ホーム > 特許ランキング > 株式会社日立システムズ
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-05-30
(45)【発行日】2022-06-07
(54)【発明の名称】アラート通知装置およびアラート通知方法
(51)【国際特許分類】
G06Q 10/00 20120101AFI20220531BHJP
G06Q 50/10 20120101ALI20220531BHJP
【FI】
G06Q10/00
G06Q50/10
【請求項の数】
4
(21)【出願番号】P 2018061694
(22)【出願日】2018-03-28
(65)【公開番号】P2019175070
(43)【公開日】2019-10-10
【審査請求日】2021-03-15
(73)【特許権者】
【識別番号】000233491
【氏名又は名称】株式会社日立システムズ
(74)【代理人】
【識別番号】110000062
【氏名又は名称】特許業務法人第一国際特許事務所
(72)【発明者】
【氏名】岩崎 信也
(72)【発明者】
【氏名】小西 幸洋
【審査官】萩島 豪
(56)【参考文献】
【文献】特開2014-120001(JP,A)
【文献】特開2016-046654(JP,A)
【文献】特開2016-146174(JP,A)
【文献】米国特許出願公開第2017/0093902(US,A1)
【文献】米国特許出願公開第2017/0017901(US,A1)
【文献】米国特許出願公開第2012/0284793(US,A1)
【文献】高倉 弘喜他,インターネットにおける未知攻撃の状況とその検知手法,第70回 人工知能基本問題研究会資料 ,社団法人人工知能学会,2008年06月30日,pp.31~36
(58)【調査した分野】(Int.Cl.,DB名)
G06Q 10/00 ー 99/00
(57)【特許請求の範囲】
【請求項1】
セキュリティインシデントを監視する機器が生成するログ情報に基づいてアラートを通知するアラート通知装置において、前記ログ情報が入力されるアラートログ入力部と、
前記アラートログ入力部で入力された前記ログ情報に基づき、インシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計する集計部と、
前記集計部が集計した発生数であって、前記所定時間内における前記発生元識別子ごとの前記組み合わせの発生数に基づき、前記組み合わせを分類するクラスタ分析を行う分析部と、
前記分析部の分析結果に基づき、運用者が対応するための優先度を判定する判定部と、
前記判定部が判定した優先度に基づき、アラートを通知する通知部と、
を備え、
前記判定部は、前記所定時間内における前記発生元識別子ごとの前記組み合わせの発生数が小さい前記組み合わせを優先すべきであると判定する、
アラート通知装置。
【請求項2】
前記分析部が行うクラスタ分析のクラスタ数を統計的手法により最適化する最適化部をさらに備えることを特徴とする請求項1に記載のアラート通知装置。
【請求項3】
前記分析部が行うクラスタ分析は、特異点分析と特性分析の2段階分析を含むことを特徴とする請求項1または2に記載のアラート通知装置。
【請求項4】
セキュリティインシデントを監視する機器が生成するログ情報に基づいてアラートを通知するアラート通知方法において、前記ログ情報に基づき、インシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計し、
前記所定時間内における前記発生元識別子ごとの前記組み合わせの発生数に基づき、前記組み合わせを分類するクラスタ分析を行い、
前記クラスタ分析の結果に基づき、前記所定時間内における前記発生元識別子ごとの前記組み合わせの発生数が小さい前記組み合わせを優先すべきであると判定し、
判定した優先度に基づき、アラートを通知する、
コンピュータにより実行されるアラート通知方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アラート通知装置およびアラート通知方法に関する。
【背景技術】
【0002】
従来から、ITシステムにおけるセキュリティインシデントが発生した場合に、運用者に精度よくアラートを通知するための技術が知られている。ここで、精度よくアラートを通知するとは、ITシステムの運用者に通知する必要のないインシデントは通知せず、通知する必要のあるインシデントは漏れなく通知することである。
【0003】
例えば、特許文献1は、障害の発生確率を算出する処理を、より精度よく実施することができる障害予兆診断装置を提案する。この障害予兆診断装置では、予兆診断モデル作成ブロックにて、障害の種類毎に、当該障害の種類に関連する複数の画像形成パラメータの特徴量を要素とした正常データ群及び障害予兆データ群を複数のクラスタに分割し、複数のクラスタの各々について予兆診断モデルを作成する。そして、予兆診断ブロックにて、予兆診断の対象となる画像形成装置について、障害の種類毎に、当該障害の種類に関連する複数の画像形成パラメータの特徴量を要素とした予兆診断データ群との適合性が最も高い予兆診断モデルを選択し、当該予兆診断モデルを用いて障害の予兆診断を行う。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2015-036961号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
上述した従来技術では、所定の特徴量を要素とした複数のクラスタに分割し、複数のクラスタの各々について予兆診断モデルを作成しておく必要がある。しかし、事前に設定されたモデルやルールに基づくと、所謂ゼロデイ攻撃(脆弱性の公開前にその脆弱性を利用する攻撃手法)などには対応できず、また常に情報を収集し新しいパターンのモデルやルールを設定する必要がある。
【0006】
また、セキュリティインシデントなどの異常を検出するためには、通常、教師あり法と教師なし法の2つの方法がある。教師あり法は、セキュリティインシデントを監視する機器が生成するログ情報内のそれぞれのイベントのラベルが既知であるため正確性ではすぐれているが、全てのイベントに対してラベルを付与するのは非常に人的コストを必要する。特にセキュリティインシデントにおいては、何が正常で何が異常かは、時間や対象により変化する。ある時点では正常の可能性が高いイベントも、将来的には新しい攻撃手法や脆弱性によって異常の可能性が高くなることもある。このため教師あり法では定期的にラベルを作り直す必要があり非常にコストを要する。教師なし法は、正確性では教師あり法に劣るが、ラベルを人的に付与する手間を必要とせずイベントから自動で検出するため、比較的低コストに実現可能である。
【0007】
そこで、本発明は、教師なし法の一種であるクラスタ分析により、セキュリティインシデントが生じた場合に運用者に精度よくアラートを通知するための優先度を判定するアラート通知装置およびアラート通知方法を提供する。
【課題を解決するための手段】
【0008】
上記課題を解決するために、セキュリティインシデントを監視する機器が生成するログ情報に基づいてアラートを通知するアラート通知装置において、ログ情報が入力されるアラートログ入力部と、アラートログ入力部で入力されたログ情報に基づき、インシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計する集計部と、集計部が集計した発生数であって、所定時間内における発生元識別子ごとの組み合わせの発生数に基づき、組み合わせを分類するクラスタ分析を行う分析部と、分析部の分析結果に基づき、運用者が対応するための優先度を判定する判定部と、判定部が判定した優先度に基づき、アラートを通知する通知部と、を備え、判定部は、所定時間内における発生元識別子ごとの組み合わせの発生数が小さい組み合わせを優先すべきであると判定するアラート通知装置が提供される。
これによれば、所定時間内におけるインシデントの種別の組み合わせの発生数(頻度)において、発生数の小さい組み合わせに係るインシデントを運用者が対応すべきインシデントとして優先するように判定することで、運用者に精度よくアラートを通知するアラート通知装置を提供できる。
これによれば、所定時間内におけるインシデントの種別の組み合わせの発生数(頻度)において、発生数の小さい組み合わせに係るインシデントを運用者が対応すべきインシデントとして優先するように判定することで、運用者に精度よくアラートを通知するアラート通知装置を提供できる。
【0009】
さらに、分析部が行うクラスタ分析のクラスタ数を統計的手法により最適化する最適化部をさらに備えることを特徴としてもよい。
これによれば、クラスタ数を最適化することで、精度のより良いアラート通知装置を提供できる。
これによれば、クラスタ数を最適化することで、精度のより良いアラート通知装置を提供できる。
【0010】
さらに、分析部が行うクラスタ分析は、特異点分析と特性分析の2段階分析を含むことを特徴としてもよい。
これによれば、正常なイベントがクラスタ分析のノイズとなることを回避でき、アラート通知の精度を向上することができる。
これによれば、正常なイベントがクラスタ分析のノイズとなることを回避でき、アラート通知の精度を向上することができる。
【0011】
上記課題を解決するために、セキュリティインシデントを監視する機器が生成するログ情報に基づいてアラートを通知するアラート通知方法において、ログ情報に基づき、インシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計し、所定時間内における発生元識別子ごとの組み合わせの発生数に基づき、組み合わせを分類するクラスタ分析を行い、クラスタ分析の結果に基づき、所定時間内における発生元識別子ごとの組み合わせの発生数が小さい組み合わせを優先すべきであると判定し、判定した前記優先度に基づき、アラートを通知するコンピュータにより実行されるアラート通知方法が提供される。
これによれば、所定時間内におけるインシデントの種別の組み合わせの発生数(頻度)において、発生数の小さい組み合わせに係るインシデントを運用者が対応すべきインシデントとして優先するように判定することで、運用者に精度よくアラートを通知するアラート通知方法を提供できる。
これによれば、所定時間内におけるインシデントの種別の組み合わせの発生数(頻度)において、発生数の小さい組み合わせに係るインシデントを運用者が対応すべきインシデントとして優先するように判定することで、運用者に精度よくアラートを通知するアラート通知方法を提供できる。
【発明の効果】
【0012】
本発明によれば、クラスタ分析により、セキュリティインシデントが生じた場合に運用者に精度よくアラートを通知する優先度を判定するアラート通知装置およびアラート通知方法を提供することができる。
【図面の簡単な説明】
【0013】
【図1】本発明に係る第一実施例のアラート通知装置を含むシステム全体構成図。
【図2】本発明に係る第一実施例のアラート通知装置のブロック構成図。
【図3】本発明に係る第一実施例のアラート通知装置の集計部における動作を示すフローチャート。
【図4】本発明に係る第一実施例のアラート通知装置の集計部における、組み合わせの発生数の集計方法を示す説明図。
【図5】本発明に係る第一実施例のアラート通知装置の分析部における動作を示すフローチャート。
【図6】本発明に係る第一実施例の変形例のアラート通知装置のブロック構成図。
【図7】本発明に係る第一実施例の変形例のアラート通知装置の分析部における動作を示すフローチャート。
【図8】標準的なインシデント対応の流れを示す説明図。
【図9】侵害検知システムの標準的なログの例。
【発明を実施するための形態】
【0014】
以下に、図面を参照しながら、本発明に係る実施例について説明する。
<第一実施例>
図1~図5を参照し、本実施例におけるアラート通知装置100を説明する。アラート通知装置100は、図1に示すように、サイバーセキュリティ対策として、インターネットに接続されたウェブサーバなどのIT機器WSにアクセスする要求を監視するシステムで使用される。アラート通知装置100は、ファイアウォールや侵入検知システムまたはこれらの機能を統合した統合脅威管理装置(Unified Threat Management)などのセキュリティデバイスSDの管理を行い、セキュリティデバイスSDで発生したアラートを監視する。
<第一実施例>
図1~図5を参照し、本実施例におけるアラート通知装置100を説明する。アラート通知装置100は、図1に示すように、サイバーセキュリティ対策として、インターネットに接続されたウェブサーバなどのIT機器WSにアクセスする要求を監視するシステムで使用される。アラート通知装置100は、ファイアウォールや侵入検知システムまたはこれらの機能を統合した統合脅威管理装置(Unified Threat Management)などのセキュリティデバイスSDの管理を行い、セキュリティデバイスSDで発生したアラートを監視する。
【0015】
セキュリティデバイスSDは、インターネットに接続されたウェブサーバなどのIT機器WSにアクセスするすべての要求を監視し、不正アクセスなどのセキュリティインシデントの可能性のあるすべてのイベントをアラートログとして、転送装置FDに送信する。転送装置FDは、アラート通知装置100が設置されるサーバサイドに対するクライアントサイドとして、ネットワークを経由して、セキュリティデバイスSDからのアラートログを含むログ情報を集約装置IDに転送する。集約装置IDは、転送されたアラートに対して必要な情報を付加、統合し、アラートログなどのログ情報をアラートDBに格納すると共に、アラート通知装置100にも送信する。アラートDBは、過去のすべてのアラートログが格納されている。アラート通知装置100は、集約装置IDまたはアラートDBからアラートログの入力を受け付け、分析を行うことで、分析官に対して大量のアラートの中から優先すべきアラートを抽出して提示する。
【0016】
なお、分析官によるインシデント対応とは、インシデントを検知した際に優先度判定・事象分析・対応計画や障害復旧を行うことである。インシデント対応の標準的な流れは、図8に示すように、セキュリティデバイスSDによるインシデント検知の報告を受けると、その後は以下の手順で対応する。なお、顧客や関連機関からの事象連絡もありうるが、ここでは説明は省略する。
(1)連絡受領
検知や連絡を受けた際に、連絡官がその情報を確認し、インシデントとして起票する。
(2)トリアージ
トリアージは、専門のセキュリティ分析官が起票したインシデントを調査し、対応が必要か否かを決定する。誤検知などインシデントではなかった場合や優先度が一定以下の場合などは対応の必要がないと判断する。
(3)事象分析
セキュリティ侵害が起きたことを前提に被害の把握や侵害範囲を切り分ける。マルウェアの感染が疑われるPCの詳細な解析など、フォレンジック作業を行う。この作業では実環境を模擬した調査環境を構築し、感染したマルウェアを実行し侵害内容を分析する。さらにネットワークトラフィックを一つずつ分析して、感染の広がりを確認することで侵害の全容を明らかにする。
(4)対応計画/実施
事象分析の結果を元に、障害の復旧や情報流出への対応、再発防止策などを計画し、実施する。
(1)連絡受領
検知や連絡を受けた際に、連絡官がその情報を確認し、インシデントとして起票する。
(2)トリアージ
トリアージは、専門のセキュリティ分析官が起票したインシデントを調査し、対応が必要か否かを決定する。誤検知などインシデントではなかった場合や優先度が一定以下の場合などは対応の必要がないと判断する。
(3)事象分析
セキュリティ侵害が起きたことを前提に被害の把握や侵害範囲を切り分ける。マルウェアの感染が疑われるPCの詳細な解析など、フォレンジック作業を行う。この作業では実環境を模擬した調査環境を構築し、感染したマルウェアを実行し侵害内容を分析する。さらにネットワークトラフィックを一つずつ分析して、感染の広がりを確認することで侵害の全容を明らかにする。
(4)対応計画/実施
事象分析の結果を元に、障害の復旧や情報流出への対応、再発防止策などを計画し、実施する。
【0017】
アラート通知装置100は、このようなインシデント対応の中で、図8に示すように、セキュリティデバイスSDからのアラートログを分析して、連絡官や分析官などの人が関わる必要のあるアラートのみを抽出し、後工程の人の作業を効率化することを目途とするものである。
【0018】
図2に示すように、アラート通知装置100は、アラートログを含むログ情報が入力されるアラートログ入力部10と、アラートログ入力部10に入力されたログ情報を整形するアラートログ整形部20と、整形されたログ情報の中からアラートとして通知するか否かを分析するアラート分析部30と、を備える。
【0019】
アラートログ入力部10は、転送装置FDからのログ情報を受信して、またはアラートDBに格納された過去のログ情報を読み出して、アラート通知装置100の中に取り込む。読み込むタイミングは、新たなインシデントの可能性のあるアラートを転送装置FDから受信した場合(リアルタイム処理)、定期的にアラートDBから読み込む場合(定期的処理)、または、分析官からの要求に基づいてアラートDBから読み込む場合(要求処理)など、アラートログ入力部10は、様々なタイミングでログ情報をアラート通知装置100の中に取り込む。
【0020】
アラートログ整形部20は、様々なセキュリティデバイスSDが作成するログ情報の異なるログデータ形式(フォーマット)を、統一的なデータ形式にして後工程の処理を統一的に行えるようにする。アラートログ整形部20は、様々な形式で作成されたログ情報を、たとえば表1に示すようなデータ形式に変換する。
【表1】
【0021】
この統一的なデータ形式は、共通部とカスタム部に分かれている。共通部は、セキュリティデバイスSDのアラートの標準的な項目を持ち、カスタム部には共通化できない項目を格納する。このため、カスタム部は、スキーマレスな構造となる。ログ情報の統一的データ形式への変換は定義ファイルで設定可能であり、運用者は小さい負担でアラート形式を追加できる。
【0022】
アラート分析部30は、大量のログ情報の中から人の分析に掛ける必要なアラートなのか否かの優先度を分析する。アラート分析部30は、所定時間内に発生した所定条件を有するアラートの発生数を集計する集計部31と、その発生数に基づいてクラスタ分析を行う分析部32と、その分析結果に基づいて分析官などの運用者が対応するための優先度を判定する判定部33と、その優先度に基づきアラートを通知する通知部34と、を備える。
【0023】
集計部31は、アラートログ入力部10で入力されたログ情報に基づき、あるインシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計する。図3を参照して、集計部31の動作を説明する。なお、図内のSはステップを意味する。
【0024】
集計部31は、S100において、アラートログ整形部20が出力したアラートを取得する。ここでは、このアラートを対象アラートと呼ぶ。この対象アラートは、所定の時間(たとえば30分間)に含まれるアラートを含み、その所定の時間の起点は、あるインシデントが発生した時刻である。対象アラートは、その起点から所定時間遡った過去の時間帯のアラートであってもよいし、その起点から所定時間下った(起点から見たら未来の)時間帯のアラートであってもよい。すなわち、集計部31は、あるインシデントの発生時刻からの所定時間内の発生数を集計する。集計部31は、S102において、対象アラートの中から1件ずつ抽出する。集計部31は、以下に説明するS104~S112の動作を、対象アラートのすべてを処理するまで継続する(S114)。
【0025】
集計部31は、S104において、対象アラートの中から運用対象や分析対象となる1または複数の攻撃先を抽出する。攻撃先とは、攻撃者から攻撃を受けているクライアントサイドのIT機器WSであり、攻撃者とは、セキュリティインシデントを発生させている装置であり、典型的には両者ともIPアドレス(攻撃先識別子と発生元識別子)である。集計部31は、S106において、同一攻撃先で抽出された対象アラートの中から、同一の攻撃種別(インシデントの種別)を抽出する。攻撃種別とは、攻撃者が攻撃先に行っている攻撃のタイプであり、たとえば、以下に示すようなものを言う。
・Apache Struts Content-Type Remote Code Execution
・Apache Win32 Batch File Remote Command Execution
・Apache Struts Content-Type Remote Code Execution
・Apache Win32 Batch File Remote Command Execution
【0026】
たとえば、侵害検知システム(IDS:Intrusion Detection System)のログは、図9に示すように、発生時刻、攻撃者IPアドレス、攻撃先IPアドレス、攻撃種別名などが含まれている。
【0027】
集計部31は、この段階でアラートログから、同一攻撃先かつ同一攻撃種別で抽出されたアラート群を抽出しており、運用対象や分析対象に対して攻撃している種別ごとに抽出している。ここで、これを関連アラートと言う。そして、集計部31は、S108において、関連アラートの中から同じ攻撃とみなせるアラートのみを抽出する。通常はアラートの原因となった要求を送信した発生元IPアドレスの一致したアラートが同一攻撃者に関するアラートであり同じ攻撃とみなせる。ここで、これを抽出アラートと言う。また、集計部31は、ここで、特徴を顕在化させるための条件により抽出する。この特徴を顕在化させるための条件は、セキュリティデバイスSDによって条件が異なる。通常は必要ないが、セキュリティデバイスSDによっては[対象アラートと異なる攻撃識別子のアラート]のみの条件を設定する。
【0028】
集計部31は、S110において、抽出アラートの攻撃種別ごとに攻撃識別子を付し、抽出アラートの攻撃識別子を一覧化する。そして、集計部31は、S112において、攻撃識別子毎に件数をカウントし、集計する。集計部31は、図4に示すように、インシデントの種別の組み合わせごとの発生数を集計する。本図内に示す第1時間帯は、攻撃種別Aが発生した時を起点にしてそれ以降の所定時間内に発生した攻撃種別の組合せを示す。第1時間帯では、攻撃種別の組合せ〔A,B,C〕において発生数は〔A:1,B:2,C:1〕である。すなわち、第1時間帯は、Aという攻撃種別が1件、Bという攻撃種別が2件、Cという攻撃種別が1件あった。同様に、第2時間帯では、攻撃種別の組合せ〔B,C,E〕において発生数は〔B:2,C:1,E:1〕である。第3時間帯では、攻撃種別の組合せ〔B,C,E〕において発生数は〔B:1,C:1,E:1〕である。
【0029】
分析部32は、集計部31が集計した、所定時間内における発生元識別子ごとの攻撃種別の組合せの発生数に基づき、組み合わせを分類するクラスタ分析を行う。判定部33は、分析部32の分析結果に基づき、運用者が対応するための優先度を判定する。図5を参照して、分析部32と判定部33の動作を説明する。分析部32は、S200において集計部31が集計した発生元識別子ごとの攻撃種別(インシデントの種別)の組合せの発生数を取得し、S202において分析しやすいように正規化する。そして、分析部32は、S204において正規化結果を元にクラスタ分析のパラメータを設定し、S206において正規化結果のデータセットをクラスタ分析する。
【0030】
分析部32が行うクラスタ分析の手法は、様々な手法が適用し得るが、k-means法やk-means++法が好適である。k-means法は、クラスタの中心を見つけるアルゴリズムであり、以下の式となる
なお、vi(i,…,n)は各クラスタ、xi(i,…,n)は各データである。
【数1】
【0031】
k-means法のアルゴリズムの手順は以下のとおりである。
(1) 入力データに対してランダムにクラスタをふる。
(2) 各クラスタの中心をデータから計算する。
(3) 各データと各クラスタの中心の距離から、最も近いクラスタに振り分ける。
(4) 上記の処理で全てのデータのクラスタが変化しない、あるいは事前に設定した一定の閾値を下回った場合に、処理を終了する。そうでない場合は上記の処理を繰り返す。
(1) 入力データに対してランダムにクラスタをふる。
(2) 各クラスタの中心をデータから計算する。
(3) 各データと各クラスタの中心の距離から、最も近いクラスタに振り分ける。
(4) 上記の処理で全てのデータのクラスタが変化しない、あるいは事前に設定した一定の閾値を下回った場合に、処理を終了する。そうでない場合は上記の処理を繰り返す。
【0032】
クラスタの分割数は、エルボー法で決定することが好ましい。エルボー法ではクラスタ数を変えながら、手順(2)のクラスタと各データとの距離の低下が緩やかになったらその境となるクラスタ数を最適なクラスタ数とする。k-means法では、データに割り当てる初期クラスタに結果が大きく依存することがあるので、繰り返し適用し、もっともよい結果を選択する。その点、k-means++法では、データに初期に割り当てるクラスタをデータから統計的に算出することで、すなわちデータにクラスタを割り当てる際にクラスタ中心が互いに遠くなるように割り当てを実施することで、k-means法に比べ分類精度が良くなる。そして、分析部32は、S208において、クラスタ結果から優先度判定を行うための基準、たとえば、各クラスタ内のデータ数の計算、クラスタの大きさ、密度、各クラスタ間の距離を計算する判定基準計算処理を行う。
【0033】
判定部33は、S210において、分析部32のクラスタ分析の結果に基づき、所定時間内における発生元識別子(発生元IP)ごとの、発生数が小さい攻撃種別の組み合わせを優先すべきであると判定する。すなわち、攻撃種別の組み合わせが低い頻度で発生する場合、その組み合わせ内のいずれかの攻撃(インシデント)が運用者の分析が必要なものとして優先度が高くなる。
【0034】
通知部34は、S212において、判定部33が判定した優先度に基づき、たとえば「緊急通報」として運用者にアラートを通知する。通知部34が行う通知は、運用者に対して視覚的なもの、聴覚的なもの、その他いかなる方法により行われてもよい。
【0035】
上述したように、アラート通知装置100は、セキュリティインシデントを監視する機器が生成するログ情報に基づいてアラートを通知する装置であって、ログ情報が入力されるアラートログ入力部10と、アラートログ入力部10で入力されたログ情報に基づき、インシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計する集計部31と、集計部31が集計した発生数であって、所定時間内における発生元識別子ごとの組み合わせの発生数に基づき、組み合わせを分類するクラスタ分析を行う分析部32と、分析部32の分析結果に基づき、運用者が対応するための優先度を判定する判定部33と、判定部33が判定した優先度に基づき、アラートを通知する通知部34と、を備え、判定部33は、所定時間内における発生元識別子ごとの組み合わせの発生数が小さい組み合わせを優先すべきであると判定する。このように、所定時間内におけるインシデントの種別の組み合わせの発生数(頻度)において、発生数の小さい組み合わせに係るインシデントを運用者が対応すべきインシデントとして優先するように判定することで、運用者に精度よくアラートを通知するアラート通知装置100を提供できる。
【0036】
また、上述したことは、アラート通知方法についても述べている。すなわち、このアラート通知方法は、セキュリティインシデントを監視する機器が生成するログ情報に基づいてアラートを通知するアラート通知方法であって、ログ情報に基づき、インシデント発生時刻からの所定時間内における、インシデントの種別の組み合わせごとの発生数およびインシデントを発生させた発生元識別子ごとの発生数を集計し、所定時間内における発生元識別子ごとの組み合わせの発生数に基づき、組み合わせを分類するクラスタ分析を行い、クラスタ分析の結果に基づき、所定時間内における発生元識別子ごとの組み合わせの発生数が小さい組み合わせを優先すべきであると判定し、判定した優先度に基づき、アラートを通知する。同様に、このように、所定時間内におけるインシデントの種別の組み合わせの発生数(頻度)において、発生数の小さい組み合わせに係るインシデントを運用者が対応すべきインシデントとして優先するように判定することで、運用者に精度よくアラートを通知するアラート通知方法を提供できる。
【0037】
<第一実施例の変形例>
図6を参照し、本実施例の変形例に係るアラート通知装置100Aについて説明する。なお、重複記載を避けるため、上記実施例と同じ構成要素には同じ符号を付し、説明を省略する。アラート通知装置100Aは、アラートログを含むログ情報が入力されるアラートログ入力部10と、アラートログ入力部10に入力されたログ情報を整形するアラートログ整形部20と、整形されたログ情報の中からアラートとして通知するか否かを分析するアラート分析部30Aと、を備える。アラート分析部30Aは、所定時間内に発生した所定条件を有するアラートの発生数を集計する集計部31と、その発生数に基づいてクラスタ分析を行う分析部32Aと、その分析結果に基づいて分析官などの運用者が対応するための優先度を判定する判定部33と、その優先度に基づきアラートを通知する通知部34と、分析部32Aが行うクラスタ分析のクラスタ数を統計的手法により最適化する最適化部35と、を備える。
図6を参照し、本実施例の変形例に係るアラート通知装置100Aについて説明する。なお、重複記載を避けるため、上記実施例と同じ構成要素には同じ符号を付し、説明を省略する。アラート通知装置100Aは、アラートログを含むログ情報が入力されるアラートログ入力部10と、アラートログ入力部10に入力されたログ情報を整形するアラートログ整形部20と、整形されたログ情報の中からアラートとして通知するか否かを分析するアラート分析部30Aと、を備える。アラート分析部30Aは、所定時間内に発生した所定条件を有するアラートの発生数を集計する集計部31と、その発生数に基づいてクラスタ分析を行う分析部32Aと、その分析結果に基づいて分析官などの運用者が対応するための優先度を判定する判定部33と、その優先度に基づきアラートを通知する通知部34と、分析部32Aが行うクラスタ分析のクラスタ数を統計的手法により最適化する最適化部35と、を備える。
【0038】
最適化部35は、たとえば分析官(運用者)が高い優先度で通知を受けたアラートを分析した結果重要なインシデントに係るものではないと判断されるケースが多い場合などに、分析官からの係る判断を受け付け、分析部32Aにフィードバックする。最適化部35は、かかる判断を受け付けた場合、たとえばクラスタ分析のクラスタ数を変更するなど、分析官のフィードバックに応じてクラスタ分析のパラメータ等を調整し最適化を実施する。これによれば、アラート通知装置100Aは、クラスタ数を最適化することで、精度のより良いアラート通知装置を提供できる。
【0039】
また、図7を参照し、さらなる変形例を説明する。分析部32Aは、上述したようにS200~S208で示した処理を行う。分析部32Aは、上述したS206のクラスタ分析の前に実施する特異点分析と特性分析の2段階分析の方法を含む。分析部32Aは、S2061において、正規化結果(すなわち上記抽出アラートの集合)に対してクラスタ分析を実施する。この場合、上記のクラスタ分析と違い、外れ値を取る。これにより多数の同様の傾向があるデータはクラスタが構成され、ユニークなデータは外れ値となる。なお、この場合、好適なクラスタ分析はDBSCANである。
【0040】
次に、分析部32Aは、S2062において、特性分析を実施する。この特性分析では、特異点分析の結果から外れ値のみを対象として、更にクラスタ分析を実施することで外れ値のみで、クラスタを構成する。この後の処理は、上記クラスタ分析の手法と同じである。このように、クラスタ分析を特異点分析と特性分析の2段階で分析することで、正常なイベントがクラスタ分析のノイズとなることを回避でき、アラート通知の精度をさらに向上することができる。
【0041】
なお、本発明は、例示した実施例に限定するものではなく、特許請求の範囲の各項に記載された内容から逸脱しない範囲の構成による実施が可能である。すなわち、本発明は、主に特定の実施形態に関して特に図示され、かつ説明されているが、本発明の技術的思想および目的の範囲から逸脱することなく、以上述べた実施形態に対し、数量、その他の詳細な構成において、当業者が様々な変形を加えることができるものである。
【符号の説明】
【0042】
100 アラート通知装置
10 アラートログ入力部
20 アラートログ整形部
30 アラート分析部
31 集計部
32 分析部
33 判定部
34 通知部
35 最適化部
SD セキュリティデバイス(セキュリティインシデントを監視する機器)
FD 転送装置
ID 集約装置
SV サーバ
CL クライアント
10 アラートログ入力部
20 アラートログ整形部
30 アラート分析部
31 集計部
32 分析部
33 判定部
34 通知部
35 最適化部
SD セキュリティデバイス(セキュリティインシデントを監視する機器)
FD 転送装置
ID 集約装置
SV サーバ
CL クライアント
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】