WO2016092836A1 - 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体 - Google Patents

通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体 Download PDF

Info

Publication number
WO2016092836A1
WO2016092836A1 PCT/JP2015/006119 JP2015006119W WO2016092836A1 WO 2016092836 A1 WO2016092836 A1 WO 2016092836A1 JP 2015006119 W JP2015006119 W JP 2015006119W WO 2016092836 A1 WO2016092836 A1 WO 2016092836A1
Authority
WO
WIPO (PCT)
Prior art keywords
information
alert
communication
presentation
similar
Prior art date
Application number
PCT/JP2015/006119
Other languages
English (en)
French (fr)
Inventor
池田 聡
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Priority to US15/532,588 priority Critical patent/US10846400B2/en
Priority to JP2016563513A priority patent/JPWO2016092836A1/ja
Publication of WO2016092836A1 publication Critical patent/WO2016092836A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

 ネットワークの異常を表すアラートをより効率的に判断することが可能な態様によってオペレータに提示することが可能な提示装置等を提供する。 提示装置1は、監視対象である通信ネットワーク51において異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づき求められた類似性を表す類似情報を提示する提示部2を備える。

Description

通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体
 本発明は、監視対象であるネットワークを監視する技術分野に関する。
 企業ネットワークでは、例えば、外部の通信ネットワークからの攻撃や悪意ある第三者からの不正侵入を防ぐことを目的として、ファイアウォールや侵入検知システムなどにより通信の遮断や監視などを行っている。尚、本願において、以下の説明では、「通信ネットワーク」を、単に「ネットワーク」と記載する場合もある。また、以下の説明では、侵入検知システムを、IDS(Intrusion Detection System)と記載する場合もある。
 特に、近年では、企業の知的財産に関する情報や機密情報などの窃取を目的とする標的型攻撃による事例は増加傾向にある。それに伴い、サイバーセキュリティに対する需要は高まっている。
 サイバーセキュリティ対策としては、セキュリティーオペレーションセンターを導入することによって、監視対象であるネットワークの監視およびインシデントに対処することが一般的になっている。尚、以下の説明では、セキュリティーオペレーションセンターを、SOC(Security Operation Center)と記載する場合もある。例えば、企業では、このSOCを企業内に設置する、或いはSOCの運営を外部企業に委託することにより実現する。
 より具体的に、ネットワークを監視する業務では、ファイアウォールやIDSなどの監視機器から通知されたアラートを、所定の危険度に基づいて分類する作業を行う。例えば、アラートには、外部からの攻撃であるが危険性のないアラートも含まれる。即ち、当該監視機器から通知された全てのアラートは、必ずしもインシデントとして報告する必要があるわけではない。そのため、監視業務を行うオペレータは、当該アラートに含まれる情報を確認する、または外部情報を参照する。これによって、オペレータは、当該アラートに対して適切な危険度を設定する。そして、オペレータは、必要に応じて、当該アラートをインシデントとして報告することができる。この分類作業の際に参照するアラート情報には、次に示す情報が挙げられる。即ち、アラート情報は、監視対象の異常を検知する際に用いられた検知ルール、送受信を行ったホストのIPアドレスおよびポート番号、セキュリティベンダーによって割り当てられた検知ルールに対する重要度などを表す情報を含む。尚、IPは、Internet Protocolの略称である。
 ここで、本願出願に先立って存在する関連技術としては、例えば、特許文献1がある。特許文献1は、監視対象であるネットワークに設置されたIDSセンサから通知されたイベントデータ(アラート情報)を解析する。これによって、特許文献1は、アラートを発行するイベント解析及び警告システムに関する技術を開示する。
 このイベント解析及び警告システムは、イベントデータと、過去に不正アクセスであると判定したアラートとに基づいて、当該イベントデータにより示される通信イベントが不正アクセスか否かを機械的に判定する。より具体的に、イベント解析及び警告システムは、イベントデータに含まれるシグネチャ(検知ルール)、IPアドレスおよびポート番号の一部または全部の項目と、過去に不正アクセスと判定したアラートとを比較する。その結果、イベント解析及び警告システムは、当該各項目と、不正アクセスと判定したアラートとの一致点または類似点を以って不正アクセスか否かを判定する。
特許第4619254号公報
 上述したように通信監視システムは、アラートに含まれる定型的な項目を解析することによって、オペレータの分類作業を支援することができる。しかしながら、通信監視システムでは、アラートの原因となったパケットに含まれるペイロードのように不定型な構造を持つ要素に関しては、オペレータの目視により当該アラートの危険度を判断する必要がある。
 また、特許文献1には、イベントデータと、過去に不正アクセスであると判定したアラートとに基づいて、通信イベントが不正アクセスか否かを判定することが記載されている。しかしながら、アラートを分類する際の判断基準としては、イベントデータと、当該アラートとの一致点または類似点だけでは不十分な場合がある。
 一例として、以下の説明では、過去に分類されたアラートは、誤検知により分類されたアラートとする。また、当該過去に分類されたアラートは、検知ルールと通信イベントの送信元および送信先を示す情報とに基づいて分類されたこととする。その場合に、特許文献1に開示された技術では、当該過去に分類されたアラートに関する項目と、新たに通知されたアラートに関する項目とが一致したからといって、その新たに通知されたアラートを同じく誤検知として分類できるわけではない。即ち、当該判断基準としては、検知ルールと通信イベントの送信元および送信先を示す情報とだけでは不十分である。
 以下の説明では、説明の便宜上、IDSを含む通信監視システムを例に説明する。例えば、アラートの分類作業において、異常と検知された通信パケットに含まれるペイロードを確認するまでは、オペレータは、アラートの危険度を、最終的に判断をすることができない可能性がある。より具体的に、通信監視システムは、アラートに含まれる定型的な項目を解析することによって、オペレータによる分類作業を支援することができる。しかしながら、通信監視システムでは、当該ペイロードのように不定型な構造を持つ要素に関しては、オペレータの目視によりアラートの危険度を判断する必要がある
 本発明は、ネットワークの異常を表すアラートを、より効率的に判断することが可能な態様によってオペレータに提示することが可能な提示装置等を提供することを主たる目的とする。
 上記の課題を達成すべく、本発明の一態様に係る提示装置は、
 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づき求められた前記第1及び第2のアラート間の類似性を表す類似情報を提示する提示手段を備える。
 また、同目的を達成すべく、本発明の一態様に係る解析装置は、
 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づいて、それら情報と異なり、且つ前記第1の情報と前記第2の情報との間の類似性が要約された形態で含まれている要約情報を求める解析手段を備える。
 或いは、同目的は、上記に示す提示装置を含む通信監視システムによっても達成される。
 また、同目的を達成すべく、本発明の一態様に係る提示方法は、
 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づき求められた前記第1及び第2のアラート間の類似性を表す類似情報を提示する。
 尚、同目的は、上記の各構成を有する提示装置及びその方法を、コンピュータによって実現するコンピュータ・プログラム、及びそのコンピュータ・プログラムが格納されている、コンピュータ読み取り可能な記録媒体によっても達成される。
 本発明によれば、ネットワークの異常を表すアラートを、より効率的に判断することが可能な態様によってオペレータに提示することが可能な提示装置等を提供することができる。
図1は、本発明の第1の実施形態における通信監視システムの構成を示すブロック図である。 図2は、本発明の第1の実施形態における提示装置の構成を示すブロック図である。 図3は、本発明の第2の実施形態における通信監視システムの構成を示すブロック図である。 図4は、本発明の第2の実施形態における提示装置の構成を示すブロック図である。 図5は、本発明の第2の実施形態における提示装置によってアラートに関連する情報が提示された態様を具体的に例示する図である。 図6は、本発明の第2の実施形態における解析装置の構成を示すブロック図である。 図7は、本発明の第3の実施形態における通信監視システムの構成を示すブロック図である。 図8は、本発明の第3の実施形態における提示装置の構成を示すブロック図である。 図9は、本発明の第3の実施形態における解析装置の構成を示すブロック図である。 図10は、本発明の第3の実施形態における通信監視装置の構成を示すブロック図である。 図11は、本発明の第3の実施形態における通信監視システムが行うアラートに関連する情報を提示する動作を示すシーケンス図(フローチャート)である。 図12は、本発明の第3の実施形態における通信監視システムが行う特定のアラートと類似するアラートに関連する情報を提示する動作を示すシーケンス図(フローチャート)である。 図13は、本発明の第3の実施形態における提示部によってアラートに関連する情報が提示された態様を具体的に例示する図である。 図14は、本発明に係る各実施形態を実現可能な情報処理装置のハードウェア構成を例示的に説明するブロック図である。
 以下、本発明の実施形態について図面を参照して詳細に説明する。
 <第1の実施形態>
 図1は、本発明の第1の実施形態における通信監視システム10の構成を示すブロック図である。また、図2は、本発明の第1の実施形態における提示装置1の構成を示すブロック図である。
 図1において、通信監視システム10は、大別して、提示装置1、監視の対象である監視対象ネットワーク51及び監視対象ネットワーク51を監視する通信監視装置52を有する。また、図2において、提示装置1は、提示部2を備える。
 より具体的に、提示部2は、監視対象である監視対象ネットワーク51において異常が検知されるのに応じてアラート(第1のアラート)が通知された際に、次に示す処理を実行する。
 提示部2は、第1のアラートと、その第1のアラートが通知されるより過去に通知された一乃至複数のアラート(第2のアラート)間の類似性を表す類似情報を提示する機能を備える。即ち、提示部2は、第1のアラートの原因となった通信情報に含まれる第1の情報と、第2のアラートに関する通信情報に含まれる第2の情報とに基づき求められた当該類似情報を提示する機能を備える。
 上記のアラートは、例えば、検知時刻と、異常を検知する際に用いられた検知ルールを識別可能な識別子と、異常の原因である通信情報の送信元のIPアドレスおよびポート番号と、当該通信情報の送信先ホストのIPアドレスおよびポート番号とを含む。検知時刻とは、通信監視装置52が異常を検知した時刻を表す情報である。または、検知時刻は、通信監視装置52が異常を検知した時刻を含む日時を表す情報でもよい。但し、以下の説明では、説明の便宜上、係る時刻を含む日時を表す情報であっても検知時刻と記すこととする。
 また、類似情報は、第1のアラートと、その第1のアラートと類似する第2のアラートとの間の類似性を表す情報である。
 より具体的に、類似情報は、第1の情報と第2の情報とは異なり、且つ第1の情報と第2の情報との間の類似性が要約された形態で含まれている要約情報(要約値)を含む。即ち、類似情報は、少なくとも、第1の情報と第2の情報とに基づき求められた当該類似性が要約された形態で保存されている要約情報を含む。本実施形態において、第1の情報は、第1のアラートの原因となった通信情報に含まれる情報である。また、第2の情報は、第2のアラートに関する通信情報に含まれる情報である。類似情報の具体例については、第2の実施形態において詳細に後述する。
 本実施形態では、説明の便宜上、一例として、提示部2は、第1のアラートと第2のアラートとの類似性を表す類似情報を提示する構成を例に説明する。しかしながら本発明に係る実施形態は、係る構成に限定されない。提示部2は、さらに、第1のアラートに関する情報(アラート情報)の一部または全部を提示する構成を採用してもよい。その場合に、提示部2は、第1のアラートに関連する情報として、アラート情報の一部または全部と、当該類似情報とを提示してもよい。即ち、提示部2は、少なくとも、アラート情報の一部または全部と、当該類似情報とをオペレータが識別可能な態様によって提示してもよい。
 上記のアラート情報とは、アラートに含まれる情報とアラートを識別可能な識別子とに基づき生成された情報である。
 より具体的に、一例として、アラート情報は、アラート毎に、少なくとも、次に示す情報を含むこととする。
 ・アラート識別子、
 ・検知時刻、
 ・検知ルールを識別可能な識別子、
 ・異常の原因である通信情報の送信元のIPアドレスおよびポート番号及び
 ・当該通信情報の送信先ホストのIPアドレスおよびポート番号。即ち、アラート情報は、アラート識別子をキーとして、検知時刻と、検知ルールの識別子と、送信元のIPアドレスおよびポート番号と、送信先ホストのIPアドレスおよびポート番号とが関連付けられた情報である。
 以下の説明では、説明の便宜上、「監視対象ネットワーク51」を、単に、「ネットワーク51」と記載する場合もある。また、以下の説明では、「第1のアラート」と「第2のアラート」とを、総称して「アラート」と記載する場合もある(以下、各実施形態においても同様)。
 通信監視装置52は、ネットワーク51に流れる通信情報を監視する機能を備える。また、通信監視装置52は、検知ルールに基づいて、例えば、ネットワーク51に対する外部からの攻撃を検知する。通信監視装置52は、新たに異常を検知したことをアラートとして解析装置(不図示、例えば、図3に示す解析装置22)に対して通知する。そして、通信監視装置52は、アラートに関するアラート情報を記憶する機能を備える。
 通信監視装置52が検知ルールに基づきネットワーク51の異常を検知する技術自体は、現在では一般的な技術を採用することができる。そのため、本実施形態における詳細な説明は省略する(以下、各実施形態においても同様)。
 このように本実施の形態に係る提示装置1によれば、ネットワークの異常を表すアラートをより効率的に判断することが可能な態様によってオペレータに提示することができる。その理由は、以下に述べる通りである。
 即ち、提示装置1は、通信情報に含まれる第1及び第2の情報に基づき求められた類似性を表す類似情報を提示する提示部2を備えるからである。これにより、オペレータは、その類似情報に基づいて、アラートの危険度を容易に判断することができる。従って、検知ルールやホストのIPアドレスなどの情報だけでは当該危険度を判断できない場合であっても、提示装置1は、分類指標として類似情報をオペレータに提示することができる。そのため、オペレータは、アラートの分類作業において、当該危険度を効率的に判断することができる。
 <第2の実施形態>
 次に、上述した本発明の第1の実施形態に係る提示装置1を基本とする第2の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な部分を中心に説明する。その際、上述した各実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。
 本発明の第2の実施形態における通信監視システム20について、図3乃至図6を参照して説明する。
 図3は、本発明の第2の実施形態における通信監視システム20の構成を示すブロック図である。また、図4は、本発明の第2の実施形態における提示装置21の構成を示すブロック図である。
 図3において、通信監視システム20は、大別して、提示装置21、解析装置22、監視対象ネットワーク51及び通信監視装置52を有する。また、図4において、提示装置21は、提示部23及び可視化部24を備える。
 より具体的に、可視化部24は、後述する解析装置22によって求められた要約情報を基に視認性の高い彩色情報に変換する機能を備える。即ち、可視化部24は、解析装置22によって求められた要約情報に基づいて、彩色情報を生成する。
 提示部23は、類似情報として、第1のアラートに対応する提示領域を、可視化部24によって生成された彩色情報に基づき彩色する機能を備える。即ち、提示部23は、類似情報を、オペレータが識別可能な、彩色した態様によって提示する機能を備える。
 図5は、本発明の第2の実施形態における提示部23によってアラートに関連する情報が提示された態様を具体的に例示する図である。即ち、図5は、提示部23が提示する検知アラートリスト26である。
 より具体的に、図5に示すように、提示部23は、アラート毎に、少なくとも、アラート情報に含まれる一部の項目と、類似情報とを提示する。例えば、図5に示すように、提示部23は、アラート毎に、アラート情報に含まれる一部の項目と、類似情報とを、少なくとも不図示のディスプレイなどのユーザインタフェースに表示してもよい。
 図5に示す類似情報は、第1のアラートと、その第1のアラートと類似する第2のアラートとの類似性を表す情報である。より具体的に、類似情報は、類似性を保つハッシュ値と、その類似性を保つ彩色情報とを含む。
 類似性を保つハッシュ値とは、例えば、第1のアラートの原因となった通信パケットに含まれるペイロードと、第2のアラートに関する通信パケットに含まれるペイロードとに基づき求められた、それらペイロード間の類似性を保つハッシュ値である。
 図5において、1列目は、検知時刻を表す。2列目は、通信情報の送信元ホストのIPアドレスを表す。3列目は、通信情報の送信先ホストのIPアドレスを表す。4列目は、検知ルールを識別可能な検知ルールの名称(検知ルール名)を表す。5列目は、類似情報として係るハッシュ値を表す。即ち、5列目は、後述する解析装置22の算出部25によって求められたハッシュ値である。6列目は、類似情報として彩色情報を表す。即ち、6列目は、類似性に応じて、アラートに対応する提示領域が、彩色情報に基づき彩色された態様を表す。
 より具体的に、図5に示すハッシュ値は、4バイトの値が16進数表記によって表されている。可視化部24は、ハッシュ値を1バイト毎に分割する。可視化部24は、分割したハッシュ値を輝度情報とすることによってモノクロの彩色情報を生成する。提示部23は、生成された彩色情報に基づいて、6列目に示す「彩色情報」の提示領域に表示する。
 図5に示す「彩色情報」は、例えば、分割されたハッシュ値に応じて、4つの提示領域に分割されている。そのため、分割されたハッシュ値が同じ値を示す場合に、提示領域は、同色に彩色される。
 これにより、オペレータは、「彩色情報」を確認することによって、視覚的にアラート間の類似性を認識することができる。
 本実施形態では、説明の便宜上、一例として、可視化部24は、ハッシュ値に基づきモノクロの彩色情報を生成する構成を例に説明する。しかしながら本発明に係る実施形態は、係る構成に限定されない。可視化部24は、例えば、ハッシュ値を3バイト単位のRGB(Red,Green,Blue)24形式として解釈することによって彩色情報を生成する構成を採用してもよい。或いは、可視化部24は、ハッシュ値を2バイト単位のRGB565形式として解釈することによって彩色情報を生成する構成を採用してもよい。また、可視化部24は、RGBだけでなく、例えば、HSV(Hue Saturation Value color model)等で示される値を用いて彩色情報を生成する構成を採用してもよい。即ち、彩色情報は、ハッシュ値が示す類似性が彩色情報に反映されていればよい(以下、各実施形態においても同様)。
 上述した本実施形態では、説明の便宜上、一例として、提示部23は、アラート情報に含まれる一部の情報と類似情報とを、図5に示す検知アラートリスト26に提示する構成を例に説明する。しかしながら本発明に係る実施形態は、係る構成に限定されない。提示部23は、オペレータの要求に応じて、例えば、送信元ホストのポート番号など様々な情報を提示する構成を採用してもよい。
 次に、以下の説明では、解析装置22について、図6を参照して説明する。
 図6は、本発明の第2の実施形態における解析装置22の構成を示すブロック図である。図6において、解析装置22は、算出部25を備える。
 算出部25は、通信情報に含まれる情報(第1の情報、第2の情報)に基づいて、第2の情報と異なり、且つ第1の情報と第2の情報との間の類似性が要約された形態で含まれている要約情報を求める機能を備える。また、算出部25は、求めた要約情報と、アラートを識別可能なアラート識別子とを関連付けてハッシュ値情報101として記憶する機能を備える。
 ハッシュ値情報101は、例えば、不図示の記憶装置に記憶されている。また、ハッシュ値情報101には、算出部25によって求められた要約情報と、アラート識別子とが関連付けられた状態で記憶される。
 より具体的に、算出部25は、通信情報(例えば、通信パケット)に含まれる情報(例えば、通信情報のペイロード)に基づいて、ハッシュ値を算出する。
 ハッシュ値の算出に用いるハッシュ関数(要約関数)は、MD5のような一般的に用いられるハッシュ関数ではなく、2つのペイロードが類似している場合に、それらのハッシュ関数も類似する性質を持つハッシュ関数を用いることとする。このようなハッシュ関数としては、局所性鋭敏型ハッシュやファジーハッシュなどが知られている。そのため、算出部25は、ハッシュ関数として、局所性鋭敏型ハッシュやファジーハッシュを用いてハッシュ値を求めることとする。ここで、MD5とは、Message Digest Algorithm 5の略称である。
 より具体的に、局所性鋭敏型ハッシュは、ペイロードのような不定形のバイト列に適用可能である。この局所性鋭敏型ハッシュとしては、例えば、スパムメールの検出に用いられるNilsimsa Hashを採用してもよい。また、ファジーハッシュとしては、例えば、マルウェアの類似性判定に利用されるssdeepなどを採用してもよい。
 算出部25がハッシュ関数を用いてハッシュ値を算出する技術自体は、現在では一般的な技術を採用することができる。そのため、本実施形態における詳細な説明は省略する(以下、各実施形態においても同様)。
 上述した本実施形態では、説明の便宜上、一例として、算出部25は、IPパケットに含まれるペイロートに基づいて、ハッシュ値を算出する構成を例に説明した。しかしながら本発明に係る実施形態は、係る構成に限定されない。算出部25は、任意のバイナリ列に基づいて、ハッシュ値を算出する構成を採用してもよい。その場合に、算出部25は、パケットヘッダを含むパケット全体をハッシュ値の算出対象としてもよい。
 また、通信監視装置52としてWebアプリケーションファイアウォールなどを利用する場合には、算出部25は、次に示す情報に基づいて、ハッシュ値を算出する構成を採用してもよい。即ち、算出部25は、HTTP(Hypertext Transport Protocol)要求メッセージまたはHTTP応答メッセージの全体、HTTPヘッダ部またはボディ部分に基づいて、ハッシュ値を算出してもよい。但し、その場合には、HTTP要求メッセージやHTTP応答メッセージが取得可能な環境であることが条件となる(以下、各実施形態においても同様)。
 上述した本実施形態では、説明の便宜上、一例として、提示装置21と解析装置22とは、それぞれ別体に構成された例を説明した。しかしながら本発明に係る実施形態は、係る構成に限定されない。提示装置21と解析装置22とは、同一の装置において構成されてもよい。その場合に、例えば、提示装置21は、解析装置22を含む構成を採用してもよい。
 このように本実施の形態に係る提示装置21および解析装置22によれば、第1の実施形態において説明した効果を享受できると共に、さらに、アラートをより視認性の高い態様によってオペレータに提示することができる。
 即ち、解析装置22は、ペイロード間の類似性を保つハッシュ値を求める算出部25を備えるからである。また、提示装置21は、算出部25が求めたハッシュ値を彩色情報に変換する可視化部24を備えるからである。提示部23は、彩色情報に基づいて、視認性の高いアラートに関連する情報をオペレータに提示することができる。これにより、オペレータは、アラート間の類似性を視覚的に判断することができる。即ち、オペレータは、アラートに紐づくペイロード間の類似性を視覚的に判断することができる。その結果、オペレータは、アラートの分類作業において、その作業の効率化を実現することができる。
 <第3の実施形態>
 次に、上述した本発明の第2の実施形態に係る提示装置21を基本とする第3の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な部分を中心に説明する。その際、上述した各実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。
 本発明の第3の実施形態における通信監視システム30について、図7乃至図13を参照して説明する。
 図7は、本発明の第3の実施形態における通信監視システム30の構成を示すブロック図である。また、図8は、本発明の第3の実施形態における提示装置31の構成を示すブロック図である。
 図7において、通信監視システム30は、大別して、提示装置31、解析装置32、監視対象ネットワーク51及び通信監視装置52を有する。また、図8において、提示装置31は、提示部33、類似アラート取得部34、アラート情報取得部35、ハッシュ値取得部36及び可視化部24を備える。
 本実施形態において説明する提示装置31は、特定のアラートと類似するアラートの抽出を解析装置32に対して要求する類似アラート取得部34を備えるという構成において提示装置21と異なる。加えて、提示部33は、要求に応じて抽出された類似するアラートに関連する情報を提示する機能を備えるという構成において提示部23と異なる。
 類似アラート取得部34は、例えば、オペレータから特定のアラートを指定する指示を受け付けるのに応じて、その特定のアラートと類似するアラートの抽出を抽出部37に対して要求する機能を備える。また、類似アラート取得部34は、要求に応じた抽出部37から類似するアラートのアラート識別子を含む情報(リスト)を取得する機能を備える。
 提示部33は、各実施形態において説明したアラート情報と類似情報とを提示するだけでなく、特定のアラートと、その特定のアラートと類似するアラートに関連する情報を提示する機能を備える。
 アラート情報取得部35は、後述するアラート情報102に保持されるアラート情報の中から検索条件と一致するアラート情報を抽出する機能を備える。
 ハッシュ値取得部36は、アラート情報取得部35により抽出されたアラート情報に含まれるアラート識別子と合致するハッシュ値をハッシュ値情報101の中から抽出する機能を備える。
 本実施形態では、説明の便宜上、一例として、アラート情報取得部35およびハッシュ値取得部36は、情報を抽出する構成を例に説明する。しかしながら本発明に係る実施形態は、係る構成に限定されない。アラート情報取得部35およびハッシュ値取得部36は、要求に応じて当該情報が与えられる構成を採用してもよい。
 以下の説明では、解析装置32について、図9を参照して説明する。図9は、本発明の第3の実施形態における解析装置32の構成を示すブロック図である。
 図9において、解析装置32は、算出部25、抽出部37及び取得部38を備える。
 本実施形態において説明する解析装置32は、特定のアラートと類似するアラートを抽出すると共に、抽出したアラートに関する情報を生成する抽出部37を備えるという構成において解析装置22と異なる。
 抽出部37は、特定のアラートと類似するアラートを抽出する。抽出部37は、抽出したアラートに関する情報(リスト)を生成する機能を備える。尚、抽出部37がリストを生成する処理については、本実施形態において詳細に後述する。
 取得部38は、検知時刻順に、通信監視装置52から後述するアラート情報102とペイロード情報103とに保持されるアラート情報及びペイロード情報を取得する機能を備える。即ち、取得部38は、検知時刻順に、通信監視装置52からアラート情報102に保持されるアラート情報を取得する。取得部38は、検知時刻順に、通信監視装置52からペイロード情報103に保持されるペイロード情報を取得する。
 以下の説明では、通信監視装置52について、図10を参照して説明する。図10は、本発明の第3の実施形態における通信監視装置52の構成を示すブロック図である。
 図10において、通信監視装置52は、検知部53及び通知部54を有する。また、アラート情報102およびペイロード情報103は、例えば、不図示の記憶装置に記憶されている。
 以下の説明では、説明の便宜上、通信監視装置52としてIDSを想定した構成を例に説明する。しかしながら本発明に係る実施形態は、係る構成に限定されない。通信監視装置52は、ネットワーク51内の異常やネットワーク51に対する攻撃を検知し、検知した当該攻撃をアラートとして通知する。そして、通信監視装置52は、アラートを、検知した攻撃を表す識別情報(ID)と紐付けた情報と共に証拠として記憶することが可能な通信監視機器に適用する構成を採用してもよい。
 検知部53は、ネットワーク51に流れる通信パケットを監視する機能を備える。より具体的に、検知部53は、検知ルールに基づいて、例えば、ネットワーク51に対する外部からの攻撃などの異常を検知する。そして、検知部53は、その攻撃を検知するのに応じて、アラート情報102にアラート情報を記憶する。また、検知部53は、通信パケットに含まれるペイロードとアラート識別子とをペイロード情報103として記憶する。
 ここで、アラート情報102は、アラート毎に、アラート識別子をキーとして、検知時刻と、検知ルールの識別子と、送信元のIPアドレスおよびポート番号と、送信先ホストのIPアドレスおよびポート番号とが関連付けられた情報を含む。
 また、ペイロード情報103は、アラート毎に、アラート識別子とペイロードとが関連付けられた情報を含む。即ち、ペイロード情報103には、ペイロードとアラート情報102に保持されているアラート情報との対応関係と共に関連付けされた状態で記憶されている。
 通知部54は、検知部53が当該攻撃を検知した際に、その検知したことを示すアラートを解析装置32に対して通知する。
 以下の説明において、より具体的に、本実施形態における通信監視システム30の動作について説明する。
 図11は、本発明の第3の実施形態における通信監視システム30が行うアラートに関連する情報を提示する動作を示すシーケンス図(フローチャート)である。係るフローチャートに沿って通信監視システム30の動作手順を説明する。
 以下の説明では、説明の便宜上、一例として、解析装置32は、通信情報(例えば、通信パケット)を構成する情報(例えば、通信パケットのペイロード)に基づいて、ハッシュ値を算出することとする。
 尚、説明の便宜上、通信監視システム30は、上述した構成を例に説明するが、本実施形態を例に説明する本発明は、前述した構成には限定されない。
 通信監視装置52の検知部53は、検知ルールに基づいて、ネットワーク51に対する攻撃を検知する(ステップS101)。検知部53は、攻撃を検知するのに応じて、アラート情報をアラート情報102に記憶する。また、検知部53は、第1のアラートの原因となった通信パケットに含まれるペイロードを、ペイロード情報103として記憶する(ステップS102)。
 より具体的に、検知部53は、少なくとも、次に示す情報を関連付けてアラート情報102として記憶する。
 ・アラート識別子、
 ・検知時刻、
 ・検知ルールを識別可能な識別子、
 ・異常の原因である通信情報の送信元のIPアドレスおよびポート番号及び
 ・当該通信情報の送信先ホストのIPアドレスおよびポート番号。
 通信監視装置52の通知部54は、検知部53が当該攻撃を検知した際に、解析装置32に対して、新たに異常が検知されたことを第1のアラートとして通知する(ステップS103)。
 解析装置32は、通知部54から通知された第1のアラートを受信する。解析装置32の取得部38は、アラート情報102の中からアラート情報と、ペイロード情報103の中からペイロードとを抽出する。
 その場合に、抽出するアラート情報の指定は、指定した時刻以降のアラート情報を全て抽出するよう構成してもよい。また、抽出するアラート情報の指定は、次に示す処理によってアラート情報を抽出するよう構成してもよい。即ち、通知部54は、新たに通知する第1のアラートのアラート識別子を、取得部38に対して通知する。取得部38は、アラート情報を抽出するに際して、通知部54から通知されたアラート識別子を指定することによってアラート情報を抽出してもよい。或いは、通知部54は、ステップS103において解析装置32に対して通知する際に、その通知にアラート情報とペイロードとを含めて通知してもよい。これにより、取得部38は、通知に含まれるアラート情報とペイロード情報とを抽出してもよい。
 より具体的に、一例として、取得部38は、第1のアラートのアラート識別子を通信監視装置52に対して通知する(ステップS104)。通信監視装置52は、通知されたアラート識別子に基づき求めたアラート情報とペイロードとを応答に含めて取得部38に対して送信する(ステップS105)。取得部38は、通信監視装置52からアラート情報とペイロードとを取得する。また、取得部38は、取得したアラート情報とペイロードとを、解析装置32の算出部25に対して入力として与える(ステップS106)。
 算出部25は、アラート情報とペイロードとを入力として受け取ると、ハッシュ値を算出する。また、算出部25は、算出したハッシュ値と、当該アラート情報に含まれるアラート識別子とを関連付けた状態でハッシュ値情報101として記憶する(ステップS107)。
 これにより、算出されたハッシュ値は、提示装置31によって参照可能となる。
 提示装置31では、オペレータの操作をトリガーとして処理を開始する。即ち、提示装置31のアラート情報取得部35は、アラート情報102の中からアラート情報を抽出する。さらに、提示装置31のハッシュ値取得部36は、抽出したアラート情報に含まれるアラート識別子に基づいて、ハッシュ値情報101の中からアラート識別子に関連づけられたハッシュ値を抽出する。
 より具体的に、一例として、アラート情報取得部35は、通知された第1のアラートのアラート識別子を、通信監視装置52に対して通知する(ステップS108)。通信監視装置52は、通知されたアラート識別子に基づき求めたアラート情報を、応答に含めてアラート情報取得部35に対して送信する(ステップS109)。アラート情報取得部35は、通信監視装置52からアラート情報を取得する(ステップS110)。
 ハッシュ値取得部36は、取得したアラート情報に含まれるアラート識別子を、解析装置32に対して通知する(ステップS111)。解析装置32は、通知されたアラート識別子に基づき求めたハッシュ値を応答に含めてハッシュ値取得部36に対して送信する(ステップS112)。ハッシュ値取得部36は、解析装置32からハッシュ値を取得する(ステップS113)。
 可視化部24は、取得したハッシュ値から彩色情報を生成する(ステップS114)。提示部33は、取得したアラート情報、ペイロードのハッシュ値及び彩色情報をオペレータが識別可能な態様によって提示する。即ち、提示部33は、例えば、図5に示す検知アラートリスト26を表示する(ステップS115)。
 これによって、提示部33は、第1のアラートに関連する情報としてアラート情報と類似情報とを、オペレータが識別可能な態様によって提示することができる。
 以下の説明では、一例として、図11に示すステップS115において提示された検知アラートリスト26に含まれるアラートのうち、特定の第1のアラートが指定された場合の動作について説明する。
 図12は、本発明の第3の実施形態における通信監視システム30が行う特定のアラートと類似するアラートに関連する情報を提示する動作を示すシーケンス図(フローチャート)である。係るフローチャートに沿って通信監視システム30の動作手順を説明する。
 以下の説明では、例えば、検知アラートリスト26に含まれる複数のアラートのうち、特定の第1のアラートがオペレータによって指定されたこととする。
 説明の便宜上、通信監視システム30は、上述した構成を例に説明するが、本実施形態を例に説明する本発明は、前述した構成には限定されない。
 提示装置31の類似アラート取得部34は、例えば、オペレータによって特定の第1のアラートが指定されるのに応じて、その指定された第1のアラートと類似する第2のアラートの抽出を、解析装置32の抽出部37に対して要求する。即ち、類似アラート取得部34は、指定された第1のアラートのアラート識別子を含む抽出要求(抽出依頼)を、抽出部37に対して送信する(ステップS121)。
 指定とは、例えば、オペレータが、入力装置(不図示)を操作することによって、ユーザインタフェースに表示された検知アラートリスト26に含まれる複数のアラートのうち、所望する特定の第1のアラートを選定することを表すこととする。
 抽出部37は、類似アラート取得部34から抽出依頼を受け付ける。抽出部37は、指定された第1のアラートのアラート識別子に基づいて、ハッシュ値情報101を参照する。抽出部37は、ハッシュ値情報101の中から当該アラート識別子に関連付けられたハッシュ値と類似するハッシュ値と、その類似するハッシュ値に関連付けられた第2のアラートのアラート識別子とを抽出する。
 このとき、抽出部37は、指定された第1のアラートにおけるハッシュ値と、抽出した第2のアラートにおけるハッシュ値とに基づいて、それらハッシュ値の距離を求める。即ち、抽出部37は、第1のアラートに対するペイロードと、抽出した第2のアラートに対するペイロードとの間の類似性を表す距離を求める。換言すると、抽出部37は、特定の第1のアラートと抽出した第2のアラートとの間の類似性を表す距離を求める。
 また、抽出部37は、抽出要求に対する応答として、抽出した第2のアラートの識別子と、求めた距離とを含むリストを、類似アラート取得部34に対して送信する(ステップS122)。
 このとき、抽出部37は、求めた距離が短い順となるように、求めた距離と、求めた距離が所定の条件を満たす第2のアラートの識別子とを、リストに含め抽出要求に対する応答として送信する。換言すると、抽出部37は、求めた距離の短い順(つまり、類似度の高い順)にソートし、求めた距離の値が予め設定した閾値より大きいアラートを除外する。
 本実施形態において、説明の便宜上、一例として、上述した説明では、抽出部37は、ペイロード間の類似性をハッシュ値間の距離を利用して判断する構成を例に説明した。しかしながら本発明に係る実施形態は、係る構成に限定されない。抽出部37は、ペイロード間の距離を編集距離などにより直接求めてもよい。但し、その場合には、距離計算にかかるコストは大きくなる可能性がある。そこで、抽出部37は、ハッシュ値間の距離が閾値以下のアラートを距離計算の対象としてもよい。或いは、抽出部37は、ハッシュ値間の距離が近く、且つ上位に位置するアラートを距離計算の対象としてもよい。これにより、抽出部37は、距離計算の対象となるアラート数を抑制することができる。
 提示装置31の類似アラート取得部34は、抽出部37から抽出要求に対する応答としてリストを取得する(ステップS123)。提示装置31のアラート情報取得部35は、類似アラート取得部34が抽出部37から応答を受けるのに応じて、当該リストに含まれるアラート識別子を通信監視装置52に対して通知する(ステップS124)。通信監視装置52は、通知されたアラート識別子に基づき求めたアラート情報を応答に含めアラート情報取得部35に対して送信する(ステップS125)。また、アラート情報取得部35は、通信監視装置52から応答を受けると共に、当該アラート識別子に関連付けられたアラート情報を取得する(ステップS126)。
 さらに、提示装置31のハッシュ値取得部36は、アラート情報取得部35が取得したアラート情報に含まれるアラート識別子を、解析装置32に対して通知する(ステップS127)。解析装置32は、通知されたアラート識別子に基づき求めたハッシュ値を応答に含めてハッシュ値取得部36に対して送信する(ステップS128)。ハッシュ値取得部36は、解析装置32から当該アラート識別子に関連付けられたハッシュ値を取得する(ステップS129)。
 提示部33は、以下に示す情報をオペレータが識別可能な態様によって提示する。
・特定の第1のアラートに関連する情報としてアラート情報、ハッシュ値及び距離と、
・その第1のアラートと類似する第2のアラートに関連する情報としてアラート情報、ハッシュ値及び距離。
即ち、提示部33は、上述した情報を、図13に例示する検知アラートリスト39として提示する(ステップS130)。
 図13は、本発明の第3の実施形態における提示部33によってアラートに関連する情報が提示された態様を具体的に例示する図であり、提示部33が提示する検知アラートリスト39である。より具体的に、図13に示すように、提示部33は、アラート毎に、少なくとも、アラート情報に含まれる一部の項目と、類似情報とを提示する。
 図13に示す類似情報は、第1のアラートとその第1のアラートと類似する第2のアラートとのハッシュ値および第1のアラートのハッシュ値と第2のアラートのハッシュ値との距離を表す情報である。
 図13に表(テーブル)形式で示す検知アラートリスト39において、1列目は、検知時刻を表す。2列目は、通信情報の送信元ホストのIPアドレスを表す。3列目は、通信情報の送信先ホストのIPアドレスを表す。4列目は、検知ルールを識別可能な検知ルールの名称(検知ルール名)を表す。5列目は、類似情報としてハッシュ値を表す。6列目は、類似情報として抽出部37によって求められた距離を表す。
 より具体的に、図13に示すハッシュ値は、図5と同様に、4バイトの値が16進数表記によって表されている。一例として、6列目は、ハッシュ値を長さ32のビット列とみなしたときのハミング距離を用いた結果を示している。但し、ハッシュ値の距離計算において利用する距離関数はハミング距離に限定されない。距離関数としては、ハッシュ値をバイト列とみなし、バイト列間の編集距離をハッシュ値の距離として用いてもよい。
 図13に表形式で示す検知アラートリスト39において、1行目には、オペレータによって指定されたアラートを表す。2行目以降は、指定されたアラートと類似するアラートが表示されている。即ち、2行目以降は、指定されたアラートとの距離が小さい順にアラートが表示される。
 説明の便宜上、図13に示す検知アラートリスト39では、彩色情報の提示を省略した。しかしながら本発明に係る実施形態は、係る構成に限定されない。提示部33は、検知アラートリスト39に彩色情報を含めて提示してもよい。
 上述した本実施形態では、説明の便宜上、一例として、抽出部37は、ペイロードのハッシュ値間の距離だけを用いて類似するアラートを抽出する構成を例に説明した。しかしながら本発明に係る実施形態は、係る構成に限定されない。抽出部37は、求めた距離だけでなく、アラート情報に含まれる項目も距離計算に用いてもよい。その場合に、抽出部37は、例えば、アラート情報に含まれるIPアドレス、ポート番号、検出ルールの一致および類似に基づき距離を算出する。そして、抽出部37は、ハッシュ値に基づき求めた距離と、アラート情報に含まれる情報に基づき求めた距離との加重和によって求めた距離を用いることもできる。
 これにより、抽出部37は、IPアドレスやポート番号の一致や類似に基づく判断も加味したアラートの抽出が行える。そのため、提示装置31は、どちらか一方の手法にて求めた距離を提示するのに比べ、より実用的な判断基準を提示することができる。
 このように本実施の形態に係る提示装置31および解析装置32によれば、各実施形態において説明した効果を享受できると共に、アラートをより効率的に判断することが可能な態様によってオペレータに提示することができる。その理由は、以下に述べる通りである。
 即ち、提示装置31は、オペレータによって指定されたアラートのペイロードと類似するアラートを、指定されたアラートとの距離とともに提示する提示部33を備えるからである。また、解析装置32は、指定されたアラートと類似するアラートを抽出する抽出部37を備えるからである。これにより、オペレータは、過去に発生したアラートの中からペイロードが類似するアラートを効率的に発見することができる。さらに、提示装置31は、過去に発生した類似するアラートの分類結果を参照できるよう構成する。その結果、オペレータは、類似するアラートの分類傾向を把握することができるようになる。即ち、提示装置31は、オペレータによるアラートの分類作業において、効率的にアラートの分類判定を支援することができる。
 (ハードウェア構成例)
 上述した実施形態において図面に示した各部は、ソフトウェアプログラムの機能単位(処理単位、ソフトウェアモジュール)と捉えることができる。これらの各ソフトウェアモジュールは、専用のハードウェアによって実現してもよい。但し、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定され得る。この場合のハードウェア環境の一例を、図14を参照して説明する。但し、図14中の矢印の向きは、一例を示すものであり、ブロック間の信号の向きを限定するものではない。
 図14は、本発明の模範的な実施形態に係る提示装置及び解析装置を実行可能な情報処理装置(コンピュータ)300の構成を例示的に説明する図である。即ち、図14は、サーバ等のコンピュータ(情報処理装置)の構成であって、上述した実施形態における各機能を実現可能なハードウェア環境を表す。このコンピュータは、提示装置1(図1、図2)、提示装置21(図3、図4)、提示装置31(図7、図8)、解析装置22(図3、図6)、或いは、解析装置32(図7、図9)、のうち、全体または一部の機能を実現可能である。
 図14に示した情報処理装置300は、以下の構成がバス(通信線)306を介して接続された一般的なコンピュータである。
 ・CPU(Central_Processing_Unit)301、
 ・ROM(Read_Only_Memory)302、
 ・RAM(Random_Access_Memory)303、
 ・ハードディスク304(記憶装置)、
 ・外部装置との通信インタフェース(図14において通信「I/F」(Interface)と示す)305、
 ・CD-ROM(Compact_Disc_Read_Only_Memory)等の記録媒体307に格納されたデータを読み書き可能なリーダライタ308。
 例えば、上述した情報処理装置300の各構成は、提示装置(提示装置1、提示装置21及び提示装置31)が提示すべき各種情報を、不図示のディスプレイなどのユーザインタフェースに、少なくとも表示する機能を実現可能である。
 そして、上述した実施形態を例に説明した本発明は、以下の手順によって達成される。即ち、図14に示した情報処理装置300に対して、係る実施形態において参照したブロック構成図(図1乃至図4、図6乃至図9)或いはフローチャート(図11、図12)の機能を実現可能なコンピュータ・プログラムが供給される。その後、そのコンピュータ・プログラムは、当該ハードウェアのCPU301に読み出されて実行されることによって達成される。また、当該装置内に供給されたコンピュータ・プログラムは、読み書き可能な一時記憶メモリ(RAM303)またはハードディスク304等の不揮発性の記憶デバイスに格納すれば良い。
 また、前記の場合において、当該ハードウェア内へのコンピュータ・プログラムの供給方法は、現在では一般的な手順を採用することができる。例えば、供給方法は、CD-ROM等の各種記録媒体307を介して当該装置内にインストールする方法や、インターネット等の通信回線を介して外部よりダウンロードする方法等である。そして、このような場合において、本発明は、係るコンピュータ・プログラムを構成するコード、或いはそのコードが格納された記録媒体によって構成されると捉えることができる。
 以上、実施形態を参照して本発明を説明してきたが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
 この出願は、2014年12月10日に出願された日本出願特願2014-249567を基礎とする優先権を主張し、その開示の全てをここに取り込む。
 1  提示装置
 2  提示部
 10  通信監視システム
 20  通信監視システム
 21  提示装置
 22  解析装置
 23  提示部
 24  可視化部
 25  算出部
 26  検知アラートリスト
 30  通信監視システム
 31  提示装置
 32  解析装置
 33  提示部
 34  類似アラート取得部
 35  アラート情報取得部
 36  ハッシュ値取得部
 37  抽出部
 38  取得部
 39  検知アラートリスト
 51  監視対象ネットワーク
 52  通信監視装置
 53  検知部
 54  通知部
 101  ハッシュ値情報
 102  アラート情報
 103  ペイロード情報
 300  情報処理装置
 301  CPU
 302  ROM
 303  RAM
 304  ハードディスク
 305  通信インタフェース
 306  バス
 307  記録媒体
 308  リーダライタ

Claims (10)

  1.  監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づき求められた前記第1及び第2のアラート間の類似性を表す類似情報を提示する提示手段を備える
    提示装置。
  2.  前記提示手段は、前記類似情報として、
    前記第1の情報と前記第2の情報とに基づき求められた、それら情報と異なり、且つ前記第1の情報と前記第2の情報との間の類似性が要約された形態で含まれている要約情報を提示する
    請求項1に記載の提示装置。
  3.  前記提示手段は、前記類似情報として、
    求められた前記要約情報に基づいて彩色情報を生成し、前記第1のアラートに対応する提示領域を、その彩色情報に基づき彩色することによって、オペレータが識別可能な態様によって提示する
    請求項1または請求項2に記載の提示装置。
  4.  前記第1の情報と前記第2の情報とに基づいて、前記要約情報を求める解析手段を、さらに備える
    請求項1乃至請求項3の何れか1項に記載の提示装置。
  5.  前記解析手段は、
     特定の前記第1のアラートにおける要約情報と、前記第2のアラートにおける要約情報とに基づいて、特定の前記第1のアラートと類似する前記第2のアラートを抽出し、特定の前記第1のアラートと抽出した前記第2のアラートとの間の前記類似情報を求め、
     前記提示手段は、
    前記解析手段によって求められた前記類似情報を提示する
    請求項4に記載の提示装置。
  6.  前記解析手段は、前記類似情報として、
    特定の前記第1のアラートにおける要約情報と前記第2のアラートにおける要約情報との間の類似性を表す距離を求め、その求めた距離が短い順となるように、前記求めた距離とその求めた距離が所定の条件を満たす第2のアラートの識別子とを含む情報を生成し、
     前記提示手段は、
    前記解析手段によって生成された該情報に基づいて、前記求めた距離が短い順となるように、特定の前記第1のアラートと該第2のアラートとの前記類似情報を提示する
    請求項5に記載の提示装置。
  7.  監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づき求められた前記第1及び第2のアラート間の類似性を表す類似情報を提示する
    通信監視システム。
  8.  監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づいて、それら情報と異なり、且つ前記第1の情報と前記第2の情報との間の類似性が要約された形態で含まれている要約情報を求める解析手段を備える
    解析装置。
  9.  監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づき求められた前記第1及び第2のアラート間の類似性を表す類似情報を提示する
    提示方法。
  10.  監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づき求められた前記第1及び第2のアラート間の類似性を表す類似情報を提示する機能をコンピュータに
    実現させるコンピュータ・プログラムが格納された記録媒体。
PCT/JP2015/006119 2014-12-10 2015-12-08 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体 WO2016092836A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US15/532,588 US10846400B2 (en) 2014-12-10 2015-12-08 Output device, analysis device, and recording medium in which computer program is stored
JP2016563513A JPWO2016092836A1 (ja) 2014-12-10 2015-12-08 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2014249567 2014-12-10
JP2014-249567 2014-12-10

Publications (1)

Publication Number Publication Date
WO2016092836A1 true WO2016092836A1 (ja) 2016-06-16

Family

ID=56107048

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2015/006119 WO2016092836A1 (ja) 2014-12-10 2015-12-08 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体

Country Status (3)

Country Link
US (1) US10846400B2 (ja)
JP (1) JPWO2016092836A1 (ja)
WO (1) WO2016092836A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124913A (zh) * 2021-09-24 2022-03-01 绿盟科技集团股份有限公司 一种网络资产变化监控的方法、装置及电子设备

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170310536A1 (en) * 2016-04-20 2017-10-26 Martello Technologies Corporation Systems, methods, and devices for network alarm monitoring

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004234401A (ja) * 2003-01-31 2004-08-19 Hitachi Ltd セキュリティ診断情報収集システム及びセキュリティ診断システム
JP2008176752A (ja) * 2007-01-22 2008-07-31 National Institute Of Information & Communication Technology 系列データ間の類似性検査方法及び装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7917393B2 (en) * 2000-09-01 2011-03-29 Sri International, Inc. Probabilistic alert correlation
US7363656B2 (en) * 2002-11-04 2008-04-22 Mazu Networks, Inc. Event detection/anomaly correlation heuristics
JP4619254B2 (ja) 2005-09-30 2011-01-26 富士通株式会社 Idsのイベント解析及び警告システム
US7617231B2 (en) * 2005-12-07 2009-11-10 Electronics And Telecommunications Research Institute Data hashing method, data processing method, and data processing system using similarity-based hashing algorithm
US8312023B2 (en) * 2007-12-21 2012-11-13 Georgetown University Automated forensic document signatures
US8245301B2 (en) * 2009-09-15 2012-08-14 Lockheed Martin Corporation Network intrusion detection visualization
US8321648B2 (en) * 2009-10-26 2012-11-27 Netapp, Inc Use of similarity hash to route data for improved deduplication in a storage server cluster
US9960975B1 (en) * 2014-11-05 2018-05-01 Amazon Technologies, Inc. Analyzing distributed datasets

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004234401A (ja) * 2003-01-31 2004-08-19 Hitachi Ltd セキュリティ診断情報収集システム及びセキュリティ診断システム
JP2008176752A (ja) * 2007-01-22 2008-07-31 National Institute Of Information & Communication Technology 系列データ間の類似性検査方法及び装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SUZUKI, YOUHEI ET AL.: "A LOW COST WORM DETECTION TECHNIQUE BASED ON FLOW PAYLOAD SIMILARITY", 3RD INTERNATIONAL CONFERENCE ON WEB INFORMATION SYSTEMS AND TECHNOLOGIES ( WEBIST 2007, March 2007 (2007-03-01), Retrieved from the Internet <URL:http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.134.2451> *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124913A (zh) * 2021-09-24 2022-03-01 绿盟科技集团股份有限公司 一种网络资产变化监控的方法、装置及电子设备
CN114124913B (zh) * 2021-09-24 2023-11-28 绿盟科技集团股份有限公司 一种网络资产变化监控的方法、装置及电子设备

Also Published As

Publication number Publication date
US10846400B2 (en) 2020-11-24
JPWO2016092836A1 (ja) 2017-09-21
US20170329964A1 (en) 2017-11-16

Similar Documents

Publication Publication Date Title
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
EP3287927B1 (en) Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device
US7703138B2 (en) Use of application signature to identify trusted traffic
US20170149830A1 (en) Apparatus and method for automatically generating detection rule
KR101544322B1 (ko) 시각화를 이용한 악성 코드 탐지 시스템과 방법
US7904942B2 (en) Method of updating intrusion detection rules through link data packet
CN109951477B (zh) 一种基于威胁情报检测网络攻击的方法和装置
WO2014119669A1 (ja) ログ分析装置、情報処理方法及びプログラム
JP5066544B2 (ja) インシデント監視装置,方法,プログラム
CN107995179B (zh) 一种未知威胁感知方法、装置、设备及系统
KR20160116415A (ko) 악성 도메인 클러스터 탐지 장치 및 방법
JP6524789B2 (ja) ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置
US10454959B2 (en) Importance-level calculation device, output device, and recording medium in which computer program is stored
CN109951345A (zh) 一种告警处理方法及装置
CN115883223A (zh) 用户风险画像的生成方法及装置、电子设备、存储介质
WO2016092836A1 (ja) 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体
KR101987031B1 (ko) 네트워크 관제를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치
US20210126925A1 (en) Extraction apparatus, extraction method, computer readable medium
KR20120043466A (ko) 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치
JP7396371B2 (ja) 分析装置、分析方法及び分析プログラム
CN113849820A (zh) 一种漏洞检测方法及装置
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
US10187414B2 (en) Differential malware detection using network and endpoint sensors
KR101986738B1 (ko) 네트워크 관제 서비스를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치
EP3718284B1 (en) Extending encrypted traffic analytics with traffic flow data

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15866899

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 15532588

Country of ref document: US

ENP Entry into the national phase

Ref document number: 2016563513

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 15866899

Country of ref document: EP

Kind code of ref document: A1