JP2003330820A - 不正アクセス管理装置 - Google Patents
不正アクセス管理装置Info
- Publication number
- JP2003330820A JP2003330820A JP2002135834A JP2002135834A JP2003330820A JP 2003330820 A JP2003330820 A JP 2003330820A JP 2002135834 A JP2002135834 A JP 2002135834A JP 2002135834 A JP2002135834 A JP 2002135834A JP 2003330820 A JP2003330820 A JP 2003330820A
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- alert
- information
- management device
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 コンピュータネットワークシステムを守る為
に複数の不正アクセス検知装置が設置されるが、これら
は機器毎のGUIを持ち、アラートのフォーマットもそ
れぞれ独自である為、各不正アクセス検知装置からの情
報は一元管理できず、ネットワークのどこでどんな不正
が行われていて、最適な対処が何かを把握することが出
来なかった。 【解決手段】 不正アクセス検知装置2とネットワーク
3を通じて接続される不正アクセス管理装置14の内部
に、アラート融合処理部8を設け、アラートの整理、統
合を行い、整理した結果をGUI部5に表示する。この
結果をみることにより、アラート情報を一括管理し、必
要な情報毎に処理することによって、アラート情報を把
握し、対処を行う為の情報とすることができる。
に複数の不正アクセス検知装置が設置されるが、これら
は機器毎のGUIを持ち、アラートのフォーマットもそ
れぞれ独自である為、各不正アクセス検知装置からの情
報は一元管理できず、ネットワークのどこでどんな不正
が行われていて、最適な対処が何かを把握することが出
来なかった。 【解決手段】 不正アクセス検知装置2とネットワーク
3を通じて接続される不正アクセス管理装置14の内部
に、アラート融合処理部8を設け、アラートの整理、統
合を行い、整理した結果をGUI部5に表示する。この
結果をみることにより、アラート情報を一括管理し、必
要な情報毎に処理することによって、アラート情報を把
握し、対処を行う為の情報とすることができる。
Description
【0001】
【発明の属する技術分野】本発明は、構内LAN等のコ
ンピュータネットワークシステムが不正アクセスを受け
たとき、適切な対処を可能にするために、この不正アク
セスに関する情報の把握を、より、的確にした装置に関
するものである。
ンピュータネットワークシステムが不正アクセスを受け
たとき、適切な対処を可能にするために、この不正アク
セスに関する情報の把握を、より、的確にした装置に関
するものである。
【0002】
【従来の技術】複数のコンピュータやいわゆる端末機器
をネットワークに接続して互いに情報の交換、又は一方
向のダウンロードを可能としたネットワークシステム
(以下、単にネットワークという)がある。このような
ネットワークでは接続された端末機器の一つから、故意
又は偶然で、他の端末機器などに不正に侵入して、本来
知られてはならない情報を盗み見したり、データの改ざ
んを行う不正なプログラムを入力したりなどのトラブル
が生じる場合がある。このようなトラブルを総称して、
以下、不正アクセスという。
をネットワークに接続して互いに情報の交換、又は一方
向のダウンロードを可能としたネットワークシステム
(以下、単にネットワークという)がある。このような
ネットワークでは接続された端末機器の一つから、故意
又は偶然で、他の端末機器などに不正に侵入して、本来
知られてはならない情報を盗み見したり、データの改ざ
んを行う不正なプログラムを入力したりなどのトラブル
が生じる場合がある。このようなトラブルを総称して、
以下、不正アクセスという。
【0003】このような不正アクセスがあったとき、こ
れを検知して必要な防御手段をとるためのキーポイント
は、不正アクセスごとに、その特徴を把握して、同一発
信者又は同一装置からのアクセスを見分けられるか否か
である。そのためには、ネットワーク上の各地で散発的
に発見される不正アクセスの特徴を一元管理することが
必要となる。従来の不正アクセス管理装置の構成を図5
に示す。図において、1は例えばパソコンなどの端末
(被診断装置という)で複数台存在する。2は各端末1
に接続された不正アクセス検知装置、3は端末1が接続
し情報の交換を行うネットワークである。4はネットワ
ーク3を管理する不正アクセス管理装置(以下単に管理
装置という)、5は管理装置4の内部に設けられたモニ
ターなどを含むGUI部、6は各端末1との間でネット
ワーク3の維持に必要な装置情報を交換し必要に応じて
装置の設定を行う装置情報設定部、7は各端末1から送
信されてくるアラート信号(不正アクセスに関する情報
を含む)情報を受信しGUI部5に表示させる動作を行
うアラート受信部である。
れを検知して必要な防御手段をとるためのキーポイント
は、不正アクセスごとに、その特徴を把握して、同一発
信者又は同一装置からのアクセスを見分けられるか否か
である。そのためには、ネットワーク上の各地で散発的
に発見される不正アクセスの特徴を一元管理することが
必要となる。従来の不正アクセス管理装置の構成を図5
に示す。図において、1は例えばパソコンなどの端末
(被診断装置という)で複数台存在する。2は各端末1
に接続された不正アクセス検知装置、3は端末1が接続
し情報の交換を行うネットワークである。4はネットワ
ーク3を管理する不正アクセス管理装置(以下単に管理
装置という)、5は管理装置4の内部に設けられたモニ
ターなどを含むGUI部、6は各端末1との間でネット
ワーク3の維持に必要な装置情報を交換し必要に応じて
装置の設定を行う装置情報設定部、7は各端末1から送
信されてくるアラート信号(不正アクセスに関する情報
を含む)情報を受信しGUI部5に表示させる動作を行
うアラート受信部である。
【0004】図5の不正アクセス検知システムの動作に
ついて説明する。ネットワーク3に接続した多数の端末
1は相互にネットワーク3を介して情報の交換を行って
いる。一般にはこのような端末1は互いにハードウェア
の構成が異なるとともに、OSの種類やバージョンも異
なっているため、不正アクセスの受けやすさも異なって
いる。端末1の少なくとも1つからネットワーク3その
ものや、他の端末1に対してアクセスが実行されると、
不正アクセス検知装置2はこのアクセスを検知して、発
信元のID、パスワード、その他あらかじめ登録されて
いる手段を駆使して、このアクセスの信頼性を検証す
る。そしてこのアクセスが不正であると認識したときに
は、検知した結果を各端末1ごとの図示しないモニター
などに表示するとともに、管理装置4へ不正アクセスを
検知したことをアラート情報として通知する。
ついて説明する。ネットワーク3に接続した多数の端末
1は相互にネットワーク3を介して情報の交換を行って
いる。一般にはこのような端末1は互いにハードウェア
の構成が異なるとともに、OSの種類やバージョンも異
なっているため、不正アクセスの受けやすさも異なって
いる。端末1の少なくとも1つからネットワーク3その
ものや、他の端末1に対してアクセスが実行されると、
不正アクセス検知装置2はこのアクセスを検知して、発
信元のID、パスワード、その他あらかじめ登録されて
いる手段を駆使して、このアクセスの信頼性を検証す
る。そしてこのアクセスが不正であると認識したときに
は、検知した結果を各端末1ごとの図示しないモニター
などに表示するとともに、管理装置4へ不正アクセスを
検知したことをアラート情報として通知する。
【0005】管理装置4はアラート受信部7を通じてこ
のアラート受信し、GUI部5に表示する。ところで、
各端末1の性能が前述の通り様々に異なるのと同様に、
不正アクセス検知装置2の性能や仕様も様々に異なって
いる。各端末1に属するオペレータは個別のモニターの
アラート情報を判断し、手動処理で必要な対策、例えば
そのアクセスを遮断するなどを実行する。また、管理装
置4に属するオペレータはGUI部5に表示されたアラ
ート情報からネットワーク3の健全な維持に必要な処理
を手動で操作する。
のアラート受信し、GUI部5に表示する。ところで、
各端末1の性能が前述の通り様々に異なるのと同様に、
不正アクセス検知装置2の性能や仕様も様々に異なって
いる。各端末1に属するオペレータは個別のモニターの
アラート情報を判断し、手動処理で必要な対策、例えば
そのアクセスを遮断するなどを実行する。また、管理装
置4に属するオペレータはGUI部5に表示されたアラ
ート情報からネットワーク3の健全な維持に必要な処理
を手動で操作する。
【0006】しかし、前述の通り、各不正アクセス検知
装置2の性能・仕様が異なっているために図5の不正ア
クセス検知システムでは、アクセスが不正であるか否か
は、個別の不正アクセス検知装置の判断に基づいて、例
えばあらかじめ登録されていないIDからのアクセスは
すべて不正であると判定する。しかし、不正アクセスを
行う側の技術も進歩し、単純に判定可能なレベルの識別
情報は容易にクリアするものが多くなり、個別の不正ア
クセス検知装置2では検知できず、結果として不正アク
セスを許してしまうという事例が生じるようになってい
る。
装置2の性能・仕様が異なっているために図5の不正ア
クセス検知システムでは、アクセスが不正であるか否か
は、個別の不正アクセス検知装置の判断に基づいて、例
えばあらかじめ登録されていないIDからのアクセスは
すべて不正であると判定する。しかし、不正アクセスを
行う側の技術も進歩し、単純に判定可能なレベルの識別
情報は容易にクリアするものが多くなり、個別の不正ア
クセス検知装置2では検知できず、結果として不正アク
セスを許してしまうという事例が生じるようになってい
る。
【0007】
【発明が解決しようとする課題】ネットワークにおける
不正アクセス対策は、不正アクセスごとに、その特徴を
把握して、同一発信者からのアクセスを見分けられるか
否かが対策が成功するキーの一つである。そのために
は、ネットワーク上の各地で散発的に発見される不正ア
クセスの特徴を一元管理することが必要となる。しか
し、端末ごとに異なる性能仕様を有する不正アクセス検
知装置を用いる従来の方法では、複数の不正アクセス検
知装置からのアラートを一元管理することが出来ず、複
数の装置から通知されるアラートの関係も不明瞭であっ
た。また、一つの不正アクセス検知装置では発見できな
いが、ネットワーク内全体で見れば明らかに正常なアク
セスとは見なされないような不正アクセスを見逃してし
まうという課題があった。
不正アクセス対策は、不正アクセスごとに、その特徴を
把握して、同一発信者からのアクセスを見分けられるか
否かが対策が成功するキーの一つである。そのために
は、ネットワーク上の各地で散発的に発見される不正ア
クセスの特徴を一元管理することが必要となる。しか
し、端末ごとに異なる性能仕様を有する不正アクセス検
知装置を用いる従来の方法では、複数の不正アクセス検
知装置からのアラートを一元管理することが出来ず、複
数の装置から通知されるアラートの関係も不明瞭であっ
た。また、一つの不正アクセス検知装置では発見できな
いが、ネットワーク内全体で見れば明らかに正常なアク
セスとは見なされないような不正アクセスを見逃してし
まうという課題があった。
【0008】この発明は上記のような課題を解消するた
めになされたもので、複数の不正アクセス検知装置を設
置しているネットワークのアラート管理を一元的に行
い、複数の装置から通知されるアラートの相互関係を明
確化し、もっとも効果的な対処方法を行う為の情報とす
ることを狙いとしている。
めになされたもので、複数の不正アクセス検知装置を設
置しているネットワークのアラート管理を一元的に行
い、複数の装置から通知されるアラートの相互関係を明
確化し、もっとも効果的な対処方法を行う為の情報とす
ることを狙いとしている。
【0009】
【課題を解決するための手段】この発明に係る不正アク
セス管理装置は、複数の端末装置が接続されたコンピュ
ータネットワークに接続され、前記コンピュータネット
ワークから前記端末装置にアクセスされた信号の仕様を
解析し、このアクセスが不正アクセスであるか否かを判
定し、不正アクセスと判定したとき、この判定結果と前
記仕様を示す仕様情報とを前記コンピュータネットワー
クに出力する不正アクセス検知装置、前記ネットワーク
に接続され、前記判定結果と前記不正アクセスの仕様情
報とを受信して、前記不正アクセスの仕様情報に基づい
てこの不正アクセスをあらかじめ定めた分類項目のいず
れかに分類し、アラート分類情報を出力するアラート融
合処理部、前記アラート分類情報を表示するGUI部を
備えたものである。
セス管理装置は、複数の端末装置が接続されたコンピュ
ータネットワークに接続され、前記コンピュータネット
ワークから前記端末装置にアクセスされた信号の仕様を
解析し、このアクセスが不正アクセスであるか否かを判
定し、不正アクセスと判定したとき、この判定結果と前
記仕様を示す仕様情報とを前記コンピュータネットワー
クに出力する不正アクセス検知装置、前記ネットワーク
に接続され、前記判定結果と前記不正アクセスの仕様情
報とを受信して、前記不正アクセスの仕様情報に基づい
てこの不正アクセスをあらかじめ定めた分類項目のいず
れかに分類し、アラート分類情報を出力するアラート融
合処理部、前記アラート分類情報を表示するGUI部を
備えたものである。
【0010】また、前記アラート分類情報は、発信元I
P、宛先IP、攻撃の種類、使用プロトコルのいずれか
の項目に基づいて分類されているものである。
P、宛先IP、攻撃の種類、使用プロトコルのいずれか
の項目に基づいて分類されているものである。
【0011】また、前記不正アクセス検知装置の前記不
正アクセスに対する判定の信頼性をあらかじめ記憶し、
受信した前記不正アクセスの仕様情報を前記信頼性に基
づいて補正した後、前記アラート融合部に出力するアラ
ートフィルタ部を備えたものである。
正アクセスに対する判定の信頼性をあらかじめ記憶し、
受信した前記不正アクセスの仕様情報を前記信頼性に基
づいて補正した後、前記アラート融合部に出力するアラ
ートフィルタ部を備えたものである。
【0012】また、前記信頼性は前記不正アクセス検知
装置の種類ごとに記憶されているものである。
装置の種類ごとに記憶されているものである。
【0013】また、前記アラートフィルタ部に接続さ
れ、前記記憶している信頼性を補正するパラメータを入
力するパラメータ入力部を備えたものである。
れ、前記記憶している信頼性を補正するパラメータを入
力するパラメータ入力部を備えたものである。
【0014】また、前記パラメータ入力部は、前記アラ
ート融合処理部の融合結果に基づき、前記補正値を修正
するフィードバック回路を備えたものである。
ート融合処理部の融合結果に基づき、前記補正値を修正
するフィードバック回路を備えたものである。
【0015】
【発明の実施の形態】実施の形態1.以下、本発明の実
施の形態1の不正アクセス管理装置について、図面に基
づき説明する。図1は本発明の実施の形態1の不正アク
セス管理装置の構成を示す図で、ネットワークに接続さ
れた状態を示す図である。図において、1は例えばパソ
コンなどの端末装置、または、図示しないサブネットワ
ークを含むコンピュータ群で(以下被診断装置)で複数
台存在する。2は各被診断装置1またはネットワーク3
に接続された不正アクセス検地装置、3は被診断装置1
が接続され情報の交換を行うコンピュータネットワーク
(以下ネットワークと呼ぶ)である。
施の形態1の不正アクセス管理装置について、図面に基
づき説明する。図1は本発明の実施の形態1の不正アク
セス管理装置の構成を示す図で、ネットワークに接続さ
れた状態を示す図である。図において、1は例えばパソ
コンなどの端末装置、または、図示しないサブネットワ
ークを含むコンピュータ群で(以下被診断装置)で複数
台存在する。2は各被診断装置1またはネットワーク3
に接続された不正アクセス検地装置、3は被診断装置1
が接続され情報の交換を行うコンピュータネットワーク
(以下ネットワークと呼ぶ)である。
【0016】14はネットワーク3を管理する不正アク
セス管理装置(以下、単に管理装置とも言う)、5は管
理装置14の内部に設けられたモニターなどを含むGU
I部、6は各被診断装置1との間でネットワーク3の維
持に必要な装置情報を交換し必要に応じて制御する装置
情報設定部、7は各被診断装置1から送信されてくるア
ラート信号(不正アクセスに関する情報を含む)情報を
受信しGUI部5に表示させる動作を行うアラート受信
部である。8はアラート受信部7が複数の不正アクセス
検地装置2から受信した複数のアラート情報を整理して
融合させるアラート融合処理部である。
セス管理装置(以下、単に管理装置とも言う)、5は管
理装置14の内部に設けられたモニターなどを含むGU
I部、6は各被診断装置1との間でネットワーク3の維
持に必要な装置情報を交換し必要に応じて制御する装置
情報設定部、7は各被診断装置1から送信されてくるア
ラート信号(不正アクセスに関する情報を含む)情報を
受信しGUI部5に表示させる動作を行うアラート受信
部である。8はアラート受信部7が複数の不正アクセス
検地装置2から受信した複数のアラート情報を整理して
融合させるアラート融合処理部である。
【0017】次に、具体的な実施シーケンスの動作につ
いて説明する。図1では被診断装置群1につながる不正
アクセス検知装置2がネットワーク3を経由して被診断
装置群1に対してなされるアクセスの全てをチェック
し、攻撃を仕掛けようとする不正アクセスを検知する。
不正アクセス検知装置2のセキュリティポリシーの設定
は、各不正アクセス検知装置2ごとに設定されるか、又
は、ネットワーク3を介して接続されている管理装置1
4のGUI部5で行われ、装置情報設定部6を介して各
不正アクセス検知装置2へと配布される。
いて説明する。図1では被診断装置群1につながる不正
アクセス検知装置2がネットワーク3を経由して被診断
装置群1に対してなされるアクセスの全てをチェック
し、攻撃を仕掛けようとする不正アクセスを検知する。
不正アクセス検知装置2のセキュリティポリシーの設定
は、各不正アクセス検知装置2ごとに設定されるか、又
は、ネットワーク3を介して接続されている管理装置1
4のGUI部5で行われ、装置情報設定部6を介して各
不正アクセス検知装置2へと配布される。
【0018】不正アクセス検知装置2は、不正アクセス
検知情報(不正アクセスがあったという情報と、その不
正アクセスの仕様情報、即ち、日時、発信元IP、宛先
IP、攻撃の種類、使用プロトコルなど)をネットワー
ク3を経由して管理装置14へ通知する。管理装置14
では不正アクセス検知情報をアラート受信部7で受信
し、アラート融合処理部8へと検知情報を受け渡す。ア
ラート情報処理部8では各不正アクセス検知装置2から
受信した情報を発信元IP毎、宛先IP毎、攻撃の種類
毎、使用プロトコル毎に分類・整理し、GUI部5で表
示する。この整理したものをアラート分類情報と呼び、
理解を助けるため図2に例を示す。なお、図2は整理の
例を示すためのものであり、記入してある各仕様は架空
のものである。図2は攻撃を受けた日時順に配列表示し
ているが、特定の分類項目ごとに配列し直すことは容易
であることは言うまでもない。
検知情報(不正アクセスがあったという情報と、その不
正アクセスの仕様情報、即ち、日時、発信元IP、宛先
IP、攻撃の種類、使用プロトコルなど)をネットワー
ク3を経由して管理装置14へ通知する。管理装置14
では不正アクセス検知情報をアラート受信部7で受信
し、アラート融合処理部8へと検知情報を受け渡す。ア
ラート情報処理部8では各不正アクセス検知装置2から
受信した情報を発信元IP毎、宛先IP毎、攻撃の種類
毎、使用プロトコル毎に分類・整理し、GUI部5で表
示する。この整理したものをアラート分類情報と呼び、
理解を助けるため図2に例を示す。なお、図2は整理の
例を示すためのものであり、記入してある各仕様は架空
のものである。図2は攻撃を受けた日時順に配列表示し
ているが、特定の分類項目ごとに配列し直すことは容易
であることは言うまでもない。
【0019】実施の形態2.図3は本発明の実施の形態
2の不正アクセス管理装置の構成を示す図である。図に
おいて1〜3、5〜8、14は図1と同じなので説明を
省略する。9はアラート受信部7を経由して送られてく
るアラート情報を不正アクセス検知装置2の特性に応じ
て補正するアラートフィルタ部である。
2の不正アクセス管理装置の構成を示す図である。図に
おいて1〜3、5〜8、14は図1と同じなので説明を
省略する。9はアラート受信部7を経由して送られてく
るアラート情報を不正アクセス検知装置2の特性に応じ
て補正するアラートフィルタ部である。
【0020】次に、具体的な実施シーケンスの動作につ
いて説明する。図3では、アラート受信部7の後にアラ
ートフィルタ部9を設け、フィルタリングした情報をア
ラート融合処理部8へ渡す。アラートフィルタ部9で
は、各不正アクセス検知装置2毎にあらかじめ検証して
決定した特徴フィルタ(フィルタリング係数)を記憶し
ており、この係数をアラート情報に補正処理してフィル
タリングを行う。即ち、(アラート融合処理部へ渡され
るデータ)=(アラート)+(フィルタリング係数)で
ある。特徴フィルタのフィルタリング係数の特徴付けに
は、各不正アクセス検知装置2の不正アクセス攻撃の各
種類に対する誤認率又は信頼性(攻撃の種類を正しく判
断するかどうかをあらかじめ検証して把握しておく)を
用いる。
いて説明する。図3では、アラート受信部7の後にアラ
ートフィルタ部9を設け、フィルタリングした情報をア
ラート融合処理部8へ渡す。アラートフィルタ部9で
は、各不正アクセス検知装置2毎にあらかじめ検証して
決定した特徴フィルタ(フィルタリング係数)を記憶し
ており、この係数をアラート情報に補正処理してフィル
タリングを行う。即ち、(アラート融合処理部へ渡され
るデータ)=(アラート)+(フィルタリング係数)で
ある。特徴フィルタのフィルタリング係数の特徴付けに
は、各不正アクセス検知装置2の不正アクセス攻撃の各
種類に対する誤認率又は信頼性(攻撃の種類を正しく判
断するかどうかをあらかじめ検証して把握しておく)を
用いる。
【0021】任意の不正アクセス検知装置2から、ある
種類の攻撃を検知したとの情報が上がった場合、その攻
撃の種類に対するその不正アクセス検知装置の誤認率が
高ければ、フィルタリングでは低い係数を与えて、アラ
ート融合処理部へデータを渡す。アラート融合処理部9
では、フィルタリング係数の大きいアラートを信頼でき
る情報として蓄積融合処理を行い、適切な対処判断材料
とする。
種類の攻撃を検知したとの情報が上がった場合、その攻
撃の種類に対するその不正アクセス検知装置の誤認率が
高ければ、フィルタリングでは低い係数を与えて、アラ
ート融合処理部へデータを渡す。アラート融合処理部9
では、フィルタリング係数の大きいアラートを信頼でき
る情報として蓄積融合処理を行い、適切な対処判断材料
とする。
【0022】実施の形態3.図4は本発明の実施の形態
3の不正アクセス管理装置の構成を示す図である。図に
おいて1〜3、5〜8、14は実施の形態1の図1と同
じ、9は実施の形態2の図3のアラートフィルタ部9と
同じなので詳細な説明を省略する。10はパラメータ入
力部であり、アラートフィルタ部9のフィルタリング係
数またはフィルタリング係数を補正する補正値を入力す
ることができる。次に、具体的な実施シーケンスについ
て説明する。前記実施の形態2の図3では、アラートフ
ィルタ部9にあらかじめ登録(記憶)された不正アクセ
ス検知装置2毎の特徴フィルタのフィルタリング係数を
用いていたが、図4ではアラート融合処理の際の係数ま
たは係数の補正値をパラメータ入力部10から入力可能
である。パラメータ入力部10とアラートフィルタ部9
ではフィードバックループ11を持ち、最適なパラメー
タを学習しながらフィルタリング係数を随時更新し自動
入力していく。
3の不正アクセス管理装置の構成を示す図である。図に
おいて1〜3、5〜8、14は実施の形態1の図1と同
じ、9は実施の形態2の図3のアラートフィルタ部9と
同じなので詳細な説明を省略する。10はパラメータ入
力部であり、アラートフィルタ部9のフィルタリング係
数またはフィルタリング係数を補正する補正値を入力す
ることができる。次に、具体的な実施シーケンスについ
て説明する。前記実施の形態2の図3では、アラートフ
ィルタ部9にあらかじめ登録(記憶)された不正アクセ
ス検知装置2毎の特徴フィルタのフィルタリング係数を
用いていたが、図4ではアラート融合処理の際の係数ま
たは係数の補正値をパラメータ入力部10から入力可能
である。パラメータ入力部10とアラートフィルタ部9
ではフィードバックループ11を持ち、最適なパラメー
タを学習しながらフィルタリング係数を随時更新し自動
入力していく。
【0023】アラート融合処理部8は、各不正アクセス
の仕様を特定の仕様マップ上に配置し、類似した仕様を
有する不正アクセスを同一または類似アクセスとして特
定の形態番号を与えて管理する。また、特定の時刻に行
われた不正アクセスの発信元が明らかになっている場合
もあり、この場合には得られた仕様情報が、仕様マップ
上で相当する形態番号の不正アクセス群に重なるように
補正をかけることができる。この場合、この補正値がフ
ィードバックされ、次に同じ仕様の不正アクセスが検知
されたときには、この補正値が最初から適用される。こ
のサイクルを繰り返すことにより、不正アクセス管理装
置全体としての性能が向上する。
の仕様を特定の仕様マップ上に配置し、類似した仕様を
有する不正アクセスを同一または類似アクセスとして特
定の形態番号を与えて管理する。また、特定の時刻に行
われた不正アクセスの発信元が明らかになっている場合
もあり、この場合には得られた仕様情報が、仕様マップ
上で相当する形態番号の不正アクセス群に重なるように
補正をかけることができる。この場合、この補正値がフ
ィードバックされ、次に同じ仕様の不正アクセスが検知
されたときには、この補正値が最初から適用される。こ
のサイクルを繰り返すことにより、不正アクセス管理装
置全体としての性能が向上する。
【0024】
【発明の効果】以上のように、この発明によれば、ネッ
トワーク上に存在する多種の互いに互換性のない不正ア
クセス検知装置の統一されていない検知結果を整理・分
類して表示するので、不正アクセスに対し最適な対処し
やすくなるという効果が得られる。
トワーク上に存在する多種の互いに互換性のない不正ア
クセス検知装置の統一されていない検知結果を整理・分
類して表示するので、不正アクセスに対し最適な対処し
やすくなるという効果が得られる。
【0025】また、整理・分類は不正アクセスの仕様別
に行うので、個々の不正アクセスの特徴を把握しやすい
という効果が得られる。
に行うので、個々の不正アクセスの特徴を把握しやすい
という効果が得られる。
【0026】また、検知した不正アクセスは不正アクセ
ス検知装置の信頼性に基づいて補正されるので、結果の
信頼性をより高めることができる。
ス検知装置の信頼性に基づいて補正されるので、結果の
信頼性をより高めることができる。
【0027】また、不正アクセス検知装置の信頼性は、
不正アクセス検知装置の種類ごとに決定されるので、結
果の信頼性をより高めることができる。
不正アクセス検知装置の種類ごとに決定されるので、結
果の信頼性をより高めることができる。
【0028】また、パラメータ入力部から信頼性の係数
を補正することができるので、不正アクセス側の仕様が
変わったり、不正アクセス検知装置の性能が向上した場
合にも、容易に対応することができる。
を補正することができるので、不正アクセス側の仕様が
変わったり、不正アクセス検知装置の性能が向上した場
合にも、容易に対応することができる。
【0029】また、アラート融合処理部の融合結果に基
づき、補正値を修正するフィードバック回路を備えたの
で、使用するに従い不正アクセスの分類・整理性能が向
上する。
づき、補正値を修正するフィードバック回路を備えたの
で、使用するに従い不正アクセスの分類・整理性能が向
上する。
【図1】 本発明の実施の形態1の不正アクセス管理装
置の構成図である。
置の構成図である。
【図2】 図1の不正アクセス管理装置が表示する不正
アクセスの整理表の例である。
アクセスの整理表の例である。
【図3】 実施の形態2の不正アクセス管理装置の構成
図である。
図である。
【図4】 実施の形態3の不正アクセス管理装置の構成
図である。
図である。
【図5】 従来の不正アクセス管理装置の構成図であ
る。
る。
1 被診断装置群、 2 不正アクセス検知装
置、3 インフラ回線、 4 従来の不正アクセ
ス管理装置、5 GUI部、 6 装置情報
設定部、7 アラート受信部、 8 アラート融合
処理部、9 アラートフィルタ部、 10 パラメータ
入力部、11 フィードバック 14 不正アクセ
ス管理装置。
置、3 インフラ回線、 4 従来の不正アクセ
ス管理装置、5 GUI部、 6 装置情報
設定部、7 アラート受信部、 8 アラート融合
処理部、9 アラートフィルタ部、 10 パラメータ
入力部、11 フィードバック 14 不正アクセ
ス管理装置。
Claims (6)
- 【請求項1】 複数の端末装置が接続されたコンピュー
タネットワークに接続され、前記コンピュータネットワ
ークから前記端末装置にアクセスされた信号の仕様を解
析し、このアクセスが不正アクセスであるか否かを判定
し、不正アクセスと判定したとき、この判定結果と前記
仕様を示す仕様情報とを前記コンピュータネットワーク
に出力する不正アクセス検知装置、 前記コンピュータネットワークに接続され、前記判定結
果と前記不正アクセスの仕様情報とを受信して、この仕
様情報に基づいて前記不正アクセスをあらかじめ定めた
分類項目のいずれかに分類し、アラート分類情報を出力
するアラート融合処理部、 前記アラート分類情報を表示するGUI部を備えたこと
を特徴とする不正アクセス管理装置。 - 【請求項2】 前記アラート分類情報は、発信元IP、
宛先IP、攻撃の種類、使用プロトコルのいずれかの項
目に基づいて分類されていることを特徴とする請求項1
に記載の不正アクセス管理装置。 - 【請求項3】 前記不正アクセス検知装置の前記不正ア
クセスに対する判定の信頼性をあらかじめ記憶し、受信
した前記不正アクセスの仕様情報を前記信頼性に基づい
て補正した後、前記アラート融合部に出力するアラート
フィルタ部を備えたことを特徴とする請求項1または2
に記載の不正アクセス管理装置。 - 【請求項4】 前記信頼性は前記不正アクセス検知装置
の種類ごとに記憶されていることを特徴とする請求項3
に記載の不正アクセス管理装置。 - 【請求項5】 前記アラートフィルタ部に接続され、前
記記憶している信頼性を補正する補正値を入力するパラ
メータ入力部を備えたことを特徴とする請求項4に記載
の不正アクセス管理装置。 - 【請求項6】 また、前記パラメータ入力部は、前記ア
ラート融合処理部の融合結果に基づき、前記補正値を修
正するフィードバック回路を備えたことを特徴とする請
求項5に記載の不正アクセス管理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002135834A JP2003330820A (ja) | 2002-05-10 | 2002-05-10 | 不正アクセス管理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002135834A JP2003330820A (ja) | 2002-05-10 | 2002-05-10 | 不正アクセス管理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003330820A true JP2003330820A (ja) | 2003-11-21 |
Family
ID=29698051
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002135834A Pending JP2003330820A (ja) | 2002-05-10 | 2002-05-10 | 不正アクセス管理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003330820A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005175993A (ja) * | 2003-12-12 | 2005-06-30 | Yokogawa Electric Corp | ワーム伝播監視システム |
| JP2005316516A (ja) * | 2004-04-26 | 2005-11-10 | Kyocera Mita Corp | サービス提供機器、サービス提供システム及びサービス提供機器用プログラム |
| JP2007179131A (ja) * | 2005-12-27 | 2007-07-12 | Nec Corp | イベント検出システム、管理端末及びプログラムと、イベント検出方法 |
| WO2007077624A1 (ja) * | 2006-01-05 | 2007-07-12 | Intelligent Wave Inc. | 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム |
| JP2009296036A (ja) * | 2008-06-02 | 2009-12-17 | Hitachi Ltd | P2p通信制御システム及び制御方法 |
-
2002
- 2002-05-10 JP JP2002135834A patent/JP2003330820A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005175993A (ja) * | 2003-12-12 | 2005-06-30 | Yokogawa Electric Corp | ワーム伝播監視システム |
| JP2005316516A (ja) * | 2004-04-26 | 2005-11-10 | Kyocera Mita Corp | サービス提供機器、サービス提供システム及びサービス提供機器用プログラム |
| JP2007179131A (ja) * | 2005-12-27 | 2007-07-12 | Nec Corp | イベント検出システム、管理端末及びプログラムと、イベント検出方法 |
| WO2007077624A1 (ja) * | 2006-01-05 | 2007-07-12 | Intelligent Wave Inc. | 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム |
| JP2009296036A (ja) * | 2008-06-02 | 2009-12-17 | Hitachi Ltd | P2p通信制御システム及び制御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4619254B2 (ja) | Idsのイベント解析及び警告システム | |
| US10771487B2 (en) | Method for protecting IoT devices from intrusions by performing statistical analysis | |
| US6202158B1 (en) | Detection method of illegal access to computer system | |
| US8224761B1 (en) | System and method for interactive correlation rule design in a network security system | |
| US8418247B2 (en) | Intrusion detection method and system | |
| US8056115B2 (en) | System, method and program product for identifying network-attack profiles and blocking network intrusions | |
| KR102225460B1 (ko) | 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 | |
| US20030188190A1 (en) | System and method of intrusion detection employing broad-scope monitoring | |
| CN112184091B (zh) | 工控***安全威胁评估方法、装置和*** | |
| JPH11143738A (ja) | 計算機システムの監視方法 | |
| JP6442051B2 (ja) | コンピュータネットワークへの攻撃を検出する方法 | |
| KR101880162B1 (ko) | 자동제어시스템 내 제어신호 분석을 이용한 제어신호 무결성 검증 방법 | |
| JP2005526311A (ja) | データベースシステムを監視するための方法および装置 | |
| CN112671767B (zh) | 一种基于告警数据分析的安全事件预警方法及装置 | |
| CN109327442A (zh) | 基于行为白名单的异常检测方法、装置以及电子设备 | |
| JP4170301B2 (ja) | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム | |
| JP2003330820A (ja) | 不正アクセス管理装置 | |
| CN112671801B (zh) | 一种网络安全检测方法和*** | |
| JP3697249B2 (ja) | ネットワーク状態監視システム及びプログラム | |
| CN117319032A (zh) | 网络安全主动防御方法及*** | |
| JP2002328896A (ja) | 不正アクセス対処ルール自動設定装置 | |
| CN109462617B (zh) | 一种局域网中设备通讯行为检测方法及装置 | |
| CN116319074A (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
| JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20061205 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061212 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070126 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070522 |