JPWO2010079694A1 - セキュリティ監視方法、セキュリティ監視システム、セキュリティ監視プログラム - Google Patents
セキュリティ監視方法、セキュリティ監視システム、セキュリティ監視プログラム Download PDFInfo
- Publication number
- JPWO2010079694A1 JPWO2010079694A1 JP2010545720A JP2010545720A JPWO2010079694A1 JP WO2010079694 A1 JPWO2010079694 A1 JP WO2010079694A1 JP 2010545720 A JP2010545720 A JP 2010545720A JP 2010545720 A JP2010545720 A JP 2010545720A JP WO2010079694 A1 JPWO2010079694 A1 JP WO2010079694A1
- Authority
- JP
- Japan
- Prior art keywords
- information
- transmission
- observation
- policy
- knowledge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 51
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000005540 biological transmission Effects 0.000 claims abstract description 176
- 238000004458 analytical method Methods 0.000 claims description 24
- 238000006243 chemical reaction Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000001914 filtration Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
機器のセキュリティ状態を表す観測情報を複数取得し、前記観測情報に基づいてポリシーによるセキュリティ判定をするセキュリティ監視方法が開示される。関連性のある観測情報をまとめて代表情報で定義した送信情報を保持する。観測情報の代わりに送信情報だけでもポリシーによるセキュリティ判定が可能か否かを判断する。可能な場合観測情報の全部または一部の代わりに送信情報を送信する。
Description
本発明は、機器のセキュリティ状態を表す観測情報を複数取得し、該観測情報に基づいてポリシーによるセキュリティ判定をするセキュリティ監視方法、セキュリティ監視システム、およびセキュリティ監視プログラムに関する。
従来のセキュリティ状態監視システムの一例が特許文献1に記載されている。特許文献1に記載の監視システムでは、コンピュータが安全かどうかを検査する状態検証器をコンピュータ内に配置し、セキュアであることを証明する状態証明書を検査対象のコンピュータ内で作成し、その状態証明書を送信している。このように構成することで、各機器の状態を送信するよりも少ない通信量で各機器がセキュアかどうかを監視することができる。
また、通信量を削減するエージェント技術の一例が特許文献2に記載されている。特許文献2に記載の従来のエージェント技術では、エージェント間のデータを同期させたり、他のエージェントが保持する情報を取得したりするときに、どのエージェントに対して問い合わせをすると正しい情報を取得できるかを学習し、エージェントを探索したりするために必要な通信量を削減している。
上記従来技術は下記のような問題点がある。
第1の問題点は、セキュリティ監視に必要な各機器の詳細な情報を送信するための送信量が多いということである。
第2の問題点は、送信量を削減した従来の方式では、複数の機器の状態を組み合わせて1つのポリシーを作ることができないことである。
本発明の目的は、少ない通信量で複数の機器のセキュリティ監視できるセキュリティ監視方法、セキュリティ監視システム、およびセキュリティ監視プログラムを提供することにある。
本発明のセキュリティ監視方法は、関連性のある観測情報をまとめて代表情報で定義した送信情報を保持し、観測情報の代わりに送信情報だけでもポリシーによるセキュリティ判定が可能か否かを判断し、可能な場合観測情報の全部または一部の代わりに送信情報を送信する。
また、本発明のセキュリティ監視システムは、
監視対象システムがセキュアかどうかを判定する基準となるポリシーを格納したポリシー格納手段と、
監視対象システムがセキュアかどうかを判定するために、各機器の情報である観測情報と、その観測情報の判定方法を記述した観測知識が格納された観測知識格納手段と、
観測知識格納手段に格納された観測知識を元に監視対象システムの状態を分析するシステム分析手段と、
システム分析手段が分析したすべての観測知識を送信する代わりに、送信すべき知識である送信知識と観測情報との組み合わせを格納した送信知識格納手段と、
システム分析手段が分析した観測情報を受け取り、ポリシー格納手段からポリシーを受け取り、個々の観測情報を送信する代わりに送信情報を送信してもポリシーの判定に影響を与えないかどうかを、送信知識格納手段に格納された情報を基に判定する送信知識判定手段と、
観測情報と、送信知識判定手段が、ポリシーの判定に影響を与えないと判定した送信情報とを送信する情報送信手段と
を有する。
監視対象システムがセキュアかどうかを判定する基準となるポリシーを格納したポリシー格納手段と、
監視対象システムがセキュアかどうかを判定するために、各機器の情報である観測情報と、その観測情報の判定方法を記述した観測知識が格納された観測知識格納手段と、
観測知識格納手段に格納された観測知識を元に監視対象システムの状態を分析するシステム分析手段と、
システム分析手段が分析したすべての観測知識を送信する代わりに、送信すべき知識である送信知識と観測情報との組み合わせを格納した送信知識格納手段と、
システム分析手段が分析した観測情報を受け取り、ポリシー格納手段からポリシーを受け取り、個々の観測情報を送信する代わりに送信情報を送信してもポリシーの判定に影響を与えないかどうかを、送信知識格納手段に格納された情報を基に判定する送信知識判定手段と、
観測情報と、送信知識判定手段が、ポリシーの判定に影響を与えないと判定した送信情報とを送信する情報送信手段と
を有する。
本セキュリティ監視システムは、システム分析手段が各機器の観測した複数の観測情報の代わりに送信知識判定手段によって送信情報を送信すべきと判定されたときに、複数の観測情報の代わりに送信情報を送信するよう動作する。
本発明は次のような効果がある。
第1に、送信する情報を少なくできることである。その理由は、観測したすべての情報を送る代わりに、ポリシーの判定に影響がないと判断できる情報はまとめて送信するためである。
第2に、複数の機器で構成されたシステムのセキュリティ監視ができることにある。その理由は、ポリシーの判定に必要な情報はまとめずに送信できることにある。
1 PC
2 ネットワーク機器
3 システム監視用PC
11 ポリシー入力部
12 ポリシー格納部
13 観測知識格納部
14 システム分析部
15 送信知識格納部
16 送信知識判定部
17 情報送信部
18 送信知識変換部
19 ポリシー判定部
20 送信知識生成部
101〜104、201〜206、301〜304 ステップ
2 ネットワーク機器
3 システム監視用PC
11 ポリシー入力部
12 ポリシー格納部
13 観測知識格納部
14 システム分析部
15 送信知識格納部
16 送信知識判定部
17 情報送信部
18 送信知識変換部
19 ポリシー判定部
20 送信知識生成部
101〜104、201〜206、301〜304 ステップ
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
第1の実施形態
図1を参照すると、本実施形態のセキュリティ監視システムはポリシー入力部11とポリシー格納部12と観測知識格納部13とシステム分析部14と送信知識格納部15と送信知識判定部16と情報送信部17とを含む。
図1を参照すると、本実施形態のセキュリティ監視システムはポリシー入力部11とポリシー格納部12と観測知識格納部13とシステム分析部14と送信知識格納部15と送信知識判定部16と情報送信部17とを含む。
ポリシー入力部11は、セキュリティ監視者が各機器の観測情報を組み合わせてセキュアな状態を定義したポリシーを入力するための手段である。
ポリシー格納部12は、ポリシー入力部11から入力された、セキュリティ監視対象システムがセキュアであるかどうかを判定する基準である、観測情報を用いて定義されたポリシーを格納する手段である。ポリシーは、真偽値をとる式であり、たとえば観測情報がa1,a2,a3,a4とあるときにポリシーP=((a1=b1)∧!a2)∨((a3=b1)∧(a4!=b1))とかける。ここで、b1,b2,b3は、観測情報の値である。Pが真のとき、監視対象システムはセキュアとなる。この場合、(a1=b1)と!a2がともに真のときまたは、(a3=b1), (a4!=b1)がともに真のときPが真となり、監視対象システムはセキュアと判定できる。Pは複数のルールから構成されていてもよく、また優先順位があってもよい。Pが複数のルールから構成されているとは、P=(p1,p2,p3,…)で構成されている場合で、p1,p2,…,pnが、それぞれ真偽値をとる式である場合である。優先順位があるとは、一般にポリシーを判定するときに、p1,…,pnのどれが成り立ってもよいが、p1から順に判定していきひとつでも真の値をとる場合は、それ以降のルールの判定をせずにポリシーが真であると判定する方法である。逆に、ルールのひとつでも偽であった場合にポリシーを偽と判定する方法もある。
観測知識格納部13は、セキュリティ監視対象システムのリスクを判定するために必要なシステム情報、すなわちセキュアかどうかを判定するための、各機器の情報である観測情報と、その観測情報の分析方法とを記述した観測知識を格納する手段である。
システム分析部14は、観測知識格納部13から分析すべきシステム情報となる観測情報と、その分析方法とを含んだ観測知識を受け取り、システムの構成や状態を分析し、各観測情報の値を監視対象システムから取り出す手段である。各観測情報の値の取り出しは、各機器にプログラムを埋め込んで取り込むか、CIM(Computer Integrated Manufacturing)データベースやSMTP(Simple Mail Transfer Protocol)などの管理用に予め用意された手段を用いて行なう。観測知識の具体例を図8に示し、観測情報の具体例を図9に示す。
送信知識格納部15は、システム分析部14が分析した全ての観測情報を送信する代わりに、送信すべき知識である、送信情報と観測情報との組み合わせを格納している。すなわち、送信知識格納部15は、観測情報のうち同一の機器内にある観測情報や、同一機器にあったり、同一のアプリケーションの観測情報であったり、同一サービスの観測情報であったりといった、連動して値が変化する情報や、機器やサービスのセットアップ時などに一斉に変更されると考えられる観測状態など、観測情報の連動性や変更タイミングや同種、同一機器内といった観測情報の依存性によって、グループ化された観測状態をひとまとめにした状態として定義した送信情報と、そのときまとめられた観測状態の対応付けである送信知識を格納する。送信知識の具体例を図10に示す。
送信知識判定部16は、システム分析部14が分析した観測情報を受け取り、さらに、ポリシー格納部12からポリシーを受け取り、個々の観測情報を送信する代わりに送信情報を送信してもポリシーの判定に影響を与えないかどうかを判定する。送信知識格納部15には、ポリシーの判定に影響を与えない、観測情報の組み合わせが情報として格納されており、送信知識格納部15に格納された組み合わせに、合致する情報の組み合わせがあるとき、その組み合わせをポリシーの判定に影響を与えない組み合わせと判定する。すなわち、送信知識判定部16は、送信知識格納部15から送信知識を、ポリシー格納部12からポリシーを受け取り、送信知識に含まれるグループ化された観測情報のうち、ポリシー内で分割して利用されていない、すなわちポリシーと常に組み合わされて利用される観測情報を取り出し、その場合には観測情報ではなく送信情報を送信し、それ以外の場合には観測情報を送信すると判定する手段である。複数の観測情報を、ポリシーの判定結果に影響を与えない観測情報の数より少ない数の送信情報にまとめることができる。
情報送信部17は、送信知識判定部16が送信すべき、すなわちポリシーの判定に影響を与えないと判定した観測情報と送信情報とを送信知識変換部(不図示)に送信する。ここで、送信情報の伝送量は、複数の観測情報の伝送量より少ない。送信情報の候補を決定し、観測状態の数と送信情報の候補数を比較し、送信情報の候補数が少ない場合に、送信情報を送信するようにしてもよい。
次に、本実施の形態の全体の動作について図1および図2のフローチャートを参照して詳細に説明する。
まず、ポリシー入力部11を用いてポリシーを入力し、ポリシー格納部12に格納する(ステップ101)。次に、システム分析部14が、観測知識格納部13から観測知識を読み込み、システムを分析し、観測対象に問い合わせて観測情報の値を決定する(ステップ102)。次に、送信知識判定部16が、送信知識とポリシーを元に送信情報を送信するか観測情報を送信するかを判定する(ステップ103)。最後に、送信知識判定部16の判定に従い、情報送信部17が観測情報と送信情報を送信する(ステップ104)。
次に、本実施の形態の効果について説明する。
本実施の形態では、複数の観測情報をまとめた送信情報を送信するかどうかを、ポリシーの判定に影響を与えない範囲で、送信知識判定部16が判定する。送信情報を送信すると判定されれば、いくつかの観測情報の代わりに送信情報を送信する。したがって、少ない情報の送信量でセキュリティ監視できる。
第2の実施形態
図3を参照すると、本実施形態のセキュリティ監視システムはポリシー入力部11とポリシー格納部12と観測知識格納部13とシステム分析部14と送信知識格納部15と送信知識判定部16と情報送信部17と送信知識変換部18とポリシー判定部19とを含む。
図3を参照すると、本実施形態のセキュリティ監視システムはポリシー入力部11とポリシー格納部12と観測知識格納部13とシステム分析部14と送信知識格納部15と送信知識判定部16と情報送信部17と送信知識変換部18とポリシー判定部19とを含む。
本実施形態のセキュリティ監視システムは、第1の実施形態のセキュリティ監視システムに対して、送信知識変換部18とポリシー判定部19が付加された構成である。
送信知識変換部18は、情報送信部17が送信した観測情報と送信情報とを用いて、それらがポリシーを満たしているかどうかを判定するために、観測情報のみで定義されたポリシーのうち、情報送信部17から送られてきた送信情報に対応する観測情報を送信知識格納部15から読み込み、該観測情報を該送信情報で置き換え、送信知識格納部15に格納する。あるいは、送信知識変換部18は、情報送信部17が送信した観測情報と送信情報とを用いて、それらが、観測情報のセキュアな組み合わせを定義したセキュリティポリシーを満たしているかどうかを判定する。
ポリシー判定部19は、情報送信部17が送信してきた送信情報で置き換えられたポリシーに送信情報と観測情報を当てはめ(各情報の値を代入し)、ポリシーが満たされるか否かを判定する。
次に、本実施の形態の全体の動作について図3および図4のフローチャートを参照して詳細に説明する。
まず、ポリシー入力部11を用いてポリシーを入力し、ポリシー格納部12に格納する(ステップ201)。次に、システム分析部14が、観測知識格納部13から観測知識を読み込み、システムを分析し、観測情報の値を決定する(ステップ202)。次に、送信知識判定部16が、送信知識とポリシーを元に送信情報を送信するか観測情報を送信するかを判定する(ステップ203)。次に、送信知識判定部16の判定に従い、情報送信部17が観測情報と送信情報を送信する(ステップ204)。さらに、観測情報だけで構成されたポリシーをポリシーの判定が可能なように、情報送信部17が送信した観測情報または送信情報で構成されるように変換する(ステップ205)。最後に、監視対象システムがポリシーを満たしているかどうかをポリシー判定部19が判定する(ステップ206)。
次に、本実施の形態の効果について説明する。
本実施の形態では、複数の観測情報を送信情報でまとめた送信情報を送信するかどうかを、ポリシーの判定に影響を与えない範囲で、送信知識判定部16が判定する。送信情報を送信すると判定されれば、いくつかの観測情報の代わりに送信情報を送信し、送信情報と観測情報からポリシーが満たされているかどうかを判定する。したがって、少ない情報の送信量でセキュリティ監視できる。
第3の実施形態
図5を参照すると、本実施形態のセキュリティ監視システムは、第2の実施形態のセキュリティ監視システムの構成に送信知識生成部20をさらに有している。
図5を参照すると、本実施形態のセキュリティ監視システムは、第2の実施形態のセキュリティ監視システムの構成に送信知識生成部20をさらに有している。
送信知識生成部20は、ポリシー格納部12からポリシーを取り出し、該ポリシーを構成する観測情報のうち、複数の観測情報を組み合わせて新しい状態を定義し、複数の観測情報の代わりに送信情報を利用しても、ポリシーの判定に影響が生じない、または、状態数が増加しない組み合わせを抽出し、その対応を送信知識として送信知識格納部15に格納する。ポリシーの判定に影響が生じないまたは状態数が増加しない観測情報の組み合わせとは、同じ機器内にあってかつ同一の観測情報の組み合わせが存在するか、または、観測情報の組み合わせのうちその組み合わせを構成する観測情報の一部が、他のポリシーに出現したり、他の観測情報と組み合わされて利用されたりしていない状態の組み合わせである。送信知識の具体例を図10に示す。
次に、本実施の形態の全体の動作について図5および図6のフローチャートを参照して詳細に説明する。
まず、ポリシー入力部11を用いてポリシーを入力し、ポリシー格納部12に格納する(ステップ301)。次に、送信知識生成部20が、入力されたポリシーと観測知識からポリシーに含まれる観測情報の中でまとめて送信可能なものを抽出し、新たに送信情報を対応付け、送信知識格納部15に格納する(ステップ302)。次に、システム分析部14が、観測知識格納部13から観測知識を読み込み、システムを分析し、観測情報の値を決定する(ステップ303)。以降は、第2の実施の形態と同じである(ステップ304)。
次に、本実施の形態の効果について説明する。
本実施の形態では、ポリシーと観測知識とを用いて複数の観測情報と対応付けが可能な送信情報を生成するというように構成されている。したがって、あらかじめ送信知識を生成することなく通信量を削減したリスク分析ができる。
図7を参照すると、監視対象システムとしてPC1とネットワーク機器2があり、それらを監視するためのシステム監視用PC3がある。PC1とネットワーク機器2には、各機器を分析するシステム分析部14と送信知識判定部16と情報送信部17が含まれている。一方、システム監視用PC3には、ポリシー入力部11とポリシー格納部12とポリシー判定部19と送信知識格納部15と送信知識変換部18と観測知識格納部13が含まれている。
はじめに、ユーザがポリシー作成手段(不図示)を用いて観測情報を組み合わせたセキュアな状態をポリシーとして定義する。
たとえば、次の観測情報があるとする。
ネットワーク機器2のフィルタリングルールを表す観測情報:Deny#rule
PC1に導入されたファイアウォールソフトのフィルタリングルールを表す観測情報:ClientFWStatus
PC1に導入されたOSのフィルタリングルールを表す観測情報:OSFWStatus
PC1のネットワーク接続状態を表す観測情報:NetworkStatus
PC1のIPアドレスをあらわす観測情報:IPAddress
ネットワーク機器2のフィルタリングルールを表す観測情報:Deny#rule
PC1に導入されたファイアウォールソフトのフィルタリングルールを表す観測情報:ClientFWStatus
PC1に導入されたOSのフィルタリングルールを表す観測情報:OSFWStatus
PC1のネットワーク接続状態を表す観測情報:NetworkStatus
PC1のIPアドレスをあらわす観測情報:IPAddress
これらの監視状態を用いたポリシーとして、たとえば、外部からの接続はフィルタリングを適用する(p1)か、それができない場合はネットワークを切断する(p2)、というポリシーの場合(ここではp1がp2に優先するとする)
p1 = (IPAddress in Deny#rule)∨(ClientFWStatus = enable)∨(OSFWStatu=enable)
p2 = (NetworkStatus = disable)
p1 = (IPAddress in Deny#rule)∨(ClientFWStatus = enable)∨(OSFWStatu=enable)
p2 = (NetworkStatus = disable)
次に、送信知識判定部16が、送信知識とポリシーから送信情報を決定する。図10の送信知識を参照すると、送信情報pc11として、ClientFWStatus、OSFWStatus、NetworkStatus、IPAddressが対応付けられ、pc13としてClientFWStatus、OSFWStatus、NetworkStatus、pc14として、ClientFWStatus、OSFWStatus、が対応付けられている。ここで、NetworkStatusと他の観測情報はp1、p2に分割されているため、NetworkStatusと他の観測情報をまとめているpc11やpc13を送信すると、p1、p2それぞれが判定できなくなってします。すなわちpc11やpc13を送信することができない。一方で、pc14に含まれるClientFWStatusとOSFWStatusは、同一のポリシー内に含まれている。そこで、ClientFWStatusとOSFWStatus の二つの観測情報を元に含まれるポリシーを抜き出すと次のようになる。
(ClientFWStatus = enable)∨(OSFWStatu=enable)
また、本ポリシーには、この部分以外にClientFWStatusとOSFWStatuは出現しないため、この部分の判定結果をまとめて送付してもポリシーの判定には影響しない。そこで、(ClientFWStatus = enable)∨(OSFWStatu=enable)をまとめてpc14として、pc14の値だけを送信する。
(ClientFWStatus = enable)∨(OSFWStatu=enable)
また、本ポリシーには、この部分以外にClientFWStatusとOSFWStatuは出現しないため、この部分の判定結果をまとめて送付してもポリシーの判定には影響しない。そこで、(ClientFWStatus = enable)∨(OSFWStatu=enable)をまとめてpc14として、pc14の値だけを送信する。
なお、以上説明したセキュリティ監視システムは、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フレキシブルディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータ内の揮発性メモリのように、一定時間プログラムを保持しているものを含む。
以上本発明の好ましい実施形態を特定の用語を用いて説明したが、そのような記載は例示のみを目的としており、種々の変形および修正が以下の特許請求の範囲から外れることなく可能であることが理解されるべきである。
この出願は、2009年1月7日に出願された日本出願特願2009-001490を基礎とする優先権を主張し、その開示を全てここに取り込む。
Claims (15)
- 機器のセキュリティ状態を表す観測情報を複数取得し、前記観測情報に基づいてポリシーによるセキュリティ判定をするセキュリティ監視方法であって、
関連性のある観測情報をまとめて代表情報で定義した送信情報を保持し、
前記観測情報の代わりに前記送信情報だけでもポリシーによるセキュリティ判定が可能か否かを判断し、
可能な場合前記観測情報の全部または一部の代わりに前記送信情報を送信する、
セキュリティ監視方法。 - 前記送信情報の伝送量は、前記複数の観測情報の伝送量より少ない、請求項1に記載のセキュリティ監視方法。
- 前記複数の観測情報を、ポリシーの判定結果に影響を与えない前記観測情報の数より少ない数の送信情報にまとめる、請求項1に記載のセキュリティ監視方法法。
- 前記送信情報の候補を決定し、前記観測状態の数と前記送信情報の候補数を比較し、前記送信情報の候補数が少ない場合に、前記送信情報を送信する、請求項3に記載のセキュリティ監視方法。
- 前記送信情報をあらかじめ決定し、監視手段に送信情報を通知する、請求項1から4に記載のセキュリティ監視方法。
- 前記観測情報と前記送信情報を用いて、それらの情報が、ポリシーを満たすかどうかを判定する、請求項1から5のいずれかに記載のセキュリティ監視方法。
- 前記観測情報と前記送信情報を用いて、それらの情報が、観測情報のセキュアな組み合わせを定義したセキュリティポリシーを満たすかどうかを判定する、請求項1から5のいずれかに記載のセキュリティ監視方法。
- 送信情報と、送信情報にまとめられた観測情報の組み合わせを用いて、送信された送信情報を観測情報に置き換え、それらの観測情報がポリシーを満たしているかどうかを判定する、請求項6または7に記載のセキュリティ監視方法。
- 送信情報と、送信情報にまとめられた観測情報の組み合わせを用いて、送信された観測情報と送信情報にあわせて、ポリシー内の観測情報を送信情報に置き換え、置き換えられた送信情報がセキュリティポリシーを満たすかどうかを判定する、請求項6または7に記載のセキュリティ監視方法。
- 監視対象システムがセキュアかどうかを判定する基準となるポリシーを格納したポリシー格納手段と、
監視対象システムがセキュアかどうかを判定するために、各機器の情報である観測情報と、その観測情報の分析方法を記述した観測知識が格納された観測知識格納手段と、
前記観測知識格納手段に格納された観測知識を元に監視対象システムの状態を分析するシステム分析手段と、
前記システム分析手段が分析したすべての観測情報を送信する代わりに、送信すべき知識である、送信情報と観測情報との組み合わせを格納した送信知識格納手段と、
前記システム分析手段が分析した観測情報を受け取り、前記ポリシー格納手段からポリシーを受け取り、個々の観測情報を送信する代わりに送信情報を送信してもポリシーの判定に影響を与えないかどうかを、前記送信知識格納手段に格納された情報を基に判定する送信知識判定手段と、
観測情報と、前記送信知識判定手段が、ポリシーの判定に影響を与えないと判定した送信情報とを送信する情報送信手段と、
有するセキュリティ監視システム。 - 前記情報送信手段から送信されてきた観測情報と送信情報を元にポリシー判定が可能なように、観測情報だけで構成された前記ポリシーを、前記情報送信手段が送信した送信情報と観測情報とで構成されるように変換する送信知識変換手段と、
前記送信情報と観測情報が前記ポリシーを満たすか否か判定するポリシー判定手段と、
をさらに有する、請求項10に記載のセキュリティ監視システム。 - 前記ポリシー格納手段からポリシーを取り出し、該ポリシーを構成する観測情報のうち、複数の観測情報を組み合わせて新しい状態を定義し、複数の観測情報の代わりに送信情報を利用しても、ポリシーの判定に影響が生じない、または、状態数が増加しない組み合わせを抽出し、その対応を送信知識として前記送信知識格納手段に格納する送信知識生成手段をさらに有する、請求項11に記載のセキュリティ監視システム。
- 監視対象システムがセキュアかどうかを判定するために、各機器の情報である観測知識と、その観測知識の分析方法が格納された観測知識格納手段に格納された観測知識を元に監視対象システムの状態を分析するシステム分析手順と、
前記システム分析手順が分析した観測知識を受け取り、監視対象システムがセキュアかどうかを判定する基準となるポリシーを格納したポリシー格納手段からポリシーを受け取り、個々の観測知識を送信する代わりに送信情報を送信してもポリシーの判定に影響を与えないかどうかを、前記システム分析手順が分析したすべての観測情報を送信する代わりに送信すべき知識である、送信情報と観測情報との組み合わせを格納した送信知識格納手段に格納された情報を基に判定する送信知識判定手順と、
観測情報と、前記送信知識判定手順が、ポリシーの判定に影響を与えないと判定した送信情報とを送信する情報送信手順と、
をコンピュータに実行させるためのセキュリティ監視プログラム。 - 前記情報送信手順によって送信されてきた観測情報と送信情報を元にポリシー判定が可能なように、観測情報だけで構成された前記ポリシーを、前記情報送信手順によって送信され送信情報と観測情報とで構成されるように変換する送信知識変換手順と、
前記送信情報と観測情報が前記ポリシーを満たすか否か判定するポリシー判定手順と、
をさらに有する、請求項10に記載のセキュリティ監視プログラム。 - 前記ポリシー格納手段からポリシーを取り出し、該ポリシーを構成する観測情報のうち、複数の観測情報を組み合わせて新しい状態を定義し、複数の観測情報の代わりに送信情報を利用しても、ポリシーの判定に影響が生じない、または、状態数が増加しない組み合わせを抽出し、その対応を送信知識として前記送信知識格納手段に格納する送信知識生成手順をさらにコンピュータに実行させる、請求項14に記載のセキュリティ監視プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010545720A JP5447394B2 (ja) | 2009-01-07 | 2009-12-24 | セキュリティ監視方法、セキュリティ監視システム、セキュリティ監視プログラム |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009001490 | 2009-01-07 | ||
| JP2009001490 | 2009-01-07 | ||
| PCT/JP2009/071426 WO2010079694A1 (ja) | 2009-01-07 | 2009-12-24 | セキュリティ監視方法、セキュリティ監視システム、セキュリティ監視プログラム |
| JP2010545720A JP5447394B2 (ja) | 2009-01-07 | 2009-12-24 | セキュリティ監視方法、セキュリティ監視システム、セキュリティ監視プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2010079694A1 true JPWO2010079694A1 (ja) | 2012-06-21 |
| JP5447394B2 JP5447394B2 (ja) | 2014-03-19 |
Family
ID=42316463
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010545720A Expired - Fee Related JP5447394B2 (ja) | 2009-01-07 | 2009-12-24 | セキュリティ監視方法、セキュリティ監視システム、セキュリティ監視プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20110265184A1 (ja) |
| JP (1) | JP5447394B2 (ja) |
| WO (1) | WO2010079694A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8943364B2 (en) * | 2010-04-30 | 2015-01-27 | International Business Machines Corporation | Appliance for storing, managing and analyzing problem determination artifacts |
| JP7373803B2 (ja) | 2020-09-29 | 2023-11-06 | パナソニックIpマネジメント株式会社 | 情報送信装置、サーバ、及び、情報送信方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1936892A4 (en) * | 2005-10-15 | 2009-02-11 | Huawei Tech Co Ltd | SYSTEM FOR CONTROLLING THE SECURITY OF A NETWORK AND METHOD THEREFOR |
| US8291483B2 (en) * | 2007-04-30 | 2012-10-16 | Hewlett-Packard Development Company, L.P. | Remote network device with security policy failsafe |
| CN101442436A (zh) * | 2007-11-20 | 2009-05-27 | 国际商业机器公司 | 用于管理ip网络的方法和系统 |
-
2009
- 2009-12-24 JP JP2010545720A patent/JP5447394B2/ja not_active Expired - Fee Related
- 2009-12-24 WO PCT/JP2009/071426 patent/WO2010079694A1/ja active Application Filing
- 2009-12-24 US US13/133,722 patent/US20110265184A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010079694A1 (ja) | 2010-07-15 |
| JP5447394B2 (ja) | 2014-03-19 |
| US20110265184A1 (en) | 2011-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Schiller et al. | Landscape of IoT security | |
| JP5164073B2 (ja) | 通信ネットワーク設計方法及びプログラム及び記録媒体 | |
| EP3948614B1 (en) | System and method of providing policy selection in a network | |
| CN105723378B (zh) | 包括安全规则评估的保护系统 | |
| KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
| US8160855B2 (en) | System and method for simulating network attacks | |
| JP5145907B2 (ja) | セキュリティ運用管理システム、方法、及び、プログラム | |
| WO2015149062A1 (en) | System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment | |
| Chenine et al. | A framework for wide-area monitoring and control systems interoperability and cybersecurity analysis | |
| Szpyrka et al. | Telecommunications networks risk assessment with Bayesian networks | |
| JP2018509822A (ja) | 成功しているコンピュータセキュリティプラクティスの収集及び私的共有のための信頼できる第三者ブローカ | |
| KR102562115B1 (ko) | 데이터 처리 장치 및 데이터 처리 방법 | |
| Bezas et al. | Comparative analysis of open source security information & event management systems (siems) | |
| Valdez et al. | How to discover IoT devices when network traffic is encrypted | |
| Dalezios et al. | Digital forensics cloud log unification: Implementing CADF in Apache CloudStack | |
| Spanoudakis et al. | The serenity runtime monitoring framework | |
| JP5447394B2 (ja) | セキュリティ監視方法、セキュリティ監視システム、セキュリティ監視プログラム | |
| Bai et al. | Refined identification of hybrid traffic in DNS tunnels based on regression analysis | |
| KR101910788B1 (ko) | 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법 | |
| JPWO2020065737A1 (ja) | 影響範囲推定装置、影響範囲推定方法、及びプログラム | |
| JP2004234401A (ja) | セキュリティ診断情報収集システム及びセキュリティ診断システム | |
| JP7581268B2 (ja) | 情報処理装置、情報処理装置の制御方法及びプログラム | |
| CN115941287A (zh) | 密码服务集成与管理方法、装置、管理平台及存储介质 | |
| Jeon et al. | Passive fingerprinting of scada in critical infrastructure network without deep packet inspection | |
| Shi et al. | Checking network security policy violations via natural language questions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121108 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131001 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131018 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131203 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131216 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |