JP3811162B2 - 異常データ検出装置及び異常データ検出プログラム - Google Patents

異常データ検出装置及び異常データ検出プログラム Download PDF

Info

Publication number
JP3811162B2
JP3811162B2 JP2004107511A JP2004107511A JP3811162B2 JP 3811162 B2 JP3811162 B2 JP 3811162B2 JP 2004107511 A JP2004107511 A JP 2004107511A JP 2004107511 A JP2004107511 A JP 2004107511A JP 3811162 B2 JP3811162 B2 JP 3811162B2
Authority
JP
Japan
Prior art keywords
data
frequency
abnormality
notification
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004107511A
Other languages
English (en)
Other versions
JP2005295212A (ja
Inventor
徹 今野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Solutions Corp filed Critical Toshiba Solutions Corp
Priority to JP2004107511A priority Critical patent/JP3811162B2/ja
Publication of JP2005295212A publication Critical patent/JP2005295212A/ja
Application granted granted Critical
Publication of JP3811162B2 publication Critical patent/JP3811162B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

入力されたデータから異常データを検出し、通知する異常データ検出装置及び異常データ検出プログラムに関する。
従来、インターネット等の通信ネットワークにおけるネットワークセグメントから不正アクセスの疑いがある異常データを検出する異常データ検出装置が普及している。異常データ検出装置は、データが正常なのか異常なのかを判断するために、例えば一定の基準モデルに従って異常データを検出する。異常データが検出されると、異常データ検出装置は、異常データ検出装置の管理者や異常データ検出装置が保護するサーバ装置の管理者に通知している。しかしながら従来から、このような異常検出装置は異常の検出通知が多すぎることが指摘されている。
インターネットや情報機器の普及により、世界中の任意の情報機器の間で様々なデータが送受信されている。このデータの中には、情報漏洩や不正プログラムの浸入を狙った不正アクセスに関するものも含まれる。
そこで、不正アクセスの送信元であるIPアドレス及びポート番号からの通信を排除し、保護対象となるサーバ装置を保護するプロキシサーバや、所定の攻撃パターンファイルに格納されたパターンと一致する不正アクセスを排除するサーバがある。
しかし、これらの方法では未知の攻撃から保護対象を保護することができない。従って、未知の攻撃からも保護できる異常データ検出装置が求められている。
例えば特許文献1に記載の方法は、このような異常データ検出の通知を受信すると、管理者の操作により、異常検出の基準モデルを変更するものである。このように、異常検出の基準モデルを補正することで、不要な異常検出の通知を最適にすることが可能になる。
特願2003−318790号公報
しかしながら、上述した特許文献1で記載されている技術では、異常検出基準の変更のために、管理者による操作が必要とされる。そのため、たとえば管理者が操作しない限り、膨大な量の不正アクセスの通知が管理者にされる。このような状況の場合、管理者の通知の確認に関する負担が強いられる。また、本来必要な通知が、送信される必要のない通知に紛れてしまう問題がある。
また、異常検出の基準モデルを適切に設定するためには、判断と手間が必要である。さらに、その設定にはコストを要するため、結果的に多くの通知が放置されてしまう等の、適正な管理がおこなわれていない状況に陥ってしまう問題があった。また、真に検出すべき異常データの検出通知が、誤検出を含む多大な異常データの検出通知の中に埋もれてしまう。そのため、真の異常データが見逃されてしまうセキュリティ上のリスクも懸念され、本来の機能の有効性の観点からも問題があった。
そこで、本発明は上記課題を解決するためになされたものであり、異常データを適切に検出して通知する異常データ検出装置及び異常データ検出プログラムを提供することを目的とする。
上記課題を解決するため、本発明の第1の特徴に係る異常データ検出装置は、アクセスデータの異常を検出する感度レベル及び予め定められている応答基準値が記憶された異常検出基準データ記憶手段と、検出された異常データを蓄積して記憶するイベント蓄積データ記憶手段と、アクセスデータから算出された特徴量を異常検出基準データ記憶手段に記憶される感度レベルと比較し異常データを検出するとともに、検出された異常データを、イベント蓄積データ記憶手段に記憶させる異常データ検出手段と、前記イベント蓄積データ記憶手段に記憶される前記異常データの通知に対して受信した確認応答の頻度を確認応答頻度に基づいて、算出された確認応答頻度と前記応答基準値とを比較して感度レベルの補正指示を出力する頻度管理手段と、頻度管理手段の補正指示に基づいて、異常検出基準データで記憶されている感度レベルを補正するモデル補正手段とを有することを特徴としている。
上述した本発明によれば、異常データ検出を通知した管理端末からの確認応答の頻度に基づいて重要度を推測して、異常データの検出を調整することができる。これにより、管理インタフェースへの通知が真に確認の必要なものに絞られ、異常データ検出に関する適正な運用が促進される。
また、頻度管理手段は、確認応答頻度を応答基準値と比較するとともに、確認応答頻度が大きい場合、感度レベルを上げる補正指示を出力し、確認応答頻度が小さい場合、感度レベルを下げる補正指示を出力するのが好ましい。
上述した本発明によれば、異常データ検出を通知した管理端末からの確認応答の頻度に基づいて重要度を推測して感度レベルを最適に変更させることで、異常データの検出を調整することができる。これにより、管理インタフェースへの通知が真に確認の必要なものに絞られ、異常データ検出に関する適正な運用が促進される。
また、異常検出基準データに記憶された応答基準値は、異常データの検出を通知した通知頻度と確認応答頻度との比であって、頻度管理手段では、さらに異常データの検出が通知された通知頻度を算出させるとともに、算出された通知頻度を頻度蓄積データ記憶手段に記憶させ、通知頻度と確認応答頻度との比を算出し、応答基準値と比較するとともに、確認応答頻度が大きい場合、感度レベルを上げる補正指示を出力し、確認応答頻度が小さい場合、感度レベルを下げる補正指示を出力するのが好ましい。
上述した本発明によれば、異常データ検出を通知した管理端末からの確認応答の頻度を確認応答頻度として異常蓄積データ記憶手段に逐次記憶し、記憶される確認応答頻度に基づいて重要度を推測して、感度レベルを最適に変更させることで異常データの検出を調整することができる。これにより、管理インタフェースへの通知が真に確認の必要なものに絞られ、異常データ検出に関する適正な運用が促進される。
また、異常検出基準データに記憶された感度レベル及び応答基準値は、異常データの種類を識別する異常検出識別子ごとに記憶され、異常データ検出手段は、更に、異常データの異常検出基準識別子を抽出して、抽出された異常検出基準識別子をイベント蓄積データ記憶手段に記憶し、確認応答頻度は、異常検出基準識別子ごとに算出されるのが好ましい。
上述した本発明によれば、異常データの種類毎に感度レベル及び応答基準値を記憶するため、異常データ検出を通知した管理端末からの確認応答の頻度に基づいて的確に重要度を推測して、異常データの検出を調整することができる。これにより、管理インタフェースへの通知が真に確認の必要なものに絞られ、異常データ検出に関する適正な運用が促進される。
また、異常データ検出手段は、更に、検出された異常データを一意に識別するイベント番号と、異常データの検出を通知した通知時刻とを、異常データに関連付けてイベント蓄積データ記憶手段に記憶させ、確認応答に含まれたイベント番号を抽出するとともに、抽出されたイベント番号に基づいてイベント蓄積データから通知時刻を抽出し、通知時刻から確認応答を受信した時刻までの時間をイベント番号ごとに算出し、算出された時間の平均時間の逆数が、確認応答頻度として算出されることが好ましい。
上述した本発明によれば、検出された異常データ毎に識別してイベント蓄積データに記憶させて、異常データ検出を通知した管理端末からの確認応答の頻度に基づいて的確に重要度を推測して、異常データの検出を調整することができる。これにより、管理インタフェースへの通知が真に確認の必要なものに絞られ、異常データ検出に関する適正な運用が促進される。
本発明の第2の特徴に係る異常データ検出装置は、アクセスデータの異常を検出する感度レベル及び予め定められている応答基準値が記憶された異常検出基準データ記憶手段と、アクセスデータから算出された特徴量を感度レベルと比較して異常データを検出するとともに、検出された異常データを、イベント蓄積データ記憶手段に記憶させる異常データ検出手段と、同一種の異常データを集約度データに予め定められる数の異常データ検出がされると、検出された異常データを集約してイベント通知データとして送信するイベント通知手段と、イベント通知に対するして受信した確認応答の頻度に基づいて算出された確認応答頻度を応答基準値と比較して集約度を補正する頻度管理手段とを有することを特徴としている。
上述した本発明によれば、異常の通知を予め設定された集約度で集約して通知するので、異常の通知の数を減少することができる。これにより、管理者の異常の通知に対する負担を軽減することができる。また、管理インタフェースへの通知が真に確認の必要なものに絞られ、異常データ検出に関する適正な運用が促進される。
本発明の第3の特徴に係る異常データ検出プログラムは、アクセスデータから算出された特徴量をアクセスデータの異常を検出する感度レベル及び予め定められている応答基準値が記憶された異常検出基準データ記憶手段で記憶される感度レベルと比較し異常データを検出するとともに、検出された異常データを、イベント蓄積データ記憶手段に記憶させるステップと、イベント蓄積データ記憶手段で記憶される検出された異常データの通知に対して受信した確認応答の頻度を確認応答頻度に基づいて、算出された確認応答頻度と異常データ検出基準データ記憶手段に予め記憶されている応答基準値とを比較して感度レベルの補正指示を出力するステップと、補正指示に基づいて、異常検出基準データ記憶手段で記憶されている感度レベルを補正するステップとをコンピュータに実行させることを特徴としている。
また、感度レベルの補正指示を出力するステップは、確認応答頻度を応答基準値と比較するとともに、確認応答頻度が大きい場合、感度レベルを上げる補正指示を出力し、確認応答頻度が小さい場合、感度レベルを下げる補正指示を出力するのが好ましい。
また、異常検出基準データ記憶手段に記憶された応答基準値は、異常データの検出を通知した通知頻度と確認応答頻度との比であって、感度レベルの補正指示を出力するステップは、さらに異常データの検出が通知された通知頻度を算出するとともに、算出された通知頻度を頻度蓄積データ記憶手段に記憶させ、通知頻度と確認応答頻度との比を算出し、応答基準値と比較するとともに、確認応答頻度が大きい場合、感度レベルを上げる補正指示を出力し、確認応答頻度が小さい場合、感度レベルを下げる補正指示を出力するのが好ましい。
また、異常検出基準データ記憶手段に記憶された感度レベル及び応答基準値は、異常データの種類を識別する異常検出識別子ごとに記憶され、確認応答頻度は、異常検出基準識別子ごとに算出され、異常データの異常検出基準識別子を抽出して、抽出された異常検出基準識別子をイベント蓄積データ記憶手段に記憶するステップをコンピュータに実行させるのが好ましい。
また、検出された異常データを一意に識別するイベント番号と、異常データの検出を通知した通知時刻とを、異常データに関連付けてイベント蓄積データ記憶手段に記憶させるステップと、確認応答に含まれたイベント番号を抽出するとともに、抽出されたイベント番号に基づいてイベント蓄積データから通知時刻を抽出するステップと、通知時刻から確認応答を受信した時刻までの時間をイベント番号ごとに算出するステップと、算出された時間の平均時間の逆数が、確認応答頻度として算出するステップとをさらにコンピュータに実行させるのが好ましい。
本発明の第4の特徴に係る異常データ検出プログラムは、アクセスデータから算出された特徴量をアクセスデータの異常を検出するために異常検出基準データに記憶されている感度レベルと比較して異常データを検出するとともに、検出された異常データを、イベント蓄積データに記憶させるステップと、同一種の異常データを集約度データに予め定められる数の異常データ検出がされると、検出された異常データを集約してイベント通知データとして送信するステップと、イベント通知データに対して受信した確認応答の頻度に基づいて算出された確認応答頻度を予め定められて異常検出基準データに記憶されている応答基準値と比較して集約度を補正するステップとをコンピュータに実行させることを特徴としている。
上述したように、本発明によれば、異常データを適切に検出し、通知する異常データ検出装置及び異常データ検出プログラムを提供することができる。
以下に、本発明の各実施例について、図面を参照しながら説明する。
本発明の実施例1に係る異常データ検出装置1は、ネットワークから受信したアクセスデータから不正アクセスの疑いがあるアクセスデータを異常データとして検出する。
本発明の実施例1に係る異常データ検出装置1は、図1に示すように、ネットワークセグメント2a及び2bに接続され、ネットワークセグメント2aを介してアクセスデータを受信し、受信したアクセスデータから不正な疑いのあるアクセスデータを異常データとして検出する一方、正常なアクセスデータはネットワークセグメント2bを介して保護対象となるサーバに送信される。
異常データが検出されると、異常データ検出装置1の管理端末や保護対象となるサーバの管理端末に異常データが検出されたことを通知する。ここで、ネットワークセグメント2a,2bは、例えばインターネットやイントラネットのように、相互にデータ通信が行われる通信回線である。
異常データ検出装置1は、例えば一般的なコンピュータの中央処理制御装置において、異常データ検出プログラムが実行されることにより実現される。
図1に示す様に異常データ検出装置1は、データ解析手段10と、異常データ検出手段11と、異常検出基準データ12と、イベント蓄積データ13と、イベント通知手段14と、管理インタフェース15と、頻度管理手段16と、頻度算出手段17と、頻度蓄積データ18と、モデル補正手段19とを備える。
本発明の実施例1に係る異常データ検出装置1は、図2に示すように、中央処理制御装置101、ROM(Read Only Memory)102、RAM(Random Access Memory)103及び入出力インタフェース109が、バス110を介して接続されている。入出力インタフェース109には、入力装置104、表示装置105、通信制御装置106、記憶装置107及びリムーバブルディスク108が接続されている。
中央処理制御装置101は、入力装置104からの入力信号に基づいてROM102から異常データ検出装置1を起動するためのブートプログラムを読み出して実行し、記憶装置107に記憶されたオペレーティングシステムを読み出す。また、中央処理制御装置101は、入力装置104や通信制御装置106などの入力信号に基づいて、各種装置の制御を行ったり、RAM103や記憶装置107などに記憶されたプログラム及びデータを読み出してRAM103にロードするとともに、RAM103から読み出されたプログラムのコマンドに基づいて、データの計算又は加工など、後述する一連の処理を実現する処理装置である。
入力装置104は、操作者が各種の操作を入力するキーボード、マウスなどの入力デバイスにより構成されており、操作者の操作に基づいて入力信号を作成し、入出力インタフェース109及びバス110を介して中央処理制御装置101に送信される。表示装置105は、CRT(Cathode Ray Tube)ディスプレイや液晶ディスプレイなどであり、中央処理制御装置101からバス110及び入出力インタフェース109を介して表示装置105において表示させる出力信号を受信し、例えば中央処理制御装置101の処理結果などを表示する装置である。通信制御装置106は、LANカードやモデムなどの装置であり、異常データ検出装置1をインターネットやLANなどの通信ネットワークに接続する装置である。通信制御装置106を介して通信ネットワークと送受信したデータは入力信号又は出力信号として、入出力インタフェース及びバス110を介して中央処理制御装置101に送受信される。
記憶装置107は磁気ディスク装置であって、中央処理制御装置101で実行されるプログラムやデータが記憶されている。リムーバブルディスク108は、光ディスクやフレキシブルディスクのことであり、ディスクドライブによって読み書きされた信号は、入出力インタフェース109及びバス110を介して中央処理制御装置101に送受信される。
本発明の実施例1に係る異常データ検出装置1の記憶装置107には、異常データ検出プログラムが記憶されるとともに、異常検出基準データ12、イベント蓄積データ13、頻度蓄積データ18が記憶される。又、異常データ検出プログラムが異常データ検出装置1の中央処理制御装置101に読み込まれ実行されることによって、データ解析手段10、異常データ検出手段11、イベント通知手段14、管理インタフェース15、頻度管理手段16、頻度算出手段17、モデル補正手段19が異常データ検出装置1に実装される。
データ解析手段10は、ネットワークセグメント2aからアクセスデータを受信すると、アクセスデータを読み出して、後述する所定の規則に従って解析することにより、アクセスデータの特徴量を算出する。データ解析手段10で解析された解析結果は、異常データ検出手段11に入力される。この特徴量については後に詳述する。
異常検出基準データ12は、ネットワークセグメント2aから受信したアクセスデータの異常を検出する感度レベル及び予め定められている応答基準値が記憶されている。異常検出基準データ12は、データ形式もしくはトラフィック特性に関する記述とこれに対して異常を検出するための基準が記述され、異常の検出に用いられる。
図3に示す様に異常検出基準データ12は、例えば「異常検出基準識別子」を行のインデックスとして、「検出基準モデル」、「感度レベル」及び「応答基準値」を備えている。
「異常検出基準識別子」は、異常データの種類を識別する識別子であって、異常を識別するために各異常に対して定められた特異の記述である。例えば、異常検出基準データ12をパターンファイルとして記述したときは、パターン番号として解釈できる。
「検出基準モデル」は、異常に関する具体的な記述形式である。例えば、文字列を対象とする場合の正規表現を用いた記述や、正規表現以外の記述方法としては文字列中に含まれる特定文字の個数等であってもよい。また、トラフィック特性を対象とする場合の単位時間当たりの接続要求数やデータ転送量等でもよい。
「感度レベル」は、アクセスデータの異常データを検出する閾値であって、対象とするアクセスデータに関して静的もしくは動的に評価される値に関する閾値であってもよい。感度レベルの値は、後に説明するように、モデル補正手段19によって制御可能である。
異常データ検出手段11は、アクセスデータから算出された特徴量を感度レベルと比較して、異常データを検出するとともに、検出された異常データを、イベント蓄積データ13として記憶装置107に記憶させる。
具体的には、データ解析手段10によって算出された特徴量を、異常検出基準データ12に記憶されている感度レベルと比較する。特徴量と感度レベルとを比較したとき特徴量が感度レベルよりも大きい場合には、異常データ検出手段11は入力されたアクセスデータが異常データであると判断する。
イベント蓄積データ13は、アクセスデータから算出された特徴量を感度レベルと比較して検出された異常データが記憶装置107に記憶されるデータである。
異常データ検出手段11で異常データが検出されると、この異常データに関する事項をイベント蓄積データ13として記憶装置107に記憶させる。このとき、イベント蓄積データ13は、検出された異常データを一意に識別するイベント番号を用いて記憶される。このようにして、イベント蓄積データ13は、異常データ検出手段11で異常データが検出されると、新たなイベントとして、イベントに関する情報が順次追加して記述される。
ここで、図4に示す例を用いて、イベント蓄積データ13について説明する。イベント蓄積データ13は、「イベント番号」をイベントを識別するインデックスとして、「通知時刻」、「通知情報」及び「異常検出基準識別子」が関連付けられて記憶されている。イベント蓄積データ13は、異常データが検出される度に、発生したイベントに関する情報が追加されて記憶される。
「イベント番号」は、イベント毎に与えられている通し番号である。「通知時刻」は、イベント発生が管理端末に通知された時刻である。「通知情報」は、発生したイベントの内容を管理端末に通知した通知情報である。「異常検出識別子」は、発生したイベントに該当する異常検出基準識別子であり、異常検出基準データ12で記憶される「異常検出識別子」である。
イベント通知手段14は、新たなイベントがイベント蓄積データ13で追加された場合に、イベント蓄積データ13として記憶されるイベントに基づいて、イベント通知データ20を生成する。また、イベント通知手段14は、生成されたイベント通知データ20を管理インタフェース15に送信することにより、管理者に異常の発生を通知する。
例えばイベント通知データ20は、図5で示すように「イベント番号」、「通知時刻」、「通知情報」及び「通知メッセージ」を備えている。ここで、「イベント番号」、「通知時刻」、「通知情報」及び「異常検出基準識別子」は、イベント蓄積データ13で記憶されている情報である。「通知メッセージ」は、発生したイベントの内容を管理端末に具体的に通知するためのメッセージである。
管理インタフェース15は、イベント通知手段14から送信されたイベント通知データ20を受信して異常データ検出装置1の管理端末に出力する。また、管理端末でイベントの通知に対して応答されると管理インタフェース15は、この応答に基づいて、確認応答データ21を生成し、頻度管理手段16に確認応答データ21を送信する。
例えば確認応答データ21は、図6で示すように「イベント番号」、「応答時刻」及び「確認応答内容」を備えている。「イベント番号」はイベント蓄積データ13およびイベント通知データ20で記述されている「イベント番号」と同様である。「応答時刻」は管理端末においてイベント通知データ20に対して応答した時刻、又は、異常データ検出装置1が、確認応答データ21を受信した時刻である。「確認応答内容」は、確認応答の具体的な内容である。
頻度管理手段16は、検出された異常データの通知に対して受信した確認応答の頻度に基づいて算出された確認応答頻度と応答基準値を比較して、感度レベルの補正指示を出力する。
また、頻度管理手段16は、確認応答頻度と応答基準値とを比較するとともに、確認応答頻度が大きい場合は感度レベルを上げる補正指示をモデル補正手段19に出力し、確認応答頻度が小さい場合は感度レベルを下げる補正指示をモデル補正手段19に出力する。
さらに、頻度管理手段16は、異常データの検出が通知された通知頻度を頻度算出手段17に算出させる。
具体的に頻度管理手段16は、イベント蓄積データ13に新たに追加されたイベントを管理インタフェース15に通知する頻度を「通知頻度」として記憶する。また頻度管理手段16は、イベント通知データに対する管理者からの確認応答データを受信して「確認応答頻度」を記憶する。さらに、頻度管理手段16は、異常検出基準データ12の「応答基準値」及び頻度蓄積データ18の「確認応答頻度」に基づいて異常検出基準データ12の感度レベルの更新を指示する。
頻度管理手段16は、イベント蓄積データ13として新たなイベントが記憶装置107に記憶されると、頻度算出手段17にイベント通知データ20の送信に関する「通知頻度」を算出させる。一方、頻度管理手段16は、確認応答データ21を管理インタフェース15から受信すると、頻度算出手段17に「確認応答頻度」を算出させる。
頻度算出手段17は、このように、頻度管理手段16からの算出指示に基づいて「通知頻度」及び「確認応答頻度」を算出する。また、頻度算出手段17は、算出した「通知頻度」及び「確認応答頻度」を、頻度蓄積データ18として記憶装置107に記憶させる。
図7で示すように頻度蓄積データ18は、「異常検出基準識別子」を行のインデックスとして、「通知頻度」、「確認応答頻度」及び「平均確認応答時間」を備えている。異常データが検出されてイベント蓄積データ13が更新されてイベント通知データが送信された場合には、頻度管理手段16は、頻度算出手段17に通知頻度を算出させ、頻度蓄積データ18に更新する。また、頻度管理手段16は、管理インタフェース15から確認応答データ21を受信した場合には、頻度算出手段17に確認応答頻度を算出させ、頻度蓄積データ18に更新する。
「通知頻度」は、異常データの検出が管理端末に通知された頻度であって、単位時間当たりのイベント通知の平均回数である。ある時点における通知頻度は、頻度蓄積データ18に記憶された該当する異常検出基準識別子のイベントに対するイベント通知データ20と新たに送信されたイベント通知データを対象として、当該イベント通知の発生回数である異常発生回数の単位時間あたりの平均として計算される。
「平均確認応答時間」は、イベント通知手段14によってイベント通知データ20が送信されてから、頻度管理手段16によって確認応答データ21が受信されるまでの時間の平均である。このとき、平均確認応答時間は、異常検出識別子毎に算出される。ある時点における平均確認応答時間は、頻度蓄積データ18に記憶された該当する異常検出識別子のイベントに対する確認応答データ21と、新たに受信した確認応答データ21を対象として、異常発生回数の平均として計算される。
なお、通知したが、これに対する確認応答がなされていない場合には、現時点における確認応答頻度は、その通知発生から現時点までの経過時間を、応答時間の代わりとして計算するものとする。
「確認応答頻度」は、検出された異常データの通知に対して受信した確認応答の頻度に基づいて算出される。具体的に確認応答頻度は、通知されてから応答までの平均確認応答時間の逆数である。
モデル補正手段19は、頻度管理手段16からの指示により、異常検出基準データ12を更新する。
<異常データ検出装置における処理>
図8及び図9に示すフローチャートを用いて、実施例1に係る異常データ検出装置1の処理を説明する。
初めに、データ解析手段10によって、ネットワークセグメント2aからアクセスデータを受信したか否かが判断される(S001)。ネットワークセグメント2aからアクセスデータが入力されると、データ解析手段10によって、所定の規則に従って入力されたアクセスデータが解析され、アクセスデータに基づいて、評価値データが算出される。(S002)。
ここで、所定の規則とは、例えば異常データ検出の対象としているデータ形式若しくはトラフィック特性を抽出する規則であり、例えば、HTTPやSMTP等のプロトコルのデータ形式や、接続要求数やデータの転送量といったトラフィック特性を抽出する規則である。
データ解析手段10によって評価値データが算出されると、異常データ検出手段11によって、不正アクセスの有無を判断する異常検出基準データ12を記憶装置107から読み出す(S003)。
異常データ検出手段11によって読み出した異常検出基準データ12に基づいてアクセスデータが正常なアクセスデータであるか、異常なアクセスデータであるかが判断される(S004)。この異常データは、図3で示した異常検出基準データ12の異常検出の閾値である「感度レベル」に基づいて判断される。ここで感度レベルは、異常データの異常検出基準識別子ごとに設定されている。
ステップS004において、このアクセスデータは異常データであると判断されると、異常データ検出手段11によって異常データは新たなイベントとしてイベント蓄積データ13に記憶され、イベント蓄積データ13が更新される(S005)。
図4で説明したようにイベント蓄積データ13には、検知された異常データを識別する「イベント番号」と異常データと判断された「異常検出基準識別子」が関連付けられて記憶されている。
イベント蓄積データ13が更新されると、イベント通知手段14によって更新されたイベントに基づいてイベント通知データ20が生成され、このイベント通知データ20が管理インタフェース15に送信される。(S006)。このときイベント通知手段14によって、異常データの検出を通知した「通知時刻」とイベント通知データ20に含まれる「通知情報」とがイベント蓄積データ13に記憶される。
イベント通知データ20が送信されると、管理者に通知するために、管理インタフェース15によって異常データが検出されたこのイベント通知データ20が、管理端末に送信される(S007)。ここで、イベント通知データ20と確認応答データ21には、検出された異常データを識別するイベント番号が含まれている。
一方、図9に示すように、頻度管理手段16は、「イベント蓄積データ13の更新」又は「確認応答データ21の受信」を待機する(S101)。
ステップS101において、イベント蓄積データ13に新たな異常データの検出のイベントが追加された場合、頻度管理手段16によってイベント蓄積データ13を記憶装置107から読み出して、追加されたイベントのイベント番号から異常検出基準識別子を検索する(S102)。
頻度管理手段16によってイベントの異常検出基準識別子が検出されると、頻度算出手段17によって、当該イベントに係る異常検出識別子に基づいて通知頻度が計算される(S103)。通知頻度は、新たなイベントが追加される毎に、異常検出基準識別子に対して既に頻度蓄積データ18で記憶されている通知頻度、平均確認応答時間、異常発生回数、及びイベント通知データ20で通知された通知時刻から計算される。
このようにして頻度算出手段17で求められた通知頻度は頻度蓄積データ18に更新記憶される(S104)。
通信頻度の更新がされると頻度管理手段16によって、算出された通知頻度と頻度蓄積データ18で記憶している確認応答頻度との比が、異常検出基準データ12で当該基準識別子に対して記憶されている応答基準値より拡大したか否か判断される(S105)。ここで応答基準値内に収まっている場合、処理はそのまま終了される。
判断の結果、通知頻度と確認応答頻度との比が応答基準値よりも拡大していた場合、モデル補正手段19に対して異常検出基準識別子を含む補正指示が出力される(S106)。
モデル補正手段19によって、頻度管理手段16から入力された補正指示に基づいて、異常検出基準データ12の感度レベルが変更される(S107)。
現時点における確認応答頻度は上述したように、現時点から一定時間前までの期間を対象として、通知発生から確認応答までの平均反応時間の逆数として頻度算出手段17によって計算され、頻度蓄積データ18に記憶されている。また、頻度の閾値である応答基準値は、異常検出基準データ12に記憶されている。
一方、ステップS101において、管理インタフェース15から確認応答データ21が受信された場合、頻度管理手段16によってイベント蓄積データ13を記憶装置107から読み出して確認応答データ21のイベント番号に基づいて、対応する異常検出基準識別子が検索される(S108)。
次に、当該イベントに対して検索された異常検出基準識別子について、確認応答頻度が頻度算出手段17によって算出される(S109)。確認応答頻度は、当該異常検出基準識別子について頻度蓄積データ18で記憶している確認応答頻度、平均確認応答時間、異常発生回数、イベント蓄積データ13で記憶している通知時刻及び確認応答データ21に記述されている応答時刻に基づいて算出される。
このようにして頻度算出手段17で求められた確認応答頻度は、頻度蓄積データ18に更新記憶される(S110)。
ステップS110で新たなイベントに対する通知頻度が記憶された後には、イベント蓄積データ13から該当するイベントが削除される(S111)。その後、上述したステップS105〜S107の処理が行われる。
この様に、本発明の実施例1に係る異常データ検出装置1は、異常データの通知に対応する応答頻度に基づいて異常データを検出する感度レベルが設定されるので、このとき応答に要した時間や応答の有無に基づいて管理者によって判断される異常データの重要度が推測される。
すなわち、例えば、いくつかの通知が発生すると、通知情報を見た管理者は、必要な措置を講じ、あるいは特に問題がないことを確認する。
ここで、管理インタフェース15に逐次的に確認応答を返している場合、異常データ検出装置1に異常データの検出が適正に運用されている状況であると考えられ、異常検出基準データ12を更新する必要性は無いものと判断される。このとき、通知頻度と確認応答頻度との比は、ほぼ一定の状態である。
しかし、管理インタフェース15に大量のイベント通知が出力された場合、逐次的にイベント通知の対応を行うことは管理者にとって負担が大きくなってしまう。このとき、実際にネットワークにおいて何の問題も認められず、かつ、この状況が長引く場合、異常データを検出した通知に対して確認応答を返すことが不可能な状況になってしまう。この場合、通知頻度が高いままであるのに、それに対する確認応答の頻度が低くなるので、通知頻度と確認応答頻度との比は、拡大する一方である。
従って、通知頻度と確認応答頻度との比を算出し、応答基準値より拡大したかどうかを判断することによって、異常データの異常の度合いが推測されるのである。即ち、実際にネットワークにおいて何の問題も認められず、通知に対する確認応答の必要性が低い場合、通知された異常データは、セキュリティ上の重要度が低い、もしくはリスクが小さい種類であると推測される。
このとき、自動的に異常検出基準データ12を更新することにより、本発明の実施例1に係る異常データ検出装置1は、同様の異常データを検出する頻度を抑制することができる。
例えば異常検出基準データ12についてパターンファイルとして適用する場合、該当する異常検出基準識別子、即ちパターン番号の感度レベルをゼロとすることにより、そのパターンについては通知されない。
例えば、検出基準モデルの記述方法として、文字列中に含まれる特定文字の個数等を適用する場合は、その個数の閾値を変更することで、異常データとみなされるデータの範囲を絞り込むことができる。一方、検出基準モデルとしてトラフィック特性を対象とする場合、単位時間当たりの接続要求数やデータ転送量を扱う閾値を大きくすることにより、検出の感度を下げることができる。
このように、本発明の実施例1に係る異常データ検出装置1において、異常データを検出する感度レベルを変更する基準は、特に限定されるものではなく、検出基準モデルの記述に応じて、適宜、該当通知の頻度が設定される。
<異常検出基準データ>
上述したように本実施例1において異常データ検出装置1は、インターネット不正侵入検出システムで用いられるものである。この場合の異常検出基準データ12のデータ形式は、既知の攻撃パターンが記述されたパターンファイルがその一例となり、トラフィック特性としては統計的な閾値がその一例となる。
ここでデータ形式に基づいて異常データを検出する例を具体的に説明する。
データ解析手段10におけるアクセスデータの解析方法の一例について、図11に示すようなHTTPリクエストを解析する例で説明する。HTTPリクエストを意味のある文字列区分を抽出する。図11に示した例では、意味のある文字列区分とは、GETコマンドやPOSTコマンド等のパラメータや、それらのパラメータにおいて指定されるCGIプログラムのパラメータ等の、意味のある文字列区分等が第1乃至第3の文字列区分として定義されている。これらの各文字列区分mについての文字列特性、即ち異常で攻撃になりやすいとされる特定の文字種nが含まれるバイト数が、文字列区分m及び文字列特性nそれぞれについて、評価値データfmn(x)として算出され、特徴量データとして記憶装置107に記憶される。例えば、文字列区分として2種類を扱い、文字列特性としてn種類に分類する場合、4×2=8種類の評価値データが算出される。
また、データ解析手段10は、ネットワークセグメント2aから受信したアクセスデータについて、接続要求数やデータ転送量等のトラフィックに関する特徴量を算出し、特徴量データとしてさらに挿入しても良い。
この場合具体的に感度レベルは、ネットワークセグメント2b側に設置されウェブサーバ等の異常データ検出装置1が保護するサーバへのアクセスデータのログ(図示せず)を読み出し、後述するアクセスデータの特徴量に基づいた統計分布が算出された統計的に異常とみなしうる閾値である。即ち、HTTPリクエストの評価値が式1の範囲内のときに正常アクセスと判断し、範囲外のときに異常データに関わると判断される。
Figure 0003811162
式1における平均値と標準偏差は、図10に示すようなサーバへのアクセスデータのログの統計を取ることにより決定される。即ち、アクセスデータに基づくHTTPリクエストデータを採取することにより決定される。一方、閾値係数Amnは、感度レベルであり、頻度管理手段16の指示によってモデル補正手段19により更新される値である。閾値係数Amnは、文字列区分m及び文字列特性nのそれぞれに応じて最良の値が決定される。
図3に示す例では具体的に、異常検出基準識別子を「m−n」、検出基準モデルを「文字列区分mにおける文字列特性n」、感度レベルを「3」、応答基準値を「3」としている。
即ち、図3に示す「3」を絶対値とした閾値としたときには、3以上が「異常」であり、3未満が「正常」であると判断して異常の検出を行う。あるいは、感度レベルを絶対値として扱わず、相対的な閾値係数として扱っても良い。このような一つの異常検出基準が、異常検出基準識別子「m−n」として記述される。上述したような異常検出基準データ12の表現形式により、異常データ検出手段11の感度が具体的に制御される。
「応答基準値」は、応答頻度と通知頻度に対する割合の閾値であって、この応答基準値に基づいてモデル補正手段19に対して補正の指示がされる。
(変形例)
上述した実施例1の変形例では、低い感度レベル変更された場合、元に戻すように設定することも可能である。実施例1に係る異常データ検出装置1は、感度レベルが更新されると、これを管理者に通知する。このとき、管理者より感度レベルを元に戻す要求がされた場合、この要求に基づいて感度レベルは元に戻される。
この変形例に係る異常データ検出装置1の処理について図12及び図13を用いて具体的に説明する。変形例では、ステップS105までの処理は上述した実施例1と同様である。
頻度蓄積データ18に通知頻度が更新されると(S104)、頻度管理手段16によって、通知頻度と確認応答頻度との比が応答基準値より拡大したか否か判断される(S105)。判断の結果、通知頻度と確認応答頻度との比が応答基準値よりも拡大していた場合、モデル補正手段19に異常検出基準識別子を含む補正指示が出力される(S106)。
モデル補正手段19によって、頻度管理手段16から入力された補正指示に基づいて、異常検出基準データ12の感度レベルが変更される(S107)。感度レベルが更新されるとともに、頻度管理手段16によって更新通知データ22が生成され、管理インタフェース15に出力される(S200)。
更新通知データは、図14で示すように、イベント蓄積データ13で記述されている内容である「イベント番号」、「通知時刻」、「通知情報」及び「異常検出基準識別子」に加えて、「変更前感度レベル」と「変更後感度レベル」を備えている。
このように、ステップS200で管理インタフェース15に更新通知データ22が出力されて感度レベルが変更されたことを管理者が知らされるため、管理者は感度レベルの値を元に戻すことも可能になる。
実施例2に係る異常データ検出装置3も上述した実施例1と同様に、ネットワークから受信したアクセスデータから不正アクセスの疑いがあるアクセスデータを異常データとして検出する。
図15に示す実施例2に係る異常データ検出装置3は、実施例2に係る異常データ検出装置1と比較して、集約度データ35を備え、モデル補正手段19を備えていない点で異なる。
イベント通知手段34は、同一種の異常データを集約度データ35として記憶される記憶装置107に定められている集約度の数の異常データが検出されると、検出された異常データを集約してイベント通知データ20として送信する。
集約度データ35は、例えば図16に示すように、「異常検出基準識別子」をインデックスとし、「集約度」が記述されている。
本発明の実施例2において、集約度とは、複数の通知を一つの通知に集約する度合いである。たとえば、一日分や一週間分といった何らかの期間に関して集約したり、10通分や50通分といった通知の累積度に関して集約したりする。
このように、通知の頻度を下げるための、集約度の変更の度合いとしては、特に限定されるものではなく、検出基準モデルの記述に応じて、適宜、該当通知の頻度が下がるように決めればよい。
またここで、集約度は異常検出基準識別子ごとに設定され、この集約度に基づいてイベント通知データが送信されるのが好ましい。
具体的にイベント通知手段34は、イベント蓄積データ33に新たなイベントが追加された場合、記憶装置107から集約度データ35を読み出す。イベント通知手段34は、読み出した集約度に基づいてイベント通知データ20を集約して生成し、管理インタフェース36にイベント通知データ20を送信する。
頻度管理手段37は、イベント通知データ20に対して受信した通知頻度と確認応答頻度との比を、応答基準値と比較して集約度データ35を補正する。
実施例1に係る異常データ検出装置1は、通知頻度と確認応答頻度との比が、応答基準値と比較して拡大した場合、異常検出基準データ12の感度レベルを補正していた。これに対して、実施例2に係る異常データ検出装置3は、通知頻度と確認応答頻度との比が、応答基準値と比較して拡大した場合、集約度データ35の集約度を補正する。
頻度算出手段38は、頻度管理手段37からの制御により通知頻度及び確認応答頻度を算出する。
頻度蓄積データ39は、頻度算出手段38算出された通知頻度及び確認応答頻度を備えて記憶装置107に記憶される。
具体的に、頻度管理手段37は、記憶装置107にイベント蓄積データ33として新たにイベントが追加された場合、管理インタフェース36にイベント通知データ20として送信する頻度を、頻度算出手段38に通知頻度として算出させる。また、頻度管理手段37は、イベント通知データ20に対する管理者からの確認応答データ21を管理インタフェース36から受信した場合、頻度算出手段38に確認応答頻度を算出させる。算出された
頻度管理手段37は、頻度蓄積データに記憶される通知頻度と確認応答頻度との比が異常検出基準データ32で記憶される応答基準値よりも大きくなった場合に集約度データ35を更新する。
このように、実施例1に係る異常データ検出装置1の構成と実施例2の異常データ検出装置3の構成とを比較すると、実施例1ではモデル補正手段19を備えることで該当通知の頻度を下げていたのに対し、実施例2では集約度データ35に基づいてイベント通知手段34で該当通知の頻度を下げる。
即ち、実施例2では、該当通知の頻度を下げるための手段として、異常データ検出装置3自体の不正アクセス検出の感度は変えずに、複数の通知を集約し、一つの通知とすることができる。
<異常データ検出装置の処理手順>
図17は、実施例2に係る異常データ検出装置3の処理手順を示すフローチャートである。
初めに、データ解析手段30によって、ネットワークセグメント2aからアクセスデータを受信したか否かが判断される(S301)。アクセスデータが入力されると、データ解析手段30によって入力されたアクセスデータが解析され、アクセスデータに基づいて評価値データが算出される(S302)。
データ解析手段30によって評価値データが算出されると、異常データ検出手段31によって、不正アクセスの有無を判断する異常検出基準データ32が記憶装置107から読み出される(S303)。異常データ検出手段31によって、読み出した異常検出基準データ32にも度付いてアクセスデータが正常なアクセスデータであるか、不正なアクセスデータであるが判断される(S304)。
ステップS304において、このアクセスデータが異常データであると判断されると、異常データ検出手段31によって異常データを新たなイベントとして、イベント蓄積データ33記憶され、イベント蓄積データ33が更新される(S305)。
イベント蓄積データ33が更新されると、イベント通知手段34によって当該異常検出識別子に関連付けられたベントが集約度の数のデータがイベント蓄積データ33として蓄積されたか否かが判断される(S306)。
ステップS306で、集約度の数データが蓄積されていた場合には、イベント通知手段34によって、イベント通知データ20が生成され、管理インタフェース36に送信される(S307)。このイベント通知データは、例えば図5で示す形式のデータである。
例えば、集約度の数が図16で示されるように「10」と規定されていた場合には、当該異常検出識別子に係るイベントが10回分蓄積されるとイベント通知データ20が生成されて、送信される。
イベント通知手段34によって送信されたイベント通知データ20を管理インタフェース36が受信すると、管理インタフェース36で管理端末に対して出力される(S308)。
頻度管理手段37は、管理インタフェース36から確認応答データ21を受信したか否かが判断される(S309)。管理インタフェース36から確認応答データ21を受信した場合、確認応答データの受信処理が行われる(S310)。具体的には、頻度管理手段37は頻度算出手段38に確認応答頻度を算出させ、算出された確認応答頻度は頻度蓄積データ39として記憶装置107に記憶される。
続いて、頻度管理手段37によって、頻度蓄積データ39として記憶される通知頻度と確認応答頻度との比が、異常検出基準データ32として記憶される応答基準値より拡大したか否かが判断される(S311)。通知頻度と確認応答頻度との比が応答基準値より拡大していた場合は、頻度管理手段37によって、集約度データ35が変更される(S312)。
このように、本発明の実施例2に係る異常データ検出装置3において、予め定められる集約度に基づいて異常データの検出を集約して通知するので、管理端末での異常データ検出の通知の受信数を減少させることができる。また、管理端末からの応答頻度に応じて集約度が調整されるため、異常データ検出の通知を真に異常と判断されたものに絞ることができる。
これにより、管理端末において不要に多大の通知を確認することを要さず、管理者の負担を軽減することが可能になる。また、重要な通知が見落とされない。
また、上述した各実施例においては、Webサーバの異常データの検出を例として説明したが、Webサーバだけに限られるものではない。本発明における異常データ検出装置は他にも、原子力発電所や鉄道管理局等に設けられたサーバにおいて異常データの検出を行うことが可能である。
本発明の実施例1に係る異常データ検出装置の構成図。 本発明の実施例1に係る異常データ検出装置の構成図。 本発明に係る異常データ検出装置で用いる異常検出基準データのデータ項目とデータの一例を説明する図。 本発明に係る異常データ検出装置で用いるイベント蓄積データのデータ項目とデータの一例を説明する図。 本発明に係る異常データ検出装置で用いるイベント通知データのデータ項目とデータの一例を説明する図。 本発明に係る異常データ検出装置で用いる確認応答データのデータ項目とデータの一例を説明する図。 本発明に係る異常データ検出装置で用いる頻度蓄積データのデータ項目とデータの一例を説明する図。 本発明の実施例1に係る異常データ検出装置の処理を説明するフローチャート。 図8に続く処理を説明するフローチャート。 本発明に係る異常データ検出装置で用いる閾値を説明する図。 本発明に係るHTTPリクエストの文字区分列の一例を説明する図。 本発明の変形例に係る異常データ検出装置の構成図。 本発明の変形例に係る異常データ検出装置の処理を説明するフローチャート。 本発明に係る異常データ検出装置で用いる更新通知データのデータ項目とデータの一例を説明する図。 本発明の実施例2に係る異常データ検出装置の構成図。 本発明に係る異常データ検出装置で用いる集約度データのデータ項目とデータの一例を説明する図。 本発明の 実施例2に係る異常データ検出装置の処理を説明するフローチャート。
符号の説明
1…異常データ検出装置
2a,2b…ネットワークセグメント
3…異常データ検出装置
10…データ解析手段
11…異常データ検出手段
12…異常検出基準データ
13…イベント蓄積データ
14…イベント通知手段
15…管理インタフェース
16…頻度管理手段
17…頻度算出手段
18…頻度蓄積データ
19…モデル補正手段
20…イベント通知データ
21…確認応答データ
22…更新通知データ
30…データ解析手段
31…異常データ検出手段
32…異常検出基準データ
33…イベント蓄積データ
34…イベント通知手段
35…集約度データ
36…管理インタフェース
37…頻度管理手段
38…頻度算出手段
39…頻度蓄積データ
101…中央処理制御装置
102…ROM
103…RAM
104…入力装置
105…表示装置
106…通信制御装置
107…記憶装置
108…リムーバブルディスク
109…入出力インタフェース
110…バス

Claims (12)

  1. アクセスデータの異常を検出する感度レベル及び予め定められている応答基準値が記憶された異常検出基準データ記憶手段と、
    検出された異常データを蓄積して記憶するイベント蓄積データ記憶手段と、
    前記アクセスデータから算出された特徴量を前記異常検出基準データ記憶手段に記憶される前記感度レベルと比較し異常データを検出するとともに、検出された前記異常データを、前記イベント蓄積データ記憶手段に記憶させる異常データ検出手段と、
    前記イベント蓄積データ記憶手段に記憶される前記異常データの通知に対して受信した確認応答の頻度を確認応答頻度に基づいて、算出された確認応答頻度と前記応答基準値とを比較して前記感度レベルの補正指示を出力する頻度管理手段と、
    前記頻度管理手段の前記補正指示に基づいて、前記異常検出基準データ記憶手段で記憶されている前記感度レベルを補正するモデル補正手段と、
    を有することを特徴とする異常データ検出装置。
  2. 前記頻度管理手段は、前記確認応答頻度を前記応答基準値と比較するとともに、確認応答頻度が大きい場合、前記感度レベルを上げる補正指示を出力し、確認応答頻度が小さい場合、前記感度レベルを下げる補正指示を出力する
    ことを特徴とする請求項1に記載の異常データ検出装置。
  3. 前記異常検出基準データ記憶手段に記憶された応答基準値は、異常データの検出を通知した通知頻度と前記確認応答頻度との比であって、
    前記頻度管理手段では、
    さらに前記異常データの検出が通知された通知頻度を算出させるとともに、算出された前記通知頻度を頻度蓄積データ記憶手段に記憶させ、
    前記通知頻度と前記確認応答頻度との比を算出し、前記応答基準値と比較するとともに、確認応答頻度が大きい場合、前記感度レベルを上げる補正指示を出力し、確認応答頻度が小さい場合、前記感度レベルを下げる補正指示を出力する
    ことを特徴とする請求項1に記載の異常データ検出装置。
  4. 前記異常検出基準データ記憶手段に記憶された前記感度レベル及び前記応答基準値は、前記異常データの種類を識別する異常検出識別子ごとに記憶され、
    前記異常データ検出手段は、更に、前記異常データの異常検出基準識別子を抽出して、抽出された前記異常検出基準識別子を前記イベント蓄積データ記憶手段に記憶し、
    前記確認応答頻度は、前記異常検出基準識別子ごとに算出される
    ことを特徴とする請求項1乃至3のいずれか1に記載の異常データ検出装置。
  5. 前記異常データ検出手段は、更に、検出された異常データを一意に識別するイベント番号と、前記異常データ記憶手段の検出を通知した通知時刻とを、前記異常データに関連付けて前記イベント蓄積データに記憶させ、
    前記確認応答に含まれた前記イベント番号を抽出するとともに、抽出された前記イベント番号に基づいて前記イベント蓄積データ記憶手段から前記通知時刻を抽出し、
    前記通知時刻から前記確認応答を受信した時刻までの時間を前記イベント番号ごとに算出し、
    算出された前記時間の平均時間の逆数が、前記確認応答頻度として算出される
    ことを特徴とする請求項1乃至4のいずれか1に記載の異常データ検出装置。
  6. アクセスデータの異常を検出する感度レベル及び予め定められている応答基準値が記憶された異常検出基準データ記憶手段と、
    前記アクセスデータから算出された特徴量を前記感度レベルと比較して異常データを検出するとともに、検出された前記異常データを、イベント蓄積データ記憶手段に記憶させる異常データ検出手段と、
    同一種の異常データを集約度データに予め定められる数の異常データ検出がされると、検出された異常データを集約してイベント通知データとして送信するイベント通知手段と、
    前記イベント通知に対するして受信した確認応答の頻度に基づいて算出された確認応答頻度を前記応答基準値と比較して前記集約度を補正する頻度管理手段と、
    を有することを特徴とする異常データ検出装置。
  7. アクセスデータから算出された特徴量をアクセスデータの異常を検出する感度レベル及び予め定められている応答基準値が記憶された異常検出基準データ記憶手段で記憶される前記感度レベルと比較し異常データを検出するとともに、検出された前記異常データを、イベント蓄積データ記憶手段に記憶させるステップと、
    前記イベント蓄積データ記憶手段で記憶される検出された前記異常データの通知に対して受信した確認応答の頻度を確認応答頻度に基づいて、算出された確認応答頻度と前記異常データ検出基準データ記憶手段に予め記憶されている応答基準値とを比較して前記感度レベルの補正指示を出力するステップと、
    前記補正指示に基づいて、前記異常検出基準データで記憶されている前記感度レベルを補正するステップと、
    をコンピュータに実行させることを特徴とする異常データ検出プログラム。
  8. 感度レベルの補正指示を出力するステップは、前記確認応答頻度を前記応答基準値と比較するとともに、確認応答頻度が大きい場合、前記感度レベルを上げる補正指示を出力し、確認応答頻度が小さい場合、前記感度レベルを下げる補正指示を出力する
    ことを特徴とする請求項7に記載の異常データ検出プログラム。
  9. 前記異常検出基準データに記憶された応答基準値は、異常データの検出を通知した通知頻度と前記確認応答頻度との比であって、
    前記感度レベルの補正指示を出力するステップは、さらに前記異常データの検出が通知された通知頻度を算出するとともに、算出された前記通知頻度を頻度蓄積データ記憶手段に記憶させ、
    前記通知頻度と前記確認応答頻度との比を算出し、前記応答基準値と比較するとともに、確認応答頻度が大きい場合、前記感度レベルを上げる補正指示を出力し、確認応答頻度が小さい場合、前記感度レベルを下げる補正指示を出力する
    ことを特徴とする請求項7に記載の異常データ検出プログラム。
  10. 前記異常検出基準データに記憶された前記感度レベル及び前記応答基準値は、前記異常データの種類を識別する異常検出識別子ごとに記憶され、
    前記確認応答頻度は、前記異常検出基準識別子ごとに算出され、
    前記異常データの異常検出基準識別子を抽出して、抽出された前記異常検出基準識別子を前記イベント蓄積データ記憶手段に記憶するステップをコンピュータに実行させることを特徴とする請求項7乃至9のいずれか1に記載の異常データ検出プログラム。
  11. 検出された異常データを一意に識別するイベント番号と、前記異常データの検出を通知した通知時刻とを、前記異常データに関連付けて前記イベント蓄積データ記憶手段に記憶させるステップと、
    前記確認応答に含まれた前記イベント番号を抽出するとともに、抽出された前記イベント番号に基づいて前記イベント蓄積データ記憶手段から前記通知時刻を抽出するステップと、
    前記通知時刻から前記確認応答を受信した時刻までの時間を前記イベント番号ごとに算出するステップと、
    算出された前記時間の平均時間の逆数が、前記確認応答頻度として算出するステップと、
    をさらにコンピュータに実行させることを特徴とする請求項7乃至10のいずれか1に記載の異常データ検出プログラム。
  12. アクセスデータから算出された特徴量をアクセスデータの異常を検出するために異常検出基準データ記憶手段に記憶されている感度レベルと比較して異常データを検出するとともに、検出された前記異常データを、イベント蓄積データ記憶手段に記憶させるステップと、
    同一種の異常データを集約度データに予め定められる数の異常データ検出がされると、検出された異常データを集約してイベント通知データとして送信するステップと、
    前記イベント通知データに対して受信した確認応答の頻度に基づいて算出された確認応答頻度を予め定められて異常検出基準データ記憶手段に記憶されている応答基準値と比較して前記集約度を補正するステップと、
    をコンピュータに実行させることを特徴とする異常データ検出プログラム。

JP2004107511A 2004-03-31 2004-03-31 異常データ検出装置及び異常データ検出プログラム Expired - Fee Related JP3811162B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004107511A JP3811162B2 (ja) 2004-03-31 2004-03-31 異常データ検出装置及び異常データ検出プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004107511A JP3811162B2 (ja) 2004-03-31 2004-03-31 異常データ検出装置及び異常データ検出プログラム

Publications (2)

Publication Number Publication Date
JP2005295212A JP2005295212A (ja) 2005-10-20
JP3811162B2 true JP3811162B2 (ja) 2006-08-16

Family

ID=35327655

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004107511A Expired - Fee Related JP3811162B2 (ja) 2004-03-31 2004-03-31 異常データ検出装置及び異常データ検出プログラム

Country Status (1)

Country Link
JP (1) JP3811162B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190006032A (ko) 2016-07-06 2019-01-16 미쓰비시덴키 가부시키가이샤 이상 데이터의 중요도 판정 장치 및 이상 데이터의 중요도 판정 방법

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4869160B2 (ja) * 2007-06-07 2012-02-08 アラクサラネットワークス株式会社 パケット中継装置
JP2014232923A (ja) * 2013-05-28 2014-12-11 日本電気株式会社 通信装置、サイバー攻撃検出方法、及びプログラム
JP6117050B2 (ja) * 2013-08-09 2017-04-19 株式会社日立製作所 ネットワーク制御装置
JP6641819B2 (ja) * 2015-09-15 2020-02-05 富士通株式会社 ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190006032A (ko) 2016-07-06 2019-01-16 미쓰비시덴키 가부시키가이샤 이상 데이터의 중요도 판정 장치 및 이상 데이터의 중요도 판정 방법
DE112016006946T5 (de) 2016-07-06 2019-02-28 Mitsubishi Electric Corporation Vorrichtung zur bewertung der priorität von anomaliedaten und verfahren zur bewertung der priorität von anomaliedaten

Also Published As

Publication number Publication date
JP2005295212A (ja) 2005-10-20

Similar Documents

Publication Publication Date Title
CN111310196B (zh) 风险识别方法及装置和电子设备
CN102577305A (zh) 网络中的异常检测的方法
CN105306445A (zh) 用于检测服务器的漏洞的***和方法
JP4261389B2 (ja) 不正アクセス検出装置及び不正アクセス検出プログラム
CN110959158A (zh) 信息处理装置、信息处理方法和信息处理程序
CN108234171A (zh) 一种数据处理方法、***以及装置
CN115001812B (zh) 基于互联网的数据中心在线监管安全预警***
CN110768946A (zh) 一种基于布隆过滤器的工控网络入侵检测***及方法
CN107426136B (zh) 一种网络攻击的识别方法和装置
CN108280346A (zh) 一种应用防护监控方法、装置以及***
JP2007164465A (ja) クライアントセキュリティ管理システム
CN111970229A (zh) 一种针对多种攻击方式的can总线数据异常检测方法
JP3811162B2 (ja) 異常データ検出装置及び異常データ検出プログラム
US20070061891A1 (en) Environment information transmission method, service controlling system, and computer product
CN117201188B (zh) 基于大数据的it安全运行风险预测方法、***和介质
CN106899977B (zh) 异常流量检验方法和装置
CN108270746B (zh) 用户访问请求处理方法及装置
WO2007074992A1 (en) Method for detecting malicious code changes from hacking of program loaded and executed on memory through network
CN113704067B (zh) 无形资产管理***监控方法
JP4852124B2 (ja) 異常データ検出装置、異常データ検出方法及び異常データ検出プログラム
US11438348B2 (en) Efficient determination of expected maximum for anomaly detection
JP2022138009A (ja) 分析装置
CN112507270A (zh) 基于云防护中标题逃逸的网站篡改告警方法及相关装置
KR101963174B1 (ko) 보안기능을 갖는 오류 관리 시스템 및 그 제어방법
CN112287252A (zh) 网站域名劫持检测方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060417

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060516

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060525

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100602

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100602

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110602

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees