アウトソース型セキュリティセンタにおけるインシデント対応迅速化のためのアラート調査支援システム  [in Japanese] Alerts Investigation Support System for Expediting Incidents Response in Outsourced Security Center  [in Japanese]

Access this Article

Search this Article

Abstract

ファイアウォールや侵入検知システムなどセキュリティ機器のアラートを調査するインシデント対応の効率化のための支援システムを提案する.アラートの調査では,アラートの形式がセキュリティ機器により異なることや調査のための集計処理の作成,アラートの発生の流れを把握するための整形などに時間を要している.本研究ではアラートを統一的な形式に変換し,攻撃元とアラート間の時間間隔により2段階に構造化することで,局所的な発生と継続的な発生を分かりやすく可視化する.さらに集計処理を標準的な事前集計とリクエスト集計に分け実行する.提案システムの試行の結果,既存システムであるコマンド入力による調査に比べ,分析担当者による必要時間を平均63.1%削減できた.

We propose a support system for efficiency of incident response to investigate alert of security devices such as firewall and intrusion detection system. Investigation of alerts takes time due to three problems. First, the format of the alert varies depending on the security devices. Secondly, the survey requires aggregation by various kinds of commands. Thirdly, require shaping to figure out the flow of occurrence of alert. The propose system converts alerts into a uniform format. In addition, structures alerts according to the time interval between alerts and visualizes locality and continuity in an easy-to-understand manner to analyst. The aggregation processing is divided into standard pre-aggregation and request aggregation and executed. As a result of the trial, the propose system reduces the required time by 63.1% compared with the existing system.

Journal

  • 情報処理学会論文誌

    情報処理学会論文誌 60(4), 1108-1118, 2019-04-15

Codes

  • NII Article ID (NAID)
    170000150286
  • NII NACSIS-CAT ID (NCID)
    AN00116647
  • Text Lang
    JPN
  • Article Type
    journal article
  • ISSN
    1882-7764
  • Data Source
    IPSJ 
Page Top