JP7028559B2 - 攻撃検知システム、攻撃検知方法および攻撃検知プログラム - Google Patents
攻撃検知システム、攻撃検知方法および攻撃検知プログラム Download PDFInfo
- Publication number
- JP7028559B2 JP7028559B2 JP2017011522A JP2017011522A JP7028559B2 JP 7028559 B2 JP7028559 B2 JP 7028559B2 JP 2017011522 A JP2017011522 A JP 2017011522A JP 2017011522 A JP2017011522 A JP 2017011522A JP 7028559 B2 JP7028559 B2 JP 7028559B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- log information
- attack detection
- event
- degree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
図1は、第1の実施形態に係る攻撃検知装置を含む通信システムの構成の一例を示す概略図である。図1に例示するように、第1の実施形態に係る通信システム100は、攻撃検知装置10と、クライアント拠点内におけるセキュリティアプライアンス20、ネットワーク機器30、クライアント端末40A、40B、コントローラ50、GW(Gateway)60および管理者端末70と、インターネット80上のサーバ90とで構成される。なお、図1に示す構成は一例にすぎず、具体的な構成や各装置の数は特に限定されない。また、クライアント端末40A、40Bについて、特に区別なく説明する場合には、適宜クライアント端末40と記載する。
次に、図2を用いて、図1に示した攻撃検知装置10の構成を説明する。図2は、第1の実施形態に係る攻撃検知装置の構成例を示すブロック図である。図2に示すように、この攻撃検知装置10は、通信処理部11、入力部12、出力部13、制御部14および記憶部15を有する。以下に攻撃検知装置10が有する各部の処理を説明する。なお、攻撃検知装置10の各機能は、攻撃検知システムとして複数の装置が分散して保持してもよい。
次に、図6を用いて、第1の実施形態に係る攻撃検知装置10による処理手順の例を説明する。図6は、第1の実施形態に係る攻撃検知装置における攻撃検知処理の流れの一例を示すフローチャートである。
第1の実施形態に係る攻撃検知装置10は、セキュリティアプライアンス20およびネットワーク機器30から各通信イベントに関するログ情報を取得する。そして、攻撃検知装置10は、取得されたログ情報の相関分析を行い、ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントを抽出する。続いて、攻撃検知装置10は、抽出された通信イベントに関するログ情報に対して相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する。その後、攻撃検知装置10は、計算されたリスクの度合いが所定の閾値以上である場合には、特定のクライアント端末40の通信に対して所定の対処を行う旨をSDNコントローラ50Aに指示する。このため、攻撃検知装置10は、二次感染や情報漏洩などの被害を迅速に防ぐことができ、被害の拡大を防ぐことが可能である。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、上記実施形態において説明した攻撃検知装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る攻撃検知装置10が実行する処理をコンピュータが実行可能な言語で記述した攻撃検知プログラムを作成することもできる。この場合、コンピュータが攻撃検知プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる攻撃検知プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された攻撃検知プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
11 通信処理部
12 入力部
13 出力部
14 制御部
14a 取得部
14b 抽出部
14c 計算部
14d 指示部
15 記憶部
15a ログ情報記憶部
20 セキュリティアプライアンス
30 ネットワーク機器
30A SDN対応スイッチ
40、40A、40B クライアント端末
50 コントローラ
50A SDNコントローラ
60 GW
70 管理者端末
80 インターネット
90 サーバ
100 通信システム
Claims (4)
- セキュリティアプライアンスおよびネットワーク機器から各通信イベントに関するログ情報を取得する取得部と、
前記取得部によって取得されたログ情報の相関分析を行い、前記ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントのみを抽出する抽出部と、
前記抽出部によって抽出された通信イベントであって、不正な通信イベントである可能性がある通信イベントに関するログ情報のみに対して前記相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する計算部と、
前記計算部によって計算されたリスクの度合いが所定の閾値以上である場合に、マルウェアに感染した特定の端末が検出された際には、該特定の端末の通信を遮断し、悪性な通信先が検出された際には、該悪性な通信先に対する各端末の通信を遮断する旨を所定の装置に指示し、前記計算部によって計算されたリスクの度合いが所定の閾値未満である場合には、特定の端末の通信が精密検査センタを経由して行われるように経路変更を行う旨を前記所定の装置に指示する指示部と、
を備えることを特徴とする攻撃検知システム。 - 前記指示部は、前記計算部によって計算されたリスクの度合いが所定の閾値以上である場合には、SDNコントローラを通じて、SDN対応スイッチに対して特定の端末の通信を遮断する旨を指示することを特徴とする請求項1に記載の攻撃検知システム。
- 攻撃検知システムによって実行される攻撃検知方法であって、
セキュリティアプライアンスおよびネットワーク機器から各通信イベントに関するログ情報を取得する取得工程と、
前記取得工程によって取得されたログ情報の相関分析を行い、前記ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントのみを抽出する抽出工程と、
前記抽出工程によって抽出された通信イベントであって、不正な通信イベントである可能性がある通信イベントに関するログ情報のみに対して前記相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する計算工程と、
前記計算工程によって計算されたリスクの度合いが所定の閾値以上である場合に、マルウェアに感染した特定の端末が検出された際には、該特定の端末の通信を遮断し、悪性な通信先が検出された際には、該悪性な通信先に対する各端末の通信を遮断する旨を所定の装置に指示し、前記計算工程によって計算されたリスクの度合いが所定の閾値未満である場合には、特定の端末の通信が精密検査センタを経由して行われるように経路変更を行う旨を前記所定の装置に指示する指示工程と、
を含んだことを特徴とする攻撃検知方法。 - セキュリティアプライアンスおよびネットワーク機器から各通信イベントに関するログ情報を取得する取得ステップと、
前記取得ステップによって取得されたログ情報の相関分析を行い、前記ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントのみを抽出する抽出ステップと、
前記抽出ステップによって抽出された通信イベントであって、不正な通信イベントである可能性がある通信イベントに関するログ情報のみに対して前記相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する計算ステップと、
前記計算ステップによって計算されたリスクの度合いが所定の閾値以上である場合に、マルウェアに感染した特定の端末が検出された際には、該特定の端末の通信を遮断し、悪性な通信先が検出された際には、該悪性な通信先に対する各端末の通信を遮断する旨を所定の装置に指示し、前記計算ステップによって計算されたリスクの度合いが所定の閾値未満である場合には、特定の端末の通信が精密検査センタを経由して行われるように経路変更を行う旨を前記所定の装置に指示する指示ステップと、
をコンピュータに実行させることを特徴とする攻撃検知プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017011522A JP7028559B2 (ja) | 2017-01-25 | 2017-01-25 | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017011522A JP7028559B2 (ja) | 2017-01-25 | 2017-01-25 | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018121218A JP2018121218A (ja) | 2018-08-02 |
JP7028559B2 true JP7028559B2 (ja) | 2022-03-02 |
Family
ID=63044422
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017011522A Active JP7028559B2 (ja) | 2017-01-25 | 2017-01-25 | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7028559B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6636474B2 (ja) * | 2017-03-16 | 2020-01-29 | 日本電信電話株式会社 | 対処指示装置、対処指示方法、対処指示プログラム |
JP7198617B2 (ja) * | 2018-09-21 | 2023-01-04 | 株式会社日立ハイテクソリューションズ | セキュリティシステム |
JP2020072427A (ja) * | 2018-11-01 | 2020-05-07 | 日本電気株式会社 | ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム |
EP4030324A4 (en) * | 2019-10-09 | 2023-05-10 | Nippon Telegraph And Telephone Corporation | LEVEL ESTIMATE DEVICE, LEVEL ESTIMATE METHOD, AND LEVEL ESTIMATE PROGRAM |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006319633A (ja) | 2005-05-12 | 2006-11-24 | Hitachi Ltd | ログ分析システム、分析方法及びログ分析装置 |
WO2014129587A1 (ja) | 2013-02-21 | 2014-08-28 | 日本電信電話株式会社 | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
JP2014236461A (ja) | 2013-06-05 | 2014-12-15 | 日本電信電話株式会社 | 遮断システム、遮断サーバ、遮断方法、およびプログラム |
JP2015179979A (ja) | 2014-03-19 | 2015-10-08 | 日本電信電話株式会社 | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
JP2015198301A (ja) | 2014-03-31 | 2015-11-09 | 株式会社ラック | ログ分析システム |
-
2017
- 2017-01-25 JP JP2017011522A patent/JP7028559B2/ja active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006319633A (ja) | 2005-05-12 | 2006-11-24 | Hitachi Ltd | ログ分析システム、分析方法及びログ分析装置 |
WO2014129587A1 (ja) | 2013-02-21 | 2014-08-28 | 日本電信電話株式会社 | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
JP2014236461A (ja) | 2013-06-05 | 2014-12-15 | 日本電信電話株式会社 | 遮断システム、遮断サーバ、遮断方法、およびプログラム |
JP2015179979A (ja) | 2014-03-19 | 2015-10-08 | 日本電信電話株式会社 | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
JP2015198301A (ja) | 2014-03-31 | 2015-11-09 | 株式会社ラック | ログ分析システム |
Also Published As
Publication number | Publication date |
---|---|
JP2018121218A (ja) | 2018-08-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10095866B2 (en) | System and method for threat risk scoring of security threats | |
Holm | Signature based intrusion detection for zero-day attacks:(not) a closed chapter? | |
JP7028559B2 (ja) | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム | |
US20140359708A1 (en) | Honeyport active network security | |
US9058488B2 (en) | Malware detection and computer monitoring methods | |
EP2998901B1 (en) | Unauthorized-access detection system and unauthorized-access detection method | |
WO2014209459A1 (en) | Interception and policy application for malicious communications | |
US20150143454A1 (en) | Security management apparatus and method | |
EP3337106B1 (en) | Identification system, identification device and identification method | |
TWI407328B (zh) | 網路病毒防護方法及系統 | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
JP6502902B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
JP4739962B2 (ja) | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
EP3252648B1 (en) | Security measure invalidation prevention device, security measure invalidation prevention method, and security measure invalidation prevention program | |
KR101499470B1 (ko) | 악성코드 전이 탐지를 이용한 apt 공격 방어 시스템 및 그 방어 방법 | |
JP6092759B2 (ja) | 通信制御装置、通信制御方法、および通信制御プログラム | |
Canzanese et al. | Multi-channel change-point malware detection | |
JP2005284523A (ja) | 不正侵入検出システム及び方法並びに不正侵入検出用プログラム | |
JP7366320B1 (ja) | 情報処理システム、情報処理方法および情報処理プログラム | |
KR20200053255A (ko) | 공격 탐지 장치 및 방법 | |
JP6296915B2 (ja) | 解析装置及び解析方法及びプログラム | |
Gheorghe et al. | Attack evaluation and mitigation framework |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190726 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200625 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200707 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200907 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210209 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210326 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210720 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210910 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220125 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220217 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7028559 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |