JP7614914B2 - Attack detection device, attack detection support system, attack detection support method, and attack detection support program - Google Patents
Attack detection device, attack detection support system, attack detection support method, and attack detection support program Download PDFInfo
- Publication number
- JP7614914B2 JP7614914B2 JP2021065328A JP2021065328A JP7614914B2 JP 7614914 B2 JP7614914 B2 JP 7614914B2 JP 2021065328 A JP2021065328 A JP 2021065328A JP 2021065328 A JP2021065328 A JP 2021065328A JP 7614914 B2 JP7614914 B2 JP 7614914B2
- Authority
- JP
- Japan
- Prior art keywords
- words
- log
- monitoring target
- attack detection
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本開示は、攻撃検知装置、攻撃検知支援システム、攻撃検知支援方法および攻撃検知支援プログラムに関する。 This disclosure relates to an attack detection device, an attack detection support system, an attack detection support method, and an attack detection support program.
各種プラント、設備などを制御する制御システム、または情報処理を行う情報処理システムなどにおいて、システム外部からの攻撃の有無を判断する方法として、当該システム内の機器上に保管されたログを収集して分析する方法がある。例えば、特許文献1には、正常なログから、正規表現としてあらかじめ定められた抽出条件に合致する部分を抽出し、抽出した部分を正規表現に変換することでホワイトリストを作成し、監視対象のログがホワイトリストと合致しないログを異常なログと判定する技術が開示されている。
In control systems that control various plants and equipment, or information processing systems that process information, there is a method of collecting and analyzing logs stored on devices within the system to determine whether there is an attack from outside the system. For example,
しかしながら、特許文献1に記載の技術では、あらかじめログのフォーマットが明確で正規表現にして複数のログをまとめても問題ないとわかっている部分以外は、正規表現で表現することを避けている。このため、ログの監視対象のシステムにおいて機器の交換が行われる、またはソフトウェアのアップデートが行われるなどによってフォーマットが変更される可能性がある場合には、フォーマットが明確でないため正規表現を適用できず、ログの全文をそのまま記録することになる。誤検出を避けるには、様々な正常なログをホワイトリストとして蓄積することが望ましく、ホワイトリストを記憶するためのメモリの使用量が多くなる。
However, the technology described in
本開示は、上記に鑑みてなされたものであって、メモリの使用量を抑制しつつ攻撃の誤検出を低減することができる攻撃検知装置を得ることを目的とする。 The present disclosure has been made in consideration of the above, and aims to provide an attack detection device that can reduce false positives of attacks while suppressing memory usage.
上述した課題を解決し、目的を達成するために、本開示にかかる攻撃検知装置は、監視対象装置から取得された監視対象のログである監視対象ログとの照合に用いられる無害リストを記憶するリスト記憶部と、監視対象装置から取得された正常なログを単語に分割し、正常なログにおける単語の記載順に、単語を上位層から順に階層に割当て、単語と、当該単語より正常なログにおいて上位の階層のそれぞれに対応する単語を識別する情報である上位層情報とを対応づけて無害リストとしてリスト記憶部に格納する登録処理を行う解析部、を備える。攻撃検知装置は、さらに、監視対象ログを単語に分割し、監視対象ログにおける単語である監視対象単語の記載順に、監視対象単語を上位層から順に階層に割当て、階層ごとに監視対象単語を無害リストと照合し、監視対象単語が無害リストに合致しない場合に攻撃の可能性があると判定する判定部と、を備える。 In order to solve the above-mentioned problems and achieve the object, the attack detection device according to the present disclosure includes a list storage unit that stores a harmless list used for matching with a monitored log, which is a log of a monitored object obtained from a monitored device, and an analysis unit that performs a registration process that divides a normal log obtained from the monitored device into words, assigns the words to layers in order from the top layer in the order in which the words are written in the normal log, and associates the words with upper layer information, which is information that identifies words corresponding to each of the layers higher than the words in the normal log, and stores them in the list storage unit as a harmless list. The attack detection device further includes a determination unit that divides the monitored log into words, assigns the monitored words to layers in order from the top layer in the order in which the monitored words, which are words in the monitored log, in order, compares the monitored words with the harmless list for each layer, and determines that there is a possibility of an attack if the monitored words do not match the harmless list.
本開示によれば、メモリの使用量を抑制しつつ攻撃の誤検出を低減することができるという効果を奏する。 The present disclosure has the advantage of being able to reduce false positives of attacks while suppressing memory usage.
以下に、実施の形態にかかる攻撃検知装置、攻撃検知支援システム、攻撃検知支援方法および攻撃検知支援プログラムを図面に基づいて詳細に説明する。 The attack detection device, attack detection support system, attack detection support method, and attack detection support program according to the embodiments are described in detail below with reference to the drawings.
実施の形態1.
図1は、実施の形態1にかかる攻撃検知支援システムの構成例を示す図である。本実施の形態の攻撃検知支援システム1は、攻撃の監視対象の装置である監視対象装置2から、監視対象装置2における動作、処理などの各種の履歴が記憶されたログを取得し、取得したログを用いて監視対象装置2への外部からの攻撃を検知する。なお、図1では監視対象装置2を1台図示しているが、監視対象装置2は複数であってもよい。
Fig. 1 is a diagram showing a configuration example of an attack detection support system according to a first embodiment. The attack
監視対象装置2は、例えば一般的なコンピュータであってもよいし、FAPC(Factory Automation Personal Computer)であってもよいし、アクセススイッチなどの周辺機器であってもよいし、これらの混在であってもよく、ログを記録している装置であればよい。なお、ログはテキストとして記録されているとする。
The monitored
攻撃検知支援システム1は、監視対象装置2から取得したログを用いて攻撃の可能性の有無を検知する攻撃検知装置3と、攻撃検知装置による検知結果を表示する表示装置4とを備える。なお、攻撃検知装置3が表示部を備えることで、表示装置4と攻撃検知装置3とを一体化させてもよい。本実施の形態では、後述するように、攻撃検知装置3は、正常なログを単語に分割し、単語を階層化してツリー状の無害リストとして保持する。無害リストは、監視対象装置2から取得されたログである監視対象ログとの照合に用いられる。
The attack
ログを用いて攻撃を検知する方法として、あらかじめ攻撃検知のルールを定めておく方法も考えられるが、この場合、ログの監視対象のシステムにおいて機器の交換が行われたり、ソフトウェアのアップデートが行われたりといった事象があると、その都度ルールの更新作業を行う必要があり運用の負荷が生じる。また、あらかじめルールを定めるには、事前にログのフォーマットなどの情報を把握しておく必要があり、事前に情報の収集が困難なシステムには適用できない場合がある。事前に情報を把握せずにログを用いて攻撃を検知する方法としては、収集したログを用いて機械学習することで攻撃を検知する方法もあるが、機械学習による推論では、正常なログであるのに正常でないと判定したり、正常でないログを正常と判定したりといった誤判定の可能性がある。このため、攻撃の検知の精度を高める方法としては、監視対象のログを、正常であることがわかっているログと照合することで正常であるか否かを判定する方法がある。しかしながら、正常なログの全文を多数無害リストとして保持するとメモリの使用量が増大する。本実施の形態では、単語を階層化してツリー状の無害リストとして保持し、管理対象のログをツリー状の無害リストと照合することで、正常なログを全文無害リストとして保持する場合に比べメモリの使用量を抑制しつつ誤検出を抑制することができる。 One method of detecting attacks using logs is to define rules for attack detection in advance, but in this case, if an event such as equipment replacement or software update occurs in the system whose logs are being monitored, the rules must be updated each time, which creates an operational burden. In addition, in order to define rules in advance, it is necessary to know information such as the format of the logs in advance, and this may not be applicable to systems where it is difficult to collect information in advance. As a method of detecting attacks using logs without knowing the information in advance, there is a method of detecting attacks by machine learning using collected logs, but inference using machine learning may result in erroneous judgments, such as judging normal logs as abnormal or judging abnormal logs as normal. For this reason, one method of improving the accuracy of attack detection is to judge whether the logs being monitored are normal by comparing them with logs that are known to be normal. However, memory usage increases when a large number of full-text normal logs are stored as a harmless list. In this embodiment, words are organized into a hierarchy and stored as a tree-shaped harmless list, and the logs to be managed are compared with the tree-shaped harmless list, making it possible to reduce memory usage and false positives compared to when normal logs are stored as a full-text harmless list.
監視対象装置2は、処理部21、通信部22およびログ記憶部23を備える。処理部21は、あらかじめ定められた処理、オペレータからの指示に応じた処理などを実施し、各種の履歴を日時とともにログとしてログ記憶部23に格納する。通信部22は、ログ記憶部23に格納されているログを攻撃検知装置3へ送信する。通信部22は、攻撃検知装置3からログの送信の要求があったときにログを送信してもよいし、あらかじめ定められた周期で定期的にログを送信してもよい。ログ記憶部23は、ログを記憶する。
The monitored
攻撃検知装置3は、通信部31、ログ記憶部32、解析部33、リスト記憶部34、判定部35および通知情報生成部36を備える。通信部31は、監視対象装置2および表示装置4とそれぞれ通信を行う。通信部31は、例えば、監視対象装置2から、監視対象のログを受信し、受信したログをログ記憶部32に格納し、正常なログとして受信したログを解析部33へ渡す。正常なログについては後述する。
The
解析部33は、監視対象装置2から取得された正常なログを単語(ワード)に分割し、正常なログにおける単語の記載順に、単語を上位層から順に階層に割当て、単語と、当該単語より正常なログにおいて上位の階層のそれぞれに対応する単語を識別する情報である上位層情報とを対応づけて無害リストとしてリスト記憶部34に格納する登録処理を行う。詳細には、解析部33は、通信部31から受け取った正常なログを単語に分割し、単語をログの記載順に階層化し、階層化した単語を上位の階層とのリンクを示す上位層情報とともに無害リストとしてリスト記憶部34に格納する。本実施の形態では、無害リストは、正常なログ内の単語が階層化されてツリー状に関連付けられたものとなる。本実施の形態の無害リストの詳細は後述する。正常なログは、例えば、正常であることが判明している期間に取得されたログであり、例えばユーザーによりこの期間が指定されることで、通信部31がこの期間のログを監視対象装置2から受信すると、解析部33へ正常なログとして出力する。また、後述するように、表示装置4では、攻撃検知装置3によって攻撃の可能性のあるログを検知したことを示す情報を表示すると、ユーザーから当該ログが正常であるか否かの入力を受け付ける。通信部31は、表示装置4から、正常であるとユーザーによって判断されたログを受信すると、当該ログも正常なログとして解析部33へ出力する。
The
判定部35は、監視対象のログを単語に分割し、監視対象のログにおける単語である監視対象単語の記載順に、監視対象単語を上位層から順に階層に割当て、階層ごとに監視対象単語を無害リストと照合し、監視対象単語が無害リストに合致しない場合に攻撃の可能性があると判定する。詳細には、判定部35は、ログ記憶部32に記憶されている監視対象のログを読み出し、読み出したログを無害リストと照合することで、監視対象のログが無害であるか否かを判断し、監視対象のログが無害でないと判断した場合には攻撃の可能性があると判定して、攻撃の可能性があると判定されたログの内容とともに判定結果を通知情報生成部36へ通知する。
The
通知情報生成部36は、判定部35により攻撃の可能性があると判定された場合に、攻撃の可能性があることを示す情報と、攻撃の可能性があると判定された監視対象のログである要確認ログとを含む通知情報を生成する。詳細には、通知情報生成部36は、判定部35から攻撃の可能性があると判定された判定結果を受け取ると、攻撃の可能性があることを示す通知情報を生成する。通知情報生成部36は、通知情報に、攻撃の可能性があると判定されたログの内容を含める。通知情報生成部36は、通信部31を介して通知情報を表示装置4へ送信する。
When the
ログ記憶部32は、監視対象のログを記憶する。リスト記憶部34は、無害リストを記憶する。
The
表示装置4は、攻撃検知装置3から受信した通知情報を表示する。表示装置4は、制御部41、通信部42および表示部43を備える。通信部42は、攻撃検知装置3から通知情報を受信すると、制御部41へ渡す。制御部41は、通信部42から受信した通知情報を用いて、表示部43に表示するための表示情報を生成して表示部43へ出力する。表示情報は、攻撃検知装置3から受信した通知情報の内容、すなわち、攻撃の可能性を検知した旨を示す情報と対応するログの内容とを含む。表示部43は、表示情報を表示する。また、制御部41は、図示を省略した入力手段、または表示部43と一体化された入力手段が、ユーザーから、表示部43に表示されたログが正常である旨の入力を受け付けると、表示部43に表示されたログ、すなわち攻撃検知装置3から受信した通知情報に含まれるログを、正常なログと判定する。そして、制御部41は、正常なログであることを示す情報とともに当該ログを、攻撃検知装置3へ送信する。表示部43は、制御部41から受け取った表示情報を表示する。
The display device 4 displays the notification information received from the
表示装置4は、パーソナルコンピュータであってもよいし、タブレット、スマートフォンなどであってもよい。例えば、攻撃検知装置3がWebサーバとしての機能を有し、通知情報生成部36が、htmlファイルなどのようにブラウザで閲覧可能な形式で通知情報を生成してもよい。
The display device 4 may be a personal computer, a tablet, a smartphone, or the like. For example, the
次に、本実施の形態の動作について説明する。図2は、本実施の形態の無害リストの生成手順の一例を示すフローチャートである。図2に示すように、攻撃検知装置3は、無害リストの登録対象のログを受信する(ステップS1)。詳細には、通信部31が、上述した正常なログを、無害リストの登録対象のログとして受信し、解析部33へ渡す。
Next, the operation of this embodiment will be described. FIG. 2 is a flowchart showing an example of a procedure for generating a harmless list in this embodiment. As shown in FIG. 2, the
次に、攻撃検知装置3は、無害リストの登録対象のログを、単語に分割する(ステップS2)。詳細には、解析部33が、通信部31から正常なログを、スペースなど定められた区切りを単位として単語に分割する。なお、単語の区切りはスペースに限定されず、カンマなどであってもよく、例えば、ユーザーによって設定される。
Next, the
次に、攻撃検知装置3は、上位階層と関連付けて単語を記録し(ステップS3)、処理を終了する。詳細には、解析部33が、単語を、ログにおける記載順の順に階層に対応づける。例えば、最初に記載されている単語は第1階層であり、次に記載されている単語は第2階層といったように、単語の記載順に単語を階層に対応づける。そして、各階層の単語を上位の階層の単語と関連づけ、上位階層と関連づけた単語を無害リストとしてリスト記憶部34に格納する。
The
例えば、正常なログに“I amn’t hacker.”と記載されていたとする。このログは、“I”、“amn’t”、“hacker.”の3つの単語に分割され、“I”は第1階層の単語であり、“amn’t”は第2階層の単語であり、“hacker.”は第3階層の単語となる。そして、第2階層の“amn’t”は、上位の第1階層の“I”につながりがあり、第3階層の“hacker.”は、第1階層の“I”と第2階層の“amn’t”につながりがある。この場合、第2階層の“amn’t”は上位の第1階層の“I”と関連付けられ、第3階層の“hacker.”は、第1階層の“I”と第2階層の“amn’t”に関連付けられる。 For example, suppose a normal log contains the entry "I amn't hacker." This log is split into three words, "I", "amn't", and "hacker.", where "I" is a word in the first hierarchy, "amn't" is a word in the second hierarchy, and "hacker." is a word in the third hierarchy. "amn't" in the second hierarchy is connected to "I" in the higher hierarchy, and "hacker." in the third hierarchy is connected to "I" in the first hierarchy and "amn't" in the second hierarchy. In this case, "amn't" in the second hierarchy is associated with "I" in the higher hierarchy, and "hacker." in the third hierarchy is associated with "I" in the first hierarchy and "amn't" in the second hierarchy.
なお、すでに上位層の関連付けまで含めて同一の単語がすでに無害リストに含まれている場合には、解析部33は、当該単語は無害リストに追加せず、上位層の関連付けまで含めて同一の単語が無害リストに無い場合に、無害リストに新たに単語を追加する。上位層の関連付けまで含めて同一の単語とは、例えば、第2階層の単語を例に挙げると、単に第2階層単独でみた場合に同一の単語であるというだけでなく当該第2階層に関連付けられている第1階層の単語も同じ単語である。すなわち、解析部33は、上記の“I amn’t hacker.”を正常なログとして処理して無害リストに単語を登録した後に、“I amn’t attacker.”という正常なログを取得した場合、第1階層の“I”は既に登録されているため、無害リストに登録せず、第2階層の“amn’t”についても、上位層の“I”も同一の第2階層の“amn’t”が既に登録されているため、登録しない。
If the same word is already included in the harmless list, including the associations in the upper layers, the
図3は、本実施の形態の無害リストをツリー状に表現した図である。上述したように、ログ内の各単語を上位の階層と関連づけることで、解析部33は、図3に示すようなツリー状の関係を求めることができる。図3に示した例では、第1階層の単語として“I”が示されており、この単語を、上位の階層との関連とともに識別する情報として、“I”の上部にワード1と記載されている。第1階層は上位の階層はないことから、“I”については第1階層内における識別番号である1だけが付与されている。
Figure 3 is a diagram showing the harmless list of this embodiment in the form of a tree. As described above, by relating each word in the log to a higher level, the
第2階層の単語として、図3では、“amn’t”と“didn’t”の2つが示されており、これら2つの単語はいずれも上位の第1階層の“I”と関連付けられている。ここでは、第2階層における“amn’t”、“didn’t”の識別番号をそれぞれ1,2としており、“amn’t”の上部にはワード1-1と記載され、“didn’t”のの上部にはワード1-2と記載される。ワード1-1は、最後の数値1が第2階層における単語の識別番号を示し、ハイフンの前の1は、関連づけられている単語の第1階層における識別番号を示している。
Figure 3 shows two words in the second hierarchy, "amn't" and "didn't," both of which are associated with "I" in the higher-level first hierarchy. Here, the identification numbers for "amn't" and "didn't" in the second hierarchy are 1 and 2, respectively, and word 1-1 is written above "amn't," and word 1-2 is written above "didn't." In word 1-1, the
また、第3階層の単語として、図3では、“hacker\.”、“attacker\.”、“attack\.”の3つが示されている。これらのうち“hacker\.”、“attacker\.”はいずれも、第1階層の“I”および第2階層の“amn’t”に関連付けられており、“attack\.”は、第1階層の“I”および第2階層の“didn’t”に関連付けられている。なお、ピリオドが正規表現で任意の1文字の意味で用いられることから、ピリオドの前に“\”をつけて、任意の1文字の意味ではなくピリオドの文字自体であることを表現している。図3に示した例では、第3階層における“hacker\.”の識別番号を1としており、“hacker\.”の上部には、上位階層との関連も含む情報としてワード1-1-1が記載されている。“attacker\.”、“attack\.”についても同様に、上位階層との関連も含む情報として、それぞれワード1-1-2、1-2-1が記載されている。 Figure 3 shows three words in the third hierarchy: "hacker\.", "attacker\.", and "attack\.". Of these, "hacker\." and "attacker\." are both associated with "I" in the first hierarchy and "amn't" in the second hierarchy, while "attack\." is associated with "I" in the first hierarchy and "didn't" in the second hierarchy. Since a period is used in regular expressions to mean any one character, "\" is placed before the period to indicate that it is the period character itself, rather than any one character. In the example shown in Figure 3, the identification number of "hacker\." in the third hierarchy is 1, and above "hacker\.", word 1-1-1 is written as information including its relationship to the upper hierarchy. Similarly, words 1-1-2 and 1-2-1 are written for "attacker\." and "attack\.", respectively, as information including its relationship to the upper hierarchy.
図3に示すように、正常なログに“I amn’t hacker.”と “I amn’t attacker.”の2つが含まれる場合、本実施の形態では、共通する“I amn’t”の部分は、1回ずつ単語として登録されればよい。なお、図3に示した例では、簡易なモデルを示しているため、単語数が少ないが、一般的には階層数はより多数であり、また登録されるログの数も多いため、全文を正常なログとして保持するには多くのメモリを使用する。本実施の形態では、階層化してツリー状に無害リストを保持するため、正常なログを全文保持する場合に比べてメモリの使用量を抑制することができる。 As shown in FIG. 3, if a normal log contains both "I amn't hacker." and "I amn't attacker.", in this embodiment, the common part "I amn't" only needs to be registered as a word once each. Note that the example shown in FIG. 3 shows a simple model, so the number of words is small, but generally there are more hierarchies and a large number of logs are registered, so a large amount of memory is used to hold the entire text as a normal log. In this embodiment, the harmless list is stored in a hierarchical tree structure, so memory usage can be reduced compared to when the entire text of a normal log is stored.
なお、図3では、関連性を示すために無害リストをツリー状に表示しているが、実際には、無害リストとして、上位階層との関連付けを示す情報とともに単語がリスト記憶部34に格納される。図4は、本実施の形態のリスト記憶部34に格納される無害リストの一例を示す図である。図4に示した例では、無害リストとして、階層ごとに、単語の識別番号と単語と上位階層リンクとが格納される。上位階層リンクは、関連づけられる上位階層の単語を識別する上位層情報である。図4に示した例では、上位階層が1層の場合には、当該上位階層における関連付けられている単語の識別番号が上位階層リンクの欄に格納される。また、上位階層が2層以上の場合には、jを3以上の整数とするとき、第j階層の上位階層リンクは、第1階層、第2階層、・・・、第(j-1)階層のそれぞれに関連づけられている単語の識別番号が、この順で、ハイフンで区切られて示される。なお、図4に示すように、関連付けられている上位層のリンクごとに、すなわち上位階層リンクが1-1の場合と1-2の場合とで分けてそれぞれ識別番号が付与される。なお、図4に示した無害リストは一例であり、同等の内容を記録することができればよく、具体的な識別番号の付与方法、形式などは図4に示した例に限定されない。
In FIG. 3, the harmless list is displayed in a tree format to show the associations, but in reality, the words are stored in the
また、図3および図4に示した例では、正常なログに含まれる単語自体を用いているが、無害リストに含まれる単語のうちの少なくとも一部は正規表現により表されてもよい。例えば、正常なログとして第1階層に、一文字の大文字のアルファベットの全てが登録された場合、これらのA-Zのそれぞれの単語の代わりに、1つの正規表現“[A-Z]”を用いてもよい。このように正規表現を用いることでさらに無害リストのサイズを低減することができる。なお、本実施の形態では、このように正規表現で表されたひとまとまりの部分も単語と呼ぶ。なお、1つの単語のうちの一部が正規表現で表されてもよい。 In the examples shown in Figures 3 and 4, the words themselves contained in the normal log are used, but at least some of the words contained in the harmless list may be expressed by regular expressions. For example, if all single-letter uppercase alphabet characters are registered in the first hierarchical level as normal logs, a single regular expression "[A-Z]" may be used in place of each of these words A-Z. By using regular expressions in this way, the size of the harmless list can be further reduced. Note that in this embodiment, a group of parts expressed in this way using regular expressions is also called a word. Note that a part of a word may be expressed in a regular expression.
次に、本実施の形態の監視対象のログを用いた攻撃検知について説明する。図5は、本実施の形態の攻撃検知処理手順の一例を示すフローチャートである。図5に示すように、攻撃検知装置3は、監視対象のログを取得する(ステップS11)。詳細には、通信部31が監視対象装置2から監視対象のログを受信し、受信したログをログ記憶部32に格納する。
Next, attack detection using the logs of the monitored object in this embodiment will be described. FIG. 5 is a flowchart showing an example of an attack detection processing procedure in this embodiment. As shown in FIG. 5, the
次に、攻撃検知装置3は、監視対象のログを単語に分割する(ステップS12)。詳細には、判定部35が、ログ記憶部32に格納されている監視対象のログを単語に分割する。単語に分割する方法は、ステップS2で述べた方法と同様である。
Next, the
次に、攻撃検知装置3は、処理対象の階層を示す変数であるiを1に設定する(ステップS13)。次に、攻撃検知装置3は、ログの第i階層の単語が、無害リストの第i階層の単語とリンク先も含めて一致するか否かを判定する(ステップS14)。詳細には、まず、判定部35が、ステップS12で分割した単語を記載順に並べ、記載順に第1階層から順に階層を対応づける。そして、判定部35は、ステップS12で分割した単語のうち第1階層の単語が、リスト記憶部34に記憶されている無害リストの第1階層の単語とリンク先も含めて一致するか否かを判定する。第1階層の場合には、上位階層がないため、リスト記憶部34に記憶されている無害リストの第1階層の単語のうち、ステップS12で分割した単語のうち第1階層の単語と一致するものがあるか否かを判定する。iが2以上の場合には、判定部35は、リスト記憶部34に記憶されている無害リストの第i階層の単語のうち、監視対象のログの第i階層の単語と一致し、かつ、監視対象のログにおける第i階層より上位の階層の単語が上位階層リンクと合致しているものがあるか否かを判定する。
Next, the
例えば、図4に示した無害リストがリスト記憶部34に格納されている場合に、監視対象のログとして“I amn’t attacker.”というログを取得した場合、判定部35は、i=1の場合には、監視対象のログの第1階層の“I”が無害リストの第1階層の単語に含まれているため、ステップS14でYesと判定する。また、i=2の場合には、監視対象のログの第2階層の“amn’t”が無害リストの第2階層の単語に含まれており、また、第2階層の“amn’t”の上位階層リンクに示されている1は第1階層の“I”に対応する識別番号でありリンク先も含めて一致するため、ステップS14でYesと判定する。同様に、i=3の場合にも、“attacker.”は無害リストの第3階層の単語とリンク先も含めて一致するため、判定部35は、ステップS14でYesと判定する。
For example, when the harmless list shown in FIG. 4 is stored in the
一方、例えば、図4に示した無害リストがリスト記憶部34に格納されている場合に、監視対象のログとして“I amn’t traitor.”というログを取得した場合、判定部35は、i=1の場合と、i=2の場合とでは、ステップS14でYesと判定するが、i=3の場合は、“traitor.”が無害リストの第3階層にないためステップS14でNoと判定する。
On the other hand, for example, when the harmless list shown in FIG. 4 is stored in the
また、例えば、図4に示した無害リストがリスト記憶部34に格納されている場合に、監視対象のログとして“I attacker amn’t.”というログを取得した場合、判定部35は、i=1の場合では、ステップS14でYesと判定するが、i=2の場合は、“attacker”が無害リストの第2階層にないためステップS14でNoと判定する。このように、単語単体では、無害リストに含まれていても、階層が異なる場合にはステップS14でNoと判定される。
For example, when the harmless list shown in FIG. 4 is stored in the
図5の説明に戻る。ステップS14でYesと判定されると、攻撃検知装置3の判定部35は、iがimaxに等しいか否かを判断する(ステップS16)。imaxは、ステップS12において単語に分割した際に決定される監視対象のログの単語数である。iがimaxに等しい場合(ステップS16 Yes)、攻撃検知装置3は処理を終了する。なお、ステップS16でYesと判断される場合には、ログが全階層で無害リストに合致すると判定された場合であるため、攻撃検知装置3の判定部35は監視対象のログが正常であると判定する。ここでは、攻撃検知装置3は監視対象のログが正常であると判定した場合にはなにも処理を行わない例を示しているが、監視対象のログが正常であると判定した場合にも判定結果を通知情報生成部36へ通知してもよい。この場合、通知情報生成部36は、監視対象のログが正常であることを示す通知情報を、通信部31を介して表示装置4へ送信する。
Return to the explanation of FIG. 5. If the answer to step S14 is Yes, the
iがimaxに等しくない場合(ステップS16 No)、攻撃検知装置3の判定部35は、i=i+1とし(ステップS17)、ステップS14の処理を再度実施する。また、ステップS14でNoと判定された場合(ステップS14 No)、攻撃検知装置3は、攻撃の可能性があることを通知し(ステップS15)、処理を終了する。詳細には、ステップS15では、判定部35は、攻撃の可能性があることを、対応するログとともに通知情報生成部36へ通知し、通知情報生成部36は、攻撃の可能性があること示す通知情報を生成して、通信部31を介して表示装置4へ送信する。上述したように通知情報には、攻撃の可能性があると判定されたログの内容を含む。なお、通知情報生成部36がhtmlファイルとして通知情報を生成する場合には、表示装置4から対応するURL(Uniform Resource Locator)が指定された場合に、表示装置4へ通知情報を送信する。
If i is not equal to imax (step S16 No), the
以上の処理により、攻撃検知装置3は、監視対象のログをツリー状の無害リストと照合することで、攻撃の可能性の有無を判定することができる。表示装置4は、通知情報を受信すると、表示部43に表示する。これによりユーザーは攻撃の可能性のログがあったことを認識することができる。
By performing the above process, the
図6は、本実施の形態の表示装置4に表示される画面の一例を示す図である。表示装置4は、通知情報を受信すると、例えば、図6に示すように、攻撃の可能性のあるログを検出したことを示すメッセージと、対応するログと、対処方法の選択を促す情報とを表示する。図6に示した例では、攻撃の可能性のあるログを検出したことを示すメッセージとして「攻撃の可能性のあるログが検出されました」というメッセージが表示され、その下に対応するログの内容が表示されている。図6では、“I amn’t traitor.”というログが無害リストと合致しないと判定された例を示している。また、図6では、対処方法の選択肢として、「対処しない」、「無害リストに登録」、「警報」の3つの選択肢が示されており、これらは入力を受け付けるボタンとなっている。ユーザーは、これらの3つのボタンのうちのいずれかをクリックまたはタッチすることで、対処方法を選択することができる。なお、具体的に表示するメッセージなどの内容、配置、対処方法の入力の受付方法などは図6の例に限定されず、同等の内容が表示されればどのような形式で表示が行われてもよい。 Figure 6 is a diagram showing an example of a screen displayed on the display device 4 of the present embodiment. When the display device 4 receives notification information, for example, as shown in Figure 6, it displays a message indicating that a log with a possible attack has been detected, the corresponding log, and information prompting the user to select a countermeasure. In the example shown in Figure 6, a message "A log with a possible attack has been detected" is displayed as a message indicating that a log with a possible attack has been detected, and the contents of the corresponding log are displayed below it. Figure 6 shows an example in which a log "I am not traitor." is determined not to match the harmless list. In addition, Figure 6 shows three options for countermeasures: "Do not take action," "Register in harmless list," and "Warning," which are buttons that accept input. The user can select a countermeasure by clicking or touching one of these three buttons. Note that the specific contents, arrangement, and method of accepting input of countermeasures, etc., of the message to be displayed are not limited to the example of Figure 6, and any format may be used as long as the equivalent contents are displayed.
「対処しない」が選択された場合には、特に対処はされない。「警報」が選択された場合には、攻撃が検知された場合の処置を担当する担当者などに攻撃が検知されたことを示すメッセージが送信されるなどにより、警報が発せられる。「無害リストに登録」が選択された場合には、表示装置4の制御部41は、対応するログを、当該ログが正常であることを示す情報とともに、通信部42を介して攻撃検知装置3へ送信する。これにより、攻撃検知装置3は、図2に示した無害リストの登録処理を実施し、“I amn’t traitor.”に対応する無害リストを登録する。すなわち、攻撃検知装置3の通信部31は、表示装置4へ要確認ログを含む通知情報を送信した後に、要確認ログが正常なログであることを示す情報を表示装置4から受信すると、受信した情報を解析部33へ通知し、解析部33は、要確認ログを正常なログとして登録処理を行う。
When "Do not deal with" is selected, no particular action is taken. When "Alert" is selected, an alert is issued, such as by sending a message indicating that an attack has been detected to a person in charge of handling a detected attack. When "Register in harmless list" is selected, the
図7は、新たに単語が登録された後の本実施の形態の無害リストをツリー状に表現した図である。図7は、無害リストが図3に示した状態であるときに、“I amn’t traitor.”のログが攻撃検知処理により攻撃の可能性があると判定され、表示装置4によってその旨が表示され、ユーザーが“I amn’t traitor.”を正常であると判断して、図6に例示した「無害リストに登録」を選択した例に相当する。その後、攻撃検知装置3が図2に示した処理を実施することで、図7の破線で示したように、第3階層に“traitor\.”が追加される。
Figure 7 is a diagram showing the harmless list of this embodiment in the form of a tree after a new word has been registered. Figure 7 corresponds to an example in which, when the harmless list is in the state shown in Figure 3, the log "I amn't traitor." is judged to be a possible attack by the attack detection process, this is displayed by the display device 4, and the user judges "I amn't traitor." to be normal and selects "Register to harmless list" as shown in Figure 6. The
なお、以上では、分割した単語の全てを照合する例を説明したが、例えば、日時などのように頻繁に変化する単語などのように照合の対象から除外したいものがあれば、除外する部分を設けてもよい。例えば、ログの先頭が日時である場合には、ログの記載順の先頭の単語は照合の対象から除外することとし、記載順が2番目の単語を第1階層として、上述した無害リストの登録処置と攻撃検知処理とを実施してもよい。また、何番目の単語を照合の除外とするかをユーザーが設定できるようにしてもよい。 Although the above describes an example in which all divided words are matched, if there are words that change frequently, such as dates and times, that you want to exclude from matching, you can provide a section to exclude them. For example, if the log begins with a date and time, the first word in the log's order of appearance can be excluded from matching, and the second word in the order of appearance can be treated as the first hierarchical level, and the above-mentioned harmless list registration process and attack detection process can be performed. Also, the user may be able to set which words are to be excluded from matching.
次に、各装置のハードウェア構成について説明する。本実施の形態の攻撃検知装置3は、コンピュータシステム上で、攻撃検知装置3における処理が記述されたプログラムが実行されることにより、コンピュータシステムが攻撃検知装置3として機能する。図8は、本実施の形態の攻撃検知装置3を実現するコンピュータシステムの構成例を示す図である。図8に示すように、このコンピュータシステムは、制御部101と入力部102と記憶部103と表示部104と通信部105と出力部106とを備え、これらはシステムバス107を介して接続されている。
Next, the hardware configuration of each device will be described. In this embodiment, the
図8において、制御部101は、例えば、CPU(Central Processing Unit)等のプロセッサであり、本実施の形態の攻撃検知装置3における処理が記述されたプログラムを実行する。入力部102は、たとえばキーボード、マウスなどで構成され、コンピュータシステムの使用者が、各種情報の入力を行うために使用する。記憶部103は、RAM(Random Access Memory),ROM(Read Only Memory)などの各種メモリおよびハードディスクなどのストレージデバイスを含み、上記制御部101が実行すべきプログラム、処理の過程で得られた必要なデータ、などを記憶する。また、記憶部103は、プログラムの一時的な記憶領域としても使用される。表示部104は、ディスプレイ、LCD(液晶表示パネル)などで構成され、コンピュータシステムの使用者に対して各種画面を表示する。通信部105は、通信処理を実施する受信機および送信機である。出力部106は、プリンタなどである。なお、図8は、一例であり、コンピュータシステムの構成は図8の例に限定されない。
In FIG. 8, the control unit 101 is a processor such as a CPU (Central Processing Unit), and executes a program in which the processing in the
ここで、本実施の形態のプログラムが実行可能な状態になるまでのコンピュータシステムの動作例について説明する。上述した構成をとるコンピュータシステムには、たとえば、図示しないCD(Compact Disc)-ROMドライブまたはDVD(Digital Versatile Disc)-ROMドライブにセットされたCD-ROMまたはDVD-ROMから、プログラムが記憶部103にインストールされる。そして、プログラムの実行時に、記憶部103から読み出されたプログラムが記憶部103の主記憶領域に格納される。この状態で、制御部101は、記憶部103の主記憶領域に格納されたプログラムに従って、本実施の形態の攻撃検知装置3としての処理を実行する。
Here, an example of the operation of the computer system until the program of this embodiment is in a state where it can be executed will be described. In the computer system having the above-mentioned configuration, for example, the program is installed in the storage unit 103 from a CD-ROM or DVD-ROM set in a CD (Compact Disc)-ROM drive or DVD (Digital Versatile Disc)-ROM drive (not shown). Then, when the program is executed, the program read from the storage unit 103 is stored in the main memory area of the storage unit 103. In this state, the control unit 101 executes processing as the
なお、上記の説明においては、CD-ROMまたはDVD-ROMを記録媒体として、攻撃検知装置3における処理を記述したプログラムを提供しているが、これに限らず、コンピュータシステムの構成、提供するプログラムの容量などに応じて、たとえば、通信部105を経由してインターネットなどの伝送媒体により提供されたプログラムを用いることとしてもよい。
In the above explanation, a program describing the processing in the
図1に示した攻撃検知装置3のうち、解析部33、判定部35および通知情報生成部36は、図8に示した記憶部103に記憶されたプログラムが図8に示した制御部101により実行されることにより実現される。図1に示したログ記憶部32およびリスト記憶部34は、図8に示した記憶部103の一部である。図1に示した通信部31は、図8に示した通信部105により実現される。なお、攻撃検知装置3は複数のコンピュータシステムにより実現されてもよい。また、攻撃検知装置3は、クラウドシステムにより実現されてもよい。
Of the
攻撃検知装置3における処理が記述された攻撃検知支援プログラムは、例えば、コンピュータシステムに、監視対象装置2から取得された正常なログを単語に分割し、正常なログにおける単語の記載順に、単語を上位層から順に階層に割当て、単語と、当該単語より正常なログにおいて上位の階層のそれぞれに対応する単語を識別する情報である上位層情報とを対応づけて無害リストとして記憶するステップ、を実行させる。さらに、攻撃検知支援プログラムは、監視対象装置2から取得されたログである監視対象ログを単語に分割し、監視対象ログにおける単語である監視対象単語の記載順に、監視対象単語を上位層から順に階層に割当て、階層ごとに監視対象単語を無害リストと照合し、監視対象単語が無害リストに合致しない場合に攻撃の可能性があると判定するステップ、を実行させる。
The attack detection support program, in which the processing in the
また、表示装置4についても、同様に、図8に例示したコンピュータシステムにより実現することができる。例えば、制御部41は、図8に示した記憶部103に記憶されたプログラムが図8に示した制御部101により実行されることにより実現される。図1に示した表示部43は、図8に示した表示部104により実現される。図1に示した通信部42は、図8に示した通信部105により実現される。なお、上述したように、表示装置4は、タブレット、スマートフォンなどであってもよく、この場合もハードウェア構成は図8に示した例と同様である。
Similarly, the display device 4 can be realized by the computer system illustrated in FIG. 8. For example, the
以上のように、本実施の形態では、正常なログを単語に分割し、単語をログの記載順に階層化し、階層化した単語を上位の階層とのリンクを示す情報とともに無害リストとして保持し、監視対象のログを単語に分割して、無害リストと照合することにした。このため、メモリの使用量を抑制しつつ攻撃の誤検出を低減することができる。 As described above, in this embodiment, normal logs are divided into words, the words are hierarchically organized in the order in which they appear in the log, and the hierarchical words are stored as a harmless list together with information indicating links to higher levels. Logs to be monitored are then divided into words and compared against the harmless list. This makes it possible to reduce false positives of attacks while suppressing memory usage.
実施の形態2.
図9は、実施の形態2にかかる攻撃検知支援システムの構成例を示す図である。本実施の形態の攻撃検知支援システム1aは、実施の形態1の攻撃検知支援システム1に中継装置5が追加されている。実施の形態1と同様の機能を有する構成要素は実施の形態1と同一の符号を付して重複する説明を省略する。以下、実施の形態1と異なる点を主に説明する。
9 is a diagram showing a configuration example of an attack detection support system according to a second embodiment. An attack
本実施の形態では、中継装置5が、監視対象装置2からログを受信し、受信したログに定められた処理を施し、処理後のログを攻撃検知装置3へ送信する。中継装置5が行う定められた処理は、例えば、監視対象装置2の時刻情報などに誤りがある場合に当該誤りを補正する処理、ログ内におけるホスト名などを別の名称に変更して監視対象装置2へ入力したい場合にホスト名などを変更する処理などである。これらの補正、変更などの処理を攻撃検知装置3が行うこともできるが、攻撃検知装置3はログの監視のために負荷が高くなっている。これらの補正、変更などの処理を中継装置5が行うことで、攻撃検知装置3の負荷を上げることなく、攻撃検知装置3へ入力するログを分析に適した形式に変換することができる。
In this embodiment, the
なお、上述したように監視対象装置2は複数であってもよく、複数の監視対象装置2が中継装置5へログを送信し、中継装置5がこれらの監視対象装置2から受信したログに処理を施して攻撃検知装置3へ送信してもよい。また、中継装置5を複数設け、各々の中継装置5が複数の監視対象装置2から受信したログに処理を施して攻撃検知装置3へ送信してもよい。
As described above, there may be multiple monitored
図9に示すように、中継装置5は、通信部51および変換部52を備える。通信部51は、監視対象装置2からログを受信し、受信したログを変換部52へ出力する。変換部52は、通信部51から受け取ったログに時刻の補正、ホスト名など定められた項目の修正などの処理を行い処理後のログを、通信部51を介して攻撃検知装置3へ送信する。以上述べた以外の本実施の形態の構成および動作は実施の形態1と同様である。
As shown in FIG. 9, the
本実施の形態の中継装置5も実施の形態1の攻撃検知装置3と同様にコンピュータシステムにより実現される。
The
以上のように、本実施の形態では、中継装置5が、監視対象装置2からログを受信し、受信したログに処理を施し、処理後のログを攻撃検知装置3へ送信するようにした。これにより、攻撃検知装置3の負荷を上げることなく、攻撃検知装置3へ入力するログを分析に適した状態とすることができる。
As described above, in this embodiment, the
実施の形態3.
図10は、実施の形態3にかかる攻撃検知支援システムの構成例を示す図である。実施の形態1の攻撃検知支援システム1は、攻撃検知装置3を1台備えたが、本実施の形態の攻撃検知支援システム1bは、攻撃検知装置3を2台備える。図10に示した攻撃検知装置3-1,3-2は、それぞれが実施の形態1の攻撃検知装置3である。実施の形態1と同様の機能を有する構成要素は実施の形態1と同一の符号を付して重複する説明を省略する。以下、実施の形態1と異なる点を主に説明する。
Fig. 10 is a diagram showing an example of the configuration of an attack detection support system according to the third embodiment. The attack
本実施の形態では、攻撃検知装置3を2台備えることで攻撃検知装置3を冗長化している。冗長化のために攻撃検知装置3が2台設けられる場合、通常は、いずれか一方が運用に用いられ、他方は例えばスリープ状態などで待機し、運用中の攻撃検知装置3になんらかの異常などが生じた場合に、自動的に他方の攻撃検知装置3が処理を実行するように切り替わる。図10に示した例では、攻撃検知装置3-1,3-2はログおよび無害リストを同期している。例えば、攻撃検知装置3-1,3-2は、それぞれの通信部31を介して通信を行うことで、一方の装置においてデータが更新された場合には他方の装置でもデータが更新される。
In this embodiment, two
本実施の形態では、上記のように冗長化のために、攻撃検知装置3が2台設けられている場合に、2台のうち一方は、解析部33による処理を行い判定部35による処理を行わず、他方は、判定部35による処理を行い解析部33による処理を行わない。例えば、運用中の攻撃検知装置3は、ログの収集、登録処理などを行い、他方の攻撃検知装置3は、判定部35によるログの攻撃検知処理を実施する。このように、待機中の攻撃検知装置3も一部の処理を分担することで、攻撃検知装置3の処理負荷を軽減することができ、処理の遅延などを抑制することができる。なお、2台の攻撃検知装置3のそれぞれが担う処理は上述した分担に限定されず、2台で処理が分担されればよい。
In this embodiment, when two
なお、攻撃検知装置3を3台以上備え、3台以上の攻撃検知装置3で処理を分担するようにしてもよい。また、本実施の形態においても、実施の形態2で述べた中継装置5が用いられてもよい。例えば、中継装置5も冗長化されていてもよい。
It is also possible to provide three or more
以上の実施の形態に示した構成は、一例を示すものであり、別の公知の技術と組み合わせることも可能であるし、実施の形態同士を組み合わせることも可能であるし、要旨を逸脱しない範囲で、構成の一部を省略、変更することも可能である。 The configurations shown in the above embodiments are merely examples, and may be combined with other known technologies, or the embodiments may be combined with each other. In addition, parts of the configurations may be omitted or modified without departing from the spirit of the invention.
1,1a,1b 攻撃検知支援システム、2 監視対象装置、3,3-1,3-2 攻撃検知装置、4 表示装置、5 中継装置、21 処理部、22,31,42,51 通信部、23,32 ログ記憶部、33 解析部、34 リスト記憶部、35 判定部、36 通知情報生成部、41 制御部、43 表示部、52 変換部。 1, 1a, 1b Attack detection support system, 2 Monitored device, 3, 3-1, 3-2 Attack detection device, 4 Display device, 5 Relay device, 21 Processing unit, 22, 31, 42, 51 Communication unit, 23, 32 Log storage unit, 33 Analysis unit, 34 List storage unit, 35 Determination unit, 36 Notification information generation unit, 41 Control unit, 43 Display unit, 52 Conversion unit.
Claims (9)
前記監視対象装置から取得された正常なログを単語に分割し、前記正常なログにおける前記単語の記載順に、前記単語を上位層から順に階層に割当て、前記単語と、当該単語より前記正常なログにおいて上位の階層のそれぞれに対応する前記単語を識別する情報である上位層情報とを対応づけて前記無害リストとして前記リスト記憶部に格納する登録処理を行う解析部と、
前記監視対象ログを単語に分割し、前記監視対象ログにおける前記単語である監視対象単語の記載順に、前記監視対象単語を上位層から順に階層に割当て、前記階層ごとに前記監視対象単語を前記無害リストと照合し、前記監視対象単語が前記無害リストに合致しない場合に攻撃の可能性があると判定する判定部と、
を備えることを特徴とする攻撃検知装置。 a list storage unit that stores a harmless list used for matching with a monitoring target log, which is a log of a monitoring target acquired from a monitoring target device;
an analysis unit that performs a registration process of dividing a normal log acquired from the monitored device into words, allocating the words to hierarchies in the order in which the words are written in the normal log, starting from the highest hierarchies, and associating the words with upper layer information that identifies the words corresponding to each of the higher hierarchies in the normal log from the words, and storing the association results in the harmless list in the list storage unit;
a determination unit that divides the monitoring target log into words, assigns the monitoring target words to hierarchies in the order in which the monitoring target words, which are the words, are written in the monitoring target log, starting from the highest hierarchical level, compares the monitoring target words with the harmless list for each hierarchical level, and determines that there is a possibility of an attack if the monitoring target words do not match the harmless list;
An attack detection device comprising:
前記通知情報を表示装置に送信する通信部と、
を備えることを特徴とする請求項1に記載の攻撃検知装置。 a notification information generating unit that generates notification information including information indicating the possibility of an attack and a check-required log that is the monitoring target log determined to have the possibility of an attack when the determining unit determines that there is a possibility of an attack;
A communication unit that transmits the notification information to a display device;
The attack detection device according to claim 1 , further comprising:
前記解析部は、前記要確認ログを前記正常なログとして前記登録処理を行うことを特徴とする請求項2に記載の攻撃検知装置。 When the communication unit receives information indicating that the confirmation-required log is a normal log after transmitting the notification information to the display device, the communication unit notifies the analysis unit of the received information;
The attack detection device according to claim 2 , wherein the analysis unit performs the registration process by treating the check-required log as the normal log.
表示装置と、
を備え、
前記攻撃検知装置は、
前記監視対象ログとの照合に用いられる無害リストを記憶するリスト記憶部と、
前記監視対象装置から取得された正常なログを単語に分割し、前記正常なログにおける前記単語の記載順に、前記単語を上位層から順に階層に割当て、前記単語と、当該単語より前記正常なログにおいて上位の階層のそれぞれに対応する前記単語を識別する情報である上位層情報とを対応づけて前記無害リストとして前記リスト記憶部に格納する登録処理を行う解析部と、
前記監視対象ログを単語に分割し、前記監視対象ログにおける前記単語である監視対象単語の記載順に、前記監視対象単語を上位層から順に階層に割当て、前記階層ごとに前記監視対象単語を前記無害リストと照合し、前記監視対象単語が前記無害リストに合致しない場合に攻撃の可能性があると判定する判定部と、
前記判定部により攻撃の可能性があると判定された場合に、攻撃の可能性があることを示す情報と、攻撃の可能性があると判定された前記監視対象ログである要確認ログとを含む通知情報を生成する通知情報生成部と、
前記通知情報を前記表示装置に送信する通信部と、
を備え、
前記表示装置は、前記通知情報を表示することを特徴とする攻撃検知支援システム。 an attack detection device that determines whether or not there is a possibility of an attack using a monitoring target log that is a log of the monitoring target acquired from the monitoring target device;
A display device;
Equipped with
The attack detection device is
a list storage unit that stores a harmless list used for checking against the monitoring target log;
an analysis unit that performs a registration process of dividing a normal log acquired from the monitored device into words, allocating the words to hierarchies in the order in which the words are written in the normal log, starting from the highest hierarchies, and associating the words with upper layer information that identifies the words corresponding to each of the higher hierarchies in the normal log from the words, and storing the association results in the harmless list in the list storage unit;
a determination unit that divides the monitoring target log into words, assigns the monitoring target words to hierarchies in the order in which the monitoring target words, which are the words, are written in the monitoring target log, starting from the highest hierarchical level, compares the monitoring target words with the harmless list for each hierarchical level, and determines that there is a possibility of an attack if the monitoring target words do not match the harmless list;
a notification information generating unit that generates notification information including information indicating the possibility of an attack and a check-required log that is the monitoring target log determined to have the possibility of an attack when the determining unit determines that there is a possibility of an attack;
a communication unit that transmits the notification information to the display device;
Equipped with
The display device is an attack detection support system characterized in that it displays the notification information.
2台の前記攻撃検知装置のうちの一方は、前記解析部による処理を行い前記判定部による処理を行わず、2台の前記攻撃検知装置のうちの他方は、前記判定部による処理を行い前記解析部による処理を行わないことを特徴とする請求項5または6に記載の攻撃検知支援システム。 The attack detection device is provided with two units,
An attack detection support system as described in claim 5 or 6, characterized in that one of the two attack detection devices performs processing using the analysis unit and does not perform processing using the judgment unit, and the other of the two attack detection devices performs processing using the judgment unit and does not perform processing using the analysis unit.
前記監視対象装置から取得された正常なログを単語に分割し、前記正常なログにおける前記単語の記載順に、前記単語を上位層から順に階層に割当て、前記単語と、当該単語より前記正常なログにおいて上位の階層のそれぞれに対応する前記単語を識別する情報である上位層情報とを対応づけて無害リストとして記憶するステップと、
前記監視対象装置から取得されたログである監視対象ログを単語に分割し、前記監視対象ログにおける前記単語である監視対象単語の記載順に、前記監視対象単語を上位層から順に階層に割当て、前記階層ごとに前記監視対象単語を前記無害リストと照合し、前記監視対象単語が前記無害リストに合致しない場合に攻撃の可能性があると判定するステップと、
を含むことを特徴とする攻撃検知支援方法。 1. An attack detection support method in an attack detection device that determines whether or not there is a possibility of an attack using a monitoring target log, which is a log of a monitoring target acquired from a monitoring target device, comprising:
a step of dividing a normal log acquired from the monitored device into words, allocating the words to hierarchies in the order in which the words are written in the normal log, starting from the highest hierarchies, and storing the words in association with higher-level hierarchical information, which is information identifying the words corresponding to each of the higher hierarchies in the normal log from the words in question, as a harmless list;
a step of dividing a monitoring target log, which is a log acquired from the monitoring target device, into words, allocating the monitoring target words to hierarchies in the order in which the words, which are the monitoring target words, are written in the monitoring target log, starting from the top layer, comparing the monitoring target words for each layer with the harmless list, and determining that there is a possibility of an attack if the monitoring target words do not match the harmless list;
An attack detection support method comprising:
前記監視対象装置から取得された正常なログを単語に分割し、前記正常なログにおける前記単語の記載順に、前記単語を上位層から順に階層に割当て、前記単語と、当該単語より前記正常なログにおいて上位の階層のそれぞれに対応する前記単語を識別する情報である上位層情報とを対応づけて無害リストとして記憶するステップと、
前記監視対象装置から取得されたログである監視対象ログを単語に分割し、前記監視対象ログにおける前記単語である監視対象単語の記載順に、前記監視対象単語を上位層から順に階層に割当て、前記階層ごとに前記監視対象単語を前記無害リストと照合し、前記監視対象単語が前記無害リストに合致しない場合に攻撃の可能性があると判定するステップと、
を実行させることを特徴とする攻撃検知支援プログラム。 A computer system for determining whether or not there is a possibility of an attack using a monitoring target log, which is a log of a monitoring target acquired from a monitoring target device,
a step of dividing a normal log acquired from the monitored device into words, allocating the words to hierarchies in the order in which the words are written in the normal log, starting from the highest hierarchies, and storing the words in association with higher-level hierarchical information, which is information identifying the words corresponding to each of the higher hierarchies in the normal log from the words in question, as a harmless list;
a step of dividing a monitoring target log, which is a log acquired from the monitoring target device, into words, allocating the monitoring target words to hierarchies in the order in which the words, which are the monitoring target words, are written in the monitoring target log, starting from the top layer, comparing the monitoring target words for each layer with the harmless list, and determining that there is a possibility of an attack if the monitoring target words do not match the harmless list;
An attack detection support program comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021065328A JP7614914B2 (en) | 2021-04-07 | 2021-04-07 | Attack detection device, attack detection support system, attack detection support method, and attack detection support program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021065328A JP7614914B2 (en) | 2021-04-07 | 2021-04-07 | Attack detection device, attack detection support system, attack detection support method, and attack detection support program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022160859A JP2022160859A (en) | 2022-10-20 |
| JP7614914B2 true JP7614914B2 (en) | 2025-01-16 |
Family
ID=83658013
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021065328A Active JP7614914B2 (en) | 2021-04-07 | 2021-04-07 | Attack detection device, attack detection support system, attack detection support method, and attack detection support program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7614914B2 (en) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005322140A (en) | 2004-05-11 | 2005-11-17 | Daiwa Institute Of Research Ltd | Operation monitoring system and its method, and relay server |
| JP2008129662A (en) | 2006-11-16 | 2008-06-05 | Nec Corp | Device, method and program for extracting information |
| JP2017083947A (en) | 2015-10-23 | 2017-05-18 | 日本電信電話株式会社 | Whitelist creation device, whitelist creation method, and whitelist creation program |
| WO2017221667A1 (en) | 2016-06-20 | 2017-12-28 | 日本電信電話株式会社 | Malicious communication log detection device, malicious communication log detection method, malicious communication log detection program |
| JP2020140250A (en) | 2019-02-26 | 2020-09-03 | 日本電信電話株式会社 | Anomaly detection device, anomaly detection method and anomaly detection program |
-
2021
- 2021-04-07 JP JP2021065328A patent/JP7614914B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005322140A (en) | 2004-05-11 | 2005-11-17 | Daiwa Institute Of Research Ltd | Operation monitoring system and its method, and relay server |
| JP2008129662A (en) | 2006-11-16 | 2008-06-05 | Nec Corp | Device, method and program for extracting information |
| JP2017083947A (en) | 2015-10-23 | 2017-05-18 | 日本電信電話株式会社 | Whitelist creation device, whitelist creation method, and whitelist creation program |
| WO2017221667A1 (en) | 2016-06-20 | 2017-12-28 | 日本電信電話株式会社 | Malicious communication log detection device, malicious communication log detection method, malicious communication log detection program |
| JP2020140250A (en) | 2019-02-26 | 2020-09-03 | 日本電信電話株式会社 | Anomaly detection device, anomaly detection method and anomaly detection program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022160859A (en) | 2022-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3803660B1 (en) | Knowledge graph for real time industrial control system security event monitoring and management | |
| CN117827788B (en) | Intelligent 3D printing factory data processing method and system | |
| JP2018045403A (en) | Abnormality detection system and abnormality detection method | |
| JP2006500654A (en) | Adaptive problem determination and recovery in computer systems | |
| CN110457953B (en) | Method and device for detecting integrity of file | |
| JP5208324B1 (en) | Information system management apparatus, information system management method, and program | |
| CN105553975A (en) | Method for providing network service, device and system | |
| JP2015018505A (en) | Failure prediction apparatus | |
| JP2019049802A (en) | Failure analysis supporting device, incident managing system, failure analysis supporting method, and program | |
| JP7614914B2 (en) | Attack detection device, attack detection support system, attack detection support method, and attack detection support program | |
| JP7215574B2 (en) | MONITORING SYSTEM, MONITORING METHOD AND PROGRAM | |
| CA2758682C (en) | Plant control system, data to be equalized selection apparatus, and data to be equalized selection method | |
| JP6541903B2 (en) | Attack / abnormality detection device, attack / abnormality detection method, and attack / abnormality detection program | |
| JP2006018684A (en) | Task management system | |
| KR102382134B1 (en) | Attack detection device, attack detection method, and attack detection program | |
| Zhou et al. | A novel system anomaly prediction system based on belief markov model and ensemble classification | |
| CN101931544A (en) | Method and system for identifying unauthorized amendment of website content | |
| CN113961571B (en) | Multi-mode data sensing method and device based on data probe | |
| EP1214655A1 (en) | A method and system for handling errors in a distributed computer system | |
| WO2020194449A1 (en) | Warning device, control method, and program | |
| US20250272172A1 (en) | Resource Failure Mitigation | |
| JPH03266100A (en) | System for monitoring alarm setting plural conditions | |
| CN119484138B (en) | Ranger-based data lake operation and maintenance right control system and method | |
| CN116451792B (en) | Method, system, device and storage medium for solving large-scale fault prediction problem | |
| Marsh et al. | Integrating PCTRAN with AI-Driven Host-Intrusion Detection and Secured Container Systems for Advanced Malware Analysis (Summer Internship Report) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240401 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20241113 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20241203 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20241227 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7614914 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |