JP2017211806A - 通信の監視方法、セキュリティ管理システム及びプログラム - Google Patents

通信の監視方法、セキュリティ管理システム及びプログラム Download PDF

Info

Publication number
JP2017211806A
JP2017211806A JP2016104092A JP2016104092A JP2017211806A JP 2017211806 A JP2017211806 A JP 2017211806A JP 2016104092 A JP2016104092 A JP 2016104092A JP 2016104092 A JP2016104092 A JP 2016104092A JP 2017211806 A JP2017211806 A JP 2017211806A
Authority
JP
Japan
Prior art keywords
cluster
abnormal
communication
information
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016104092A
Other languages
English (en)
Inventor
松原 大典
Daisuke Matsubara
大典 松原
信隆 川口
Nobutaka Kawaguchi
信隆 川口
三村 昌弘
Masahiro Mimura
昌弘 三村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2016104092A priority Critical patent/JP2017211806A/ja
Publication of JP2017211806A publication Critical patent/JP2017211806A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】未知の異常活動を検出することで未知の攻撃に対応する。【解決手段】プロセッサとメモリを有する管理サーバが、ネットワークに接続された計算機の通信を監視する通信の監視方法であって、前記管理サーバは、前記計算機で送受信される通信の情報を通信情報として収集し、前記通信情報のうち相関関係のある通信情報をクラスタとして生成し、前記生成されたクラスタが、予め登録されたクラスタ情報のクラスタに一致するか否かを判定し、前記生成されたクラスタが前記クラスタ情報のクラスタに一致しない場合には、当該クラスタを異常または異常の疑いのあるクラスタと判定する。【選択図】図1

Description

本発明は、不正な通信を検出するセキュリティ管理システムに関する。
計算機システムでは、外部からの侵入や、内部の端末に送りつけられたマルウェアの活動を検出するためにセキュリティ管理システムを稼働させている。セキュリティ管理システムでは、外部からの侵入やマルウェアなどによる不正な通信を検出することで、計算機システムに対する脅威を検出する。
計算機システム内で、不正な通信を検出する技術として特許文献1、2が知られている。特許文献1は、複数の通信のフローの相関関係より、同一のサービスに関連する通信フローをグループ化して論理グラフを生成しておく。そして、障害等により相関関係がくずれたときに、論理グラフを用いて障害箇所を特定する技術が開示されている。
また、特許文献2には、侵入防止システム(intrusion prevention system)のルールセットを生成し、システムの挙動をルールセットによって監視して、異常の発生や侵入を検出する技術が開示されている。
米国特許出願公開第2014/047279号明細書 特開2014−179074号公報
しかしながら、上記従来例の特許文献1、2では、検出した情報フローについて、既知の正常活動からの相関外れを検出するか、既知の異常活動の相関を検出する技術である。このため、既知の正常活動や異常活動の相関関係は検出できるが、攻撃者による未知の異常活動は既知のものと区別をつけられないため、検出できないという問題があった。
そこで本発明は、上記問題点に鑑みてなされたもので、未知の異常活動を検出することで未知の攻撃に対応することを目的とする。
本発明は、プロセッサとメモリを有する管理サーバが、ネットワークに接続された計算機の通信を監視する通信の監視方法であって、前記管理サーバは、前記計算機で送受信される通信の情報を通信情報として収集する第1のステップと、前記管理サーバは、前記通信情報のうち相関関係のある通信情報をクラスタとして生成する第2のステップと、前記管理サーバは、前記生成されたクラスタが、予め登録されたクラスタ情報のクラスタに一致するか否かを判定する第3のステップと、前記管理サーバは、前記生成されたクラスタが前記クラスタ情報のクラスタに一致しない場合には、当該クラスタを異常または異常の疑いのあるクラスタと判定する第4のステップと、を含む。
したがって、本発明によれば、新たなクラスタを、異常または異常の可能性があるクラスタとして検出することで、不正な通信、または不正の疑いのある通信の発生を検出することが可能となって、マルウェアや外部の端末等からの未知の攻撃に対応することが可能となる。
本発明の第1の実施例を示し、セキュリティ管理システムの一例を示すブロック図である。 本発明の第1の実施例を示し、クラスタの登録処理の一例を示すフローチャートである。 本発明の第1の実施例を示し、クラスタの判定処理の一例を示すフローチャートである。 本発明の第1の実施例を示し、フロー情報テーブルの一例を示す図である。 本発明の第1の実施例を示し、クラスタ情報テーブルの一例を示す図である。 本発明の第1の実施例を示し、フロー相関度計算部で行われる処理の一例を示すフローチャートである。 本発明の第1の実施例を示し、フロー時系列テーブルの一例を示す図である。 本発明の第1の実施例を示し、フロー詳細テーブルの一例を示す図である。 本発明の第1の実施例を示し、警告画面の一例を示す図である。 本発明の第2の実施例を示し、クラスタの判定処理の一例を示すフローチャートである。 本発明の第3の実施例を示し、監視対象のフローの選択処理の一例を示すフローチャートである。
以下、本発明の実施の形態を、図面を用いて説明する。
なお、以下の実施の形態においては便宜上その必要があるときは、複数のセクションまたは実施の形態に分割して説明するが、特に明示した場合を除き、それらはお互いに無関係なものではなく、一方は他方の一部または全部の変形例、詳細、補足説明などの関係にある。
また、以下の実施の形態において、要素の数等(例えば、個数、数値、量、範囲等)に言及する場合、特に明示した場合及び原理的に明らかに特定の数に限定される場合などを除き、その特定の数に限定されるものではなく、特定の数以上でも以下でも良いものとする。
さらに、以下の実施の形態において、その構成要素(本実施形態では、物理的な構成要素の他に、要素ステップなども含む)は、特に明示した場合及び原理的に明らかに必須であると考えられる場合などを除き、必ずしも必須のものではない。
さらに、以下に示した実施の形態は単独で適用してもよいし、複数もしくはすべての実施の形態を組み合わせて適用しても構わない。
なお、本実施形態において、システムが使用する情報はデータ構造に依存せず、どのようなデータ構造で表現されてもよい。例えば、テーブル、リスト、データベース又はキュー等から適切に選択したデータ構造体が、情報を格納することができる。従って、本実施形態において使用されるテーブルは、テーブル以外のデータ構造で表現されてもよい。
図1は、本発明の第1の実施例を示し、計算機間の不正な通信を検出するセキュリティ管理システムの一例を示すブロック図である。セキュリティ管理システムは、通信装置20とゲートウェイ21を含んで計算機30−1〜30−nを相互に接続する内部ネットワーク40と、内部ネットワーク40に接続されて計算機30−1〜30−nの通信を監視するセキュリティ管理サーバ1と、内部ネットワーク40を構成するゲートウェイ21を介して接続された外部ネットワーク50と、外部ネットワーク50に接続された外部端末60と、を含む。なお、以下では、計算機30−1〜30−nの全体については「−」のない符号30で示す。
通信装置20は、例えば、ルータやスイッチなどで構成することができ、計算機30が送受信するパケットの通信情報としてフロー(以下、単にフローとする)を収集する機能を含む。セキュリティ管理サーバ1は、通信装置20から計算機30のフローを収集し、フロー間の相関関係から後述するように異常な通信を検出する。
セキュリティ管理サーバ1は、プロセッサ11と、メモリ12と、ストレージ装置13と、通信I/F14と、入出力装置15とを含む計算機である。入出力装置15は、マウスやキーボードやディスプレイを含む。通信I/F14は内部ネットワーク40に接続されて通信を行う。
メモリ12にはプログラムがロードされてプロセッサ11によって実行される。本実施例1では、メモリ12に制御処理部200とフローデータ収集部220がプログラムとしてロードされている。制御処理部200は、フロー相関度計算部201と、クラスタ生成部202と、クラスタ判定部203と、管理画面表示部204と、を含む。
ストレージ装置13には、各プログラムが利用するデータが格納され、図示の例では、クラスタ情報テーブル500と、フローデータ格納部230が格納されている。フローデータ格納部230は、フロー情報テーブル400と、フロー時系列テーブル700と、フロー詳細情報テーブル800と、フロー300を含む。
プロセッサ11は、各機能部のプログラムに従って処理することによって、所定の機能を提供する機能部として稼働する。例えば、プロセッサ11は、制御処理プログラムに従って処理することで制御処理部200として機能する。他のプログラムについても同様である。さらに、プロセッサ11は、各プログラムが実行する複数の処理のそれぞれの機能を提供する機能部としても稼働する。計算機及び計算機システムは、これらの機能部を含む装置及びシステムである。
制御処理部200の各機能を実現するプログラム、テーブル等の情報は、ストレージ装置13や不揮発性半導体メモリ、ハードディスクドライブ、SSD(Solid State Drive)等の記憶デバイス、または、ICカード、SDカード、DVD等の計算機読み取り可能な非一時的データ記憶媒体に格納することができる。
<処理の概要>
次に、制御処理部200とフローデータ収集部220で行われる処理の概要について説明する。まず、フローデータ収集部220は、内部ネットワーク40の通信装置20から計算機30のフローを収集してフロー300に格納し、収集したフロー時系列テーブルからフロー時系列テーブル700とフロー詳細情報テーブル800を生成する。
このフローの収集は、計算機システム(内部ネットワーク40及び計算機30)が正常の状態で行われる。すなわち、計算機システムの管理者などがセキュリティソフトウェアなどを利用して、計算機30等がマルウェアに感染していないことを検証してからフローの収集が行われる。
次に、制御処理部200のフロー相関度計算部201は、収集されたフローの相関度を演算し、相関関係の高い一対のフローを抽出する。この処理は、前記特許文献1に開示された自己回帰移動平均モデルを適用することができ、多数のフローから相関する要素を抽出し、相関関係の高いペアのフローを抽出する。
次に、制御処理部200のクラスタ生成部202は、抽出されたフローについて、ピアソンの積率相関係数を用いてクラスタリングを行い、相関するフローのクラスタを生成し、これを正常(正常活動)なクラスタとしてクラスタ情報テーブル500に登録しておく。
相関するフローをクラスタとして生成する技術としては、例えば、「Know Your Achilles' Heel: Automatic Detection of Network Critical Services.」(Ali Zand, Amir Houmansadr, Giovanni Vigna, Richard Kemmerer, and Christopher Kruegel. In Proceedings of the 31st Annual Computer Security Applications Conference (ACSAC 2015). ACM, New York, NY, USA, 51-50.)を適用することができる。
次に、制御処理部200のクラスタ判定部203は、稼働状態の計算機30から所定の周期(例えば、1分間)でフローを収集し、上記と同様に、相関関係の高いペアのフローを抽出し、相関するフローのクラスタを生成する。そして、クラスタ判定部203は、既に生成したクラスタ情報テーブル500の正常なクラスタと、生成したクラスタを比較して、生成したクラスタが正常なクラスタに一致しなければ、異常なクラスタと判定する。
そして、制御処理部200の管理画面表示部204は、異常と判定されたクラスタの情報を入出力装置15へ出力し、異常なクラスタに含まれるフローに、不正な通信が含まれる可能性があることを通知する。
<テーブルの詳細>
以下、セキュリティ管理サーバ1で使用する情報について説明する。まず、図7は、フローデータ収集部220が生成するフロー時系列テーブル700の一例を示す図である。
フロー時系列テーブル700は、フローの識別子を格納するフローID701と、フローを収集した時刻に相当する値を格納する時刻702と、フローの大きさを格納するバイト数703と、フローに含まれるパケットの数を格納するパケット数704とをひとつのエントリに含む。
フローデータ収集部220は、通信装置20からフローを取得すると、フローの情報をフロー時系列テーブル700に格納する。なお、フローID701は、フローデータ収集部220が設定する値で、送信元アドレスと宛先アドレスと送信元ポート、宛先ポート及びプロトコル等の所定の要素が同一であれば同一のフローID701が付与される。なお、本実施例1では、フローを識別する要素として、送信元アドレスと宛先アドレスと送信元ポート、宛先ポート及びプロトコルを用いる例を示すが、これに限定されるものではない。
図8は、フローデータ収集部220が生成するフロー詳細情報テーブル800の一例を示す図である。
フロー詳細情報テーブル800は、フローの識別子を格納するフローID801と、フローを収集した時刻に相当する値を格納する時刻802と、フローの大きさを格納するバイト数803と、フローに含まれるパケットの数を格納するパケット数804と、フローに含まれるメッセージを格納するメッセージ805をひとつのエントリに含む。
フローデータ収集部220は、通信装置20からフローを取得すると、フローの情報をフロー詳細情報テーブル800に格納する。
図4は、フロー情報テーブル400の一例を示す図である。フロー情報テーブル400は、収集されたフロー300からフローデータ収集部220が生成する。
フロー情報テーブル400は、フローの識別子を格納するフローID401と、フローに含まれるパケットの送信元のアドレスを格納する送信元IPアドレス402と、パケットの宛先のアドレスを格納する送信先IPアドレス403と、パケットの送信元のポート番号を格納する送信元ポート番号404と、パケットの宛先のポート番号を格納する送信先ポート番号405と、フローのプロトコル番号を格納するプロトコル番号406と、フローの格納位置を示すフローデータID407と、をひとつのエントリに含む。
フローデータID407は、ストレージ装置13のフローデータ格納部230のフロー300に格納されたフローの実体にアクセスするためのポインタで構成することができる。
図5は、クラスタ情報テーブル500の一例を示す図である。クラスタ情報テーブル500は、フロー情報テーブル400の情報に基づいてクラスタ生成部202が生成するテーブルである。
クラスタ情報テーブル500は、クラスタの識別子を格納するクラスタID501と、クラスタに含まれる1以上のフローの識別子を格納するフローID502と、フローの相関度を格納する相関度503と、クラスタの状態の判定結果を格納する判定504とをひとつのエントリに含む。
クラスタID501は、クラスタ生成部202が設定するユニークな値である。判定504には、正常または異常のいずれかが格納される。
<処理の詳細>
以下、セキュリティ管理サーバ1で行われる処理について説明する。まず、図2は、フローデータ収集部220が収集したフロー300から、制御処理部200が正常なクラスタを生成する処理の一例を示すフローチャートである。この処理は、計算機システムが正常であると確認された後に、正常なクラスタをクラスタ情報テーブル500へ登録する処理である。
まず、フロー相関度計算部201は、通信装置20から収集されたフロー300の中から、一対のフローを抽出して、前述の特許文献1と同様に、一対のフローの相関度を算出する(S201)。
フロー相関度計算部201が、全てのフローについて相関度を算出した後に、クラスタ生成部202は、算出されたフローの相関度から相関関係の高いフローを前述のようにピアソンの積率相関係数を用いてクラスタリングを行い、相関するフローのクラスタを生成する(S202)。なお、クラスタの生成は、一対のフローの相関度が所定の閾値以上で、フローの要素が相関するペアをグループ化してクラスタを生成する。そして、クラスタ生成部202は、生成したクラスタを正常なクラスタとしてクラスタ情報テーブル500に登録する(S203)。
上記処理により、内部ネットワーク40に正常なフローのみが送受信される正常な状態で、フローの相関関係に応じて正常なクラスタが生成されて、クラスタ情報テーブル500に登録される。換言すれば、クラスタ情報テーブル500には、正常活動の学習結果が正常なクラスタとして登録される。
図6は、フロー相関度計算部201で行われる処理の一例を示すフローチャートである。この処理は、図2のステップS201で実行される。以下の説明では、一対のフローとして、フローAとフローBを選択した例を示す。
フロー相関度計算部201は、フローデータ格納部230のフロー時系列テーブル700からフローAのデータを時系列に取得する(S601)。次に、フロー相関度計算部201は、フローAの時系列データについて、バイト数703やパケット数704の平均値を計算する(S602)。この平均値は、所定の周期内の平均値を示す。
フロー相関度計算部201は、フローデータ格納部230のフロー時系列テーブル700からフローBのデータを時系列に取得する(S603)。次に、フロー相関度計算部201は、フローBの時系列データについて、バイト数703やパケット数704の平均値を計算する(S604)。
フロー相関度計算部201は、フローAとフローBの時系列データと、算出された平均値から前記特許文献1と同様に相関度を算出する。上記処理によって、フローAのフローBに対する相関度を算出することができる。
次に、図3は、制御処理部200がフローの監視を行う処理の一例を示すフローチャートである。この処理は、所定の周期で実行され、例えば、1分間隔で実行される。この所定の周期の間にフローデータ収集部220が、通信装置20から収集したフロー300について、制御処理部200が下記の処理を行うことでフローの監視を実現する。
制御処理部200は、収集されたフロー300について、前記図2のステップS200、S201と同様に、一対のフローを抽出してフローの相関度を算出する(S301)。次に、制御処理部200は、前記図2のステップS202と同様に、相関するフローのクラスタを生成する(S302)。
次に、クラスタ判定部203は、生成されたクラスタを一つ選択し、クラスタ情報テーブル500に登録されている正常なクラスタと一致するか否かを判定する(S303)。クラスタ判定部203は、生成されたクラスタが正常なクラスタに一致していれば、ステップS304へ進んで、当該クラスタを正常なクラスタと判定する。
一方、クラスタ判定部203は、生成されたクラスタが正常なクラスタに一致していない場合には、ステップS305へ進んで、当該クラスタを異常なクラスタと判定してクラスタ情報テーブル500に登録する。なお、クラスタ判定部203は、異常なクラスタを検出すると、管理画面表示部204へ異常なクラスタを検出したことを通知する。管理画面表示部204は、クラスタ判定部203から通知を受け付けると、入出力装置15に異常なクラスタが発生したことを通知する。
クラスタ判定部203は、ステップS302で生成された全てのクラスタについて、上記処理を繰り返し、全てのクラスタについて正常であるか否かの判定を実施する(S306)。
以上の処理を所定の周期で繰り返すことで、計算機30がマルウェアなどに感染した場合、計算機システムの正常活動時(学習時)には存在しなかったフローが発生し、新たなクラスタが生成されるので、クラスタ判定部203は新たなクラスタを異常または異常の可能性を含むクラスタとして検出することができる。
また、クラスタ判定部203で異常なクラスタが検出されると、管理画面表示部204は、入出力装置15のディスプレイに警告を表示することができる。図9は、警告画面205の一例を示す図である。警告画面205では、クラスタID=003の枠を明滅させて異常なクラスタであることを表示する。一方、図中、クラスタID=001、002は正常なクラスタである。
図9の警告画面205によって、計算機30を含む計算機システム内で異常または異常の疑いのある通信が発生したことを入出力装置15へ通知することで、計算機システムの管理者に脅威の発生または疑いを警告することができる。
管理画面表示部204は、警告画面205の各フローの始点または終点となる計算機30のアドレス情報を表示するようにしてもよい。警告画面205に、計算機30のアドレス情報を出力することで、異常または異常の疑いのある通信を行っている計算機30を特定することができる。
このように、新たなクラスタを、異常または異常の可能性があるクラスタとして検出することで、不正な通信、または不正の疑いのある通信の発生を検出することが可能となって、マルウェアや外部端末60からの未知の攻撃に対応することが可能となるのである。
なお、上記実施例1では、計算機30及び通信装置20が送受信するパケットの情報(通信情報)としてフローを用いる例を示したが、これに限定されるものではない。セキュリティ管理サーバ1が収集する通信情報としては、送信元の情報と、宛先の情報と、通信の種類を示す情報を含んで、通信情報間の相関度を計算可能な情報であればよい。通信の種類を示す情報としては、ポート番号やプロトコル番号の少なくともひとつを用いることができる。
また、本実施例1では、OSI参照モデルのIP層の通信情報を用いる例を示したが、これに限定されるものではなく、アプリケーション層やデータリンク層の通信情報を用いるようにしてもよい。
また、上記実施例1では、セキュリティ管理サーバ1が通信装置20からフローを収集する例を示したが、セキュリティ管理サーバ1が通信装置20の機能を通信部として有してもよい。
また、上記実施例1では、相関度の高い(閾値以上)のフローのペアをクラスタとしたが、これに限定されるものではなく、相関関係のある通信情報の集合であればよい。
また、上記実施例1では、フロー情報テーブル500に異常のあるクラスタも登録する例を示したが、これに限定されるものではなく、クラスタ情報テーブル500には正常なクラスタのみを格納しておき、生成したクラスタと比較するようにしてもよい。
図10は、本発明の第2の実施例を示し、クラスタの判定処理の一例を示すフローチャートである。本実施例2は、前記実施例1の図3にステップS307を追加したもので、その他の構成は、前記実施例1と同様である。
図10において、ステップS301〜S303は、前記実施例1と同様であり、クラスタ判定部203が、生成されたクラスタがクラスタ情報テーブル500に登録されている正常なクラスタと一致するか否かを判定し、生成されたクラスタが正常なクラスタに一致していれば、ステップS304へ進んで、当該クラスタを正常なクラスタと判定する。
一方、クラスタ判定部203は、生成されたクラスタが正常なクラスタに一致していない場合には、ステップS307へ進んで、当該クラスタが異常なクラスタであるか否かの判定を行う。
この判定は、入出力装置15のディスプレイに当該クラスタが正常または異常のどちらであるかを選択する画面を出力し、管理者などの判定を受け付けることができる。管理者が、異常と判定した場合には、ステップS305へ進んで、前記実施例1と同様に当該クラスタを異常のクラスタとしてクラスタ情報テーブル500に登録する。正常と判定された場合にはステップS304へ進む。
なお、ステップS307の判定は、入出力装置15からの指令を受け付けるだけではなく、クラスタ判定部203が、過去に判定した結果をストレージ装置13に蓄積しておき、当該過去の判定結果に基づいて新たなクラスタが正常であるか否かを判定するようにしてもよい。
以上の処理により、新たに生成されたクラスタが正常または異常のどちらであるかを判定することにより、計算機30の追加や変更または削除などのメンテナンス等の影響を排除して、未知の攻撃を検出する精度を向上させることが可能となる。
図11は、本発明の第3の実施例を示し、監視対象のフローを選択する処理の一例を示すフローチャートである。前記実施例1では、フローデータ収集部220が通信装置20から収集したフロー300について、所定の周期内の全てのフローについて相関度を算出する例を示した。本実施例3では、セキュリティ管理サーバ1の演算負荷を低減するために、フロー相関度計算部201が、監視対象のフローを絞り込んでからフローの相関度を計算する例を示す。
図11の処理は、フローの相関度を計算する図2のステップS201及び図3のステップS301の直前に実行される。図示の例では、フローデータ収集部220が収集したフロー300からフローZを選択した例を示す。
まず、フロー相関度計算部201は、通信装置20から収集された時系列テーブル700の中からフローZのデータを取得する(S901)。次に、フロー相関度計算部201は、フローZのフローIDをキーにしてクラスタ情報テーブル500を検索し、フローZを含むクラスタYを抽出する。
次に、フロー相関度計算部201は、クラスタ情報テーブル500の判定504を参照して当該クラスタYが正常であるか否かを判定する(S903)。正常であればステップS904へ進み、フロー相関度計算部201は、当該クラスタYに含まれるフローID502を相関度計算の対象から除外する(S904)。そして、ステップS901へ戻って上記処理を繰り返す。
一方、ステップS903の判定で、クラスタYが異常の場合、あるいは、クラスタYが存在しない場合にはステップS905へ進んで、フロー時系列テーブル700で処理対象の全てのフローについて処理が完了していなければステップS901へ戻って上記処理を繰り返す。処理対象の全てのフローについて処理が完了していれば、フロー相関度計算部201は、相関度計算の対象となったフローについて相関度の計算を実行する。
以上の処理によって、フロー相関度計算部201は、正常なクラスタに含まれるフローを相関度計算から除外することで、セキュリティ管理サーバ1の演算負荷を低減し、処理速度を向上させることが可能となる。
<まとめ>
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に記載したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加、削除、又は置換のいずれもが、単独で、又は組み合わせても適用可能である。
また、上記の各構成、機能、処理部、及び処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、及び機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
1 セキュリティ管理サーバ
20 通信装置
30−1〜30−n 計算機
40 内部ネットワーク
200 制御処理部
201 フロー相関度計算部
202 クラスタ生成部
203 クラスタ判定部
204 管理画面表示部
220 フローデータ収集部
300 フロー
500 クラスタ情報テーブル
700 フロー時系列テーブル

Claims (15)

  1. プロセッサとメモリを有する管理サーバが、ネットワークに接続された計算機の通信を監視する通信の監視方法であって、
    前記管理サーバは、前記計算機で送受信される通信の情報を通信情報として収集する第1のステップと、
    前記管理サーバは、前記通信情報のうち相関関係のある通信情報をクラスタとして生成する第2のステップと、
    前記管理サーバは、前記生成されたクラスタが、予め登録されたクラスタ情報のクラスタに一致するか否かを判定する第3のステップと、
    前記管理サーバは、前記生成されたクラスタが前記クラスタ情報のクラスタに一致しない場合には、当該クラスタを異常または異常の疑いのあるクラスタと判定する第4のステップと、
    を含むことを特徴とする通信の監視方法。
  2. 請求項1に記載の通信の監視方法であって、
    前記管理サーバは、前記異常または異常の疑いのあるクラスタが、異常または正常のいずれであるかを判定する第5のステップを、さらに含むことを特徴とする通信の監視方法。
  3. 請求項1に記載の通信の監視方法であって、
    前記第4のステップは、
    異常または異常の疑いのあるクラスタを出力することを特徴とする通信の監視方法。
  4. 請求項1に記載の通信の監視方法であって、
    前記第2のステップは、
    前記クラスタ情報に登録されたクラスタに含まれる通信情報を除外して、相関関係のある通信情報をクラスタとして生成することを特徴とする通信の監視方法。
  5. 請求項1に記載の通信の監視方法であって、
    前記第4のステップは、
    異常または異常の疑いのある通信を行った計算機を特定することを特徴とする通信の監視方法。
  6. プロセッサとメモリを有する管理サーバが、ネットワークに接続された計算機の通信を監視するセキュリティ管理システムであって、
    前記管理サーバは、
    前記計算機で送受信される通信の情報を通信情報として収集し、前記通信情報のうち相関関係のある通信情報をクラスタとして生成し、前記生成されたクラスタが予め登録されたクラスタ情報のクラスタに一致するか否かを判定し、前記生成されたクラスタが前記クラスタ情報のクラスタに一致しない場合には、当該クラスタを異常または異常の疑いのあるクラスタと判定することを特徴とするセキュリティ管理システム。
  7. 請求項6に記載のセキュリティ管理システムであって、
    前記管理サーバは、前記異常または異常の疑いのあるクラスタが、異常または正常のいずれであるかを判定することを特徴とするセキュリティ管理システム。
  8. 請求項6に記載のセキュリティ管理システムであって、
    前記管理サーバは、異常または異常の疑いのあるクラスタを出力することを特徴とするセキュリティ管理システム。
  9. 請求項6に記載のセキュリティ管理システムであって、
    前記管理サーバは、前記クラスタ情報に登録されたクラスタに含まれる通信情報を除外して、相関関係のある通信情報をクラスタとして生成することを特徴とするセキュリティ管理システム。
  10. 請求項6に記載のセキュリティ管理システムであって、
    前記管理サーバは、
    異常または異常の疑いのある通信を行った計算機を特定することを特徴とするセキュリティ管理システム。
  11. プロセッサとメモリを有する管理サーバが、ネットワークに接続された計算機の通信を監視するプログラムであって、
    前記計算機で送受信される通信の情報を通信情報として収集する第1のステップと、
    前記通信情報のうち相関関係のある通信情報をクラスタとして生成する第2のステップと、
    前記生成されたクラスタが、予め登録されたクラスタ情報のクラスタに一致するか否かを判定する第3のステップと、
    前記生成されたクラスタが前記クラスタ情報のクラスタに一致しない場合には、当該クラスタを異常または異常の疑いのあるクラスタと判定する第4のステップと、
    を前記管理サーバに実行させることを特徴とするプログラム。
  12. 請求項11に記載のプログラムであって、
    前記異常または異常の疑いのあるクラスタが、異常または正常のいずれであるかを判定する第5のステップを、さらに含むことを特徴とするプログラム。
  13. 請求項11に記載のプログラムであって、
    前記第4のステップは、
    異常または異常の疑いのあるクラスタを出力することを特徴とするプログラム。
  14. 請求項11に記載のプログラムであって、
    前記第2のステップは、
    前記クラスタ情報に登録されたクラスタに含まれる通信情報を除外して、相関関係のある通信情報をクラスタとして生成することを特徴とするプログラム。
  15. 請求項11に記載のプログラムであって、
    前記第4のステップは、
    異常または異常の疑いのある通信を行った計算機を特定することを特徴とするプログラム。
JP2016104092A 2016-05-25 2016-05-25 通信の監視方法、セキュリティ管理システム及びプログラム Pending JP2017211806A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016104092A JP2017211806A (ja) 2016-05-25 2016-05-25 通信の監視方法、セキュリティ管理システム及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016104092A JP2017211806A (ja) 2016-05-25 2016-05-25 通信の監視方法、セキュリティ管理システム及びプログラム

Publications (1)

Publication Number Publication Date
JP2017211806A true JP2017211806A (ja) 2017-11-30

Family

ID=60474728

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016104092A Pending JP2017211806A (ja) 2016-05-25 2016-05-25 通信の監視方法、セキュリティ管理システム及びプログラム

Country Status (1)

Country Link
JP (1) JP2017211806A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019009549A (ja) * 2017-06-22 2019-01-17 株式会社日立製作所 攻撃検知分析装置及び攻撃検知方法
CN112560465A (zh) * 2020-12-18 2021-03-26 平安银行股份有限公司 批量异常事件的监控方法、装置、电子设备及存储介质
CN115981910A (zh) * 2023-03-20 2023-04-18 建信金融科技有限责任公司 处理异常请求的方法、装置、电子设备和计算机可读介质

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019009549A (ja) * 2017-06-22 2019-01-17 株式会社日立製作所 攻撃検知分析装置及び攻撃検知方法
CN112560465A (zh) * 2020-12-18 2021-03-26 平安银行股份有限公司 批量异常事件的监控方法、装置、电子设备及存储介质
CN112560465B (zh) * 2020-12-18 2023-09-19 平安银行股份有限公司 批量异常事件的监控方法、装置、电子设备及存储介质
CN115981910A (zh) * 2023-03-20 2023-04-18 建信金融科技有限责任公司 处理异常请求的方法、装置、电子设备和计算机可读介质
CN115981910B (zh) * 2023-03-20 2023-06-16 建信金融科技有限责任公司 处理异常请求的方法、装置、电子设备和计算机可读介质

Similar Documents

Publication Publication Date Title
JP6239215B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP5874936B2 (ja) 運用管理装置、運用管理方法、及びプログラム
CN113328872B (zh) 故障修复方法、装置和存储介质
JP5640166B1 (ja) ログ分析システム
JP6097889B2 (ja) 監視システム、監視装置、および検査装置
JP6160064B2 (ja) 適用判定プログラム、障害検出装置および適用判定方法
JP6413537B2 (ja) 障害予兆通報装置および予兆通報方法、予兆通報プログラム
JP6656211B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP2015197749A (ja) ログ分析システム
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
US10185614B2 (en) Generic alarm correlation by means of normalized alarm codes
US20150142385A1 (en) Determination method, determination apparatus, and recording medium
JP2021027505A (ja) 監視装置、監視方法、および監視プログラム
JP2017211806A (ja) 通信の監視方法、セキュリティ管理システム及びプログラム
US10282239B2 (en) Monitoring method
US20120054324A1 (en) Device, method, and storage medium for detecting multiplexed relation of applications
JP2008158889A (ja) トラブル要因検出プログラム、トラブル要因検出方法およびトラブル要因検出装置
JP5535471B2 (ja) マルチパーティション・コンピュータシステム、障害処理方法及びそのプログラム
JP2017199250A (ja) 計算機システム、データの分析方法、及び計算機
JP2019009726A (ja) 障害切り分け方法および管理サーバ
JP6041727B2 (ja) 管理装置、管理方法及び管理プログラム
JP2019175070A (ja) アラート通知装置およびアラート通知方法
JP5927330B2 (ja) 情報分析システム、情報分析方法およびプログラム
JP2015060501A (ja) アラート出力装置、アラート出力方法、及び、アラート出力プログラム
JP2013197601A (ja) 障害検知装置、障害検知方法、及びプログラム