JP2008193538A - ネットワークへの攻撃監視装置および攻撃証跡管理装置 - Google Patents
ネットワークへの攻撃監視装置および攻撃証跡管理装置 Download PDFInfo
- Publication number
- JP2008193538A JP2008193538A JP2007027493A JP2007027493A JP2008193538A JP 2008193538 A JP2008193538 A JP 2008193538A JP 2007027493 A JP2007027493 A JP 2007027493A JP 2007027493 A JP2007027493 A JP 2007027493A JP 2008193538 A JP2008193538 A JP 2008193538A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- address
- source
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】
ネットワークの攻撃監視システムにおいて、複数レイヤの攻撃ログから共通するIPアドレスを抽出し、攻撃発信元の特定とその攻撃活動の証跡を保存する装置を提供する。
【解決手段】
攻撃の発信元の特定と攻撃活動の証跡を保存するため、ファイヤウォール(FW)や侵入検知装置(IDS)といったネットワークレイヤにおける攻撃検知システムが出力するログ情報と、迷惑メールフィルタなどのアプリケーションレイヤにおける攻撃検知システムが出力するログ情報を連携させたネットワーク攻撃監視および証跡保存管理装置を実現する。
【選択図】図1
ネットワークの攻撃監視システムにおいて、複数レイヤの攻撃ログから共通するIPアドレスを抽出し、攻撃発信元の特定とその攻撃活動の証跡を保存する装置を提供する。
【解決手段】
攻撃の発信元の特定と攻撃活動の証跡を保存するため、ファイヤウォール(FW)や侵入検知装置(IDS)といったネットワークレイヤにおける攻撃検知システムが出力するログ情報と、迷惑メールフィルタなどのアプリケーションレイヤにおける攻撃検知システムが出力するログ情報を連携させたネットワーク攻撃監視および証跡保存管理装置を実現する。
【選択図】図1
Description
本発明は、ネットワークに接続した電子計算機からなるシステムにおいて、不正侵入や迷惑メール送信などネットワークに発生する攻撃に関わる装置の特定と、攻撃活動の証跡を保存する技術に関する。
インターネットが企業活動におけるインフラとして定着するにつれて、システムへの不正侵入の試みや、迷惑メールの大量送信といったネットワークを通じた攻撃が常態化するようになってきた。近年におけるネットワーク攻撃は、攻撃者の実力誇示を目的とした愉快犯的なものから、営利目的の潜伏型に移行してきており、迅速な対策を行わないと、ネットワーク攻撃の踏み台にされるなど間接的に犯罪に加担してしまう恐れもあり、社会的な信用の失墜にもつながりかねない。
そこで重要になってくるのが、ネットワークを監視して攻撃を素早く検知するシステムであり、さらに攻撃を元から断つために、攻撃活動の把握と証跡の保存を行って攻撃元を特定して対策するシステムも必要になる。
ネットワーク攻撃の検知情報から攻撃活動の把握を行う従来技術として、複数の侵入検知装置(IDS)が出力するログを収集してデータベースに蓄積し、攻撃の時間的な推移をもとに侵入行為パターンを求める方法がある(例えば特許文献1)。また、攻撃の発信元を追跡する従来技術としては、ネットワークを通過するパケットの特徴を記録しておき、侵入を検知した際にそのパケットがどの経路を通過してきたかを追跡する方法がある(例えば特許文献2)
特開2004−220373号公報
特開2003−298652号公報
しかし上記従来技術では、分析の対象となるのがネットワークレイヤにおける攻撃検知ログや監視ログの時間的、空間的な分析にとどまっており、迷惑メールの大量送信やウイルス送付行為などアプリケーションレイヤを対象とした攻撃に関するログ情報は活用されていない。そのため、攻撃者がネットワークレイヤでの攻撃以外にどのような攻撃活動を行っているかを把握するのは難しい。
本発明は、攻撃の発信元の特定と攻撃活動の証跡を保存するため、ファイヤウォール(FW)やIDSといったネットワークレイヤにおける攻撃検知システムが出力するログ情報と、迷惑メールフィルタなどのアプリケーションレイヤにおける攻撃検知システムが出力するログ情報を連携させたネットワーク攻撃監視および証跡保存管理装置を実現する。
本発明を構成するシステムは、IDSやFWのような複数の不正アクセス検知装置が出力する攻撃ログを収集する機能を有する攻撃ログ収集部と、収集した攻撃ログから攻撃の発信元を抽出する攻撃アドレス抽出部に加え、電子メールの受信装置が迷惑メールと判定したメール受信ログを収集する機能を有する迷惑メールログ収集部と、収集した迷惑メールログからメールの発信元を抽出するメール発信元抽出部からなり、前記攻撃ログと迷惑メールログから共通に検知された発信元IPアドレスを攻撃発信元と判定し、その攻撃発信元IPアドレスの分布を地理上、あるいはアドレスブロック別といった論理空間上に表示することを特徴とする。さらにその攻撃発信元IPアドレスの攻撃活動の履歴を攻撃の証跡として記録する。
すなわち,本発明は,ネットワークに接続された電子計算機からなるシステムにおいて、不正侵入行為と判定されたパケットの発信元を検知する手段と、迷惑メールと判定された電子メールの発信元を検知する手段とを備え、前記2つの手段で共通に検知された発信元のIPアドレスを攻撃発信元と判定する攻撃監視装置を提供する。
さらに,上記攻撃監視装置は,攻撃発信元と判定されたIPアドレスについて、そのIPアドレスと、該IPアドレスを発信元とする攻撃の履歴を保存してもよいし,攻撃発信元と判定されたIPアドレス群の地理上の分布を地図上に表示してもよい。
また,本発明は,攻撃発信元と判定されたIPアドレス群について、アドレスブロックごとの分布をグラフに表示する攻撃証跡管理装置を提供する。
上記態様によれば、IDSやFWのログに加え、各種アプリケーションに記録されたIPアドレス痕跡を集約することで、そのIPアドレスを持つシステムの活動をトレースすることが可能になる。
本発明によれば、攻撃元を特定してパケットを遮断したり、踏み台になっているシステムを検出してネットワークから切り離すなどの対策が可能になる。
以下、本発明の実施の形態について、図面を用いて説明する。なお以降の説明は本発明の一実施形態を示すものであり、本発明の構成や機能その他を制限するものではない。
図1は本実施例で示される装置の構成を表す概略図である。攻撃監視を行うネットワークと外部ネットワークとの境界には、FWやIDSといった不正アクセス検知装置12を備える。監視するネットワークの内部にはメールサーバ13、攻撃監視装置14、攻撃証跡管理装置15を備え、それぞれネットワークを介して接続されている。不正アクセス検知装置は攻撃を検知すると、攻撃ログ出力部121を介して攻撃ログを出力する。メールサーバ13には受信メールから迷惑メールを検知する迷惑メール判定部131を備え、迷惑メールログ出力部132を介して迷惑メール検知ログを出力する。
攻撃監視装置14は、121のログ出力部から出力される攻撃ログを収集する攻撃ログ収集部141と、収集したログから攻撃発信元IPアドレスを抽出する攻撃アドレス抽出部142と、抽出された情報を蓄積する攻撃ログ蓄積部143、および迷惑メール検知ログについても同様の処理を行う迷惑メールログ収集部154、メール発信元抽出部145、迷惑メールログ蓄積部146を備える。さらに両ログ蓄積部に格納されたIPアドレスを検索して、攻撃発信元を判定する攻撃発信元判定部147を備える。
攻撃証跡管理装置15は、攻撃発信元判定部147が攻撃発信元と判定したIPアドレスに関する攻撃活動の履歴を保存する攻撃証跡保存部151、および攻撃発信元の分布状態を視覚的に捉えやすくするための分布地図作成部152、グラフ作成部153を備える。
明示していないが,図1に示す各装置は,CPUと記憶装置を備える一般的な情報処理装置により構成され,各装置において,記憶装置に格納されたプログラムをCPUが実行することにより各処理部が具現化される。
図2は攻撃ログ蓄積部141に格納する攻撃ログ情報の例である。攻撃ログ情報21は、FWやIDSといった不正アクセス検知装置12が攻撃を検知すると、その検知情報を検知日時211、発信元IPアドレス212、検知装置種別213、攻撃内容214に分けて格納する。
図3は迷惑メールログ蓄積部146に格納する迷惑メールログ情報の例である。迷惑メールログ情報31は、検知日時311、発信元IPアドレス312、差出人アドレス313、迷惑メール題名314からなる。なお本図は迷惑メールログ情報の一例に過ぎず、他にも迷惑メール検知に関する情報、例えば到着ホップ数や迷惑メール判定ルーチンの評価値などの情報を含めたりしてもよい。
図4は攻撃証跡保存部151に格納する攻撃証跡情報の例である。攻撃証跡情報41は発信元IPアドレス411と、攻撃や迷惑メール受信を受けた検知日時412、攻撃を受けた装置の種別413、および攻撃や迷惑メールの概要を示した内容214からなる。
図5は不正アクセス検知装置12およびメールサーバ13におけるログ出力の処理手順である。不正アクセス検知装置はネットワークを流れるパケットを監視し、攻撃を検知すると(ステップ501)、攻撃パケットを遮断するとともにパケットヘッダから、そのパケットの送信元IPアドレスを抽出する(ステップ502)。取得した発信元IPアドレスとともに攻撃検知日時と攻撃パターンの内容とを攻撃ログ蓄積部143に格納する(ステップ503)。メールサーバ13についても同様に、メールを受信する待機状態からメールを受信すると(ステップ511)、そのメールが迷惑メールであるかどうかを判定する(ステップ512)。受信メールが迷惑メールと判定された場合には、受信メールのヘッダ情報からメールの発信元IPアドレスを抽出し(ステップ513)、メール受信日時、差出人や題名の情報とともに迷惑メールログ蓄積部146に格納する。
図6は攻撃発信元判定部147の動作を示した処理手順である。攻撃発信元判定部はタイマー等で定期的に起動される(ステップ601)。起動されると、攻撃ログ蓄積部143および迷惑メールログ蓄積部146を検索し、あらかじめ指定されている期間(例えば直近1週間)において、両蓄積部に共通して出現する発信元IPアドレスの数を検索する(ステップ602)。検索されたIPアドレス数が閾値を越えているかどうかを判定し(ステップ603)、閾値を越えていた場合は、そのIPアドレスを攻撃発信元と判定し、両蓄積部から該当する発信元IPアドレスが含まれるレコードを抽出し(ステップ604)、攻撃証跡格納部のフォーマットにデータを変換し(ステップ605)、攻撃証跡保存部151に格納する(ステップ606)。
以上の処理を行うことにより、ネットワークレイヤにおける攻撃活動とアプリケーションレイヤにおける攻撃活動、本実施例においては迷惑メールの送信活動の両方を行っているシステムのIPアドレスの情報とそのシステムの攻撃活動の記録が、攻撃証跡保存部に蓄積されていくことになり、両レイヤに渡って攻撃を行っているシステムの特定が可能になり、さらにインシデント発生時には攻撃者の活動記録を証跡として保存することが可能になる。
さらに本実施例においては、この活動証跡データをもとに、攻撃者の活動や分布を分析者が詳細に把握し、迅速に攻撃の遮断活動やインシデントの深刻度を認識できるように、特定の攻撃発信元IPアドレスにおける攻撃の時間的推移をグラフ表示する機能と、攻撃発信者の地理的な分布と、アドレスブロック分布を表示する機能を備える。
図7は攻撃証跡管理装置15において、グラフ作成部153を介して入出力装置に表示される発信元IPアドレス別表示画面の例である。分析者が特定の攻撃発信元IPアドレス71を選択すると、そのIPアドレスから発信された攻撃の日別の攻撃検知数が棒グラフ72で表示され、該当期間の攻撃の一覧が表形式(73,74)で表示される。この画面により、特定の攻撃者の活動の量と詳細を確認することが可能になるため、攻撃遮断に向けた対策の要否や方法の決定の一助にすることができる。
図9は攻撃発信元IPアドレス群を、図8で例示したIPアドレスと位置情報のマッピングデータを用いて、地理的な分布図として表示した画面の例である。位置情報データ81はIPアドレスのブロック811と、そのIPアドレスを持つシステムの位置情報の対応を記したものであり、本例では位置情報として緯度と経度を用いた例を示している。図9では分布図を示す地図91上に、各レイヤの攻撃ログ情報から検出されたシステムの位置を表示しており、92、93、94の各記号は、それぞれネットワークレイヤの攻撃検知ログから得られたIPアドレス、アプリケーションレイヤの攻撃検知ログから得られたIPアドレス、両レイヤで検知されたIPアドレスを持つシステムの位置を表している。本画面を用いることにより、攻撃者システム、あるいは攻撃者に乗っ取られた踏み台システムの物理ネットワーク上での位置関係と量が一覧して見えるようになるため、ネットワークの切り離しなどの対策を迅速に行うことが可能になる。
図10は、攻撃発信元IPアドレス群を、IPアドレスの各オクテットをもとに3次元座標上に表示した画面の例である。表示設定操作パネル102において、IPアドレスが持つ4つのオクテットのうち3つの値をXYZの各軸にマッピングして表示することにより、同じアドレスブロックをもつ攻撃発信元システムが平面上、あるいは直線上に配置されて見えるため、どのアドレスブロックに攻撃者システムや踏み台システムが存在するかの把握の一助となる。これにより、不正アクセス検知装置や迷惑メール判定部における接続拒絶リストの更新などの対策を容易に行うことが可能になる。
本実施例によれば、複数のレイヤに渡る攻撃活動を行っているシステムのIPアドレスの情報とそのシステムの攻撃活動の記録が、攻撃証跡保存部に蓄積されることで、複数レイヤに渡って攻撃を行っているシステムの特定が可能になり、インシデント発生時には攻撃者の活動記録を証跡として保存することができる。さらに証跡情報を利用して、IPアドレスを絞った活動詳細と時系列表示や、攻撃者システムの地理的分布およびアドレスブロック分布を表示することで、分析者による攻撃活動の量や詳細の把握を可能にし、インシデント対策の要否や方法の決定の一助にすることができる。
12:不正アクセス検知装置,121:ログ出力部,13:メールサーバ,131:迷惑メール判定部,132:ログ出力部,14:攻撃監視装置,141:攻撃ログ収集部,142:攻撃アドレス抽出部,143:攻撃ログ蓄積部,144:迷惑メールログ収集部,145:メール発信元抽出部,146:迷惑メールログ蓄積部,147:攻撃発信元判定部,15:攻撃証跡管理装置,151:攻撃証跡保存部,152:分布地図作成部,153:グラフ作成部,21:攻撃ログ情報,211:検知日時,212:発信元IPアドレス,213:検知装置種別,214:攻撃内容,31:迷惑メールログ情報,311:検知日時,312:発信元IPアドレス,313:差出人アドレス,314:迷惑メール題名,41:攻撃証跡情報,411:発信元IPアドレス,412:検知日時,413:検知装置種別,414:攻撃内容,501〜504:不正アクセス検知装置の処理手順,511〜515:メールサーバの処理手順,601〜607:攻撃発信元判定プログラムの処理手順,71:発信元IPアドレス別表示画面におけるIPアドレス,72:発信元IPアドレス別表示画面における検知件数グラフ,73:発信元IPアドレス別表示画面におけるネットワークレイヤ攻撃検知情報,74:発信元IPアドレス別表示画面におけるアプリケーションレイヤ攻撃検知情報,81:位置情報データ,811:IPアドレスブロック,812:位置情報1(経度),813:位置情報2(緯度),91:攻撃発信元IPアドレスの地理的分布図,92〜94:IPアドレスの位置を示す記号,101:攻撃発信元IPアドレスのアドレスブロック分布図,102:表示設定操作パネル。
Claims (4)
- ネットワークに接続された電子計算機からなるシステムにおいて、
不正侵入行為と判定されたパケットの発信元を検知する手段と、迷惑メールと判定された電子メールの発信元を検知する手段とを備え、前記2つの手段で共通に検知された発信元のIPアドレスを攻撃発信元と判定する
ことを特徴とする攻撃監視装置。 - 請求項1に記載のシステムにおいて、
攻撃発信元と判定されたIPアドレスについて、そのIPアドレスと、該IPアドレスを発信元とする攻撃の履歴を保存する
ことを特徴とした攻撃証跡管理装置。 - 請求項2に記載のシステムにおいて、攻撃発信元と判定されたIPアドレス群の地理上の分布を地図上に表示する
ことを特徴とした攻撃証跡管理装置。 - 請求項2に記載のシステムにおいて、攻撃発信元と判定されたIPアドレス群について、アドレスブロックごとの分布をグラフに表示する
ことを特徴とした攻撃証跡管理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007027493A JP2008193538A (ja) | 2007-02-07 | 2007-02-07 | ネットワークへの攻撃監視装置および攻撃証跡管理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007027493A JP2008193538A (ja) | 2007-02-07 | 2007-02-07 | ネットワークへの攻撃監視装置および攻撃証跡管理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008193538A true JP2008193538A (ja) | 2008-08-21 |
Family
ID=39753174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007027493A Pending JP2008193538A (ja) | 2007-02-07 | 2007-02-07 | ネットワークへの攻撃監視装置および攻撃証跡管理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008193538A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010050939A (ja) * | 2008-08-25 | 2010-03-04 | Hitachi Information Systems Ltd | 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム |
| JP2014050057A (ja) * | 2012-09-04 | 2014-03-17 | Nec Biglobe Ltd | 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム |
| JP2015027108A (ja) * | 2014-10-24 | 2015-02-05 | ビッグローブ株式会社 | 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム |
| JP2016127533A (ja) * | 2015-01-07 | 2016-07-11 | 日本電信電話株式会社 | アドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラム |
| KR20180039372A (ko) * | 2016-10-10 | 2018-04-18 | 주식회사 윈스 | 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법 |
| JP2018093545A (ja) * | 2018-03-12 | 2018-06-14 | 富士通株式会社 | 表示方法、表示装置および表示プログラム |
| US10210248B2 (en) | 2015-12-04 | 2019-02-19 | Fujitsu Limited | Computer-readable recording medium, display control method, and information processing device |
-
2007
- 2007-02-07 JP JP2007027493A patent/JP2008193538A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010050939A (ja) * | 2008-08-25 | 2010-03-04 | Hitachi Information Systems Ltd | 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム |
| JP2014050057A (ja) * | 2012-09-04 | 2014-03-17 | Nec Biglobe Ltd | 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム |
| JP2015027108A (ja) * | 2014-10-24 | 2015-02-05 | ビッグローブ株式会社 | 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム |
| JP2016127533A (ja) * | 2015-01-07 | 2016-07-11 | 日本電信電話株式会社 | アドレス情報提供装置、アドレス監視システム、アドレス情報表示方法及びアドレス情報提供プログラム |
| US10210248B2 (en) | 2015-12-04 | 2019-02-19 | Fujitsu Limited | Computer-readable recording medium, display control method, and information processing device |
| KR20180039372A (ko) * | 2016-10-10 | 2018-04-18 | 주식회사 윈스 | 네트워크 침입 탐지에 대한 실시간 증적 자료 수집 장치 및 방법 |
| JP2018093545A (ja) * | 2018-03-12 | 2018-06-14 | 富士通株式会社 | 表示方法、表示装置および表示プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10911467B2 (en) | Targeted attack protection from malicious links in messages using predictive sandboxing | |
| US8191149B2 (en) | System and method for predicting cyber threat | |
| US9118702B2 (en) | System and method for generating and refining cyber threat intelligence data | |
| US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
| Dainotti et al. | Analysis of country-wide internet outages caused by censorship | |
| US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
| Caglayan et al. | Real-time detection of fast flux service networks | |
| JP5066544B2 (ja) | インシデント監視装置,方法,プログラム | |
| US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
| CN108833397A (zh) | 一种基于网络安全的大数据安全分析平台系统 | |
| JP2008193538A (ja) | ネットワークへの攻撃監視装置および攻撃証跡管理装置 | |
| US20080141332A1 (en) | System, method and program product for identifying network-attack profiles and blocking network intrusions | |
| US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
| Nicholson et al. | A taxonomy of technical attribution techniques for cyber attacks | |
| CN112511517A (zh) | 一种邮件检测方法、装置、设备及介质 | |
| JP2005202664A (ja) | 不正アクセス統合対応システム | |
| CA2747584C (en) | System and method for generating and refining cyber threat intelligence data | |
| CN108965350B (zh) | 一种邮件审计方法、装置和计算机可读存储介质 | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| JP2006295232A (ja) | セキュリティ監視装置、セキュリティ監視方法、及びプログラム | |
| Anbar et al. | Statistical cross-relation approach for detecting TCP and UDP random and sequential network scanning (SCANS) | |
| JP4235907B2 (ja) | ワーム伝播監視システム | |
| Bou-Harb et al. | On detecting and clustering distributed cyber scanning | |
| Petersen et al. | An ideal internet early warning system | |
| Kim et al. | A method for risk measurement of botnet's malicious activities |