WO2016092834A1 - 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体 - Google Patents
通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体 Download PDFInfo
- Publication number
- WO2016092834A1 WO2016092834A1 PCT/JP2015/006117 JP2015006117W WO2016092834A1 WO 2016092834 A1 WO2016092834 A1 WO 2016092834A1 JP 2015006117 W JP2015006117 W JP 2015006117W WO 2016092834 A1 WO2016092834 A1 WO 2016092834A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- alert
- importance
- information
- importance calculation
- communication
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める重要度算出手段を備える。
前記の構成を有する重要度算出装置によって求められた重要度、およびアラートに関するアラート情報の一部または全部の少なくとも何れかをオペレータが識別可能な態様によって提示する提示手段を備える。
監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める。
図1は、本発明の第1の実施形態における通信監視システム10の構成を示すブロック図である。また、図2は、本発明の第1の実施形態における重要度算出装置1の構成を示すブロック図である。
・検知時刻、
・検知ルールを識別可能な識別子、
・異常の原因である通信情報の送信元のIPアドレスおよびポート番号及び
・当該通信情報の送信先ホストのIPアドレスおよびポート番号。
即ち、アラート情報は、アラート識別子をキーとして、検知時刻と、検知ルールの識別子と、送信元のIPアドレスおよびポート番号と、送信先ホストのIPアドレスおよびポート番号とが関連付けられた情報である。
以下の説明では、重要度算出装置1が行う重要度の演算処理について図3を参照して説明する。
X1=(カウンタNEW)/(全てのNグラム数) ・・・・・(1)
ここで、「/」は、除算を表す(以下、各実施形態においても同様)。
次に、以下の説明では、Nグラムの出現に関する出現情報を、重要度算出装置1が記憶する動作について図4を参照して説明する。即ち、重要度算出部2は、図4に示すフローチャートに従いペイロードに含まれる全てのNグラムに対して、そのNグラムの出現に関する出現情報を記憶する。
次に、上述した本発明の第1の実施形態に係る重要度算出装置1を基本とする第2の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な部分を中心に説明する。その際、上述した各実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。
次に、上述した本発明の第2の実施形態に係る重要度算出装置21を基本とする第3の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な部分を中心に説明する。その際、上述した各実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。
X2=(カウンタNEW)/(全てのNグラム数) ・・・・・(2)
このように、重要度算出装置31は、新奇性の平均値を重要度として求める。
上述した実施形態において図面に示した各部は、ソフトウェアプログラムの機能単位(処理単位、ソフトウェアモジュール)と捉えることができる。これらの各ソフトウェアモジュールは、専用のハードウェアによって実現してもよい。但し、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定され得る。この場合のハードウェア環境の一例を、図15を参照して説明する。但し、図15中の矢印の向きは、一例を示すものであり、ブロック間の信号の向きを限定するものではない。
・ROM(Read_Only_Memory)302、
・RAM(Random_Access_Memory)303、
・ハードディスク304(記憶装置)、
・外部装置との通信インタフェース(図15において通信「I/F」(Interface)と示す)305、
・CD-ROM(Compact_Disc_Read_Only_Memory)等の記録媒体307に格納されたデータを読み書き可能なリーダライタ308。
2 重要度算出部
10 通信監視システム
20 通信監視システム
21 重要度算出装置
22 提示装置
23 重要度算出部
30 通信監視システム
31 重要度算出装置
32 重要度算出部
33 取得部
34 アラート情報取得部
35 重要度取得部
36 提示部
51 ネットワーク
51 監視対象ネットワーク
52 通信監視装置
53 検知部
54 通知部
61 検知アラートリスト
101 重要度情報
102 出現情報
103 アラート情報
104 ペイロード情報
300 情報処理装置
301 CPU
302 ROM
303 RAM
304 ハードディスク
305 通信インタフェース
306 バス
307 記録媒体
308 リーダライタ
Claims (10)
- 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める重要度算出手段を備える
重要度算出装置。 - 前記重要度算出手段は、
前記通信情報に含まれる全ての第1のNグラムに対して、その第1のNグラムと同一の第2のNグラムが過去に出現したか否かを判別し、その判別結果に基づいて、前記重要度を求める
請求項1に記載の重要度算出装置。 - 前記重要度算出手段は、
前記通信情報を基に形成されたヒストグラムと、前記第2のアラートに関する通信情報を基に形成されたヒストグラムの平均との乖離に基づいて、前記重要度を求める
請求項1に記載の重要度算出装置。 - 前記重要度算出手段は、
前記通信情報に含まれる全ての第1のNグラムに対して、その第1のNグラムと同一の第2のNグラムが過去に出現した出現時刻から前記異常が検知された検知時刻までの経過時間に基づき求めた新奇性と、前記全ての第1のNグラムの数とに基づいて、前記重要度を求める
請求項1に記載の重要度算出装置。 - 前記求めた重要度および前記アラートに関するアラート情報の一部または全部のうち、少なくとも何れかをオペレータが識別可能な態様によって提示する提示手段を備える
請求項1乃至請求項4の何れかに記載の重要度算出装置。 - 前記アラート情報は、
少なくとも、前記アラートを識別可能なアラート識別子と、前記異常が検知された検知時刻と、前記異常を検知する際に用いられた検知ルールと、前記アラートの原因となった通信情報の送信元ホストのIPアドレスおよびポート番号と、前記通信情報の送信先ホストのIPアドレスおよびポート番号とが関連付けられた情報を含む
請求項5に記載の重要度算出装置。 - 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める
通信監視システム。 - 請求項1乃至請求項6の何れかに記載された重要度算出装置によって求められた重要度、およびアラートに関するアラート情報の一部または全部のうち、少なくとも何れかをオペレータが識別可能な態様によって提示する提示手段を備える
提示装置。 - 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める
重要度算出方法。 - 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれ、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報には含まれない特徴に基づいて、前記第1のアラートに対する重要度を求める機能を
コンピュータに実現させるコンピュータ・プログラムが格納された記憶媒体。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/532,171 US10454959B2 (en) | 2014-12-10 | 2015-12-08 | Importance-level calculation device, output device, and recording medium in which computer program is stored |
JP2016563511A JP6677169B2 (ja) | 2014-12-10 | 2015-12-08 | 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラム |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014249566 | 2014-12-10 | ||
JP2014-249566 | 2014-12-10 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2016092834A1 true WO2016092834A1 (ja) | 2016-06-16 |
Family
ID=56107046
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2015/006117 WO2016092834A1 (ja) | 2014-12-10 | 2015-12-08 | 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10454959B2 (ja) |
JP (1) | JP6677169B2 (ja) |
WO (1) | WO2016092834A1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018179329A1 (ja) * | 2017-03-31 | 2018-10-04 | 日本電気株式会社 | 抽出装置、抽出方法、コンピュータ可読媒体 |
WO2018235252A1 (ja) * | 2017-06-23 | 2018-12-27 | 日本電気株式会社 | 分析装置、ログの分析方法及び記録媒体 |
JP2019149781A (ja) * | 2018-02-28 | 2019-09-05 | 沖電気工業株式会社 | セキュリティインシデント検出システム |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10091217B2 (en) * | 2016-06-21 | 2018-10-02 | Logrhythm, Inc. | Risk based priority processing of data |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004234401A (ja) * | 2003-01-31 | 2004-08-19 | Hitachi Ltd | セキュリティ診断情報収集システム及びセキュリティ診断システム |
WO2014045827A1 (ja) * | 2012-09-19 | 2014-03-27 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4619254B2 (ja) | 2005-09-30 | 2011-01-26 | 富士通株式会社 | Idsのイベント解析及び警告システム |
US8271403B2 (en) * | 2005-12-09 | 2012-09-18 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | Method and apparatus for automatic comparison of data sequences using local and global relationships |
US20110035802A1 (en) * | 2009-08-07 | 2011-02-10 | Microsoft Corporation | Representing virtual object priority based on relationships |
US9003518B2 (en) * | 2010-09-01 | 2015-04-07 | Raytheon Bbn Technologies Corp. | Systems and methods for detecting covert DNS tunnels |
-
2015
- 2015-12-08 US US15/532,171 patent/US10454959B2/en active Active
- 2015-12-08 JP JP2016563511A patent/JP6677169B2/ja active Active
- 2015-12-08 WO PCT/JP2015/006117 patent/WO2016092834A1/ja active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004234401A (ja) * | 2003-01-31 | 2004-08-19 | Hitachi Ltd | セキュリティ診断情報収集システム及びセキュリティ診断システム |
WO2014045827A1 (ja) * | 2012-09-19 | 2014-03-27 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018179329A1 (ja) * | 2017-03-31 | 2018-10-04 | 日本電気株式会社 | 抽出装置、抽出方法、コンピュータ可読媒体 |
JPWO2018179329A1 (ja) * | 2017-03-31 | 2019-12-12 | 日本電気株式会社 | 抽出装置、抽出方法、コンピュータ可読媒体 |
US11405411B2 (en) | 2017-03-31 | 2022-08-02 | Nec Corporation | Extraction apparatus, extraction method, computer readable medium |
WO2018235252A1 (ja) * | 2017-06-23 | 2018-12-27 | 日本電気株式会社 | 分析装置、ログの分析方法及び記録媒体 |
JPWO2018235252A1 (ja) * | 2017-06-23 | 2020-04-16 | 日本電気株式会社 | 分析装置、ログの分析方法及び分析プログラム |
JP2019149781A (ja) * | 2018-02-28 | 2019-09-05 | 沖電気工業株式会社 | セキュリティインシデント検出システム |
Also Published As
Publication number | Publication date |
---|---|
JP6677169B2 (ja) | 2020-04-08 |
US20170272457A1 (en) | 2017-09-21 |
US10454959B2 (en) | 2019-10-22 |
JPWO2016092834A1 (ja) | 2017-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6680840B2 (ja) | 不正デジタル証明書の自動検出 | |
US11831785B2 (en) | Systems and methods for digital certificate security | |
CN109829297B (zh) | 监控装置、方法及其电脑存储介质 | |
US11968227B2 (en) | Detecting KERBEROS ticket attacks within a domain | |
US10728264B2 (en) | Characterizing behavior anomaly analysis performance based on threat intelligence | |
US20220377093A1 (en) | System and method for data compliance and prevention with threat detection and response | |
EP3287927B1 (en) | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device | |
JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
US9032521B2 (en) | Adaptive cyber-security analytics | |
US7805762B2 (en) | Method and system for reducing the false alarm rate of network intrusion detection systems | |
JP2018508918A (ja) | スペースおよび時間効率のよい脅威検知 | |
WO2016092834A1 (ja) | 通信監視システム、重要度算出装置及びその算出方法、提示装置、並びにコンピュータ・プログラムが格納された記録媒体 | |
WO2016208159A1 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体 | |
CN109155774A (zh) | 用于检测安全威胁的系统和方法 | |
WO2019026310A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
CN113711559B (zh) | 检测异常的系统和方法 | |
US20170155683A1 (en) | Remedial action for release of threat data | |
US20220407873A1 (en) | Analysis device and analysis method | |
US20150222648A1 (en) | Apparatus for analyzing the attack feature dna and method thereof | |
WO2016092836A1 (ja) | 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体 | |
CN113127855A (zh) | 安全防护系统及方法 | |
KR20110027907A (ko) | 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법 | |
JP2005228177A (ja) | セキュリティ管理装置及びセキュリティ管理方法及びプログラム | |
CN108173828B (zh) | 数据传输方法、装置及存储介质 | |
Dodds | When is the right time to outsource your security function? |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 15868586 Country of ref document: EP Kind code of ref document: A1 |
|
WWE | Wipo information: entry into national phase |
Ref document number: 15532171 Country of ref document: US |
|
ENP | Entry into the national phase |
Ref document number: 2016563511 Country of ref document: JP Kind code of ref document: A |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 15868586 Country of ref document: EP Kind code of ref document: A1 |