JP7435186B2 - 異常監視支援装置、プログラム及び方法 - Google Patents

異常監視支援装置、プログラム及び方法 Download PDF

Info

Publication number
JP7435186B2
JP7435186B2 JP2020069808A JP2020069808A JP7435186B2 JP 7435186 B2 JP7435186 B2 JP 7435186B2 JP 2020069808 A JP2020069808 A JP 2020069808A JP 2020069808 A JP2020069808 A JP 2020069808A JP 7435186 B2 JP7435186 B2 JP 7435186B2
Authority
JP
Japan
Prior art keywords
investigation
abnormal
information
detailed log
target candidate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020069808A
Other languages
English (en)
Other versions
JP2021165998A (ja
Inventor
健嗣 八百
信之 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2020069808A priority Critical patent/JP7435186B2/ja
Publication of JP2021165998A publication Critical patent/JP2021165998A/ja
Application granted granted Critical
Publication of JP7435186B2 publication Critical patent/JP7435186B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、異常監視支援装置、プログラム及び方法に関し、ネットワーク上の装置のセキュリティ監視に関する調査を支援する装置に適用し得るものである。
近年、サイバー攻撃監視の目的で、プロキシサーバなどの社内装置に記録される膨大な数のログを、機械学習を利用して分析し、マルウェアのダウンロードや攻撃者サーバとの通信といった悪性通信を検出する取り組みが実施されている。
サイバー攻撃の対策は、多層防御が有効とされており、侵入検知システムや、ファイアウォール、端末におけるウイルス検知ソフトなど多数の監視ポイントで様々な手法を組み合わせることで重大なセキュリティインシデントの発生を未然に防いでいる。
一般に、アクセス履歴などのログ情報は膨大であり、そのほとんどが悪性でない通信によるものが多い。そのような中でも見逃しによる情報漏洩等の事故の発展を防ぐため、怪しい挙動を検出して調査するといった調査作業が必要になる。
しかし、実際の調査工数は限られている上に、調査すべきか否かを即座に判断できない事象も多い。このような状況では、調査対象をトリアージ(優先度付け)できるような仕組みが重要になる。また、調査を進めても、対処すべきか否かを即座に判断できない事象も多いという問題がある。
特許文献1には、検知ルールを用いて攻撃活動が検知された場合に、当該検知ルールにマッチする過去の複数の事象を照らし合わせて、現在の状況に最も適した事象を選択する装置が記載されている。このような過去の事象に関する情報は、調査対象を優先度付けする上で有益な情報となる。
特開2019-28891号公報
しかしながら、特許文献1の記載技術は、検知ルールにマッチした事象の対処を提示するものであり、調査段階で何から着手すべきかの優先度付けに利用できるものではない。調査の優先度を判断するためには、誰が、いつ、何に対して、なぜ/どう判断し、どのように対処したのか等も含めた総合的な情報を提示することが有効である。
また、特許文献1に記載技術は、既に対処が既知の事象をスコープとするものであり、対処すべきか否かを判断できなかった事象をスコープとするものではない。そのような対処の判断を迷う事象についても、調査者が対処できなかったという事実も含めて、どのように判断してきたのかを知ることは有効である。
本発明は、上述した課題に鑑み、調査すべき異常な要素を抽出して提示するシステムにおいて、対象となる要素を提示すると共に、過去の調査履歴を提示することで調査作業を支援する異常監視支援装置、プログラム及び方法を提供しようとするものである。
かかる課題を解決するために、第1の本発明に係る異常監視支援装置は、1又は複数のネットワーク装置から収集した監視対象データから異常な要素を抽出する異常判定手段と、異常な要素に関連付けられた過去の調査結果情報を蓄積する調査結果情報管理手段と、異常判定手段により抽出された異常な要素を調査対象候補とし、調査対象候補ごとに、調査対象候補に対して関連付けられた過去の調査結果情報を含む調査要素情報を提示する調査要素表示手段と、異常な要素を含む詳細ログ情報を管理する詳細ログ管理手段と、調査対象候補ごとに提示された調査要素情報の中から、選択された調査要素情報の異常な要素を含む詳細ログ情報を提示する詳細ログ情報表示手段とを備え、詳細ログ情報は、調査結果入力部を有し、調査結果入力部が、調査対象候補としての異常な要素に関連付ける調査結果情報として、少なくとも、調査対象としての異常な要素と、当該異常な要素に対する監視者の所見を示す調査判断と、調査時期と、調査主体と、調査対応とを含む情報を入力して、調査結果情報管理手段に蓄積するものであることを特徴とする。
第2の本発明に係る異常監視支援プログラムは、コンピュータを、1又は複数のネットワーク装置から収集した監視対象データから異常な要素を抽出する異常判定手段と、異常な要素に関連付けられた過去の調査結果情報を蓄積する調査結果情報管理手段と、異常判定手段により抽出された異常な要素を調査対象候補とし、調査対象候補ごとに、調査対象候補に対して関連付けられた過去の調査結果情報を含む調査要素情報を提示する調査要素表示手段と、異常な要素を含む詳細ログ情報を管理する詳細ログ管理手段と、調査対象候補ごとに提示された調査要素情報の中から、選択された調査要素情報の異常な要素を含む詳細ログ情報を提示する詳細ログ情報表示手段として機能させ、詳細ログ情報は、調査結果入力部を有し、調査結果入力部が、調査対象候補としての異常な要素に関連付ける調査結果情報として、少なくとも、調査対象としての異常な要素と、当該異常な要素に対する監視者の所見を示す調査判断と、調査時期と、調査主体と、調査対応とを含む情報を入力して、調査結果情報管理手段に蓄積するものであることを特徴とする。
第3の本発明に係る異常監視支援方法は、異常監視支援装置が、1又は複数のネットワーク装置から収集した監視データを分析して通常時とは異なる異常を監視する異常監視支援方法であって、異常判定手段が、1又は複数のネットワーク装置から収集した監視対象データから異常な要素を抽出し、調査結果情報管理手段が、異常な要素に関連付けられた過去の調査結果情報を蓄積し、調査要素表示手段が、異常判定手段により抽出された異常な要素を調査対象候補とし、調査対象候補ごとに、調査対象候補に対して関連付けられた過去の調査結果情報を含む調査要素情報を提示し、詳細ログ管理手段が、異常な要素を含む詳細ログ情報を管理し、詳細ログ情報表示手段が、調査対象候補ごとに提示された調査要素情報の中から、選択された調査要素情報の異常な要素を含む詳細ログ情報を提示し、詳細ログ情報は、調査結果入力部を有し、調査結果入力部が、調査対象候補としての異常な要素に関連付ける調査結果情報として、少なくとも、調査対象としての異常な要素と、当該異常な要素に対する監視者の所見を示す調査判断と、調査時期と、調査主体と、調査対応とを含む情報を入力して、調査結果情報管理手段に蓄積することを特徴とする。
本発明によれば、調査すべき異常な要素を抽出して提示するシステムにおいて、対象となる要素を提示すると共に、過去の調査履歴を提示することで調査作業を支援することができる。
実施形態に係る異常監視支援装置の内部構成を示す内部構成図である。 実施形態の調査要素表示部により表示される異常要素表示画面を示す図である(その1)。 実施形態の調査要素表示部により表示される異常要素表示画面を示す図である(その2)。 実施形態の詳細ログ表示部により表示される詳細ログ表示画面を示す図である(その1)。 実施形態の詳細ログ表示部により表示される詳細ログ表示画面を示す図である(その2)。
(A)主たる実施形態
以下では、本発明に係る異常監視支援装置、プログラム及び方法の実施形態を、図面を参照しながら詳細に説明する。
実施形態では、調査すべき異常な要素を抽出すると共に、当該要素に対して過去に監視者がどのような所見を持ち、どのように判断をしたかを提示する異常監視支援装置を例示する。
(A-1)実施形態の構成
図1は、実施形態に係る異常監視支援装置の内部構成を示す内部構成図である。
異常監視支援装置1は、ネットワークNT上に配置されている各装置から収集したログを分析して、調査すべき異常な要素を抽出し、その調査すべき異常な要素を提示(表示)する装置である。
異常監視支援装置1の監視対象は、ネットワークNT上に存在する各装置とする。例えば、ネットワークNT上には、ファイアウォール2-1、侵入検知装置2-2、プロキシサーバ2-3、ルータ2-4、WEBサーバ2-5等が配置されており、各装置で発生するログが監視対象データとして異常監視支援装置1に与えられる構成となっている。なお、ネットワークNT上に配置される装置の種類や数は限定されない。
図1において、異常監視支援装置1は、監視対象データ蓄積部11、異常判定部12、調査対象データ蓄積部13、調査要素表示部141及び詳細ログ表示部142を有する提示部14、詳細ログ管理部15、コメント履歴管理部16を有する。
異常監視支援装置1は、例えば、プロセッサやメモリ等を有するコンピュータに、実施形態に係る異常監視支援プログラムをインストールすることにより実現される。なお、異常監視支援装置1は、複数のコンピュータを用いて構成するようにしてもよい。
[監視対象データ蓄積部]
監視対象データ蓄積部11は、ネットワークNT上の各装置(例えば、ファイアウォール2-1、侵入検知装置2-2、プロキシサーバ2-3、ルータ2-4、WEBサーバ2-5等)で発生した時系列のログを監視対象データとして蓄積する。
ここで、ネットワークNT上の各装置の「ログ」は、例えば、ネットワークトラフィックをキャプチャした通信ログ(トラフィックデータ)、ファイアウォール2-1でアクセプト又はドロップとなった通信ログ、インターネットへのアクセスログ、各装置に搭載されているウィルス対策ソフトのログ、侵入検知装置2-2が出力するアラート情報など様々なものが含まれる。また、「ログ」には、宛先や送信元等といった調査対象候補となる要素を含むことを想定する。
なお、図1では、1個の監視対象データ蓄積部11を示しているが、収集したログを、ログの種類毎に記憶するため複数の監視対象データ蓄積部11を設けるようにしてもよい。
[異常判定部]
異常判定部12は、監視対象データ蓄積部11に蓄積されている監視対象データを、予め設定された1又は複数のアルゴリズムを用いて分析して、調査すべき異常な要素を抽出して、調査要素表示部141に与えるものである。
ここで、「異常」とは、アルゴリズムに従って監視対象データを分析した結果、通常時とは異なる挙動や事象、又は、その疑いがある挙動や事象をいう。例えば、ネットワークNT上の各装置の故障/障害などの予兆や揺らぎ、セキュリティにおける攻撃の発生や情報漏洩などであっても良いが、それらに限定されるものではない。
また「調査すべき異常な要素」とは、監視対象データの分析の結果、より詳細な調査が必要と考えられる挙動や事象を特定する要素である。例えば、当該要素は、送信元IPアドレス、社員番号(社員ID)などのユーザーを識別する識別情報(ユーザID等)、接続先のホストネームなどを含むが、これらに限定するものではない。
異常判定部12が解析に利用するアルゴリズムは、特に限定されず、解析する対象となる監視対象データ(ログ)の種類に応じて、複数のアルゴリズムを適用してもよい。
例えば、監視対象データのログが、トラフィックデータ(例えば、パケットダンプデータ)である場合、攻撃や不正なアクセス等を判定するための所定ルール(シグネチャ)に対してパターン照合して、調査すべき異常な要素を抽出するアルゴリズムを適用してもよい。また例えば、ファイアウォール2-1やルータ2-4の通信ログの場合、単位時間でパケットがドロップされたドロップ数が閾値を超えた部分を、調査すべき異常な要素として抽出するアルゴリズムを適用してもよい。さらに例えば、各装置に搭載されたウィルス対策ソフトのログの場合、ウィルスが検出されたログを、調査すべき異常な要素として抽出するアルゴリズムを適用してもよい。また例えば、各装置(コンピュータ)のSyslogに出力される情報の中から、異常パターンにマッチするログを、調査すべき異常な要素として抽出するアルゴリズムを適用してもよい。
また、異常判定部12が解析に利用するアルゴリズムは、例えば、機械学習を用いる手法や、人工知能を用いる手法などのように、抽出したい正解データを一定数与えて学習させることで自動判定するようなアルゴリズムも含まれる。
さらに、異常判定部12は、調査をすべき異常な要素に、調査の優先度(優先順位)を付与するにしてもよい。例えば、セキュリティの観点から、危険の程度若しくは調査の緊急性を要する程度等を事前に定義しておき、危険の度合いや緊急性の度合いを数値化した値(以下、「優先度」とも呼ぶ。)を付与するようにしてもよい。
[調査対象データ蓄積部]
調査対象データ蓄積部13は、異常判定部12により調査すべき異常な要素を含むログを調査対象データとして蓄積するものである。
調査対象データ蓄積部13は、異常判定部12により異常と判定されたログをそのまま保持するようにしてもよいが、装置全体として効率的な処理を図るために、ログに対して加工して保持するようにしてもよい。例えば、ログの種類によって記述形式が異なるので、ログに関して新たな項目を追加した新たな記述形式のデータに変換するなどしてもよい。例えば、時刻、送信元識別情報(例えばIPアドレス等)、ユーザーID(例えば、社員ID等)、接続先ホスト名(FQDN:Fully Qualified Domain Name等)、接続要求(URL Path、Query等)、プログラム名、マルウェア名等を要素名(項目)として、これらの情報を対応付けたデータに加工して保持するようにしてもよい。
調査対象データ蓄積部13は、蓄積しているログから、例えば、端末ID(IPアドレス等)、ユーザーID(社員ID等)、接続先ホスト名(FQDN等)、接続要求(URL Path、Query等)、プログラム名、マルウェア名等の要素(調査すべき異常な要素)をキーとして、当該要素を含むログを検索可能に蓄積するようにしてもよい。また、異常情報蓄積部30は、判定結果に含まれるメタデータ(異常判定部12が異常判定処理の過程で付与したメタデータ)又はそのメタデータの一部を要素名として抽出するようにしてもよい。
また、調査対象データ蓄積部13は、調査要素表示部141において監視者によりコメントが入力され、入力されたコメントを要素に関連付けて蓄積する。後述するように、コメント履歴管理部16が、調査要素表示部141において管理者により入力されたコメントを要素に関連付けることになるが、調査対象データ蓄積部13は、コメント履歴やコメント検索が可能となるように、要素に関連付けられたコメントを蓄積する。
このとき、調査対象データ蓄積部13は、調査すべき異常な要素毎のコメントを別テーブル等に保持するようにしてもよい。例えば、調査すべき異常な要素が「送信元IPアドレス:アドレスA」であるとき、当該「送信元IPアドレス:アドレスA」毎にコメントを保持するようにしてもよい。また、調査すべき異常な要素が「接続先ホスト:xxx.yyy.com」であるとき、「接続先ホスト:xxx.yyy.com」毎にコメントを保持するようにしてもよい。
[提示部]
提示部14は、調査要素表示部141や詳細ログ表示部142が表示画面を生成して提示するものである。
例えば、キーボードやマウスやタッチパネル等の入力部とディスプレイ等の表示部とを備えるコンピュータ(例えば、パーソナルコンピュータ等)上で、異常監視支援装置1として機能を実現する場合、提示部14は、当該コンピュータの表示部に表示画面を表示する。
また例えば、Webブラウザがインストールされているコンピュータ(例えば、パーソナルコンピュータ、スマートフォン、タブレット端末等)に表示画面を表示する構成の場合には、提示部14は、Webブラウザ(Webブラウザが対応する表示領域)に対して表示画面を表示させるようなデータ(例えば、Webコンテンツ形式のデータ)を供給するようにしてもよい。
[調査要素表示部]
調査要素表示部141は、異常判定部12により抽出された、調査すべき異常は要素を含むデータを表示画面で表示するものである。調査要素表示部141は、調査対象データ蓄積部13から、調査すべき異常な要素を含むデータを読み出し、調査すべき異常な要素を含むデータを用いて、所定の表示形式の表示データを生成して表示する。
調査すべき異常な要素の提示方法は、例えば、調査すべき異常な要素を含むデータをリストでならべて表示する形式、ネットワークセグメントと合わせてセグメントごとに表示する形式、部署ごとにグルーピングして表示する形式など様々な提示方法を適用できる。
また、調査要素表示部141は、表示画面上で、調査の優先度が高い要素を直感的に判断させるために、調査の優先度が高い「調査すべき異常な要素」を強調表示するようにしてもよい。例えば、調査要素表示部141は、異常判定部12により付与された調査の優先度に合わせて、リスト表示形式で調査すべき異常な要素を表示する際、調査の優先度が高いものほど上位になるように表示したり、調査の優先度が高い要素には色をつけるなど視覚的に目立たせたりしても良い。
なお、調査すべき異常な要素の提示方法の詳細な説明については動作の項で行なうが、この実施形態で例示する方法に限定されない。
調査要素表示部141は、コメント履歴閲覧部141aを備えており、各調査すべき異常な要素について、踏み込んだ調査をするか否かの判断を助けるため、当該要素に関連付けられた過去のコメント履歴を表示させることができる。
例えば、調査要素表示部141が作成して提示(表示)させる表示画面には、1又は複数の調査すべき異常の要素が表示されており、その中から調査しようとする要素(調査すべき異常の要素)を選択できるようにしている。監視者により要素が選択されると、当該要素に関連付けられた過去のコメントを表示するために、調査要素表示部141は、当該選択された調査すべき異常な要素をコメント履歴管理部16に与える。これにより、コメント履歴管理部16から当該調査すべき異常な要素に対応する過去のコメントを取得して表示画面上に表示することができる。
また、調査要素表示部141が提示する表示画面には、選択された調査すべき異常な要素を含んでいるログが表示されるようにしてもよい。このとき、各ログの全ての項目の情報を表示できるようにしてもよいが、ログの情報量が多いため、簡易的なログを表示するようにしてもよい。ログを簡易的に表示する際、ログを構成する項目のうち一部の項目の情報とすることができ、表示する一部の項目については予め設定するようにしてもよい。
[詳細ログ管理部]
詳細ログ管理部15は、ネットワークNT上の各装置のログを管理するものである。詳細ログ管理部15は、調査要素表示部141より、詳細に調査すべき異常な要素を与えられることにより、当該要素に関連するログ情報を詳細ログ表示部142に与える。例えば、詳細に調査すべき要素として、任意の送信元IPアドレスが与えられると、詳細ログ管理部15は、調査対象データ蓄積部13から、当該IPアドレスを送信元として含むログを抽出して、詳細ログ表示部142に与える。
[詳細ログ表示部]
詳細ログ表示部142は、詳細ログ管理部15より与えられたログを表示するものである。監視者は、詳細ログ表示部142の表示画面を通して、抽出された異常な要素の一連の動きを把握することができ、当該要素がどのような状況にあるのか(例えば、悪性サイトにアクセスしている、また例えば、設定ミスやマルウェア感染の疑いがある等)を調査することができる。
詳細ログ表示部142は、抽出された異常な要素に対して監視者の所見を入力するためのコメント入力部142aを有する。コメント入力部142aにコメントが入力されると、入力されたコメントを当該異常な要素と関連付けて記録するため、詳細ログ表示部142は、当該入力されたコメントをコメント履歴管理部16に与える。
ここでは、コメント入力部142aでは、監視者の入力操作により、詳細ログ表示部142で表示されるログを調査した結果として、「誰が(調査主体)」、「いつ(調査時期)」、「どの要素に対して(調査対象)」、「なぜ/どう判断し(調査判断)」、「どのように対処したのか(調査対応)」等のコメントを入力できる。
例えば、「監視者Xが、2020年1月6日、送信元IPアドレスAに対して、悪性サイトの複数のアクセスが多発していることを確認し、「ウイルス感染チェックを依頼した」という対処をしたこと」を入力する。また例えば、「監視者Yが、2020年1月7日、ユーザーUに対して、不審なサイトへのアクセスがあることを確認し、「様子見」という対処をした」ことを入力する。
また、詳細ログ表示部142は、コメントの入力に際し、過去のコメントを参照するために過去のコメントを検索/表示するインターフェースを有しても良い。
例えば、詳細ログ表示部142で表示されるログに不審なホストネームを見つけたときに、過去にそのホストネームに対して監視者がどのように判断し、どのように対処したのかを参考にすることで、今回の所見と対処をコメントとして入力するといったケースが考えられる。この場合、詳細ログ表示部142は、検索キーとなるホストネームをコメント履歴管理部16に与え、当該ホストネームを含む過去のコメントをコメント履歴管理部16より応答を受けて表示する。
[コメント履歴管理部]
コメント履歴管理部16は、詳細ログ表示部142から与えられたコメントを管理するものである。また、コメント履歴管理部16は、調査要素表示部141から詳細に調査すべき要素を与えられることにより、当該要素に関連するコメントを調査要素表示部141へ与える。さらに、コメント履歴管理部16は、詳細ログ表示部142より、検索キーを与えられることにより、当該検索キーを含む過去のコメントの検索結果を詳細ログ表示部142に応答する。
(A-2)実施形態の動作
次に、実施形態に係る異常監視支援装置1における動作を説明する。
監視対象データ蓄積部11は、ネットワークNT上に配置されている、監視対象の各装置で発生したログを監視対象データとして収集して蓄積する。蓄積した監視対象データは、異常判定部12に与えられる。
異常判定部12では、予め設定されたアルゴリズムを利用して、監視対象データを分析して、その分析結果より、調査すべき異常な要素を抽出して調査要素表示部141に与える。また、調査対象データ蓄積部13には、異常判定部12により抽出された要素を含むログが蓄積される。ここで、異常判定部12は、各調査すべき異常な要素に、調査の優先度を付与してもよい。
[調査要素の表示と選定]
調査要素表示部141では、異常判定部12からの各調査すべき異常な要素を含む画面を表示する。
図2は、実施形態の調査要素表示部141により表示される異常要素表示画面を示す図である。
図2において、異常要素表示画面500は、表示期間指定部501、調査要素表示領域502、コメント履歴閲覧フィールド503、ログ簡易ビュー領域504、詳細ログ表示ボタン505を有する。なお、図2の異常要素表示画面500は一例であり、異常要素表示画面500の構成は図2に限定されない。
調査要素表示部141は、図2の異常要素表示画面500に表示する、調査すべき異常の要素に関して、表示期間の設定を受け付けるようにしてもよい。
例えば、調査すべき異常な要素を含むデータには発生時刻が含まれており時系列のデータとなっている。したがって、監視者が調査をする上で、表示期間を指定することで、その期間に発生した異常な要素が表示される。
表示期間の指定方法は、様々な方法を広く適用できる。例えば異常要素表示画面500上の表示期間指定部501に表示期間を入力することで、その表示期間内に発生した異常な要素が調査要素表示領域502に表示されるようにしてもよい。また、例えば、図2には、図示しないが、発生時刻に応じて調査要素をコマ送りのように表示するための時刻設定を調整可能なユーザインタフェース部を備えてもよい。いずれにしても、表示期間を指定して、その表示期間内に発生した調査要素が調査要素表示領域502に表示される。
図2の調査要素表示領域502では、異常判定部12により抽出された、異常な要素が、異常判定部12により付与された調査の優先度の値の大きさに応じた、バブルチャート形式で表示される場合を例示している。ここでは、調査の優先度の値が大きいものほど、バブルチャートの円の面積が大きくなるように表示している。したがって、監視者は、面積の大きい円で描かれている要素から、調査の着手すべきであると判断できる。
例えば、図2の例では、異常な要素として「アドレスA」と表記されている要素の円が大きく表示されているので、監視者は、この要素「アドレスA」について調査を進めるべきと判断でき、調査要素表示領域502上で、この要素「アドレスA」を選択する。つまり、監視者は「アドレスA」と表示されている円を選択する。なお、「アドレスA」は、調査すべき異常な要素が「送信元IPアドレス」であり、その送信元IPアドレスが「アドレスA」であることを意味している。
調査要素表示部141は、選択された要素「アドレスA」を、コメント履歴管理部16及び詳細ログ管理部15に与える。
コメント履歴管理部16では、要素「送信元IPアドレス:アドレスA」に関連付けられている過去のコメントを、調査対象データ蓄積部13から検索して、その検索結果をコメント履歴閲覧フィールド503に表示する。図2の例では、「対応」、「日時」、「メモ」、「調査者」等を項目とするコメントが表示される場合を例示する。例えば第1番目のコメントでは、「調査者:監視太郎」が「日時:2019-12-19」に、当該要素「送信元IPアドレス:アドレスA」について「メモ:不審なサイト(xxx.yyy.com)からexeファイルダウンロード」したことを確認し、調査した結果、「対応:様子見」という所見を残したことが分かる。このように踏み込んだ調査する際に、過去に監視者(調査者)がどのような対処を行なったかを知ることができる。
他方、詳細ログ管理部15では、異常な要素「送信元IPアドレス:アドレスA」を要素として含んでいるログを、調査対象データ蓄積部13から検索して、ログ簡易ビュー領域504に、そのログの項目の一部を簡易的に表示する。例えば、図2の例では、ログの項目のうち、「時刻」と「接続ホスト」の項目が表示される場合を例示する。例えば、第1番目のログでは、「時刻:2020-01-06 17:01:40」に「接続ホスト:xxx.yyy.com」のアクセスであることが分かる。
なお、調査要素表示領域502で、監視者により別の要素(すなわち、要素の円)が選択されるたびに、コメント履歴管理部16とログ簡易ビュー領域504に表示される情報が逐次切り替わるようにしてもよい。したがって、コメント履歴やログ簡易ビューの内容を確認しながら、監視者は調査すべき要素を逐次変更して判断することができる。
図3では、調査要素表示領域502上で、監視者により、要素「アドレスB」が選択されたときの異常要素表示画面500を示している。
例えば、異常な要素として複数のIPアドレスが抽出された場合、図2の「IPアドレスA」に関しては、過去に長期に渡って「様子見」と判断されているときには、今回の事象はどうかを調べるために踏み込んで調査すべき対象と判断することができる。
また例えば、図3の「IPアドレスB」に関しては、1日前に「問題なし」と判断されており、コメントとしても「しばらく誤検知が発生する可能性が高い」と記載されていることから、今回は踏み込んで調査すべき対象ではない等と判断することができる。
[詳細調査]
監視者により、詳細な調査すべきと判断された要素について、より詳細なログ情報を表示して挙動追跡するために、監視者により詳細ログ表示ボタン505が選択される。
調査要素表示部141は、指定(選択)された要素を詳細ログ管理部15に与える。詳細ログ管理部15は、指定された要素を含むログを、調査対象データ蓄積部13から検索し、検索したログを詳細ログ表示部142に与える。
図4は、実施形態の詳細ログ表示部142により表示される詳細ログ表示画面を示す図である。
図4において、詳細ログ表示画面600は、詳細ログ表示領域601を有する。なお、図4の詳細ログ表示画面600は一例であり、詳細ログ表示画面600の構成は図4に限定されない。
図4の例では、詳細ログ表示領域601には、「時刻」、「送信元IPアドレス(図3では「送信元IP」と表記する。)」、「ユーザID」、「接続先ホスト」、「path」、「query」、「referer(HTTPリファラ)」、「user agent」などを項目とするログが表示される。ここでは、「送信元IPアドレス」が「アドレスA」である要素を含むログが表示される場合を例示しており、監視者は、詳細なログを確認することで、一連の動きを把握し、当該要素がどのような状況にあるのかを調査する。
[調査結果の入力]
詳細ログ表示部142では、監視者により、抽出された異常な要素に対する所見(コメント)が入力される。
図5は、実施形態の詳細ログ表示部142により表示される詳細ログ表示画面を示す図である。
ここでは、図5の画面が図4の詳細ログ表示領域601の下方に続く画面である場合を例示しているが、図5の画面は一例であり、図5の画面が図4の詳細ログ表示画面600とは別の画面であってもよい。
図5において、詳細ログ表示画面600は、詳細ログ表示領域601、コメント履歴表示領域602、コメント検索領域603、検索ボタン604、コメント入力フィールド605、入力ボタン606を有する。
図5の詳細ログ表示画面600には、監視者により、抽出された異常な要素に対して所見(コメント)を入力するコメント入力フィールド605がある。監視者は、詳細ログ表示画面600上に表示される詳細ログを調査し、その調査結果として、「誰が」、「いつ」、「どの要素に対して」、「なぜ/どう判断し」、「どのように対処したのか」を含むコメントをコメント入力フィールド605に入力する。
ここで、図5に例示するように、コメント入力フィールド605には、「調査者」入力領域651、「対応」入力領域652、「対象」入力領域653、「メモ」入力領域654等を項目とする入力領域があり、異常な要素に関して調査をした監視者が、各項目の入力領域651~654に、対応する内容の情報を入力できるようにしている。なお、コメント入力フィールド605の項目は、これらに限定されず、またコメント入力フィールド605のフォームも、図5の例に限定されない。
そして、コメントの入力が終え、監視者により入力ボタン606が選択されると、入力したコメントが詳細ログ管理部15に与えられ、詳細ログ管理部15が、入力したコメントを当該異常な要素に関連付けて記録する。このとき、詳細ログ管理部15は、異常な要素に関連付けるコメントに対して、異常監視支援装置1内部にある時計機能(図示しない)を用いて、コメントを入力した日時情報をコメントに付与して記録するようにしてもよい。
また、詳細ログ表示画面600は、ログの調査やコメントを入力する際、過去のコメントを検索、参照するため、コメント検索領域603を有するようにしてもよい。コメント検索領域603には、検索に係るキーワード等の検索キー入力領域631があり、監視者によって、検索キー入力領域631に検索キーが入力されて検索ボタン604が選択されると、入力された検索キーがコメント履歴管理部16に与えらえる。そして、コメント履歴管理部16が、当該検索キーを要素として含む過去のコメントを検索し、検索できたコメントが検索結果表示領域632に表示される。このように、過去のコメントが表示されることで、監視者が、過去のコメントを参照した上で、今回の調査結果に関するコメントを入力することができる。
また、詳細調査時にも同様に、所見や対処の入力判断を助けることができる。例えば、怪しいホストネームへのアクセスがあった場合に、当該ホストネームに関するコメント履歴がないかを検査し、数日前に「調査した結果、問題なし」などとコメントされているときには、そのコメントを受けて、今回も問題がない可能性が高いと判断することができる。さらに、例えば、「本サイトが改ざんされ、マルウェアダウンロードの実績あり、ウイルス駆除を実行」などとコメントされているときには、今回も同様の事象が発生したと考え、同様の対処を実施することができる。
なお、図5では、1個のコメントが検索結果表示領域632に表示されている場合を例示しているが、複数のコメントを検索できたときには、複数のコメントが検索結果表示領域632に表示されるようにしてもよい。
(A-3)実施形態の効果
以上のように、この実施形態によれば、調査すべき異常な要素を抽出して提示するシステムにおいて、調査対象となる要素と共に、当該要素に対する過去の調査履歴を提示できる。これにより、複数の調査すべき異常な要素が提示されるときに、どの要素から踏み込んで調査していくべきかの判断を助けることができる。
また、この実施形態によれば、調査結果のコメント履歴として、「誰が」、「いつ」、「どの要素に対して」、「なせ/どう判断し」、「どのように対処したのか」を管理することにより、システムで抽出された複数の異常な要素のそれぞれに対して踏み込んで調査すべきかどうかの判断や、詳細調査時の所見入力や対処の判断を支援することができる。
(B)他の実施形態
上記実施形態の説明においても、種々変形実施形態に言及したが、さらに以下に例示するような変形実施形態を挙げることができる。
上述した実施形態では、異常要素表示画面や詳細ログ表示画面を例示したが、この構成に限定するものではない。各表示画面における各フィールドの配置は並べ替えたり拡大・縮小した形であっても良い。
上述した実施形態では、ネットワーク上の装置のログを対象にする例で説明したが、これに限定するものではなく、時系列データであれば適用可能である。例えば、コンピュータ機器のログであっても適用できる。
1…異常監視支援装置、11…監視対象データ蓄積部、12…異常判定部、13…調査対象データ蓄積部、14…提示部、141…調査要素表示部、142…詳細ログ表示部、15…詳細ログ管理部、16…コメント履歴管理部。

Claims (8)

  1. 1又は複数のネットワーク装置から収集した監視対象データから異常な要素を抽出する異常判定手段と、
    前記異常な要素に関連付けられた過去の調査結果情報を蓄積する調査結果情報管理手段と、
    前記異常判定手段により抽出された前記異常な要素を調査対象候補とし、前記調査対象候補ごとに、前記調査対象候補に対して関連付けられた過去の調査結果情報を含む調査要素情報を提示する調査要素表示手段と
    前記異常な要素を含む詳細ログ情報を管理する詳細ログ管理手段と、
    前記調査対象候補ごとに提示された前記調査要素情報の中から、選択された前記調査要素情報の前記異常な要素を含む詳細ログ情報を提示する詳細ログ情報表示手段と
    を備え
    前記詳細ログ情報は、調査結果入力部を有し、
    前記調査結果入力部が、前記調査対象候補としての前記異常な要素に関連付ける前記調査結果情報として、少なくとも、調査対象としての前記異常な要素と、当該異常な要素に対する監視者の所見を示す調査判断と、調査時期と、調査主体と、調査対応とを含む情報を入力して、前記調査結果情報管理手段に蓄積するものである
    ことを特徴とする異常監視支援装置。
  2. 前記詳細ログ情報が、調査結果検索部を有し、
    前記調査結果情報管理手段が、前記調査結果検索部に入力された検情報を含む過去の調査結果情報を検索して、検索結果を前記調査結果検索部に提示する
    ことを特徴とする請求項に記載の異常監視支援装置。
  3. 前記調査対象候補の前記要素が、送信元アドレス情報を含むことを特徴とする請求項1又は2に記載の異常監視支援装置。
  4. 前記調査対象候補の前記要素が、ユーザ識別情報を含むことを特徴とする請求項1又は2に記載の異常監視支援装置。
  5. 前記調査対象候補の前記要素が、接続先ホスト名を含むことを特徴とする請求項1又は2に記載の異常監視支援装置。
  6. 前記異常判定手段が、機械学習を用いる手法又は人工知能を用いる手法により、抽出した正解データを一定数与えて学習させることで自動判定するアルゴリズムを利用するものであることを特徴とする請求項1に記載の異常監視支援装置。
  7. コンピュータを、
    1又は複数のネットワーク装置から収集した監視対象データから異常な要素を抽出する異常判定手段と、
    前記異常な要素に関連付けられた過去の調査結果情報を蓄積する調査結果情報管理手段と、
    前記異常判定手段により抽出された前記異常な要素を調査対象候補とし、前記調査対象候補ごとに、前記調査対象候補に対して関連付けられた過去の調査結果情報を含む調査要素情報を提示する調査要素表示手段と
    前記異常な要素を含む詳細ログ情報を管理する詳細ログ管理手段と、
    前記調査対象候補ごとに提示された前記調査要素情報の中から、選択された前記調査要素情報の前記異常な要素を含む詳細ログ情報を提示する詳細ログ情報表示手段と
    して機能させ
    前記詳細ログ情報は、調査結果入力部を有し、
    前記調査結果入力部が、前記調査対象候補としての前記異常な要素に関連付ける前記調査結果情報として、少なくとも、調査対象としての前記異常な要素と、当該異常な要素に対する監視者の所見を示す調査判断と、調査時期と、調査主体と、調査対応とを含む情報を入力して、前記調査結果情報管理手段に蓄積するものである
    ことを特徴とする異常監視支援プログラム。
  8. 異常監視支援装置が、1又は複数のネットワーク装置から収集した監視データを分析して通常時とは異なる異常を監視する異常監視支援方法であって、
    異常判定手段が、1又は複数のネットワーク装置から収集した監視対象データから異常な要素を抽出し、
    調査結果情報管理手段が、前記異常な要素に関連付けられた過去の調査結果情報を蓄積し、
    調査要素表示手段が、前記異常判定手段により抽出された前記異常な要素を調査対象候補とし、前記調査対象候補ごとに、前記調査対象候補に対して関連付けられた過去の調査結果情報を含む調査要素情報を提示し、
    詳細ログ管理手段が、前記異常な要素を含む詳細ログ情報を管理し、
    詳細ログ情報表示手段が、前記調査対象候補ごとに提示された前記調査要素情報の中から、選択された前記調査要素情報の前記異常な要素を含む詳細ログ情報を提示し、
    前記詳細ログ情報は、調査結果入力部を有し、
    前記調査結果入力部が、前記調査対象候補としての前記異常な要素に関連付ける前記調査結果情報として、少なくとも、調査対象としての前記異常な要素と、当該異常な要素に対する監視者の所見を示す調査判断と、調査時期と、調査主体と、調査対応とを含む情報を入力して、前記調査結果情報管理手段に蓄積する
    ことを特徴とする異常監視支援方法。
JP2020069808A 2020-04-08 2020-04-08 異常監視支援装置、プログラム及び方法 Active JP7435186B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020069808A JP7435186B2 (ja) 2020-04-08 2020-04-08 異常監視支援装置、プログラム及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020069808A JP7435186B2 (ja) 2020-04-08 2020-04-08 異常監視支援装置、プログラム及び方法

Publications (2)

Publication Number Publication Date
JP2021165998A JP2021165998A (ja) 2021-10-14
JP7435186B2 true JP7435186B2 (ja) 2024-02-21

Family

ID=78022166

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020069808A Active JP7435186B2 (ja) 2020-04-08 2020-04-08 異常監視支援装置、プログラム及び方法

Country Status (1)

Country Link
JP (1) JP7435186B2 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002278797A (ja) 2001-03-16 2002-09-27 Hitachi Ltd セキュリティ診断システムおよびセキュリティ診断方法
JP2004054706A (ja) 2002-07-22 2004-02-19 Sofutekku:Kk セキュリティリスク管理システム、そのプログラムおよび記録媒体
JP2018163537A (ja) 2017-03-27 2018-10-18 日本電気株式会社 情報処理装置、情報処理方法、プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002278797A (ja) 2001-03-16 2002-09-27 Hitachi Ltd セキュリティ診断システムおよびセキュリティ診断方法
JP2004054706A (ja) 2002-07-22 2004-02-19 Sofutekku:Kk セキュリティリスク管理システム、そのプログラムおよび記録媒体
JP2018163537A (ja) 2017-03-27 2018-10-18 日本電気株式会社 情報処理装置、情報処理方法、プログラム

Also Published As

Publication number Publication date
JP2021165998A (ja) 2021-10-14

Similar Documents

Publication Publication Date Title
Sapienza et al. Early warnings of cyber threats in online discussions
EP3588898B1 (en) Defense against apt attack
US11882135B2 (en) Machine-learning based approach for dynamically generating incident-specific playbooks for a security orchestration, automation and response (SOAR) platform
US11831785B2 (en) Systems and methods for digital certificate security
US7530105B2 (en) Tactical and strategic attack detection and prediction
US20200186569A1 (en) Security Rule Generation Based on Cognitive and Industry Analysis
CN113486351A (zh) 一种民航空管网络安全检测预警平台
EP2899665B1 (en) Information processing device, information processing method, and program
EP2348422A1 (en) System and method of blocking malicious web content
US20210297427A1 (en) Facilitating security orchestration, automation and response (soar) threat investigation using a machine-learning driven mind map approach
KR101060612B1 (ko) 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법
Siadati et al. Detecting malicious logins in enterprise networks using visualization
Bates et al. Can data provenance put an end to the data breach?
JP5656266B2 (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
CN116566674A (zh) 自动化渗透测试方法、系统、电子设备及存储介质
Ehis Optimization of security information and event management (SIEM) infrastructures, and events correlation/regression analysis for optimal cyber security posture
Skendžić et al. Management and monitoring security events in a business organization-siem system
US20150222648A1 (en) Apparatus for analyzing the attack feature dna and method thereof
JP7435186B2 (ja) 異常監視支援装置、プログラム及び方法
JP2006350543A (ja) ログ分析装置
CN115913634A (zh) 一种基于深度学习的网络安全异常的检测方法及系统
CN107341396A (zh) 入侵检测方法、装置及服务器
Gavrilovic et al. Snort IDS system visualization interface for alert analysis
Smallman The Effectiveness of Cyber Threat Intelligence in Improving Security Operations
JP2006093832A (ja) 侵入検知システム及び侵入検知プログラム並びに侵入検知情報分析装置及び侵入検知情報分析プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231010

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231011

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231207

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240122

R150 Certificate of patent or registration of utility model

Ref document number: 7435186

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150