特許

J-GLOBAL ID：201503015493622910

攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム

発明者： 神谷 和憲 ,  中田 健介 ,  倉上 弘 ,  角田 進 ,  八木 毅 ,  佐藤 徹 ,  千葉 大紀
出願人/特許権者： 日本電信電話株式会社
代理人 (2件)： 酒井 宏明 ,  宮田 英毅
公報種別：特許公報
出願番号（国際出願番号）：特願2014-056662
特許番号：特許第5739034号
出願日： 2014年03月19日
要約：

【課題】長期間のログ分析を実時間で実施するとともに、攻撃の継続性を判定してイベントの重複検知を防止することで効率的なセキュリティオペレーションを行う。 【解決手段】攻撃検知装置10は、収集されたログを用いて、所定の短い時間ごとに、ユーザ端末の通信先IPアドレスがブラックリストの通信先IPアドレスと一致する回数をカウントする。また、攻撃検知装置10は、カウントされた回数のうち所定期間においてカウントされた回数を用いて、所定の長い時間ごとに、ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する。そして、攻撃検知装置10は、検知された不正通信のうち、所定期間内に検知された不正通信と通信元IPアドレスおよび通信先IPアドレスが同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する。 【選択図】図2

請求項（抜粋）：

【請求項1】 ユーザ端末と、該ユーザ端末の通信を中継する機器と、前記ユーザ端末の不正通信を検知する攻撃検知装置とを含む攻撃検知システムであって、 前記攻撃検知装置は、 前記ユーザ端末の通信に関するログを前記機器から収集する収集部と、 前記収集部によって収集されたログを用いて、第一の時間ごとに、前記ユーザ端末の通信先情報がブラックリストの通信先情報と一致する回数をカウントするカウント部と、 前記カウント部によってカウントされた回数のうち所定期間においてカウントされた回数を用いて、前記第一の時間よりも長い第二の時間ごとに、前記ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する検知部と、 前記検知部によって検知された不正通信のうち、所定期間内に検知された不正通信と通信元情報および通信先情報が同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する判定部と、 を備えることを特徴とする攻撃検知システム。

IPC (1件)：

H04L 12/70 ( 201 3.01)

FI (1件)：

H04L 12/70 100 Z

引用特許：

出願人引用 (1件)

• IDSのイベント解析及び警告システム
  公報種別：公開公報   出願番号：特願2005-286930   出願人：富士通株式会社