JP2005175714A - ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム - Google Patents
ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム Download PDFInfo
- Publication number
- JP2005175714A JP2005175714A JP2003410786A JP2003410786A JP2005175714A JP 2005175714 A JP2005175714 A JP 2005175714A JP 2003410786 A JP2003410786 A JP 2003410786A JP 2003410786 A JP2003410786 A JP 2003410786A JP 2005175714 A JP2005175714 A JP 2005175714A
- Authority
- JP
- Japan
- Prior art keywords
- access
- unauthorized
- host
- maliciousness
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 スロースキャンなどのネットワークスキャンを検出できるようにする装置、及び不正侵入元の悪質さを定量的に図る尺度の提供
【解決手段】 通信ネットワークなどから、管理する内部ネットワーク宛てのパケットを監視し、既知の不正アクセスに対しては、不正検出型IDS10を用いて内部ネットワークへの影響を排除する。不正アクセスの蓋然性があるアクセス及びネットワークスキャン、特に検出の難しいスロースキャンに関しては、悪意度算出システム20を用いて、アクセス元からのホストアクセス、ポートアクセス、アクセス時間間隔、アクセスポリシー違反等から悪意の度合いを算出することでアクセス元の悪質さを定量的に計り、設定した閾値を超えたアクセス元のアクセスを拒否する方法、または、悪意の度合いに基づく順位付けを行い、上位に挙がったアクセス元に対し優先的に対処する方法で解決を行う。
【選択図】図1
【解決手段】 通信ネットワークなどから、管理する内部ネットワーク宛てのパケットを監視し、既知の不正アクセスに対しては、不正検出型IDS10を用いて内部ネットワークへの影響を排除する。不正アクセスの蓋然性があるアクセス及びネットワークスキャン、特に検出の難しいスロースキャンに関しては、悪意度算出システム20を用いて、アクセス元からのホストアクセス、ポートアクセス、アクセス時間間隔、アクセスポリシー違反等から悪意の度合いを算出することでアクセス元の悪質さを定量的に計り、設定した閾値を超えたアクセス元のアクセスを拒否する方法、または、悪意の度合いに基づく順位付けを行い、上位に挙がったアクセス元に対し優先的に対処する方法で解決を行う。
【選択図】図1
Description
本発明は、インターネットのような通信ネットワークや相互に接続された通信ネットワークにおいて発生する不正アクセスの初期段階に実行されるネットワークスキャン(不正侵入を意図する者により行われる、ターゲットとするネットワークやホストを事前に調査する偵察行為)、特にスロースキャン(上記ネットワークスキャンを発見されないように、長期間かけて執拗に故意にまばらにスキャンする方法)を検知する方法に係り、より詳しくはネットワークスキャンをホストアクセス幅、ポートアクセス幅、時間間隔等に注目して検知する方法、及びそれらの値の組み合わせによりネットワークスキャンを行ったアクセス元の悪質さを表す悪意の度合いを提供し、それらホスト、及びホストに関係するスキャンへの効率的な対処方法に関する。
多数の者がアクセス可能な通信ネットワーク経由で、不正アクセスの初期段階として行われるネットワーク偵察行為、特にネットワークスキャンを検出するための方法として、以下の幾つかの方法が知られている。
第一の方法には、アクセスポリシーを用いて、不正アクセスの蓋然性があるアクセスと正常なアクセスを分類する方法がある。(例えば、特許文献1参照。)
第二の方法には、ホスト、サービスへの単位時間当たりのアクセス数、及びサービスごとに付けられる重みを基にネットワーク偵察行為を検出する方法がある。(例えば、非特許文献1参照。)
しかしながら、従来の各方法には以下のような問題があった。第一の方法では、不正アクセスの蓋然性があるアクセスと正常アクセスの分類は可能だが、不正アクセスの蓋然性があると分類された多くのアクセスに含まれる、個々のアクセスがどのようなアクセスであるかの検証、理解に多くのコストがかかった。つまり、スロースキャンの特定が困難であった。また、不正アクセスの蓋然性があると判断されたアクセスの中で、どのアクセスに対し優先的に対応すべきなのかという指針を示すことができなかった。
第二の方法では、特定ホストからの一定の時間内に行われた、重み付けされたサービスの種類ごとのアクセス回数によって、アクセスがネットワーク偵察行為なのかどうかを判別している。そのため、ネットワークスキャンが発見されることを免れるために、アクセス間隔をあけ、一度には少数のアクセスしか行わず、執拗に長期間にわたって偵察を行うスロースキャンを検出することが出来なかった。また、重み付けが行われていないサービスを偵察された場合に、そのネットワークスキャンを発見しにくくなるという問題もあった。
本発明は、上記問題点に鑑み、不正アクセスの蓋然性のあるアクセス、特に検出の難しいスロースキャンを検出することができ、且つネットワークスキャンを行ってきた不正侵入元の悪質さがどの程度なのかを定量的にはかる尺度を提供し、ネットワークスキャンへの効果的な対策を行う方法を提供することを主たる課題とする。
上記課題を解決するために、本発明では、通信ネットワークを介して行われるアクセスが不正なアクセスである可能性を評価する装置であって、IPアドレス、ID等で識別されるアクセス元からの被アクセスホストまたは被アクセスネットワークに対して行われるアクセスの、時間、アクセスホスト、アクセスポートの少なくとも一つを、以前のそのアクセス元からのアクセスの記録と比較し、比較した値によって不正なアクセスである可能性を評価することを特徴とするネットワークにおけるアクセスの悪意度の評価装置を提供する。
また、本発明では、上記評価装置であって、不正なアクセスである可能性を、アクセスの時刻に基づき評価し、以前のアクセスとの時間間隔が大きいものを、悪意度が大きいと判定するネットワークにおけるアクセスの悪意度の評価装置を提供する。
さらに、本発明では、上記評価装置であって、不正なアクセスである可能性を、アクセスの時刻と、ポート番号、ホストアドレスの少なくとも一つの値に基づき評価するもので、ポート番号、ホストアドレスの差の絶対値が大きいものを、悪意度が大きいと判定するネットワークにおけるアクセスの悪意度の評価装置を提供する。
また、本発明では、通信ネットワークを介して行われるアクセスが不正なアクセスである可能性を評価する方法であって、アクセス元をそのIPアドレス、ID等で識別し特定するとともに、アクセスの時刻、ホスト、ポートの少なくとも一つを、検出するステップと、検出された時刻、ホスト、ポートの少なくとも一つを、特定の結果同一と見なされる対象の以前のアクセスの記録と比較し、比較した値によって不正なアクセスである可能性を評価するステップとからなることを特徴とするネットワークにおけるアクセスの悪意度評価方法を提案する。
また、本発明では、通信ネットワークを介して行われるアクセスを設定された基準に従い評価し不正なアクセスであるか否かを判定するステップと、前記ステップの結果不正なアクセスでないとされたアクセスであって、少なくとも不正である可能性があるアクセスにつき、アクセスの時刻、ホスト、ポートの少なくとも一つの値を、当該アクセスのアクセス元とIPアドレス、ID等で同一と見なされるアクセス元からの以前のアクセスの時刻、ホスト、ポートの該当する値と比較し、比較した値によって不正アクセスの蓋然性を評価するステップとからなることを特徴とする不正アクセスの検出方法を提案する。
また、本発明では、通信ネットワークを介して行われるアクセスの不正アクセスの蓋然性を評価するシステムであって、当該アクセスを設定された基準に従い評価し基準に該当するものを不正なアクセスであると判定する不正アクセス判定手段と、当該アクセスの時刻、ホスト、ポートの少なくとも一つの値を検出し、当該アクセスのアクセス元とIPアドレス、ID等で同一と見なされるアクセス元からの以前のアクセスの時刻、ホスト、ポートの該当する値と比較し、比較した値によって不正アクセスの蓋然性を算出する悪意度評価手段を備え、悪意度評価手段は少なくとも不正アクセス判定手段により不正なアクセスであると認定されなかったものにつき蓋然性を評価するようにしたことを特徴とする不正アクセスの検出システムを提供する。
さらに、本発明では、上記検出システムであって、不正アクセス判定手段により不正アクセスと判定されたアクセスはアクセス拒否等の対応をとるよう構成され、悪意度評価手段は不正アクセスの蓋然性を算出するにあたって当該アクセスの時刻と、ポート番号、ホストアドレスの少なくとも一つの値に基づき算出するもので、以前のアクセスとの時間間隔が大きいものを不正アクセスである蓋然性が高いと判定するとともに、ポート番号もしくはホストアドレスの差の絶対値が大きいものを不正アクセスである蓋然性が高いと判定しその結果を出力するよう構成され、さらに、悪意度評価手段の出力に基づき当該アクセス、もしくは、IPアドレス、ID等で同一と見なされるアクセス元からの今後のアクセスにつきアクセス拒否等の対応をとるよう構成、或いは、悪意度評価手段の出力に基づき管理者が確認や優先的な対応やアクセス拒否等の対応が可能なように構成されていることを特徴とする不正アクセスの検出システムを提供する。
本発明の装置、方法、及びシステムによれば、既知、未知の方法によらない不正アクセスの蓋然性があるアクセスを検知して対応でき、特に優先的に対応すべきアクセスを明示的に示すことが可能になるという、効果を奏する。
以下、図面を参照して本発明の実施形態を説明する。図1は、本発明が適用されるネットワークシステムの全体構成図である。このネットワークシステムには、インターネットN1、内部ネットワークN2が相互通信可能な形態で接続されている。内部ネットワークN2には、管理対象となる通信システム及び通信システムグループが接続されている。Aは不正アクセス発信源である。通常、内部ネットワークの境界には、図示しないファイアウォール等のセキュリティ機構が設けられている。
ネットワークシステムの入り口には、通過するネットワークデータを複製する機能のネットワークインタフェースを持つ不正検出型IDS(Intrusion Detection System: 侵入検知システム)10と悪意度算出システム20と管理用端末30と、各種情報格納データベースDB100が接続されている。不正検出型IDS10は、既知の不正アクセスをパターンマッチングにより検出するためのシステムであり、悪意度算出システム20は、ホストアクセス幅、ポートアクセス幅、アクセス時間間隔、アクセスポリシー違反回数等の情報を基に悪意度を算出するものであり、管理用端末30は、各システムを管理するためのものであり、各種情報格納データベースDB100は、各システムで利用する設定情報、及び不正アクセスや不正アクセスの蓋然性があるアクセスの検出結果を格納するためのものである。
不正検出型IDS10は、既知の攻撃方法による不正アクセスや特徴あるパケットを用いたネットワークスキャンなどを検出し、その結果に応じてパケットの処理を行う。まず、この不正検出型IDS10の構成について説明する。
不正検出型IDS10は、通信機能付きのコンピュータによって実現されるもので、その構成は図2によって示されるとおりである。すなわち、ネットワークインターフェースINT1のほか、所定のプログラムコードを読み取って実行することにより形成されるシグネチャ取得モジュール11と、パケット取得モジュール12と、パターンマッチモジュール13と、アクション取得モジュール14と、アクションモジュール15と、通信ログ記録モジュール16、及び上記モジュールが利用するシグネチャ(不正アクセスやネットワークスキャンで用いられるパケットに含まれる特徴情報)データD11と、パターンマッチ結果データD12と、アクション情報データD13と、これらを統括的に制御する(補完処理を含む)主制御部MC1を具備するものである。上記プログラムコードは、通常は図示しない上記コンピュータの外部記録装置(ハードディスク等)に記録され、当該コンピュータのCPUが適宜読み出して実行されるようになっているが、コンピュータ読み取り可能な可搬性の記録媒体に記録される形態や、プログラムサーバを介して上記外部記録装置に記録されるものであってもよい。また、上記データは、通常、情報格納データベースDB100に格納されており、各モジュールによって適宜参照されるようになっているが、上記コンピュータ上の外部記録装置等に記録され、適宜参照される形態や、各システム上に設置された分散型データベース上に情報を格納し、適宜参照する形態や、コンピュータ読み取り可能な可搬性の記録媒体に記録される形態でもよい。また、上記システムは、外部からの不正なアクセスに対するセキュリティ機構を備えており、上記システムへのアクセスは、認証(パスワード認証、公開鍵認証等)やアクセス制御等によって制限される。
ネットワークインターフェースINT1は、他システム(悪意度算出システム20、管理用端末30、情報格納データベースDB100、ネットワークシステム、ファイアウォール、その他通信可能なシステム)との通信機能、及びネットワークシステムを流通するデータを取得する機能を有するものである。ネットワークインターフェースINT1は、自己宛のパケットのみを取得するモードとその他のパケットも取得するモードを持ち、それらは切り替え可能である。今回の場合は後者を利用する。
シグネチャ取得モジュール11は、シグネチャデータを情報格納データベースDB100からシグネチャデータD11として取得、保持、及び更新する。シグネチャデータD11の取得、保持、及び更新は、自動で定期的に行われるようになっているが、手動で行う方法に切り替え可能である。シグネチャデータD11は、Snort(オープンソースで開発されているIDS)で利用されているようなシグネチャ形式のデータを利用できる。より詳しくは、まず、調査対象となる始点アドレス:始点ポート番号(始点ネットワーク:ポート番号)、宛先アドレス:宛先ポート番号(宛先ネットワーク:宛先ポート番号)の組み合わせ、次に特徴データ(不正アクセスの際に現れるパケット中の文字列や、パケット中の異常に長い文字列、またはパケットの異常なヘッダオプション等)のデータが記録されている。また、上記シグネチャデータは、IDSベンダーから提供されたものなどを利用する形態でも良い。
パケット取得モジュール12は、通信ネットワーク上を流通するパケットを取得する。この際には、ヘッダ情報等を参照し、管理する内部ネットワーク宛てのものを取得する。そして、パターンマッチモジュール13で、取得したパケットとシグネチャデータD11の比較を行う。比較の結果、パケットデータが登録されたシグネチャと一致した場合には、外部ホスト識別子(IPアドレス、IPアドレス−ポート番号、ID等)、一致したシグネチャの名前、パケット取得時刻、被アクセスホスト識別子(IPアドレス、IPアドレス−ポート番号、ID等)、パケットデータのダンプ等からなるパターンマッチ結果データD12を作成し、情報格納データベースDB100に格納する。
アクション取得モジュール14は、シグネチャに一致したパケットが見付かった際の動作を情報格納データベースDB100から取得し、アクション情報データD13として取得、保持、及び更新する。アクション情報データD13の取得、保持、及び更新は、自動で定期的に行われるようになっているが、手動で行う方法に切り替え可能である。アクションモジュール15は、シグネチャにマッチしたパケットを含む通信、及びパケットの送信元ホストに対し、アクション情報データD13に従って対応を行う。アクション情報データD13には、シグネチャにマッチしたパケットの破棄、シグネチャにマッチしたパケットを送信したホストからのアクセスの拒否、ファイアウォール等のセキュリティ装置のルール変更、管理者へ通知などの手段が記されている。
通信ログ記録モジュール16は、不正検出型IDS10を通過する内部ネットワークN2宛ての通信データを全て記録し、情報格納データベースDB100に保存する。また、上記モジュールは、内部ネットワークN2から送信されるデータを記録することも可能である。通信ログの保存期間は、任意の期間を設定可能である。通信ログの保存期間としては、警察庁がネットワーク管理者に勧めている三ヶ月間を含む、数日間から数ヶ月間が考えられる。
次に、悪意度算出システム20の構成について説明する。悪意度算出システム20もまた、通信機能付きのコンピュータによって実現されるものであり、その構成は、図3に示されるとおりである。すなわち、ネットワークインターフェースINT2のほか、所定のプログラムコードを読み取って実行することにより形成されるポリシー情報取得モジュール21と、パケット取得モジュール22と、アクセスポリシー違反検知モジュール23と、パラメータ値算出モジュール24と、悪意の度合い算出モジュール25と、外部ホスト順位付けモジュール26と、アクション取得モジュール27と、アクションモジュール28、及びアクセスポリシーデータベースD21と、外部ホストアクセス状況データD22と、悪意の度合い関連データD23と、外部ホスト順位付け結果データD24と、アクション情報データD25と、これらモジュールの機能を統括的に制御する(補完機能を含む)主制御部MC2を具備する。プログラムコードは、通常は、図示しない上記コンピュータの外部記録装置(ハードディスク等)に記録され、当該コンピュータのCPUが適宜読み出して実行されるようになっているが、コンピュータの読み取り可能な可搬性の記録媒体に記録される形態や、プログラムサーバを介して上記外部記録装置に記録されるものであっても良い。また、上記データは、通常、情報格納データベースDB100に格納されており、各モジュールによって適宜参照されるようになっているが、上記コンピュータ上の外部記録装置等に記録され、適宜参照される形態や、各システム上に設置された分散型データベース上に情報を格納し、適宜参照する形態や、コンピュータの読み取り可能な可搬性の記録媒体に記録される形態でもよい。また、上記システムは、外部からの不正なアクセスに対するセキュリティ機構を備えており、上記システムへのアクセスは、認証(パスワード認証、公開鍵認証等)やアクセス制御等によって制限される。
ネットワークインターフェースINT2は、他システムとの通信機能、及びネットワークシステムを流通するデータを取得する機能を有するものである。ネットワークインターフェースINT2は、自己宛てのパケットのみを取得するモードとその他のパケットも取得するモードを持ち、それらは切り替え可能である。今回の場合は後者を利用する。特に本実施形態においては、ネットワークインターフェースINT2を、不正検出型IDS10を通過し、不正アクセスでは無いとされたネットワークデータの全ての複製の取得に利用する。
ポリシー情報取得モジュール21は、情報格納データベースDB100から管理する内部ネットワークのアクセスポリシー情報をアクセスポリシーデータD21として取得、保持、及び更新する。アクセスポリシーデータD21の取得、保持、及び更新は、自動で定期的に行われるようになっているが、手動で行う方法に切り替えることが可能である。アクセスポリシーデータD21として保存される情報は、アクセス可能なホストと、各ホストにおいてアクセスが許可されているプロトコル(TCP,UDP,ICMP等)とポート(サービス)の組み合わせの一覧で表される。アクセスポリシーを集約して記述可能な場合は、そのように表しても良い。例えば、「ホストアドレス,プロトコル,ポート番号」のように表し、「X.Y.Z.A−D,TCP,22」のように記述しても良い。この場合は,X.Y.Z.AからX.Y.Z.DのホストのTCP22番ポートへのアクセスは許可するという意味になる。
パケット取得モジュール22は、不正検出型IDS10を通過するデータの複製から、内部ネットワーク宛てのパケットを取得する。この際には、取得したパケットのヘッダ情報等を参照し、管理する内部ネットワーク宛てのものを取得する。
アクセスポリシー違反検知モジュール23は、上記パケット取得モジュール22で取得したパケットとアクセスポリシーデータD21のアクセスポリシーを比較し、一致しなかったパケットをアクセスポリシー違反として扱い、結果を外部ホストアクセス状況データD22として保存、更新し、適宜情報格納データベースDB100に格納する。同様に、パラメータ値算出モジュール24においても、上記パケット取得モジュール22で取得したパケットから、ホストアクセスの差の絶対値、及びポートアクセスの差の絶対値、及び一連のアクセスの時間間隔、一連のアクセス回数、アクセス時刻、最終アクセス時のアクセスホスト、及びアクセスポート等を算出し、外部ホストアクセス状況データD22として保持、更新し、適宜情報格納データベースDB100に格納する。この際には、他にも外部ホストごとのホストアクセスの総数、ポートアクセスの総数、アクセス時間間隔、一連のアクセスにおけるホストアクセス回数、及びポートアクセス回数の平均値、一連のアクセスにおけるホストアクセスの差の絶対値の平均、及びポートアクセスの差の絶対値の平均等を記録するようにしてもよい。
悪意の度合い算出モジュール25は、外部ホストアクセス状況データD22の情報を基に悪意の度合いを算出し、その結果を悪意の度合い関連データD23として保持、更新し、適宜情報格納データベースDB100に保存する。この際に、外部ホストアクセス状況データD22の情報の一部も、外部ホストの悪意の度合いに付帯する情報として記録するようにしてもよい。
外部ホスト順位付けモジュール26は、情報格納データベースDB100に格納されている悪意の度合い関連データD23を参照して悪意の度合いを比較し、それらを順位付けする。順位付け結果は、順位付け結果データD24として、適宜情報格納データベースDB100に保存する。
アクション取得モジュール27は、算出した悪意の度合い、及び悪意の度合いによる順位付け結果に基づく対応動作を情報格納データベースDB100からアクション情報データD25として取得、保持、及び更新する。アクション情報データD25の取得、保持、及び更新は、自動で定期的に行われるようになっているが、手動で行う方法に切り替えることが可能である。アクション情報データD25には、算出された外部ホストの悪意の度合いが、一定値(閾値)を越えた際に、その外部ホストからのアクセスを拒否したり、順位付け結果の上位に挙がったホストからのアクセスを拒否したりするようにするなどの対応が記されている。アクションモジュール28は、アクション情報データD25に基づき対応を行う。上記対応は、通常は、自動的に行われるが、手動で行うように切り替えることも可能である。
次に管理用端末30の構成について説明する。管理用端末30は、通信機能付きのコンピュータによって実現されるものであり、その構成は図4に示すとおりである。すなわち、ネットワークインターフェースINT3のほか、所定のプログラムコードを読み取って実行することにより形成される登録情報管理モジュール31と、ネットワーク情報自動登録モジュール32と、アクション管理モジュール33と、順位付け結果表示モジュール34と、警告表示モジュール35、及びシグネチャデータD31と、アクセスポリシー情報データD32と、アクション情報登録データD33と、順位付け結果データD34と、これらのモジュールの機能を統括的に制御する(補完機能を含む)主制御部MC3を具備する。プログラムコードは、通常、図示しない上記コンピュータのCPUが適宜読み出して実行されるようになっているが、コンピュータの読み取り可能な可搬性の記録媒体に記録される形態や、プログラムサーバを介して上記外部記録装置に記録されるものであっても良い。また、上記データは、通常、情報格納データベースDB100に格納されており、各モジュールによって適宜参照されるようになっているが、上記コンピュータ上の外部記録装置等に記録され、適宜参照される形態や、各システム上に設置された分散型データベース上に情報を格納し、適宜参照する形態や、コンピュータの読み取り可能な可搬性の記録媒体に記録される形態でもよい。また、上記システムは、外部からの不正なアクセスに対するセキュリティ機構を備えており、上記システムへのアクセスは、認証(パスワード認証、公開鍵認証等)やアクセス制御等によって制限される。
登録情報管理モジュール31は、シグネチャ、及びネットワークアクセスポリシーの管理を行うものであり、それらの情報はシグネチャデータD31、及びアクセスポリシー情報データD32として取得、保持、及び更新され、それらは適宜情報格納データベースDB100に格納される。シグネチャ及びネットワークアクセスポリシーの更新は、自動、手動に切り替え可能で、自動の場合は、外部ネットワークから定期的に上記データを取得する。その際には、信頼できるサーバ等からデータを取得し、チェックサム(MD5などのハッシュ値によるチェックなど)でデータの完全性を確認したうえで保存・更新するようになっている。
ネットワーク情報自動登録モジュール32は、管理している内部ネットワークに存在するホスト情報、及びホストが搭載しているOSなどを自動的に検出し、それらを基に検出されたOSごとに定められたポリシーを設定した後、ネットワークポリシーを自動的に作成するモジュールであり、その結果は、アクセスポリシー情報データD32として保存・更新され、適宜情報格納データベースDB100に登録される。内部ネットワークに存在するホストの自動検出には、OS判別機能を持つネットワークスキャナを定期的に動作させる等の方法を用いる。この方法によれば、内部ネットワーク内に存在するホストのIPアドレスが動的に変化する場合や、ホストが新規登録された場合にもある程度対応可能になる。自動判別を行えない場合は、その旨を警告表示モジュール35に表示したり、管理者に通知したりする。
アクション管理モジュール33は、不正検出型IDS10や、悪意度算出システム20が行うべき対応をアクション情報登録データD33として保存・更新し、情報格納データベースDB100に格納する。登録には、ブラウザを利用する方法や、専用クライアントを利用する方法、直接データを編集する方法等を選択可能である。
順位付け結果表示モジュール34は、情報格納データベースDB100に保存された外部ホスト順位付け結果データD24を、順位付け結果データD34として取得し、上位のものから順に表示するためのものである。通常は、順位付け結果の上位のホストの情報のみを表示するが、表示形式は利用者の嗜好に合うように変更可能である。また、上記モジュールは、情報格納データベースDB100に保存された外部ホスト順位付け結果データD24を直接表示するようにしてもよい。
警告表示モジュール35は、不正検出型IDS10や、悪意度算出システム20から送られてくる警告を本端末上や、ネットワークシステムに接続された他のホスト等に表示するためのものである。
次に外部ホスト記録データベースDB100の構成について説明する。外部ホスト記録データベースDB100は、ネットワーク通信機能、もしくはその他のデータ通信手段(SCSI、IEEE1392、USB等)付きのコンピュータによって実現されるものであり、上述したような様々なデータを格納することができる。
次に、図1に示した上記の不正アクセス検知システム10、及び悪意度算出システム20、管理用端末30、外部ホスト記録データベースDB100を用いてネットワーク偵察行為を検出するシステムの実施手順を説明する。以下では、不正アクセス検知システム10、悪意の度合い判定システム20、及び管理用端末30における処理手順(主制御部MC1からMC3の統括的な制御に基づく各種モジュールによる実効処理とその連携)を中心に説明する。図5は、不正検出型IDS10の処理手順を示しており、図6は、悪意の度合い算出システム20について示している。全体の処理は、上記処理が並列して行われる。
まず、図5に基づいて説明する。本実施形態では、始めに、不正アクセス検知システム10でアクセスの蓋然性があるアクセスを判別するために利用される不正アクセスの特徴情報(シグネチャ)を情報格納データベースDB100から取得する(ステップS101)。
シグネチャを取得した不正アクセス検知システム10は、管理対象のネットワーク宛てのパケットを常時監視し、捕獲する。但し、図1に示しているように、不正アクセス検知システム10は、インターネットと内部ネットワークの通信路上に設置されており、そこを通過する全パケットの中から、管理対象ネットワーク宛てのパケットを取得する(ステップS102)。
次に、取得したデータから、不正アクセスの蓋然性チェックを行う(ステップS103)。図10に示すように、この段階で不正アクセスの蓋然性があるアクセスとして検出されたものは、不正アクセスである可能性が高い。従って、不正アクセス検知システム10によって検出された外部ホストからのアクセスは、すぐにアクション情報データD13の内容に基づいて処理が行われる(ステップS104)。その後、シグネチャにマッチしたパケットのデータを、パターンマッチ結果データD12として保存・更新する(ステップS105)。
不正アクセスの蓋然性が無いとされたアクセスは、内部ネットワークにそのまま届けられる(ステップS103 NO)。
また、不正検出型IDSを通過したデータを通信ログとして情報格納データベースDB100に記録する。(ステップS106)
次に、悪意度算出システム20の処理手順について、図6を参照しながら説明する。まず始めに、管理対象の内部ネットワークのアクセスポリシーを情報格納データベースDB100から取得し、アクセスポリシーデータD21として保存・更新する(ステップS201)。
図1に示しているように、悪意度算出システム20は、不正検出型IDS10に連結されており、不正検出型IDS10を通過し、不正アクセスでは無いとされた通信データの複製を取得する(ステップS202)。
その通信データを入力とし、外部ホストごとにホストアクセスの差の絶対値、ポートアクセスの差の絶対値、アクセスポリシー違反回数を算出する(ステップS203)。以下図7、図8を参照しながら、ホストアクセス及びポートアクセスの論理的な距離、すなわちホストアクセス及びポートアクセスの差の絶対値について説明する。以下では、偵察行為を行うホストを偵察元ホストと呼び、偵察行為を受けるホストやネットワークをターゲットホスト及びターゲットネットワークと呼ぶ。図7は、偵察元ホストからターゲットネットワークへのホストアクセスにおける論理的な距離の一つを説明するものである。図7(a)は従来の方法で見られる単位時間当たりのアクセス回数を数える方法である。この方法では、ある偵察元ホストが、イ、ロ、ハの順番にアクセスしたとしても、ただ単純に3回のアクセスがあったと数えるだけである。しかし、図7(b)のホスト識別子(ホストアドレス)の差の絶対値の合計を用いると、図7(a)と同様のアクセスに対して、160という値が与えられる。従って、上記のような論理的な距離をホスト識別子に対して用いれば、単純に回数だけでネットワークスキャンを捕らえるよりも、発見されにくいように故意にまばらにスキャンを行うスロースキャンやランダムスキャン(ネットワークスキャン時に、宛先ホストをランダムに入れ替える方法)を効果的に検知することが可能となる。
図8では、ポートアクセスに関して図7と同様の図を示している。ここで、ポート識別子(ポート番号)はサービスの種類を示す。偵察元ホストからターゲットホスト、及びターゲットネットワークへのポートアクセスの際にも、上記ホストアクセスと同様の考え方を適用可能である。
再び図6説明に戻って、外部ホストごとにホストアクセスの差の絶対値、ポートアクセスの差の絶対値、アクセスポリシー違反回数を算出する方法の説明を続ける。ある外部ホストから管理する内部ホスト宛てのパケットがあった場合、その宛先のホスト及びポートの情報をパケットから取得し、外部ホストアクセス状況データD22として保持しておく。その際にアクセスポリシー違反を行っているかの判定を行い、違反を行っている場合には、その情報も外部ホストアクセス状況データD22として保持しておく。同じ外部ホストから再びアクセスがあった際には、保持しておいた以前の宛先ホスト及びポート情報と、新たに取得した宛先ホスト及びポート情報からそれぞれの差の絶対値を算出する。それと同時にアクセスポリシー違反の判定も行う。それら結果を再び外部ホストアクセス状況データD22に保持する。この際、古いデータを新たに取得した宛先ホスト、ポート情報、及びそれらの差の絶対値、アクセスポリシー違反回数によって更新する。ホスト、ポートアクセスの差の絶対値、及びアクセスポリシー違反回数は、以前の記録に加算することで更新を行う。但し、上記差の絶対値は、過去の情報が無い場合、及び同じホストやポートに連続してアクセスする場合は、その度「1」として計算する。または、ある正の定数としてもよい。
外部ホストからのアクセスが、図9に示すように閾値thを超える時間間隔Tで行われた場合は、それを一連のアクセスの終了とみなす(ステップS204)。一連のアクセスが終了していない場合は、アクセスが発生しないか待つ。ここで、図9を参照しながら、時間間隔、及び一連のアクセスについて説明を行う。時間間隔は、偵察元ホストからのアクセスが発生した時間(時刻でもよい)から、以前のアクセスが発生した時間の差をとることで算出可能である。また、図9に示すような一連のアクセスの時間間隔という概念を用いても良い。一連のアクセスとは、同一偵察元ホストからのアクセス間隔が閾値を超えないようなアクセス群のことを示す。従って、図9においては、アクセス時間間隔tが閾値thを超えないアクセス群が、一連のアクセスであり、一連のアクセスの時間間隔はTになる。この概念を用いることにより、単純なネットワークスキャンで度々見られる一連のアクセスとして多数ホストに連続してアクセスするものと、スロースキャンなどで見られる時間をかけて少しずつアクセスするものを識別することが可能になる。同じ回数スキャンした場合、連続したスキャンよりもまばらに時間を空けてスキャンしたほうが検出されにくい。つまり、時間間隔及び一連のアクセスの概念を利用することで、単純に回数だけでネットワークスキャンを捕らえるよりも、発見されにくいように故意にまばらにスキャンを行うスロースキャンやランダムスキャンを効果的に検知することが可能となる。さらに、単純なネットワークスキャンが時間を空けて複数回行われた際の検知にも利用できる。本実施形態では、閾値thは60秒としている。これは、ネットワークスキャンの観測実験から得られた値であるが、より適切な閾値があれば、そちらを用いてよい。例えば、閾値としては、数十秒から数分が考えられる。
再び図6に戻って説明を続ける。一連のアクセスの時間間隔算出は、上記説明に基づき以下の方法を用いる。ある外部ホストのもっとも最近の内部ホストへのアクセス時刻を外部ホストアクセス状況データD22として保持しておき、閾値th秒経過した際にそれを一連のアクセスの終了とみなす。一連のアクセスが終了した後に再び同外部ホストからアクセスがあった場合、それを一連のアクセスの時間間隔とし、保持していた最終アクセス時刻と新しく取得したアクセスの時間間隔との差をとることで一連のアクセスの時間間隔を算出する。但し、以前の一連のアクセスが無い場合は、一連のアクセスの時間間隔は「1」とする。そして算出した一連のアクセスの時間間隔を外部ホストアクセス状況データD22に保持・又は更新する。(ステップS205)
次に、算出した各パラメータを用い、それらを増加関数の形で表すことにより悪意の度合いを算出する。悪意の度合いとは、アクセス元の悪質さの評価尺度である。例えば、あるアクセス元が多数のホストを偵察し同じ量の情報を手に入れる場合、アクセスに関する隠蔽の工夫をしないで、時間的に連続して、あるいは、連続したホストアドレスに対して、あるいは同一ホスト上の連続したポートに対して、偵察行為を行うアクセス元より、監視の目をくぐりぬけようと少しずつ、執拗に、故意にまばらに偵察行為を繰り返すなどを行うアクセス元の方がより悪質だといえる。ここで利用する各パラメータは、それぞれがこの悪質さを表現している。従って、悪意の度合いは、上記ホストアクセスの差の絶対値、ポートアクセスの差の絶対値、一連のアクセスの時間間隔、アクセスポリシー違反回数等の増加関数の形で表される。増加関数には、様々なものが考えられるが、一例として全てのパラメータの積で表すものや、和で表すものが考えられる。より具体的には、下に示す数式1で評価する。あるアクセス元ホストAがN回の一連のアクセスを行った際の悪意の度合いをM(A)とする。ここで、Hiは、i回目の一連のアクセスにおけるホストアクセスの差の絶対値の合計、Piは、i回目の一連のアクセスにおけるポートアクセスの差の絶対値の合計、Viは、i回目の一連のアクセスにおけるアクセス違反回数、Iiは、一連のアクセスの時間間隔であり、i回目の一連のアクセス開始時間tiから前回の一連のアクセス終了時間ti−1の差で表される。ただし、Iiは、i=1の時は「1」とする。短時間に多数アクセスを行うようなスキャンは、Hi、Pi及びViの積により悪意度が大きくなる。また、スロースキャンのようなアクセスの場合には、上に示した4つ全てのパラメータ、特にIiが作用することで悪意度が大きくなり、スロースキャンの検出が可能となる。そして、算出した悪意の度合いを、悪意の度合い関連データD23として、情報格納データベースDB100に登録する。同一の外部ホストに関する以前の悪意の度合いがすでにある場合は、その値と新しく算出した悪意の度合いの和をとり、最新の悪意の度合いを算出する(ステップS206)。
そして、情報格納データベースDB100に格納されている悪意の度合い関連データD23の情報を、記録されているホストごとに比較し、外部ホストを順位付けする(ステップS207)。順位付け結果は、外部ホスト順位付け結果データD24として保持、更新され、情報格納データベースDB100に保存、更新される。そして、上記悪意の度合い、及び順位付け結果に基づき、アクション情報データD25に基づく対応や、順位付け結果の表示等を行う。(ステップS208)
本実施形態では、直接的には触れていないが、悪意の度合い算出用の増加関数は、外部に関数が漏れた際に備えて、一種類だけではなく、数種類を準備し、時間とともに利用する関数を切り替えたり、あるいは変化させるなどを行っても良い。また、それら悪意の度合い算出用の増加関数に用いるパラメータは、上記の中で述べたアクセスホスト幅、アクセスポート幅、一連のアクセスの時間間隔などの一種の論理的な距離を表すもの、及びアクセス違反回数だけでなく、アクセス回数や、ただ一つ前のアクセス時間との差をとる時間間隔、その他のここに挙げないパラメータなどを利用してもよい。また、悪意度算出システム20では、通信データを逐次的に処理する方法を説明したが、通信データのログの一部や全体に対して、悪意度算出システムで行われる処理を適用する形にしてもよい。また、悪意度算出システム20は、不正検出型IDS10において不正アクセスであるとされたパケットを含め、全ての通信データの複製を取得するようにしてもよい。なお、本発明のネットワークにおけるアクセスの悪意度の評価装置は、最小要素としてはプログラムとして構成できる。
本実施形態では、外部ネットワークから内部ネットワークへのアクセスについて説明したが、内部ネットワークから外部ネットワークへのアクセスへの適用も図1とほぼ同様な形態で実施できる。この場合、不正アクセス発信者Aは、内部ネットワークN2内に位置する。また、本発明は、内部ネットワークから同じ内部ネットワークへのアクセスに対しても利用可能である。なお、本実施形態では、不正アクセス発信元ホストの識別について述べているが、より詳細な不正アクセス元として当該ホスト上のプログラムやアクセス者が識別可能な場合には、その不正アクセス元の特定にも利用可能である。
以上のように、本実施形態の方法によれば、外部ホストからの不正アクセスによる被アクセスネットワークへの影響を抑え、未知の方法を含む、不正アクセスの蓋然性のあるアクセス、その中でも特に悪質な蓋然性のある、優先的に対処すべきアクセスを検知できるようになる利点がある。
10: 不正検出型IDS
11: シグネチャ取得モジュール
12: パケット取得モジュール
13: パターンマッチモジュール
14: アクション情報取得モジュール
15: アクションモジュール
16: 通信ログ記録モジュール
20: 悪意度算出システム
21: ポリシー情報取得モジュール
22: パケット取得モジュール
23: アクセスポリシー違反検知モジュール
24: パラメータ値算出モジュール
25: 悪意の度合い算出モジュール
26: 外部ホスト順位付けモジュール
27: アクション取得モジュール
28: アクションモジュール
30: 管理用端末
31: 登録情報管理モジュール
32: ネットワーク情報自動登録モジュール
33: アクション管理モジュール
34: 順位付け結果表示モジュール
35: 警告表示モジュール
D11: シグネチャデータ
D12: パターンマッチ結果データ
D13: アクション情報データ
D21: アクセスポリシーデータ
D22: 外部ホストアクセス状況データ
D23: 悪意の度合い関連データ
D24: 外部ホスト順位付け結果データ
D25: アクション情報データ
D31: シグネチャデータ
D32: アクセスポリシー情報データ
D33: アクション情報登録データ
D34: 順位付け結果データ
DB100: 各種情報格納データベース
A: 不正アクセス発信源
N1: インターネット
N2: 内部ネットワーク
INT1、INT2、INT3: ネットワークインターフェース
MC1、MC2、MC3: 主制御部
11: シグネチャ取得モジュール
12: パケット取得モジュール
13: パターンマッチモジュール
14: アクション情報取得モジュール
15: アクションモジュール
16: 通信ログ記録モジュール
20: 悪意度算出システム
21: ポリシー情報取得モジュール
22: パケット取得モジュール
23: アクセスポリシー違反検知モジュール
24: パラメータ値算出モジュール
25: 悪意の度合い算出モジュール
26: 外部ホスト順位付けモジュール
27: アクション取得モジュール
28: アクションモジュール
30: 管理用端末
31: 登録情報管理モジュール
32: ネットワーク情報自動登録モジュール
33: アクション管理モジュール
34: 順位付け結果表示モジュール
35: 警告表示モジュール
D11: シグネチャデータ
D12: パターンマッチ結果データ
D13: アクション情報データ
D21: アクセスポリシーデータ
D22: 外部ホストアクセス状況データ
D23: 悪意の度合い関連データ
D24: 外部ホスト順位付け結果データ
D25: アクション情報データ
D31: シグネチャデータ
D32: アクセスポリシー情報データ
D33: アクション情報登録データ
D34: 順位付け結果データ
DB100: 各種情報格納データベース
A: 不正アクセス発信源
N1: インターネット
N2: 内部ネットワーク
INT1、INT2、INT3: ネットワークインターフェース
MC1、MC2、MC3: 主制御部
Claims (7)
- 通信ネットワークを介して行われるアクセスが不正なアクセスである可能性を評価する装置であって、アクセス元をIPアドレス、ID等で識別し、被アクセスホストまたは被アクセスネットワークに対して行われるアクセスの、時間、アクセスホスト、アクセスポートの少なくとも一つを、以前のそのアクセス元からのアクセスの記録と比較し、比較した値によって不正なアクセスである可能性を評価することを特徴とするネットワークにおけるアクセスの悪意度の評価装置。
- 不正なアクセスである可能性を、アクセスの時刻に基づき評価し、以前のアクセスとの時間間隔が大きいものを、悪意度が大きいと判定する請求項1記載のネットワークにおけるアクセスの悪意度の評価装置。
- 不正なアクセスである可能性を、アクセスの時刻と、ポート番号、ホストアドレスの少なくとも一つの値に基づき評価するもので、ポート番号、ホストアドレスの差の絶対値が大きいものを、悪意度が大きいと判定する請求項2記載のネットワークにおけるアクセスの悪意度の評価装置。
- 通信ネットワークを介して行われるアクセスが不正なアクセスである可能性を評価する方法であって、アクセス元をそのIPアドレス、ID等で識別し特定するとともに、アクセスの時刻、ホスト、ポートの少なくとも一つを、検出するステップと、検出された時刻、ホスト、ポートの少なくとも一つを、特定の結果同一と見なされる対象の以前のアクセスの記録と比較し、比較した値によって不正なアクセスである可能性を評価するステップとからなることを特徴とするネットワークにおけるアクセスの悪意度評価方法。
- 通信ネットワークを介して行われるアクセスを設定された基準に従い評価し不正なアクセスであるか否かを判定するステップと、前記ステップの結果不正なアクセスでないとされたアクセスであって、少なくとも不正である可能性があるアクセスにつき、アクセスの時刻、ホスト、ポートの少なくとも一つの値を、当該アクセスとIPアドレス、ID等で同一と見なされるアクセス元からの以前のアクセスの時刻、ホスト、ポートの該当する値と比較し、比較した値によって不正アクセスの蓋然性を評価するステップとからなることを特徴とする不正アクセスの検出方法。
- 通信ネットワークを介して行われるアクセスの不正アクセスの蓋然性を評価するシステムであって、当該アクセスを設定された基準に従い評価し基準に該当するものを不正なアクセスであると判定する不正アクセス判定手段と、当該アクセスの時刻、ホスト、ポートの少なくとも一つの値を検出し、当該アクセスとIPアドレス、ID等で同一と見なされる以前のアクセスの時刻、ホスト、ポートの該当する値と比較し、比較した値によって不正アクセスの蓋然性を算出する悪意度評価手段を備え、悪意度評価手段は少なくとも不正アクセス判定手段により不正なアクセスであると認定されなかったものにつき蓋然性を評価するようにしたことを特徴とする不正アクセスの検出システム。
- 不正アクセス判定手段により不正アクセスと判定されたアクセスはアクセス拒否等の対応をとるよう構成され、悪意度評価手段は不正アクセスの蓋然性を算出するにあたって当該アクセスの時刻と、ポート番号、ホストアドレスの少なくとも一つの値に基づき算出するもので、以前のアクセスとの時間間隔が大きいものを不正アクセスである蓋然性が高いと判定するとともに、ポート番号もしくはホストアドレスの差の絶対値が大きいものを不正アクセスである蓋然性が高いと判定しその結果を出力するよう構成され、さらに、悪意度評価手段の出力に基づき当該アクセス、もしくは、IPアドレス、ID等で同一と見なされるアクセス元からの今後のアクセスにつきアクセス拒否等の対応をとるよう構成、或いは、悪意度評価手段の出力に基づき管理者が確認や優先的な対応やアクセス拒否等の対応が可能なように構成されていることを特徴とする請求項6記載の不正アクセスの検出システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003410786A JP2005175714A (ja) | 2003-12-09 | 2003-12-09 | ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003410786A JP2005175714A (ja) | 2003-12-09 | 2003-12-09 | ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005175714A true JP2005175714A (ja) | 2005-06-30 |
Family
ID=34731777
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003410786A Pending JP2005175714A (ja) | 2003-12-09 | 2003-12-09 | ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005175714A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007200323A (ja) * | 2006-01-27 | 2007-08-09 | Nec Corp | Sipベースのアプリケーションを保護する方法 |
| KR100756462B1 (ko) | 2006-02-03 | 2007-09-07 | 엘지엔시스(주) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 |
| CN101902349B (zh) * | 2009-05-27 | 2012-10-31 | 北京启明星辰信息技术股份有限公司 | 一种检测端口扫描行为的方法和系统 |
| JP2013016000A (ja) * | 2011-07-04 | 2013-01-24 | Hitachi Ltd | 多重系コントローラシステムとその運転方法 |
| KR101697189B1 (ko) * | 2015-08-28 | 2017-01-17 | 국방과학연구소 | 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법 |
| CN113194095A (zh) * | 2021-04-29 | 2021-07-30 | 焦点科技股份有限公司 | 一种基于Nginx的爬虫流量前置限制方法 |
-
2003
- 2003-12-09 JP JP2003410786A patent/JP2005175714A/ja active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007200323A (ja) * | 2006-01-27 | 2007-08-09 | Nec Corp | Sipベースのアプリケーションを保護する方法 |
| JP4692776B2 (ja) * | 2006-01-27 | 2011-06-01 | 日本電気株式会社 | Sipベースのアプリケーションを保護する方法 |
| US8085763B2 (en) | 2006-01-27 | 2011-12-27 | Nec Corporation | Method for protecting SIP-based applications |
| KR100756462B1 (ko) | 2006-02-03 | 2007-09-07 | 엘지엔시스(주) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 |
| CN101902349B (zh) * | 2009-05-27 | 2012-10-31 | 北京启明星辰信息技术股份有限公司 | 一种检测端口扫描行为的方法和系统 |
| JP2013016000A (ja) * | 2011-07-04 | 2013-01-24 | Hitachi Ltd | 多重系コントローラシステムとその運転方法 |
| KR101697189B1 (ko) * | 2015-08-28 | 2017-01-17 | 국방과학연구소 | 시나리오 기반 사이버 공격 이력 추적 시스템 및 방법 |
| CN113194095A (zh) * | 2021-04-29 | 2021-07-30 | 焦点科技股份有限公司 | 一种基于Nginx的爬虫流量前置限制方法 |
| CN113194095B (zh) * | 2021-04-29 | 2022-05-31 | 焦点科技股份有限公司 | 一种基于Nginx的爬虫流量前置限制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10699011B2 (en) | Efficient white listing of user-modifiable files | |
| US10645110B2 (en) | Automated forensics of computer systems using behavioral intelligence | |
| US11068588B2 (en) | Detecting irregularities on a device | |
| JP6894003B2 (ja) | Apt攻撃に対する防御 | |
| US8931099B2 (en) | System, method and program for identifying and preventing malicious intrusions | |
| US8056115B2 (en) | System, method and program product for identifying network-attack profiles and blocking network intrusions | |
| US20240163253A1 (en) | Network security analysis system with reinforcement learning for selecting domains to scan | |
| JP4490994B2 (ja) | ネットワークセキュリティデバイスにおけるパケット分類 | |
| US7434261B2 (en) | System and method of identifying the source of an attack on a computer network | |
| US20170163670A1 (en) | Packet logging | |
| JP7204247B2 (ja) | 脅威対応自動化方法 | |
| WO2018099206A1 (zh) | 一种apt检测方法、系统及装置 | |
| US8392998B1 (en) | Uniquely identifying attacked assets | |
| CN109784055B (zh) | 一种快速检测和防范恶意软件的方法和系统 | |
| KR101045331B1 (ko) | 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법 | |
| GB2614426A (en) | Enterprise network threat detection | |
| KR101045330B1 (ko) | 네트워크 기반의 http 봇넷 탐지 방법 | |
| JP6106861B1 (ja) | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム | |
| JP2005175714A (ja) | ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム | |
| JP7172104B2 (ja) | ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 | |
| KR101045556B1 (ko) | 네트워크 기반의 irc 봇넷 탐지 방법 | |
| JP2004038517A (ja) | アクセス制御システム及び方法、プログラム | |
| JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 | |
| CN115622754B (zh) | 一种检测并防止mqtt漏洞的方法、系统和装置 | |
| CN117439757A (zh) | 终端风险程序的数据处理方法、装置和服务器 |