JP4096264B2 - Threat detection device, threat detection method, and program - Google Patents
Threat detection device, threat detection method, and program Download PDFInfo
- Publication number
- JP4096264B2 JP4096264B2 JP2004331705A JP2004331705A JP4096264B2 JP 4096264 B2 JP4096264 B2 JP 4096264B2 JP 2004331705 A JP2004331705 A JP 2004331705A JP 2004331705 A JP2004331705 A JP 2004331705A JP 4096264 B2 JP4096264 B2 JP 4096264B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- threat
- resources
- amount
- threat detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001514 detection method Methods 0.000 title claims description 77
- 239000011159 matrix material Substances 0.000 claims description 23
- 238000004458 analytical method Methods 0.000 claims description 16
- 241000700605 Viruses Species 0.000 description 6
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000000034 method Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000009385 viral infection Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000004451 qualitative analysis Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、脅威検出装置、脅威検出方法、及び、プログラムに関し、更に詳しくは、ネットワークに対する脅威を分析する脅威検出装置、脅威検出方法、及び、プログラムに関する。 The present invention relates to a threat detection device, a threat detection method, and a program, and more particularly, to a threat detection device, a threat detection method, and a program for analyzing a threat to a network.
近年では、インターネットの爆発的な普及に見られるように、ネットワークを利用する機会が急激に増加している。ネットワークの利用により、利用者はネットワーク上でさまざまなサービスを利用することができ、利便性が向上する反面、不正アクセスやウイルスへの感染といった、ネットワークを利用する上での脅威も飛躍的に高まっている。このため、ネットワークの利用における脅威を認識して、セキュリティーを確保できる技術が要望されている。 In recent years, as seen in the explosive spread of the Internet, opportunities to use networks have increased rapidly. By using the network, users can use various services on the network, which improves convenience, but threats to use the network, such as unauthorized access and virus infection, have also increased dramatically. ing. Therefore, there is a demand for a technology that can recognize a threat in the use of a network and ensure security.
外部からの不正アクセスを検出してセキュリティーを確保する技術として、特許文献1には、不正侵入検出装置を用いる技術が記載されている。不正侵入検出装置は、ネットワークのトラフィックを観測するトラフィック監視手段と、パケットが不正アクセスパケットであるか否かの不正アクセス分析を所定の分析項目に関して行うパケット分析手段とを有する。不正侵入検出装置では、パケット分析手段は、トラフィック監視手段が観測したトラフィック値に基づいて、何れの分析項目に関して不正アクセス分析を行うかを決定し、外部からの不正アクセスを検出する。
ところで、リスク分析における脅威の測定には、従来は定量的な算出方法がなく、情報資産ごとに脅威を想定する定性的な分析を行う必要があった。このため、脅威の分析には手間がかかるという問題がある。また、複数人で分析を行う場合には、分析作業者ごとに考え方が異なるため、分析にばらつきが出るという問題もある。更に、それぞれの脅威を、情報資産ごとにとらえているため、局所的な観点となり、ネットワーク全体としての脅威を認識することが困難であるという問題がある。 By the way, threat measurement in risk analysis has conventionally had no quantitative calculation method, and it was necessary to perform qualitative analysis assuming a threat for each information asset. For this reason, there is a problem that it takes time to analyze the threat. In addition, when the analysis is performed by a plurality of people, there is a problem that the analysis varies because the analysis workers have different ways of thinking. Furthermore, since each threat is captured for each information asset, there is a problem that it becomes a local viewpoint and it is difficult to recognize the threat as the entire network.
本発明は、上記従来技術の問題点を解消し、ネットワークの脅威の分析を定量的に行うことができ、また、ネットワーク全体としての脅威を認識できる脅威検出装置、脅威検出方法、及び、プログラムを提供することを目的とする。 The present invention eliminates the above-mentioned problems of the prior art, can quantitatively analyze network threats, and can detect threats as a whole network, a threat detection device, a threat detection method, and a program. The purpose is to provide.
上記目的を達成するために、本発明の脅威検出装置は、複数の資源間を接続するネットワークにおける脅威を検出する脅威検出装置において、ネットワーク上の各資源間で発生する資源間アクセス量を収集するアクセス量収集部と、前記アクセス量収集部によって収集された資源間アクセス量に基づいて、ネットワークにおける現状のアクセス状況データを作成して記憶装置に記憶するアクセス状況作成部と、前記アクセス状況データ作成部で作成された現状のアクセス状況データを解析し、該解析結果に基づいてネットワークに対する脅威の発生を検出する脅威検出部と、前記脅威検出部によって脅威の発生が検出されると、当該脅威が発生した旨を通知する通知部とを備えることを特徴とする。 In order to achieve the above object, a threat detection apparatus of the present invention collects an access amount between resources generated between resources on a network in a threat detection apparatus that detects threats in a network connecting a plurality of resources. An access amount collection unit, an access state creation unit that creates current access state data in the network based on the access amount between resources collected by the access amount collection unit, and stores the access state data in a storage device, and the access state data creation Analyzing the current access status data created by the unit, detecting a threat to the network based on the analysis result, and detecting the occurrence of the threat by the threat detection unit, And a notification unit for notifying that it has occurred.
本発明の脅威検出方法は、複数の資源間を接続するネットワークに対する脅威を、コンピュータを用いて検出する脅威検出方法において、前記コンピュータが、ネットワーク上の各資源間で発生する資源間アクセス量を収集するステップと、前記コンピュータが、前記アクセス量収集ステップによって収集された資源間アクセス量に基づいて、ネットワークにおける現状のアクセス状況データを作成して記憶装置に記憶するステップと、前記コンピュータが、前記アクセス状況データ作成ステップで作成された現状のアクセス状況データを解析し、該解析結果に基づいてネットワークに対する脅威の発生を検出するステップと、前記コンピュータが、前記脅威検出ステップによって脅威の発生が検出されると、当該脅威が発生した旨を通知するステップとを有することを特徴とする。 The threat detection method of the present invention is a threat detection method for detecting a threat to a network connecting a plurality of resources using a computer, wherein the computer collects an access amount between resources generated between resources on the network. And the computer creates current access status data in the network based on the access amount between resources collected by the access amount collection step and stores it in a storage device, and the computer Analyzing the current access status data created in the status data creation step, detecting the occurrence of a threat to the network based on the analysis result, and detecting the occurrence of the threat by the computer in the threat detection step And that the threat has occurred Characterized by a step.
本発明の脅威検出装置及び方法では、各資源間のアクセス状況を示すアクセス状況データを解析して、ネットワークに対する脅威の発生を検出するため、収集したアクセス量に基づいて、定量的な判断が可能である。また、各資源間のアクセス状況によって、ネットワーク全体を面として捉えているため、ネットワーク全体としての脅威を認識することができる。 In the threat detection apparatus and method of the present invention, since the occurrence of threats to the network is detected by analyzing the access status data indicating the access status between each resource, a quantitative judgment can be made based on the collected access amount. It is. Moreover, since the entire network is regarded as a plane according to the access status between resources, the threat of the entire network can be recognized.
本発明の脅威検出装置では、前記アクセス量収集部は、各資源間で、所定の単位時間dtの間に発生したアクセスデータ量及びアクセス回数の少なくとも一方を前記資源間アクセス量として収集し、前記アクセス状況作成部は、前記アクセス量収集部によって収集された前記単位時間dtのアクセス量と、正常時の各資源間の単位時間dtあたりのアクセス量との差分に基づいて、現状のアクセス状況データを作成することが好ましい。この場合、正常時のアクセス量に比してアクセス量が増加した資源に脅威が発生したと認識できる。 In the threat detection device of the present invention, the access amount collection unit collects at least one of an access data amount and an access count generated between each resource during a predetermined unit time dt as the inter-resource access amount, The access status creation unit is configured to obtain current access status data based on a difference between the access amount of the unit time dt collected by the access amount collection unit and the access amount per unit time dt between resources at normal time. It is preferable to create In this case, it can be recognized that a threat has occurred in a resource whose access amount has increased compared to the normal access amount.
本発明の脅威検出装置では、前記アクセス状況作成部は、全資源数をnとして、前記アクセス状況データを、アクセス元及びアクセス先の一方を列とし他方を行とするn行n列の行列であって、各要素が前記差分である行列として作成することが好ましい。この場合、要素ごと、行ごと、列ごとに値を比較することにより、特定の資源に対して脅威が発生したと認識できる。 In the threat detection apparatus according to the present invention, the access status creation unit is a matrix of n rows and n columns, where n is the total number of resources, and the access status data is a column with one of the access source and the access destination as a column and the other as a row. Therefore, it is preferable that each element is created as a matrix having the difference. In this case, it can be recognized that a threat has occurred to a specific resource by comparing values for each element, each row, and each column.
本発明の脅威検出装置では、前記n行n列の行列の各要素が、i番目(1≦i≦n)の資源からj番目(1≦j≦n)の資源に対して、前記単位時間dtに比して長い時間t1の間に発生する各資源間の資源間アクセス量をAijとし、前記アクセス量収集部によって収集されたi番目の資源からj番目の資源に対する前記単位時間dtのアクセス量をBijとして、
Cij=Bij−(dt/t1)×Aij
により算出される構成を採用できる。正常時に各要素間の単位時間dtあたりのアクセス量を、(dt/t1)×Aijと定義して、行列の各要素を、このように定義することができる。
In the threat detection device according to the present invention, each element of the matrix of n rows and n columns is changed from the i-th resource (1 ≦ i ≦ n) to the j-th resource (1 ≦ j ≦ n). An inter-resource access amount between resources generated during a time t1 longer than dt is A ij, and the unit time dt for the j-th resource from the i-th resource collected by the access amount collection unit Assuming that the access amount is B ij
C ij = B ij − (dt / t1) × A ij
It is possible to adopt the configuration calculated by The amount of access per unit time dt between elements during normal operation is defined as (dt / t1) × A ij, and each element of the matrix can be defined in this way.
本発明の脅威検出装置では、前記脅威検出部は、前記アクセス状況データを解析した結果、前記n行n列の行列の特定の要素の値が、他の要素に比して大きいと判断すると、脅威の発生を検出する構成を採用できる。例えば不正アクセスが発生すると、ある特定の資源から他の特定の資源へのアクセス量が、それ以外の資源間のアクセス量と比べて、突出して大きくなり、特定の要素の値が大きくなると考えられる。このため、脅威検出装置は、各要素の値を相互に比較することで、不正アクセスの発生した場合に、脅威の発生を検出できる。 In the threat detection device of the present invention, as a result of analyzing the access status data, the threat detection unit determines that a value of a specific element of the matrix of n rows and n columns is larger than other elements. A configuration that detects the occurrence of a threat can be adopted. For example, if an unauthorized access occurs, the amount of access from one specific resource to another specific resource will be significantly larger than the amount of access between other resources, and the value of a specific element will increase. . Therefore, the threat detection device can detect the occurrence of a threat when unauthorized access occurs by comparing the values of the respective elements.
本発明の脅威検出装置では、前記脅威検出部は、前記アクセス状況データを解析した結果、前記n行n列の行列の特定の列の合計値が、他の列の合計値に比して大きいと判断すると、脅威の発生を検出する構成を採用できる。例えば特定の資源が分散攻撃(DDoS)にさらされているには、その特定の資源に対する他の資源からのアクセス量が、他の資源に対するアクセス量に比して大きくなり、特定の資源に対応する列の要素の合計が、他の列の要素の合計に比して大きくなると考えられる。このため、脅威検出装置は、各列の合計値を相互に比較することで、分散攻撃の発生した場合に、脅威の発生を検出できる。 In the threat detection device of the present invention, as a result of analyzing the access status data, the threat detection unit has a larger total value of specific columns of the n-by-n matrix than a total value of other columns. If it is determined, a configuration for detecting the occurrence of a threat can be employed. For example, if a specific resource is exposed to distributed attacks (DDoS), the amount of access to the specific resource from other resources is larger than the amount of access to the other resource, and it corresponds to the specific resource. It is considered that the sum of the elements in the column to be larger than the sum of the elements in the other columns. Therefore, the threat detection device can detect the occurrence of a threat when a distributed attack occurs by comparing the total value of each column with each other.
本発明の脅威検出装置では、前記脅威検出部は、前記アクセス状況データを解析した結果、前記n行n列の行列の特定の行の合計値が、他の行の合計値に比して大きいと判断すると、脅威の発生を検出する構成を採用できる。例えば特定の資源がウイルスに感染し、他の資源に対してウイルスの感染活動を行っている場合には、その特定の資源から他の資源へのアクセス量が、他の資源からのアクセス量に比して大きくなり、特定の資源に対応する行の合計が、他の行の合計に比して大きくなると考えられる。このため、脅威検出装置は、各行の合計値を相互に比較することで、ウイルス感染が発生したときに、脅威の発生を検出できる。 In the threat detection device of the present invention, as a result of analyzing the access status data, the threat detection unit has a larger total value of specific rows of the matrix of n rows and n columns than a total value of other rows. If it is determined, a configuration for detecting the occurrence of a threat can be employed. For example, if a specific resource is infected with a virus and the virus is infecting other resources, the amount of access from the specific resource to the other resource becomes the amount of access from the other resource. It is considered that the total of rows corresponding to a specific resource is larger than the sum of other rows. Therefore, the threat detection device can detect the occurrence of a threat when a virus infection occurs by comparing the total value of each row with each other.
本発明のプログラムは、複数の資源間を接続するネットワークに対する脅威を検出するコンピュータのためのプログラムであって、前記コンピュータに、ネットワーク上の各資源間で発生する資源間アクセス量を収集するステップと、前記アクセス量収集ステップによって収集された資源間アクセス量に基づいて、ネットワークにおける現状のアクセス状況データを作成して記憶装置に記憶するステップと、前記アクセス状況データ作成ステップで作成された現状のアクセス状況データを解析し、該解析結果に基づいてネットワークに対する脅威の発生を検出するステップと、前記脅威検出ステップによって脅威の発生が検出されると、当該脅威が発生した旨を通知するステップとを実行させることを特徴とする。 The program of the present invention is a program for a computer for detecting a threat to a network connecting a plurality of resources, and collecting the access amount between resources generated between each resource on the network in the computer. , A step of creating current access status data in the network based on the access amount between resources collected in the access amount collecting step and storing it in a storage device; and a current access created in the access status data creating step Analyzing the status data, detecting the occurrence of a threat to the network based on the result of the analysis, and detecting the occurrence of a threat when the threat detection step detects the occurrence of the threat It is characterized by making it.
本発明の脅威検出装置、脅威検出方法、及び、プログラムでは、各資源間のアクセス状況を示すアクセス状況データを解析して、ネットワークに対する脅威の発生を検出するため、収集したアクセス量に基づいて、定量的な判断が可能であり、また、ネットワーク全体としての脅威を認識することができる。 In the threat detection device, the threat detection method, and the program of the present invention, in order to detect the occurrence of a threat to the network by analyzing the access status data indicating the access status between the resources, based on the collected access amount, Quantitative judgment can be made and the threat of the entire network can be recognized.
以下、図面を参照し、本発明の実施の形態を詳細に説明する。図1は、本発明の一実施形態の脅威検出装置の構成を機能ブロック図で示している。脅威検出装置100は、アクセス量収集部101と、アクセス状況作成部102と、脅威検出部103と、通知部104と、アクセス状況記憶部105とを備える。脅威検出装置100は、例えばワークステーション等のコンピュータシステムとして構成され、所定のプログラムに基づいて動作することにより、そのコンピュータシステム上に、アクセス量収集部101、アクセス状況作成部102、脅威検出部103、及び、通知部104が実現される。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 is a functional block diagram showing the configuration of a threat detection apparatus according to an embodiment of the present invention. The
脅威検出装置100は、ネットワーク内のアクセス状況を監視し、不正アクセスやウイルス等によってネットワークが脅威にさらされているか否かを監視する。監視対象のネットワークは、パケット通信を行うネットワークとして構成されている。また、監視対象のネットワークを、例えば部署単位、サービス単位、又は、システム単位で要素に分解して、分解された各要素を情報資産とすると、管理対象のネットワークでは、各情報資産は、到達性のあるネットワークで必ず接続されている。監視対象のネットワークでは、各資産とパケット交換網との接続ノードにあたる部分に、ネットワーク上を流れるパケットを解析し、各パケットの通信元と通信差器とを計測して、各資産間のアクセス量を測定するLANアナライザ等の機器が設置されている。アクセス量は、データ量又はアクセス回数で定義される。
The
アクセス量収集部101は、例えばポーリング処理により、インバンド又はアウトバンドで、LANアナライザ等の機器から、各資産間のアクセス量を収集する。アクセス状況作成部102は、アクセス量収集部101が収集した各資産間のアクセス量に基づいて、各資産間のアクセス状況を示すアクセス状況データを作成し、これをアクセス状況記憶部105に記憶する。脅威検出部103は、アクセス状況を参照してこれを分析し、監視対象のネットワークが脅威にさらされているか否かを判断する。脅威検出部103は、例えば、ネットワークが危険な状態にあると判断される条件を、あらかじめ図示しない記憶装置内に用意しており、現在のアクセス状況が、その危険な状態に該当するか否かを判断することによって、ネットワーク上に発生した脅威を検出する。通知部104は、脅威の検出を受けて、例えば表示画面上に脅威が発生した旨を表示し、ネットワーク管理者に、脅威の発生を通知する。
The access
図2は、監視対象のネットワークを示している。同図では、監視対象のネットワークは、3つの情報資産を有する。以下、図1及び図2を参照して、ある単位時間dtにおけるネットワークの脅威を定量的に割り出す際の脅威検出装置100の動作について、詳細に説明する。
FIG. 2 shows a network to be monitored. In the figure, the network to be monitored has three information assets. Hereinafter, with reference to FIG. 1 and FIG. 2, the operation of the
アクセス状況作成部102は、定期的に、アクセス量収集部101から、単位時間dtで発生した各情報資産間のアクセス量を収集する。このようにして収集した、単位時間dtで、ある情報資産i(i:情報資産の数以下の自然数)から別の情報資産j(j:情報資産の数以下の自然数)に対して発生したアクセス量をBijで定義する。例えば、図2では、情報資産1から情報資産3に対して発生したアクセス量を、B13と定義する。アクセス状況作成部102は、ネットワークが正常な状態にあるときの単位時間dtでの各情報資産間のアクセス量と、収集した単位時間dtでの各情報資産間のアクセス量Bijとに基づいて、アクセス状況データを作成し、これを、アクセス状況記憶部105に記憶する。
The access
ネットワークが正常な状態での単位時間dtでの各情報資産間のアクセス量は、例えば、以下に説明するようにして定義される。まず、単位時間dtに対して十分に長い任意の時間t1の間に、情報資産iから情報資産jに対して発生したアクセス量をAijを計測する。ここで、各情報資産は、自身へのアクセスを発生しないものとし、i=jとなるAiiは、全て0である。次いで、計測された各情報資産間のアクセス量Aijに、(dt/t1)を乗じて、(dt/t1)×Aijを各情報資産間の正常な状態での単位時間dtあたりのアクセス量として定義する。 The amount of access between information assets in unit time dt when the network is normal is defined as described below, for example. First, A ij is measured for the access amount generated from the information asset i to the information asset j during an arbitrary time t1 that is sufficiently longer than the unit time dt. Here, it is assumed that each information asset does not generate access to itself, and Aii where i = j is all 0. Next, the access amount A ij between the measured information assets is multiplied by (dt / t1), and (dt / t1) × A ij is accessed per unit time dt in a normal state between the information assets. Define as quantity.
例えば、アクセス量の増加が脅威であるとして、監視対象のネットワークの各情報資産間について、現在のアクセス量と正常な状態でのアクセス量との差分を、Cij=Bij−(dt/t1)×Aijで定義する。アクセス状況作成部102は、このようにして定義されたCijを要素とするi行j列の行列Cを、アクセス状況として、アクセス状況記憶部105に記憶する。脅威検出部103は、アクセス状況記憶部105に記憶されたアクセス状況を調査して、ネットワーク上で脅威が発生しているか否かを調査する。
For example, assuming that the increase in the access amount is a threat, the difference between the current access amount and the access amount in the normal state is calculated as C ij = B ij − (dt / t1) between the information assets of the monitored network. ) × A ij The access
例えば、ネットワークに不正なアクセスが発生したときには、特定の情報資産xから、他の特定の情報資産yに対するアクセス量が、それらの以外の情報資源間のアクセス量に比して、突出して大きくなると考えられる。脅威検出部103は、行列Cの中で、特定の要素Cijが、他の要素に比して突出して大きい状態を、「危険な状態」として記憶している。脅威検出部103は、アクセス状況記憶部105に記憶された行列Cの特定の要素が、例えば他の要素の平均の2倍を超える値となっていると判断すると、脅威の発生を検出して、これを通知部104に入力する。通知部104は、表示画面上に「不正アクセスが発生している」旨を示す警告を表示して、ネットワーク管理者に注意を促す。
For example, when an unauthorized access occurs in the network, the amount of access from a specific information asset x to another specific information asset y is prominently larger than the access amount between other information resources. Conceivable. In the matrix C, the
また、ネットワークの特定の情報資産が分散攻撃(DDos)にさらされているときには、特定の情報資産に対するアクセス量が他の情報資産に対するアクセス量に比して多くなると考えられる。脅威検出部103は、行列Cの中で、特定の列の要素の合計値が、他の列の要素の合計値に比して突出して高い状態を、「危険な状態」として記憶している。脅威検出部103は、例えばアクセス状況記憶部105に記憶された行列Cの特定の列の合計値が、例えば他の列の合計値の平均の2倍を超えると判断すると、脅威の発生を検出して、これを通知部104に入力する。通知部104は、表示画面上に、「分散攻撃にさらされている情報資産が存在する」旨を示す警告を表示して、ネットワーク管理者に注意を促す。
Further, when a specific information asset of the network is exposed to a distributed attack (DDos), the access amount to the specific information asset is considered to be larger than the access amount to other information assets. The
ネットワーク内にウイルスに感染した情報資産が存在し、ウイルスが他の情報資産に感染活動を行っているときには、特定の情報資産からのアクセス量が他の情報資産からのアクセス量に比して多くなると考えられる。脅威検出部103は、行列Cの中で、特定の行の要素の合計値が、他の行の要素の合計値にして突出して高い状態を、「危険な状態」として記憶している。脅威検出部103は、アクセス状況記憶部105が記憶する行列Cの特定の行の要素の合計値が、例えば他の行の合計値の2倍を超えると判断すると、脅威の発生を検出して、これを通知部104に入力する。通知部104は、表示画面上に、「ウイルスに感染している情報資産が存在する」旨を示す警告を表示して、ネットワーク管理者に注意を促す。
When there is an information asset infected with a virus in the network and the virus is infecting other information assets, the amount of access from a specific information asset is larger than the amount of access from other information assets. It is considered to be. In the matrix C, the
本実施形態では、ネットワークに対する脅威を、アクセス量を用いて定量的に判断することができるため、観測者によって脅威の判定にばらつきが生じる事態を防ぐことができる。また、定量的な値に対しては計算機を用いた分析が可能なため、脅威の分析作業を自動化することができる。このため、リアルタイムに近い脅威の分析が可能となり、対策を即時に、また自動的に行うことができる。 In the present embodiment, since threats to the network can be determined quantitatively using the access amount, it is possible to prevent a situation in which the determination of threats varies among observers. In addition, since the quantitative value can be analyzed using a computer, the threat analysis work can be automated. For this reason, it is possible to analyze threats in near real time, and countermeasures can be taken immediately and automatically.
また、本実施形態では、脅威検出部103は、アクセス状況記憶部105に記憶されたアクセス状況に基づいて、ネットワークに対する脅威を検出する。アクセス状況記憶部105は、ネットワーク全体における各資源間のアクセス状況を行列として有しており、このような行列を分析することにより、局所的な観点ではなく、ネットワーク全体として、さまざまな脅威を認識することができる。
In the present embodiment, the
なお、上記実施形態では、行列中の特定の要素、列、又は、行の値が、他の要素、列、又は、行の値に比して突出して大きい状態を、他の要素、列、又は、行の平均値と比較することで判断したが、これには限定されない。例えば、平均値の代わりに、メディアン(中央値)やモード(最頻値)を用いて、これと比較してもよい。 In the above-described embodiment, the value of a specific element, column, or row in the matrix protrudes and is larger than the value of another element, column, or row. Alternatively, the determination is made by comparing with the average value of the row, but the present invention is not limited to this. For example, instead of the average value, a median (median value) or mode (mode) may be used for comparison.
以上、本発明をその好適な実施形態に基づいて説明したが、本発明の脅威検出装置、脅威検出方法、及び、プログラムは、上記実施形態例にのみ限定されるものではなく、上記実施形態の構成から種々の修正及び変更を施したものも、本発明の範囲に含まれる。 Although the present invention has been described based on the preferred embodiments, the threat detection device, the threat detection method, and the program of the present invention are not limited to the above-described embodiment examples. Those in which various modifications and changes have been made to the configuration are also included in the scope of the present invention.
100:脅威検出装置
101:アクセス量収集部
102:アクセス状況作成部
103:脅威検出部
104:通知部
105:アクセス状況記憶部
100: Threat detection device 101: Access amount collection unit 102: Access status creation unit 103: Threat detection unit 104: Notification unit 105: Access status storage unit
Claims (9)
ネットワーク上の各資源間で発生する資源間アクセス量を収集するアクセス量収集部と、
前記アクセス量収集部によって収集された資源間アクセス量に基づいて、ネットワークにおける現状のアクセス状況データを作成して記憶装置に記憶するアクセス状況作成部と、
前記アクセス状況作成部で作成された現状のアクセス状況データを参照し、前記資源間アクセス量を相互に比較して解析し、該解析結果に基づいてネットワークに対する脅威の発生を検出する脅威検出部と、
前記脅威検出部によって脅威の発生が検出されると、当該脅威が発生した旨を通知する通知部とを備えることを特徴とする脅威検出装置。 In a threat detection device for detecting a threat in a network connecting a plurality of resources,
An access amount collection unit that collects an access amount between resources generated between resources on the network;
Based on the access amount between resources collected by the access amount collection unit, an access state creation unit that creates current access state data in the network and stores it in a storage device;
A threat detection unit that refers to current access status data created by the access status creation unit, analyzes the amount of access between resources , and detects the occurrence of a threat to the network based on the analysis result; ,
When a threat occurrence is detected by the threat detection unit, a threat detection apparatus comprising: a notification unit that notifies that a threat has occurred.
前記アクセス状況作成部は、前記アクセス量収集部によって収集された前記単位時間dtのアクセス量と、正常時の各資源間の単位時間dtあたりのアクセス量との差分に基づいて、現状のアクセス状況データを作成する、請求項1に記載の脅威検出装置。 The access amount collection unit collects at least one of an access data amount and an access count generated between each resource during a predetermined unit time dt as the inter-resource access amount,
The access status creation unit is configured to determine a current access status based on a difference between the access amount of the unit time dt collected by the access amount collection unit and an access amount per unit time dt between resources at normal time. The threat detection device according to claim 1 which creates data.
Cij=Bij−(dt/t1)×Aij
により算出される、請求項3に記載の脅威検出装置。 Each element of the matrix of n rows and n columns is a time t1 longer than the unit time dt from the i-th (1 ≦ i ≦ n) resource to the j-th (1 ≦ j ≦ n) resource. A ij is an access amount between resources between the resources generated during, and an access amount of the unit time dt from the i-th resource collected by the access amount collection unit to the j-th resource is B ij .
C ij = B ij − (dt / t1) × A ij
The threat detection device according to claim 3, calculated by:
前記コンピュータが、ネットワーク上の各資源間で発生する資源間アクセス量を収集するステップと、
前記コンピュータが、前記アクセス量収集ステップによって収集された資源間アクセス量に基づいて、ネットワークにおける現状のアクセス状況データを作成して記憶装置に記憶するステップと、
前記コンピュータが、前記アクセス状況データ作成ステップで作成された現状のアクセス状況データを参照し、前記資源間アクセス量を相互に比較して解析し、該解析結果に基づいてネットワークに対する脅威の発生を検出するステップと、
前記コンピュータが、前記脅威検出ステップによって脅威の発生が検出されると、当該脅威が発生した旨を通知するステップとを有することを特徴とする脅威検出方法。 In a threat detection method for detecting a threat to a network connecting a plurality of resources using a computer,
The computer collects an access amount between resources generated between resources on the network;
The computer creates current access status data in the network based on the access amount between resources collected by the access amount collection step and stores it in a storage device;
The computer refers to the current access status data created in the access status data creation step, analyzes the amount of access between the resources , and detects the occurrence of a threat to the network based on the analysis result And steps to
A threat detection method comprising: when the occurrence of a threat is detected by the threat detection step, the computer notifying that the threat has occurred.
ネットワーク上の各資源間で発生する資源間アクセス量を収集するステップと、
前記アクセス量収集ステップによって収集された資源間アクセス量に基づいて、ネットワークにおける現状のアクセス状況データを作成して記憶装置に記憶するステップと、
前記アクセス状況データ作成ステップで作成された現状のアクセス状況データを参照し、前記資源間アクセス量を相互に比較して解析し、該解析結果に基づいてネットワークに対する脅威の発生を検出するステップと、
前記脅威検出ステップによって脅威の発生が検出されると、当該脅威が発生した旨を通知するステップとを実行させることを特徴とするプログラム。 A program for a computer for detecting a threat to a network connecting a plurality of resources, the computer comprising:
Collecting the amount of access between resources generated between resources on the network;
Based on the access amount between resources collected by the access amount collecting step, creating current access status data in the network and storing it in a storage device;
Referring to the current access status data created in the access status data creation step, analyzing the inter-resource access amount mutually, and detecting the occurrence of a threat to the network based on the analysis results;
When the occurrence of a threat is detected by the threat detection step, a program for notifying that the threat has occurred is executed.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004331705A JP4096264B2 (en) | 2004-11-16 | 2004-11-16 | Threat detection device, threat detection method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004331705A JP4096264B2 (en) | 2004-11-16 | 2004-11-16 | Threat detection device, threat detection method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006148207A JP2006148207A (en) | 2006-06-08 |
| JP4096264B2 true JP4096264B2 (en) | 2008-06-04 |
Family
ID=36627427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004331705A Expired - Fee Related JP4096264B2 (en) | 2004-11-16 | 2004-11-16 | Threat detection device, threat detection method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4096264B2 (en) |
-
2004
- 2004-11-16 JP JP2004331705A patent/JP4096264B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006148207A (en) | 2006-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP4278563B1 (en) | Ordering security incidents using alert diversity | |
| JP6703613B2 (en) | Anomaly detection in data stream | |
| US7526806B2 (en) | Method and system for addressing intrusion attacks on a computer system | |
| US7930752B2 (en) | Method for the detection and visualization of anomalous behaviors in a computer network | |
| US7493659B1 (en) | Network intrusion detection and analysis system and method | |
| JP6574332B2 (en) | Data analysis system | |
| US20080159165A1 (en) | Technique of Analyzing An Information System State | |
| CN114006723B (en) | Network security prediction method, device and system based on threat information | |
| CN118337512B (en) | A network information intrusion detection and early warning system and method based on deep learning | |
| JP2018533897A5 (en) | ||
| US12113810B2 (en) | Autonomic incident response system | |
| WO2024159901A1 (en) | Network attack defense method, network element device and computer-readable storage medium | |
| CN111726342B (en) | Method and system for improving alarm output accuracy of honeypot system | |
| EP1741223B1 (en) | Method, apparatus and computer program for distinguishing relevant network security threats using comparison of refined intrusion detection audits and intelligent security analysis | |
| CN113839935A (en) | Network situation awareness method, device and system | |
| KR20110101436A (en) | Network risk analysis system and method | |
| GB2381722A (en) | intrusion detection (id) system which uses signature and squelch values to prevent bandwidth (flood) attacks on a server | |
| US7594014B2 (en) | Abnormality detection system, abnormality management apparatus, abnormality management method, probe and program | |
| JP2018169643A (en) | Security operation system, security operation management apparatus, and security operation method | |
| JP5752020B2 (en) | Attack countermeasure device, attack countermeasure method, and attack countermeasure program | |
| KR20220083046A (en) | Machine leaning system for extracting log of ERP system | |
| El-Taj et al. | Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study | |
| JP4096264B2 (en) | Threat detection device, threat detection method, and program | |
| Yue et al. | A cost-based analysis of intrusion detection system configuration under active or passive response | |
| JP4161989B2 (en) | Network monitoring system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070712 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070717 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070918 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080214 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080227 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4096264 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110321 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110321 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120321 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120321 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130321 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130321 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140321 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |