JPWO2015141630A1 - 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム - Google Patents

分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム Download PDF

Info

Publication number
JPWO2015141630A1
JPWO2015141630A1 JP2016508718A JP2016508718A JPWO2015141630A1 JP WO2015141630 A1 JPWO2015141630 A1 JP WO2015141630A1 JP 2016508718 A JP2016508718 A JP 2016508718A JP 2016508718 A JP2016508718 A JP 2016508718A JP WO2015141630 A1 JPWO2015141630 A1 JP WO2015141630A1
Authority
JP
Japan
Prior art keywords
analysis
log
analysis rule
unit
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016508718A
Other languages
English (en)
Other versions
JP6190518B2 (ja
Inventor
健介 中田
健介 中田
和憲 神谷
和憲 神谷
毅 八木
毅 八木
佐藤 徹
徹 佐藤
大紀 千葉
大紀 千葉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2015141630A1 publication Critical patent/JPWO2015141630A1/ja
Application granted granted Critical
Publication of JP6190518B2 publication Critical patent/JP6190518B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

ネットワークを介した不正な通信を検出するための通信ログの分析に用いる分析ルールを調整する分析ルール調整装置である。分析ルール調整装置は、ログ取得部と、ログ分析部と、第1の解析部と、を備える。ログ取得部は、防御対象ネットワークを介した通信ログと、マルウェアが発生させる通信ログとを取得する。ログ分析部は、ログ取得部が取得した通信ログを、所定の分析ルールとチューニング条件とに基づき分析する。第1の解析部は、ログ分析部による分析結果を解析して、所定の分析ルールの調整に用いる、チューニング条件を満たすチューニング推奨値を算出する。

Description

本発明は、分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラムに関する。
通信ネットワークが普及するとともに、通信ネットワークを介した各種サービスやインフラストラクチャへのサイバー攻撃の手法は多様化している。
従来、かかるサイバー攻撃の脅威に対処するために設けられ、通信データの入り口で通信を制御するIDS(Intrusion Detection System)やIPS(Intrusion Prevention System)やファイアウォール(Fire Wall: FW)等のセキュリティアプライアンスが知られている。ファイアウォールやIDS/IPSはたとえば、図20に示すように外部ネットワークから内部ネットワークに入来する情報を監視して不正な通信を防御している。
さらに、近年では、同じく図20に示すように、ネットワークアプライアンスやセキュリティアプライアンスのログを収集して、分析ルールを用いて不正な通信の状態(振る舞い)を検出するルールベースの分析技術が知られている。かかる技術では、たとえば、不正なネットワークトラフィックを特定、分析して、不正な通信や挙動を検出するための分析ルールを作成する。そして、作成した分析ルールを用いて通信の振る舞いを監視し、不正な通信等を検出する。
分析ルールを用いた技術では、当該分析ルールに用いるパラメータや閾値によって検出結果が左右される。このため、誤検出を抑制する適正なパラメータや閾値を設定することが重要である。
中田 健介「ネットワークログ分析による不正通信検出手法」、電子情報通信学会、2013年総合大会
しかしながら、従来の分析ルールを用いた不正通信の検出技術では、分析ルールの妥当性の検証や分析ルールに用いるパラメータに設定する閾値の調整(パラメータチューニング)は、実際のネットワーク環境に基づいて実行されている。すなわち、実際のネットワーク環境に分析ルールを適用し、取得される結果を分析して、分析ルールの妥当性の検証やパラメータに設定する閾値の微調整を実行する。
かかる調整手法では、実際に不正な通信に当該分析ルールを適用した場合に生じうる見逃しや誤検出の程度が判断できない。このため、分析ルールのパラメータに最適な閾値を設定できない場合がある。
また、上記の手法では、オペレータが実際のネットワーク環境に分析ルールを適用した結果得られるデータを逐次確認しつつ分析ルールのパラメータに設定する閾値を調整する。このため、調整に時間や人手がかかる。
開示の技術は、上記に鑑みてなされたものであって、自動的かつ効率的に分析ルールの妥当性を検証し分析ルールを適正化することができる分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラムを提供することを目的とする。
開示する分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラムは、ネットワークを介した不正な通信を検出するための通信ログの分析に用いる分析ルールを調整するものであって、防御対象ネットワークを介した通信ログと、マルウェアが発生させる通信ログとを取得し、取得した通信ログを、所定の分析ルールとチューニング条件とに基づき分析し、当該分析結果を解析して、所定の分析ルールの調整に用いる、チューニング条件を満たすチューニング推奨値を算出することを特徴とする。
開示する分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラムは、自動的かつ効率的に分析ルールの妥当性を検証し分析ルールを適正化することができるという効果を奏する。
図1は、第1の実施形態に係る分析ルール調整システムの概要を示す図である。 図2は、第1の実施形態に係る分析ルール調整システムが処理するログに含まれる情報を説明するための図である。 図3は、第1の実施形態に係る分析ルール調整システムが処理する良性ログの一例を示す図である。 図4は、第1の実施形態に係る分析ルール調整システムが処理する悪性ログの一例を示す図である。 図5は、第1の実施形態に係るログ収集蓄積装置により正規化されたログの一例を示す図である。 図6は、第1の実施形態に係る分析ルールの一例を説明するための図である。 図7は、第1の実施形態に係るチューニング設定情報の一例を説明するための図である。 図8は、第1の実施形態に係るログ分析の結果として得られる分析結果の一例を説明するための図である。 図9は、第1の実施形態に係るログ収集蓄積処理の流れの一例を示すフローチャートである。 図10は、第1の実施形態に係る分析ルール調整処理の流れの一例を示すフローチャートである。 図11は、第2の実施形態に係る分析ルール調整システムの概要を示す図である。 図12は、第2の実施形態に係るログ分析の結果として得られる分析結果の一例を説明するための図である。 図13は、第2の実施形態にかかるチューニングレポートの一例を説明するための図である。 図14は、第2の実施形態にかかる分析ルール記憶部に記憶される分析ルールセットの一例を説明するための図である。 図15は、第2の実施形態に係る分析ルール調整処理の流れの一例を示すフローチャートである。 図16は、第2の実施形態に係る推奨ルールセット作成処理について説明するための図である。 図17は、第3の実施形態に係る分析ルール調整システムの概要を示す図である。 図18は、第3の実施形態に係る分析ルール調整処理の流れの一例を示すフローチャートである。 図19は、分析ルール調整プログラムを実行するコンピュータを示す図である。 図20は、従来技術に係る不正通信防御手法の一例を説明するための図である。
以下に、開示する装置および方法の実施形態を図面に基づいて詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。また、各実施形態は適宜組み合わせることができる。
(第1の実施形態)
第1の実施形態にかかる分析ルール調整システム1(図1参照)は、悪性ログおよび良性ログの2種類の通信ログを収集し、双方に対して所定の分析ルールを適用することで、当該分析ルールを用いた場合の不正通信の検出精度を算出する。そして、分析ルール調整システム1は、算出される検出精度が、予め定めた許容検出精度を満足する値となるまで、分析ルールのパラメータ閾値を推移させる。このとき、分析ルール調整システム1は、予め定められた閾値の範囲内でパラメータ閾値を推移させてもよい。分析ルール調整システム1は、検出精度が予め定めた条件、たとえば許容検出精度を満足する値となったときの分析ルールのパラメータの閾値をチューニング推奨値とする。そして、分析ルール調整システム1は、分析ルールをチューニング推奨値に基づいて更新する。なお、分析ルールとチューニング条件の設定によっては、分析ルール調整システム1による調整で条件を満たす分析ルールを得られないことも考えられる。この場合は、さらにオペレータが手動で再調整を行ってもよい。また、当該分析ルールは使用しないように設定してもよい。
[良性ログと悪性ログ]
分析ルールの調整に用いる悪性ログおよび良性ログについて説明する。まず、一般的なログの概要について説明する。
ログにはたとえば、図2に示すような情報が含まれる。図2は、第1の実施形態に係る分析ルール調整システム1が処理するログに含まれる情報を説明するための図である。図2に示すように、ログには、「タイムスタンプ」、「LogSource」、「送信元IPアドレス」、「送信元ポート番号」、「宛先IPアドレス」、「宛先ポート番号」等の情報が含まれる。また、ログには、「通信プロトコル名」、「判定結果」、「送信バイト数」、「受信バイト数」、「URL」、「メソッド名」、「UserAgent」、「ステータスコード」、「継続時間」、「通信方向」等の情報が含まれる。
図2に示すように、「タイムスタンプ」とは、当該ログが取得された時刻を示す情報である。また、「LogSource」とは、当該ログを記録したデバイスごとのユニークな識別子(ID:Identifier)である。「送信元IPアドレス」とは、当該通信の送信元IPアドレスを示す情報である。「送信元ポート番号」とは、当該通信の送信元ポート番号を示す情報である。「宛先IPアドレス」とは、当該通信の宛先IPアドレスを示す情報である。「宛先ポート番号」とは、当該通信の宛先ポート番号を示す情報である。「通信プロトコル名」とは、当該通信の通信プロトコル名を示す情報である。「判定結果」とは、当該通信のデバイスにおける判定結果を示す情報である。「送信バイト数」とは、当該通信の送信バイト数を示す情報である。「受信バイト数」とは、当該通信の受信バイト数を示す情報である。「URL」とは、当該通信がHTTP通信だった場合の宛先URLを示す情報である。「メソッド名」とは、当該通信がHTTP通信だった場合のHTTPメソッド名を示す情報である。「UserAgent」とは、当該通信がHTTP通信だった場合のHTTPユーザエージェント名である。「ステータスコード」とは、当該通信がHTTP通信だった場合のHTTPステータスコードを示す情報である。「継続時間」とは、当該通信におけるセッション継続時間を示す情報である。「通信方向」とは、当該通信における通信の方向を示す情報である。
悪性ログおよび良性ログのいずれも、これらの情報の少なくとも一部を含む。ただし、図2に示す情報はログに含まれる情報の一例にすぎず、悪性ログおよび良性ログのいずれも、これらの情報のいくつかを含まなくてもよいし、図2に示す以外の情報を含んでもよい。
良性ログとは、実際に分析ルールを適用する防御対象ネットワークの通信ログである。具体的には、防御対象ネットワークのWeb Proxyに代表されるネットワークアプライアンスやFW、IDS、IPSに代表されるセキュリティアプライアンスから取得される通信ログおよび検査結果ログを指す。
図3は、第1の実施形態に係る分析ルール調整システム1が処理する良性ログの一例を示す図である。図3に示すように、良性ログはたとえば、「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「URL」等の情報を含む。
悪性ログとは、別途マルウェアを準備しておき、当該マルウェアを動作させて外部ネットワークたとえばインターネット上のWebサーバ等との通信を発生させて得られる通信ログを指す。悪性ログも、良性ログと同様に、Web ProxyやFW等の装置を通過させて収集する。
図4は、第1の実施形態に係る分析ルール調整システム1が処理する悪性ログの一例を示す図である。図4に示すように、悪性ログはたとえば、「マルウェア識別子」、「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「URL」等の情報を含む。「マルウェア識別子」は、そのログに係るトラヒックを発生させている検体の種類を示す情報である。
従来技術においては、分析ルールを調整(チューニング)する際には、当該分析ルールを実際に制御対象とするネットワークの通信ログに適用して微調整を行っていた。しかし、このような手法を採用すると、検出精度の変化を正確に把握することができず、調整の精度を判定することが困難である。そこで、第1の実施形態にかかる分析ルール調整システム1では、実際に制御対象とするネットワークの通信ログである良性ログに分析ルールを適用して分析するだけでなく、悪性ログにも分析ルールを適用して分析を実行し、検出精度の正確な判定を実現する。
[分析ルールおよびパラメータ]
次に分析ルールおよびパラメータについて説明する。上述のように、分析ルールは、マルウェアの行う通信ログの分析に基づいて、不正な通信や挙動を検出するために作成され、通信の振る舞いの監視および不正な通信の検出に利用される。
たとえば、分析ルールとして、FWのログに基づいて、5-tupleを中心としたレイヤ4までの情報を基に分析するIPルールを作成することができる。また、Web Proxyのログからは、HTTP通信に含まれるURLやUA(UserAgent)の情報を基に分析を行うHTTP系ルールを作成することができる。
具体的にはたとえば、マルウェアが攻撃者のサーバとの疎通確認のため定期的に同一条件の通信を複数行う点に着目して、一つの送信元IPアドレスから一定数以上、同一条件の通信を行っている端末を検出する回数カウント型ルールがある。また、マルウェアが侵入先ネットワーク内の内部探索や、攻撃者のサーバとの間で疎通確認を行う際に通信条件の中で特定の項目のみを変化させて類似した通信を行う点に着目し、一つの送信元IPアドレスから、特定項目におけるバリエーション数が一定数以上の通信を行っている端末を検出する種類カウント型ルールがある。さらに、一定の時間内でマルウェアが行う通信に頻出する特定項目の組み合わせや順序に着目し、そのパターンに類似した通信を行っている端末を検出するパターン型ルールがある。なお、このような分析ルールの種類は一例にすぎない。この他にも、マルウェアの行う通信から抽出した特徴に基づいて種々の分析ルールを作成することができる。
ここで、分析ルールにおいては、任意の送信元IPアドレスにおいて所定の送信元ポート番号を用いた通信回数や、一定時間内の同一通信先へのコネクション回数等をパラメータとし、当該送信元IPアドレスを持つ端末がマルウェアに感染していると判定するか否かを決めるための閾値を設定する。たとえば、任意の送信元IPアドレスが行う通信の宛先IPアドレスの中に悪性ログで頻出する宛先IPアドレスの出現回数をパラメータとし、1時間に10回を閾値として、当該宛先IPアドレスが1時間に10回以上現れた場合に不正通信として検出する、等の分析ルールの設定が考えられる。
[パラメータチューニングおよびチューニング条件]
このように設定した分析ルールを防御対象ネットワークに適用する際、パラメータチューニングを行う。パラメータチューニングとは、分析ルールのパラメータの閾値を適正に設定するための調整をいう。また、本実施の形態では、パラメータチューニングにおいて予めチューニング条件を定めておく。チューニング条件とはたとえば、「誤検出率の許容値を0.5%以下とする」、「閾値の調整は0.5間隔で行う」「閾値は1〜100の範囲内とする」等である。分析ルール調整システム1は、チューニング条件に基づいてログの分析ルールをチューニングし分析ルールのパラメータの閾値を適正化する。
以下、上に説明した概念を前提として、実施形態について説明する。
[第1の実施形態に係る分析ルール調整システムの構成の一例]
図1は、第1の実施形態に係る分析ルール調整システム1の概要を示す図である。第1の実施形態に係る分析ルール調整システム1は、ログ収集蓄積装置10と、分析ルール調整装置20と、を備える。
分析ルール調整システム1は、たとえば、図20に示すログ収集・分析装置と同様に、内部ネットワークに接続されて、通信の情報を収集、分析し、不正な通信を防御する。また、たとえば、分析ルール調整システム1は、IPパケットやイーサネット(登録商標)フレームを伝送する外部ネットワークに接続され、通信のフィルタリングのためにWeb ProxyやFWを備えるものとする。ただし、分析ルール調整システム1自体は外部ネットワークに接続せず、外部ネットワークに接続される他の装置から悪性ログおよび良性ログのデータを取得するものとしてもよい。また、分析ルール調整システム1は、フロー計測技術を用いてネットワークの品質を管理する管理装置として実現してもよい。たとえば、分析ルール調整システム1は、レイヤ2ブリッジネットワークと、パケットを送受信する転送装置から構成されるレイヤ3ネットワークを監視し、品質の劣化を検出する管理装置等に組み入れて実現してもよい。
[ログ収集蓄積装置10の構成]
ログ収集蓄積装置10は、Web ProxyやFW等の装置から悪性ログおよび良性ログを取り込み収集する。また、ログ収集蓄積装置10は、収集した悪性ログおよび良性ログをそれぞれ正規化して格納する。
ログ収集蓄積装置10は、ログ収集部110と、ログ正規化部120と、ログ記憶部130と、を有する。ログ収集部110は、Web ProxyやFWから悪性ログおよび良性ログを収集する。このとき、ログ収集部110は、予めログ取得部210(後述)やログ分析部220(後述)等からのコマンドを受けて、収集するログの形式や内容を選択するように設定されてもよい。また、ログ収集部110は予め定められた条件を満たすログのみを取得するように構成してもよい。たとえば、ログ収集部110は、所定期間内のタイムスタンプを有するログのみを取得するように構成してもよい。悪性ログおよび良性ログの2種類のログを取得できるように構成されれば、ログ収集部110の具体的態様は特に限定されない。
ログ正規化部120は、ログ収集部110が収集したログを整形して、後続処理に適した形式に整理する。たとえば、ログ正規化部120は、図2に示した項目ごとに情報を抽出し、図5に示すような形式にログを整理する。図5は、第1の実施形態に係るログ収集蓄積装置10により正規化されたログの一例を示す図である。
ログ記憶部130は、ログ正規化部120が正規化したログを記憶する。たとえば、ログ記憶部130は、FW又はWeb Proxyを通過したパケットの5-tupleの情報(宛先IPアドレス、送信元IPアドレス、宛先ポート、送信ポート及びプロトコル)や通信の接続時間、接続結果、パケットの送受信サイズ、アクセス先のURLの情報、タイムスタンプを含む情報が正規化されたログの情報を記憶する。
[分析ルール調整装置20の構成]
分析ルール調整装置20は、ログ収集蓄積装置10が収集し蓄積したログに基づき、分析ルールを調整する。具体的には、分析ルール調整装置20は、分析ルールのパラメータに設定する閾値を調整するパラメータチューニングを実行する。
分析ルール調整装置20は、ログ取得部210と、ログ分析部220と、分析結果解析部230と、フィードバック部240と、を有する。また、分析ルール調整装置20は、分析ルール記憶部251と、チューニング設定情報記憶部252と、分析結果記憶部253と、を有する。
ログ取得部210は、ログ収集蓄積装置10のログ記憶部130に対して、ログデータ要求を送信する。そして、ログ取得部210は、ログ記憶部130からログを取得する。ログ取得部210がログデータ要求を送信するタイミングは特に限定されない。たとえば、ログ取得部210は、予め定めた時間が経過するごとにログデータ要求を送信するように設定してもよい。また、分析ルール調整システム1が外部からオペレータの指示入力を受けたときに、ログ取得部210がログデータ要求を送信するように構成してもよい。
ログ分析部220は、ログ取得部210が取得したログに対して所定の分析ルールおよびチューニング条件を適用して分析を行う。分析ルールは、分析ルール記憶部251、チューニング条件はチューニング設定情報記憶部252に記憶される(後述、図6、7参照)。
たとえば、ログ分析部220は、分析ルールとして、マルウェアに感染していると推定される端末の送信元IPアドレスを検出する、というルールを適用する。たとえば、ログ分析部220は、5分間に同一の宛先IPアドレスに対しての通信回数が「X」回を超える送信元IPアドレスを持つ端末をマルウェアに感染している端末として検出する、という分析ルールを適用する。この分析ルールにおいては、ある送信元IPアドレスにおける特定の宛先IPアドレスに対する通信回数がパラメータであり、「X」が閾値である。
このとき、ログ分析部220が適用するチューニング条件が、「閾値は10〜50の範囲内とする」、「閾値の調整は2間隔で行う」、「誤検出率の許容値を0.5%とする」というものであったとする。この場合、ログ分析部220は、まず、閾値すなわち「X」を「10」として分析ルールを適用してログを分析する。そして、ログ分析部220は、分析結果に基づき、良性ログについては誤検出率、悪性ログについては検出率を算出する。
ここで、誤検出率は、ログ分析部220が良性ログを分析して得た、分析ルールによって検出された送信元IPアドレスの数を分子とし、当該良性ログに含まれる全送信元IPアドレスの数を分母として得られる値である。また、検出率は、ログ分析部220が悪性ログを分析して得た、分析ルールによって検出された送信元IPアドレスの数を分子とし、当該悪性ログに含まれる全送信元IPアドレスの数を分母として得られる値である。なお、悪性ログに含まれる送信元IPアドレスはすべて、マルウェアに感染した端末の持つ送信元IPアドレスである。
ログ分析部220は、「X=10」の場合の誤検出率および検出率を算出すると、次に、上記チューニング条件に従い「X=12」の場合の誤検出率および検出率を算出する。そして、ログ分析部220は、「X」の値を2ずつずらしながら、予め定められた閾値の範囲すなわち「10〜50」の「X」について誤検出率と検出率とを算出する。ログ分析部220は、こうして得た分析結果を分析結果解析部230に出力する。また、分析結果は分析結果記憶部253に記憶される(後述、図8参照)。
分析結果解析部230は、ログ分析部220が出力した分析結果を解析して、チューニング条件をもっとも満足させる閾値を選択してチューニング推奨値として出力する。たとえば、図6乃至図8に示す例の場合、分析結果解析部230は、誤検出率が0.5%以下となる閾値のうち、検出率が最も高くなる閾値を選択する。分析結果解析部230によるチューニング推奨値の選択態様は特に限定されない。
フィードバック部240は、分析結果解析部230が選択したチューニング推奨値に基づき、分析ルール記憶部251に記憶された分析ルールの設定を更新する。たとえば、分析結果解析部230が「ルール番号、001」の分析ルールについて、チューニング推奨値として「30」を選択したとする。この場合、フィードバック部240は、分析結果解析部230からチューニング推奨値「30」を受信する。そして、フィードバック部240は、受信したチューニング推奨値「30」に基づいて分析ルール記憶部251中のデータを更新する。
なお、図示しないが、分析ルール調整システム1によって調整された分析ルールは、分析ルール調整システム1に接続された他の通信監視装置等によって、通信の振る舞いを分析するために利用される。また、分析ルールを利用してネットワークを監視する装置等を分析ルール調整システム1と一体的に構成してもよい。
[各種記憶部に記憶される情報]
分析ルール記憶部251と、チューニング設定情報記憶部252と、分析結果記憶部253と、はそれぞれ図6乃至図8に示すような情報を記憶する。
図6は、第1の実施形態に係る分析ルールの一例を説明するための図である。図6に示すような分析ルールの情報は、分析ルール記憶部251に記憶される。図6の例では、「ルール番号、001」の分析ルールの内容が、「一つの宛先に対して一定期間で多数の通信を行っている送信元IPアドレスを検出」することであることが示されている。また、「ルール番号、001」の分析ルールは、「5分間の出現回数」をパラメータとして用いることが示されている。また、この時点でパラメータに対して適用されている「適用閾値」が「40」であることが示されている。
図7は、第1の実施形態に係るチューニング設定情報の一例を説明するための図である。図7に示すようなチューニング条件(チューニング設定情報)の情報は、チューニング設定情報記憶部252に記憶される。図7の例では、「条件番号、001」のチューニング設定情報として、「閾値は10〜50の範囲内とする」、「閾値の調整は2間隔で行う」、「誤検出率の許容値を0.5%以下とする」ことが記憶されている。また、この「条件番号、001」のチューニング条件は、ルール番号「001」の分析ルールに適用されることが示されている。
図8は、第1の実施形態に係るログ分析の結果として得られる分析結果の一例を説明するための図である。図8に示すような分析結果は、分析結果記憶部253に記憶される。図8の例では、「適用ルール番号、001」かつ、「チューニング設定条件、001」の場合の分析結果が示されている。すなわち、「ルール番号、001」の分析ルールを用いて、チューニング条件のうち「条件番号、001」のチューニング条件を適用した場合の分析結果が示されている。具体的には、分析ルールのパラメータである「5分間の出現回数」を「10」、「12」、「14」等とした場合に算出される「誤検出率」および「検出率」が示されている。
なお、図6乃至図8には特定の分析ルール、チューニング条件および分析結果に合わせた形式で情報を示すが、他の形式で分析ルール、チューニング条件および分析結果を記憶してもよい。
また、図1に示す各種記憶部は、例えば、ハードディスク、光ディスクなどの記憶装置、または、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)などの半導体メモリ素子であり、分析ルール調整システム1において処理される各種データおよびプログラムなどを記憶する。なお、図1では、各記憶部はそれぞれ別の構成要素として図示するが、他の記憶部と統合してもよい。
[第1の実施形態におけるログ収集蓄積処理の流れの一例]
図9は、第1の実施形態に係るログ収集蓄積処理の流れの一例を示すフローチャートである。図9を参照して、第1の実施形態に係るログ収集蓄積処理の流れの一例について説明する。
まず、ログ収集蓄積装置10のログ収集部110は、Web ProxyやFWから良性ログおよび悪性ログを取得する(ステップS901)。ログ収集部110は、収集したログを順次ログ正規化部120に渡す。ログ正規化部120は、収集されたログを後続処理に適した形式に整形する正規化を実行する(ステップS902)。正規化されたログはログ記憶部130に格納される(ステップS903)。これでログ収集蓄積処理は終了する。なお、ログ収集蓄積処理は継続的に実行され、逐次ログが蓄積されていくものとする。ただし、悪性ログを発生させるマルウェアの設定等に応じて、ログ分析部220や他の機能部から指示を受けることによってログ収集蓄積処理が開始し、指示によって特定された時刻に処理を終了するように構成してもよい。
[第1の実施形態における分析ルール調整処理の流れの一例]
図10は、第1の実施形態に係る分析ルール調整処理の流れの一例を示すフローチャートである。図10を参照し、第1の実施形態に係る分析ルール調整処理の流れの一例について説明する。
まず、分析ルール調整処理が開始すると、ログ取得部210がログ記憶部130に対してログデータ要求を送信する。ログ記憶部130は、ログデータ要求に応じてログをログ取得部210に送信する(ステップS1001)。
ログ取得部210は受信したログをログ分析部220に渡す。ログ分析部220は、所定の分析ルールとチューニング条件に基づき、ログを分析する(ステップS1002)。具体的には、ログ分析部220は、チューニング条件によって設定された閾値の範囲内でパラメータを推移させつつ、分析ルールによって不正な通信を検出する。ログ分析部220は、分析ルールによる不正な通信の検出を、良性ログおよび悪性ログのそれぞれについて実行する。次に、ログ分析部220は、すべての閾値についてログの分析が完了したか否かを判定する(ステップS1003)。まだすべての閾値についてログの分析が完了していないと判定した場合(ステップS1003、否定)、ログ分析部220は未分析の閾値を選択してさらにログ分析を続ける。すべての閾値についてログの分析が完了したと判定した場合(ステップS1003、肯定)、ログ分析部220は、取得した分析結果を出力する(ステップS1004)。
出力された分析結果は、分析結果解析部230に渡される。分析結果解析部230は、チューニング条件を参照しつつ、分析結果を解析し、チューニング推奨値を選択する(ステップS1005)。たとえば、チューニング条件で「誤検出率0.5%以下」と指定されていれば、誤検出率が0.5%以下となる閾値のうち、検出率が最も高くなる閾値を選択する等である。
分析結果解析部230は選択したチューニング推奨値をフィードバック部240に送信する。フィードバック部240は、チューニング推奨値に基づき、分析ルール記憶部251に記憶された分析ルールの適用閾値を更新する(ステップS1006)。これによって分析ルール調整処理が終了する。
[第1の実施形態の効果]
上記のように、第1の実施形態に係る分析ルール調整システム1は、ネットワークを介した不正な通信を検出するための通信ログの分析に用いる分析ルールを調整する。また、分析ルール調整システム1は、防御対象ネットワークを介した通信ログと、マルウェアが発生させる通信ログとを取得し正規化して格納するログ格納装置と、ログ格納装置に格納される通信ログを分析して分析ルールを調整する分析ルール調整装置と、を備える。分析ルール調整装置は、ログ格納装置から通信ログを取得するログ取得部と、ログ取得部が取得した通信ログを、所定の分析ルールとチューニング条件に基づき分析するログ分析部と、ログ分析部による分析結果を解析して、所定の分析ルールの調整に用いる、チューニング条件を満たすチューニング推奨値を算出する第1の解析部(分析結果解析部)と、を備える。このため、分析ルール調整システム1は、自動的かつ効率的に分析ルールの妥当性を検証し分析ルールを適正化することができる。
また、分析ルール調整システム1は、悪性ログおよび良性ログの双方に基づいて分析ルールを調整するため、より正確な誤検出率および検出率に基づいた調整を実現することができ、分析ルールを適正化することができる。また、分析ルール調整システム1は、検出率と誤検出率との相関関係を把握しながらパラメータチューニングを実行することができる。また、分析ルール調整システム1は、悪性ログを利用するため、分析ルールの妥当性の検証を精度高く実施することができる。
また、分析ルール調整システム1は、チューニング条件において定められた閾値範囲を分析対象として誤検出率および検出率を算出する。このため、不要な閾値範囲等については分析を行う必要がなく、処理を効率化することができる。また、分析する閾値の間隔についても、チューニング条件において設定することができるため、分析ルール調整システム1はさらに不要な処理の手間を省き、処理を効率化することができる。
また、分析ルール調整システム1は、分析結果解析部が算出するチューニング推奨値に基づき、所定の分析ルールを更新するフィードバック部をさらに備える。このため、分析ルール調整システム1は、良性ログおよび悪性ログの双方の分析結果にもとづいて算出したチューニング推奨値に基づき分析ルールを、対象ネットワークに適した内容とすることができる。このため、分析ルール調整システム1は、各ネットワークに適したより精度の高い分析ルールを作成することができる。
[第1の実施形態の変形例]
なお、上記第1の実施形態において、同時に複数の分析ルールのパラメータに設定する閾値を調整するようにしてもよい。また、たとえば、複数の分析ルールによる分析を並行して実行し、各々について誤検出率および検出率を算出して、最適な閾値を算出するようにしてもよい。この場合、分析ルール調整システム1は、並行して複数のチューニング推奨値を算出することになる。
本変形例のように、分析ルール調整システムは並行して複数の分析ルールのパラメータチューニングを実行することにより、さらに処理の効率を向上させることができる。
(第2の実施形態)
第1の実施形態にかかる分析ルール調整システム1は、所定の分析ルールおよびチューニング条件に基づいてログを分析し、分析結果を解析してチューニング推奨値を選択し、チューニング推奨値に基づいて分析ルールを更新した。これに対して、第2の実施形態にかかる分析ルール調整システム2は、複数の分析ルールおよびチューニング条件に基づいてログを分析した分析結果を取得し、複数の分析ルール間で調整を行う。すなわち、第2の実施形態にかかる分析ルール調整システム2は、分析ルールの組に含まれる各分析ルールに対するチューニング推奨値と、当該チューニング推奨値を適用した場合に検知される検体を識別する検体識別情報とを取得する。そして、第2の実施形態にかかる分析ルール調整システム2は、チューニング推奨値および検体識別情報に基づき、分析ルールセットに含まれる分析ルールを削減する調整を行い、分析ルールセットを更新する。なお、分析ルールセットとは、分析に使用する複数の分析ルールの組み合わせを指す。
第2の実施形態にかかる分析ルール調整システム2では、分析結果として、所定の分析ルールセットに含まれる各分析ルールおよびチューニング条件に基づいてログを分析して検知された検知検体を識別する情報である検体識別情報も出力する。検知検体とは、ログを分析した結果として検知されたマルウェアに感染した端末を指す。検体識別情報とはたとえば、ログを分析した結果として検知されたマルウェアに感染した端末の送信元IPアドレスである。そして、分析ルール調整システム2は、所定の分析ルールセットに含まれる各分析ルールの検体識別情報を所定の条件に基づいて分析し、分析ルールセットに含まれる分析ルールの数を削減する。
たとえば、各分析ルールによって検知された検知検体を相互に比較し、他の分析ルールによって検知された検知検体と同じ検知検体しか検知していない分析ルールがあれば、分析ルール調整システム2は、当該分析ルールを分析ルールセットから除外する。またたとえば、分析ルール調整システム2は、分析ルールセット全体によって検知される検知検体中、検知している検体の割合が閾値より少ない分析ルールを分析ルールセットから除外する。
[第2の実施形態にかかる分析ルール調整システム2の構成の一例]
図11は、第2の実施形態に係る分析ルール調整システム2の概要を示す図である。分析ルール調整システム2の構成は概ね、第1の実施形態に係る分析ルール調整システム1と同様である。以下の説明において、第1の実施形態と同様の構成および機能については説明を省略する。
分析ルール調整システム2は、ログ収集蓄積装置10と分析ルール調整装置20Aとを備える。ログ収集蓄積装置10の構成および機能は、第1の実施形態と同様である。
分析ルール調整装置20Aは、ログ取得部210と、ログ分析部220Aと、分析結果解析部230Aと、フィードバック部240Aと、を有する。分析ルール調整装置20Aはさらに、レポート解析部260Aを備える。また、分析ルール調整装置20Aは、分析ルール記憶部251Aと、チューニング設定情報記憶部252Aと、分析結果記憶部253Aと、を有する。
ログ取得部210の構成および機能は、第1の実施形態のログ取得部210と同様である。
ログ分析部220Aの構成および機能も、第1の実施形態のログ分析部220と同様である。ただし、ログ分析部220Aはさらに、分析ルール記憶部251Aから分析ルールセットの入力を受けて、分析ルールセットに含まれる複数の分析ルールに基づく通信ログの分析を行う。また、ログ分析部220Aは、チューニング設定情報記憶部252Aから複数の分析ルールに対するチューニング設定情報すなわちチューニング条件を読み出して分析に使用する。
さらに、ログ分析部220Aは、複数の分析ルールをそれぞれ適用した分析結果をまとめて出力する。また、ログ分析部220Aは、各分析ルールおよびチューニング条件に基づいて分析した結果、検知される検体の情報を出力する。すなわち、ログ分析部220Aは、所定の分析ルールおよびチューニング条件によって検知される、マルウェアに感染した端末を一意に識別するための検体識別情報を、当該所定の分析ルールおよびチューニング条件に対応付けて出力することができる。
図12は、第2の実施形態に係るログ分析の結果として得られる分析結果の一例を説明するための図である。図12の例では、「001」で識別される分析ルールと「001」で識別されるチューニング条件に対応付けて、「適用閾値、10」、「誤検出率、50%」、「検出率、20%」が記憶されている。さらに、「検出検体、51234、50032、34567」、「マルウェア識別子、M100」が記憶されている。これは、分析ルール「001」とチューニング条件「001」を使用してログを分析した場合に検出された検体は、「51234、50032、34567」の検体識別情報によって識別される検体すなわち端末であることを示す。また、検出された検体は、「M100」で識別される種類の検体であることを示す。マルウェア識別子はたとえば、図4に示す悪性ログの例に示すように、ログに含まれる情報から取得される。
このように、第2の実施形態においては、ログ分析部220Aはログ分析の結果に、マルウェアに感染した端末として検知された検体の検体識別情報およびマルウェアの情報を含めて出力する。出力された分析結果は、分析結果記憶部253Aに記憶される。
分析結果記憶部253Aの構成および機能も、分析結果記憶部253と同様である。ただし、分析結果記憶部253Aは、上記のとおり、ログ分析部220Aが出力する検体識別情報およびマルウェア識別子も併せて分析結果として記憶する。
分析結果解析部230Aは、第1の実施形態の分析結果解析部230と同様の構成および機能を有する。すなわち、分析結果解析部230Aは、分析結果記憶部253Aに記憶される、所定の分析ルールセットに基づく分析結果を解析し、各分析ルールに対するチューニング推奨値を算出する。そして、分析結果解析部230Aは、チューニングレポートとして、算出したチューニング推奨値と当該チューニング推奨値を適用した場合に検知される検体識別情報とを出力する。
分析結果解析部230Aが出力するチューニングレポートの一例を図13に示す。図13は、第2の実施形態にかかるチューニングレポートの一例を説明するための図である。図13に示すように、第2の実施形態にかかるチューニングレポートは、チューニング推奨値と、検体識別情報と、マルウェア識別子と、を含む。たとえば、適用した分析ルールの番号「013」とチューニング設定条件「015」に対応付けて、当該分析ルールについて算出されたチューニング推奨値「30」が出力される。また、チューニング推奨値「30」を適用した場合の誤検出率「0.1%」、検出率「70%」が出力される。さらに、チューニング推奨値「30」を適用したときに検知された検体の検出検体(検体識別情報)「51234,50032,34567」とマルウェア識別子「M110」が出力される。このように、第2の実施形態の分析結果解析部230Aは、各分析ルールについて単にチューニング推奨値を算出するだけでなく、当該チューニング推奨値を適用した場合に検知される検体の情報も出力する。
レポート解析部260Aは、分析結果解析部230Aが出力したチューニングレポートの入力を受け、チューニングレポートを解析することで分析ルールセットに含まれる分析ルールの数を削減した推奨ルールセットを出力する。レポート解析部260Aの処理の詳細は後述する。
フィードバック部240Aの構成および機能は、第1の実施形態のフィードバック部240と同様である。ただし、フィードバック部240Aは、分析ルール記憶部251Aに記憶される分析ルール個々の更新を行うのではなく、分析ルールセットの更新を行う。すなわち、フィードバック部240Aは、推奨ルールセットに基づき、分析ルール記憶部251Aに記憶される分析ルールセットを更新する。
分析ルール記憶部251Aは、第1の実施形態にかかる分析ルール記憶部251が記憶する情報(図6参照)に加えて、分析ルールセットの情報を記憶する。たとえば、分析ルール記憶部251Aは、所定のネットワーク環境において適用する分析ルールセットを、当該分析ルールセットを識別する識別子とともに記憶する。また、当該分析ルールセットについて適用する閾値を記憶する。
図14は、第2の実施形態にかかる分析ルール記憶部251Aに記憶される分析ルールセットの一例を説明するための図である。図14に示すように、分析ルール記憶部251Aには、「セット番号」、「ルールセット」、「閾値」、「適用環境」が記憶される。「セット番号」は分析ルールセットを一意に識別するための識別子である。「ルールセット」は、分析ルールセットに含まれる分析ルールを特定する情報である。「閾値」は、分析ルールセットに含まれる各分析ルールについて適用する閾値の値である。「適用環境」は、当該分析ルールセットを使用するネットワーク環境等の環境を示す。
たとえば、図14の例では、「セット番号、001」に対応付けて、「ルールセット、001,005,110」、「閾値、10,5,1000」、「適用環境、NW005」が記憶される。これは、「001,005,110」で識別される3つの分析ルールを含む分析ルールセット「001」について、各分析ルールの閾値が「10,5,1000」と設定されていることを示す。また、分析ルールセット「001」は「NW005」で識別されるネットワークに適用されることを示す。
チューニング設定情報記憶部252Aに記憶される情報は、第1の実施形態のチューニング設定情報記憶部252に記憶される情報と同様である。
分析結果記憶部253Aに記憶される分析結果は上述の通り、第1の実施形態の分析結果に加えて、検体識別情報とマルウェア識別子を含む。その他の点では、第1の実施形態と同様である。
[第2の実施形態における分析ルール調整処理の流れの一例]
図15は、第2の実施形態に係る分析ルール調整処理の流れの一例を示すフローチャートである。図15を参照して、第2の実施形態に係る分析ルール調整処理の流れの一例を説明する。
まず、ログ取得部210がログを取得する(ステップS1501)。そして、ログ分析部220Aが所定の分析ルールセットおよびチューニング条件に基づきログを分析する(ステップS1502)。ログ分析部220Aは、分析ルール各々について分析を行うのではなく分析ルールセットに含まれる複数の分析ルールについてまとめて分析を実行する点が、第1の実施形態と異なる。
そして、ログ分析部220Aは、所定の分析ルールセットおよびチューニング条件に基づきすべての閾値およびすべての分析ルールについて分析が完了したか否かを判定する(ステップS1503)。すべての閾値および分析ルールについて分析が完了していなければ(ステップS1503、否定)、ステップS1502に戻る。すべての閾値および分析ルールについて分析が完了したと判定すれば(ステップS1503、肯定)、ログ分析部220Aは、分析結果を出力する(ステップS1504)。そして、分析結果解析部230Aが分析結果に基づき、各分析ルールについてのチューニング推奨値と検体識別情報とを含むチューニングレポートを作成して出力する(ステップS1505)。
レポート解析部260Aは、チューニングレポートを解析して、分析ルールセットに含まれる分析ルールを削減した推奨ルールセットを作成して出力する(ステップS1506)。フィードバック部240Aは、推奨ルールセットに基づき、分析ルール記憶部251Aに記憶される分析ルールセットを更新する(ステップS1507)。これで第2の実施形態に係る分析ルール調整処理が終了する。
[推奨ルールセットの作成処理の流れの例]
次に、図15のステップS1506における推奨ルールセットの作成処理についてさらに説明する。図16は、第2の実施形態に係る推奨ルールセット作成処理について説明するための図である。推奨ルールセット作成処理は、レポート解析部260Aが実行する。
図16を参照して、分析ルールA,B,Cを含む分析ルールセットについて推奨ルールセットを作成する例を説明する。図16の例では、分析ルールAを適用した結果、検知された検体はaである。また、分析ルールBを適用した結果、検知された検体はa,b,c,fである。他方、分析ルールCを適用した結果、検知された検体はd,eである。
図16の(1)に示すように、分析ルールAで検知される検体はすべて、分析ルールBによっても検知されている。かかる場合には分析ルールAを削除しても分析ルールセット全体として検知できる検体には影響しない。すなわち、分析ルールAによる分析ルールセット全体の検体検知に対する寄与率は低いといえる。
この場合に、分析ルールセットに含まれる分析ルール数を削減することを考える。図16の(2)に示すように分析ルールAを削除しても検知される検体は変化しない。他方分析ルールBを削除すると検知される検体数は半分に減少する。
そこで、第2の実施形態にかかるレポート解析部260Aは、分析ルールセットに含まれる各分析ルールの分析ルールセット全体の検体検知に対する寄与率を考慮して、寄与率が所定閾値よりも低い分析ルールを削除した推奨ルールセットを作成する。たとえば、分析ルールセット全体で検知できる検体に対して分析ルールAによってしか検知できない検体の割合が1割以下の場合に分析ルールAを削除する。寄与率の算出手法は特に限定されない。
なお、第2の実施形態では、ログ分析部220Aは、所定の分析ルールセットに基づく分析を行い分析結果を出力するものとした。しかし、これに限定されず、たとえば、ログ分析部220Aによる分析は適宜実行して分析結果を分析結果記憶部253Aに記憶しておく。そして、ユーザの指示入力等があれば、分析結果解析部230Aが分析ルールセットの指定を受け付けて、当該分析ルールセットに含まれる分析ルールに基づく分析結果を分析結果記憶部253Aから読み出す。そして、分析結果解析部230A,レポート解析部260Aが処理を実行して、推奨ルールセットを作成してもよい。また、推奨ルールセットを外部に出力できるようにしてもよい。
[第2の実施形態の効果]
このように、第2の実施形態に係る分析ルール調整装置は、ネットワークを介した不正な通信を検出するための通信ログの分析に用いる分析ルールを調整する分析ルール調整装置であって、防御対象ネットワークを介した通信ログと、マルウェアが発生させる通信ログとを取得するログ取得部と、ログ取得部が取得した通信ログを、所定の分析ルールとチューニング条件とに基づき分析するログ分析部と、ログ分析部による分析結果を解析して、所定の分析ルールの調整に用いる、チューニング条件を満たすチューニング推奨値を算出する第1の解析部(分析結果解析部)と、を備える。このため、自動的かつ効率的に分析ルールの妥当性を検証し分析ルールを適正化することができる。
さらに、第2の実施形態に係る分析ルール調整装置において、ログ分析部は、所定の分析ルールの組に含まれる各分析ルールに基づいて分析を行い、第1の解析部は、所定の分析ルールの組に含まれる各分析ルールによる分析結果を並行して解析し、所定の分析ルールの組に含まれる各分析ルールに対応するチューニング推奨値を算出する。このため、複数の分析ルールをひとまとまりにして解析して、それぞれについてチューニングを実行することができる。
さらに、第2の実施形態に係る分析ルール調整装置において、第1の解析部は、チューニング推奨値とともに、当該チューニング推奨値を適用した場合に検知される検体を一意に識別するための検体識別情報を出力する。このため、どの分析ルールにどのような値を用いればどの検体を検知することができるか、まとめて分析することができる。このため、自動的かつ効率的に分析ルールの妥当性を検証し分析ルールを適正化することができる。また、第2の実施形態に係る分析ルール調整装置は、具体的にどの分析ルールによってどの検体が検知されるのかも考慮して分析ルールを調整することができ、適用環境に合わせた精密な調整を実現することができる。
さらに、第2の実施形態に係る分析ルール調整装置は、第1の解析部が出力するチューニング推奨値および検体識別情報を解析する第2の解析部(レポート解析部)をさらに備え、第1の解析部は、所定の分析ルールの組に含まれる各分析ルールについてチューニング推奨値と検体識別情報とを出力し、第2の解析部は、検体識別情報にもとづいて、所定の分析ルールの組に含まれる分析ルールの数を減じた推奨ルールセットを出力する。このため、検体識別情報に基づいて、検体の検知に対する寄与の低い分析ルールを除外して分析ルールセットを更新することができ、分析時間の短縮や分析処理に必要なリソース削減に寄与することができる。
さらに、第2の実施形態に係る分析ルール調整装置は、ログ分析部による分析結果を記憶する記憶部をさらに備え、第1の解析部は、記憶部に記憶された分析結果にもとづき、異なる分析ルールの組について解析を行う。つまり、分析結果記憶部253Aに、ログ分析の結果を逐次蓄積しておき、異なる分析ルールセットについて同一の分析結果を用いたチューニングを実行することができる。このため、ログの取得やログ分析に係る処理時間を短縮することができ、効率よくチューニングを実行することができる。
また、第2の実施形態に係る分析ルール調整装置において、ログ分析部は、チューニング条件として所定範囲のパラメータの指定を受け付け、指定された前記所定範囲についてログを分析する。このため、分析ルールのチューニング時間を短縮して効率的な調整を実現することができる。
また、第2の実施形態に係る分析ルール調整装置は、第1の解析部が算出するチューニング推奨値に基づき、所定の分析ルールを更新するフィードバック部をさらに備える。このため、分析ルール調整装置内に記憶される分析ルールを自動的に更新して、効率的なチューニングを実現することができる。
(第3の実施形態)
さて、第2の実施形態では、分析ルールセットに含まれる各分析ルールに対して一つのチューニング推奨値を算出し、当該チューニング推奨値に対応する検体識別情報を出力するように構成した。これに対し、第3の実施形態では、分析ルールセットに含まれる各分析ルールに対して複数のチューニング推奨値を算出する。
複数の分析ルールをセットにして利用する場合、分析ルールを単独で分析した場合に最適と判断される閾値が必ずしも最適とは限らない。そこで、第3の実施形態では、各分析ルールについて所定の幅の範囲内の閾値をチューニング推奨値として出力し、複数の分析ルール間で調整する。
第3の実施形態に係る分析ルール調整装置の構成は、図11に示した第2の実施形態に係る分析ルール調整装置と同様である。ただし、分析結果解析部が出力するチューニングレポートの構成およびレポート解析部による処理が異なる。また、第3の実施形態にかかる分析ルール調整装置は、セット選択部を備える点で第1および第2の実施形態と異なる。
[第3の実施形態に係る分析ルール調整システム3の構成の一例]
図17は、第3の実施形態に係る分析ルール調整システム3の概要を示す図である。分析ルール調整システム3の構成は概ね、第2の実施形態に係る分析ルール調整システム2と同様である。以下の説明において、第2の実施形態と同様の構成および機能については説明を省略する。
分析ルール調整システム3は、ログ収集蓄積装置10と分析ルール調整装置20Bとを備える。ログ収集蓄積装置10の構成および機能は、第1および第2の実施形態と同様である。
分析ルール調整装置20Bは、ログ取得部210と、ログ分析部220Bと、分析結果解析部230Bと、フィードバック部240Bと、を有する。分析ルール調整装置20Bはさらに、レポート解析部260Bと、セット選択部270と、を備える。また、分析ルール調整装置20Bは、分析ルール記憶部251Bと、チューニング設定情報記憶部252Bと、分析結果記憶部253Bと、を有する。また、分析ルール調整装置20Bはさらに、ルールセット選択条件記憶部254を備える。
ログ取得部210の構成および機能は、第1および第2の実施形態のログ取得部210と同様である。ログ分析部220Bの構成および機能は、第2の実施形態のログ分析部220Aと同様である。分析結果記憶部253Bの構成および機能も、第2の実施形態の分析結果記憶部253Aと同様である。
第3の実施形態においては、分析結果解析部230Bは、所定の分析ルールセットに基づく分析結果を解析して、各分析ルールに対する複数のチューニング推奨値を算出する。すなわち、分析結果解析部230Bは、各分析ルールのパラメータに対応する適用閾値として、複数の値を選択する。
たとえば、図7の例に「誤検出率の許容値を0.5%以下とする。」というチューニング条件がある。このチューニング条件を適用した場合に、適用閾値「16」の場合は誤検出率が「0.1%」、適用閾値「20」の場合に誤検出率が「0.3%」であったとする。この場合に、分析結果解析部230Bは、より誤検出率が低い「0.1%」の適用閾値「16」をチューニング推奨値とするのではなく、適用閾値「16」および「20」の双方をチューニング推奨値としてチューニングレポートで出力する。
また、適用閾値「18」の場合に誤検出率が「0.6%」、適用閾値「12」の場合に誤検出率が「0.4%」だったとする。この場合も分析結果解析部230Bは、適用閾値「12」および「18」の双方をチューニング推奨値としてチューニングレポートで出力する。
すなわち、第3の実施形態にかかる分析結果解析部230Bは、チューニング条件を満足する適用閾値が複数存在する場合、予め定めた数の複数の適用閾値を選択してチューニングレポートで出力する。また、分析結果解析部230Bは、チューニング条件を満足する適用閾値だけでは、予め定めた数に達しない場合、チューニング条件を満足しない適用閾値を加えて予め定めた数の適用閾値を選択してチューニングレポートで出力する。
たとえば、分析結果解析部230Bは、チューニング条件で定められた許容値を満足しないが、当該許容値により近い適用閾値を順番に選択する。または分析結果解析部230Bは、チューニング条件で定められた許容値を満足する適用閾値のうち、所定条件を満たす適用閾値を順番に選択する。たとえば、「誤検出率の許容値を0.5%以下とする。」というチューニング条件であれば、分析結果解析部230Bは、「0.5%よりも小さい方から順に所定数」の適用閾値を選択する。また、「検出率の許容値を80%以上とする。」というチューニング条件であれば、分析結果解析部230Bは、「80%よりも大きい方から順に所定数」の適用閾値を選択する。すなわち、分析結果解析部230Bは、チューニング条件が下限値を定める条件であれば、下限値より大きい方から所定数の閾値をチューニング推奨値とする。また、分析結果解析部230Bは、チューニング条件が上限値を定める条件であれば、上限値より小さい方から所定数の閾値をチューニング推奨値とする。
このように分析結果解析部230Bは、各分析ルールに対応して複数のチューニング推奨値を含むチューニングレポートを作成して出力する。分析結果解析部230Bが作成して出力するチューニングレポートは分析ルールに対応する適用閾値が複数となるため、概ね図12に示す分析結果と同様となる。
レポート解析部260Bは、分析結果解析部230Bが出力したチューニングレポートの入力を受け、チューニングレポートを解析することで分析ルールセットに含まれる分析ルールの数を削減した推奨ルールセットを出力する。この点、レポート解析部260Bは第2の実施形態のレポート解析部260Aと同様である。
しかし、レポート解析部260Bが解析対象とするチューニングレポートは、各分析ルールについて複数の候補閾値を含む。このため、レポート解析部260Bは、複数の分析ルールの組み合わせについて推奨ルールセットを作成することになる。
たとえば、分析ルールA,B,Cの3つの分析ルールを含む分析ルールセットについてチューニングを実行するとする。この場合に、各分析ルールについて3つのチューニング推奨値を選択する、という条件づけをする。すると、分析ルールAについて候補となる閾値A1,A2,A3と、分析ルールBについて候補となる閾値B1,B2,B3と、分析ルールCについて候補となる閾値C1,C2,C3がチューニングレポートとして出力される。レポート解析部260Bは、閾値A1,A2,A3と、閾値B1,B2,B3と、閾値C1,C2,C3と、をそれぞれ組み合わせた場合に削減対象となる分析ルールを選択して、推奨ルールセットを作成する。推奨ルールセットの作成にあたっては、レポート解析部260Bは、第2の実施形態と同様に、検体識別情報をもとにして判定をする。
セット選択部270は、レポート解析部260Bにより作成される複数の推奨ルールセットから所定条件を満たす分析ルールセットを選択する。たとえば、セット選択部270は、当該ルールセットを適用するネットワークにおけるセキュリティオペレーションの運用ポリシーに設定されている条件にもとづき分析ルールセットを選択する。また、セット選択部270はたとえば、推奨ルールセットのうち最も検知検体数が多い分析ルールセットを選択する。セット選択部270が分析ルールセットを選択するための条件は、ルールセット選択条件記憶部254に記憶される。
セット選択部270が選択した分析ルールセットは、フィードバック部240Bに入力される。フィードバック部240Bは、選択されたルールセットに基づき、分析ルール記憶部251Bに記憶される分析ルールセットを更新する。
[第3の実施形態における分析ルール調整処理の流れの一例]
図18は、第3の実施形態に係る分析ルール調整処理の流れの一例を示すフローチャートである。図18を参照して、第3の実施形態に係る分析ルール調整処理の流れの一例を説明する。
ステップS1801からステップS1804までの処理は、図15に示す第2の実施形態における分析ルール調整処理の流れと同様である。すなわち、まず、ログ取得部210がログを取得する(ステップS1801)。そして、ログ分析部220Bが所定の分析ルールセットおよびチューニング条件に基づきログを分析する(ステップS1802)。そして、ログ分析部220Bは、所定の分析ルールセットおよびチューニング条件に基づきすべての閾値およびすべての分析ルールについて分析が完了したか否かを判定する(ステップS1803)。すべての閾値または分析ルールについて分析が完了していなければ(ステップS1803、否定)、ステップS1802に戻る。すべての閾値および分析ルールについて分析済と判定すれば(ステップS1803、肯定)、ログ分析部220Bは、分析結果を出力する(ステップS1804)。
次に、分析結果を受けて、分析結果解析部230Bは、各分析ルールについての複数のチューニング推奨値と検体識別情報とを含むチューニングレポートを作成して出力する(ステップS1805)。レポート解析部260Bは、チューニングレポートを解析して複数の推奨ルールセットを作成して出力する(ステップS1806)。セット選択部270は、ルールセット選択条件記憶部254に記憶される選択条件に基づき、ルールセットを選択する(ステップS1807)。フィードバック部240Bは、選択されたルールセットに基づき、分析ルールセットを更新する(ステップS1808)。これで、第3の実施形態における分析ルール調整処理が終了する。
[第3の実施形態の効果]
上記のような構成を有する第3の実施形態にかかる分析ルール調整装置は、第2の実施形態にかかる分析ルール調整装置が奏する効果に加えて以下の効果を奏する。
第3の実施形態にかかる分析ルール調整装置においては、分析結果解析部230Bは、各分析ルールについて一つのチューニング推奨値を出力するのではなく複数のチューニング推奨値を選択してチューニングレポートとして出力する。このため、複数分析ルール間で調整を行う際の選択肢が広がり、より柔軟な分析ルールセットの調整を実現することができる。
(その他の実施形態)
これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、その他の実施形態にて実施されてもよい。以下に、その他の実施形態を説明する。
[検知率表の作成と再利用]
第2の実施形態において、ログ分析部220Aの分析結果は分析結果記憶部253Aに記憶される。分析結果は、異なる分析ルールセットに含まれる分析ルールを調整するため、再利用してもよいことは上述した。また、ログ分析部220Aが作成する分析結果のうち、悪性ログの分析結果から所定の形式の検知率表を作成して記憶しておき、再利用できるように構成してもよい。
[システム構成等]
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、ログ分析部220と分析結果解析部230とを統合してもよく、分析ルールを他の装置から取得し、チューニング推奨値を当該他の装置に供給するような構成としてもよい。
さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
また、上記実施の形態において説明した分析ルール調整システム1,2,3または分析ルール調整装置20,20A,20Bが実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、第1の実施形態に係る分析ルール調整システム1または分析ルール調整装置20が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータが読み取り可能な記録媒体に記録して、この記録媒体に記録されプログラムをコンピュータに読み込ませて実行することにより上記第1の実施形態と同様の処理を実現してもよい。以下に、分析ルール調整システム1,2,3または分析ルール調整装置20,20A,20Bと同様の機能を実現するプログラムを実行するコンピュータの一例を説明する。
図19は、分析ルール調整プログラムを実行するコンピュータ1000を示す図である。図19に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図19に例示するように、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図19に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図19に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1041に挿入される。シリアルポートインタフェース1050は、図19に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図19に例示するように、例えばディスプレイ1130に接続される。
ここで、図19に例示するように、ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のプログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。
なお、プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1,2,3 分析ルール調整システム
10 ログ収集蓄積装置
20,20A,20B 分析ルール調整装置
110 ログ収集部
120 ログ正規化部
130 ログ記憶部
210 ログ取得部
220,220A,220B ログ分析部
230,230A,230B 分析結果解析部
240,240A,240B フィードバック部
251,251A,251B 分析ルール記憶部
252,252A,252B チューニング設定情報記憶部
253,253A,253B 分析結果記憶部
260A、260B レポート解析部
270 セット選択部

Claims (10)

  1. ネットワークを介した不正な通信を検出するための通信ログの分析に用いる分析ルールを調整する分析ルール調整装置であって、
    防御対象ネットワークを介した通信ログと、マルウェアが発生させる通信ログとを取得するログ取得部と、
    前記ログ取得部が取得した通信ログを、所定の分析ルールとチューニング条件とに基づき分析するログ分析部と、
    前記ログ分析部による分析結果を解析して、前記所定の分析ルールの調整に用いる、前記チューニング条件を満たすチューニング推奨値を算出する第1の解析部と、
    を備えることを特徴とする分析ルール調整装置。
  2. 前記ログ分析部は、所定の分析ルールの組に含まれる各分析ルールに基づいて分析を行い、
    前記第1の解析部は、前記所定の分析ルールの組に含まれる各分析ルールによる分析結果を並行して解析し、前記所定の分析ルールの組に含まれる各分析ルールに対応するチューニング推奨値を算出することを特徴とする請求項1に記載の分析ルール調整装置。
  3. 前記第1の解析部は、前記チューニング推奨値とともに、当該チューニング推奨値を適用した場合に検知される検体を一意に識別するための検体識別情報を出力することを特徴とする請求項2に記載の分析ルール調整装置。
  4. 前記第1の解析部が出力するチューニング推奨値および検体識別情報を解析する第2の解析部をさらに備え、
    前記第1の解析部は、前記所定の分析ルールの組に含まれる各分析ルールについてチューニング推奨値と検体識別情報とを出力し、
    前記第2の解析部は、前記検体識別情報にもとづいて、前記所定の分析ルールの組に含まれる分析ルールの数を減じた推奨ルールセットを出力することを特徴とする請求項3に記載の分析ルール調整装置。
  5. 前記ログ分析部による分析結果を記憶する記憶部をさらに備え、
    前記第1の解析部は、前記記憶部に記憶された分析結果にもとづき、異なる分析ルールの組について解析を行うことを特徴とする請求項3に記載の分析ルール調整装置。
  6. 前記ログ分析部は、前記チューニング条件として所定範囲のパラメータの指定を受け付け、指定された前記所定範囲について前記通信ログを分析することを特徴とする請求項1に記載の分析ルール調整装置。
  7. 前記第1の解析部が算出するチューニング推奨値に基づき、前記所定の分析ルールおよび前記所定の分析ルールの組のいずれか一方を更新するフィードバック部をさらに備えることを特徴とする請求項1乃至6の何れか1項に記載の分析ルール調整装置。
  8. ネットワークを介した不正な通信を検出するための通信ログの分析に用いる分析ルールを調整する分析ルール調整システムであって、
    防御対象ネットワークを介した通信ログと、マルウェアが発生させる通信ログとを取得し正規化して格納するログ格納装置と、
    前記ログ格納装置に格納される通信ログを分析して前記分析ルールを調整する分析ルール調整装置と、
    を備え、前記分析ルール調整装置は、
    前記ログ格納装置から通信ログを取得するログ取得部と、
    前記ログ取得部が取得した通信ログを、所定の分析ルールとチューニング条件とに基づき分析するログ分析部と、
    前記ログ分析部による分析結果を解析して、前記所定の分析ルールの調整に用いる、前記チューニング条件を満たすチューニング推奨値を算出する第1の解析部と、
    を備えることを特徴とする分析ルール調整システム。
  9. ネットワークを介した不正な通信を検出するための通信ログの分析に用いる分析ルールを調整する分析ルール調整方法であって、
    防御対象ネットワークを介した通信ログと、マルウェアが発生させる通信ログとを取得しログ格納部に格納するログ格納工程と、
    前記ログ格納工程において前記ログ格納部に格納した通信ログを取得するログ取得工程と、
    前記ログ取得工程において取得した通信ログを、所定の分析ルールとチューニング条件とに基づき分析するログ分析工程と、
    前記ログ分析工程による分析結果を解析して、前記所定の分析ルールの調整に用いる、前記チューニング条件を満たすチューニング推奨値を算出する第1の解析工程と、
    を含むことを特徴とする分析ルール調整方法。
  10. ネットワークを介した不正な通信を検出するための通信ログの分析に用いる分析ルールを調整する分析ルール調整装置によって実行される分析ルール調整プログラムであって、
    防御対象ネットワークを介した通信ログと、マルウェアが発生させる通信ログとを取得するログ取得手順と、
    前記ログ取得手順において取得した通信ログを、所定の分析ルールとチューニング条件とに基づき分析するログ分析手順と、
    前記ログ分析手順における分析結果を解析して、前記所定の分析ルールの調整に用いる、前記チューニング条件を満たすチューニング推奨値を算出する第1の解析手順と、
    を含むことを特徴とする分析ルール調整プログラム。
JP2016508718A 2014-03-19 2015-03-16 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム Active JP6190518B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014056660 2014-03-19
JP2014056660 2014-03-19
PCT/JP2015/057710 WO2015141630A1 (ja) 2014-03-19 2015-03-16 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム

Publications (2)

Publication Number Publication Date
JPWO2015141630A1 true JPWO2015141630A1 (ja) 2017-04-13
JP6190518B2 JP6190518B2 (ja) 2017-08-30

Family

ID=54144598

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016508718A Active JP6190518B2 (ja) 2014-03-19 2015-03-16 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム

Country Status (5)

Country Link
US (1) US10104124B2 (ja)
EP (1) EP3099024B1 (ja)
JP (1) JP6190518B2 (ja)
CN (1) CN106105112B (ja)
WO (1) WO2015141630A1 (ja)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6524789B2 (ja) * 2015-05-13 2019-06-05 富士通株式会社 ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US9838407B1 (en) * 2016-03-30 2017-12-05 EMC IP Holding Company LLC Detection of malicious web activity in enterprise computer networks
WO2017221711A1 (ja) * 2016-06-23 2017-12-28 日本電信電話株式会社 ログ分析装置、ログ分析方法およびログ分析プログラム
CN107645478B (zh) * 2016-07-22 2020-12-22 阿里巴巴集团控股有限公司 网络攻击防御系统、方法及装置
JP6786960B2 (ja) 2016-08-26 2020-11-18 富士通株式会社 サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置
US11658996B2 (en) * 2016-12-30 2023-05-23 British Telecommunications Public Limited Company Historic data breach detection
US11582248B2 (en) 2016-12-30 2023-02-14 British Telecommunications Public Limited Company Data breach protection
WO2018122051A1 (en) * 2016-12-30 2018-07-05 British Telecommunications Public Limited Company Attack signature generation
CN108268354B (zh) * 2016-12-30 2021-02-09 腾讯科技(深圳)有限公司 数据安全监控方法、后台服务器、终端及系统
EP3726817B1 (en) * 2017-12-13 2024-02-07 NEC Corporation Information processing device, information processing system, information processing method, and recording medium
US11558401B1 (en) * 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
JP6767425B2 (ja) * 2018-04-20 2020-10-14 日本電信電話株式会社 分析装置および分析方法
CN109284268B (zh) * 2018-10-29 2020-11-24 杭州安恒信息技术股份有限公司 一种快速解析日志的方法、系统及电子设备
JP7186637B2 (ja) * 2019-02-21 2022-12-09 三菱電機株式会社 検知ルール群調整装置および検知ルール群調整プログラム
US11558410B2 (en) * 2019-05-29 2023-01-17 Arbor Networks, Inc. Measurement and analysis of traffic filtered by network infrastructure
JP7311350B2 (ja) * 2019-08-07 2023-07-19 株式会社日立ソリューションズ 監視装置、監視方法、および監視プログラム
CN110855495B (zh) * 2019-11-18 2022-06-24 北京天融信网络安全技术有限公司 任务动态平衡方法、装置、系统、电子设备及存储介质
US20220391505A1 (en) * 2019-11-28 2022-12-08 Nippon Telegraph And Telephone Corporation Rule generating device and rule generating program
JP7258801B2 (ja) * 2020-03-10 2023-04-17 株式会社東芝 情報処理装置、情報処理方法およびプログラム
US11483351B2 (en) * 2020-08-26 2022-10-25 Cisco Technology, Inc. Securing network resources from known threats
CN112084092B (zh) * 2020-09-11 2022-06-17 山东英信计算机技术有限公司 一种诊断规则的确定方法、装置、设备及存储介质
CN112399466B (zh) * 2020-11-12 2024-02-09 国网江苏省电力有限公司信息通信分公司 一种基于领域规则库的通信规则缺陷的分析方法
KR102280845B1 (ko) * 2020-11-24 2021-07-22 한국인터넷진흥원 네트워크 내의 비정상 행위 탐지 방법 및 그 장치
US11974120B2 (en) * 2021-01-29 2024-04-30 Adaptive Mobile Security Limited System and method for securing a communication network
WO2023042379A1 (ja) * 2021-09-17 2023-03-23 日本電気株式会社 攻撃分析支援装置、攻撃分析支援方法、及びコンピュータ読み取り可能な記録媒体
CN114116422B (zh) * 2021-11-19 2024-05-24 苏州浪潮智能科技有限公司 一种硬盘日志分析方法、硬盘日志分析装置及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009181335A (ja) * 2008-01-30 2009-08-13 Nippon Telegr & Teleph Corp <Ntt> 解析システム、解析方法および解析プログラム
JP2011525285A (ja) * 2008-06-20 2011-09-15 シマンテック コーポレーション ストリーミングマルウェア定義更新
JP2013092981A (ja) * 2011-10-27 2013-05-16 Kddi Corp ソフトウェア検知ルール生成装置、ソフトウェア検知ルール生成方法およびソフトウェア検知ルール生成プログラム
WO2013109156A1 (en) * 2012-01-17 2013-07-25 Bitdefender Ipr Management Ltd Online fraud detection dynamic scoring aggregation systems and methods

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5787177A (en) 1996-08-01 1998-07-28 Harris Corporation Integrated network security access control system
US6408391B1 (en) 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare
AU2001294089A1 (en) * 2000-08-18 2002-02-25 Camelot Information Technologies Ltd. A system and method for a greedy pairwise clustering
JP2004318552A (ja) * 2003-04-17 2004-11-11 Kddi Corp Idsログ分析支援装置、idsログ分析支援方法及びidsログ分析支援プログラム
JP4523480B2 (ja) * 2005-05-12 2010-08-11 株式会社日立製作所 ログ分析システム、分析方法及びログ分析装置
CN102385549A (zh) * 2010-09-02 2012-03-21 北京无限立通通讯技术有限责任公司 日志处理系统、日志处理方法和日志存储子系统
US8640245B2 (en) * 2010-12-24 2014-01-28 Kaspersky Lab, Zao Optimization of anti-malware processing by automated correction of detection rules
US8762948B1 (en) * 2012-12-20 2014-06-24 Kaspersky Lab Zao System and method for establishing rules for filtering insignificant events for analysis of software program
US9106692B2 (en) * 2013-01-31 2015-08-11 Northrop Grumman Systems Corporation System and method for advanced malware analysis
CN103581180B (zh) * 2013-10-28 2017-01-11 深信服网络科技(深圳)有限公司 根据攻击日志调整命中特征的方法和装置
US9223972B1 (en) * 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US10417031B2 (en) * 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009181335A (ja) * 2008-01-30 2009-08-13 Nippon Telegr & Teleph Corp <Ntt> 解析システム、解析方法および解析プログラム
JP2011525285A (ja) * 2008-06-20 2011-09-15 シマンテック コーポレーション ストリーミングマルウェア定義更新
JP2013092981A (ja) * 2011-10-27 2013-05-16 Kddi Corp ソフトウェア検知ルール生成装置、ソフトウェア検知ルール生成方法およびソフトウェア検知ルール生成プログラム
WO2013109156A1 (en) * 2012-01-17 2013-07-25 Bitdefender Ipr Management Ltd Online fraud detection dynamic scoring aggregation systems and methods

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
鈴木 男人 他3名: "サイバー攻撃検知に関わるパラメータ抽出法の検討", 第76回全国大会講演論文集, vol. 2014(1), JPN6015022812, 11 March 2014 (2014-03-11), pages 625 - 626, ISSN: 0003452157 *

Also Published As

Publication number Publication date
US20170013018A1 (en) 2017-01-12
EP3099024A4 (en) 2017-07-05
EP3099024B1 (en) 2019-01-02
WO2015141630A1 (ja) 2015-09-24
US10104124B2 (en) 2018-10-16
CN106105112A (zh) 2016-11-09
CN106105112B (zh) 2019-08-27
JP6190518B2 (ja) 2017-08-30
EP3099024A1 (en) 2016-11-30

Similar Documents

Publication Publication Date Title
JP6190518B2 (ja) 分析ルール調整装置、分析ルール調整システム、分析ルール調整方法および分析ルール調整プログラム
CN107135093B (zh) 一种基于有限自动机的物联网入侵检测方法及检测系统
US9900344B2 (en) Identifying a potential DDOS attack using statistical analysis
CN107968791B (zh) 一种攻击报文的检测方法及装置
US10944784B2 (en) Identifying a potential DDOS attack using statistical analysis
KR20120068612A (ko) Dns 쿼리 트래픽 감시 및 처리 방법과 그 장치
KR101548210B1 (ko) 왕복 시간 변화를 이용하여 익명 네트워크를 통한 우회 접속을 탐지하는 방법
US10263975B2 (en) Information processing device, method, and medium
JP2016508353A (ja) ネットワークメタデータを処理する改良されたストリーミング方法およびシステム
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
KR20110022141A (ko) 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
KR102044181B1 (ko) 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법
JP2017147558A (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
CN112422486B (zh) 一种基于sdk的安全防护方法及设备
KR102119636B1 (ko) 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법
US20210234871A1 (en) Infection-spreading attack detection system and method, and program
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
JP6007308B1 (ja) 情報処理装置、情報処理方法及びプログラム
US9049170B2 (en) Building filter through utilization of automated generation of regular expression
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
JP6105797B1 (ja) 情報処理装置、情報処理方法及びプログラム
KR101753846B1 (ko) 사용자 맞춤형 로그 타입을 생성하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체
KR101560820B1 (ko) 시그니처 기반 어플리케이션 식별 장치 및 방법
Hiruta et al. Ids alert priority determination based on traffic behavior
WO2022009274A1 (ja) セキュリティ設定支援装置、セキュリティ設定支援方法、及びプログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161206

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170801

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170804

R150 Certificate of patent or registration of utility model

Ref document number: 6190518

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150