Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP3697249B2 - Network status monitoring system and program - Google Patents
[go: Go Back, main page]

JP3697249B2 - Network status monitoring system and program - Google Patents

Network status monitoring system and program Download PDF

Info

Publication number
JP3697249B2
JP3697249B2 JP2003125397A JP2003125397A JP3697249B2 JP 3697249 B2 JP3697249 B2 JP 3697249B2 JP 2003125397 A JP2003125397 A JP 2003125397A JP 2003125397 A JP2003125397 A JP 2003125397A JP 3697249 B2 JP3697249 B2 JP 3697249B2
Authority
JP
Japan
Prior art keywords
alert
model
information
history
alerts
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003125397A
Other languages
Japanese (ja)
Other versions
JP2004336130A (en
Inventor
直輝 辻川
恵一 岩田
勝 磯崎
誠 小堀
慶一郎 中川
啓之 山中
義行 長谷川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2003125397A priority Critical patent/JP3697249B2/en
Publication of JP2004336130A publication Critical patent/JP2004336130A/en
Application granted granted Critical
Publication of JP3697249B2 publication Critical patent/JP3697249B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワークの監視技術に関する。
【0002】
【従来の技術】
ネットワークへの様々な攻撃を検知してアラートを発生するIDS(侵入検知システム;Intrution Detection System)が開発され、利用されている(例えば、特許文献1)。IDSは、ネットワーク上の機器に何らかの攻撃が発生したときにアラートを発生する。
【0003】
しかし、従来のIDSは、攻撃の事実を取りこぼさないようにするため、攻撃に敏感に反応するように作られている。このため、普通の運用であっても、IDSからは大量のアラートが出力され続ける。そこで、現在、セキュリティ管理の分野では、実害のあるアラートのみを監視装置に表示してセキュリティ管理者に知らせるようにフィルタリングしている。フィルタリングされたアラートは捨てられている。捨てられたアラートには重要な情報が眠っていると考えられているが、その利用方法が確立していない。
【0004】
また、IDSから発行されるアラートを有効に活用するため、侵入パターンに応じた複数の検出パターンを準備しておき、発生したアラートを検出パターンと比較することにより、不正を検出することが特許文献1に開示されている。特許文献1に開示された監視システムでは、予め準備した検出パターンに一致しない侵入パターンについては、検知することができないという問題があった。
【0005】
【特許文献1】
特開2002−342276号公報
【0006】
また、従来、ネットワーク上に配置されるファイアウオール装置や各ネットワーク機器から出力される情報を、ネットワーク状態の管理に有効に活用することができなかった。また、従来は、情報システム全体を概観して、正常に使われているのか、一部のサイトで異常な使われ方をしているのか、全体的に異常な使われ方をしているのか、把握する手法が確立していない。
【0007】
【発明が解決しようとする課題】
本発明は、上述した事情に鑑みてなされたもので、信頼度の高いネットワーク状態監視システムを提供することを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成するため、本発明の第1の観点に係る、ネットワーク状態監視システムは、
ネットワーク上に配置され、ネットワークへの攻撃を検出し、攻撃を検出すると、アラートを発生する侵入検知手段と、
前記複数の侵入検知手段により発生されたアラートを特定する情報を収集するアラート情報収集手段と、
前記アラート情報収集手段により収集されたアラートに関する情報に基づいて生成されたアラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを記憶するモデル記憶手段と、
発生したアラートの履歴情報を取得するアラート履歴情報取得手段と、
前記アラート履歴情報取得手段で取得されたアラート履歴情報により特定されるアラートの組合せを前記モデル記憶手段に記憶されたモデルと対比し、いずれかのモデルに合致する場合には、登録されているアクションを実行し、いずれのモデルにも合致しない場合には、異常を検知する異常検知手段と、
を備えることを特徴とする。
【0009】
例えば、前記モデル記憶手段は、出力されたアラートの種類の組合せとアクションとを対応付けて記憶し、前記異常検知手段は、新たなアラートが発生した場合に、攻撃者とアラートの種類とを特定し、前記アラート履歴情報取得手段に記憶されているアラート履歴情報から、その攻撃者が過去に発行させたアラートの種類を求め、その攻撃者が過去に発行させたアラートの種類の組合せと今回のアラートの種類との組合せが、前記モデル記憶手段に記憶されているアラートの種類の組合せのいずれかに合致する場合には、登録されているアクションを実行し、いずれにも合致しない場合には、異常を通知する。
【0010】
例えば、前記モデル記憶手段は、出力されたアラートの種類の順番とアクションとを対応付けて記憶し、前記異常検知手段は、新たなアラートが発生した場合に、攻撃者とアラートの種類とを特定し、前記アラート履歴情報取得手段に記憶されているアラート履歴情報から、その攻撃者が過去に発行させたアラートの種類の順番を求め、その攻撃者が過去に発行させたアラートと今回のアラートとの種類の順番が、前記モデル記憶手段に記憶されているアラートの種類の順番のいずれかに合致する場合には、登録されているアクションを実行し、いずれにも合致しない場合には、異常を通知する。
【0011】
例えば、前記モデル記憶手段は、アラートの出力量の時間推移のモデルを記憶し、前記異常検知手段は、前記アラート履歴情報取得手段により取得されたアラートの量と前記アラートの出力量の時間推移のモデルとを対比し、対比結果に基づいて、異常を通知する。
【0012】
発生したアラートの種類に基づいて、アラート発生者を分類(クラスタリング)する分類手段を配置してもよい。また、アラートの発生者別に、発生したアラートの種類と量とを求める手段と、求めたアラートの種類と量とに基づいて、同一傾向のアラート発生者を同一の分類に分類する分類手段とを配置してもよい。
【0013】
通信量を測定する通信量測定手段をさらに配置し、前記モデル記憶手段は、前記通信量の時間推移のモデルを記憶し、前記異常検知手段は、前記通信量測定手段で測定された通信量と前記通信量の時間推移のモデルとを対比し、対比結果に基づいて、異常を通知するようにしてもよい。
【0014】
アクセス量を測定するアクセス量測定手段をさらに配置し、前記モデル記憶手段は、前記アクセス量の時間推移のモデルを記憶し、前記異常検知手段は、前記アクセス量測定手段で測定されたアクセス量と前記アクセス量の時間推移のモデルとを対比し、対比結果に基づいて、異常を通知するようにしてもよい。
【0015】
上記目的を達成するため、本発明の第2の観点に係るネットワーク状態監視システムは、
ネットワークへの攻撃を検出するとアラートを発生する複数の侵入検知手段から、発生したアラートの情報を収集するアラート情報収集手段と、
前記アラート情報収集手段により収集されたアラートの情報に基づいてアラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを生成するモデル生成手段と、
前記アラート情報収集手段により収集されたアラートの情報に基づいて、発生したアラートの履歴情報を生成するアラート履歴生成手段と、
を備えることを特徴とする。
【0016】
例えば、前記アラート情報収集手段は、複数のローカルシステムに配置された侵入検知手段が発生したアラートの情報を収集し、前記モデル生成手段は、前記アラート情報収集手段により収集された複数のローカルシステムで発生したアラートの情報に基づいて、アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを生成する手段と、発生したアラートの履歴情報を生成する手段と、各ローカルシステムの異常検出装置に、生成したモデルと履歴情報とを提供する送信手段と、を備える。
【0017】
上記目的を達成するため、本発明の第3の観点に係るネットワーク状態監視システムは、
ネットワークへの攻撃を検出する侵入検知手段から発生されるアラートを受信するアラート受信手段と、
前記アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを記憶するモデル記憶手段と、
前記侵入検知手段が発生したアラートの履歴情報を記憶するアラート履歴記憶手段と、
前記アラート受信手段で受信した新たなアラートと前記アラート履歴記憶手段に記憶されているアラートの履歴とから生成されたアラート情報を、前記モデル記憶手段に記憶されたモデルと対比し、いずれかのモデルに合致する場合には、登録されているアクションを実行し、いずれのモデルにも合致しない場合には、異常を検知する異常検知手段と、
を備えることを特徴とする。
【0018】
上記目的を達成するため、本発明の第4の観点に係る、コンピュータプログラムは、
コンピュータ又はコンピュータ群を、
ネットワークへの攻撃を検出するとアラートを発生する複数の侵入検知手段から、発生したアラートの情報を収集するアラート情報収集手段、
前記アラート情報収集手段で収集されたアラートの情報に基づいて、アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを生成するモデル生成手段、
前記アラート情報収集手段で収集されたアラートの情報に基づいて、発生したアラートの履歴情報を生成するアラート履歴生成手段、
として機能させることを特徴とする。
【0019】
上記目的を達成するため、本発明の第5の観点に係る、コンピュータプログラムは、
アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを記憶するモデル記憶手段、
発生したアラートの履歴情報を記憶するアラート履歴記憶手段、
ネットワークへの攻撃を検出する侵入検知手段からのアラートを受信するアラート受信手段、
前記アラート受信手段で受信した新たなアラートと前記アラート履歴記憶手段に記憶されているアラートの履歴とから生成されたアラート情報を、前記モデル記憶手段に記憶されたモデルと対比し、いずれかのモデルに合致する場合には、登録されているアクションを実行し、いずれのモデルにも合致しない場合には、異常を検知する異常検知手段、
として機能させる。
【0020】
【発明の実施の形態】
以下、本発明の実施の形態に係るネットワーク状態監視システムを備えたネットワークシステムを説明する。
【0021】
この実施形態に係るネットワークシステム11は、図1に示すように、複数のローカルシステム21(21−1〜21−n)と、該複数のローカルシステム21にWAN(広域ネットワーク)25を介して接続されたサイバー攻撃対処センタ23とを備える。
【0022】
各ローカルシステム21は、一又は複数の侵入検知システム(IDS;Intrusion Detection System)31と、ファイアウオール33と、異常検出装置35と、ルータ37と、一又は複数のネットワーク機器39と、を備える。
【0023】
各IDS31は、ローカルシステム21内の機器に何らかの攻撃があったときに、攻撃元のIPアドレス、ポート番号、攻撃対象のIPアドレス、ポート番号、攻撃の内容等を示すアラート(アラート情報)を異常検出装置35に出力する。
【0024】
異常検出装置35は、IDS31から出力されるアラートに基づいて、ローカルシステム21内の異常の有無を判別し、また、発生されたアラートの情報を集約してサイバー攻撃センタ23に通知する。また、ローカルシステム21内のシステム異常を検出し、その情報を集約してサイバー攻撃センタ23に通知する。
【0025】
異常検出装置35は、図2に示すように、制御部111と、記憶部112と、通信部113と、入力部114と、表示部115とを備える。
【0026】
制御部111は、プロセッサ等から構成され、記憶部112に記憶された動作プログラムに従って後述する異常検出動作を行う。
記憶部112には、制御部111の動作プログラムと共に、1)アラート出力パターンモデル、2)アラート出力シーケンシャルパターンモデル、3)攻撃者情報1及び2、4)時間遷移モデル、が記憶されている。
【0027】
ここで、1)アラート出力パターンモデルは、図3(a)に示すように、アラートの種類の組合せと、それに対するアクションとを対応付けるモデルである。
「結論」に相当する種類のアラートが発生されたときに、それ以前のフラグ「1」が設定されている種類のアラートが出力されている場合に、対応する「アクション」を実行することを定義する。
【0028】
また、2)アラート出力シーケンシャルパターンモデルは、図3(b)に示すように、出力の順番まで考慮して、アラートの種類の組合せと、それに対するアクションとを対応付けるモデルである。登録されている順番通りにアラートが発生したときに、対応する「アクション」を実行することを定義する。
【0029】
3)攻撃者情報1は、図3(c)に示すように、攻撃者別に、どの種類のアラートを発生させたかを示す情報である。攻撃者情報2は、図3(d)に示すように、攻撃者別に、どのような順番でアラートを発生させたかを示す情報である。
【0030】
さらに、4)時間遷移モデルは、図4(a)〜(c)に示すように、IDS31から出力されるアラートの総量を予想するモデル、ルータ37等が判別するパケット量(トラヒック量;通信量)を予想するモデル、さらに、アクセス量(総アクセス量)を予想するモデル、等を含む。例えば、1日、1週間、1時間、等を1タイムスロットとして、過去の実績に基づいて、アラートの総量や、通信パケット量(トラヒック量;通信量)や、アクセス量を予想するモデルである。
【0031】
通信部113は、LAN(ローカルエリアネットワーク)を介して、ローカルシステム21内の各種装置やWAN25を介した通信を行う。入力部114は、各種情報、コマンド、等を入力する。表示部115は、各種情報を表示する。
【0032】
図1に示すファイアウオール33は、そこを通過する様々なアクセスを条件によって制限したり、あるいは内容を置き換えたりして外部からローカルシステム21を防護する。例えば、外部側の相手のIPアドレスを見て、通過を許したり許さなかったりの制御(パケット・フィルタリング)を行う。また、アクセスするプロトコル(http,SMTP,ftp,telnetなど)とアクセス方向(ローカルシステムから外部か、その逆か)に応じて通過を許したり許さなかったりの制御(アプリケーション・ゲートウエイ)を行う。なお、httpは、ホームページ送受信用のプロトコル。SMTP はインターネットメール送信のためのプロトコル。ftpは、ファイル転送用のプロトコル。telnetは、サーバにログインし、操作を行うためのプロトコルである。また、ファイアウオール33は、telnet,ftp等のセッションの履歴を取得し、異常検出装置35に履歴情報を提供する。
【0033】
ルータ37は、ローカルシステム21と外部のWAN25間の通信を可能とするものである。ルータ37は、ローカルシステム21と外部との間の通信量(パケット総量;トラヒック量)とを測定し、異常検出装置35に提供する。
【0034】
ネットワーク機器39は、クライアント端末、サーバ装置等から構成され、ローカルシステム21内部で相互にアクセスすると共にファイアウオール33、ルータ37を介して外部と通信を行う。ネットワーク機器39によるアクセス及びネットワーク機器へのアクセスの状況がIDS31により監視される。
【0035】
一方、サイバー攻撃対処センタ23は、各ローカルシステム21の各異常検出装置35の記憶部112に記憶されるモデルを適宜更新すると共にネットワーク全体を監視するためのものであり、1又は複数の侵入検知システム(IDS)31と、異常検出装置35と、ファイアウオール33と、ルータ37と、監視装置41と、攻撃者管理システム43と、DB(データベース)サーバ45と、を備える。
【0036】
侵入検知装置(IDS)31〜ルータ37までは、ローカルシステム21に配置されているものと実質的に同一である。
監視装置41は、システム全体及び各ローカルシステム21のネットワークコンデションを監視する装置であり、例えば、バッチ処理で、回帰分析等を用いたデータ・マイニング処理を行って、前述の種々のモデルを生成し、各ローカルシステム21の異常検出装置35に深夜などに配信する。
攻撃者管理システム43は、後述する攻撃者のクラスタリング結果(同一傾向の攻撃を行う攻撃者の分類)に基づいて、注視すべき攻撃者を登録する。
【0037】
DBサーバ45は、複数のローカルシステム21のIDS31から発行されたアラートの履歴、複数のローカルシステム21の異常検出装置35から出力された異常検出の通知の履歴、複数のローカルシステム21のファイアウオール33から出力されたアクセスの頻度の履歴、複数のローカルシステム21のルータ37から出力された通信パケットの総量等の情報を蓄積し、その履歴を取得する。また、DBサーバ45は、各ローカルシステム21で発生したシステム障害の情報等をも蓄積する。
【0038】
次に、上記構成のネットワーク状態監視システムによる監視動作を説明する。
まず、各ローカルシステム21内の異常検出装置35による異常検出動作を、図5〜図7のフローチャートを参照して説明する。
【0039】
まず、IDS31は、ローカルシステム21内のいずれかの機器への攻撃を検出すると、発生時間、攻撃者(IPアドレス、ポート番号)、攻撃を受けたもの(IPアドレス、ポート番号)、攻撃の内容、等を特定して、アラートを発行する。このアラートは異常検出装置35の通信部113を介して制御部111に伝達される。
【0040】
制御部111は、アラートに応答して、図5のフローチャートに示す異常検出処理を開始し、まず、アラートの内容(攻撃者、攻撃対象、アラートの種類)を特定する(ステップS11)。
次に、現在のタイムスロットのアラート数を+1する(ステップS12)。
続いて、アラート出力パターンに基づく異常検出を行う(ステップS13)。
続いて、アラート出力のシーケンシャルパターンに基づく異常検出を行う(ステップS14)。
【0041】
次に、ステップS13のアラート出力パターンに基づく異常検出処理について、図6を参照して説明する。
まず、ステップS11で特定したアラートの攻撃者をキーに、図3(c)に示す記憶部112に記憶されている攻撃者情報1を検索し、その攻撃者が過去にどのようなアラートを発生させているか、即ち、アラート発生履歴を特定する(ステップS21)。
【0042】
次に、特定した過去のアラート履歴と今回のアラートとの組合せが、図3(a)に示すアラート出力パターンモデルに登録されているか否かを判別する(ステップS22)。即ち、今回のアラートを「結論」、過去のアラート発生履歴を条件とするアラートの組合せがアラート出力パターンモデルに登録されているか否かを判別する(ステップS22)。
【0043】
登録されていれば、モデルに設定されているアクション(無視又はアラーム発生)を実行する(ステップS23)。
一方、登録されていなければ、アラームを発生する(ステップS24)。
【0044】
次に、今回のアラートが攻撃者情報1に登録されているか否かを判別し(ステップS25)、登録されていなければ、登録する(ステップS26)。
【0045】
以上の動作を具体例に基づいて説明すると、例えば、あるアラートが発生する直前の攻撃者情報1が図3(c)に示す内容で、アラート出力パターンモデルが(a)に示す内容であり、この状態で、攻撃者βによるアラートCが発生したとする。
【0046】
制御部111は、攻撃者βをキーに、攻撃者情報1を検索し、(アラートA,B,C,D...)について(1,0,0,1...)を求める(ステップS21)。(なお、フラグ「1」が過去にそのアラートが発生したことを示しているとする)。
【0047】
次に、判別した過去のアラートを条件として、今回のアラートを結果とするパターンが図3(a)のアラート出力パターンモデルに登録されているいずれかのパターンと一致するか否かを判別する(ステップS22)。すると、図3(a)の第3行に示すパターンに一致することが判別される。そこで、その行に設定されているアクションである「アラーム」が実行され、異常を示すアラームがステップS23で発行される。
【0048】
続いて、今回のアラートが攻撃者情報1に登録されているか否かを判別する(ステップS25)。この例では、図3(c)には攻撃者βとアラートCの組合せには、フラグがセットされていないので、新たにフラグをセットし、攻撃者情報1を(1,0,1、1...)に更新する(ステップS26)。
【0049】
なお、仮に、判別した過去のアラートを条件として、今回のアラートを結果とするパターンが図3(a)のアラート出力パターンモデルに登録されているいずれかのパターンと一致しない場合(ステップS22;No)は、アラームがステップS24で発行される。
【0050】
次に、ステップS14のアラート出力のシーケンシャルパターンに基づく異常検出処理について、図7を参照して説明する。
まず、ステップS11で特定したアラートの攻撃者をキーに、図3(d)に示す攻撃者情報2を検索し、その攻撃者が過去にどのよう順番でアラートを発生させているかを特定する(ステップS31)。
【0051】
次に、検索したアラートの履歴(シーケンス)の最後尾に今回発生したアラートを付け加え、アラートの新たなシーケンスを生成する(ステップS32)。
【0052】
次に、生成したアラートのシーケンスについて、アラートの取りうるシーケンシャルパターンを全て作成する(ステップS33)。仮に、n個のアラートのシーケンスが存在するとすれば、最初に、任意の2個を抽出して、これらのシーケンシャルパターンを作成する。次に、任意の3個を抽出して、これらのシーケンシャルパターンを作成する。...n個を抽出してシーケンシャルパターンを作成するまで、同様の処理を繰り返す。
【0053】
次に、ステップS33で生成した、アラートの取りうるシーケンシャルパターンのそれぞれについて、図3(b)に示すシーケンシャルモデルのいずれかに一致するか否か判別する(ステップS34)。
一致するものがあれば、モデルに設定されているアクション(無視又はアラーム発行)を実行する(ステップS35)。なお、取りうるシーケンシャルパターンの複数のものがモデルに一致する場合には、それぞれについて、アクションを実行する。
【0054】
一方、一致するものがなければ、アラームを発生する(ステップS36)。一致しないものが複数ある場合には、それぞれについて、アラームを発生する。
次に、今回のアラートを攻撃者情報2に登録する(ステップS37)。
【0055】
以上の動作を具体例で説明すると、例えば、あるアラートが発生する直前の攻撃者情報2が図3(d)に示すような内容で、アラート出力シーケンシャルパターンモデルが図3(b)に示す内容であり、この状態で、攻撃者βによるアラートCが発生したとする。
【0056】
すると、制御部111は、攻撃者がβで、アラートがCであることを判別し(ステップS11)、攻撃者βをキーに、攻撃者情報2を検索し(ステップS31)、攻撃者βによる攻撃のシーケンス(この例では、アラートA,アラートD)を求める。次に、このアラートのシーケンスの末尾に今回のアラートを追加し、(アラートA,アラートD,アラートC)というシーケンスを求める(ステップS32)。
【0057】
このアラートのシーケンスを、取りうるシーケンシャルパターンに展開し(ステップS33)、図8(a)に示す4つのシーケンシャルパターンが得られる。
次に、いずれかのパターンがシーケンシャルモデルのいずれかに合致するか否かを判別する(ステップS34)。この例では、第4行のパターン(アラートA、アラートD,アラートC)がアラート出力シーケンシャルパターンモデルの第3行のパターンに合致するので、そこに登録されているアクション「アラーム」を実行する(ステップS35)。続いて、今回のアラートを攻撃者情報2に追加し、図8(b)に示すように更新する(ステップS37)。
【0058】
なお、仮に、図8(a)に示す取りうるシーケンシャルパターンのいずれかが、図3(b)のアラート出力シーケンシャルパターンモデルのいずれにも一致しない場合(ステップS34;No)は、アラームがステップS36で発行される。
【0059】
以上で、アラート発生時の異常検出装置35の動作の説明を終了する。
【0060】
一方、異常検出装置35の制御部111は、時間遷移モデルに基づいて予め設定されているタイムスロットが終了するタイミングで、タイマ割込等に従って、図9に示す処理を実行する。
【0061】
まず、現在時刻が、時間遷移モデル上のタイムスロットのいずれに属すかを判別する(ステップS41)。
【0062】
次に、記憶部112に記憶されている現在のタイムスロットのアラート数(ステップS12でカウントされていたもの)を読み出し(ステップS42)、さらに、記憶部112に格納されている時間遷移アラートモデル(図4(a))を読み出し(ステップS43)、アラート数が予測範囲を逸脱しているか否かを判別する(ステップS44)。例えば、実際のアラート数が予測モデルが予測しているアラート数の2/3から4/3の範囲にあれば、これは予測範囲内であると判別し、また、この範囲以外であれば、予測範囲を逸脱していると判別する。実際のアラート数が予測範囲を逸脱する場合には、アラームを発生する(ステップS45)。一方、予測範囲内の場合には、例えば、何もしない。
【0063】
次に、パケットの入出力量(数)の履歴をルータ37に問い合わせて取得し(ステップS46)、記憶部112から、図4(b)に示すパケット入出量の時間遷移予測モデルを読み出し(ステップS47)、現タイムスロットの実際のパケット数が予測範囲を逸脱しているか否かを判別する(ステップS48)。例えば、実際のパケット数が予測モデルが予測しているパケット数の2/3から4/3の範囲にあれば、これは予測範囲内であると判別し、また、この範囲以外であれば、予測範囲を逸脱していると判別する。実際のパケット数が予測範囲を逸脱する場合には、アラームを発生し(ステップS49)、予測範囲内の場合には何もしない。
【0064】
次に、ファイヤウオール33に問い合わせて、現タイムスロットでのtelnet, ftp等の実際のアクセス頻度(量)を取得し(ステップS50)、記憶部112から、図4(c)に示すアクセス量の予測モデルを読み出し(ステップS51)、アクセス頻度が予測範囲を逸脱しているか否かを判別する(ステップS52)。例えば、実際のアクセス頻度が予測モデルが予測しているアクセス頻度の2/3から4/3の範囲にあれば、これは予測範囲内であると判別し、また、この範囲以外であれば、予測範囲を逸脱していると判別する。実際のアクセス頻度が予測範囲を逸脱する場合には、アラームを発生する(ステップS53)。一方、予測範囲内の場合には何もしない。
【0065】
以上で、今回の割り込み処理を終了する。
【0066】
次に、サイバー攻撃対処センタ23の動作を説明する。
前述のように、サイバー攻撃対処センタ23は、大きく分けて2つの機能を有する。第1は、前述の各異常検出装置35の記憶部112に記憶されるモデルを適宜更新する処理であり、第2は、ローカルシステム21全体を監視する処理である。
【0067】
まず、モデルを生成して、配信する処理について図10を参照して説明する。DBサーバ45は、深夜等に、全てのローカルシステム21の異常検出装置35にアクセスし、全てのログ情報(アラートログ、パケットの入出力量、エラーパケットの数、許可されていないトラヒックや許可されていてもtelnet,login,ftp等のセッションがあった場合のログ、パケットの入出量、エラーパケット数等の情報)、及び、ローカルシステム21に発生した異常の情報を取得する(ステップS61)。
【0068】
一方、監視装置41は、DBサーバ45が収集して蓄積したログに対して、データマイニングの手法を用いて、アラートの組とその結果とを対応付ける(ステップS62)。ここで、アラートの組とは、例えば、アラートの種類の組み合わせ(順番を問題としない)とアラートのシーケンス(順番を問題とする)との両方を含む。
【0069】
次に、監視装置41は、アラートの組合せの結果と任意に設定した基準とを比較して、結果が基準以上(重大)ならば、「アラームの発生」をアクションに設定し、結果が基準未満(軽微)ならば、「無視」をアクションに設定する(ステップS63)。例えば、ある特定のアラートの組合せが成立した後に、基準以上の重大な結果が発生する(蓋然性が高い)と判別された場合には、「アラームの発生」をアクションに設定する。逆に、ある特定のアラートの組合せが成立しても、なにも異変が起こらない(蓋然性が高い)と判別された場合には、「無視」をアクションに設定する。
【0070】
また、監視装置41は、アラートの履歴を攻撃者別にソートして、整理し、攻撃者情報1と攻撃者情報2とを更新する(ステップS64)。
【0071】
また、監視装置41は、収集したアラート履歴、通信パケット量、エラーパケット量、アクセス量などに基づいて、各ローカルシステム21で、今後の規定期間に発生するであろうアラートの量、通信パケットの量、アクセス量の予想値を求める(ステップS65)。この予想値を求める際には、月、日、曜日等を考慮する。これは、攻撃者は、「一定期間継続して攻撃を仕掛ける傾向」や、「複数の攻撃者が同時に攻撃を仕掛ける傾向」や「特定の曜日や時期に攻撃を仕掛ける傾向」があることに着目したものである。このようにして、時間遷移モデルを生成する。このような予想は、例えば、月、日、曜日等を説明変数に加えた回帰分析により可能である。
【0072】
このようにして、アラート出力パターンモデルと、アラート出力シーケンシャルパターンモデルと、3つの時間遷移モデルとを生成し、各異常検出装置35に配信する(ステップS66)。各異常検出装置35は、これらのモデルを受信して、記憶部112に記憶する。
【0073】
一方、攻撃者管理システム43は、図11に示すように、DBサーバ45よりアラート情報のログを受領する(ステップS71)。
【0074】
次に、図11に示すように、攻撃者別にアラートの種類とそのアラートの発生のさせ方を、図12に示すようにまとめ、アラートの発生のさせ方をベクトル化する(ステップS72)。即ち、アラートの種類別の発生回数を要素とするベクトルを生成する。各攻撃者のアラートの発生のさせ方をベクトル化する。生成されたベクトルを特徴ベクトルと呼ぶ。例えば、図12の攻撃者αであれば、(24,20,0,0)という特徴ベクトルが得られる。次に、特徴ベクトルを用いて、攻撃者をクラスタ化する(ステップS73)。即ち、各特徴ベクトルの類似度を求め(例えば、特徴ベクトルの単位ベクトル同士の内積を求めて、内積の小さいものは類似すると認定できる)、一定の基準に基づいて、類似の攻撃を行う攻撃者を1つのまとまりとして、攻撃者を分類する。さらに、図13に例示するように、クラスタ化した攻撃者を可視化して(ステップS74)、オペレータの要求に応じて、表示装置に表示する(ステップS75)。セキュリティ管理者は、分類結果を見て、攻撃者の特徴を把握し、注意が必要な攻撃者をピックアップし、今後の監視方式に役立てることができる。このような処理を行うことにより、例えば、図12の攻撃者αとγとが類似することが容易に判別できる。
【0075】
なお、アラートの発生のさせ方をベクトル化する手法は任意である。例えば、各攻撃者が単位時間に発生されたアラート数で表現することも可能である。
【0076】
監視装置41は、ネットワーク全体を監視し、各ローカルシステム21からのアラーム信号を検知し、ローカルシステム21毎及びネットワーク全体の異常状態を判別する。即ち、情報システムを概観して、正常に使われているのか、一部のサイトで異常な使われ方をしているのか、全体的に異常な使われ方をしているのか、等を判別する。そして、必要に応じて、各ローカルシステム21の異常検出のしきい値を修正したり、システム全体の安全性(ネットワークコンデンション)を調整する。
【0077】
例えば、監視装置41は、特定のローカルシステム21−kの異常検出装置35から異常状態が通知された場合に、そのローカルシステム21−kのネットワークコンデション(情報システムがどれだけ安全な状態かを示す指標)を引き上げ、そのローカルシステム21−kのIDS31のシグネチャ(攻撃と推測されるパケットの特徴をパターン化したもの)を、より危険の高い状態用のシグネチャに切り替えることを指示する。この指示に応答して、ローカルシステム21−kのIDS31は、シグネチャを切り替える。
【0078】
また、監視装置41は、例えば、特定数以上のローカルシステム21、例えば、2つ以上のローカルシステム21の異常検出装置35から異常状態が通知された場合に、本情報システムのネットワークコンデションを引き上げ、各ローカルシステム21のIDS31のシグネチャを、より危険の高い状態用のシグネチャに切り替えることを指示する。この指示に応答して、各ローカルシステム21のIDS31は、シグネチャを切り替える。
【0079】
このように、監視装置41は、情報システム全体を概観して、正常に使われているのか、一部のサイトで異常な使われ方をしているのか、全体的に異常な使われ方をしているのかを把握し、正常に使われている場合には、その状態を維持し(或いは、ネットワークコンデションを下げて)、一部のサイトで異常な使われ方をしている場合には、そのローカルサイトのネットワークコンデションのレベルを引き上げ、全体的に異常な使われ方をしている場合には、情報システム全体のネットワークコンデションを上げる等、情報システムの安全性を適宜高めることができる。
【0080】
以上、説明したように、この実施の形態によれば、IDS31のアラート出力のログを使って、アラート出力パターンモデル、アラート出力シーケンシャルパターンモデル、アラート出力量推移モデル等で表現し、各ローカルシステム21でのIDS31のアラートの出力され方の異常を検知し、対応するアクションを実行させることができる。
また、アラートが発生したときに、IDS31のアラート出力のログを使って、アラート出力パターンモデル、アラート出力シーケンシャルパターンモデルのいずれにも該当しない場合に、異常を報知させることにより、パターンモデルに登録されていない異常を検出できる。
【0081】
また、各ローカルシステム21のトラヒック(パケット量)をモデル化し、各サイトのトラヒックの異常を検知することができる。
さらに、蓄積されたファイアウオール33のログを使って、定常時の情報システムの状態(Telnet,ftpセッション等の頻度)をモデル化し、セッションの頻度の異常を検知することができる。
【0082】
さらに、監視装置で全体を監視して、システム全体のネットワークコンディションを決めることにより、IDS31のシグネチャの変更、ファイアウオール33のルール変更等のアクションを統一的に指示することができる。
また、攻撃者をアラートの特徴ベクトルで分類することにより、注視すべき攻撃者を特定しやすくなる。
【0083】
なお、この発明は上記実施の形態に限定されず、種々の変形及び応用が可能である。
【0084】
また、コンピュータ又はコンピュータ群に、上述の動作を実行するためのプログラム、即ち、上述のマウスポインタユーティリティプログラムを格納した媒体(フレキシブルディスク、CD−ROM等)から該プログラムをインストールすることにより、上述の処理を実行するコンピュータ等を構成することができる。なお、上述の機能を、OSが分担又はOSとアプリケーションの共同により実現する場合等には、OS以外の部分のみを媒体に格納してもよい。
【0085】
なお、搬送波をプログラム信号で変調して、通信を介して配信することも可能である。
【0086】
【発明の効果】
以上説明したように、本発明によれば、信頼性の高いネットワーク状態監視システムを提供できる。
【図面の簡単な説明】
【図1】本発明の実施形態に係る監視システムを備えるネットワークの構成例を示す図である。
【図2】図1に示す異常検出装置の構成例を示す図である。
【図3】異常監視装置に格納されるデータの例を示す図である。
【図4】異常監視装置に格納されるデータの例を示す図である。
【図5】IDSからアラートが発生された際の異常検出装置の動作を説明するためのフローチャートである。
【図6】図5のフローチャートのうち、アラート出力パターンモデルに基づく異常検出動作を説明するためのフローチャートである。
【図7】図5のフローチャートのうち、アラート出力のシーケンシャルパターンモデルに基づく異常検出動作を説明するためのフローチャートである。
【図8】(a)は、図7のステップS33で実行されるアラートのとりうるシーケンシャルパターンを求める処理を説明するための図、(b)は攻撃者情報2の更新された状態を示す図である。
【図9】時間遷移モデルに基づく異常検出処理を説明するためのフローチャートである。
【図10】モデル更新処理を説明するための図である。
【図11】攻撃者をクラスタリングする処理を説明するための図である。
【図12】攻撃者をクラスタリングする処理を説明するための図である。
【図13】攻撃者をクラスタリングし、可視化した例を説明するための図である。
【符号の説明】
21 ローカルシステム
23 サイバー攻撃対処センタ
33 ファイアウオール
35 異常検出装置
37 ルータ
41 監視装置
43 攻撃者管理システム
45 DBサーバ
[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a network monitoring technique.
[0002]
[Prior art]
An IDS (Intrusion Detection System) that detects various attacks on a network and generates an alert has been developed and used (for example, Patent Document 1). IDS generates an alert when an attack occurs on a device on the network.
[0003]
However, the conventional IDS is designed to respond sensitively to attacks so as not to miss the facts of the attacks. For this reason, a large number of alerts continue to be output from the IDS even in normal operation. Therefore, at present, in the field of security management, filtering is performed so that only alerts that are actually harmful are displayed on the monitoring device to notify the security administrator. Filtered alerts are discarded. Abandoned alerts are believed to contain important information, but how to use it has not been established.
[0004]
In order to effectively use alerts issued from IDS, it is possible to detect fraud by preparing a plurality of detection patterns according to intrusion patterns and comparing the generated alerts with the detection patterns. 1 is disclosed. In the monitoring system disclosed in Patent Document 1, there is a problem that an intrusion pattern that does not match a detection pattern prepared in advance cannot be detected.
[0005]
[Patent Document 1]
JP 2002-342276 A
[0006]
Conventionally, information output from a firewall device or each network device arranged on a network cannot be effectively used for managing the network state. Also, in the past, an overview of the entire information system, whether it is used normally, whether it is used abnormally at some sites, or whether it is used abnormally overall The method to grasp is not established.
[0007]
[Problems to be solved by the invention]
The present invention has been made in view of the above-described circumstances, and an object thereof is to provide a highly reliable network state monitoring system.
[0008]
[Means for Solving the Problems]
In order to achieve the above object, a network state monitoring system according to the first aspect of the present invention provides:
An intrusion detection means that is placed on the network, detects an attack on the network, and generates an alert when an attack is detected,
Alert information collecting means for collecting information for identifying an alert generated by the plurality of intrusion detecting means;
Model storage means for storing a model that associates an output pattern of an alert generated based on information about the alert collected by the alert information collection means and an action for the output pattern;
Alert history information acquisition means for acquiring history information of an alert that has occurred,
The combination of the alert specified by the alert history information acquired by the alert history information acquisition means is compared with the model stored in the model storage means, and if it matches any model, the registered action And if it does not match any model, an anomaly detection means for detecting an anomaly,
It is characterized by providing.
[0009]
For example, the model storage means stores a combination of output alert types and actions in association with each other, and the abnormality detection means identifies an attacker and an alert type when a new alert occurs. Then, from the alert history information stored in the alert history information acquisition means, the type of alert issued by the attacker in the past is obtained, and the combination of alert types issued by the attacker in the past and this time If the combination with the alert type matches one of the combinations of the alert types stored in the model storage means, the registered action is executed. Notify abnormalities.
[0010]
For example, the model storage unit stores the order of the types of output alerts in association with the actions, and the abnormality detection unit identifies the attacker and the type of alert when a new alert occurs. From the alert history information stored in the alert history information acquisition means, the order of the types of alerts issued by the attacker in the past is obtained, and the alert issued by the attacker in the past and the current alert If the order of the type matches with any of the types of alerts stored in the model storage means, the registered action is executed. Notice.
[0011]
For example, the model storage unit stores a time transition model of the output amount of the alert, and the abnormality detection unit stores the amount of the alert acquired by the alert history information acquisition unit and the time transition of the output amount of the alert. The model is compared, and an abnormality is notified based on the comparison result.
[0012]
Classification means for classifying (clustering) alert generators may be arranged based on the type of alert that has occurred. Further, there are means for determining the type and amount of alerts generated for each alert generator, and means for classifying alert generators with the same tendency into the same classification based on the types and amounts of alerts determined. You may arrange.
[0013]
A traffic volume measuring means for measuring the traffic volume is further arranged, the model storage means stores a model of time transition of the traffic volume, and the abnormality detecting means is configured to transmit the traffic volume measured by the traffic volume measuring means and The communication amount may be compared with a time transition model, and an abnormality may be notified based on the comparison result.
[0014]
Access amount measuring means for measuring the access amount is further arranged, the model storage means stores a model of time transition of the access amount, and the abnormality detection means is configured to store the access amount measured by the access amount measuring means. The access amount may be compared with the time transition model, and an abnormality may be notified based on the comparison result.
[0015]
In order to achieve the above object, a network state monitoring system according to the second aspect of the present invention provides:
An alert information collecting means for collecting information on the generated alert from a plurality of intrusion detecting means for generating an alert when an attack on the network is detected;
Model generating means for generating a model for associating an alert output pattern with an action for the output pattern based on the alert information collected by the alert information collecting means;
Alert history generation means for generating history information of an alert that has occurred based on the alert information collected by the alert information collection means;
It is characterized by providing.
[0016]
For example, the alert information collecting means collects information on alerts generated by intrusion detection means arranged in a plurality of local systems, and the model generating means is a plurality of local systems collected by the alert information collecting means. Based on the information of the generated alert, a means for generating a model that associates an output pattern of the alert with an action for the output pattern, a means for generating history information of the generated alert, and an abnormality detection device of each local system, Transmitting means for providing the generated model and history information.
[0017]
In order to achieve the above object, a network state monitoring system according to a third aspect of the present invention provides:
An alert receiving means for receiving an alert generated from an intrusion detecting means for detecting an attack on the network;
Model storage means for storing a model that associates an output pattern of the alert with an action for the output pattern;
Alert history storage means for storing history information of alerts generated by the intrusion detection means;
The alert information generated from the new alert received by the alert receiving means and the alert history stored in the alert history storage means is compared with the model stored in the model storage means, and any model If it matches, the registered action is executed, and if it does not match any model, an anomaly detection means for detecting an anomaly,
It is characterized by providing.
[0018]
In order to achieve the above object, a computer program according to the fourth aspect of the present invention provides:
A computer or group of computers
Alert information collection means that collects information on the generated alert from multiple intrusion detection means that generate an alert when an attack on the network is detected,
Model generation means for generating a model that associates an alert output pattern with an action for the output pattern based on the alert information collected by the alert information collection means;
Alert history generation means for generating history information of an alert that has occurred based on the alert information collected by the alert information collection means;
It is made to function as.
[0019]
In order to achieve the above object, a computer program according to the fifth aspect of the present invention provides:
Model storage means for storing a model that associates an output pattern of an alert with an action for the output pattern;
Alert history storage means for storing history information of alerts that have occurred,
An alert receiving means for receiving an alert from an intrusion detecting means for detecting an attack on the network;
The alert information generated from the new alert received by the alert receiving means and the alert history stored in the alert history storage means is compared with the model stored in the model storage means, and any model If it matches, the registered action is executed, and if it does not match any model, an abnormality detection means for detecting an abnormality,
To function as.
[0020]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, a network system including a network state monitoring system according to an embodiment of the present invention will be described.
[0021]
As shown in FIG. 1, the network system 11 according to this embodiment is connected to a plurality of local systems 21 (21-1 to 21-n) and the plurality of local systems 21 via a WAN (Wide Area Network) 25. The cyber attack response center 23 is provided.
[0022]
Each local system 21 includes one or a plurality of intrusion detection systems (IDS) 31, a firewall 33, an abnormality detection device 35, a router 37, and one or a plurality of network devices 39.
[0023]
Each IDS 31 abnormally alerts (alert information) indicating the attack source IP address, port number, attack target IP address, port number, attack content, etc. when there is any attack on the device in the local system 21 Output to the detection device 35.
[0024]
The abnormality detection device 35 determines the presence / absence of an abnormality in the local system 21 based on the alert output from the IDS 31, collects information on the generated alert, and notifies the cyber attack center 23. Further, system abnormalities in the local system 21 are detected, and the information is collected and notified to the cyber attack center 23.
[0025]
As shown in FIG. 2, the abnormality detection device 35 includes a control unit 111, a storage unit 112, a communication unit 113, an input unit 114, and a display unit 115.
[0026]
The control unit 111 is configured by a processor or the like, and performs an abnormality detection operation described later in accordance with an operation program stored in the storage unit 112.
Along with the operation program of the control unit 111, the storage unit 112 stores 1) an alert output pattern model, 2) an alert output sequential pattern model, 3) attacker information 1 and 2, and 4) a time transition model.
[0027]
Here, 1) the alert output pattern model is a model for associating a combination of alert types with an action corresponding thereto, as shown in FIG.
It is defined that when an alert of the type corresponding to “Conclusion” is generated, the corresponding “Action” is executed when the alert of the type with the flag “1” set earlier is output. To do.
[0028]
Further, 2) the alert output sequential pattern model is a model in which combinations of alert types are associated with actions corresponding thereto in consideration of the order of output as shown in FIG. It is defined that the corresponding “action” is executed when an alert occurs in the registered order.
[0029]
3) The attacker information 1 is information indicating which type of alert is generated for each attacker as shown in FIG. As shown in FIG. 3D, the attacker information 2 is information indicating the order in which alerts are generated for each attacker.
[0030]
4) As shown in FIGS. 4A to 4C, the time transition model is a model for predicting the total amount of alerts output from the IDS 31, the packet amount (traffic amount; traffic amount) determined by the router 37, etc. ) And a model for predicting the access amount (total access amount). For example, it is a model that predicts the total amount of alerts, the amount of communication packets (traffic amount; communication amount), and the amount of access based on past performance, with 1 day, 1 week, 1 hour, etc. as 1 time slot. .
[0031]
The communication unit 113 performs communication via various devices in the local system 21 and the WAN 25 via a LAN (local area network). The input unit 114 inputs various information, commands, and the like. The display unit 115 displays various information.
[0032]
The firewall 33 shown in FIG. 1 protects the local system 21 from the outside by restricting various accesses through the conditions or replacing the contents. For example, by looking at the IP address of the other party on the outside side, control (packet filtering) of allowing or not allowing passage is performed. It also controls whether or not to allow access (application gateway) depending on the protocol to be accessed (http, SMTP, ftp, telnet, etc.) and the access direction (from the local system to the outside or vice versa). Http is a protocol for sending and receiving websites. SMTP is a protocol for sending Internet mail. ftp is a file transfer protocol. Telnet is a protocol for logging into a server and performing operations. Further, the firewall 33 acquires the history of a session such as telnet or ftp, and provides the history information to the abnormality detection device 35.
[0033]
The router 37 enables communication between the local system 21 and the external WAN 25. The router 37 measures a communication amount (total amount of packets; traffic amount) between the local system 21 and the outside, and provides it to the abnormality detection device 35.
[0034]
The network device 39 includes a client terminal, a server device, and the like. The network device 39 accesses the inside of the local system 21 and communicates with the outside through the firewall 33 and the router 37. The IDS 31 monitors the status of access by the network device 39 and access to the network device.
[0035]
On the other hand, the cyber attack response center 23 is for appropriately updating the model stored in the storage unit 112 of each abnormality detection device 35 of each local system 21 and monitoring the entire network. A system (IDS) 31, an abnormality detection device 35, a firewall 33, a router 37, a monitoring device 41, an attacker management system 43, and a DB (database) server 45 are provided.
[0036]
The intrusion detection device (IDS) 31 to the router 37 are substantially the same as those arranged in the local system 21.
The monitoring device 41 is a device that monitors the network conditions of the entire system and each local system 21. For example, the above-described various models are generated by performing data mining processing using regression analysis or the like in batch processing. Then, it is delivered to the abnormality detection device 35 of each local system 21 at midnight or the like.
The attacker management system 43 registers the attackers to be watched based on the clustering results of the attackers described later (classification of the attackers who perform attacks of the same tendency).
[0037]
The DB server 45 includes a history of alerts issued from the IDSs 31 of the plurality of local systems 21, a history of notification of abnormality detection output from the abnormality detection devices 35 of the plurality of local systems 21, and a firewall 33 of the plurality of local systems 21. Information such as the output access frequency history and the total amount of communication packets output from the routers 37 of the plurality of local systems 21 is accumulated, and the history is acquired. The DB server 45 also accumulates information on system failures that have occurred in each local system 21.
[0038]
Next, a monitoring operation by the network state monitoring system having the above configuration will be described.
First, the abnormality detection operation by the abnormality detection device 35 in each local system 21 will be described with reference to the flowcharts of FIGS.
[0039]
First, when the IDS 31 detects an attack on any device in the local system 21, the occurrence time, the attacker (IP address, port number), the attacked (IP address, port number), and the content of the attack , Etc., and issue an alert. This alert is transmitted to the control unit 111 via the communication unit 113 of the abnormality detection device 35.
[0040]
In response to the alert, the control unit 111 starts the abnormality detection process shown in the flowchart of FIG. 5, and first identifies the content of the alert (attacker, attack target, type of alert) (step S11).
Next, the number of alerts in the current time slot is incremented by 1 (step S12).
Subsequently, abnormality detection based on the alert output pattern is performed (step S13).
Subsequently, abnormality detection is performed based on a sequential pattern of alert output (step S14).
[0041]
Next, the abnormality detection process based on the alert output pattern in step S13 will be described with reference to FIG.
First, the attacker information 1 stored in the storage unit 112 shown in FIG. 3C is searched using the alert attacker identified in step S11 as a key, and what alert the attacker has generated in the past. That is, the alert occurrence history is specified (step S21).
[0042]
Next, it is determined whether or not the combination of the specified past alert history and the current alert is registered in the alert output pattern model shown in FIG. 3A (step S22). That is, it is determined whether or not the alert combination of the current alert is “conclusion” and the alert combination with the past alert occurrence history as a condition is registered in the alert output pattern model (step S22).
[0043]
If registered, the action (ignore or alarm generation) set in the model is executed (step S23).
On the other hand, if not registered, an alarm is generated (step S24).
[0044]
Next, it is determined whether or not the current alert is registered in the attacker information 1 (step S25), and if not registered, it is registered (step S26).
[0045]
The above operation will be described based on a specific example. For example, the attacker information 1 immediately before a certain alert is generated is the content shown in FIG. 3C, and the alert output pattern model is the content shown in FIG. In this state, it is assumed that an alert C by the attacker β occurs.
[0046]
The control unit 111 searches the attacker information 1 using the attacker β as a key and obtains (1, 0, 0, 1...) For (alerts A, B, C, D...) (Step) S21). (It is assumed that the flag “1” indicates that the alert has occurred in the past).
[0047]
Next, on the condition of the determined past alert, it is determined whether or not the pattern resulting from the current alert matches any pattern registered in the alert output pattern model of FIG. Step S22). Then, it is determined that the pattern matches the pattern shown in the third row of FIG. Therefore, an “alarm” that is an action set in the row is executed, and an alarm indicating an abnormality is issued in step S23.
[0048]
Subsequently, it is determined whether or not the current alert is registered in the attacker information 1 (step S25). In this example, since the flag is not set for the combination of the attacker β and the alert C in FIG. 3C, a new flag is set and the attacker information 1 is set to (1, 0, 1, 1 (Step S26).
[0049]
Note that, if the determined past alert is a condition, the pattern resulting from the current alert does not match any of the patterns registered in the alert output pattern model of FIG. 3A (step S22; No) ) Is issued in step S24.
[0050]
Next, the abnormality detection process based on the sequential pattern of the alert output in step S14 will be described with reference to FIG.
First, the attacker information 2 shown in FIG. 3D is searched using the alert attacker identified in step S11 as a key, and the order in which the attacker has generated alerts in the past is identified ( Step S31).
[0051]
Next, an alert generated this time is added to the tail of the searched alert history (sequence) to generate a new alert sequence (step S32).
[0052]
Next, for the generated alert sequence, all sequential patterns that can be taken by the alert are created (step S33). If there are n alert sequences, first, any two are extracted and these sequential patterns are created. Next, arbitrary three are extracted to create these sequential patterns. . . . The same processing is repeated until n are extracted and a sequential pattern is created.
[0053]
Next, it is determined whether or not each of the sequential patterns that can be taken by the alert generated in step S33 matches one of the sequential models shown in FIG. 3B (step S34).
If there is a match, the action (ignore or alarm issuance) set in the model is executed (step S35). If a plurality of possible sequential patterns match the model, an action is executed for each of them.
[0054]
On the other hand, if there is no match, an alarm is generated (step S36). If there are multiple items that do not match, an alarm is generated for each.
Next, the current alert is registered in the attacker information 2 (step S37).
[0055]
The above operation will be described with a specific example. For example, the attacker information 2 immediately before a certain alert is generated is as shown in FIG. 3D, and the alert output sequential pattern model is shown in FIG. 3B. In this state, it is assumed that the alert C by the attacker β occurs.
[0056]
Then, the control unit 111 determines that the attacker is β and the alert is C (step S11), searches the attacker information 2 using the attacker β as a key (step S31), and the attacker β An attack sequence (in this example, alert A, alert D) is obtained. Next, the current alert is added to the end of the alert sequence to obtain a sequence (alert A, alert D, alert C) (step S32).
[0057]
This alert sequence is developed into possible sequential patterns (step S33), and four sequential patterns shown in FIG. 8A are obtained.
Next, it is determined whether or not any of the patterns matches any of the sequential models (step S34). In this example, since the pattern of the fourth row (alert A, alert D, alert C) matches the pattern of the third row of the alert output sequential pattern model, the action “alarm” registered there is executed ( Step S35). Subsequently, the current alert is added to the attacker information 2 and updated as shown in FIG. 8B (step S37).
[0058]
If any of the possible sequential patterns shown in FIG. 8A does not match any of the alert output sequential pattern models shown in FIG. 3B (step S34; No), the alarm is set in step S36. Issued at.
[0059]
Above, description of operation | movement of the abnormality detection apparatus 35 at the time of alert generation is complete | finished.
[0060]
On the other hand, the control unit 111 of the abnormality detection device 35 executes the process illustrated in FIG. 9 according to a timer interrupt or the like at a timing when a time slot set in advance based on the time transition model ends.
[0061]
First, it is determined to which time slot on the time transition model the current time belongs (step S41).
[0062]
Next, the number of alerts of the current time slot stored in the storage unit 112 (the one counted in step S12) is read (step S42), and the time transition alert model stored in the storage unit 112 ( 4A is read (step S43), and it is determined whether or not the number of alerts is out of the prediction range (step S44). For example, if the actual number of alerts is in the range of 2/3 to 4/3 of the number of alerts predicted by the prediction model, it is determined that this is within the predicted range. It is determined that the predicted range is deviated. If the actual number of alerts deviates from the predicted range, an alarm is generated (step S45). On the other hand, if it is within the prediction range, for example, nothing is done.
[0063]
Next, a history of packet input / output amount (number) is obtained by inquiring the router 37 (step S46), and the time transition prediction model of packet input / output amount shown in FIG. 4B is read from the storage unit 112 (step S47). ), It is determined whether or not the actual number of packets in the current time slot is out of the prediction range (step S48). For example, if the actual number of packets is in the range of 2/3 to 4/3 of the number of packets predicted by the prediction model, it is determined that this is within the predicted range. It is determined that the predicted range is deviated. When the actual number of packets deviates from the prediction range, an alarm is generated (step S49), and nothing is done when it is within the prediction range.
[0064]
Next, the firewall 33 is inquired to obtain the actual access frequency (amount) of telnet, ftp, etc. in the current time slot (step S50), and the access amount shown in FIG. The prediction model is read (step S51), and it is determined whether or not the access frequency is out of the prediction range (step S52). For example, if the actual access frequency is in the range of 2/3 to 4/3 of the access frequency predicted by the prediction model, it is determined that this is within the prediction range, and if it is outside this range, It is determined that the predicted range is deviated. If the actual access frequency deviates from the predicted range, an alarm is generated (step S53). On the other hand, if it is within the prediction range, nothing is done.
[0065]
Thus, the current interrupt process is completed.
[0066]
Next, the operation of the cyber attack response center 23 will be described.
As described above, the cyber attack response center 23 has two functions. The first is a process of appropriately updating the model stored in the storage unit 112 of each abnormality detection device 35 described above, and the second is a process of monitoring the entire local system 21.
[0067]
First, a process for generating and distributing a model will be described with reference to FIG. The DB server 45 accesses the abnormality detection devices 35 of all the local systems 21 at midnight or the like, and all the log information (alert log, packet input / output amount, number of error packets, unauthorized traffic and permitted). Even when there is a session such as telnet, login, ftp, etc., information on the log, the amount of incoming / outgoing packets, the number of error packets, etc.) and the information on the abnormality occurring in the local system 21 are acquired (step S61).
[0068]
On the other hand, the monitoring device 41 uses a data mining technique to associate the alert set and the result with the log collected and accumulated by the DB server 45 (step S62). Here, the alert group includes, for example, both a combination of alert types (the order is not a problem) and an alert sequence (the order is a problem).
[0069]
Next, the monitoring device 41 compares the result of the alert combination with an arbitrarily set criterion, and if the result is equal to or greater than the criterion (serious), sets “alarm occurrence” as an action, and the result is less than the criterion. If (minor), “ignore” is set as an action (step S63). For example, when it is determined that a serious result exceeding the reference occurs (highly likely) after a specific combination of alerts is established, “occurrence of alarm” is set as an action. On the other hand, if it is determined that nothing changes (highly likely) even if a specific combination of alerts is established, “ignore” is set as the action.
[0070]
Further, the monitoring device 41 sorts and arranges the alert history for each attacker, and updates the attacker information 1 and the attacker information 2 (step S64).
[0071]
In addition, the monitoring device 41 uses the collected alert history, communication packet amount, error packet amount, access amount and the like in each local system 21 to generate an alert amount, communication packet The expected value of the amount and the access amount is obtained (step S65). When obtaining this predicted value, the month, day, day of the week, etc. are taken into account. This is because attackers have a tendency to attack continuously for a certain period of time, a tendency to attack multiple attackers at the same time, and a tendency to attack on specific days and times. It is a thing. In this way, a time transition model is generated. Such a prediction is possible by, for example, regression analysis in which the month, day, day of the week, etc. are added to the explanatory variables.
[0072]
In this way, an alert output pattern model, an alert output sequential pattern model, and three time transition models are generated and distributed to each abnormality detection device 35 (step S66). Each abnormality detection device 35 receives these models and stores them in the storage unit 112.
[0073]
On the other hand, as shown in FIG. 11, the attacker management system 43 receives a log of alert information from the DB server 45 (step S71).
[0074]
Next, as shown in FIG. 11, the types of alerts for each attacker and how to generate the alerts are summarized as shown in FIG. 12, and how the alerts are generated is vectorized (step S72). That is, a vector having the number of occurrences for each type of alert as an element is generated. Vectorize how each attacker generates alerts. The generated vector is called a feature vector. For example, if it is attacker α of FIG. 12, the feature vector of (24, 20, 0, 0) will be obtained. Next, the attacker is clustered using the feature vector (step S73). In other words, the degree of similarity of each feature vector is obtained (for example, the inner product of unit vectors of feature vectors is obtained and those having a smaller inner product can be recognized as similar), and an attacker who makes a similar attack based on a certain standard The attackers are classified as a unit. Further, as illustrated in FIG. 13, the clustered attacker is visualized (step S74) and displayed on the display device in response to an operator request (step S75). The security administrator can see the classification results, understand the characteristics of the attacker, pick up the attacker who needs attention, and use it for future monitoring methods. By performing such processing, for example, it can be easily determined that the attackers α and γ in FIG. 12 are similar.
[0075]
Note that the method of vectorizing how alerts are generated is arbitrary. For example, each attacker can be expressed by the number of alerts generated per unit time.
[0076]
The monitoring device 41 monitors the entire network, detects an alarm signal from each local system 21, and determines an abnormal state for each local system 21 and for the entire network. In other words, an overview of the information system is used to determine whether it is being used normally, whether it is being used abnormally at some sites, or whether it is being used abnormally overall. To do. If necessary, the abnormality detection threshold value of each local system 21 is corrected, or the safety (network condensation) of the entire system is adjusted.
[0077]
For example, when an abnormal state is notified from the abnormality detection device 35 of a specific local system 21-k, the monitoring device 41 determines the network condition (how safe the information system is of the local system 21-k). The IDS 31 signature of the local system 21-k (which is a pattern of the characteristics of the packet presumed to be an attack) is instructed to switch to a signature for a higher risk state. In response to this instruction, the IDS 31 of the local system 21-k switches the signature.
[0078]
In addition, the monitoring device 41 raises the network condition of the information system when an abnormal state is notified from, for example, the abnormality detection devices 35 of a specific number or more of the local systems 21, for example, two or more local systems 21. Instruct to switch the signature of IDS 31 of each local system 21 to a signature for a more dangerous state. In response to this instruction, the IDS 31 of each local system 21 switches the signature.
[0079]
In this way, the monitoring device 41 gives an overview of the entire information system and determines whether it is used normally, whether it is used abnormally at some sites, or how it is used abnormally overall. If it is used normally, maintain its state (or lower the network condition) and use abnormally at some sites Raise the level of network conditions at the local site, and if the system is used abnormally as a whole, raise the network conditions of the information system as a whole to increase the safety of the information system as appropriate. Can do.
[0080]
As described above, according to this embodiment, the alert output log of the IDS 31 is used to represent each local system 21 using an alert output pattern model, an alert output sequential pattern model, an alert output amount transition model, and the like. It is possible to detect an abnormality in how the IDS 31 alert is output and to execute a corresponding action.
In addition, when an alert occurs, the alert output log of IDS 31 is used to register an abnormality in the pattern model by notifying either of the alert output pattern model and the alert output sequential pattern model. Can detect abnormalities.
[0081]
Further, it is possible to model the traffic (packet amount) of each local system 21 and detect a traffic abnormality at each site.
Furthermore, it is possible to model the state of the information system at a steady state (frequency of Telnet, ftp session, etc.) using the accumulated log of the firewall 33, and to detect an abnormal frequency of the session.
[0082]
Furthermore, by monitoring the entire system with the monitoring device and determining the network conditions of the entire system, actions such as changing the signature of the IDS 31 and changing the rule of the firewall 33 can be instructed uniformly.
Also, by classifying attackers by alert feature vectors, it becomes easier to identify attackers to watch.
[0083]
In addition, this invention is not limited to the said embodiment, A various deformation | transformation and application are possible.
[0084]
Further, by installing the program from the medium (flexible disk, CD-ROM, etc.) storing the above-described mouse pointer utility program in the computer or the computer group, that is, the above-mentioned operation is performed. A computer or the like that executes processing can be configured. Note that, when the OS realizes the above functions by sharing or jointly of the OS and the application, only the part other than the OS may be stored in the medium.
[0085]
It is also possible to modulate the carrier wave with a program signal and distribute it via communication.
[0086]
【The invention's effect】
As described above, according to the present invention, a highly reliable network state monitoring system can be provided.
[Brief description of the drawings]
FIG. 1 is a diagram illustrating a configuration example of a network including a monitoring system according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating a configuration example of the abnormality detection apparatus illustrated in FIG. 1;
FIG. 3 is a diagram illustrating an example of data stored in an abnormality monitoring device.
FIG. 4 is a diagram illustrating an example of data stored in an abnormality monitoring device.
FIG. 5 is a flowchart for explaining the operation of the abnormality detection apparatus when an alert is generated from IDS.
6 is a flowchart for explaining an abnormality detection operation based on an alert output pattern model in the flowchart of FIG. 5;
7 is a flowchart for explaining an abnormality detection operation based on a sequential pattern model of alert output in the flowchart of FIG. 5;
8A is a diagram for explaining processing for obtaining a sequential pattern that can be taken by an alert executed in step S33 in FIG. 7, and FIG. 8B is a diagram showing an updated state of attacker information 2. FIG. It is.
FIG. 9 is a flowchart for explaining abnormality detection processing based on a time transition model.
FIG. 10 is a diagram for explaining model update processing;
FIG. 11 is a diagram for explaining processing for clustering attackers;
FIG. 12 is a diagram for explaining a process for clustering attackers;
FIG. 13 is a diagram for explaining an example in which attackers are clustered and visualized.
[Explanation of symbols]
21 Local system
23 Cyber Attack Response Center
33 Firewall
35 Anomaly detection device
37 routers
41 Monitoring device
43 Attacker management system
45 DB server

Claims (13)

ネットワーク上に配置され、ネットワークへの攻撃を検出し、攻撃を検出すると、アラートを発生する侵入検知手段と、
前記複数の侵入検知手段により発生されたアラートを特定する情報を収集するアラート情報収集手段と、
前記アラート情報収集手段により収集されたアラートに関する情報に基づいて生成されたアラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを記憶するモデル記憶手段と、
発生したアラートの履歴情報を取得するアラート履歴情報取得手段と、
前記アラート履歴情報取得手段で取得されたアラート履歴情報により特定されるアラートの組合せを前記モデル記憶手段に記憶されたモデルと対比し、いずれかのモデルに合致する場合には、登録されているアクションを実行し、いずれのモデルにも合致しない場合には、異常を検知する異常検知手段と、
を備えることを特徴とするネットワーク状態監視システム。
An intrusion detection means that is placed on the network, detects an attack on the network, and generates an alert when an attack is detected,
Alert information collecting means for collecting information for identifying an alert generated by the plurality of intrusion detecting means;
Model storage means for storing a model that associates an output pattern of an alert generated based on information about the alert collected by the alert information collection means and an action for the output pattern;
Alert history information acquisition means for acquiring history information of an alert that has occurred,
The combination of the alert specified by the alert history information acquired by the alert history information acquisition means is compared with the model stored in the model storage means, and if it matches any model, the registered action And if it does not match any model, an anomaly detection means for detecting an anomaly,
A network state monitoring system comprising:
前記モデル記憶手段は、出力されたアラートの種類の組合せとアクションとを対応付けて記憶し、
前記異常検知手段は、新たなアラートが発生した場合に、攻撃者とアラートの種類とを特定し、前記アラート履歴情報取得手段に記憶されているアラート履歴情報から、その攻撃者が過去に発行させたアラートの種類を求め、その攻撃者が過去に発行させたアラートの種類の組合せと今回のアラートの種類との組合せが、前記モデル記憶手段に記憶されているアラートの種類の組合せのいずれかに合致する場合には、登録されているアクションを実行し、いずれにも合致しない場合には、異常を通知する、
ことを特徴とする請求項1に記載のネットワーク状態監視システム。
The model storage means stores a combination of an output alert type and an action in association with each other,
The anomaly detection means identifies an attacker and the type of alert when a new alert occurs, and causes the attacker to issue in the past from the alert history information stored in the alert history information acquisition means. The combination of the alert type issued by the attacker in the past and the present alert type is one of the alert type combinations stored in the model storage means. If it matches, execute the registered action, and if it does not match any of them, notify the abnormality.
The network state monitoring system according to claim 1.
前記モデル記憶手段は、出力されたアラートの種類の順番とアクションとを対応付けて記憶し、
前記異常検知手段は、新たなアラートが発生した場合に、攻撃者とアラートの種類とを特定し、前記アラート履歴情報取得手段に記憶されているアラート履歴情報から、その攻撃者が過去に発行させたアラートの種類の順番を求め、その攻撃者が過去に発行させたアラートと今回のアラートとの種類の順番が、前記モデル記憶手段に記憶されているアラートの種類の順番のいずれかに合致する場合には、登録されているアクションを実行し、いずれにも合致しない場合には、異常を通知する、
ことを特徴とする請求項1又は2に記載のネットワーク状態監視システム。
The model storage means stores the order of the types of output alerts in association with actions,
The anomaly detection means identifies an attacker and the type of alert when a new alert occurs, and causes the attacker to issue in the past from the alert history information stored in the alert history information acquisition means. The order of the types of alerts obtained is determined, and the order of the types of alerts issued by the attacker in the past and the alerts of this time match one of the orders of types of alerts stored in the model storage unit In the case, the registered action is executed, and if it does not match any of them, an abnormality is notified.
The network state monitoring system according to claim 1 or 2, characterized in that
前記モデル記憶手段は、アラートの出力量の時間推移のモデルを記憶し、
前記異常検知手段は、前記アラート履歴情報取得手段により取得されたアラートの量と前記アラートの出力量の時間推移のモデルとを対比し、対比結果に基づいて、異常を通知する、
ことを特徴とする請求項1、2又は3に記載のネットワーク状態監視システム。
The model storage means stores a time transition model of an alert output amount,
The abnormality detection means compares the amount of alert acquired by the alert history information acquisition means with a model of time transition of the output amount of the alert, and notifies the abnormality based on the comparison result.
The network state monitoring system according to claim 1, 2 or 3.
発生したアラートの種類に基づいて、アラート発生者を分類する分類手段をさらに備える、ことを特徴とする請求項1乃至4のいずれか1項に記載のネットワーク状態監視システム。The network state monitoring system according to any one of claims 1 to 4, further comprising a classifying unit that classifies an alert generator based on a type of an alert that has occurred. アラートの発生者別に、発生したアラートの種類と量とを求める手段と、求めたアラートの種類と量とに基づいて、同一傾向のアラートを発生する発生者を同一の分類に分類する分類手段とをさらに備える、ことを特徴とする請求項1乃至4のいずれか1項に記載のネットワーク状態監視システム。A means for determining the type and amount of alerts generated for each alert generator, and a classifying means for classifying those who generate alerts of the same tendency into the same classification based on the types and amounts of alerts determined. The network state monitoring system according to claim 1, further comprising: 通信量を測定する通信量測定手段をさらに備え、
前記モデル記憶手段は、前記通信量の時間推移のモデルを記憶し、
前記異常検知手段は、前記通信量測定手段で測定された通信量と前記通信量の時間推移のモデルとを対比し、対比結果に基づいて、異常を通知する、
ことを特徴とする請求項1乃至6のいずれか1項に記載のネットワーク状態監視システム。
A communication amount measuring means for measuring the communication amount;
The model storage means stores a model of time transition of the traffic volume,
The abnormality detection unit compares the communication amount measured by the communication amount measurement unit with a model of time transition of the communication amount, and notifies the abnormality based on the comparison result.
The network state monitoring system according to any one of claims 1 to 6.
アクセス量を測定するアクセス量測定手段をさらに備え、
前記モデル記憶手段は、前記アクセス量の時間推移のモデルを記憶し、
前記異常検知手段は、前記アクセス量測定手段で測定されたアクセス量と前記アクセス量の時間推移のモデルとを対比し、対比結果に基づいて、異常を通知する、
ことを特徴とする請求項1乃至7のいずれか1項に記載のネットワーク状態監視システム。
It further comprises an access amount measuring means for measuring the access amount,
The model storage means stores a model of time transition of the access amount,
The abnormality detection unit compares the access amount measured by the access amount measurement unit with a model of time transition of the access amount, and notifies the abnormality based on the comparison result.
The network state monitoring system according to any one of claims 1 to 7, wherein
ネットワークへの攻撃を検出するとアラートを発生する複数の侵入検知手段から、発生したアラートの情報を収集するアラート情報収集手段と、
前記アラート情報収集手段により収集されたアラートの情報に基づいてアラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを生成するモデル生成手段と、
前記アラート情報収集手段により収集されたアラートの情報に基づいて、発生したアラートの履歴情報を生成するアラート履歴生成手段と、
を備えることを特徴とするネットワーク状態監視システム。
An alert information collecting means for collecting information on the generated alert from a plurality of intrusion detecting means for generating an alert when an attack on the network is detected;
Model generating means for generating a model for associating an alert output pattern with an action for the output pattern based on the alert information collected by the alert information collecting means;
Alert history generation means for generating history information of an alert that has occurred based on the alert information collected by the alert information collection means;
A network state monitoring system comprising:
前記アラート情報収集手段は、複数のローカルシステムに配置された侵入検知手段が発生したアラートの情報を収集し、
前記モデル生成手段は、前記アラート情報収集手段により収集された複数のローカルシステムで発生したアラートの情報に基づいて、アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを生成する手段と、発生したアラートの履歴情報を生成する手段と、各ローカルシステムの異常検出装置に、生成したモデルと履歴情報とを提供する送信手段と、を備える、
ことを特徴とする請求項9に記載のネットワーク状態監視システム。
The alert information collecting means collects information on alerts generated by intrusion detection means arranged in a plurality of local systems,
The model generating means generates a model for associating an alert output pattern with an action for the output pattern, based on the alert information generated in the plurality of local systems collected by the alert information collecting means, Means for generating history information of the alert, and transmission means for providing the generated model and history information to the abnormality detection device of each local system,
The network state monitoring system according to claim 9.
ネットワークへの攻撃を検出する侵入検知手段から発生されるアラートを受信するアラート受信手段と、
前記アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを記憶するモデル記憶手段と、
前記侵入検知手段が発生したアラートの履歴情報を記憶するアラート履歴記憶手段と、
前記アラート受信手段で受信した新たなアラートと前記アラート履歴記憶手段に記憶されているアラートの履歴とから生成されたアラート情報を、前記モデル記憶手段に記憶されたモデルと対比し、いずれかのモデルに合致する場合には、登録されているアクションを実行し、いずれのモデルにも合致しない場合には、異常を検知する異常検知手段と、
を備えることを特徴とするネットワーク状態監視システム。
An alert receiving means for receiving an alert generated from an intrusion detecting means for detecting an attack on the network;
Model storage means for storing a model that associates an output pattern of the alert with an action for the output pattern;
Alert history storage means for storing history information of alerts generated by the intrusion detection means;
The alert information generated from the new alert received by the alert receiving means and the alert history stored in the alert history storage means is compared with the model stored in the model storage means, and any model If it matches, the registered action is executed, and if it does not match any model, an anomaly detection means for detecting an anomaly,
A network state monitoring system comprising:
コンピュータ又はコンピュータ群を、
ネットワークへの攻撃を検出するとアラートを発生する複数の侵入検知手段から、発生したアラートの情報を収集するアラート情報収集手段、
前記アラート情報収集手段で収集されたアラートの情報に基づいて、アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを生成するモデル生成手段、
前記アラート情報収集手段で収集されたアラートの情報に基づいて、発生したアラートの履歴情報を生成するアラート履歴生成手段、
として機能させるコンピュータプログラム。
A computer or group of computers
Alert information collection means that collects information on the generated alert from multiple intrusion detection means that generate an alert when an attack on the network is detected,
Model generation means for generating a model that associates an alert output pattern with an action for the output pattern based on the alert information collected by the alert information collection means;
Alert history generation means for generating history information of an alert that has occurred based on the alert information collected by the alert information collection means;
A computer program that functions as a computer program.
コンピュータ又はコンピュータ群を、
アラートの出力パターンと該出力パターンに対するアクションとを対応付けるモデルを記憶するモデル記憶手段、
発生したアラートの履歴情報を記憶するアラート履歴記憶手段、
ネットワークへの攻撃を検出する侵入検知手段からのアラートを受信するアラート受信手段、
前記アラート受信手段で受信した新たなアラートと前記アラート履歴記憶手段に記憶されているアラートの履歴とから生成されたアラート情報を、前記モデル記憶手段に記憶されたモデルと対比し、いずれかのモデルに合致する場合には、登録されているアクションを実行し、いずれのモデルにも合致しない場合には、異常を検知する異常検知手段、
として機能させるコンピュータプログラム。
A computer or group of computers
Model storage means for storing a model that associates an output pattern of an alert with an action for the output pattern;
Alert history storage means for storing history information of alerts that have occurred,
An alert receiving means for receiving an alert from an intrusion detecting means for detecting an attack on the network;
The alert information generated from the new alert received by the alert receiving means and the alert history stored in the alert history storage means is compared with the model stored in the model storage means, and any model If it matches, the registered action is executed, and if it does not match any model, an abnormality detection means for detecting an abnormality,
A computer program that functions as a computer program.
JP2003125397A 2003-04-30 2003-04-30 Network status monitoring system and program Expired - Lifetime JP3697249B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003125397A JP3697249B2 (en) 2003-04-30 2003-04-30 Network status monitoring system and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003125397A JP3697249B2 (en) 2003-04-30 2003-04-30 Network status monitoring system and program

Publications (2)

Publication Number Publication Date
JP2004336130A JP2004336130A (en) 2004-11-25
JP3697249B2 true JP3697249B2 (en) 2005-09-21

Family

ID=33502677

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003125397A Expired - Lifetime JP3697249B2 (en) 2003-04-30 2003-04-30 Network status monitoring system and program

Country Status (1)

Country Link
JP (1) JP3697249B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107209829A (en) * 2015-01-16 2017-09-26 三菱电机株式会社 Data judging device, data judging method and program

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2006077666A1 (en) * 2004-12-28 2008-06-19 国立大学法人京都大学 Observation data display device, observation data display method, observation data display program, and computer-readable recording medium recording the same
JP4523480B2 (en) 2005-05-12 2010-08-11 株式会社日立製作所 Log analysis system, analysis method, and log analysis device
JP4887081B2 (en) * 2006-06-12 2012-02-29 株式会社Kddi研究所 Communication monitoring device, communication monitoring method and program
US20130074143A1 (en) * 2011-09-15 2013-03-21 Mcafee, Inc. System and method for real-time customized threat protection
JP6476143B2 (en) * 2016-02-02 2019-02-27 日本電信電話株式会社 Anomaly detection device, anomaly detection system, anomaly detection method, and program
WO2017221373A1 (en) * 2016-06-23 2017-12-28 三菱電機株式会社 Intrusion detection device and intrusion detection program
JP6869869B2 (en) * 2017-10-26 2021-05-12 株式会社日立製作所 Countermeasure planning system and monitoring device for control system
JP7034989B2 (en) * 2019-07-22 2022-03-14 ソフトバンク株式会社 Alarm aggregation sorting device and alarm aggregation sorting method
AT523933B1 (en) * 2020-11-18 2022-01-15 Ait Austrian Inst Tech Gmbh Method for classifying abnormal operating states of a computer network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107209829A (en) * 2015-01-16 2017-09-26 三菱电机株式会社 Data judging device, data judging method and program
CN107209829B (en) * 2015-01-16 2019-09-06 三菱电机株式会社 Data judging device and data judging method

Also Published As

Publication number Publication date
JP2004336130A (en) 2004-11-25

Similar Documents

Publication Publication Date Title
US11997113B2 (en) Treating data flows differently based on level of interest
EP3528462B1 (en) A method for sharing cybersecurity threat analysis and defensive measures amongst a community
US10476749B2 (en) Graph-based fusing of heterogeneous alerts
US10986121B2 (en) Multivariate network structure anomaly detector
EP2040435B1 (en) Intrusion detection method and system
US7917393B2 (en) Probabilistic alert correlation
JP2023050189A (en) Threat control method and system
US20190089725A1 (en) Deep Architecture for Learning Threat Characterization
US10476752B2 (en) Blue print graphs for fusing of heterogeneous alerts
KR20150091775A (en) Method and System of Network Traffic Analysis for Anomalous Behavior Detection
CN112153047A (en) Block chain-based network security operation and maintenance and defense method and system
Iturbe et al. Towards Large‐Scale, Heterogeneous Anomaly Detection Systems in Industrial Networks: A Survey of Current Trends
Sadighian et al. Semantic-based context-aware alert fusion for distributed Intrusion Detection Systems
JP3697249B2 (en) Network status monitoring system and program
US20250267154A1 (en) Machine learning analyzing non-standard configurations for cyber security purposes
JP6616045B2 (en) Graph-based combination of heterogeneous alerts
Lee et al. Sierra: Ranking anomalous activities in enterprise networks
Yeshwanth et al. Adoption and assessment of machine learning algorithms in security operations centre for critical infrastructure
Skopik et al. Intrusion detection in distributed systems using fingerprinting and massive event correlation
Bailey et al. Intrusion detection using clustering of network traffic flows
Syamsu Relationship between artificial intelligence and machine learning in network monitoring
WO2020255512A1 (en) Monitoring system and monitoring method
Vinila Jinny et al. Encrusted CRF in intrusion detection system
KR20260023115A (en) Method and System of Network Traffic Analysis for User Behavior Detection
WO2017176673A1 (en) Blue print graphs for fusing of heterogeneous alerts

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050323

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050329

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050621

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050701

R150 Certificate of patent or registration of utility model

Ref document number: 3697249

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080708

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090708

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090708

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100708

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110708

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110708

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120708

Year of fee payment: 7

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120708

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130708

Year of fee payment: 8

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term