JP7435186B2 - 異常監視支援装置、プログラム及び方法 - Google Patents
異常監視支援装置、プログラム及び方法 Download PDFInfo
- Publication number
- JP7435186B2 JP7435186B2 JP2020069808A JP2020069808A JP7435186B2 JP 7435186 B2 JP7435186 B2 JP 7435186B2 JP 2020069808 A JP2020069808 A JP 2020069808A JP 2020069808 A JP2020069808 A JP 2020069808A JP 7435186 B2 JP7435186 B2 JP 7435186B2
- Authority
- JP
- Japan
- Prior art keywords
- investigation
- abnormal
- information
- detailed log
- target candidate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005856 abnormality Effects 0.000 title claims description 72
- 238000012544 monitoring process Methods 0.000 title claims description 60
- 238000000034 method Methods 0.000 title claims description 21
- 238000011835 investigation Methods 0.000 claims description 212
- 230000002159 abnormal effect Effects 0.000 claims description 114
- 239000000284 extract Substances 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 9
- 238000010801 machine learning Methods 0.000 claims description 3
- 238000013473 artificial intelligence Methods 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 41
- 238000013500 data storage Methods 0.000 description 23
- 238000001514 detection method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 235000006481 Colocasia esculenta Nutrition 0.000 description 1
- 240000004270 Colocasia esculenta var. antiquorum Species 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
以下では、本発明に係る異常監視支援装置、プログラム及び方法の実施形態を、図面を参照しながら詳細に説明する。
図1は、実施形態に係る異常監視支援装置の内部構成を示す内部構成図である。
監視対象データ蓄積部11は、ネットワークNT上の各装置(例えば、ファイアウォール2-1、侵入検知装置2-2、プロキシサーバ2-3、ルータ2-4、WEBサーバ2-5等)で発生した時系列のログを監視対象データとして蓄積する。
異常判定部12は、監視対象データ蓄積部11に蓄積されている監視対象データを、予め設定された1又は複数のアルゴリズムを用いて分析して、調査すべき異常な要素を抽出して、調査要素表示部141に与えるものである。
調査対象データ蓄積部13は、異常判定部12により調査すべき異常な要素を含むログを調査対象データとして蓄積するものである。
提示部14は、調査要素表示部141や詳細ログ表示部142が表示画面を生成して提示するものである。
調査要素表示部141は、異常判定部12により抽出された、調査すべき異常は要素を含むデータを表示画面で表示するものである。調査要素表示部141は、調査対象データ蓄積部13から、調査すべき異常な要素を含むデータを読み出し、調査すべき異常な要素を含むデータを用いて、所定の表示形式の表示データを生成して表示する。
詳細ログ管理部15は、ネットワークNT上の各装置のログを管理するものである。詳細ログ管理部15は、調査要素表示部141より、詳細に調査すべき異常な要素を与えられることにより、当該要素に関連するログ情報を詳細ログ表示部142に与える。例えば、詳細に調査すべき要素として、任意の送信元IPアドレスが与えられると、詳細ログ管理部15は、調査対象データ蓄積部13から、当該IPアドレスを送信元として含むログを抽出して、詳細ログ表示部142に与える。
詳細ログ表示部142は、詳細ログ管理部15より与えられたログを表示するものである。監視者は、詳細ログ表示部142の表示画面を通して、抽出された異常な要素の一連の動きを把握することができ、当該要素がどのような状況にあるのか(例えば、悪性サイトにアクセスしている、また例えば、設定ミスやマルウェア感染の疑いがある等)を調査することができる。
コメント履歴管理部16は、詳細ログ表示部142から与えられたコメントを管理するものである。また、コメント履歴管理部16は、調査要素表示部141から詳細に調査すべき要素を与えられることにより、当該要素に関連するコメントを調査要素表示部141へ与える。さらに、コメント履歴管理部16は、詳細ログ表示部142より、検索キーを与えられることにより、当該検索キーを含む過去のコメントの検索結果を詳細ログ表示部142に応答する。
次に、実施形態に係る異常監視支援装置1における動作を説明する。
調査要素表示部141では、異常判定部12からの各調査すべき異常な要素を含む画面を表示する。
監視者により、詳細な調査すべきと判断された要素について、より詳細なログ情報を表示して挙動追跡するために、監視者により詳細ログ表示ボタン505が選択される。
詳細ログ表示部142では、監視者により、抽出された異常な要素に対する所見(コメント)が入力される。
以上のように、この実施形態によれば、調査すべき異常な要素を抽出して提示するシステムにおいて、調査対象となる要素と共に、当該要素に対する過去の調査履歴を提示できる。これにより、複数の調査すべき異常な要素が提示されるときに、どの要素から踏み込んで調査していくべきかの判断を助けることができる。
上記実施形態の説明においても、種々変形実施形態に言及したが、さらに以下に例示するような変形実施形態を挙げることができる。
Claims (8)
- 1又は複数のネットワーク装置から収集した監視対象データから異常な要素を抽出する異常判定手段と、
前記異常な要素に関連付けられた過去の調査結果情報を蓄積する調査結果情報管理手段と、
前記異常判定手段により抽出された前記異常な要素を調査対象候補とし、前記調査対象候補ごとに、前記調査対象候補に対して関連付けられた過去の調査結果情報を含む調査要素情報を提示する調査要素表示手段と、
前記異常な要素を含む詳細ログ情報を管理する詳細ログ管理手段と、
前記調査対象候補ごとに提示された前記調査要素情報の中から、選択された前記調査要素情報の前記異常な要素を含む詳細ログ情報を提示する詳細ログ情報表示手段と
を備え、
前記詳細ログ情報は、調査結果入力部を有し、
前記調査結果入力部が、前記調査対象候補としての前記異常な要素に関連付ける前記調査結果情報として、少なくとも、調査対象としての前記異常な要素と、当該異常な要素に対する監視者の所見を示す調査判断と、調査時期と、調査主体と、調査対応とを含む情報を入力して、前記調査結果情報管理手段に蓄積するものである
ことを特徴とする異常監視支援装置。 - 前記詳細ログ情報が、調査結果検索部を有し、
前記調査結果情報管理手段が、前記調査結果検索部に入力された検索情報を含む過去の調査結果情報を検索して、検索結果を前記調査結果検索部に提示する
ことを特徴とする請求項1に記載の異常監視支援装置。 - 前記調査対象候補の前記要素が、送信元アドレス情報を含むことを特徴とする請求項1又は2に記載の異常監視支援装置。
- 前記調査対象候補の前記要素が、ユーザ識別情報を含むことを特徴とする請求項1又は2に記載の異常監視支援装置。
- 前記調査対象候補の前記要素が、接続先ホスト名を含むことを特徴とする請求項1又は2に記載の異常監視支援装置。
- 前記異常判定手段が、機械学習を用いる手法又は人工知能を用いる手法により、抽出した正解データを一定数与えて学習させることで自動判定するアルゴリズムを利用するものであることを特徴とする請求項1に記載の異常監視支援装置。
- コンピュータを、
1又は複数のネットワーク装置から収集した監視対象データから異常な要素を抽出する異常判定手段と、
前記異常な要素に関連付けられた過去の調査結果情報を蓄積する調査結果情報管理手段と、
前記異常判定手段により抽出された前記異常な要素を調査対象候補とし、前記調査対象候補ごとに、前記調査対象候補に対して関連付けられた過去の調査結果情報を含む調査要素情報を提示する調査要素表示手段と、
前記異常な要素を含む詳細ログ情報を管理する詳細ログ管理手段と、
前記調査対象候補ごとに提示された前記調査要素情報の中から、選択された前記調査要素情報の前記異常な要素を含む詳細ログ情報を提示する詳細ログ情報表示手段と
して機能させ、
前記詳細ログ情報は、調査結果入力部を有し、
前記調査結果入力部が、前記調査対象候補としての前記異常な要素に関連付ける前記調査結果情報として、少なくとも、調査対象としての前記異常な要素と、当該異常な要素に対する監視者の所見を示す調査判断と、調査時期と、調査主体と、調査対応とを含む情報を入力して、前記調査結果情報管理手段に蓄積するものである
ことを特徴とする異常監視支援プログラム。 - 異常監視支援装置が、1又は複数のネットワーク装置から収集した監視データを分析して通常時とは異なる異常を監視する異常監視支援方法であって、
異常判定手段が、1又は複数のネットワーク装置から収集した監視対象データから異常な要素を抽出し、
調査結果情報管理手段が、前記異常な要素に関連付けられた過去の調査結果情報を蓄積し、
調査要素表示手段が、前記異常判定手段により抽出された前記異常な要素を調査対象候補とし、前記調査対象候補ごとに、前記調査対象候補に対して関連付けられた過去の調査結果情報を含む調査要素情報を提示し、
詳細ログ管理手段が、前記異常な要素を含む詳細ログ情報を管理し、
詳細ログ情報表示手段が、前記調査対象候補ごとに提示された前記調査要素情報の中から、選択された前記調査要素情報の前記異常な要素を含む詳細ログ情報を提示し、
前記詳細ログ情報は、調査結果入力部を有し、
前記調査結果入力部が、前記調査対象候補としての前記異常な要素に関連付ける前記調査結果情報として、少なくとも、調査対象としての前記異常な要素と、当該異常な要素に対する監視者の所見を示す調査判断と、調査時期と、調査主体と、調査対応とを含む情報を入力して、前記調査結果情報管理手段に蓄積する
ことを特徴とする異常監視支援方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020069808A JP7435186B2 (ja) | 2020-04-08 | 2020-04-08 | 異常監視支援装置、プログラム及び方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020069808A JP7435186B2 (ja) | 2020-04-08 | 2020-04-08 | 異常監視支援装置、プログラム及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021165998A JP2021165998A (ja) | 2021-10-14 |
JP7435186B2 true JP7435186B2 (ja) | 2024-02-21 |
Family
ID=78022166
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020069808A Active JP7435186B2 (ja) | 2020-04-08 | 2020-04-08 | 異常監視支援装置、プログラム及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7435186B2 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002278797A (ja) | 2001-03-16 | 2002-09-27 | Hitachi Ltd | セキュリティ診断システムおよびセキュリティ診断方法 |
JP2004054706A (ja) | 2002-07-22 | 2004-02-19 | Sofutekku:Kk | セキュリティリスク管理システム、そのプログラムおよび記録媒体 |
JP2018163537A (ja) | 2017-03-27 | 2018-10-18 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
-
2020
- 2020-04-08 JP JP2020069808A patent/JP7435186B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002278797A (ja) | 2001-03-16 | 2002-09-27 | Hitachi Ltd | セキュリティ診断システムおよびセキュリティ診断方法 |
JP2004054706A (ja) | 2002-07-22 | 2004-02-19 | Sofutekku:Kk | セキュリティリスク管理システム、そのプログラムおよび記録媒体 |
JP2018163537A (ja) | 2017-03-27 | 2018-10-18 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP2021165998A (ja) | 2021-10-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Sapienza et al. | Early warnings of cyber threats in online discussions | |
EP3588898B1 (en) | Defense against apt attack | |
US11882135B2 (en) | Machine-learning based approach for dynamically generating incident-specific playbooks for a security orchestration, automation and response (SOAR) platform | |
US11831785B2 (en) | Systems and methods for digital certificate security | |
US7530105B2 (en) | Tactical and strategic attack detection and prediction | |
US20200186569A1 (en) | Security Rule Generation Based on Cognitive and Industry Analysis | |
CN113486351A (zh) | 一种民航空管网络安全检测预警平台 | |
EP2899665B1 (en) | Information processing device, information processing method, and program | |
EP2348422A1 (en) | System and method of blocking malicious web content | |
US20210297427A1 (en) | Facilitating security orchestration, automation and response (soar) threat investigation using a machine-learning driven mind map approach | |
KR101060612B1 (ko) | 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법 | |
Siadati et al. | Detecting malicious logins in enterprise networks using visualization | |
Bates et al. | Can data provenance put an end to the data breach? | |
JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
Ehis | Optimization of security information and event management (SIEM) infrastructures, and events correlation/regression analysis for optimal cyber security posture | |
Skendžić et al. | Management and monitoring security events in a business organization-siem system | |
US20150222648A1 (en) | Apparatus for analyzing the attack feature dna and method thereof | |
JP7435186B2 (ja) | 異常監視支援装置、プログラム及び方法 | |
JP2006350543A (ja) | ログ分析装置 | |
CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
CN107341396A (zh) | 入侵检测方法、装置及服务器 | |
Gavrilovic et al. | Snort IDS system visualization interface for alert analysis | |
Smallman | The Effectiveness of Cyber Threat Intelligence in Improving Security Operations | |
JP2006093832A (ja) | 侵入検知システム及び侵入検知プログラム並びに侵入検知情報分析装置及び侵入検知情報分析プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230207 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231010 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20231011 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231207 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240109 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7435186 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |