Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4096264B2 - Threat detection device, threat detection method, and program - Google Patents
[go: Go Back, main page]

JP4096264B2 - Threat detection device, threat detection method, and program - Google Patents

Threat detection device, threat detection method, and program Download PDF

Info

Publication number
JP4096264B2
JP4096264B2 JP2004331705A JP2004331705A JP4096264B2 JP 4096264 B2 JP4096264 B2 JP 4096264B2 JP 2004331705 A JP2004331705 A JP 2004331705A JP 2004331705 A JP2004331705 A JP 2004331705A JP 4096264 B2 JP4096264 B2 JP 4096264B2
Authority
JP
Japan
Prior art keywords
access
threat
resources
amount
threat detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004331705A
Other languages
Japanese (ja)
Other versions
JP2006148207A (en
Inventor
啓 郡司
岳夫 田上
健一 支倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004331705A priority Critical patent/JP4096264B2/en
Publication of JP2006148207A publication Critical patent/JP2006148207A/en
Application granted granted Critical
Publication of JP4096264B2 publication Critical patent/JP4096264B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、脅威検出装置、脅威検出方法、及び、プログラムに関し、更に詳しくは、ネットワークに対する脅威を分析する脅威検出装置、脅威検出方法、及び、プログラムに関する。   The present invention relates to a threat detection device, a threat detection method, and a program, and more particularly, to a threat detection device, a threat detection method, and a program for analyzing a threat to a network.

近年では、インターネットの爆発的な普及に見られるように、ネットワークを利用する機会が急激に増加している。ネットワークの利用により、利用者はネットワーク上でさまざまなサービスを利用することができ、利便性が向上する反面、不正アクセスやウイルスへの感染といった、ネットワークを利用する上での脅威も飛躍的に高まっている。このため、ネットワークの利用における脅威を認識して、セキュリティーを確保できる技術が要望されている。   In recent years, as seen in the explosive spread of the Internet, opportunities to use networks have increased rapidly. By using the network, users can use various services on the network, which improves convenience, but threats to use the network, such as unauthorized access and virus infection, have also increased dramatically. ing. Therefore, there is a demand for a technology that can recognize a threat in the use of a network and ensure security.

外部からの不正アクセスを検出してセキュリティーを確保する技術として、特許文献1には、不正侵入検出装置を用いる技術が記載されている。不正侵入検出装置は、ネットワークのトラフィックを観測するトラフィック監視手段と、パケットが不正アクセスパケットであるか否かの不正アクセス分析を所定の分析項目に関して行うパケット分析手段とを有する。不正侵入検出装置では、パケット分析手段は、トラフィック監視手段が観測したトラフィック値に基づいて、何れの分析項目に関して不正アクセス分析を行うかを決定し、外部からの不正アクセスを検出する。
特開2003−204358号公報(図1、段落0005)
As a technique for ensuring security by detecting unauthorized access from the outside, Patent Document 1 describes a technique using an unauthorized intrusion detection device. The unauthorized intrusion detection apparatus includes traffic monitoring means for observing network traffic and packet analysis means for performing unauthorized access analysis on whether a packet is an unauthorized access packet with respect to a predetermined analysis item. In the unauthorized intrusion detection apparatus, the packet analysis means determines which analysis item is to be subjected to unauthorized access analysis based on the traffic value observed by the traffic monitoring means, and detects unauthorized access from the outside.
JP 2003-204358 A (FIG. 1, paragraph 0005)

ところで、リスク分析における脅威の測定には、従来は定量的な算出方法がなく、情報資産ごとに脅威を想定する定性的な分析を行う必要があった。このため、脅威の分析には手間がかかるという問題がある。また、複数人で分析を行う場合には、分析作業者ごとに考え方が異なるため、分析にばらつきが出るという問題もある。更に、それぞれの脅威を、情報資産ごとにとらえているため、局所的な観点となり、ネットワーク全体としての脅威を認識することが困難であるという問題がある。   By the way, threat measurement in risk analysis has conventionally had no quantitative calculation method, and it was necessary to perform qualitative analysis assuming a threat for each information asset. For this reason, there is a problem that it takes time to analyze the threat. In addition, when the analysis is performed by a plurality of people, there is a problem that the analysis varies because the analysis workers have different ways of thinking. Furthermore, since each threat is captured for each information asset, there is a problem that it becomes a local viewpoint and it is difficult to recognize the threat as the entire network.

本発明は、上記従来技術の問題点を解消し、ネットワークの脅威の分析を定量的に行うことができ、また、ネットワーク全体としての脅威を認識できる脅威検出装置、脅威検出方法、及び、プログラムを提供することを目的とする。   The present invention eliminates the above-mentioned problems of the prior art, can quantitatively analyze network threats, and can detect threats as a whole network, a threat detection device, a threat detection method, and a program. The purpose is to provide.

上記目的を達成するために、本発明の脅威検出装置は、複数の資源間を接続するネットワークにおける脅威を検出する脅威検出装置において、ネットワーク上の各資源間で発生する資源間アクセス量を収集するアクセス量収集部と、前記アクセス量収集部によって収集された資源間アクセス量に基づいて、ネットワークにおける現状のアクセス状況データを作成して記憶装置に記憶するアクセス状況作成部と、前記アクセス状況データ作成部で作成された現状のアクセス状況データを解析し、該解析結果に基づいてネットワークに対する脅威の発生を検出する脅威検出部と、前記脅威検出部によって脅威の発生が検出されると、当該脅威が発生した旨を通知する通知部とを備えることを特徴とする。   In order to achieve the above object, a threat detection apparatus of the present invention collects an access amount between resources generated between resources on a network in a threat detection apparatus that detects threats in a network connecting a plurality of resources. An access amount collection unit, an access state creation unit that creates current access state data in the network based on the access amount between resources collected by the access amount collection unit, and stores the access state data in a storage device, and the access state data creation Analyzing the current access status data created by the unit, detecting a threat to the network based on the analysis result, and detecting the occurrence of the threat by the threat detection unit, And a notification unit for notifying that it has occurred.

本発明の脅威検出方法は、複数の資源間を接続するネットワークに対する脅威を、コンピュータを用いて検出する脅威検出方法において、前記コンピュータが、ネットワーク上の各資源間で発生する資源間アクセス量を収集するステップと、前記コンピュータが、前記アクセス量収集ステップによって収集された資源間アクセス量に基づいて、ネットワークにおける現状のアクセス状況データを作成して記憶装置に記憶するステップと、前記コンピュータが、前記アクセス状況データ作成ステップで作成された現状のアクセス状況データを解析し、該解析結果に基づいてネットワークに対する脅威の発生を検出するステップと、前記コンピュータが、前記脅威検出ステップによって脅威の発生が検出されると、当該脅威が発生した旨を通知するステップとを有することを特徴とする。   The threat detection method of the present invention is a threat detection method for detecting a threat to a network connecting a plurality of resources using a computer, wherein the computer collects an access amount between resources generated between resources on the network. And the computer creates current access status data in the network based on the access amount between resources collected by the access amount collection step and stores it in a storage device, and the computer Analyzing the current access status data created in the status data creation step, detecting the occurrence of a threat to the network based on the analysis result, and detecting the occurrence of the threat by the computer in the threat detection step And that the threat has occurred Characterized by a step.

本発明の脅威検出装置及び方法では、各資源間のアクセス状況を示すアクセス状況データを解析して、ネットワークに対する脅威の発生を検出するため、収集したアクセス量に基づいて、定量的な判断が可能である。また、各資源間のアクセス状況によって、ネットワーク全体を面として捉えているため、ネットワーク全体としての脅威を認識することができる。   In the threat detection apparatus and method of the present invention, since the occurrence of threats to the network is detected by analyzing the access status data indicating the access status between each resource, a quantitative judgment can be made based on the collected access amount. It is. Moreover, since the entire network is regarded as a plane according to the access status between resources, the threat of the entire network can be recognized.

本発明の脅威検出装置では、前記アクセス量収集部は、各資源間で、所定の単位時間dtの間に発生したアクセスデータ量及びアクセス回数の少なくとも一方を前記資源間アクセス量として収集し、前記アクセス状況作成部は、前記アクセス量収集部によって収集された前記単位時間dtのアクセス量と、正常時の各資源間の単位時間dtあたりのアクセス量との差分に基づいて、現状のアクセス状況データを作成することが好ましい。この場合、正常時のアクセス量に比してアクセス量が増加した資源に脅威が発生したと認識できる。   In the threat detection device of the present invention, the access amount collection unit collects at least one of an access data amount and an access count generated between each resource during a predetermined unit time dt as the inter-resource access amount, The access status creation unit is configured to obtain current access status data based on a difference between the access amount of the unit time dt collected by the access amount collection unit and the access amount per unit time dt between resources at normal time. It is preferable to create In this case, it can be recognized that a threat has occurred in a resource whose access amount has increased compared to the normal access amount.

本発明の脅威検出装置では、前記アクセス状況作成部は、全資源数をnとして、前記アクセス状況データを、アクセス元及びアクセス先の一方を列とし他方を行とするn行n列の行列であって、各要素が前記差分である行列として作成することが好ましい。この場合、要素ごと、行ごと、列ごとに値を比較することにより、特定の資源に対して脅威が発生したと認識できる。   In the threat detection apparatus according to the present invention, the access status creation unit is a matrix of n rows and n columns, where n is the total number of resources, and the access status data is a column with one of the access source and the access destination as a column and the other as a row. Therefore, it is preferable that each element is created as a matrix having the difference. In this case, it can be recognized that a threat has occurred to a specific resource by comparing values for each element, each row, and each column.

本発明の脅威検出装置では、前記n行n列の行列の各要素が、i番目(1≦i≦n)の資源からj番目(1≦j≦n)の資源に対して、前記単位時間dtに比して長い時間t1の間に発生する各資源間の資源間アクセス量をAijとし、前記アクセス量収集部によって収集されたi番目の資源からj番目の資源に対する前記単位時間dtのアクセス量をBijとして、
ij=Bij−(dt/t1)×Aij
により算出される構成を採用できる。正常時に各要素間の単位時間dtあたりのアクセス量を、(dt/t1)×Aijと定義して、行列の各要素を、このように定義することができる。
In the threat detection device according to the present invention, each element of the matrix of n rows and n columns is changed from the i-th resource (1 ≦ i ≦ n) to the j-th resource (1 ≦ j ≦ n). An inter-resource access amount between resources generated during a time t1 longer than dt is A ij, and the unit time dt for the j-th resource from the i-th resource collected by the access amount collection unit Assuming that the access amount is B ij
C ij = B ij − (dt / t1) × A ij
It is possible to adopt the configuration calculated by The amount of access per unit time dt between elements during normal operation is defined as (dt / t1) × A ij, and each element of the matrix can be defined in this way.

本発明の脅威検出装置では、前記脅威検出部は、前記アクセス状況データを解析した結果、前記n行n列の行列の特定の要素の値が、他の要素に比して大きいと判断すると、脅威の発生を検出する構成を採用できる。例えば不正アクセスが発生すると、ある特定の資源から他の特定の資源へのアクセス量が、それ以外の資源間のアクセス量と比べて、突出して大きくなり、特定の要素の値が大きくなると考えられる。このため、脅威検出装置は、各要素の値を相互に比較することで、不正アクセスの発生した場合に、脅威の発生を検出できる。   In the threat detection device of the present invention, as a result of analyzing the access status data, the threat detection unit determines that a value of a specific element of the matrix of n rows and n columns is larger than other elements. A configuration that detects the occurrence of a threat can be adopted. For example, if an unauthorized access occurs, the amount of access from one specific resource to another specific resource will be significantly larger than the amount of access between other resources, and the value of a specific element will increase. . Therefore, the threat detection device can detect the occurrence of a threat when unauthorized access occurs by comparing the values of the respective elements.

本発明の脅威検出装置では、前記脅威検出部は、前記アクセス状況データを解析した結果、前記n行n列の行列の特定の列の合計値が、他の列の合計値に比して大きいと判断すると、脅威の発生を検出する構成を採用できる。例えば特定の資源が分散攻撃(DDoS)にさらされているには、その特定の資源に対する他の資源からのアクセス量が、他の資源に対するアクセス量に比して大きくなり、特定の資源に対応する列の要素の合計が、他の列の要素の合計に比して大きくなると考えられる。このため、脅威検出装置は、各列の合計値を相互に比較することで、分散攻撃の発生した場合に、脅威の発生を検出できる。   In the threat detection device of the present invention, as a result of analyzing the access status data, the threat detection unit has a larger total value of specific columns of the n-by-n matrix than a total value of other columns. If it is determined, a configuration for detecting the occurrence of a threat can be employed. For example, if a specific resource is exposed to distributed attacks (DDoS), the amount of access to the specific resource from other resources is larger than the amount of access to the other resource, and it corresponds to the specific resource. It is considered that the sum of the elements in the column to be larger than the sum of the elements in the other columns. Therefore, the threat detection device can detect the occurrence of a threat when a distributed attack occurs by comparing the total value of each column with each other.

本発明の脅威検出装置では、前記脅威検出部は、前記アクセス状況データを解析した結果、前記n行n列の行列の特定の行の合計値が、他の行の合計値に比して大きいと判断すると、脅威の発生を検出する構成を採用できる。例えば特定の資源がウイルスに感染し、他の資源に対してウイルスの感染活動を行っている場合には、その特定の資源から他の資源へのアクセス量が、他の資源からのアクセス量に比して大きくなり、特定の資源に対応する行の合計が、他の行の合計に比して大きくなると考えられる。このため、脅威検出装置は、各行の合計値を相互に比較することで、ウイルス感染が発生したときに、脅威の発生を検出できる。   In the threat detection device of the present invention, as a result of analyzing the access status data, the threat detection unit has a larger total value of specific rows of the matrix of n rows and n columns than a total value of other rows. If it is determined, a configuration for detecting the occurrence of a threat can be employed. For example, if a specific resource is infected with a virus and the virus is infecting other resources, the amount of access from the specific resource to the other resource becomes the amount of access from the other resource. It is considered that the total of rows corresponding to a specific resource is larger than the sum of other rows. Therefore, the threat detection device can detect the occurrence of a threat when a virus infection occurs by comparing the total value of each row with each other.

本発明のプログラムは、複数の資源間を接続するネットワークに対する脅威を検出するコンピュータのためのプログラムであって、前記コンピュータに、ネットワーク上の各資源間で発生する資源間アクセス量を収集するステップと、前記アクセス量収集ステップによって収集された資源間アクセス量に基づいて、ネットワークにおける現状のアクセス状況データを作成して記憶装置に記憶するステップと、前記アクセス状況データ作成ステップで作成された現状のアクセス状況データを解析し、該解析結果に基づいてネットワークに対する脅威の発生を検出するステップと、前記脅威検出ステップによって脅威の発生が検出されると、当該脅威が発生した旨を通知するステップとを実行させることを特徴とする。   The program of the present invention is a program for a computer for detecting a threat to a network connecting a plurality of resources, and collecting the access amount between resources generated between each resource on the network in the computer. , A step of creating current access status data in the network based on the access amount between resources collected in the access amount collecting step and storing it in a storage device; and a current access created in the access status data creating step Analyzing the status data, detecting the occurrence of a threat to the network based on the result of the analysis, and detecting the occurrence of a threat when the threat detection step detects the occurrence of the threat It is characterized by making it.

本発明の脅威検出装置、脅威検出方法、及び、プログラムでは、各資源間のアクセス状況を示すアクセス状況データを解析して、ネットワークに対する脅威の発生を検出するため、収集したアクセス量に基づいて、定量的な判断が可能であり、また、ネットワーク全体としての脅威を認識することができる。   In the threat detection device, the threat detection method, and the program of the present invention, in order to detect the occurrence of a threat to the network by analyzing the access status data indicating the access status between the resources, based on the collected access amount, Quantitative judgment can be made and the threat of the entire network can be recognized.

以下、図面を参照し、本発明の実施の形態を詳細に説明する。図1は、本発明の一実施形態の脅威検出装置の構成を機能ブロック図で示している。脅威検出装置100は、アクセス量収集部101と、アクセス状況作成部102と、脅威検出部103と、通知部104と、アクセス状況記憶部105とを備える。脅威検出装置100は、例えばワークステーション等のコンピュータシステムとして構成され、所定のプログラムに基づいて動作することにより、そのコンピュータシステム上に、アクセス量収集部101、アクセス状況作成部102、脅威検出部103、及び、通知部104が実現される。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 is a functional block diagram showing the configuration of a threat detection apparatus according to an embodiment of the present invention. The threat detection apparatus 100 includes an access amount collection unit 101, an access status creation unit 102, a threat detection unit 103, a notification unit 104, and an access status storage unit 105. The threat detection device 100 is configured as a computer system such as a workstation, for example, and operates based on a predetermined program so that an access amount collection unit 101, an access status creation unit 102, a threat detection unit 103 are installed on the computer system. And the notification part 104 is implement | achieved.

脅威検出装置100は、ネットワーク内のアクセス状況を監視し、不正アクセスやウイルス等によってネットワークが脅威にさらされているか否かを監視する。監視対象のネットワークは、パケット通信を行うネットワークとして構成されている。また、監視対象のネットワークを、例えば部署単位、サービス単位、又は、システム単位で要素に分解して、分解された各要素を情報資産とすると、管理対象のネットワークでは、各情報資産は、到達性のあるネットワークで必ず接続されている。監視対象のネットワークでは、各資産とパケット交換網との接続ノードにあたる部分に、ネットワーク上を流れるパケットを解析し、各パケットの通信元と通信差器とを計測して、各資産間のアクセス量を測定するLANアナライザ等の機器が設置されている。アクセス量は、データ量又はアクセス回数で定義される。   The threat detection device 100 monitors the access status in the network and monitors whether the network is exposed to threats due to unauthorized access, viruses, or the like. The network to be monitored is configured as a network that performs packet communication. In addition, if the network to be monitored is broken down into elements, for example, in units of departments, services, or systems, and each decomposed element is an information asset, each information asset in the managed network It is always connected in a network with In the monitored network, the amount of access between each asset is analyzed by analyzing the packets that flow on the network at the connection node between each asset and the packet switching network, and measuring the communication source and communication difference of each packet. A device such as a LAN analyzer is installed. The access amount is defined by the data amount or the number of accesses.

アクセス量収集部101は、例えばポーリング処理により、インバンド又はアウトバンドで、LANアナライザ等の機器から、各資産間のアクセス量を収集する。アクセス状況作成部102は、アクセス量収集部101が収集した各資産間のアクセス量に基づいて、各資産間のアクセス状況を示すアクセス状況データを作成し、これをアクセス状況記憶部105に記憶する。脅威検出部103は、アクセス状況を参照してこれを分析し、監視対象のネットワークが脅威にさらされているか否かを判断する。脅威検出部103は、例えば、ネットワークが危険な状態にあると判断される条件を、あらかじめ図示しない記憶装置内に用意しており、現在のアクセス状況が、その危険な状態に該当するか否かを判断することによって、ネットワーク上に発生した脅威を検出する。通知部104は、脅威の検出を受けて、例えば表示画面上に脅威が発生した旨を表示し、ネットワーク管理者に、脅威の発生を通知する。   The access amount collection unit 101 collects an access amount between each asset from a device such as a LAN analyzer in-band or out-band by, for example, polling processing. The access status creation unit 102 creates access status data indicating the access status between each asset based on the access amount between each asset collected by the access amount collection unit 101, and stores this in the access status storage unit 105. . The threat detection unit 103 refers to the access status and analyzes it to determine whether the network to be monitored is exposed to a threat. For example, the threat detection unit 103 prepares in advance a condition for determining that the network is in a dangerous state in a storage device (not shown), and whether or not the current access status corresponds to the dangerous state. Detecting threats that occur on the network. Upon receiving the threat detection, the notification unit 104 displays, for example, that a threat has occurred on the display screen, and notifies the network administrator of the occurrence of the threat.

図2は、監視対象のネットワークを示している。同図では、監視対象のネットワークは、3つの情報資産を有する。以下、図1及び図2を参照して、ある単位時間dtにおけるネットワークの脅威を定量的に割り出す際の脅威検出装置100の動作について、詳細に説明する。   FIG. 2 shows a network to be monitored. In the figure, the network to be monitored has three information assets. Hereinafter, with reference to FIG. 1 and FIG. 2, the operation of the threat detection device 100 when quantitatively determining the threat of the network in a certain unit time dt will be described in detail.

アクセス状況作成部102は、定期的に、アクセス量収集部101から、単位時間dtで発生した各情報資産間のアクセス量を収集する。このようにして収集した、単位時間dtで、ある情報資産i(i:情報資産の数以下の自然数)から別の情報資産j(j:情報資産の数以下の自然数)に対して発生したアクセス量をBijで定義する。例えば、図2では、情報資産1から情報資産3に対して発生したアクセス量を、B13と定義する。アクセス状況作成部102は、ネットワークが正常な状態にあるときの単位時間dtでの各情報資産間のアクセス量と、収集した単位時間dtでの各情報資産間のアクセス量Bijとに基づいて、アクセス状況データを作成し、これを、アクセス状況記憶部105に記憶する。 The access status creation unit 102 periodically collects the access amount between each information asset generated in the unit time dt from the access amount collection unit 101. Collected access in this way from one information asset i (i: natural number less than the number of information assets) to another information asset j (j: natural number less than the number of information assets) in unit time dt The quantity is defined as B ij . For example, in FIG. 2, the access amount generated from the information asset 1 to the information asset 3 is defined as B 13 . Based on the access amount between each information asset per unit time dt when the network is in a normal state and the access amount B ij between each information asset per unit time dt collected. The access status data is created and stored in the access status storage unit 105.

ネットワークが正常な状態での単位時間dtでの各情報資産間のアクセス量は、例えば、以下に説明するようにして定義される。まず、単位時間dtに対して十分に長い任意の時間t1の間に、情報資産iから情報資産jに対して発生したアクセス量をAijを計測する。ここで、各情報資産は、自身へのアクセスを発生しないものとし、i=jとなるAiiは、全て0である。次いで、計測された各情報資産間のアクセス量Aijに、(dt/t1)を乗じて、(dt/t1)×Aijを各情報資産間の正常な状態での単位時間dtあたりのアクセス量として定義する。 The amount of access between information assets in unit time dt when the network is normal is defined as described below, for example. First, A ij is measured for the access amount generated from the information asset i to the information asset j during an arbitrary time t1 that is sufficiently longer than the unit time dt. Here, it is assumed that each information asset does not generate access to itself, and Aii where i = j is all 0. Next, the access amount A ij between the measured information assets is multiplied by (dt / t1), and (dt / t1) × A ij is accessed per unit time dt in a normal state between the information assets. Define as quantity.

例えば、アクセス量の増加が脅威であるとして、監視対象のネットワークの各情報資産間について、現在のアクセス量と正常な状態でのアクセス量との差分を、Cij=Bij−(dt/t1)×Aijで定義する。アクセス状況作成部102は、このようにして定義されたCijを要素とするi行j列の行列Cを、アクセス状況として、アクセス状況記憶部105に記憶する。脅威検出部103は、アクセス状況記憶部105に記憶されたアクセス状況を調査して、ネットワーク上で脅威が発生しているか否かを調査する。 For example, assuming that the increase in the access amount is a threat, the difference between the current access amount and the access amount in the normal state is calculated as C ij = B ij − (dt / t1) between the information assets of the monitored network. ) × A ij The access status creating unit 102 stores the i-row / j-column matrix C having C ij defined in this way as elements in the access status storage unit 105 as the access status. The threat detection unit 103 checks the access status stored in the access status storage unit 105 to check whether a threat has occurred on the network.

例えば、ネットワークに不正なアクセスが発生したときには、特定の情報資産xから、他の特定の情報資産yに対するアクセス量が、それらの以外の情報資源間のアクセス量に比して、突出して大きくなると考えられる。脅威検出部103は、行列Cの中で、特定の要素Cijが、他の要素に比して突出して大きい状態を、「危険な状態」として記憶している。脅威検出部103は、アクセス状況記憶部105に記憶された行列Cの特定の要素が、例えば他の要素の平均の2倍を超える値となっていると判断すると、脅威の発生を検出して、これを通知部104に入力する。通知部104は、表示画面上に「不正アクセスが発生している」旨を示す警告を表示して、ネットワーク管理者に注意を促す。 For example, when an unauthorized access occurs in the network, the amount of access from a specific information asset x to another specific information asset y is prominently larger than the access amount between other information resources. Conceivable. In the matrix C, the threat detection unit 103 stores a state in which a specific element C ij protrudes and is larger than other elements as a “dangerous state”. If the threat detection unit 103 determines that the specific element of the matrix C stored in the access status storage unit 105 has a value that is, for example, more than twice the average of other elements, the threat detection unit 103 detects the occurrence of the threat. This is input to the notification unit 104. The notification unit 104 displays a warning indicating that “unauthorized access has occurred” on the display screen to alert the network administrator.

また、ネットワークの特定の情報資産が分散攻撃(DDos)にさらされているときには、特定の情報資産に対するアクセス量が他の情報資産に対するアクセス量に比して多くなると考えられる。脅威検出部103は、行列Cの中で、特定の列の要素の合計値が、他の列の要素の合計値に比して突出して高い状態を、「危険な状態」として記憶している。脅威検出部103は、例えばアクセス状況記憶部105に記憶された行列Cの特定の列の合計値が、例えば他の列の合計値の平均の2倍を超えると判断すると、脅威の発生を検出して、これを通知部104に入力する。通知部104は、表示画面上に、「分散攻撃にさらされている情報資産が存在する」旨を示す警告を表示して、ネットワーク管理者に注意を促す。   Further, when a specific information asset of the network is exposed to a distributed attack (DDos), the access amount to the specific information asset is considered to be larger than the access amount to other information assets. The threat detection unit 103 stores, as a “dangerous state”, a state in which the total value of elements in a specific column protrudes higher than the total value of elements in other columns in the matrix C. . When the threat detection unit 103 determines that the total value of a specific column of the matrix C stored in the access status storage unit 105, for example, exceeds twice the average of the total values of other columns, for example, the threat detection unit 103 detects the occurrence of a threat. This is input to the notification unit 104. The notification unit 104 displays a warning indicating that “there is an information asset subject to a distributed attack” on the display screen, and alerts the network administrator.

ネットワーク内にウイルスに感染した情報資産が存在し、ウイルスが他の情報資産に感染活動を行っているときには、特定の情報資産からのアクセス量が他の情報資産からのアクセス量に比して多くなると考えられる。脅威検出部103は、行列Cの中で、特定の行の要素の合計値が、他の行の要素の合計値にして突出して高い状態を、「危険な状態」として記憶している。脅威検出部103は、アクセス状況記憶部105が記憶する行列Cの特定の行の要素の合計値が、例えば他の行の合計値の2倍を超えると判断すると、脅威の発生を検出して、これを通知部104に入力する。通知部104は、表示画面上に、「ウイルスに感染している情報資産が存在する」旨を示す警告を表示して、ネットワーク管理者に注意を促す。   When there is an information asset infected with a virus in the network and the virus is infecting other information assets, the amount of access from a specific information asset is larger than the amount of access from other information assets. It is considered to be. In the matrix C, the threat detection unit 103 stores a state in which the total value of elements in a specific row protrudes as the total value of elements in other rows as a “dangerous state”. If the threat detection unit 103 determines that the total value of elements in a specific row of the matrix C stored in the access status storage unit 105 exceeds, for example, twice the total value of other rows, the threat detection unit 103 detects the occurrence of the threat. This is input to the notification unit 104. The notification unit 104 displays a warning indicating that “there is an information asset infected with a virus” on the display screen, and alerts the network administrator.

本実施形態では、ネットワークに対する脅威を、アクセス量を用いて定量的に判断することができるため、観測者によって脅威の判定にばらつきが生じる事態を防ぐことができる。また、定量的な値に対しては計算機を用いた分析が可能なため、脅威の分析作業を自動化することができる。このため、リアルタイムに近い脅威の分析が可能となり、対策を即時に、また自動的に行うことができる。   In the present embodiment, since threats to the network can be determined quantitatively using the access amount, it is possible to prevent a situation in which the determination of threats varies among observers. In addition, since the quantitative value can be analyzed using a computer, the threat analysis work can be automated. For this reason, it is possible to analyze threats in near real time, and countermeasures can be taken immediately and automatically.

また、本実施形態では、脅威検出部103は、アクセス状況記憶部105に記憶されたアクセス状況に基づいて、ネットワークに対する脅威を検出する。アクセス状況記憶部105は、ネットワーク全体における各資源間のアクセス状況を行列として有しており、このような行列を分析することにより、局所的な観点ではなく、ネットワーク全体として、さまざまな脅威を認識することができる。   In the present embodiment, the threat detection unit 103 detects a threat to the network based on the access status stored in the access status storage unit 105. The access status storage unit 105 has an access status between resources in the entire network as a matrix, and by analyzing such a matrix, various threats are recognized not as a local viewpoint but as a whole network. can do.

なお、上記実施形態では、行列中の特定の要素、列、又は、行の値が、他の要素、列、又は、行の値に比して突出して大きい状態を、他の要素、列、又は、行の平均値と比較することで判断したが、これには限定されない。例えば、平均値の代わりに、メディアン(中央値)やモード(最頻値)を用いて、これと比較してもよい。   In the above-described embodiment, the value of a specific element, column, or row in the matrix protrudes and is larger than the value of another element, column, or row. Alternatively, the determination is made by comparing with the average value of the row, but the present invention is not limited to this. For example, instead of the average value, a median (median value) or mode (mode) may be used for comparison.

以上、本発明をその好適な実施形態に基づいて説明したが、本発明の脅威検出装置、脅威検出方法、及び、プログラムは、上記実施形態例にのみ限定されるものではなく、上記実施形態の構成から種々の修正及び変更を施したものも、本発明の範囲に含まれる。   Although the present invention has been described based on the preferred embodiments, the threat detection device, the threat detection method, and the program of the present invention are not limited to the above-described embodiment examples. Those in which various modifications and changes have been made to the configuration are also included in the scope of the present invention.

本発明の一実施形態の脅威検出装置の構成を示すブロック図。The block diagram which shows the structure of the threat detection apparatus of one Embodiment of this invention. 監視対象のネットワークを示すブロック図。The block diagram which shows the network of a monitoring object.

符号の説明Explanation of symbols

100:脅威検出装置
101:アクセス量収集部
102:アクセス状況作成部
103:脅威検出部
104:通知部
105:アクセス状況記憶部
100: Threat detection device 101: Access amount collection unit 102: Access status creation unit 103: Threat detection unit 104: Notification unit 105: Access status storage unit

Claims (9)

複数の資源間を接続するネットワークにおける脅威を検出する脅威検出装置において、
ネットワーク上の各資源間で発生する資源間アクセス量を収集するアクセス量収集部と、
前記アクセス量収集部によって収集された資源間アクセス量に基づいて、ネットワークにおける現状のアクセス状況データを作成して記憶装置に記憶するアクセス状況作成部と、
前記アクセス状況作成部で作成された現状のアクセス状況データを参照し、前記資源間アクセス量を相互に比較して解析し、該解析結果に基づいてネットワークに対する脅威の発生を検出する脅威検出部と、
前記脅威検出部によって脅威の発生が検出されると、当該脅威が発生した旨を通知する通知部とを備えることを特徴とする脅威検出装置。
In a threat detection device for detecting a threat in a network connecting a plurality of resources,
An access amount collection unit that collects an access amount between resources generated between resources on the network;
Based on the access amount between resources collected by the access amount collection unit, an access state creation unit that creates current access state data in the network and stores it in a storage device;
A threat detection unit that refers to current access status data created by the access status creation unit, analyzes the amount of access between resources , and detects the occurrence of a threat to the network based on the analysis result; ,
When a threat occurrence is detected by the threat detection unit, a threat detection apparatus comprising: a notification unit that notifies that a threat has occurred.
前記アクセス量収集部は、各資源間で、所定の単位時間dtの間に発生したアクセスデータ量及びアクセス回数の少なくとも一方を前記資源間アクセス量として収集し、
前記アクセス状況作成部は、前記アクセス量収集部によって収集された前記単位時間dtのアクセス量と、正常時の各資源間の単位時間dtあたりのアクセス量との差分に基づいて、現状のアクセス状況データを作成する、請求項1に記載の脅威検出装置。
The access amount collection unit collects at least one of an access data amount and an access count generated between each resource during a predetermined unit time dt as the inter-resource access amount,
The access status creation unit is configured to determine a current access status based on a difference between the access amount of the unit time dt collected by the access amount collection unit and an access amount per unit time dt between resources at normal time. The threat detection device according to claim 1 which creates data.
前記アクセス状況作成部は、全資源数をnとして、前記アクセス状況データを、アクセス元及びアクセス先の一方を列とし他方を行とするn行n列の行列であって、各要素が前記差分である行列として作成する、請求項2に記載の脅威検出装置。   The access status creation unit is a matrix of n rows and n columns, where n is the total number of resources, and the access status data has one of the access source and the access destination as columns and the other as rows. The threat detection apparatus according to claim 2, wherein the threat detection apparatus is created as a matrix. 前記n行n列の行列の各要素が、i番目(1≦i≦n)の資源からj番目(1≦j≦n)の資源に対して、前記単位時間dtに比して長い時間t1の間に発生する各資源間の資源間アクセス量をAijとし、前記アクセス量収集部によって収集されたi番目の資源からj番目の資源に対する前記単位時間dtのアクセス量をBijとして、
ij=Bij−(dt/t1)×Aij
により算出される、請求項3に記載の脅威検出装置。
Each element of the matrix of n rows and n columns is a time t1 longer than the unit time dt from the i-th (1 ≦ i ≦ n) resource to the j-th (1 ≦ j ≦ n) resource. A ij is an access amount between resources between the resources generated during, and an access amount of the unit time dt from the i-th resource collected by the access amount collection unit to the j-th resource is B ij .
C ij = B ij − (dt / t1) × A ij
The threat detection device according to claim 3, calculated by:
前記脅威検出部は、前記アクセス状況データを解析した結果、前記n行n列の行列の特定の要素の値が、他の要素に比して大きいと判断すると、脅威の発生を検出する、請求項4に記載の脅威検出装置。   The threat detection unit detects the occurrence of a threat when determining that the value of a specific element of the matrix of n rows and n columns is larger than other elements as a result of analyzing the access status data. Item 5. The threat detection device according to Item 4. 前記脅威検出部は、前記アクセス状況データを解析した結果、前記n行n列の行列の特定の列の合計値が、他の列の合計値に比して大きいと判断すると、脅威の発生を検出する、請求項4に記載の脅威検出装置。   As a result of analyzing the access status data, the threat detection unit determines that the total value of a specific column of the matrix of n rows and n columns is larger than the total value of other columns, and detects the occurrence of a threat. The threat detection device according to claim 4, which detects the threat. 前記脅威検出部は、前記アクセス状況データを解析した結果、前記n行n列の行列の特定の行の合計値が、他の行の合計値に比して大きいと判断すると、脅威の発生を検出する、請求項4に記載の脅威検出装置。   As a result of analyzing the access status data, the threat detection unit determines that the total value of a specific row of the matrix of n rows and n columns is larger than the total value of other rows, and detects the occurrence of a threat. The threat detection device according to claim 4, which detects the threat. 複数の資源間を接続するネットワークに対する脅威を、コンピュータを用いて検出する脅威検出方法において、
前記コンピュータが、ネットワーク上の各資源間で発生する資源間アクセス量を収集するステップと、
前記コンピュータが、前記アクセス量収集ステップによって収集された資源間アクセス量に基づいて、ネットワークにおける現状のアクセス状況データを作成して記憶装置に記憶するステップと、
前記コンピュータが、前記アクセス状況データ作成ステップで作成された現状のアクセス状況データを参照し、前記資源間アクセス量を相互に比較して解析し、該解析結果に基づいてネットワークに対する脅威の発生を検出するステップと、
前記コンピュータが、前記脅威検出ステップによって脅威の発生が検出されると、当該脅威が発生した旨を通知するステップとを有することを特徴とする脅威検出方法。
In a threat detection method for detecting a threat to a network connecting a plurality of resources using a computer,
The computer collects an access amount between resources generated between resources on the network;
The computer creates current access status data in the network based on the access amount between resources collected by the access amount collection step and stores it in a storage device;
The computer refers to the current access status data created in the access status data creation step, analyzes the amount of access between the resources , and detects the occurrence of a threat to the network based on the analysis result And steps to
A threat detection method comprising: when the occurrence of a threat is detected by the threat detection step, the computer notifying that the threat has occurred.
複数の資源間を接続するネットワークに対する脅威を検出するコンピュータのためのプログラムであって、前記コンピュータに、
ネットワーク上の各資源間で発生する資源間アクセス量を収集するステップと、
前記アクセス量収集ステップによって収集された資源間アクセス量に基づいて、ネットワークにおける現状のアクセス状況データを作成して記憶装置に記憶するステップと、
前記アクセス状況データ作成ステップで作成された現状のアクセス状況データを参照し、前記資源間アクセス量を相互に比較して解析し、該解析結果に基づいてネットワークに対する脅威の発生を検出するステップと、
前記脅威検出ステップによって脅威の発生が検出されると、当該脅威が発生した旨を通知するステップとを実行させることを特徴とするプログラム。
A program for a computer for detecting a threat to a network connecting a plurality of resources, the computer comprising:
Collecting the amount of access between resources generated between resources on the network;
Based on the access amount between resources collected by the access amount collecting step, creating current access status data in the network and storing it in a storage device;
Referring to the current access status data created in the access status data creation step, analyzing the inter-resource access amount mutually, and detecting the occurrence of a threat to the network based on the analysis results;
When the occurrence of a threat is detected by the threat detection step, a program for notifying that the threat has occurred is executed.
JP2004331705A 2004-11-16 2004-11-16 Threat detection device, threat detection method, and program Expired - Fee Related JP4096264B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004331705A JP4096264B2 (en) 2004-11-16 2004-11-16 Threat detection device, threat detection method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004331705A JP4096264B2 (en) 2004-11-16 2004-11-16 Threat detection device, threat detection method, and program

Publications (2)

Publication Number Publication Date
JP2006148207A JP2006148207A (en) 2006-06-08
JP4096264B2 true JP4096264B2 (en) 2008-06-04

Family

ID=36627427

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004331705A Expired - Fee Related JP4096264B2 (en) 2004-11-16 2004-11-16 Threat detection device, threat detection method, and program

Country Status (1)

Country Link
JP (1) JP4096264B2 (en)

Also Published As

Publication number Publication date
JP2006148207A (en) 2006-06-08

Similar Documents

Publication Publication Date Title
EP4278563B1 (en) Ordering security incidents using alert diversity
JP6703613B2 (en) Anomaly detection in data stream
US7526806B2 (en) Method and system for addressing intrusion attacks on a computer system
US7930752B2 (en) Method for the detection and visualization of anomalous behaviors in a computer network
US7493659B1 (en) Network intrusion detection and analysis system and method
JP6574332B2 (en) Data analysis system
US20080159165A1 (en) Technique of Analyzing An Information System State
CN114006723B (en) Network security prediction method, device and system based on threat information
CN118337512B (en) A network information intrusion detection and early warning system and method based on deep learning
JP2018533897A5 (en)
US12113810B2 (en) Autonomic incident response system
WO2024159901A1 (en) Network attack defense method, network element device and computer-readable storage medium
CN111726342B (en) Method and system for improving alarm output accuracy of honeypot system
EP1741223B1 (en) Method, apparatus and computer program for distinguishing relevant network security threats using comparison of refined intrusion detection audits and intelligent security analysis
CN113839935A (en) Network situation awareness method, device and system
KR20110101436A (en) Network risk analysis system and method
GB2381722A (en) intrusion detection (id) system which uses signature and squelch values to prevent bandwidth (flood) attacks on a server
US7594014B2 (en) Abnormality detection system, abnormality management apparatus, abnormality management method, probe and program
JP2018169643A (en) Security operation system, security operation management apparatus, and security operation method
JP5752020B2 (en) Attack countermeasure device, attack countermeasure method, and attack countermeasure program
KR20220083046A (en) Machine leaning system for extracting log of ERP system
El-Taj et al. Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study
JP4096264B2 (en) Threat detection device, threat detection method, and program
Yue et al. A cost-based analysis of intrusion detection system configuration under active or passive response
JP4161989B2 (en) Network monitoring system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070712

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070717

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070918

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080214

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080227

R150 Certificate of patent or registration of utility model

Ref document number: 4096264

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110321

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110321

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120321

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120321

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130321

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130321

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140321

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees