JP2004220373A - 不正アクセス検知ログ情報分析支援装置、不正アクセス検知ログ情報分析支援方法及びコンピュータプログラム - Google Patents
不正アクセス検知ログ情報分析支援装置、不正アクセス検知ログ情報分析支援方法及びコンピュータプログラム Download PDFInfo
- Publication number
- JP2004220373A JP2004220373A JP2003007551A JP2003007551A JP2004220373A JP 2004220373 A JP2004220373 A JP 2004220373A JP 2003007551 A JP2003007551 A JP 2003007551A JP 2003007551 A JP2003007551 A JP 2003007551A JP 2004220373 A JP2004220373 A JP 2004220373A
- Authority
- JP
- Japan
- Prior art keywords
- detection
- log information
- intrusion
- pattern
- detection log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
【課題】運用者のノウハウを蓄積することができる不正アクセス検知ログ情報分析支援装置を提供することを目的とする。
【解決手段】侵入検知装置からの検知ログ情報を収集し、フォーマット変換を行うIDSマネージャ部12と、検知ログ情報を蓄積する検知ログ情報DB(31)と、検知ログ情報DB(31)から侵入行為パターンを生成し、侵入行為パターンDB(33)に蓄積する侵入行為パターン作成部23と、パターン評価用パラメータを格納するパターン評価用パラメータDB(34)と、検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価部25と、侵入行為パターン評価部による評価結果を蓄積する侵入行為パターン評価結果DB(35)とを備える。
【選択図】 図2
【解決手段】侵入検知装置からの検知ログ情報を収集し、フォーマット変換を行うIDSマネージャ部12と、検知ログ情報を蓄積する検知ログ情報DB(31)と、検知ログ情報DB(31)から侵入行為パターンを生成し、侵入行為パターンDB(33)に蓄積する侵入行為パターン作成部23と、パターン評価用パラメータを格納するパターン評価用パラメータDB(34)と、検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価部25と、侵入行為パターン評価部による評価結果を蓄積する侵入行為パターン評価結果DB(35)とを備える。
【選択図】 図2
Description
【0001】
【発明の属する技術分野】
本発明は、不正アクセス検知ログ情報分析支援装置、不正アクセス検知ログ情報分析支援方法及びコンピュータプログラムに係り、更に詳しくは、コンピュータネットワーク上で不正侵入者を検知する侵入検知装置から出力される検知ログを収集し、分析する分析支援装置に関する。
【0002】
【従来の技術】
パソコン等の情報端末に対し不正侵入を試みるハッカー等と呼ばれる不正侵入者の脅威から、情報端末を守る手段の一つとして、不正アクセスを検知する侵入検知装置が従来から広く普及しており、この種の装置はIDS(Intrusion Detection System)と呼ばれている。
【0003】
例えば、特許文献1に開示された侵入検知装置は、パケット取得・選択手段が、特定のコンピュータネットワークを流れる所定のパケットの取得し選択し、ユーザデータ作成手段が、当該パケットから得られる情報に基づき、当該パケットを送信したユーザの個人的特徴を数値化した特徴データをユーザデータとして作成している。
【0004】
また、前記特定のコンピュータネットワークにおける正規ユーザの個人的特徴を数値化した特徴データが、当該正規ユーザが過去に送信したパケットから得られた情報に基づいて作成され、監査データとして監査データ記憶部に記録され、ユーザ判定手段が、ユーザデータを監査データ記憶部に記録された監査データと比較し、当該ユーザデータに対応するユーザが、前記特定のコンピュータネットワークにおける正規ユーザであるか否かを判定している。
【0005】
つまり、上記侵入検知装置は、パケット送信者の個人的特徴を数値化したユーザデータと、正規ユーザの個人的特徴を数値化した監査データとを用いて、不正侵入者による不正アクセスを検知するものである。この場合、ユーザの個人的特徴をどのように数値化し、ユーザデータと監査データをどのように比較するのかは、運用者が独自に判断する必要がある。
【0006】
【特許文献1】
特開2001−202333号公報
【0007】
【発明が解決しようとする課題】
一般に、侵入検知装置において、過剰な情報を抽出すれば誤検知が含まれることになる一方(False Positive)、過小な情報を抽出すれば検出漏れを生じることになる(False Negative)。このため、何を検知情報として抽出するのかは運用者の独自判断に依存し、運用者によって誤検知や検知漏れが多くなるという運用上の問題があった。
【0008】
例えば、不正侵入行為と定義した文字列パターンを用いて、ネットワークパケット又はシステムログ等に対するマッチング処理を行って、不正アクセスを検知して警報を出力する場合、1回又は複数の侵入行為に対して多量の検知ログが得られることから、状況分析が必要となる。しかしながら、当該分析処理は、運用者の経験に頼る部分に大きいため、運用者によっては本質的な状況把握が困難なために、誤検知による誤警報が出力されやすいといった問題があった。
【0009】
しかも、個々の運用者が侵入検知装置の出力する検知ログを独自分析しているため、その分析手法は継承され難く、ますます各運用者の経験及び能力に依存することになり、そのノウハウを蓄積し難いという問題点があった。その結果、運用者によって状況分析も異なり、誤検知が生じ易いという問題があった。
【0010】
例えば、侵入者は自分の端末からダイレクトに攻撃するだけでなく、いくつかの踏み台端末を経由して行われることが少なくない。また、攻撃ツール等での侵入行為が自動化されている場合もあるが、検知事象間の関係は明示化されることはなかった。このため、踏み台とされている端末はどこからどこまでなのか、その侵入及び攻撃がどの段階まで進行しているのかを判断するのは、高度な分析能力を要するが、この判断は運用者の経験にのみ依存し、そのノウハウは蓄積し難いという問題点があった。
【0011】
本発明は、上記の事情に鑑みてなされたものであり、運用者のノウハウを蓄積することができる不正アクセス検知ログ情報分析支援装置を提供することを目的とする。また、この様な分析支援装置に適用可能な不正アクセス検知ログ情報分析支援方法及びコンピュータプログラムを提供することを目的とする。
【0012】
【課題を解決するための手段】本発明による不正アクセス検知ログ情報分析支援装置は、侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うIDSマネージャ部と、フォーマット変換された検知ログ情報を蓄積する検知ログ情報データベースと、不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出し、侵入行為パターンを生成する侵入行為パターン作成部と、侵入行為パターン作成部により生成された侵入行為パターンを蓄積する侵入行為パターンデータベースと、侵入行為パターンを評価するためのパターン評価用パラメータを格納するパターン評価用パラメータデータベースと、検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価部と、侵入行為パターン評価部による評価結果を蓄積する侵入行為パターン評価結果データベースとを備えて構成される。
【0013】
また、本発明による不正アクセス検知ログ情報分析支援方法は、侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うステップと、フォーマット変換された検知ログ情報を検知ログ情報データベースに蓄積するステップと、不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出して侵入行為パターンを生成し、侵入行為パターンデータベースに蓄積する侵入行為パターン作成ステップと、検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価ステップと、侵入行為パターン評価部による評価結果を侵入行為パターン評価結果データベースに蓄積するステップとを備える。
【0014】
また、本発明によるコンピュータプログラムは、侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うステップと、フォーマット変換された検知ログ情報を検知ログ情報データベースに蓄積するステップと、不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出して侵入行為パターンを生成し、侵入行為パターンデータベースに蓄積する侵入行為パターン作成ステップと、検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価ステップと、侵入行為パターン評価部による評価結果を侵入行為パターン評価結果データベースに蓄積するステップとを実行するように構成される。
【0015】
この様な構成により、収集した検知ログ情報から侵入行為パターンを抽出して蓄積するとともに、侵入行為パターンを評価し、その評価結果を蓄積することができる。
【0016】
【発明の実施の形態】
実施の形態1.
図1は、本発明の実施の形態1による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。このコンピュータネットワークは、インターネットなどの外部ネットワーク6に接続されたLAN(Local Area Network)5により構成される。
【0017】
LAN5は、不正アクセス検知ログ情報分析支援サーバ1と、複数の端末装置2及び3と、ハブ(HUB)4とにより構成される2系統のネットワーク5a,5bからなる。端末装置2(図中の端末A)は、ホスト型のIDSエージェントが搭載されたサーバ等の端末装置であり、端末装置3(図中の端末B)は、ネットワーク型のIDSエージェント及びIDSマネージャが搭載されたサーバ等の端末装置である。
【0018】
ホスト型のIDSエージェントとは、端末装置のOS(Operating System)及びアプリケーション・ソフトウエアが出力するシステムログ等のイベントデータに基づいて侵入検知を行うソフトウエアである。また、ネットワーク型のIDSエージェントとは、ネットワーク上のパケットデータに基づいて侵入検知を行うソフトウエアである。
【0019】
つまり、IDSエージェントが搭載された端末装置2,3は、不正アクセスを検知して検知ログを出力する侵入検知装置(IDSセンサー)である。また、IDSマネージャは、各IDSエージェントから出力される検知ログを収集するソフトウエアであり、IDSエージェントとは、別の端末に搭載されていてもよい。
【0020】
ハブ4は、端末装置2,3を接続するための集線装置であり、複数のハブ4がカスケード接続され、各ハブ4に対し端末装置2,3を接続することができる。
各端末装置2及び3は、ハブ4を介してLAN5a(実線で示されたネットワーク)に接続され、LAN5aを介して更に外部ネットワーク6に接続される。
【0021】
また、各端末装置2及び3は、LAN5aから独立し、外部ネットワーク6に接続されていないLAN5b(破線で示されたネットワーク)にも接続されている。このLAN5bは、不正アクセス検知ログ情報分析支援サーバ1が接続されたIDS専用ラインである。不正アクセス検知ログ情報分析支援サーバ1は、各IDSエージェントで生成され、IDSマネージャが収集した検知ログについて、分析及び評価を行って、情報を蓄積している。
【0022】
ここでは、インターネット6に接続された不正アクセス端末装置7から端末装置2,3を攻撃する場合の例について説明するが、本発明は、不正アクセス端末装置7がLAN5aに接続されている場合にも適用することができる。
【0023】
図2は、図1のコンピュータネットワークの要部について詳細な構成例を示したブロック図である。IDSエージェント部10は、端末装置2に搭載されたホスト型のIDSエージェントである。各IDSエージェント部10は、イベントデータに対し、シグニチャー(Signature)と呼ばれるデータベースを用いてパターンマッチングを行って、不正アクセスを検知し、検知ログデータを生成している。
【0024】
IDSエージェント部11は、端末装置3に搭載されたネットワーク型のIDSエージェントである。各IDSエージェント部11は、ネットワーク上のパケットデータに対し、IDSエージェント部10と同様のパターンマッチングを行って、不正アクセスを検知し、検知ログデータを生成している。
【0025】
IDSマネージャ部12は、端末装置3に搭載され、検知ログの収集を行っている。IDSマネージャ部12は、検知ログ格納部20と、検知ログ情報変換部21により構成される。複数の端末装置2,3内のIDSエージェント10,11においてパターンマッチングで得られた検知ログは、IDS専用ライン5bを介して、IDSマネージャ部12に送られる。
【0026】
IDSエージェント部10,11で生成される検知ログは、検知時刻、検知イベント(事象)名、検知イベント(事象)番号、送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、検知センサ名称等からなる。
【0027】
これらの検知ログは、検知ログ格納部20に一旦格納され、検知ログ情報変換部21によりフォーマット変換が行われる。市販のIDSエージェントが出力する検知ログのフォーマットは、製品ごとに異なる。例えば、検知イベント名で管理された検知ログが出力され、あるいは、検知イベント番号で管理された検知ログが出力される。検知ログ情報変換部21は、これら種々のフォーマットからなる検知ログを不正アクセス検知ログ情報分析支援サーバ1において分析処理可能な統一フォーマットに変換している。
【0028】
不正アクセス検知ログ情報分析支援サーバ1は、検知ログ情報分析支援データベース30、検知ログ情報分析支援統制管理部22、侵入行為パターン分析・作成部23、侵入行為パターン表示・編集部24、侵入行為パターン評価部25、及び、侵入行為パターン評価結果表示部26により構成される。
【0029】
検知ログ情報分析支援データベース30以外の各ブロック22〜26は、不正アクセス検知ログ情報分析支援サーバ1において実行可能なコンピュータプログラムとして実現され、これらのプログラムは、CD−ROMなどの光記憶媒体、磁気テープなどの磁気記憶媒体、半導体メモリ、その他のコンピュータ読取可能な記憶媒体に格納して提供することができる。
【0030】
検知ログ情報分析支援データベース30は、検知ログ情報DB(データベース)31、ネットワーク構成情報DB(32)、侵入行為パターンDB(33)、パターン評価用パラメータDB(34)、及び、侵入行為パターン評価結果DB(35)により構成される。
【0031】
検知ログ情報DB(31)は、各IDSエージェント部10,11により生成され、IDSマネージャ部12においてフォーマット変換された検知ログを蓄積するデータベースである。
【0032】
ネットワーク構成情報DB(32)は、予め与えられたネットワークの構成に関する種々の情報、例えば、ホスト名称、IPアドレスなどをネットワーク構成情報として記憶保持するデータベースである。これらのネットワーク構成情報は、抽出された侵入行為パターンを評価する際、不正アクセスのあった場所等を特定するために使用される。
【0033】
侵入行為パターンDB(33)は、検知ログ情報DB(31)の検知ログに基づいて、侵入行為パターン分析・作成部23により抽出された侵入行為パターンを蓄積するデータベースである。
【0034】
パターン評価用パラメータDB(34)は、評価用パラメータを記憶保持しているデータベースである。これらの評価用パラメータは、侵入行為パターン評価部25が侵入行為パターンを評価する際に必要となる評価処理のためのパラメータである。侵入行為パターン評価結果DB(35)は、侵入行為パターン評価部25による侵入行為パターンの評価結果が格納されるデータベースである。
【0035】
検知ログ情報分析支援統制管理部22は、侵入行為パターン分析・作成部23、侵入行為パターン表示・編集部24、侵入行為パターン評価部25、及び、侵入行為パターン評価結果表示部26と、IDSマネージャ部12の検知ログ情報変換部21の制御を行っている。
【0036】
侵入行為パターン分析・作成部23は、検知ログ情報を分析し、当該侵入行為に対する特徴的な検知事象を抽出するとともに、抽出された検知事象群について侵入行為パターンを生成し、侵入行為パターンDB(33)に蓄積している。この侵入行為パターンは、IDSエージェントにより収集された検知事象の種類、順序及び相対的な検知時刻により構成される。
【0037】
侵入行為パターンが生成される検知ログ情報は、ホスト型のIDSエージェント部10により生成された検知ログ情報であってもよいし、ネットワーク型のIDSエージェント部11により生成された検知ログ情報であってもよい。また、ホスト型及びネットワーク型のIDSエージェント部10及び11により生成された検知ログ情報を組み合わせて使用することもできる。
【0038】
検知時刻については、誤差を考慮して、統計的な情報処理が行われ、平均、標準偏差(分散)などの統計的情報を含めた侵入行為パターンが生成される。すなわち、検知ログ情報を分類し、時系列的に整理して、統計分析を実施した結果、不正アクセスの特徴と思われる検知事象群が抽出され、侵入行為パターンが生成される。上記の統計的処理は、市販ツールにより実現可能である。
【0039】
一般に、不正アクセスは、単発で行われることは少なく、繰り返しパラメータを変えて行われ、あるいは複合的に行われる場合が多い。このため、不正アクセスは複数回行われることが多く、この様な場合、IDSエージェントは複数のイベント情報を検知することになる。ところが、IDSエージェントの検知情報には、誤検知された不正アクセス以外のイベント情報も含まれるため、不正アクセスがあった場合に、どの様なイベントがどの様な順序で発生するのかを調べることによって、不正アクセスを認識することが可能となる。
【0040】
図3は、侵入行為パターンについての説明図である。図中(a)は検知ログ情報の一例を示した図である。IDSエージェント部10,11において検知事象としてイベントe1〜e5が検知され、それぞれの検知時刻(例えば不正侵入パケットの到来時刻)がt0〜t4であったとする。図中の(b)は、このとき侵入行為パターン分析・作成部23により生成される侵入行為パターンの一例を示した図である。
【0041】
侵入行為パターンは、相対的な検知時刻△t1〜△t4及びイベントe1〜e5の種類及び順序からなる。相対的な検知時刻△t1〜△t4は、一連の検知事象e1〜e5の時間間隔であり、1つ前の検知事象の検知時刻に対する相対的な検知時刻として与えられる。すなわち、各検知事象e2〜e5の検知時刻を△t1〜△t4としており、△tn=tn−t(n−1)(n=1〜4)と表される。
【0042】
なお、到来時刻が同一のイベントを侵入行為パターンとして抽出(選択)することも可能であるものとする。また、侵入行為パターンを抽出する単位をユニットと定義し、同一順列の侵入行為パターンは複数ユニットを蓄積可能とし、統計的な情報処理(例えば平均)を行うものとする。
【0043】
侵入行為パターン表示・編集部24は、侵入行為パターンDB(33)の侵入行為パターンを図示しない表示装置に表示する。 例えば、検知情報を時系列で表示し、また、任意の区間、IPアドレス、ポート番号、種類で検索可能とする。更に、IPアドレスごとに種類別頻度表示、検知情報ごとの頻度表示、侵入行為パターン比較を可能とする時系列表示などを行う。
【0044】
また、侵入行為パターンDB(33)の侵入行為パターンの編集、例えば侵入行為パターンの修正やマージ(結合)などを行って、再び侵入行為パターンDB(33)へ書き込む。このため、運用者(オペレータ)は、侵入行為パターンDB(33)内に蓄積された侵入行為パターンを参照し、編集することができる。
【0045】
侵入行為パターン評価部25は、検知ログ情報DB(31)に蓄積された検知事象(イベント)について、侵入行為パターンDB(33)内の侵入行為パターンとのマッチング処理を行って、各侵入行為パターンに対する評価を行っている。この侵入行為パターン評価は、パターン評価用パラメータDB(34)内の評価用パラメータを用いて、マッチング処理で求められた両者の相関度を評価することによって行われる。評価結果は侵入行為パターン評価結果DB(35)に蓄積される。
【0046】
図4及び図5は、侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。図4の(a)には、検知ログ情報の一例が示され、図4の(b)には、侵入行為パターンの一例が示されている。検知ログ情報と、侵入行為パターンとのマッチング処理は、検知事象の順列及び相対的な検知時刻の2要素に関して行われる。すなわち、検知事象ごとの順列及び相対時刻について相互相関をとり、得られた各相関度に基づいて侵入行為パターンとの相関度が求められる。
【0047】
IDSエージェント部10,11により検知され、検知ログ情報DB(31)に蓄積された検知事象e1〜e5の相対的な検知時刻を△t1’〜△t4’とする。これらの検知時刻△t1’〜△t4’について、侵入行為パターンにおける相対的な検知時刻△t1〜△t4の平均値との相互相関をとる。
【0048】
図5は、相互相関を求める方法の一例が示された図である。侵入行為パターン及び検知ログにおいて対応する検知事象の相関度は、両者の相対的な検知時刻の差分を所定の分布関数における確率に変換した数値として求められる。図5には、中央値△tn、標準偏差σの正規分布における分布確率Pn(x)の例が示されている。当該分布の中央値△tn(n=1〜4)及び標準偏差σは、侵入行為パターンとして与えられる。
【0049】
対応する検知事象について、侵入行為パターンにおける検知時刻(平均値)を△tn、検知ログにおける検知時刻を△tn’とすれば、検知時刻のずれ△tn−△tn’に基づく確率がPn(△tn’)として得られる。
【0050】
一連の各検知事象e1〜e5について相互相関を求め、これらの相関値に基づいて侵入行為パターンとの相関度が求められる。例えば、次式に示すようにN個の各検知事象ごとの相関度Pi(△ti)の平均値として侵入行為パターンとの相関度が求められる。
【数1】
【0051】
図6は、評価用パラメータの一例の概要を示した図である。評価用パラメータを用いて、侵入行為パラメータとの相関度が求められ、その相関度が評価される。この評価結果は、侵入行為パターン評価結果として、侵入行為パターン評価結果DB(35)に格納される。
【0052】
評価用パラメータは、評価対象範囲、IP同一モード及び評価基準値からなる。評価対象範囲は、検知事象ごとの各平均時刻(相対的な検知時刻の平均値)から相関処理対象を判断する基準範囲であり、標準偏差を単位とする。この値を下回った場合は、侵入行為パターンと断定できるほどの相関がないと判断する。すなわち、IDSエージェント部10,11により検知され、検知ログ情報DB(31)に蓄積された検知事象e1〜e5の相対的な検知時刻△t0’〜△t4’の最大値を示している。
【0053】
IP同一モードは、評価処理の実施対象を同一ターゲットIPのみとするモードである。IP同一モードを指定した場合、相関処理対象のイベントでも、異なるターゲットIPの場合は、相関処理を実施しない。すなわち、検知ログ情報の送信元(ターゲット)IPが、P1〜Pnまで同一であることの条件を追加している。
【0054】
評価基準値は、評価処理における有意判定の基準値である。この値を下回った場合は、侵入行為パターンと断定できるほどの評価がないと判断する。すなわち、上式(1)により求められた相関度(マッチング率、最終確率値)の侵入行為パターンに対する有意判定の基準値が示されている。
【0055】
侵入行為パターン評価結果表示部26は、侵入行為パターン評価結果DB(35)の侵入行為パターン評価結果を図示しない表示装置に表示する。このため、運用者(オペレータ)は、侵入行為パターン評価結果DB(35)内に蓄積された侵入行為パターン評価結果を参照して、各侵入行為パターンの検証を行うことができる。この場合、必要に応じて、ネットワーク構成情報DB(32)を参照し、侵入行為パターン評価結果とともに、当該侵入行為が検知された場所等を表示してもよい。
【0056】
この様にして、侵入行為パターンを侵入行為パターンDB(33)に蓄積するとともに、侵入行為パターン評価結果を侵入行為パターン評価結果DB(35)に蓄積することにより、侵入行為パターン評価結果に基づいて侵入行為パターンを検証し、必要に応じて侵入行為パターンを編集することができる。
【0057】
このため、侵入行為パターンを向上させることができ、運用者のノウハウを蓄積することができる。すなわち、多数の検知情報からなる検知ログに対する統計的な情報処理は、市販ツールによっても可能であるが、ここでは、その結果を侵入行為パターンとして評価し管理しているため、ノウハウとして蓄積することができる。
【0058】
また、踏み台とされている端末装置2,3についても、当該踏み台を含めた一連の不正アクセスについて侵入行為パターンを作成すれば、検知することができる。
【0059】
なお、本実施の形態による不正アクセス検知ログ情報分析支援サーバは、各IDSエージェントの出力する検知ログに基づいて侵入行為パターンを生成し、評価している。このため、オンライン、オフラインにかかわらず動作させることができる。すなわち、オフライン・モードでは、事前に収集した検知ログ情報に対して、侵入行為パターンを評価し、オンライン・モードでは、収集中の検知ログ情報に対して、侵入行為パターンを評価する。
【0060】
実施の形態2. 実施の形態1では、侵入行為パターンの各検知事象の検知時刻として、直前の検知事象に対する相対的な検知時刻を用いる場合の例について説明した。これに対し、実施の形態2では、侵入行為パターンを構成する最初の検知事象の検知時刻に対する相対的な検知時刻を用いる場合について説明する。
【0061】
図7は、本発明の実施の形態2における侵入行為パターンについての説明図である。図中の(a)は検知ログ情報の一例を示した図である。IDSエージェント部10,11において検知事象としてイベントe1〜e5が検知され、それぞれの検知時刻(例えば不正侵入パケットの到来時刻)がt0〜t4であったとする。図中の(b)は、このとき侵入行為パターン分析・作成部23により生成される侵入行為パターンの一例を示した図である。
【0062】
相対的な検知時刻△t1〜△t4は、一連の検知事象e1〜e5の時間間隔であり、本実施の形態では、最初の検知事象e1の検知時刻に対する各検知事象e2〜e5の相対的な検知時刻を△t1〜△t4としており、△tn=tn−t0(n=1〜4)と表される。
【0063】
図8は、侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。図8の(a)には、検知ログ情報の一例が示され、図8の(b)には、侵入行為パターンの一例が示されている。検知ログ情報と、侵入行為パターンとのマッチング処理は、実施の形態1と全く同様にして、検知事象の順列及び相対的な検知時刻の2要素に関して行われる。
【0064】
実施の形態3. 実施の形態1では、侵入行為パターンとの相関度を求める際、正規分布における分布確率を用いる場合の例について説明したが、本発明は、この様な場合に限定されない。例えば、正規分布に代えて、指数分布、γ分布、χ(カイ)2乗分布、β分布、F分布、t分布などを用いて侵入行為パターンとの相関度を求めることもできる。
【0065】
実施の形態4. 本実施の形態では、本発明の他の適用例について説明する。図9は、本発明の実施の形態4による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。このネットワークは、遠隔地に設置された3つのLAN40〜42をインターネット43又は専用線44により接続して構成される。ここでは、LAN40が本社、LAN41が支社A、LAN42が支社Bにそれぞれ設置されたネットワークであるものとする。
【0066】
各LAN40〜42は、それぞれがルータ50、ファイアウォール装置51、侵入検知装置(IDS)52及び複数の端末装置53により構成される。また、LAN40は、更にネットワーク統括管理装置54を備えている。各LAN40〜42は、ルータ50を介してインターネット43又は専用線44に接続されている。また、ルータ50及び各端末装置53の間にファイアウォール装置51を設置して、外部から各端末装置53への不正侵入を抑制している。
【0067】
侵入検知装置52は、図1におけるIDSエージェントが搭載された端末装置2,3に相当する装置である。侵入検知装置52は、各LAN40〜42内のファイアウォール装置51の外側の通信経路51Aにおいて、外部から内部への侵入を検知するとともに、ファイアウォール装置51の内側の通信経路51Bにおいて、内部から外部への出力を検知し、検知ログを生成している。この様にして各LAN40〜42の侵入検知装置52により生成された検知ログは、本社のLAN40内のネットワーク統括管理装置54へ送信される。
【0068】
また、ネットワーク統括管理装置54は、図1の不正アクセス検知ログ情報分析支援サーバ1に相当する装置である。ネットワーク統括管理装置54は、各侵入検知装置52から受信した検知ログ情報に基づいて、侵入行為パターンを生成するとともに、侵入行為パターンの評価を行っている。
【0069】
この場合、本社及び各支社ごとに1つの侵入検知装置52を設け、ファイアウォール装置51の前後で不正アクセスを検知するとともに、これらの検知ログを分析するネットワーク統括管理装置54が本社にのみ設けられている。このため、少ない侵入検知装置52及び不正アクセス検知ログ情報分析支援サーバを用いて効率的に侵入検知と、検知ログ情報の分析支援を行うことができる。
【0070】
図10は、ネットワーク統括管理装置54における表示の一例を示した図である。侵入検知の通知を行った侵入検知装置52の所在地が、ネットワーク統括管理装置54の画面上に表示される。ここでは、LAN41(支社A)において侵入検知された場合の例が示されている。この様な位置情報は、図2のネットワーク構成情報DB(32)に格納されている。
【0071】
【発明の効果】本発明によれば、収集した検知ログ情報から侵入行為パターンを抽出して蓄積するとともに、侵入行為パターンを評価し、その評価結果を蓄積することができるため、運用者のノウハウを蓄積することができる。
【図面の簡単な説明】
【図1】本発明の実施の形態1による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。
【図2】図1のコンピュータネットワークの要部について詳細な構成例を示したブロック図である。
【図3】侵入行為パターンについての説明図である。
【図4】侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。
【図5】相互相関を求める方法の一例が示された図である。
【図6】評価用パラメータの一例の概要を示した図である。
【図7】本発明の実施の形態2における侵入行為パターンについての説明図である。
【図8】侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。
【図9】本発明の実施の形態4による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。
【図10】ネットワーク統括管理装置における表示の一例を示した図である。
【符号の説明】
1 不正アクセス検知ログ情報分析支援サーバ、
10 侵入検知部(ホスト型)、11 侵入検知部(ネットワーク型)、
12 IDSマネージャ部、21 検知ログ情報変換部、
22 検知ログ情報分析支援統制管理部、
23 侵入行為パターン分析・作成部、
24 侵入行為パターン表示・編集部、25 侵入行為パターン評価部、
26 侵入行為パターン評価結果表示部、
30 検知ログ情報分析支援データベース部、31 検知ログ情報DB、
32 ネットワーク構成情報DB、33 侵入行為パターンDB、
34 パターン評価用パラメータDB、
35 侵入行為パターン評価結果DB
【発明の属する技術分野】
本発明は、不正アクセス検知ログ情報分析支援装置、不正アクセス検知ログ情報分析支援方法及びコンピュータプログラムに係り、更に詳しくは、コンピュータネットワーク上で不正侵入者を検知する侵入検知装置から出力される検知ログを収集し、分析する分析支援装置に関する。
【0002】
【従来の技術】
パソコン等の情報端末に対し不正侵入を試みるハッカー等と呼ばれる不正侵入者の脅威から、情報端末を守る手段の一つとして、不正アクセスを検知する侵入検知装置が従来から広く普及しており、この種の装置はIDS(Intrusion Detection System)と呼ばれている。
【0003】
例えば、特許文献1に開示された侵入検知装置は、パケット取得・選択手段が、特定のコンピュータネットワークを流れる所定のパケットの取得し選択し、ユーザデータ作成手段が、当該パケットから得られる情報に基づき、当該パケットを送信したユーザの個人的特徴を数値化した特徴データをユーザデータとして作成している。
【0004】
また、前記特定のコンピュータネットワークにおける正規ユーザの個人的特徴を数値化した特徴データが、当該正規ユーザが過去に送信したパケットから得られた情報に基づいて作成され、監査データとして監査データ記憶部に記録され、ユーザ判定手段が、ユーザデータを監査データ記憶部に記録された監査データと比較し、当該ユーザデータに対応するユーザが、前記特定のコンピュータネットワークにおける正規ユーザであるか否かを判定している。
【0005】
つまり、上記侵入検知装置は、パケット送信者の個人的特徴を数値化したユーザデータと、正規ユーザの個人的特徴を数値化した監査データとを用いて、不正侵入者による不正アクセスを検知するものである。この場合、ユーザの個人的特徴をどのように数値化し、ユーザデータと監査データをどのように比較するのかは、運用者が独自に判断する必要がある。
【0006】
【特許文献1】
特開2001−202333号公報
【0007】
【発明が解決しようとする課題】
一般に、侵入検知装置において、過剰な情報を抽出すれば誤検知が含まれることになる一方(False Positive)、過小な情報を抽出すれば検出漏れを生じることになる(False Negative)。このため、何を検知情報として抽出するのかは運用者の独自判断に依存し、運用者によって誤検知や検知漏れが多くなるという運用上の問題があった。
【0008】
例えば、不正侵入行為と定義した文字列パターンを用いて、ネットワークパケット又はシステムログ等に対するマッチング処理を行って、不正アクセスを検知して警報を出力する場合、1回又は複数の侵入行為に対して多量の検知ログが得られることから、状況分析が必要となる。しかしながら、当該分析処理は、運用者の経験に頼る部分に大きいため、運用者によっては本質的な状況把握が困難なために、誤検知による誤警報が出力されやすいといった問題があった。
【0009】
しかも、個々の運用者が侵入検知装置の出力する検知ログを独自分析しているため、その分析手法は継承され難く、ますます各運用者の経験及び能力に依存することになり、そのノウハウを蓄積し難いという問題点があった。その結果、運用者によって状況分析も異なり、誤検知が生じ易いという問題があった。
【0010】
例えば、侵入者は自分の端末からダイレクトに攻撃するだけでなく、いくつかの踏み台端末を経由して行われることが少なくない。また、攻撃ツール等での侵入行為が自動化されている場合もあるが、検知事象間の関係は明示化されることはなかった。このため、踏み台とされている端末はどこからどこまでなのか、その侵入及び攻撃がどの段階まで進行しているのかを判断するのは、高度な分析能力を要するが、この判断は運用者の経験にのみ依存し、そのノウハウは蓄積し難いという問題点があった。
【0011】
本発明は、上記の事情に鑑みてなされたものであり、運用者のノウハウを蓄積することができる不正アクセス検知ログ情報分析支援装置を提供することを目的とする。また、この様な分析支援装置に適用可能な不正アクセス検知ログ情報分析支援方法及びコンピュータプログラムを提供することを目的とする。
【0012】
【課題を解決するための手段】本発明による不正アクセス検知ログ情報分析支援装置は、侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うIDSマネージャ部と、フォーマット変換された検知ログ情報を蓄積する検知ログ情報データベースと、不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出し、侵入行為パターンを生成する侵入行為パターン作成部と、侵入行為パターン作成部により生成された侵入行為パターンを蓄積する侵入行為パターンデータベースと、侵入行為パターンを評価するためのパターン評価用パラメータを格納するパターン評価用パラメータデータベースと、検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価部と、侵入行為パターン評価部による評価結果を蓄積する侵入行為パターン評価結果データベースとを備えて構成される。
【0013】
また、本発明による不正アクセス検知ログ情報分析支援方法は、侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うステップと、フォーマット変換された検知ログ情報を検知ログ情報データベースに蓄積するステップと、不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出して侵入行為パターンを生成し、侵入行為パターンデータベースに蓄積する侵入行為パターン作成ステップと、検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価ステップと、侵入行為パターン評価部による評価結果を侵入行為パターン評価結果データベースに蓄積するステップとを備える。
【0014】
また、本発明によるコンピュータプログラムは、侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うステップと、フォーマット変換された検知ログ情報を検知ログ情報データベースに蓄積するステップと、不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出して侵入行為パターンを生成し、侵入行為パターンデータベースに蓄積する侵入行為パターン作成ステップと、検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価ステップと、侵入行為パターン評価部による評価結果を侵入行為パターン評価結果データベースに蓄積するステップとを実行するように構成される。
【0015】
この様な構成により、収集した検知ログ情報から侵入行為パターンを抽出して蓄積するとともに、侵入行為パターンを評価し、その評価結果を蓄積することができる。
【0016】
【発明の実施の形態】
実施の形態1.
図1は、本発明の実施の形態1による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。このコンピュータネットワークは、インターネットなどの外部ネットワーク6に接続されたLAN(Local Area Network)5により構成される。
【0017】
LAN5は、不正アクセス検知ログ情報分析支援サーバ1と、複数の端末装置2及び3と、ハブ(HUB)4とにより構成される2系統のネットワーク5a,5bからなる。端末装置2(図中の端末A)は、ホスト型のIDSエージェントが搭載されたサーバ等の端末装置であり、端末装置3(図中の端末B)は、ネットワーク型のIDSエージェント及びIDSマネージャが搭載されたサーバ等の端末装置である。
【0018】
ホスト型のIDSエージェントとは、端末装置のOS(Operating System)及びアプリケーション・ソフトウエアが出力するシステムログ等のイベントデータに基づいて侵入検知を行うソフトウエアである。また、ネットワーク型のIDSエージェントとは、ネットワーク上のパケットデータに基づいて侵入検知を行うソフトウエアである。
【0019】
つまり、IDSエージェントが搭載された端末装置2,3は、不正アクセスを検知して検知ログを出力する侵入検知装置(IDSセンサー)である。また、IDSマネージャは、各IDSエージェントから出力される検知ログを収集するソフトウエアであり、IDSエージェントとは、別の端末に搭載されていてもよい。
【0020】
ハブ4は、端末装置2,3を接続するための集線装置であり、複数のハブ4がカスケード接続され、各ハブ4に対し端末装置2,3を接続することができる。
各端末装置2及び3は、ハブ4を介してLAN5a(実線で示されたネットワーク)に接続され、LAN5aを介して更に外部ネットワーク6に接続される。
【0021】
また、各端末装置2及び3は、LAN5aから独立し、外部ネットワーク6に接続されていないLAN5b(破線で示されたネットワーク)にも接続されている。このLAN5bは、不正アクセス検知ログ情報分析支援サーバ1が接続されたIDS専用ラインである。不正アクセス検知ログ情報分析支援サーバ1は、各IDSエージェントで生成され、IDSマネージャが収集した検知ログについて、分析及び評価を行って、情報を蓄積している。
【0022】
ここでは、インターネット6に接続された不正アクセス端末装置7から端末装置2,3を攻撃する場合の例について説明するが、本発明は、不正アクセス端末装置7がLAN5aに接続されている場合にも適用することができる。
【0023】
図2は、図1のコンピュータネットワークの要部について詳細な構成例を示したブロック図である。IDSエージェント部10は、端末装置2に搭載されたホスト型のIDSエージェントである。各IDSエージェント部10は、イベントデータに対し、シグニチャー(Signature)と呼ばれるデータベースを用いてパターンマッチングを行って、不正アクセスを検知し、検知ログデータを生成している。
【0024】
IDSエージェント部11は、端末装置3に搭載されたネットワーク型のIDSエージェントである。各IDSエージェント部11は、ネットワーク上のパケットデータに対し、IDSエージェント部10と同様のパターンマッチングを行って、不正アクセスを検知し、検知ログデータを生成している。
【0025】
IDSマネージャ部12は、端末装置3に搭載され、検知ログの収集を行っている。IDSマネージャ部12は、検知ログ格納部20と、検知ログ情報変換部21により構成される。複数の端末装置2,3内のIDSエージェント10,11においてパターンマッチングで得られた検知ログは、IDS専用ライン5bを介して、IDSマネージャ部12に送られる。
【0026】
IDSエージェント部10,11で生成される検知ログは、検知時刻、検知イベント(事象)名、検知イベント(事象)番号、送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、検知センサ名称等からなる。
【0027】
これらの検知ログは、検知ログ格納部20に一旦格納され、検知ログ情報変換部21によりフォーマット変換が行われる。市販のIDSエージェントが出力する検知ログのフォーマットは、製品ごとに異なる。例えば、検知イベント名で管理された検知ログが出力され、あるいは、検知イベント番号で管理された検知ログが出力される。検知ログ情報変換部21は、これら種々のフォーマットからなる検知ログを不正アクセス検知ログ情報分析支援サーバ1において分析処理可能な統一フォーマットに変換している。
【0028】
不正アクセス検知ログ情報分析支援サーバ1は、検知ログ情報分析支援データベース30、検知ログ情報分析支援統制管理部22、侵入行為パターン分析・作成部23、侵入行為パターン表示・編集部24、侵入行為パターン評価部25、及び、侵入行為パターン評価結果表示部26により構成される。
【0029】
検知ログ情報分析支援データベース30以外の各ブロック22〜26は、不正アクセス検知ログ情報分析支援サーバ1において実行可能なコンピュータプログラムとして実現され、これらのプログラムは、CD−ROMなどの光記憶媒体、磁気テープなどの磁気記憶媒体、半導体メモリ、その他のコンピュータ読取可能な記憶媒体に格納して提供することができる。
【0030】
検知ログ情報分析支援データベース30は、検知ログ情報DB(データベース)31、ネットワーク構成情報DB(32)、侵入行為パターンDB(33)、パターン評価用パラメータDB(34)、及び、侵入行為パターン評価結果DB(35)により構成される。
【0031】
検知ログ情報DB(31)は、各IDSエージェント部10,11により生成され、IDSマネージャ部12においてフォーマット変換された検知ログを蓄積するデータベースである。
【0032】
ネットワーク構成情報DB(32)は、予め与えられたネットワークの構成に関する種々の情報、例えば、ホスト名称、IPアドレスなどをネットワーク構成情報として記憶保持するデータベースである。これらのネットワーク構成情報は、抽出された侵入行為パターンを評価する際、不正アクセスのあった場所等を特定するために使用される。
【0033】
侵入行為パターンDB(33)は、検知ログ情報DB(31)の検知ログに基づいて、侵入行為パターン分析・作成部23により抽出された侵入行為パターンを蓄積するデータベースである。
【0034】
パターン評価用パラメータDB(34)は、評価用パラメータを記憶保持しているデータベースである。これらの評価用パラメータは、侵入行為パターン評価部25が侵入行為パターンを評価する際に必要となる評価処理のためのパラメータである。侵入行為パターン評価結果DB(35)は、侵入行為パターン評価部25による侵入行為パターンの評価結果が格納されるデータベースである。
【0035】
検知ログ情報分析支援統制管理部22は、侵入行為パターン分析・作成部23、侵入行為パターン表示・編集部24、侵入行為パターン評価部25、及び、侵入行為パターン評価結果表示部26と、IDSマネージャ部12の検知ログ情報変換部21の制御を行っている。
【0036】
侵入行為パターン分析・作成部23は、検知ログ情報を分析し、当該侵入行為に対する特徴的な検知事象を抽出するとともに、抽出された検知事象群について侵入行為パターンを生成し、侵入行為パターンDB(33)に蓄積している。この侵入行為パターンは、IDSエージェントにより収集された検知事象の種類、順序及び相対的な検知時刻により構成される。
【0037】
侵入行為パターンが生成される検知ログ情報は、ホスト型のIDSエージェント部10により生成された検知ログ情報であってもよいし、ネットワーク型のIDSエージェント部11により生成された検知ログ情報であってもよい。また、ホスト型及びネットワーク型のIDSエージェント部10及び11により生成された検知ログ情報を組み合わせて使用することもできる。
【0038】
検知時刻については、誤差を考慮して、統計的な情報処理が行われ、平均、標準偏差(分散)などの統計的情報を含めた侵入行為パターンが生成される。すなわち、検知ログ情報を分類し、時系列的に整理して、統計分析を実施した結果、不正アクセスの特徴と思われる検知事象群が抽出され、侵入行為パターンが生成される。上記の統計的処理は、市販ツールにより実現可能である。
【0039】
一般に、不正アクセスは、単発で行われることは少なく、繰り返しパラメータを変えて行われ、あるいは複合的に行われる場合が多い。このため、不正アクセスは複数回行われることが多く、この様な場合、IDSエージェントは複数のイベント情報を検知することになる。ところが、IDSエージェントの検知情報には、誤検知された不正アクセス以外のイベント情報も含まれるため、不正アクセスがあった場合に、どの様なイベントがどの様な順序で発生するのかを調べることによって、不正アクセスを認識することが可能となる。
【0040】
図3は、侵入行為パターンについての説明図である。図中(a)は検知ログ情報の一例を示した図である。IDSエージェント部10,11において検知事象としてイベントe1〜e5が検知され、それぞれの検知時刻(例えば不正侵入パケットの到来時刻)がt0〜t4であったとする。図中の(b)は、このとき侵入行為パターン分析・作成部23により生成される侵入行為パターンの一例を示した図である。
【0041】
侵入行為パターンは、相対的な検知時刻△t1〜△t4及びイベントe1〜e5の種類及び順序からなる。相対的な検知時刻△t1〜△t4は、一連の検知事象e1〜e5の時間間隔であり、1つ前の検知事象の検知時刻に対する相対的な検知時刻として与えられる。すなわち、各検知事象e2〜e5の検知時刻を△t1〜△t4としており、△tn=tn−t(n−1)(n=1〜4)と表される。
【0042】
なお、到来時刻が同一のイベントを侵入行為パターンとして抽出(選択)することも可能であるものとする。また、侵入行為パターンを抽出する単位をユニットと定義し、同一順列の侵入行為パターンは複数ユニットを蓄積可能とし、統計的な情報処理(例えば平均)を行うものとする。
【0043】
侵入行為パターン表示・編集部24は、侵入行為パターンDB(33)の侵入行為パターンを図示しない表示装置に表示する。 例えば、検知情報を時系列で表示し、また、任意の区間、IPアドレス、ポート番号、種類で検索可能とする。更に、IPアドレスごとに種類別頻度表示、検知情報ごとの頻度表示、侵入行為パターン比較を可能とする時系列表示などを行う。
【0044】
また、侵入行為パターンDB(33)の侵入行為パターンの編集、例えば侵入行為パターンの修正やマージ(結合)などを行って、再び侵入行為パターンDB(33)へ書き込む。このため、運用者(オペレータ)は、侵入行為パターンDB(33)内に蓄積された侵入行為パターンを参照し、編集することができる。
【0045】
侵入行為パターン評価部25は、検知ログ情報DB(31)に蓄積された検知事象(イベント)について、侵入行為パターンDB(33)内の侵入行為パターンとのマッチング処理を行って、各侵入行為パターンに対する評価を行っている。この侵入行為パターン評価は、パターン評価用パラメータDB(34)内の評価用パラメータを用いて、マッチング処理で求められた両者の相関度を評価することによって行われる。評価結果は侵入行為パターン評価結果DB(35)に蓄積される。
【0046】
図4及び図5は、侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。図4の(a)には、検知ログ情報の一例が示され、図4の(b)には、侵入行為パターンの一例が示されている。検知ログ情報と、侵入行為パターンとのマッチング処理は、検知事象の順列及び相対的な検知時刻の2要素に関して行われる。すなわち、検知事象ごとの順列及び相対時刻について相互相関をとり、得られた各相関度に基づいて侵入行為パターンとの相関度が求められる。
【0047】
IDSエージェント部10,11により検知され、検知ログ情報DB(31)に蓄積された検知事象e1〜e5の相対的な検知時刻を△t1’〜△t4’とする。これらの検知時刻△t1’〜△t4’について、侵入行為パターンにおける相対的な検知時刻△t1〜△t4の平均値との相互相関をとる。
【0048】
図5は、相互相関を求める方法の一例が示された図である。侵入行為パターン及び検知ログにおいて対応する検知事象の相関度は、両者の相対的な検知時刻の差分を所定の分布関数における確率に変換した数値として求められる。図5には、中央値△tn、標準偏差σの正規分布における分布確率Pn(x)の例が示されている。当該分布の中央値△tn(n=1〜4)及び標準偏差σは、侵入行為パターンとして与えられる。
【0049】
対応する検知事象について、侵入行為パターンにおける検知時刻(平均値)を△tn、検知ログにおける検知時刻を△tn’とすれば、検知時刻のずれ△tn−△tn’に基づく確率がPn(△tn’)として得られる。
【0050】
一連の各検知事象e1〜e5について相互相関を求め、これらの相関値に基づいて侵入行為パターンとの相関度が求められる。例えば、次式に示すようにN個の各検知事象ごとの相関度Pi(△ti)の平均値として侵入行為パターンとの相関度が求められる。
【数1】
【0051】
図6は、評価用パラメータの一例の概要を示した図である。評価用パラメータを用いて、侵入行為パラメータとの相関度が求められ、その相関度が評価される。この評価結果は、侵入行為パターン評価結果として、侵入行為パターン評価結果DB(35)に格納される。
【0052】
評価用パラメータは、評価対象範囲、IP同一モード及び評価基準値からなる。評価対象範囲は、検知事象ごとの各平均時刻(相対的な検知時刻の平均値)から相関処理対象を判断する基準範囲であり、標準偏差を単位とする。この値を下回った場合は、侵入行為パターンと断定できるほどの相関がないと判断する。すなわち、IDSエージェント部10,11により検知され、検知ログ情報DB(31)に蓄積された検知事象e1〜e5の相対的な検知時刻△t0’〜△t4’の最大値を示している。
【0053】
IP同一モードは、評価処理の実施対象を同一ターゲットIPのみとするモードである。IP同一モードを指定した場合、相関処理対象のイベントでも、異なるターゲットIPの場合は、相関処理を実施しない。すなわち、検知ログ情報の送信元(ターゲット)IPが、P1〜Pnまで同一であることの条件を追加している。
【0054】
評価基準値は、評価処理における有意判定の基準値である。この値を下回った場合は、侵入行為パターンと断定できるほどの評価がないと判断する。すなわち、上式(1)により求められた相関度(マッチング率、最終確率値)の侵入行為パターンに対する有意判定の基準値が示されている。
【0055】
侵入行為パターン評価結果表示部26は、侵入行為パターン評価結果DB(35)の侵入行為パターン評価結果を図示しない表示装置に表示する。このため、運用者(オペレータ)は、侵入行為パターン評価結果DB(35)内に蓄積された侵入行為パターン評価結果を参照して、各侵入行為パターンの検証を行うことができる。この場合、必要に応じて、ネットワーク構成情報DB(32)を参照し、侵入行為パターン評価結果とともに、当該侵入行為が検知された場所等を表示してもよい。
【0056】
この様にして、侵入行為パターンを侵入行為パターンDB(33)に蓄積するとともに、侵入行為パターン評価結果を侵入行為パターン評価結果DB(35)に蓄積することにより、侵入行為パターン評価結果に基づいて侵入行為パターンを検証し、必要に応じて侵入行為パターンを編集することができる。
【0057】
このため、侵入行為パターンを向上させることができ、運用者のノウハウを蓄積することができる。すなわち、多数の検知情報からなる検知ログに対する統計的な情報処理は、市販ツールによっても可能であるが、ここでは、その結果を侵入行為パターンとして評価し管理しているため、ノウハウとして蓄積することができる。
【0058】
また、踏み台とされている端末装置2,3についても、当該踏み台を含めた一連の不正アクセスについて侵入行為パターンを作成すれば、検知することができる。
【0059】
なお、本実施の形態による不正アクセス検知ログ情報分析支援サーバは、各IDSエージェントの出力する検知ログに基づいて侵入行為パターンを生成し、評価している。このため、オンライン、オフラインにかかわらず動作させることができる。すなわち、オフライン・モードでは、事前に収集した検知ログ情報に対して、侵入行為パターンを評価し、オンライン・モードでは、収集中の検知ログ情報に対して、侵入行為パターンを評価する。
【0060】
実施の形態2. 実施の形態1では、侵入行為パターンの各検知事象の検知時刻として、直前の検知事象に対する相対的な検知時刻を用いる場合の例について説明した。これに対し、実施の形態2では、侵入行為パターンを構成する最初の検知事象の検知時刻に対する相対的な検知時刻を用いる場合について説明する。
【0061】
図7は、本発明の実施の形態2における侵入行為パターンについての説明図である。図中の(a)は検知ログ情報の一例を示した図である。IDSエージェント部10,11において検知事象としてイベントe1〜e5が検知され、それぞれの検知時刻(例えば不正侵入パケットの到来時刻)がt0〜t4であったとする。図中の(b)は、このとき侵入行為パターン分析・作成部23により生成される侵入行為パターンの一例を示した図である。
【0062】
相対的な検知時刻△t1〜△t4は、一連の検知事象e1〜e5の時間間隔であり、本実施の形態では、最初の検知事象e1の検知時刻に対する各検知事象e2〜e5の相対的な検知時刻を△t1〜△t4としており、△tn=tn−t0(n=1〜4)と表される。
【0063】
図8は、侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。図8の(a)には、検知ログ情報の一例が示され、図8の(b)には、侵入行為パターンの一例が示されている。検知ログ情報と、侵入行為パターンとのマッチング処理は、実施の形態1と全く同様にして、検知事象の順列及び相対的な検知時刻の2要素に関して行われる。
【0064】
実施の形態3. 実施の形態1では、侵入行為パターンとの相関度を求める際、正規分布における分布確率を用いる場合の例について説明したが、本発明は、この様な場合に限定されない。例えば、正規分布に代えて、指数分布、γ分布、χ(カイ)2乗分布、β分布、F分布、t分布などを用いて侵入行為パターンとの相関度を求めることもできる。
【0065】
実施の形態4. 本実施の形態では、本発明の他の適用例について説明する。図9は、本発明の実施の形態4による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。このネットワークは、遠隔地に設置された3つのLAN40〜42をインターネット43又は専用線44により接続して構成される。ここでは、LAN40が本社、LAN41が支社A、LAN42が支社Bにそれぞれ設置されたネットワークであるものとする。
【0066】
各LAN40〜42は、それぞれがルータ50、ファイアウォール装置51、侵入検知装置(IDS)52及び複数の端末装置53により構成される。また、LAN40は、更にネットワーク統括管理装置54を備えている。各LAN40〜42は、ルータ50を介してインターネット43又は専用線44に接続されている。また、ルータ50及び各端末装置53の間にファイアウォール装置51を設置して、外部から各端末装置53への不正侵入を抑制している。
【0067】
侵入検知装置52は、図1におけるIDSエージェントが搭載された端末装置2,3に相当する装置である。侵入検知装置52は、各LAN40〜42内のファイアウォール装置51の外側の通信経路51Aにおいて、外部から内部への侵入を検知するとともに、ファイアウォール装置51の内側の通信経路51Bにおいて、内部から外部への出力を検知し、検知ログを生成している。この様にして各LAN40〜42の侵入検知装置52により生成された検知ログは、本社のLAN40内のネットワーク統括管理装置54へ送信される。
【0068】
また、ネットワーク統括管理装置54は、図1の不正アクセス検知ログ情報分析支援サーバ1に相当する装置である。ネットワーク統括管理装置54は、各侵入検知装置52から受信した検知ログ情報に基づいて、侵入行為パターンを生成するとともに、侵入行為パターンの評価を行っている。
【0069】
この場合、本社及び各支社ごとに1つの侵入検知装置52を設け、ファイアウォール装置51の前後で不正アクセスを検知するとともに、これらの検知ログを分析するネットワーク統括管理装置54が本社にのみ設けられている。このため、少ない侵入検知装置52及び不正アクセス検知ログ情報分析支援サーバを用いて効率的に侵入検知と、検知ログ情報の分析支援を行うことができる。
【0070】
図10は、ネットワーク統括管理装置54における表示の一例を示した図である。侵入検知の通知を行った侵入検知装置52の所在地が、ネットワーク統括管理装置54の画面上に表示される。ここでは、LAN41(支社A)において侵入検知された場合の例が示されている。この様な位置情報は、図2のネットワーク構成情報DB(32)に格納されている。
【0071】
【発明の効果】本発明によれば、収集した検知ログ情報から侵入行為パターンを抽出して蓄積するとともに、侵入行為パターンを評価し、その評価結果を蓄積することができるため、運用者のノウハウを蓄積することができる。
【図面の簡単な説明】
【図1】本発明の実施の形態1による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。
【図2】図1のコンピュータネットワークの要部について詳細な構成例を示したブロック図である。
【図3】侵入行為パターンについての説明図である。
【図4】侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。
【図5】相互相関を求める方法の一例が示された図である。
【図6】評価用パラメータの一例の概要を示した図である。
【図7】本発明の実施の形態2における侵入行為パターンについての説明図である。
【図8】侵入行為パターン評価部25における評価処理についてその概念を示した説明図である。
【図9】本発明の実施の形態4による不正アクセス検知ログ情報分析支援装置が適用されるコンピュータネットワークの一構成例を示したブロック図である。
【図10】ネットワーク統括管理装置における表示の一例を示した図である。
【符号の説明】
1 不正アクセス検知ログ情報分析支援サーバ、
10 侵入検知部(ホスト型)、11 侵入検知部(ネットワーク型)、
12 IDSマネージャ部、21 検知ログ情報変換部、
22 検知ログ情報分析支援統制管理部、
23 侵入行為パターン分析・作成部、
24 侵入行為パターン表示・編集部、25 侵入行為パターン評価部、
26 侵入行為パターン評価結果表示部、
30 検知ログ情報分析支援データベース部、31 検知ログ情報DB、
32 ネットワーク構成情報DB、33 侵入行為パターンDB、
34 パターン評価用パラメータDB、
35 侵入行為パターン評価結果DB
Claims (9)
- 侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うIDSマネージャ部と、
フォーマット変換された検知ログ情報を蓄積する検知ログ情報データベースと、
不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出し、侵入行為パターンを生成する侵入行為パターン作成部と、
侵入行為パターン作成部により生成された侵入行為パターンを蓄積する侵入行為パターンデータベースと、
侵入行為パターンを評価するためのパターン評価用パラメータを格納するパターン評価用パラメータデータベースと、
検知ログ情報データベースに蓄積された検知ログ情報の侵入行為パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価部と、
侵入行為パターン評価部による評価結果を蓄積する侵入行為パターン評価結果データベースとを備えたことを特徴とする不正アクセス検知ログ情報分析支援装置。 - 上記侵入行為パターンが、複数の不正アクセス検知情報の順序及び相対的検知時刻からなることを特徴とする請求項1に記載の不正アクセス検知ログ情報分析支援装置。
- 上記相対的検知時刻は、侵入行為パターンを構成する各検知事象の検知時刻について、直前に検知された検知事象の検知時刻に対する時間間隔として求められることを特徴とする請求項2に記載の不正アクセス検知ログ情報分析支援装置。
- 上記相対的検知時刻は、侵入行為パターンを構成する各検知事象の検知時刻について、最初の検知事象の検知時刻に対する時間間隔として求められることを特徴とする請求項2に記載の不正アクセス検知ログ情報分析支援装置。
- 上記侵入行為パターン評価部は、検知ログ情報及び侵入行為評価パターンにおける相対的検知時刻のずれを所定の分布関数における分布確率に変換した相関度を求めることを特徴とする請求項4に記載の不正アクセス検知ログ情報分析支援装置。
- 上記IDSマネージャ部が、2以上の侵入検知装置から出力される検知ログ情報を収集することを特徴とする請求項1に記載の不正アクセス検知ログ情報分析支援装置。
- 上記IDSマネージャ部が、ホスト型侵入検知装置及びネットワーク型侵入検知装置から出力される検知ログ情報を収集することを特徴とする請求項6に記載の不正アクセス検知ログ情報分析支援装置。
- 侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うステップと、
フォーマット変換された検知ログ情報を検知ログ情報データベースに蓄積するステップと、
不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出して侵入行為パターンを生成し、侵入行為パターンデータベースに蓄積する侵入行為パターン作成ステップと、
検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価ステップと、
侵入行為パターン評価部による評価結果を侵入行為パターン評価結果データベースに蓄積するステップとを備えたことを特徴とする不正アクセス検知ログ情報分析支援方法。 - 侵入検知装置から出力される複数の不正アクセス検知情報からなる検知ログ情報を収集し、収集された検知ログ情報のフォーマット変換を行うステップと、
フォーマット変換された検知ログ情報を検知ログ情報データベースに蓄積するステップと、
不正アクセス検知情報に特徴的な検知事象を検知ログ情報データベースに蓄積された検知ログ情報から抽出して侵入行為パターンを生成し、侵入行為パターンデータベースに蓄積する侵入行為パターン作成ステップと、
検知ログ情報データベースに蓄積された検知ログ情報の侵入行為評価パターンに対する相関度を求め、この相関度及びパターン評価用パラメータに基づいて、侵入行為パターンを評価する侵入行為パターン評価ステップと、
侵入行為パターン評価部による評価結果を侵入行為パターン評価結果データベースに蓄積するステップとを実行することを特徴とするコンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003007551A JP2004220373A (ja) | 2003-01-15 | 2003-01-15 | 不正アクセス検知ログ情報分析支援装置、不正アクセス検知ログ情報分析支援方法及びコンピュータプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003007551A JP2004220373A (ja) | 2003-01-15 | 2003-01-15 | 不正アクセス検知ログ情報分析支援装置、不正アクセス検知ログ情報分析支援方法及びコンピュータプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004220373A true JP2004220373A (ja) | 2004-08-05 |
Family
ID=32897616
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003007551A Pending JP2004220373A (ja) | 2003-01-15 | 2003-01-15 | 不正アクセス検知ログ情報分析支援装置、不正アクセス検知ログ情報分析支援方法及びコンピュータプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004220373A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005236862A (ja) * | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
EP2950228A1 (en) | 2014-05-28 | 2015-12-02 | Fujitsu Limited | Authentication information theft detection method, authentication information theft detection device, and program for the same |
KR101767454B1 (ko) * | 2015-11-12 | 2017-08-14 | 주식회사 엔젠소프트 | 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치 |
US9819691B2 (en) | 2014-12-26 | 2017-11-14 | Fujitsu Limited | Network monitoring system and method |
-
2003
- 2003-01-15 JP JP2003007551A patent/JP2004220373A/ja active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005236862A (ja) * | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
EP2950228A1 (en) | 2014-05-28 | 2015-12-02 | Fujitsu Limited | Authentication information theft detection method, authentication information theft detection device, and program for the same |
US9819691B2 (en) | 2014-12-26 | 2017-11-14 | Fujitsu Limited | Network monitoring system and method |
KR101767454B1 (ko) * | 2015-11-12 | 2017-08-14 | 주식회사 엔젠소프트 | 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6703613B2 (ja) | データストリームにおける異常検出 | |
CN111935172B (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
KR101007899B1 (ko) | 네트워크 보안 시스템에서의 패턴 발견 | |
KR101538709B1 (ko) | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 | |
JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
EP2517437B1 (en) | Intrusion detection in communication networks | |
US20080148398A1 (en) | System and Method for Definition and Automated Analysis of Computer Security Threat Models | |
JP2018533897A5 (ja) | ||
US20060259968A1 (en) | Log analysis system, method and apparatus | |
US20080141332A1 (en) | System, method and program product for identifying network-attack profiles and blocking network intrusions | |
WO2003100619A1 (fr) | Dispositif, programme et procede de detection d'acces non autorise | |
CN112184091A (zh) | 工控***安全威胁评估方法、装置和*** | |
CN112671767A (zh) | 一种基于告警数据分析的安全事件预警方法及装置 | |
CN117375985A (zh) | 安全风险指数的确定方法及装置、存储介质、电子装置 | |
JP2019036865A (ja) | 通信解析装置、通信解析プログラム、及び通信解析方法 | |
JP2004186878A (ja) | 侵入検知装置及び侵入検知プログラム | |
CN118018229A (zh) | 基于大数据的网络威胁检测方法 | |
CN113645215A (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 | |
JP2004220373A (ja) | 不正アクセス検知ログ情報分析支援装置、不正アクセス検知ログ情報分析支援方法及びコンピュータプログラム | |
EP2911362B1 (en) | Method and system for detecting intrusion in networks and systems based on business-process specification | |
CN114006719B (zh) | 基于态势感知的ai验证方法、装置及*** | |
CN115801307A (zh) | 一种利用服务器日志进行端口扫描检测的方法和*** | |
CN111767571B (zh) | 一种医疗数据泄露的检测方法 | |
JP4487291B2 (ja) | 監視結果記録システム、共通ログ生成装置、及びプログラム | |
CN112511545A (zh) | 一种工业审计***中安全事件上报的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050107 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070123 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070522 |