CN105917348A - 信息处理装置、非法活动判定方法和非法活动判定用程序以及信息处理装置、活动判定方法和活动判定用程序 - Google Patents
信息处理装置、非法活动判定方法和非法活动判定用程序以及信息处理装置、活动判定方法和活动判定用程序 Download PDFInfo
- Publication number
- CN105917348A CN105917348A CN201480073245.5A CN201480073245A CN105917348A CN 105917348 A CN105917348 A CN 105917348A CN 201480073245 A CN201480073245 A CN 201480073245A CN 105917348 A CN105917348 A CN 105917348A
- Authority
- CN
- China
- Prior art keywords
- communication
- terminal
- stage
- unit
- institute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000000694 effects Effects 0.000 title claims abstract description 111
- 238000000034 method Methods 0.000 title claims description 260
- 230000010365 information processing Effects 0.000 title abstract description 4
- 238000004891 communication Methods 0.000 claims abstract description 378
- 238000011156 evaluation Methods 0.000 claims abstract description 71
- 238000001514 detection method Methods 0.000 claims abstract description 62
- 230000004044 response Effects 0.000 claims description 122
- 238000010219 correlation analysis Methods 0.000 claims description 74
- 238000012937 correction Methods 0.000 claims description 51
- 230000033228 biological regulation Effects 0.000 claims description 27
- 230000007704 transition Effects 0.000 claims description 5
- 230000000717 retained effect Effects 0.000 abstract 1
- 230000008569 process Effects 0.000 description 228
- 238000002224 dissection Methods 0.000 description 45
- 238000012806 monitoring device Methods 0.000 description 43
- 230000003542 behavioural effect Effects 0.000 description 33
- 208000015181 infectious disease Diseases 0.000 description 28
- 238000006243 chemical reaction Methods 0.000 description 26
- 230000009471 action Effects 0.000 description 21
- 230000000875 corresponding effect Effects 0.000 description 21
- 238000012545 processing Methods 0.000 description 17
- 230000000505 pernicious effect Effects 0.000 description 16
- 230000008859 change Effects 0.000 description 15
- 238000004458 analytical method Methods 0.000 description 14
- 230000009466 transformation Effects 0.000 description 14
- 239000000203 mixture Substances 0.000 description 12
- 238000012544 monitoring process Methods 0.000 description 11
- 238000012546 transfer Methods 0.000 description 11
- 230000033001 locomotion Effects 0.000 description 9
- 230000011218 segmentation Effects 0.000 description 8
- 230000006399 behavior Effects 0.000 description 7
- 230000002596 correlated effect Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 description 6
- 230000000903 blocking effect Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 241000222065 Lycoperdon Species 0.000 description 4
- 241000768494 Polymorphum Species 0.000 description 4
- 238000009825 accumulation Methods 0.000 description 4
- 230000000507 anthelmentic effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 230000006698 induction Effects 0.000 description 4
- 238000007689 inspection Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 238000000205 computational method Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 241000234282 Allium Species 0.000 description 1
- 235000002732 Allium cepa var. cepa Nutrition 0.000 description 1
- 241000345998 Calamus manan Species 0.000 description 1
- 241001052442 Eubothrium fragile Species 0.000 description 1
- 241000406668 Loxodonta cyclotis Species 0.000 description 1
- 235000008331 Pinus X rigitaeda Nutrition 0.000 description 1
- 235000011613 Pinus brutia Nutrition 0.000 description 1
- 241000018646 Pinus brutia Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000000280 densification Methods 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000001524 infective effect Effects 0.000 description 1
- 230000002401 inhibitory effect Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 238000002203 pretreatment Methods 0.000 description 1
- 238000013404 process transfer Methods 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 235000012950 rattan cane Nutrition 0.000 description 1
- 238000007493 shaping process Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明将降低恶意软件感染的错误检测或漏检的可能性作为技术问题。在信息处理装置(20)中,具备:比较部(251),其将连接到网络的终端的通信与预先保持的模式进行比较;确定部(254),其按照比较的结果,确定评价值和非法活动的阶段,该评价值表示被推测为终端进行非法活动的程度;保持部(255),其针对每个终端,保持评价值的各个阶段的最大值;和判定部(257),其基于评价值的各个阶段的最大值,判定终端是否进行非法活动。
Description
技术领域
本发明涉及一种管理连接到网络的终端的技术。
背景技术
一直以来,作为分析通信量的方法,提出了对网络上的主机间的流量分配告警指标值,在累积的告警指标值超过阈值的情况下,发出警报的方法(参见专利文献1及2)。
另外,提出了各种通过分析通信量来检测所谓路过式下载(Drive-by Download)攻击的方法(参照非专利文献1和2)。
现有技术文献
专利文献
专利文献1:美国专利第7475426号说明书
专利文献2:美国专利第7185368号说明书
非专利文献
非专利文献1:進藤康孝、外3名、“マルウェア感染ステップのファイルタイプ遷移基づたDrive-byDownload攻撃検知手法”、[online]、平成26年10月15日、情報処理学会、[平成26年12月15日检索]、因特网<URL:https://ipsj.ixsq.nii.ac.jp/ej/?action=pages_view_main&active_action=repository_view_main_item_detail&item_id=106598&item_no=1&page_id=13&block_id=8>
非专利文献2:松中隆志、外2名、“Drive-byDownload攻撃対策フレームワークおるWebアクセスログを用たWebリンク構造の解析る悪性サイト検出手法の提案”、[online]、平成26年10月15日、情報処理学会、[平成26年12月15日检索]、因特网<URL:https://ipsj.ixsq.nii.ac.jp/ej/?action=pages_view_main&active_action=repository_view_main_item_detail&item_id=106596&item_no=1&page_id=13&block_id=8>
发明内容
发明要解决的技术问题
一直以来,作为用于对恶意软件感染进行检测的技术,有在累积指标值且累积值超过阈值的情况下,判定为感染了恶意软件的方法。但是,利用这种方法而不定期清除指标值的话,即使由于微小值的累积,也有可能导致累积值超过阈值,从而将正常的终端错误检测为感染了恶意软件。另外,在定期清除指标值的情况下,也有可能由于清除的时机而漏过恶意软件。
鉴于上述问题,本公开将降低恶意软件感染的错误检测或漏检作为技术问题。
解决技术问题的技术手段
本公开的一个实例是信息处理装置,包括:比较单元,其将连接到网络的终端的通信与预先保持的模式进行比较;确定单元,其按照所述比较的结果,确定评价值和非法活动的阶段,所述评价值表示被推测为所述终端进行非法活动的程度;保持单元,其针对每个所述终端,保持所述评价值的每个所述阶段的最大值;和判定单元,其基于所述评价值的每个所述阶段的最大值,判定所述终端是否进行非法活动。
本公开能够作为信息处理装置、系统、通过计算机执行的方法或者使计算机执行的程序来把握。另外,本公开也能够作为将这样的程序记录到计算机以外的装置、机械等可读的记录介质而得到的发明来把握。此处,计算机等可读的记录介质是指能够通过电、磁、光学、机械或者化学作用来累积数据、程序等信息、并且从计算机等进行读取的记录介质。
发明效果
根据本公开,可以降低恶意软件感染的错误检测或漏检。
附图说明
图1是示出实施方式所涉及的系统的构成的概略图。
图2是示出实施方式所涉及的网络监视装置及管理服务器的硬件构成的图。
图3是示出实施方式所涉及的网络监视装置的功能构成概略的图。
图4是示出由实施方式的恶意软件行为检测引擎使用的恶意软件的活动转换模型的图。
图5是示出实施方式所涉及的每个数据包的检测处理的流程概要的流程图。
图6是示出实施方式所涉及的基于恶意软件行为检测引擎的检测处理的流程的流程图(A)。
图7是示出实施方式所涉及的基于恶意软件行为检测引擎的检测处理的流程的流程图(B)。
图8是示出实施方式所涉及的基于恶意软件行为检测引擎的检测处理的流程的流程图(C)。
图9是示出在实施方式中的第一相关分析中作为监视对象的活动转换模型上的阶段及其转换的图。
图10是示出在实施方式中的第二相关分析中作为监视对象的、向探索阶段的转换的图。
图11是示出在实施方式中的第二相关分析中作为监视对象的、向执行文件的下载阶段的转换的图。
图12是示出实施方式中的、用于判定侵入阶段所涉及的通信与执行文件的下载阶段所涉及的通信的相关性的相关分析处理的流程的流程图。
图13是示出在实施方式中的第二相关性分析中作为监视对象的、向C&C检索阶段的转换的图。
图14是示出在实施方式中的第二相关性分析中作为监视对象的、向C&C通信阶段的转换的图。
图15是示出在实施方式中的第二相关性分析中作为监视对象的、向攻击阶段的转换的图。
图16是示出实施方式的、内容请求解析处理的流程的流程图。
图17是示出实施方式的、内容响应解析处理的流程的流程图。
图18是示出实施方式的、HTML内容响应解析处理的流程的流程图。
图19是示出实施方式的、执行文件请求解析处理的流程的流程图。
图20是示出实施方式的、执行文件响应解析处理的流程的流程图。
图21是示出实施方式中的系统构成的变化的概略图。
符号说明
1 系统
20 网络监视装置
50 管理服务器
90 节点。
具体实施方式
下面,基于附图,对公开所涉及的信息处理装置、方法及程序的实施方式进行说明。但是,以下说明的实施方式为举例说明实施方式,并非将本公开所涉及的信息处理装置、方法及程序限定于以下说明的具体构成。在实施时,适当采用与实施方式相应的具体构成,也可进行各种改良、变形。
在本实施方式中,对用于在网络上发现进行非法活动的终端并进行通信阻断、警报通知等应对的系统中实施本公开所涉及的信息处理装置、方法及程序的情况下的实施方式进行说明。但是,本公开所涉及的信息处理装置、方法及程序可广泛应用到用于检测网络上的非法活动的技术中,本公开的应用对象并不限定于在本实施方式中示出的示例。
<系统构成>
图1是示出本实施方式所涉及的系统1的构成的概略图。本实施方式所涉及的系统1包括连接有多个信息处理终端90(下面,称为“节点90”)的网络分段2、用于监视节点90所涉及的通信的网络监视装置20。进一步地,将管理服务器50通过路由器10,能进行通信地连接到网络分段2。在本实施方式中,通过将网络监视装置20连接到开关或路由器(图1所示的示例中为路由器)的监视端口(镜像端口),取得通过节点90收发的数据包、数据帧。在这种情况下,网络监视装置20以不转送取得的数据包的被动方式进行动作。
管理服务器50从网络监视装置20收集信息并管理网络监视装置20。此外,在外部网络中,可以进一步地设置检疫服务器并对连接到网络分段2的节点90提供检疫服务,也可进一步地设置业务服务器并对节点90提供用于业务的服务(省略图示)。
本实施方式所涉及的系统1中,虽然由节点90连接的各种服务器是通过因特网或广域网在远程地点被连接的服务器,例如由ASP(Application Service Provider)提供的,但上述服务器并不一定要在远程地点被连接。例如,这些服务器也可以被连接到存在节点90、网络监视装置20的本地网络上。
图2是示出本实施方式所涉及的网络监视装置20及管理服务器50的硬件构成的图。此外,在图2中,对于网络监视装置20及管理服务器50以外的构成(路由器10、节点90等)省略图示。网络监视装置20及管理服务器50是分别包括CPU(Central Processing Unit)11a、11b、RAM(Random Access Memory)13a、13b、ROM(Read Only Memory)12a、12b、EEPROM(Electrically Erasable Programmable Read Only Memory)或HDD(Hard Disk Drive)等存储装置14a、14b、NIC(Network Interface Card)15a、15b等通信组件等的计算机。
图3是示出本实施方式所涉及的网络监视装置20的功能构成概略的图。此外,在图3中,对于网络监视装置20以外的构成(路由器10、节点90及管理服务器50等)省略图示。通过记录于存储装置14a的程序在RAM13a被读出并被CPU11a执行,网络监视装置20作为包括通信取得部21、通信阻断部22、应用程序检测引擎23、协议异常检测引擎24及恶意软件行为检测引擎25的信息处理装置而发挥作用。另外,恶意软件行为检测引擎25包含比较部251、评价值取得部252、校正部253、确定部254、保持部255、合计部256、判定部257及相关分析部258。另外,在本实施方式中,网络监视装置20具备的各种功能虽然被作为通用处理器的CPU11a执行,但上述功能的一部分或全部也可被一个或多个专用处理器执行。另外,也可以利用云技术等,由设置在远隔地点的装置、分散设置的多个装置来执行上述功能的一部分或全部。
通信取得部21取得通过连接到网络的终端来进行收发的通信。此外,在本实施方式中,在成为基于网络监视装置20的监视及检测的对象的“终端”,除了网络分段2连接的节点90以外,包含有通过节点90和路由器10来进行通信的其他装置(属于其他网络的节点、外部服务器等)。
根据应用程序检测引擎23、协议异常检测引擎24或恶意软件行为检测引擎25,在通信阻断部22判定为终端在进行非法活动的情况下,阻断基于该终端的通信。此外,在本实施方式中,对于采用终端被判定为在进行非法活动的情况下阻断该终端的通信的应对的示例进行了说明,但终端被判定为在进行非法活动的情况下的应对方法并不被限定为通信阻断。网络监视装置20在终端被判定为进行非法活动的情况下,可以进行警报(警告)通知,也可以对进行非法活动的终端实施治愈(例如,恶意软件去除、脆弱性去除)。
应用程序检测引擎23是对恶意软件所利用的、业务上不需要的应用程序在网络上所进行的通信进行检测的引擎,例如,通过对基于已知的RAT(Remote Access Trojan)、P2P(Peer to Peer)应用程序,Tor(The Onion Router)、UltraSurf(Proxy工具)及匿名代理等的通信进行检测,检测出业务上不需要的应用程序在节点90进行的动作。
协议异常检测引擎24是检测网络上的不遵循协议的通信的引擎,例如,包含HTTP异常检测引擎、SSL/TLS异常检测引擎及DNS异常检测引擎等。协议异常检测引擎24通过检测不遵循上述协议的通信,检测出在网络上进行不遵守协议的通信的节点90。
恶意软件行为检测引擎25是针对被恶意软件活动转换模型定义的、恶意软件的每个非法活动阶段,评价网络上的通信与“恶意软件特有的通信模式”的共通性,通过监视恶意软件活动阶段的转换状况来分析恶意软件的行为(举动),检测节点90中的恶意软件感染的引擎。
图4是示出根据本实施方式的恶意软件行为检测引擎25而被使用的恶意软件活动转换模型的图。此外,在本实施方式中所示的恶意软件活动转换模型中定义了阶段P1到阶段P8,但这是在本实施方式中使用的一个示例,根据实施方式也可以适当变更恶意软件活动转换模型。下面,对本实施方式所涉及的恶意软件活动转换模型中的各阶段进行说明。
阶段P1是侵入阶段,即以目标型攻击邮件的附件、邮件的URL的点击、Web站点(主要是SNS站点)上的URL的点击等为契机,投入利用OS、应用程序的脆弱性而感染的恶性内容(也称为恶性代码、攻击代码、漏洞利用(Exploit)等)的阶段。在蠕虫等自主型恶意软件侵入的情况下,阶段P1之后的转移目的地是阶段P2、阶段P4或阶段P8,在BOT系恶意软件的情况下,阶段P1之后的转移目的地是阶段P2或阶段P4。
阶段P2是探索阶段,即具有脆弱性的感染终端的探索阶段。
阶段P3是感染、浸润阶段(扩散阶段),即对脆弱的目标送入攻击代码来使其感染或从其他终端送入攻击代码来使其感染的阶段。在感染、浸润阶段中,通过已经感染的终端将攻击代码送入目标终端,被送入攻击代码的终端感染上恶意软件。例如,利用Windows(注册商标)OS的MS-RPC、文件共享的脆弱性来进行扩散活动。在BOT系的恶意软件的情况下,基于由攻击者(首脑(日语:ハーダー))发行的、经由了C&C(Command and Control命令和控制)服务器的指令(阶段P6)来执行感染活动(恶意软件的扩散活动)。在蠕虫等自主型恶意软件的情况下,阶段P3之后的转移目的地是阶段P4或阶段P8,在BOT系恶意软件的情况下,阶段P3之后的转移目的地是阶段P4。感染、浸润阶段具有两个方面。一个是感染源终端执行感染活动的阶段。另一个是作为被害者(感染目的地)终端,攻击代码被送入使其被感染的阶段。
阶段P4是执行文件的下载阶段,即攻击代码被送入之后,从恶意软件的发布点、已经感染的终端下载作为恶意软件主体的执行文件并活性化,或者以回避反病毒产品进行的恶意软件检测、追加新功能等的目的,按照来自于攻击者的指令(经由C&C服务器)从指定的站点下载新的恶意软件的阶段。恶意软件主体的下载主要使用HTTP、FTP、TFTP。另外,也有使用恶意软件独立的协议的情况。在BOT等远距离操纵类型的恶意软件的情况下,阶段P4之后的转移目的地是阶段P5或阶段P6,在蠕虫等自主型恶意软件的情况下,阶段P4之后的转移目的地通常是阶段P2或阶段P8。
阶段P5是C&C检索阶段,即检索用于接受来自于攻击者的指令的C&C服务器的阶段。转换到该阶段的恶意软件主要是BOT等远距离操纵类型的恶意软件。恶意软件中通常编入多个C&C服务器的FQDN,使用DNS询问进行地址解决。在P2P类型的BOT网络的情况下,使用P2P协议(通用或独立协议)检索C&C节点。IP地址被硬件编码的类型的恶意软件在该阶段不活动。阶段P5之后的转移目的地是阶段P6。
阶段P6是C&C通信(包含的、互联网连接确认)阶段,即为了进行来自攻击者的指令的接收与指令执行结果的报告(响应)等,连接到C&C服务器进行数据收发的阶段。连接到C&C服务前之前,存在进行互联网连接确认的恶意软件。在与C&C服务器的连接中,使用阶段P5中地址解决成功了的IP地址中的任一个或被恶意软件硬件编码了的IP地址中的任一个。当从C&C服务器接收到指令时,按照来自攻击者的指令,恶意软件的活动从阶段P6转移到阶段P2、阶段P4或者阶段P8。通过经由C&C服务器将执行结果通知攻击者。另一方面,恶意软件在连接C&C服务器失败的情况下用其他的IP地址再度尝试连接,那样也失败的情况下,回到阶段P5检索其他的C&C服务器或停止活动本身。此外,直到连接成功为止不停地反复再连接的恶意软件的存在也被报告。另外,在C&C通信路径中发生异常而不能恢复的情况下,恶意软件的活动转移到阶段P5。进一步地,也存在在一定期间中进行变更C&C服务器的动作的恶意软件,在这种情况下,恶意软件的活动转移到阶段P5。另外,阶段P6包括等候来自攻击者的指令的阶段。恶意软件定期访问C&C服务器,维持通信路径并等候来自攻击者的指令。也存在在一定期间中进行变更C&C服务器的动作的恶意软件,在这种情况下,恶意软件的活动也转移到阶段P5。
阶段P7是榨取信息的上传阶段,即,将通过恶意软件等的活动而得到的信息上传到攻击者侧的服务器等的阶段。
阶段P8是攻击活动阶段,即按照来自于攻击者的指令(BOT系)或恶意软件自身中编入的攻击代码(蠕虫系)进行攻击活动的阶段。为了找出攻击目标,也存在进行与阶段P1相当的活动。攻击活动中包含DoS攻击、垃圾邮件攻击、Web攻击(Web窜改)、跳板(日语:踏台)等。
恶意软件行为检测引擎25通过设有比较部251、评价值取得部252、校正部253、确定部254、保持部255、合计部256、判定部257及相关分析部258(参照图3),监视如上述那样被定义的恶意软件的活动阶段的转换状况,检测节点90中的恶意软件感染。下面,对恶意软件行为检测引擎25设有的各功能部进行说明。
比较部251将通信取得部21所新取得的通信(在本实施方式中为新取得并成为处理对象的数据包。下面称为“输入数据包”)与预先保持的通信模式进行比较。通信模式中,作为恶意软件各种活动结果显现的特异的通信模式被预先定义。在本实施方式中,针对恶意软件活动转换模型的各个阶段,多个通信模式被预先定义,并由网络监视装置20或管理服务器保持,阶段Pn(这里,n是从1到7的整数)的通信模式像“Pn-m”(这里,m是1以上的数值)那样被表示。但是,也存在不依存于任一阶段(换言之,能够在多个不同的阶段中出现)的通信模式。在本实施方式中,不依存于从阶段P1到阶段P8的任一阶段的通信模式用“P0-m”被表示。
对于作为比较部251的比较的结果而与输入数据包一致或近似(下面,仅称为“对应的”)的通信模式,评价值取得部252取得预先设定的等级(评价值)作为输入数据包的等级。等级(Gr)是被分配到各个通信模式的示出“推测为终端在进行非法活动(恶意软件的活动)的程度”的值。在本实施方式中,等级(Gr)被设定为0≦Gr<1.0的范围的值(小数点以下1位)。等级(Gr)=0表示恶意软件的活动的结果产生的通信模式的可能性极低,越接近1的等级表示恶意软件的活动的结果产生的通信模式的可能性越高。基于作为正当的应用程序的通信模式而出现的频率,针对每个通信模式,预先确定等级(Gr)。即,对作为正当的应用程序的通信而出现的可能性较低的通信分配更高的等级,对作为正当的应用程序的通信而出现的可能性较高的通信分配更低的等级。在本实施方式中,对于通信模式Pn-m被预先设定的等级是“Gr(Pn-m)”,对进行与通信模式Pn-m符合的通信的终端(h)分配的等级用“Gr(h,Pn-m)”来表示。
此外,即使是同一通信模式,基于条件,也能够被分配不同的等级(Gr)。例如,在通信模式附带设定有两个条件“A:目的地与C&C服务器不一致”、“B:目的地与C&C服务器的一个一致”的情况下,如下进行条件判定,根据目的地是否与已注册的C&C服务器一致,分配不同的等级。
IF(Pn-m=TRUE)AND(A)THEN Gr(Pn-m)=0.1,ACTION=记录于C&C服务器候选列表
IF(Pn-m=TRUE)AND(B)THEN Gr(Pn-m)=0.6,ACTION=No
进一步地,在本实施方式中,评价值取得部252按照相关分析结果,取得等级,该相关分析结果是对输入数据包和通过输入数据包所涉及的终端在输入数据包之前或之后发送或接收的其他数据包(下面,称为“先行数据包”、“后续数据包”)的相关性进行分析的结果。更具体地来说,在本实施方式中,评价值取得部252判定通过通信取得部21针对通信(输入数据包)所取得的阶段与针对关于该通信所涉及的终端在该通信之前或之后进行的其他通信(先行数据包或后续数据包)所取得的阶段之间是否具有连续性,在判定为具有连续性的情况下,取得等级。
校正部253按照输入数据包与先行数据包或后续数据包的相关分析结果,校正通过评价值取得部252取得的等级。更具体地来说,在本实施方式中,判定在针对通过通信取得部21取得的通信(输入数据包)所取得的阶段与针对关于该通信所涉及的终端在该通信的前或后进行的其他通信(先行数据包或后续数据包)所取得的阶段之间是否存在连续性,在判定为具有连续性的情况下,补正部253将通过评价值取得部252取得的等级校正为比没有被判定为具有连续性的情况的更大。
换句话说,在本实施方式中,新取得的通信(输入数据包)与基于该通信所涉及的终端的过去或未来的通信(先行数据包或后续数据包)的相关分析,当在输入数据包与先行数据包或后续数据包之间,当认可“更加提高被推定为恶意软件活动的程度的连续性”的情况下,进行对过去或未来的通信(先行数据包或后续数据包)的等级的取得,或进行对新取得的通信(输入数据包)的等级的校正。
对于输入数据包,确定部254确定该终端所涉及的阶段及等级。确定部254将针对作为比较部251的结果而与输入数据包对应的通信模式Pn-m预先设定的阶段Pn确定为该终端所涉及的阶段。另外,虽然也有确定部254将通过评价值取得部252取得的等级Gr(Pn-m)照原样确定为输入数据包的等级的情况,但在通过校正部253校正等级的情况下,校正值被确定为输入数据包的等级。
保持部255针对每个终端保持确定的等级的各个阶段的最大值。在本实施方式中,保持部255针对恶意软件活动转换模型的各个阶段Pn,将对于该阶段Pn检测出的通信模式Pn-m的等级Gr(Pn-m)的最大值作为阶段Pn的等级来保持,并用“PGr(Pn)”来表示。终端(h)的阶段Pn的等级用“PGr(h,Pn)”被表示,并用下式取得。
PGr(h,Pn)=max{Gr(Pn-m)|Pn-m∈h}
在本实施方式中,保持部255针对每个终端,利用保持各个阶段的等级最大值的管理表格,对每个终端、各个阶段的等级进行管理(省略图示)。等级管理表格中,针对网络监视装置20掌握的每个终端(h),保持各阶段Pn的等级PGr(h,Pn)。如前所述,各阶段Pn的等级PGr(h,Pn)是对于该阶段Pn检测出的通信模式Pn-m的等级Gr(Pn-m)的最大值。因此,对于任一个阶段,等级被新确定的话,将新确定的等级与等级管理表格中保持的等级PGr(h,Pn)进行比较,更新为最大值。此外,对于每个通信模式Pn-m的等级Gr(Pn-m)的最大值Gr(h,Pn-m),也被保持在存储装置14a中。
合计部256针对每个终端,取得从阶段P1到阶段P8的各个阶段的等级的最大值PGr(h,Pn),并合计上述最大值。
判定部257基于成为处理对象的终端(h)的、各个阶段的等级的最大值PGr(h,Pn),判定终端是否进行非法活动。在本实施方式中,判定部257基于通过合计部256得到的合计值,判定终端是否进行非法活动。更具体地来说,判定部257通过对合计值进行规定的加权,计算出“显示恶意软件进行活动的可能性的大小的值”(下面,称为“恶意软件活动可能性”),在该值超过规定的阈值的情况下,判定该终端在进行非法活动。终端(h)的恶意软件活动可能性显示终端(h)感染恶意软件的可能性的程度,用“IR(h)”来表示。终端(h)的恶意软件活动可能性的取0(没有感染)~100(感染的可能性大)的值。即,在本实施方式中,终端(h)的恶意软件活动可能性如下地被定义。这里,ψ表示恶意软件活动系数。
[数1]
一般来说,因为可以判断在活动转换模型的大量(连续的)阶段上检测出通信模式的终端,比在更少的阶段上检测出通信模式的终端,感染恶意软件的可能性较高,所以导入恶意软件活动系数ψ(在本实施方式中,作为具体的值0.5被设定)。每当与终端(h)关联的通信模式对应的通信模式被检测出,就计算并更新上述的恶意软件活动可能性IR(h)。
在本实施方式中,将恶意软件活动可能性为0~49的终端定义为“干净终端”,将恶意软件活动可能性为50~89的终端定义为“灰色终端”,将恶意软件活动可能性为90~100的终端定义为“黑色终端”终端。针对每个终端,恶意软件活动可能性及“干净”、“灰色”、“黑色”被表示在管理者终端的管理屏幕(设备一览画面)上作为实时报告信息。另外,针对每个终端,被检测出的“通信模式”的概要和检测次数的列表被表示作为详细信息。此外,“干净”、“灰色”、“黑色”的恶意软件活动可能性的阈值也可以被管理者设定。
相关分析部258进行输入数据包与通过输入数据包所涉及的终端而在输入数据包之前或者之后发送或者接收到的其他数据包(先行数据包或者后续数据包)的相关分析。即,在本实施方式中实施的相关分析是分析2个以上的通信间或者2个以上的阶段间有没有连续性、共同性等相关性或者相关性的程度的相关分析,通过评价值取得部252、校正部253和判定部257等来使用相关分析的结果。例如,相关分析部258进行通过确定部254而被确定为是侵入阶段P1的第一通信与被确定为是执行文件的下载阶段的第二通信的相关分析,从而判定在基于第一通信的内容的下载与基于第二通信的执行文件的下载之间有没有相关性或者相关性的程度。此外,关于相关分析的具体方法,在后面叙述。
<处理流程>
然后,利用流程图来对本实施方式所涉及的系统1所执行的处理的流程进行说明。此外,下面说明的流程图所示的处理的具体内容及处理顺序是用于实施本发明的一个例子。也可以根据本发明的实施方式适当选择具体的处理内容及处理顺序。
网络监视装置20连接新的网络的话,在开始后述的各数据包d检测处理之前,作为准备处理,执行网络构成的解析/学习处理。具体来说,网络监视装置20连接新的网络的话,取得规定时间数据包,通过解析取得的数据包,对成为监视对象的网络构成进行解析,学习在恶意软件检测中必要的信息(设备一览(设备类型、OS种类、MAC/IP地址等))、监视对象网络的地址体系、DNS服务器信息、邮件服务器信息、代理(HTTP/SOCKS)信息、Active Directory信息等)并将其保存于存储装置14a等。
此外,网络构成的解析/学习处理在后述的检测处理开始之后也由网络监视装置继续执行。即,网络监视装置20将解析取得的数据包而得到的信息与通过以前的解析/学习处理被学习并被保持于网络监视装置20的存储装置14a的信息进行对照核查,对照核查的结果,在新得到的信息与保持的信息不同的情况下,网络监视装置20判断出网络分段2中的构成被变更了,并使用新得到的信息来更新网络监视装置20的存储装置14a中保持的信息。
图5是示出本实施方式所涉及的每个数据包的检测处理的流程概要的流程图。通过网络监视装置20,在网络上流通的数据包(或者,由多个数据包构成的数据)被取得时执行本实施方式所涉及的检测处理。
步骤S001中,数据包解析的前处理被执行。一旦通过通信取得部21新取得通信(输入数据包),网络监视装置20就进行输入数据包的整形、分类及与有效的已有流程的关联。另外,网络监视装置20将输入数据包分类为终端单位(发送源/目的地地址(MAC地址)单位)、协议(TCP/UDP、ICMP、DNS、HTTP、HTTPS、IRC、FTP、TFTP、SOCKS、NetBIOS等)单位并进行与已有流程的关联。之后,处理进入步骤S002。
从步骤S002到步骤S005中,进行基于应用程序检测引擎23及协议异常检测引擎24的处理。本实施方式所涉及的网络监视装置20利用上述三种检测引擎(检测程序)检测连接到网络的终端的非法通信,在本实施方式中,网络监视装置20一旦取得数据包,就在进行了基于应用程序检测引擎23及协议异常检测引擎24的检测之后,进行基于恶意软件行为检查引擎25的检测。即,在本实施方式中,恶意软件行为检测引擎25基于没有被其他的检测手段(应用程序检查引擎23及协议异常检测引擎24)检测为非法通信的通信,判定节点90是否进行非法活动。通过这样做,根据本实施方式,能够减少被恶意软件行为检测引擎25处理的数据包的数量,并减少由于行为检查引擎的动作而产生的负荷。但是,恶意软件行为检测引擎25既可单独地进行动作,也可与其他的检测引擎组合进行动作。另外,数据包被取得时的检测引擎的处理顺序并不被限定为本实施方式所示的示例。
在不需要的应用程序被应用程序检测引擎23检测到的情况下或在协议异常被协议异常检测引擎24检测到的情况下,处理进入步骤S012,进行阻断或发出警告。另一方面,在没有检测到不需要的应用程序或协议异常的情况下,处理进入步骤S006。此外,本流程图中,从步骤S006到步骤S011的处理与恶意软件行为检查引擎25的处理相当。
步骤S006中,进行通信模式的判定处理。比较部251通过将输入数据包与预先定义的通信模式(Pn-m)进行比较,判定输入数据包与预先定义的通信模式(Pn-m)的共通性。这里,在判定为与通信模式(Pn-m)具有共通性的情况下,输入数据包所涉及的终端(h)的活动转换模型上的阶段确定为阶段Pn(h)。另外,判定后,评价值取得部252将判定为一致或近似(对应)的通信模式的等级Gr(Pn-m)与终端(h)关联,并作为输入数据包的等级Gr(h,Pn-m)而取得。进一步地,网络监视装置20基于检测出的通信模式,将对象通信的发送源终端或目的地终端注册为“恶意软件发布服务器候选列表”、或“C&C服务器候选列表”。这里,考虑到数据包丢失,将所有的阶段的通信模式作为对象来进行判定及评价。此外,为了与已知的已判定流程关联,对于追加的判定处理不需要的输入数据包不进行判定,仅进行统计信息的更新。其后,处理进入步骤S007。
步骤S007中,进行第一相关分析。评价值取得部252拾取步骤S006中未能检测出的C&C通信。在转换到探索阶段P2、感染、浸润阶段P3、执行文件的下载阶段P4、攻击活动阶段P8时,评价值取得部252拾取成为该作为触发的通信,网络监视装置20将对象通信的发送源终端或目的地终端登记到C&C服务器候选列表。此外,对于第一相关分析的处理内容,将参照图6到图8及图9在后面进行叙述。其后,处理进入步骤S008。
步骤S008中进行第二相关分析。校正部253分析步骤S006中被判定的终端(h)的活动阶段Pn(h)与紧接在其之前活动的阶段的连续性即与其他(感染)终端的举动的相关性。分析之后,当发现是恶意软件的动作的可能性较高的通信模式时,校正部253使用下式来校正步骤S006中判定的终端(h)的通信模式(Pn-m)的等级Gr(h,Pn-m),并分配更高的等级。
Gr(h,Pn-m)=θ·Gr(h,Pn-m)
其中,恶意软件举动类似系数θ的范围为1.0到2.0。这里,1.0意味着“没有类似性”。此外,对于第二相关分析的处理内容及恶意软件举动类似系数θ,将参照图6到图8及图10到图15,在后面进行叙述。其后,处理进入步骤S009。
步骤S009中,活动阶段的等级(PGr)被确定。确定部254基于步骤S006到步骤S008的处理结果,根据对应的终端h的通信模式的等级Gr(h,Pn-m),确定阶段Pn的等级PGr(h,Pn)i。此外,这里PGr(h,Pn)i-1表示到上次为止的阶段Pn的等级。
PGr(h,Pn)i=max{PGr(h,Pn)i-1,Gr(h,Pn-m)}
其后,处理进入步骤S010。
步骤S010中,恶意软件活动可能性(IR(h))被计算出。合计部256及判定部257计算出终端h的恶意软件活动可能性IR(h)。关于具体的计算方法,如之前在合计部256及判定部257的说明中所叙述的。其后,处理进入步骤S011。
步骤S011及步骤S012中,恶意软件活动可能性IR(h)在规定的阈值以上的情况下,进行阻断该终端或发出管理者警报等的应对。判定部257判定步骤S010中计算出的终端的恶意软件活动可能性是否在表示“黑色”的规定的阈值以上(步骤S011)。然后,在恶意软件活动可能性为“黑色”的情况下,通信阻断部22进行阻断该终端的通信的、或向管理者发出警报等的应对(步骤S012)。另外,在恶意软件活动可能性为“灰色”的情况下,网络监视装置20也可以向管理者发出警报。在恶意软件活动可能性为“干净”的情况下,不进行阻断或发出警报等的应对。其后,本流程图所示的处理结束。
图6到图8示出本实施方式所涉及的、基于恶意软件行为检查引擎25的检测处理的流程的流程图。本流程图对使用图5来进行说明的检测处理的步骤S006到步骤S012的处理进行更加详细地说明。更具体地来说,步骤S101到步骤S103对图5的步骤S006中说明的通信模式判定处理进行更详细地说明,步骤S104到步骤S110对步骤S007中说明的第一相关分析处理进行更详细地说明,步骤S111到步骤S116对步骤S008中说明的第二相关分析处理进行更详细地说明,步骤S117到步骤S120对步骤S009中说明的活动阶段的等级确定处理进行更详细地说明。另外,步骤S121与图5的步骤S010相当,步骤S122及步骤S123与步骤S011及步骤S012相当。
步骤S101及步骤S102中,判定取得的数据包(输入数据包)是否符合预先定义的通信模式的任一个。比较部251通过将输入数据包与预先保持的通信模式进行比较,判定输入数据包与预先定义的通信模式(Pn-m)的共通性。作为判定的结果,在判定为与任一通信模式都不符合的情况下,结束该数据包所涉及的处理,并结束本流程图中所示的处理。另一方面,在判断为与某一通信模式符合的情况下,处理进入步骤S103。
步骤S103中,关于输入数据包所涉及的终端,对检测出判定为符合的通信模式(Pn-m)的情况进行记录。另外,评价值取得部252将与输入数据包对应的通信模式(Pn-m)所属的阶段Pn及对于通信模式(Pn-m)被预先设定的等级Gr(Pn-m)作为输入数据包所涉及的终端(h)的阶段Pn(h)及该阶段的等级Gr(h,Pn-m)来取得。其后,处理进入步骤S104。
步骤S104及步骤S105中,在与输入数据包对应的通信模式中设定有必须条件的情况下,判定是否在过去取得与必须条件对应的通信。在没有设定必须条件的情况下,处理进入步骤S107。这里,必须条件是指,用于判定是否可以将对于判定为在步骤S101中与输入数据包对应的通信模式(Pn-m)被预先设定的等级Gr(Pn-m)作为该输入数据包所涉及的终端(h)的阶段Pn(h)的等级Gr(h,Pn-m)来确定的条件。例如,“P6-4:将HTTP标准端口(80)作为目的地端口的HTTP通信(代理/非代理)”的通信模式是HTTP的一般性的通信,对于该通信模式,“P0-1~P0-15”中被定义的“HTTP恶意通信模式”中的任一个被检测出是必须条件。因此,在满足了上述的必须条件的情况下,对于该输入数据包通信模式P6-4的等级Gr(h,P6-4)被确定,在没有满足必须条件的情况下,对于该输入数据包通信模式P6-4的等级Gr(h,P6-4)没有被确定。
即,评价值取得部252通过判定在过去取得的通信是否满足必须条件,判定在针对输入数据包所取得的阶段与针对关于该通信所涉及的终端在该通信之前进行的其他通信(先行数据包)所取得的阶段之间是否具有连续性。在判定为没有满足必须条件的情况下,处理进入步骤S106,该输入数据包的等级被设定为0(零)。另一方面,在判定为满足必须条件的情况下,处理进入步骤S107。
步骤S107中,等级被分配到输入数据包所涉及的终端的阶段中。评价值取得部252对于输入数据包,取得被判定为符合的通信模式Pn-m中被预先定义的等级Gr(Pn-m),并作为终端(h)的阶段Pn(h)的等级Gr(h,Pn-m)。其后,处理进入步骤S108。
步骤S108中,对输入数据包是否与在过去检测出的通信模式的必须条件符合进行判定。换句话说,在步骤S108中,从在过去取得的通信(先行数据包)来看,在相当于未来的现在时刻,对是否检测出与必须条件符合的通信(输入数据包)进行判定。评价值取得部252对在过去是否检测出输入数据包的通信模式被设定为必须条件的通信模式进行判定。作为判定的结果,判定为在过去没有检测出将输入数据包所涉及的通信模式作为必须条件的通信模式的情况下,处理进入步骤S111。另一方面,作为判定的结果,判定为在过去检测出将输入数据包所涉及的通信模式作为必须条件的通信模式的情况下,处理进入步骤S110。
步骤S110中,对过去取得的通信(先行数据包)的阶段分配等级。评价值取得部252,对于在过去检测出的通信,取得该通信模式(Pn-m)中被预先定义的等级Gr(Pn-m)并分配。其后,处理进入步骤S111。
步骤S111及步骤S112中,在与输入数据包对应的通信模式中设定有等级校正条件的情况下,对在过去是否取得与等级校正条件符合的通信进行判定。在设定有等级校正条件的情况下,处理进入步骤S114。这里,等级校正条件是用于判定是否应该将对于判定为在步骤S101中与输入数据包对应的通信模式(Pn-m)被预先设定的等级Gr(Pn-m)校正为更大的值的条件。校正部253判定与等级校正条件符合的通信对于输入数据包所涉及的终端在过去是否被检测出。在判定为没有满足等级校正条件的情况下,不进行等级的校正,处理进入步骤S114。另一方面,在判定为满足必须条件的情况下,处理进入步骤S113。
步骤S113中,进行等级的校正。校正部253对于步骤S112中判定为满足的等级校正条件,按照预先设定的校正值,对步骤S107中分配的等级Gr(h,Pn-m)进行校正。例如,校正值为1.5的情况下,等级Gr(h,Pn-m)的值变为1.5倍。其后,处理进入步骤S114。
步骤S114中,对输入数据包是否与在过去检测出的通信模式的等级校正条件符合进行判定。换句话说,步骤S114中,从在过去取得的通信(先行数据包)来看,在相当于未来的现在时刻,对与等级校正条件符合的通信(输入数据包)是否被检测出进行判定。校正部253对在过去是否检测出输入数据包的通信模式被设定为等级校正条件的通信模式进行判定。作为判定的结果,判定为在过去没有检测出将输入数据包所涉及的通信模式作为等级校正条件的通信模式的情况下,处理进入步骤S117。另一方面,作为判定的结果,判定为在过去检测出将输入数据包所涉及的通信模式作为等级校正条件的通信模式的情况下,处理进入步骤S116。
步骤S116中,进行过去的通信(先行数据包)所涉及的等级的校正。校正部253对被分配到在过去被检测出的通信模式所涉及的终端的等级,用对于该等级校正条件而被预先定义的校正值来进行校正。例如,在校正值为1.5的情况下,等级变为1.5倍。其后,处理进入步骤S117。
步骤S117到步骤S120中,进行各个阶段的最大等级的更新处理。首先,网络监视装置20对于输入数据包所涉及的终端,从等级管理表格取得(步骤S117)针对各检测阶段(P1到P8)保持的最大等级(对于进行校正的等级是校正后的值)并通过与步骤S101到步骤S116的处理后由确定部254确定的等级进行比较,在各阶段中,判定最大等级是否被更新(步骤S118)。这里,在判定为最大等级没有被更新的情况下,处理进入步骤S121。另一方面,在判定为最大等级被更新的情况下,保持部255用新分配的等级来对等级管理表格中记录的最大等级进行更新并对其进行保持(步骤S120)。此外,在该过程中,证迹日志被采集选取(步骤S119)。其后,处理进入步骤S121。
步骤S121中,计算出终端中的恶意软件活动可能性。合计部256对该终端h的各阶段中求出的最大等级进行合算,判定部257通过对恶意软件活动系数进行乘算,计算出终端h的恶意软件活动可能性IR(h)。详细的计算方法是在合计部256及判定部257的说明中如前所述的那样。其后,处理进入步骤S122。
步骤S122及步骤S123中,对象90的、恶意软件感染的有无被判定。判定部257对步骤S121中计算出的恶意软件活动可能性IR(h)是否超过规定的阈值进行判定(步骤S122)。这里,在判定为恶意软件活动可能性IR(h)超过阈值的情况下,网络监视装置20进行恶意软件感染被检测出时的规定的应对。作为恶意软件感染被检测出时的应对,例如,例举有基于通信阻断部22的该节点90的通信阻断开始、或该节点90感染恶意软件的警报(警告)的通知等。另一方面,在判定为恶意软件活动可能性IR(h)没有超过阈值的情况下,不进行通信阻断或警告等的、恶意软件感染被检测出时的对应。其后,本流程图所示的处理结束。
此外,网络监视装置20可以使用例如毁弃从L2/L3开关取得的通信数据的方法、阻断L2/L3开关的端口的方法、对于节点90进行基于ARP伪装的数据包发送目的地的诱导的方法、或者指示路由器10并使节点90所涉及的通信毁弃的方法、或者变更并隔离节点90所属的VLAN的方法等,对基于节点90的通信进行阻断。另外,在网络监视装置20被装载(内包)于路由器10中的情况下,也可以直接对节点90接收或发送的通信进行阻断。另外,网络监视装置20可以使用将通知数据包或邮件等发送到管理服务器或节点90、预先设定的管理者终端等的方法、或者通过被设置于网络监视装置20自身的显示装置(显示器或LED等)来进行警告显示的方法等,通知警报。
<相关分析的具体例>
下面,对相关分析的具体实例进行说明。但是,相关分析是根据伴随恶意软件活动的阶段转换的观点来分析终端的多个通信是否具有相关性即可,其并不被限定为本实施方式所示的示例。
(1)第一相关分析
通信模式的判定处理(参见步骤S006)基于预先定义的“通信模式”。因此,仅在该处理中,不能检测进行与通信模式不一致的通信的恶意软件。因而,在本实施方式中,决定为进行第一相关分析(参见步骤S007)。
图9是示出在本实施方式中的第一相关分析中作为监视对象的活动转换模型上的阶段及其转换的图。一般来说,恶意软件按照来自于C&C服务器的指令,转换到探索阶段P2、感染、浸润阶段P3、执行文件的下载阶段P4或攻击活动阶段P8。另外,接收来自于C&C服务器的指令之后,转换到探索阶段P2、感染、浸润阶段P3、执行文件的下载阶段P4或攻击活动阶段P8为止的时间通常非常的短(1秒以内)。第一相关分析中,利用该特性,在终端(h)转换到探索阶段P2、感染、浸润阶段P3、执行文件的下载阶段P4或攻击活动阶段P8时,暂时将成为触发的通信当作C&C通信,并将该通信所涉及的终端注册到C&C服务器候选列表。注册到C&C服务器候选列表后,对恶意软件的感染进行特定的处理遵从如上所示的恶意软件的检测方法。
(1.1)准备(评价信息的收集)
第一相关分析中,活动转换模型上的探索阶段P2、感染、浸润阶段P3、执行文件的下载阶段P4或攻击活动阶段P8中的活动被观测到(通信模式被检测出)时,分析成为该触发的通信,在满足一定条件的情况下,将成为该触发的通信的发送源(从终端(h)来看的话是连接目的地)作为C&C服务器候选注册到列表。下面,对第一相关分析中利用的信息的收集方法与记录内容进行说明。此外,每当对监视对象终端发送的数据包进行检测时执行下面的处理。另外,在通信模式的判定处理(参照步骤S006)结束后执行该准备(评价信息的收集)处理。
(1.1.1)分析
分析数据包,在满足下面的条件的情况下进入(1.1.2)的等待数据包。在不满足条件的情况下什么也不做,等待数据包。
·数据包是终端(h)发送的HTTP GET、POST、CONNECT请求中的任一个。并且
·GET请求不是文件的下载要求。并且
·User-Agent头部的值不以“Mozilla”开始,或者User-Agent头部不存在。
此外,上述的User-Agent的条件意味着仅将网络浏览器以外的应用程序发送的HTTP请求作为评价对象。因为(伪装)网络浏览器通信在通信模式的判定处理中成为评价对象,所以在第一相关分析中仅非网络浏览器通行成为对象。然后,不满足上述条件的情况下,下面的信息被记录在终端(h)的管理表格中。
·方法类别(GET、POST、PUT、CONNECT中的任一个)
·User-Agent头部的值(字符串)。User-Agent头部不存在的话是“NULL”
·Host头部的值(FQDN或IP地址)
(1.1.2)等候数据包
这里,后续的数据包被等候。一旦接收数据包,就进行下面的处理。
·数据包是满足(1.1.1)的条件的终端(h)发送的新的HTTP请求的情况下,处理返回(1.1.1)的分析。此外,作为HTTP请求及其响应,虽然仅最新的数据的时间标识是必要的,但是因为有可能发生数据包丢失,所以也可以在接收所有的HTTP响应时记录时间标识,并在接收到后续的响应时进行覆写。
·数据包是终端(h)在(1.1.1)中发送的HTTP请求的响应且HTTP响应的主体部分的大小为0的情况下,处理转移到(1.1.1)。这是因为在HTTP响应的主力部分的大小为0的情况下,意味着不包含来自C&C服务器的指令信息。
·数据包是终端(h)在(1.1.1)中发送的HTTP请求的响应。并且在HTTP响应的主体部分的大小不为0情况下,记录在下面示出的内容,处理转移到(1.1.3)。
·记录HTTP响应数据包的检测(接收)时刻(时间标识:毫秒)。以后,用“TimeStamp(C)”表示该时间标识。此外,在这里,虽然仅HTTP响应的最终数据的时间标识是必要的,但因为有可能发生数据包丢失,所以在接收所有的HTTP响应时记录时间标识,并在接收到后续的响应时进行覆写。
(1.1.3)判定
在这里,进行下面的判定及处理。
·在(1.1.2)中处理的数据包不是HTTP响应的最终数据的情况下,恶意软件行为引擎25停留于(1.1.2),等候后续的响应。
·在(1.1.2)中处理的数据包是HTTP响应的最终数据的情况下,恶意软件行为引擎25移往(1.1.1)的分析,等候新的HTTP请求。
(1.2)向探索阶段P2转换时的处理内容
恶意软件行为检测引擎25依次进行下面的处理,在满足条件的情况下,将“准备(评价信息的收集)”中记录的数据包所涉及的终端注册到C&C服务器候选列表中。
·探索阶段P2上的活动与认定(与“探索阶段P2的通信模式”一致)并且
·向探索阶段P2转换的时刻(时间标识:TimeStamp(P2))与记录的TimeStamp(C)满足下面的条件。
TimeStamp(C)+500ms>TimeStamp(P2)
恶意软件行为检测引擎25将等级(Gr)=0.3赋予到满足上述条件的“准备(评价信息的收集)”中记录的通信(输入数据包)中。与记录的C&C通信阶段的等级(PGr)进行比较,将较大的值的等级作为C&C通信阶段的等级(PGr)进行重新记录。此外,在通信模式的判定处理中,在检测出“探索阶段P2的通信模式”时记录TimeStamp(P2)。TimeStamp(P2)的计测对象仅是探索、感染阶段上的符合于“可疑的连接尝试”的通信模式。另外,通信模式的观测时刻作为检测出符合于“可疑的连接尝试”的通信模式的时刻。
(1.3)向执行文件的下载阶段P4转换时的处理内容
恶意软件行为检测引擎25依次进行下面的处理,在满足条件的情况下,将“准备(评价信息的收集)”中记录的数据包所涉及的终端登记到C&C服务器候选列表。
·执行文件的下载阶段P4上的活动与认定(与“执行文件的下载阶段P4的通信模式”一致)并且
·向执行文件的下载阶段P4转换的时刻(时间标识:TimeStamp(P4))与记录的TimeStamp(C)满足下面的条件。
TimeStamp(C)+500ms>TimeStamp(P4)
恶意软件行为检测引擎25将等级(Gr)=0.3赋予到满足上述条件的“准备(评价信息的收集)”中记录的通信中。与记录的C&C通信阶段的等级(PGr)进行比较,将较大的值的等级作为C&C通信阶段的等级(PGr)进行重新记录。此外,在通信模式的判定处理中,在检测出“执行文件的下载阶段P4的通信模式”时记录TimeStamp(P4)。TimeStamp(P4)不是HTTP GET请求、FTP下载、TFTP下载的开始时刻,而是作为文件的下载结束的时刻(HTTP GET的情况是响应的最终数据包)。因为发生数据包丢失,所以也可以在检测HTTP GET响应的各个数据包、FTP/TFTP的下载数据包时更新TimeStamp(P4)。
(1.4)向攻击阶段P8转换时的处理内容
恶意软件行为检测引擎25依次进行下面的处理,在满足条件的情况下,将“准备(评价信息的收集)”中记录的数据包所涉及的终端注册到C&C服务器候选列表。
·攻击阶段P8上的活动与认定(与“攻击阶段P8的通信模式”一致)并且
·向攻击阶段P8转换的时刻(时间标识:TimeStamp(P8))与记录的TimeStamp(C)满足下面的条件。
TimeStamp(C)+500ms>TimeStamp(P8)
恶意软件行为检测引擎25将等级(Gr)=0.3赋予到满足上述条件的“准备(评价信息的收集)”中记录的通信中。与记录的C&C通信阶段的等级(PGr)进行比较,将较大的值的等级作为C&C通信阶段的等级(PGr)进行重新记录。此外,在通信模式的判定处理中,在检测出“攻击阶段P8的通信模式”时记录TimeStamp(P8)。TimeStamp(P8)不是(最终从多个数据包)认定攻击活动的时刻,而是检测出攻击的通信模式的最初的数据包的时刻。
(2)第二相关分析
恶意软件转换恶意软件活动转换模型的阶段的同时使活动深化。因此,在刚转换之后的阶段中的活动(通信)将前一个的阶段中的活动(通信)作为触发而发生的可能性较高的情况下(换句话说,前后的阶段中具有相关性的情况),可以判断为该终端感染恶意软件的概率较高。虽然也考虑到根据包含于通信模式中的数据内容(例如,来自于C&C服务器的指令内容)来判断该触发的方法,但是将数据部分加密化或难解化的恶意软件也很多,实时地解析、判定较为困难。因此,在本实施方式中,基于阶段的转换所需要的时间(检测出通信模式Pr-s之后到检测出通信模式Pm-n的为止的时间)、通信目的地(回叫通信)的终端(h)、恶意软件感染的可能性较高的多个终端的举动的相关性及一致性、处理的文件的种类等的信息来进行相关分析(参照步骤S008)。作为分析的结果,在判定为恶意软件的举动的怀疑较高的通信的情况下,对与该通信对应的通信模式Pn-m的等级Gr(Pm-n)进行校正(恶意软件的举动类似系数θ倍),并赋予更高的等级。
下面,对通信模式的相关分析的分析内容进行说明。此外,阶段的转换顺序不一致的情况下,或阶段的转换一致但过程中夹有其他的阶段的情况下,作为分析对象之外而不进行相关分析。另外,恶意软件行为检测引擎25不将所有的阶段转换作为相关分析的对象。恶意软件行为检测引擎25将作为恶意软件的举动而观测到显著的相关性的以下的阶段转换作为相关分析的对象。图10到图15中,实线箭头表示分析对象,虚线箭头表示非分析对象。
(2.1)向探索阶段P2转换时的分析内容
图10是示出在本实施方式中的第二相关分析中作为监视对象的、向探索阶段P2的转换的图。在“恶意软件的活动阶段判定”处理块中,在终端(h)向探索阶段P2转换时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.1.1)从C&C通信阶段P6向探索阶段P2转换
if{条件A=TRUE}then{Gr(h,P2-m)=θ·Gr(h,P2-m)}(θ=1.2)
·条件A:在被注册到终端(h)的C&C服务器候选列表的C&C服务器中的任一个处观测数据通信(从C&C服务器接收一些数据(指令))之后,在N(a)秒以内在终端(h)观测了探索阶段的通信模式P2-m。
此外,在这里,从C&C服务器接收到数据(指令)的时刻作为观测到下面的数据包的时刻。
·在C&C是HTTP类型的情况下,与HTTP GET/POST/PUT请求对应的、数据长度(主体部分的大小)不为0的HTTP响应(最终)数据的接收时刻
·在C&C为HTTPS(直接或CONNECT)或独立协议类型的情况下,在该TCP连接上,与终端(h)发送的数据包对应的、数据长度不为0(最终)TCP数据的接收时刻
·在C&C为IRC类型的情况下,来自C&C服务器数据长度不为0的IRC消息的最终数据的接收时刻
这里,探索阶段的通信模式P2-m仅将符合于“可疑的连接尝试”的通信模式作为对象。另外,通信模式的观测时刻作为检测出符合“可疑的连接尝试”的通信模式的时刻。
(2.2)向执行文件的下载阶段P4转换时的分析内容
图11是示出在本实施方式中的第二相关分析中作为监视对象的、向执行文件的下载阶段P4转换的图。在“恶意软件活动阶段判定”处理块中,在终端(h)转换到执行文件的下载阶段P4时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.2.1)从探索阶段P2向执行文件的下载阶段P4转换
if{条件A=TRUE}then{Gr(h,P4-m)=θ·Gr(h,P4-m)}(θ=1.5)
if{条件B=TRUE}then{Gr(h,P4-m)=θ·Gr(h,P4-m)}(θ=1.2)
·条件A:在终端(h)观测执行文件的下载的通信模式P4-m,且P4-m的连接目的地(目的地IP/FQDN)与感染源终端(k)一致。
·条件B:在终端(h)观测执行文件的下载的通信模式P4-m,且P4-m的连接目的地(目的地IP/FQDN)与被注册到恶意软件发布服务器候选列表的服务器中的某一个一致。
此外,因为存在不限定于感染恶意软件之后在一定时间内下载执行文件的情况(有10秒后进行下载的情况,也有在3天后进行下载的情况),所以在从阶段P2向阶段P3的转换中,没有加入与时间相关的条件。
(2.2.2)从C&C通信阶段P6向执行文件的下载阶段P4转换
if{条件C=TRUE}then{Gr(h,P4-m)=θ·Gr(h,P4-m)}(θ=1.2)
if{条件D=TRUE}then{Gr(h,P4-m)=θ·Gr(h,P4-m)}(θ=1.5)
·条件C:在被注册到终端(h)的C&C服务器候选列表的C&C服务器中的任一个处观测数据通信(从C&C服务器接收一些数据)之后,在N(b)秒之内在终端(h)观测了执行文件的下载阶段的通信模式P4-m。
·条件D:条件C,且P4-m的连接目的地(目的地IP/FQDN)与被注册到恶意软件发布服务器候选列表的服务器中的某一个一致。
此外,从C&C服务器接收到数据(指令)的时刻参照“(2.1)向探索阶段P2转换时的分析内容”。另外,执行文件的下载阶段的通信模式P4-m的观测时刻不是HTTP GET请求、FTP下载、TFTP下载的开始时刻,而是作为文件的下载结束的时刻(HTTP GET的情况是响应的最终数据包)。因为发生数据包丢失,所以也可以在每次检测HTTP GET响应的各个数据包、FTP/TFTP的下载数据包时更新时刻。
(2.2.3)从侵入阶段P1向执行文件的下载阶段P4转换
在“恶意软件的活动阶段判定”处理块中,在终端(h)转换到执行文件的下载阶段P4时,进行下面说明的相关分析,在判定为存在相关性的情况下,校正活动通信模式的等级,判定为感染上恶意软件(受到路过式下载攻击)(参照图5至图8)。基于映射到侵入阶段P1的通信P1-n与映射到执行文件的下载阶段P4的通信P4-m的连续性和关联性来判定有没有相关性。此处,根据连接的同一性、检测时刻的接近度、有没有在2个通信模式P1-n与P4-m之间检测到的其他数据包等来判定连续性,根据目的地服务器的地址、目的地服务器的信息的共同性等来判定关联性。
图12是示出本实施方式中的、用于判定侵入阶段P1所涉及的通信与执行文件的下载阶段P4所涉及的通信的相关性的相关分析处理的流程的流程图。本流程图所示的处理相当于使用图6和图7说明了的恶意软件行为检测引擎的步骤S111至步骤S116的处理,在后述的图16至图20的处理中,在检测到映射到侵入阶段P1的通信和映射到执行文件的下载阶段P4的通信的情况下,为了检测在该终端中进行了路过式下载攻击的情况而被执行。
在步骤S701至步骤S703中,判定是否满足相关条件1至3。在不满足相关条件1至3中的任一个的情况下,本流程图所示的处理结束。另一方面,在满足相关条件1至3中的某一个的情况下,处理前进到步骤S704。相关条件1至3如下所述。
相关条件1:在终端(h)中检测到通信模式P1-m(m=1~5)后,在与所检测到的P1-m相同的TCP连接上,检测到通信模式P4-n(n=1~4)。
if(条件=TRUE)then PGr(h,P1)=0.3
if(条件=TRUE)then Gr(h,P4-1~P4-4)=θ·Gr(h,P4-1~P4-4)(θ=2.0)
相关条件2:紧接着在终端(h)中检测到P1-m(m=1~5)之后,检测到具有与所检测到的P1-m相同的FQDN/IP地址的通信模式P4-n(n=1~4)。其中,P1-m与P4-n的TCP连接不同。
if(条件=TRUE)then PGr(h,P1)=0.3
if(条件=TRUE)then Gr(h,P4-1~P4-4)=θ·Gr(h,P4-1~P4-4)(θ=2.0)
相关条件3:紧接着在终端(h)中检测到P1-m(m=1~5)之后,检测具有与所检测到的P1-m相同的FQDN/IP地址的、被设定了IE或者Java(注册商标)的User-Agent头部值的正常的GET请求,该GET请求是唯一一个的GET请求,并且紧接着上述正常的GET请求(&响应)之后,检测到具有与所检测到的P1-m(m=1~5)相同的FQDN/IP地址的通信模式P4-n(n=1~4)。其中,P1-m与P4-n的TCP连接不同。
if(条件=TRUE)then PGr(h,P1)=0.3
if(条件=TRUE)then Gr(h,P4-1~P4-4)=θ·Gr(h,P4-1~P4-4)(θ=2.0)
在步骤S704中,对阶段P1和阶段P4-m的等级进行校正。校正部253例如进行将阶段P1的等级设定为0.3、并且使阶段P4-m的等级变成2.0倍等校正。其后,本流程图所示的处理结束,最后,通过与阈值进行比较来判定有没有恶意软件感染(路过式下载攻击)(参照图8所示的处理)。
(2.3)向C&C检索阶段P5转换时的分析内容
图13是示出在本实施方式中的第二相关分析中作为监视对象的、向C&C检索阶段P5转换的图。在“恶意软件的活动阶段判定”处理块中,在终端(h)向C&C检索阶段P5转换时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.3.1)从探索阶段P2向C&C检索阶段P5转换
if{条件A=TRUE}then{Gr(h,P5-m)=θ·Gr(h,P5-m)}(θ=1.2)
·条件A:在(被感染一侧的)终端(h)观测(通信模式P2-9或P2-10的连接目的地终端一侧)感染活动之后,在N(c)秒以内在终端(h)观测了C&C检索阶段的通信模式P5-m。
(2.3.2)从C&C通信阶段P6向C&C检索阶段P5转换
if{条件B=TRUE}then{Gr(h,P5-m)=θ·Gr(h,P5-m)}(θ=1.3)
·条件B:终端(h)从C&C通信阶段P6以一定的周期(时间)重复了向C&C检索阶段P5转换(检测出C&C检索阶段P5的通信模式P5-m)。
此外,在本实施方式中,在过去3次的转换是大致相同的周期(时间)的情况下,判断为以一定的周期重复了向C&C检索阶段P5的转换。
(2.4)向C&C通信阶段P6转换时的分析内容
图14是示出在本实施方式中的第二相关分析中作为监视对象的、向C&C通信阶段P6转换的图。在“恶意软件的活动阶段判定”处理块中,终端(h)向C&C通信阶段P6转换时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.4.1)从探索阶段P2向C&C通信阶段P6转换
if{条件A=TURE}then{Gr(h,P6-m)=θ·Gr(h,P6-m)}(θ=1.1)
if{条件B=TURE}then{Gr(h,P6-m)=θ·Gr(h,P6-m)}(θ=1.2)
if{条件C=TURE}then{Gr(h,P6-m)=θ·Gr(h,P6-m)}(θ=1.5)
·条件A:在终端(h)观测(通信模式P2-9或P2-10的感染目的地终端一侧)感染活动之后,在N(d)秒以内在终端(h)观测了C&C通信阶段P6的通信模式P6-m。
·条件B:条件A,且P6-m的连接目的地(目的地IP/FQDN)与被注册到(任意的监视对象终端的)C&C服务器候选列表的C&C服务器中的任一个一致。
·条件C:条件A,且P6-m的连接目的地(目的地IP/FQDN)与被注册到感染源终端(k)的C&C服务器候选列表的C&C服务器中的任一个一致。
(2.4.2)从执行文件的下载阶段P4向C&C通信阶段P6转换
if{条件D=TRUE}then{Gr(h,P6-m)=θ·Gr(h,P6-m)}(θ=1.1)
if{条件E=TRUE}then{Gr(h,P6-m)=θ·Gr(h,P6-m)}(θ=1.2)
if{条件F=TRUE}then{Gr(h,P6-m)=θ·Gr(h,P6-m)}(θ=1.3)
·条件D:在终端(h)观测执行文件的下载的通信模式P4-m之后,在N(e)秒以内在终端(h)观测了C&C通信阶段的通信模式P6-m。
·条件E:条件D,且P6-m的连接目的地(目的地IP/FQDN)与被注册到(任意的监视对象终端的)C&C服务器候选列表的C&C服务器中的某一个一致。
·条件F:条件D,且P6-m的连接目的地(目的地IP/FQDN)与已经被注册到终端(h)的C&C服务器候选列表的C&C服务器中的某一个一致。
(2.4.3)从C&C检索阶段P5向C&C通信阶段P6转换
if{条件G=TRUE}then{Gr(h,P6-m)=θ·Gr(h,P6-m)}(θ=1.2)
·条件G:在终端(h)观测C&C检索阶段的通信模式P5-m之后,在N(f)秒以内在终端(h)观测C&C通信阶段的通信模式P6-m,且P6-m的连接目的地(目的地IP/FQDN)与被注册到(任意的监视对象终端的)C&C服务器候选列表的C&C服务器中的某一个一致。
(2.5)向攻击阶段P8转换时的分析内容
图15是示出在本实施方式中的第二相关分析中作为监视对象的、向攻击阶段P8转换的图。在“恶意软件的活动阶段判定”处理块中,在终端(h)向C&C通信阶段P6转换时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.5.1)从执行文件的下载阶段P4向攻击阶段P8转换
if{条件A=TRUE}then{Gr(h,P8-m)=θ·Gr(h,P8-m)}(θ=1.2)
·条件A:在终端(h)观测执行文件的下载的通信模式P4-m之后,在N(g)秒以内在终端(h)观测了攻击阶段的通信模式P8-m。
(2.5.2)从C&C通信阶段P6向攻击阶段P8转换
if{条件B=TRUE}then{Gr(h,P8-m)=θ·Gr(h,P8-m)}(θ=1.2)
if{条件C=TRUE}then{Gr(h,P8-m)=θ·Gr(h,P8-m)}(θ=1.5)
·条件B:在被注册到终端(h)的C&C服务器候选列表的C&C服务器中的任一个处观测数据通信(从C&C服务器接收一些数据(指令))之后,在N(h)秒之内在终端(h)观测了攻击阶段的通信模式P8-m。
·条件C:检测出了满足条件B的两台以上的终端。(没有必要同时发生)
<路过式下载攻击的检测-概要>
此处,说明使用上述说明了的活动转换模型和相关分析的、路过式下载攻击的检测。
以往,作为在出于榨取组织、个人的机密信息的目的而执行的目标型攻击等中利用的攻击方法之一,有所谓路过式下载攻击。以往,为了检测路过式下载攻击,使用解析文件/内容自身的恶性(有没有非法的代码、攻击代码)的方法。但是,在这样的方法中,需要进行大量的日志的解析,另外,在抑制了攻击者在攻击中使用的通信量的情况下,存在错误检测的可能性升高这样的问题。
本公开鉴于上述问题,将通过与以往的方法相比更轻量的方法来检测网络终端中的规定的活动设为课题。
此处,路过式下载攻击例如按以下流程执行。
1.准备阶段
攻击者窜改目标所访问的正规的网站,插入诱导(重定向)到攻击服务器的链接。
2.向攻击服务器的诱导
如果目标访问到被窜改了的站点,则目标按照嵌入在站点中的“诱导向攻击服务器的链接”,被诱导至攻击服务器。
3.恶性内容的下载
从攻击服务器对目标送入利用目标所使用的网页浏览器、各种插件/软件的脆弱性的恶性内容。
4.恶意软件主体的下载
如果基于恶性内容的利用了脆弱性的攻击成功,则下载代码被读入目标,通过下载代码,针对目标而自动地下载恶意软件主体。
因此,在本实施方式中,关于路过式下载攻击着眼于“恶性内容的下载”和“恶意软件主体的下载”这2个通信连续地发生这一点以及在“恶性内容的下载”和“恶意软件主体的下载”这2个通信中使用不同种类的文件这一点,使用恶意软件行为检测引擎,根据在各通信中下载的文件/内容的种类和2个通信的阶段转换来检测攻击。
此外,在本实施方式中,如上所述,“恶性内容的下载”的通信模式映射到侵入阶段P1,“恶意软件主体的下载”的通信模式映射到执行文件的下载阶段P4。
以下,使用流程图来说明通过本实施方式的系统1执行的处理的流程。此外,下面说明的流程图所示的处理的具体内容和处理顺序是用于实施本发明的一个例子。具体的处理内容和处理顺序也可以根据本发明的实施方式而适当选择。
<路过式下载攻击的检测-恶性内容的侵入判定>
首先,说明用于确定通信与“恶性内容的下载”的通信模式相符合、并且终端处于侵入阶段P1的情况的处理。
图16是示出本实施方式的由恶意软件行为检测引擎25实施的内容请求解析处理的流程的流程图。本流程图相当于使用图5说明了的检测处理的步骤S006的处理,换言之相当于使用图6说明了的处理的步骤S101至步骤S103的处理。
在步骤S201中,判定所取得的数据(一个或者多个输入数据包的组合)是否与HTTP的GET/POST/PUSH请求相符合。比较部251通过对取得数据与预先保持的通信模式(此处,HTTP的GET/POST/PUSH请求的数据模式)进行比较,来判定取得数据与预先定义的通信模式(P1-m)的共同性。作为判定的结果,在判定为取得数据不是HTTP的GET/POST/PUSH请求的情况下,该取得数据所涉及的处理结束,本流程图所示的处理结束。另一方面,在判定为取得数据是HTTP的GET/POST/PUSH请求的情况下,处理前进到步骤S202。
在步骤S202中,判定取得数据(HTTP的GET/POST/PUSH请求)的URI路径部的文件名是否包含规定的扩展名。比较部251通过对取得数据(HTTP的GET/POST/PUSH请求)的URI路径部的文件名的字符串与预先保持的扩展名的字符串(例如,“.jar”、“.class”、“.xap”、“.swf”、“.pdf”中的任一方)进行比较,来判定取得数据与预先定义的通信模式(P1-m)的共同性。作为判定的结果,在判定为URI路径部的文件名包含规定的扩展名的情况下,处理前进到步骤S204。另一方面,在判定为URI路径部的文件名不包含规定的扩展名的情况下,处理前进到步骤S203。
在步骤S203中,判定取得数据(HTTP的GET/POST/PUSH请求)的头部是否与预先定义的通信模式中的某一种相符合。比较部251通过对取得数据与预先保持的通信模式(此处,是在所请求的文件是规定的种类的文件的情况下头部中可能包含的数据模式)进行比较,判定取得数据与预先定义的通信模式(P1-m)的共同性。由于即使在步骤S202中请求所涉及的文件名不包含规定的扩展名的情况下也有扩展名被窜改的可能,所以该处理是用于根据攻击者难以窜改的信息来准确地判定请求所涉及的文件的种类的处理。作为判定的结果,在判定为取得数据不包含恶性内容的请求所涉及的特征的情况下,该取得数据所涉及的处理结束,本流程图所示的处理结束。另一方面,在判定为取得数据包含恶性内容的请求所涉及的特征的情况下,处理前进到步骤S204。
在步骤S204中,执行各种内容响应解析处理。恶意软件行为检测引擎25在步骤S202或者步骤S203中,关于被判定为所请求的文件的种类是规定的文件种类的通信,对响应进行监视,判定对于该文件种类的符合性。也可以针对每个文件种类而准备内容响应解析处理。在本实施方式中,例如准备Java内容响应解析处理、PDF内容响应解析处理、Silverlight内容响应解析处理、Flash内容响应解析处理和HTML内容响应解析处理。其中,关于为了判定该通信是否为侵入阶段P1的通信而需要的文件种类,准备内容响应解析处理即可,在本实施方式中,不限定于例示出的文件种类。当执行内容响应解析处理后,本流程图所示的处理结束。
具体来说,针对步骤S202或者步骤S203中的每个判定结果,执行以下的内容响应解析处理。下面所列举的条件是步骤S202或者步骤S203中的为了用于判定而预先定义的通信模式(P1-m)。
Java内容响应解析处理:
·URI路径部的文件名包含扩展名“.jar”或者“.class”,或者
·设定了Java的User-Agent头部和Accept-Encoding头部。
PDF内容响应解析处理:
·URI路径部的文件名包含扩展名“.pdf”,或者
·设定了浏览器的User-Agent头部,并且
··未设定Accept-Language和Referer头部,或者
··在URI的路径部中不包含任意的文件扩展名,设定了查询部。
Silverlight内容响应解析处理:
·URI路径部的文件名包含扩展名“.xap”,或者
·设定了浏览器的User-Agent头部,并且
··未设定Accept-Language与Referer头部,或者
··在URI的路径部中不包含任意的文件扩展名,设定了查询部。
Flash内容响应解析处理:
·URI路径部的文件名包含扩展名“.swf”,或者
·设定了浏览器的User-Agent头部,并且
··未设定Accept-Language和Referer头部,
··设定了x-flash-version头部,
··在URI的路径部中包含文件扩展名“.php”、“.asp”、“.aspx”、“.cgi”,或者
··在URI的路径部中不包含任意的文件扩展名,设定了查询部。
HTML内容响应解析处理
·设定了浏览器的User-Agent头部,并且
··在URI的路径部中包含文件扩展名“.php”、“.asp”、“.aspx”、“.cgi”,
··在URI的路径部中不包含任意的文件扩展名,设定了查询部,
··在URI中未设定路径部,设定了查询部,或者
··在URI的路径部中包含文件扩展名“.htm”或者“.html”,在URI中未设定查询部。
图17是示出本实施方式的由恶意软件行为检测引擎25实施的内容响应解析处理的流程的流程图。本流程图更详细地说明使用图16说明了的内容请求解析处理的步骤S204的处理。并且,本流程图相当于使用图5说明了的检测处理的步骤S006的处理,换言之相当于使用图6说明了的处理的步骤S101至步骤S103的处理。另外,如上所述,在本实施方式中,针对每个文件种类而准备内容响应解析处理,在满足上述说明的条件的情况下,执行用于各文件种类的内容响应解析处理。
在步骤S301和步骤S302中,监视与HTTP请求对应的响应数据包,判定响应的Content-Type头部的内容。通信取得部21监视与被判定为在上述内容请求解析处理中被请求了规定的文件种类的文件的通信相同的会话/连接(例如,TCP连接)中的响应数据包(返回数据包)(步骤S301)。当取得响应数据包时,比较部251判定在该响应的Content-Type头部中是否设定了表示所请求的文件种类的类型值,从而判定取得数据与预先定义的通信模式(P1-m)的共同性,判定在该响应中是否包含所请求的种类的文件(步骤S302)。例如在调出Java内容响应解析处理的情况下,比较部251判定在响应数据包的Content-Type头部中是否设定了Java的类型值。在判定为在响应数据包的Content-Type头部中设定了表示所请求的文件种类的类型值的情况下,处理前进到步骤S304。另一方面,在判定为在响应数据包的Content-Type头部中未设定表示所请求的文件种类的类型值的情况下,处理前进到步骤S303。
在步骤S303中,判定响应的主体是否与预先定义的数据模式相符合。比较部251通过对取得数据(响应)与预先保持的数据模式(此处,是在响应包含规定的种类的文件的情况下响应的主体中可能包含的数据模式)进行比较,来判定取得数据与预先定义的通信模式(P1-m)的共同性,判定该响应中是否包含所请求的种类的文件。由于即使在步骤S302中在响应的Content-Type头部中未设定表示所请求的文件种类的类型值的情况下Content-Type头部也有被窜改的可能,所以,该处理是用于根据攻击者难以窜改的信息来准确地判定响应所涉及的文件的种类的处理。作为判定的结果,在判定为在响应的Content-Type头部中未设定表示所请求的文件种类的类型值的情况下,该取得数据所涉及的处理结束,本流程图所示的处理结束。另一方面,在判定为在响应的Content-Type头部中设定了表示所请求的文件种类的类型值的情况下,处理前进到步骤S304。
此外,在步骤S303中,例如,通过判定为了表示是规定的种类的内容而在内容内部设定的规定的数据模式(签名等)是否被设定在响应的主体的开头部分或者规定位置,从而判定响应的主体是否为规定的种类的内容。这样的签名等的数据模式是为了使终端的应用程序执行该内容而使攻击者也难以窜改的数据模式,所以,能够进行更准确的判定。
在步骤S304中,关于该响应和请求所涉及的终端,记录检测到被判定为符合的通信模式(P1-m)、即“恶性内容的下载”这一情况。具体来说,记录HTTP请求头部的种类和值、目的地IP地址、目的地FQDN、文件(包)的名称、大小和检测时刻。另外,确定部254将进行了该请求和响应所涉及的通信的终端的活动阶段确定为侵入阶段P1,评价值取得部252取得与输入数据包对应的通信模式(P1-m)所属的阶段P1和通信模式(P1-m)中预先设定的等级Gr(P1-m)来作为输入数据包所涉及的终端(h)的阶段P1(h)和该阶段的等级Gr(h,P1-m)。其后,本流程图所示的处理结束。
如上所述,针对每个文件种类而准备使用图17说明了的内容响应解析处理(例如,Java内容响应解析处理、PDF内容响应解析处理、Silverlight内容响应解析处理和Flash内容响应解析处理),但除了用于判定的具体的数据模式等之外,处理的流程大概相同。其中,关于HTML内容响应解析处理,也可以采用与其他内容响应解析处理不同的处理的流程。
图18是示出本实施方式的由恶意软件行为检测引擎25实施的HTML内容响应解析处理的流程的流程图。本流程图更详细说明了在使用图16说明了的内容请求解析处理的步骤S204中调出了HTML内容响应解析处理的情况下的处理。并且,本流程图相当于使用图5说明了的检测处理的步骤S006的处理,换言之相当于使用图6说明了的处理的步骤S101至步骤S103的处理。
在步骤S401和步骤S402中,监视与HTTP请求对应的响应数据包,判定响应的Content-Type头部的内容。通信取得部21监视与被判定为在上述内容请求解析处理中被请求了HTML文件的通信相同的会话/连接中的响应数据包(步骤S401)。当取得响应数据包时,比较部251判定在该响应的Content-Type头部中是否设定了HTML文件的类型值,从而判定取得数据与预先定义的通信模式(P1-m)的共同性,判定在该响应中是否包含HTML文件(步骤S402)。在判定为在响应数据包的Content-Type头部中未设定HTML的类型值的情况下,本流程图所示的处理结束。另一方面,在判定为在响应数据包的Content-Type头部中设定了HTML的类型值的情况下,处理前进到步骤S403。
在步骤S403中,判定响应的主体是否与预先定义的HTML文件的数据模式相符合。比较部251通过对取得数据(响应)与在响应包含HTML文件的情况下响应的主体中可能包含的数据模式进行比较,来判定取得数据与预先定义的通信模式(P1-m)的共同性,判定在该响应中是否包含HTML文件。由于即使在步骤S402中在响应的Content-Type头部中设定了HTML的类型值的情况下其他种类文件也有可能伪装为HTML文件,所以该处理是用于根据攻击者难以窜改的信息来准确地判定响应所涉及的文件的种类的处理。作为判定的结果,在判定为在响应的Content-Type头部中未设定HTML的类型值的情况下,该取得数据所涉及的处理结束,本流程图所示的处理结束。另一方面,在判定为在响应的Content-Type头部中设定了HTML的类型值的情况下,处理前进到步骤S404。
在步骤S404中,关于该响应和请求所涉及的终端,记录检测到被判定为符合的通信模式(P1-m)、即“恶性内容的下载”这一情况。具体来说,记录HTTP请求头部的种类和值、目的地IP地址、目的地FQDN、文件(包)的名称、大小和检测时刻。另外,确定部254将进行了该请求和响应所涉及的通信的终端的活动阶段确定为侵入阶段P1,评价值取得部252取得与输入数据包对应的通信模式(P1-m)所属的阶段P1和通信模式(P1-m)中预先设定的等级Gr(P1-m)来作为输入数据包所涉及的终端(h)的阶段P1(h)和该阶段的等级Gr(h,P1-m)。其后,本流程图所示的处理结束。
<路过式下载攻击的检测-恶意软件主体的侵入判定>
接下来,说明用于确定通信与“恶意软件主体的下载”的通信模式相符合、并且终端处于执行文件的下载阶段P4这一情况的处理。
图19是示出本实施方式的由恶意软件行为检测引擎25实施的执行文件请求解析处理的流程的流程图。本流程图相当于使用图5说明了的检测处理的步骤S006的处理,换言之相当于使用图6说明了的处理的步骤S101至步骤S103的处理。
在步骤S501中,判定所取得的数据(一个或者多个输入数据包的组合)是否与HTTP的GET/POST/PUSH请求相符合。比较部251通过对取得数据与预先保持的通信模式(此处,是HTTP的GET/POST/PUSH请求的数据模式)进行比较,来判定取得数据与预先定义的通信模式(P4-m)的共同性。作为判定的结果,在判定为取得数据不是HTTP的GET/POST/PUSH请求的情况下,该取得数据所涉及的处理结束,本流程图所示的处理结束。另一方面,在判定为取得数据是HTTP的GET/POST/PUSH请求的情况下,处理前进到步骤S502。
在步骤S502中,判定取得数据(HTTP的GET/POST/PUSH请求)是否与预先定义的通信模式中的某一种相符合。比较部251通过对取得数据与预先保持的通信模式(此处,是在所请求的文件是执行文件的情况下请求中可能包含的数据模式)进行比较,从而判定取得数据与预先定义的通信模式(P4-m)的共同性。这是用于根据攻击者难以窜改的信息来准确地判定请求所涉及的文件的种类是否为执行文件的处理。作为判定的结果,在判定为取得数据不包含执行文件的请求所涉及的特征的情况下,该取得数据所涉及的处理结束,本流程图所示的处理结束。另一方面,在判定为取得数据包含执行文件的请求所涉及的特征的情况下,处理前进到步骤S503。
具体来说,在满足下面列举的任一个条件的情况下,比较部251判定为取得数据包含执行文件的请求所涉及的特征。但是,下面列举的条件是一个例子,用于判定的条件不限定于在本实施方式中的例示。
·在HTTP请求头部中未设定Java的User-Agent以及Accept-Encoding头部。
·HTTP请求与可疑的HTTP通信模式一致。
·在HTTP请求头部中设定了Host或者Host与Connection头部,未设定User-Agent、Accept系的头部。
·设定了浏览器的User-Agent并且是与浏览器的通常的请求头部不同结构的请求头部(“与浏览器的通常的请求头部不同的头部的结构”表示未设定通常设定的头部的情形)。
·未设定User-Agent,或者未设定Connection。
·Host头部的值被设定了IP地址或者HTTP非标准的端口编号。
·URI路径部的文件扩展名包含“.php”、“.asp”、“.aspx”、“.cgi”,并且未设定Referer或者Cookie头部。
在步骤S503中,执行文件响应解析处理被执行。恶意软件行为检测引擎25关于在步骤S502中被判定为所请求的文件是执行文件的通信,对响应进行监视,判定响应所涉及的文件是否为执行文件。当执行了执行文件响应解析处理后,本流程图所示的处理结束。
图20是示出本实施方式的由恶意软件行为检测引擎25实施的执行文件响应解析处理的流程的流程图。本流程图更详细说明了使用图19说明了的执行文件响应解析处理的步骤S503的处理。并且,本流程图相当于使用图5说明了的检测处理的步骤S006的处理,换言之相当于使用图6说明了的处理的步骤S101至步骤S103的处理。
在步骤S601和步骤S602中,监视与HTTP请求对应的响应数据包,判定响应的Content-Type头部的内容。通信取得部21监视与被判定为在上述执行文件请求解析处理中被请求了执行文件的通信相同的会话/连接中的响应数据包(步骤S601)。当取得响应数据包时,比较部251判定在该响应的Content-Type头部中是否设定了执行文件的类型值,从而判定取得数据与预先定义的通信模式(P4-m)的共同性,判定在该响应中是否包含执行文件(步骤S602)。在判定为在响应数据包的Content-Type头部中设定了表示执行文件的类型值的情况下,处理前进到步骤S604。另一方面,在判定为在响应数据包的Content-Type头部中未设定表示执行文件的类型值的情况下,处理前进到步骤S603。
在步骤S603中,判定响应的头部或者主体是否与预先定义的数据模式相符合。比较部251通过对取得数据(响应)与预先保持的数据模式(此处,是在响应包含执行文件的情况下响应的头部或者主体中可能包含的数据模式)进行比较,判定取得数据与预先定义的通信模式(P4-m)的共同性,判定在该响应中是否包含执行文件。由于即使在步骤S602中响应的Content-Type头部中未设定表示执行文件的类型值的情况下Content-Type头部也有被窜改的可能,所以,该处理是用于根据攻击者难以窜改的信息来准确地判定响应所涉及的文件的种类的处理。作为判定的结果,在判定为响应的头部或者主体中未设定表示执行文件的值的情况下,该取得数据所涉及的处理结束,本流程图所示的处理结束。另一方面,在判定为响应的头部或者主体中设定了表示执行文件的值的情况下,处理前进到步骤S604。
此外,在步骤S603中,例如,通过判定为了表示是在规定的应用程序中能够执行的执行文件而在文件内部设定的规定的数据模式(签名等)是否被设定在响应的主体的开头部分或者规定位置,从而判定响应的主体是否为执行文件。这样的签名等的数据模式是为了使终端的应用程序执行该执行文件而使攻击者也难以窜改的数据模式,所以能够进行更准确的判定。
在步骤S604中,关于该响应和请求所涉及的终端,记录检测到被判定为符合的通信模式(P4-m)、即“执行文件的下载”这一情况。另外,确定部254将进行了该请求和响应所涉及的通信的终端的活动阶段确定为执行文件的下载阶段P4,评价值取得部252取得与输入数据包对应的通信模式(P4-m)所属的阶段P4和通信模式(P4-m)中预先设定的等级Gr(P4-m)来作为输入数据包所涉及的终端(h)的阶段P4(h)和该阶段的等级Gr(h,P4-m)。其后,本流程图所示的处理结束。
即,根据上述说明的内容请求解析处理、内容响应解析处理、执行文件请求解析处理和执行文件响应解析处理,在HTTP的通信量中,对满足特定的条件的请求和与其对应的响应进行监视和解析,从而提取存在“恶性内容的下载”或者“恶意软件主体的下载”的可能性的HTTP通信模式。并且,所提取到的通信在被赋予了表示“被推测为终端进行非法的活动(恶意软件的活动)的程度”的等级之后,映射到侵入阶段P1或者执行文件的下载阶段P4。另外,针对映射到阶段的每个通信,记录目的地(=攻击服务器)FQDN/IP地址、HTTP请求的头部信息(方法种类、URI路径信息、Host头部、User-Agent头部等)、下载了的文件种类、文件大小、检测时刻等信息。
<路过式下载攻击的检测-相关分析>
通过上述处理,当检测到与执行文件的下载阶段P4相符合的通信模式时,在本实施方式中,执行映射到侵入阶段P1的通信与映射到执行文件的下载阶段P4的通信的相关分析(参照图12)。在图12所示的相关分析处理中,在判定为有相关性的情况下,根据规定的规则来进行等级的校正,最终判定有没有恶意软件感染(路过式下载攻击)(参照图8所示的处理)。
以往,在检测“恶性内容的下载”的通信模式、“恶意软件主体的下载”的通信模式的情况下,需要检查在网络上流过的所有的通信量来判定有没有文件,但在本实施方式中,根据上述说明的处理,从大量流过的HTTP数据包中提取“满足特定的条件的HTTP请求和响应”来进行相关分析,从而能够以与以往相比更小的计算成本,实时地检测路过式下载攻击。
<变化>
上述实施方式中,对网络监视装置20连接到开关或路由器的监视端口(镜像端口),从而通过节点90取得被收发的数据包或数据帧等,以不转送取得的数据包的被动方式来进行动作的例子进行说明(参照图1)。但是,上述实施方式所示的网络构成是用于实施本公开的一个例子,在实施时也可以采用其他的网络构成。
例如,即使在网络监视装置20不连接到监视端口(镜像端口)而仅连接到网络分段2的情况下,也能够利用取得网络分段2上流通的包括不指向自身的MAC地址的所有的数据帧,通过节点90取得被收发的数据包或数据帧等。在这种情况下,网络监视装置20也以被动方式来进行动作。另外,例如,也可以利用将网络监视装置20连接到网络分段2的开关或路由器与位于其上位的其他的开关或路由器之间来取得通过的数据包或数据帧(参照图21)。在这种情况下,网络监视装置20以对取得的数据包之中的不被阻断也可以的数据包进行转送的连线方式(日语:インラインモード)来进行动作。另外,网络监视装置20也可以被内含在路由器或开关中。
此外,在本实施方式中,说明了取得在网络上流过的数据包来通过上述各种检测引擎实时地进行检测的实施方式,但本公开的适用范围不限定于实时检测。例如,也可以预先累积在网络上流过的通信所涉及的数据,针对所累积的数据进行基于上述各种检测引擎的处理。
Claims (38)
1.一种信息处理装置,其特征在于,包括:
比较单元,其将连接到网络的终端的通信与预先保持的模式进行比较;
确定单元,其按照所述比较的结果,确定评价值和非法活动的阶段,所述评价值表示被推测为所述终端进行非法活动的程度;
保持单元,其针对每个所述终端,保持所述评价值的各个所述阶段的最大值;和
判定单元,其基于所述评价值的各个所述阶段的最大值,判定所述终端是否进行非法活动。
2.根据权利要求1所述的信息处理装置,其特征在于,还包括:
评价值取得单元,其取得预先设定的值作为所述评价值,该预先设定的值是针对作为所述比较的结果而与所述通信一致或近似的模式而预先设定的;
校正单元,其校正取得的所述评价值,
所述确定单元确定由所述校正单元校正过的值为所述评价值。
3.根据权利要求2所述的信息处理装置,其特征在于,
所述阶段表示所述终端的非法活动的转换状态,
所述确定单元,其确定预先设定的阶段作为所述通信所涉及的阶段,该预先设定的阶段是针对作为所述比较的结果而与所述通信一致或近似的模式而预先设定的。
4.根据权利要求3所述的信息处理装置,其特征在于,
所述评价值取得单元按照相关分析结果,取得所述评价值,所述相关分析结果是对所述通信与通过所述终端在该通信之前或之后进行的其他通信的相关性进行分析的结果。
5.根据权利要求4所述的信息处理装置,其特征在于,
所述评价值取得单元在通过所述相关分析而被判定为针对所述通信所取得的阶段与针对关于所述终端在该通信之前或之后进行的其他通信所取得的阶段之间具有连续性的情况下,取得所述评价值。
6.根据权利要求3所述的信息处理装置,其特征在于,
所述校正单元按照相关分析结果,校正所述评价值,所述相关分析结果是对所述通信与通过所述终端在该通信之前或之后进行的其他通信的相关性进行分析的结果。
7.根据权利要求6所述的信息处理装置,其特征在于,
所述校正单元在通过所述相关分析而被判定为针对所述通信所取得的阶段与针对关于所述终端在该通信之前或之后进行的其他通信所取得的阶段之间具有连续性的情况下,将所述评价值校正为比没有被判定为具有连续性的情况更大。
8.根据权利要求1~7中的任一项所述的信息处理装置,其特征在于,还包括:
合计单元,其针对每个所述终端,对各所述阶段的所述评价值的最大值进行合计,
所述判定单元基于通过所述合计单元得到的合计值,判定所述终端是否进行非法活动。
9.根据权利要求8所述的信息处理装置,其特征在于,
所述判定单元在所述合计值或基于所述合计值的值超过规定的阈值的情况下,判定为所述终端在进行非法活动。
10.根据权利要求8所述的信息处理装置,其特征在于,
所述判定单元在通过对所述合计值进行规定的加权而得到的值超过规定的阈值的情况下,判定为所述终端在进行非法活动。
11.根据权利要求1~10中的任一项所述的信息处理装置,其特征在于,还包括:
通信取得单元,其取得连接到所述网络的终端的通信,
所述比较单元将取得的所述通信与预先保持的模式进行比较。
12.根据权利要求1~11中的任一项所述的信息处理装置,其特征在于,还包括:
通信阻断单元,其在被判定为所述终端在进行非法活动的情况下,对该终端的通信进行阻断。
13.根据权利要求1~12中的任一项所述的信息处理装置,其特征在于,还包括:
一个或多个的检测单元,其对连接到网络的终端的非法通信进行检测,
所述判定单元基于没有被所述检测单元检测为非法通信的通信,判定所述终端是否进行非法活动。
14.一种非法活动判定方法,其特征在于,计算机执行以下步骤:
比较步骤,将连接到网络的终端的通信与预先保持的模式进行比较;
确定步骤,按照所述比较的结果,确定评价值和非法活动的阶段,所述评价值表示被推测为所述终端进行非法活动的程度;
保持步骤,针对每个所述终端,保持所述评价值的各个所述阶段的最大值;和
判定步骤,基于所述评价值的各个所述阶段的最大值,判定所述终端是否进行非法活动。
15.一种非法活动判定用程序,其特征在于,使计算机作为以下单元发挥功能:
比较单元,其将连接到网络的终端的通信与预先保持的模式进行比较;
确定单元,其按照所述比较的结果,确定评价值和非法活动的阶段,所述评价值表示被推测为所述终端进行非法活动的程度;
保持单元,其针对每个所述终端,保持所述评价值的各个所述阶段的最大值;以及
判定单元,其基于所述评价值的各个所述阶段的最大值,判定所述终端是否进行非法活动。
16.一种信息处理装置,其特征在于,具备:
比较单元,其将连接到网络的终端的通信与预先保持的模式进行比较;
确定单元,其按照所述比较的结果,确定所述终端的活动的阶段;
相关分析单元,其进行第一通信与第二通信的相关分析,从而判定基于该第一通信的内容的下载与基于该第二通信的执行文件的下载之间的相关性的有无或者程度,该第一通信是通过所述确定单元而被确定为是使所述终端下载内容的阶段的通信,该第二通信是通过所述确定单元而被确定为是使该终端下载执行文件的阶段的通信;以及
判定单元,其基于所述相关分析的结果,判定所述终端是否进行规定的活动。
17.根据权利要求16所述的信息处理装置,其特征在于,
所述确定单元根据通过所述通信而下载的数据的文件种类,确定该通信所涉及的所述终端的活动的阶段。
18.根据权利要求17所述的信息处理装置,其特征在于,
所述确定单元在所述通信包含内容或者执行文件的请求的情况下,基于该请求中包含的信息来推测所述内容或者执行文件的文件种类,根据所推测出的文件种类来确定该通信所涉及的所述终端的活动的阶段。
19.根据权利要求18所述的信息处理装置,其特征在于,
基于所述请求中包含的扩展名或者请求头部的特征来推测所述文件种类。
20.根据权利要求17至19中的任一项所述的信息处理装置,其特征在于,
所述确定单元在所述通信包含针对内容或者执行文件的请求的响应的情况下,基于该响应中包含的信息来推测所述内容或者执行文件的文件种类,基于所推测出的文件种类来确定该通信所涉及的所述终端的活动的阶段。
21.根据权利要求20所述的信息处理装置,其特征在于,
通过对所述响应中的规定的位置的数据与预先定义的数据模式进行比较来推测所述文件种类。
22.根据权利要求16至21中的任一项所述的信息处理装置,其特征在于,
所述确定单元按照所述比较的结果,进一步地确定表示被推测为所述终端进行规定的活动的程度的评价值。
23.根据权利要求22所述的信息处理装置,其特征在于,还具备:
评价值取得单元,其取得预先设定的值作为所述评价值,该预先设定的值是针对作为所述比较的结果而与所述通信一致或近似的模式而预先设定的;以及
校正单元,其校正所取得的所述评价值,
所述确定单元将通过所述校正单元校正了的值确定为所述评价值。
24.根据权利要求23所述的信息处理装置,其特征在于,
所述阶段表示所述终端的规定的活动的转换状态,
所述确定单元,其确定预先设定的阶段作为所述通信所涉及的阶段,该预先设定的阶段是针对作为所述比较的结果而与所述通信一致或近似的模式而预先设定的。
25.根据权利要求24所述的信息处理装置,其特征在于,
所述评价值取得单元按照所述通信与通过所述终端在该通信之前或者之后进行的其他通信的相关分析的结果,取得所述评价值。
26.根据权利要求25所述的信息处理装置,其特征在于,
所述评价值取得单元在通过所述相关分析而被判定为针对所述通信所取得的阶段、与针对关于所述终端在该通信之前或之后进行的其他通信所取得的阶段之间具有连续性的情况下,取得所述评价值。
27.根据权利要求24所述的信息处理装置,其特征在于,
所述校正单元按照所述通信与通过所述终端在该通信之前或者之后进行的其他通信的相关分析的结果,校正所述评价值。
28.根据权利要求24所述的信息处理装置,其特征在于,
所述校正单元按照所述第一通信与所述第二通信的相关分析的结果,校正所述评价值。
29.根据权利要求27或者28所述的信息处理装置,其特征在于,
所述校正单元在通过所述相关分析而被判定为针对所述通信所取得的阶段、与针对关于所述终端在该通信之前或之后进行的其他通信所取得的阶段之间具有连续性的情况下,将所述评价值校正为比没有被判定为具有连续性的情况更大。
30.根据权利要求16至29中的任一项所述的信息处理装置,其特征在于,还具备:
保持单元,其针对每个所述终端,保持所述评价值的各个所述阶段的最大值;以及
判定单元,其根据所述评价值的各个所述阶段的最大值,判定所述终端是否进行规定的活动。
31.根据权利要求30所述的信息处理装置,其特征在于,
还具备合计单元,该合计单元针对每个所述终端,合计各个所述阶段的所述评价值的最大值,
所述判定单元根据通过所述合计单元而得到的合计值,判定所述终端是否进行规定的活动。
32.根据权利要求31所述的信息处理装置,其特征在于,
所述判定单元在所述合计值或者基于所述合计值的值超过规定的阈值的情况下,判定为所述终端进行规定的活动。
33.根据权利要求31所述的信息处理装置,其特征在于,
所述判定单元在通过对所述合计值进行规定的加权而得到的值超过规定的阈值的情况下,判定为所述终端进行规定的活动。
34.根据权利要求16至33中的任一项所述的信息处理装置,其特征在于,
还具备通信取得单元,该通信取得单元取得连接到所述网络的终端的通信,
所述比较单元对所取得的所述通信与预先保持的模式进行比较。
35.根据权利要求16至34中的任一项所述的信息处理装置,其特征在于,
还具备通信阻断单元,该通信阻断单元在被判定为所述终端进行规定的活动的情况下阻断该终端的通信。
36.根据权利要求16至35中的任一项所述的信息处理装置,其特征在于,
还具备一个或者多个检测单元,其检测连接到网络的终端的规定的通信,
所述判定单元基于没有被所述检测单元检测为规定的通信的通信,判定所述终端是否进行规定的活动。
37.一种活动判定方法,其特征在于,计算机执行以下步骤:
比较步骤,将连接到网络的终端的通信与预先保持的模式进行比较;
确定步骤,按照所述比较的结果,确定所述终端的活动的阶段;
相关分析步骤,进行第一通信与第二通信的相关分析,从而判定基于该第一通信的内容的下载与基于该第二通信的执行文件的下载之间的相关性的有无或者程度,该第一通信是在所述确定步骤中被确定为是使所述终端下载内容的阶段的通信,该第二通信是在所述确定步骤中被确定为是使该终端下载执行文件的阶段的通信;以及
判定步骤,基于所述相关分析的结果,判定所述终端是否进行规定的活动。
38.一种活动判定用程序,其特征在于,使计算机作为以下单元发挥功能:
比较单元,其将连接到网络的终端的通信与预先保持的模式进行比较;
确定单元,其按照所述比较的结果,确定所述终端的活动的阶段;
相关分析单元,其进行第一通信与第二通信的相关分析,从而判定基于该第一通信的内容的下载与基于该第二通信的执行文件的下载之间的相关性的有无或者程度,该第一通信是通过所述确定单元而被确定为是使所述终端下载内容的阶段的通信,该第二通信是通过所述确定单元而被确定为是使该终端下载执行文件的阶段的通信;以及
判定单元,其基于所述相关分析的结果,判定所述终端是否进行规定的活动。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014-004055 | 2014-01-14 | ||
JP2014004055 | 2014-01-14 | ||
PCT/JP2014/084690 WO2015107861A1 (ja) | 2014-01-14 | 2014-12-26 | 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105917348A true CN105917348A (zh) | 2016-08-31 |
CN105917348B CN105917348B (zh) | 2019-04-05 |
Family
ID=53522354
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410342602.5A Expired - Fee Related CN104778404B (zh) | 2014-01-14 | 2014-07-18 | 信息处理装置及非法活动判定方法 |
CN201480073245.5A Expired - Fee Related CN105917348B (zh) | 2014-01-14 | 2014-12-26 | 信息处理装置以及活动判定方法 |
CN201480073238.5A Pending CN105934763A (zh) | 2014-01-14 | 2014-12-26 | 信息处理装置、方法以及程序 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410342602.5A Expired - Fee Related CN104778404B (zh) | 2014-01-14 | 2014-07-18 | 信息处理装置及非法活动判定方法 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480073238.5A Pending CN105934763A (zh) | 2014-01-14 | 2014-12-26 | 信息处理装置、方法以及程序 |
Country Status (4)
Country | Link |
---|---|
US (3) | US9288221B2 (zh) |
JP (2) | JP6097849B2 (zh) |
CN (3) | CN104778404B (zh) |
WO (2) | WO2015107861A1 (zh) |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6421436B2 (ja) * | 2014-04-11 | 2018-11-14 | 富士ゼロックス株式会社 | 不正通信検知装置及びプログラム |
US9965627B2 (en) | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling objects on an endpoint for encryption management |
US9537841B2 (en) | 2014-09-14 | 2017-01-03 | Sophos Limited | Key management for compromised enterprise endpoints |
US10122687B2 (en) | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
US9641543B2 (en) * | 2015-04-22 | 2017-05-02 | Aktiebolaget AKF | Systems and methods for securing remote configuration |
US9781131B2 (en) * | 2015-04-22 | 2017-10-03 | Aktiebolaget Skf | Systems and methods for securing remote configuration |
US9699202B2 (en) * | 2015-05-20 | 2017-07-04 | Cisco Technology, Inc. | Intrusion detection to prevent impersonation attacks in computer networks |
WO2016194123A1 (ja) * | 2015-06-02 | 2016-12-08 | 三菱電機ビルテクノサービス株式会社 | 中継装置、ネットワーク監視システム及びプログラム |
US20170155667A1 (en) * | 2015-11-30 | 2017-06-01 | Symantec Corporation | Systems and methods for detecting malware infections via domain name service traffic analysis |
JP2017147575A (ja) | 2016-02-16 | 2017-08-24 | 富士通株式会社 | 制御プログラム、制御装置、および、制御方法 |
US10075456B1 (en) * | 2016-03-04 | 2018-09-11 | Symantec Corporation | Systems and methods for detecting exploit-kit landing pages |
US10826933B1 (en) * | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10050982B1 (en) * | 2016-05-19 | 2018-08-14 | Symantec Corporation | Systems and methods for reverse-engineering malware protocols |
JP6105792B1 (ja) * | 2016-07-04 | 2017-03-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP6903901B2 (ja) * | 2016-11-28 | 2021-07-14 | 富士通株式会社 | 攻撃検知装置、攻撃検知プログラム及び攻撃検知方法 |
CN106682517B (zh) * | 2017-01-16 | 2019-04-23 | 西安电子科技大学 | 安卓应用运行时的Activity推断方法 |
JP6207784B1 (ja) * | 2017-03-27 | 2017-10-04 | 株式会社ラック | 中継装置、中継方法およびプログラム |
IL251683B (en) * | 2017-04-09 | 2019-08-29 | Yoseph Koren | A system and method for dynamic management of private data |
JP6869100B2 (ja) | 2017-05-12 | 2021-05-12 | 株式会社Pfu | 情報処理装置、不正活動分類方法および不正活動分類用プログラム |
US10174302B1 (en) | 2017-06-21 | 2019-01-08 | Xl-Protein Gmbh | Modified L-asparaginase |
JP7033467B2 (ja) * | 2018-03-01 | 2022-03-10 | 株式会社日立製作所 | 不正通信検知装置および不正通信検知プログラム |
CN108429746B (zh) * | 2018-03-06 | 2020-01-03 | 华中科技大学 | 一种面向云租户的隐私数据保护方法及系统 |
CN108632087B (zh) * | 2018-04-26 | 2021-12-28 | 深圳市华迅光通信有限公司 | 一种基于路由器的上网管理方法及系统 |
JP7378089B2 (ja) * | 2018-06-13 | 2023-11-13 | パナソニックIpマネジメント株式会社 | 不正通信検知装置、不正通信検知方法及び製造システム |
JP7109391B2 (ja) | 2019-02-26 | 2022-07-29 | 株式会社日立製作所 | 不正通信検知装置および不正通信検知プログラム |
CN110995525A (zh) * | 2019-10-31 | 2020-04-10 | 北京直真科技股份有限公司 | 一种基于维护矩阵的路由器检测方法 |
CN112115468B (zh) * | 2020-09-07 | 2021-04-02 | 深圳市瑞冠信息科技有限公司 | 基于大数据和云计算的业务信息检测方法及云计算中心 |
DE102020213893A1 (de) * | 2020-11-04 | 2022-05-05 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem |
US11792209B2 (en) * | 2020-12-31 | 2023-10-17 | Imperva, Inc. | Robust learning of web traffic |
CN114422495B (zh) * | 2022-01-25 | 2023-10-24 | 北京浩瀚深度信息技术股份有限公司 | 一种针对DNS over HTTP协议的安全监管方法 |
WO2023233580A1 (ja) * | 2022-06-01 | 2023-12-07 | 日本電信電話株式会社 | 検知対処制御システム、検知対処制御方法、ハードウェアアクセラレータ、コントローラ、および、プログラム |
US20240028494A1 (en) * | 2022-07-20 | 2024-01-25 | Zscaler, Inc. | Dynamic Applicative Session Grouping |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060117386A1 (en) * | 2001-06-13 | 2006-06-01 | Gupta Ramesh M | Method and apparatus for detecting intrusions on a computer system |
JP2006352543A (ja) * | 2005-06-16 | 2006-12-28 | Iwatsu Electric Co Ltd | Sip電話交換システム |
US20070150957A1 (en) * | 2005-12-28 | 2007-06-28 | Microsoft Corporation | Malicious code infection cause-and-effect analysis |
US20070180526A1 (en) * | 2001-11-30 | 2007-08-02 | Lancope, Inc. | Flow-based detection of network intrusions |
CN101414939A (zh) * | 2008-11-28 | 2009-04-22 | 武汉虹旭信息技术有限责任公司 | 一种基于动态深度包检测的互联网应用识别方法 |
US20090172815A1 (en) * | 2007-04-04 | 2009-07-02 | Guofei Gu | Method and apparatus for detecting malware infection |
CN103581155A (zh) * | 2012-08-08 | 2014-02-12 | 贵州电网公司信息通信分公司 | 信息安全态势分析方法与系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2002230541B2 (en) | 2000-11-30 | 2007-08-23 | Cisco Technology, Inc. | Flow-based detection of network intrusions |
CN101495969B (zh) * | 2005-05-05 | 2012-10-10 | 思科埃恩波特系统有限公司 | 识别电子消息中的威胁 |
JP2006350543A (ja) | 2005-06-14 | 2006-12-28 | Mitsubishi Electric Corp | ログ分析装置 |
US9311479B1 (en) * | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
-
2014
- 2014-04-17 US US14/254,928 patent/US9288221B2/en active Active
- 2014-07-18 CN CN201410342602.5A patent/CN104778404B/zh not_active Expired - Fee Related
- 2014-12-26 WO PCT/JP2014/084690 patent/WO2015107861A1/ja active Application Filing
- 2014-12-26 WO PCT/JP2014/084691 patent/WO2015107862A1/ja active Application Filing
- 2014-12-26 CN CN201480073245.5A patent/CN105917348B/zh not_active Expired - Fee Related
- 2014-12-26 JP JP2015557758A patent/JP6097849B2/ja active Active
- 2014-12-26 JP JP2015557759A patent/JP6014280B2/ja not_active Expired - Fee Related
- 2014-12-26 CN CN201480073238.5A patent/CN105934763A/zh active Pending
-
2016
- 2016-07-13 US US15/208,937 patent/US10277614B2/en not_active Expired - Fee Related
- 2016-07-13 US US15/208,905 patent/US20160323304A1/en not_active Abandoned
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060117386A1 (en) * | 2001-06-13 | 2006-06-01 | Gupta Ramesh M | Method and apparatus for detecting intrusions on a computer system |
US20070180526A1 (en) * | 2001-11-30 | 2007-08-02 | Lancope, Inc. | Flow-based detection of network intrusions |
JP2006352543A (ja) * | 2005-06-16 | 2006-12-28 | Iwatsu Electric Co Ltd | Sip電話交換システム |
US20070150957A1 (en) * | 2005-12-28 | 2007-06-28 | Microsoft Corporation | Malicious code infection cause-and-effect analysis |
US20090172815A1 (en) * | 2007-04-04 | 2009-07-02 | Guofei Gu | Method and apparatus for detecting malware infection |
CN101414939A (zh) * | 2008-11-28 | 2009-04-22 | 武汉虹旭信息技术有限责任公司 | 一种基于动态深度包检测的互联网应用识别方法 |
CN103581155A (zh) * | 2012-08-08 | 2014-02-12 | 贵州电网公司信息通信分公司 | 信息安全态势分析方法与系统 |
Also Published As
Publication number | Publication date |
---|---|
JPWO2015107862A1 (ja) | 2017-03-23 |
JPWO2015107861A1 (ja) | 2017-03-23 |
US20160323304A1 (en) | 2016-11-03 |
CN104778404B (zh) | 2018-03-06 |
US10277614B2 (en) | 2019-04-30 |
US20150200956A1 (en) | 2015-07-16 |
JP6014280B2 (ja) | 2016-10-25 |
WO2015107861A1 (ja) | 2015-07-23 |
WO2015107862A1 (ja) | 2015-07-23 |
JP6097849B2 (ja) | 2017-03-15 |
CN105934763A (zh) | 2016-09-07 |
CN104778404A (zh) | 2015-07-15 |
US20160323305A1 (en) | 2016-11-03 |
CN105917348B (zh) | 2019-04-05 |
US9288221B2 (en) | 2016-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105917348A (zh) | 信息处理装置、非法活动判定方法和非法活动判定用程序以及信息处理装置、活动判定方法和活动判定用程序 | |
JP7167240B2 (ja) | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム | |
US11063960B2 (en) | Automatic generation of attribute values for rules of a web application layer attack detector | |
US11601400B2 (en) | Aggregating alerts of malicious events for computer security | |
US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
US20240163253A1 (en) | Network security analysis system with reinforcement learning for selecting domains to scan | |
US10642906B2 (en) | Detection of coordinated cyber-attacks | |
US20160366171A1 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
CN104954345B (zh) | 基于对象分析的攻击识别方法及装置 | |
Soleimani et al. | Real-time identification of three Tor pluggable transports using machine learning techniques | |
EP4172827A1 (en) | Information enhanced classification | |
CN110313161A (zh) | 对数据库上的放大攻击的基于ipfix的检测 | |
US20230353587A1 (en) | Contextual relationship graph based on user's network transaction patterns for investigating attacks | |
Xiao et al. | ICSTrace: A malicious IP traceback model for attacking data of the industrial control system | |
Pour | Analysis of Internet Telescope Data for IoT Cyber Threat Intelligence |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190405 |