CN105934763A - 信息处理装置、方法以及程序 - Google Patents
信息处理装置、方法以及程序 Download PDFInfo
- Publication number
- CN105934763A CN105934763A CN201480073238.5A CN201480073238A CN105934763A CN 105934763 A CN105934763 A CN 105934763A CN 201480073238 A CN201480073238 A CN 201480073238A CN 105934763 A CN105934763 A CN 105934763A
- Authority
- CN
- China
- Prior art keywords
- terminal
- communication
- stage
- malware
- correlation analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明将发现在网络内协作地进行活动的终端作为技术问题。在信息处理装置中具备:确定部,其通过将终端间的通信与预先保持的模式进行比较来确定终端的活动的阶段;以及相关分析部,其在关于第一终端而在当前或者过去确定的阶段与关于第二终端而在当前或者过去确定的阶段为相同的情况下,进行第一终端的通信与第二终端的通信的相关分析,从而判定这些终端是否协作地进行活动。
Description
技术领域
本发明涉及一种管理连接到网络的终端的技术。
背景技术
一直以来,作为分析通信量的方法,提出了对网络上的主机间的流量分配告警指标值,在累积的告警指标值超过阈值的情况下,发出警报的方法(参见专利文献1及2)。
另外,报告了为了使对信息泄漏的发觉延迟,将在组织内榨取到的信息汇集到组织内的代表感染终端而向外部发送的攻击方法(参照非专利文献1)。进一步地,报告了如下研究内容:对组织内的终端导入代理(agent),取得并解析通信内容和过程信息等,从而判定该终端是否参加到僵尸网络(Botnet)中,在该终端参加到僵尸网络的情况下,分析该终端在该僵尸网络中具有什么样的职能(参照非专利文献2)。
现有技术文献
专利文献
专利文献1:美国专利第7475426号说明书
专利文献2:美国专利第7185368号说明书
非专利文献
非专利文献1:独立行政法人情報処理推進機構、“標的型サイバー攻撃の事例分析と対策レポート”、[online]、平成24年1月20日、独立行政法人情報処理推進機構、[平成2 6年1 2月1 9日检索]、因特网<URL:http://www.ipa.go.jp/files/000024536.pdf>
非专利文献2:Hailong Wang、外1名、“Role-based collaborative informationcollection model for botnet detection”、[online]、平成22年5月17日、IEEE、[平成2 6年1 2月1 9日检索]、因特网<URL:http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=5478475&isnumber=5478444>
发明内容
发明要解决的技术问题
以往,为了使对攻击的发觉延迟,存在通过对组织内部的终端赋予职能并使其进行协作来减少感染终端与外部终端的通信量的攻击方法。对此,以往提出如下技术:通过在终端上工作的代理型监视软件来分析在该终端中工作的软件的种类、在该终端进行的处理内容,从而检测恶意软件的活动。但是,在以往的方法中,在感染终端的检测后解析通信日志、通信捕获信息、恶意软件样本等,所以从感染终端的检测至恶意软件的活动-职能的确定为止有时需要较长时间。
本公开鉴于上述问题,将发现在网络内协作地进行活动的终端作为技术问题。
解决技术问题的技术手段
本公开的一个例子涉及一种信息处理装置,具备:比较单元,其将多个终端的通信与预先保持的模式进行比较;确定单元,其依照所述比较的结果,确定所述终端的活动的阶段;以及相关分析单元,其在关于所述多个终端中包含的第一终端而在当前或者过去确定的阶段与关于所述多个终端中包含的第二终端而在当前或者过去确定的阶段为相同的情况下,进行该第一终端的通信与该第二终端的通信的相关分析,从而判定所述第一终端与所述第二终端是否协作地进行活动。
本公开能够作为信息处理装置、系统、通过计算机执行的方法或者使计算机执行的程序来把握。另外,本公开也能够作为将这样的程序记录到计算机以外的装置、机械等可读的记录介质而得到的发明来把握。此处,计算机等可读的记录介质是指能够通过电、磁、光学、机械或者化学作用来累积数据、程序等信息、并且从计算机等进行读取的记录介质。
发明效果
根据本公开,能够发现在网络内协作地进行活动的终端。
附图说明
图1是示出实施方式所涉及的系统的构成的大概图。
图2是示出实施方式所涉及的网络监视装置及管理服务器的硬件构成的图。
图3是示出实施方式所涉及的网络监视装置的功能构成概略的图。
图4是示出由实施方式的恶意软件行为检测引擎使用的恶意软件的活动转换模型的图。
图5是示出实施方式所涉及的每个数据包的检测处理的流程概要的流程图。
图6是示出实施方式所涉及的基于恶意软件行为检测引擎的检测处理的流程的流程图(A)。
图7是示出实施方式所涉及的基于恶意软件行为检测引擎的检测处理的流程的流程图(B)。
图8是示出实施方式所涉及的基于恶意软件行为检测引擎的检测处理的流程的流程图(C)。
图9是示出在实施方式中的第一相关分析中作为监视对象的活动转换模型上的阶段及其转换的图。
图10是示出在实施方式中的第二相关分析中作为监视对象的、向探索、感染阶段转换的图。
图11示出在实施方式中的第二相关分析中作为监视对象的、向执行文件的下载阶段转换的图。
图12是示出实施方式中的、用于判定侵入阶段所涉及的通信与执行文件的下载阶段所涉及的通信的相关性的相关分析处理的流程的流程图。
图13是示出在实施方式中的第二相关性分析中作为监视对象的、向C&C检索阶段转换的图。
图14是示出在实施方式中的第二相关性分析中作为监视对象的、向C&C通信阶段转换的图。
图15是示出在实施方式中的第二相关性分析中作为监视对象的、向攻击阶段转换的图。
图16是示出实施方式的恶意软件行为检测引擎的第三相关分析处理的流程的流程图。
图17是示出实施方式的感染、浸润阶段的职能推定相关分析处理的流程的流程图。
图18是示出在实施方式中通过感染、浸润阶段的职能推定相关分析处理而被进行职能推定的终端进行活动的情形的图。
图19是示出实施方式的执行文件的下载阶段的职能推定相关分析处理的流程的流程图。
图20是示出在实施方式中通过执行文件的下载阶段的职能推定相关分析处理而被进行职能推定的终端进行活动的情形的图。
图21是示出实施方式的C&C通信阶段的职能推定相关分析处理的流程的流程图。
图22是示出在实施方式中通过C&C通信阶段的职能推定相关分析处理而被进行职能推定的终端进行活动的情形的图。
图23是示出实施方式的榨取信息的上传阶段的职能推定相关分析处理的流程的流程图。
图24是示出在实施方式中通过榨取信息的上传阶段的职能推定相关分析处理而被进行职能推定的终端进行活动的情形的图。
图25是示出实施方式的系统构成的变化的概略图。
符号说明
1 系统
20 网络监视装置
50 管理服务器
90 节点。
具体实施方式
下面,基于附图,对公开所涉及的信息处理装置、方法及程序的实施方式进行说明。但是,以下说明的实施方式为举例说明实施方式,并非将本公开所涉及的信息处理装置、方法及程序限定于以下说明的具体构成。在实施时,适当采用与实施方式相应的具体构成,也可进行各种改良、变形。
在本实施方式中,对用于在网络上发现进行非法活动的终端并进行通信阻断或警报通知等应对的系统中实施本公开所涉及的信息处理装置、方法及程序的情况下的实施方式进行说明。但是,本公开所涉及的信息处理装置、方法及程序可广泛应用到用于检测网络上的非法活动的技术中,本公开的应用对象并不限定于在本实施方式中示出的示例。
<系统构成>
图1是示出本实施方式所涉及的系统1的构成的概略图。本实施方式所涉及的系统1包括连接多个信息处理终端90(下面,称为“节点90”)的网络分段2、用于监视节点90所涉及的通信的网络监视装置20。进一步地,将管理服务器50通过路由器10,能进行通信地连接到网络分段2。在本实施方式中,通过将网络监视装置20连接到开关或路由器(图1所示的示例子中为路由器)的监视端口(镜像端口),取得通过节点90收发的数据包或数据帧。在这种情况下,网络监视装置20以不转送取得的数据包的被动方式进行动作。
管理服务器50从网络监视装置20收集信息并管理网络监视装置20。此外,在外部网络中,可以进一步地设置检疫服务器并对连接到网络分段2的节点90提供检疫服务,也可进一步地设置业务服务器并对节点90提供用于业务的服务(省略图示)。
本实施方式所涉及的系统1中,虽然由节点90连接的各种服务器是通过因特网或广域网在远程地点被连接的服务器,例如由ASP(Application Service Provider)提供的,但上述服务器并不一定要在远程地点被连接。例如,这些服务器也可以被连接到存在节点90或网络监视装置20的本地网络上。
图2是示出本实施方式所涉及的网络监视装置20及管理服务器50的硬件构成的图。此外,在图2中,对于网络监视装置20及管理服务器50以外的构成(路由器10、节点90等)省略图示。网络监视装置20及管理服务器50是分别包括CPU(CentralProcessing Unit)11a、11b、RAM(Random Access Memory)13a、13b、ROM(ReadOnly Memory)12a、12b、EEPROM(Electrically Erasable Programmable Read OnlyMemory)或HDD(Hard Disk Drive)等存储装置14a、14b、NIC(Network InterfaceCard)15a、15b等通信组件等的计算机。
图3是示出本实施方式所涉及的网络监视装置20的功能构成概略的图。此外,在图3中,对于网络监视装置20以外的构成(路由器10、节点90及管理服务器50等)省略图示。通过记录于存储装置14a的程序在RAM13a被读出并被CPU11a执行,网络监视装置20作为包括通信取得部21、通信阻断部22、应用程序检测引擎23、协议异常检测引擎24及恶意软件行为检测引擎25的信息处理装置而发挥作用。另外,恶意软件行为检测引擎25包含比较部251、评价值取得部252、校正部253、确定部254、保持部255、合计部256、判定部257、相关分析部258和职能推定部259。另外,在本实施方式中,网络监视装置20具备的各种功能虽然被作为通用处理器的CPU11a执行,但上述功能的一部分或全部也可被一个或多个专用处理器执行。另外,也可以利用云技术等,由设置在远隔地点的装置或分散设置的多个装置来执行上述功能的一部分或全部。
通信取得部21取得通过连接到网络的终端来进行收发的通信。此外,在本实施方式中,在成为基于网络监视装置20的监视及检测的对象的“终端”,除了网络分段2连接的节点90以外,包含有通过节点90和路由器10来进行通信的其他装置(属于其他网络的节点或外部服务器等)。
根据应用程序检测引擎23、协议异常检测引擎24或恶意软件行为检测引擎25,在通信阻断部22判定为终端在进行非法活动的情况下,阻断基于该终端的通信。此外,在本实施方式中,对于采用终端被判定为在进行非法活动的情况下阻断该终端的通信的应对的示例进行了说明,但终端被判定为在进行非法活动的情况下的应对方法并不被限定为通信阻断。网络监视装置20在终端被判定为进行非法活动的情况下,可以进行警报(警告)通知,也可以对进行非法活动的终端实施治愈(例如,恶意软件去除或脆弱性去除)。
应用程序检测引擎23是对恶意软件所利用的、业务上不需要的应用程序在网络上所进行的通信进行检测的引擎,例如,通过对基于已知的RAT(Remote Access Trojan)、P2P(Peer to Peer)应用程序,Tor(The Onion Router)、UltraSurf(Proxy工具)及匿名代理等的通信进行检测,检测出业务上不需要的应用程序在节点90进行的动作。
协议异常检测引擎24是检测网络上的不遵循协议的通信的引擎,例如,包含HTTP异常检测引擎、SSL/TLS异常检测引擎及DNS异常检测引擎等。协议异常检测引擎24通过检测不遵循上述协议的通信,检测出在网络上进行不遵守协议的通信的节点90。
恶意软件行为检测引擎25是针对被恶意软件活动转换模型定义的、恶意软件的每个非法活动阶段,评价网络上的通信与“恶意软件特有的通信模式”的共通性,通过监视恶意软件活动阶段的转换状况来分析恶意软件的行为(举动),检测节点90中的恶意软件感染的引擎。
图4是示出根据本实施方式的恶意软件行为检测引擎25而被使用的恶意软件活动转换模型的图。此外,在本实施方式中所示的恶意软件活动转换模型中定义了阶段P1到阶段P8,但这是在本实施方式中使用的一个示例,根据实施方式也可以适当变更恶意软件活动转换模型。下面,对本实施方式所涉及的恶意软件活动转换模型中的各阶段进行说明。
阶段P1是侵入阶段,即以目标型攻击邮件的附件、邮件的URL的点击、Web站点(主要是SNS站点)上的URL的点击等为契机,投入利用OS或应用程序的脆弱性而感染的恶性内容(也称为恶性代码、攻击代码、开发(Exploit)等)的阶段。在蠕虫等自主型恶意软件侵入的情况下,阶段P1之后的转移目的地是阶段P2、阶段P4或阶段P8,在BOT系恶意软件的情况下,阶段P1之后的转移目的地是阶段P2或阶段P4。
阶段P2是探索阶段,即具有脆弱性的感染终端的探索阶段。
阶段P3是感染、浸润阶段(扩散阶段),即对脆弱的目标送入攻击代码来使其感染或从其他终端送入攻击代码来使其感染的阶段。在感染、浸润阶段中,通过已经感染的终端将攻击代码送入目标终端,被送入攻击代码的终端感染上恶意软件。例如,利用Windows(注册商标)OS的MS-RPC或文件共享的脆弱性来进行扩散活动。在BOT系的恶意软件的情况下,基于由攻击者(首脑(日语:ハーダー))发行的、经由了C&C(Command and Control)服务器的指令(阶段P6)来执行感染活动(恶意软件的扩散活动)。在蠕虫等自主型恶意软件的情况下,阶段P3之后的转移目的地是阶段P4或阶段P8,在BOT系恶意软件的情况下,阶段P3之后的转移目的地是阶段P4。感染、浸润阶段具有两个方面。一个是感染原终端执行感染活动的阶段。另一个是作为损失者(感染目标)终端,攻击代码被送入使其被感染的阶段。
阶段P4是执行文件的下载阶段,即攻击代码被送入之后,从恶意软件的发布点或已经感染的终端下载作为恶意软件主体的执行文件并活性化,或者以回避反病毒产品的恶意软件检测或追加新功能等的目的,按照来自于攻击者的指令(经由C&C服务器)从指定的站点下载新的恶意软件的阶段。恶意软件主体的下载主要使用HTTP、FTP、TFTP。另外,也有使用恶意软件独立的协议的情况。在BOT等远距离操纵类型的恶意软件的情况下,阶段P4之后的转移目的地是阶段P5或阶段P6,在蠕虫等自主型恶意软件的情况下,阶段P4之后的转移目的地通常是阶段P2或阶段P8。
阶段P5是C&C检索阶段,即检索用于接受来自于攻击者的指令的C&C服务器的阶段。转换到该阶段的恶意软件主要是BOT等远距离操纵类型的恶意软件。恶意软件中通常编入多个C&C服务器的FQDN,使用DNS询问进行地址解决。在P2P类型的BOT网络的情况下,使用P2P协议(通用或独立协议)检索C&C节点。IP地址被硬件编码的类型的恶意软件在该阶段不活动。阶段P5之后的转移目的地是阶段P6。
阶段P6是C&C通信(包含的、互联网连接确认)阶段,即为了进行来自于攻击者的指令的接收与指令执行结果的报告(应答)等,连接到C&C服务器进行数据收发的阶段。连接到C&C服务前之前,存在进行互联网连接确认的恶意软件。在与C&C服务器的连接中,使用阶段P5中地址解决成功了的IP地址中的任一个或恶意软件中被硬件编码了的IP地址中的任一个。当从C&C服务器接收到指令时,依照来自攻击者的指令,恶意软件的活动从阶段P6转移到阶段P2、阶段P4或者阶段P8。通过经由C&C服务器将执行结果通知攻击者。另一方面,在恶意软件连接C&C服务器失败的情况下用别的IP地址再度尝试连接,那样也失败的情况下,回到阶段P5检索别的C&C服务器或停止自身活动。此外,直到连接成功不停地反复再连接的恶意软件的存在也被报告。另外,在C&C通信路径中发生异常而不能恢复的情况下,恶意软件的活动转移到阶段P5。进一步地,也存在一定期间中进行变更C&C服务器的动作的恶意软件,在这种情况下,恶意软件的活动转移到阶段P5。另外,阶段P6包括等候来自于攻击者的指令的阶段。恶意软件定期访问C&C服务器,维持通信路径并等候来自于攻击者的指令。也存在进行变更一定期间中C&C服务器的动作的恶意软件,在这种情况下,恶意软件的活动也转移到阶段P5。
阶段P7是榨取信息的上传阶段,即,将通过恶意软件等进行活动而得到的信息上传到攻击者侧的服务器等的阶段。
阶段P8是攻击活动阶段,即按照来自于攻击者的指令(BOT系)或恶意软件自身中编入的攻击代码(蠕虫系)进行攻击活动的阶段。为了找出攻击目标,也存在进行与阶段P1相当的活动。攻击活动中包含DoS攻击、垃圾邮件攻击、Web攻击(Web窜改)、跳板(日语:踏台)等。
恶意软件行为检测引擎25通过设有比较部251、评价值取得部252、校正部253、确定部254、保持部255、合计部256、判定部257、相关分析部258和职能推定部259(参照图3),监视如上述那样被定义的恶意软件的活动阶段的转换状况,检测节点90中的恶意软件感染。下面,对恶意软件行为检测引擎25设有的各功能部进行说明。
比较部251将通信取得部21所新取得的通信(在本实施方式中为新取得并成为处理对象的数据包。下面称为“输入数据包”)与预先保持的通信模式进行比较。通信模式中,作为恶意软件各种活动结果显现的特异的通信模式被预先定义。在本实施方式中,针对恶意软件活动转换模型的各个阶段,多个通信模式被预先定义,并由网络监视装置20或管理服务器保持,阶段Pn(这里,n是从1到7的整数)的通信模式像“Pn-m”(这里,m是1以上的数值)那样被表示。但是,也存在不依存于任一阶段(换言之,能够在多个不同的阶段中出现)的通信模式。在本实施方式中,不依存于从阶段P1到阶段P8的任一阶段的通信模式用“P0-m”被表示。
作为比较部251的比较的结果,对于与输入数据包一致或近似(下面,仅称为“对应的”)的通信模式,评价值取得部252取得预先设定的等级(评价值)作为输入数据包的等级。等级(Gr)是被分配到各个通信模式的示出“推定为终端在进行非法活动(恶意软件的活动)的程度”的值。在本实施方式中,等级(Gr)被设定为0≦Gr<1.0的范围的值(小数点以下1位)。等级(Gr)=0表示恶意软件的活动的结果产生的通信模式的可能性极低,越接近1的等级表示恶意软件的活动的结果产生的通信模式的可能性越高。基于作为正当的应用程序的通信模式而出现的频率,针对每个通信模式,预先确定等级(Gr)。即,对作为正当的应用程序的通信而出现的可能性较低的通信分配更高的等级,对作为正当的应用程序的通信而出现的可能性较高的通信分配更低的等级。在本实施方式中,对于通信模式Pn-m被预先设定的等级是“Gr(Pn-m)”,对进行与通信模式Pn-m符合的通信的终端(h)分配的等级用“Gr(h,Pn-m)”来表示。
此外,即使是同一通信模式,基于条件,也能够被分配不同的等级(Gr)。例如,在通信模式附带设定有两个条件“A:目的地与C&C服务器不一致”、“B:目的地与C&C服务器的一个一致”的情况下,如下进行条件判定,根据目的地是否与已注册的C&C服务器一致,分配不同的等级。
IF(Pn-m=TRUE)AND(A)THEN Gr(Pn-m)=0.1,ACTION=记录于C&C服务器候选列表
IF(Pn-m=TRUE)AND(B)THEN Gr(Pn-m)=0.6,ACTION=No
进一步地,在本实施方式中,评价值取得部252按照相关分析结果,取得等级,该相关分析结果是对输入数据包和通过输入数据包所涉及的终端在输入数据包之前或之后发送或接收的其他数据包(下面,称为“先行数据包”、“后续数据包”)的相关性进行分析的结果。更具体地来说,在本实施方式中,评价值取得部252判定通过通信取得部21针对通信(输入数据包)所取得的阶段与针对通过该通信所涉及的终端在该通信之前或之后进行的其他通信(先行数据包或后续数据包)所取得的阶段之间是否具有连续性,在判定为具有连续性的情况下,取得等级。
校正部253按照输入数据包与先行数据包或后续数据包的相关分析结果,校正通过评价值取得部252取得的等级。更具体地来说,在本实施方式中,判定在针对通过通信取得部21取得的通信(输入数据包)所取得的阶段与针对通过该通信所涉及的终端在该通信的前或后进行的其他通信(先行数据包或后续数据包)所取得的阶段之间是否存在连续性,在判定为具有连续性的情况下,补正部253将通过评价值取得部252取得的等级校正为比没有被判定为具有连续性的情况的更大。
换句话说,在本实施方式中,新取得的通信(输入数据包)与基于该通信所涉及的终端的过去或未来的通信(先行数据包或后续数据包)的相关分析,当在输入数据包与先行数据包或后续数据包之间,当认可“更加提高被推定为恶意软件活动的程度的连续性”的情况下,进行对过去或未来的通信(先行数据包或后续数据包)的等级的取得,或进行对新取得的通信(输入数据包)的等级的校正。
对于输入数据包,确定部254确定该终端所涉及的阶段及等级。比较部251比较后,确定部254将对于与输入数据包对应的通信模式Pn-m而被预先设定的阶段Pn确定为该终端所涉及的阶段。另外,虽然也有确定部254将通过评价值取得部252取得的等级Gr(Pn-m)照原样确定为输入数据包的等级的情况,但在通过校正部253校正等级的情况下,校正值被确定为输入数据包的等级。
保持部255针对每个终端保持确定的等级的各个阶段的最大值。在本实施方式中,保持部255针对恶意软件活动转换模型的各个阶段Pn,将对于该阶段Pn检测出的通信模式Pn-m的等级Gr(Pn-m)的最大值作为阶段Pn的等级来保持,并用“PGr(Pn)”来表示。终端(h)的阶段Pn的等级用“PGr(h,Pn)”被表示,并用下式取得。
PGr(h,Pn)=max{Gr(Pn-m)|Pn-m∈h}
在本实施方式中,保持部255针对每个终端,利用保持各个阶段的等级最大值的管理表格,对每个终端、各个阶段的等级进行管理(省略图示)。等级管理表格中,针对网络监视装置20掌握的每个终端(h),保持各阶段Pn的等级PGr(h,Pn)。如前所述,各阶段Pn的等级PGr(h,Pn)是对于该阶段Pn检测出的通信模式Pn-m的等级Gr(Pn-m)的最大值。因此,对于任一个阶段,等级被新确定的话,将新确定的等级与等级管理表格中保持的等级PGr(h,Pn)进行比较,更新为最大值。此外,对于每个通信模式Pn-m的等级Gr(Pn-m)的最大值Gr(h,Pn-m),也被保持在存储装置14a中。
合计部256针对每个终端,取得从阶段P1到阶段P8的各个阶段的等级的最大值PGr(h,Pn),并合计上述最大值。
判定部257基于成为处理对象的终端(h)的、各个阶段的等级的最大值PGr(h,Pn),判定终端是否进行非法活动。在本实施方式中,判定部257基于通过合计部256得到的合计值,判定终端是否进行非法活动。更具体地来说,判定部257通过对合计值进行规定的加权,计算出“显示恶意软件进行活动的可能性的大小的值”(下面,称为“恶意软件活动可能性”),在该值超过规定的阈值的情况下,判定该终端在进行非法活动。终端(h)的恶意软件活动可能性显示终端(h)感染恶意软件的可能性的程度,用“IR(h)”来表示。终端(h)的恶意软件活动可能性的取0(没有感染)~100(感染的可能性大)的值。即,在本实施方式中,终端(h)的恶意软件活动可能性如下地被定义。这里,ψ表示恶意软件活动系数。
[数1]
一般来说,因为可以判断在活动转换模型的大量(连续的)阶段上检测出通信模式的终端,比在更少的阶段上检测出通信模式的终端,感染恶意软件的可能性较高,所以导入恶意软件活动系数ψ(在本实施方式中,作为具体的值0.5被设定)。每当与终端(h)关联的通信模式对应的通信模式被检测出,就计算并更新上述的恶意软件活动可能性IR(h)。
在本实施方式中,将恶意软件活动可能性为0~49的终端定义为“干净终端”,将恶意软件活动可能性为50~89的终端定义为“灰色终端”,将恶意软件活动可能性为90~100的终端定义为“黑色终端”终端。针对每个终端,恶意软件活动可能性及“干净”、“灰色”、“黑色”被表示在管理者终端的管理屏幕(设备一览画面)上作为实时报告信息。另外,针对每个终端,被检测出的“通信模式”的概要和检测次数的列表被表示作为详细信息。此外,“干净”、“灰色”、“黑色”的恶意软件活动可能性的阈值也可以被管理者设定。
相关分析部258进行输入数据包与通过输入数据包所涉及的终端而在输入数据包之前或者之后发送或者接收到的其他数据包(先行数据包或者后续数据包)的相关分析。即,在本实施方式中实施的相关分析是分析2个以上的通信间或者2个以上的阶段间有没有连续性、共同性等相关性或者相关性的程度的相关分析,通过评价值取得部252、校正部253和判定部257等来使用相关分析的结果。例如,相关分析部258进行通过确定部254而被确定为是侵入阶段P1的第一通信与被确定为是执行文件的下载阶段的第二通信的相关分析,从而判定在基于第一通信的内容的下载与基于第二通信的执行文件的下载之间有没有相关性或者相关性的程度。此外,关于相关分析的具体方法,在后面叙述。
另外,相关分析部258在关于被检测出通信的第一终端而在当前或者过去确定的阶段与关于第二终端而在当前或者过去确定的阶段相同(同一)的情况下,进行第一终端的通信和第二终端的通信的相关分析,从而判定第一终端和第二终端是否协作地进行活动。此时,相关分析部258通过判定第一终端的通信和第二终端的通信的连续性或者关联性的有无或者程度,从而判定第一终端和第二终端是否协作地进行活动。关于不同的终端的通信间的相关分析的详细情况,后面在“(3)用于职能推定的相关分析”中进行叙述。
职能推定部259推定被相关分析部258判定为进行协作的第一终端或者第二终端的、该阶段中的活动的职能。
<处理流程>
然后,利用流程图来对本实施方式所涉及的系统1所执行的处理的流程进行说明。此外,下面说明的流程图所示的处理的具体内容及处理顺序是用于实施本发明的一个例子。也可以根据本发明的实施方式适当选择具体的处理内容及处理顺序。
网络监视装置20连接新的网络的话,在开始后述的各数据包d检测处理之前,作为准备处理,执行网络构成的解析/学习处理。具体来说,网络监视装置20连接新的网络的话,取得规定时间数据包,通过解析取得的数据包,对成为监视对象的网络构成进行解析,学习在恶意软件检测中必要的信息(设备一览(设备类型、OS种类、MAC/IP地址等))、监视对象网络的地址体系、DNS服务器信息、邮件服务器信息、代理(HTTP/SOCKS)信息、Active Directory信息等)并将其保存于存储装置14a等。
此外,网络构成的解析/学习处理在后述的检测处理开始之后也由网络监视装置继续执行。即,网络监视装置20将解析取得的数据包而得到的信息与通过以前的解析/学习处理被学习并被保持于网络监视装置20的存储装置14a的信息进行对照核查,对照核查的结果,在新得到的信息与保持的信息不同的情况下,网络监视装置20判断出网络分段2中的构成被变更了,并使用新得到的信息来更新网络监视装置20的存储装置14a中保持的信息。
图5是示出本实施方式所涉及的每个数据包的检测处理的流程概要的流程图。通过网络监视装置20,在网络上流通的数据包(或者,由多个数据包构成的数据)被取得时执行本实施方式所涉及的检测处理。
步骤S001中,数据包解析的前处理被执行。一旦通过通信取得部21新取得通信(输入数据包),网络监视装置20就进行输入数据包的整形、分类及与有效的已有流程的关联。另外,网络监视装置20将输入数据包分类为终端单位(发送源/目的地地址(MAC地址)单位)、协议(TCP/UDP、ICMP、DNS、HTTP、HTTPS、IRC、FTP、TFTP、SOCKS、NetBIOS等)单位并进行与已有流程的关联。之后,处理进入步骤S002。
从步骤S002到步骤S005中,进行基于应用程序检测引擎23及协议异常检测引擎24的处理。本实施方式所涉及的网络监视装置20利用上述三种检测引擎(检测程序)检测连接到网络的终端的非法通信,在本实施方式中,网络监视装置20一旦取得数据包,就在进行了基于应用程序检测引擎23及协议异常检测引擎24的检测之后,进行基于恶意软件行为检查引擎25的检测。即,在本实施方式中,恶意软件行为检测引擎25基于没有被其他的检测手段(应用程序检查引擎23及协议异常检测引擎24)检测为非法通信的通信,判定节点90是否进行非法活动。通过这样做,根据本实施方式,能够减少被恶意软件行为检测引擎25处理的数据包的数量,并减少由于行为检查引擎的动作而产生的负荷。但是,恶意软件行为检测引擎25既可单独地进行动作,也可与其他的检测引擎组合进行动作。另外,数据包被取得时的检测引擎的处理顺序并不被限定为本实施方式所示的示例。
在不需要的应用程序被应用程序检测引擎23检测到的情况下或在协议异常被协议异常检测引擎24检测到的情况下,处理进入步骤S012,进行阻断或发出警告。另一方面,在没有检测到不需要的应用程序或协议异常的情况下,处理进入步骤S006。此外,本流程图中,从步骤S006到步骤S011的处理与恶意软件行为检查引擎25的处理相当。
步骤S006中,进行通信模式的判定处理。比较部251通过将输入数据包与预先定义的通信模式(Pn-m)进行比较,判定输入数据包与预先定义的通信模式(Pn-m)的共通性。这里,在判定为与通信模式(Pn-m)具有共通性的情况下,输入数据包所涉及的终端(h)的活动转换模型上的阶段确定为阶段Pn(h)。另外,判定后,评价值取得部252将判定为一致或近似(对应)的通信模式的等级Gr(Pn-m)与终端(h)关联,并作为输入数据包的等级Gr(h,Pn-m)而取得。进一步地,网络监视装置20基于检测出的通信模式,将对象通信的发送源终端或目的地终端注册为“恶意软件发布服务器候选列表”、或“C&C服务器候选列表”。这里,考虑到数据包丢失,将所有的阶段的通信模式作为对象来进行判定及评价。此外,为了与已知的已判定流程关联,对于追加的判定处理不需要的输入数据包不进行判定,仅进行统计信息的更新。其后,处理进入步骤S007。
步骤S007中,进行第一相关分析。评价值取得部252拾取步骤S006中不能检测出的C&C通信。在转换到探索阶段P2、感染、浸润阶段P3、执行文件的下载阶段P4、攻击活动阶段P8时,评价值取得部252拾取成为该作为触发的通信,网络监视装置20将对象通信的发送源终端或目的地终端登记到C&C服务器候选列表。此外,对于第一相关分析的处理内容,将参照图6到图8及图9在后面进行叙述。其后,处理进入步骤S008。
步骤S008中进行第二相关分析。校正部253分析步骤S006中被判定的终端(h)的活动阶段Pn(h)与紧接在其之前活动的阶段的连续性即与其他(感染)终端的举动的相关性。分析之后,当发现是恶意软件的动作的可能性较高的通信模式时,校正部253使用下式来校正步骤S006中判定的终端(h)的通信模式(Pn-m)的等级Gr(h,Pn-m),并分配更高的等级。
Gr(h,Pn-m)=θ·Gr(h,Pn-m)
但,恶意软件举动类似系数θ的范围为1.0到2.0。这里,1.0意味着“没有类似性”。此外,对于第二相关分析的处理内容及恶意软件举动类似系数θ,将参照图6到图8及图10到图15,在后面进行叙述。其后,处理进入步骤S009。
步骤S009中,活动阶段的等级(PGr)被确定。确定部254基于步骤S006到步骤S008的处理结果,根据对应的终端h的通信模式的等级Gr(h,Pn-m),确定阶段Pn的等级PGr(h,Pn)i。此外,这里PGr(h,Pn)i-1表示到上次为止的阶段Pn的等级。
PGr(h,Pn)i=max{PGr(h,Pn)i-1,Gr(h,Pn-m)}
其后,处理进入步骤S010。
步骤S010中,恶意软件活动可能性(IR(h))被计算出。合计部256及判定部257计算出终端h的恶意软件活动可能性IR(h)。关于具体的计算方法,如之前在合计部256及判定部257的说明中所叙述的。其后,处理进入步骤S011。
步骤S011及步骤S012中,恶意软件活动可能性IR(h)在规定的阈值以上的情况下,进行阻断该终端或发出管理者警报等的应对。判定部257判定步骤S010中计算出的终端的恶意软件活动可能性是否在表示“黑色”的规定的阈值以上(步骤S011)。然后,在恶意软件活动可能性为“黑色”的情况下,通信阻断部22进行阻断该终端的通信的、或向管理者发出警报等的应对(步骤S012)。另外,在恶意软件活动可能性为“灰色”的情况下,网络监视装置20也可以向管理者发出警报。在恶意软件活动可能性为“干净”的情况下,不进行阻断或发出警报等的应对。其后,本流程图所示的处理结束。
图6到图8示出本实施方式所涉及的、基于恶意软件行为检查引擎25的检测处理的流程的流程图。本流程图对使用图5来进行说明的检测处理的步骤S006到步骤S012的处理进行更加详细地说明。更具体地来说,步骤S101到步骤S103对图5的步骤S006中说明的通信模式判定处理进行更详细地说明,步骤S104到步骤S110对步骤S007中说明的第一相关分析处理进行更详细地说明,步骤S111到步骤S116对步骤S008中说明的第二相关分析处理进行更详细地说明,步骤S117到步骤S120对步骤S009中说明的活动阶段的等级确定处理进行更详细地说明。另外,步骤S121与图5的步骤S010相当,步骤S122及步骤S123与步骤S011及步骤S012相当。
步骤S101及步骤S102中,判定取得的数据包(输入数据包)是否符合预先定义的通信模式的任一个。比较部251通过将输入数据包与预先保持的通信模式进行比较,判定输入数据包与预先定义的通信模式(Pn-m)的共通性。作为判定的结果,在判定为与任一通信模式都不符合的情况下,结束该数据包所涉及的处理,并结束本流程图中所示的处理。另一方面,在判断为与某一通信模式符合的情况下,处理进入步骤S103。
步骤S103中,关于输入数据包所涉及的终端,对检测出判定为符合的通信模式(Pn-m)的情况进行记录。另外,评价值取得部252将与输入数据包对应的通信模式(Pn-m)所属的阶段Pn及对于通信模式(Pn-m)被预先设定的等级Gr(Pn-m)作为输入数据包所涉及的终端(h)的阶段Pn(h)及该阶段的等级Gr(h,Pn-m)来取得。其后,处理进入步骤S104。
步骤S104及步骤S105中,在与输入数据包对应的通信模式中设定有必须条件的情况下,判定是否在过去取得与必须条件对应的通信。在没有设定必须条件的情况下,处理进入步骤S107。这里,必须条件是指,用于判定是否可以将对于判定为在步骤S101中与输入数据包对应的通信模式(Pn-m)被预先设定的等级Gr(Pn-m)作为该输入数据包所涉及的终端(h)的阶段Pn(h)的等级Gr(h,Pn-m)来确定的条件。例如,“P6-4:将HTTP标准端口(80)作为目的地端口的HTTP通信(代理/非代理)”的通信模式是HTTP的一般性的通信,对于该通信模式,“P0-1~P0-15”中被定义的“HTTP恶意通信模式”中的任一个被检测出是必须条件。因此,在满足了上述的必须条件的情况下,对于该输入数据包通信模式P6-4的等级Gr(h,P6-4)被确定,在没有满足必须条件的情况下,对于该输入数据包通信模式P6-4的等级Gr(h,P6-4)没有被确定。
即,评价值取得部252通过判定在过去取得的通信是否满足必须条件,判定在针对输入数据包所取得的阶段与针对通过该通信所涉及的终端在该通信之前进行的其他通信(先行数据包)所取得的阶段之间是否具有连续性。在判定为没有满足必须条件的情况下,处理进入步骤S106,该输入数据包的等级被设定为0(零)。另一方面,在判定为满足必须条件的情况下,处理进入步骤S107。
步骤S107中,等级被分配到输入数据包所涉及的终端的阶段中。评价值取得部252对于输入数据包,取得被判定为符合的通信模式Pn-m中被预先定义的等级Gr(Pn-m),并作为终端(h)的阶段Pn(h)的等级Gr(h,Pn-m)。其后,处理进入步骤S108。
步骤S108中,对输入数据包是否与在过去检测出的通信模式的必须条件符合进行判定。换句话说,在步骤S108中,从在过去取得的通信(先行数据包)来看,在相当于未来的当前时刻,对是否检测出与必须条件符合的通信(输入数据包)进行判定。评价值取得部252对在过去是否检测出输入数据包的通信模式被设定为必须条件的通信模式进行判定。作为判定的结果,判定为在过去没有检测出将输入数据包所涉及的通信模式作为必须条件的通信模式的情况下,处理进入步骤S111。另一方面,作为判定的结果,判定为在过去检测出将输入数据包所涉及的通信模式作为必须条件的通信模式的情况下,处理进入步骤S110。
步骤S110中,对过去取得的通信(先行数据包)的阶段分配等级。评价值取得部252,对于在过去检测出的通信,取得该通信模式(Pn-m)中被预先定义的等级Gr(Pn-m)并分配。其后,处理进入步骤S111。
步骤S111及步骤S112中,在与输入数据包对应的通信模式中设定有等级校正条件的情况下,对在过去是否取得与等级校正条件符合的通信进行判定。在设定有等级校正条件的情况下,处理进入步骤S114。这里,等级校正条件是用于判定是否应该将对于判定为在步骤S101中与输入数据包对应的通信模式(Pn-m)被预先设定的等级Gr(Pn-m)校正为更大的值的条件。校正部253判定与等级校正条件符合的通信对于输入数据包所涉及的终端在过去是否被检测出。在判定为没有满足等级校正条件的情况下,不进行等级的校正,处理进入步骤S114。另一方面,在判定为满足必须条件的情况下,处理进入步骤S113。
步骤S113中,进行等级的校正。校正部253对于步骤S112中判定为满足的等级校正条件,按照预先设定的校正值,对步骤S107中分配的等级Gr(h,Pn-m)进行校正。例如,校正值为1.5的情况下,等级Gr(h,Pn-m)的值变为1.5倍。其后,处理进入步骤S114。
步骤S114中,对输入数据包是否与在过去检测出的通信模式的等级校正条件符合进行判定。换句话说,步骤S114中,从在过去取得的通信(先行数据包)来看,在相当于未来的当前时刻,对与等级校正条件符合的通信(输入数据包)是否被检测出进行判定。校正部253对在过去是否检测出输入数据包的通信模式被设定为等级校正条件的通信模式进行判定。作为判定的结果,判定为在过去没有检测出将输入数据包所涉及的通信模式作为等级校正条件的通信模式的情况下,处理进入步骤S117。另一方面,作为判定的结果,判定为在过去检测出将输入数据包所涉及的通信模式作为等级校正条件的通信模式的情况下,处理进入步骤S116。
步骤S116中,进行过去的通信(先行数据包)所涉及的等级的校正。校正部253对被分配到在过去被检测出的通信模式所涉及的终端的等级,用对于该等级校正条件而被预先定义的校正值来进行校正。例如,在校正值为1.5的情况下,等级变为1.5倍。其后,处理进入步骤S117。
步骤S117到步骤S120中,进行各个阶段的最大等级的更新处理。首先,网络监视装置20对于输入数据包所涉及的终端,从等级管理表格取得(步骤S117)针对各检测阶段(P1到P8)保持的最大等级(对于进行校正的等级是校正后的值)并通过与步骤S101到步骤S116的处理后由确定部254确定的等级进行比较,在各阶段中,判定最大等级是否被更新(步骤S118)。这里,在判定为最大等级没有被更新的情况下,处理进入步骤S121。另一方面,在判定为最大等级被更新的情况下,保持部255用新分配的等级来对等级管理表格中记录的最大等级进行更新并对其进行保持(步骤S120)。此外,在该过程中,证迹日志被采集选取(步骤S119)。其后,处理进入步骤S121。
步骤S121中,计算出终端中的恶意软件活动可能性。合计部256对该终端h的各阶段中求出的最大等级进行合算,判定部257通过对恶意软件活动系数进行乘算,计算出终端h的恶意软件活动可能性IR(h)。详细的计算方法是在合计部256及判定部257的说明中如前上述那样。其后,处理进入步骤S122。
步骤S122及步骤S123中,对象90的、恶意软件感染的有无被判定。判定部257对步骤S121中计算出的恶意软件活动可能性IR(h)是否超过规定的阈值进行判定(步骤S122)。这里,在判定为恶意软件活动可能性IR(h)超过阈值的情况下,网络监视装置20进行恶意软件感染被检测出时的规定的应对。作为恶意软件感染被检测出时的应对,例如,例举有基于通信阻断部22的该节点90的通信阻断开始、或该节点90感染恶意软件的警报(警告)的通知等。另一方面,在判定为恶意软件活动可能性IR(h)没有超过阈值的情况下,不进行通信阻断或警告等的、恶意软件感染被检测出时的对应。其后,本流程图所示的处理结束。
此外,网络监视装置20可以使用例如放弃从L2/L3开关取得的通信数据的方法、阻断L2/L3开关的端口的方法、对于节点90进行基于ARP伪装的数据包发送目的地的诱导的方法、或者指示路由器10并使节点90所涉及的通信毁弃的方法、或者变更并隔离节点90所属的VLAN的方法等,对基于节点90的通信进行阻断。另外,在网络监视装置20被装载(内包)于路由器10中的情况下,也可以直接对节点90接收或发送的通信进行阻断。另外,网络监视装置20可以使用将通知数据包或邮件等发送到管理服务器或节点90、预先设定的管理者终端等的方法、或者通过被设置于网络监视装置20自身的显示装置(显示器或LED等)来进行警告显示的方法等,通知警报。
<相关分析的具体例>
下面,对相关分析的具体实例进行说明。但是,相关分析是根据伴随恶意软件活动的阶段转换的观点来分析终端的多个通信是否具有相关性即可,其并不被限定为本实施方式所示的示例。
(1)第一相关分析
通信模式的判定处理(参见步骤S006)基于预先定义的“通信模式”。因此,仅在该处理中,不能检测进行与通信模式不一致的通信的恶意软件。因而,在本实施方式中,决定为进行第一相关分析(参见步骤S007)。
图9是示出在本实施方式中的第一相关分析中作为监视对象的活动转换模型上的阶段及其转换的图。一般来说,恶意软件按照来自于C&C服务器的指令,转换到探索阶段P2、感染、浸润阶段P3、执行文件的下载阶段P4或攻击活动阶段P8。另外,接收来自于C&C服务器的指令之后,转换到探索阶段P2、感染、浸润阶段P3、执行文件的下载阶段P4或攻击活动阶段P8为止的时间通常非常的短(1秒以内)。第一相关分析中,利用该特性,在终端(h)转换到探索阶段P2、感染、浸润阶段P3、执行文件的下载阶段P4或攻击活动阶段P8时,暂时将成为触发的通信当作C&C通信,并将该通信所涉及的终端注册到C&C服务器候选列表。注册到C&C服务器候选列表后,对恶意软件的感染进行特定的处理遵从如上所示的恶意软件的检测方法。
(1.1)准备(评价信息的收集)
第一相关分析中,活动转换模型上的探索阶段P2、感染、浸润阶段P3、执行文件的下载阶段P4或攻击活动阶段P8中的活动被观测到(通信模式被检测出)时,分析成为该触发的通信,在满足一定条件的情况下,将成为该触发的通信的发送源(从终端(h)来看的话是连接目的地)作为C&C服务器候选注册到列表。下面,对第一相关分析中利用的信息的收集方法与记录内容进行说明。此外,每当对监视对象终端发送的数据包进行检测时执行下面的处理。另外,在通信模式的判定处理(参照步骤S006)结束后执行该准备(评价信息的收集)处理。
(1.1.1)分析
分析数据包,在满足下面的条件的情况下进入(1.1.2)的等待数据包。在不满足条件的情况下什么也不做,等待数据包。
·数据包是终端(h)发送的HTTP GET、POST、CONNECT请求中的任一个。并且
·GET请求不是文件的下载要求。并且
·User-Agent头部的值不以“Mozilla”开始,或者User-Agent头部不存在。
此外,上述的User-Agent的条件意味着仅将网络浏览器以外的应用程序发送的HTTP请求作为评价对象。因为(伪装)网络浏览器通信在通信模式的判定处理中成为评价对象,所以在第一相关分析中仅非网络浏览器通行成为对象。然后,不满足上述条件的情况下,下面的信息被记录在终端(h)的管理表格中。
·方法类别(GET、POST、PUT、CONNECT中的任一个)
·User-Agent头部的值(字符串)。User-Agent头部不存在的话是“NULL”
·Host头部的值(FQDN或IP地址)
(1.1.2)等候数据包
这里,后续的数据包被等候。一旦接收数据包,就进行下面的处理。
·数据包是满足(1.1.1)的条件的终端(h)发送的新的HTTP请求的情况下,处理返回(1.1.1)的分析。此外,作为HTTP请求及其响应,虽然仅最新的数据的时间标识是必要的,但是因为有可能发生数据包丢失,所以也可以在接收所有的HTTP响应时记录时间标识,并在接收到后续的响应时进行覆写。
·数据包是终端(h)在(1.1.1)中发送的HTTP请求的响应且HTTP响应的主体部分的大小为0的情况下,处理转移到(1.1.1)。这是因为在HTTP响应的主力部分的大小为0的情况下,意味着不包含来自C&C服务器的指令信息。
·数据包是终端(h)在(1.1.1)中发送的HTTP请求的响应。并且在HTTP响应的主体部分的大小不为0情况下,记录在下面示出的内容,处理转移到(1.1.3)。
·记录HTTP响应数据包的检测(接收)时刻(时间标识:毫秒)。以后,用“TimeStamp(C)”表示该时间标识。此外,在这里,虽然仅HTTP响应的最终数据的时间标识是必要的,但因为有可能发生数据包丢失,所以在接收所有的HTTP响应时记录时间标识,并在接收到后续的响应时进行覆写。
(1.1.3)判定
在这里,进行下面的判定及处理。
·在(1.1.2)中处理的数据包不是HTTP响应的最终数据的情况下,恶意软件行为引擎25停留于(1.1.2),等候后续的响应。
·在(1.1.2)中处理的数据包是HTTP响应的最终数据的情况下,恶意软件行为引擎25移往(1.1.1)的分析,等候新的HTTP请求。
(1.2)向探索阶段P2转换时的处理内容
恶意软件行为检测引擎25依次进行下面的处理,在满足条件的情况下,将“准备(评价信息的收集)”中记录的数据包所涉及的终端注册到C&C服务器候选列表中。
·探索阶段P2上的活动与认定(与“探索阶段P2的通信模式”一致)并且
·向探索阶段P2转换的时刻(时间标识:TimeStamp(P2))与记录的TimeStamp(C)满足下面的条件。
TimeStamp(C)+500ms>TimeStamp(P2)
恶意软件行为检测引擎25将等级(Gr)=0.3赋予到满足上述条件的“准备(评价信息的收集)”中记录的通信(输入数据包)中。与记录的C&C通信阶段的等级(PGr)进行比较,将较大的值的等级作为C&C通信阶段的等级(PGr)进行重新记录。此外,在通信模式的判定处理中,在检测出“探索阶段P2的通信模式”时记录TimeStamp(P2)。TimeStamp(P2)的计测对象仅是探索、感染阶段上的符合于“可疑的连接尝试”的通信模式。另外,通信模式的观测时刻作为检测出符合于“可疑的连接尝试”的通信模式的时刻。
(1.3)向执行文件的下载阶段P4转换时的处理内容
恶意软件行为检测引擎25依次进行下面的处理,在满足条件的情况下,将“准备(评价信息的收集)”中记录的数据包所涉及的终端登记到C&C服务器候选列表。
·执行文件的下载阶段P4上的活动与认定(与“执行文件的下载阶段P4的通信模式”一致)并且
·向执行文件的下载阶段P4转换的时刻(时间标识:TimeStamp(P4))与记录的TimeStamp(C)满足下面的条件。
TimeStamp(C)+500ms>TimeStamp(P4)
恶意软件行为检测引擎25将等级(Gr)=0.3赋予到满足上述条件的“准备(评价信息的收集)”中记录的通信中。与记录的C&C通信阶段的等级(PGr)进行比较,将较大的值的等级作为C&C通信阶段的等级(PGr)进行重新记录。此外,在通信模式的判定处理中,在检测出“执行文件的下载阶段P4的通信模式”时记录TimeStamp(P4)。TimeStamp(P4)不是HTTP GET请求、FTP下载、TFTP下载的开始时刻,而是作为文件的下载结束的时刻(HTTP GET的情况是响应的最终数据包)。因为发生数据包丢失,所以也可以在检测HTTP GET响应的各个数据包、FTP/TFTP的下载数据包时更新TimeStamp(P4)。
(1.4)向攻击阶段P8转换时的处理内容
恶意软件行为检测引擎25依次进行下面的处理,在满足条件的情况下,将“准备(评价信息的收集)”中记录的数据包所涉及的终端注册到C&C服务器候选列表。
·攻击阶段P8上的活动与认定(与“攻击阶段P8的通信模式”一致)并且
·向攻击阶段P8转换的时刻(时间标识:TimeStamp(P8))与记录的TimeStamp(C)满足下面的条件。
TimeStamp(C)+500ms>TimeStamp(P8)
恶意软件行为检测引擎25将等级(Gr)=0.3赋予到满足上述条件的“准备(评价信息的收集)”中记录的通信中。与记录的C&C通信阶段的等级(PGr)进行比较,将较大的值的等级作为C&C通信阶段的等级(PGr)进行重新记录。此外,在通信模式的判定处理中,在检测出“攻击阶段P8的通信模式”时记录TimeStamp(P8)。TimeStamp(P8)不是(最终从多个数据包)认定攻击活动的时刻,而是检测出攻击的通信模式的最初的数据包的时刻。
(2)第二相关分析
恶意软件转换恶意软件活动转换模型的阶段的同时使活动深化。因此,在刚转换之后的阶段中的活动(通信)将前一个的阶段中的活动(通信)作为触发而发生的可能性较高的情况下(换句话说,前后的阶段中具有相关性的情况),可以判断为该终端感染恶意软件的概率较高。虽然也考虑到根据包含于通信模式中的数据内容(例如,来自于C&C服务器的指令内容)来判断该触发的方法,但是将数据部分加密化或难解化的恶意软件也很多,实时地解析、判定较为困难。因此,在本实施方式中,基于阶段的转换所需要的时间(检测出通信模式Pr-s之后到检测出通信模式Pm-n的为止的时间)、通信目的地(回叫通信)的终端(h)、恶意软件感染的可能性较高的多个终端的举动的相关性及一致性、处理的文件的种类等的信息来进行相关分析(参照步骤S008)。作为分析的结果,在判定为恶意软件的举动的怀疑较高的通信的情况下,对与该通信对应的通信模式Pn-m的等级Gr(Pm-n)进行校正(恶意软件的举动类似系数θ倍),并赋予更高的等级。
下面,对通信模式的相关分析的分析内容进行说明。此外,阶段的转换顺序不一致的情况下,或阶段的转换一致但过程中夹有其他的阶段的情况下,作为分析对象之外而不进行相关分析。另外,恶意软件行为检测引擎25不将所有的阶段转换作为相关分析的对象。恶意软件行为检测引擎25将作为恶意软件的举动而观测到显著的相关性的以下的阶段转换作为相关分析的对象。图10到图15中,实线箭头表示分析对象,虚线箭头表示非分析对象。
(2.1)向探索阶段P2转换时的分析内容
图10是示出在本实施方式中的第二相关分析中作为监视对象的、向探索阶段P2的转换的图。在“恶意软件的活动阶段判定”处理块中,在终端(h)向探索阶段P2转换时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.1.1)从C&C通信阶段P6向探索阶段P2转换
if{条件A=TRUE}then{Gr(h,P2-m)=θ·Gr(h,P2-m)}(θ=1.2)
·条件A:在被注册到终端(h)的C&C服务器候选列表的C&C服务器中的任一个处观测数据通信(从C&C服务器接收一些数据(指令))之后,在N(a)秒以内在终端(h)观测了探索阶段的通信模式P2-m。
此外,在这里,从C&C服务器接收到数据(指令)的时刻作为观测到下面的数据包的时刻。
·在C&C是HTTP类型的情况下,与HTTP GET/POST/PUT请求对应的、数据长度(主体部分的大小)不为0的HTTP响应(最终)数据的接收时刻
·在C&C为HTTPS(直接或CONNECT)或独立协议类型的情况下,在该TCP连接上,与终端(h)发送的数据包对应的、数据长度不为0(最终)TCP数据的接收时刻
·在C&C为IRC类型的情况下,来自C&C服务器数据长度不为0的IRC消息的最终数据的接收时刻
这里,探索阶段的通信模式P2-m仅将符合于“可疑的连接尝试”的通信模式作为对象。另外,通信模式的观测时刻作为检测出符合“可疑的连接尝试”的通信模式的时刻。
(2.2)向执行文件的下载阶段P4转换时的分析内容
图11是示出在本实施方式中的第二相关分析中作为监视对象的、向执行文件的下载阶段P4转换的图。在“恶意软件活动阶段判定”处理块中,在终端(h)转换到执行文件的下载阶段P4时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.2.1)从探索阶段P2向执行文件的下载阶段P4转换
if{条件A=TRUE}then{Gr(h,P4-m)=θ·Gr(h,P4-m)}(θ=1.5)
if{条件B=TRUE}then{Gr(h,P4-m)=θ·Gr(h,P4-m)}(θ=1.2)
·条件A:在终端(h)观测执行文件的下载的通信模式P4-m,且P4-m的连接目的地(目的地IP/FQDN)与感染源终端(k)一致。
·条件B:在终端(h)观测执行文件的下载的通信模式P4-m,且P4-m的连接目的地(目的地IP/FQDN)与被注册到恶意软件发布服务器候选列表的服务器中的某一个一致。
此外,因为存在不限定于感染恶意软件之后在一定时间内下载执行文件的情况(有10秒后进行下载的情况,也有在3天后进行下载的情况),所以在从阶段P2向阶段P3的转换中,没有加入与时间相关的条件。
(2.2.2)从C&C通信阶段P6向执行文件的下载阶段P4转换
if{条件C=TRUE}then{Gr(h,P4-m)=θ·Gr(h,P4-m)}(θ=1.2)
if{条件D=TRUE}then{Gr(h,P4-m)=θ·Gr(h,P4-m)}(θ=1.5)
·条件C:在被注册到终端(h)的C&C服务器候选列表的C&C服务器中的任一个处观测数据通信(从C&C服务器接收一些数据)之后,在N(b)秒之内在终端(h)观测了执行文件的下载阶段的通信模式P4-m。
·条件D:条件C,且P4-m的连接目的地(目的地IP/FQDN)与被注册到恶意软件发布服务器候选列表的服务器中的某一个一致。
此外,从C&C服务器接收到数据(指令)的时刻参照“(2.1)向探索阶段P2转换时的分析内容”。另外,执行文件的下载阶段的通信模式P4-m的观测时刻不是HTTPGET请求、FTP下载、TFTP下载的开始时刻,而是作为文件的下载结束的时刻(HTTPGET的情况是响应的最终数据包)。因为发生数据包丢失,所以也可以在每次检测HTTPGET响应的各个数据包、FTP/TFTP的下载数据包时更新时刻。
(2.2.3)从侵入阶段P1向执行文件的下载阶段P4转换
在“恶意软件的活动阶段判定”处理框中,在终端(h)转换到执行文件的下载阶段P4时,进行下面说明的相关分析,在判定为存在相关性的情况下,校正活动通信模式的等级,判定为感染上恶意软件(受到路过式下载攻击)(参照图5至图8)。基于映射到侵入阶段P1的通信P1-n与映射到执行文件的下载阶段P4的通信P4-m的连续性和关联性来判定有没有相关性。此处,根据连接的同一性、检测时刻的接近度、有没有在2个通信模式P1-n与P4-m之间检测到的其他数据包等来判定连续性,根据目的地服务器的地址、目的地服务器的信息的共同性等来判定关联性。
图12是示出在本实施方式中的、用于判定侵入阶段P1所涉及的通信与执行文件的下载阶段P4所涉及的通信的相关性的相关分析处理的流程的流程图。本流程图所示的处理相当于使用图6和图7来说明了的恶意软件行为检测引擎的步骤S111至步骤S116的处理,在检测到映射到侵入阶段P1的“恶性内容的下载”通信和映射到执行文件的下载阶段P4的通信的情况下,为了检测在该终端中进行了路过式下载攻击的情况而被执行。
在步骤S701至步骤S703中,判定是否满足相关条件1至3。在不满足相关条件1至3中的任一个的情况下,本流程图所示的处理结束。另一方面,在满足相关条件1至3中的某一个的情况下,处理前进到步骤S704。相关条件1至3如下所述。
相关条件1:在终端(h)中检测到通信模式P1-m(m=1~5)后,在与所检测到的P1-m相同的TCP连接上,检测到通信模式P4-n(n=1~4)。
if(条件=TRUE)then PGr(h,P1)=0.3
if(条件=TRUE)then Gr(h,P4-1~P4-4)=θ·Gr(h,P4-1~P4-4)(θ=2.0)
相关条件2:紧接着在终端(h)中检测到P1-m(m=1~5)之后,检测到具有与所检测到的P1-m相同的FQDN/IP地址的通信模式P4-n(n=1~4)。其中,P1-m与P4-n的TCP连接不同。
if(条件=TRUE)then PGr(h,P1)=0.3
if(条件=TRUE)then Gr(h,P4-1~P4-4)=θ·Gr(h,P4-1~P4-4)(θ=2.0)
相关条件3:紧接着在终端(h)中检测到P1-m(m=1~5)之后,检测具有与所检测到的P1-m相同的FQDN/IP地址的、被设定了IE或者Java(注册商标)的User-Agent头部值的正常的GET请求,该GET请求是唯一一个的GET请求,并且紧接着上述正常的GET请求(&响应)之后,检测到具有与所检测到的P1-m(m=1~5)相同的FQDN/IP地址的通信模式P4-n(n=1~4)。其中,P1-m与P4-n的TCP连接不同。
if(条件=TRUE)then PGr(h,P1)=0.3
if(条件=TRUE)then Gr(h,P4-1~P4-4)=θ·Gr(h,P4-1~P4-4)(θ=2.0)
在步骤S704中,校正阶段P1和阶段P4-m的等级。校正部253例如进行将阶段P1的等级设定为0.3、并且使阶段P4-m的等级变成2.0倍等的校正。其后,本流程图所示的处理结束,最后,通过与阈值进行比较来判定有没有恶意软件感染(路过式下载攻击)(参照图8所示的处理)。
(2.3)向C&C检索阶段P5转换时的分析内容
图13是示出在本实施方式中的第二相关分析中作为监视对象的、向C&C检索阶段P5转换的图。在“恶意软件的活动阶段判定”处理块中,在终端(h)向C&C检索阶段P5转换时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.3.1)从探索阶段P2向C&C检索阶段P5转换
if{条件A=TRUE}then{Gr(h,P5-m)=θ·Gr(h,P5-m)}(θ=1.2)
·条件A:在(被感染一侧的)终端(h)观测(通信模式P2-9或P2-10的连接目的地终端一侧)感染活动之后,在N(c)秒以内在终端(h)观测了C&C检索阶段的通信模式P5-m。
(2.3.2)从C&C通信阶段P6向C&C检索阶段P5转换
if{条件B=TRUE}then{Gr(h,P5-m)=θ·Gr(h,P5-m)}(θ=1.3)
·条件B:终端(h)从C&C通信阶段P6以一定的周期(时间)重复了向C&C检索阶段P5转换(检测出C&C检索阶段P5的通信模式P5-m)。
此外,在本实施方式中,在过去3次的转换是大致相同的周期(时间)的情况下,判断为以一定的周期重复了向C&C检索阶段P5的转换。
(2.4)向C&C通信阶段P6转换时的分析内容
图14是示出在本实施方式中的第二相关分析中作为监视对象的、向C&C通信阶段P6转换的图。在“恶意软件的活动阶段判定”处理块中,终端(h)向C&C通信阶段P6转换时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.4.1)从探索阶段P2向C&C通信阶段P6转换
if{条件A=TURE}then{Gr(h,P6-m)=θ·Gr(h,P6-m)}(θ=1.1)
if{条件B=TURE}then{Gr(h,P6-m)=θ·Gr(h,P6-m)}(θ=1.2)
if{条件C=TURE}then{Gr(h,P6-m)=θ·Gr(h,P6-m)}(θ=1.5)
·条件A:在终端(h)观测(通信模式P2-9或P2-10的感染目的地终端一侧)感染活动之后,在N(d)秒以内在终端(h)观测了C&C通信阶段P6的通信模式P6-m。
·条件B:条件A,且P6-m的连接目的地(目的地IP/FQDN)与被注册到(任意的监视对象终端的)C&C服务器候选列表的C&C服务器中的任一个一致。
·条件C:条件A,且P6-m的连接目的地(目的地IP/FQDN)与被注册到感染源终端(k)的C&C服务器候选列表的C&C服务器中的任一个一致。
(2.4.2)从执行文件的下载阶段P4向C&C通信阶段P6转换
if{条件D=TRUE}then{Gr(h,P6-m)=θ·Gr(h,P6-m)}(θ=1.1)
if{条件E=TRUE}then{Gr(h,P6-m)=θ·Gr(h,P6-m)}(θ=1.2)
if{条件F=TRUE}then{Gr(h,P6-m)=θ·Gr(h,P6-m)}(θ=1.3)
·条件D:在终端(h)观测执行文件的下载的通信模式P4-m之后,在N(e)秒以内在终端(h)观测了C&C通信阶段的通信模式P6-m。
·条件E:条件D,且P6-m的连接目的地(目的地IP/FQDN)与被注册到(任意的监视对象终端的)C&C服务器候选列表的C&C服务器中的某一个一致。
·条件F:条件D,且P6-m的连接目的地(目的地IP/FQDN)与已经被注册到终端(h)的C&C服务器候选列表的C&C服务器中的某一个一致。
(2.4.3)从C&C检索阶段P5向C&C通信阶段P6转换
if{条件G=TRUE}then{Gr(h,P6-m)=θ·Gr(h,P6-m)}(θ=1.2)
·条件G:在终端(h)观测C&C检索阶段的通信模式P5-m之后,在N(f)秒以内在终端(h)观测C&C通信阶段的通信模式P6-m,且P6-m的连接目的地(目的地IP/FQDN)与被注册到(任意的监视对象终端的)C&C服务器候选列表的C&C服务器中的某一个一致。
(2.5)向攻击阶段P8转换时的分析内容
图15是示出在本实施方式中的第二相关分析中作为监视对象的、向攻击阶段P8转换的图。在“恶意软件的活动阶段判定”处理块中,在终端(h)向C&C通信阶段P6转换时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.5.1)从执行文件的下载阶段P4向攻击阶段P8转换
if{条件A=TRUE}then{Gr(h,P8-m)=θ·Gr(h,P8-m)}(θ=1.2)
·条件A:在终端(h)观测执行文件的下载的通信模式P4-m之后,在N(g)秒以内在终端(h)观测了攻击阶段的通信模式P8-m。
(2.5.2)从C&C通信阶段P6向攻击阶段P8转换
if{条件B=TRUE}then{Gr(h,P8-m)=θ·Gr(h,P8-m)}(θ=1.2)
if{条件C=TRUE}then{Gr(h,P8-m)=θ·Gr(h,P8-m)}(θ=1.5)
·条件B:在被注册到终端(h)的C&C服务器候选列表的C&C服务器中的任一个处观测数据通信(从C&C服务器接收一些数据(指令))之后,在N(h)秒之内在终端(h)观测了攻击阶段的通信模式P8-m。
·条件C:检测出了满足条件B的两台以上的终端。(没有必要同时发生)
(3)用于职能推定的相关分析
在目标型攻击中使用的攻击方法中,为了使对在组织内的攻击活动的发觉延迟,存在使从组织内的感染终端向攻击者所管理的外部终端的通信量尽可能减少的倾向。此处,为了使与外部终端的通信量减少,存在限定与外部终端进行通信的组织内部的感染终端的数量、对感染终端赋予职能并管理感染终端这样的方法。例如,作为感染终端具有的职能,有以下4个。此外,有时在1个感染终端中具有多种职能。
1.以向恶意软件的组织内的感染扩大作为目的而进行探索、感染、谍报活动的职能
2.从攻击者所管理的外部终端将文件下载到组织内、配置于本终端内并进行再发布的职能
3.对来自攻击者所管理的外部终端的C&C通信进行中继的职能
4.汇集在组织内的谍报活动的结果信息、并将该信息上传到攻击者所管理的外部终端的职能
为了调查这样的感染终端的举动,以往,提出了如下技术:通过在终端上工作的代理型监视软件,分析在该终端工作的软件的种类、在该终端进行的处理内容,从而检测恶意软件的活动。但是,在以往的方法中,在感染终端的检测后解析通信日志、通信捕获信息、恶意软件样本等,所以从感染终端的检测至恶意软件的活动、职能的确定为止有时需要较长时间。
如上所述,攻击者为了使对攻击的发觉延迟,想要减少感染终端与外部终端的通信量,为此,有时在组织内部设置代替其他感染终端来进行与攻击者所管理的外部终端的通信的代行感染终端。在该情况下,外部终端-代行感染终端间通信和代行感染终端-感染终端间通信是同一阶段的通信。
在此,在本实施方式中,通过对不同的终端的同一阶段的通信彼此进行相关分析,发现具有代行组织内部的感染终端与攻击者所管理的外部终端的通信的职能的感染终端等,并推定终端的职能。
下面,说明不同的终端的通信间的相关分析的内容。此外,在阶段的转换顺序不一致的情况、阶段的转换一致但在途中夹着其他阶段的情况下,也可以排除在分析对象之外。另外,恶意软件行为检测引擎25将作为恶意软件的举动而被观测相关性的阶段转换设为相关分析的对象。
图16是示出本实施方式的由恶意软件行为检测引擎25实施的第三相关分析处理的流程的流程图。在通过网络监视装置20取得在网络上流过的数据包(或者由多个数据包构成的数据)之后,在通过上述说明的通信模式的判定处理(相当于图5的步骤S006和图6的步骤S101至步骤S103)检测到规定的通信模式的情况下,执行本实施方式的第三相关分析处理。
此处,本实施方式中的规定的通信模式是下面例示的4种通信模式。
1.有可能进行了感染、浸润行为的通信模式P3-m、
2.有可能送入了执行文件的通信模式P4-m、
3.有可能进行C&C通信的通信模式P6-m、以及
4.有可能上传了榨取信息的通信模式P7-m。
此外,恶意软件的通信有可能被加密,但本实施方式的恶意软件行为检测引擎基于通信模式来检测用于信息的上传的通信,所以,即使是被加密了的通信,也能够检测该通信是属于哪个阶段的通信。
在步骤S201中,执行与所检测到的通信模式对应的职能推定相关分析处理。恶意软件行为检测引擎根据在上述说明的通信模式的判定处理(相当于图5的步骤S006和图6的步骤S101至步骤S103)中检测到的通信模式,执行对应的职能推定相关分析处理。具体来说,
1.在检测到有可能进行了感染、浸润行为的通信模式P3-m的情况下,执行感染、浸润阶段P3的职能推定相关分析处理,
2.在检测到有可能送入了执行文件的通信模式P4-m的情况下,执行执行文件的下载阶段P4的职能推定相关分析处理,
3.在检测到有可能进行C&C通信的通信模式P6-m的情况下,执行C&C通信阶段P6的职能推定相关分析处理,
4.在检测到有可能上传了榨取信息的通信模式P7-m的情况下,执行榨取信息的上传阶段P7的职能推定相关分析处理。
关于各个终端间相关分析处理的详细情况,在后面叙述。其后,处理前进到步骤S202。
在步骤S202中,根据职能推定相关分析的结果,进行相符合的终端的阻断、发出管理者警报等应对措施。在上述各职能推定相关分析中,在某一个节点90被推定为具有恶意软件活动中的某种职能的情况下,网络监视装置20进行在检测到恶意软件感染时的规定的应对。作为检测到恶意软件感染时的应对,例如可列举由通信阻断部22实施的该节点90的通信阻断开始、关于该节点90感染了恶意软件这一的情况的警报(警告)的通知等。通过使能够由管理者把握这样的信息,能够使管理者把握在组织内网络上存在具有什么样的职能的终端,使管理者把握发生了恶意软件的感染扩大、攻击活动这一状况,促使管理者进行适当的应对措施。在上述各职能推定相关分析中,在任一节点90都未被推定为具有恶意软件活动中的职能的情况下,不进行阻断、警报的发出等在检测到恶意软件感染时的应对措施。此外,由网络监视装置20实施的通信阻断、发出警报的具体方法是按照在步骤S123的说明等中所例示的那样。其后,本流程图所示的处理结束。
接下来,说明各个职能推定相关分析处理的具体内容。
(3.1)感染、浸润阶段P3的职能推定相关分析处理
图17是示出本实施方式的感染、浸润阶段P3的职能推定相关分析处理的流程的流程图。本流程图更详细说明由于检测到有可能进行了感染、浸润行为的通信模式而在使用图16说明了的第三相关分析处理的步骤S201中调出感染、浸润阶段P3的职能推定相关分析处理的情况下的处理。另外,图18是示出在本实施方式中通过感染、浸润阶段P3的职能推定相关分析处理而被进行职能推定的终端进行活动的情形的图。
在步骤S301中,记录感染源终端信息和感染目的地终端信息。恶意软件行为检测引擎25在检测到有可能进行了感染、浸润行为的通信模式的情况下,将该通信所涉及的终端的终端信息、即感染源终端信息和感染目的地终端信息记录到存储装置14a中。例如,在检测到有可能进行了从节点90b对节点90c的感染、浸润行为的通信模式的情况下,恶意软件行为检测引擎25记录节点90b(感染源)和节点90c(感染目的地)的终端信息。此处,所记录的终端信息例如是终端的IP地址等。其后,处理前进到步骤S302。
在步骤S302中,判定感染源终端是否在过去从组织内终端受到感染、浸润。相关分析部258进行以下判定:此次检测到的感染、浸润阶段P3的通信所涉及的感染源终端(在上述例子中,节点90b)是否在过去与其他某一个节点90(例如,节点90a)进行了有可能进行了同样的感染、浸润行为的感染、浸润阶段P3的通信,当时其为感染目的地终端。通过在本流程图所涉及的处理在过去被执行了时,检索在步骤S301中记录了的信息来进行该判定。
即,相关分析部258在关于被检测出通信的感染源终端(节点90b)在当前确定的阶段P3与关于其他某一个节点90在过去确定的阶段是相同的情况下,进行感染源终端(节点90b)的通信与其他终端(例如,节点90a)的通信的相关分析,从而判定这些终端是否协作地进行活动。在判定为感染源终端在过去未从组织内终端受到感染、浸润的情况下,本流程图所示的处理结束。另一方面,在判定为感染源终端在过去从组织内终端受到感染、浸润的情况下,处理前进到步骤S303。
在步骤S303中,推定为此次进行了感染、浸润的终端和在过去进行了感染、浸润的终端是具有“感染、浸润的职能”的终端,并记录推定结果。职能推定部259在步骤S302中,在判定为感染源终端在过去从组织内终端受到感染、浸润的情况下,推定为此次的感染源终端(在上述例子中,节点90b)和过去的感染源终端(在上述例子中,节点90a)作为具有恶意软件的“感染、浸润的职能”的终端而进行动作,并记录这些终端的终端信息。其后,本流程图所示的处理结束。
(3.2)执行文件的下载阶段P4的职能推定相关分析处理
图19是示出本实施方式的执行文件的下载阶段P4的职能推定相关分析处理的流程的流程图。本流程图更详细说明了,在由于检测到有可能送入了执行文件的通信模式而在使用图16说明了的第三相关分析处理的步骤S201中调出执行文件的下载阶段P4的职能推定相关分析处理的情况下的处理。另外,图20是示出在本实施方式中通过执行文件的下载阶段P4的职能推定相关分析处理而被进行职能推定的终端进行活动的情形的图。
在步骤S401中,对请求发送源终端和请求接收终端的检测信息进行记录。恶意软件行为检测引擎25在检测到有可能进行了执行文件的下载的通信模式的情况下,将该通信的检测信息记录到存储装置14a中。此处,在所记录的检测信息中,包括被推测为发送了用于下载执行文件的请求的终端的终端信息(例如,节点90c的IP地址等)以及被推测为接收到请求的终端的终端信息(例如,节点90b的IP地址等)。其后,处理前进到步骤S402。
在步骤S402和S403中,判定接收到请求的终端是否为组织内部的终端、并且是否在过去从组织外部的终端下载执行文件。相关分析部258判定在此次检测到的执行文件的下载阶段P4通信中接收到请求的终端(在上述例子中,节点90b)是否为组织内部的终端(步骤S402)。此外,判定的具体方法不受限定,例如能够通过参照在数据包中设定的IP地址等,来判定接收到请求的终端是否为组织内部的终端。所接收到请求的终端不是组织内部的终端的情况下,本流程图所示的处理结束。
另一方面,在接收到请求的终端是组织内部的终端的情况下,判定该终端在过去是否进行了有可能从组织外部的终端下载了执行文件的执行文件的下载阶段P4的通信(步骤S403)。此外,在上述例子中,请求接收终端是节点90b,是组织内部的终端。通过在本流程图所涉及的处理在过去被执行了时,检索在步骤S401中记录了的信息来进行该判定。
即,相关分析部258在关于被检测出通信的请求接收终端(节点90b)在当前确定的阶段P4与关于组织外部的终端在过去确定的阶段是相同的情况下,进行请求接收终端(节点90b)的通信与组织外部的终端的通信的相关分析,从而判定这些终端是否协作地进行活动。在判定为在过去未从组织外部的终端下载执行文件的情况下,本流程图所示的处理结束。另一方面,在判定为在过去从组织外部的终端下载了执行文件的情况下,处理前进到步骤S404。例如,在作为此次的请求接收终端的节点90b在过去从组织外部中的某一个终端下载了执行文件的情况下,本步骤中的判定结果为“是”,处理前进到步骤S404。
在步骤S404中,判定是否还另外存在对请求接收终端进行了执行文件的下载的请求的组织内终端。换言之,在步骤S404中,判定是否存在多个对请求接收终端进行了执行文件的下载的请求的组织内终端。相关分析部258判定在此次检测到的执行文件的下载阶段P4的通信中接收到请求的终端(在上述例子中,节点90b)是否从与此次发送了请求的终端(节点90c)不同的组织内终端(例如,节点90d)接收到执行文件的下载的请求(执行文件的下载阶段P4的通信)。通过在本流程图所涉及的处理在过去被执行了时检索在步骤S401中记录了的信息来进行该判定。
即,相关分析部258在关于被检测出通信的请求接收终端(节点90b)在当前确定的阶段P4与关于组织内终端(节点90d)在过去确定的阶段是相同的情况下,进行关于这些通信的相关分析,从而判定这些终端是否协作地进行活动。在判定为不存在另外的进行了请求的组织内终端的情况下,本流程图所示的处理结束。另一方面,在判定为还另外存在进行了请求的组织内终端的情况下,处理前进到步骤S405。
在步骤S405中,推定为此次接收到请求的终端是具有“对执行文件进行再发布的职能”的终端,并记录推定结果。职能推定部259在步骤S404中判定为还另外存在进行了请求的组织内终端的情况下,推定为请求接收终端(例如,节点90b)是为了通过抑制与组织外部的通信量来使发现延迟而在组织内部中被赋予发布执行文件的职能的终端,并记录这些终端的终端信息。其后,本流程图所示的处理结束。
(3.3)C&C通信阶段P6的职能推定相关分析处理
图21是示出本实施方式的C&C通信阶段P6的职能推定相关分析处理的流程的流程图。本流程图更详细说明了,在由于检测到有可能进行C&C通信的通信模式而在使用图16说明了的第三相关分析处理的步骤S201中调出C&C通信阶段P6的职能推定相关分析处理的情况下的处理。另外,图22是示出在在本实施方式中通过C&C通信阶段P6的职能推定相关分析处理而被进行职能推定的终端进行活动的情形的图。
在步骤S501中,对命令发送源终端和命令接收终端的检测信息进行记录。恶意软件行为检测引擎25在检测到有可能进行了C&C通信的通信模式的情况下,将该通信的检测信息记录到存储装置14a中。此处,在所记录的检测信息中,包括被推测为发送了C&C通信的命令的终端的终端信息(例如,节点90b的IP地址等)以及被推测为接收到命令的终端的终端信息(例如,节点90c的IP地址等)。其后,处理前进到步骤S502。
在步骤S502和S503中,判定命令发送源终端是否为组织内部的终端,并且是否在过去与组织外部的终端进行了被推测为C&C通信的通信。相关分析部258判定在此次检测到的C&C通信阶段P6的通信模式中发送了命令的终端(在上述例子中,节点90b)是否为组织内部的终端(步骤S502)。此外,判定的具体方法不受限定,例如能够通过参照在数据包中设定的IP地址等来判定命令发送源终端是否为组织内部的终端。在发送了命令的终端不是组织内部的终端的情况下,本流程图所示的处理结束。
另一方面,在发送了命令的终端是组织内部的终端的情况下,判定该终端是否在过去与组织外部的终端进行了有可能是C&C通信的C&C通信阶段P6的通信(步骤S503)。此外,在上述例子中,命令发送终端是节点90b,是组织内部的终端。通过在本流程图所涉及的处理在过去被执行了时检索在步骤S501中记录了的信息来进行该判定。
即,相关分析部258在关于被检测出通信的命令发送源终端(节点90b)在当前确定的阶段P6与关于组织外部的终端在过去确定的阶段是相同的情况下,进行命令发送源终端(节点90b)的通信与组织外部的终端的通信的相关分析,从而判定这些终端是否协作地进行活动。在判定为在过去未与组织外部的终端进行有可能是C&C通信的通信的情况下,本流程图所示的处理结束。另一方面,在判定为在过去与组织外部的终端进行了有可能是C&C通信的通信的情况下,处理前进到步骤S504。例如,在作为此次的命令发送终端的节点90b在过去与组织外部中的某一个终端进行了C&C通信的情况下,本步骤中的判定结果为“是”,处理前进到步骤S504。
在步骤S504中,判定是否还另外存在与命令发送终端进行了C&C通信的组织内终端。换言之,在步骤S504中,判定是否存在多个与命令发送终端进行了C&C通信的组织内终端。相关分析部258判定在此次检测到的C&C通信阶段P6的通信中,发送了命令的终端(在上述例子中,节点90b)是否和与作为此次C&C通信的对象方的终端(节点90c)不同的组织内终端(例如,节点90d)进行了有可能是C&C通信的通信(C&C通信阶段P6的通信)。在本流程图所涉及的处理在过去被执行了时检索在步骤S501中记录了的信息来进行该判定。
即,相关分析部258在关于被检测出通信的命令发送终端(节点90b)在当前确定的阶段P6与关于组织内终端(节点90d)在过去确定的阶段是相同的情况下,进行关于这些通信的相关分析,从而判定这些终端是否协作地进行活动。在判定为不存在另外的进行了C&C通信的组织内终端的情况下,本流程图所示的处理结束。另一方面,在判定为还另外存在进行了C&C通信的组织内终端的情况下,处理前进到步骤S505。
在步骤S505中,推定为此次发送了命令的终端是具有“对C&C通信进行中继的职能”的终端,并记录推定结果。职能推定部259当在步骤S504中判定为还另外存在进行了C&C通信的组织内终端的情况下,推定为命令发送终端(例如,节点90b)是被赋予了对来自组织外的C&C服务器的C&C通信进行中继的职能的终端,并记录这些终端的终端信息。其后,本流程图所示的处理结束。
(3.4)榨取信息的上传阶段P7的职能推定相关分析处理
图23是示出本实施方式的榨取信息的上传阶段P7的职能推定相关分析处理的流程的流程图。本流程图更详细说明了,在由于检测到有可能上传了榨取信息的通信模式而在使用图16说明了的第三相关分析处理的步骤S201中调出榨取信息的上传阶段P7的职能推定相关分析处理的情况下的处理。另外,图24是示出在本实施方式中通过榨取信息的上传阶段P7的职能推定相关分析处理而被进行职能推定的终端进行活动的情形的图。
在步骤S601中,记录信息的上传源终端和上传目的地终端的检测信息。恶意软件行为检测引擎25在检测到有可能进行了榨取信息的上传的通信模式的情况下,将该通信的检测信息记录到存储装置14a中。此处,在所记录的检测信息中,包括被推测为上传了榨取信息的终端的终端信息(例如,节点90b的IP地址等)以及被推测为接受了榨取信息的上传的终端的终端信息(例如,组织外部的服务器的IP地址等)。其后,处理前进到步骤S602。
在步骤S602中,判定上传目的地终端是否为组织外部的终端。相关分析部258判定在此次检测到的通信模式中接受了信息的上传的终端(在上述例子中,组织外部的服务器)是否为组织外部的终端。此外,判定的具体的方法不受限定,例如能够通过参照在数据包中设定的IP地址等来判定接受了信息的上传的终端是否为组织外部的终端。在接受了信息的上传的终端不是组织外部的终端的情况下,本流程图所示的处理结束。另一方面,在接受了信息的上传的终端是组织外部的终端的情况下,处理前进到步骤S603。此外,在上述例子中,上传目的地终端是组织外部的服务器(终端)。
在步骤S603中,判定是否存在多个对上传源终端进行了信息的上传的组织内终端。相关分析部258判定在此次检测到的榨取信息的上传阶段P7的通信中进行了信息的上传的终端(在上述例子中,节点90b)是否在过去从多个组织内终端(例如,节点90a、90c、90d)接收到信息的上传(榨取信息的上传阶段P7的通信)。通过在本流程图所涉及的处理在过去被执行了时检索在步骤S601中记录了的信息来进行该判定。
即,相关分析部258在关于被检测出通信的上传源终端(节点90b)在当前确定的阶段P7与关于多个组织内终端(例如,节点90a、90c、90d)在过去确定的阶段是相同的情况下,进行关于这些通信的相关分析,从而判定这些终端是否协作地进行活动。在判定为不存在多个进行了信息的上传的组织内终端的情况下,本流程图所示的处理结束。另一方面,在判定为存在多个进行了信息的上传的组织内终端的情况下,处理前进到步骤S604。
在步骤S604中,推定为此次进行了上传的终端是具有“汇集榨取信息并上传的职能”的终端,并记录推定结果。职能推定部259当在步骤S603中判定为存在多个对上传源终端进行了信息的上传的组织内终端的情况下,推定为上传源终端(例如,节点90b)是为了通过抑制与组织外部的通信量来使发现延迟而被赋予从组织内部收集信息并向组织外部的服务器发送的职能的终端,并对该终端的终端信息进行记录。其后,本流程图所示的处理结束。
根据上述说明的用于职能推定的相关分析,能够通过监视组织内的通信来推定感染了恶意软件的终端在组织内的“职能”,进而,能够进行与所推定出的“职能”相应的通信控制。例如,针对有可能具有上传信息的职能的终端,即使是恶意软件活动可能性低的阶段,也能够选择进行通信阻断等应对。另外,在检测到多个感染终端的情况下,也能够设为以感染终端的“职能”的威胁程度较大的终端为优先地进行解析等安全事件的应对时的判断材料。
<通信的阻断>
通信阻断部22如上所述,阻断被判定为进行非法活动的终端的通信。此处,关于组织内的终端,通信阻断部22,在通过恶意软件行为检测引擎检测到感染了恶意软件的情况或者推定出终端在组织内的职能的情况下,也可以根据成为了恶意软件检测的通信模式的组合确定与该终端的非法活动相关的通信目的地,并阻断从组织内终端向该通信目的地的通信。此处,与终端的非法活动相关的通信目的地是指例如恶意软件的下载源、向恶意软件发送指令的C&C服务器、传送谍报活动结果的上传服务器等。另外,在阻断从组织内终端向该通信目的地的通信的情况下,也可以无论是否判定为该组织内终端感染恶意软件,都阻断通信。具体来说,通信阻断部22在进行了恶意软件感染的判定或者职能的推定的情况下,对针对恶意软件进行了通信的目的地(协议、端口编号、URI等)的、来自组织内终端(还包括未感染恶意软件的终端)的通信进行访问控制(阻断、毁弃或者目的地变更)。
作为阻断的对象的通信目的地是对被推定出职能的终端发送了用于履行该职能的恶意软件、恶性内容等的终端、或者被推定出职能的终端为了履行该职能而进行通信的外部服务器等。例如,
1.在检测到侵入阶段P1系的通信模式的情况下,来自组织内部终端的连接目的地有可能是被施加了攻击者所准备的作为感染的契机的手脚的站点,
2.在检测到执行文件的下载阶段P4系的通信模式的情况下,来自组织内部终端的连接目的地有可能是储存恶意软件的设备,
3.在检测到C&C服务器检索阶段P5或者C&C服务器通信阶段P6系的通信模式的情况下,来自组织内部终端的连接目的地有可能是对在组织内终端中进行动作的恶意软件进行指示的设备,
4.在检测到榨取信息的上传阶段P7系的通信模式的情况下,来自组织内部终端的连接目的地有可能是恶意软件储存榨取信息的设备。
因此,通信阻断部22阻断对这些连接目的地的通信。
根据本实施方式中公开的系统,通过这样,依照预先按职能而确定的阻断策略,按与被判定为恶意软件活动的通信相关的职能,包括来自未感染恶意软件的设备的通信在内地阻断向对象设备的通信,从而能够阻断危险的通信而将损失的扩大防止于未然,早期地使侵入到内部的恶意软件的活动平息。
另外,网络监视装置20也可以将在上述处理中确定的、与非法活动相关的通信目的地(例如,恶意软件的下载源、向恶意软件发送指令的C&C服务器、发送谍报活动结果的上传服务器等)通知给管理者。
<变化>
上述实施方式中,对网络监视装置20连接到开关或路由器的监视端口(镜像端口),从而通过节点90取得被收发的数据包或数据帧等,以不转送取得的数据包的被动方式来进行动作的例子进行说明(参照图1)。但是,上述实施方式所示的网络构成是用于实施本公开的一个例子,在实施时也可以采用其他的网络构成。
例如,即使在网络监视装置20不连接到监视端口(镜像端口)而仅连接到网络分段2的情况下,也能够利用取得网络分段2上流通的包括不指向自身的MAC地址的所有的数据帧,通过节点90取得被收发的数据包或数据帧等。在这种情况下,网络监视装置20也以被动方式来进行动作。另外,例如,也可以利用将网络监视装置20连接到网络分段2的开关或路由器与位于其上位的其他的开关或路由器之间来取得通过的数据包或数据帧(参照图25)。在这种情况下,网络监视装置20以对取得的数据包之中的不被阻断也可以的数据包进行转送的连线方式(日语:インラインモード)来进行动作。另外,网络监视装置20也可以被内含在路由器或开关中。
此外,在本实施方式中,说明取得在网络流过的数据包来通过上述各种检测引擎实时地进行检测的实施方式,但本公开的适用范围不限定于实时检测。例如,也可以预先累积在网络流过的通信所涉及的数据,针对所累积的数据进行基于上述各种检测引擎的处理。
Claims (10)
1.一种信息处理装置,其特征在于,具备:
比较单元,其将多个终端的通信与预先保持的模式进行比较;
确定单元,其依照所述比较的结果,确定所述终端的活动的阶段;以及
相关分析单元,其在关于所述多个终端中包含的第一终端而在当前或者过去确定的阶段与关于所述多个终端中包含的第二终端而在当前或者过去确定的阶段为相同的情况下,进行该第一终端的通信与该第二终端的通信的相关分析,从而判定所述第一终端与所述第二终端是否协作地进行活动。
2.根据权利要求1所述的信息处理装置,其特征在于,
所述相关分析单元通过判定所述第一终端的通信与所述第二终端的通信的连续性或者关联性的有无或者程度,判定该第一终端与该第二终端是否协作地进行活动。
3.根据权利要求1或者2所述的信息处理装置,其特征在于,
还具备职能推定单元,该职能推定单元推定被所述相关分析单元判定为进行协作的所述第一终端或者所述第二终端的、所述阶段中的活动的职能。
4.根据权利要求3所述的信息处理装置,其特征在于,
还具备通信阻断单元,在推定出所述终端的职能的情况下,该通信阻断单元阻断该终端所涉及的通信。
5.根据权利要求4所述的信息处理装置,其特征在于,
在推定出所述终端的职能的情况下,无论向与该终端的职能相关联的规定的终端的通信源是否感染恶意软件,所述通信阻断单元都阻断向该规定的终端的通信。
6.根据权利要求5所述的信息处理装置,其特征在于,
所述规定的终端是对被推定出所述职能的终端发送了用于履行该职能的软件的终端、或者被推定出所述职能的终端为了履行该职能而进行通信的终端。
7.根据权利要求1至6中的任一项所述的信息处理装置,其特征在于,
所述阶段表示所述终端的规定的活动的转换的状态,
所述确定单元将针对作为所述比较的结果的、与所述通信一致或者近似的模式而预先设定的阶段确定为所述通信所涉及的阶段。
8.根据权利要求1至7中的任一项所述的信息处理装置,其特征在于,
还具备通信取得单元,该通信取得单元取得连接到所述网络的终端的通信,
所述比较单元将所取得的所述通信与预先保持的模式进行比较。
9.一种方法,其特征在于,使计算机执行以下步骤:
比较步骤,将多个终端的通信与预先保持的模式进行比较;
确定步骤,依照所述比较的结果,确定所述终端的活动的阶段;以及
相关分析步骤,在关于所述多个终端中包含的第一终端而在当前或者过去确定的阶段与关于所述多个终端中包含的第二终端而在当前或者过去确定的阶段为相同的情况下,进行该第一终端的通信与该第二终端的通信的相关分析,从而判定所述第一终端与所述第二终端是否协作地进行活动。
10.一种程序,其特征在于,其用于使计算机作为以下单元发挥功能,即:
比较单元,将多个终端的通信与预先保持的模式进行比较;
确定单元,依照所述比较的结果,确定所述终端的活动的阶段;以及
相关分析单元,在关于所述多个终端中包含的第一终端而在当前或者过去确定的阶段与关于所述多个终端中包含的第二终端而在当前或者过去确定的阶段为相同的情况下,进行该第一终端的通信与该第二终端的通信的相关分析,从而判定所述第一终端与所述第二终端是否协作地进行活动。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014004055 | 2014-01-14 | ||
| JP2014-004055 | 2014-01-14 | ||
| PCT/JP2014/084691 WO2015107862A1 (ja) | 2014-01-14 | 2014-12-26 | 情報処理装置、方法およびプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105934763A true CN105934763A (zh) | 2016-09-07 |
Family
ID=53522354
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410342602.5A Expired - Fee Related CN104778404B (zh) | 2014-01-14 | 2014-07-18 | 信息处理装置及非法活动判定方法 |
| CN201480073238.5A Pending CN105934763A (zh) | 2014-01-14 | 2014-12-26 | 信息处理装置、方法以及程序 |
| CN201480073245.5A Expired - Fee Related CN105917348B (zh) | 2014-01-14 | 2014-12-26 | 信息处理装置以及活动判定方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410342602.5A Expired - Fee Related CN104778404B (zh) | 2014-01-14 | 2014-07-18 | 信息处理装置及非法活动判定方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480073245.5A Expired - Fee Related CN105917348B (zh) | 2014-01-14 | 2014-12-26 | 信息处理装置以及活动判定方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US9288221B2 (zh) |
| JP (2) | JP6014280B2 (zh) |
| CN (3) | CN104778404B (zh) |
| WO (2) | WO2015107861A1 (zh) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6421436B2 (ja) * | 2014-04-11 | 2018-11-14 | 富士ゼロックス株式会社 | 不正通信検知装置及びプログラム |
| US9965627B2 (en) * | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling objects on an endpoint for encryption management |
| US10122687B2 (en) | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
| US9537841B2 (en) | 2014-09-14 | 2017-01-03 | Sophos Limited | Key management for compromised enterprise endpoints |
| US9641543B2 (en) * | 2015-04-22 | 2017-05-02 | Aktiebolaget AKF | Systems and methods for securing remote configuration |
| US9781131B2 (en) * | 2015-04-22 | 2017-10-03 | Aktiebolaget Skf | Systems and methods for securing remote configuration |
| US9699202B2 (en) * | 2015-05-20 | 2017-07-04 | Cisco Technology, Inc. | Intrusion detection to prevent impersonation attacks in computer networks |
| US10826915B2 (en) * | 2015-06-02 | 2020-11-03 | Mitsubishi Electric Corporation | Relay apparatus, network monitoring system, and program |
| US20170155667A1 (en) * | 2015-11-30 | 2017-06-01 | Symantec Corporation | Systems and methods for detecting malware infections via domain name service traffic analysis |
| JP2017147575A (ja) | 2016-02-16 | 2017-08-24 | 富士通株式会社 | 制御プログラム、制御装置、および、制御方法 |
| US10075456B1 (en) * | 2016-03-04 | 2018-09-11 | Symantec Corporation | Systems and methods for detecting exploit-kit landing pages |
| US10826933B1 (en) * | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
| US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
| US10050982B1 (en) * | 2016-05-19 | 2018-08-14 | Symantec Corporation | Systems and methods for reverse-engineering malware protocols |
| JP6105792B1 (ja) * | 2016-07-04 | 2017-03-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
| JP6903901B2 (ja) * | 2016-11-28 | 2021-07-14 | 富士通株式会社 | 攻撃検知装置、攻撃検知プログラム及び攻撃検知方法 |
| CN106682517B (zh) * | 2017-01-16 | 2019-04-23 | 西安电子科技大学 | 安卓应用运行时的Activity推断方法 |
| JP6207784B1 (ja) * | 2017-03-27 | 2017-10-04 | 株式会社ラック | 中継装置、中継方法およびプログラム |
| IL251683B (en) | 2017-04-09 | 2019-08-29 | Yoseph Koren | A system and method for dynamic management of private data |
| JP6869100B2 (ja) | 2017-05-12 | 2021-05-12 | 株式会社Pfu | 情報処理装置、不正活動分類方法および不正活動分類用プログラム |
| US10174302B1 (en) | 2017-06-21 | 2019-01-08 | Xl-Protein Gmbh | Modified L-asparaginase |
| JP7033467B2 (ja) * | 2018-03-01 | 2022-03-10 | 株式会社日立製作所 | 不正通信検知装置および不正通信検知プログラム |
| CN108429746B (zh) * | 2018-03-06 | 2020-01-03 | 华中科技大学 | 一种面向云租户的隐私数据保护方法及系统 |
| CN108632087B (zh) * | 2018-04-26 | 2021-12-28 | 深圳市华迅光通信有限公司 | 一种基于路由器的上网管理方法及系统 |
| JP7378089B2 (ja) * | 2018-06-13 | 2023-11-13 | パナソニックIpマネジメント株式会社 | 不正通信検知装置、不正通信検知方法及び製造システム |
| JP7109391B2 (ja) | 2019-02-26 | 2022-07-29 | 株式会社日立製作所 | 不正通信検知装置および不正通信検知プログラム |
| CN110995525A (zh) * | 2019-10-31 | 2020-04-10 | 北京直真科技股份有限公司 | 一种基于维护矩阵的路由器检测方法 |
| CN113051556A (zh) * | 2020-09-07 | 2021-06-29 | 沈建锋 | 基于大数据和云计算的业务信息检测方法及系统 |
| DE102020213893A1 (de) * | 2020-11-04 | 2022-05-05 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem |
| US11792209B2 (en) * | 2020-12-31 | 2023-10-17 | Imperva, Inc. | Robust learning of web traffic |
| CN114422495B (zh) * | 2022-01-25 | 2023-10-24 | 北京浩瀚深度信息技术股份有限公司 | 一种针对DNS over HTTP协议的安全监管方法 |
| WO2023233580A1 (ja) * | 2022-06-01 | 2023-12-07 | 日本電信電話株式会社 | 検知対処制御システム、検知対処制御方法、ハードウェアアクセラレータ、コントローラ、および、プログラム |
| US20240028494A1 (en) * | 2022-07-20 | 2024-01-25 | Zscaler, Inc. | Dynamic Applicative Session Grouping |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060117386A1 (en) * | 2001-06-13 | 2006-06-01 | Gupta Ramesh M | Method and apparatus for detecting intrusions on a computer system |
| JP2006352543A (ja) * | 2005-06-16 | 2006-12-28 | Iwatsu Electric Co Ltd | Sip電話交換システム |
| US20070180526A1 (en) * | 2001-11-30 | 2007-08-02 | Lancope, Inc. | Flow-based detection of network intrusions |
| US20090172815A1 (en) * | 2007-04-04 | 2009-07-02 | Guofei Gu | Method and apparatus for detecting malware infection |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7185368B2 (en) | 2000-11-30 | 2007-02-27 | Lancope, Inc. | Flow-based detection of network intrusions |
| US8117659B2 (en) * | 2005-12-28 | 2012-02-14 | Microsoft Corporation | Malicious code infection cause-and-effect analysis |
| EP1877904B1 (en) * | 2005-05-05 | 2015-12-30 | Cisco IronPort Systems LLC | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources |
| JP2006350543A (ja) | 2005-06-14 | 2006-12-28 | Mitsubishi Electric Corp | ログ分析装置 |
| CN101414939B (zh) * | 2008-11-28 | 2011-12-28 | 武汉虹旭信息技术有限责任公司 | 一种基于动态深度包检测的互联网应用识别方法 |
| CN103581155B (zh) * | 2012-08-08 | 2016-04-27 | 贵州电网公司信息通信分公司 | 信息安全态势分析方法与系统 |
| US9311479B1 (en) * | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
-
2014
- 2014-04-17 US US14/254,928 patent/US9288221B2/en active Active
- 2014-07-18 CN CN201410342602.5A patent/CN104778404B/zh not_active Expired - Fee Related
- 2014-12-26 JP JP2015557759A patent/JP6014280B2/ja not_active Expired - Fee Related
- 2014-12-26 CN CN201480073238.5A patent/CN105934763A/zh active Pending
- 2014-12-26 WO PCT/JP2014/084690 patent/WO2015107861A1/ja active Application Filing
- 2014-12-26 JP JP2015557758A patent/JP6097849B2/ja active Active
- 2014-12-26 CN CN201480073245.5A patent/CN105917348B/zh not_active Expired - Fee Related
- 2014-12-26 WO PCT/JP2014/084691 patent/WO2015107862A1/ja active Application Filing
-
2016
- 2016-07-13 US US15/208,937 patent/US10277614B2/en not_active Expired - Fee Related
- 2016-07-13 US US15/208,905 patent/US20160323304A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060117386A1 (en) * | 2001-06-13 | 2006-06-01 | Gupta Ramesh M | Method and apparatus for detecting intrusions on a computer system |
| US20070180526A1 (en) * | 2001-11-30 | 2007-08-02 | Lancope, Inc. | Flow-based detection of network intrusions |
| JP2006352543A (ja) * | 2005-06-16 | 2006-12-28 | Iwatsu Electric Co Ltd | Sip電話交換システム |
| US20090172815A1 (en) * | 2007-04-04 | 2009-07-02 | Guofei Gu | Method and apparatus for detecting malware infection |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104778404B (zh) | 2018-03-06 |
| CN105917348A (zh) | 2016-08-31 |
| US20150200956A1 (en) | 2015-07-16 |
| JPWO2015107862A1 (ja) | 2017-03-23 |
| US20160323305A1 (en) | 2016-11-03 |
| US9288221B2 (en) | 2016-03-15 |
| JP6097849B2 (ja) | 2017-03-15 |
| US10277614B2 (en) | 2019-04-30 |
| US20160323304A1 (en) | 2016-11-03 |
| CN104778404A (zh) | 2015-07-15 |
| WO2015107861A1 (ja) | 2015-07-23 |
| WO2015107862A1 (ja) | 2015-07-23 |
| JP6014280B2 (ja) | 2016-10-25 |
| CN105917348B (zh) | 2019-04-05 |
| JPWO2015107861A1 (ja) | 2017-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105934763A (zh) | 信息处理装置、方法以及程序 | |
| US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| CN110431817B (zh) | 识别恶意网络设备 | |
| EP3652914B1 (en) | Cyberanalysis workflow acceleration | |
| Jiang et al. | Identifying suspicious activities through dns failure graph analysis | |
| JP2018513592A (ja) | ネットワークセキュリティのための行動解析ベースのdnsトンネリング検出・分類フレームワーク | |
| KR101409563B1 (ko) | 애플리케이션 프로토콜 식별 방법 및 장치 | |
| US20160366171A1 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| CN108134761A (zh) | 一种apt检测方法、系统及装置 | |
| Soleimani et al. | Real-time identification of three Tor pluggable transports using machine learning techniques | |
| Uddin et al. | Intrusion detection system to detect DDoS attack in gnutella hybrid P2P network | |
| Yıldırım et al. | An in-depth exam of iot, iot core components, iot layers, and attack types | |
| CN112788065B (zh) | 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置 | |
| EP4167524A1 (en) | Local network device connection control | |
| JP5385867B2 (ja) | データ転送装置及びアクセス解析方法 | |
| WO2022005740A1 (en) | Information enhanced classification | |
| CN108347447B (zh) | 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统 | |
| Jayakrishnan et al. | Empirical survey on advances of network forensics in the emerging networks | |
| US12026156B2 (en) | Information enhanced classification | |
| US20230412618A1 (en) | Stack-hac for machine learning based botnet detection | |
| Havenga | Security related self-protected networks: Autonomous threat detection and response (ATDR) | |
| Thang et al. | A review of neural networks for rare intrusions detection in wireless networks | |
| Nechaev et al. | Internet botnets: A survey of detection techniques | |
| Hosam et al. | Exception Agent Detection System for IP Spoofing Over Online Environments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160907 |