インシデント監視装置,方法,プログラム
【課題】 監視対象への被害を最小限にするために,検出したインシデントの分析時間を短縮できる分析用情報を出力できる装置を実現する。
【解決手段】 インシデント監視装置1は,センサ3が検出したインシデントのログ情報をイベント・ログ記憶部10から取得して,検出件数等をもとに重要度を判定する。また,一定の時間範囲内のインシデントの検出数と所定の組み合わせ条件の該当件数が閾値以上であるかを判定する。重要度が高いインシデント名,件数が閾値を超えるインシデント名の情報を編集し管理者端末6に出力する。また,編集した情報をもとに,検出したインシデント名ごとの分析用情報を生成する。生成中に,インシデント・ログ内のグローバルIPの割り当て先の組織情報をインターネットレジストリの管理サーバ5へ問い合わせ,組織情報を含む分析用情報を生成して出力する。
【解決手段】 インシデント監視装置1は,センサ3が検出したインシデントのログ情報をイベント・ログ記憶部10から取得して,検出件数等をもとに重要度を判定する。また,一定の時間範囲内のインシデントの検出数と所定の組み合わせ条件の該当件数が閾値以上であるかを判定する。重要度が高いインシデント名,件数が閾値を超えるインシデント名の情報を編集し管理者端末6に出力する。また,編集した情報をもとに,検出したインシデント名ごとの分析用情報を生成する。生成中に,インシデント・ログ内のグローバルIPの割り当て先の組織情報をインターネットレジストリの管理サーバ5へ問い合わせ,組織情報を含む分析用情報を生成して出力する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は,コンピュータシステムへの不正アクセスを検出するために,ネットワークに接続するコンピュータシステムでのインシデントの発生を監視して,インシデント検出の通知と,インシデントの分析用情報の出力とを行うインシデント監視装置,方法,プログラムに関する。
【背景技術】
【0002】
コンピュータ間のデータ通信,コンピュータでのイベントを監視してセキュリティ上問題となる事象(セキュリティ・インシデント)を検出する不正侵入検知装置(IDS),不正侵入防御装置(IPS)等が知られている。
【0003】
また,監視対象システムとネットワークとの間に設けたファイアウォールで通信ログを収集し,収集した通信ログを解析してセキュリティ・インシデントを検出し,検出したセキュリティ・インシデントに関するアドバイス情報を所定の宛先に通知して,閲覧可能な状態にする監視装置が知られている(例えば,特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−295232号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
上記のIDS,IPS等の検出装置(以下,センサ)で検出される,通常と異なる事象(以下,インシデントという)は,多種多様であるうえ,監視対象のコンピュータシステムに対する脅威の度合いも異なっている。したがって,検出されたインシデントがシステムへ与える影響を分析して,脅威が大きいインシデントに対する対処を優先的に行えるようにする必要がある。
【0006】
また,上記のIDS,IPS等によって監視対象のシステムへの不正アクセスを発見し,システムへの影響を最小限に抑制するための対処を行うには,検出されたインシデントを迅速に分析する必要がある。
【0007】
しかし,センサからは,随時,システムへの影響の無いインシデントを含めて,多種多量かつシステムへの脅威の程度が異なるインシデントが検出され続ける。このような状況下において,システムへの影響が大きいと考えられるインシデントを優先しながら,全てのインシデントに対して分析処理を行うことは困難である。
【0008】
また,多くのインシデントは,通知されたインシデント名だけではシステムへの影響の度合いが判別できず,より詳細な分析処理として,例えば,攻撃の方向,単位時間あたりのインシデント検出件数,トリガと攻撃対象の脆弱性との関連性等の確認を行う作業が必要である。しかし,センサが出力する多種多量のインシデントが混在するインシデントのログ情報(インシデント・ログ)から,プライオリティに応じた優先順位でインシデントを分析することは,多くの時間と労力が必要となる。
【0009】
従来のインシデント分析の際に,以下のような問題が生じている。
【0010】
(1)インシデントには,単位時間あたりの検出件数によって,システムへの影響の程度が異なってくるものがある。インシデントの単位時間あたりの検出件数等によって,サービス拒否攻撃という不正アクセスに繋がるものがある。インシデントが,例えば,DOS攻撃,DDOS攻撃等の不正アクセスであると判断するための閾値は,システムの処理能力に応じて異なってくる。この場合に,同一の送信先に対しての時間あたりのインシデントの検出件数を把握する必要があり,集計には多くの時間と労力が必要となる。
【0011】
(2)インシデント・ログには,多くの情報が付加されていて,例えば,発生日時,インシデント名,検出件数,プライオリティ,送信元IPアドレス,送信元ポート番号,送信先IPアドレス,送信先ポート番号,トリガ等の多くの情報が含まれている。したがって,分析に必要な情報を選択して参照する必要があるが,この多数の情報が含まれるインシデント・ログから必要な情報を抽出することは,多くの時間と労力が必要となる。
【0012】
(3)インシデント分析に必要な情報は,インシデントの種類毎に異なるうえ,異なるタイプのセンサが出力するインシデント・ログのフィールド中の同じフィールドに格納されているものではない。インシデント名と,通知や分析用情報の出力のトリガとなる情報が格納されるフィールド名との紐付け等の情報がないため,情報収集に時間を費やしてしまう。
【0013】
(4)インシデントのシステムへの影響度の分析,対策の検討等を行うためには,送信元および送信先の組織情報(例えば,組織名や機器名等)が必要である。しかし,インシデント・ログは,送信元または送信先の組織情報を含まない。そのため,別途,送信元または送信先がどのような組織であるかを調査する必要があり,この調査作業に多くの時間と労力が必要となる。
【0014】
特に,送信元/送信先が監視対象となる自システムの外部である場合に,送信元/送信先の組織情報は,何らかの情報検索サービスを利用して収集しなければならない。
【0015】
さらに,攻撃の対象(送信先)が監視対象となる自システムである場合には,IPアドレスのみによってシステムへの影響の度合いを判別することは困難である。
【0016】
(5)インシデント・ログから,不正アクセスの予兆や未知の攻撃等をいち早く発見するためには,インシデントの検出状況を監視する必要があり,検出状況から不正であるかを判断しなければならない。また,不正アクセス等の手口は決まっておらず,インシデント毎の情報だけでは判断に限界があり,以下のような,複数のインシデントとの関連づけを行い,現状を把握することが必要となる。
【0017】
多種多量のインシデントが混在するインシデント・ログ中から,通常とは異なるインシデントの検出状況を識別して,未知の攻撃等を発見することは,多くの時間と労力が必要となる。
【0018】
(6)インシデント・ログを表示するコンソール画面上では,次々に新しいインシデントが表示されデータが蓄積されていくため,表示されたインシデント・ログを見ながら分析作業を行うことは大変に困難な作業となる。具体的には,表示内容が随時更新されていくコンソール画面上で,インシデント同士の関連づけや優先順位づけを行いながら,全てのインシデントについて漏れなく分析を行うことできない。
【0019】
さらに,365日24時間継続してインシデントの分析を,コンソール画面を見ながら行うことは実際には不可能である。
【0020】
本願発明の目的は,システムへの被害を最小限にとどめるために,システムへの不正アクセスおよび不正アクセスの予兆を発見するため,インシデントの検出と検出状況とを監視し,インシデント・ログの分析処理の処理時間を短縮できる分析用情報を出力するインシデント監視装置,方法,プログラムを実現することである。
【課題を解決するための手段】
【0021】
本発明にかかるインシデント監視装置は,ネットワークに接続するコンピュータシステムで生じるインシデントを監視する装置であって,以下の記憶部および処理部を有する。すなわち,インシデント監視装置は,監視対象のコンピュータシステムの内部で使用される内部IPアドレスと内部IPアドレスの割り当て先とを登録した内部IPアドレス情報を記憶する内部IPアドレス情報記憶部と,コンピュータシステムを監視するセンサが検出したインシデントに関する情報であって,インシデント名と,検出日時と,送信元IPアドレスと,送信先IPアドレスと,センサが付加したインシデントの脅威の程度を示すプライオリティとを含むインシデント・ログ情報を記憶するインシデント・ログ記憶部と,インシデント分析用情報を作成するための作成用情報を記憶する分析用情報記憶部とを備える。
【0022】
さらに,上記のインシデント監視装置は,インシデント・ログ記憶部から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理と,抽出したインシデント・ログ情報をもとに,インシデント名ごとに,時間範囲内でのインシデントの検出件数とプライオリティとをもとに重要度を判定する処理と,インシデント名ごとにインシデントの情報を編集して,インシデント名に対する重要度と編集した情報とを,第1の作成用情報として分析用情報記憶部に格納する処理とを行うイベント監視部を備える。
【0023】
さらに,上記のインシデント監視装置は,インシデント・ログ記憶部から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理と,抽出したインシデント・ログ情報をもとに,インシデント名ごとのインシデントの検出件数と所定の組み合わせ条件における検出件数である該当件数とを計算して,検出件数と該当件数とを所定の閾値と比較する処理と,検出件数または該当件数が閾値以上であるインシデント名について,インシデント名ごとにインシデントの情報を編集し,編集した情報を第2の作成用情報として分析用情報記憶部に格納する処理とを行うイベント検出状況監視部を備える。
【0024】
さらに,上記のインシデント監視装置は,分析用情報記憶部の第1の作成用情報と第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,グローバルIPアドレスの割り当て先を特定する情報を,IPアドレスの割り振りを管轄するインターネットレジストリの管理サーバから取得する割り当て先情報検索部と,第1の作成用情報と第2の作成用情報と割り当て先情報検索部が取得したグローバルIPアドレス割り当て先の情報とを用いて,検出したインシデントに関するインシデント分析用情報を生成して出力する分析用情報生成部とを備える。
【0025】
上記のインシデント監視装置は,イベント監視部によって,センサが検出したイベント・ログのうち,一定の時間範囲内で検出されたインシデントのインシデント・ログ情報から,インシデント名ごとに,インシデントの検出件数とプライオリティとをもとに重要度を判定する。さらに,イベント監視部によって,インシデント名ごとにインシデントの情報を編集して,インシデント名に対する重要度と編集した情報とを,第1の作成用情報として分析用情報記憶部に格納する。
【0026】
さらに,インシデント監視装置は,イベント検出状況監視部によって,一定の時間範囲内で検出されたインシデントのインシデント・ログ情報から,インシデント・ログ情報をもとに,インシデント名ごとのインシデントの検出件数と所定の組み合わせ条件における検出件数である該当件数とを計算して,検出件数と該当件数とを所定の閾値と比較する。そして,検出件数または該当件数が閾値以上であるインシデント名について,インシデント名ごとにインシデントの情報を編集し,編集した情報を第2の作成用情報として分析用情報記憶部に格納する。
【0027】
そして,インシデント監視装置は,インシデント分析用情報の生成中に,割り当て先情報検索部によって,分析用情報記憶部の第1の作成用情報と第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,グローバルIPアドレスの割り当て先を特定する情報を,グローバルIPアドレスの割り振りを管轄するインターネットレジストリの管理サーバから取得する。
【0028】
そして,分析用情報生成部によって,第1の作成用情報と第2の作成用情報と,割り当て先情報検索部が取得したグローバルIPアドレス割り当て先の情報とを用いて,検出したインシデントに関するインシデント分析用情報を生成して出力する。
【0029】
上記のインシデント監視装置は,一定の時間内で検出したインシデントを,その重要度とともに通知することができる。これによって,検出したインシデントの緊急性を管理者に通知することができる。
【0030】
また,インシデント監視装置は,インシデントの検出状況を監視して,検出状況を示す,インシデントの検出件数や該当件数が,一定の閾値を超えた場合に,この検出状況を通知することができる。これによって,一定時間内のインシデントの検出傾向を把握して,インシデントの発生または発生予兆を通知することができる。
【0031】
また,インシデント監視装置は,インシデント・ログ情報に含まれる,送信先または送信元のIPアドレスの割り当て先に関する組織情報(例えば,組織名,団体名等)を取得し,インシデント名単位に纏めたインシデントに関する情報とともに組織情報を格納した分析用情報を生成することができる。
【0032】
これによって,分析用情報から,インシデントが検出されたデータ通信の相手方を特定することができ,インシデントの分析が容易になる。
【発明の効果】
【0033】
上記説明したインシデント監視装置によれば,検出したインシデントの分析処理の処理時間を短縮できるため,監視対象のコンピュータシステムへの被害を最小限にとどめることが可能となる。
【図面の簡単な説明】
【0034】
【図1】本発明の一実施例における,インシデント監視装置が実施されるシステムの構成例を示す図である。
【図2】本発明の一実施例におけるインシデント監視装置の構成例を示す図である。
【図3】インシデント・ログ記憶部に保存されるインシデント・ログの例を示す図である。
【図4】トリガ関連付けテーブルの例を示す図である。
【図5】イベント監視部のワークテーブルの例を示す図である。
【図6】インシデント分析用シートの作成用データの例を示す図である。
【図7】内部IPアドレスリストの例を示す図である。
【図8】検出インシデント一覧のデータ構成例を示す図である。
【図9】検出インシデント一覧表示画面の表示例を示す図である。
【図10】検出インシデント一覧表示画面の検出インシデントの一覧の表示例を示す図である。
【図11】詳細情報のデータ構成例を示す図である。
【図12】検出インシデント詳細情報表示画面の例を示す図である。
【図13】グローバルIPアドレスリストの例を示す図である。
【図14】割り当て先情報の抽出データの例を示す図である。
【図15】内部割り当てテーブルの例を示す図である。
【図16】IPアドレス割り当てテーブルの例を示す図である。
【図17】インシデント分析用シート(左半分)の例を示す図である。
【図18】インシデント分析用シート(右半分)の例を示す図である。
【図19】割り当て先情報検索の応答メッセージの例を示す図である。
【図20】インシデント監視装置の概要処理の処理フロー図である。
【発明を実施するための形態】
【0035】
図1は,本願発明の一実施形態において,インシデント監視装置1が実施されるシステムの構成例を示す図である。
【0036】
インシデント監視装置1は,インシデント・ログ記憶部10にアクセスして,所定の時間範囲内のインシデント・ログを取得し,取得したインシデント・ログを分析して,インシデントの発生または発生の予兆を管理者端末6への所定の画面表示等によって通知し,インシデント分析用情報としてインシデント分析用シート20を出力する。
【0037】
また,インシデント監視装置1は,インターネット4を通じて,グローバルIPアドレスを管理するインターネットレジストリの管理サーバ5へアクセスして,IPアドレスの割り当て先に関する情報(組織情報)を取得する。
【0038】
ここで,インシデントとは,特に不正アクセスに限定するものではなく,単に,通常とは異なる事象(異常事象)をいう。
【0039】
インシデント・ログは,監視対象システムまたは監視対象ネットワーク(以下,単に監視対象という)2に設けられた,IDS,IPS等のセンサ3が検出したインシデントに関する情報である。
【0040】
センサ3は,ネットワークを流れるパケットを監視するNIDS(Network IDS),ホストサーバのログやイベントを監視するHIDS(Host IDS)である。
【0041】
インターネットレジストリとは,インターネットリソース(IPv4,IPv6の両アドレスとAS(自律システム)番号)の割り振りと登録とを管理する組織である。IPアドレス管理の各管轄(国/地域別)のインターネットレジストリの管理サーバ5で「Whois情報検索」を行うことによって,グローバルIPアドレスの割り当て先に関する情報(組織情報)を取得することができる。
【0042】
まず,インシデント監視装置1が実行する処理およびその効果について概説する。
【0043】
1.インシデント監視装置1は,定期的(一定の時間間隔ごと)に,一定の時間範囲(現在から過去に遡った所定の時間範囲)内のインシデント・ログを自動的に検索し,分析が必要な全インシデントの情報を編集して出力する。インシデントの分析用情報は,例えば,1つのインシデント分析用シートとして出力する。
【0044】
これにより,時系列で優先順の高い順に漏れのないインシデントの分析処理が実施できる。
【0045】
2.インシデント監視装置1は,一定の時間範囲内でのインシデントを検索する。これにより,システムへの影響度を考慮した,単位時間あたりの件数の閾値を持つ判断処理を行うことができる。例えば,同一インシデント名であって,同一の送信先または送信元のIPアドレスに対するインシデントの検出件数を集計する。
【0046】
インシデント監視装置1は,インシデントの件数が閾値(ある一定件数)を超えた場合に,例えば管理者端末6へインシデント検出を通知し,そのインシデントの分析情報を編集してインシデント分析用シート20に出力する。
【0047】
インシデント監視装置1は,インシデントの検出件数に応じて,重要度を「正常,警告,異常または要確認」にランクづけを行う。例えば,プライオリティ=Highのインシデントを区別し,重要度=異常として扱い,通知および分析情報に含める。
【0048】
プライオリティは,監視対象2にインシデントが与える脅威の度合いである。プライオリティは,インシデントを検出するセンサ3が,所定のセキュリティ・ポリシーに基づいて判断する。例えば,インシデント名毎に,Low,Medium,Highの値が割り当てられる。Low,Medium,Highは,それぞれ,脅威の度合いが低程度,中程度,高程度である。
【0049】
より具体的には,インシデント監視装置1は,プライオリティと重要度との関係から,インシデントを以下のように扱う。
【0050】
(1)インシデントがプライオリティ=Lowの場合に,重要度=正常として,分析不要と判断する。
【0051】
(2)インシデントがプライオリティ=Mediumの場合に,その重要度を,インシデント名および送信先IPアドレスに対する検出件数等で判断する。検出件数が警告件数未満であれば,重要度=正常として,分析不要と判断する。また,検出件数が警告件数以上かつ異常件数未満であれば,重要度=警告と判断する。また,検出件数が異常件数以上であれば,重要度=異常と判断する。
【0052】
(3)インシデントがプライオリティ=Highの場合に,重要度=異常と判断する。
【0053】
(4)インシデントがプライオリティ=Highであって,かつ明らかに問題ある場合に,重要度=要確認と判断する。
【0054】
3.インシデント監視装置1は,インシデントの分析用情報の一形態であるインシデント分析用シート20に,1次分析に必要な最低限の情報のみを抽出して出力する。また,インシデントを,重要度の高い順,インシデント名,送信先IPアドレス,送信元IPアドレス,検出時間等でソートしてインシデント分析用シートに出力する。これにより,関連するインシデントが纏められるため,分析が容易になる。
【0055】
4.検出したインシデントを,インシデント情報として通知する,または,その分析用情報を作成するかを判定する情報として使用するインシデント・ログ内の情報をトリガ情報という。このトリガ情報は,使用されるインシデント・ログのフィールド(データ項目)がインシデント名毎に異なるうえ,各センサ3が出力するインシデント・ログのフィールド名が異なる。
【0056】
インシデント監視装置1は,インシデント名と,トリガ情報のフィールド名との関連付け情報を持ち,この関連付け情報をもとに,インシデント名ごとに該当するトリガ情報を抽出する。
【0057】
また,インシデント監視装置1は,関連付け情報がないインシデント名について,デフォルト設定として,インシデント・ログの先頭フィールド名のトリガ情報を抽出する。また,対象となるフィールド名が排他的に複数存在するような場合は,関連付け情報として複数のフィールド名を持つようにし,該当するフィールド名を順番に検索して,先に見つかったフィールド名のトリガ情報を抽出する。
【0058】
5.インシデント監視装置1は,インシデント分析用シート20に,監視対象2が加害者か被害者であるかを示すアクセス方向を付加して出力する。
【0059】
インシデント監視装置1は,アクセス方向を,インシデント・ログの送信先IPアドレスおよび送信元IPアドレスに基づいて判定する。
【0060】
アクセス方向は,パケットの送信方向であり,外部から監視対象2への送信(外→内)監視対象2から外部へ送信(内→外),監視対象2内の通信(内→内)のいずれかが格納される。
【0061】
6.インシデント監視装置1は,インシデント分析用シート20に,送信元および送信先のIPアドレスの割り当て先の組織情報を付加して出力する。
【0062】
インシデント監視装置1は,監視対象2に存在するIPアドレスと割り当て先の情報が登録された内部IPアドレス情報を予め保持しておく。また,インシデント監視装置1は,インシデント分析用シート20の編集時に,インシデント・ログ内のグローバルIPアドレスの割り当て先の組織情報を,インターネットレジストリの管理サーバ5での「Whois情報検索」を利用して取得する。
【0063】
7.インシデント監視装置1は,定期的に,一定の時間範囲内の全インシデント(プライオリティに関係なく)を対象として,インシデントの検出件数または所定の条件に該当する検出件数(該当件数)が閾値を超えた場合に,不正アクセスの予兆や未知の攻撃等の発生の可能性ありとして,管理者端末6へ通知し,そのインシデントの情報をインシデント分析用シート20に出力する。
【0064】
ここで,検出件数と該当件数それぞれに対する閾値を設け,以下の条件で集計した値と比較する。
【0065】
閾値は,センサ3によるインシデントの全プライオリティのインシデント名に対する判断条件であり,攻撃を示すようなインシデント,ネットワーク上での異常を示すインシデント等を検出するために,件数が一定の閾値を超えた場合に通知と分析用情報として編集するためのものである。閾値は,全インシデント名を対象とするものと,個別のインシデント名を対象とするものが用意される。
【0066】
(1)同一インシデント名,かつ同一送信先IPアドレス,かつ同一送信元IPアドレスであるインシデントの検出件数,
(2)同一インシデント名,かつ同一送信先IPアドレスであるインシデントの検出件数,
(3)同一インシデント名の検出件数,
(4)同一インシデント名,かつ同一送信先IPアドレス,かつ同一送信元IPアドレスの組み合わせ数,
(5)同一インシデント名,かつ同一送信先IPアドレスの組み合わせ数,
(6)インシデント名の組み合わせ数。
【0067】
8.インシデント監視装置1は,インシデントの分析の要否が判断されるインシデントの検出を,以下の方法で管理者端末6へ通知する。
【0068】
(1)画面表示による通知
インシデント監視装置1は,管理者端末6のコンソール画面に,画面表示による通知として,重要度に対応した色と,文字によるインシデント情報の表示を行う。例えば,重要度=異常であれば,インシデント名と「不正アクセスの可能性あり」の旨の表示を「赤色」で,重要度=警告であれば,インシデント名と「不正アクセスの予兆の可能性あり」の旨の表示を「黄色」で,重要度=正常であれば,「問題なし」の旨の表示を「緑色」で,重要度=要確認であれば,インシデント名と「許可されたものであれば問題なし(通常は明らかに問題のあるインシデント)を示す」の旨の表示を「朱色」で,それぞれ行う。
【0069】
また,インシデント監視装置1は,複数種類の重要度のインシデントが同時に発生した場合には,「異常<警告<正常<要確認」の順で,最も重要度の高いものから表示する。
【0070】
また,インシデント情報のより詳細な内容として,例えば,以下の表示を行う。
【0071】
(a) サマリー表示として,分析が必要なインシデントの一覧を,分析を行う順(例えば重要度の高い順)に,インシデント名および送信先IPアドレスで検出件数を纏めて検出インシデント一覧として表示する。
【0072】
(b) 検出インシデント一覧から,参照したいインシデントが選択されることによって,選択されたインシデント毎の全情報を一覧で表示する。
【0073】
また,1次分析に必要な情報に対して,番号を付けて表示する。
【0074】
また,攻撃の方向としてみなしうる,アクセス方向を表示する。
【0075】
(2)サウンドによる通知
インシデント監視装置1は,インシデント分析が必要な場合(例えば,重要度が正常以外のインシデントがある場合)に,管理者端末6または他の音声出力装置を介して所定のサウンドを出力する。
【0076】
(3)電子メール(E−mail)による通知
インシデント監視装置1は,インシデント分析が必要な場合に,インシデント分析用シート20またはサマリー(例えば,検出インシデント一覧)を電子メールとして管理者端末6または所定の宛先へ送信する。
【0077】
(4)アプリケーションプログラムへのイベント・ログ出力による通知
インシデント監視装置1は,インシデント分析が必要な場合に,例えば,オペレーティングシステムWindowsのアプリケーションプログラム・ログにインシデントのサマリーを出力する。例えば,インシデント監視装置1は,WindowsOSのSNMP通信管理機能によるSNMPトラップを送信し,管理者端末6へインシデント・ログを通知する。
【0078】
(5)アプリケーション起動による通知
インシデント監視装置1は,インシデント分析が必要な場合に,管理者端末6または所定の装置のアプリケーションプログラムを起動する。例えば,警告灯の起動等のアプリケーションを実行する。
【0079】
図2は,本発明の一実施例におけるインシデント監視装置1の構成例を示す図である。
【0080】
インシデント監視装置1は,トリガ関連付け情報記憶部101,内部IPアドレス一覧記憶部102,ローカルIPアドレス情報記憶部103,問い合わせ先記憶部105,分析用情報記憶部106,IPアドレス一覧記憶部108,グローバルIPアドレス情報記憶部109,イベント監視部11,イベント検出状況監視部12,分析用情報生成部13,および割り当て先情報検索部14を備える。
【0081】
トリガ関連付け情報記憶部101は,インシデント名を管理者端末6への通知と,インシデント分析用シート20の生成のトリガ情報と,インシデント・ログのフィールドとの対応付けを示すトリガ関連付け情報(関連付けテーブル)を記憶する記憶部である。
【0082】
内部IPアドレス一覧記憶部102は,監視対象2に存在するIPアドレスの範囲を記録した一覧(内部IPアドレスリスト)を記憶する記憶部である。
【0083】
ローカルIPアドレス情報記憶部103は,監視対象2に存在するローカルIPアドレスと監視対象2で内部IPアドレスとして扱うグローバルIPアドレスとの各々について,割り当て先の装置等を示す情報(内部割り当てテーブル)を記憶する記憶部である。
【0084】
問い合わせ先記憶部105は,インターネットレジストリの管理サーバ5のアドレス情報を記憶する記憶部である。
【0085】
分析用情報記憶部106は,イベント監視部11およびイベント検出状況監視部12が出力したインシデント分析用シート20を作成するための作成用情報を記憶する記憶部である。
【0086】
IPアドレス一覧記憶部108は,インターネットレジストリの管理サーバ5での検索対象となるグローバルIPアドレスの一覧(グローバルIPアドレスリスト)を記憶する記憶部である。
【0087】
グローバルIPアドレス情報記憶部109は,インターネットレジストリの管理サーバ5での検索結果から抽出した,グローバルIPアドレスとその割り当て先の情報との対応情報(IPアドレス割り当てテーブル)を記憶する記憶部である。
【0088】
イベント監視部11は,インシデント・ログ記憶部10から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理と,抽出したインシデント・ログ情報をもとに,インシデント名ごとに,時間範囲内でのインシデントの検出件数とプライオリティとをもとにインシデント・ログを分析して重要度を判定する処理とを行う。
【0089】
また,イベント監視部11は,重要度が高いインシデント名ごとにインシデントの情報を編集し,インシデント名に対する重要度と編集した情報の一部または全部とを管理者端末6の所定の画面に表示する処理と,重要度と編集した情報とを,インシデント分析用シート20の作成用情報として分析用情報記憶部106に格納する処理とを行う。
【0090】
イベント検出状況監視部12は,インシデント・ログ記憶部10から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理と,抽出したインシデント・ログ情報をもとに,インシデント名ごとに,インシデントの検出件数と,所定の組み合わせに該当するインシデントの検出数である該当件数とを計算して,検出件数と該当件数とを所定の閾値と比較する。
【0091】
イベント検出状況監視部12は,計算した検出件数または該当件数が閾値以上であるインシデント名について,インシデント名ごとにインシデントの情報を編集して,この編集した情報の一部または全部を管理者端末6の所定の画面に表示する処理と,この編集した情報を第2の作成用情報として分析用情報記憶部106に格納する処理とを行う。
【0092】
分析用情報生成部13は,分析用情報記憶部106に格納された第1の作成用情報と第2の作成用情報と,割り当て先情報検索部14が取得したグローバルIPアドレスの割り当て先の情報(グローバルIPアドレス情報記憶部109に記憶された情報)とローカルIPアドレス情報記憶部103に記憶された情報を用いて,分析用情報でありインシデント分析用シート20を作成して出力する。
【0093】
割り当て先情報検索部14は,分析用情報記憶部106に格納された第1の作成用情報と第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,内部IPアドレス一覧記憶部102に登録されていないグローバルIPアドレスについての「Whois情報検索」の要求をインターネットレジストリの管理サーバ5へ送信する処理と,管理サーバ5から,検索要求の結果を取得して,グローバルIPアドレスの割り当て先の情報を取得し,グローバルIPアドレスとその割り当て先の情報とをグローバルIPアドレス情報記憶部109へ格納する。
【0094】
以下に,インシデント監視装置1の処理動作を,より詳細に説明する。
【0095】
〔イベント監視処理〕
(1)インシデント・ログの取得
イベント監視部11は,インシデント監視装置1が有するスケジューラ(図2に図示しない)により,検索時間範囲の時間間隔で,インシデント・ログ記憶部10を検索する。
【0096】
図3は,インシデント・ログ記憶部10に保存されるインシデント・ログの例を示す図である。図3(A)は,インシデント・ログの親テーブル200のデータ構成例,図3(B)は,インシデント・ログの子テーブル201のデータ構成例を示す図である。
【0097】
インシデント・ログは,センサ3が検出した情報をインシデント名ごとに蓄積する親テーブル200と,各レコードに対応付けられた,トリガ情報となるテーブルのフィールド名とその格納情報とを蓄積する子テーブル201とを含む。
【0098】
図3(A)のインシデント・ログの親テーブル200は,レコードの識別情報が設定される「レコードID」,インシデントの名称を示す「インシデント名」,インシデントを検出した日時が格納される「検出日時」,検出したセンサ3の名称を示す「センサ名」,センサ3が判定したインシデントのプライオリティが格納される「プライオリティ」,センサ3のIPアドレスが格納される「センサIPアドレス」,インシデントとされたデータ通信の送信元および送信先の情報が格納される「送信元IPアドレス,送信元ポート番号,送信先IPアドレス,および送信先ポート番号」,検出されたインシデントの件数が格納される「件数」,インシデントへの処置動作を示す「レスポンス」等を含む。
【0099】
図3(B)のインシデント・ログの子テーブル201は,「レコードID」,トリガ情報のフィールド名が格納される「属性」,そのフィールドの格納情報である「トリガ情報」等を含む。
【0100】
インシデント・ログの親テーブル200と子テーブル201は,レコードIDによって関連付けられ,親テーブル200と子テーブル201の関係は1対複数(n)でもよい。また,子テーブル201の件数および出力順序は可変である。
【0101】
イベント監視部11は,インシデント・ログ記憶部10から抽出した,検索時間範囲のイベント・ログを,作業用メモリ内のワークテーブルに格納する。イベント監視部11は,インシデント・ログのトリガ情報が格納されるフィールド名がセンサ3によって異なっている場合に,子テーブル201のトリガ関連付け情報記憶部101に記憶されたトリガ関連付けテーブル202を参照して,該当するフィールド名とトリガ情報とを取得してワークテーブルに格納する。
【0102】
図4は,トリガ関連付けテーブル202の例を示す図である。
【0103】
図4のトリガ関連付けテーブル202には,各インシデント名でのトリガ情報が格納される子テーブルの属性(親テーブルのフィールド名)であって,インシデント分析用シート20の詳細情報として出力される情報の対応関係が設定される。
【0104】
トリガ関連付けテーブル202は,「インシデント名」,インシデント分析用シート20に詳細情報1として出力される子テーブル201の属性を示す「Detil1,Detil1W」,同様に詳細情報2として出力される子テーブル201の属性を示す「Detil2,Detil2W」を有する。
【0105】
「Detil1,Detil1W」の順に,子テーブル201が検索され,最初に検索した子レコード201のトリガ情報が,インシデント分析用シート20の詳細情報1へ出力される。また,「Detil2,Detil2W」も同様に処理される。
【0106】
なお,トリガ関連付けテーブル202に登録されていないインシデント名については,子テーブル201の1番目の項目のトリガ情報がインシデント分析用シート20の詳細情報1に出力され,2番目の項目のトリガ情報が詳細情報2に出力されるように処理される。
【0107】
図5は,イベント監視部11のワークテーブルのデータ構成例を示す図である。
【0108】
図5(A)は,インシデント・ログの親レコード200を保持するワークテーブル203の例,図5(B)は,インシデント・ログの子レコード201を保持するワークテーブル204の例を示す。
【0109】
ワークテーブル203は,レコードの識別情報の「レコードID」,インシデントが検出された日時情報の「検出日時」,インシデントの名称である「インシデント名」,センサ3によるプライオリティを示す「プライオリティ」,「送信元IPアドレス」,「送信元ポート」,「送信先IPアドレス」,「送信先ポート」,インシデント・ログを格納したセンサ3を示す「センサIPアドレス」,センサ3の種別(NIDS,HIDS)を示す「センサ種別」,インシデントの検出件数が格納される「件数」,重要度を“警告”と判定する閾値(検出件数)が設定される「警告件数(閾値)」,重要度を“異常”と判定する閾値(検出件数)が設定される「異常件数(閾値)」を有する。
【0110】
ワークテーブル204は,レコードの識別情報の「レコードID」,子テーブル201の属性が格納される「属性」,子テーブル201の対応する属性のトリガ情報が格納される「トリガ情報」,出力される詳細情報の指定(詳細情報1,詳細情報2)を示す「種別」を有する。
【0111】
インシデント監視装置1は,現在から遡った所定時間範囲内に検出したインシデント・ログを処理することによって,24時間,365日にわたって,分析が必要なインシデントの情報を漏れなく編集,出力することができる。
【0112】
(2)インシデントの重要度の決定
イベント監視部11は,抽出したインシデント・ログのインシデント名ごとの重要度を判別するため,以下の処理の順で,インシデントを評価して,最初に一致した条件の重要度を決定する。
【0113】
これにより,インシデント監視装置1は,検索対象の時間範囲におけるインシデント分析の緊急性を区別して出力することができる。
【0114】
処理ST1:インシデントのプライオリティがHigh,かつHIDSのインシデントがあれば,重要度を”要確認”とする。
【0115】
処理ST2:プライオリティがHighのインシデントがあれば,重要度を”異常”とする。
【0116】
処理ST3:プライオリティがMediumで,インシデント名および送信先IPアドレスのインシデントが,個別で指定した異常件数(異常件数=0を除く)以上であれば,重要度を”異常”とする。
【0117】
処理ST4:プライオリティがMediumで,インシデント名および送信先IPアドレスのインシデントが,個別では指定されておらず,全体の異常件数(異常件数=0を除く)以上であれば,重要度を”異常”とする。
【0118】
処理ST5:プライオリティがMediumで,インシデント名および送信先IPアドレスのインシデントが,個別で指定した警告件数(警告件数=0を除く)以上であれば,重要度を”警告”とする。
【0119】
処理ST6:プライオリティがMediumで,インシデント名および送信先IPアドレスのインシデントが,個別では指定されておらず,全体の警告件数(警告件数=0を除く)以上であれば,重要度を”警告”とする。
【0120】
処理ST7:重要度を”正常”とする。
【0121】
(3)重要度および検索範囲の時間帯を画面表示
イベント監視部11は,重要度と検索範囲の時間とを,管理者端末6の画面に表示する。また,決定した重要度に基づいて画面に表示するインシデント名の表示色を変えたり,所定のメッセージを表示したりする。
【0122】
これにより,インシデント監視装置1は,管理者に,検索範囲時間帯のインシデント分析の緊急性と,インシデントの発生時間帯が1目で分かる情報とを提供することができる。
【0123】
イベント監視部11は,決定した重要度に応じて,以下のようにインシデント名の表示色を変え,メッセージを表示する。
【0124】
・重要度が“異常”のインシデント名を「赤色」で表示し,「不正アクセスの可能性あり」を表示する。
【0125】
・重要度が“警告”のインシデント名を「黄色」で表示し,「不正アクセスの予兆」のメッセージを表示する。
【0126】
・重要度が“正常”の場合には,“正常”と「緑色」で表示し,「問題なし」のメッセージを表示する。
【0127】
・重要度が“要確認”のインシデント名を「朱色」で表示し,「許可されたものであれば問題なし(通常は明らかに問題のあるインシデント)」のメッセージを表示する。
【0128】
(4)インシデント分析用情報の出力
イベント監視部11は,重要度が”警告”,”異常”または”要確認”であるインシデントがある場合に,ワークテーブル203のデータをもとに,インシデント分析用シート20を作成するためのデータ(作成用データ)を編集出力し,分析用情報記憶部106に格納する。イベント監視部11が作成する作成用データは,第1の作成用情報に相当する。
【0129】
図6は,作成用データ206のデータ構成例を示す図である。
【0130】
作成用データ206は,「重要度,検出日時,インシデント名,件数,送信元IPアドレス,送信元ポート番号,送信先IPアドレス,送信先ポート番号,プライオリティ,アクセス方向,トリガ情報1,トリガ情報2,レスポンス,センサIPアドレス」等を有する。
【0131】
アクセス方向は,送信先IPアドレス,送信元IPアドレスが,内部IPアドレス(ローカルIPアドレスまたは内部IPアドレスとして登録されたグローバルIPアドレス)であれば"内"と特定され,"内"として特定されたIPアドレス以外のIPアドレスを"外"と特定されて,"外→内","内→外","内→内"または"外→外"のパケット方向が格納される。
【0132】
作成用データ206のレコードの出力順は,重要度の高い順,かつインシデント名,送信先IPアドレス,送信元IPアドレスおよび検出時間の昇順とする。
【0133】
このようにソートすることによって,関連するインシデントを寄せることができ,優先順位の高い順に分析ができるインシデント分析用シート20を作成することができる。
【0134】
より詳しくは,イベント監視部11が,以下の処理を行う。
【0135】
処理ST10:重要度”警告”,”異常”および”要確認”の全インシデントのレコードを編集する。
【0136】
処理ST11:重要度,インシデント名,送信先IPアドレス,送信元IPアドレス,または検出日時(時間)で,インシデントのレコードをソートする。
【0137】
処理ST12:インシデントの親レコード202から,プライオリティ,検出時間,インシデント名,件数,送信元IPアドレス,送信元ポート番号,送信先IPアドレス,送信先ポート番号,レコードID等を抽出する。
【0138】
処理ST13:以下の判断条件をもとに「アクセス方向」を決定する。
【0139】
・送信元IPアドレスまたは送信先IPアドレスが,ローカルIPアドレスまたは内部IPアドレスリスト207に登録してあるIPアドレスであれば,そのIPアドレス側を”内”と特定する。
【0140】
・送信元IPアドレスまたは送信先IPアドレスが内部IPアドレスリスト207に登録されていない場合に,そのIPアドレス側を”外”と特定する。
【0141】
図7は,内部IPアドレス一覧記憶部102に記憶されている内部IPアドレスリスト207の例を示す図である。
【0142】
図7の内部IPアドレスリスト207は,内部IPアドレスの範囲の開始アドレス値を示す「開始IPアドレス」,内部IPアドレスの範囲の終了アドレス値を示す「終了IPアドレス」,範囲の説明である「メモ」を有する。
【0143】
処理ST14:ワークテーブル203のレコードIDと一致するワークテーブル204の全ての子レコードを検索する。
【0144】
レコードが,NIDSタイプのセンサ3からのものである場合には,ワークテーブル204の1番目の子レコードにあるトリガ情報を退避する。そして,2番目以降の子レコードのフィールド名と登録されているフィールド名とが一致した場合に,トリガ情報を退避し直し,作成用データ206の編集出力を行い,次のインシデントを処理する。
【0145】
ワークテーブル203に,ワークテーブル204の子レコードと一致するフィールド名が無い場合に,ワークテーブル204の1番目の子レコードのトリガ情報で作成用データ206の編集出力を行い,次のインシデントを処理する。
【0146】
レコードがHIDSタイプのセンサ3からのものである場合に,トリガ関連付けテーブル202を参照して,インシデント名と一致するフィールド名(2つ)を取得する。そして,登録されているフィールド名(1つ目)で,ワークテーブル204の子レコードを検索し,レコードがあればトリガ情報を退避し,作成用データ206の編集出力を行い,次のインシデントを処理する。
【0147】
さらに,登録されているフィールド名(2つ目)で,ワークテーブル204の子レコードを検索し,レコードがあればトリガ情報を退避し,作成用データ206の編集出力を行い,次のインシデントを処理する。ワークテーブル203のインシデント名と一致するレコードがトリガ関連付けテーブル202に無い場合に,ワークテーブル204の1番目の子レコードにあるトリガ情報を退避し,作成用データ206の編集出力を行い,次のインシデントを処理する。
【0148】
処理ST15:重要度が”警告”,”異常”または”要確認”である場合に,検出インシデント一覧208および各インシデントの詳細情報を,管理者端末6に表示する。
【0149】
インシデント監視装置1は,検出インシデント一覧のようなサマリー情報を自動的に表示することによって,管理者が監視対象2での全体のインシデントの発生状況が確認できる情報を提供することができる。
【0150】
イベント監視部11は,ワークテーブル203をもとに,重要度,インシデント名,または送信先IPアドレスごとに検出件数を合計して,図8に示すような「重要度,インシデント名,件数,送信先IPアドレス」等の情報を含む検出インシデント一覧208を生成する。そして,管理者端末6に,図9に示すような検出インシデント一覧表示画面300を表示して,検出インシデント一覧208を,重要度の高い順,かつインシデント名および送信先IPアドレスの昇順で表示する。
【0151】
イベント監視部11は,図10に示すように,検出インシデント一覧208から生成した,検出インシデント一覧表示部301を含む検出インシデント一覧表示画面300を表示する(図9参照)。
【0152】
また,イベント監視部11は,検出インシデント一覧208の全インシデントの各々について,図11に示すようなデータを含む詳細情報209を生成する。詳細情報209は,検出日時の新しい順に並べられる。
【0153】
イベント監視部11は,図12に示すように,詳細情報209を含む検出インシデント詳細情報表示画面310を生成する。
【0154】
図9の検出インシデント一覧表示画面300の検出インシデント一覧表示部301に表示されたインシデントが選択され,「イベント詳細」ボタン302がクリックされることによって,選択されたインシデントの詳細情報209を表示する検出インシデント詳細情報表示画面310が表示される。
【0155】
検出インシデント詳細情報表示画面310では,インシデント・ログ情報に相当する詳細情報209のうち,1次分析用の情報に番号を付けて表示する。また,攻撃の方向を示唆する「アクセス方向」を表示する。
【0156】
検出インシデント詳細情報表示画面310の,インシデントを選択する選択ボタン群(前方選択ボタン(「<」,「<<」),ジャンプ選択ボタン(GO TO)および後方選択ボタン(「>」,「>>」))311がクリックされることによって,選択されたインシデントの詳細情報209が表示される。
【0157】
これにより,インシデント監視装置1は,管理者が,検出されたインシデントの詳細を分析できる情報を提供することができる。
【0158】
(5)インシデント検出の通知
イベント監視部11は,重要度が”警告”,”異常”または”要確認”である場合に,さらに,所定の通知態様に応じて,検出インシデントを通知する。
【0159】
通知態様がサウンド通知である場合に,管理者端末6または他の音声出力装置で,指定されたWAVEファイルを再生する。
【0160】
また,通知態様が電子メール通知である場合に,件名(Subject)に,「監視端末ID+重要度+検索範囲時間」を設定し,本文に,インシデント分析用シート20の作成用データ206または検出インシデント一覧208と同様な内容を設定したメールメッセージを生成して通知する。
【0161】
また,通知態様がWindowsによるイベント・ログ通知である場合に,検出インシデント一覧208と同様な内容を出力する。
【0162】
また,通知態様がアプリケーション起動である場合に,パトロールランプ等のアプリケーションを起動する。
【0163】
〔イベント検出状況監視処理〕
(1)インシデント・ログの取得
イベント検出状況監視部12は,インシデント監視装置1が有するスケジューラにより,検索時間範囲の時間間隔で,現在から検索時間範囲の時間を過去に遡った時間範囲のインシデント・ログ情報を,インシデント・ログ記憶部10から検索,抽出する。
【0164】
処理の詳細は,イベント監視部11の「インシデント・ログの取得」と同様であるので説明を省略する。
【0165】
(2)インシデント検出状況の判定
イベント検出状況監視部12は,各インシデント名について,インシデントの発生件数および所定の組み合わせの条件に該当する検出件数(該当件数)とそれぞれに対する所定の閾値とを比較する。
【0166】
これにより,インシデント監視装置1は,管理者が,インシデントの検出傾向が通常と異なっているかを確認できる情報を,インシデント名単位の件数とインシデント組み合わせ数で,提供することができる。
【0167】
イベント検出状況監視部12は,以下の場合に,インシデント分析用シート20の作成用データ210を編集して,分析用情報記憶部106に出力する。作成用データ210は,図6に示す作成用データ206と同様のデータを含むものとする。また,作成用データ210は,イベント検出状況監視部12が編集出力する第2の作成用情報に相当する。
【0168】
・同一インシデント名かつ同一送信先IPアドレスかつ同一送信元IPアドレスであるインシデントの発生件数が,閾値を超えている場合,
・同一インシデント名かつ同一送信先IPアドレスの件数で閾値を超えている場合,
・同一インシデント名の件数で閾値を超えている場合,
・同一インシデント名かつ同一送信先IPアドレスかつ同一送信元IPアドレスの組み合わせ数が閾値を超えている場合,
・同一インシデント名かつ同一送信先IPアドレスの組み合わせ数が閾値を超えている場合,
・インシデント名の組み合わせ数が閾値を超えている場合。
【0169】
(3)インシデント検出状況の通知
イベント検出状況監視部12は,インシデントの検出状況(検出件数または該当件数)が閾値を超えている場合に,所定の通知態様に応じて,インシデント検出状況を通知する。
【0170】
通知態様が表示通知である場合に,管理者端末6の画面に,閾値を超えたインシデントの情報を示すポップアップウィンドウを表示して通知する。
【0171】
また,通知態様がサウンド通知の場合に,管理者端末6または他の音声出力装置で,指定されたWAVEファイルを再生する。
【0172】
また,通知態様が電子メール通知である場合に,件名(Subject)に,「イベント警告+監視端末ID+検索範囲時間」を設定し,本文に,インシデント分析用シート20の作成用データ210と同様な内容を設定したメールメッセージを生成して通知する。
【0173】
また,通知態様が,Windowsによるイベント・ログ通知である場合に,インシデント分析用シート20の作成用データ210と同様な内容を出力する。
【0174】
また,通知態様がアプリケーション起動である場合に,パトロールランプ等のアプリケーションを起動する。
【0175】
〔インシデントの分析用情報の生成処理〕
(1)インシデント分析用シート20の作成用データの取得
分析用情報生成部13は,分析用情報記憶部106から,インシデント分析用シート20の作成用データ206,210を取得する。
【0176】
(2)グローバルIPアドレスの割り当て先の取得
分析用情報生成部13は,インシデント分析用シート20の作成用データ206,210が含む送信元IPアドレスおよび送信先IPアドレスから,グローバルIPアドレスを抽出して,図13に示すようなグローバルIPアドレスリスト211を作成して,IPアドレス一覧記憶部108に格納する。
【0177】
さらに,分析用情報生成部13は,IPアドレス一覧記憶部108を介して,グローバルIPアドレスリスト211を割り当て先情報検索部14に渡して,割り当て先情報検索部14の検索処理の完了を待ち合わせ,図14に示すような,各グローバルIPアドレスの割り当て先の情報(組織名等)を含む検索結果の抽出データ212を取得する。
【0178】
検索結果の抽出データ212は,検索対象のグローバルIPアドレスを示す「IPアドレス」,検索結果から得た割り当て先を示す「組織名」,検索対象のグローバルIPアドレスが割り振られている国または地域を示す「国名コード」,検索先のインターネットレジストリを示す「インターネットレジストリ」,割り振られたIPアドレスの範囲を示す「IPアドレス範囲」等を含む。
【0179】
なお,割り当て先情報検索部14の処理は,後述する。
【0180】
これにより,インシデント監視装置1は,グローバルIPアドレスに対する最新の組織名を付加したインシデント分析用シート20を管理者へ提供することができる。
【0181】
(3)インシデント分析用情報の生成
分析用情報生成部13は,分析用情報記憶部106の作成用データ206,210を編集して,各インシデントのインシデント分析用シート用データを生成する。インシデント分析用シート用データは,図17および図18に示すインシデント分析用シート20の中間データである。
【0182】
分析用情報生成部13は,作成用データ206,210の送信元IPアドレスおよび送信先IPアドレスの各々について,IPアドレスの割り当て先の情報(組織名,装置名等)を得て,インシデント分析シート用データの該当するフィールドに格納する。
【0183】
インシデント分析用シート20に,IPアドレスに対する情報を付加することによって,インシデント分析が行いやすくなる情報を提供することができる。
【0184】
より詳しくは,分析用情報生成部13は,送信元IPアドレスおよび送信先IPアドレスに対して,以下の処理を行う。
【0185】
処理ST30:内部割り当てテーブル213を検索して,送信元IPアドレス/送信先IPアドレスに該当するIPアドレスが,内部割り当てテーブル213に存在する場合には,該当したIPアドレスのユーザ名(機器名等)をインシデント分析用シート用データの「送信元名」または「送信先名」に格納する。
【0186】
図15は,内部割り当てテーブル213の例を示す図である。内部割り当てテーブル213は,監視対象2の内部に存在するIPアドレスを示す「SourceAddressName」,IPアドレスが割り当てられた装置を示す「ユーザ名」を含む。
【0187】
処理ST31:送信元IPアドレス/送信先IPアドレスに該当するIPアドレスが,内部割り当てテーブル213に存在しない場合には,IPアドレス割り当てテーブル214を検索する。送信元IPアドレス/送信先IPアドレスに該当するIPアドレスが,IPアドレス割り当てテーブル214に存在する場合には,該当したIPアドレスのユーザ名(組織名)をインシデント分析用シート用データの「送信元名」または「送信先名」に格納する。
【0188】
図16は,IPアドレス割り当てテーブル214の例を示す図である。
【0189】
IPアドレス割り当てテーブル214は,グローバルIPアドレスを示す「SourceAddressName」,グローバルIPアドレスが割り当てられた組織等を示す「ユーザ名」を含む。
【0190】
処理ST32:送信元IPアドレス/送信先IPアドレスに該当するIPアドレスが,IPアドレス割り当てテーブル214に存在しない場合には,インシデント分析用シート用データの「送信元名」または「送信先名」を空欄にする。
【0191】
さらに,分析用情報生成部13は,インシデント分析用シート20の重要度のうち,重要度が”異常”かつプライオリティが”High”である場合に,その重要度の両脇に”《》”を付けて,”《異常》”とする。重要度が“異常”かつプライオリティが”Medium”であるインシデントと区別するためである。
【0192】
さらに,分析用情報生成部13は,全インシデントのインシデント分析用シート用データをインシデント分析用シート20の出力形式に編集して,ファイル名を「監視端末ID+”イベント報告”/”イベント警告”+検索範囲時間」として作成する。
【0193】
図17および図18は,インシデント分析用シート20の例を示す図である。図17は,1枚のシートとして出力されるインシデント分析用シート20の左半分の部分であり,図18は,同じく右半分の部分であって,図17のインシデント分析用シート20の右端は,図18のインシデント分析用シート20の左端と連結した状態で出力される。
【0194】
インシデント分析用シート20は,レコード番号を示す「項番」,重要度を示す「アラート」,検出日時を示す「日付」,「インシデント名」,検出件数を示す「件数」と,「送信元IP,送信元名,送信元ポート,送信先IP,送信先名,送信先ポート,アクセス方向,詳細情報1」のインシデントの内容に関する情報と,検出したセンサ3を特定する「センサIP/アダプタ」,インシデントが解決済みとなったことを記入する「解決済」欄等を含む。
【0195】
(4)インシデント分析情報の出力
分析用情報生成部13は,インシデント分析用シート20のファイル出力を行う。また,分析用情報生成部13は,インシデント分析用シート20の印刷が要求されている場合には,インシデント分析用シート20のプリンタ出力を行う。
【0196】
また,インシデント分析用シート20の電子メールによる送信が要求されている場合には,インシデント分析用シート20のデータファイルを添付したメールメッセージを生成し,件名(Subject)に「”インシデント・シート”/”イベント警告”+”の送付”+検索範囲時間」を設定し,本文には「監視端末ID+”における”+検索範囲時間+”インシデント・シート”/”イベント警告”+”の送付”」を設定したメールメッセージを生成して送信する。
【0197】
また,インシデント分析用シート20の印刷出力またはメール送信が要求されていない場合には,管理者端末6のコンソール画面にインシデント分析用シート20の作成完了を通知するポップアップ画面を表示する。
【0198】
〔割り当て先情報検索処理〕
割り当て先情報検索部14は,分析用情報生成部13によって格納されたグローバルIPアドレスリスト211を,IPアドレス一覧記憶部108から取り出して,グローバルIPアドレスリスト211から,ローカルIPアドレス,正当ではないIPアドレス,重複するIPアドレスを削除する。
【0199】
割り当て先情報検索部14は,検索対象のIPアドレスを1件ずつ読み込み,問い合わせ先記憶部105を参照して,IPアドレスの値をもとに「Whois情報検索」を行うインターネットレジストリの管理サーバ5の問い合わせ先(IPアドレス)を特定する。そして,取得した問い合わせ先に,読み込んだIPアドレスのWhois情報検索を行う。問い合わせ内容は,対象のIPアドレスに対する全情報(親,子,孫など複数ブロックの応答)とする。
【0200】
割り当て先情報検索部14は,インターネットレジストリの管理サーバ5から,図19に示すような応答メッセージを受け取ると,応答メッセージから,「IPアドレス,組織名および国名コード(ISO 3166−1の2文字)」を抽出して編集し,図14に示す抽出データ(中間ファイル)212に出力する。
【0201】
なお,応答メッセージの情報の範囲(ブロックの長さ)を得るために,フォーマットを特定する。特定の方法は,インターネットレジストリの管理サーバ5をもとにフォーマットを絞り込み,さらに複数パターンからマッチするフォーマットを見つけて,ブロック長を得る。さらに,応答メッセージ中の特定の文字列(複数パターンあり)をキーワード検索して,IPアドレス,組織名,国名コード等の位置を特定し,抽出する。
【0202】
割り当て先情報検索部14は,グローバルIPアドレスリスト211の全IPアドレスの問い合わせが完了した後,応答メッセージから抽出した抽出データ212の内容で,グローバルIPアドレス情報記憶部109のIPアドレス割り当てテーブル214を更新する。
【0203】
図20は,インシデント監視装置1の概要処理の処理フロー図である。
【0204】
インシデント監視装置1の各処理部が所定のパラメータを取得して初期化処理を行うと(ステップS100),イベント監視部11およびイベント検出状況監視部12は,インシデント・ログ記憶部10から,定期的に,一定時間範囲のインシデント・ログを収集する(ステップS101)。
【0205】
イベント監視部11は,収集したインシデント・ログの各インシデント名について,発生件数とインシデントのプライオリティから重要度を決定する(ステップS102)。そして,イベント監視部11は,インシデント・ログの検索時間範囲と,決定した重要度に応じた表示色によって,インシデント名とメッセージとを表示する(ステップS103)。
【0206】
さらに,イベント監視部11は,決定した重要度に“正常”以外の重要度があるかを判定して(ステップS104),“正常”以外の重要度があれば(ステップS104のY),重要度が“正常”以外のインシデントについてインシデント情報を編集し(ステップS105),編集したインシデント情報を管理者端末6に表示して,所定の通知を行う(ステップS106)。
【0207】
イベント検出状況監視部12は,収集したインシデント・ログの各インシデントの検出件数と,所定の組み合わせによる検出である該当件数とを計算し,計算した検出件数または該当件数が所定の閾値を超える検出状況があるかを判定する(ステップS107)。発生件数または該当件数が閾値を超える検出状況があれば(ステップS107のY),閾値を超過したインシデントについてインシデント情報を編集し(ステップS108),編集したインシデント情報を管理者端末6に表示して,所定の通知を行う(ステップS109)。
【0208】
さらに,分析用情報生成部13は,重要度が“正常”ではないインシデントと,閾値を超える検出状況に関連するインシデントとについて編集されたインシデント情報をもとに,分析用情報を編集する(ステップS110)。ステップS110の編集処理の間,割り当て先情報検索部14が,インシデント情報に含まれるグローバルIPアドレスの割り当て先の情報について,インターネットレジストリの管理サーバ5で検索を行い,その応答結果を取得して,グローバルIPアドレス情報を更新する(ステップS111)。
【0209】
分析用情報生成部13は,編集した分析用情報(インシデント分析用シート20)を出力する(ステップS112)。
【0210】
そして,割り込みが終了でなければ(ステップS113のN),ステップS101の処理へ戻り,割り込みが終了であれば(ステップS113のY),処理を終了する。
【0211】
以上のとおり,本実施例に示されるように,インシデント監視装置1によって得られる効果を簡単に説明すれば,以下のとおりである。
【0212】
・ 多種多量に検出され続けるインシデントに対して,インシデントを優先順位の高い順に漏れなく自動的に編集出力でき,プライオリティの高いインシデントの見逃しを防ぐことができる。
【0213】
・ 常時,インシデントの発生の確認をする必要がなく,定期的に一定時間範囲を対象に分析対象のインシデントのみを纏めて自動通知を行える。
【0214】
・ 最上位の重要度を通知することで,発生したインシデントに対する緊急性が分かりやすくなる。
【0215】
・ インシデント毎に重要度を,例えば,「正常,警告,異常および要確認」の4段階で通知することによって,分析対象の優先順位が分かりやすい。
【0216】
・ インシデントの種類毎に,単位時間あたりの検出件数をもとに,正常,警告,異常の3段階で通知することによって,分析対象の優先順位が分かりやすい。
【0217】
・ インシデントの種類毎に異なる,1次分析処理に必要な情報のみを抽出して出力することができ,分析が容易になる。
【0218】
・ 一定の時間範囲内に発生したインシデントについて,インシデント名/送信先/送信元/検出時間でソート出力することができ,関連するインシデントが纏められ,分析が容易になる。
【0219】
・ 送信元/送信先のIPアドレスについての最新の組織情報(組織名等),攻撃の方向等を自動的に付与することができ,分析が容易になる。
【0220】
・ インターネットレジストリの問い合わせ先を意識することなく,単にデータベースを検索すれば最新の組織名等を取得することができ,レポート作成処理の処理時間を短縮することができる。
【0221】
・ 同一送信先に対するインシデント発生状況を,定期的に一定の時間範囲において分析し,平時と異なる場合にその状況を通知することができるため,不正アクセスの予兆等を早期に見つけることができる。
【0222】
また,本発明にかかるインシデント監視装置1は,プログラムがコンピュータにより読み取られ実行され,インシデント監視装置1が有する各処理部が実現されることによって構築することができる。このプログラムは,コンピュータが読み取り可能な,可搬媒体メモリ,半導体メモリ,ハードディスクなどの適当な記録媒体に格納することができ,これらの記録媒体に記録して提供される。または,このプログラムは,通信インタフェースを介して種々の通信網を利用した送受信により提供される。
【符号の説明】
【0223】
1 インシデント監視装置
10 インシデント・ログ記憶部
11 イベント監視部
12 イベント検出状況監視部
13 分析用情報生成部
14 割り当て先情報検索部
101 トリガ関連付け情報記憶部
102 内部IPアドレス一覧記憶部
103 ローカルIPアドレス情報記憶部
105 問い合わせ先記憶部
106 分析用情報記憶部
108 IPアドレス一覧記憶部
109 グローバルIPアドレス情報記憶部
20 インシデント分析用シート
2 監視対象
3 センサ
4 インターネット
5 インターネットレジストリの管理サーバ
6 管理者端末
【技術分野】
【0001】
本発明は,コンピュータシステムへの不正アクセスを検出するために,ネットワークに接続するコンピュータシステムでのインシデントの発生を監視して,インシデント検出の通知と,インシデントの分析用情報の出力とを行うインシデント監視装置,方法,プログラムに関する。
【背景技術】
【0002】
コンピュータ間のデータ通信,コンピュータでのイベントを監視してセキュリティ上問題となる事象(セキュリティ・インシデント)を検出する不正侵入検知装置(IDS),不正侵入防御装置(IPS)等が知られている。
【0003】
また,監視対象システムとネットワークとの間に設けたファイアウォールで通信ログを収集し,収集した通信ログを解析してセキュリティ・インシデントを検出し,検出したセキュリティ・インシデントに関するアドバイス情報を所定の宛先に通知して,閲覧可能な状態にする監視装置が知られている(例えば,特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−295232号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
上記のIDS,IPS等の検出装置(以下,センサ)で検出される,通常と異なる事象(以下,インシデントという)は,多種多様であるうえ,監視対象のコンピュータシステムに対する脅威の度合いも異なっている。したがって,検出されたインシデントがシステムへ与える影響を分析して,脅威が大きいインシデントに対する対処を優先的に行えるようにする必要がある。
【0006】
また,上記のIDS,IPS等によって監視対象のシステムへの不正アクセスを発見し,システムへの影響を最小限に抑制するための対処を行うには,検出されたインシデントを迅速に分析する必要がある。
【0007】
しかし,センサからは,随時,システムへの影響の無いインシデントを含めて,多種多量かつシステムへの脅威の程度が異なるインシデントが検出され続ける。このような状況下において,システムへの影響が大きいと考えられるインシデントを優先しながら,全てのインシデントに対して分析処理を行うことは困難である。
【0008】
また,多くのインシデントは,通知されたインシデント名だけではシステムへの影響の度合いが判別できず,より詳細な分析処理として,例えば,攻撃の方向,単位時間あたりのインシデント検出件数,トリガと攻撃対象の脆弱性との関連性等の確認を行う作業が必要である。しかし,センサが出力する多種多量のインシデントが混在するインシデントのログ情報(インシデント・ログ)から,プライオリティに応じた優先順位でインシデントを分析することは,多くの時間と労力が必要となる。
【0009】
従来のインシデント分析の際に,以下のような問題が生じている。
【0010】
(1)インシデントには,単位時間あたりの検出件数によって,システムへの影響の程度が異なってくるものがある。インシデントの単位時間あたりの検出件数等によって,サービス拒否攻撃という不正アクセスに繋がるものがある。インシデントが,例えば,DOS攻撃,DDOS攻撃等の不正アクセスであると判断するための閾値は,システムの処理能力に応じて異なってくる。この場合に,同一の送信先に対しての時間あたりのインシデントの検出件数を把握する必要があり,集計には多くの時間と労力が必要となる。
【0011】
(2)インシデント・ログには,多くの情報が付加されていて,例えば,発生日時,インシデント名,検出件数,プライオリティ,送信元IPアドレス,送信元ポート番号,送信先IPアドレス,送信先ポート番号,トリガ等の多くの情報が含まれている。したがって,分析に必要な情報を選択して参照する必要があるが,この多数の情報が含まれるインシデント・ログから必要な情報を抽出することは,多くの時間と労力が必要となる。
【0012】
(3)インシデント分析に必要な情報は,インシデントの種類毎に異なるうえ,異なるタイプのセンサが出力するインシデント・ログのフィールド中の同じフィールドに格納されているものではない。インシデント名と,通知や分析用情報の出力のトリガとなる情報が格納されるフィールド名との紐付け等の情報がないため,情報収集に時間を費やしてしまう。
【0013】
(4)インシデントのシステムへの影響度の分析,対策の検討等を行うためには,送信元および送信先の組織情報(例えば,組織名や機器名等)が必要である。しかし,インシデント・ログは,送信元または送信先の組織情報を含まない。そのため,別途,送信元または送信先がどのような組織であるかを調査する必要があり,この調査作業に多くの時間と労力が必要となる。
【0014】
特に,送信元/送信先が監視対象となる自システムの外部である場合に,送信元/送信先の組織情報は,何らかの情報検索サービスを利用して収集しなければならない。
【0015】
さらに,攻撃の対象(送信先)が監視対象となる自システムである場合には,IPアドレスのみによってシステムへの影響の度合いを判別することは困難である。
【0016】
(5)インシデント・ログから,不正アクセスの予兆や未知の攻撃等をいち早く発見するためには,インシデントの検出状況を監視する必要があり,検出状況から不正であるかを判断しなければならない。また,不正アクセス等の手口は決まっておらず,インシデント毎の情報だけでは判断に限界があり,以下のような,複数のインシデントとの関連づけを行い,現状を把握することが必要となる。
【0017】
多種多量のインシデントが混在するインシデント・ログ中から,通常とは異なるインシデントの検出状況を識別して,未知の攻撃等を発見することは,多くの時間と労力が必要となる。
【0018】
(6)インシデント・ログを表示するコンソール画面上では,次々に新しいインシデントが表示されデータが蓄積されていくため,表示されたインシデント・ログを見ながら分析作業を行うことは大変に困難な作業となる。具体的には,表示内容が随時更新されていくコンソール画面上で,インシデント同士の関連づけや優先順位づけを行いながら,全てのインシデントについて漏れなく分析を行うことできない。
【0019】
さらに,365日24時間継続してインシデントの分析を,コンソール画面を見ながら行うことは実際には不可能である。
【0020】
本願発明の目的は,システムへの被害を最小限にとどめるために,システムへの不正アクセスおよび不正アクセスの予兆を発見するため,インシデントの検出と検出状況とを監視し,インシデント・ログの分析処理の処理時間を短縮できる分析用情報を出力するインシデント監視装置,方法,プログラムを実現することである。
【課題を解決するための手段】
【0021】
本発明にかかるインシデント監視装置は,ネットワークに接続するコンピュータシステムで生じるインシデントを監視する装置であって,以下の記憶部および処理部を有する。すなわち,インシデント監視装置は,監視対象のコンピュータシステムの内部で使用される内部IPアドレスと内部IPアドレスの割り当て先とを登録した内部IPアドレス情報を記憶する内部IPアドレス情報記憶部と,コンピュータシステムを監視するセンサが検出したインシデントに関する情報であって,インシデント名と,検出日時と,送信元IPアドレスと,送信先IPアドレスと,センサが付加したインシデントの脅威の程度を示すプライオリティとを含むインシデント・ログ情報を記憶するインシデント・ログ記憶部と,インシデント分析用情報を作成するための作成用情報を記憶する分析用情報記憶部とを備える。
【0022】
さらに,上記のインシデント監視装置は,インシデント・ログ記憶部から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理と,抽出したインシデント・ログ情報をもとに,インシデント名ごとに,時間範囲内でのインシデントの検出件数とプライオリティとをもとに重要度を判定する処理と,インシデント名ごとにインシデントの情報を編集して,インシデント名に対する重要度と編集した情報とを,第1の作成用情報として分析用情報記憶部に格納する処理とを行うイベント監視部を備える。
【0023】
さらに,上記のインシデント監視装置は,インシデント・ログ記憶部から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理と,抽出したインシデント・ログ情報をもとに,インシデント名ごとのインシデントの検出件数と所定の組み合わせ条件における検出件数である該当件数とを計算して,検出件数と該当件数とを所定の閾値と比較する処理と,検出件数または該当件数が閾値以上であるインシデント名について,インシデント名ごとにインシデントの情報を編集し,編集した情報を第2の作成用情報として分析用情報記憶部に格納する処理とを行うイベント検出状況監視部を備える。
【0024】
さらに,上記のインシデント監視装置は,分析用情報記憶部の第1の作成用情報と第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,グローバルIPアドレスの割り当て先を特定する情報を,IPアドレスの割り振りを管轄するインターネットレジストリの管理サーバから取得する割り当て先情報検索部と,第1の作成用情報と第2の作成用情報と割り当て先情報検索部が取得したグローバルIPアドレス割り当て先の情報とを用いて,検出したインシデントに関するインシデント分析用情報を生成して出力する分析用情報生成部とを備える。
【0025】
上記のインシデント監視装置は,イベント監視部によって,センサが検出したイベント・ログのうち,一定の時間範囲内で検出されたインシデントのインシデント・ログ情報から,インシデント名ごとに,インシデントの検出件数とプライオリティとをもとに重要度を判定する。さらに,イベント監視部によって,インシデント名ごとにインシデントの情報を編集して,インシデント名に対する重要度と編集した情報とを,第1の作成用情報として分析用情報記憶部に格納する。
【0026】
さらに,インシデント監視装置は,イベント検出状況監視部によって,一定の時間範囲内で検出されたインシデントのインシデント・ログ情報から,インシデント・ログ情報をもとに,インシデント名ごとのインシデントの検出件数と所定の組み合わせ条件における検出件数である該当件数とを計算して,検出件数と該当件数とを所定の閾値と比較する。そして,検出件数または該当件数が閾値以上であるインシデント名について,インシデント名ごとにインシデントの情報を編集し,編集した情報を第2の作成用情報として分析用情報記憶部に格納する。
【0027】
そして,インシデント監視装置は,インシデント分析用情報の生成中に,割り当て先情報検索部によって,分析用情報記憶部の第1の作成用情報と第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,グローバルIPアドレスの割り当て先を特定する情報を,グローバルIPアドレスの割り振りを管轄するインターネットレジストリの管理サーバから取得する。
【0028】
そして,分析用情報生成部によって,第1の作成用情報と第2の作成用情報と,割り当て先情報検索部が取得したグローバルIPアドレス割り当て先の情報とを用いて,検出したインシデントに関するインシデント分析用情報を生成して出力する。
【0029】
上記のインシデント監視装置は,一定の時間内で検出したインシデントを,その重要度とともに通知することができる。これによって,検出したインシデントの緊急性を管理者に通知することができる。
【0030】
また,インシデント監視装置は,インシデントの検出状況を監視して,検出状況を示す,インシデントの検出件数や該当件数が,一定の閾値を超えた場合に,この検出状況を通知することができる。これによって,一定時間内のインシデントの検出傾向を把握して,インシデントの発生または発生予兆を通知することができる。
【0031】
また,インシデント監視装置は,インシデント・ログ情報に含まれる,送信先または送信元のIPアドレスの割り当て先に関する組織情報(例えば,組織名,団体名等)を取得し,インシデント名単位に纏めたインシデントに関する情報とともに組織情報を格納した分析用情報を生成することができる。
【0032】
これによって,分析用情報から,インシデントが検出されたデータ通信の相手方を特定することができ,インシデントの分析が容易になる。
【発明の効果】
【0033】
上記説明したインシデント監視装置によれば,検出したインシデントの分析処理の処理時間を短縮できるため,監視対象のコンピュータシステムへの被害を最小限にとどめることが可能となる。
【図面の簡単な説明】
【0034】
【図1】本発明の一実施例における,インシデント監視装置が実施されるシステムの構成例を示す図である。
【図2】本発明の一実施例におけるインシデント監視装置の構成例を示す図である。
【図3】インシデント・ログ記憶部に保存されるインシデント・ログの例を示す図である。
【図4】トリガ関連付けテーブルの例を示す図である。
【図5】イベント監視部のワークテーブルの例を示す図である。
【図6】インシデント分析用シートの作成用データの例を示す図である。
【図7】内部IPアドレスリストの例を示す図である。
【図8】検出インシデント一覧のデータ構成例を示す図である。
【図9】検出インシデント一覧表示画面の表示例を示す図である。
【図10】検出インシデント一覧表示画面の検出インシデントの一覧の表示例を示す図である。
【図11】詳細情報のデータ構成例を示す図である。
【図12】検出インシデント詳細情報表示画面の例を示す図である。
【図13】グローバルIPアドレスリストの例を示す図である。
【図14】割り当て先情報の抽出データの例を示す図である。
【図15】内部割り当てテーブルの例を示す図である。
【図16】IPアドレス割り当てテーブルの例を示す図である。
【図17】インシデント分析用シート(左半分)の例を示す図である。
【図18】インシデント分析用シート(右半分)の例を示す図である。
【図19】割り当て先情報検索の応答メッセージの例を示す図である。
【図20】インシデント監視装置の概要処理の処理フロー図である。
【発明を実施するための形態】
【0035】
図1は,本願発明の一実施形態において,インシデント監視装置1が実施されるシステムの構成例を示す図である。
【0036】
インシデント監視装置1は,インシデント・ログ記憶部10にアクセスして,所定の時間範囲内のインシデント・ログを取得し,取得したインシデント・ログを分析して,インシデントの発生または発生の予兆を管理者端末6への所定の画面表示等によって通知し,インシデント分析用情報としてインシデント分析用シート20を出力する。
【0037】
また,インシデント監視装置1は,インターネット4を通じて,グローバルIPアドレスを管理するインターネットレジストリの管理サーバ5へアクセスして,IPアドレスの割り当て先に関する情報(組織情報)を取得する。
【0038】
ここで,インシデントとは,特に不正アクセスに限定するものではなく,単に,通常とは異なる事象(異常事象)をいう。
【0039】
インシデント・ログは,監視対象システムまたは監視対象ネットワーク(以下,単に監視対象という)2に設けられた,IDS,IPS等のセンサ3が検出したインシデントに関する情報である。
【0040】
センサ3は,ネットワークを流れるパケットを監視するNIDS(Network IDS),ホストサーバのログやイベントを監視するHIDS(Host IDS)である。
【0041】
インターネットレジストリとは,インターネットリソース(IPv4,IPv6の両アドレスとAS(自律システム)番号)の割り振りと登録とを管理する組織である。IPアドレス管理の各管轄(国/地域別)のインターネットレジストリの管理サーバ5で「Whois情報検索」を行うことによって,グローバルIPアドレスの割り当て先に関する情報(組織情報)を取得することができる。
【0042】
まず,インシデント監視装置1が実行する処理およびその効果について概説する。
【0043】
1.インシデント監視装置1は,定期的(一定の時間間隔ごと)に,一定の時間範囲(現在から過去に遡った所定の時間範囲)内のインシデント・ログを自動的に検索し,分析が必要な全インシデントの情報を編集して出力する。インシデントの分析用情報は,例えば,1つのインシデント分析用シートとして出力する。
【0044】
これにより,時系列で優先順の高い順に漏れのないインシデントの分析処理が実施できる。
【0045】
2.インシデント監視装置1は,一定の時間範囲内でのインシデントを検索する。これにより,システムへの影響度を考慮した,単位時間あたりの件数の閾値を持つ判断処理を行うことができる。例えば,同一インシデント名であって,同一の送信先または送信元のIPアドレスに対するインシデントの検出件数を集計する。
【0046】
インシデント監視装置1は,インシデントの件数が閾値(ある一定件数)を超えた場合に,例えば管理者端末6へインシデント検出を通知し,そのインシデントの分析情報を編集してインシデント分析用シート20に出力する。
【0047】
インシデント監視装置1は,インシデントの検出件数に応じて,重要度を「正常,警告,異常または要確認」にランクづけを行う。例えば,プライオリティ=Highのインシデントを区別し,重要度=異常として扱い,通知および分析情報に含める。
【0048】
プライオリティは,監視対象2にインシデントが与える脅威の度合いである。プライオリティは,インシデントを検出するセンサ3が,所定のセキュリティ・ポリシーに基づいて判断する。例えば,インシデント名毎に,Low,Medium,Highの値が割り当てられる。Low,Medium,Highは,それぞれ,脅威の度合いが低程度,中程度,高程度である。
【0049】
より具体的には,インシデント監視装置1は,プライオリティと重要度との関係から,インシデントを以下のように扱う。
【0050】
(1)インシデントがプライオリティ=Lowの場合に,重要度=正常として,分析不要と判断する。
【0051】
(2)インシデントがプライオリティ=Mediumの場合に,その重要度を,インシデント名および送信先IPアドレスに対する検出件数等で判断する。検出件数が警告件数未満であれば,重要度=正常として,分析不要と判断する。また,検出件数が警告件数以上かつ異常件数未満であれば,重要度=警告と判断する。また,検出件数が異常件数以上であれば,重要度=異常と判断する。
【0052】
(3)インシデントがプライオリティ=Highの場合に,重要度=異常と判断する。
【0053】
(4)インシデントがプライオリティ=Highであって,かつ明らかに問題ある場合に,重要度=要確認と判断する。
【0054】
3.インシデント監視装置1は,インシデントの分析用情報の一形態であるインシデント分析用シート20に,1次分析に必要な最低限の情報のみを抽出して出力する。また,インシデントを,重要度の高い順,インシデント名,送信先IPアドレス,送信元IPアドレス,検出時間等でソートしてインシデント分析用シートに出力する。これにより,関連するインシデントが纏められるため,分析が容易になる。
【0055】
4.検出したインシデントを,インシデント情報として通知する,または,その分析用情報を作成するかを判定する情報として使用するインシデント・ログ内の情報をトリガ情報という。このトリガ情報は,使用されるインシデント・ログのフィールド(データ項目)がインシデント名毎に異なるうえ,各センサ3が出力するインシデント・ログのフィールド名が異なる。
【0056】
インシデント監視装置1は,インシデント名と,トリガ情報のフィールド名との関連付け情報を持ち,この関連付け情報をもとに,インシデント名ごとに該当するトリガ情報を抽出する。
【0057】
また,インシデント監視装置1は,関連付け情報がないインシデント名について,デフォルト設定として,インシデント・ログの先頭フィールド名のトリガ情報を抽出する。また,対象となるフィールド名が排他的に複数存在するような場合は,関連付け情報として複数のフィールド名を持つようにし,該当するフィールド名を順番に検索して,先に見つかったフィールド名のトリガ情報を抽出する。
【0058】
5.インシデント監視装置1は,インシデント分析用シート20に,監視対象2が加害者か被害者であるかを示すアクセス方向を付加して出力する。
【0059】
インシデント監視装置1は,アクセス方向を,インシデント・ログの送信先IPアドレスおよび送信元IPアドレスに基づいて判定する。
【0060】
アクセス方向は,パケットの送信方向であり,外部から監視対象2への送信(外→内)監視対象2から外部へ送信(内→外),監視対象2内の通信(内→内)のいずれかが格納される。
【0061】
6.インシデント監視装置1は,インシデント分析用シート20に,送信元および送信先のIPアドレスの割り当て先の組織情報を付加して出力する。
【0062】
インシデント監視装置1は,監視対象2に存在するIPアドレスと割り当て先の情報が登録された内部IPアドレス情報を予め保持しておく。また,インシデント監視装置1は,インシデント分析用シート20の編集時に,インシデント・ログ内のグローバルIPアドレスの割り当て先の組織情報を,インターネットレジストリの管理サーバ5での「Whois情報検索」を利用して取得する。
【0063】
7.インシデント監視装置1は,定期的に,一定の時間範囲内の全インシデント(プライオリティに関係なく)を対象として,インシデントの検出件数または所定の条件に該当する検出件数(該当件数)が閾値を超えた場合に,不正アクセスの予兆や未知の攻撃等の発生の可能性ありとして,管理者端末6へ通知し,そのインシデントの情報をインシデント分析用シート20に出力する。
【0064】
ここで,検出件数と該当件数それぞれに対する閾値を設け,以下の条件で集計した値と比較する。
【0065】
閾値は,センサ3によるインシデントの全プライオリティのインシデント名に対する判断条件であり,攻撃を示すようなインシデント,ネットワーク上での異常を示すインシデント等を検出するために,件数が一定の閾値を超えた場合に通知と分析用情報として編集するためのものである。閾値は,全インシデント名を対象とするものと,個別のインシデント名を対象とするものが用意される。
【0066】
(1)同一インシデント名,かつ同一送信先IPアドレス,かつ同一送信元IPアドレスであるインシデントの検出件数,
(2)同一インシデント名,かつ同一送信先IPアドレスであるインシデントの検出件数,
(3)同一インシデント名の検出件数,
(4)同一インシデント名,かつ同一送信先IPアドレス,かつ同一送信元IPアドレスの組み合わせ数,
(5)同一インシデント名,かつ同一送信先IPアドレスの組み合わせ数,
(6)インシデント名の組み合わせ数。
【0067】
8.インシデント監視装置1は,インシデントの分析の要否が判断されるインシデントの検出を,以下の方法で管理者端末6へ通知する。
【0068】
(1)画面表示による通知
インシデント監視装置1は,管理者端末6のコンソール画面に,画面表示による通知として,重要度に対応した色と,文字によるインシデント情報の表示を行う。例えば,重要度=異常であれば,インシデント名と「不正アクセスの可能性あり」の旨の表示を「赤色」で,重要度=警告であれば,インシデント名と「不正アクセスの予兆の可能性あり」の旨の表示を「黄色」で,重要度=正常であれば,「問題なし」の旨の表示を「緑色」で,重要度=要確認であれば,インシデント名と「許可されたものであれば問題なし(通常は明らかに問題のあるインシデント)を示す」の旨の表示を「朱色」で,それぞれ行う。
【0069】
また,インシデント監視装置1は,複数種類の重要度のインシデントが同時に発生した場合には,「異常<警告<正常<要確認」の順で,最も重要度の高いものから表示する。
【0070】
また,インシデント情報のより詳細な内容として,例えば,以下の表示を行う。
【0071】
(a) サマリー表示として,分析が必要なインシデントの一覧を,分析を行う順(例えば重要度の高い順)に,インシデント名および送信先IPアドレスで検出件数を纏めて検出インシデント一覧として表示する。
【0072】
(b) 検出インシデント一覧から,参照したいインシデントが選択されることによって,選択されたインシデント毎の全情報を一覧で表示する。
【0073】
また,1次分析に必要な情報に対して,番号を付けて表示する。
【0074】
また,攻撃の方向としてみなしうる,アクセス方向を表示する。
【0075】
(2)サウンドによる通知
インシデント監視装置1は,インシデント分析が必要な場合(例えば,重要度が正常以外のインシデントがある場合)に,管理者端末6または他の音声出力装置を介して所定のサウンドを出力する。
【0076】
(3)電子メール(E−mail)による通知
インシデント監視装置1は,インシデント分析が必要な場合に,インシデント分析用シート20またはサマリー(例えば,検出インシデント一覧)を電子メールとして管理者端末6または所定の宛先へ送信する。
【0077】
(4)アプリケーションプログラムへのイベント・ログ出力による通知
インシデント監視装置1は,インシデント分析が必要な場合に,例えば,オペレーティングシステムWindowsのアプリケーションプログラム・ログにインシデントのサマリーを出力する。例えば,インシデント監視装置1は,WindowsOSのSNMP通信管理機能によるSNMPトラップを送信し,管理者端末6へインシデント・ログを通知する。
【0078】
(5)アプリケーション起動による通知
インシデント監視装置1は,インシデント分析が必要な場合に,管理者端末6または所定の装置のアプリケーションプログラムを起動する。例えば,警告灯の起動等のアプリケーションを実行する。
【0079】
図2は,本発明の一実施例におけるインシデント監視装置1の構成例を示す図である。
【0080】
インシデント監視装置1は,トリガ関連付け情報記憶部101,内部IPアドレス一覧記憶部102,ローカルIPアドレス情報記憶部103,問い合わせ先記憶部105,分析用情報記憶部106,IPアドレス一覧記憶部108,グローバルIPアドレス情報記憶部109,イベント監視部11,イベント検出状況監視部12,分析用情報生成部13,および割り当て先情報検索部14を備える。
【0081】
トリガ関連付け情報記憶部101は,インシデント名を管理者端末6への通知と,インシデント分析用シート20の生成のトリガ情報と,インシデント・ログのフィールドとの対応付けを示すトリガ関連付け情報(関連付けテーブル)を記憶する記憶部である。
【0082】
内部IPアドレス一覧記憶部102は,監視対象2に存在するIPアドレスの範囲を記録した一覧(内部IPアドレスリスト)を記憶する記憶部である。
【0083】
ローカルIPアドレス情報記憶部103は,監視対象2に存在するローカルIPアドレスと監視対象2で内部IPアドレスとして扱うグローバルIPアドレスとの各々について,割り当て先の装置等を示す情報(内部割り当てテーブル)を記憶する記憶部である。
【0084】
問い合わせ先記憶部105は,インターネットレジストリの管理サーバ5のアドレス情報を記憶する記憶部である。
【0085】
分析用情報記憶部106は,イベント監視部11およびイベント検出状況監視部12が出力したインシデント分析用シート20を作成するための作成用情報を記憶する記憶部である。
【0086】
IPアドレス一覧記憶部108は,インターネットレジストリの管理サーバ5での検索対象となるグローバルIPアドレスの一覧(グローバルIPアドレスリスト)を記憶する記憶部である。
【0087】
グローバルIPアドレス情報記憶部109は,インターネットレジストリの管理サーバ5での検索結果から抽出した,グローバルIPアドレスとその割り当て先の情報との対応情報(IPアドレス割り当てテーブル)を記憶する記憶部である。
【0088】
イベント監視部11は,インシデント・ログ記憶部10から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理と,抽出したインシデント・ログ情報をもとに,インシデント名ごとに,時間範囲内でのインシデントの検出件数とプライオリティとをもとにインシデント・ログを分析して重要度を判定する処理とを行う。
【0089】
また,イベント監視部11は,重要度が高いインシデント名ごとにインシデントの情報を編集し,インシデント名に対する重要度と編集した情報の一部または全部とを管理者端末6の所定の画面に表示する処理と,重要度と編集した情報とを,インシデント分析用シート20の作成用情報として分析用情報記憶部106に格納する処理とを行う。
【0090】
イベント検出状況監視部12は,インシデント・ログ記憶部10から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理と,抽出したインシデント・ログ情報をもとに,インシデント名ごとに,インシデントの検出件数と,所定の組み合わせに該当するインシデントの検出数である該当件数とを計算して,検出件数と該当件数とを所定の閾値と比較する。
【0091】
イベント検出状況監視部12は,計算した検出件数または該当件数が閾値以上であるインシデント名について,インシデント名ごとにインシデントの情報を編集して,この編集した情報の一部または全部を管理者端末6の所定の画面に表示する処理と,この編集した情報を第2の作成用情報として分析用情報記憶部106に格納する処理とを行う。
【0092】
分析用情報生成部13は,分析用情報記憶部106に格納された第1の作成用情報と第2の作成用情報と,割り当て先情報検索部14が取得したグローバルIPアドレスの割り当て先の情報(グローバルIPアドレス情報記憶部109に記憶された情報)とローカルIPアドレス情報記憶部103に記憶された情報を用いて,分析用情報でありインシデント分析用シート20を作成して出力する。
【0093】
割り当て先情報検索部14は,分析用情報記憶部106に格納された第1の作成用情報と第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,内部IPアドレス一覧記憶部102に登録されていないグローバルIPアドレスについての「Whois情報検索」の要求をインターネットレジストリの管理サーバ5へ送信する処理と,管理サーバ5から,検索要求の結果を取得して,グローバルIPアドレスの割り当て先の情報を取得し,グローバルIPアドレスとその割り当て先の情報とをグローバルIPアドレス情報記憶部109へ格納する。
【0094】
以下に,インシデント監視装置1の処理動作を,より詳細に説明する。
【0095】
〔イベント監視処理〕
(1)インシデント・ログの取得
イベント監視部11は,インシデント監視装置1が有するスケジューラ(図2に図示しない)により,検索時間範囲の時間間隔で,インシデント・ログ記憶部10を検索する。
【0096】
図3は,インシデント・ログ記憶部10に保存されるインシデント・ログの例を示す図である。図3(A)は,インシデント・ログの親テーブル200のデータ構成例,図3(B)は,インシデント・ログの子テーブル201のデータ構成例を示す図である。
【0097】
インシデント・ログは,センサ3が検出した情報をインシデント名ごとに蓄積する親テーブル200と,各レコードに対応付けられた,トリガ情報となるテーブルのフィールド名とその格納情報とを蓄積する子テーブル201とを含む。
【0098】
図3(A)のインシデント・ログの親テーブル200は,レコードの識別情報が設定される「レコードID」,インシデントの名称を示す「インシデント名」,インシデントを検出した日時が格納される「検出日時」,検出したセンサ3の名称を示す「センサ名」,センサ3が判定したインシデントのプライオリティが格納される「プライオリティ」,センサ3のIPアドレスが格納される「センサIPアドレス」,インシデントとされたデータ通信の送信元および送信先の情報が格納される「送信元IPアドレス,送信元ポート番号,送信先IPアドレス,および送信先ポート番号」,検出されたインシデントの件数が格納される「件数」,インシデントへの処置動作を示す「レスポンス」等を含む。
【0099】
図3(B)のインシデント・ログの子テーブル201は,「レコードID」,トリガ情報のフィールド名が格納される「属性」,そのフィールドの格納情報である「トリガ情報」等を含む。
【0100】
インシデント・ログの親テーブル200と子テーブル201は,レコードIDによって関連付けられ,親テーブル200と子テーブル201の関係は1対複数(n)でもよい。また,子テーブル201の件数および出力順序は可変である。
【0101】
イベント監視部11は,インシデント・ログ記憶部10から抽出した,検索時間範囲のイベント・ログを,作業用メモリ内のワークテーブルに格納する。イベント監視部11は,インシデント・ログのトリガ情報が格納されるフィールド名がセンサ3によって異なっている場合に,子テーブル201のトリガ関連付け情報記憶部101に記憶されたトリガ関連付けテーブル202を参照して,該当するフィールド名とトリガ情報とを取得してワークテーブルに格納する。
【0102】
図4は,トリガ関連付けテーブル202の例を示す図である。
【0103】
図4のトリガ関連付けテーブル202には,各インシデント名でのトリガ情報が格納される子テーブルの属性(親テーブルのフィールド名)であって,インシデント分析用シート20の詳細情報として出力される情報の対応関係が設定される。
【0104】
トリガ関連付けテーブル202は,「インシデント名」,インシデント分析用シート20に詳細情報1として出力される子テーブル201の属性を示す「Detil1,Detil1W」,同様に詳細情報2として出力される子テーブル201の属性を示す「Detil2,Detil2W」を有する。
【0105】
「Detil1,Detil1W」の順に,子テーブル201が検索され,最初に検索した子レコード201のトリガ情報が,インシデント分析用シート20の詳細情報1へ出力される。また,「Detil2,Detil2W」も同様に処理される。
【0106】
なお,トリガ関連付けテーブル202に登録されていないインシデント名については,子テーブル201の1番目の項目のトリガ情報がインシデント分析用シート20の詳細情報1に出力され,2番目の項目のトリガ情報が詳細情報2に出力されるように処理される。
【0107】
図5は,イベント監視部11のワークテーブルのデータ構成例を示す図である。
【0108】
図5(A)は,インシデント・ログの親レコード200を保持するワークテーブル203の例,図5(B)は,インシデント・ログの子レコード201を保持するワークテーブル204の例を示す。
【0109】
ワークテーブル203は,レコードの識別情報の「レコードID」,インシデントが検出された日時情報の「検出日時」,インシデントの名称である「インシデント名」,センサ3によるプライオリティを示す「プライオリティ」,「送信元IPアドレス」,「送信元ポート」,「送信先IPアドレス」,「送信先ポート」,インシデント・ログを格納したセンサ3を示す「センサIPアドレス」,センサ3の種別(NIDS,HIDS)を示す「センサ種別」,インシデントの検出件数が格納される「件数」,重要度を“警告”と判定する閾値(検出件数)が設定される「警告件数(閾値)」,重要度を“異常”と判定する閾値(検出件数)が設定される「異常件数(閾値)」を有する。
【0110】
ワークテーブル204は,レコードの識別情報の「レコードID」,子テーブル201の属性が格納される「属性」,子テーブル201の対応する属性のトリガ情報が格納される「トリガ情報」,出力される詳細情報の指定(詳細情報1,詳細情報2)を示す「種別」を有する。
【0111】
インシデント監視装置1は,現在から遡った所定時間範囲内に検出したインシデント・ログを処理することによって,24時間,365日にわたって,分析が必要なインシデントの情報を漏れなく編集,出力することができる。
【0112】
(2)インシデントの重要度の決定
イベント監視部11は,抽出したインシデント・ログのインシデント名ごとの重要度を判別するため,以下の処理の順で,インシデントを評価して,最初に一致した条件の重要度を決定する。
【0113】
これにより,インシデント監視装置1は,検索対象の時間範囲におけるインシデント分析の緊急性を区別して出力することができる。
【0114】
処理ST1:インシデントのプライオリティがHigh,かつHIDSのインシデントがあれば,重要度を”要確認”とする。
【0115】
処理ST2:プライオリティがHighのインシデントがあれば,重要度を”異常”とする。
【0116】
処理ST3:プライオリティがMediumで,インシデント名および送信先IPアドレスのインシデントが,個別で指定した異常件数(異常件数=0を除く)以上であれば,重要度を”異常”とする。
【0117】
処理ST4:プライオリティがMediumで,インシデント名および送信先IPアドレスのインシデントが,個別では指定されておらず,全体の異常件数(異常件数=0を除く)以上であれば,重要度を”異常”とする。
【0118】
処理ST5:プライオリティがMediumで,インシデント名および送信先IPアドレスのインシデントが,個別で指定した警告件数(警告件数=0を除く)以上であれば,重要度を”警告”とする。
【0119】
処理ST6:プライオリティがMediumで,インシデント名および送信先IPアドレスのインシデントが,個別では指定されておらず,全体の警告件数(警告件数=0を除く)以上であれば,重要度を”警告”とする。
【0120】
処理ST7:重要度を”正常”とする。
【0121】
(3)重要度および検索範囲の時間帯を画面表示
イベント監視部11は,重要度と検索範囲の時間とを,管理者端末6の画面に表示する。また,決定した重要度に基づいて画面に表示するインシデント名の表示色を変えたり,所定のメッセージを表示したりする。
【0122】
これにより,インシデント監視装置1は,管理者に,検索範囲時間帯のインシデント分析の緊急性と,インシデントの発生時間帯が1目で分かる情報とを提供することができる。
【0123】
イベント監視部11は,決定した重要度に応じて,以下のようにインシデント名の表示色を変え,メッセージを表示する。
【0124】
・重要度が“異常”のインシデント名を「赤色」で表示し,「不正アクセスの可能性あり」を表示する。
【0125】
・重要度が“警告”のインシデント名を「黄色」で表示し,「不正アクセスの予兆」のメッセージを表示する。
【0126】
・重要度が“正常”の場合には,“正常”と「緑色」で表示し,「問題なし」のメッセージを表示する。
【0127】
・重要度が“要確認”のインシデント名を「朱色」で表示し,「許可されたものであれば問題なし(通常は明らかに問題のあるインシデント)」のメッセージを表示する。
【0128】
(4)インシデント分析用情報の出力
イベント監視部11は,重要度が”警告”,”異常”または”要確認”であるインシデントがある場合に,ワークテーブル203のデータをもとに,インシデント分析用シート20を作成するためのデータ(作成用データ)を編集出力し,分析用情報記憶部106に格納する。イベント監視部11が作成する作成用データは,第1の作成用情報に相当する。
【0129】
図6は,作成用データ206のデータ構成例を示す図である。
【0130】
作成用データ206は,「重要度,検出日時,インシデント名,件数,送信元IPアドレス,送信元ポート番号,送信先IPアドレス,送信先ポート番号,プライオリティ,アクセス方向,トリガ情報1,トリガ情報2,レスポンス,センサIPアドレス」等を有する。
【0131】
アクセス方向は,送信先IPアドレス,送信元IPアドレスが,内部IPアドレス(ローカルIPアドレスまたは内部IPアドレスとして登録されたグローバルIPアドレス)であれば"内"と特定され,"内"として特定されたIPアドレス以外のIPアドレスを"外"と特定されて,"外→内","内→外","内→内"または"外→外"のパケット方向が格納される。
【0132】
作成用データ206のレコードの出力順は,重要度の高い順,かつインシデント名,送信先IPアドレス,送信元IPアドレスおよび検出時間の昇順とする。
【0133】
このようにソートすることによって,関連するインシデントを寄せることができ,優先順位の高い順に分析ができるインシデント分析用シート20を作成することができる。
【0134】
より詳しくは,イベント監視部11が,以下の処理を行う。
【0135】
処理ST10:重要度”警告”,”異常”および”要確認”の全インシデントのレコードを編集する。
【0136】
処理ST11:重要度,インシデント名,送信先IPアドレス,送信元IPアドレス,または検出日時(時間)で,インシデントのレコードをソートする。
【0137】
処理ST12:インシデントの親レコード202から,プライオリティ,検出時間,インシデント名,件数,送信元IPアドレス,送信元ポート番号,送信先IPアドレス,送信先ポート番号,レコードID等を抽出する。
【0138】
処理ST13:以下の判断条件をもとに「アクセス方向」を決定する。
【0139】
・送信元IPアドレスまたは送信先IPアドレスが,ローカルIPアドレスまたは内部IPアドレスリスト207に登録してあるIPアドレスであれば,そのIPアドレス側を”内”と特定する。
【0140】
・送信元IPアドレスまたは送信先IPアドレスが内部IPアドレスリスト207に登録されていない場合に,そのIPアドレス側を”外”と特定する。
【0141】
図7は,内部IPアドレス一覧記憶部102に記憶されている内部IPアドレスリスト207の例を示す図である。
【0142】
図7の内部IPアドレスリスト207は,内部IPアドレスの範囲の開始アドレス値を示す「開始IPアドレス」,内部IPアドレスの範囲の終了アドレス値を示す「終了IPアドレス」,範囲の説明である「メモ」を有する。
【0143】
処理ST14:ワークテーブル203のレコードIDと一致するワークテーブル204の全ての子レコードを検索する。
【0144】
レコードが,NIDSタイプのセンサ3からのものである場合には,ワークテーブル204の1番目の子レコードにあるトリガ情報を退避する。そして,2番目以降の子レコードのフィールド名と登録されているフィールド名とが一致した場合に,トリガ情報を退避し直し,作成用データ206の編集出力を行い,次のインシデントを処理する。
【0145】
ワークテーブル203に,ワークテーブル204の子レコードと一致するフィールド名が無い場合に,ワークテーブル204の1番目の子レコードのトリガ情報で作成用データ206の編集出力を行い,次のインシデントを処理する。
【0146】
レコードがHIDSタイプのセンサ3からのものである場合に,トリガ関連付けテーブル202を参照して,インシデント名と一致するフィールド名(2つ)を取得する。そして,登録されているフィールド名(1つ目)で,ワークテーブル204の子レコードを検索し,レコードがあればトリガ情報を退避し,作成用データ206の編集出力を行い,次のインシデントを処理する。
【0147】
さらに,登録されているフィールド名(2つ目)で,ワークテーブル204の子レコードを検索し,レコードがあればトリガ情報を退避し,作成用データ206の編集出力を行い,次のインシデントを処理する。ワークテーブル203のインシデント名と一致するレコードがトリガ関連付けテーブル202に無い場合に,ワークテーブル204の1番目の子レコードにあるトリガ情報を退避し,作成用データ206の編集出力を行い,次のインシデントを処理する。
【0148】
処理ST15:重要度が”警告”,”異常”または”要確認”である場合に,検出インシデント一覧208および各インシデントの詳細情報を,管理者端末6に表示する。
【0149】
インシデント監視装置1は,検出インシデント一覧のようなサマリー情報を自動的に表示することによって,管理者が監視対象2での全体のインシデントの発生状況が確認できる情報を提供することができる。
【0150】
イベント監視部11は,ワークテーブル203をもとに,重要度,インシデント名,または送信先IPアドレスごとに検出件数を合計して,図8に示すような「重要度,インシデント名,件数,送信先IPアドレス」等の情報を含む検出インシデント一覧208を生成する。そして,管理者端末6に,図9に示すような検出インシデント一覧表示画面300を表示して,検出インシデント一覧208を,重要度の高い順,かつインシデント名および送信先IPアドレスの昇順で表示する。
【0151】
イベント監視部11は,図10に示すように,検出インシデント一覧208から生成した,検出インシデント一覧表示部301を含む検出インシデント一覧表示画面300を表示する(図9参照)。
【0152】
また,イベント監視部11は,検出インシデント一覧208の全インシデントの各々について,図11に示すようなデータを含む詳細情報209を生成する。詳細情報209は,検出日時の新しい順に並べられる。
【0153】
イベント監視部11は,図12に示すように,詳細情報209を含む検出インシデント詳細情報表示画面310を生成する。
【0154】
図9の検出インシデント一覧表示画面300の検出インシデント一覧表示部301に表示されたインシデントが選択され,「イベント詳細」ボタン302がクリックされることによって,選択されたインシデントの詳細情報209を表示する検出インシデント詳細情報表示画面310が表示される。
【0155】
検出インシデント詳細情報表示画面310では,インシデント・ログ情報に相当する詳細情報209のうち,1次分析用の情報に番号を付けて表示する。また,攻撃の方向を示唆する「アクセス方向」を表示する。
【0156】
検出インシデント詳細情報表示画面310の,インシデントを選択する選択ボタン群(前方選択ボタン(「<」,「<<」),ジャンプ選択ボタン(GO TO)および後方選択ボタン(「>」,「>>」))311がクリックされることによって,選択されたインシデントの詳細情報209が表示される。
【0157】
これにより,インシデント監視装置1は,管理者が,検出されたインシデントの詳細を分析できる情報を提供することができる。
【0158】
(5)インシデント検出の通知
イベント監視部11は,重要度が”警告”,”異常”または”要確認”である場合に,さらに,所定の通知態様に応じて,検出インシデントを通知する。
【0159】
通知態様がサウンド通知である場合に,管理者端末6または他の音声出力装置で,指定されたWAVEファイルを再生する。
【0160】
また,通知態様が電子メール通知である場合に,件名(Subject)に,「監視端末ID+重要度+検索範囲時間」を設定し,本文に,インシデント分析用シート20の作成用データ206または検出インシデント一覧208と同様な内容を設定したメールメッセージを生成して通知する。
【0161】
また,通知態様がWindowsによるイベント・ログ通知である場合に,検出インシデント一覧208と同様な内容を出力する。
【0162】
また,通知態様がアプリケーション起動である場合に,パトロールランプ等のアプリケーションを起動する。
【0163】
〔イベント検出状況監視処理〕
(1)インシデント・ログの取得
イベント検出状況監視部12は,インシデント監視装置1が有するスケジューラにより,検索時間範囲の時間間隔で,現在から検索時間範囲の時間を過去に遡った時間範囲のインシデント・ログ情報を,インシデント・ログ記憶部10から検索,抽出する。
【0164】
処理の詳細は,イベント監視部11の「インシデント・ログの取得」と同様であるので説明を省略する。
【0165】
(2)インシデント検出状況の判定
イベント検出状況監視部12は,各インシデント名について,インシデントの発生件数および所定の組み合わせの条件に該当する検出件数(該当件数)とそれぞれに対する所定の閾値とを比較する。
【0166】
これにより,インシデント監視装置1は,管理者が,インシデントの検出傾向が通常と異なっているかを確認できる情報を,インシデント名単位の件数とインシデント組み合わせ数で,提供することができる。
【0167】
イベント検出状況監視部12は,以下の場合に,インシデント分析用シート20の作成用データ210を編集して,分析用情報記憶部106に出力する。作成用データ210は,図6に示す作成用データ206と同様のデータを含むものとする。また,作成用データ210は,イベント検出状況監視部12が編集出力する第2の作成用情報に相当する。
【0168】
・同一インシデント名かつ同一送信先IPアドレスかつ同一送信元IPアドレスであるインシデントの発生件数が,閾値を超えている場合,
・同一インシデント名かつ同一送信先IPアドレスの件数で閾値を超えている場合,
・同一インシデント名の件数で閾値を超えている場合,
・同一インシデント名かつ同一送信先IPアドレスかつ同一送信元IPアドレスの組み合わせ数が閾値を超えている場合,
・同一インシデント名かつ同一送信先IPアドレスの組み合わせ数が閾値を超えている場合,
・インシデント名の組み合わせ数が閾値を超えている場合。
【0169】
(3)インシデント検出状況の通知
イベント検出状況監視部12は,インシデントの検出状況(検出件数または該当件数)が閾値を超えている場合に,所定の通知態様に応じて,インシデント検出状況を通知する。
【0170】
通知態様が表示通知である場合に,管理者端末6の画面に,閾値を超えたインシデントの情報を示すポップアップウィンドウを表示して通知する。
【0171】
また,通知態様がサウンド通知の場合に,管理者端末6または他の音声出力装置で,指定されたWAVEファイルを再生する。
【0172】
また,通知態様が電子メール通知である場合に,件名(Subject)に,「イベント警告+監視端末ID+検索範囲時間」を設定し,本文に,インシデント分析用シート20の作成用データ210と同様な内容を設定したメールメッセージを生成して通知する。
【0173】
また,通知態様が,Windowsによるイベント・ログ通知である場合に,インシデント分析用シート20の作成用データ210と同様な内容を出力する。
【0174】
また,通知態様がアプリケーション起動である場合に,パトロールランプ等のアプリケーションを起動する。
【0175】
〔インシデントの分析用情報の生成処理〕
(1)インシデント分析用シート20の作成用データの取得
分析用情報生成部13は,分析用情報記憶部106から,インシデント分析用シート20の作成用データ206,210を取得する。
【0176】
(2)グローバルIPアドレスの割り当て先の取得
分析用情報生成部13は,インシデント分析用シート20の作成用データ206,210が含む送信元IPアドレスおよび送信先IPアドレスから,グローバルIPアドレスを抽出して,図13に示すようなグローバルIPアドレスリスト211を作成して,IPアドレス一覧記憶部108に格納する。
【0177】
さらに,分析用情報生成部13は,IPアドレス一覧記憶部108を介して,グローバルIPアドレスリスト211を割り当て先情報検索部14に渡して,割り当て先情報検索部14の検索処理の完了を待ち合わせ,図14に示すような,各グローバルIPアドレスの割り当て先の情報(組織名等)を含む検索結果の抽出データ212を取得する。
【0178】
検索結果の抽出データ212は,検索対象のグローバルIPアドレスを示す「IPアドレス」,検索結果から得た割り当て先を示す「組織名」,検索対象のグローバルIPアドレスが割り振られている国または地域を示す「国名コード」,検索先のインターネットレジストリを示す「インターネットレジストリ」,割り振られたIPアドレスの範囲を示す「IPアドレス範囲」等を含む。
【0179】
なお,割り当て先情報検索部14の処理は,後述する。
【0180】
これにより,インシデント監視装置1は,グローバルIPアドレスに対する最新の組織名を付加したインシデント分析用シート20を管理者へ提供することができる。
【0181】
(3)インシデント分析用情報の生成
分析用情報生成部13は,分析用情報記憶部106の作成用データ206,210を編集して,各インシデントのインシデント分析用シート用データを生成する。インシデント分析用シート用データは,図17および図18に示すインシデント分析用シート20の中間データである。
【0182】
分析用情報生成部13は,作成用データ206,210の送信元IPアドレスおよび送信先IPアドレスの各々について,IPアドレスの割り当て先の情報(組織名,装置名等)を得て,インシデント分析シート用データの該当するフィールドに格納する。
【0183】
インシデント分析用シート20に,IPアドレスに対する情報を付加することによって,インシデント分析が行いやすくなる情報を提供することができる。
【0184】
より詳しくは,分析用情報生成部13は,送信元IPアドレスおよび送信先IPアドレスに対して,以下の処理を行う。
【0185】
処理ST30:内部割り当てテーブル213を検索して,送信元IPアドレス/送信先IPアドレスに該当するIPアドレスが,内部割り当てテーブル213に存在する場合には,該当したIPアドレスのユーザ名(機器名等)をインシデント分析用シート用データの「送信元名」または「送信先名」に格納する。
【0186】
図15は,内部割り当てテーブル213の例を示す図である。内部割り当てテーブル213は,監視対象2の内部に存在するIPアドレスを示す「SourceAddressName」,IPアドレスが割り当てられた装置を示す「ユーザ名」を含む。
【0187】
処理ST31:送信元IPアドレス/送信先IPアドレスに該当するIPアドレスが,内部割り当てテーブル213に存在しない場合には,IPアドレス割り当てテーブル214を検索する。送信元IPアドレス/送信先IPアドレスに該当するIPアドレスが,IPアドレス割り当てテーブル214に存在する場合には,該当したIPアドレスのユーザ名(組織名)をインシデント分析用シート用データの「送信元名」または「送信先名」に格納する。
【0188】
図16は,IPアドレス割り当てテーブル214の例を示す図である。
【0189】
IPアドレス割り当てテーブル214は,グローバルIPアドレスを示す「SourceAddressName」,グローバルIPアドレスが割り当てられた組織等を示す「ユーザ名」を含む。
【0190】
処理ST32:送信元IPアドレス/送信先IPアドレスに該当するIPアドレスが,IPアドレス割り当てテーブル214に存在しない場合には,インシデント分析用シート用データの「送信元名」または「送信先名」を空欄にする。
【0191】
さらに,分析用情報生成部13は,インシデント分析用シート20の重要度のうち,重要度が”異常”かつプライオリティが”High”である場合に,その重要度の両脇に”《》”を付けて,”《異常》”とする。重要度が“異常”かつプライオリティが”Medium”であるインシデントと区別するためである。
【0192】
さらに,分析用情報生成部13は,全インシデントのインシデント分析用シート用データをインシデント分析用シート20の出力形式に編集して,ファイル名を「監視端末ID+”イベント報告”/”イベント警告”+検索範囲時間」として作成する。
【0193】
図17および図18は,インシデント分析用シート20の例を示す図である。図17は,1枚のシートとして出力されるインシデント分析用シート20の左半分の部分であり,図18は,同じく右半分の部分であって,図17のインシデント分析用シート20の右端は,図18のインシデント分析用シート20の左端と連結した状態で出力される。
【0194】
インシデント分析用シート20は,レコード番号を示す「項番」,重要度を示す「アラート」,検出日時を示す「日付」,「インシデント名」,検出件数を示す「件数」と,「送信元IP,送信元名,送信元ポート,送信先IP,送信先名,送信先ポート,アクセス方向,詳細情報1」のインシデントの内容に関する情報と,検出したセンサ3を特定する「センサIP/アダプタ」,インシデントが解決済みとなったことを記入する「解決済」欄等を含む。
【0195】
(4)インシデント分析情報の出力
分析用情報生成部13は,インシデント分析用シート20のファイル出力を行う。また,分析用情報生成部13は,インシデント分析用シート20の印刷が要求されている場合には,インシデント分析用シート20のプリンタ出力を行う。
【0196】
また,インシデント分析用シート20の電子メールによる送信が要求されている場合には,インシデント分析用シート20のデータファイルを添付したメールメッセージを生成し,件名(Subject)に「”インシデント・シート”/”イベント警告”+”の送付”+検索範囲時間」を設定し,本文には「監視端末ID+”における”+検索範囲時間+”インシデント・シート”/”イベント警告”+”の送付”」を設定したメールメッセージを生成して送信する。
【0197】
また,インシデント分析用シート20の印刷出力またはメール送信が要求されていない場合には,管理者端末6のコンソール画面にインシデント分析用シート20の作成完了を通知するポップアップ画面を表示する。
【0198】
〔割り当て先情報検索処理〕
割り当て先情報検索部14は,分析用情報生成部13によって格納されたグローバルIPアドレスリスト211を,IPアドレス一覧記憶部108から取り出して,グローバルIPアドレスリスト211から,ローカルIPアドレス,正当ではないIPアドレス,重複するIPアドレスを削除する。
【0199】
割り当て先情報検索部14は,検索対象のIPアドレスを1件ずつ読み込み,問い合わせ先記憶部105を参照して,IPアドレスの値をもとに「Whois情報検索」を行うインターネットレジストリの管理サーバ5の問い合わせ先(IPアドレス)を特定する。そして,取得した問い合わせ先に,読み込んだIPアドレスのWhois情報検索を行う。問い合わせ内容は,対象のIPアドレスに対する全情報(親,子,孫など複数ブロックの応答)とする。
【0200】
割り当て先情報検索部14は,インターネットレジストリの管理サーバ5から,図19に示すような応答メッセージを受け取ると,応答メッセージから,「IPアドレス,組織名および国名コード(ISO 3166−1の2文字)」を抽出して編集し,図14に示す抽出データ(中間ファイル)212に出力する。
【0201】
なお,応答メッセージの情報の範囲(ブロックの長さ)を得るために,フォーマットを特定する。特定の方法は,インターネットレジストリの管理サーバ5をもとにフォーマットを絞り込み,さらに複数パターンからマッチするフォーマットを見つけて,ブロック長を得る。さらに,応答メッセージ中の特定の文字列(複数パターンあり)をキーワード検索して,IPアドレス,組織名,国名コード等の位置を特定し,抽出する。
【0202】
割り当て先情報検索部14は,グローバルIPアドレスリスト211の全IPアドレスの問い合わせが完了した後,応答メッセージから抽出した抽出データ212の内容で,グローバルIPアドレス情報記憶部109のIPアドレス割り当てテーブル214を更新する。
【0203】
図20は,インシデント監視装置1の概要処理の処理フロー図である。
【0204】
インシデント監視装置1の各処理部が所定のパラメータを取得して初期化処理を行うと(ステップS100),イベント監視部11およびイベント検出状況監視部12は,インシデント・ログ記憶部10から,定期的に,一定時間範囲のインシデント・ログを収集する(ステップS101)。
【0205】
イベント監視部11は,収集したインシデント・ログの各インシデント名について,発生件数とインシデントのプライオリティから重要度を決定する(ステップS102)。そして,イベント監視部11は,インシデント・ログの検索時間範囲と,決定した重要度に応じた表示色によって,インシデント名とメッセージとを表示する(ステップS103)。
【0206】
さらに,イベント監視部11は,決定した重要度に“正常”以外の重要度があるかを判定して(ステップS104),“正常”以外の重要度があれば(ステップS104のY),重要度が“正常”以外のインシデントについてインシデント情報を編集し(ステップS105),編集したインシデント情報を管理者端末6に表示して,所定の通知を行う(ステップS106)。
【0207】
イベント検出状況監視部12は,収集したインシデント・ログの各インシデントの検出件数と,所定の組み合わせによる検出である該当件数とを計算し,計算した検出件数または該当件数が所定の閾値を超える検出状況があるかを判定する(ステップS107)。発生件数または該当件数が閾値を超える検出状況があれば(ステップS107のY),閾値を超過したインシデントについてインシデント情報を編集し(ステップS108),編集したインシデント情報を管理者端末6に表示して,所定の通知を行う(ステップS109)。
【0208】
さらに,分析用情報生成部13は,重要度が“正常”ではないインシデントと,閾値を超える検出状況に関連するインシデントとについて編集されたインシデント情報をもとに,分析用情報を編集する(ステップS110)。ステップS110の編集処理の間,割り当て先情報検索部14が,インシデント情報に含まれるグローバルIPアドレスの割り当て先の情報について,インターネットレジストリの管理サーバ5で検索を行い,その応答結果を取得して,グローバルIPアドレス情報を更新する(ステップS111)。
【0209】
分析用情報生成部13は,編集した分析用情報(インシデント分析用シート20)を出力する(ステップS112)。
【0210】
そして,割り込みが終了でなければ(ステップS113のN),ステップS101の処理へ戻り,割り込みが終了であれば(ステップS113のY),処理を終了する。
【0211】
以上のとおり,本実施例に示されるように,インシデント監視装置1によって得られる効果を簡単に説明すれば,以下のとおりである。
【0212】
・ 多種多量に検出され続けるインシデントに対して,インシデントを優先順位の高い順に漏れなく自動的に編集出力でき,プライオリティの高いインシデントの見逃しを防ぐことができる。
【0213】
・ 常時,インシデントの発生の確認をする必要がなく,定期的に一定時間範囲を対象に分析対象のインシデントのみを纏めて自動通知を行える。
【0214】
・ 最上位の重要度を通知することで,発生したインシデントに対する緊急性が分かりやすくなる。
【0215】
・ インシデント毎に重要度を,例えば,「正常,警告,異常および要確認」の4段階で通知することによって,分析対象の優先順位が分かりやすい。
【0216】
・ インシデントの種類毎に,単位時間あたりの検出件数をもとに,正常,警告,異常の3段階で通知することによって,分析対象の優先順位が分かりやすい。
【0217】
・ インシデントの種類毎に異なる,1次分析処理に必要な情報のみを抽出して出力することができ,分析が容易になる。
【0218】
・ 一定の時間範囲内に発生したインシデントについて,インシデント名/送信先/送信元/検出時間でソート出力することができ,関連するインシデントが纏められ,分析が容易になる。
【0219】
・ 送信元/送信先のIPアドレスについての最新の組織情報(組織名等),攻撃の方向等を自動的に付与することができ,分析が容易になる。
【0220】
・ インターネットレジストリの問い合わせ先を意識することなく,単にデータベースを検索すれば最新の組織名等を取得することができ,レポート作成処理の処理時間を短縮することができる。
【0221】
・ 同一送信先に対するインシデント発生状況を,定期的に一定の時間範囲において分析し,平時と異なる場合にその状況を通知することができるため,不正アクセスの予兆等を早期に見つけることができる。
【0222】
また,本発明にかかるインシデント監視装置1は,プログラムがコンピュータにより読み取られ実行され,インシデント監視装置1が有する各処理部が実現されることによって構築することができる。このプログラムは,コンピュータが読み取り可能な,可搬媒体メモリ,半導体メモリ,ハードディスクなどの適当な記録媒体に格納することができ,これらの記録媒体に記録して提供される。または,このプログラムは,通信インタフェースを介して種々の通信網を利用した送受信により提供される。
【符号の説明】
【0223】
1 インシデント監視装置
10 インシデント・ログ記憶部
11 イベント監視部
12 イベント検出状況監視部
13 分析用情報生成部
14 割り当て先情報検索部
101 トリガ関連付け情報記憶部
102 内部IPアドレス一覧記憶部
103 ローカルIPアドレス情報記憶部
105 問い合わせ先記憶部
106 分析用情報記憶部
108 IPアドレス一覧記憶部
109 グローバルIPアドレス情報記憶部
20 インシデント分析用シート
2 監視対象
3 センサ
4 インターネット
5 インターネットレジストリの管理サーバ
6 管理者端末
【特許請求の範囲】
【請求項1】
ネットワークに接続するコンピュータシステムで生じるインシデントを監視する装置であって,
コンピュータシステムを監視するセンサが検出したインシデントに関する情報であって,インシデント名と,検出日時と,送信元IPアドレスと,送信先IPアドレスと,センサが付加したインシデントの脅威の程度を示すプライオリティとを含むインシデント・ログ情報を記憶するインシデント・ログ記憶部と,
監視対象のコンピュータシステムの内部で使用される内部IPアドレスと前記内部IPアドレスの割り当て先とを登録した内部IPアドレス情報を記憶する内部IPアドレス情報記憶部と,
インシデント分析用情報を作成するための作成用情報を記憶する分析用情報記憶部と,
前記インシデント・ログ記憶部から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理と,前記抽出したインシデント・ログ情報をもとに,インシデント名ごとに,時間範囲内でのインシデントの検出件数とプライオリティとをもとに重要度を判定する処理と,前記インシデント名ごとにインシデントの情報を編集して,インシデント名に対する重要度と編集した情報とを,第1の作成用情報として前記分析用情報記憶部に格納する処理とを行うイベント監視部と,
前記インシデント・ログ記憶部から,前記インシデント・ログ情報を抽出する処理と,
前記抽出したインシデント・ログ情報をもとに,インシデント名ごとのインシデントの検出件数と所定の組み合わせ条件における検出件数である該当件数とを計算して,前記検出件数と前記該当件数とを所定の閾値と比較する処理と,前記検出件数または前記該当件数が前記閾値以上であるインシデント名について,前記インシデント名ごとにインシデントの情報を編集し,編集した情報を第2の作成用情報として前記分析用情報記憶部に格納する処理とを行うイベント検出状況監視部と,
前記第1の作成用情報と前記第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,グローバルIPアドレスの割り当て先を特定する情報を,前記グローバルIPアドレスの割り振りを管轄するインターネットレジストリの管理サーバから取得する割り当て先情報検索部と,
前記第1の作成用情報と前記第2の作成用情報と前記割り当て先情報検索部が取得したグローバルIPアドレス割り当て先の情報とを用いて,検出したインシデントに関するインシデント分析用情報を生成して出力する分析用情報生成部とを備える
ことを特徴とするインシデント監視装置。
【請求項2】
前記イベント監視部は,前記インシデント名の重要度に応じて,前記インシデント名によるインシデントが発生したインシデント名を,所定の態様で通知する
ことを特徴とする請求項1に記載のインシデント監視装置。
【請求項3】
前記イベント監視部は,前記インシデント・ログ情報に含まれる送信先または送信元のIPアドレスが前記監視対象の内部に存在するIPアドレスであるかを特定して,インシデントとされたデータ通信のアクセス方向を特定して,前記特定したアクセス方向を含む前記第1の作成用情報を生成する
ことを特徴とする請求項1または請求項2に記載のインシデント監視装置。
【請求項4】
前記イベント検出状況監視部は,前記検出件数または前記該当件数が所定の通知閾値以上である前記インシデント名について,インシデントの閾値を超えた状況の発生を所定の態様で通知する
ことを特徴とする請求項1または請求項3のいずれか一項に記載のインシデント監視装置。
【請求項5】
ネットワークに接続するコンピュータシステムで生じるインシデントを監視するインシデント監視システムが実行する処理方法であって,
監視対象のコンピュータシステムでのインシデントの発生を監視するセンサと,
コンピュータシステムを監視するセンサが検出したインシデントに関する情報であって,インシデント名と,検出日時と,送信元IPアドレスと,送信先IPアドレスと,センサが付加したインシデントの脅威の程度を示すプライオリティとを含むインシデント・ログ情報を記憶するインシデント・ログ記憶部と,
監視対象のコンピュータシステムの内部で使用される内部IPアドレスと前記内部IPアドレスの割り当て先とを登録した内部IPアドレス情報を記憶する内部IPアドレス情報記憶部と,
インシデント分析用情報を作成するための作成用情報を記憶する分析用情報記憶部とを備える前記インシデント監視システムが,
前記インシデント・ログ記憶部から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理過程と,
前記抽出したインシデント・ログ情報をもとに,インシデント名ごとに,時間範囲内でのインシデントの検出件数とプライオリティとをもとに重要度を判定する処理過程と,
前記インシデント名ごとにインシデントの情報を編集して,インシデント名に対する重要度と編集した情報とを,第1の作成用情報として前記分析用情報記憶部に格納する処理過程と,
前記抽出したインシデント・ログ情報をもとに,インシデント名ごとのインシデントの検出件数と所定の組み合わせ条件における検出件数である該当件数とを計算して,前記検出件数と前記該当件数とを所定の閾値と比較する処理過程と,
前記検出件数または前記該当件数が前記閾値以上であるインシデント名について,前記インシデント名ごとにインシデントの情報を編集し,編集した情報を第2の作成用情報として前記分析用情報記憶部に格納する処理過程と,
前記第1の作成用情報と前記第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,グローバルIPアドレスの割り当て先を特定する情報を,前記グローバルIPアドレスの割り振りを管轄するインターネットレジストリの管理サーバから取得する処理過程と,
前記第1の作成用情報と前記第2の作成用情報と前記割り当て先情報検索部が取得したグローバルIPアドレス割り当て先の情報とを用いて,検出したインシデントに関するインシデント分析用情報を生成して出力する処理過程とを備える
ことを特徴とするインシデント監視方法。
【請求項6】
コンピュータを,ネットワークに接続するコンピュータシステムで生じるインシデントを監視するインシデント監視装置として機能させるプログラムであって,
前記コンピュータを,
コンピュータシステムを監視するセンサが検出したインシデントに関する情報であって,インシデント名と,検出日時と,送信元IPアドレスと,送信先IPアドレスと,センサが付加したインシデントの脅威の程度を示すプライオリティとを含むインシデント・ログ情報を記憶するインシデント・ログ記憶部と,
監視対象のコンピュータシステムの内部で使用される内部IPアドレスと前記内部IPアドレスの割り当て先とを登録した内部IPアドレス情報を記憶する内部IPアドレス情報記憶部と,
インシデント分析用情報を作成するための作成用情報を記憶する分析用情報記憶部と,
前記インシデント・ログ記憶部から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理と,前記抽出したインシデント・ログ情報をもとに,インシデント名ごとに,時間範囲内でのインシデントの検出件数とプライオリティとをもとに重要度を判定する処理と,前記インシデント名ごとにインシデントの情報を編集して,インシデント名に対する重要度と編集した情報とを,第1の作成用情報として前記分析用情報記憶部に格納する処理とを行うイベント監視部と,
前記インシデント・ログ記憶部から,前記インシデント・ログ情報を抽出する処理と,
前記抽出したインシデント・ログ情報をもとに,インシデント名ごとのインシデントの検出件数と所定の組み合わせ条件における検出件数である該当件数とを計算して,前記検出件数と前記該当件数とを所定の閾値と比較する処理と,前記検出件数または前記該当件数が前記閾値以上であるインシデント名について,前記インシデント名ごとにインシデントの情報を編集し,編集した情報を第2の作成用情報として前記分析用情報記憶部に格納する処理とを行うイベント検出状況監視部と,
前記第1の作成用情報と前記第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,グローバルIPアドレスの割り当て先を特定する情報を,前記グローバルIPアドレスの割り振りを管轄するインターネットレジストリの管理サーバから取得する割り当て先情報検索部と,
前記第1の作成用情報と前記第2の作成用情報と前記割り当て先情報検索部が取得したグローバルIPアドレス割り当て先の情報とを用いて,検出したインシデントに関するインシデント分析用情報を生成して出力する分析用情報生成部として機能させる
ことを特徴とするインシデント監視プログラム。
【請求項1】
ネットワークに接続するコンピュータシステムで生じるインシデントを監視する装置であって,
コンピュータシステムを監視するセンサが検出したインシデントに関する情報であって,インシデント名と,検出日時と,送信元IPアドレスと,送信先IPアドレスと,センサが付加したインシデントの脅威の程度を示すプライオリティとを含むインシデント・ログ情報を記憶するインシデント・ログ記憶部と,
監視対象のコンピュータシステムの内部で使用される内部IPアドレスと前記内部IPアドレスの割り当て先とを登録した内部IPアドレス情報を記憶する内部IPアドレス情報記憶部と,
インシデント分析用情報を作成するための作成用情報を記憶する分析用情報記憶部と,
前記インシデント・ログ記憶部から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理と,前記抽出したインシデント・ログ情報をもとに,インシデント名ごとに,時間範囲内でのインシデントの検出件数とプライオリティとをもとに重要度を判定する処理と,前記インシデント名ごとにインシデントの情報を編集して,インシデント名に対する重要度と編集した情報とを,第1の作成用情報として前記分析用情報記憶部に格納する処理とを行うイベント監視部と,
前記インシデント・ログ記憶部から,前記インシデント・ログ情報を抽出する処理と,
前記抽出したインシデント・ログ情報をもとに,インシデント名ごとのインシデントの検出件数と所定の組み合わせ条件における検出件数である該当件数とを計算して,前記検出件数と前記該当件数とを所定の閾値と比較する処理と,前記検出件数または前記該当件数が前記閾値以上であるインシデント名について,前記インシデント名ごとにインシデントの情報を編集し,編集した情報を第2の作成用情報として前記分析用情報記憶部に格納する処理とを行うイベント検出状況監視部と,
前記第1の作成用情報と前記第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,グローバルIPアドレスの割り当て先を特定する情報を,前記グローバルIPアドレスの割り振りを管轄するインターネットレジストリの管理サーバから取得する割り当て先情報検索部と,
前記第1の作成用情報と前記第2の作成用情報と前記割り当て先情報検索部が取得したグローバルIPアドレス割り当て先の情報とを用いて,検出したインシデントに関するインシデント分析用情報を生成して出力する分析用情報生成部とを備える
ことを特徴とするインシデント監視装置。
【請求項2】
前記イベント監視部は,前記インシデント名の重要度に応じて,前記インシデント名によるインシデントが発生したインシデント名を,所定の態様で通知する
ことを特徴とする請求項1に記載のインシデント監視装置。
【請求項3】
前記イベント監視部は,前記インシデント・ログ情報に含まれる送信先または送信元のIPアドレスが前記監視対象の内部に存在するIPアドレスであるかを特定して,インシデントとされたデータ通信のアクセス方向を特定して,前記特定したアクセス方向を含む前記第1の作成用情報を生成する
ことを特徴とする請求項1または請求項2に記載のインシデント監視装置。
【請求項4】
前記イベント検出状況監視部は,前記検出件数または前記該当件数が所定の通知閾値以上である前記インシデント名について,インシデントの閾値を超えた状況の発生を所定の態様で通知する
ことを特徴とする請求項1または請求項3のいずれか一項に記載のインシデント監視装置。
【請求項5】
ネットワークに接続するコンピュータシステムで生じるインシデントを監視するインシデント監視システムが実行する処理方法であって,
監視対象のコンピュータシステムでのインシデントの発生を監視するセンサと,
コンピュータシステムを監視するセンサが検出したインシデントに関する情報であって,インシデント名と,検出日時と,送信元IPアドレスと,送信先IPアドレスと,センサが付加したインシデントの脅威の程度を示すプライオリティとを含むインシデント・ログ情報を記憶するインシデント・ログ記憶部と,
監視対象のコンピュータシステムの内部で使用される内部IPアドレスと前記内部IPアドレスの割り当て先とを登録した内部IPアドレス情報を記憶する内部IPアドレス情報記憶部と,
インシデント分析用情報を作成するための作成用情報を記憶する分析用情報記憶部とを備える前記インシデント監視システムが,
前記インシデント・ログ記憶部から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理過程と,
前記抽出したインシデント・ログ情報をもとに,インシデント名ごとに,時間範囲内でのインシデントの検出件数とプライオリティとをもとに重要度を判定する処理過程と,
前記インシデント名ごとにインシデントの情報を編集して,インシデント名に対する重要度と編集した情報とを,第1の作成用情報として前記分析用情報記憶部に格納する処理過程と,
前記抽出したインシデント・ログ情報をもとに,インシデント名ごとのインシデントの検出件数と所定の組み合わせ条件における検出件数である該当件数とを計算して,前記検出件数と前記該当件数とを所定の閾値と比較する処理過程と,
前記検出件数または前記該当件数が前記閾値以上であるインシデント名について,前記インシデント名ごとにインシデントの情報を編集し,編集した情報を第2の作成用情報として前記分析用情報記憶部に格納する処理過程と,
前記第1の作成用情報と前記第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,グローバルIPアドレスの割り当て先を特定する情報を,前記グローバルIPアドレスの割り振りを管轄するインターネットレジストリの管理サーバから取得する処理過程と,
前記第1の作成用情報と前記第2の作成用情報と前記割り当て先情報検索部が取得したグローバルIPアドレス割り当て先の情報とを用いて,検出したインシデントに関するインシデント分析用情報を生成して出力する処理過程とを備える
ことを特徴とするインシデント監視方法。
【請求項6】
コンピュータを,ネットワークに接続するコンピュータシステムで生じるインシデントを監視するインシデント監視装置として機能させるプログラムであって,
前記コンピュータを,
コンピュータシステムを監視するセンサが検出したインシデントに関する情報であって,インシデント名と,検出日時と,送信元IPアドレスと,送信先IPアドレスと,センサが付加したインシデントの脅威の程度を示すプライオリティとを含むインシデント・ログ情報を記憶するインシデント・ログ記憶部と,
監視対象のコンピュータシステムの内部で使用される内部IPアドレスと前記内部IPアドレスの割り当て先とを登録した内部IPアドレス情報を記憶する内部IPアドレス情報記憶部と,
インシデント分析用情報を作成するための作成用情報を記憶する分析用情報記憶部と,
前記インシデント・ログ記憶部から,所定の時間間隔ごとに,現在から所定の時間遡った時点までの時間範囲内で検出されたインシデントのインシデント・ログ情報を抽出する処理と,前記抽出したインシデント・ログ情報をもとに,インシデント名ごとに,時間範囲内でのインシデントの検出件数とプライオリティとをもとに重要度を判定する処理と,前記インシデント名ごとにインシデントの情報を編集して,インシデント名に対する重要度と編集した情報とを,第1の作成用情報として前記分析用情報記憶部に格納する処理とを行うイベント監視部と,
前記インシデント・ログ記憶部から,前記インシデント・ログ情報を抽出する処理と,
前記抽出したインシデント・ログ情報をもとに,インシデント名ごとのインシデントの検出件数と所定の組み合わせ条件における検出件数である該当件数とを計算して,前記検出件数と前記該当件数とを所定の閾値と比較する処理と,前記検出件数または前記該当件数が前記閾値以上であるインシデント名について,前記インシデント名ごとにインシデントの情報を編集し,編集した情報を第2の作成用情報として前記分析用情報記憶部に格納する処理とを行うイベント検出状況監視部と,
前記第1の作成用情報と前記第2の作成用情報に含まれる送信元または送信先のIPアドレスのうち,グローバルIPアドレスの割り当て先を特定する情報を,前記グローバルIPアドレスの割り振りを管轄するインターネットレジストリの管理サーバから取得する割り当て先情報検索部と,
前記第1の作成用情報と前記第2の作成用情報と前記割り当て先情報検索部が取得したグローバルIPアドレス割り当て先の情報とを用いて,検出したインシデントに関するインシデント分析用情報を生成して出力する分析用情報生成部として機能させる
ことを特徴とするインシデント監視プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【公開番号】特開2010−237975(P2010−237975A)
【公開日】平成22年10月21日(2010.10.21)
【国際特許分類】
【出願番号】特願2009−85580(P2009−85580)
【出願日】平成21年3月31日(2009.3.31)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.WINDOWS
【出願人】(591128763)株式会社富士通ソーシアルサイエンスラボラトリ (57)
【Fターム(参考)】
【公開日】平成22年10月21日(2010.10.21)
【国際特許分類】
【出願日】平成21年3月31日(2009.3.31)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.WINDOWS
【出願人】(591128763)株式会社富士通ソーシアルサイエンスラボラトリ (57)
【Fターム(参考)】
[ Back to top ]