|
コンピュータシステムの健全性を検証するためには、アクセスログや不正侵入検知装置(IDS)のログと言った通信記録を参照する必要がある。通信記録には、ユーザID、パスワード等の個人情報や機微情報が含まれている可能性がある。不正アクセスといった事件性が疑われる場合を除けば、これらの情報を目視で確認することも避けなければならない。一方で、通信記録には一日あたり数万から数千万件という膨大な情報が記録されており、これらを逐次目視で確認することも現実的ではない。そこで、本研究では、まず、通常時と不正アクセス発生時で大きく表示が変わる可視化手法を開発している。今年度は、IDSが生成する警報情報を対象とした。警報情報を3次元表示して、警報の発生状況、攻撃元および攻撃先の関連を視覚的に表現するシステムを開発した。警報に含まれているIPアドレスをオクテット毎に分類し、そのIPアドレス全てを平面上に隙間無く、かつ、論理構成を維持したまま配置する。さらに、攻撃/被攻撃の警報数を3次元方向に棒グラフとして表示することで、攻撃/被攻撃の状況が一覧できる。また、情報閲覧を段階的に行えるように警報情報を格納するデータベースを構築している。本データベースシステムを用いることで、可視化システムにおける異常値確認後の調査活動の支援が可能となった。まず、第一段階として、複数の警報間の関連性を解析したり、攻撃の概要情報のみを調査することが可能となる。この段階では、個人情報や機微情報を表示しない。さらに、不正アクセスが疑われる場合のみ、通信の内容を閲覧する。現在は、IDSが検知した異常部分のみを表示するだけであり、偶然機微情報の一部を表示してしまう問題が残っている。
|
