JP4363650B2 - Intrusion detection processing apparatus, intrusion detection processing method, and recording medium - Google Patents
Intrusion detection processing apparatus, intrusion detection processing method, and recording medium Download PDFInfo
- Publication number
- JP4363650B2 JP4363650B2 JP2004298022A JP2004298022A JP4363650B2 JP 4363650 B2 JP4363650 B2 JP 4363650B2 JP 2004298022 A JP2004298022 A JP 2004298022A JP 2004298022 A JP2004298022 A JP 2004298022A JP 4363650 B2 JP4363650 B2 JP 4363650B2
- Authority
- JP
- Japan
- Prior art keywords
- intrusion detection
- signature
- detection processing
- signature rule
- processing devices
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、外部ネットワークからの不正なアクセスを防止する処理に係り、特に侵入検知装置の連係動作機能を用いることによって、外部ネットワークからの不正なアクセスを防止する侵入検知処理装置、侵入検知処理方法および記録媒体に関する。
The present invention relates to processing for preventing unauthorized access from an external network, and in particular, an intrusion detection processing device and an intrusion detection processing method for preventing unauthorized access from an external network by using a linkage operation function of the intrusion detection device. And a recording medium.
図6は、従来の侵入検知装置500を示す機能ブロックと処理の方向とを示す図である。 FIG. 6 is a diagram showing functional blocks and a processing direction showing a conventional intrusion detection apparatus 500.
従来の侵入検知装置500において、パケットデコーダ51は、監視対象ネットワークと外部ネットワークとの通信パケットを一時的に保存し、データリンク層レベルでのパケット構成の解析とデコード処理とを行う。 In the conventional intrusion detection apparatus 500, the packet decoder 51 temporarily stores communication packets between the monitoring target network and the external network, and performs packet structure analysis and decoding processing at the data link layer level.
プリプロセッサ52は、検知エンジン54が扱いやすい形にデータを整形する。プリプロセッサプラグイン53は、プリプロセッサ52で行われる処理のON/OFFを設定する。検知エンジン54は、プリプロセッサプラグイン53が整形したデータと、攻撃パターンであるシグネチャルールとを照合する侵入検知装置の心臓部である。
The
ルールセット55は、攻撃パターンであるシグネチャルールを記録したデータベースである。 The rule set 55 is a database that records signature rules that are attack patterns.
出力プラグイン56は、検知エンジン54が行った照合が合致したときの挙動を行い、ルールセット55に記録されたシグネチャルール内に記された挙動を判断し、各出力先60へ異なる挙動を行う。
The output plug-in 56 performs a behavior when matching performed by the
出力先60としては、データベース61、ローカルログファイル62、監視システム63、Syslog64が考えられる。
As the output destination 60, a database 61, a local log file 62, a
つまり、従来の侵入検知装置500は、入力した通信パケット58を、パケットデコーダ51が解析し、プリプロセッサ52が、検知エンジン54が扱いやすいデータヘ整形し、その後に、検知エンジン54が、ルールセット55に記録されているシグネチャルールと照合する。
In other words, in the conventional intrusion detection apparatus 500, the input communication packet 58 is analyzed by the packet decoder 51, the
図7は、上記従来例における起動時の動作を示すフローチャートである。 FIG. 7 is a flowchart showing the operation at the start-up in the conventional example.
侵入検知装置の動作が開始すると、S51では、検知エンジン54が読み取るデータの構成に関する設定を、プリプロセッサプラグイン53が、読み込む。たとえば、通信パケットのレイヤ分けや、2つの通信パケットを組み合わせて検知エンジン54ヘ転送する等の設定が含まれている。
When the operation of the intrusion detection device starts, in S51, the preprocessor plug-in 53 reads settings relating to the configuration of data read by the
S52では、プリプロセッサ52に情報を展開し、パケットデコーダ51からの通信パケット情報を待ち、S53では、ルールセット55のデータベースからシグネチャルールを読み込み、データベースに記録されている複数のシグネチャルールから、検知エンジン54が照合するために参照するシグネチャルールを選択し、検知エンジン54ヘ展開する。S54で、シグネチャルールを参照した検知エンジン54は、プリプロセッサ52で処理された通信パケット情報を待つ。これら上記の動作を完了した後に、通信パケット58が入力される。
In S52, the information is developed in the
図8は、上記従来例において、攻撃パケットが、通信パケット58から入力されたときにおける侵入検知動作時の処理を示す図である。 FIG. 8 is a diagram illustrating processing during an intrusion detection operation when an attack packet is input from the communication packet 58 in the above-described conventional example.
S61では、パケットデコーダ51が、通信パケットのデータリンク層レベルでのパケット構成の解析とデコード処理とを行い、S62で、プリプロセッサ52は、解析情報に従って、検知エンジン54の読み込みが可能な状態に、通信パケットを整形する。S63で、検知エンジン54は、シグネチャルールとの照合処理を行い、一致した通信パケットが発生した場合、照合で一致したシグネチャルールで指定された動作情報、たとえば、「指定された検知情報をデータベースヘ記録する」という動作情報を、出力プラグイン56に通知する。S64で、出力プラグイン56が、上記指定動作を実行する。
In S61, the packet decoder 51 analyzes and decodes the packet configuration at the data link layer level of the communication packet. In S62, the
上記一連の動作を行うことによって、監視対象ネットワークと外部ネットワークとの通信パケットに攻撃パケットが含まれていないかどうかを監視し、攻撃パケットが含まれていれば、指定された検知動作を行う(たとえば、特許文献1参照)。
上記従来の侵入検知装置500は、過去の不正アクセスの履歴から見られる攻撃のパターンを分析し、その攻撃のパターンを検知する。つまりシグネチャルールと通信パケットとを1つ1つ照らし合わせることによって、不正アクセスを検知する。 The conventional intrusion detection apparatus 500 analyzes an attack pattern seen from the past unauthorized access history and detects the attack pattern. That is, unauthorized access is detected by comparing the signature rule and the communication packet one by one.
過去の不正アクセスの量が増加すると、その増加分をも検知処理しなくてはならず、検知処理に必要な処理量が増加する。上記処理量増加の解決方法として、侵入検知装置の処理能力を強化することが挙げられる。しかし、侵入検知装置の処理能力の強化は、侵入検知装置自体のコストが高いという問題があり、また、既存の侵入検知装置を破棄して導入を見直す必要があるという問題がある。 If the amount of unauthorized access in the past increases, the increased amount must be detected, and the amount of processing necessary for the detection increases. As a solution to the increase in the processing amount, it is possible to enhance the processing capability of the intrusion detection device. However, the enhancement of the processing capability of the intrusion detection device has a problem that the cost of the intrusion detection device itself is high, and there is a problem that it is necessary to discard the existing intrusion detection device and review the introduction.
本発明は、過去の不正アクセスの量が増加しても、処理能力の高い高価な侵入検知装置を複数台用意しなくても対応でき、つまり、高い処理能力を持たない侵入検知装置でも対応することができる侵入検知処理装置、侵入検知処理方法および記録媒体を提供することを目的とするものである。
The present invention can cope with an increase in the amount of unauthorized access in the past without preparing a plurality of expensive intrusion detection devices with high processing capabilities, that is, even intrusion detection devices without high processing capabilities. It is an object of the present invention to provide an intrusion detection processing device, an intrusion detection processing method, and a recording medium.
本発明は、複数の監視対象ネットワークが存在し、上記各監視対象ネットワークに対する不正な通信を監視し防御するために、上記監視対象ネットワークと外部ネットワークとの間に配置される複数の侵入検知処理装置において、上記監視対象ネットワークと上記外部ネットワークとの通信が不正な通信であることを検知するために参照するシグネチャルールを、複数ブロックに分割するシグネチャルール分割手段と、上記分割された複数ブロックのシグネチャルールのそれぞれを、上記複数の侵入検知処理装置のそれぞれに対応させ、上記複数の侵入検知処理装置のそれぞれが、対応するブロックのシグネチャルールを検出する処理を実行する検出処理実行手段とを有し、上記シグネチャルール分割手段は、上記シグネチャルールを、上記複数ブロックに分割する際に、時分割処理する手段であることを特徴とする侵入検知処理装置である。The present invention provides a plurality of intrusion detection processing devices arranged between the monitoring target network and an external network in order to monitor and prevent unauthorized communication with respect to each of the monitoring target networks. The signature rule dividing means for dividing the signature rule referred to for detecting that the communication between the monitored network and the external network is unauthorized communication into a plurality of blocks, and the signatures of the divided plurality of blocks Each of the plurality of intrusion detection processing devices is associated with each of the plurality of intrusion detection processing devices, and each of the plurality of intrusion detection processing devices has detection processing execution means for executing processing for detecting the signature rule of the corresponding block. The signature rule dividing means converts the signature rule into the signature rule. When dividing into several blocks, is intrusion detecting device, characterized in that the means for time division processing.
本発明は、複数の監視対象ネットワークが存在し、上記各監視対象ネットワークに対する不正な通信を監視し防御するために、上記監視対象ネットワークと外部ネットワークとの間に配置される複数の侵入検知処理装置の制御方法において、上記監視対象ネットワークと上記外部ネットワークとの通信が不正な通信であることを検知するために参照するシグネチャルールを、複数ブロックに分割し、メモリに記憶するシグネチャルール分割工程と、上記分割された複数ブロックのシグネチャルールのそれぞれを、上記複数の侵入検知処理装置のそれぞれに対応させ、メモリに記憶し、上記複数の侵入検知処理装置のそれぞれが、対応するブロックのシグネチャルールを検出する処理を実行する検出処理実行工程とを有し、上記シグネチャルール分割工程は、上記シグネチャルールを、上記複数ブロックに分割する際に、時分割処理する工程であることを特徴とする侵入検知処理装置の制御方法である。The present invention provides a plurality of intrusion detection processing devices arranged between the monitoring target network and an external network in order to monitor and prevent unauthorized communication with respect to each of the monitoring target networks. In the control method, a signature rule that is referred to in order to detect that communication between the monitored network and the external network is unauthorized communication is divided into a plurality of blocks and stored in a memory. Each of the divided plurality of block signature rules is associated with each of the plurality of intrusion detection processing devices and stored in a memory, and each of the plurality of intrusion detection processing devices detects the signature rule of the corresponding block. And a detection process execution step for executing the process to perform Dividing step, the signature rule, when dividing into the plurality of blocks, a method of controlling the intrusion detecting device, characterized in that the dividing processing step time.
本発明は、複数の監視対象ネットワークが存在し、上記各監視対象ネットワークに対する不正な通信を監視し防御するために、上記監視対象ネットワークと外部ネットワークとの間に配置される複数の侵入検知処理装置を制御するプログラムにおいて、上記監視対象ネットワークと上記外部ネットワークとの通信が不正な通信であることを検知するために参照するシグネチャルールを、複数ブロックに分割し、メモリに記憶するシグネチャルール分割手順と、上記分割された複数ブロックのシグネチャルールのそれぞれを、上記複数の侵入検知処理装置のそれぞれに対応させ、メモリに記憶し、上記複数の侵入検知処理装置のそれぞれが、対応するブロックのシグネチャルールを検出する処理を実行する検出処理実行手順とをコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体であって、上記シグネチャルール分割手順は、上記シグネチャルールを、上記複数ブロックに分割する際に、時分割処理する手順であることを特徴とするプログラムである。The present invention provides a plurality of intrusion detection processing devices arranged between the monitoring target network and an external network in order to monitor and prevent unauthorized communication with respect to each of the monitoring target networks. A signature rule dividing procedure for dividing a signature rule referred to in order to detect that communication between the monitored network and the external network is unauthorized communication into a plurality of blocks and storing it in a memory Each of the divided plurality of block signature rules is associated with each of the plurality of intrusion detection processing devices and stored in a memory, and each of the plurality of intrusion detection processing devices has a corresponding block signature rule. The detection process execution procedure for executing the detection process A computer-readable recording medium storing a program to be executed, wherein the signature rule dividing procedure is a procedure for time-sharing processing when the signature rule is divided into the plurality of blocks. It is.
本発明によれば、過去の不正アクセスの量が増加しても、処理能力の高い高価な侵入検知装置を複数台用意しなくても対応でき、つまり、高い処理能力を持たない侵入検知装置でも対応することができるという効果を奏する。
According to the present invention, it is possible to cope with an increase in the amount of unauthorized access in the past without preparing a plurality of expensive intrusion detection devices with high processing capabilities, that is, even intrusion detection devices without high processing capabilities. The effect that it can respond is produced.
発明を実施するための最良の形態は、以下の実施例である。 The best mode for carrying out the invention is the following examples.
図1は、本発明の実施例1である侵入検知システム100を示すブロック図である。
FIG. 1 is a block diagram showing an intrusion detection system 100 that is
侵入検知システム100は、監視対象ネットワークNW11〜NW13、NW21〜NW23、NW31〜NW33と、侵入検知装置D1〜D3と、集約装置C1と、外部ネットワークNW1とを有する。 The intrusion detection system 100 includes monitored networks NW11 to NW13, NW21 to NW23, NW31 to NW33, intrusion detection devices D1 to D3, an aggregation device C1, and an external network NW1.
侵入検知装置D1〜D3のそれぞれは、複数の監視対象ネットワークが存在し、上記各監視対象ネットワークに対する不正な通信を監視し防御するために、上記監視対象ネットワークと外部ネットワークとの間に配置される複数の侵入検知処理装置である。 Each of the intrusion detection devices D1 to D3 includes a plurality of monitoring target networks, and is arranged between the monitoring target network and the external network in order to monitor and prevent unauthorized communication with respect to each of the monitoring target networks. A plurality of intrusion detection processing devices;
侵入検知装置D1〜D3には、それぞれ個別に内部ネットワークが存在し、つまり、第1の侵入検知装置D1に、監視対象ネットワークNW11〜NW13が接続され、第2の侵入検知装置D2に、監視対象ネットワークNW21〜NW23が接続され、第3の侵入検知装置D3に、監視対象ネットワークNW31〜NW33が接続されている。 Each of the intrusion detection devices D1 to D3 has an internal network, that is, the monitoring target networks NW11 to NW13 are connected to the first intrusion detection device D1, and the monitoring target is connected to the second intrusion detection device D2. The networks NW21 to NW23 are connected, and the monitoring target networks NW31 to NW33 are connected to the third intrusion detection device D3.
侵入検知装置D1〜D3は、外部ネットワークNW1の各入口に配置され、集約装置C1も同様に、外部ネットワークNW1に接続され、全ての装置が、ネットワークを介して、通信可能な環境下にある。 The intrusion detection devices D1 to D3 are arranged at each entrance of the external network NW1, and the aggregation device C1 is similarly connected to the external network NW1, and all devices are in an environment where communication is possible via the network.
侵入検知装置D1が処理対象としているルール領域と、侵入検知装置D2の処理対象ルールの領域と、侵入検知装置D3の処理対象ルールの領域とを、互いに変えている理由は、次のとおりである。 The reason why the rule area that is processed by the intrusion detection device D1, the area of the processing target rule of the intrusion detection device D2, and the area of the processing target rule of the intrusion detection device D3 are mutually changed is as follows. .
まず、攻撃とされる通信は、特定の公開しているサーバを攻撃する等、攻撃者が攻撃先がどのようなサーバであるのかを特定することができる場合以外の、その大多数が同一サブネットワークに均一に攻撃をするという公知の特性が存在する。 First, the majority of communications that are attacked are the same subs, except when the attacker can identify what kind of server the attack target is, such as attacking a specific public server. There is a known property of uniformly attacking the network.
この特性を考慮すると、図1に示す攻撃は、侵入検知装置D1〜D3の全てに対する攻撃であり、この一連の攻撃を、侵入検知装置D1〜D3のうちのどれか1つの侵入検知装置が検知し、集約装置C1へ検出ログを残せば、全体としてその攻撃を検知したことになる。 Considering this characteristic, the attack shown in FIG. 1 is an attack on all of the intrusion detection devices D1 to D3, and any one of the intrusion detection devices D1 to D3 detects this series of attacks. If the detection log is left in the aggregation device C1, the attack is detected as a whole.
そこで、侵入検知装置D1〜D3が、一体となって、攻撃を検知できる状態にする必要があるので、侵入検知装置D1、D2、D3の処理対象ルールを、互いに変える。 Therefore, since it is necessary for the intrusion detection devices D1 to D3 to be integrated so that an attack can be detected, the processing target rules of the intrusion detection devices D1, D2, and D3 are changed from each other.
集約装置C1は、複数の上記侵入検知装置から検出ログ情報を集め、上記集めた検出ログを解析し、この解析した結果を、上記複数の侵入検知装置へ返す装置である。 The aggregation device C1 is a device that collects detection log information from a plurality of the intrusion detection devices, analyzes the collected detection logs, and returns the analysis result to the plurality of intrusion detection devices.
図2は、実施例1において、侵入検知装置D1〜D3の内部の処理、つまり、シグネチャルールのブロック化と時分割処理とを示す図である。 FIG. 2 is a diagram illustrating processing inside the intrusion detection devices D1 to D3, that is, signature rule blocking and time division processing in the first embodiment.
シグネチャルールR1は、侵入検知装置の内部に構成されている後述のルールセット16に記録されているシグネチャルールであり、シグネチャ1〜シグネチャ7で構成されている。
The signature rule R1 is a signature rule recorded in a later-described rule set 16 configured inside the intrusion detection device, and includes
実施例1では、上記シグネチャルールR1を、複数ブロックに分割し、ブロックB1、ブロックB2、ブロックB3に分割する。ブロックB1は、シグネチャ1とシグネチャ2とで構成され、ブロックB2は、シグネチャ3とシグネチャ4とシグネチャ5とで構成され、ブロックB3は、シグネチャ6とシグネチャ7とで構成されている。
In the first embodiment, the signature rule R1 is divided into a plurality of blocks and divided into a block B1, a block B2, and a block B3. The block B1 is composed of a
スケジュールSK1は、上記複数ブロックB1、B2、B3を、時間毎に配置し(時間を異ならせて配置し)、侵入検知装置D1が検知するスケジュールである。シグネチャSY1、SY2、SY3は、侵入検知装置D1〜D3が重複なく、全てのシグネチャルールR1(シグネチャ1〜シグネチャ7)を対象として監視する。
The schedule SK1 is a schedule in which the intrusion detection device D1 detects the plurality of blocks B1, B2, and B3 arranged for each time (arranged at different times). The signatures SY1, SY2, and SY3 are monitored by all of the signature rules R1 (
上記動作によって、スケジュールSK1の時刻tにおいて、侵入検知装置D1は、ブロックB1に含まれているシグネチャ1とシグネチャ2とを利用した侵入検知処理を実行し、侵入検知装置D2は、ブロックB2に含まれているシグネチャ3とシグネチャ4とシグネチャ5とを利用した侵入検知処理を実行し、さらに、侵入検知装置D3は、ブロックB3に含まれているシグネチャ6とシグネチャ7とを利用した侵入検知処理を実行する。また、各侵入検知装置D1〜D3は、ネットワークNW1を介して、検知情報を、集約装置C1に集め、上記検知情報を侵入検知装置D1〜D3の間で共有する。
Through the above operation, at time t of schedule SK1, intrusion detection device D1 executes intrusion detection
図3は、侵入検知装置D1の構成例を示すブロック図である。 FIG. 3 is a block diagram illustrating a configuration example of the intrusion detection device D1.
なお、侵入検知装置D2、D3の構成は、侵入検知装置D1の構成と同様である。 The configurations of the intrusion detection devices D2 and D3 are the same as the configuration of the intrusion detection device D1.
侵入検知装置D1は、パケットデコーダ11と、プリプロセッサ12と、プリプロセッサプラグイン13と、検知エンジン14と、時間管理部15と、ルールセット16と、ルール更新部17と、出力プラグイン18とを有する。
The intrusion detection device D1 includes a packet decoder 11, a preprocessor 12, a preprocessor plug-in 13, a detection engine 14, a time management unit 15, a rule set 16, a
パケットデコーダ11は、通信パケットと照らし合わせる対象のシグネチャルールR1を、時間毎に切り替え、監視対象ネットワークNW11〜NW33と外部ネットワークNW1との通信パケットを一時的に保存し、データリンク層レベルでのパケット構成の解析とデコード処理とを行う。 The packet decoder 11 switches the signature rule R1 to be checked against the communication packet every time, temporarily stores the communication packets between the monitoring target networks NW11 to NW33 and the external network NW1, and transmits the packet at the data link layer level. Performs configuration analysis and decoding.
プリプロセッサ12は、検知エンジン14が扱いやすい形にデータを整形する。 The preprocessor 12 formats the data so that the detection engine 14 can handle it.
プリプロセッサプラグイン13は、プリプロセッサ12で行われる処理のON/OFFを設定する。 The preprocessor plug-in 13 sets ON / OFF of processing performed by the preprocessor 12.
検知エンジン14は、プリプロセッサプラグイン13が整形したデータと攻撃パターンであるシグネチャルールR1とを照合する、侵入検知装置D1の心臓部である。 The detection engine 14 is the heart of the intrusion detection device D1 that collates the data shaped by the preprocessor plug-in 13 and the signature rule R1 that is an attack pattern.
時間管理部15は、スケジュールSK1の時間を管理し、指定された時刻(たとえば10分毎)に、検知エンジン14が参照するルールセット16を変更する通知を行う。 The time management unit 15 manages the time of the schedule SK1, and performs notification to change the rule set 16 referred to by the detection engine 14 at a specified time (for example, every 10 minutes).
ルールセット16は、攻撃パターンであるシグネチャルールR1と、シグネチャルールR1のまとまりであるブロックB1〜B3とを記録しているデータベースである。 The rule set 16 is a database that records a signature rule R1 that is an attack pattern and blocks B1 to B3 that are a group of signature rules R1.
ルール更新部17は、ルールセット16におけるシグネチャルールR1とブロックB1〜B3とを更新する。
The
出力プラグイン18は、検知エンジン14において照合が合致したときの挙動を行う。 The output plug-in 18 performs a behavior when the matching is matched in the detection engine 14.
つまり、ルールセット16は、監視対象ネットワークと外部ネットワークとの通信が不正な通信であることを検知するために参照するシグネチャルールを、複数ブロックに分割するシグネチャルール分割手段の例である。 That is, the rule set 16 is an example of a signature rule dividing unit that divides a signature rule referred to in order to detect that communication between the monitoring target network and the external network is unauthorized communication into a plurality of blocks.
また、上記シグネチャルール分割手段は、上記時分割処理する時間配分を、検出ログ情報に応じて可変制御する手段である。 The signature rule dividing means is means for variably controlling the time distribution for the time division processing according to the detection log information.
検索エンジン14は、上記分割された複数ブロックのシグネチャルールのそれぞれを、上記複数の侵入検知処理装置のそれぞれに対応させ、上記複数の侵入検知処理装置のそれぞれが、対応するブロックのシグネチャルールを検出する処理を実行する検出処理実行手段の例である。つまり、検索エンジン14は、上記複数ブロックと一致検出処理する場合、上記複数ブロックの全てを漏れなく一致検出処理する手段である。 The search engine 14 associates each of the divided plurality of block signature rules with each of the plurality of intrusion detection processing devices, and each of the plurality of intrusion detection processing devices detects the signature rule of the corresponding block. It is an example of the detection process execution means which performs the process to perform. That is, the search engine 14 is a means for performing coincidence detection processing on all of the plurality of blocks without omission when performing coincidence detection processing with the plurality of blocks.
図4は、集約装置C1を示すブロック図である。 FIG. 4 is a block diagram showing the aggregation device C1.
集約装置C1は、検知情報入出力部21と、データベース22と、データベース管理部23とを有する。
The aggregation device C1 includes a detection information input /
検知情報入出力部21は、侵入検知装置D1〜D3が不正アクセスを検知し、出力した検知情報を受け取り、これらの情報を集約した検知情報を集約情報として出力する。データベース22は、検知情報を記録する。
The detection information input /
データベース管理部23は、データベース22ヘの格納処理、整理処理を実行し、集約した検知情報を並べ替え、検知情報入出力部21を介して、外部に出力する集約情報を作成する。たとえば、前日までの検知情報の上位5件の検知情報を、各侵入検知装置D1〜D3を利用しているユーザに通知する。上記通知に際して、メール等の従来の通知方法を利用する。また、上記の場合、検知情報をユーザに通知する以外に、統計情報を貯蓄するための機関へ検知情報を検知情報を報告したり、管理者へ検知情報を通知するようにしてもよい。
The
図5は、実施例1において、シグネチャルールR1を切り替える動作を示すフローチャートである。 FIG. 5 is a flowchart illustrating an operation of switching the signature rule R1 in the first embodiment.
まず、時間管理部15が、指定された時刻であるか否かを判断し(S1)、指定された時間間隔が経過すれば、検知エンジン14が、ブロック変更通知を行う(S2)。ブロック変更通知を受けた検知エンジン14が、ルールセット16を参照し(S3)、ルールセット16では検知エンジン14の参照時に、更新情報があるか否かを判断し(S4)、更新情報があれば、ルール更新部15に問い合わせ、変更があれば、ブロックとシグネチャルールR1とを変更した後に、ブロック単位でのシグネチャルールR1を、検知エンジン14ヘ転送する(S5)。更新情報がなければ(S4)、検知エンジン14は、転送されたシグネチャルールR1を再度読み込み、検知処理を行う(S6)。 First, the time management unit 15 determines whether or not it is the designated time (S1), and when the designated time interval has elapsed, the detection engine 14 issues a block change notification (S2). Upon receiving the block change notification, the detection engine 14 refers to the rule set 16 (S3), and the rule set 16 determines whether there is update information when referring to the detection engine 14 (S4). For example, the rule update unit 15 is inquired, and if there is a change, after changing the block and the signature rule R1, the signature rule R1 in units of blocks is transferred to the detection engine 14 (S5). If there is no update information (S4), the detection engine 14 reads the transferred signature rule R1 again and performs detection processing (S6).
上記動作によって、シグネチャルールR1を一定量に抑えつつ、侵入検知を行う侵入検知システムを実現する。つまり、所定時間内で、従来の侵入検知装置が、たとえば100のシグネチャを見なければならないが、上記所定時間内で、実施例における侵入検知装置では、たとえばその半分の50のシグネチャを見れば足りる。 With the above operation, an intrusion detection system that performs intrusion detection while suppressing the signature rule R1 to a certain amount is realized. That is, a conventional intrusion detection device must see, for example, 100 signatures within a predetermined time, but in the intrusion detection device according to the embodiment within the predetermined time, it is sufficient to see, for example, 50 signatures that are half of the signature. .
1台の侵入検知装置が全ての侵入を検知する従来例よりも、上記実施例における1台当たりの侵入検知装置が処理する負荷を減らすことができ、上記実施例によれば、高い処理能力を持たない侵入検知装置でも対応することができ、また、単純にルール数を減らすことによって検知漏れが出た場合にその後の対処ができない単体の侵入検知装置よりも優れ、つまり、上記実施例のように複数台の連携によって検知漏れを補うことができ、複数の侵入検知装置が全体として攻撃を検知するシステムであり、処理能力の高い高価な検知装置を複数台用意する必要がない。
Compared to the conventional example in which one intrusion detection device detects all intrusions, the load processed by one intrusion detection device in the above embodiment can be reduced. According to the above embodiment, a high processing capacity can be achieved. It is possible to cope with an intrusion detection device that does not have one, and it is superior to a single intrusion detection device that cannot be dealt with in the event that a detection failure occurs by simply reducing the number of rules, that is, as in the above embodiment. This is a system in which a plurality of intrusion detection devices can detect an attack as a whole, and it is not necessary to prepare a plurality of expensive detection devices with high processing capabilities.
100…侵入検知システム、
D1、D2、D3…侵入検知装置、
11…パケットデコーダ、
12…プリプロセッサ、
13…プリプロセッサプラグイン、
14…検知エンジン、
15…時間管理部、
16…ルールセット、
17…ルール更新部、
18…出力プラグイン、
C1…集約装置、
21…検知情報入出力部、
22…データベース、
23…データベース管理部、
NW1…外部ネットワーク、
NW11〜NW33…監視対象ネットワーク、
R1…シグネチャルール、
B1、B2、B3…ブロック、
SY1、SY2、SY3…シグネチャ、
SK1…スケジュール。
100 ... Intrusion detection system,
D1, D2, D3 ... Intrusion detection device,
11 ... Packet decoder,
12 ... Preprocessor,
13: Preprocessor plug-in,
14: Detection engine,
15 ... Time management department,
16 ... ruleset,
17 ... rule update part,
18 ... Output plug-in,
C1 ... aggregation device,
21 ... Detection information input / output unit,
22 ... Database,
23 ... Database management department,
NW1 ... external network,
NW11 to NW33 ... monitored network,
R1 ... Signature rule,
B1, B2, B3 ... Block,
SY1, SY2, SY3 ... signature,
SK1 ... Schedule.
Claims (5)
上記監視対象ネットワークと上記外部ネットワークとの通信が不正な通信であることを検知するために参照するシグネチャルールを、複数ブロックに分割するシグネチャルール分割手段と;Signature rule dividing means for dividing a signature rule referred to for detecting that communication between the monitored network and the external network is unauthorized communication into a plurality of blocks;
上記分割された複数ブロックのシグネチャルールのそれぞれを、上記複数の侵入検知処理装置のそれぞれに対応させ、上記複数の侵入検知処理装置のそれぞれが、対応するブロックのシグネチャルールを検出する処理を実行する検出処理実行手段と;Each of the divided plurality of block signature rules is made to correspond to each of the plurality of intrusion detection processing devices, and each of the plurality of intrusion detection processing devices executes processing for detecting the signature rule of the corresponding block. Detection processing execution means;
を有し、上記シグネチャルール分割手段は、上記シグネチャルールを、上記複数ブロックに分割する際に、時分割処理する手段であることを特徴とする侵入検知処理装置。And the signature rule dividing means is means for performing time division processing when the signature rule is divided into the plurality of blocks.
上記シグネチャルール分割手段は、上記時分割処理する時間配分を、検出ログ情報に応じて可変制御する手段であることを特徴とする侵入検知処理装置。The intrusion detection processing apparatus according to claim 1, wherein the signature rule dividing unit is a unit that variably controls time distribution for the time division processing according to detection log information.
複数の侵入検知処理装置の全てに対する一連の攻撃を、上記複数の侵入検知処理装置のうちのどれか1つの侵入検知装置が検知し、集約装置へ検出ログを残すことを特徴とする侵入検知処理装置。An intrusion detection process characterized in that any one of the plurality of intrusion detection processing devices detects a series of attacks on all of the plurality of intrusion detection processing devices and leaves a detection log in the aggregation device. apparatus.
上記監視対象ネットワークと上記外部ネットワークとの通信が不正な通信であることを検知するために参照するシグネチャルールを、複数ブロックに分割し、メモリに記憶するシグネチャルール分割工程と;A signature rule dividing step of dividing a signature rule referred to in order to detect that communication between the monitored network and the external network is unauthorized communication into a plurality of blocks and storing it in a memory;
上記分割された複数ブロックのシグネチャルールのそれぞれを、上記複数の侵入検知処理装置のそれぞれに対応させ、メモリに記憶し、上記複数の侵入検知処理装置のそれぞれが、対応するブロックのシグネチャルールを検出する処理を実行する検出処理実行工程と;Each of the divided plurality of block signature rules is associated with each of the plurality of intrusion detection processing devices and stored in a memory, and each of the plurality of intrusion detection processing devices detects the signature rule of the corresponding block. A detection processing execution step for executing the processing to be performed;
を有し、上記シグネチャルール分割工程は、上記シグネチャルールを、上記複数ブロックに分割する際に、時分割処理する工程であることを特徴とする侵入検知処理装置の制御方法。And the signature rule dividing step is a step of performing time division processing when the signature rule is divided into the plurality of blocks.
上記監視対象ネットワークと上記外部ネットワークとの通信が不正な通信であることを検知するために参照するシグネチャルールを、複数ブロックに分割し、メモリに記憶するシグネチャルール分割手順と;A signature rule dividing procedure for dividing a signature rule referred to in order to detect that communication between the monitored network and the external network is unauthorized communication into a plurality of blocks and storing it in a memory;
上記分割された複数ブロックのシグネチャルールのそれぞれを、上記複数の侵入検知処理装置のそれぞれに対応させ、メモリに記憶し、上記複数の侵入検知処理装置のそれぞれが、対応するブロックのシグネチャルールを検出する処理を実行する検出処理実行手順と;Each of the divided plurality of block signature rules is associated with each of the plurality of intrusion detection processing devices and stored in a memory, and each of the plurality of intrusion detection processing devices detects the signature rule of the corresponding block. A detection process execution procedure for executing the process to be performed;
をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体であって、上記シグネチャルール分割手順は、上記シグネチャルールを、上記複数ブロックに分割する際に、時分割処理する手順であることを特徴とするプログラム。The signature rule dividing procedure is a procedure for performing time-sharing processing when the signature rule is divided into the plurality of blocks. Program.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004298022A JP4363650B2 (en) | 2004-10-12 | 2004-10-12 | Intrusion detection processing apparatus, intrusion detection processing method, and recording medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004298022A JP4363650B2 (en) | 2004-10-12 | 2004-10-12 | Intrusion detection processing apparatus, intrusion detection processing method, and recording medium |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006115007A JP2006115007A (en) | 2006-04-27 |
| JP4363650B2 true JP4363650B2 (en) | 2009-11-11 |
Family
ID=36383182
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004298022A Expired - Fee Related JP4363650B2 (en) | 2004-10-12 | 2004-10-12 | Intrusion detection processing apparatus, intrusion detection processing method, and recording medium |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4363650B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011163954A (en) * | 2010-02-10 | 2011-08-25 | Fujikura Ltd | Device for detection of wire surface defect |
| CN105027510B (en) | 2013-02-21 | 2018-06-12 | 日本电信电话株式会社 | Network monitoring device and network monitoring method |
| JP6507075B2 (en) * | 2015-10-15 | 2019-04-24 | 株式会社日立製作所 | Illegal communication detection device, illegal communication detection system, and method of detecting illegal communication |
-
2004
- 2004-10-12 JP JP2004298022A patent/JP4363650B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006115007A (en) | 2006-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Karie et al. | IoT threat detection advances, challenges and future directions | |
| US20240380771A1 (en) | Graph-based analysis of security incidents | |
| Bijone | A survey on secure network: intrusion detection & prevention approaches | |
| KR100910761B1 (en) | Anomaly Malicious Code Detection Method using Process Behavior Prediction Technique | |
| US8650646B2 (en) | System and method for optimization of security traffic monitoring | |
| CN118118258A (en) | Network security monitoring and response system | |
| CN110602135B (en) | Network attack processing method and device and electronic equipment | |
| WO2006071985A2 (en) | Threat scoring system and method for intrusion detection security networks | |
| CN118316736B (en) | Network threat active defense system and method based on large model | |
| US20230007032A1 (en) | Blockchain-based host security monitoring method and apparatus, medium and electronic device | |
| CN113704059B (en) | Protection method and device for business assets, electronic equipment and storage medium | |
| US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
| JP4363650B2 (en) | Intrusion detection processing apparatus, intrusion detection processing method, and recording medium | |
| CN117319032A (en) | Network security active defense methods and systems | |
| WO2022218806A1 (en) | Network protection | |
| Grottke et al. | On the efficiency of sampling and countermeasures to critical-infrastructure-targeted malware campaigns | |
| Li et al. | A hierarchical mobile‐agent‐based security operation center | |
| KR101802131B1 (en) | Intrusion Tolerant Apparatus for Enhancing Resilience under Attack Exploiting Unknown Vulnerabilities | |
| JP2006067605A5 (en) | ||
| Jeon et al. | Passive fingerprinting of scada in critical infrastructure network without deep packet inspection | |
| US20240129326A1 (en) | Threat detection and prevention for information systems | |
| KR20140078329A (en) | Method and apparatus for defensing local network attacks | |
| CN120180452A (en) | A method for implementing a secure agent system oriented to operating systems | |
| JP4190508B2 (en) | Network control system and network control method | |
| Lakhdhar et al. | An approach to a graph-based active cyber defense model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070214 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090202 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090501 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090616 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090814 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090817 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120828 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130828 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |