Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4328679B2 - Computer network operation monitoring method, apparatus, and program - Google Patents
[go: Go Back, main page]

JP4328679B2 - Computer network operation monitoring method, apparatus, and program - Google Patents

Computer network operation monitoring method, apparatus, and program Download PDF

Info

Publication number
JP4328679B2
JP4328679B2 JP2004194946A JP2004194946A JP4328679B2 JP 4328679 B2 JP4328679 B2 JP 4328679B2 JP 2004194946 A JP2004194946 A JP 2004194946A JP 2004194946 A JP2004194946 A JP 2004194946A JP 4328679 B2 JP4328679 B2 JP 4328679B2
Authority
JP
Japan
Prior art keywords
change amount
data source
event
data
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004194946A
Other languages
Japanese (ja)
Other versions
JP2006018527A (en
Inventor
正和 高橋
哲成 川口
完人 菊池
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2004194946A priority Critical patent/JP4328679B2/en
Publication of JP2006018527A publication Critical patent/JP2006018527A/en
Application granted granted Critical
Publication of JP4328679B2 publication Critical patent/JP4328679B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Description

この発明は、コンピュータネットワークへの不正侵入を監視するための運用監視方法及び装置並びにプログラムに関する。   The present invention relates to an operation monitoring method, apparatus, and program for monitoring unauthorized intrusion into a computer network.

コンピュータ及び電気通信網の発達に伴い、データ通信が飛躍的に普及している。企業ばかりでなく一般個人もインターネットに接続し、各種情報をダウンロードしたり、自分のウェブページを設けて情報を発信するようになってきている。   With the development of computers and telecommunications networks, data communication has become very popular. Not only companies but also general individuals are connected to the Internet, download various information, and set up their own web pages to transmit information.

インターネットは誰でも利用できるため、一部の悪意を持つ者がコンピュータウイルスをばら撒いたり、コンピュータへ不正にアクセスして個人情報や秘密情報を盗み出したり、ウェブページを改ざんしたり、特定のサーバへ攻撃を掛けてその利用をできなくするようなことが発生している。このようなことからコンピュータ及びネットワークを守るためのセキュリティの確立が求められている。不正アクセスを防止するための装置として、ファイアウォールコンピュータ(Fire Wall:FW、以下「ファイアウォール」と記す)、内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)が知られている。直接不正アクセスを防止するためのものではないがネットワークの監視に役立つものとして、内部ネットワークに接続された機器を監視するためのプロトコルであるSNMP(Simple Network Management Protocol)などが知られている。これらについて簡単に説明を加える。   Since the Internet can be used by anyone, some malicious individuals can spread computer viruses, illegally access computers to steal personal information and confidential information, alter web pages, and send to specific servers An attack has occurred that makes it impossible to use it. For this reason, establishment of security for protecting computers and networks is required. Devices to prevent unauthorized access include firewall computers (Fire Wall: FW, hereinafter referred to as “firewalls”) and unauthorized intrusion detection devices (Intrusion Detection System) that detect unauthorized access by monitoring data flowing through the internal network. IDS) is known. SNMP (Simple Network Management Protocol), which is a protocol for monitoring a device connected to an internal network, is known as one that is not intended to prevent direct unauthorized access but is useful for network monitoring. A brief description of these will be given.

(1)ファイアウォール
ファイアウォールは、インターネットなどの外部ネットワークとローカルエリアネットワーク(LAN)などの内部ネットワークの間に設けられるコンピュータであって、オープンでそれゆえ必ずしも信頼できない外部ネットワークを、企業のネットワークのように機密性の高い内部ネットワークから分離し、悪意を持った攻撃から内部ネットワークを守る「防火壁」に相当する装置である。
ファイアウォールは、管理者が意図するようなポリシー(ルール)に従ってデータ(パケット)の中継を管理し、ルールに適合しないデータの中継を拒否することにより、不正なデータが内部ネットワークに流れることを防止することができる。具体的には、ファイアウォールは、アクセス制限、アドレス変換、ログ収集/解析、ルーティングなどの処理を行う。
ファイアウォールだけではセキュリティの完全を期すことはできない。ファイアウォールは許可されていないアクセスを拒否できるが、許可されているアクセスを用いた不正アクセスのやり方があるためである。例えば、ウェブページの改ざんには、サーバのプログラムのバグを突いた攻撃が多く利用されているが、ファイアウォールによりそのような攻撃を防ぐことはできない。また、DoS(Denial of Services:ルータやサーバに不正なデータを送信したり、トラフィックを増大させることによりサービスを停止させる攻撃。「サービス停止攻撃」などと呼ばれる)やDDos(Distributed Denial of Services:攻撃の意図がない管理者、利用者のコンピュータを巻き込んだ複数のコンピュータによるDoS攻撃)といった攻撃もファイアウォールで防ぐことはできない。
(1) Firewall A firewall is a computer provided between an external network such as the Internet and an internal network such as a local area network (LAN). An external network that is open and therefore not necessarily reliable, like a corporate network. It is a device equivalent to a “firewall” that is separated from a highly confidential internal network and protects the internal network from malicious attacks.
The firewall manages the relay of data (packets) according to the policy (rule) as intended by the administrator, and rejects the relay of data that does not conform to the rules, thereby preventing unauthorized data from flowing to the internal network. be able to. Specifically, the firewall performs processing such as access restriction, address conversion, log collection / analysis, and routing.
A firewall alone cannot guarantee complete security. This is because a firewall can deny unauthorized access, but there is a method of unauthorized access using permitted access. For example, many attacks that exploit bugs in server programs are used to alter web pages, but firewalls cannot prevent such attacks. Also, DoS (Denial of Services: Attacks that stop services by sending illegal data to routers and servers, or increase traffic, which is called “Service Stop Attack”) and DDos (Distributed Denial of Services: Attacks) An attack such as a DoS attack by multiple computers involving a user's computer without the intention of the user) cannot be prevented by a firewall.

(2)不正侵入検知装置(Intrusion Detection System:IDS)
不正アクセス監視システム/侵入検知システムとも呼ばれ、ネットワークに流れるパケットを監視して、不正アクセスと思われるパケットを発見したときにアラームを表示するとともに、当該通信記録を収集して保存する装置である。Dos攻撃やDDos攻撃を検知することができる。
IDSのタイプとして、ネットワーク型監視(ネットワーク上のパケットを監視するもの)とサーバ型監視(サーバのI/Oパケットを監視するもの)がある。IDSによる不正アクセス検知の方式には、「シグネチャ」ベースの侵入検知(予め登録されたシグネチャと呼ばれる侵入手口のパターンとマッチングを行うことにより侵入を検知する手法)と、統計ベースの侵入検知(通常とは異なる振る舞いを検出する手法)がある。
IDSは不正侵入検知に有効であるが、他方限界もある。例えば次のような点に留意する必要がある。
・IDSは不審なパケットを検知することができても、対象サーバに対してそのパケットがもたらす影響、その通信による不正行為が成功したかどうかについては検知できない。
・ネットワークの高速化に伴い、キャプチャリングロスが発生したり、パケットシグネチャ分析の速度が追随できなくなることがある。
・誤検知/過剰検知が多く、正常な通信であるにもかかわらず、攻撃として検出されるケースが多い。
(2) Intrusion Detection System (IDS)
Also called unauthorized access monitoring system / intrusion detection system, it is a device that monitors packets flowing through the network, displays an alarm when a packet that seems to be unauthorized access is found, and collects and stores the communication records . Can detect Dos attacks and DDos attacks.
There are two types of IDS: network type monitoring (for monitoring packets on the network) and server type monitoring (for monitoring server I / O packets). IDS unauthorized access detection methods include “signature” -based intrusion detection (a technique that detects intrusions by matching intrusion signature patterns called pre-registered signatures) and statistical-based intrusion detection (normally There is a method to detect the behavior different from the above).
IDS is effective for intrusion detection, but has other limitations. For example, it is necessary to pay attention to the following points.
-Even if IDS can detect a suspicious packet, it cannot detect the impact that the packet has on the target server, and whether or not the fraud by the communication was successful.
-As the network speeds up, capturing loss may occur or the speed of packet signature analysis may not be able to follow.
-There are many false detections / excessive detections and there are many cases where they are detected as attacks despite normal communication.

(3)SNMP
SNMP(Simple Network Management Protocol)は、ネットワーク機器を管理するための通信プロトコルのひとつである。SNMPはネットワーク上に存在する管理対象の機器と、その管理を司る機器(管理ステーションと呼ばれる)の間で、管理情報をやり取りするための普通のプロトコルである。通信にはUDPを用いており、TCP/IPをベースとした管理プロトコルの標準と言えるものである。
SNMPでは、管理対象機器にはエージェント、管理ステーションにはマネージャと呼ばれるソフトウエアがそれぞれ常駐して通信を行う。管理できるのはネットワーク機器の性能や構成、障害、セキュリティ、アカウントなどである(これらは一例である。SNMPの管理対象はこれらに限定されない)の5種類である。マネージャとエージェントは、これらの管理情報をMIB(Management Information Base)と呼ばれるデータベースに保存する。エージェントはマネージャからの要求に応えて、MIBから必要な情報を送信する。
SNMPエージェントから取得したデータを加工してグラフ化するために、MRTG(Multi Router Traffic Grapher)というツールが利用される。MRTGによれば、前記管理情報をグラフ画像にして、これをWebブラウザで閲覧することができる。
(3) SNMP
SNMP (Simple Network Management Protocol) is one of communication protocols for managing network devices. SNMP is an ordinary protocol for exchanging management information between a device to be managed on the network and a device (referred to as a management station) that manages the device. UDP is used for communication, which can be said to be a management protocol standard based on TCP / IP.
In SNMP, software called an agent resides in a management target device and software called a manager resides in a management station to perform communication. There are five types that can be managed: network device performance, configuration, failure, security, account, etc. (these are examples. SNMP management targets are not limited to these). The manager and the agent store these management information in a database called MIB (Management Information Base). In response to a request from the manager, the agent transmits necessary information from the MIB.
In order to process and graph the data acquired from the SNMP agent, a tool called MRTG (Multi Router Traffic Grapher) is used. According to MRTG, the management information can be converted into a graph image and viewed with a Web browser.

なお、ネットワークの状態に関する情報(ログ)を取得するために、SNMP以外にも、アンチウイルスソフトウエアを搭載したコンピュータからのログや、メールサーバのログ等も利用することもできる。本明細書において、これら及びこれらに相当するものを総称して「SNMPなど」と表現することがある。   In addition to SNMP, a log from a computer equipped with anti-virus software, a log of a mail server, or the like can be used to acquire information (log) related to the network status. In the present specification, these and their equivalents may be collectively referred to as “SNMP etc.”.

ファイアウォール技術を開示するものとして下記特許文献1がある。不正侵入検知装置(IDS)を開示するものとして下記特許文献2がある。
特開平11−167538号公報 特開2004−164107号公報
The following Patent Document 1 discloses firewall technology. The following Patent Document 2 discloses an unauthorized intrusion detection device (IDS).
JP-A-11-167538 JP 2004-164107 A

ファイアウォール、不正侵入検知装置(IDS)、SNMPなど(SNMP以外であってネットワークの状態に関する情報(ログ)を取得できるものを含む。例えばアンチウイルスソフトウエアのログ、メールサーバのログ等)は、いずれも不正アクセス検知に効果をあげるものであるが、完全に不正アクセスを防止することはできない。前述のようにファイアウォールではDoS攻撃やDDos攻撃を防ぐことはできないし、不正侵入検知装置(IDS)では未知の侵入手口による不正アクセスを完全に防ぐことはできないし、しかも誤検知/過剰検知が多く、正常な通信であるにもかかわらず、攻撃として検出されるケースが多いという問題もある。SNMPは単にネットワーク機器を管理するためのものであり、管理情報をMRTGでグラフ化したとしても、経験ある有能なオペレータでなければ不正アクセスを見抜くことができない。しかも、スイッチがどこに置いてあるかにより、トラフィック量が大きく異なり、ただ表示するだけではわかりにくい。   Firewalls, unauthorized intrusion detection devices (IDS), SNMP, etc. (including those other than SNMP that can acquire information (logs) on the state of the network. For example, anti-virus software logs, mail server logs, etc.) Although it is effective for detecting unauthorized access, it cannot completely prevent unauthorized access. As mentioned above, firewalls cannot prevent DoS attacks and DDos attacks, and unauthorized intrusion detection devices (IDS) cannot completely prevent unauthorized access due to unknown intrusion techniques, and there are many false positives / excessive detections. In spite of normal communication, there is also a problem that many cases are detected as attacks. SNMP is simply for managing network devices, and even if management information is graphed by MRTG, unauthorized access cannot be detected unless it is an experienced and effective operator. Moreover, the amount of traffic varies greatly depending on where the switch is located, and it is difficult to understand just by displaying it.

ファイアウォール、不正侵入検知装置(IDS)、SNMPにはそれぞれ長所と短所があるので、これらを組み合わせ総合的に監視・判断することで不正アクセスを効果的に検知することが好ましいことが判明した。従来技術では、もっぱらファイアウォール単独で不正アクセスを防止したり、不正侵入検知装置(IDS)単独で不正アクセスを検知することが行われてきたが、発明者らの検討により総合的な監視、つまり総合ネットワーク監視によるインシデント分析が好ましいことがわかった(ファイアウォール、不正侵入検知装置、SNMPを総合的に監視すること自体が新規な試みである)。   Since firewalls, unauthorized intrusion detection devices (IDS), and SNMP each have advantages and disadvantages, it has been found that it is preferable to effectively detect unauthorized access by combining these to comprehensively monitor and judge. In the prior art, unauthorized access is prevented solely by a firewall alone, or unauthorized access is detected by an unauthorized intrusion detection device (IDS) alone. It has been found that incident analysis by network monitoring is preferable (totally monitoring firewalls, unauthorized intrusion detection devices, and SNMP itself is a new attempt).

そこで、ファイアウォール及び不正侵入検知装置(IDS)のログと、SNMPの管理情報を同じ画面上にグラフとして表示するようにした。ログや管理情報に含まれる複数のイベントを時系列のグラフとして表示するのであるが、その縦軸(横軸を時間軸とする)は各イベントの絶対量であった。これでひとつの画面で総合的な監視を行うことができるはずである。しかしながら、異なる性質の装置から得たログを一緒に表示するだけではわかりにくい。例えば、イベントには頻繁に変化するものと、めったに変化しないものがあり、前者はわかりやすいが後者はわかりにくい。単純に、ファイアウォール及び不正侵入検知装置(IDS)のログと、SNMPの管理情報を同じ画面上にグラフとして表示するだけでは、使いにくいことが判明した。   Therefore, the firewall and unauthorized intrusion detection device (IDS) log and SNMP management information are displayed as a graph on the same screen. A plurality of events included in the log and management information are displayed as a time-series graph. The vertical axis (the horizontal axis is the time axis) is the absolute amount of each event. This should allow comprehensive monitoring on a single screen. However, it is difficult to understand simply by displaying together logs obtained from devices of different properties. For example, some events change frequently and others rarely change. The former is easy to understand, but the latter is difficult to understand. It has been found that it is difficult to simply use a firewall and an intrusion detection device (IDS) log and SNMP management information as a graph on the same screen.

本発明は上記課題を解決するためになされたもので、ファイアウォール及び不正侵入検知装置(IDS)のログとSNMPの管理情報を総合的に監視することを容易に行えるコンピュータネットワークの運用監視方法及び装置並びにプログラムを提供することを目的とする。   SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems, and a computer network operation monitoring method and apparatus that can easily monitor the log of the firewall and the intrusion detection device (IDS) and the management information of the SNMP easily. The purpose is to provide a program.

この発明は、インターネットなどの外部ネットワークと、ローカルエリアネットワーク(LAN)などの内部ネットワーク(ここで、内部ネットワークは、インターネットに対比して、外部に資源を公開していないネットワークを意味する)と、前記外部ネットワークと前記内部ネットワークの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールコンピュータ(Fire Wall:FW、以下「ファイアウォール」と記す)と、前記内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)と、を備えるシステムにおいて不正侵入を監視するための方法であって、
前記ファイアウォール及び前記不正侵入検知装置からログを受信するデータソース受信ステップと、
前記ログに含まれる複数のイベントに関するデータについてその変化量を求める変化量演算ステップと、
前記複数のイベントに関する変化量を時系列のグラフとして表示する表示ステップとを備えるものである。
The present invention includes an external network such as the Internet and an internal network such as a local area network (LAN) (herein, the internal network means a network that does not disclose resources to the outside as compared to the Internet), A firewall computer (Fire Wall: FW, hereinafter referred to as “firewall”) that is provided between the external network and the internal network and controls relaying of data between the networks based on a predetermined rule; An intrusion detection system (IDS) that monitors flowing data and detects unauthorized access, and a method for monitoring intrusion in a system comprising:
A data source receiving step for receiving logs from the firewall and the intrusion detection device;
A change amount calculating step for obtaining a change amount of data related to a plurality of events included in the log;
A display step of displaying the amount of change related to the plurality of events as a time-series graph.

ログに含まれるイベントについて、例えば次のようにして変化量を求める。
・通常値との乖離を偏差を使って分析
・通常値との乖離を分布に基づいた発生確率により分析
通常、前記ファイアウォール及び前記不正侵入検知装置のログはイベント(セキュリティイベントやポートアクセス)ごとに発生頻度が異なるため、単に量的な変化を分析しただけでは、発生頻度の低いイベントの異常を見つけることが難しい。これを、各イベントの変化量に注目することで、イベント発生の頻度に関わらず、通常との乖離を分析することができる。
変化量を検出する手法をSNMP(CPU、Traffic・・・)などにも適用する。前記ファイアウォール及び前記不正侵入検知装置のログやSNMPなどの管理データは、データの内容が異なるため同じ軸で分析することはできない。しかし、これを変化量(微分)に着目することで、もともと性格の違うデータを相関的かつ総合的に分析することができるようになった。
For the event included in the log, for example, the amount of change is obtained as follows.
・ Analysis of deviations from normal values using deviations ・ Analysis of deviations from normal values based on probability of distribution Normally, logs of the firewall and the intrusion detection device are usually recorded for each event (security event or port access). Since the frequency of occurrence is different, it is difficult to find abnormalities in events with low frequency of occurrence simply by analyzing quantitative changes. By focusing on the amount of change of each event, the deviation from the normal can be analyzed regardless of the frequency of event occurrence.
The method of detecting the amount of change is also applied to SNMP (CPU, Traffic ...). Management data such as logs and SNMP of the firewall and the intrusion detection device cannot be analyzed on the same axis because the data contents are different. However, by focusing on the amount of change (differentiation), it has become possible to analyze data with different personalities in a correlated and comprehensive manner.

前記システムに、前記内部ネットワークに接続された機器を監視するためのプロトコルであるSNMP(Simple Network Management Protocol)など(SNMP以外であってネットワークの状態に関する情報(ログ)を取得できるものを含む。例えばアンチウイルスソフトウエアのログ、メールサーバのログ等)に対応した機器をさらに備える場合において、
前記SNMPに対応した機器の全部又は一部からデバイス管理データを受信するステップと、
前記デバイス管理データに含まれる複数のイベントに関するデータについてその変化量を求めるステップと、
前記複数のイベントに関する変化量を、前記ファイアウォール及び前記不正侵入検知装置のログに含まれる複数のイベントに関する変化量とともにグラフとして表示するステップとを備えるようにしてもよい。
Examples of the system include SNMP (Simple Network Management Protocol), which is a protocol for monitoring devices connected to the internal network (other than SNMP, which can acquire information (log) related to the network state). Anti-virus software logs, mail server logs, etc.)
Receiving device management data from all or a part of devices corresponding to the SNMP;
Obtaining the amount of change for data related to a plurality of events included in the device management data;
And a step of displaying the change amounts related to the plurality of events as a graph together with the change amounts related to the plurality of events included in the logs of the firewall and the unauthorized intrusion detection device.

前記変化量演算ステップは、例えば、
前記ログに含まれる複数のイベントに関して、通常値(例えば、不正侵入がないと思われる状態のとき一定期間以上にわたって求めた平均値や、その他の統計量。なお、不正侵入のないことが通常値を求める前提では必ずしもない)をそれぞれ求めるステップと、
データソース受信ステップで受信した前記ログについてイベントごとに前記通常値との偏差を求め、これを変化量とするステップとを備える。
The change amount calculating step includes, for example,
For a plurality of events included in the log, a normal value (for example, an average value obtained for a certain period or more when there is no unauthorized intrusion, or other statistics. Each of which is not necessarily a premise for
A step of obtaining a deviation from the normal value for each event for the log received in the data source receiving step, and using this as a change amount.

前記変化量演算ステップは、例えば、
前記ログに含まれる複数のイベントに関して、イベントの発生確率の分布をそれぞれ求める(一定期間以上にわたって観測した結果から分布を求めたり、理論的に分布を求める)ステップと、
前記データソース受信ステップで受信したログに含まれるイベントの実際の発生頻度を求めるステップと、
前記実際の発生頻度を前記発生確率の分布に当てはめてイベントの発生しにくさを求め、これを変化量とするステップとを備える。
The change amount calculating step includes, for example,
For each of the plurality of events included in the log, obtaining each distribution of the occurrence probability of the event (determining the distribution from the results observed over a certain period or theoretically obtaining the distribution);
Obtaining an actual occurrence frequency of the event included in the log received in the data source receiving step;
Applying the actual occurrence frequency to the distribution of the occurrence probabilities to determine the difficulty of generating an event, and using this as a change amount.

グラフを平面的(等高線)で表現するようにしてもよい。例えば、前記表示ステップは、
一方の軸を時間軸とし、もう一方の軸をイベントの種類として平面的なグラフを表示し、前記変化量を濃淡又は色分けにより表現するステップと、
前記変化量の大きさに応じて表示するイベントの種類の順番を並べ替えるステップとを備えるようにする。
You may make it express a graph planarly (contour line). For example, the display step includes
Displaying a planar graph with one axis as a time axis and the other axis as an event type, and expressing the amount of change by shading or color coding;
Rearranging the order of the types of events to be displayed according to the magnitude of the change amount.

前記表示ステップは、例えば、
前記変化量が予め定めた閾値を超えたかどうか判定するステップと、
前記変化量が予め定めた閾値を超えたときに、当該変化量のグラフの表示態様を変化させる(色を変える、点滅する、太線などの強調表示を行うなど)ステップとを備える。
The display step includes, for example,
Determining whether the amount of change exceeds a predetermined threshold;
When the change amount exceeds a predetermined threshold, the display mode of the change amount graph is changed (color is changed, blinking, highlighting such as a bold line is performed), and the like.

前記表示ステップは、例えば、
前記イベントに関して単位時間当たりの発生数を求めるステップと、
前記イベントの単位時間当たりの発生数が予め定めた閾値を超えたかどうか判定するステップと、
前記イベントの単位時間当たりの発生数が予め定めた閾値を超えたときに、当該変化量のグラフの表示態様を変化させる(色を変える、点滅する、太線などの強調表示を行うなど)ステップとを備える。
The display step includes, for example,
Determining the number of occurrences per unit time for the event;
Determining whether the number of occurrences of the event per unit time exceeds a predetermined threshold;
When the number of occurrences of the event per unit time exceeds a predetermined threshold, changing the display mode of the graph of the amount of change (changing the color, blinking, emphasizing a bold line, etc.); Is provided.

この発明は、インターネットなどの外部ネットワークと、ローカルエリアネットワーク(LAN)などの内部ネットワーク(ここで、内部ネットワークは、インターネットに対比して、外部に資源を公開していないネットワークを意味する)と、前記外部ネットワークと前記内部ネットワークの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールと、前記内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置と、前記内部ネットワークに接続された機器を監視するためのプロトコルであるSNMPなどに対応した機器とを備えるシステムにおいて不正侵入を監視するための方法であって、
前記ファイアウォール、前記不正侵入検知装置及び前記SNMPなどに対応した機器のうちで予め定められた2つ以上のものからデータを受け、これらに含まれる任意の2つを第1データソース及び第2データソースとするデータソース受信ステップと、
前記第1データソースの変化量を求める第1変化量演算ステップと、
前記第2データソースの変化量を求める第2変化量演算ステップと、
前記第1データソースの変化量と前記第2データソースの変化量を時系列に並べ、これらの相関を求める相関演算ステップと、
前記相関演算ステップによる演算結果を出力する出力ステップとを備えるものである。
The present invention includes an external network such as the Internet and an internal network such as a local area network (LAN) (herein, the internal network means a network that does not disclose resources to the outside as compared to the Internet), A firewall that is provided between the external network and the internal network and controls the relay of data between the networks based on a predetermined rule, and an unauthorized intrusion that detects unauthorized access by monitoring data flowing through the internal network A method for monitoring unauthorized intrusion in a system comprising a detection device and a device compatible with SNMP, which is a protocol for monitoring a device connected to the internal network,
Data is received from two or more predetermined devices among the devices corresponding to the firewall, the unauthorized intrusion detection device, the SNMP, and the like, and any two of them are included in the first data source and the second data. A data source receiving step as a source; and
A first change amount calculating step for obtaining a change amount of the first data source;
A second change amount calculating step for obtaining a change amount of the second data source;
A correlation calculation step for arranging a change amount of the first data source and a change amount of the second data source in time series and obtaining a correlation between them,
And an output step for outputting a calculation result of the correlation calculation step.

前記ファイアウォール、前記不正侵入検知装置及び前記SNMPなどに対応した機器のうちで予め定められた2つ以上のものから受けた他のデータを第3データソースとし、
前記第3データソースの変化量を求める第3変化量演算ステップと、
前記第1データソースの変化量及び/又は前記第2データソースの変化量と前記第3データソースの変化量との相関を求める相関演算ステップと、
前記相関演算ステップによる演算結果を出力する出力ステップとを備えてもよい。
Other data received from two or more predetermined devices among the devices corresponding to the firewall, the unauthorized intrusion detection device, the SNMP, and the like as a third data source,
A third change amount calculating step for obtaining a change amount of the third data source;
A correlation calculation step for obtaining a correlation between a change amount of the first data source and / or a change amount of the second data source and a change amount of the third data source;
An output step of outputting a calculation result of the correlation calculation step.

前記相関演算ステップによる演算結果を予め定められた閾値と比較することにより、不正侵入の有無を判定する判定ステップを備えるようにしてもよい。   You may make it provide the determination step which determines the presence or absence of unauthorized intrusion by comparing the calculation result by the said correlation calculation step with a predetermined threshold value.

この発明は、インターネットなどの外部ネットワークと、ローカルエリアネットワーク(LAN)などの内部ネットワークと、前記外部ネットワークと前記内部ネットワークの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールと、前記内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置と、前記内部ネットワークに接続された機器を監視するためのプロトコルであるSNMPなどに対応した機器とを備えるシステムにおいて不正侵入を監視するための方法であって、
前記ファイアウォール、前記不正侵入検知装置及び前記SNMPなどに対応した機器のうちで予め定められた1つ以上のものからデータを受けるステップと、
受けたデータについて変化量を求めるステップと、
前記受けたデータについての変化量を時系列に並べ、相関を求める相関演算ステップと、
前記相関演算ステップによる演算結果を出力する出力ステップとを備えるものである。
The present invention is based on a predetermined rule for relaying data between an external network such as the Internet, an internal network such as a local area network (LAN), and the external network and the internal network. A firewall to be controlled, an unauthorized intrusion detection device that detects unauthorized access by monitoring data flowing through the internal network, and a device that is compatible with SNMP, which is a protocol for monitoring devices connected to the internal network, A method for monitoring unauthorized intrusion in a system comprising:
Receiving data from one or more predetermined devices among the devices corresponding to the firewall, the unauthorized intrusion detection device, the SNMP, and the like;
Determining the amount of change in the received data;
Correlation calculation step for arranging the amount of change for the received data in time series and obtaining a correlation;
And an output step for outputting a calculation result of the correlation calculation step.

この発明は、インターネットなどの外部ネットワークと、ローカルエリアネットワーク(LAN)などの内部ネットワークと、前記外部ネットワークと前記内部ネットワークの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールと、前記内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置と、を備えるシステムにおいて不正侵入を監視するための装置であって、
前記ファイアウォール及び前記不正侵入検知装置からログを受信するデータソース受信部と、前記ログに含まれる複数のイベントに関するデータについてその変化量を求める変化量演算部と、前記複数のイベントに関する変化量を時間軸を共通とするグラフとして表示する表示部とを備えるものである。
The present invention is based on a predetermined rule for relaying data between an external network such as the Internet, an internal network such as a local area network (LAN), and the external network and the internal network. A device for monitoring unauthorized intrusion in a system comprising a firewall to be controlled and an unauthorized intrusion detection device that detects unauthorized access by monitoring data flowing through the internal network,
A data source receiving unit that receives a log from the firewall and the intrusion detection device, a change amount calculating unit that obtains a change amount of data related to a plurality of events included in the log, and a change amount related to the plurality of events over time. And a display unit that displays the graph with a common axis.

この発明は、インターネットなどの外部ネットワークと、ローカルエリアネットワーク(LAN)などの内部ネットワークと、前記外部ネットワークと前記内部ネットワークの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールと、前記内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置と、前記内部ネットワークに接続された機器を監視するためのプロトコルであるSNMPなどに対応した機器(SNMP以外であってネットワークの状態に関する情報(ログ)を取得できるものを含む。例えばアンチウイルスソフトウエアを搭載したコンピュータのログ、メールサーバのログ等)とを備えるシステムにおいて不正侵入を監視するための装置であって、
前記ファイアウォール、前記不正侵入検知装置及び前記SNMPなどに対応した機器のうちで予め定められた2つ以上のものからデータを受け、これらに含まれる任意の2つを第1データソース及び第2データソースとして出力するデータソース受信部と、前記第1データソースの変化量を求める第1変化量演算部と、前記第2データソースの変化量を求める第2変化量演算部と、前記第1データソースの変化量と前記第2データソースの変化量を時系列に並べ、これらの相関を求める相関演算部と、前記相関演算部による演算結果を出力する出力部とを備えるものである。
The present invention is based on a predetermined rule for relaying data between an external network such as the Internet, an internal network such as a local area network (LAN), and the external network and the internal network. A device that supports a firewall to be controlled, an intrusion detection device that detects unauthorized access by monitoring data flowing through the internal network, and SNMP that is a protocol for monitoring devices connected to the internal network ( In addition to SNMP, including information that can acquire information (logs) on the state of the network (for example, logs of computers equipped with anti-virus software, logs of mail servers, etc.) for monitoring unauthorized intrusions Equipment Te,
Data is received from two or more predetermined devices among the devices corresponding to the firewall, the unauthorized intrusion detection device, the SNMP, and the like, and any two of them are included in the first data source and the second data. A data source receiving unit that outputs as a source, a first change amount calculation unit that calculates a change amount of the first data source, a second change amount calculation unit that calculates a change amount of the second data source, and the first data A change amount of the source and a change amount of the second data source are arranged in time series, and a correlation calculation unit that obtains a correlation between them and an output unit that outputs a calculation result by the correlation calculation unit are provided.

この発明は、上記方法をコンピュータに実行させるためのプログラムに関する。
この発明に係るプログラムは、例えば、記録媒体に記録される。
媒体には、例えば、EPROMデバイス、フラッシュメモリデバイス、フレキシブルディスク、ハードディスク、磁気テープ、光磁気ディスク、CD(CD−ROM、Video−CDを含む)、DVD(DVD−Video、DVD−ROM、DVD−RAMを含む)、ROMカートリッジ、バッテリバックアップ付きのRAMメモリカートリッジ、フラッシュメモリカートリッジ、不揮発性RAMカートリッジ等を含む。
The present invention relates to a program for causing a computer to execute the above method.
The program according to the present invention is recorded on a recording medium, for example.
Examples of the medium include EPROM device, flash memory device, flexible disk, hard disk, magnetic tape, magneto-optical disk, CD (including CD-ROM and Video-CD), DVD (DVD-Video, DVD-ROM, DVD- RAM), ROM cartridge, RAM memory cartridge with battery backup, flash memory cartridge, nonvolatile RAM cartridge, and the like.

また、電話回線等の有線通信媒体、マイクロ波回線等の無線通信媒体等の通信媒体を含む。インターネットもここでいう通信媒体に含まれる。   In addition, a communication medium such as a wired communication medium such as a telephone line and a wireless communication medium such as a microwave line is included. The Internet is also included in the communication medium here.

媒体とは、何等かの物理的手段により情報(主にデジタルデータ、プログラム)が記録されているものであって、コンピュータ、専用プロセッサ等の処理装置に所定の機能を行わせることができるものである。   A medium is a medium in which information (mainly digital data, a program) is recorded by some physical means, and allows a processing device such as a computer or a dedicated processor to perform a predetermined function. is there.

本発明によれば、ファイアウォール及び不正侵入検知装置(IDS)のログと、SNMPの管理情報に含まれる複数のイベント(全部だけではなく、表示すべきもの一部の場合も含む)について、その変化量を求め、それらを同じ画面上にグラフとして表示することにより、総合的な監視を容易に行うことができるようになった。   According to the present invention, the amount of change in a plurality of events (including not only all but also a part of what should be displayed) included in the log of the firewall and intrusion detection device (IDS) and SNMP management information. And displaying them as a graph on the same screen makes it possible to easily perform comprehensive monitoring.

さらに、各グラフ間の相関を求めることにより、不正アクセスに関するアラームを自動的に発するようにもできる。   Further, by obtaining a correlation between the graphs, an alarm regarding unauthorized access can be automatically issued.

発明の実施の形態1.
図1はこの発明が適用されるシステムの一例を示す。図1において、1はインターネットなどの外部ネットワーク、2はローカルエリアネットワーク(LAN)などの内部ネットワークである。ここで、内部ネットワーク2は、インターネット1に対比して、外部に資源を公開していないネットワークを意味する。3は外部ネットワーク1と内部ネットワーク2の間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールコンピュータ(Fire Wall:FW、以下「ファイアウォール」と記す)である。内部ネットワーク2は、LANとこれに接続されたPC端末5a〜5cやプリンタ6、WWWサーバ7a・7bなどを含んでいる。4は内部ネットワーク2を流れるデータを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)である。
Embodiment 1 of the Invention
FIG. 1 shows an example of a system to which the present invention is applied. In FIG. 1, 1 is an external network such as the Internet, and 2 is an internal network such as a local area network (LAN). Here, the internal network 2 means a network that does not disclose resources to the outside as compared to the Internet 1. Reference numeral 3 denotes a firewall computer (Fire Wall: FW, hereinafter referred to as “firewall”) that is provided between the external network 1 and the internal network 2 and controls data relay between the networks based on a predetermined rule. The internal network 2 includes a LAN and PC terminals 5a to 5c connected thereto, a printer 6, WWW servers 7a and 7b, and the like. Reference numeral 4 denotes an intrusion detection system (IDS) that monitors data flowing through the internal network 2 to detect unauthorized access.

図1に例示するシステムにおいて不正侵入を監視するための方法について、図2のフローチャートを参照して説明を加える。   A method for monitoring unauthorized intrusion in the system illustrated in FIG. 1 will be described with reference to the flowchart of FIG.

S1:ファイアウォール(FW)3及び不正侵入検知装置(IDS)4からログを受信する。
ポートアクセスの大きな変化を捉えるには、ファイアウォールのログが適切である。一方で、アタックと通常のアクセスを区別しないため、不正アクセス等の小さな変化を捉えにくい面がある。
IDSのログは、ネットワークのセキュリティ状況の変化を敏感に記録する。特にワーム等の挙動については、Sweep系、Scan系のイベントとして記録されることから、これらのイベントの変化と、ファイアウォールのログの変化を合わせることで、ワームの発生を早い段階でつかむことができる。
S1: Receive logs from the firewall (FW) 3 and the intrusion detection device (IDS) 4.
Firewall logs are appropriate to capture large changes in port access. On the other hand, since attacks and normal accesses are not distinguished, it is difficult to capture small changes such as unauthorized access.
The IDS log sensitively records changes in the security status of the network. The behavior of worms in particular is recorded as Sweep and Scan events, so it is possible to catch the occurrence of worms at an early stage by combining these event changes with firewall log changes. .

S2:図1のシステムに、内部ネットワーク2に接続された機器を監視するためのプロトコルであるSNMP(Simple Network Management Protocol)に対応した機器を備える場合、SNMPに対応した機器(SNMPエージェント又はマネージャ)の全部又は一部からデバイス管理データを受信する。なお、SNMP以外であってネットワークの状態に関する情報(ログ)を取得できるものであれば、ここで利用可能である。例えばアンチウイルスソフトウエアをインストールしてあるコンピュータからのログ、メールサーバのログ等も監視対象として利用することができる。
S3:S1やS2で受信したログ、デバイス管理データに含まれる複数のイベントに関するデータを取り出す。
S2: When the system shown in FIG. 1 includes a device compatible with SNMP (Simple Network Management Protocol) which is a protocol for monitoring a device connected to the internal network 2, a device compatible with SNMP (SNMP agent or manager) Device management data is received from all or part of the device management data. Any information other than SNMP that can acquire information (log) about the state of the network can be used here. For example, logs from computers installed with anti-virus software, mail server logs, and the like can also be used as monitoring targets.
S3: Data relating to a plurality of events included in the log and device management data received in S1 and S2 are extracted.

S4:S3で取り出したデータについてその変化量を求める。
単純なカウントによる分析は大きな変化を捉えるために重要な手法であるが、初期の微妙な変化を捉えることができない。また、S1,S2で記録されたデータには、ワームやウィルスなどのアクセスが、バックグラウンドノイズとして含まれるため、これを分離することができない。したがって、S4による変化量の分析を行うことにより、バックグラウンドノイズの影響を最小限にすると共に、ワーム等の活動初期の微妙な変化を捉えるのである。

したがって、S4では少なくともIDSのログについて変化量を求めることにする。
S4: The amount of change is obtained for the data extracted in S3.
Although simple count analysis is an important technique for capturing large changes, it cannot capture the initial subtle changes. In addition, since the data recorded in S1 and S2 includes access such as worms and viruses as background noise, it cannot be separated. Therefore, by analyzing the amount of change by S4, the influence of background noise is minimized, and subtle changes at the beginning of activities such as worms are captured.

Therefore, in S4, the amount of change is determined for at least the IDS log.

S5:S4で求めた複数のイベントに関する変化量を時系列のグラフとして表示する。 S5: The amount of change related to the plurality of events obtained in S4 is displayed as a time series graph.

図3(a)を参照して変化量を求める手順を説明する。   A procedure for obtaining the amount of change will be described with reference to FIG.

S10:イベントに関して、不正侵入のない状態を示す通常値(又はこれに相当するもの)を求める。
S11:イベントごとに通常値との偏差を求めこれを変化量とする。
S10: A normal value (or an equivalent) indicating a state without unauthorized intrusion is obtained for the event.
S11: A deviation from the normal value is obtained for each event, and this is used as a change amount.

あるいは図3(b)のように変化量を求めてもよい。   Alternatively, the amount of change may be obtained as shown in FIG.

S12:イベントに関して、理論的又は統計的にその発生確率の分布を求める。
S13:イベントごとに実際の発生頻度(発生確率)を求める。
S14:実際の発生頻度を発生確率の分布に当てはめ、当該イベントの発生しにくさを求め、これを変化量とする。
S12: The distribution of the probability of occurrence of the event is calculated theoretically or statistically.
S13: The actual occurrence frequency (occurrence probability) is obtained for each event.
S14: The actual occurrence frequency is applied to the distribution of the occurrence probability, the difficulty of occurrence of the event is obtained, and this is set as the amount of change.

発明の実施の形態1の装置/方法は、ファイアウォールのログと侵入検知装置(IDS)のログを使って、インターネット上の疑わしい動きをいち早く捉えることを目的としている。これらのログの解析においては、表や数値を使った解析も有効であるが、データをグラフ化したほうが変化や推移を容易に把握できると考えられる。   The device / method of the first embodiment of the present invention aims to quickly capture suspicious movements on the Internet using a firewall log and an intrusion detection device (IDS) log. In analysis of these logs, analysis using tables and numerical values is also effective, but it is thought that changes and transitions can be easily grasped by graphing the data.

ログデータを単にグラフ化するだけでもイベントの推移をつかむことができるが、この手法では、大量のイベントに隠れた小さな動きを把握することができない。しかも、ファイアウォールと侵入検知装置(IDS)という全く性格の異なるデバイスのログを取り扱うこと、及び、システムごとに取り扱うデバイスの数や監視しているネットワークの特性が異なっている。これらのことを考慮すると、イベントの絶対量(絶対数)に基づいてシステム全体を監視しようとしても、各データを比較することができず、システム全体の状況を把握することが困難である。   Even if the log data is simply graphed, the transition of the event can be grasped, but this method cannot grasp small movements hidden in a large number of events. In addition, the logs of devices with completely different characteristics, such as firewalls and intrusion detection devices (IDS), are handled, and the number of devices handled for each system and the characteristics of the monitored network are different. Considering these matters, even if an attempt is made to monitor the entire system based on the absolute amount (absolute number) of events, the data cannot be compared and it is difficult to grasp the situation of the entire system.

これを解決するために、イベント数をその平均値でわった値(イベント数(カウント)÷平均値)でログを解析することを試みたが、最大値があまりに大きくなりすぎ、各項目をグラフ上に適切に描画できないことがわかった。   To solve this, I tried to analyze the log with the number of events divided by the average value (number of events (count) ÷ average value), but the maximum value was too large and each item was graphed. I found that I couldn't draw properly on top.

そこで、発明の実施の形態1では、データの絶対量ではなく、変化量に着目している。変化量として、図3(a)に示す偏差を利用するものと、図3(b)に示す確率分布を利用するものがある。   Therefore, in Embodiment 1 of the invention, attention is paid to the amount of change, not the absolute amount of data. As the amount of change, there are one using a deviation shown in FIG. 3A and another using a probability distribution shown in FIG.

図3(a)の偏差の式の一例を挙げる。
N=偏差値=(COUNT(I:n)-Average(I))/標準偏差(I)
ただし、COUNTはイベントのカウント値(検出数)、Averageは通常値。
ファイアウォールやIDSのイベントは正規分布またはポアソン分布をしているようである。ポアソン分布では、発生確率が高くなると、正規分布に非常に近い分布をとるようになる。
偏差による分析は極めて敏感で、小さなイベントの変化を的確に捉えることができる。
An example of the deviation equation of FIG.
N = deviation value = (COUNT (I: n) -Average (I)) / standard deviation (I)
However, COUNT is the event count value (detection count), and Average is the normal value.
Firewall and IDS events appear to have a normal or Poisson distribution. In the Poisson distribution, when the probability of occurrence increases, the distribution becomes very close to the normal distribution.
Deviation analysis is extremely sensitive and can accurately capture small event changes.

図3(b)の確率分布を利用する手法は、図3(a)の偏差よりも感度の鈍い解析手法であると言え、偏差の場合に一部のログに生じる、過度に敏感な値になってしまい適切な分布が行えない場合があるという問題を回避することができる。確率分布を利用する手法は、具体的には、イベントの発生頻度により、ポアソン分布または正規分布の発生確率を算出し、これによりイベントの発生しにくさを分析データとする。発生確率を算出するにあたってはデータの正規化が必要となるが、このデータは、ちょうどカウント/平均でイメージしたグラフに極めて近いものになるので、発生確率に加えて正規化したデータも分析に利用することができる。   The method of using the probability distribution of FIG. 3B is an analysis method that is less sensitive than the deviation of FIG. 3A, and in the case of the deviation, an excessively sensitive value is generated in some logs. Therefore, it is possible to avoid the problem that an appropriate distribution cannot be obtained. Specifically, the method using the probability distribution calculates the occurrence probability of the Poisson distribution or the normal distribution based on the occurrence frequency of the event, and uses the difficulty of the event as analysis data. Normalization of the data is necessary to calculate the probability of occurrence, but this data is very close to the graph imaged just by count / average, so normalized data in addition to the probability of occurrence is also used for analysis can do.

図4は発明の実施の形態1に係る装置のブロック図である。
10a,10bはファイアウォール(FW)3及び不正侵入検知装置(IDS)4からログを受信するデータソース受信部である。11a,11bは受信したログに含まれる複数のイベントに関するデータを取り出し、その変化量を求める変化量演算部である。なお、図1のシステムに、内部ネットワーク2に接続された機器を監視するためのプロトコルであるSNMP(Simple Network Management Protocol)に対応した機器を備える場合、SNMPに対応した機器(SNMPエージェント又はマネージャ)の全部又は一部からデバイス管理データを受信するデータソース受信部10cと、デバイス管理データに含まれる複数のイベントに関するデータを取り出し、その変化量を求める変化量演算部11cとを備えてもよい。12は複数のイベントに関する変化量を時系列のグラフに作成するグラフ生成部、13はグラフを表示する表示部である。
FIG. 4 is a block diagram of an apparatus according to Embodiment 1 of the invention.
Reference numerals 10a and 10b denote data source receivers that receive logs from the firewall (FW) 3 and the intrusion detection device (IDS) 4. Reference numerals 11a and 11b denote change amount calculation units that extract data relating to a plurality of events included in the received log and obtain the change amounts. When the system shown in FIG. 1 includes a device that supports SNMP (Simple Network Management Protocol), which is a protocol for monitoring a device connected to the internal network 2, a device that supports SNMP (SNMP agent or manager). May include a data source receiving unit 10c that receives device management data from all or a part thereof, and a change amount calculation unit 11c that extracts data related to a plurality of events included in the device management data and obtains the amount of change. Reference numeral 12 denotes a graph generation unit that creates changes in a plurality of events in a time-series graph, and reference numeral 13 denotes a display unit that displays the graph.

グラフ生成部12は折れ線グラフ(図5、図6参照)のほかに、平面的な表示(一方の軸を時間軸とし、もう一方の軸をイベントの種類として平面的なグラフを表示し、前記変化量を濃淡又は色分けにより表現したもの。図7参照)を行うこともできる。この場合、並べ替え処理部12aは、変化量の大きさに応じて表示するイベントの種類の順番を並べ替える(図7では変化量の大きさの順に上から下へイベントが並べられている)。   In addition to the line graph (see FIGS. 5 and 6), the graph generation unit 12 displays a planar display (one axis is a time axis, the other axis is a type of event, and a planar graph is displayed. The amount of change expressed by shading or color coding (see FIG. 7) can also be performed. In this case, the rearrangement processing unit 12a rearranges the order of the types of events to be displayed according to the magnitude of the change amount (in FIG. 7, events are arranged from top to bottom in the order of the magnitude of the change amount). .

グラフ生成部12は、不正侵入と思われる異常がイベントに生じたとき、当該イベントの表示態様を変化させて報知する(色を変える、点滅する、太線などの強調表示を行うなど)表示態様設定部12bを備える。例えば、表示態様設定部12bは、イベントの変化量が予め定めた閾値を超えたかどうか判定し、変化量が予め定めた閾値を超えたときに、当該変化量のグラフの表示態様を変化させる。あるいは、表示態様設定部12bは、イベントに関して単位時間当たりの発生数を求め、イベントの単位時間当たりの発生数が予め定めた閾値を超えたかどうか判定し、イベントの単位時間当たりの発生数が予め定めた閾値を超えたときに、当該変化量のグラフの表示態様を変化させるようにしてもよい。   When an abnormality that seems to be an unauthorized intrusion occurs in an event, the graph generation unit 12 changes the display mode of the event and notifies it (changes the color, blinks, highlights a bold line, etc.), and sets the display mode A portion 12b is provided. For example, the display mode setting unit 12b determines whether the change amount of the event exceeds a predetermined threshold value, and changes the display mode of the graph of the change amount when the change amount exceeds the predetermined threshold value. Alternatively, the display mode setting unit 12b obtains the number of occurrences per unit time for the event, determines whether the number of occurrences per unit time exceeds a predetermined threshold, and the number of occurrences per unit time of the event is determined in advance. You may make it change the display mode of the graph of the said variation | change_quantity when it exceeds the defined threshold value.

次に発明の実施の形態1に係る装置/方法により得られるグラフについて例を参照して説明を加える。   Next, the graph obtained by the apparatus / method according to Embodiment 1 of the invention will be described with reference to an example.

図5の上段は検出数を単純に折れ線グラフで表現したものであり、同図の下段は本発明の実施の形態1による偏差を折れ線グラフで表現したものである。   The upper part of FIG. 5 simply represents the number of detections with a line graph, and the lower part of FIG. 5 represents the deviation according to the first embodiment of the present invention with a line graph.

10/06 10:15近辺のデータ
検出数のグラフ:イベントのひとつWin_Rpc_TCP(図5の符号a)と他のイベントの関連がわからない。
偏差のグラフ:Win_Rpc_TCP以外にも、他に複数のイベントに変化が起きていることを容易に判断できる。Win_Rpc_TCP以外に、少なくとも4つのイベント(WEB_MISC_HTTP、SMB_malformed、Port_445_TCP、SSH_Deattack_IO、HTTP_Field_With_Binary)に変化が起きていることがわかる。
Graph of the number of data detections near 10/06 10:15: I do not know the relationship between one of the events Win_Rpc_TCP (symbol a in FIG. 5) and other events.
Deviation graph: In addition to Win_Rpc_TCP, it can be easily determined that other events are changing. In addition to Win_Rpc_TCP, at least four events (WEB_MISC_HTTP, SMB_malformed, Port_445_TCP, SSH_Deattack_IO, HTTP_Field_With_Binary) have changed.

10/06 10:50−13:00のデータ
検出数のグラフ:Win_Rpc_TCPの影響で他のイベントの変化をつかめない。
偏差のグラフ:この時間帯にも大きな変化があったイベントが存在することが容易に判断できる。例えば、BugBear-B(図5の符号d)、HTTP_cookieOverflow(同符号e)、HTTP_Field_With_Binary(同符号f)、HTTP_GET_DotDot_Data(同符号g)、HTTP_IIS_Double_Eval_Evation(同符号h)である。
Graph of the number of data detections of 10/06 10: 50-13: 00: Changes in other events cannot be grasped due to the influence of Win_Rpc_TCP.
Deviation graph: It can be easily determined that there is an event that has changed significantly during this time period. For example, BugBear-B (symbol d in FIG. 5), HTTP_cookieOverflow (same sign e), HTTP_Field_With_Binary (same sign f), HTTP_GET_DotDot_Data (same sign g), and HTTP_IIS_Double_Eval_Evation (same sign h).

10/06 13:35近辺のデータ
検出数のグラフ:Win_Rpc_TCP(同符号a)の方が、SMB_malformed(同符号b)よりも大きく変化しているように見える。
偏差のグラフ:変化量の点では、SMB_malformed(同符号b)の方が、Win_Rpc_TCP(同符号a)よりも大きく変化していることがわかる。つまり、アタックの可能性が高いことが判断できる。
Graph of the number of detected data near 10/06 13:35: Win_Rpc_TCP (same sign a) seems to change more greatly than SMB_malformed (same sign b).
Deviation graph: In terms of the amount of change, it can be seen that SMB_malformed (same sign b) changes more greatly than Win_Rpc_TCP (same sign a). That is, it can be determined that the possibility of attack is high.

図5によれば、偏差を用いることによりさまざまなイベントの動きを一目で把握できることがわかる。   According to FIG. 5, it can be understood that the movement of various events can be grasped at a glance by using the deviation.

図6も同様である。
10/06 10:15近辺のデータ
検出数のグラフ:Win_Rpc_TCP(図6の符号a)の増加以外は検知が難しい。
偏差のグラフ:Win_Rpc_TCP以外に、下記のイベントの増加を見ることができる。
・WEB-MISC HTTP OPTIONS
・SSH_Deattack_IO
・DNS_Spoof_Failed
・TCP_Port_Scan
・SQL_SSRP_Slammer_Worm
・445/TCP
この分析はNachiのアクセスパターン(135/TCP、WebDavへのアクセス)を示唆しているものと思われる。
The same applies to FIG.
Graph of the number of detected data near 10/06 10:15: Difficult to detect except increase in Win_Rpc_TCP (symbol a in FIG. 6).
Deviation graph: In addition to Win_Rpc_TCP, you can see the following increase in events:
・ WEB-MISC HTTP OPTIONS
・ SSH_Deattack_IO
・ DNS_Spoof_Failed
・ TCP_Port_Scan
・ SQL_SSRP_Slammer_Worm
・ 445 / TCP
This analysis seems to suggest Nachi's access pattern (135 / TCP, access to WebDav).

図6でも、偏差を用いることによりさまざまなイベントの動きを一目で把握できることがわかる。   FIG. 6 also shows that the movement of various events can be grasped at a glance by using the deviation.

図5や図6の折れ線グラフでは、低い値の項目の変化を捉えることができない。図7に示すような平面表示を行えば、低い値の項目の変化を捉えることができるようになる。図7の横軸は時間軸(図5や図6と同じ)、縦軸はイベントである。あるイベントの変化量は図7の平面上に濃淡又は色彩で表現される(図7は模式図のため濃淡又は色彩の表現を省略している)。例えば、変化量がゼロのときは白色、変化量の増加に伴い、水色などの寒色から赤色などの暖色に変化させる。最大のレベルを赤色とする。   In the line graphs of FIG. 5 and FIG. 6, it is impossible to capture changes in low value items. If a flat display as shown in FIG. 7 is performed, a change in a low value item can be captured. The horizontal axis in FIG. 7 is the time axis (same as in FIGS. 5 and 6), and the vertical axis is the event. The amount of change of an event is expressed in shades or colors on the plane of FIG. 7 (FIG. 7 is a schematic diagram and the representation of shades or colors is omitted). For example, when the amount of change is zero, the color is changed to white, and from a cold color such as light blue to a warm color such as red as the amount of change increases. The maximum level is red.

縦軸上のイベントの位置を固定するのではなく、そのレベルによって並べ替えるようにするとよい。例えば、レベルの高い順番に上から並べるようにすると、どのようなイベントの変化量が大きいか一目でわかり、システムの状況を把握しやすくなる。   Instead of fixing the position of the event on the vertical axis, it is better to sort by the level. For example, if the events are arranged in order from the highest level, it is easy to understand what the amount of event change is large and to grasp the system status.

発明の実施の形態2.
ファイアウォール、不正侵入検知装置(IDS)及び前記SNMPに対応した機器のうちで少なくとも2つ(3つ全部でもよい)からデータを受け、これらに含まれるイベントの変化量を求め、さらに、イベント間の相関を求め、相関演算結果を予め定められた閾値と比較することにより、不正アクセス等の有無を判定するようにしてもよい。どのイベント間で相関を求めるかによって、検出する不正アクセスの種類が決まってくる。
Embodiment 2 of the Invention
Receive data from at least two (or all three) devices among firewalls, intrusion detection devices (IDS) and SNMP devices, determine the amount of event change included in these, and The presence / absence of unauthorized access may be determined by obtaining the correlation and comparing the correlation calculation result with a predetermined threshold value. The type of unauthorized access to be detected is determined depending on which event is to be correlated.

図1に例示するシステムにおいて不正侵入の有無を判定する方法について、図8のフローチャートを参照して説明を加える。   A method for determining the presence or absence of unauthorized intrusion in the system illustrated in FIG. 1 will be described with reference to the flowchart of FIG.

S20:ファイアウォール(FW)3及び不正侵入検知装置(IDS)4からログを受信する。
S21:図1のシステムに、内部ネットワーク2に接続された機器を監視するためのプロトコルであるSNMP(Simple Network Management Protocol)に対応した機器を備える場合、SNMPに対応した機器(SNMPエージェント又はマネージャ)の全部又は一部からデバイス管理データを受信する。
S22:S20やS21で受信したログ、デバイス管理データに含まれる複数のイベントに関するデータを取り出す。
S23:S22で取り出したデータについてその変化量を求める。
S24:S23で求めた複数のイベントに関する変化量に基づいて、予め定められた複数のイベント間の相関を求める。例えば、あるイベント(第1データソース)の変化量と他のイベント(第2データソース)の変化量を時系列に並べ、公知の相関を求める式に基づき相関を求める。なお、データソースは少なくとも2つあればよく、3つ以上であっても相関を求めることができる。
S25:S24で求めた相関のグラフを表示する。
S26:予め定められた閾値と、S24で求めた相関のグラフを比較し、閾値を超える場合に不正侵入があったと判定し、その旨を表示装置等により報知する。
S20: Receive logs from the firewall (FW) 3 and the intrusion detection device (IDS) 4.
S21: When the system shown in FIG. 1 includes a device compatible with SNMP (Simple Network Management Protocol), which is a protocol for monitoring a device connected to the internal network 2, a device compatible with SNMP (SNMP agent or manager) Device management data is received from all or part of the device management data.
S22: Data related to a plurality of events included in the log and device management data received in S20 and S21 are extracted.
S23: A change amount of the data extracted in S22 is obtained.
S24: A correlation between a plurality of predetermined events is obtained based on the change amounts relating to the plurality of events obtained in S23. For example, a change amount of a certain event (first data source) and a change amount of another event (second data source) are arranged in time series, and the correlation is obtained based on a formula for obtaining a known correlation. Note that it is sufficient that there are at least two data sources, and the correlation can be obtained even when there are three or more data sources.
S25: The correlation graph obtained in S24 is displayed.
S26: The threshold value determined in advance is compared with the correlation graph obtained in S24. If the threshold value is exceeded, it is determined that an unauthorized intrusion has occurred, and this is notified by a display device or the like.

図9は発明の実施の形態2に係る装置のブロック図である。図9において、図4と同一又は相当部分は同一符号を付し、これらについての説明は省略する。   FIG. 9 is a block diagram of an apparatus according to Embodiment 2 of the invention. In FIG. 9, the same or corresponding parts as those in FIG.

図9において、14はあるイベント(第1データソース)の変化量と他のイベント(第2データソース)の変化量を時系列に並べ、公知の相関を求める式に基づき相関を求める相関演算部である。相関演算部14は、求めた相関値を予め定められた閾値と比較し、閾値を超える場合に不正侵入があったと判定する不正侵入判定部14aを含む。   In FIG. 9, reference numeral 14 denotes a correlation calculation unit that arranges a change amount of a certain event (first data source) and a change amount of another event (second data source) in time series, and obtains a correlation based on a formula for obtaining a known correlation. It is. The correlation calculation unit 14 includes an unauthorized intrusion determination unit 14a that compares the obtained correlation value with a predetermined threshold value and determines that an unauthorized intrusion has occurred when the threshold value is exceeded.

相関演算部14は、不正侵入判定部14aにより不正侵入と思われる異常がイベントに生じたと判定したとき、当該イベントの表示態様を変化させて報知する(色を変える、点滅する、太線などの強調表示を行うなど)。相関演算部14は、イベントに関して単位時間当たりの発生数を求め、イベントの単位時間当たりの発生数が予め定めた閾値を超えたかどうか判定し、イベントの単位時間当たりの発生数が予め定めた閾値を超えたときに、当該変化量のグラフの表示態様を変化させるようにしてもよい。   When it is determined by the unauthorized intrusion determination unit 14a that an abnormality that seems to be an unauthorized intrusion has occurred in the event, the correlation calculation unit 14 changes the display mode of the event and notifies it (changes the color, blinks, emphasizes bold lines, etc. Display). The correlation calculation unit 14 obtains the number of occurrences per unit time for the event, determines whether or not the number of occurrences of the event per unit time exceeds a predetermined threshold, and the number of occurrences of the event per unit time is a predetermined threshold. The display mode of the graph of the change amount may be changed when the value exceeds.

発明の実施の形態2によれば不正侵入の自動判定が可能になる。その例をいくつか列挙する。   According to the second embodiment of the present invention, it is possible to automatically determine unauthorized intrusion. Some examples are listed.

(1)図5の10/06 13:35近辺のデータについて説明したように、偏差のグラフにおいて、SMB_malformed(符号b)の方が、Win_Rpc_TCP(符号a)よりも大きく変化していて、アタックの可能性が高いことが判断できる。そこで、SMB_malformed(符号b)の変化量とWin_Rpc_TCP(符号a)の変化量の相関を求め、これが所定の閾値を超えたとき、アタックと判定することができる。 (1) As described for the data near 10/06 13:35 in FIG. 5, in the deviation graph, SMB_malformed (symbol b) changes more greatly than Win_Rpc_TCP (symbol a), and the attack It can be judged that the possibility is high. Therefore, a correlation between the amount of change in SMB_malformed (symbol b) and the amount of change in Win_Rpc_TCP (symbol a) is obtained, and when this exceeds a predetermined threshold, it can be determined as an attack.

(2)図6の10/06 10:15近辺のデータについて説明したように、下記の変化量の相関を求め、これが所定の閾値を超えたとき、Nachiのアクセスパターン(135/TCP、WebDavへのアクセス)と判定することができる。
・Win_Rpc_TCP
・WEB-MISC HTTP OPTIONS
・SSH_Deattack_IO
・DNS_Spoof_Failed
・TCP_Port_Scan
・SQL_SSRP_Slammer_Worm
・445/TCP
(2) As explained for the data near 10/06 10:15 in FIG. 6, the correlation between the following changes is obtained, and when this exceeds a predetermined threshold, Nachi's access pattern (to 135 / TCP, WebDav) Access).
・ Win_Rpc_TCP
・ WEB-MISC HTTP OPTIONS
・ SSH_Deattack_IO
・ DNS_Spoof_Failed
・ TCP_Port_Scan
・ SQL_SSRP_Slammer_Worm
・ 445 / TCP

(3)DNSサーバに問題(CPU利用率の増加など)が生じたときに、その原因を解析し特定し、攻撃パケットであればこれを切断するために、例えば次のようにする。
Zone_Transferの変化量とCPU利用率の変化量の相関を求め、これが所定の閾値を超えたとき、Zone_TransferがCPU利用率に影響を与えていると判断する。設定を見直すように、その旨の警報を発生する。
(3) When a problem (such as an increase in CPU utilization) occurs in the DNS server, the cause is analyzed and identified, and if it is an attack packet, for example, the following is performed.
The correlation between the change amount of the Zone_Transfer and the change amount of the CPU usage rate is obtained, and when this exceeds a predetermined threshold, it is determined that Zone_Transfer has an influence on the CPU usage rate. An alarm to that effect is generated so that the setting is reviewed.

一般的に、相関を求める際に2つのデータソースに関して演算を行うが、本発明はこれに限定されない(例えば3とか10とかの相関分析も可能)。3つ以上のデータソースに関して相関を求めるようにしてもよい。3つ以上のデータソースを同時に演算してもよいし、3つ以上のデータソースを各2つの組みにしてそれぞれについて相関を求め、これらの結果を何らかの評価関数に従い総合的に判定するようにしてもよい。   In general, operations are performed on two data sources when obtaining a correlation, but the present invention is not limited to this (for example, a correlation analysis of 3 or 10 is also possible). Correlation may be determined for more than two data sources. Three or more data sources may be operated at the same time, or three or more data sources are each set in two sets to obtain a correlation between them, and these results are comprehensively determined according to some evaluation function. Also good.

例えば、ファイアウォール、不正侵入検知装置及びSNMPなどに対応した複数の機器から3つ以上のデータを受け、受けたデータそれぞれについて変化量を求め、受けたデータそれぞれについての変化量を時系列に並べ、これら全体について相関を求めるようにしてもよい(例えば多変量の関数を用いる)。   For example, receiving three or more data from a plurality of devices corresponding to firewalls, unauthorized intrusion detection devices, SNMP, etc., obtaining the amount of change for each received data, arranging the amount of change for each received data in time series, A correlation may be obtained for all of them (for example, a multivariate function is used).

例えば、ファイアウォール、不正侵入検知装置及び前記SNMPなどに対応した機器から3つのデータ(4つ以上であってもよい)を受け、それぞれ第1データソース、第2データソース及び第3データソースとしたとき、これら3つについてそれぞれ変化量を求め、これら3つの変化量を時系列に並べ、第1データソース及び第2データソースの相関、第2データソース及び第3データソースの相関、第1データソース及び第3データソースの相関をそれぞれ求め、これら3つの相関結果を何らかの評価関数により統合し(例えば単純に加算したり、重みを加えて加算する)、これに従い総合的に判定するようにしてもよい。4つ以上の場合も同様である。   For example, three data (may be four or more) are received from a firewall, an intrusion detection device, and a device corresponding to the SNMP, and the first data source, the second data source, and the third data source are received. When these three variations are obtained, the three variations are arranged in time series, the correlation between the first data source and the second data source, the correlation between the second data source and the third data source, and the first data. The correlation between the source and the third data source is obtained, and these three correlation results are integrated by some evaluation function (for example, simply added or added with weights), and comprehensively determined according to this. Also good. The same applies to the case of four or more.

なお、1データソース内において相関分析を適用してもよい。例えば次のような場合である。
(1)ファイアウォールのログの中で、WEBのアクセスと、メールのアクセスの相関を取る
(2)不正侵入検知装置のログの中で、DDoSと、ポートスキャンの相関を取る
(3)SNMPに対応した機器で、CPUとトラフィックの相関を取る
本発明は上記例を含む1データソース内の相関分析にも適用されるものである。
Note that correlation analysis may be applied within one data source. For example, this is the case.
(1) Correlate web access and email access in firewall log (2) Correlate DDoS and port scan in intrusion detection device log (3) Support SNMP The present invention is also applicable to correlation analysis within one data source including the above example.

本発明は、以上の実施の形態に限定されることなく、特許請求の範囲に記載された発明の範囲内で、種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることは言うまでもない。   The present invention is not limited to the above embodiments, and various modifications can be made within the scope of the invention described in the claims, and these are also included in the scope of the present invention. Needless to say.

また、本明細書において、部とは必ずしも物理的手段を意味するものではなく、各部の機能が、ソフトウェアによって実現される場合も包含する。さらに、一つの部の機能が、二つ以上の物理的手段により実現されても、若しくは、二つ以上の部の機能が、一つの物理的手段により実現されてもよい。   Further, in the present specification, the term “unit” does not necessarily mean a physical means, but includes a case where the function of each unit is realized by software. Furthermore, the function of one part may be realized by two or more physical means, or the function of two or more parts may be realized by one physical means.

発明の実施の形態が適用されるシステムの一例を示す図である。It is a figure which shows an example of the system with which embodiment of invention is applied. 発明の実施の形態1に係る処理フローチャートである。It is a process flowchart which concerns on Embodiment 1 of invention. 発明の実施の形態1に係る変化量演算処理フローチャートである。It is a variation | change_quantity calculation process flowchart which concerns on Embodiment 1 of invention. 発明の実施の形態1に係る装置のブロック図である。It is a block diagram of the apparatus which concerns on Embodiment 1 of invention. 発明の実施の形態1に係る装置/方法によるグラフの一例である(上段は検出数をそのまま表示したグラフ、下段は偏差を表示したグラフである)。It is an example of the graph by the apparatus / method which concerns on Embodiment 1 of invention (the upper stage is a graph which displayed the number of detections as it is, and the lower stage is a graph which displayed deviation). 発明の実施の形態1に係る装置/方法によるグラフの他の例である(上段は検出数をそのまま表示したグラフ、下段は偏差を表示したグラフである)。It is another example of the graph by the apparatus / method which concerns on Embodiment 1 of invention (the upper stage is a graph which displayed the number of detections as it is, and the lower stage is a graph which displayed deviation). 発明の実施の形態1に係る装置/方法による平面表示のグラフの例である。It is an example of the graph of the plane display by the apparatus / method which concerns on Embodiment 1 of invention. 発明の実施の形態2に係る処理フローチャートである。It is a process flowchart which concerns on Embodiment 2 of invention. 発明の実施の形態2に係る装置のブロック図である。It is a block diagram of the apparatus which concerns on Embodiment 2 of invention.

符号の説明Explanation of symbols

1 インターネット(外部ネットワーク)
2 内部ネットワーク
3 ファイアウォール(FW)
4 不正侵入検知装置(IDS)
10 データソース受信部
11 変化量演算部
12 グラフ生成部
12a 並べ替え処理部
12b 表示態様設定部
13 表示部
14 相関演算部
14a 不正侵入判定部
1 Internet (external network)
2 Internal network 3 Firewall (FW)
4 Intrusion Detection Device (IDS)
DESCRIPTION OF SYMBOLS 10 Data source receiving part 11 Change amount calculating part 12 Graph production | generation part 12a Rearrangement process part 12b Display mode setting part 13 Display part 14 Correlation calculating part 14a Unjust intrusion determination part

Claims (9)

インターネットなどの外部ネットワークと、ローカルエリアネットワーク(LAN)などの内部ネットワークと、前記外部ネットワークと前記内部ネットワークとの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールコンピュータと、前記内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System)と、前記内部ネットワークに接続された機器を監視するためのプロトコルであるSNMP(Simple Network Management Protocol)などに対応した機器とを備えるシステムにおいて不正侵入を監視するための方法であって、
前記ファイアウォールコンピュータ及び前記不正侵入検知装置からそれぞれログと、前記SNMPに対応した機器の全部又は一部からデバイス管理データとを受信するデータソース受信ステップと、
前記ログに含まれる複数のイベントに関するデータについて第1の変化量、及び前記デバイス管理データに含まれる複数のイベントに関するデータについて第2の変化量を求める変化量演算ステップであって、
前記ログに含まれるイベントは、前記ファイアウォールコンピュータからのポートアクセスに関するログに含まれるイベントであり、及び、前記不正侵入検知装置からのセキュリティ状況に関するログに含まれるイベントであり、
前記デバイス管理データに含まれるイベントは、前記SNMPに対応した機器からのネットワークの状態に関するログに含まれるイベントであり、
前記第1の変化量は、不正侵入のない状態を示す通常値と前記ログに含まれるイベントついての値との偏差、又は、前記ログに含まれるイベントの発生頻度を、理論的又は統計的に求められたイベントの発生確率の分布に当てはめて求めたイベントの発生しにくさである、前記変化量演算ステップと、
前記第1の変化量を、前記第2の変化量とともに時間軸を共通とする時系列のグラフとして表示する表示ステップと
を含む、コンピュータネットワークの運用監視方法。
An external network such as the Internet, an internal network such as a local area network (LAN), and a firewall provided between the external network and the internal network to control data relay between the networks based on a predetermined rule An SNMP (Simple Network) which is a protocol for monitoring a computer, an intrusion detection system (Intrusion Detection System) that detects unauthorized access by monitoring data flowing through the internal network, and a device connected to the internal network A method for monitoring unauthorized intrusion in a system including a device compatible with Management Protocol) ,
A data source receiving step for receiving logs from the firewall computer and the unauthorized intrusion detection device, and device management data from all or part of the devices corresponding to the SNMP ;
A change amount calculating step for obtaining a first change amount for data related to a plurality of events included in the log and a second change amount for data related to the plurality of events included in the device management data ,
The event included in the log is an event included in a log related to port access from the firewall computer, and an event included in a log related to security status from the intrusion detection device,
The event included in the device management data is an event included in a log related to a network state from a device corresponding to the SNMP,
The first change amount is a deviation between a normal value indicating an intrusion-free state and a value for an event included in the log, or an occurrence frequency of the event included in the log theoretically or statistically. The change amount calculating step, which is the difficulty of occurrence of an event determined by applying the distribution of the occurrence probability of the obtained event,
A display step of displaying the first change amount as a time-series graph having a time axis in common with the second change amount .
前記表示ステップは、
一方の軸を時間軸とし、他方の軸をイベントの種類として平面的なグラフを表示し、前記変化量を濃淡又は色分けにより表現するステップと、
前記変化量の大きさに応じて表示するイベントの種類の順番を並べ替えるステップと
を含む、請求項1記載の方法。
The display step includes
Displaying a planar graph with one axis as a time axis and the other axis as a type of event, and expressing the amount of change by shading or color coding;
Rearranging the order of the types of events to be displayed according to the magnitude of the change amount.
前記表示ステップは、
前記変化量が予め定めた閾値を超えたかどうか判定するステップと、
前記変化量が予め定めた閾値を超えたときに、当該変化量のグラフの表示態様を変化させるステップと
を含む、請求項1記載の方法。
The display step includes
Determining whether the amount of change exceeds a predetermined threshold;
The method according to claim 1, further comprising: changing a display form of a graph of the change amount when the change amount exceeds a predetermined threshold value.
前記表示ステップは、
前記イベントに関して単位時間当たりの発生数を求めるステップと、
前記イベントの単位時間当たりの発生数が予め定めた閾値を超えたかどうか判定するステップと、
前記イベントの単位時間当たりの発生数が予め定めた閾値を超えたときに、当該変化量のグラフの表示態様を変化させるステップと
を含む、請求項1記載の方法。
The display step includes
Determining the number of occurrences per unit time for the event;
Determining whether the number of occurrences of the event per unit time exceeds a predetermined threshold;
The method according to claim 1, further comprising: changing a display mode of the graph of the amount of change when the number of occurrences of the event per unit time exceeds a predetermined threshold.
インターネットなどの外部ネットワークと、ローカルエリアネットワーク(LAN)などの内部ネットワークと、前記外部ネットワークと前記内部ネットワークとの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールコンピュータと、前記内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System)と、前記内部ネットワークに接続された機器を監視するためのプロトコルであるSNMP(Simple Network Management Protocol)などに対応した機器とを備えるシステムにおいて不正侵入を監視するための方法であって、
前記ファイアウォールコンピュータと、前記不正侵入検知装置及び前記SNMPなどに対応した機器のうちの1つとからデータを受け取り、該ファイアウォールコンピュータから受け取った第1データソース、及び該不正侵入検知装置及び該SNMPなどに対応した機器のうちのいずれかから受け取った第2データソース、前記第2データソース元でない、前記不正侵入検知装置及び前記SNMPなどに対応した機器のうちのいずれかから受けた第3データソースを受信するデータソース受信ステップであって、
前記第1データソースが、前記ファイアウォールコンピュータからのポートアクセスに関するログに含まれるイベントであり、
前記第2データソース及び前記第3データソースが、前記不正侵入検知装置からのセキュリティ状況に関するログに含まれるイベント、又は、前記SNMPに対応した機器からのネットワークの状態に関するログに含まれるイベントである、
前記データソース受信ステップと、
前記第1データソースの変化量を求める第1変化量演算ステップであって、前記変化量は、不正侵入のない状態を示す通常値と前記ログに含まれるイベントついての値との偏差、又は、前記ログに含まれるイベントの発生頻度を、理論的又は統計的に求められたイベントの発生確率の分布に当てはめて求めたイベントの発生しにくさである、前記第1変化量演算ステップと、
前記第2データソースの変化量を求める第2変化量演算ステップであって、該第2変化量は、不正侵入のない状態を示す通常値と前記ログに含まれるイベントついての値との偏差、又は、前記ログに含まれるイベントの発生頻度を、理論的又は統計的に求められたイベントの発生確率の分布に当てはめて求めたイベントの発生しにくさである、前記第2変化量演算ステップと、
前記第3データソースの変化量を求める第3変化量演算ステップであって、該第3変化量は、不正侵入のない状態を示す通常値と前記ログに含まれるイベントついての値との偏差、又は、前記ログに含まれるイベントの発生頻度を、理論的又は統計的に求められたイベントの発生確率の分布に当てはめて求めたイベントの発生しにくさである、前記第3変化量演算ステップと、
前記第1データソースの変化量前記第2データソースの変化量及び前記第3データソースの変化量を時系列に並べ、前記第1データソースの変化量又は前記第2データソースの変化量と、前記第3データソースの変化量との相関を求める相関演算ステップと、
前記相関演算ステップによる演算結果を出力する出力ステップと
を含む、コンピュータネットワークの運用監視方法。
An external network such as the Internet, an internal network such as a local area network (LAN), and a firewall provided between the external network and the internal network to control data relay between the networks based on a predetermined rule An SNMP (Simple Network) which is a protocol for monitoring a computer, an intrusion detection system (Intrusion Detection System) that detects unauthorized access by monitoring data flowing through the internal network, and a device connected to the internal network A method for monitoring unauthorized intrusion in a system including a device compatible with Management Protocol),
Data is received from the firewall computer and one of devices corresponding to the unauthorized intrusion detection device and the SNMP, and the first data source received from the firewall computer, the unauthorized intrusion detection device and the SNMP A second data source received from any one of the corresponding devices, a third data source received from any one of the devices corresponding to the unauthorized intrusion detection device, the SNMP, or the like that is not the source of the second data source A data source receiving step for receiving,
The first data source is an event included in a log relating to port access from the firewall computer;
The second data source and the third data source are events included in a log related to a security status from the unauthorized intrusion detection apparatus or events related to a network status from a device corresponding to the SNMP. ,
Receiving the data source;
A first change amount calculating step for obtaining a change amount of the first data source, wherein the change amount is a deviation between a normal value indicating a state without unauthorized intrusion and a value of an event included in the log; or The first change amount calculation step, which is the difficulty of occurrence of an event obtained by applying the occurrence frequency of the event included in the log to the distribution of the occurrence probability of the event theoretically or statistically obtained,
A second change amount calculation step for obtaining a change amount of the second data source, wherein the second change amount is a deviation between a normal value indicating a state without unauthorized intrusion and a value for an event included in the log; Or the second change amount calculating step, wherein the event occurrence frequency obtained by applying the occurrence frequency of the event included in the log to the distribution of the occurrence probability of the event theoretically or statistically obtained is difficult ,
A third change amount calculating step for obtaining a change amount of the third data source, wherein the third change amount is a deviation between a normal value indicating a state where there is no unauthorized intrusion and a value regarding an event included in the log; Or the third change amount calculating step, wherein the occurrence frequency of the event included in the log is the difficulty of occurrence of the event obtained by applying the occurrence frequency of the event theoretically or statistically obtained to the distribution. ,
The change amount of the first data source, the change amount of the second data source, and the change amount of the third data source are arranged in time series, and the change amount of the first data source or the change amount of the second data source A correlation calculating step for obtaining a correlation with the change amount of the third data source ;
An operation monitoring method for a computer network, comprising: an output step of outputting a calculation result of the correlation calculation step.
前記相関演算ステップによる演算結果を予め定められた閾値と比較することにより、不正侵入の有無を判定する判定ステップ
をさらに含む、請求項記載の方法。
The method according to claim 5 , further comprising: a determination step of determining the presence or absence of unauthorized intrusion by comparing a calculation result of the correlation calculation step with a predetermined threshold value.
インターネットなどの外部ネットワークと、ローカルエリアネットワーク(LAN)などの内部ネットワークと、前記外部ネットワークと前記内部ネットワークとの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールコンピュータと、前記内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System)と、前記内部ネットワークに接続された機器を監視するためのプロトコルであるSNMP(Simple Network Management Protocol)などに対応した機器とを備えるシステムにおいて不正侵入を監視するための装置であって、
前記ファイアウォールコンピュータ及び前記不正侵入検知装置からそれぞれログと、前記SNMPに対応した機器の全部又は一部からデバイス管理データとを受信するデータソース受信部と、
前記ログに含まれる複数のイベントに関するデータについて第1の変化量、及び前記デバイス管理データに含まれる複数のイベントに関するデータについて第2の変化量を求める変化量演算部であって、
前記ログに含まれるイベントは、前記ファイアウォールコンピュータからのポートアクセスに関するログに含まれるイベントであり、及び、前記不正侵入検知装置からのセキュリティ状況に関するログに含まれるイベントであり、
前記デバイス管理データに含まれるイベントは、前記SNMPに対応した機器からのネットワークの状態に関するログに含まれるイベントであり、
前記第1の変化量は、不正侵入のない状態を示す通常値と前記ログに含まれるイベントついての値との偏差、又は、前記ログに含まれるイベントの発生頻度を、理論的又は統計的に求められたイベントの発生確率の分布に当てはめて求めたイベントの発生しにくさである、前記変化量演算部と、
前記第1の変化量を、前記第2の変化量とともに時間軸を共通とする時系列のグラフとして表示する表示部と
を含む、コンピュータネットワークの運用監視装置。
An external network such as the Internet, an internal network such as a local area network (LAN), and a firewall provided between the external network and the internal network to control data relay between the networks based on a predetermined rule An SNMP (Simple Network) which is a protocol for monitoring a computer, an intrusion detection system (Intrusion Detection System) that detects unauthorized access by monitoring data flowing through the internal network, and a device connected to the internal network A device for monitoring unauthorized intrusions in a system equipped with a device compatible with Management Protocol) ,
A data source receiving unit that receives logs from the firewall computer and the unauthorized intrusion detection device, and device management data from all or a part of the devices corresponding to the SNMP ;
A change amount calculation unit that obtains a first change amount for data related to a plurality of events included in the log and a second change amount for data related to a plurality of events included in the device management data ;
The event included in the log is an event included in a log related to port access from the firewall computer, and an event included in a log related to security status from the intrusion detection device,
The event included in the device management data is an event included in a log related to a network state from a device corresponding to the SNMP,
The first change amount is a deviation between a normal value indicating an intrusion-free state and a value for an event included in the log, or an occurrence frequency of the event included in the log theoretically or statistically. The change amount calculation unit, which is the difficulty of occurrence of the event determined by applying to the distribution of the occurrence probability of the determined event,
An operation monitoring apparatus for a computer network, comprising: a display unit configured to display the first change amount as a time-series graph having a time axis in common with the second change amount .
インターネットなどの外部ネットワークと、ローカルエリアネットワーク(LAN)などの内部ネットワークと、前記外部ネットワークと前記内部ネットワークとの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールコンピュータと、前記内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System)と、前記内部ネットワークに接続された機器を監視するためのプロトコルであるSNMP(Simple Network Management Protocol)などに対応した機器とを備えるシステムにおいて不正侵入を監視するための装置であって、
前記ファイアウォールコンピュータと、前記不正侵入検知装置及び前記SNMPなどに対応した機器のうちの1つとからデータを受け取り、該ファイアウォールコンピュータから受け取った第1データソース、及び該不正侵入検知装置及び該SNMPなどに対応した機器のうちのいずれかから受け取った第2データソース、前記第2データソース元でない、前記不正侵入検知装置及び前記SNMPなどに対応した機器のうちのいずれかから受けた第3データソースを受信するデータソース受信部であって、
前記第1データソースが、前記ファイアウォールコンピュータからのポートアクセスに関するログに含まれるイベントであり、
前記第2データソース及び前記第3データソースが、前記不正侵入検知装置からのセキュリティ状況に関するログに含まれるイベント、又は、前記SNMPに対応した機器からのネットワークの状態に関するログに含まれるイベントである、
前記データソース受信部と、
前記第1〜第3データソースそれぞれ第1〜第3変化量を求める変化量演算部であって、前第1〜第3記変化量は、不正侵入のない状態を示す通常値と前記ログに含まれるイベントついての値との偏差、又は、前記ログに含まれるイベントの発生頻度を、理論的又は統計的に求められたイベントの発生確率の分布に当てはめて求めたイベントの発生しにくさである、前記変化量演算部と、
前記第1データソースの変化量前記第2データソースの変化量及び前記第3データソースの変化量を時系列に並べ、前記第1データソースの変化量又は前記第2データソースの変化量と、前記第3データソースの変化量との相関を求める相関演算部と、
前記相関演算部による演算結果を出力する出力部と
を含む、コンピュータネットワークの運用監視装置。
An external network such as the Internet, an internal network such as a local area network (LAN), and a firewall provided between the external network and the internal network to control data relay between the networks based on a predetermined rule An SNMP (Simple Network) which is a protocol for monitoring a computer, an intrusion detection system (Intrusion Detection System) that detects unauthorized access by monitoring data flowing through the internal network, and a device connected to the internal network A device for monitoring unauthorized intrusions in a system equipped with a device compatible with Management Protocol) ,
Data is received from the firewall computer and one of devices corresponding to the unauthorized intrusion detection device and the SNMP, and the first data source received from the firewall computer, the unauthorized intrusion detection device and the SNMP A second data source received from any one of the corresponding devices, a third data source received from any one of the devices corresponding to the unauthorized intrusion detection device, the SNMP, or the like that is not the source of the second data source A data source receiver for receiving,
The first data source is an event included in a log relating to port access from the firewall computer;
The second data source and the third data source are events included in a log related to a security status from the unauthorized intrusion detection apparatus or events related to a network status from a device corresponding to the SNMP. ,
The data source receiver;
It is a change amount calculation part which calculates | requires the 1st-3rd change amount of each of the said 1st-3rd data source, Comprising: The previous 1st-3rd change amount is a normal value which shows a state without unauthorized intrusion, and the said log It is difficult to generate an event obtained by applying the deviation from the value of the event included in the event or the occurrence frequency of the event included in the log to the distribution of the event occurrence probability obtained theoretically or statistically. , said change amount calculating unit is,
The change amount of the first data source, the change amount of the second data source, and the change amount of the third data source are arranged in time series, and the change amount of the first data source or the change amount of the second data source A correlation calculation unit for obtaining a correlation with the change amount of the third data source ;
An operation monitoring apparatus for a computer network, comprising: an output unit that outputs a calculation result by the correlation calculation unit.
コンピュータに請求項1〜のいずれか1項に記載の方法の各ステップを実行させる、コンピュータ・プログラム。 To execute the steps of the method according to any one of claims 1 to 6 computer, the computer program.
JP2004194946A 2004-06-30 2004-06-30 Computer network operation monitoring method, apparatus, and program Expired - Fee Related JP4328679B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004194946A JP4328679B2 (en) 2004-06-30 2004-06-30 Computer network operation monitoring method, apparatus, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004194946A JP4328679B2 (en) 2004-06-30 2004-06-30 Computer network operation monitoring method, apparatus, and program

Publications (2)

Publication Number Publication Date
JP2006018527A JP2006018527A (en) 2006-01-19
JP4328679B2 true JP4328679B2 (en) 2009-09-09

Family

ID=35792749

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004194946A Expired - Fee Related JP4328679B2 (en) 2004-06-30 2004-06-30 Computer network operation monitoring method, apparatus, and program

Country Status (1)

Country Link
JP (1) JP4328679B2 (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008083751A (en) * 2006-09-25 2008-04-10 Hitachi Information Systems Ltd Unauthorized access network system
JPWO2008084729A1 (en) * 2006-12-28 2010-04-30 日本電気株式会社 Application chain virus and DNS attack source detection device, method and program thereof
JP5025433B2 (en) * 2007-11-27 2012-09-12 株式会社東芝 Security degradation prevention support device and security degradation prevention support program
JP5066544B2 (en) * 2009-03-31 2012-11-07 株式会社富士通ソーシアルサイエンスラボラトリ Incident monitoring device, method, and program
WO2013042272A1 (en) * 2011-09-20 2013-03-28 Akai Koji Computer system
JP5948358B2 (en) * 2014-02-13 2016-07-06 日本電信電話株式会社 Monitoring device information analysis apparatus, method and program
JP6734228B2 (en) * 2017-06-14 2020-08-05 日本電信電話株式会社 Abnormality detection device and abnormality detection method
JP7412069B2 (en) * 2017-10-18 2024-01-12 キヤノンメディカルシステムズ株式会社 Hospital information system and image data generation program
CN114020587A (en) * 2021-11-16 2022-02-08 杭州美创科技有限公司 Method and system for detecting transverse mobile attack of internal network of windows system

Also Published As

Publication number Publication date
JP2006018527A (en) 2006-01-19

Similar Documents

Publication Publication Date Title
JP5844938B2 (en) Network monitoring device, network monitoring method, and network monitoring program
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US6715084B2 (en) Firewall system and method via feedback from broad-scope monitoring for intrusion detection
KR102017810B1 (en) Preventive Instrusion Device and Method for Mobile Devices
JP4827972B2 (en) Network monitoring device, network monitoring method, and network monitoring program
US20030188190A1 (en) System and method of intrusion detection employing broad-scope monitoring
US20030188189A1 (en) Multi-level and multi-platform intrusion detection and response system
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
WO2014119669A1 (en) Log analysis device, information processing method and program
JP2005517349A (en) Network security system and method based on multi-method gateway
JP2006119754A (en) Network type virus activity detection program, processing method and system
KR20090087437A (en) Traffic detection method and apparatus
JP4328679B2 (en) Computer network operation monitoring method, apparatus, and program
CN118200016A (en) Asset monitoring method based on equipment fingerprint
CN101453363A (en) Network intrusion detection system
KR20140078329A (en) Method and apparatus for defensing local network attacks
Matoušek et al. Security monitoring of iot communication using flows
JP2005284523A (en) System, method and program for illegal intrusion detection
Allan Intrusion Detection Systems (IDSs): Perspective
JP7290168B2 (en) Management device, network monitoring system, determination method, communication method, and program
CN100424609C (en) Method and system for analyzing and processing alerts from a network intrusion detection system
JP2003218949A (en) Supervisory method for illegitimate use of network
CN113194087A (en) Safety risk high-intensity monitoring system for different information domains
Shah et al. Disclosing malicious traffic for Network Security
Kumar et al. Recent advances in intrusion detection systems: An analytical evaluation and comparative study

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060219

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20071105

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20071105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20071105

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081020

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20081205

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081205

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20081205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20081205

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090311

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090311

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090415

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090601

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090601

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20090601

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090615

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120619

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120619

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130619

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees