Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7614914B2 - Attack detection device, attack detection support system, attack detection support method, and attack detection support program - Google Patents
[go: Go Back, main page]

JP7614914B2 - Attack detection device, attack detection support system, attack detection support method, and attack detection support program - Google Patents

Attack detection device, attack detection support system, attack detection support method, and attack detection support program Download PDF

Info

Publication number
JP7614914B2
JP7614914B2 JP2021065328A JP2021065328A JP7614914B2 JP 7614914 B2 JP7614914 B2 JP 7614914B2 JP 2021065328 A JP2021065328 A JP 2021065328A JP 2021065328 A JP2021065328 A JP 2021065328A JP 7614914 B2 JP7614914 B2 JP 7614914B2
Authority
JP
Japan
Prior art keywords
words
log
monitoring target
attack detection
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021065328A
Other languages
Japanese (ja)
Other versions
JP2022160859A (en
Inventor
博將 矢野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2021065328A priority Critical patent/JP7614914B2/en
Publication of JP2022160859A publication Critical patent/JP2022160859A/en
Application granted granted Critical
Publication of JP7614914B2 publication Critical patent/JP7614914B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本開示は、攻撃検知装置、攻撃検知支援システム、攻撃検知支援方法および攻撃検知支援プログラムに関する。 This disclosure relates to an attack detection device, an attack detection support system, an attack detection support method, and an attack detection support program.

各種プラント、設備などを制御する制御システム、または情報処理を行う情報処理システムなどにおいて、システム外部からの攻撃の有無を判断する方法として、当該システム内の機器上に保管されたログを収集して分析する方法がある。例えば、特許文献1には、正常なログから、正規表現としてあらかじめ定められた抽出条件に合致する部分を抽出し、抽出した部分を正規表現に変換することでホワイトリストを作成し、監視対象のログがホワイトリストと合致しないログを異常なログと判定する技術が開示されている。 In control systems that control various plants and equipment, or information processing systems that process information, there is a method of collecting and analyzing logs stored on devices within the system to determine whether there is an attack from outside the system. For example, Patent Document 1 discloses a technology that extracts parts that match predetermined extraction conditions as regular expressions from normal logs, creates a whitelist by converting the extracted parts into regular expressions, and determines that logs to be monitored that do not match the whitelist are abnormal logs.

特開2017-83947号公報JP 2017-83947 A

しかしながら、特許文献1に記載の技術では、あらかじめログのフォーマットが明確で正規表現にして複数のログをまとめても問題ないとわかっている部分以外は、正規表現で表現することを避けている。このため、ログの監視対象のシステムにおいて機器の交換が行われる、またはソフトウェアのアップデートが行われるなどによってフォーマットが変更される可能性がある場合には、フォーマットが明確でないため正規表現を適用できず、ログの全文をそのまま記録することになる。誤検出を避けるには、様々な正常なログをホワイトリストとして蓄積することが望ましく、ホワイトリストを記憶するためのメモリの使用量が多くなる。 However, the technology described in Patent Document 1 avoids expressing logs in regular expressions except for parts where it is known that the log format is clear and that there is no problem in converting multiple logs into regular expressions and combining them. For this reason, if there is a possibility that the format may change due to equipment replacement or software updates in the system whose logs are being monitored, regular expressions cannot be applied because the format is not clear, and the entire text of the log is recorded as is. To avoid false detections, it is desirable to accumulate various normal logs as a whitelist, and storing the whitelist requires a lot of memory.

本開示は、上記に鑑みてなされたものであって、メモリの使用量を抑制しつつ攻撃の誤検出を低減することができる攻撃検知装置を得ることを目的とする。 The present disclosure has been made in consideration of the above, and aims to provide an attack detection device that can reduce false positives of attacks while suppressing memory usage.

上述した課題を解決し、目的を達成するために、本開示にかかる攻撃検知装置は、監視対象装置から取得された監視対象のログである監視対象ログとの照合に用いられる無害リストを記憶するリスト記憶部と、監視対象装置から取得された正常なログを単語に分割し、正常なログにおける単語の記載順に、単語を上位層から順に階層に割当て、単語と、当該単語より正常なログにおいて上位の階層のそれぞれに対応する単語を識別する情報である上位層情報とを対応づけて無害リストとしてリスト記憶部に格納する登録処理を行う解析部、を備える。攻撃検知装置は、さらに、監視対象ログを単語に分割し、監視対象ログにおける単語である監視対象単語の記載順に、監視対象単語を上位層から順に階層に割当て、階層ごとに監視対象単語を無害リストと照合し、監視対象単語が無害リストに合致しない場合に攻撃の可能性があると判定する判定部と、を備える。 In order to solve the above-mentioned problems and achieve the object, the attack detection device according to the present disclosure includes a list storage unit that stores a harmless list used for matching with a monitored log, which is a log of a monitored object obtained from a monitored device, and an analysis unit that performs a registration process that divides a normal log obtained from the monitored device into words, assigns the words to layers in order from the top layer in the order in which the words are written in the normal log, and associates the words with upper layer information, which is information that identifies words corresponding to each of the layers higher than the words in the normal log, and stores them in the list storage unit as a harmless list. The attack detection device further includes a determination unit that divides the monitored log into words, assigns the monitored words to layers in order from the top layer in the order in which the monitored words, which are words in the monitored log, in order, compares the monitored words with the harmless list for each layer, and determines that there is a possibility of an attack if the monitored words do not match the harmless list.

本開示によれば、メモリの使用量を抑制しつつ攻撃の誤検出を低減することができるという効果を奏する。 The present disclosure has the advantage of being able to reduce false positives of attacks while suppressing memory usage.

実施の形態1にかかる攻撃検知支援システムの構成例を示す図FIG. 1 is a diagram showing a configuration example of an attack detection support system according to a first embodiment. 実施の形態1の無害リストの生成手順の一例を示すフローチャートA flowchart showing an example of a procedure for generating a harmless list according to the first embodiment. 実施の形態1の無害リストをツリー状に表現した図A diagram showing the harmless list of the first embodiment in a tree format. 実施の形態1のリスト記憶部に格納される無害リストの一例を示す図FIG. 1 is a diagram showing an example of a harmless list stored in a list storage unit according to the first embodiment; 実施の形態1の攻撃検知処理手順の一例を示すフローチャート1 is a flowchart showing an example of an attack detection process according to the first embodiment. 実施の形態1の表示装置に表示される画面の一例を示す図FIG. 1 is a diagram showing an example of a screen displayed on the display device of the first embodiment; 新たに単語が登録された後の実施の形態1の無害リストをツリー状に表現した図A tree representation of the harmless list of the first embodiment after new words have been registered. 実施の形態1の攻撃検知装置を実現するコンピュータシステムの構成例を示す図FIG. 1 is a diagram showing an example of the configuration of a computer system that realizes an attack detection device according to a first embodiment. 実施の形態2にかかる攻撃検知支援システムの構成例を示す図FIG. 1 is a diagram illustrating a configuration example of an attack detection support system according to a second embodiment. 実施の形態3にかかる攻撃検知支援システムの構成例を示す図FIG. 13 is a diagram showing a configuration example of an attack detection support system according to a third embodiment.

以下に、実施の形態にかかる攻撃検知装置、攻撃検知支援システム、攻撃検知支援方法および攻撃検知支援プログラムを図面に基づいて詳細に説明する。 The attack detection device, attack detection support system, attack detection support method, and attack detection support program according to the embodiments are described in detail below with reference to the drawings.

実施の形態1.
図1は、実施の形態1にかかる攻撃検知支援システムの構成例を示す図である。本実施の形態の攻撃検知支援システム1は、攻撃の監視対象の装置である監視対象装置2から、監視対象装置2における動作、処理などの各種の履歴が記憶されたログを取得し、取得したログを用いて監視対象装置2への外部からの攻撃を検知する。なお、図1では監視対象装置2を1台図示しているが、監視対象装置2は複数であってもよい。
Embodiment 1.
Fig. 1 is a diagram showing a configuration example of an attack detection support system according to a first embodiment. The attack detection support system 1 of this embodiment acquires, from a monitored device 2 that is a device to be monitored for attacks, a log in which various histories such as operations and processes in the monitored device 2 are stored, and detects an external attack on the monitored device 2 using the acquired log. Note that, although Fig. 1 shows one monitored device 2, there may be multiple monitored devices 2.

監視対象装置2は、例えば一般的なコンピュータであってもよいし、FAPC(Factory Automation Personal Computer)であってもよいし、アクセススイッチなどの周辺機器であってもよいし、これらの混在であってもよく、ログを記録している装置であればよい。なお、ログはテキストとして記録されているとする。 The monitored device 2 may be, for example, a general computer, a Factory Automation Personal Computer (FAPC), a peripheral device such as an access switch, or a mixture of these, as long as it is a device that records logs. Note that the logs are recorded as text.

攻撃検知支援システム1は、監視対象装置2から取得したログを用いて攻撃の可能性の有無を検知する攻撃検知装置3と、攻撃検知装置による検知結果を表示する表示装置4とを備える。なお、攻撃検知装置3が表示部を備えることで、表示装置4と攻撃検知装置3とを一体化させてもよい。本実施の形態では、後述するように、攻撃検知装置3は、正常なログを単語に分割し、単語を階層化してツリー状の無害リストとして保持する。無害リストは、監視対象装置2から取得されたログである監視対象ログとの照合に用いられる。 The attack detection support system 1 includes an attack detection device 3 that detects the possibility of an attack using logs acquired from the monitored device 2, and a display device 4 that displays the detection results by the attack detection device. The display device 4 and the attack detection device 3 may be integrated by equipping the attack detection device 3 with a display unit. In this embodiment, as described below, the attack detection device 3 divides normal logs into words, organizes the words into a hierarchical structure, and stores them as a tree-shaped harmless list. The harmless list is used to compare with the monitored log, which is a log acquired from the monitored device 2.

ログを用いて攻撃を検知する方法として、あらかじめ攻撃検知のルールを定めておく方法も考えられるが、この場合、ログの監視対象のシステムにおいて機器の交換が行われたり、ソフトウェアのアップデートが行われたりといった事象があると、その都度ルールの更新作業を行う必要があり運用の負荷が生じる。また、あらかじめルールを定めるには、事前にログのフォーマットなどの情報を把握しておく必要があり、事前に情報の収集が困難なシステムには適用できない場合がある。事前に情報を把握せずにログを用いて攻撃を検知する方法としては、収集したログを用いて機械学習することで攻撃を検知する方法もあるが、機械学習による推論では、正常なログであるのに正常でないと判定したり、正常でないログを正常と判定したりといった誤判定の可能性がある。このため、攻撃の検知の精度を高める方法としては、監視対象のログを、正常であることがわかっているログと照合することで正常であるか否かを判定する方法がある。しかしながら、正常なログの全文を多数無害リストとして保持するとメモリの使用量が増大する。本実施の形態では、単語を階層化してツリー状の無害リストとして保持し、管理対象のログをツリー状の無害リストと照合することで、正常なログを全文無害リストとして保持する場合に比べメモリの使用量を抑制しつつ誤検出を抑制することができる。 One method of detecting attacks using logs is to define rules for attack detection in advance, but in this case, if an event such as equipment replacement or software update occurs in the system whose logs are being monitored, the rules must be updated each time, which creates an operational burden. In addition, in order to define rules in advance, it is necessary to know information such as the format of the logs in advance, and this may not be applicable to systems where it is difficult to collect information in advance. As a method of detecting attacks using logs without knowing the information in advance, there is a method of detecting attacks by machine learning using collected logs, but inference using machine learning may result in erroneous judgments, such as judging normal logs as abnormal or judging abnormal logs as normal. For this reason, one method of improving the accuracy of attack detection is to judge whether the logs being monitored are normal by comparing them with logs that are known to be normal. However, memory usage increases when a large number of full-text normal logs are stored as a harmless list. In this embodiment, words are organized into a hierarchy and stored as a tree-shaped harmless list, and the logs to be managed are compared with the tree-shaped harmless list, making it possible to reduce memory usage and false positives compared to when normal logs are stored as a full-text harmless list.

監視対象装置2は、処理部21、通信部22およびログ記憶部23を備える。処理部21は、あらかじめ定められた処理、オペレータからの指示に応じた処理などを実施し、各種の履歴を日時とともにログとしてログ記憶部23に格納する。通信部22は、ログ記憶部23に格納されているログを攻撃検知装置3へ送信する。通信部22は、攻撃検知装置3からログの送信の要求があったときにログを送信してもよいし、あらかじめ定められた周期で定期的にログを送信してもよい。ログ記憶部23は、ログを記憶する。 The monitored device 2 includes a processing unit 21, a communication unit 22, and a log storage unit 23. The processing unit 21 performs predetermined processing, processing according to instructions from an operator, etc., and stores various histories together with date and time as logs in the log storage unit 23. The communication unit 22 transmits the logs stored in the log storage unit 23 to the attack detection device 3. The communication unit 22 may transmit the logs when a request to transmit the logs is received from the attack detection device 3, or may transmit the logs periodically at a predetermined cycle. The log storage unit 23 stores the logs.

攻撃検知装置3は、通信部31、ログ記憶部32、解析部33、リスト記憶部34、判定部35および通知情報生成部36を備える。通信部31は、監視対象装置2および表示装置4とそれぞれ通信を行う。通信部31は、例えば、監視対象装置2から、監視対象のログを受信し、受信したログをログ記憶部32に格納し、正常なログとして受信したログを解析部33へ渡す。正常なログについては後述する。 The attack detection device 3 includes a communication unit 31, a log storage unit 32, an analysis unit 33, a list storage unit 34, a determination unit 35, and a notification information generation unit 36. The communication unit 31 communicates with the monitored device 2 and the display device 4. For example, the communication unit 31 receives logs of the monitored device from the monitored device 2, stores the received logs in the log storage unit 32, and passes the logs received as normal logs to the analysis unit 33. Normal logs will be described later.

解析部33は、監視対象装置2から取得された正常なログを単語(ワード)に分割し、正常なログにおける単語の記載順に、単語を上位層から順に階層に割当て、単語と、当該単語より正常なログにおいて上位の階層のそれぞれに対応する単語を識別する情報である上位層情報とを対応づけて無害リストとしてリスト記憶部34に格納する登録処理を行う。詳細には、解析部33は、通信部31から受け取った正常なログを単語に分割し、単語をログの記載順に階層化し、階層化した単語を上位の階層とのリンクを示す上位層情報とともに無害リストとしてリスト記憶部34に格納する。本実施の形態では、無害リストは、正常なログ内の単語が階層化されてツリー状に関連付けられたものとなる。本実施の形態の無害リストの詳細は後述する。正常なログは、例えば、正常であることが判明している期間に取得されたログであり、例えばユーザーによりこの期間が指定されることで、通信部31がこの期間のログを監視対象装置2から受信すると、解析部33へ正常なログとして出力する。また、後述するように、表示装置4では、攻撃検知装置3によって攻撃の可能性のあるログを検知したことを示す情報を表示すると、ユーザーから当該ログが正常であるか否かの入力を受け付ける。通信部31は、表示装置4から、正常であるとユーザーによって判断されたログを受信すると、当該ログも正常なログとして解析部33へ出力する。 The analysis unit 33 performs a registration process in which the normal log acquired from the monitored device 2 is divided into words, the words are assigned to layers in the order in which the words are written in the normal log, starting from the top layer, and the words are associated with upper layer information, which is information identifying words corresponding to each of the layers higher than the words in the normal log, and stored in the list storage unit 34 as a harmless list. In detail, the analysis unit 33 divides the normal log received from the communication unit 31 into words, hierarchizes the words in the order in which they are written in the log, and stores the hierarchized words together with upper layer information indicating a link with the upper layer as a harmless list in the list storage unit 34. In this embodiment, the harmless list is a list in which the words in the normal log are hierarchized and associated in a tree shape. The harmless list in this embodiment will be described in detail later. A normal log is, for example, a log acquired during a period known to be normal, and when this period is specified by the user, for example, the communication unit 31 receives logs for this period from the monitored device 2 and outputs them to the analysis unit 33 as normal logs. Furthermore, as described below, when the display device 4 displays information indicating that the attack detection device 3 has detected a log that may be an attack, the display device 4 accepts input from the user as to whether the log is normal or not. When the communication unit 31 receives a log that the user has determined to be normal from the display device 4, the communication unit 31 also outputs the log to the analysis unit 33 as a normal log.

判定部35は、監視対象のログを単語に分割し、監視対象のログにおける単語である監視対象単語の記載順に、監視対象単語を上位層から順に階層に割当て、階層ごとに監視対象単語を無害リストと照合し、監視対象単語が無害リストに合致しない場合に攻撃の可能性があると判定する。詳細には、判定部35は、ログ記憶部32に記憶されている監視対象のログを読み出し、読み出したログを無害リストと照合することで、監視対象のログが無害であるか否かを判断し、監視対象のログが無害でないと判断した場合には攻撃の可能性があると判定して、攻撃の可能性があると判定されたログの内容とともに判定結果を通知情報生成部36へ通知する。 The determination unit 35 divides the log to be monitored into words, assigns the monitored words to layers in the order in which they are written in the log to be monitored, starting from the top layer, and compares the monitored words for each layer with the harmless list. If the monitored words do not match the harmless list, the determination unit 35 determines that there is a possibility of an attack. In detail, the determination unit 35 reads the log to be monitored stored in the log storage unit 32, and determines whether the log to be monitored is harmless by comparing the read log with the harmless list. If it determines that the log to be monitored is not harmless, it determines that there is a possibility of an attack, and notifies the notification information generation unit 36 of the determination result together with the contents of the log determined to be a possible attack.

通知情報生成部36は、判定部35により攻撃の可能性があると判定された場合に、攻撃の可能性があることを示す情報と、攻撃の可能性があると判定された監視対象のログである要確認ログとを含む通知情報を生成する。詳細には、通知情報生成部36は、判定部35から攻撃の可能性があると判定された判定結果を受け取ると、攻撃の可能性があることを示す通知情報を生成する。通知情報生成部36は、通知情報に、攻撃の可能性があると判定されたログの内容を含める。通知情報生成部36は、通信部31を介して通知情報を表示装置4へ送信する。 When the determination unit 35 determines that there is a possibility of an attack, the notification information generation unit 36 generates notification information including information indicating the possibility of an attack and a log to be checked, which is a log of a monitoring target determined to be a possible attack. In detail, when the notification information generation unit 36 receives a determination result indicating that there is a possibility of an attack from the determination unit 35, the notification information generation unit 36 generates notification information indicating that there is a possibility of an attack. The notification information generation unit 36 includes the contents of the log determined to be a possible attack in the notification information. The notification information generation unit 36 transmits the notification information to the display device 4 via the communication unit 31.

ログ記憶部32は、監視対象のログを記憶する。リスト記憶部34は、無害リストを記憶する。 The log storage unit 32 stores logs of monitored items. The list storage unit 34 stores the harmless list.

表示装置4は、攻撃検知装置3から受信した通知情報を表示する。表示装置4は、制御部41、通信部42および表示部43を備える。通信部42は、攻撃検知装置3から通知情報を受信すると、制御部41へ渡す。制御部41は、通信部42から受信した通知情報を用いて、表示部43に表示するための表示情報を生成して表示部43へ出力する。表示情報は、攻撃検知装置3から受信した通知情報の内容、すなわち、攻撃の可能性を検知した旨を示す情報と対応するログの内容とを含む。表示部43は、表示情報を表示する。また、制御部41は、図示を省略した入力手段、または表示部43と一体化された入力手段が、ユーザーから、表示部43に表示されたログが正常である旨の入力を受け付けると、表示部43に表示されたログ、すなわち攻撃検知装置3から受信した通知情報に含まれるログを、正常なログと判定する。そして、制御部41は、正常なログであることを示す情報とともに当該ログを、攻撃検知装置3へ送信する。表示部43は、制御部41から受け取った表示情報を表示する。 The display device 4 displays the notification information received from the attack detection device 3. The display device 4 includes a control unit 41, a communication unit 42, and a display unit 43. When the communication unit 42 receives the notification information from the attack detection device 3, it passes it to the control unit 41. The control unit 41 uses the notification information received from the communication unit 42 to generate display information to be displayed on the display unit 43 and outputs it to the display unit 43. The display information includes the contents of the notification information received from the attack detection device 3, that is, information indicating that a possible attack has been detected and the contents of the corresponding log. The display unit 43 displays the display information. In addition, when an input means not shown in the figure or an input means integrated with the display unit 43 receives an input from a user indicating that the log displayed on the display unit 43 is normal, the control unit 41 determines that the log displayed on the display unit 43, that is, the log included in the notification information received from the attack detection device 3, is a normal log. Then, the control unit 41 transmits the log to the attack detection device 3 together with information indicating that the log is normal. The display unit 43 displays the display information received from the control unit 41.

表示装置4は、パーソナルコンピュータであってもよいし、タブレット、スマートフォンなどであってもよい。例えば、攻撃検知装置3がWebサーバとしての機能を有し、通知情報生成部36が、htmlファイルなどのようにブラウザで閲覧可能な形式で通知情報を生成してもよい。 The display device 4 may be a personal computer, a tablet, a smartphone, or the like. For example, the attack detection device 3 may function as a web server, and the notification information generation unit 36 may generate notification information in a format that can be viewed in a browser, such as an html file.

次に、本実施の形態の動作について説明する。図2は、本実施の形態の無害リストの生成手順の一例を示すフローチャートである。図2に示すように、攻撃検知装置3は、無害リストの登録対象のログを受信する(ステップS1)。詳細には、通信部31が、上述した正常なログを、無害リストの登録対象のログとして受信し、解析部33へ渡す。 Next, the operation of this embodiment will be described. FIG. 2 is a flowchart showing an example of a procedure for generating a harmless list in this embodiment. As shown in FIG. 2, the attack detection device 3 receives logs to be registered in the harmless list (step S1). In detail, the communication unit 31 receives the normal log described above as a log to be registered in the harmless list, and passes it to the analysis unit 33.

次に、攻撃検知装置3は、無害リストの登録対象のログを、単語に分割する(ステップS2)。詳細には、解析部33が、通信部31から正常なログを、スペースなど定められた区切りを単位として単語に分割する。なお、単語の区切りはスペースに限定されず、カンマなどであってもよく、例えば、ユーザーによって設定される。 Next, the attack detection device 3 divides the log to be registered in the harmless list into words (step S2). In detail, the analysis unit 33 divides the normal log from the communication unit 31 into words at a unit of a predetermined separator such as a space. Note that the separator of the word is not limited to a space and may be a comma or the like, and is set by the user, for example.

次に、攻撃検知装置3は、上位階層と関連付けて単語を記録し(ステップS3)、処理を終了する。詳細には、解析部33が、単語を、ログにおける記載順の順に階層に対応づける。例えば、最初に記載されている単語は第1階層であり、次に記載されている単語は第2階層といったように、単語の記載順に単語を階層に対応づける。そして、各階層の単語を上位の階層の単語と関連づけ、上位階層と関連づけた単語を無害リストとしてリスト記憶部34に格納する。 The attack detection device 3 then records the words in association with the upper hierarchy (step S3), and ends the process. In detail, the analysis unit 33 associates the words with the hierarchy in the order in which they are written in the log. For example, the first word written is the first hierarchy, the next word written is the second hierarchy, and so on. Then, the words in each hierarchy are associated with the words in the higher hierarchy, and the words associated with the higher hierarchy are stored in the list storage unit 34 as a harmless list.

例えば、正常なログに“I amn’t hacker.”と記載されていたとする。このログは、“I”、“amn’t”、“hacker.”の3つの単語に分割され、“I”は第1階層の単語であり、“amn’t”は第2階層の単語であり、“hacker.”は第3階層の単語となる。そして、第2階層の“amn’t”は、上位の第1階層の“I”につながりがあり、第3階層の“hacker.”は、第1階層の“I”と第2階層の“amn’t”につながりがある。この場合、第2階層の“amn’t”は上位の第1階層の“I”と関連付けられ、第3階層の“hacker.”は、第1階層の“I”と第2階層の“amn’t”に関連付けられる。 For example, suppose a normal log contains the entry "I amn't hacker." This log is split into three words, "I", "amn't", and "hacker.", where "I" is a word in the first hierarchy, "amn't" is a word in the second hierarchy, and "hacker." is a word in the third hierarchy. "amn't" in the second hierarchy is connected to "I" in the higher hierarchy, and "hacker." in the third hierarchy is connected to "I" in the first hierarchy and "amn't" in the second hierarchy. In this case, "amn't" in the second hierarchy is associated with "I" in the higher hierarchy, and "hacker." in the third hierarchy is associated with "I" in the first hierarchy and "amn't" in the second hierarchy.

なお、すでに上位層の関連付けまで含めて同一の単語がすでに無害リストに含まれている場合には、解析部33は、当該単語は無害リストに追加せず、上位層の関連付けまで含めて同一の単語が無害リストに無い場合に、無害リストに新たに単語を追加する。上位層の関連付けまで含めて同一の単語とは、例えば、第2階層の単語を例に挙げると、単に第2階層単独でみた場合に同一の単語であるというだけでなく当該第2階層に関連付けられている第1階層の単語も同じ単語である。すなわち、解析部33は、上記の“I amn’t hacker.”を正常なログとして処理して無害リストに単語を登録した後に、“I amn’t attacker.”という正常なログを取得した場合、第1階層の“I”は既に登録されているため、無害リストに登録せず、第2階層の“amn’t”についても、上位層の“I”も同一の第2階層の“amn’t”が既に登録されているため、登録しない。 If the same word is already included in the harmless list, including the associations in the upper layers, the analysis unit 33 does not add the word to the harmless list, and adds a new word to the harmless list if the same word is not included in the harmless list, including the associations in the upper layers. For example, in the case of a word in the second layer, the same word is not only the same word when viewed in the second layer alone, but also the same word in the first layer associated with the second layer. In other words, if the analysis unit 33 processes the above "I amn't hacker." as a normal log and registers the word in the harmless list, and then obtains a normal log "I amn't attacker.", the "I" in the first layer is already registered, so it is not registered in the harmless list, and the "amn't" in the second layer is not registered because the "I" in the upper layer is also the same "amn't" in the second layer.

図3は、本実施の形態の無害リストをツリー状に表現した図である。上述したように、ログ内の各単語を上位の階層と関連づけることで、解析部33は、図3に示すようなツリー状の関係を求めることができる。図3に示した例では、第1階層の単語として“I”が示されており、この単語を、上位の階層との関連とともに識別する情報として、“I”の上部にワード1と記載されている。第1階層は上位の階層はないことから、“I”については第1階層内における識別番号である1だけが付与されている。 Figure 3 is a diagram showing the harmless list of this embodiment in the form of a tree. As described above, by relating each word in the log to a higher level, the analysis unit 33 can determine a tree-like relationship as shown in Figure 3. In the example shown in Figure 3, "I" is shown as a word in the first level, and word 1 is written above "I" as information identifying this word along with its relationship to a higher level. Since the first level does not have a higher level, only the identification number 1 within the first level is assigned to "I".

第2階層の単語として、図3では、“amn’t”と“didn’t”の2つが示されており、これら2つの単語はいずれも上位の第1階層の“I”と関連付けられている。ここでは、第2階層における“amn’t”、“didn’t”の識別番号をそれぞれ1,2としており、“amn’t”の上部にはワード1-1と記載され、“didn’t”のの上部にはワード1-2と記載される。ワード1-1は、最後の数値1が第2階層における単語の識別番号を示し、ハイフンの前の1は、関連づけられている単語の第1階層における識別番号を示している。 Figure 3 shows two words in the second hierarchy, "amn't" and "didn't," both of which are associated with "I" in the higher-level first hierarchy. Here, the identification numbers for "amn't" and "didn't" in the second hierarchy are 1 and 2, respectively, and word 1-1 is written above "amn't," and word 1-2 is written above "didn't." In word 1-1, the final number 1 indicates the identification number of the word in the second hierarchy, and the 1 before the hyphen indicates the identification number of the associated word in the first hierarchy.

また、第3階層の単語として、図3では、“hacker\.”、“attacker\.”、“attack\.”の3つが示されている。これらのうち“hacker\.”、“attacker\.”はいずれも、第1階層の“I”および第2階層の“amn’t”に関連付けられており、“attack\.”は、第1階層の“I”および第2階層の“didn’t”に関連付けられている。なお、ピリオドが正規表現で任意の1文字の意味で用いられることから、ピリオドの前に“\”をつけて、任意の1文字の意味ではなくピリオドの文字自体であることを表現している。図3に示した例では、第3階層における“hacker\.”の識別番号を1としており、“hacker\.”の上部には、上位階層との関連も含む情報としてワード1-1-1が記載されている。“attacker\.”、“attack\.”についても同様に、上位階層との関連も含む情報として、それぞれワード1-1-2、1-2-1が記載されている。 Figure 3 shows three words in the third hierarchy: "hacker\.", "attacker\.", and "attack\.". Of these, "hacker\." and "attacker\." are both associated with "I" in the first hierarchy and "amn't" in the second hierarchy, while "attack\." is associated with "I" in the first hierarchy and "didn't" in the second hierarchy. Since a period is used in regular expressions to mean any one character, "\" is placed before the period to indicate that it is the period character itself, rather than any one character. In the example shown in Figure 3, the identification number of "hacker\." in the third hierarchy is 1, and above "hacker\.", word 1-1-1 is written as information including its relationship to the upper hierarchy. Similarly, words 1-1-2 and 1-2-1 are written for "attacker\." and "attack\.", respectively, as information including its relationship to the upper hierarchy.

図3に示すように、正常なログに“I amn’t hacker.”と “I amn’t attacker.”の2つが含まれる場合、本実施の形態では、共通する“I amn’t”の部分は、1回ずつ単語として登録されればよい。なお、図3に示した例では、簡易なモデルを示しているため、単語数が少ないが、一般的には階層数はより多数であり、また登録されるログの数も多いため、全文を正常なログとして保持するには多くのメモリを使用する。本実施の形態では、階層化してツリー状に無害リストを保持するため、正常なログを全文保持する場合に比べてメモリの使用量を抑制することができる。 As shown in FIG. 3, if a normal log contains both "I amn't hacker." and "I amn't attacker.", in this embodiment, the common part "I amn't" only needs to be registered as a word once each. Note that the example shown in FIG. 3 shows a simple model, so the number of words is small, but generally there are more hierarchies and a large number of logs are registered, so a large amount of memory is used to hold the entire text as a normal log. In this embodiment, the harmless list is stored in a hierarchical tree structure, so memory usage can be reduced compared to when the entire text of a normal log is stored.

なお、図3では、関連性を示すために無害リストをツリー状に表示しているが、実際には、無害リストとして、上位階層との関連付けを示す情報とともに単語がリスト記憶部34に格納される。図4は、本実施の形態のリスト記憶部34に格納される無害リストの一例を示す図である。図4に示した例では、無害リストとして、階層ごとに、単語の識別番号と単語と上位階層リンクとが格納される。上位階層リンクは、関連づけられる上位階層の単語を識別する上位層情報である。図4に示した例では、上位階層が1層の場合には、当該上位階層における関連付けられている単語の識別番号が上位階層リンクの欄に格納される。また、上位階層が2層以上の場合には、jを3以上の整数とするとき、第j階層の上位階層リンクは、第1階層、第2階層、・・・、第(j-1)階層のそれぞれに関連づけられている単語の識別番号が、この順で、ハイフンで区切られて示される。なお、図4に示すように、関連付けられている上位層のリンクごとに、すなわち上位階層リンクが1-1の場合と1-2の場合とで分けてそれぞれ識別番号が付与される。なお、図4に示した無害リストは一例であり、同等の内容を記録することができればよく、具体的な識別番号の付与方法、形式などは図4に示した例に限定されない。 In FIG. 3, the harmless list is displayed in a tree format to show the associations, but in reality, the words are stored in the list storage unit 34 as the harmless list together with information showing the association with the upper layer. FIG. 4 is a diagram showing an example of the harmless list stored in the list storage unit 34 of this embodiment. In the example shown in FIG. 4, the identification number of the word, the word, and the upper layer link are stored for each layer as the harmless list. The upper layer link is upper layer information that identifies the associated word in the upper layer. In the example shown in FIG. 4, when the upper layer is the first layer, the identification number of the associated word in the upper layer is stored in the upper layer link field. In addition, when the upper layer is two layers or more, when j is an integer of 3 or more, the upper layer link of the jth layer is shown by the identification numbers of the words associated with each of the first layer, second layer, ..., (j-1)th layer, in that order, separated by hyphens. In addition, as shown in FIG. 4, an identification number is assigned to each associated upper layer link, that is, when the upper layer link is 1-1 and when it is 1-2. Note that the harmless list shown in Figure 4 is just an example, and it is sufficient if the same content can be recorded; the specific method of assigning identification numbers and the format are not limited to the example shown in Figure 4.

また、図3および図4に示した例では、正常なログに含まれる単語自体を用いているが、無害リストに含まれる単語のうちの少なくとも一部は正規表現により表されてもよい。例えば、正常なログとして第1階層に、一文字の大文字のアルファベットの全てが登録された場合、これらのA-Zのそれぞれの単語の代わりに、1つの正規表現“[A-Z]”を用いてもよい。このように正規表現を用いることでさらに無害リストのサイズを低減することができる。なお、本実施の形態では、このように正規表現で表されたひとまとまりの部分も単語と呼ぶ。なお、1つの単語のうちの一部が正規表現で表されてもよい。 In the examples shown in Figures 3 and 4, the words themselves contained in the normal log are used, but at least some of the words contained in the harmless list may be expressed by regular expressions. For example, if all single-letter uppercase alphabet characters are registered in the first hierarchical level as normal logs, a single regular expression "[A-Z]" may be used in place of each of these words A-Z. By using regular expressions in this way, the size of the harmless list can be further reduced. Note that in this embodiment, a group of parts expressed in this way using regular expressions is also called a word. Note that a part of a word may be expressed in a regular expression.

次に、本実施の形態の監視対象のログを用いた攻撃検知について説明する。図5は、本実施の形態の攻撃検知処理手順の一例を示すフローチャートである。図5に示すように、攻撃検知装置3は、監視対象のログを取得する(ステップS11)。詳細には、通信部31が監視対象装置2から監視対象のログを受信し、受信したログをログ記憶部32に格納する。 Next, attack detection using the logs of the monitored object in this embodiment will be described. FIG. 5 is a flowchart showing an example of an attack detection processing procedure in this embodiment. As shown in FIG. 5, the attack detection device 3 acquires the logs of the monitored object (step S11). In detail, the communication unit 31 receives the logs of the monitored object from the monitored object device 2, and stores the received logs in the log storage unit 32.

次に、攻撃検知装置3は、監視対象のログを単語に分割する(ステップS12)。詳細には、判定部35が、ログ記憶部32に格納されている監視対象のログを単語に分割する。単語に分割する方法は、ステップS2で述べた方法と同様である。 Next, the attack detection device 3 divides the log of the monitoring target into words (step S12). In detail, the determination unit 35 divides the log of the monitoring target stored in the log storage unit 32 into words. The method of dividing into words is the same as the method described in step S2.

次に、攻撃検知装置3は、処理対象の階層を示す変数であるiを1に設定する(ステップS13)。次に、攻撃検知装置3は、ログの第i階層の単語が、無害リストの第i階層の単語とリンク先も含めて一致するか否かを判定する(ステップS14)。詳細には、まず、判定部35が、ステップS12で分割した単語を記載順に並べ、記載順に第1階層から順に階層を対応づける。そして、判定部35は、ステップS12で分割した単語のうち第1階層の単語が、リスト記憶部34に記憶されている無害リストの第1階層の単語とリンク先も含めて一致するか否かを判定する。第1階層の場合には、上位階層がないため、リスト記憶部34に記憶されている無害リストの第1階層の単語のうち、ステップS12で分割した単語のうち第1階層の単語と一致するものがあるか否かを判定する。iが2以上の場合には、判定部35は、リスト記憶部34に記憶されている無害リストの第i階層の単語のうち、監視対象のログの第i階層の単語と一致し、かつ、監視対象のログにおける第i階層より上位の階層の単語が上位階層リンクと合致しているものがあるか否かを判定する。 Next, the attack detection device 3 sets i, a variable indicating the layer to be processed, to 1 (step S13). Next, the attack detection device 3 determines whether the words in the i-th layer of the log match the words in the i-th layer of the harmless list, including their links (step S14). In detail, the determination unit 35 first arranges the words divided in step S12 in the order of description, and associates the layers in the order of description, starting from the first layer. Then, the determination unit 35 determines whether the words in the first layer among the words divided in step S12 match the words in the first layer of the harmless list stored in the list storage unit 34, including their links. In the case of the first layer, since there is no upper layer, it is determined whether any of the words in the first layer of the harmless list stored in the list storage unit 34 that match the words in the first layer among the words divided in step S12. When i is 2 or more, the determination unit 35 determines whether or not there is a word in the i-th layer of the harmless list stored in the list storage unit 34 that matches a word in the i-th layer of the log to be monitored, and whether or not there is a word in a layer higher than the i-th layer in the log to be monitored that matches a higher layer link.

例えば、図4に示した無害リストがリスト記憶部34に格納されている場合に、監視対象のログとして“I amn’t attacker.”というログを取得した場合、判定部35は、i=1の場合には、監視対象のログの第1階層の“I”が無害リストの第1階層の単語に含まれているため、ステップS14でYesと判定する。また、i=2の場合には、監視対象のログの第2階層の“amn’t”が無害リストの第2階層の単語に含まれており、また、第2階層の“amn’t”の上位階層リンクに示されている1は第1階層の“I”に対応する識別番号でありリンク先も含めて一致するため、ステップS14でYesと判定する。同様に、i=3の場合にも、“attacker.”は無害リストの第3階層の単語とリンク先も含めて一致するため、判定部35は、ステップS14でYesと判定する。 For example, when the harmless list shown in FIG. 4 is stored in the list storage unit 34, if a log "I amn't attacker." is acquired as a log to be monitored, the determination unit 35 determines Yes in step S14 when i=1 because "I" in the first layer of the log to be monitored is included in the words in the first layer of the harmless list. Also, when i=2, "amn't" in the second layer of the log to be monitored is included in the words in the second layer of the harmless list, and the 1 shown in the upper layer link of "amn't" in the second layer is an identification number corresponding to "I" in the first layer and matches including the link destination, so the determination unit 35 determines Yes in step S14. Similarly, when i=3, "attacker." matches including the words in the third layer of the harmless list, so the determination unit 35 determines Yes in step S14.

一方、例えば、図4に示した無害リストがリスト記憶部34に格納されている場合に、監視対象のログとして“I amn’t traitor.”というログを取得した場合、判定部35は、i=1の場合と、i=2の場合とでは、ステップS14でYesと判定するが、i=3の場合は、“traitor.”が無害リストの第3階層にないためステップS14でNoと判定する。 On the other hand, for example, when the harmless list shown in FIG. 4 is stored in the list storage unit 34, if a log "I am not traitor." is acquired as a log to be monitored, the judgment unit 35 judges Yes in step S14 when i=1 and when i=2, but judges No in step S14 when i=3 because "traitor." is not in the third hierarchical level of the harmless list.

また、例えば、図4に示した無害リストがリスト記憶部34に格納されている場合に、監視対象のログとして“I attacker amn’t.”というログを取得した場合、判定部35は、i=1の場合では、ステップS14でYesと判定するが、i=2の場合は、“attacker”が無害リストの第2階層にないためステップS14でNoと判定する。このように、単語単体では、無害リストに含まれていても、階層が異なる場合にはステップS14でNoと判定される。 For example, when the harmless list shown in FIG. 4 is stored in the list storage unit 34, if a log "I attacker amn't." is acquired as a log to be monitored, the determination unit 35 determines Yes in step S14 when i=1, but determines No in step S14 when i=2 because "attacker" is not in the second hierarchical level of the harmless list. In this way, even if a word is included in the harmless list by itself, if the hierarchical level is different, the determination in step S14 will be No.

図5の説明に戻る。ステップS14でYesと判定されると、攻撃検知装置3の判定部35は、iがimaxに等しいか否かを判断する(ステップS16)。imaxは、ステップS12において単語に分割した際に決定される監視対象のログの単語数である。iがimaxに等しい場合(ステップS16 Yes)、攻撃検知装置3は処理を終了する。なお、ステップS16でYesと判断される場合には、ログが全階層で無害リストに合致すると判定された場合であるため、攻撃検知装置3の判定部35は監視対象のログが正常であると判定する。ここでは、攻撃検知装置3は監視対象のログが正常であると判定した場合にはなにも処理を行わない例を示しているが、監視対象のログが正常であると判定した場合にも判定結果を通知情報生成部36へ通知してもよい。この場合、通知情報生成部36は、監視対象のログが正常であることを示す通知情報を、通信部31を介して表示装置4へ送信する。 Return to the explanation of FIG. 5. If the answer to step S14 is Yes, the determination unit 35 of the attack detection device 3 determines whether i is equal to imax (step S16). imax is the number of words in the log of the monitoring target determined when the log is divided into words in step S12. If i is equal to imax (step S16 Yes), the attack detection device 3 ends the process. If the answer to step S16 is Yes, the log is determined to match the harmless list at all levels, so the determination unit 35 of the attack detection device 3 determines that the log of the monitoring target is normal. Here, an example is shown in which the attack detection device 3 does not perform any processing when it determines that the log of the monitoring target is normal, but even if it determines that the log of the monitoring target is normal, it may notify the notification information generation unit 36 of the determination result. In this case, the notification information generation unit 36 transmits notification information indicating that the log of the monitoring target is normal to the display device 4 via the communication unit 31.

iがimaxに等しくない場合(ステップS16 No)、攻撃検知装置3の判定部35は、i=i+1とし(ステップS17)、ステップS14の処理を再度実施する。また、ステップS14でNoと判定された場合(ステップS14 No)、攻撃検知装置3は、攻撃の可能性があることを通知し(ステップS15)、処理を終了する。詳細には、ステップS15では、判定部35は、攻撃の可能性があることを、対応するログとともに通知情報生成部36へ通知し、通知情報生成部36は、攻撃の可能性があること示す通知情報を生成して、通信部31を介して表示装置4へ送信する。上述したように通知情報には、攻撃の可能性があると判定されたログの内容を含む。なお、通知情報生成部36がhtmlファイルとして通知情報を生成する場合には、表示装置4から対応するURL(Uniform Resource Locator)が指定された場合に、表示装置4へ通知情報を送信する。 If i is not equal to imax (step S16 No), the determination unit 35 of the attack detection device 3 sets i=i+1 (step S17) and performs the process of step S14 again. If the determination is No in step S14 (step S14 No), the attack detection device 3 notifies the possibility of an attack (step S15) and ends the process. In detail, in step S15, the determination unit 35 notifies the notification information generation unit 36 of the possibility of an attack together with the corresponding log, and the notification information generation unit 36 generates notification information indicating the possibility of an attack and transmits it to the display device 4 via the communication unit 31. As described above, the notification information includes the contents of the log that is determined to be the possibility of an attack. When the notification information generation unit 36 generates the notification information as an html file, the notification information is transmitted to the display device 4 when the corresponding URL (Uniform Resource Locator) is specified by the display device 4.

以上の処理により、攻撃検知装置3は、監視対象のログをツリー状の無害リストと照合することで、攻撃の可能性の有無を判定することができる。表示装置4は、通知情報を受信すると、表示部43に表示する。これによりユーザーは攻撃の可能性のログがあったことを認識することができる。 By performing the above process, the attack detection device 3 can determine whether or not there is a possibility of an attack by comparing the logs of the monitored objects with the tree-shaped harmless list. When the display device 4 receives the notification information, it displays it on the display unit 43. This allows the user to recognize that there is a log indicating a possible attack.

図6は、本実施の形態の表示装置4に表示される画面の一例を示す図である。表示装置4は、通知情報を受信すると、例えば、図6に示すように、攻撃の可能性のあるログを検出したことを示すメッセージと、対応するログと、対処方法の選択を促す情報とを表示する。図6に示した例では、攻撃の可能性のあるログを検出したことを示すメッセージとして「攻撃の可能性のあるログが検出されました」というメッセージが表示され、その下に対応するログの内容が表示されている。図6では、“I amn’t traitor.”というログが無害リストと合致しないと判定された例を示している。また、図6では、対処方法の選択肢として、「対処しない」、「無害リストに登録」、「警報」の3つの選択肢が示されており、これらは入力を受け付けるボタンとなっている。ユーザーは、これらの3つのボタンのうちのいずれかをクリックまたはタッチすることで、対処方法を選択することができる。なお、具体的に表示するメッセージなどの内容、配置、対処方法の入力の受付方法などは図6の例に限定されず、同等の内容が表示されればどのような形式で表示が行われてもよい。 Figure 6 is a diagram showing an example of a screen displayed on the display device 4 of the present embodiment. When the display device 4 receives notification information, for example, as shown in Figure 6, it displays a message indicating that a log with a possible attack has been detected, the corresponding log, and information prompting the user to select a countermeasure. In the example shown in Figure 6, a message "A log with a possible attack has been detected" is displayed as a message indicating that a log with a possible attack has been detected, and the contents of the corresponding log are displayed below it. Figure 6 shows an example in which a log "I am not traitor." is determined not to match the harmless list. In addition, Figure 6 shows three options for countermeasures: "Do not take action," "Register in harmless list," and "Warning," which are buttons that accept input. The user can select a countermeasure by clicking or touching one of these three buttons. Note that the specific contents, arrangement, and method of accepting input of countermeasures, etc., of the message to be displayed are not limited to the example of Figure 6, and any format may be used as long as the equivalent contents are displayed.

「対処しない」が選択された場合には、特に対処はされない。「警報」が選択された場合には、攻撃が検知された場合の処置を担当する担当者などに攻撃が検知されたことを示すメッセージが送信されるなどにより、警報が発せられる。「無害リストに登録」が選択された場合には、表示装置4の制御部41は、対応するログを、当該ログが正常であることを示す情報とともに、通信部42を介して攻撃検知装置3へ送信する。これにより、攻撃検知装置3は、図2に示した無害リストの登録処理を実施し、“I amn’t traitor.”に対応する無害リストを登録する。すなわち、攻撃検知装置3の通信部31は、表示装置4へ要確認ログを含む通知情報を送信した後に、要確認ログが正常なログであることを示す情報を表示装置4から受信すると、受信した情報を解析部33へ通知し、解析部33は、要確認ログを正常なログとして登録処理を行う。 When "Do not deal with" is selected, no particular action is taken. When "Alert" is selected, an alert is issued, such as by sending a message indicating that an attack has been detected to a person in charge of handling a detected attack. When "Register in harmless list" is selected, the control unit 41 of the display device 4 transmits the corresponding log to the attack detection device 3 via the communication unit 42 together with information indicating that the log is normal. As a result, the attack detection device 3 performs the harmless list registration process shown in FIG. 2 and registers the harmless list corresponding to "I amn't traitor." That is, after transmitting notification information including the log to be checked to the display device 4, when the communication unit 31 of the attack detection device 3 receives information indicating that the log to be checked is a normal log from the display device 4, it notifies the analysis unit 33 of the received information, and the analysis unit 33 performs registration processing of the log to be checked as a normal log.

図7は、新たに単語が登録された後の本実施の形態の無害リストをツリー状に表現した図である。図7は、無害リストが図3に示した状態であるときに、“I amn’t traitor.”のログが攻撃検知処理により攻撃の可能性があると判定され、表示装置4によってその旨が表示され、ユーザーが“I amn’t traitor.”を正常であると判断して、図6に例示した「無害リストに登録」を選択した例に相当する。その後、攻撃検知装置3が図2に示した処理を実施することで、図7の破線で示したように、第3階層に“traitor\.”が追加される。 Figure 7 is a diagram showing the harmless list of this embodiment in the form of a tree after a new word has been registered. Figure 7 corresponds to an example in which, when the harmless list is in the state shown in Figure 3, the log "I amn't traitor." is judged to be a possible attack by the attack detection process, this is displayed by the display device 4, and the user judges "I amn't traitor." to be normal and selects "Register to harmless list" as shown in Figure 6. The attack detection device 3 then carries out the process shown in Figure 2, and "traitor\." is added to the third level, as indicated by the dashed line in Figure 7.

なお、以上では、分割した単語の全てを照合する例を説明したが、例えば、日時などのように頻繁に変化する単語などのように照合の対象から除外したいものがあれば、除外する部分を設けてもよい。例えば、ログの先頭が日時である場合には、ログの記載順の先頭の単語は照合の対象から除外することとし、記載順が2番目の単語を第1階層として、上述した無害リストの登録処置と攻撃検知処理とを実施してもよい。また、何番目の単語を照合の除外とするかをユーザーが設定できるようにしてもよい。 Although the above describes an example in which all divided words are matched, if there are words that change frequently, such as dates and times, that you want to exclude from matching, you can provide a section to exclude them. For example, if the log begins with a date and time, the first word in the log's order of appearance can be excluded from matching, and the second word in the order of appearance can be treated as the first hierarchical level, and the above-mentioned harmless list registration process and attack detection process can be performed. Also, the user may be able to set which words are to be excluded from matching.

次に、各装置のハードウェア構成について説明する。本実施の形態の攻撃検知装置3は、コンピュータシステム上で、攻撃検知装置3における処理が記述されたプログラムが実行されることにより、コンピュータシステムが攻撃検知装置3として機能する。図8は、本実施の形態の攻撃検知装置3を実現するコンピュータシステムの構成例を示す図である。図8に示すように、このコンピュータシステムは、制御部101と入力部102と記憶部103と表示部104と通信部105と出力部106とを備え、これらはシステムバス107を介して接続されている。 Next, the hardware configuration of each device will be described. In this embodiment, the attack detection device 3 functions as the attack detection device 3 by executing a program describing the processing in the attack detection device 3 on the computer system. FIG. 8 is a diagram showing an example of the configuration of a computer system that realizes the attack detection device 3 of this embodiment. As shown in FIG. 8, this computer system includes a control unit 101, an input unit 102, a memory unit 103, a display unit 104, a communication unit 105, and an output unit 106, which are connected via a system bus 107.

図8において、制御部101は、例えば、CPU(Central Processing Unit)等のプロセッサであり、本実施の形態の攻撃検知装置3における処理が記述されたプログラムを実行する。入力部102は、たとえばキーボード、マウスなどで構成され、コンピュータシステムの使用者が、各種情報の入力を行うために使用する。記憶部103は、RAM(Random Access Memory),ROM(Read Only Memory)などの各種メモリおよびハードディスクなどのストレージデバイスを含み、上記制御部101が実行すべきプログラム、処理の過程で得られた必要なデータ、などを記憶する。また、記憶部103は、プログラムの一時的な記憶領域としても使用される。表示部104は、ディスプレイ、LCD(液晶表示パネル)などで構成され、コンピュータシステムの使用者に対して各種画面を表示する。通信部105は、通信処理を実施する受信機および送信機である。出力部106は、プリンタなどである。なお、図8は、一例であり、コンピュータシステムの構成は図8の例に限定されない。 In FIG. 8, the control unit 101 is a processor such as a CPU (Central Processing Unit), and executes a program in which the processing in the attack detection device 3 of this embodiment is described. The input unit 102 is composed of, for example, a keyboard, a mouse, and the like, and is used by the user of the computer system to input various information. The storage unit 103 includes various memories such as a RAM (Random Access Memory) and a ROM (Read Only Memory), and a storage device such as a hard disk, and stores the program to be executed by the control unit 101, necessary data obtained in the process of processing, and the like. The storage unit 103 is also used as a temporary storage area for the program. The display unit 104 is composed of a display, an LCD (Liquid Crystal Display Panel), and the like, and displays various screens to the user of the computer system. The communication unit 105 is a receiver and a transmitter that perform communication processing. The output unit 106 is a printer, etc. Note that FIG. 8 is an example, and the configuration of the computer system is not limited to the example of FIG. 8.

ここで、本実施の形態のプログラムが実行可能な状態になるまでのコンピュータシステムの動作例について説明する。上述した構成をとるコンピュータシステムには、たとえば、図示しないCD(Compact Disc)-ROMドライブまたはDVD(Digital Versatile Disc)-ROMドライブにセットされたCD-ROMまたはDVD-ROMから、プログラムが記憶部103にインストールされる。そして、プログラムの実行時に、記憶部103から読み出されたプログラムが記憶部103の主記憶領域に格納される。この状態で、制御部101は、記憶部103の主記憶領域に格納されたプログラムに従って、本実施の形態の攻撃検知装置3としての処理を実行する。 Here, an example of the operation of the computer system until the program of this embodiment is in a state where it can be executed will be described. In the computer system having the above-mentioned configuration, for example, the program is installed in the storage unit 103 from a CD-ROM or DVD-ROM set in a CD (Compact Disc)-ROM drive or DVD (Digital Versatile Disc)-ROM drive (not shown). Then, when the program is executed, the program read from the storage unit 103 is stored in the main memory area of the storage unit 103. In this state, the control unit 101 executes processing as the attack detection device 3 of this embodiment according to the program stored in the main memory area of the storage unit 103.

なお、上記の説明においては、CD-ROMまたはDVD-ROMを記録媒体として、攻撃検知装置3における処理を記述したプログラムを提供しているが、これに限らず、コンピュータシステムの構成、提供するプログラムの容量などに応じて、たとえば、通信部105を経由してインターネットなどの伝送媒体により提供されたプログラムを用いることとしてもよい。 In the above explanation, a program describing the processing in the attack detection device 3 is provided on a CD-ROM or DVD-ROM as a recording medium, but this is not limiting. Depending on the configuration of the computer system and the capacity of the program to be provided, for example, a program provided via a transmission medium such as the Internet via the communication unit 105 may be used.

図1に示した攻撃検知装置3のうち、解析部33、判定部35および通知情報生成部36は、図8に示した記憶部103に記憶されたプログラムが図8に示した制御部101により実行されることにより実現される。図1に示したログ記憶部32およびリスト記憶部34は、図8に示した記憶部103の一部である。図1に示した通信部31は、図8に示した通信部105により実現される。なお、攻撃検知装置3は複数のコンピュータシステムにより実現されてもよい。また、攻撃検知装置3は、クラウドシステムにより実現されてもよい。 Of the attack detection device 3 shown in FIG. 1, the analysis unit 33, the determination unit 35, and the notification information generation unit 36 are realized by the control unit 101 shown in FIG. 8 executing a program stored in the memory unit 103 shown in FIG. 8. The log memory unit 32 and the list memory unit 34 shown in FIG. 1 are part of the memory unit 103 shown in FIG. 8. The communication unit 31 shown in FIG. 1 is realized by the communication unit 105 shown in FIG. 8. The attack detection device 3 may be realized by multiple computer systems. The attack detection device 3 may also be realized by a cloud system.

攻撃検知装置3における処理が記述された攻撃検知支援プログラムは、例えば、コンピュータシステムに、監視対象装置2から取得された正常なログを単語に分割し、正常なログにおける単語の記載順に、単語を上位層から順に階層に割当て、単語と、当該単語より正常なログにおいて上位の階層のそれぞれに対応する単語を識別する情報である上位層情報とを対応づけて無害リストとして記憶するステップ、を実行させる。さらに、攻撃検知支援プログラムは、監視対象装置2から取得されたログである監視対象ログを単語に分割し、監視対象ログにおける単語である監視対象単語の記載順に、監視対象単語を上位層から順に階層に割当て、階層ごとに監視対象単語を無害リストと照合し、監視対象単語が無害リストに合致しない場合に攻撃の可能性があると判定するステップ、を実行させる。 The attack detection support program, in which the processing in the attack detection device 3 is described, causes the computer system to execute, for example, the steps of dividing a normal log acquired from the monitored device 2 into words, assigning the words to hierarchies in the order in which the words are written in the normal log, starting from the top layer, and storing the words in a harmless list in association with upper layer information, which is information identifying words corresponding to each of the higher layers in the normal log from the words in question. Furthermore, the attack detection support program causes the computer system to execute the steps of dividing a monitored log, which is a log acquired from the monitored device 2, into words, assigning monitored words to hierarchies in the order in which the monitored words, which are words in the monitored log, starting from the top layer, and comparing the monitored words with the harmless list for each layer, and determining that there is a possibility of an attack if the monitored words do not match the harmless list.

また、表示装置4についても、同様に、図8に例示したコンピュータシステムにより実現することができる。例えば、制御部41は、図8に示した記憶部103に記憶されたプログラムが図8に示した制御部101により実行されることにより実現される。図1に示した表示部43は、図8に示した表示部104により実現される。図1に示した通信部42は、図8に示した通信部105により実現される。なお、上述したように、表示装置4は、タブレット、スマートフォンなどであってもよく、この場合もハードウェア構成は図8に示した例と同様である。 Similarly, the display device 4 can be realized by the computer system illustrated in FIG. 8. For example, the control unit 41 is realized by the control unit 101 illustrated in FIG. 8 executing a program stored in the storage unit 103 illustrated in FIG. 8. The display unit 43 illustrated in FIG. 1 is realized by the display unit 104 illustrated in FIG. 8. The communication unit 42 illustrated in FIG. 1 is realized by the communication unit 105 illustrated in FIG. 8. As described above, the display device 4 may be a tablet, a smartphone, etc., and in this case, the hardware configuration is the same as the example illustrated in FIG. 8.

以上のように、本実施の形態では、正常なログを単語に分割し、単語をログの記載順に階層化し、階層化した単語を上位の階層とのリンクを示す情報とともに無害リストとして保持し、監視対象のログを単語に分割して、無害リストと照合することにした。このため、メモリの使用量を抑制しつつ攻撃の誤検出を低減することができる。 As described above, in this embodiment, normal logs are divided into words, the words are hierarchically organized in the order in which they appear in the log, and the hierarchical words are stored as a harmless list together with information indicating links to higher levels. Logs to be monitored are then divided into words and compared against the harmless list. This makes it possible to reduce false positives of attacks while suppressing memory usage.

実施の形態2.
図9は、実施の形態2にかかる攻撃検知支援システムの構成例を示す図である。本実施の形態の攻撃検知支援システム1aは、実施の形態1の攻撃検知支援システム1に中継装置5が追加されている。実施の形態1と同様の機能を有する構成要素は実施の形態1と同一の符号を付して重複する説明を省略する。以下、実施の形態1と異なる点を主に説明する。
Embodiment 2.
9 is a diagram showing a configuration example of an attack detection support system according to a second embodiment. An attack detection support system 1a according to this embodiment is obtained by adding a relay device 5 to the attack detection support system 1 according to the first embodiment. Components having the same functions as those in the first embodiment are given the same reference numerals as those in the first embodiment, and duplicated explanations will be omitted. Below, differences from the first embodiment will be mainly explained.

本実施の形態では、中継装置5が、監視対象装置2からログを受信し、受信したログに定められた処理を施し、処理後のログを攻撃検知装置3へ送信する。中継装置5が行う定められた処理は、例えば、監視対象装置2の時刻情報などに誤りがある場合に当該誤りを補正する処理、ログ内におけるホスト名などを別の名称に変更して監視対象装置2へ入力したい場合にホスト名などを変更する処理などである。これらの補正、変更などの処理を攻撃検知装置3が行うこともできるが、攻撃検知装置3はログの監視のために負荷が高くなっている。これらの補正、変更などの処理を中継装置5が行うことで、攻撃検知装置3の負荷を上げることなく、攻撃検知装置3へ入力するログを分析に適した形式に変換することができる。 In this embodiment, the relay device 5 receives logs from the monitored device 2, performs a predetermined process on the received logs, and transmits the processed logs to the attack detection device 3. The predetermined process performed by the relay device 5 is, for example, a process to correct an error when there is an error in the time information of the monitored device 2, and a process to change the host name in the log when it is desired to change the host name to a different name and input it to the monitored device 2. These correction and change processes can also be performed by the attack detection device 3, but the load on the attack detection device 3 is high due to the monitoring of logs. By having the relay device 5 perform these correction and change processes, the logs to be input to the attack detection device 3 can be converted into a format suitable for analysis without increasing the load on the attack detection device 3.

なお、上述したように監視対象装置2は複数であってもよく、複数の監視対象装置2が中継装置5へログを送信し、中継装置5がこれらの監視対象装置2から受信したログに処理を施して攻撃検知装置3へ送信してもよい。また、中継装置5を複数設け、各々の中継装置5が複数の監視対象装置2から受信したログに処理を施して攻撃検知装置3へ送信してもよい。 As described above, there may be multiple monitored devices 2, and multiple monitored devices 2 may send logs to the relay device 5, and the relay device 5 may process the logs received from these monitored devices 2 and send them to the attack detection device 3. Also, multiple relay devices 5 may be provided, and each relay device 5 may process the logs received from multiple monitored devices 2 and send them to the attack detection device 3.

図9に示すように、中継装置5は、通信部51および変換部52を備える。通信部51は、監視対象装置2からログを受信し、受信したログを変換部52へ出力する。変換部52は、通信部51から受け取ったログに時刻の補正、ホスト名など定められた項目の修正などの処理を行い処理後のログを、通信部51を介して攻撃検知装置3へ送信する。以上述べた以外の本実施の形態の構成および動作は実施の形態1と同様である。 As shown in FIG. 9, the relay device 5 includes a communication unit 51 and a conversion unit 52. The communication unit 51 receives logs from the monitored device 2 and outputs the received logs to the conversion unit 52. The conversion unit 52 performs processing on the logs received from the communication unit 51, such as correcting the time and modifying predetermined items such as the host name, and transmits the processed logs to the attack detection device 3 via the communication unit 51. Other than as described above, the configuration and operation of this embodiment are the same as those of embodiment 1.

本実施の形態の中継装置5も実施の形態1の攻撃検知装置3と同様にコンピュータシステムにより実現される。 The relay device 5 of this embodiment is also realized by a computer system, similar to the attack detection device 3 of embodiment 1.

以上のように、本実施の形態では、中継装置5が、監視対象装置2からログを受信し、受信したログに処理を施し、処理後のログを攻撃検知装置3へ送信するようにした。これにより、攻撃検知装置3の負荷を上げることなく、攻撃検知装置3へ入力するログを分析に適した状態とすることができる。 As described above, in this embodiment, the relay device 5 receives logs from the monitored device 2, processes the received logs, and transmits the processed logs to the attack detection device 3. This makes it possible to make the logs input to the attack detection device 3 suitable for analysis without increasing the load on the attack detection device 3.

実施の形態3.
図10は、実施の形態3にかかる攻撃検知支援システムの構成例を示す図である。実施の形態1の攻撃検知支援システム1は、攻撃検知装置3を1台備えたが、本実施の形態の攻撃検知支援システム1bは、攻撃検知装置3を2台備える。図10に示した攻撃検知装置3-1,3-2は、それぞれが実施の形態1の攻撃検知装置3である。実施の形態1と同様の機能を有する構成要素は実施の形態1と同一の符号を付して重複する説明を省略する。以下、実施の形態1と異なる点を主に説明する。
Embodiment 3.
Fig. 10 is a diagram showing an example of the configuration of an attack detection support system according to the third embodiment. The attack detection support system 1 according to the first embodiment includes one attack detection device 3, but the attack detection support system 1b according to the present embodiment includes two attack detection devices 3. The attack detection devices 3-1 and 3-2 shown in Fig. 10 are each the attack detection device 3 according to the first embodiment. Components having the same functions as those in the first embodiment are given the same reference numerals as those in the first embodiment, and duplicated explanations will be omitted. Below, differences from the first embodiment will be mainly explained.

本実施の形態では、攻撃検知装置3を2台備えることで攻撃検知装置3を冗長化している。冗長化のために攻撃検知装置3が2台設けられる場合、通常は、いずれか一方が運用に用いられ、他方は例えばスリープ状態などで待機し、運用中の攻撃検知装置3になんらかの異常などが生じた場合に、自動的に他方の攻撃検知装置3が処理を実行するように切り替わる。図10に示した例では、攻撃検知装置3-1,3-2はログおよび無害リストを同期している。例えば、攻撃検知装置3-1,3-2は、それぞれの通信部31を介して通信を行うことで、一方の装置においてデータが更新された場合には他方の装置でもデータが更新される。 In this embodiment, two attack detection devices 3 are provided to provide redundancy for the attack detection devices 3. When two attack detection devices 3 are provided for redundancy, typically one of them is used for operation, while the other is on standby, for example in a sleep state, and if an abnormality occurs in the attack detection device 3 in operation, the other attack detection device 3 automatically switches over to execute processing. In the example shown in FIG. 10, the attack detection devices 3-1 and 3-2 synchronize their logs and harmless lists. For example, the attack detection devices 3-1 and 3-2 communicate via their respective communication units 31, so that when data is updated in one device, the data is also updated in the other device.

本実施の形態では、上記のように冗長化のために、攻撃検知装置3が2台設けられている場合に、2台のうち一方は、解析部33による処理を行い判定部35による処理を行わず、他方は、判定部35による処理を行い解析部33による処理を行わない。例えば、運用中の攻撃検知装置3は、ログの収集、登録処理などを行い、他方の攻撃検知装置3は、判定部35によるログの攻撃検知処理を実施する。このように、待機中の攻撃検知装置3も一部の処理を分担することで、攻撃検知装置3の処理負荷を軽減することができ、処理の遅延などを抑制することができる。なお、2台の攻撃検知装置3のそれぞれが担う処理は上述した分担に限定されず、2台で処理が分担されればよい。 In this embodiment, when two attack detection devices 3 are provided for redundancy as described above, one of the two performs processing by the analysis unit 33 but not by the determination unit 35, and the other performs processing by the determination unit 35 but not by the analysis unit 33. For example, the attack detection device 3 in operation performs log collection and registration processing, and the other attack detection device 3 performs attack detection processing of the logs by the determination unit 35. In this way, by having the attack detection device 3 in standby also share some of the processing, the processing load of the attack detection device 3 can be reduced and processing delays can be suppressed. Note that the processing performed by each of the two attack detection devices 3 is not limited to the above-mentioned division, and it is sufficient that the processing is shared between the two devices.

なお、攻撃検知装置3を3台以上備え、3台以上の攻撃検知装置3で処理を分担するようにしてもよい。また、本実施の形態においても、実施の形態2で述べた中継装置5が用いられてもよい。例えば、中継装置5も冗長化されていてもよい。 It is also possible to provide three or more attack detection devices 3 and share the processing among the three or more attack detection devices 3. Also, in this embodiment, the relay device 5 described in the second embodiment may be used. For example, the relay device 5 may also be made redundant.

以上の実施の形態に示した構成は、一例を示すものであり、別の公知の技術と組み合わせることも可能であるし、実施の形態同士を組み合わせることも可能であるし、要旨を逸脱しない範囲で、構成の一部を省略、変更することも可能である。 The configurations shown in the above embodiments are merely examples, and may be combined with other known technologies, or the embodiments may be combined with each other. In addition, parts of the configurations may be omitted or modified without departing from the spirit of the invention.

1,1a,1b 攻撃検知支援システム、2 監視対象装置、3,3-1,3-2 攻撃検知装置、4 表示装置、5 中継装置、21 処理部、22,31,42,51 通信部、23,32 ログ記憶部、33 解析部、34 リスト記憶部、35 判定部、36 通知情報生成部、41 制御部、43 表示部、52 変換部。 1, 1a, 1b Attack detection support system, 2 Monitored device, 3, 3-1, 3-2 Attack detection device, 4 Display device, 5 Relay device, 21 Processing unit, 22, 31, 42, 51 Communication unit, 23, 32 Log storage unit, 33 Analysis unit, 34 List storage unit, 35 Determination unit, 36 Notification information generation unit, 41 Control unit, 43 Display unit, 52 Conversion unit.

Claims (9)

監視対象装置から取得された監視対象のログである監視対象ログとの照合に用いられる無害リストを記憶するリスト記憶部と、
前記監視対象装置から取得された正常なログを単語に分割し、前記正常なログにおける前記単語の記載順に、前記単語を上位層から順に階層に割当て、前記単語と、当該単語より前記正常なログにおいて上位の階層のそれぞれに対応する前記単語を識別する情報である上位層情報とを対応づけて前記無害リストとして前記リスト記憶部に格納する登録処理を行う解析部と、
前記監視対象ログを単語に分割し、前記監視対象ログにおける前記単語である監視対象単語の記載順に、前記監視対象単語を上位層から順に階層に割当て、前記階層ごとに前記監視対象単語を前記無害リストと照合し、前記監視対象単語が前記無害リストに合致しない場合に攻撃の可能性があると判定する判定部と、
を備えることを特徴とする攻撃検知装置。
a list storage unit that stores a harmless list used for matching with a monitoring target log, which is a log of a monitoring target acquired from a monitoring target device;
an analysis unit that performs a registration process of dividing a normal log acquired from the monitored device into words, allocating the words to hierarchies in the order in which the words are written in the normal log, starting from the highest hierarchies, and associating the words with upper layer information that identifies the words corresponding to each of the higher hierarchies in the normal log from the words, and storing the association results in the harmless list in the list storage unit;
a determination unit that divides the monitoring target log into words, assigns the monitoring target words to hierarchies in the order in which the monitoring target words, which are the words, are written in the monitoring target log, starting from the highest hierarchical level, compares the monitoring target words with the harmless list for each hierarchical level, and determines that there is a possibility of an attack if the monitoring target words do not match the harmless list;
An attack detection device comprising:
前記判定部により攻撃の可能性があると判定された場合に、攻撃の可能性があることを示す情報と、攻撃の可能性があると判定された前記監視対象ログである要確認ログとを含む通知情報を生成する通知情報生成部と、
前記通知情報を表示装置に送信する通信部と、
を備えることを特徴とする請求項1に記載の攻撃検知装置。
a notification information generating unit that generates notification information including information indicating the possibility of an attack and a check-required log that is the monitoring target log determined to have the possibility of an attack when the determining unit determines that there is a possibility of an attack;
A communication unit that transmits the notification information to a display device;
The attack detection device according to claim 1 , further comprising:
前記通信部は、前記表示装置へ前記通知情報を送信した後に、前記要確認ログが正常なログであることを示す情報を受信すると、受信した情報を前記解析部へ通知し、
前記解析部は、前記要確認ログを前記正常なログとして前記登録処理を行うことを特徴とする請求項2に記載の攻撃検知装置。
When the communication unit receives information indicating that the confirmation-required log is a normal log after transmitting the notification information to the display device, the communication unit notifies the analysis unit of the received information;
The attack detection device according to claim 2 , wherein the analysis unit performs the registration process by treating the check-required log as the normal log.
前記無害リストに含まれる前記単語の少なくとも一部は正規表現により表されることを特徴とする請求項1から3のいずれか1つに記載の攻撃検知装置。 An attack detection device according to any one of claims 1 to 3, characterized in that at least some of the words included in the harmless list are expressed by regular expressions. 監視対象装置から取得された監視対象のログである監視対象ログを用いて攻撃の可能性があるか否かを判定する攻撃検知装置と、
表示装置と、
を備え、
前記攻撃検知装置は、
前記監視対象ログとの照合に用いられる無害リストを記憶するリスト記憶部と、
前記監視対象装置から取得された正常なログを単語に分割し、前記正常なログにおける前記単語の記載順に、前記単語を上位層から順に階層に割当て、前記単語と、当該単語より前記正常なログにおいて上位の階層のそれぞれに対応する前記単語を識別する情報である上位層情報とを対応づけて前記無害リストとして前記リスト記憶部に格納する登録処理を行う解析部と、
前記監視対象ログを単語に分割し、前記監視対象ログにおける前記単語である監視対象単語の記載順に、前記監視対象単語を上位層から順に階層に割当て、前記階層ごとに前記監視対象単語を前記無害リストと照合し、前記監視対象単語が前記無害リストに合致しない場合に攻撃の可能性があると判定する判定部と、
前記判定部により攻撃の可能性があると判定された場合に、攻撃の可能性があることを示す情報と、攻撃の可能性があると判定された前記監視対象ログである要確認ログとを含む通知情報を生成する通知情報生成部と、
前記通知情報を前記表示装置に送信する通信部と、
を備え、
前記表示装置は、前記通知情報を表示することを特徴とする攻撃検知支援システム。
an attack detection device that determines whether or not there is a possibility of an attack using a monitoring target log that is a log of the monitoring target acquired from the monitoring target device;
A display device;
Equipped with
The attack detection device is
a list storage unit that stores a harmless list used for checking against the monitoring target log;
an analysis unit that performs a registration process of dividing a normal log acquired from the monitored device into words, allocating the words to hierarchies in the order in which the words are written in the normal log, starting from the highest hierarchies, and associating the words with upper layer information that identifies the words corresponding to each of the higher hierarchies in the normal log from the words, and storing the association results in the harmless list in the list storage unit;
a determination unit that divides the monitoring target log into words, assigns the monitoring target words to hierarchies in the order in which the monitoring target words, which are the words, are written in the monitoring target log, starting from the highest hierarchical level, compares the monitoring target words with the harmless list for each hierarchical level, and determines that there is a possibility of an attack if the monitoring target words do not match the harmless list;
a notification information generating unit that generates notification information including information indicating the possibility of an attack and a check-required log that is the monitoring target log determined to have the possibility of an attack when the determining unit determines that there is a possibility of an attack;
a communication unit that transmits the notification information to the display device;
Equipped with
The display device is an attack detection support system characterized in that it displays the notification information.
前記監視対象装置から前記監視対象ログおよび前記正常なログを取得し、取得した前記監視対象ログおよび前記正常なログに、定められた処理を施して前記攻撃検知装置へ送信する中継装置を備えることを特徴とする請求項5に記載の攻撃検知支援システム。 The attack detection support system according to claim 5, further comprising a relay device that acquires the monitored logs and the normal logs from the monitored devices, performs a predetermined process on the acquired monitored logs and the normal logs, and transmits them to the attack detection device. 前記攻撃検知装置を2台備え、
2台の前記攻撃検知装置のうちの一方は、前記解析部による処理を行い前記判定部による処理を行わず、2台の前記攻撃検知装置のうちの他方は、前記判定部による処理を行い前記解析部による処理を行わないことを特徴とする請求項5または6に記載の攻撃検知支援システム。
The attack detection device is provided with two units,
An attack detection support system as described in claim 5 or 6, characterized in that one of the two attack detection devices performs processing using the analysis unit and does not perform processing using the judgment unit, and the other of the two attack detection devices performs processing using the judgment unit and does not perform processing using the analysis unit.
監視対象装置から取得された監視対象のログである監視対象ログを用いて攻撃の可能性があるか否かを判定する攻撃検知装置における攻撃検知支援方法であって、
前記監視対象装置から取得された正常なログを単語に分割し、前記正常なログにおける前記単語の記載順に、前記単語を上位層から順に階層に割当て、前記単語と、当該単語より前記正常なログにおいて上位の階層のそれぞれに対応する前記単語を識別する情報である上位層情報とを対応づけて無害リストとして記憶するステップと、
前記監視対象装置から取得されたログである監視対象ログを単語に分割し、前記監視対象ログにおける前記単語である監視対象単語の記載順に、前記監視対象単語を上位層から順に階層に割当て、前記階層ごとに前記監視対象単語を前記無害リストと照合し、前記監視対象単語が前記無害リストに合致しない場合に攻撃の可能性があると判定するステップと、
を含むことを特徴とする攻撃検知支援方法。
1. An attack detection support method in an attack detection device that determines whether or not there is a possibility of an attack using a monitoring target log, which is a log of a monitoring target acquired from a monitoring target device, comprising:
a step of dividing a normal log acquired from the monitored device into words, allocating the words to hierarchies in the order in which the words are written in the normal log, starting from the highest hierarchies, and storing the words in association with higher-level hierarchical information, which is information identifying the words corresponding to each of the higher hierarchies in the normal log from the words in question, as a harmless list;
a step of dividing a monitoring target log, which is a log acquired from the monitoring target device, into words, allocating the monitoring target words to hierarchies in the order in which the words, which are the monitoring target words, are written in the monitoring target log, starting from the top layer, comparing the monitoring target words for each layer with the harmless list, and determining that there is a possibility of an attack if the monitoring target words do not match the harmless list;
An attack detection support method comprising:
監視対象装置から取得された監視対象のログである監視対象ログを用いて攻撃の可能性があるか否かを判定するコンピュータシステムに、
前記監視対象装置から取得された正常なログを単語に分割し、前記正常なログにおける前記単語の記載順に、前記単語を上位層から順に階層に割当て、前記単語と、当該単語より前記正常なログにおいて上位の階層のそれぞれに対応する前記単語を識別する情報である上位層情報とを対応づけて無害リストとして記憶するステップと、
前記監視対象装置から取得されたログである監視対象ログを単語に分割し、前記監視対象ログにおける前記単語である監視対象単語の記載順に、前記監視対象単語を上位層から順に階層に割当て、前記階層ごとに前記監視対象単語を前記無害リストと照合し、前記監視対象単語が前記無害リストに合致しない場合に攻撃の可能性があると判定するステップと、
を実行させることを特徴とする攻撃検知支援プログラム。
A computer system for determining whether or not there is a possibility of an attack using a monitoring target log, which is a log of a monitoring target acquired from a monitoring target device,
a step of dividing a normal log acquired from the monitored device into words, allocating the words to hierarchies in the order in which the words are written in the normal log, starting from the highest hierarchies, and storing the words in association with higher-level hierarchical information, which is information identifying the words corresponding to each of the higher hierarchies in the normal log from the words in question, as a harmless list;
a step of dividing a monitoring target log, which is a log acquired from the monitoring target device, into words, allocating the monitoring target words to hierarchies in the order in which the words, which are the monitoring target words, are written in the monitoring target log, starting from the top layer, comparing the monitoring target words for each layer with the harmless list, and determining that there is a possibility of an attack if the monitoring target words do not match the harmless list;
An attack detection support program comprising:
JP2021065328A 2021-04-07 2021-04-07 Attack detection device, attack detection support system, attack detection support method, and attack detection support program Active JP7614914B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021065328A JP7614914B2 (en) 2021-04-07 2021-04-07 Attack detection device, attack detection support system, attack detection support method, and attack detection support program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021065328A JP7614914B2 (en) 2021-04-07 2021-04-07 Attack detection device, attack detection support system, attack detection support method, and attack detection support program

Publications (2)

Publication Number Publication Date
JP2022160859A JP2022160859A (en) 2022-10-20
JP7614914B2 true JP7614914B2 (en) 2025-01-16

Family

ID=83658013

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021065328A Active JP7614914B2 (en) 2021-04-07 2021-04-07 Attack detection device, attack detection support system, attack detection support method, and attack detection support program

Country Status (1)

Country Link
JP (1) JP7614914B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005322140A (en) 2004-05-11 2005-11-17 Daiwa Institute Of Research Ltd Operation monitoring system and its method, and relay server
JP2008129662A (en) 2006-11-16 2008-06-05 Nec Corp Device, method and program for extracting information
JP2017083947A (en) 2015-10-23 2017-05-18 日本電信電話株式会社 Whitelist creation device, whitelist creation method, and whitelist creation program
WO2017221667A1 (en) 2016-06-20 2017-12-28 日本電信電話株式会社 Malicious communication log detection device, malicious communication log detection method, malicious communication log detection program
JP2020140250A (en) 2019-02-26 2020-09-03 日本電信電話株式会社 Anomaly detection device, anomaly detection method and anomaly detection program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005322140A (en) 2004-05-11 2005-11-17 Daiwa Institute Of Research Ltd Operation monitoring system and its method, and relay server
JP2008129662A (en) 2006-11-16 2008-06-05 Nec Corp Device, method and program for extracting information
JP2017083947A (en) 2015-10-23 2017-05-18 日本電信電話株式会社 Whitelist creation device, whitelist creation method, and whitelist creation program
WO2017221667A1 (en) 2016-06-20 2017-12-28 日本電信電話株式会社 Malicious communication log detection device, malicious communication log detection method, malicious communication log detection program
JP2020140250A (en) 2019-02-26 2020-09-03 日本電信電話株式会社 Anomaly detection device, anomaly detection method and anomaly detection program

Also Published As

Publication number Publication date
JP2022160859A (en) 2022-10-20

Similar Documents

Publication Publication Date Title
EP3803660B1 (en) Knowledge graph for real time industrial control system security event monitoring and management
CN117827788B (en) Intelligent 3D printing factory data processing method and system
JP2018045403A (en) Abnormality detection system and abnormality detection method
JP2006500654A (en) Adaptive problem determination and recovery in computer systems
CN110457953B (en) Method and device for detecting integrity of file
JP5208324B1 (en) Information system management apparatus, information system management method, and program
CN105553975A (en) Method for providing network service, device and system
JP2015018505A (en) Failure prediction apparatus
JP2019049802A (en) Failure analysis supporting device, incident managing system, failure analysis supporting method, and program
JP7614914B2 (en) Attack detection device, attack detection support system, attack detection support method, and attack detection support program
JP7215574B2 (en) MONITORING SYSTEM, MONITORING METHOD AND PROGRAM
CA2758682C (en) Plant control system, data to be equalized selection apparatus, and data to be equalized selection method
JP6541903B2 (en) Attack / abnormality detection device, attack / abnormality detection method, and attack / abnormality detection program
JP2006018684A (en) Task management system
KR102382134B1 (en) Attack detection device, attack detection method, and attack detection program
Zhou et al. A novel system anomaly prediction system based on belief markov model and ensemble classification
CN101931544A (en) Method and system for identifying unauthorized amendment of website content
CN113961571B (en) Multi-mode data sensing method and device based on data probe
EP1214655A1 (en) A method and system for handling errors in a distributed computer system
WO2020194449A1 (en) Warning device, control method, and program
US20250272172A1 (en) Resource Failure Mitigation
JPH03266100A (en) System for monitoring alarm setting plural conditions
CN119484138B (en) Ranger-based data lake operation and maintenance right control system and method
CN116451792B (en) Method, system, device and storage medium for solving large-scale fault prediction problem
Marsh et al. Integrating PCTRAN with AI-Driven Host-Intrusion Detection and Secured Container Systems for Advanced Malware Analysis (Summer Internship Report)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240401

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20241113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20241203

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20241227

R150 Certificate of patent or registration of utility model

Ref document number: 7614914

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150