JP2003330820A - Unauthorized access management device - Google Patents
Unauthorized access management deviceInfo
- Publication number
- JP2003330820A JP2003330820A JP2002135834A JP2002135834A JP2003330820A JP 2003330820 A JP2003330820 A JP 2003330820A JP 2002135834 A JP2002135834 A JP 2002135834A JP 2002135834 A JP2002135834 A JP 2002135834A JP 2003330820 A JP2003330820 A JP 2003330820A
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- alert
- information
- management device
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、構内LAN等のコ
ンピュータネットワークシステムが不正アクセスを受け
たとき、適切な対処を可能にするために、この不正アク
セスに関する情報の把握を、より、的確にした装置に関
するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention, when a computer network system such as a local area LAN or the like is illegally accessed, makes it possible to appropriately deal with the information regarding the illegal access so that appropriate measures can be taken. It relates to the device.
【0002】[0002]
【従来の技術】複数のコンピュータやいわゆる端末機器
をネットワークに接続して互いに情報の交換、又は一方
向のダウンロードを可能としたネットワークシステム
(以下、単にネットワークという)がある。このような
ネットワークでは接続された端末機器の一つから、故意
又は偶然で、他の端末機器などに不正に侵入して、本来
知られてはならない情報を盗み見したり、データの改ざ
んを行う不正なプログラムを入力したりなどのトラブル
が生じる場合がある。このようなトラブルを総称して、
以下、不正アクセスという。2. Description of the Related Art There is a network system (hereinafter simply referred to as a network) in which a plurality of computers or so-called terminal devices are connected to a network to exchange information with each other or to download in one direction. In such a network, one of the connected terminal devices intentionally or accidentally intrudes into another terminal device, etc., to steal information that should not be known or to falsify data. Problems such as entering a different program may occur. Collectively, such troubles are
Hereinafter referred to as unauthorized access.
【0003】このような不正アクセスがあったとき、こ
れを検知して必要な防御手段をとるためのキーポイント
は、不正アクセスごとに、その特徴を把握して、同一発
信者又は同一装置からのアクセスを見分けられるか否か
である。そのためには、ネットワーク上の各地で散発的
に発見される不正アクセスの特徴を一元管理することが
必要となる。従来の不正アクセス管理装置の構成を図5
に示す。図において、1は例えばパソコンなどの端末
(被診断装置という)で複数台存在する。2は各端末1
に接続された不正アクセス検知装置、3は端末1が接続
し情報の交換を行うネットワークである。4はネットワ
ーク3を管理する不正アクセス管理装置(以下単に管理
装置という)、5は管理装置4の内部に設けられたモニ
ターなどを含むGUI部、6は各端末1との間でネット
ワーク3の維持に必要な装置情報を交換し必要に応じて
装置の設定を行う装置情報設定部、7は各端末1から送
信されてくるアラート信号(不正アクセスに関する情報
を含む)情報を受信しGUI部5に表示させる動作を行
うアラート受信部である。When there is such an unauthorized access, the key point for detecting the unauthorized access and taking a necessary defense means is to grasp the characteristics of each unauthorized access and to identify the same sender or the same device. It is whether or not the access can be recognized. To that end, it is necessary to centrally manage the characteristics of unauthorized access that are sporadically found in various places on the network. FIG. 5 shows the configuration of a conventional unauthorized access management device.
Shown in. In the figure, 1 is a terminal such as a personal computer (referred to as a device to be diagnosed), and a plurality of such devices exist. 2 is each terminal 1
The unauthorized access detection device 3 connected to the terminal 3 is a network to which the terminal 1 is connected to exchange information. Reference numeral 4 denotes an unauthorized access management device (hereinafter simply referred to as management device) that manages the network 3, 5 denotes a GUI unit including a monitor and the like provided inside the management device 4, and 6 denotes maintenance of the network 3 with each terminal 1. Device information setting unit for exchanging necessary device information and setting the device as necessary, 7 receives alert signal (including information regarding unauthorized access) information transmitted from each terminal 1, and GUI unit 5 receives the alert signal information. It is an alert receiving unit that performs an operation of displaying.
【0004】図5の不正アクセス検知システムの動作に
ついて説明する。ネットワーク3に接続した多数の端末
1は相互にネットワーク3を介して情報の交換を行って
いる。一般にはこのような端末1は互いにハードウェア
の構成が異なるとともに、OSの種類やバージョンも異
なっているため、不正アクセスの受けやすさも異なって
いる。端末1の少なくとも1つからネットワーク3その
ものや、他の端末1に対してアクセスが実行されると、
不正アクセス検知装置2はこのアクセスを検知して、発
信元のID、パスワード、その他あらかじめ登録されて
いる手段を駆使して、このアクセスの信頼性を検証す
る。そしてこのアクセスが不正であると認識したときに
は、検知した結果を各端末1ごとの図示しないモニター
などに表示するとともに、管理装置4へ不正アクセスを
検知したことをアラート情報として通知する。The operation of the unauthorized access detection system of FIG. 5 will be described. Many terminals 1 connected to the network 3 exchange information with each other via the network 3. Generally, such terminals 1 have different hardware configurations and different OS types and versions, so that they are different in susceptibility to unauthorized access. When access is performed from at least one of the terminals 1 to the network 3 itself or another terminal 1,
The unauthorized access detection device 2 detects this access and verifies the reliability of this access by making full use of the sender ID, password, and other pre-registered means. When it is recognized that the access is unauthorized, the detected result is displayed on a monitor (not shown) of each terminal 1 and the management device 4 is notified as the alert information that the unauthorized access is detected.
【0005】管理装置4はアラート受信部7を通じてこ
のアラート受信し、GUI部5に表示する。ところで、
各端末1の性能が前述の通り様々に異なるのと同様に、
不正アクセス検知装置2の性能や仕様も様々に異なって
いる。各端末1に属するオペレータは個別のモニターの
アラート情報を判断し、手動処理で必要な対策、例えば
そのアクセスを遮断するなどを実行する。また、管理装
置4に属するオペレータはGUI部5に表示されたアラ
ート情報からネットワーク3の健全な維持に必要な処理
を手動で操作する。The management device 4 receives the alert through the alert receiving unit 7 and displays it on the GUI unit 5. by the way,
Just as the performance of each terminal 1 is different as described above,
The performance and specifications of the unauthorized access detection device 2 also differ. The operator belonging to each terminal 1 judges the alert information of the individual monitor and executes necessary measures by manual processing, for example, blocking the access. Further, the operator belonging to the management device 4 manually operates the process necessary for maintaining the soundness of the network 3 from the alert information displayed on the GUI unit 5.
【0006】しかし、前述の通り、各不正アクセス検知
装置2の性能・仕様が異なっているために図5の不正ア
クセス検知システムでは、アクセスが不正であるか否か
は、個別の不正アクセス検知装置の判断に基づいて、例
えばあらかじめ登録されていないIDからのアクセスは
すべて不正であると判定する。しかし、不正アクセスを
行う側の技術も進歩し、単純に判定可能なレベルの識別
情報は容易にクリアするものが多くなり、個別の不正ア
クセス検知装置2では検知できず、結果として不正アク
セスを許してしまうという事例が生じるようになってい
る。However, as described above, since the performance / specification of each unauthorized access detection device 2 is different, in the unauthorized access detection system of FIG. 5, whether or not the access is unauthorized is determined by the individual unauthorized access detection device. On the basis of the above judgment, it is judged that all accesses from IDs that are not registered in advance are illegal. However, the technology on the unauthorized access side has also advanced, and the identification information of a level that can be simply determined is easily cleared, and the individual unauthorized access detection device 2 cannot detect it. As a result, unauthorized access is permitted. There are some cases where it will happen.
【0007】[0007]
【発明が解決しようとする課題】ネットワークにおける
不正アクセス対策は、不正アクセスごとに、その特徴を
把握して、同一発信者からのアクセスを見分けられるか
否かが対策が成功するキーの一つである。そのために
は、ネットワーク上の各地で散発的に発見される不正ア
クセスの特徴を一元管理することが必要となる。しか
し、端末ごとに異なる性能仕様を有する不正アクセス検
知装置を用いる従来の方法では、複数の不正アクセス検
知装置からのアラートを一元管理することが出来ず、複
数の装置から通知されるアラートの関係も不明瞭であっ
た。また、一つの不正アクセス検知装置では発見できな
いが、ネットワーク内全体で見れば明らかに正常なアク
セスとは見なされないような不正アクセスを見逃してし
まうという課題があった。A countermeasure against unauthorized access in a network is one of the keys to successful countermeasures, which is to grasp the characteristics of each unauthorized access and to distinguish the access from the same sender. is there. To that end, it is necessary to centrally manage the characteristics of unauthorized access that are sporadically found in various places on the network. However, in the conventional method using the unauthorized access detection device having different performance specifications for each terminal, alerts from multiple unauthorized access detection devices cannot be centrally managed, and the relation of alerts notified from multiple devices is It was unclear. In addition, there is a problem that an unauthorized access that cannot be detected by one unauthorized access detection device is overlooked in the entire network and is not clearly regarded as normal access.
【0008】この発明は上記のような課題を解消するた
めになされたもので、複数の不正アクセス検知装置を設
置しているネットワークのアラート管理を一元的に行
い、複数の装置から通知されるアラートの相互関係を明
確化し、もっとも効果的な対処方法を行う為の情報とす
ることを狙いとしている。The present invention has been made in order to solve the above-mentioned problems, and centrally performs alert management of a network in which a plurality of unauthorized access detection devices are installed, and alerts sent from a plurality of devices. The aim is to clarify the mutual relationship between the two and to use it as the information for performing the most effective coping method.
【0009】[0009]
【課題を解決するための手段】この発明に係る不正アク
セス管理装置は、複数の端末装置が接続されたコンピュ
ータネットワークに接続され、前記コンピュータネット
ワークから前記端末装置にアクセスされた信号の仕様を
解析し、このアクセスが不正アクセスであるか否かを判
定し、不正アクセスと判定したとき、この判定結果と前
記仕様を示す仕様情報とを前記コンピュータネットワー
クに出力する不正アクセス検知装置、前記ネットワーク
に接続され、前記判定結果と前記不正アクセスの仕様情
報とを受信して、前記不正アクセスの仕様情報に基づい
てこの不正アクセスをあらかじめ定めた分類項目のいず
れかに分類し、アラート分類情報を出力するアラート融
合処理部、前記アラート分類情報を表示するGUI部を
備えたものである。[Means for Solving the Problems] Unauthorized access according to the present invention
The process management device is a computer with multiple terminal devices connected.
Computer network connected to the computer network
Specify the specifications of the signal accessed from the work to the terminal device.
Analyze and determine if this access is unauthorized
When it is determined that there is an unauthorized access,
The specification information indicating the specifications and the computer network
Unauthorized access detection device for outputting to the network, the network
Is connected to the
Based on the specification information of the unauthorized access
Unauthorized access to the lever
An alert fusion that classifies them and outputs alert classification information.
And a GUI unit for displaying the alert classification information.
Be prepared.
【0010】また、前記アラート分類情報は、発信元I
P、宛先IP、攻撃の種類、使用プロトコルのいずれか
の項目に基づいて分類されているものである。Further, the alert classification information is the source I
It is classified based on any one of P, destination IP, attack type, and used protocol.
【0011】また、前記不正アクセス検知装置の前記不
正アクセスに対する判定の信頼性をあらかじめ記憶し、
受信した前記不正アクセスの仕様情報を前記信頼性に基
づいて補正した後、前記アラート融合部に出力するアラ
ートフィルタ部を備えたものである。Further, the reliability of judgment of the unauthorized access detection device for the unauthorized access is stored in advance,
An alert filter unit is provided which corrects the received unauthorized access specification information based on the reliability and then outputs the corrected information to the alert fusion unit.
【0012】また、前記信頼性は前記不正アクセス検知
装置の種類ごとに記憶されているものである。Further, the reliability is stored for each type of the unauthorized access detection device.
【0013】また、前記アラートフィルタ部に接続さ
れ、前記記憶している信頼性を補正するパラメータを入
力するパラメータ入力部を備えたものである。Further, a parameter input section connected to the alert filter section for inputting the stored parameter for correcting the reliability is provided.
【0014】また、前記パラメータ入力部は、前記アラ
ート融合処理部の融合結果に基づき、前記補正値を修正
するフィードバック回路を備えたものである。Further, the parameter input section is provided with a feedback circuit for correcting the correction value based on the fusion result of the alert fusion processing section.
【0015】[0015]
【発明の実施の形態】実施の形態1.以下、本発明の実
施の形態1の不正アクセス管理装置について、図面に基
づき説明する。図1は本発明の実施の形態1の不正アク
セス管理装置の構成を示す図で、ネットワークに接続さ
れた状態を示す図である。図において、1は例えばパソ
コンなどの端末装置、または、図示しないサブネットワ
ークを含むコンピュータ群で(以下被診断装置)で複数
台存在する。2は各被診断装置1またはネットワーク3
に接続された不正アクセス検地装置、3は被診断装置1
が接続され情報の交換を行うコンピュータネットワーク
(以下ネットワークと呼ぶ)である。BEST MODE FOR CARRYING OUT THE INVENTION Embodiment 1. The unauthorized access management device according to the first embodiment of the present invention will be described below with reference to the drawings. FIG. 1 is a diagram showing a configuration of an unauthorized access management device according to a first embodiment of the present invention, showing a state of being connected to a network. In the figure, reference numeral 1 denotes a terminal device such as a personal computer, or a computer group including a sub-network (not shown) (hereinafter referred to as a device to be diagnosed), a plurality of which are present. 2 is each device to be diagnosed 1 or network 3
Unauthorized access detection device connected to 3 and device to be diagnosed 1
Is a computer network (hereinafter referred to as a network) that is connected to exchange information.
【0016】14はネットワーク3を管理する不正アク
セス管理装置(以下、単に管理装置とも言う)、5は管
理装置14の内部に設けられたモニターなどを含むGU
I部、6は各被診断装置1との間でネットワーク3の維
持に必要な装置情報を交換し必要に応じて制御する装置
情報設定部、7は各被診断装置1から送信されてくるア
ラート信号(不正アクセスに関する情報を含む)情報を
受信しGUI部5に表示させる動作を行うアラート受信
部である。8はアラート受信部7が複数の不正アクセス
検地装置2から受信した複数のアラート情報を整理して
融合させるアラート融合処理部である。Reference numeral 14 denotes an unauthorized access management device for managing the network 3 (hereinafter, also simply referred to as management device), 5 denotes a GU including a monitor provided inside the management device 14.
I section, 6 is a device information setting section for exchanging device information necessary for maintaining the network 3 with each diagnosed device 1 and controlling as necessary, 7 is an alert transmitted from each diagnosed device 1. The alert receiving unit receives a signal (including information about unauthorized access) and causes the GUI unit 5 to display the information. Reference numeral 8 denotes an alert fusion processing unit for organizing and fusing a plurality of alert information received by the alert receiving unit 7 from a plurality of unauthorized access inspection devices 2.
【0017】次に、具体的な実施シーケンスの動作につ
いて説明する。図1では被診断装置群1につながる不正
アクセス検知装置2がネットワーク3を経由して被診断
装置群1に対してなされるアクセスの全てをチェック
し、攻撃を仕掛けようとする不正アクセスを検知する。
不正アクセス検知装置2のセキュリティポリシーの設定
は、各不正アクセス検知装置2ごとに設定されるか、又
は、ネットワーク3を介して接続されている管理装置1
4のGUI部5で行われ、装置情報設定部6を介して各
不正アクセス検知装置2へと配布される。Next, the operation of the concrete execution sequence will be described. In FIG. 1, an unauthorized access detection device 2 connected to the device group 1 to be diagnosed checks all accesses made to the device group 1 to be diagnosed via the network 3 to detect an unauthorized access attempting to mount an attack. .
The security policy of the unauthorized access detection device 2 is set for each unauthorized access detection device 2 or the management device 1 connected via the network 3.
4 is performed by the GUI unit 5 and is distributed to each unauthorized access detection device 2 via the device information setting unit 6.
【0018】不正アクセス検知装置2は、不正アクセス
検知情報(不正アクセスがあったという情報と、その不
正アクセスの仕様情報、即ち、日時、発信元IP、宛先
IP、攻撃の種類、使用プロトコルなど)をネットワー
ク3を経由して管理装置14へ通知する。管理装置14
では不正アクセス検知情報をアラート受信部7で受信
し、アラート融合処理部8へと検知情報を受け渡す。ア
ラート情報処理部8では各不正アクセス検知装置2から
受信した情報を発信元IP毎、宛先IP毎、攻撃の種類
毎、使用プロトコル毎に分類・整理し、GUI部5で表
示する。この整理したものをアラート分類情報と呼び、
理解を助けるため図2に例を示す。なお、図2は整理の
例を示すためのものであり、記入してある各仕様は架空
のものである。図2は攻撃を受けた日時順に配列表示し
ているが、特定の分類項目ごとに配列し直すことは容易
であることは言うまでもない。The unauthorized access detection device 2 detects unauthorized access information (information indicating that unauthorized access has been made and specification information of the unauthorized access, that is, date and time, source IP, destination IP, attack type, protocol used, etc.). To the management device 14 via the network 3. Management device 14
Then, the unauthorized access detection information is received by the alert receiving unit 7, and the detection information is passed to the alert fusion processing unit 8. The alert information processing unit 8 classifies and organizes the information received from each unauthorized access detection device 2 for each source IP, each destination IP, each type of attack, and each used protocol, and the GUI unit 5 displays the information. This organized information is called alert classification information,
An example is shown in FIG. 2 to help understanding. It should be noted that FIG. 2 is for showing an example of arrangement, and each specification entered is fictitious. Although FIG. 2 is arranged and displayed in the order of the date and time of the attack, it goes without saying that it is easy to rearrange them for each specific classification item.
【0019】実施の形態2.図3は本発明の実施の形態
2の不正アクセス管理装置の構成を示す図である。図に
おいて1〜3、5〜8、14は図1と同じなので説明を
省略する。9はアラート受信部7を経由して送られてく
るアラート情報を不正アクセス検知装置2の特性に応じ
て補正するアラートフィルタ部である。Embodiment 2. FIG. 3 is a diagram showing the configuration of the unauthorized access management device according to the second embodiment of the present invention. In the figure, 1 to 3, 5 to 8 and 14 are the same as in FIG. An alert filter unit 9 corrects the alert information sent via the alert receiving unit 7 according to the characteristics of the unauthorized access detection device 2.
【0020】次に、具体的な実施シーケンスの動作につ
いて説明する。図3では、アラート受信部7の後にアラ
ートフィルタ部9を設け、フィルタリングした情報をア
ラート融合処理部8へ渡す。アラートフィルタ部9で
は、各不正アクセス検知装置2毎にあらかじめ検証して
決定した特徴フィルタ(フィルタリング係数)を記憶し
ており、この係数をアラート情報に補正処理してフィル
タリングを行う。即ち、(アラート融合処理部へ渡され
るデータ)=(アラート)+(フィルタリング係数)で
ある。特徴フィルタのフィルタリング係数の特徴付けに
は、各不正アクセス検知装置2の不正アクセス攻撃の各
種類に対する誤認率又は信頼性(攻撃の種類を正しく判
断するかどうかをあらかじめ検証して把握しておく)を
用いる。Next, the operation of a specific implementation sequence will be described. In FIG. 3, an alert filter unit 9 is provided after the alert receiving unit 7, and the filtered information is passed to the alert fusion processing unit 8. The alert filter unit 9 stores a characteristic filter (filtering coefficient) that is verified and determined in advance for each unauthorized access detection device 2, and corrects this coefficient into alert information to perform filtering. That is, (data passed to the alert fusion processing unit) = (alert) + (filtering coefficient). In order to characterize the filtering coefficient of the characteristic filter, the false positive rate or the reliability of each unauthorized access detection device 2 for each type of unauthorized access attack (verify beforehand whether the type of attack is correctly determined) To use.
【0021】任意の不正アクセス検知装置2から、ある
種類の攻撃を検知したとの情報が上がった場合、その攻
撃の種類に対するその不正アクセス検知装置の誤認率が
高ければ、フィルタリングでは低い係数を与えて、アラ
ート融合処理部へデータを渡す。アラート融合処理部9
では、フィルタリング係数の大きいアラートを信頼でき
る情報として蓄積融合処理を行い、適切な対処判断材料
とする。When information indicating that a certain type of attack has been detected is received from an arbitrary unauthorized access detection device 2, if a false recognition rate of the unauthorized access detection device for the type of attack is high, a low coefficient is given in filtering. And passes the data to the alert fusion processing unit. Alert fusion processing unit 9
Then, the accumulation and fusion processing is performed by using the alert with a large filtering coefficient as reliable information, and is used as an appropriate countermeasure decision material.
【0022】実施の形態3.図4は本発明の実施の形態
3の不正アクセス管理装置の構成を示す図である。図に
おいて1〜3、5〜8、14は実施の形態1の図1と同
じ、9は実施の形態2の図3のアラートフィルタ部9と
同じなので詳細な説明を省略する。10はパラメータ入
力部であり、アラートフィルタ部9のフィルタリング係
数またはフィルタリング係数を補正する補正値を入力す
ることができる。次に、具体的な実施シーケンスについ
て説明する。前記実施の形態2の図3では、アラートフ
ィルタ部9にあらかじめ登録(記憶)された不正アクセ
ス検知装置2毎の特徴フィルタのフィルタリング係数を
用いていたが、図4ではアラート融合処理の際の係数ま
たは係数の補正値をパラメータ入力部10から入力可能
である。パラメータ入力部10とアラートフィルタ部9
ではフィードバックループ11を持ち、最適なパラメー
タを学習しながらフィルタリング係数を随時更新し自動
入力していく。Embodiment 3. FIG. 4 is a diagram showing the configuration of the unauthorized access management device according to the third embodiment of the present invention. In the figure, 1 to 3, 5 to 8 and 14 are the same as FIG. 1 of the first embodiment, and 9 is the same as the alert filter unit 9 of FIG. A parameter input unit 10 can input a filtering coefficient of the alert filter unit 9 or a correction value for correcting the filtering coefficient. Next, a specific implementation sequence will be described. In FIG. 3 of the second embodiment, the filtering coefficient of the characteristic filter registered (stored) in advance in the alert filter unit 9 for each unauthorized access detection device 2 is used, but in FIG. 4, the coefficient at the time of alert fusion processing is used. Alternatively, the correction value of the coefficient can be input from the parameter input unit 10. Parameter input unit 10 and alert filter unit 9
Then, it has a feedback loop 11 and updates the filtering coefficient as needed while learning the optimum parameters and automatically inputs them.
【0023】アラート融合処理部8は、各不正アクセス
の仕様を特定の仕様マップ上に配置し、類似した仕様を
有する不正アクセスを同一または類似アクセスとして特
定の形態番号を与えて管理する。また、特定の時刻に行
われた不正アクセスの発信元が明らかになっている場合
もあり、この場合には得られた仕様情報が、仕様マップ
上で相当する形態番号の不正アクセス群に重なるように
補正をかけることができる。この場合、この補正値がフ
ィードバックされ、次に同じ仕様の不正アクセスが検知
されたときには、この補正値が最初から適用される。こ
のサイクルを繰り返すことにより、不正アクセス管理装
置全体としての性能が向上する。The alert fusion processing unit 8 arranges the specifications of each unauthorized access on a specific specification map, and manages unauthorized access having similar specifications by assigning a specific form number as the same or similar access. In addition, the source of the unauthorized access made at a specific time may be known, and in this case, the obtained specification information may overlap the unauthorized access group of the corresponding form number on the specification map. Can be corrected. In this case, this correction value is fed back, and when an unauthorized access having the same specifications is detected next time, this correction value is applied from the beginning. By repeating this cycle, the performance of the entire unauthorized access management device is improved.
【0024】[0024]
【発明の効果】以上のように、この発明によれば、ネッ
トワーク上に存在する多種の互いに互換性のない不正ア
クセス検知装置の統一されていない検知結果を整理・分
類して表示するので、不正アクセスに対し最適な対処し
やすくなるという効果が得られる。As described above, according to the present invention, the unconsolidated detection results of various incompatible unauthorized access detection devices existing on the network are sorted and classified and displayed. It is possible to obtain the effect of facilitating optimal handling of access.
【0025】また、整理・分類は不正アクセスの仕様別
に行うので、個々の不正アクセスの特徴を把握しやすい
という効果が得られる。Further, since the sorting and classification are performed according to the specification of the unauthorized access, it is possible to obtain the effect that it is easy to grasp the characteristics of each unauthorized access.
【0026】また、検知した不正アクセスは不正アクセ
ス検知装置の信頼性に基づいて補正されるので、結果の
信頼性をより高めることができる。Further, since the detected unauthorized access is corrected based on the reliability of the unauthorized access detection device, the reliability of the result can be further enhanced.
【0027】また、不正アクセス検知装置の信頼性は、
不正アクセス検知装置の種類ごとに決定されるので、結
果の信頼性をより高めることができる。The reliability of the unauthorized access detection device is
Since it is determined for each type of unauthorized access detection device, the reliability of the result can be further enhanced.
【0028】また、パラメータ入力部から信頼性の係数
を補正することができるので、不正アクセス側の仕様が
変わったり、不正アクセス検知装置の性能が向上した場
合にも、容易に対応することができる。Further, since the coefficient of reliability can be corrected from the parameter input section, it is possible to easily cope with a change in specifications on the unauthorized access side or an improvement in the performance of the unauthorized access detection device. .
【0029】また、アラート融合処理部の融合結果に基
づき、補正値を修正するフィードバック回路を備えたの
で、使用するに従い不正アクセスの分類・整理性能が向
上する。Further, since the feedback circuit for correcting the correction value is provided on the basis of the fusion result of the alert fusion processing section, the unauthorized access classification / arrangement performance is improved as it is used.
【図1】 本発明の実施の形態1の不正アクセス管理装
置の構成図である。FIG. 1 is a configuration diagram of an unauthorized access management device according to a first embodiment of the present invention.
【図2】 図1の不正アクセス管理装置が表示する不正
アクセスの整理表の例である。FIG. 2 is an example of an unauthorized access control table displayed by the unauthorized access management device of FIG.
【図3】 実施の形態2の不正アクセス管理装置の構成
図である。FIG. 3 is a configuration diagram of an unauthorized access management device according to a second embodiment.
【図4】 実施の形態3の不正アクセス管理装置の構成
図である。FIG. 4 is a configuration diagram of an unauthorized access management device according to a third embodiment.
【図5】 従来の不正アクセス管理装置の構成図であ
る。FIG. 5 is a configuration diagram of a conventional unauthorized access management device.
1 被診断装置群、 2 不正アクセス検知装
置、3 インフラ回線、 4 従来の不正アクセ
ス管理装置、5 GUI部、 6 装置情報
設定部、7 アラート受信部、 8 アラート融合
処理部、9 アラートフィルタ部、 10 パラメータ
入力部、11 フィードバック 14 不正アクセ
ス管理装置。1 diagnostic device group, 2 unauthorized access detection device, 3 infrastructure line, 4 conventional unauthorized access management device, 5 GUI unit, 6 device information setting unit, 7 alert receiving unit, 8 alert fusion processing unit, 9 alert filter unit, 10 parameter input unit, 11 feedback 14 unauthorized access management device.
Claims (6)
タネットワークに接続され、前記コンピュータネットワ
ークから前記端末装置にアクセスされた信号の仕様を解
析し、このアクセスが不正アクセスであるか否かを判定
し、不正アクセスと判定したとき、この判定結果と前記
仕様を示す仕様情報とを前記コンピュータネットワーク
に出力する不正アクセス検知装置、 前記コンピュータネットワークに接続され、前記判定結
果と前記不正アクセスの仕様情報とを受信して、この仕
様情報に基づいて前記不正アクセスをあらかじめ定めた
分類項目のいずれかに分類し、アラート分類情報を出力
するアラート融合処理部、 前記アラート分類情報を表示するGUI部を備えたこと
を特徴とする不正アクセス管理装置。1. A computer connected to a computer network to which a plurality of terminal devices are connected, the specification of a signal accessed from the computer network to the terminal device is analyzed, and it is determined whether or not this access is an unauthorized access. An unauthorized access detection device that outputs the determination result and the specification information indicating the specification to the computer network when it is determined to be an unauthorized access, and connects the determination result and the unauthorized access specification information to the computer network. An alert fusion processing unit that receives and classifies the unauthorized access into any of the predetermined classification items based on the specification information and outputs alert classification information; and a GUI unit that displays the alert classification information An unauthorized access management device characterized by:
宛先IP、攻撃の種類、使用プロトコルのいずれかの項
目に基づいて分類されていることを特徴とする請求項1
に記載の不正アクセス管理装置。2. The alert classification information is a source IP,
The classification is based on any one of items of destination IP, attack type, and used protocol.
Unauthorized access management device described in.
クセスに対する判定の信頼性をあらかじめ記憶し、受信
した前記不正アクセスの仕様情報を前記信頼性に基づい
て補正した後、前記アラート融合部に出力するアラート
フィルタ部を備えたことを特徴とする請求項1または2
に記載の不正アクセス管理装置。3. The reliability of the determination of the unauthorized access by the unauthorized access detection device is stored in advance, the received specification information of the unauthorized access is corrected based on the reliability, and then output to the alert fusion unit. An alert filter section is provided, and the alert filter section is provided.
Unauthorized access management device described in.
の種類ごとに記憶されていることを特徴とする請求項3
に記載の不正アクセス管理装置。4. The reliability is stored for each type of the unauthorized access detection device.
Unauthorized access management device described in.
記記憶している信頼性を補正する補正値を入力するパラ
メータ入力部を備えたことを特徴とする請求項4に記載
の不正アクセス管理装置。5. The unauthorized access management device according to claim 4, further comprising a parameter input unit connected to the alert filter unit and inputting a correction value for correcting the stored reliability.
ラート融合処理部の融合結果に基づき、前記補正値を修
正するフィードバック回路を備えたことを特徴とする請
求項5に記載の不正アクセス管理装置。6. The unauthorized access management device according to claim 5, wherein the parameter input unit includes a feedback circuit that corrects the correction value based on a fusion result of the alert fusion processing unit. .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002135834A JP2003330820A (en) | 2002-05-10 | 2002-05-10 | Unauthorized access management device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002135834A JP2003330820A (en) | 2002-05-10 | 2002-05-10 | Unauthorized access management device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003330820A true JP2003330820A (en) | 2003-11-21 |
Family
ID=29698051
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002135834A Pending JP2003330820A (en) | 2002-05-10 | 2002-05-10 | Unauthorized access management device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003330820A (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005175993A (en) * | 2003-12-12 | 2005-06-30 | Yokogawa Electric Corp | Worm propagation monitoring system |
| JP2005316516A (en) * | 2004-04-26 | 2005-11-10 | Kyocera Mita Corp | Service providing equipment, service providing system and program for service providing equipment |
| JP2007179131A (en) * | 2005-12-27 | 2007-07-12 | Nec Corp | Event detection system, management terminal and program, and event detection method |
| WO2007077624A1 (en) * | 2006-01-05 | 2007-07-12 | Intelligent Wave Inc. | Unauthorized access monitor program, unauthorized monitor method, and unauthorized monitor system |
| JP2009296036A (en) * | 2008-06-02 | 2009-12-17 | Hitachi Ltd | P2p communication control system and control method |
-
2002
- 2002-05-10 JP JP2002135834A patent/JP2003330820A/en active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005175993A (en) * | 2003-12-12 | 2005-06-30 | Yokogawa Electric Corp | Worm propagation monitoring system |
| JP2005316516A (en) * | 2004-04-26 | 2005-11-10 | Kyocera Mita Corp | Service providing equipment, service providing system and program for service providing equipment |
| JP2007179131A (en) * | 2005-12-27 | 2007-07-12 | Nec Corp | Event detection system, management terminal and program, and event detection method |
| WO2007077624A1 (en) * | 2006-01-05 | 2007-07-12 | Intelligent Wave Inc. | Unauthorized access monitor program, unauthorized monitor method, and unauthorized monitor system |
| JP2009296036A (en) * | 2008-06-02 | 2009-12-17 | Hitachi Ltd | P2p communication control system and control method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4619254B2 (en) | IDS event analysis and warning system | |
| US10771487B2 (en) | Method for protecting IoT devices from intrusions by performing statistical analysis | |
| US6202158B1 (en) | Detection method of illegal access to computer system | |
| US8224761B1 (en) | System and method for interactive correlation rule design in a network security system | |
| US8418247B2 (en) | Intrusion detection method and system | |
| US8056115B2 (en) | System, method and program product for identifying network-attack profiles and blocking network intrusions | |
| KR102225460B1 (en) | Method of detecting threat based on threat hunting using multi sensor data and apparatus using the same | |
| US20030188190A1 (en) | System and method of intrusion detection employing broad-scope monitoring | |
| CN112184091B (en) | Industrial control system security threat assessment method, device and system | |
| JPH11143738A (en) | Supervisory method of computer system | |
| JP6442051B2 (en) | How to detect attacks on computer networks | |
| KR101880162B1 (en) | Method for Control Signals Verifying Integrity Using Control Signals Analysis in Automatic Control System | |
| JP2005526311A (en) | Method and apparatus for monitoring a database system | |
| CN112671767B (en) | Security event early warning method and device based on alarm data analysis | |
| CN109327442A (en) | Method for detecting abnormality, device and the electronic equipment of Behavior-based control white list | |
| JP4170301B2 (en) | DoS attack detection method, DoS attack detection system, and DoS attack detection program | |
| JP2003330820A (en) | Unauthorized access management device | |
| CN112671801B (en) | Network security detection method and system | |
| JP3697249B2 (en) | Network status monitoring system and program | |
| CN117319032A (en) | Network security active defense method and system | |
| JP2002328896A (en) | Device for automatically setting rule coping with illegal access | |
| CN109462617B (en) | Method and device for detecting communication behavior of equipment in local area network | |
| CN116319074A (en) | Method and device for detecting collapse equipment based on multi-source log and electronic equipment | |
| JP4159814B2 (en) | Interactive network intrusion detection system and interactive intrusion detection program | |
| CN114584391B (en) | Method, device, equipment and storage medium for generating abnormal flow processing strategy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061205 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061212 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070126 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070522 |