CN105849741A - 信息处理装置、信息处理方法及程序 - Google Patents
信息处理装置、信息处理方法及程序 Download PDFInfo
- Publication number
- CN105849741A CN105849741A CN201380081864.4A CN201380081864A CN105849741A CN 105849741 A CN105849741 A CN 105849741A CN 201380081864 A CN201380081864 A CN 201380081864A CN 105849741 A CN105849741 A CN 105849741A
- Authority
- CN
- China
- Prior art keywords
- log information
- terminal
- information
- attack
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims description 5
- 238000003672 processing method Methods 0.000 title claims description 4
- 230000006854 communication Effects 0.000 claims abstract description 152
- 238000004891 communication Methods 0.000 claims abstract description 146
- 238000001514 detection method Methods 0.000 claims abstract description 37
- 238000012545 processing Methods 0.000 claims abstract description 24
- 238000000034 method Methods 0.000 claims description 111
- 208000015181 infectious disease Diseases 0.000 claims description 95
- 238000004458 analytical method Methods 0.000 claims description 6
- 230000026676 system process Effects 0.000 claims description 2
- 230000004075 alteration Effects 0.000 abstract 1
- 230000000694 effects Effects 0.000 description 50
- 238000012544 monitoring process Methods 0.000 description 12
- 230000005540 biological transmission Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 101000746134 Homo sapiens DNA endonuclease RBBP8 Proteins 0.000 description 2
- 101000969031 Homo sapiens Nuclear protein 1 Proteins 0.000 description 2
- 102100021133 Nuclear protein 1 Human genes 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 241000577979 Peromyscus spicilegus Species 0.000 description 1
- 230000000840 anti-viral effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000000284 resting effect Effects 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
接收部(111)接收在数据处理系统(106)中产生的数据通信的日志信息作为通信日志信息。攻击终端日志信息确定部(113)从在数据处理系统(106)中进行的数据处理的日志信息即多个处理日志信息中,根据通信日志信息,检索与所述数据通信相关的数据处理的处理日志信息。在通过攻击终端日志信息确定部(113)未检索出相应的处理日志信息的情况下,终端日志信息篡改检测部(114)判定为多个处理日志信息中的至少一部分处理日志信息已被篡改。
Description
技术领域
本发明涉及信息安全技术。
背景技术
专利文献1公开了一种用于确定感染了恶意软件的感染范围的感染范围确定装置。
专利文献1的感染范围确定装置使用反病毒软件确定感染了恶意软件的文件,并确定访问了所确定的文件的终端,由此进行感染范围的确定(专利文献1)。
另外,在专利文献2中公开了一种使用分组的签名来确定恶意软件,并且根据分组的发件人/收件人来确定感染路径的感染路径确定装置。
另外,在专利文献3中公开了一种检测潜伏型恶意软件的恶意软件检测装置。
专利文献3的恶意软件检测装置通过捕捉恶意软件的通信特征,确定对感染终端发出指令的服务器装置和感染终端。
另外,在专利文献4中公开了一种文件访问监视装置,其监视恶意软件的特征性动作即注册表(registry)和程序的改写动作,而检测恶意软件的感染(专利文献4)。
现有技术文献
专利文献
专利文献1:日本专利第4705961号
专利文献2:日本特开2011-101172号公报
专利文献3:日本特开2009-110270号公报
专利文献4:日本特开2005-148814号公报
发明内容
发明要解决的问题
但是,专利文献1~4存在不能应对标的型攻击(targeted attack)的问题。
在标的型攻击中,攻击者入侵到数据处理系统内的终端中,攻击者将恶意软件下载到所入侵的终端中。
并且,攻击者使用被下载了恶意软件的终端,在数据处理系统内扩大恶意软件的感染范围。
为了确定基于这样的标的型攻击的恶意软件感染范围,需要分析终端的日志信息来跟踪攻击者入侵终端后的行动。
但是,存在攻击者为了隐藏攻击者的行动而篡改终端的日志信息的情况。
在攻击者篡改了终端的日志信息的情况下,即使是对篡改后的日志信息进行分析,也不能跟踪攻击者的行动。
但是,如果能够确定终端日志被篡改,则能够确定终端被感染。
这样,在确定恶意软件的感染范围时,查明日志信息是否被篡改非常重要。
本发明正是鉴于这种情况而提出的,其主要目的在于,得到一种判定日志信息是否被篡改的结构。
用于解决问题的手段
本发明的信息处理装置的特征在于,该信息处理装置具有:接收部,其接收在数据处理系统中产生的数据通信的日志信息作为通信日志信息;日志信息检索部,其从在所述数据处理系统中进行的数据处理的日志信息即多个处理日志信息中,根据所述通信日志信息,检索与所述数据通信相关的数据处理的处理日志信息;以及篡改判定部,其在通过所述日志信息检索部未检索出相应的处理日志信息的情况下,判定为所述多个处理日志信息中至少一部分处理日志信息已被篡改。
发明效果
根据本发明,能够判定多个处理日志信息中至少一部分的处理日志信息已被篡改的情况。
附图说明
图1是示出实施方式1的系统结构例的图。
图2是示出实施方式1的感染范围确定装置的动作例的流程图。
图3是示出实施方式1的网络结构例的图。
图4是示出实施方式1的攻击脚本检测信息的示例的图。
图5是示出实施方式1的终端日志信息(进程日志信息)的示例的图。
图6是示出实施方式1的攻击终端日志信息(进程日志信息)的示例的图。
图7是示出实施方式1的终端日志信息(访问日志信息)的示例的图。
图8是示出实施方式1的攻击终端日志信息(访问日志信息)的示例的图。
图9是示出实施方式1的通信日志信息的示例的图。
图10是示出实施方式1的攻击通信日志信息的示例的图。
图11是示出实施方式1的请求的示例的图。
图12是示出实施方式1的请求的示例的图。
图13是示出实施方式1的终端感染信息的示例的图。
图14是示出实施方式1的感染范围确定装置的数据流程例的图。
图15是示出实施方式1的感染范围确定装置的数据流程例的图。
图16是示出实施方式1的感染活动终端日志信息(进程日志信息)的示例的图。
图17是示出实施方式1的感染活动终端日志信息(访问日志信息)的示例的图。
图18是示出实施方式1的感染活动通信日志信息的示例的图。
图19是示出实施方式1的端口编号一览的示例的图。
图20是示出实施方式1的请求的示例的图。
图21是示出实施方式1的请求的示例的图。
图22是示出实施方式1的请求的示例的图。
图23是示出实施方式1~4的感染范围确定装置的硬件结构例的图。
具体实施方式
实施方式1
图1示出包括本实施方式的感染范围确定装置101的系统结构例。
感染范围确定装置101调查在数据处理系统106中记录的日志信息有无被篡改。
并且,感染范围确定装置101确定恶意软件的感染范围。
感染范围确定装置101是信息处理装置的示例。
安全设备103将通信日志信息记录在通信日志记录装置104中。
通信日志记录装置104例如以图9所示的形式记录通信日志信息。
在通信日志信息中记述了表示数据通信的属性的通信属性值,如日期、时刻、状态、服务、访问源主机、访问目标主机、通信协议、访问源端口、访问目标端口。
安全设备103例如可以考虑FW(Fire Wall:防火墙)、IDS/IPS(Intrusion DetectionSystem/Intrusion Prevention System:入侵检测系统/入侵防御系统)、或代理服务器。
攻击检测装置102对记录在通信日志记录装置104中的通信日志信息进行分析来检测攻击。
并且,攻击检测装置102将与检测出的攻击相关的数据通信(以下称为攻击数据通信)的通信日志信息,作为攻击通信日志信息发送给感染范围确定装置101。
例如,攻击检测装置102将图10所示的攻击通信日志信息发送给感染范围确定装置101。
并且,作为分析通信日志信息的结果,例如攻击检测装置102在图4所示的攻击脚本检测信息中,按照每个客户端终端121和每个服务器终端122记录攻击的进展程度。
在图4中,“1.攻击装备”是攻击者浏览作为标的组织的网页、根据组织发行的小册子等生成标的型邮件、和/或生成适合于组织的恶意软件的阶段。
“2.初期潜入”是攻击者通过标的型邮件等接触成为标的的组织并植入恶意软件的阶段。
“3.攻击基础构建”是恶意软件起动而构建信息收集所需要的攻击基础的阶段,包括在一个终端中点击标的型攻击所附带的恶意软件和/或URL等,恶意软件感染组织的阶段。
“4.系统调查阶段”是攻击者从感染了恶意软件的终端进行公司内部系统的调查的阶段,是为了取得更重要的信息而不断地使其它终端感染的阶段。
“5.最终目的达成阶段”是产生信息的泄露和/或系统破坏的阶段。
在图4中,“有攻击”表示根据通信日志信息检测出攻击的情况,“没有攻击”表示根据通信日志信息未检测出攻击的情况,“有征兆”表示根据通信日志信息检测出攻击征兆的情况。
在图4中示出例如根据通信日志信息对客户端终端121a检测出攻击阶段1~3的攻击的征兆,并检测出攻击阶段4的攻击,但是未检测出攻击阶段5的攻击的情况。
监视装置107显示利用感染范围确定装置101得到的恶意软件的感染范围。
在通过攻击检测装置102检测出攻击时,网络安全管理员能够从监视装置107确认受害范围的确定结果。
数据处理系统106由多个客户端终端121和多个服务器终端122构成。
在不需要区分客户端终端121和服务器终端122时,将两者统称为终端。
在数据处理系统106中,按照每个客户端终端121设有客户端终端日志记录装置131,并且按照每个服务器终端122设有服务器终端日志记录装置132。
客户端终端121将在客户端终端121进行的数据处理的日志信息即终端日志信息存储在客户端终端日志记录装置131中。
并且,服务器终端122将在服务器终端122进行的数据处理的日志信息即终端日志信息存储在服务器终端日志记录装置132中。
客户端终端日志记录装置131和服务器终端日志记录装置132相当于处理日志信息数据库的示例。
终端日志信息包括图5所示的进程日志信息和图7所示的访问日志信息。
在进程日志信息和访问日志信息中分别记述了表示在客户端终端121或者服务器终端122中的数据处理的属性的处理属性值。
即,在进程日志信息中,如图5所示,记述了日期、时刻、主机名称、用户(账号)、进程(执行文件)这样的处理属性值。
另外,在访问日志信息中,如图7所示,记述了日期、时刻、访问源主机、访问目标主机、访问源用户、访问目标用户、访问文件、事件这样的处理属性值。
以下,将进程日志信息也表述为终端日志信息(进程日志信息),将访问日志信息也表述为终端日志信息(访问日志信息)。
并且,在不需要区分终端日志信息(进程日志信息)和终端日志信息(访问日志信息)时,将两者统称为终端日志信息。
终端日志信息(进程日志信息)和终端日志信息(访问日志信息)相当于处理日志信息的示例。
图1所示的各要素例如按照图3所示进行连接。
在图3中,交换机108连接数据处理系统106内的客户端终端121及服务器终端122、感染范围确定装置101、攻击检测装置102和安全设备103。
安全设备103与互联网109连接,对数据处理系统106内的客户端终端121及服务器终端122与互联网109之间的数据通信进行中继。
并且,安全设备103对于客户端终端121及服务器终端122与互联网109之间的数据通信,将通信日志信息存储在通信日志记录装置104中。
下面,说明图1所示的感染范围确定装置101的内部结构。
接收部111从攻击检测装置102接收攻击通信日志信息。
发送部112向监视装置107发送表示恶意软件的感染范围的终端感染信息。
终端感染信息例如是图13所示的信息。
在终端感染信息中,按照每个客户端终端121、每个服务器终端122示出了被检测出恶意软件的感染或者日志的篡改的日期、时刻、有无感染恶意软件、有无日志篡改、攻击用户、检测出的恶意软件和攻击阶段(图4的攻击阶段)。
攻击终端日志信息确定部113根据接收部111接收到的攻击通信日志信息,从客户端终端日志记录装置131及服务器终端日志记录装置132的终端日志信息(进程日志信息)及终端日志信息(访问日志信息)中,检索与攻击数据通信相关的数据处理的终端日志信息。
作为与攻击数据通信相关的终端日志信息,将攻击终端日志信息确定部113检索出的终端日志信息(进程日志信息)称为攻击终端日志信息(进程日志信息)。
并且,作为与攻击数据通信相关的终端日志信息,将攻击终端日志信息确定部113检索出的终端日志信息(访问日志信息)称为攻击终端日志信息(访问日志信息)。
例如,攻击终端日志信息确定部113检索图6所示的攻击终端日志信息(进程日志信息),并且检索图8所示的攻击终端日志信息(访问日志信息)。
另外,在不需要区分攻击终端日志信息(进程日志信息)和攻击终端日志信息(访问日志信息)时,将两者统称为攻击终端日志信息。
攻击终端日志信息确定部113相当于日志信息检索部的示例。
终端日志信息篡改检测部114在攻击终端日志信息确定部113未检索出攻击终端日志信息的情况下,判定为终端日志信息被篡改。
更具体地讲,终端日志信息篡改检测部114判定为利用攻击通信日志信息通知的客户端终端121或者服务器终端122的终端日志信息被篡改。
在攻击者通过攻击数据通信入侵了终端的情况下,在终端进行恶意软件的下载等数据处理。因而通常这样的数据处理的历史记录会残留在终端日志信息中。
因此,如果没有终端日志信息的篡改,记述了根据攻击数据通信而产生的数据处理的终端日志信息应该作为攻击终端日志信息被检索出来。
在未检索出攻击终端日志信息的情况下,可以推测为攻击者为了隐藏行动而篡改了终端日志信息。
因此,终端日志信息篡改检测部114在攻击终端日志信息确定部113未检索出攻击终端日志信息的情况下,判定为终端日志信息被篡改。
并且,终端日志信息篡改检测部114在攻击终端日志信息确定部113未检索出攻击终端日志信息的情况下,判定为利用攻击通信日志信息通知的客户端终端121或者服务器终端122感染了恶意软件。
例如,设想在接收部111接收到图10的攻击通信日志信息的情况下,攻击终端日志信息确定部113即使根据图10的攻击通信日志信息检索终端日志信息,也检测不出相应的攻击日志信息。
在这种情况下,终端日志信息篡改检测部114判定为利用攻击通信日志信息通知的客户端终端121a的终端日志信息被篡改,并且判定为客户端终端121a感染了恶意软件。
另外,终端日志信息篡改检测部114相当于篡改判定部的示例。
在通过终端日志信息篡改检测部114判定为终端日志信息未被篡改的情况下,攻击用户确定部115确定参与了所有的攻击阶段的用户(攻击用户),将记述有攻击用户的攻击用户信息发送给感染活动确定部116。
例如,在图6的攻击终端日志信息D221及图8的攻击终端日志信息D321中,客户端终端121a的用户即user121a1是参与了攻击阶段2、3、4的所有攻击阶段(攻击阶段1未保留在日志中,因而不包含在左侧记述中)、并参与了一系列的标的型攻击的用户。
因此,攻击用户确定部115将user121a1视为攻击用户。
感染活动确定部116从攻击用户确定部115接收攻击用户信息,并确定攻击用户进行了感染活动的范围。
具体而言,感染活动确定部116检测如图16的感染活动终端日志信息(进程日志信息)D241(ftp.exe是用于文件传输的进程)和/或图17的感染活动终端日志信息(访问日志信息)D341那样,攻击用户向其它终端的文件传输。
另外,在如图5的终端日志信息(进程日志信息)的记录D216那样所传输的文件是在传输目标侧执行的情况下、或如图17的感染活动终端日志信息(访问日志信息)的记录D352那样所传输的文件在传输目标侧作为终端文件被访问的情况下,感染活动确定部116能够判定为已感染。
感染活动确定部116相当于设备确定部的示例。
下面,参照图2、图14及图15说明本实施方式的感染范围确定装置101的动作例。
另外,图2是示出感染范围确定装置101的动作例的流程图。
此外,图14及图15示出感染范围确定装置101的数据流。
首先,在确定感染范围之前,攻击检测装置102根据通信日志信息进行攻击检测。
攻击检测装置102从安全设备103管理的通信日志记录装置104提取分析所需要的通信日志信息D401,并进行提取出的通信日志信息D401的分析。
分析的结果是,攻击检测装置102确定攻击通信日志信息D421,并向感染范围确定装置101发送攻击通信日志信息D421(F101)。
另外,攻击检测装置102的攻击检测的方法可以是任何方法。
在S101中,感染范围确定装置101的接收部111接收从攻击检测装置102发送的攻击通信日志信息D421(F101)。
并且,接收部111向攻击终端日志信息确定部113发送攻击通信日志信息D421(F102)。
下面,假定接收部111接收到图10的攻击通信日志记录D431~433作为攻击通信日志信息D421进行说明。
其中,攻击通信日志记录D431是如下的记录,在该记录中,作为攻击阶段记述了2,作为访问目标主机记述了客户端终端121a,并且由攻击检测装置102根据攻击脚本检测信息D101的记录D111判定为“有征兆”。
另外,攻击通信日志记录D432是如下的记录,在该记录中,作为攻击阶段记述了3,作为访问源主机记述了客户端终端121a,并同样由攻击检测装置102根据攻击脚本检测信息D101的记录D111判定为“有征兆”。
此外,攻击通信日志记录D433是如下的记录,在该记录中,作为攻击阶段记述了4,作为访问源主机记述了客户端终端121a,并同样由攻击检测装置102根据攻击脚本检测信息D101的记录D111判定为“有攻击”。
在S102中,攻击终端日志信息确定部113检索与攻击通信日志信息D421对应的攻击终端日志信息。
首先,攻击终端日志信息确定部113从接收部111接收攻击通信日志信息D421(F102)。
并且,攻击终端日志信息确定部113为了取得与攻击通信日志信息D421相关的攻击终端日志信息,向接收部111发送攻击终端日志(进程日志)确定用请求R101(以下,也简称为请求R101)和攻击终端日志(访问日志)确定用请求R111(以下,也简称为请求R111)(F103)。
攻击终端日志信息确定部113根据攻击通信日志信息D421生成例如图11所示的请求R101和图12所示的请求R111。
其中,当在图5的终端日志信息(进程日志信息)D201(以下也称为终端日志D201)、图7的终端日志信息(访问日志信息)D301(以下也称为终端日志D301)中记载了通信端口信息的情况下,攻击终端日志信息确定部113生成与端口编号对应的请求R101及请求R111即可。
但是,在不能从终端日志信息(进程日志信息)D201和终端日志信息(访问日志信息)D301取得端口编号的情况下,攻击终端日志信息确定部113通过与端口编号对应的应用,生成请求R101及请求R111。
端口编号和应用例如与图19的端口编号一览表L101相对应。
攻击通信日志记录D433(图10)的访问目标端口是20,使用20号端口进行访问的进程根据端口编号一览L101(图19)是“进程=ftp.exe”,因而与攻击通信日志记录D433对应的攻击终端日志(进程日志)记录是D233(图6)。
另外,使用通信端口是考虑到存在文件的移动,因而根据“事件=移动(move)”,与攻击通信日志记录D433对应的攻击终端日志(访问日志)记录是D333(图8)。
另外,当在终端日志D201、D301中记载了服务的情况下,攻击终端日志信息确定部113生成与攻击通信日志D421(图10)记载的服务对应的请求即可。
请求R101、R111是记述了检索条件的检索命令,该检索条件用于检索与攻击通信日志D421相关的攻击终端日志信息。
另外,关于请求R101、R111的详细情况将在后面进行说明。
接收部111从攻击终端日志信息确定部113接收请求R101、R111(F103),接收部111向数据处理系统106发送请求R101、R111(F104)。
数据处理系统106从接收部111接收请求R101、R111(F104),根据终端日志信息(进程日志信息)D201、终端日志信息(访问日志信息)D301,检索适合于请求R101、R111的终端日志信息。
数据处理系统106在检索出适合于请求R101、R111的终端日志信息的情况下,向接收部111发送作为检索结果的攻击终端日志信息D221、D321(图6、图8)(F105)。
接收部111在从数据处理系统106接收到攻击终端日志信息D221、D321时,向攻击终端日志信息确定部113发送攻击终端日志信息D221、D321(F106)。
攻击终端日志信息确定部113在从接收部111接收到攻击终端日志信息D221、D321时,向终端日志信息篡改检测部114发送攻击通信日志信息D421和攻击终端日志信息D221、D321(F107)。
另外,当在数据处理系统106中未检索出适合于请求R101、R111的终端日志信息的情况下,从数据处理系统106向接收部111发送“未检索出”的消息,并从接收部111转发给攻击终端日志信息确定部113。
在此,说明请求R101。
如图11所示,在请求R101中包含关于日期、时刻、主机名称、进程名称(端口编号)等的检索条件。
攻击终端日志信息确定部113根据攻击通信日志记录D433的日期和时刻即“2013/07/31 20:30:02”,使在请求R101中包含“日期=2013/07/31”和“时刻在20:29:52与20:30:12之间”的检索条件。
取得通信日志信息的设备和取得终端日志信息的设备不同,因而在通信日志信息的取得时刻与终端日志信息的取得时刻之间有可能产生时间偏差。
因此,攻击终端日志信息确定部113以能够吸收这样的容许误差(在图11的示例中是10秒)的方式来决定日期及时刻的检索条件。
例如,图6的攻击终端日志记录D213的时刻在容许误差范围内,因而提取攻击终端日志记录D213作为攻击终端日志信息(进程日志信息)D221。
同样,图7的攻击终端日志记录D313的时刻也在容许误差范围内,因而提取攻击终端日志记录D313作为攻击终端日志信息(访问日志信息)D321。
并且,攻击终端日志信息确定部113将用于确定攻击通信日志记录D433的访问源主机的ID(Identifier)即“客户端终端121a”的“主机名称=客户端终端121a”和端口编号“20”以及“进程=ftp.exe”,作为检索条件包含在请求R101中。
“进程=ftp.exe”是按照端口编号一览表L101(图19)从与端口编号20对应的进程即“FTP”得到的。
下面,说明请求R111。
如图12所示,在请求R111中包含关于日期、时刻、访问源主机名称、访问目标主机名称等的检索条件。
关于日期、时刻,与请求R101一样。
关于访问源主机,攻击终端日志信息确定部113将通信日志记录D433(图10)的访问源主机的ID即“客户端终端121a”,作为检索条件包含在请求R101中,关于访问目标主机,将通信日志记录D433(图10)的访问目标主机的ID即“服务器122a”,作为检索条件包含在请求R101中。
然后,在S103中,终端日志信息篡改检测部114判定终端日志信息是否已被篡改。
即,终端日志信息篡改检测部114从攻击终端日志信息确定部113接收攻击通信日志信息D421和攻击终端日志信息D221、D321或者“未检索出”的消息(F107)。
在接收到攻击终端日志信息D221、D321的情况下,终端日志信息篡改检测部114判定为终端日志信息没有篡改。
另一方面,在接收到“未检索出”的消息的情况下,终端日志信息篡改检测部114判定为终端日志信息被篡改。
更具体地讲,终端日志信息篡改检测部114判定在攻击通信日志信息D421中记述的终端(在图10的示例中是客户端终端121a)的终端日志信息被篡改,并且判定该终端感染了恶意软件。
在此,客户端终端121a由于检测出与攻击通信日志对应的攻击终端日志,因而视为未被篡改。
如果终端日志信息未被篡改,则终端日志信息篡改检测部114通知攻击用户确定部115终端日志没有被篡改(F108)。
另一方面,如果终端日志信息被篡改,则终端日志信息篡改检测部114通知感染活动确定部116存在篡改的情况(F117)。
如果终端日志信息没有被篡改(S103:否),在S104中,攻击用户确定部115确定攻击用户。
首先,攻击用户确定部115从终端日志信息篡改检测部114接收用于通知终端日志信息未被篡改的消息和攻击终端日志信息D221、D321(F108),根据攻击终端日志信息D221、D321确定攻击用户。
并且,攻击用户确定部115提取所有参与了攻击阶段的攻击用户,确定进行了由攻击检测装置102检测出的攻击的攻击用户。
并且,攻击用户确定部115向感染活动确定部116发送表示所确定的攻击用户的攻击用户信息(F109)。
另一方面,如果终端日志信息有篡改(S103:是),则由于不能确定攻击用户,因而不进行攻击用户的确定(S104),而进行感染活动的确定(S105)。
当不存在与攻击通信日志记录D433有关的攻击终端日志记录D233、D333的情况下,由于日志被篡改,因而不能确定攻击用户。
因此,感染活动确定部116在从攻击阶段3起的通信日志信息D401(图9)中、检测从终端日志被篡改的终端向其它终端的访问,将被访问的终端作为有可能感染恶意软件的终端。
在该例中,感染活动确定部116从接收部111向通信日志记录装置104发送图22的请求R221,并从通信日志记录装置104取得所需要的通信日志401,由此能够确定对其它终端的感染活动。
即使是在没有日志篡改的情况下,在S105中,感染活动确定部116也确定对其它终端的感染活动。
在没有日志篡改的情况下,首先,感染活动确定部116从攻击用户确定部115接收攻击用户信息(F109)。
感染活动确定部116向接收部111发送请求R201、R211(图20、图21),以便取得与攻击用户的感染活动相关的感染活动终端日志信息(恶意软件传输)(F110)。
接收部111从感染活动确定部116接收请求R201、R211(F110),向数据处理系统106发送请求R201、R211(F111)。
数据处理系统106接收请求R201、R211(F111),根据终端日志信息向接收部111发送对应于请求R201、R211的感染活动终端日志信息(F112)。
接收部111从数据处理系统106接收攻击终端日志信息(F112),将接收到的攻击终端日志信息发送给感染活动确定部116(F113)。
在此,说明请求R201和请求R211。
请求R201和请求R211是用于从终端日志信息中确定从感染终端向其它终端的感染活动的请求。
请求R201是用于从终端日志信息(进程日志信息)D201(图5)中确定攻击用户对攻击阶段4的执行的请求。
攻击阶段4是与对其它终端的感染活动相关的攻击阶段,感染活动确定部116确定攻击用户是否进行了攻击阶段4,由此确定感染活动。
根据请求R201,确定终端日志信息(进程日志信息)记录D214(图5)。
所确定的终端日志信息(进程日志信息)记录D214被登记在感染活动终端日志信息(进程日志信息)记录D241中(图16)。
另外,请求R211是从终端日志信息(访问日志信息)记录D301(图7)中确定从攻击阶段3起感染终端访问了其它终端的情况的请求。
在攻击终端日志(访问日志信息)D321(图8)中,攻击阶段3的日志是记录D332,因而感染活动确定部116搜索在“2013/05/05 12:00:00”以后从作为感染终端的客户端终端121a的攻击用户即user122a1进行了文件发送(移动)的数据处理系统106中的终端。
根据请求R211,确定终端日志信息(访问日志信息)记录D313、D314(图7)。
由此,感染活动确定部116确定客户端终端121a的攻击用户即user122a1向服务器终端122a发送了恶意软件的情况。
服务器终端122a感染恶意软件的可能性比较大。
所确定的终端日志信息(访问日志信息)记录D313、D314被登记在感染活动终端日志信息(访问日志信息)记录D341(图17)中。
另一方面,在日志被篡改的情况下,由于不能利用终端日志信息,因而感染活动确定部116利用通信日志信息(图9)确定感染范围。
首先,感染活动确定部116从终端日志信息篡改检测部114接收有篡改的信息(F117)。
感染活动确定部116向接收部111发送请求R221,以便取得感染活动通信日志信息(恶意软件传输)(F110)。
接收部111从感染活动确定部116接收请求R221(F110),向攻击检测装置102发送请求R221(F118)。
攻击检测装置102接收请求R221(F118),根据通信日志信息从通信日志记录装置104中检索与请求R221对应的感染活动通信日志信息D441(图18),将检索出的感染活动通信日志信息D441(图18)发送给接收部111(F119)。
接收部111从攻击检测装置102接收感染活动通信日志信息D441(图18)(F119),将接收到的感染活动通信日志信息D441(图18)发送给感染活动确定部116(F113)。
在此,说明请求R221。
请求R221是从通信日志信息(图9)中确定从感染终端向其它终端的感染活动的请求。
请求R221是确定从攻击阶段3起感染终端访问了其它终端的情况的请求。
在攻击通信日志信息(图10)中,攻击阶段3的日志是记录D432,因而感染活动确定部116搜索在“2013/05/05 12:00:00”以后被作为感染终端的客户端终端121a访问过的数据处理系统106中的终端。
根据请求R221确定通信日志信息(图9)的记录D414。
由此,感染活动确定部116确定有可能从客户端终端121a向服务器终端122a发送了恶意软件的情况。
服务器终端122a感染恶意软件的可能性比较大。
所确定的通信日志信息的记录D414被登记在感染活动日志信息D441(图18)中。
在感染活动确定部116检测出对其它终端的感染活动的情况下(S106:是),感染活动确定部116在日志未被篡改时向攻击终端日志信息确定部113发送在S105中接收到的感染活动终端日志信息D241、D341,在日志已被篡改时向攻击终端日志信息确定部113发送在S105中接收到的感染活动通信日志信息D441(F114)。
并且,攻击终端日志信息确定部113在从感染活动确定部116接收到感染活动终端日志信息D241、D341或者感染活动通信日志信息D441时(F114),对与作为感染活动目标的终端(如果是感染活动终端日志信息(访问日志信息)D351,则指服务器终端122a)相关的终端日志信息,反复执行从S102起的处理。
即,反复执行基于攻击终端日志信息确定部113进行的终端日志信息的检索和基于感染活动确定部116进行的有可能感染恶意软件的终端的确定。
在S102中,攻击终端日志信息确定部113根据攻击通信日志信息D421确定攻击终端日志信息D221、D321,但对于作为感染活动目标的终端而言,在S106中确定出的感染活动终端日志信息D241、D341和/或感染活动通信日志信息D441相当于初期潜入(发送了恶意软件)阶段的攻击。
因此,攻击终端日志信息确定部113对攻击终端日志信息D221、D321和/或攻击通信日志信息D421附加攻击阶段2的标签,并追加对攻击终端日志信息D221、D321和/或攻击通信日志信息D421附加了上述标签的感染活动终端日志信息D241、D341和/或攻击通信日志信息D441的记录。
另一方面,感染活动确定部116在未检测出对其它终端的感染活动的情况下(S106:否),将与迄今为止发现的感染终端相关的记录登记在终端感染信息D501中(图13)。
例如,感染活动确定部116在终端感染信息D501中登记终端感染记录D511~D516等。
并且,感染活动确定部116向发送部112发送终端感染信息D501(F115)。
发送部112在从感染活动确定部116接收到终端感染信息D501时(F115),向监视装置107发送终端感染信息D501。
监视装置107在从发送部112接收到终端感染信息D501时,在显示器中显示终端感染信息D501。
由此,网络安全管理员能够确认客户端终端121a、122b、121d、服务器终端122a感染了恶意软件的情况。
如上所述,在本实施方式中,终端日志信息篡改检测部114使用攻击通信日志信息判定终端日志信息是否被不正当篡改,因而能够检测攻击者的攻击隐藏活动。
并且,通过检测终端日志信息的篡改,能够利用日志信息的分析以外的方法尽早确定恶意软件的感染范围。
此外,在本实施方式中,根据日志追踪攻击者入侵终端后的行动,例如能够用于被称为RAT(Remote Administration Tool:远程管理工具)的恶意软件感染范围的确定。
此外,在本实施方式中,能够按照每个终端保存终端日志信息,因而不需要从终端定期向日志服务器上传日志信息,能够抑制数据处理系统内的业务。
此外,对于用户而言不需要始终监视终端内的操作,因而不会感觉到精神上的压力。
此外,通过确定攻击用户,能够掌握攻击用户的一系列的攻击内容。
此外,如果不是攻击用户,则即使确定为是与如执行文件传输那样的攻击相似的日志,也由于与攻击无关,而能够减少错误通知。
攻击终端日志信息确定部113也可以在终端日志信息(进程日志信息)和终端日志信息(访问日志信息)中追加所访问的文件的信息,使终端日志信息(进程日志信息)和终端日志信息(访问日志信息)相对应。
此外,攻击终端日志信息确定部113也可以在终端日志信息(进程日志信息)和终端日志信息(访问日志信息)中追加进程ID,使终端日志信息(进程日志信息)和终端日志信息(访问日志信息)相对应。
此外,即使是不能在终端日志信息(进程日志信息)和终端日志信息(访问日志信息)中追加信息的情况下,攻击终端日志信息确定部113也可以根据终端日志信息(进程日志信息)的进程和终端日志信息(访问日志信息)的访问文件和事件,估计对应的终端日志信息(进程日志信息)和终端日志信息(访问日志信息)。
根据上述的终端日志信息(进程日志信息)和终端日志信息(访问日志信息)的对应关系,仅通过与终端日志信息(进程日志信息)有关的请求或者与终端日志信息(访问日志信息)有关的请求,即可取得攻击终端日志信息和/或感染终端日志信息。
此外,在攻击通信日志信息和终端日志信息中记载的访问源主机和访问目标主机也可以分别用访问源IP(Internet Protocol:互联网协议)地址和访问目标IP地址进行定义。
即使是通信日志信息记录了主机名称、终端日志信息记录了IP地址,攻击终端日志信息确定部113也能够通过利用主机名称和IP地址的对应表,将攻击通信日志信息和终端日志信息关联起来。
此外,攻击终端日志信息确定部113通过利用在DNS(Domain Name System:域名系统)服务器和/或认证服务器等中记录的对应表,能够将攻击通信日志信息和终端日志信息关联起来。
此外,在利用DHCP(Dynamic Host Configuration Protocol:动态主机配置协议)的网络中,攻击终端日志信息确定部113通过将MAC(Media Access Control:媒体访问控制)地址追加在通信日志信息和终端日志信息中,能够将攻击通信日志信息和终端日志信息关联起来。
此外,攻击用户确定部115也可以确定参与了主要的攻击阶段的攻击用户,而非所有的攻击阶段。
例如,可以考虑对攻击阶段赋予权重,在参与了某个阈值以上的攻击时视为攻击用户的方法。
例如,在设攻击阶段2的权重=1、攻击阶段3的权重=3、攻击阶段4的权重=5、阈值为6以上的情况下,当某个用户参与了攻击阶段2和攻击阶段4的情况下,成为权重6,判定为该用户是攻击用户。
此外,攻击用户确定部115也可以确定用户向其它用户的账户切换(在登录时,用su命令等使用其它账户进行登录等),而进行考虑了用户之间的使用账户关系的攻击用户组的确定。
此外,攻击用户确定部115也可以在攻击阶段3和攻击阶段4中监视基于暴力破解(brute force)的密码窃取和/或密码散列的取得等其它用户账户取得行动,来确定攻击用户组。
此外,攻击用户确定部115也可以在攻击阶段3和攻击阶段4中确定进行如下行动的用户来确定攻击用户:即,进行多个文件的下载和/或对其它终端的频繁访问这样的与普通用户不同的活动的用户。
此外,感染活动确定部116也可以确定通过攻击用户确定部115确定出的攻击用户在其它终端的文件执行、对其它终端的远程访问、和在其它终端的文件下载等针对其它终端的感染活动。
实施方式2
在以上的实施方式1中,在客户端终端121和服务器终端122分别具有客户端终端日志记录装置131和服务器终端日志记录装置132。
也可以取代该方式,而在数据处理系统106内准备日志服务器(处理日志信息服务器装置),各客户端终端121和各服务器终端122将各自的终端日志信息上传到日志服务器。
即,也可以将客户端终端121和服务器终端122分别具有的客户端终端日志记录装置131和服务器终端日志记录装置132集成在日志服务器中。
通过准备日志服务器,能够一元化管理终端日志信息,使终端日志信息的维护/运用容易进行。
此外,也可以是,感染范围确定装置101不需要从各个终端的客户端终端日志记录装置131或者服务器终端日志记录装置132取得终端日志信息,而仅从日志服务器取得终端日志信息即可。
实施方式3
在以上的实施方式2中示出了如下的结构:将客户端终端121和服务器终端122分别具有的客户端终端日志记录装置131和服务器终端日志记录装置132集成在日志服务器中。
也可以取代该方式,而是感染范围确定装置101具有客户端终端日志记录装置131和服务器终端日志记录装置132。
即,也可以是,在感染范围确定装置101设置存储客户端终端121和服务器终端122的终端日志信息的存储区域(处理日志信息存储部)。
由此,感染范围确定装置101容易取得终端日志信息。
实施方式4
此外,在图1中,将感染范围确定装置101、攻击检测装置102和监视装置107分成不同的装置。
也可以取代该方式,而在感染范围确定装置101中包含攻击检测装置102和监视装置107。
即,也可以在感染范围确定装置101中设置与攻击检测装置102相同功能的攻击检测部,包含与监视装置107相同功能的监视部。
通过将感染范围确定装置101的功能、攻击检测装置102的功能和监视装置107的功能统一为一体,能够简化数据的传递。
最后,参照图23说明实施方式1~4所示的感染范围确定装置101的硬件结构例。
感染范围确定装置101是计算机,能够利用程序实现感染范围确定装置101的各要素。
作为感染范围确定装置101的硬件结构,运算装置901、外部存储装置902、主存储装置903、通信装置904、输入输出装置905与总线连接。
运算装置901是执行程序的CPU(Central Processing Unit:中央处理单元)。
外部存储装置902例如是ROM(Read Only Memory:只读存储器)和/或闪存、硬盘装置。
主存储装置903是RAM(Random Access Memory:随机存取存储器)。
通信装置904对应于接收部111及发送部112的物理层。
输入输出装置905例如是鼠标、键盘、显示器装置等。
程序通常存储在外部存储装置902中,以加载于主存储装置903中的状态被依次读入到运算装置901中并执行。
程序是实现作为图1所示的“~部”而说明的功能的程序。
另外,在外部存储装置902中也存储有操作系统(OS),OS的至少一部分被安装于主存储装置903,运算装置901执行OS,并执行用于实现图1所示的“~部”的功能的程序。
另外,在实施方式1~4的说明中,表示作为“~判断”、“~判定”、“~提取”、“~检测”、“~检测”、“~设定”、“~登记”、“~选择”、“~检索”、“~生成”、“~接收”、“~发送”等而说明的处理的结果的信息、数据、信号值和/或变量值,作为文件被存储在主存储装置903中。
另外,图23的结构仅示出感染范围确定装置101的硬件结构的一例,感染范围确定装置101的硬件结构不限于图23所述的结构,也可以是其它的结构。
另外,实施方式1~4所示的攻击检测装置102、安全设备103、客户端终端121、服务器终端122同样,可以采用图23的硬件结构,也可以是其它的硬件结构。
另外,根据实施方式1~4所示的步骤能够实现本发明的信息处理方法。
标号说明
101感染范围确定装置;102攻击检测装置;103安全设备;104通信日志记录装置;106数据处理系统;107监视装置;108交换机;109互联网;111接收部;112发送部;113攻击终端日志信息确定部;114终端日志信息篡改检测部;115攻击用户确定部;116感染活动确定部;121客户端终端;122服务器终端;131客户端终端日志记录装置;132服务器终端日志记录装置。
Claims (14)
1.一种信息处理装置,其特征在于,该信息处理装置具有:
接收部,其接收在数据处理系统中产生的数据通信的日志信息作为通信日志信息;
日志信息检索部,其从在所述数据处理系统中进行的数据处理的日志信息即多个处理日志信息中,根据所述通信日志信息,检索与所述数据通信相关的数据处理的处理日志信息;以及
篡改判定部,其在通过所述日志信息检索部未检索出相应的处理日志信息的情况下,判定为所述多个处理日志信息中至少一部分处理日志信息已被篡改。
2.根据权利要求1所述的信息处理装置,其特征在于,
所述接收部接收与针对所述数据处理系统的攻击相关的数据通信的日志信息作为所述通信日志信息。
3.根据权利要求1所述的信息处理装置,其特征在于,
所述接收部接收记述了表示所述数据通信的属性的通信属性值的通信日志信息,
所述日志信息检索部从记述了表示在所述数据处理系统中进行的数据处理的属性的处理属性值的多个处理日志信息中,检索记述了与所述通信日志信息的通信属性值相关的处理属性值的处理日志信息。
4.根据权利要求3所述的信息处理装置,其特征在于,
所述接收部接收如下的通信日志信息,在该通信日志信息中记述了所述数据通信发生的时刻和所述数据处理系统内的进行了所述数据通信的设备的设备ID(Identifier)作为所述通信属性值,
所述日志信息检索部从记述了数据处理时刻和所述数据处理系统内的进行了数据处理的设备的设备ID作为所述处理属性值的多个处理日志信息中检索如下的处理日志信息,在该处理日志信息中记述了距所述通信日志信息中记述的时刻在容许误差范围内的数据处理时刻并且记述了在所述通信日志信息中记述的设备ID,
在通过所述日志信息检索部未检索出相应的处理日志信息的情况下,所述篡改判定部判定为与所述通信日志信息中记述的设备ID对应的设备进行的数据处理的处理日志信息已被篡改。
5.根据权利要求4所述的信息处理装置,其特征在于,
在通过所述日志信息检索部未检索出相应的处理日志信息的情况下,所述篡改判定部判定为与在所述通信日志信息中记述的设备ID对应的设备进行的数据处理的处理日志信息已被篡改,并且判定为与在所述通信日志信息中记述的设备ID对应的设备感染了恶意软件。
6.根据权利要求5所述的信息处理装置,其特征在于,
所述信息处理装置还具有设备确定部,
该设备确定部通过所述接收部从记录了在所述数据处理系统中产生的数据通信的日志信息的通信日志记录装置,接收从被所述篡改判定部判定为感染了恶意软件的设备即恶意软件感染设备向所述数据处理系统内的其它设备进行的数据通信的日志信息作为感染活动通信日志信息,并对接收到的所述感染活动通信日志信息进行分析,确定有可能从所述恶意软件感染设备感染了恶意软件的设备即感染可能性设备。
7.根据权利要求6所述的信息处理装置,其特征在于,
所述日志信息检索部检索记述了由所述设备确定部确定的所述感染可能性设备的设备ID的处理日志信息,
所述设备确定部对通过所述日志信息检索部检索出的处理日志信息进行分析,确定有可能从所述感染可能性设备感染了恶意软件的新的感染可能性设备,
以后,反复进行基于所述日志信息检索部进行的处理日志信息的检索和基于所述设备确定部进行的新的感染可能性设备的确定。
8.根据权利要求1所述的信息处理装置,其特征在于,
所述接收部接收与针对所述数据处理系统的攻击相关的数据通信的日志信息作为所述通信日志信息,
所述信息处理装置还具有设备确定部,在通过所述日志信息检索部检索出相应的处理日志信息的情况下,该设备确定部对检索出的处理日志信息进行分析,确定与所述攻击相关的所述数据处理系统内的设备即攻击相关设备,
所述日志信息检索部检索由所述设备确定部确定的所述攻击相关设备进行的数据处理的处理日志信息,
所述设备确定部对通过所述日志信息检索部检索出的处理日志信息进行分析,确定通过所述攻击相关设备的数据处理而与所述攻击相关的新的攻击相关设备,
以后,反复进行基于所述日志信息检索部进行的处理日志信息的检索和基于所述设备确定部进行的新的攻击相关设备的确定。
9.根据权利要求1所述的信息处理装置,其特征在于,
所述日志信息检索部从对所述数据处理系统中包含的每台设备设置的多个处理日志信息数据库中存储的多个处理日志信息中,检索与所述数据通信相关的数据处理的处理日志信息。
10.根据权利要求1所述的信息处理装置,其特征在于,
所述日志信息检索部从在设于所述数据处理系统的处理日志信息服务器装置中存储的所述多个处理日志信息中,检索与所述数据通信相关的数据处理的处理日志信息。
11.根据权利要求1所述的信息处理装置,其特征在于,
所述信息处理装置还具有存储多个处理日志信息的处理日志信息存储部,
所述日志信息检索部从在所述处理日志信息存储部中存储的所述多个处理日志信息中,检索与所述数据通信相关的数据处理的处理日志信息。
12.根据权利要求1所述的信息处理装置,其特征在于,
所述信息处理装置还具有攻击检测部,该攻击检测部检测针对所述数据处理系统的攻击,并发送与检测出的攻击相关的数据通信的日志信息,
所述接收部接收从所述攻击检测部发送的日志信息作为所述通信日志信息。
13.一种信息处理方法,其特征在于,
计算机接收在数据处理系统中产生的数据通信的日志信息作为通信日志信息,
所述计算机从在所述数据处理系统中进行的数据处理的日志信息即多个处理日志信息中,根据所述通信日志信息,检索与所述数据通信相关的数据处理的处理日志信息,
在未检索出相应的处理日志信息的情况下,所述计算机判定为所述多个处理日志信息中的至少一部分处理日志信息已被篡改。
14.一种程序,其特征在于,该程序使计算机执行以下处理:
接收处理,接收在数据处理系统中产生的数据通信的日志信息作为通信日志信息;
日志信息检索处理,从在所述数据处理系统中进行的数据处理的日志信息即多个处理日志信息中,根据所述通信日志信息,检索与所述数据通信相关的数据处理的处理日志信息;以及
篡改判定处理,在通过所述日志信息检索处理未检索出相应的处理日志信息的情况下,判定为所述多个处理日志信息中的至少一个处理的处理日志信息已被篡改。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2013/085193 WO2015097889A1 (ja) | 2013-12-27 | 2013-12-27 | 情報処理装置及び情報処理方法及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105849741A true CN105849741A (zh) | 2016-08-10 |
Family
ID=53477818
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380081864.4A Pending CN105849741A (zh) | 2013-12-27 | 2013-12-27 | 信息处理装置、信息处理方法及程序 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20170054742A1 (zh) |
JP (1) | JPWO2015097889A1 (zh) |
CN (1) | CN105849741A (zh) |
GB (1) | GB2536384A (zh) |
WO (1) | WO2015097889A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110933091A (zh) * | 2019-12-03 | 2020-03-27 | 丁奇娜 | 区块链通信节点验证方法、装置及电子设备 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170096780A (ko) * | 2016-02-17 | 2017-08-25 | 한국전자통신연구원 | 침해사고 정보 연동 시스템 및 방법 |
JPWO2018079439A1 (ja) * | 2016-10-27 | 2019-09-19 | 日本電気株式会社 | インシデント影響範囲推定装置、インシデント影響範囲推定方法、プログラム及びシステム |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004206564A (ja) * | 2002-12-26 | 2004-07-22 | Hitachi Information & Control Systems Inc | 不正アクセス検証装置及び方法 |
US20080037791A1 (en) * | 2006-08-09 | 2008-02-14 | Jakobsson Bjorn M | Method and apparatus for evaluating actions performed on a client device |
JP2008135984A (ja) * | 2006-11-28 | 2008-06-12 | Toshiba Corp | ウィルス感染監視装置およびプログラム |
CN102473220A (zh) * | 2010-05-07 | 2012-05-23 | 松下电器产业株式会社 | 信息处理装置、信息处理方法以及程序分发系统 |
CN102473221A (zh) * | 2009-09-01 | 2012-05-23 | 株式会社日立制作所 | 非法进程检测方法及非法进程检测系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002344439A (ja) * | 2001-05-14 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | デジタルコンテンツ流通における利用履歴不正改竄検知システム |
US7152242B2 (en) * | 2002-09-11 | 2006-12-19 | Enterasys Networks, Inc. | Modular system for detecting, filtering and providing notice about attack events associated with network security |
US7653188B2 (en) * | 2005-07-20 | 2010-01-26 | Avaya Inc. | Telephony extension attack detection, recording, and intelligent prevention |
JP2010039878A (ja) * | 2008-08-07 | 2010-02-18 | Hitachi Ltd | ログ管理システムおよびログ表示システム |
JP2010257150A (ja) * | 2009-04-23 | 2010-11-11 | Ntt Docomo Inc | 不正処理検知装置、不正処理検知方法及びプログラム |
-
2013
- 2013-12-27 GB GB1610816.9A patent/GB2536384A/en not_active Withdrawn
- 2013-12-27 JP JP2015554467A patent/JPWO2015097889A1/ja active Pending
- 2013-12-27 WO PCT/JP2013/085193 patent/WO2015097889A1/ja active Application Filing
- 2013-12-27 US US15/106,177 patent/US20170054742A1/en not_active Abandoned
- 2013-12-27 CN CN201380081864.4A patent/CN105849741A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004206564A (ja) * | 2002-12-26 | 2004-07-22 | Hitachi Information & Control Systems Inc | 不正アクセス検証装置及び方法 |
US20080037791A1 (en) * | 2006-08-09 | 2008-02-14 | Jakobsson Bjorn M | Method and apparatus for evaluating actions performed on a client device |
JP2008135984A (ja) * | 2006-11-28 | 2008-06-12 | Toshiba Corp | ウィルス感染監視装置およびプログラム |
CN102473221A (zh) * | 2009-09-01 | 2012-05-23 | 株式会社日立制作所 | 非法进程检测方法及非法进程检测系统 |
CN102473220A (zh) * | 2010-05-07 | 2012-05-23 | 松下电器产业株式会社 | 信息处理装置、信息处理方法以及程序分发系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110933091A (zh) * | 2019-12-03 | 2020-03-27 | 丁奇娜 | 区块链通信节点验证方法、装置及电子设备 |
CN110933091B (zh) * | 2019-12-03 | 2020-08-14 | 蔷薇信息技术有限公司 | 区块链通信节点验证方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
WO2015097889A1 (ja) | 2015-07-02 |
GB201610816D0 (en) | 2016-08-03 |
JPWO2015097889A1 (ja) | 2017-03-23 |
GB2536384A (en) | 2016-09-14 |
US20170054742A1 (en) | 2017-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Singh et al. | Issues and challenges in DNS based botnet detection: A survey | |
US10237283B2 (en) | Malware domain detection using passive DNS | |
CN109992989B (zh) | 使用抽象语法树的用于查询注入检测的系统 | |
Niakanlahiji et al. | Phishmon: A machine learning framework for detecting phishing webpages | |
EP2715522B1 (en) | Using dns communications to filter domain names | |
CN105827594B (zh) | 一种基于域名可读性及域名解析行为的可疑性检测方法 | |
Amrutkar et al. | Detecting mobile malicious webpages in real time | |
JP6196008B2 (ja) | 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム | |
Singh et al. | Detecting bot-infected machines using DNS fingerprinting | |
US10715544B2 (en) | Method, apparatus and system for calculating a risk score of a user request by a user on a web application | |
CN109690547A (zh) | 用于检测在线欺诈的系统和方法 | |
US20220070216A1 (en) | Phishing detection system and method of use | |
Maroofi et al. | Comar: Classification of compromised versus maliciously registered domains | |
CN101714272B (zh) | 一种保护银行卡号及口令不被网络钓鱼网站窃取的方法 | |
CN105915532A (zh) | 一种失陷主机的识别方法及装置 | |
Marchal et al. | PhishScore: Hacking phishers' minds | |
CN111726342B (zh) | 一种提升蜜罐系统告警输出精准性的方法及系统 | |
JP2016033690A (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
Suthar et al. | A signature-based botnet (emotet) detection mechanism | |
Chen et al. | Efficient suspicious URL filtering based on reputation | |
CN105849741A (zh) | 信息处理装置、信息处理方法及程序 | |
Fernando et al. | Why Johnny can't rely on anti-phishing educational interventions to protect himself against contemporary phishing attacks? | |
Mowar et al. | Fishing out the Phishing Websites | |
Kim et al. | Design and analysis of enumeration attacks on finding friends with phone numbers: A case study with KakaoTalk | |
Marchal | DNS and semantic analysis for phishing detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160810 |
|
WD01 | Invention patent application deemed withdrawn after publication |