WO2016092836A1 - 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体 - Google Patents
通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体 Download PDFInfo
- Publication number
- WO2016092836A1 WO2016092836A1 PCT/JP2015/006119 JP2015006119W WO2016092836A1 WO 2016092836 A1 WO2016092836 A1 WO 2016092836A1 JP 2015006119 W JP2015006119 W JP 2015006119W WO 2016092836 A1 WO2016092836 A1 WO 2016092836A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- information
- alert
- communication
- presentation
- similar
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づき求められた前記第1及び第2のアラート間の類似性を表す類似情報を提示する提示手段を備える。
監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づいて、それら情報と異なり、且つ前記第1の情報と前記第2の情報との間の類似性が要約された形態で含まれている要約情報を求める解析手段を備える。
監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づき求められた前記第1及び第2のアラート間の類似性を表す類似情報を提示する。
図1は、本発明の第1の実施形態における通信監視システム10の構成を示すブロック図である。また、図2は、本発明の第1の実施形態における提示装置1の構成を示すブロック図である。
・検知時刻、
・検知ルールを識別可能な識別子、
・異常の原因である通信情報の送信元のIPアドレスおよびポート番号及び
・当該通信情報の送信先ホストのIPアドレスおよびポート番号。即ち、アラート情報は、アラート識別子をキーとして、検知時刻と、検知ルールの識別子と、送信元のIPアドレスおよびポート番号と、送信先ホストのIPアドレスおよびポート番号とが関連付けられた情報である。
次に、上述した本発明の第1の実施形態に係る提示装置1を基本とする第2の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な部分を中心に説明する。その際、上述した各実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。
次に、上述した本発明の第2の実施形態に係る提示装置21を基本とする第3の実施形態について説明する。以下の説明においては、本実施形態に係る特徴的な部分を中心に説明する。その際、上述した各実施形態と同様な構成については、同一の参照番号を付すことにより、重複する説明は省略する。
・検知時刻、
・検知ルールを識別可能な識別子、
・異常の原因である通信情報の送信元のIPアドレスおよびポート番号及び
・当該通信情報の送信先ホストのIPアドレスおよびポート番号。
・特定の第1のアラートに関連する情報としてアラート情報、ハッシュ値及び距離と、
・その第1のアラートと類似する第2のアラートに関連する情報としてアラート情報、ハッシュ値及び距離。
即ち、提示部33は、上述した情報を、図13に例示する検知アラートリスト39として提示する(ステップS130)。
上述した実施形態において図面に示した各部は、ソフトウェアプログラムの機能単位(処理単位、ソフトウェアモジュール)と捉えることができる。これらの各ソフトウェアモジュールは、専用のハードウェアによって実現してもよい。但し、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定され得る。この場合のハードウェア環境の一例を、図14を参照して説明する。但し、図14中の矢印の向きは、一例を示すものであり、ブロック間の信号の向きを限定するものではない。
・ROM(Read_Only_Memory)302、
・RAM(Random_Access_Memory)303、
・ハードディスク304(記憶装置)、
・外部装置との通信インタフェース(図14において通信「I/F」(Interface)と示す)305、
・CD-ROM(Compact_Disc_Read_Only_Memory)等の記録媒体307に格納されたデータを読み書き可能なリーダライタ308。
2 提示部
10 通信監視システム
20 通信監視システム
21 提示装置
22 解析装置
23 提示部
24 可視化部
25 算出部
26 検知アラートリスト
30 通信監視システム
31 提示装置
32 解析装置
33 提示部
34 類似アラート取得部
35 アラート情報取得部
36 ハッシュ値取得部
37 抽出部
38 取得部
39 検知アラートリスト
51 監視対象ネットワーク
52 通信監視装置
53 検知部
54 通知部
101 ハッシュ値情報
102 アラート情報
103 ペイロード情報
300 情報処理装置
301 CPU
302 ROM
303 RAM
304 ハードディスク
305 通信インタフェース
306 バス
307 記録媒体
308 リーダライタ
Claims (10)
- 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づき求められた前記第1及び第2のアラート間の類似性を表す類似情報を提示する提示手段を備える
提示装置。 - 前記提示手段は、前記類似情報として、
前記第1の情報と前記第2の情報とに基づき求められた、それら情報と異なり、且つ前記第1の情報と前記第2の情報との間の類似性が要約された形態で含まれている要約情報を提示する
請求項1に記載の提示装置。 - 前記提示手段は、前記類似情報として、
求められた前記要約情報に基づいて彩色情報を生成し、前記第1のアラートに対応する提示領域を、その彩色情報に基づき彩色することによって、オペレータが識別可能な態様によって提示する
請求項1または請求項2に記載の提示装置。 - 前記第1の情報と前記第2の情報とに基づいて、前記要約情報を求める解析手段を、さらに備える
請求項1乃至請求項3の何れか1項に記載の提示装置。 - 前記解析手段は、
特定の前記第1のアラートにおける要約情報と、前記第2のアラートにおける要約情報とに基づいて、特定の前記第1のアラートと類似する前記第2のアラートを抽出し、特定の前記第1のアラートと抽出した前記第2のアラートとの間の前記類似情報を求め、
前記提示手段は、
前記解析手段によって求められた前記類似情報を提示する
請求項4に記載の提示装置。 - 前記解析手段は、前記類似情報として、
特定の前記第1のアラートにおける要約情報と前記第2のアラートにおける要約情報との間の類似性を表す距離を求め、その求めた距離が短い順となるように、前記求めた距離とその求めた距離が所定の条件を満たす第2のアラートの識別子とを含む情報を生成し、
前記提示手段は、
前記解析手段によって生成された該情報に基づいて、前記求めた距離が短い順となるように、特定の前記第1のアラートと該第2のアラートとの前記類似情報を提示する
請求項5に記載の提示装置。 - 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づき求められた前記第1及び第2のアラート間の類似性を表す類似情報を提示する
通信監視システム。 - 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づいて、それら情報と異なり、且つ前記第1の情報と前記第2の情報との間の類似性が要約された形態で含まれている要約情報を求める解析手段を備える
解析装置。 - 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づき求められた前記第1及び第2のアラート間の類似性を表す類似情報を提示する
提示方法。 - 監視対象である通信ネットワークにおいて異常が検知されるのに応じて第1のアラートが通知された際に、その第1のアラートの原因となった通信情報に含まれる第1の情報と、前記第1のアラートより過去に通知された一乃至複数の第2のアラートに関する通信情報に含まれる第2の情報とに基づき求められた前記第1及び第2のアラート間の類似性を表す類似情報を提示する機能をコンピュータに
実現させるコンピュータ・プログラムが格納された記録媒体。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/532,588 US10846400B2 (en) | 2014-12-10 | 2015-12-08 | Output device, analysis device, and recording medium in which computer program is stored |
JP2016563513A JPWO2016092836A1 (ja) | 2014-12-10 | 2015-12-08 | 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014249567 | 2014-12-10 | ||
JP2014-249567 | 2014-12-10 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2016092836A1 true WO2016092836A1 (ja) | 2016-06-16 |
Family
ID=56107048
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2015/006119 WO2016092836A1 (ja) | 2014-12-10 | 2015-12-08 | 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10846400B2 (ja) |
JP (1) | JPWO2016092836A1 (ja) |
WO (1) | WO2016092836A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114124913A (zh) * | 2021-09-24 | 2022-03-01 | 绿盟科技集团股份有限公司 | 一种网络资产变化监控的方法、装置及电子设备 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170310536A1 (en) * | 2016-04-20 | 2017-10-26 | Martello Technologies Corporation | Systems, methods, and devices for network alarm monitoring |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004234401A (ja) * | 2003-01-31 | 2004-08-19 | Hitachi Ltd | セキュリティ診断情報収集システム及びセキュリティ診断システム |
JP2008176752A (ja) * | 2007-01-22 | 2008-07-31 | National Institute Of Information & Communication Technology | 系列データ間の類似性検査方法及び装置 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7917393B2 (en) * | 2000-09-01 | 2011-03-29 | Sri International, Inc. | Probabilistic alert correlation |
US7363656B2 (en) * | 2002-11-04 | 2008-04-22 | Mazu Networks, Inc. | Event detection/anomaly correlation heuristics |
JP4619254B2 (ja) | 2005-09-30 | 2011-01-26 | 富士通株式会社 | Idsのイベント解析及び警告システム |
US7617231B2 (en) * | 2005-12-07 | 2009-11-10 | Electronics And Telecommunications Research Institute | Data hashing method, data processing method, and data processing system using similarity-based hashing algorithm |
US8312023B2 (en) * | 2007-12-21 | 2012-11-13 | Georgetown University | Automated forensic document signatures |
US8245301B2 (en) * | 2009-09-15 | 2012-08-14 | Lockheed Martin Corporation | Network intrusion detection visualization |
US8321648B2 (en) * | 2009-10-26 | 2012-11-27 | Netapp, Inc | Use of similarity hash to route data for improved deduplication in a storage server cluster |
US9960975B1 (en) * | 2014-11-05 | 2018-05-01 | Amazon Technologies, Inc. | Analyzing distributed datasets |
-
2015
- 2015-12-08 US US15/532,588 patent/US10846400B2/en active Active
- 2015-12-08 JP JP2016563513A patent/JPWO2016092836A1/ja active Pending
- 2015-12-08 WO PCT/JP2015/006119 patent/WO2016092836A1/ja active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004234401A (ja) * | 2003-01-31 | 2004-08-19 | Hitachi Ltd | セキュリティ診断情報収集システム及びセキュリティ診断システム |
JP2008176752A (ja) * | 2007-01-22 | 2008-07-31 | National Institute Of Information & Communication Technology | 系列データ間の類似性検査方法及び装置 |
Non-Patent Citations (1)
Title |
---|
SUZUKI, YOUHEI ET AL.: "A LOW COST WORM DETECTION TECHNIQUE BASED ON FLOW PAYLOAD SIMILARITY", 3RD INTERNATIONAL CONFERENCE ON WEB INFORMATION SYSTEMS AND TECHNOLOGIES ( WEBIST 2007, March 2007 (2007-03-01), Retrieved from the Internet <URL:http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.134.2451> * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114124913A (zh) * | 2021-09-24 | 2022-03-01 | 绿盟科技集团股份有限公司 | 一种网络资产变化监控的方法、装置及电子设备 |
CN114124913B (zh) * | 2021-09-24 | 2023-11-28 | 绿盟科技集团股份有限公司 | 一种网络资产变化监控的方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
US10846400B2 (en) | 2020-11-24 |
JPWO2016092836A1 (ja) | 2017-09-21 |
US20170329964A1 (en) | 2017-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
EP3287927B1 (en) | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device | |
US7703138B2 (en) | Use of application signature to identify trusted traffic | |
US20170149830A1 (en) | Apparatus and method for automatically generating detection rule | |
KR101544322B1 (ko) | 시각화를 이용한 악성 코드 탐지 시스템과 방법 | |
US7904942B2 (en) | Method of updating intrusion detection rules through link data packet | |
CN109951477B (zh) | 一种基于威胁情报检测网络攻击的方法和装置 | |
WO2014119669A1 (ja) | ログ分析装置、情報処理方法及びプログラム | |
JP5066544B2 (ja) | インシデント監視装置,方法,プログラム | |
CN107995179B (zh) | 一种未知威胁感知方法、装置、设备及系统 | |
KR20160116415A (ko) | 악성 도메인 클러스터 탐지 장치 및 방법 | |
JP6524789B2 (ja) | ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置 | |
US10454959B2 (en) | Importance-level calculation device, output device, and recording medium in which computer program is stored | |
CN109951345A (zh) | 一种告警处理方法及装置 | |
CN115883223A (zh) | 用户风险画像的生成方法及装置、电子设备、存储介质 | |
WO2016092836A1 (ja) | 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体 | |
KR101987031B1 (ko) | 네트워크 관제를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치 | |
US20210126925A1 (en) | Extraction apparatus, extraction method, computer readable medium | |
KR20120043466A (ko) | 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치 | |
JP7396371B2 (ja) | 分析装置、分析方法及び分析プログラム | |
CN113849820A (zh) | 一种漏洞检测方法及装置 | |
Giacinto et al. | Alarm clustering for intrusion detection systems in computer networks | |
US10187414B2 (en) | Differential malware detection using network and endpoint sensors | |
KR101986738B1 (ko) | 네트워크 관제 서비스를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치 | |
EP3718284B1 (en) | Extending encrypted traffic analytics with traffic flow data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 15866899 Country of ref document: EP Kind code of ref document: A1 |
|
WWE | Wipo information: entry into national phase |
Ref document number: 15532588 Country of ref document: US |
|
ENP | Entry into the national phase |
Ref document number: 2016563513 Country of ref document: JP Kind code of ref document: A |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 15866899 Country of ref document: EP Kind code of ref document: A1 |