生させる異常通信に関する第2のデータと、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールと、を取得する取得工程と、Identify whether the first data related to communication that occurred in a predetermined period on a host connected to the network, the second data related to abnormal communication generated for testing, and the data related to communication are data related to abnormal communication. Abnormal communication identification rule to be performed, acquisition process to acquire, and
通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、前記第1のデータを正常通信に関するデータと識別するように生成する生成工程と、A generation step of generating a normal communication identification rule for identifying whether or not the data related to communication is data related to normal communication so as to identify the first data from the data related to normal communication.
前記異常通信識別ルールに含まれるルールのうち、前記第1のデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールから削除する削除工程と、Among the rules included in the abnormal communication identification rule, a deletion step of deleting the rule for identifying the first data as data related to abnormal communication from the abnormal communication identification rule, and
前記第2のデータのうち、前記正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールに追加する追加工程と、Among the second data, an additional step of adding a rule for identifying data identified as data related to normal communication by the normal communication identification rule to data related to abnormal communication to the abnormal communication identification rule, and
を含み、Including
前記異常通信識別ルールを用いて異常通信の検知を行う第1の異常通信検知システムと、前記正常通信識別ルールを用いて異常通信の検知を行う第2の異常通信検知システムと、を多層化した多層化異常通信検知システムによって、異常であることが既知の通信が異常でない通信として検知された場合、前記取得工程は、前記異常であることが既知の通信が発生した期間を含む前記所定の期間のうち、前記異常であることが既知の通信が発生した期間を除く期間に発生した通信に関するデータを前記第1のデータとして取得することを特徴とする生成方法。The first abnormal communication detection system that detects abnormal communication using the abnormal communication identification rule and the second abnormal communication detection system that detects abnormal communication using the normal communication identification rule are multi-layered. When the multi-layered abnormal communication detection system detects a communication known to be abnormal as a non-abnormal communication, the acquisition step is performed in the predetermined period including a period in which the communication known to be abnormal occurs. Among the generation methods, the generation method is characterized in that data relating to communication generated in a period other than the period in which communication known to be abnormal is generated is acquired as the first data.
コンピュータに、
ネットワークに接続されたホストにおいて所定の期間に発生した通信に関する第1のデータと、テスト用に発生させる異常通信に関する第2のデータと、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールと、を取得する取得ステップと、
通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、前記第1のデータを正常通信に関するデータと識別するように生成する生成ステップと、
前記異常通信識別ルールに含まれるルールのうち、前記第1のデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールから削除する削除ステップと、
前記第2のデータのうち、前記正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールに追加する追加ステップと、
を実行させ
前記異常通信識別ルールを用いて異常通信の検知を行う第1の異常通信検知システムと、前記正常通信識別ルールを用いて異常通信の検知を行う第2の異常通信検知システムと、を多層化した多層化異常通信検知システムによって、正常であることが既知の通信が異常通信として検知された場合、前記取得ステップは、前記正常であることが既知の通信が発生した期間を含む前記所定の期間に発生した通信に関するデータを前記第1のデータとして取得することを特徴とする生成プログラム。
On the computer
Identify whether the first data related to communication that occurred in a predetermined period on a host connected to the network, the second data related to abnormal communication generated for testing, and the data related to communication are data related to abnormal communication. Abnormal communication identification rule to acquire, acquisition step to acquire,
A generation step of generating a normal communication identification rule for identifying whether or not the data related to communication is data related to normal communication so as to identify the first data from the data related to normal communication.
Among the rules included in the abnormal communication identification rule, a deletion step of deleting the rule that identifies the first data as data related to abnormal communication from the abnormal communication identification rule, and
Among the second data, an additional step of adding a rule for identifying data identified as data related to normal communication by the normal communication identification rule as data related to abnormal communication to the abnormal communication identification rule, and
To execute ,
The first abnormal communication detection system that detects abnormal communication using the abnormal communication identification rule and the second abnormal communication detection system that detects abnormal communication using the normal communication identification rule are multi-layered. When the multi-layered abnormal communication detection system detects communication known to be normal as abnormal communication, the acquisition step is performed during the predetermined period including the period during which the communication known to be normal occurs. A generation program characterized by acquiring data related to generated communication as the first data .
コンピュータに、On the computer
ネットワークに接続されたホストにおいて所定の期間に発生した通信に関する第1のデータと、テスト用に発生させる異常通信に関する第2のデータと、通信に関するデータが異常通信に関するデータであるか否かを識別する異常通信識別ルールと、を取得する取得ステップと、Identify whether the first data related to communication that occurred in a predetermined period on a host connected to the network, the second data related to abnormal communication generated for testing, and the data related to communication are data related to abnormal communication. Abnormal communication identification rule to acquire, acquisition step to acquire,
通信に関するデータが正常通信に関するデータであるか否かを識別する正常通信識別ルールを、前記第1のデータを正常通信に関するデータと識別するように生成する生成ステップと、A generation step of generating a normal communication identification rule for identifying whether or not the data related to communication is data related to normal communication so as to identify the first data from the data related to normal communication.
前記異常通信識別ルールに含まれるルールのうち、前記第1のデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールから削除する削除ステップと、Among the rules included in the abnormal communication identification rule, a deletion step of deleting the rule that identifies the first data as data related to abnormal communication from the abnormal communication identification rule, and
前記第2のデータのうち、前記正常通信識別ルールによって正常通信に関するデータと識別されたデータを異常通信に関するデータと識別するルールを、前記異常通信識別ルールに追加する追加ステップと、Among the second data, an additional step of adding a rule for identifying data identified as data related to normal communication by the normal communication identification rule as data related to abnormal communication to the abnormal communication identification rule, and
を実行させ、To execute,
前記異常通信識別ルールを用いて異常通信の検知を行う第1の異常通信検知システムと、前記正常通信識別ルールを用いて異常通信の検知を行う第2の異常通信検知システムと、を多層化した多層化異常通信検知システムによって、異常であることが既知の通信が異常でない通信として検知された場合、前記取得ステップは、前記異常であることが既知の通信が発生した期間を含む前記所定の期間のうち、前記異常であることが既知の通信が発生した期間を除く期間に発生した通信に関するデータを前記第1のデータとして取得することを特徴とする生成プログラム。The first abnormal communication detection system that detects abnormal communication using the abnormal communication identification rule and the second abnormal communication detection system that detects abnormal communication using the normal communication identification rule are multi-layered. When the multi-layered abnormal communication detection system detects a communication known to be abnormal as a non-abnormal communication, the acquisition step is the predetermined period including a period during which the communication known to be abnormal has occurred. Among the generation programs, the generation program is characterized by acquiring data related to communication generated in a period excluding the period in which communication known to be abnormal occurs as the first data.
JP2017116153A 2017-06-13 2017-06-13 Generation system, generation method and generation program Active JP6760884B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017116153A JP6760884B2 (en) 2017-06-13 2017-06-13 Generation system, generation method and generation program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017116153A JP6760884B2 (en) 2017-06-13 2017-06-13 Generation system, generation method and generation program

Publications (2)

Publication Number Publication Date
JP2019004260A JP2019004260A (en) 2019-01-10
JP6760884B2 true JP6760884B2 (en) 2020-09-23

Family

ID=65008100

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017116153A Active JP6760884B2 (en) 2017-06-13 2017-06-13 Generation system, generation method and generation program

Country Status (1)

Country Link
JP (1) JP6760884B2 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011244098A (en) * 2010-05-14 2011-12-01 Nippon Telegr & Teleph Corp <Ntt> Traffic analysis system and traffic analysis method
JP2012084994A (en) * 2010-10-07 2012-04-26 Hitachi Ltd Malware detection method and malware detection device
JP5639535B2 (en) * 2011-06-10 2014-12-10 日本電信電話株式会社 Benign domain name exclusion device, benign domain name exclusion method, and program
JP6086423B2 (en) * 2012-11-14 2017-03-01 国立研究開発法人情報通信研究機構 Unauthorized communication detection method by collating observation information of multiple sensors
IL226057A (en) * 2013-04-28 2017-07-31 Verint Systems Ltd System and method for automated configuration of intrusion detection systems

Also Published As

Publication number Publication date
JP2019004260A (en) 2019-01-10

Similar Documents

Publication Publication Date Title
JP5972401B2 (en) Attack analysis system, linkage device, attack analysis linkage method, and program
US9306964B2 (en) Using trust profiles for network breach detection
US9667657B2 (en) System and method of utilizing a dedicated computer security service
US11522877B2 (en) Systems and methods for identifying malicious actors or activities
US20180034837A1 (en) Identifying compromised computing devices in a network
US20130096980A1 (en) User-defined countermeasures
US11861006B2 (en) High-confidence malware severity classification of reference file set
US11258812B2 (en) Automatic characterization of malicious data flows
US10972490B2 (en) Specifying system, specifying device, and specifying method
US10904267B2 (en) Non-intrusive threat detection in a computer network
US10484400B2 (en) Dynamic sensors
JP2019021294A (en) SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS
CN108369541B (en) System and method for threat risk scoring of security threats
US20160373447A1 (en) Unauthorized access detecting system and unauthorized access detecting method
JP6058246B2 (en) Information processing apparatus, information processing method, and program
US11025656B2 (en) Automatic categorization of IDPS signatures from multiple different IDPS systems
EP3172692A1 (en) Remedial action for release of threat data
JP2014179025A (en) Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program
CN108804914B (en) Abnormal data detection method and device
US10075454B1 (en) Using telemetry data to detect false positives
US20200334353A1 (en) Method and system for detecting and classifying malware based on families
JP6760884B2 (en) Generation system, generation method and generation program
JP7424395B2 (en) Analytical systems, methods and programs
WO2020009094A1 (en) Generation device, generation method, and generation program
US20220237303A1 (en) Attack graph processing device, method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190620

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200526

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200609

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200805

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200901

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200903

R150 Certificate of patent or registration of utility model

Ref document number: 6760884

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150