WO2016092834A1 - 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体 - Google Patents

通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体 Download PDF

Info

Publication number
WO2016092834A1
WO2016092834A1 PCT/JP2015/006117 JP2015006117W WO2016092834A1 WO 2016092834 A1 WO2016092834 A1 WO 2016092834A1 JP 2015006117 W JP2015006117 W JP 2015006117W WO 2016092834 A1 WO2016092834 A1 WO 2016092834A1
Authority
WO
WIPO (PCT)
Prior art keywords
alert
importance
information
importance calculation
communication
Prior art date
Application number
PCT/JP2015/006117
Other languages
English (en)
French (fr)
Inventor
池田 聡
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Priority to US15/532,171 priority Critical patent/US10454959B2/en
Priority to JP2016563511A priority patent/JP6677169B2/ja
Publication of WO2016092834A1 publication Critical patent/WO2016092834A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

 ネットワークの異常を表すアラートをより効率的に判断することが可能なようにオペレータに提示することが可能な重要度算出装置等を提供する。 重要度算出装置1は、監視対象である通信ネットワーク51において異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、第1のアラートに対する重要度を求める重要度算出部2を備える。

Description

通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体
 本発明は、監視対象であるネットワークを監視する技術分野に関する。
 企業ネットワークでは、例えば、外部の通信ネットワークからの攻撃や悪意ある第三者からの不正侵入を防ぐことを目的として、ファイアウォールや侵入検知システムなどにより通信の遮断や監視などを行っている。尚、本願において、以下の説明では、「通信ネットワーク」を、単に「ネットワーク」と記載する場合もある。また、以下の説明では、侵入検知システムを、IDS(Intrusion Detection System)と記載する場合もある。
 特に、近年では、企業の知的財産に関する情報や機密情報などの窃取を目的とする標的型攻撃による事例は増加傾向にある。それに伴い、サイバーセキュリティに対する需要は高まっている。
 サイバーセキュリティ対策としては、セキュリティーオペレーションセンターを導入することによって、監視対象であるネットワークの監視およびインシデントに対処することが一般的になっている。尚、以下の説明では、セキュリティーオペレーションセンターを、SOC(Security Operation Center)と記載する場合もある。例えば、企業では、このSOCを企業内に設置する、或いはSOCの運営を外部企業に委託することにより実現する。
 より具体的に、ネットワークを監視する業務では、ファイアウォールやIDSなどの監視機器から通知されたアラートを、所定の危険度に基づいて分類する作業を行う。例えば、アラートには、外部からの攻撃であるが危険性のないアラートも含まれる。即ち、当該監視機器から通知された全てのアラートは、必ずしもインシデントとして報告する必要があるわけではない。そのため、監視業務を行うオペレータは、当該アラートに含まれる情報を確認する、または外部情報を参照する。これによって、オペレータは、当該アラートに対して適切な危険度を設定する。そして、オペレータは、必要に応じて、当該アラートをインシデントとして報告することができる。この分類作業の際に参照するアラート情報には、次に示す情報が挙げられる。即ち、アラート情報は、監視対象の異常を検知する際に用いられた検知ルール、送受信を行ったホストのIPアドレスおよびポート番号、セキュリティベンダーによって割り当てられた検知ルールに対する重要度などを表す情報を含む。尚、IPは、Internet Protocolの略称である。
 ここで、本願出願に先立って存在する関連技術としては、例えば、特許文献1がある。特許文献1は、監視対象であるネットワークに設置されたIDSセンサから通知されたイベントデータ(アラート情報)を解析する。これによって、特許文献1は、アラートを発行するイベント解析及び警告システムに関する技術を開示する。
 このイベント解析及び警告システムは、イベントデータと、過去に不正アクセスであると判定したアラートとに基づいて、当該イベントデータにより示される通信イベントが不正アクセスか否かを機械的に判定する。より具体的に、イベント解析及び警告システムは、イベントデータに含まれるシグネチャ(検知ルール)、IPアドレスおよびポート番号の一部または全部の項目と、過去に不正アクセスと判定したアラートとを比較する。その結果、イベント解析及び警告システムは、当該各項目と、不正アクセスと判定したアラートとの一致点または類似点を以って不正アクセスか否かを判定する。
特許第4619254号公報
 上述したように通信監視システムは、アラートに含まれる定型的な項目を解析することによって、オペレータの分類作業を支援することができる。しかしながら、通信監視システムでは、アラートの原因となったパケットに含まれるペイロードのように不定型な構造を持つ要素に関しては、オペレータの目視により当該アラートの危険度を判断する必要がある。
 また、特許文献1には、イベントデータと、過去に不正アクセスであると判定したアラートとに基づいて、通信イベントが不正アクセスか否かを判定することが記載されている。しかしながら、アラートを分類する際の判断基準としては、イベントデータと、当該アラートとの一致点または類似点だけでは不十分な場合がある。
 一例として、以下の説明では、過去に分類されたアラートは、誤検知により分類されたアラートとする。また、当該過去に分類されたアラートは、検知ルールと通信イベントの送信元および送信先を示す情報とに基づいて分類されたこととする。その場合に、特許文献1に開示された技術では、当該過去に分類されたアラートに関する項目と、新たに通知されたアラートに関する項目とが一致したからといって、その新たに通知されたアラートを同じく誤検知として分類できるわけではない。即ち、当該判断基準としては、検知ルールと通信イベントの送信元および送信先を示す情報とだけでは不十分である。
 以下の説明では、説明の便宜上、IDSを含む通信監視システムを例に説明する。例えば、アラートの分類作業において、異常と検知された通信パケットに含まれるペイロードを確認するまでは、オペレータは、アラートの危険度を、最終的に判断をすることができない可能性がある。より具体的に、通信監視システムは、アラートに含まれる定型的な項目を解析することによって、オペレータによる分類作業を支援することができる。しかしながら、通信監視システムでは、当該ペイロードのように不定型な構造を持つ要素に関しては、オペレータの目視によりアラートの危険度を判断する必要がある。
 本発明は、ネットワークの異常を表すアラートを、より効率的に判断することが可能なようにオペレータに提示することが可能な重要度算出装置等を提供することを主たる目的とする。
 上記の課題を達成すべく、本発明の一態様に係る重要度算出装置は、
 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める重要度算出手段を備える。
 また、同目的を達成すべく、本発明の一態様に係る提示装置は、
 前記の構成を有する重要度算出装置によって求められた重要度、およびアラートに関するアラート情報の一部または全部の少なくとも何れかをオペレータが識別可能な態様によって提示する提示手段を備える。
 或いは、同目的は、上記に示す重要度算出装置を含む通信監視システムによっても達成される。
 また、同目的を達成すべく、本発明の一態様に係る重要度算出方法は、
 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める。
 尚、同目的は、上記の各構成を有する重要度算出装置及びその方法を、コンピュータによって実現するコンピュータ・プログラム、及びそのコンピュータ・プログラムが格納されている、コンピュータ読み取り可能な記録媒体によっても達成される。
 本発明によれば、ネットワークの異常を表すアラートを、より効率的に判断することが可能なようにオペレータに提示することが可能な重要度算出装置等を提供することができる。
図1は、本発明の第1の実施形態における通信監視システムの構成を示すブロック図である。 図2は、本発明の第1の実施形態における重要度算出装置の構成を示すブロック図である。 図3は、本発明の第1の実施形態における重要度算出装置が行う重要度の演算処理を示すフローチャートである。 図4は、本発明の第1の実施形態における重要度算出装置が行うNグラムの出現に関する出現情報を記憶する動作を示すフローチャートである。 図5は、本発明の第2の実施形態における通信監視システムの構成を示すブロック図である。 図6は、本発明の第2の実施形態における重要度算出装置の構成を示すブロック図である。 図7は、本発明の第2の実施形態における重要度算出装置が行う重要度の演算処理を示すフローチャートである。 図8は、本発明の第2の実施形態における提示装置によってアラートに関する情報が提示された態様を具体的に例示する図である。 図9は、本発明の第3の実施形態における通信監視システムの構成を示すブロック図である。 図10は、本発明の第3の実施形態における重要度算出装置の構成を示すブロック図である。 図11は、本発明の第3の実施形態における重要度算出装置が行う重要度の演算処理を示すフローチャートである。 図12は、本発明の第3の実施形態における通信監視装置の構成を示すブロック図である。 図13は、本発明の第3の実施形態における提示装置の構成を示すブロック図である。 図14は、本発明の第3の実施形態における通信監視システムが行う動作を示すシーケンス図(フローチャート)である。 図15は、本発明に係る各実施形態を実現可能な情報処理装置のハードウェア構成を例示的に説明するブロック図である。
 以下、本発明の実施形態について図面を参照して詳細に説明する。
 <第1の実施形態>
 図1は、本発明の第1の実施形態における通信監視システム10の構成を示すブロック図である。また、図2は、本発明の第1の実施形態における重要度算出装置1の構成を示すブロック図である。
 図1において、通信監視システム10は、大別して、重要度算出装置1、監視の対象である監視対象ネットワーク51及び監視対象ネットワーク51を監視する通信監視装置52を有する。また、図2において、重要度算出装置1は、重要度算出部2を備える。
 より具体的に、監視対象である監視対象ネットワーク51において異常が検知されるのに応じてアラート(第1のアラート)が通知された際に、重要度算出部2は、第1のアラートの原因となった通信情報に基づいて、第1のアラートに対する重要度を求める機能を備える。即ち、重要度算出部2は、当該通信情報に含まれ、第1のアラートより過去に通知された一乃至複数のアラート(第2のアラート)に関する通信情報には含まれない特徴に基づいて、当該重要度を求める。
 また、重要度算出部2は、求めた重要度と、第1のアラートを識別可能なアラート識別子とを関連付けて重要度情報101として記憶する機能を備える。尚、重要度算出部2が重要度を求める演算処理については、本実施形態において詳細に後述する。
 重要度情報101は、例えば、不図示の記憶装置に記憶されていることとする。また、重要度情報101は、重要度算出部2によって求められた重要度と、第1のアラートを識別可能なアラート識別子とが関連付けされた情報を含むこととする。
 尚、以下の説明では、説明の便宜上、「監視対象ネットワーク51」を、単に、「ネットワーク51」と記載する場合もある。また、以下の説明では、「第1のアラート」と「第2のアラート」とを、総称して「アラート」と記載する場合もある(以下、各実施形態においても同様)。
 通信監視装置52は、ネットワーク51に流れる通信情報を監視する機能を備える。また、通信監視装置52は、例えば、検知ルールに基づいて、ネットワーク51に対する外部からの攻撃を検知する。通信監視装置52は、新たに異常を検知したことをアラートとして重要度算出装置1に対して通知する。そして、通信監視装置52は、アラートに関するアラート情報を記憶する機能を備える。
 上記のアラートは、例えば、検知時刻と、異常を検知する際に用いられた検知ルールを識別可能な識別子と、異常の原因である通信情報の送信元のIPアドレスおよびポート番号と、当該通信情報の送信先ホストのIPアドレスおよびポート番号とを含む。検知時刻とは、通信監視装置52が異常を検知した時刻を表す情報である。または、検知時刻は、通信監視装置52が異常を検知した時刻を含む日時を表す情報でもよい。但し、以下の説明では、説明の便宜上、係る時刻を含む日時を表す情報であっても検知時刻と記すこととする。
 また、アラート情報とは、アラートに含まれる情報とアラートを識別可能な識別子(アラート識別子)とに基づき生成された情報である。
 より具体的に、一例として、アラート情報は、アラート毎に、少なくとも、次に示す情報を含むこととする。
 ・アラート識別子、
 ・検知時刻、
 ・検知ルールを識別可能な識別子、
 ・異常の原因である通信情報の送信元のIPアドレスおよびポート番号及び
 ・当該通信情報の送信先ホストのIPアドレスおよびポート番号。
即ち、アラート情報は、アラート識別子をキーとして、検知時刻と、検知ルールの識別子と、送信元のIPアドレスおよびポート番号と、送信先ホストのIPアドレスおよびポート番号とが関連付けられた情報である。
 以下の説明では、説明の便宜上、通信監視装置52としてIDSを想定した構成を例に説明する。しかしながら本発明に係る実施形態は、係る構成に限定されない。通信監視装置52は、ネットワーク51内の異常やネットワーク51に対する攻撃を検知し、検知した当該攻撃をアラートとして通知する。そして、通信監視装置52は、アラートを、検知した攻撃を表す識別情報(ID)と紐付けた情報と共に証拠として記憶することが可能な通信監視機器に適用する構成を採用してもよい。
 通信監視装置52が検知ルールに基づきネットワーク51の異常を検知する技術自体は、現在では一般的な技術を採用することができる。そのため、本実施形態における詳細な説明は省略する(以下、各実施形態においても同様)。
 以下の説明において、より具体的に、本実施形態における重要度算出装置1が行う重要度の演算処理及び出現情報を記憶する処理について説明する。
 (重要度の演算処理)
 以下の説明では、重要度算出装置1が行う重要度の演算処理について図3を参照して説明する。
 図3は、本発明の第1の実施形態における重要度算出装置1が行う重要度の演算処理を示すフローチャートである。係るフローチャートに沿って重要度算出装置1の動作手順を説明する。
 本実施形態において、説明の便宜上、一例として、重要度算出部2は、上述したように第1のアラートが通知された際に、第1のアラートの原因となった通信情報(例えば、通信パケット)に基づいて、重要度を求めることとする。即ち、重要度算出部2は、通信情報を構成する情報(例えば、通信パケットのペイロード)に基づいて、図3に示すフローチャートに従い演算処理を行うこととする。
 但し、説明の便宜上、重要度算出装置1は、上述した構成を例に説明するが、本実施形態を例に説明する本発明は、前述した構成には限定されない(以下の実施形態においても同様)。
 重要度算出部2は、通信情報に含まれる全てのNグラム(第1のNグラム)に対して、その第1のNグラムと同一のNグラム(第2のNグラム)が過去に出現したか否かを判別する。重要度算出部2は、その判別結果に基づいて、アラートに対する重要度を求める。即ち、重要度算出部2は、通信パケットのペイロードに含まれる全ての第1のNグラムに対する当該重要度を求める。
 本願において、Nグラムは、例えば、ペイロードに含まれる任意のn文字が連続する文字列である。
 より具体的に、まず、重要度算出部2は、Nグラム数のカウンタNEWを、値「0」により初期化する(ステップS101)。
 重要度算出部2は、ペイロードに含まれる全ての第1のNグラムに対して以下に示す処理を行う。即ち、重要度算出部2は、ペイロードに含まれる全ての第1のNグラムに対してステップS103乃至S105に示す出現判別処理が完了したか否かを判別する(ステップS102)。
 重要度算出部2は、全ての第1のNグラムに対して処理が完了していないと判断した場合に、処理をステップS103に進める(ステップS102において「NO」)。重要度算出部2は、次に処理すべき対象である第1のNグラムを取得する。即ち、重要度算出部2は、次に処理すべき対象であるNグラム(NG)を取得する(ステップS103)。但し、上述した取得するとは、抽出する、または取り出すことをも示すこととする(以下の実施形態においても同様)。
 重要度算出部2は、取得した第1のNグラムと同一の第2のNグラムが過去に出現したか否かを判別する(ステップS104)。より具体的に、例えば、重要度算出部2は、取得した第1のNグラムに基づき後述する出現情報(例えば、図10に示す出現情報102)を参照する。これによって、重要度算出部2は、第1のNグラムと同一の第2のNグラムが過去に出現したか否かを判別してもよい。即ち、重要度算出部2は、参照した結果、出現情報に第2のNグラムが含まれる場合には、第2のNグラムが過去に出現したことがあると判断してもよい。
 重要度算出部2は、判別した結果、第1のNグラムと同一の第2のNグラムが過去に出現したことがあると判断した場合に、次の処理対象である第1のNグラムに対する処理に移る。即ち、重要度算出部2は、処理をステップS102に戻す(ステップS104において「YES」)。
 一方で、重要度算出部2は、判別した結果、第1のNグラムと同一の第2のNグラムが過去に出現したことがないと判断した場合には、処理をステップS105に進める(ステップS104において「NO」)。
 重要度算出部2は、カウンタNEWの値をインクリメントする。また、重要度算出部2は、次の処理対象である第1のNグラムに対する処理に移る。即ち、重要度算出部2は、処理をステップS102に戻す(ステップS105)。
 重要度算出部2は、ステップS102において、全ての第1のNグラムに対して処理が完了したと判断した場合に、処理をステップS106に進める(ステップS102において「YES」)。
 重要度算出部2は、重要度を求める。即ち、重要度算出部2は、重要度を算出する。重要度算出部2は、次に示す式(1)によって重要度X1を求める(ステップS106)。即ち、
X1=(カウンタNEW)/(全てのNグラム数) ・・・・・(1)
ここで、「/」は、除算を表す(以下、各実施形態においても同様)。
 重要度算出部2は、求めた重要度と、第1のアラートを識別可能なアラート識別子とを関連付けて重要度情報101に記憶する(ステップS107)。その場合に、重要度算出部2は、アラート情報の中からアラート識別子を求めることとする。そして、重要度算出部2は、重要度と、求めたアラート識別子とを関連付けた状態で重要度情報101として記憶する構成を採用してもよい。
 このように、重要度算出部2は、異常の原因である通信パケットに含まれるペイロードに基づいて、重要度を求めることができる。また、求めた重要度は、例えば、不図示の提示装置(例えば、図5に示す提示装置22)や電子メールに含めることによって、通信監視システム10を利用するオペレータに対して提示される構成を採用してもよい。或いは、求めた重要度は、自装置が有するディスプレイなどのユーザインタフェースである提示手段(不図示)によって、少なくとも表示されてもよい。尚、説明の便宜上、上述した構成を例に説明するが、本実施形態を例に説明する本発明は、前述した構成には限定されない。即ち、求めた重要度は、オペレータがアラートを容易に分類することが可能な態様によって提示される構成を採用すればよい。
 これによって、オペレータは、ペイロードの新奇性(即ち、物めずらしさ)によってアラートに対する危険度を判断することができる。
 新奇性とは、例えば、第1のNグラムと同一の第2のNグラムが過去に出現していない態様を表す。
 (出現情報を記憶する処理)
 次に、以下の説明では、Nグラムの出現に関する出現情報を、重要度算出装置1が記憶する動作について図4を参照して説明する。即ち、重要度算出部2は、図4に示すフローチャートに従いペイロードに含まれる全てのNグラムに対して、そのNグラムの出現に関する出現情報を記憶する。
 図4は、本発明の第1の実施形態における重要度算出装置1が行うNグラムの出現に関する出現情報を記憶する動作を示すフローチャートである。係るフローチャートに沿って重要度算出装置1の動作手順を説明する。
 重要度算出部2は、ペイロードに含まれる全ての第1のNグラムに対して出現に関する出現情報を記憶する処理が完了したか否かを判別する(ステップS201)。
 重要度算出部2は、全ての第1のNグラムに対して処理が完了したと判断した場合に、処理を終了する(ステップS201において「YES」)。
 その一方で、重要度算出部2は、全ての第1のNグラムに対して処理が完了していないと判断した場合には、処理をステップS202に進める(ステップS201において「NO」)。重要度算出部2は、次に処理すべき処理対象である第1のNグラムを取得する(ステップS202)。重要度算出部2は、取得した第1のNグラムに対する出現情報を記憶する(ステップS203)。
 ここで、記憶される出現情報として、重要度算出部2は、出現した第1のNグラムを記憶することとする。また、重要度算出部2は、出現情報を、重要度算出装置1が有する記憶装置(不図示)に記憶する構成を採用してもよい。
 上述した本実施形態では、説明の便宜上、一例として、重要度算出部2は、ステップS104及びステップS203において、検出ルールによって区別することなく処理を実行する構成を例に説明した。しかしながら本発明に係る実施形態は、係る構成に限定されない。重要度算出部2は、検出ルール毎に、ステップS104において、第1のNグラムに同一のNグラムが過去に出現したか否かを判別する構成を採用してもよい。または、重要度算出部2は、検出ルール毎に、ステップS203において、出現情報を記憶する構成を採用してもよい。その場合に、重要度算出部2は、アラート情報を参照し、そのアラート情報に含まれる検知ルールの識別子毎に、ステップS104及びステップS203に示す処理を実行することとする。これによって、重要度算出部2は、上述した処理を容易に実現することができる。
 また、ネットワーク51に採用されている通信プロトコルが明らかである場合には、重要度算出部2は、次に示す処理を実行する構成を採用してもよい。即ち、重要度算出部2は、通信プロトコルの種別毎に、ステップS104において、第1のNグラムに同一の第2のNグラムが過去に出現したか否かを判別してもよい。または、重要度算出部2は、通信プロトコルの種別毎に、ステップS203において、出現情報を記憶してもよい。その場合に、重要度算出部2は、アラート情報を参照し、そのアラート情報に含まれるポート番号に基づき通信プロトコルの種別を特定することとする。或いは、重要度算出部2は、検知ルールの識別子に関連付けられている検知ルールに基づき通信プロトコルの種別を特定してもよい。これらによって、重要度算出部2は、上述した処理を容易に実現することができる。
 上述した本実施形態では、説明の便宜上、一例として、重要度算出部2は、IPパケットに含まれるペイロードに基づいて、重要度を算出する構成を例に説明した。しかしながら本発明に係る実施形態は、係る構成に限定されない。重要度算出部2は、IPパケットに含まれる任意のバイナリ列に基づいて、重要度を算出する構成を採用してもよい。或いは、通信監視装置としてWebアプリケーションファイアウォールなどを利用する場合には、重要度算出部2は、次に示す情報に基づいて、重要度を算出する構成を採用してもよい。即ち、重要度算出部2は、HTTP(Hypertext Transport Protocol)要求メッセージまたはHTTP応答メッセージの全体、HTTPヘッダ部またはボディ部に基づいて、重要度を算出してもよい。但し、その場合には、HTTP要求メッセージやHTTP応答メッセージが取得可能な環境であることが条件となる(以下、各実施形態においても同様)。
 このように本実施の形態に係る重要度算出装置1によれば、ネットワークの異常を表すアラートを、より効率的に判断することが可能なようにオペレータに提示することができる。その理由は、以下に述べる通りである。
 即ち、重要度算出装置1は、アラートの原因となった通信情報に含まれる情報に基づいて、アラートに対する重要度を求めることができる重要度算出部2を備えるからである。これにより、オペレータは、その重要度に基づいて、アラートの危険度を容易に判断することができる。従って、検知ルールやホストのIPアドレスなどの情報だけでは当該危険度を判断できない場合であっても、重要度算出装置1は、分類指標として重要度をオペレータに提示することができる。そのため、オペレータは、アラートの分類作業において、効率的に当該危険度を判断することができる。特に、重要度算出装置1は、新しく出現したNグラムの割合を重要度として求めることができる。そのため、オペレータは、過去に出現していない特徴をもつアラートか否かの判断を容易にすることができる。
 <第2の実施形態>
 次に、上述した本発明の第1の実施形態に係る重要度算出装置1を基本とする第2の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な部分を中心に説明する。その際、上述した各実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。
 本発明の第2の実施形態における通信監視システム20について、図5乃至図8を参照して説明する。
 図5は、本発明の第2の実施形態における通信監視システム20の構成を示すブロック図である。また、図6は、本発明の第2の実施形態における重要度算出装置21の構成を示すブロック図である。
 図5において、通信監視システム20は、大別して、重要度算出装置21、提示装置22、監視対象ネットワーク51及び通信監視装置52を有する。また、図6において、重要度算出装置21は、重要度算出部23を備える。
 本実施形態において説明する重要度算出部23は、アラートに対する重要度を、例えば、ペイロードを基に形成したヒストグラムの新奇性に基づき求めるという構成において重要度算出部2と異なる。
 以下の説明において、より具体的に、本実施形態における重要度算出装置21の動作について説明する。
 図7は、本発明の第2の実施形態における重要度算出装置21が行う重要度の演算処理を示すフローチャートである。係るフローチャートに沿って重要度算出装置21の動作手順を説明する。
 説明の便宜上、一例として、重要度算出部23は、第1のアラートの原因となった通信情報(例えば、通信パケット)に含まれる情報(例えば、通信パケットのペイロード)に基づいて、図7に示すフローチャートに従い演算処理を行うこととする。
 但し、説明の便宜上、重要度算出装置21は、上述した構成を例に説明するが、本実施形態を例に説明する本発明は、前述した構成には限定されない(以下の実施形態においても同様)。
 重要度算出部23は、通信情報を基に形成されたヒストグラムと、第2のアラートに関する過去の通信情報を基に形成されたヒストグラムの平均μ(平均値のベクトル)との乖離を示すマハラノビス距離に基づいて、アラートに対する重要度を求める。
 より具体的に、まず、重要度算出部23は、アラートに対するペイロードに基づいて、ヒストグラムHを作成する。即ち、重要度算出部23は、ペイロードに含まれる文字の出現回数を示すヒストグラムHを作成する(ステップS301)。一例として、このヒストグラムHは、256次元のベクトルとして表現することができる。
 重要度算出部23は、それまでに観測したヒストグラムの平均μと共分散行列Σとに基づいて、マハラノビス距離Dを求める(ステップS302)。重要度算出部23は、平均μと共分散行列Σとを、作成したヒストグラムHにより更新する(ステップS303)。重要度算出部23は、ステップS302において求めたマハラノビス距離Dを、重要度として与える(ステップS304)。
 共分散行列Σの逆行列が計算できない場合に、マハラノビス距離Dは、求めることができない。また、対角成分である分散が非常に小さい場合に、マハラノビス距離Dは、文字の出現回数の増減に対して極端に値が変化する可能性がある。そこで、第K成分の分散が予め設定した閾値θ(θは実数)より小さい場合には、閾値θには、共分散行列の対応する対角成分Σ(K,K)を設定することとする。但し、Kは自然数。さらに、第K成分との共分散に対応する成分は0とすることとする。これによって、重要度算出部23は、上述した条件であってもマハラノビス距離Dを求めることができる。
 提示装置22は、求めた重要度およびアラートに関するアラート情報の一部または全部のうち、少なくとも何れかを提示する機能を備える。即ち、提示装置22は、アラートに関する各種情報を、例えば、オペレータが識別可能な態様によって提示する。
 図8は、本発明の第2の実施形態における提示装置22によってアラートに関する情報が提示された態様を具体的に例示する図である。
 より具体的に、提示装置22は、図8に示すようにアラート毎に、少なくとも、アラート情報に含まれる一部の項目と、アラートに対する重要度とを提示する。即ち、例えば、提示装置22は、アラート情報に含まれる一部の項目と、アラートに対する重要度とを、提示装置22が構成するユーザインタフェースに表示する。
 図8は、提示装置22が提示する検知アラートリスト61である。図8に表(テーブル)形式で示す検知アラートリスト61において、1列目は、検知時刻を表す。2列目は、通信情報の送信元ホストのIPアドレスを表す。3列目は、通信情報の送信先ホストのIPアドレスを表す。4列目は、検知ルールを識別可能な識別子として検知ルールの名称(検知ルール名)を表す。5列目は、アラート情報に対する重要度を表す。
 上述した本実施形態では、説明の便宜上、一例として、図8に示す検知アラートリスト61には、アラート情報に含まれる一部の情報と、重要度とを提示する構成を例に説明した。しかしながら本発明に係る実施形態は、係る構成に限定されない。提示装置22は、オペレータの要求に応じて、例えば、送信元ホストのポート番号など様々な情報を提示する構成を採用してもよい。
 図8に示す検知アラートリスト61では、重要度を数値によって提示する構成を例に説明した。しかしながら本発明に係る実施形態は、係る構成に限定されない。提示装置22は、重要度の値に応じて、例えば、表示色を変更する、或いは棒グラフによって表示するなど視認性を高める表示態様によって、上述した情報を提示してもよい。これにより、オペレータは、重要度の値が大きいほど注目しやすくなり、アラートをより効率的に分類することができる。また、提示装置22は、重要度の値に応じて、例えば、音や振動のパターンを変更することによって、重要度を提示してもよい。
 提示装置22は、第1の実施形態において説明した重要度算出部2によって求めた重要度と、重要度算出部23によって求めた重要度とを提示する構成を採用してもよい。
 これにより、例えば、攻撃パケットに対する重要度を低下させることを目的として、攻撃者がペイロードを巧妙に仕組んだ場合であっても、2つの重要度を同時に低下させることは困難である。そのため、2つの重要度を提示することによって、それら重要度は補完的な役割を果たす。その結果、通信監視システム20は、重要度の高いアラートを見落とす可能性を低減することができる。
 上述した本実施形態では、説明の便宜上、一例として、重要度算出装置21と提示装置22とは、それぞれ別体に構成された例を説明した。しかしながら本発明に係る実施形態は、係る構成に限定されない。重要度算出装置21と提示装置22とは、同一の装置において構成されてもよい。その場合に、例えば、重要度算出装置21は、提示装置22を含む構成を採用してもよい。
 このように本実施の形態に係る重要度算出装置21および提示装置22によれば、第1の実施形態において説明した効果を享受できると共に、さらに、より精度の高いアラートに関する情報をオペレータに提示することができる。
 即ち、重要度算出装置21は、ペイロードに含まれる文字間の相関や出現回数のばらつきを考慮してアラートに対する重要度を求めることができる重要度算出部23を備えるからである。また、提示装置22は、求めた重要度を提示することができるからである。これにより、オペレータは、ペイロードの新奇性によってアラートに対する危険度を判断することができる。
 <第3の実施形態>
 次に、上述した本発明の第2の実施形態に係る重要度算出装置21を基本とする第3の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な部分を中心に説明する。その際、上述した各実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。
 本発明の第3の実施形態における通信監視システム30について、図9乃至図14を参照して説明する。
 図9は、本発明の第3の実施形態における通信監視システム30の構成を示すブロック図である。また、図10は、本発明の第3の実施形態における重要度算出装置31の構成を示すブロック図である。
 図9において、通信監視システム30は、大別して、重要度算出装置31、提示装置22、監視対象ネットワーク51及び通信監視装置52を有する。また、図10において、重要度算出装置31は、重要度算出部32及び取得部33を備える。
 本実施形態において説明する重要度算出部32は、アラートに対する重要度を、ペイロードに出現するNグラムにより判断するという構成については第1の実施形態において説明した重要度算出部2と同様である。しかしながら、重要度算出部32は、Nグラムが過去に出現した時刻を考慮することによって、重要度を求めるという構成において重要度算出部2と異なる。加えて、本実施形態では、第1の実施形態において図示しなかった出現情報102について説明する。
 まず、以下の説明では、出現情報102について説明する。出現情報102は、Nグラムの出現情報を保持する。出現情報102は、出現したNグラムと、そのNグラムの出現した時刻を表す出現時刻とを関連付けて保持する。即ち、出現情報102は、Nグラムと、そのNグラムの出現した直近(現在)の出現時刻とを関連付けて保持する。
 取得部33は、検知時刻順に、通信監視装置52から後述するアラート情報103とペイロード情報104とに保持されるアラート情報及びペイロード情報を取得する機能を備える。
 以下の説明において、より具体的に、本実施形態における重要度算出装置31の動作について説明する。
 図11は、本発明の第3の実施形態における重要度算出装置31が行う重要度の演算処理を示すフローチャートである。係るフローチャートに沿って重要度算出装置31の動作手順を説明する。
 本実施形態において、説明の便宜上、一例として、重要度算出装置31は、第1のアラートの原因となった通信情報(例えば、通信パケット)に含まれる情報(通信パケットのペイロード)に基づいて、図11に示すフローチャートに従い演算処理を行うこととする。
 但し、説明の便宜上、重要度算出装置31は、上述した構成を例に説明するが、本実施形態を例に説明する本発明は、前述した構成には限定されない。
 以下の説明では、第1の実施形態において説明した処理と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。
 より具体的に、重要度算出装置31は、ステップS103において取得した第1のNグラムに対する新奇性を求める。また、重要度算出装置31は、求めた新奇性を、カウンタNEWに加算する(ステップS125)。
 重要度算出装置31は、ステップS106において、新奇性が加算されたカウンタNEWと全てのNグラム数とに基づいて、次式(2)によって重要度X2を求めることができる。即ち、
X2=(カウンタNEW)/(全てのNグラム数) ・・・・・(2)
このように、重要度算出装置31は、新奇性の平均値を重要度として求める。
 より具体的に、以下の説明では、重要度算出装置31が新奇性を求める動作について説明する。
 重要度算出装置31は、出現情報102の中から、ステップS103において取得した第1のNグラムに関連付けられた出現時刻を取得する。即ち、重要度算出装置31は、出現情報102の中から、現在の時刻から最も近接する(直近の)出現時刻を取得する。換言すると、重要度算出装置31は、第1のNグラムと同一の第2のNグラムが過去に出現した出現時刻を取得する。
 重要度算出装置31は、取得した出現時刻から異常が検知された検知時刻までの経過時間Δを求める。その場合に、重要度算出装置31は、検知時刻を、後述するアラート情報103から取得することによって実現してもよい。
 重要度算出装置31は、経過時間Δが大きいほど大きな値を取り、且つ上限を持つよう設定することにより新奇性を求める。より具体的に、例えば、新奇性の計算には、1より小さい定数Kに対して(1-power(K,Δ))を用いることができる。但し、新奇性の計算方法はこれに限定されない。新奇性の計算には、上述の条件を満たす任意の経過時間Δの関数を用いることができる。ここで、「-」は、減算を表す。「power(K,Δ)」は、KのΔ乗を表すこととする。
 但し、出現情報102の中に第1のNグラムに関連付けられた出現時刻がない場合には、経過時間Δは、Δ=∞とすることとする。
 このように、重要度算出装置31は、第1のNグラムと、第1のNグラムと同一の第2のNグラムが過去に出現した出現時刻から異常が検知された検知時刻までの経過時間とに基づき新奇性を求める。そして、重要度算出装置31は、求めた新奇性と、全てのNグラム数とに基づいて、重要度を求めることができる。即ち、重要度算出装置31は、新奇性の平均値を重要度として求めることができる。
 重要度を求めた後に、重要度算出装置31は、出現した第1のNグラムと、その第1のNグラムの出現した出現時刻とを関連付けて出現情報102として記憶する。尚、出現情報を記憶する処理についても第1の実施形態と同様である。そのため、詳細な説明は、省略する。
 次に、通信監視装置52について、図12を参照して説明する。図12は、本発明の第3の実施形態における通信監視装置52の構成を示すブロック図である。
 図12において、通信監視装置52は、検知部53及び通知部54を有する。また、アラート情報103およびペイロード情報104とは、例えば、不図示の記憶装置に記憶されていることとする。
 検知部53は、ネットワーク51に流れる通信パケットを監視する機能を備える。より具体的に、検知部53は、検知ルールに基づいて、例えば、ネットワーク51に対する外部からの攻撃など異常を検知する。そして、検知部53は、その攻撃を検知するのに応じて、アラート情報103にアラート情報を記憶する。また、検知部53は、通信パケットに含まれるペイロードを、ペイロード情報104に記憶する。
 本実施形態において、アラート情報103は、アラート毎に、アラート識別子をキーとして、検知時刻と、検知ルールの識別子と、送信元のIPアドレスおよびポート番号と、送信先ホストのIPアドレスおよびポート番号とが関連付けられた情報を含む。
 また、ペイロード情報104は、アラート毎に、アラート識別子とペイロードとが関連付けられた情報を含む。即ち、ペイロード情報104には、ペイロードとアラート情報103に保持されているアラート情報との対応関係と共に関連付けされた状態で記憶されている。
 通知部54は、検知部53が当該攻撃を検知した際に、その検知したことを示すアラートを重要度算出装置31に対して通知する。
 以下の説明では、提示装置22について、図13を参照して説明する。図13は、本発明の第3の実施形態における提示装置22の構成を示すブロック図である。
 図13において、提示装置22は、アラート情報取得部34、重要度取得部35及び提示部36を有する。
 提示装置22は、アラート情報と共にアラートに対する重要度を、例えば、オペレータに提示する機能を有する。
 より具体的に、アラート情報取得部34は、アラート情報103に保持されるアラート情報の中から検索条件と一致するアラート情報を取得する機能を備える。
 重要度取得部35は、アラート情報取得部34により取得されたアラート情報に含まれるアラート識別子と合致する重要度を、重要度情報101の中から取得する機能を備える。
 上述した本実施形態では、説明の便宜上、一例として、アラート情報取得部34および重要度取得部35は、情報を取得する構成を例に説明した。しかしながら本発明に係る実施形態は、係る構成に限定されない。アラート情報取得部34および重要度取得部35は、要求に応じて当該情報が与えられる構成を採用してもよい。
 提示部36は、アラート情報取得部34が取得したアラート情報と共に重要度取得部35が取得した重要度とを提示する機能を備える。
 以下の説明では、より具体的に、本実施形態における通信監視システム30の動作について説明する。
 図14は、本発明の第3の実施形態における通信監視システム30が行う動作を示すシーケンス図(フローチャート)である。係るフローチャートに沿って通信監視システム30の動作手順を説明する。
 通信監視装置52の検知部53は、検知ルールに基づいて、ネットワーク51における攻撃を検知する(ステップS401)。検知部53は、攻撃を検知するのに応じて、アラート情報をアラート情報103に記憶する。また、検知部53は、アラートの原因となった通信パケットに含まれるペイロードをペイロード情報104に記憶する(ステップS402)。
 通信監視装置52の通知部54は、検知部53が当該攻撃を検知した際に、重要度算出装置31に対して、新たに異常が検知されたことを通知する。即ち、通知部54は、重要度算出装置31に対して、アラートを通知する(ステップS403)。
 重要度算出装置31は、通知部54から通知されたアラートを受信する。重要度算出装置31の取得部33は、アラート情報103に含まれるアラート情報と、ペイロード情報104に含まれるペイロードとを取得する。
 その場合に、取得するアラート情報は、指定した時刻以降のアラート情報を全て取得されるよう構成してもよい。また、取得するアラート情報は、次に示す処理によって取得されるよう構成してもよい。即ち、通知部54は、新たに通知するアラートのアラート識別子を、取得部33に対して通知する。取得部33は、アラート情報を取得するに際して、通知部54から通知されたアラート識別子を指定することによってアラート情報を取得してもよい。或いは、図14のステップS403において、通知部54は、重要度算出装置31に対してアラートを通知する際に、そのアラートにアラート情報とペイロードとを含めて通知してもよい。これにより、取得部33は、通知されたアラートに含まれるアラート情報とペイロード情報とを取得してもよい。
 より具体的に、一例として、取得部33は、アラートのアラート識別子を通信監視装置52に対して通知する(ステップS404)。通信監視装置52は、通知されたアラート識別子に基づき求めたアラート情報とペイロードとを応答に含め取得部33に対して送信する(ステップS405)。取得部33は、アラート情報とペイロードとを取得する。また、取得部33は、取得したアラート情報とペイロードとを入力として、重要度算出部32に対して与える(ステップS406)。
 重要度算出部32は、アラート情報とペイロードとを入力として受け取ると、重要度を算出する。また、重要度算出部32は、算出した重要度と当該アラート情報に含まれるアラート識別子とを関連付けて重要度情報101として記憶する(ステップS407)。
 提示装置22は、オペレータの操作をトリガーとして処理を開始する。即ち、提示装置22のアラート情報取得部34は、アラート情報103の中からアラート情報を取得する。さらに、提示装置22の重要度取得部35は、取得したアラート情報に含まれるアラート識別子に基づいて、重要度情報101の中からアラート識別子に関連づけられた重要度を取得する。
 より具体的に、一例として、アラート情報取得部34は、通知されたアラートのアラート識別子を通信監視装置52に対して通知する(ステップS408)。通信監視装置52は、通知されたアラート識別子に基づき求めたアラート情報を応答に含めアラート情報取得部34に対して送信する(ステップS409)。アラート情報取得部34は、アラート情報を取得する(ステップS410)。
 重要度取得部35は、取得したアラート情報に含まれるアラート識別子を重要度算出装置31に対して通知する(ステップS411)。重要度算出装置31は、通知されたアラート識別子に基づき求めた重要度を応答に含め重要度取得部35に対して送信する(ステップS412)。重要度取得部35は、重要度を取得する(ステップS413)。提示部36は、取得したアラート情報と重要度とをオペレータに対して提示する(ステップS414)。
 このように本実施の形態に係る重要度算出装置31および提示装置22によれば、各実施形態において説明した効果を享受できると共に、さらに、より精度の高いアラートに関する情報をオペレータに提示することができる。
 その理由は、重要度算出装置31は、直近の出現時刻から異常が検知された検知時刻までの経過時間に基づき求めたNグラムの新奇性を利用することによってアラートに対する重要度を求める重要度算出部32を備えるからである。当該経過時間は、Nグラムにおける平均出現間隔の近似値である。即ち、重要度算出部32が求めた重要度は、Nグラムの出現頻度に基づいて求められた重要度であるといえる。
 例えば、第1の実施形態において求めた重要度は、時間経過によって平均値が小さくなる可能性がある。その理由は、出現したNグラムは、時間と共に単調に増加していくためである。それに対して、重要度算出装置31は、当該経過時間を利用することによって、過去に出現したがその後出現していないNグラムの影響による重要度の低下を抑制することができる。
 (ハードウェア構成例)
 上述した実施形態において図面に示した各部は、ソフトウェアプログラムの機能単位(処理単位、ソフトウェアモジュール)と捉えることができる。これらの各ソフトウェアモジュールは、専用のハードウェアによって実現してもよい。但し、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定され得る。この場合のハードウェア環境の一例を、図15を参照して説明する。但し、図15中の矢印の向きは、一例を示すものであり、ブロック間の信号の向きを限定するものではない。
 図15は、本発明の模範的な実施形態に係る重要度算出装置及び提示装置を実行可能な情報処理装置(コンピュータ)300の構成を例示的に説明する図である。即ち、図15は、サーバ等のコンピュータ(情報処理装置)の構成であって、上述した実施形態における各機能を実現可能なハードウェア環境を表す。このコンピュータは、重要度算出装置1(図2)、重要度算出装置21(図5、図6)、提示装置22(図5、図9、図13)、或いは、重要度算出装置31(図9、図10)、の全体または一部の重要度算出装置及び提示装置を実現可能である。
 図15に示した情報処理装置300は、以下の構成がバス(通信線)306を介して接続された一般的なコンピュータである。
 ・CPU(Central_Processing_Unit)301、
 ・ROM(Read_Only_Memory)302、
 ・RAM(Random_Access_Memory)303、
 ・ハードディスク304(記憶装置)、
 ・外部装置との通信インタフェース(図15において通信「I/F」(Interface)と示す)305、
 ・CD-ROM(Compact_Disc_Read_Only_Memory)等の記録媒体307に格納されたデータを読み書き可能なリーダライタ308。
 そして、上述した実施形態を例に説明した本発明は、以下の手順によって達成される。即ち、図15に示した情報処理装置300に対して係る実施形態において参照したブロック構成図(図1、図2、図5、図6、図9、図10、図13)或いはフローチャート(図3、図4、図7、図14)の機能を実現可能なコンピュータ・プログラムが供給される。その後、そのコンピュータ・プログラムは、当該ハードウェアのCPU301に読み出されて実行されることによって達成される。また、当該装置内に供給されたコンピュータ・プログラムは、読み書き可能な一時記憶メモリ(RAM303)またはハードディスク304等の不揮発性の記憶デバイスに格納すれば良い。
 また、前記の場合において、当該ハードウェア内へのコンピュータ・プログラムの供給方法は、現在では一般的な手順を採用することができる。例えば、供給方法は、CD-ROM等の各種記録媒体307を介して当該装置内にインストールする方法や、インターネット等の通信回線を介して外部よりダウンロードする方法等である。そして、このような場合において、本発明は、係るコンピュータ・プログラムを構成するコード、或いはそのコードが格納された記録媒体によって構成されると捉えることができる。
 以上、実施形態を参照して本発明を説明してきたが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
 この出願は、2014年12月10日に出願された日本出願特願2014-249566を基礎とする優先権を主張し、その開示の全てをここに取り込む。
 1  重要度算出装置
 2  重要度算出部
 10  通信監視システム
 20  通信監視システム
 21  重要度算出装置
 22  提示装置
 23  重要度算出部
 30  通信監視システム
 31  重要度算出装置
 32  重要度算出部
 33  取得部
 34  アラート情報取得部
 35  重要度取得部
 36  提示部
 51  ネットワーク
 51  監視対象ネットワーク
 52  通信監視装置
 53  検知部
 54  通知部
 61  検知アラートリスト
 101  重要度情報
 102  出現情報
 103  アラート情報
 104  ペイロード情報
 300  情報処理装置
 301  CPU
 302  ROM
 303  RAM
 304  ハードディスク
 305  通信インタフェース
 306  バス
 307  記録媒体
 308  リーダライタ

Claims (10)

  1.  監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める重要度算出手段を備える
    重要度算出装置。
  2.  前記重要度算出手段は、
    前記通信情報に含まれる全ての第1のNグラムに対して、その第1のNグラムと同一の第2のNグラムが過去に出現したか否かを判別し、その判別結果に基づいて、前記重要度を求める
    請求項1に記載の重要度算出装置。
  3.  前記重要度算出手段は、
    前記通信情報を基に形成されたヒストグラムと、前記第2のアラートに関する通信情報を基に形成されたヒストグラムの平均との乖離に基づいて、前記重要度を求める
    請求項1に記載の重要度算出装置。
  4.  前記重要度算出手段は、
    前記通信情報に含まれる全ての第1のNグラムに対して、その第1のNグラムと同一の第2のNグラムが過去に出現した出現時刻から前記異常が検知された検知時刻までの経過時間に基づき求めた新奇性と、前記全ての第1のNグラムの数とに基づいて、前記重要度を求める
    請求項1に記載の重要度算出装置。
  5.  前記求めた重要度および前記アラートに関するアラート情報の一部または全部のうち、少なくとも何れかをオペレータが識別可能な態様によって提示する提示手段を備える
    請求項1乃至請求項4の何れかに記載の重要度算出装置。
  6.  前記アラート情報は、
    少なくとも、前記アラートを識別可能なアラート識別子と、前記異常が検知された検知時刻と、前記異常を検知する際に用いられた検知ルールと、前記アラートの原因となった通信情報の送信元ホストのIPアドレスおよびポート番号と、前記通信情報の送信先ホストのIPアドレスおよびポート番号とが関連付けられた情報を含む
    請求項5に記載の重要度算出装置。
  7.  監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める
    通信監視システム。
  8.  請求項1乃至請求項6の何れかに記載された重要度算出装置によって求められた重要度、およびアラートに関するアラート情報の一部または全部のうち、少なくとも何れかをオペレータが識別可能な態様によって提示する提示手段を備える
    提示装置。
  9.  監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める
    重要度算出方法。
  10.  監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める機能を
    コンピュータに実現させるコンピュータ・プログラムが格納された記憶媒体。
PCT/JP2015/006117 2014-12-10 2015-12-08 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体 WO2016092834A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US15/532,171 US10454959B2 (en) 2014-12-10 2015-12-08 Importance-level calculation device, output device, and recording medium in which computer program is stored
JP2016563511A JP6677169B2 (ja) 2014-12-10 2015-12-08 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2014249566 2014-12-10
JP2014-249566 2014-12-10

Publications (1)

Publication Number Publication Date
WO2016092834A1 true WO2016092834A1 (ja) 2016-06-16

Family

ID=56107046

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2015/006117 WO2016092834A1 (ja) 2014-12-10 2015-12-08 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体

Country Status (3)

Country Link
US (1) US10454959B2 (ja)
JP (1) JP6677169B2 (ja)
WO (1) WO2016092834A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018179329A1 (ja) * 2017-03-31 2018-10-04 日本電気株式会社 抽出装置、抽出方法、コンピュータ可読媒体
WO2018235252A1 (ja) * 2017-06-23 2018-12-27 日本電気株式会社 分析装置、ログの分析方法及び記録媒体
JP2019149781A (ja) * 2018-02-28 2019-09-05 沖電気工業株式会社 セキュリティインシデント検出システム

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10091217B2 (en) * 2016-06-21 2018-10-02 Logrhythm, Inc. Risk based priority processing of data

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004234401A (ja) * 2003-01-31 2004-08-19 Hitachi Ltd セキュリティ診断情報収集システム及びセキュリティ診断システム
WO2014045827A1 (ja) * 2012-09-19 2014-03-27 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4619254B2 (ja) 2005-09-30 2011-01-26 富士通株式会社 Idsのイベント解析及び警告システム
US8271403B2 (en) * 2005-12-09 2012-09-18 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Method and apparatus for automatic comparison of data sequences using local and global relationships
US20110035802A1 (en) * 2009-08-07 2011-02-10 Microsoft Corporation Representing virtual object priority based on relationships
US9003518B2 (en) * 2010-09-01 2015-04-07 Raytheon Bbn Technologies Corp. Systems and methods for detecting covert DNS tunnels

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004234401A (ja) * 2003-01-31 2004-08-19 Hitachi Ltd セキュリティ診断情報収集システム及びセキュリティ診断システム
WO2014045827A1 (ja) * 2012-09-19 2014-03-27 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018179329A1 (ja) * 2017-03-31 2018-10-04 日本電気株式会社 抽出装置、抽出方法、コンピュータ可読媒体
JPWO2018179329A1 (ja) * 2017-03-31 2019-12-12 日本電気株式会社 抽出装置、抽出方法、コンピュータ可読媒体
US11405411B2 (en) 2017-03-31 2022-08-02 Nec Corporation Extraction apparatus, extraction method, computer readable medium
WO2018235252A1 (ja) * 2017-06-23 2018-12-27 日本電気株式会社 分析装置、ログの分析方法及び記録媒体
JPWO2018235252A1 (ja) * 2017-06-23 2020-04-16 日本電気株式会社 分析装置、ログの分析方法及び分析プログラム
JP2019149781A (ja) * 2018-02-28 2019-09-05 沖電気工業株式会社 セキュリティインシデント検出システム

Also Published As

Publication number Publication date
JP6677169B2 (ja) 2020-04-08
US20170272457A1 (en) 2017-09-21
US10454959B2 (en) 2019-10-22
JPWO2016092834A1 (ja) 2017-09-21

Similar Documents

Publication Publication Date Title
JP6680840B2 (ja) 不正デジタル証明書の自動検出
US11831785B2 (en) Systems and methods for digital certificate security
CN109829297B (zh) 监控装置、方法及其电脑存储介质
US11968227B2 (en) Detecting KERBEROS ticket attacks within a domain
US10728264B2 (en) Characterizing behavior anomaly analysis performance based on threat intelligence
US20220377093A1 (en) System and method for data compliance and prevention with threat detection and response
EP3287927B1 (en) Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
US9032521B2 (en) Adaptive cyber-security analytics
US7805762B2 (en) Method and system for reducing the false alarm rate of network intrusion detection systems
JP2018508918A (ja) スペースおよび時間効率のよい脅威検知
WO2016092834A1 (ja) 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体
WO2016208159A1 (ja) 情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体
CN109155774A (zh) 用于检测安全威胁的系统和方法
WO2019026310A1 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
CN113711559B (zh) 检测异常的系统和方法
US20170155683A1 (en) Remedial action for release of threat data
US20220407873A1 (en) Analysis device and analysis method
US20150222648A1 (en) Apparatus for analyzing the attack feature dna and method thereof
WO2016092836A1 (ja) 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体
CN113127855A (zh) 安全防护系统及方法
KR20110027907A (ko) 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법
JP2005228177A (ja) セキュリティ管理装置及びセキュリティ管理方法及びプログラム
CN108173828B (zh) 数据传输方法、装置及存储介质
Dodds When is the right time to outsource your security function?

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15868586

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 15532171

Country of ref document: US

ENP Entry into the national phase

Ref document number: 2016563511

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 15868586

Country of ref document: EP

Kind code of ref document: A1