JP2011002916A - 感染活動検知装置、感染活動検知方法、及びプログラム - Google Patents
感染活動検知装置、感染活動検知方法、及びプログラム Download PDFInfo
- Publication number
- JP2011002916A JP2011002916A JP2009143889A JP2009143889A JP2011002916A JP 2011002916 A JP2011002916 A JP 2011002916A JP 2009143889 A JP2009143889 A JP 2009143889A JP 2009143889 A JP2009143889 A JP 2009143889A JP 2011002916 A JP2011002916 A JP 2011002916A
- Authority
- JP
- Japan
- Prior art keywords
- address
- access
- addresses
- log
- log data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】ある機器が自己感染型悪性プログラムに感染したことの検知の確実性を高める。
【解決手段】監視装置30において、通信制御部31がIDS20からログデータを受信してログ記憶部32に記憶し、ログ抽出部33がログ記憶部32から所定時間内のログデータを抽出し、ログ分割部34がログデータを発信元IPアドレスごとに分割し、ログ解析部35が、分割後のログデータを解析し、宛先IPアドレスの数が閾値を超えており、宛先IPアドレスがネットブロック定義記憶部36に定義された複数のネットブロックに跨っており、宛先IPアドレスのネットブロックごとの数が閾値を超えていれば、その分割後のログデータに対応する発信元IPアドレスを有するクライアントが自己感染型悪性プログラムに感染している旨の解析結果を解析結果記憶部37に記憶し、表示制御部38が、その解析結果を表示する。
【選択図】図2
【解決手段】監視装置30において、通信制御部31がIDS20からログデータを受信してログ記憶部32に記憶し、ログ抽出部33がログ記憶部32から所定時間内のログデータを抽出し、ログ分割部34がログデータを発信元IPアドレスごとに分割し、ログ解析部35が、分割後のログデータを解析し、宛先IPアドレスの数が閾値を超えており、宛先IPアドレスがネットブロック定義記憶部36に定義された複数のネットブロックに跨っており、宛先IPアドレスのネットブロックごとの数が閾値を超えていれば、その分割後のログデータに対応する発信元IPアドレスを有するクライアントが自己感染型悪性プログラムに感染している旨の解析結果を解析結果記憶部37に記憶し、表示制御部38が、その解析結果を表示する。
【選択図】図2
Description
本発明は、自己感染型悪性プログラムによる感染活動を検知する感染活動検知装置、感染活動検知方法、及びプログラムに関する。
インターネットの普及に伴い、ネットワークを介した悪性プログラムによる被害が多く報告されている。ここで、悪性プログラムは、「マルウェア」とも呼ばれ、ユーザにとって好ましくない動作を行う悪意を持つプログラムのことである。例えば、コンピュータに侵入して破壊活動を行ったり、他のコンピュータへの感染活動を行ったり、情報を外部に漏洩させたりするプログラムがこれに該当し、ワームはその一例である。
また、近年、ボットと呼ばれる悪性プログラムによる被害も急増している。ボットも、ワームと同様にネットワークを介して自己増殖を行う自己感染型悪性プログラムであるが、外部から制御可能である点がワームとは異なる。ワームは、プログラムされた通り動作するオートマンである。これに対して、ボットは脆弱なコンピュータに感染した後、C&C(コマンド&コントロール)サーバと呼ばれる制御用サーバに接続し、ボットの管理者(bot herder)からの指示を待ち受ける。この結果、ボットの自己増殖に伴い、C&Cサーバを中心とするボット感染コンピュータのネットワーク、即ちボットネットが形成されることとなり、ボット管理者はC&Cサーバに対して命令を送信することでボットネットに接続された数千から数万のボットを同時に制御することが可能となっている。
ここで、公報記載の技術として、ワームの侵入をイベントと捉え、ネットワーク全体で起こっているイベントを検出する技術がある(例えば、特許文献1参照)。この特許文献1では、解析端末が、監視対象の特徴量を監視し、特徴量の変化が検出されると、管理端末に特徴量の変化が検出されたことを通知し、管理端末は、特徴量の変化を通知してきた解析端末の数を集計し、集計値によってイベントが発生したかを判断している。
しかしながら、特許文献1では、添付ファイル通数の変化を通知した解析端末の数に基づいて、ワームの侵入がネットワーク全体で起こっていることを検出しているに過ぎず、ある機器がワームに感染したことを検知する手法は提示されていない。
このように、従来、ある機器がワームに感染したことをある程度の確実性をもって検知することはできないという問題点があった。また、同様の問題点は、ボット等、自己感染型悪性プログラム一般について指摘することができる。
このように、従来、ある機器がワームに感染したことをある程度の確実性をもって検知することはできないという問題点があった。また、同様の問題点は、ボット等、自己感染型悪性プログラム一般について指摘することができる。
本発明の目的は、ある機器が自己感染型悪性プログラムに感染したことの検知の確実性を高めることにある。
かかる目的のもと、本発明は、自己感染型悪性プログラムによる感染活動を検知する感染活動検知装置であって、複数の通信機器による監視の対象であるIPアドレスへのアクセスに関するアクセス情報を含むログデータを、複数の通信機器から受信する受信手段と、受信手段により受信したログデータを記憶する記憶手段と、記憶手段に記憶されたログデータから、所定期間内の特定の機器からのアクセスに関する特定のアクセス情報を抽出する抽出手段と、抽出手段により抽出された特定のアクセス情報におけるアクセスの宛先として指定されたIPアドレスの数が予め定めた閾値を超えており、指定されたIPアドレスが予め定めた複数のIPアドレスのグループのうちの少なくとも2つのグループに跨っていることを1つの条件として、特定の機器が自己感染型悪性プログラムに感染した可能性があることを示す情報を出力する出力手段とを備えた感染活動検知装置を提供する。
また、この装置において、出力手段は、抽出手段により抽出された特定のアクセス情報におけるアクセスの宛先として指定されたIPアドレスのうち、少なくとも2つのグループの各グループに含まれるIPアドレスの数が、各グループについて予め定めた閾値を超えていることを更に1つの条件として、特定の機器が自己感染型悪性プログラムに感染した可能性があることを示す情報を出力する、ものであってよい。
更に、抽出手段は、記憶手段に記憶されたログデータから、所定期間内の特定の機器以外の他の機器からのアクセスに関する他のアクセス情報を抽出し、出力手段は、抽出手段により抽出された他のアクセス情報におけるアクセスの宛先として指定されたIPアドレスの数が予め定めた閾値を超えており、指定されたIPアドレスが予め定めた複数のIPアドレスのグループのうちの少なくとも2つのグループに跨っており、特定の機器からのアクセスによる攻撃内容と他の機器からのアクセスによる攻撃内容との類似度が予め定めた基準を超えていることを1つの条件として、複数の機器が自己感染型悪性プログラムに感染した可能性があることを示す情報を出力する、ものであってよい。
更にまた、出力手段は、抽出手段により抽出された特定のアクセス情報におけるアクセスの宛先として指定されたIPアドレスの数が予め定めた閾値未満であることを1つの条件として、特定の機器を用いて人的攻撃が行われている可能性があることを示す情報を出力する、ものであってよい。
また、本発明は、自己感染型悪性プログラムによる感染活動を検知する感染活動検知方法であって、複数の通信機器による監視の対象であるIPアドレスへのアクセスに関するアクセス情報を含むログデータを、複数の通信機器から受信するステップと、受信したログデータを記憶手段に記憶するステップと、記憶手段に記憶されたログデータから、所定期間内の特定の機器からのアクセスに関する特定のアクセス情報を抽出するステップと、抽出された特定のアクセス情報におけるアクセスの宛先として指定されたIPアドレスの数が予め定めた閾値を超えており、指定されたIPアドレスが予め定めた複数のIPアドレスのグループのうちの少なくとも2つのグループに跨っていることを1つの条件として、特定の機器が自己感染型悪性プログラムに感染した可能性があることを示す情報を出力するステップとを含む感染活動検知方法も提供する。
更に、本発明は、自己感染型悪性プログラムによる感染活動を検知するコンピュータに、複数の通信機器による監視の対象であるIPアドレスへのアクセスに関するアクセス情報を含むログデータを、複数の通信機器から受信する機能と、受信したログデータを記憶手段に記憶する機能と、記憶手段に記憶されたログデータから、所定期間内の特定の機器からのアクセスに関する特定のアクセス情報を抽出する機能と、抽出された特定のアクセス情報におけるアクセスの宛先として指定されたIPアドレスの数が予め定めた閾値を超えており、指定されたIPアドレスが予め定めた複数のIPアドレスのグループのうちの少なくとも2つのグループに跨っていることを1つの条件として、特定の機器が自己感染型悪性プログラムに感染した可能性があることを示す情報を出力する機能とを実現させるためのプログラムも提供する。
本発明によれば、ある機器が自己感染型悪性プログラムに感染したことの検知の確実性を高めることができる。
以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。
まず、本実施の形態が適用されるコンピュータシステムについて説明する。
図1は、このようなコンピュータシステムの全体構成例を示した図である。
図示するように、このコンピュータシステムは、クライアント10a,10bと、IDS(Intrusion Detection System)20a,20bと、監視装置30とが、ネットワーク80を介して接続されている。
まず、本実施の形態が適用されるコンピュータシステムについて説明する。
図1は、このようなコンピュータシステムの全体構成例を示した図である。
図示するように、このコンピュータシステムは、クライアント10a,10bと、IDS(Intrusion Detection System)20a,20bと、監視装置30とが、ネットワーク80を介して接続されている。
クライアント10a,10bは、ユーザが使用するコンピュータである。例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。本実施の形態では、クライアント10a,10bを、自己感染型悪性プログラムに感染する可能性のある特定の機器、他の機器の一例として設けている。ここで、自己感染型悪性プログラムには、ワーム、ボット等があるが、以下では、ボットを例にとり説明する。尚、図では、クライアント10a,10bを示したが、これらを区別する必要がない場合は、クライアント10と称することもある。また、図には、2台のクライアント10しか示していないが、3台以上のクライアント10を設けてもよい。
IDS20a,20bは、ネットワーク80から送られるパケットを監視することにより、防御対象のサーバ等(図示せず)への侵入を検知すると共に、通信の履歴であるログデータを記録する装置であり、通信機器の一例である。特に、本実施の形態では、このログデータを任意のタイミングで監視装置30へ送信する機能を備える。尚、図では、IDS20a,20bを示したが、これらを区別する必要がない場合は、IDS20と称することもある。また、図には、2台のIDS20しか示していないが、3台以上のIDS20を設けてもよい。
監視装置30は、このコンピュータシステムの管理者又はこのコンピュータシステム内でのボットの検知サービスを提供する業者が使用するコンピュータである。例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。この監視装置30は、IDS20a,20bからログデータを収集して記憶し、このログデータを解析することにより、クライアント10a,10bがボットに感染した可能性があるか(クライアント10a,10bがボット化した可能性があるか)を検知する装置であり、感染活動検知装置の一例である。
ネットワーク80は、情報の送受信に用いる通信回線である。このネットワーク80としては、インターネットやLAN(Local Area Network)が例示される。
ネットワーク80は、情報の送受信に用いる通信回線である。このネットワーク80としては、インターネットやLAN(Local Area Network)が例示される。
このように、本実施の形態では、監視装置30が、IDS20から収集したログデータに基づいて、クライアント10がボット化した可能性があるか検証する。
そこで、まず、この監視装置30の機能構成について説明する。
図2は、監視装置30の機能構成例を示したブロック図である。
図示するように、監視装置30は、通信制御部31と、ログ記憶部32と、ログ抽出部33と、ログ分割部34と、ログ解析部35と、ネットブロック定義記憶部36と、解析結果記憶部37と、表示制御部38とを備えている。
そこで、まず、この監視装置30の機能構成について説明する。
図2は、監視装置30の機能構成例を示したブロック図である。
図示するように、監視装置30は、通信制御部31と、ログ記憶部32と、ログ抽出部33と、ログ分割部34と、ログ解析部35と、ネットブロック定義記憶部36と、解析結果記憶部37と、表示制御部38とを備えている。
通信制御部31は、他の装置との通信を制御する。特に、本実施の形態では、IDS20からのログデータの受信を制御する。本実施の形態では、ログデータを受信する受信手段の一例として、通信制御部31を設けている。
ログ記憶部32は、通信制御部31が受信したログデータを記憶する。ここで、ログデータは、ある発信元からある宛先への1回のアクセスに関する情報であるログレコードを、アクセスの回数だけ含むデータである。各ログレコードには、少なくとも、アクセスが行われた時刻、発信元のIPアドレス(発信元IPアドレス)、宛先のIPアドレス(宛先IPアドレス)、アクセスによる攻撃の特徴を示す攻撃情報を含む。本実施の形態では、アクセス情報の一例として、ログレコードを用いており、ログデータを記憶する記憶手段の一例として、ログ記憶部32を設けている。
ログ記憶部32は、通信制御部31が受信したログデータを記憶する。ここで、ログデータは、ある発信元からある宛先への1回のアクセスに関する情報であるログレコードを、アクセスの回数だけ含むデータである。各ログレコードには、少なくとも、アクセスが行われた時刻、発信元のIPアドレス(発信元IPアドレス)、宛先のIPアドレス(宛先IPアドレス)、アクセスによる攻撃の特徴を示す攻撃情報を含む。本実施の形態では、アクセス情報の一例として、ログレコードを用いており、ログデータを記憶する記憶手段の一例として、ログ記憶部32を設けている。
ログ抽出部33は、ログ記憶部32に記憶されたログデータから、所定時間内のアクセスに関するログレコードからなるログデータを抽出する。ログ分割部34は、ログ抽出部33が抽出したログデータを発信元IPアドレスごとに分割し、分割されたログデータ(以下、「分割データ」という)を取得する。本実施の形態では、所定期間内の特定の機器からのアクセスに関する特定のアクセス情報の一例として、分割データを用いており、特定のアクセス情報を抽出する抽出手段の一例として、ログ抽出部33及びログ分割部34を設けている。
ログ解析部35は、各分割データを解析し、各分割データに対応する発信元IPアドレスを有するクライアント10がボット化した可能性があるかどうかを調べる。本実施の形態では、特定の機器が自己感染型悪性プログラムに感染した可能性があることを示す情報を出力する出力手段の一例として、ログ解析部35を設けている。
ネットブロック定義記憶部36は、ネットブロックの定義情報を記憶する。ここで、ネットブロックとは、複数のIPアドレスのグループを予め1つのブロックとして定義したものである。ネットブロックの定義情報は、例えば、ネットブロックを一意に識別するための情報(以下、「ネットブロックID」という)とIPアドレスの範囲とを対応付けることで管理すればよい。
解析結果記憶部37は、各発信元IPアドレスを有するクライアント10がボット化した可能性があるかどうか、その可能性はどの程度であるか、といった解析結果を記憶する。
表示制御部38は、解析結果記憶部37に記憶された解析結果の表示を制御する。
ネットブロック定義記憶部36は、ネットブロックの定義情報を記憶する。ここで、ネットブロックとは、複数のIPアドレスのグループを予め1つのブロックとして定義したものである。ネットブロックの定義情報は、例えば、ネットブロックを一意に識別するための情報(以下、「ネットブロックID」という)とIPアドレスの範囲とを対応付けることで管理すればよい。
解析結果記憶部37は、各発信元IPアドレスを有するクライアント10がボット化した可能性があるかどうか、その可能性はどの程度であるか、といった解析結果を記憶する。
表示制御部38は、解析結果記憶部37に記憶された解析結果の表示を制御する。
尚、これらの各機能は、ソフトウェアとハードウェア資源とが協働することにより実現される。具体的には、CPU90a(図8参照)が、通信制御部31、ログ抽出部33、ログ分割部34、ログ解析部35、表示制御部38の各機能を実現するプログラムを、例えば磁気ディスク装置90g(図8参照)からメインメモリ90c(図8参照)に読み込んで処理を行う。また、ログ記憶部32、ネットブロック定義記憶部36、解析結果記憶部37は、例えば磁気ディスク装置90g(図8参照)によって実現される。
ここで、ログ記憶部32に記憶されるログデータについて具体的に説明する。
図3は、ログデータの一例を示した図である。
図示するように、ログデータは、時刻と、発信元IPアドレスと、宛先IPアドレスと、攻撃情報とを対応付けたものとなっている。既に述べた通り、時刻は、アクセスが行われた時刻であり、発信元IPアドレスは、アクセスの発信元のIPアドレスであり、宛先IPアドレスは、アクセスの宛先のIPアドレスである。また、攻撃情報は、アクセスによる攻撃の特徴を示す情報である。この攻撃の特徴としては、どのセキュリティホールを悪用した攻撃であるか、といった情報が例示される。但し、図では、一般化して、「exploit1」、「exploit2」といった記号で示している。
図3は、ログデータの一例を示した図である。
図示するように、ログデータは、時刻と、発信元IPアドレスと、宛先IPアドレスと、攻撃情報とを対応付けたものとなっている。既に述べた通り、時刻は、アクセスが行われた時刻であり、発信元IPアドレスは、アクセスの発信元のIPアドレスであり、宛先IPアドレスは、アクセスの宛先のIPアドレスである。また、攻撃情報は、アクセスによる攻撃の特徴を示す情報である。この攻撃の特徴としては、どのセキュリティホールを悪用した攻撃であるか、といった情報が例示される。但し、図では、一般化して、「exploit1」、「exploit2」といった記号で示している。
尚、監視装置30は、1時間よりも遥かに長い時間のログデータを記憶するのが通常であるが、ここでは、図面作成の都合上、10時から11時までのログデータのみを示している。即ち、図において、省略記号を示した先頭行は10時よりも前のログデータを省略していることを意味するものとし、11時以降のログデータは存在していないものとする。
また、図には、ログレコードとして、丁度2分間隔のアクセスに関するものが示され、発信元IPアドレスとして、「2.2.2.2」、「3.3.3.3」、「4.4.4.4」、「5.5.5.5」の4つのみが示されているが、これは説明を簡略化するための例に過ぎない。実際のシステムでIDS20から収集されるログデータの場合、アクセスの間隔はもっとランダムであり、発信元IPアドレスとしてもより多くのIPアドレスを含むものとなる。
また、図には、ログレコードとして、丁度2分間隔のアクセスに関するものが示され、発信元IPアドレスとして、「2.2.2.2」、「3.3.3.3」、「4.4.4.4」、「5.5.5.5」の4つのみが示されているが、これは説明を簡略化するための例に過ぎない。実際のシステムでIDS20から収集されるログデータの場合、アクセスの間隔はもっとランダムであり、発信元IPアドレスとしてもより多くのIPアドレスを含むものとなる。
また、ネットブロック定義記憶部36に記憶されるネットブロック定義について具体的に説明する。
図4は、ネットブロック定義の一例を示した図である。
図示するように、ネットブロック定義は、ネットブロックIDと、IPアドレス範囲とを対応付けたものとなっている。ここでは、IPアドレス「1.2.3.1」からIPアドレス「1.2.3.10」までがネットブロックID「A」で特定されるネットブロックであり、IPアドレス「1.2.3.11」からIPアドレス「1.2.3.20」までがネットブロックID「B」で特定されるネットブロックであることが示されている。
尚、このネットブロック定義は、監視装置30のユーザが適宜設定できるようにするとよい。また、この例では、IPアドレス範囲として、連続したIPアドレスを設定しているが、これには限らない。現実社会において互いに関連する組織のサーバのIPアドレスを、IPアドレスが連続するかどうかに関わらず、1つのネットブロックとして定義してもよい。
図4は、ネットブロック定義の一例を示した図である。
図示するように、ネットブロック定義は、ネットブロックIDと、IPアドレス範囲とを対応付けたものとなっている。ここでは、IPアドレス「1.2.3.1」からIPアドレス「1.2.3.10」までがネットブロックID「A」で特定されるネットブロックであり、IPアドレス「1.2.3.11」からIPアドレス「1.2.3.20」までがネットブロックID「B」で特定されるネットブロックであることが示されている。
尚、このネットブロック定義は、監視装置30のユーザが適宜設定できるようにするとよい。また、この例では、IPアドレス範囲として、連続したIPアドレスを設定しているが、これには限らない。現実社会において互いに関連する組織のサーバのIPアドレスを、IPアドレスが連続するかどうかに関わらず、1つのネットブロックとして定義してもよい。
次に、本実施の形態における監視装置30の動作について説明する。
監視装置30では、まず、通信制御部31が、複数のIDS20からログデータを受信し、ログ記憶部32に記憶しておく。ここで、通信制御部31が、ログデータを受信するタイミングはIDS20に依存するものとしてよい。即ち、IDS20が、定期的にログデータを監視装置30に送信し、監視装置30は、ログデータが送信されるとそれを受信するようにするとよい。
このように、ログ記憶部32にログデータが記憶されると、ログ抽出部33、ログ分割部34、ログ解析部35によるログデータの解析処理が行われる。
監視装置30では、まず、通信制御部31が、複数のIDS20からログデータを受信し、ログ記憶部32に記憶しておく。ここで、通信制御部31が、ログデータを受信するタイミングはIDS20に依存するものとしてよい。即ち、IDS20が、定期的にログデータを監視装置30に送信し、監視装置30は、ログデータが送信されるとそれを受信するようにするとよい。
このように、ログ記憶部32にログデータが記憶されると、ログ抽出部33、ログ分割部34、ログ解析部35によるログデータの解析処理が行われる。
図5は、このときのログ抽出部33、ログ分割部34、ログ解析部35の動作例を示したフローチャートである。
この解析処理が開始すると、まず、ログ抽出部33は、ログ記憶部32に記憶されたログデータから所定時間内のログデータを抽出する(ステップ301)。
次に、ログ分割部34は、ステップ301で抽出したログデータを、発信元IPアドレスごとに分割して、分割データを生成する(ステップ302)。
この解析処理が開始すると、まず、ログ抽出部33は、ログ記憶部32に記憶されたログデータから所定時間内のログデータを抽出する(ステップ301)。
次に、ログ分割部34は、ステップ301で抽出したログデータを、発信元IPアドレスごとに分割して、分割データを生成する(ステップ302)。
その後、ステップ302で生成した複数の分割データごとに、その分割データに対応する発信元IPアドレスを有するクライアント10がボット化した可能性があるかどうかを検証する。
即ち、ログ解析部35は、ログ分割部34がログデータを分割することで生成された複数の分割データのうちの1つに着目する(ステップ303)。
そして、その現在着目している分割データ(以下、「着目分割データ」という)に宛先IPアドレスとして含まれるIPアドレスの数CntDstAllを求める(ステップ304)。この場合、IPアドレスの数としてはユニークなIPアドレスの数を採用すればよい。つまり、1つの宛先IPアドレスに対して複数回のアクセスがあったとしても、その宛先IPアドレスは1つとして数えればよい。
即ち、ログ解析部35は、ログ分割部34がログデータを分割することで生成された複数の分割データのうちの1つに着目する(ステップ303)。
そして、その現在着目している分割データ(以下、「着目分割データ」という)に宛先IPアドレスとして含まれるIPアドレスの数CntDstAllを求める(ステップ304)。この場合、IPアドレスの数としてはユニークなIPアドレスの数を採用すればよい。つまり、1つの宛先IPアドレスに対して複数回のアクセスがあったとしても、その宛先IPアドレスは1つとして数えればよい。
次に、ログ解析部35は、宛先IPアドレスの数CntDstAllが閾値Th1を超えているかどうかを判定する(ステップ305)。このCntDstAllがTh1を超えているという条件が、着目分割データに対応する発信元IPアドレス(以下、「着目IPアドレス」という)を有するクライアント10がボット化した可能性があると判断するための第1の条件である。ここで、閾値Th1としては、クライアント10がボット化した場合に、ステップ301で用いた所定時間内にアクセスされる虞のあるIPアドレスの数の下限を予め設定しておけばよい。
ステップ305においてCntDstAllがTh1を超えていると判定されれば、ログ解析部35は、ネットブロック定義記憶部36を参照して、着目分割データ内の各宛先IPアドレスに対してネットブロックID(図では「NbId」と表記)を付加する(ステップ306)。
ステップ305においてCntDstAllがTh1を超えていると判定されれば、ログ解析部35は、ネットブロック定義記憶部36を参照して、着目分割データ内の各宛先IPアドレスに対してネットブロックID(図では「NbId」と表記)を付加する(ステップ306)。
そして、ネットブロックIDが付加された結果、着目分割データ内に複数のネットブロックIDが存在するようになったかどうか、つまり、着目分割データ内の宛先IPアドレスが複数のネットブロックに跨っているかどうかを判定する(ステップ307)。この宛先IPアドレスが複数のネットブロックに跨っているという条件が、着目IPアドレスを有するクライアント10がボット化した可能性があると判断するための第2の条件である。
ここで、宛先IPアドレスが複数のネットブロックに跨っていると判定されれば、ログ解析部35は、全てのネットブロックについて、宛先IPアドレスの数CntDstNb(n)が閾値Th2を超えているかどうかを判定する(ステップ308)。このCntDstNb(n)がTh2を超えているという条件が、着目IPアドレスを有するクライアント10がボット化した可能性があると判断するための第3の条件である(nは1からネットブロックの数までの全ての自然数を示す)。ここで、閾値Th2としては、クライアント10がボット化した場合に、ステップ301で用いた所定時間内に1つのネットブロック内でアクセスされる虞のあるIPアドレスの数の下限をネットブロックごとに予め設定しておけばよい。
ここで、宛先IPアドレスが複数のネットブロックに跨っていると判定されれば、ログ解析部35は、全てのネットブロックについて、宛先IPアドレスの数CntDstNb(n)が閾値Th2を超えているかどうかを判定する(ステップ308)。このCntDstNb(n)がTh2を超えているという条件が、着目IPアドレスを有するクライアント10がボット化した可能性があると判断するための第3の条件である(nは1からネットブロックの数までの全ての自然数を示す)。ここで、閾値Th2としては、クライアント10がボット化した場合に、ステップ301で用いた所定時間内に1つのネットブロック内でアクセスされる虞のあるIPアドレスの数の下限をネットブロックごとに予め設定しておけばよい。
ステップ308においてCntDstNb(n)がTh2を超えていると判定されれば、ログ解析部35は、着目IPアドレスを有するクライアント10がボット化した可能性がある旨の解析結果を解析結果記憶部37に記憶する処理を行う。尚、このとき、本実施の形態では、1つのクライアント10がボット化した程度の状況なのか、複数のクライアント10がボット化するようなボットが蔓延した状況なのかの情報も記憶する。
即ち、ログ解析部35は、まず、着目分割データ内の攻撃情報と類似する攻撃情報が、着目IPアドレス以外のIPアドレスを有するクライアント10が感染したボットから既に発見されているかどうかを判定する(ステップ309)。この場合の攻撃情報が類似するかどうかの判定は、例えば、次のように行えばよい。まず、着目分割データ内の攻撃の種類ごとの出現頻度と、着目IPアドレス以外のIPアドレスに対応する分割データ内の攻撃の種類ごとの出現頻度とを求める。次に、各分割データ内の攻撃の種類の中から、出現頻度が全体の所定割合以上を占めるものを選択し、これらの攻撃の種類ごとの出現頻度の差分を攻撃内容の類似度として求める。そして、この差分が予め定めた閾値を下回っていれば、つまり、類似度が予め定めた基準を超えていれば、攻撃内容は類似すると判断する。
そして、着目分割データ内の攻撃情報と類似する攻撃情報がまだ発見されていなければ、ログ解析部35は、解析結果記憶部37に対し、着目IPアドレスとボットフラグとボットスコアと攻撃情報とを記憶する(ステップ310)。ここで、着目IPアドレスは、既述の通り、着目分割データに対応する発信元IPアドレスであり、ボットフラグは、着目IPアドレスを有するクライアント10がボット化した可能性があることを示すフラグであり、ボットスコアは、その可能性がどの程度あるかを示すスコアである。また、攻撃情報は、着目分割データ内に含まれていた攻撃情報である。
また、着目分割データ内の攻撃情報と類似する攻撃情報が既に発見されていれば、ログ解析部35は、解析結果記憶部37に記憶されたその類似する攻撃情報に対応する全てのボットスコアをより高いボットスコアに変更すると共に、発信元IPアドレスとボットフラグとその変更後のボットスコアと攻撃情報とを記憶する(ステップ311)。
一方、ステップ305においてCntDstAllがTh1を超えていないと判定されれば、ログ解析部35は、宛先IPアドレスの数CntDstAllが閾値Th3未満であるかどうかを判定する(ステップ312)。
ここで、CntDstAllがTh3未満であると判定されれば、ログ解析部35は、着目IPアドレスを有するクライアント10から人的な攻撃(人手による攻撃)がなされていると判断し、解析結果記憶部37に対し、着目IPアドレスと人的攻撃フラグとを記憶する(ステップ313)。ここで、人的攻撃フラグは、着目IPアドレスを有するクライアント10を用いて人的な攻撃が行われている可能性があることを示すフラグである。
ここで、CntDstAllがTh3未満であると判定されれば、ログ解析部35は、着目IPアドレスを有するクライアント10から人的な攻撃(人手による攻撃)がなされていると判断し、解析結果記憶部37に対し、着目IPアドレスと人的攻撃フラグとを記憶する(ステップ313)。ここで、人的攻撃フラグは、着目IPアドレスを有するクライアント10を用いて人的な攻撃が行われている可能性があることを示すフラグである。
尚、ステップ307で宛先IPアドレスが複数のネットブロックに跨っていないと判定された場合、ステップ308で何れかのnについてCntDstNb(n)がTh2以下であると判定された場合、ステップ312でCntDstAllがTh3以上であると判定された場合、ログ解析部35は、着目IPアドレスを有するクライアント10がボット化したとも、そのクライアント10を用いて人的な攻撃がなされているとも判断できないので、解析結果記憶部37に対して情報を出力せずにステップ314へ進む。
これにより、ログ解析部35は、未処理の分割データが他にあるかどうか判定する(ステップ314)。そして、未処理の分割データがあれば、その分割データを着目分割データとしてステップ303〜313の処理を行う。また、未処理の分割データがなければ、処理を終了する。
これにより、ログ解析部35は、未処理の分割データが他にあるかどうか判定する(ステップ314)。そして、未処理の分割データがあれば、その分割データを着目分割データとしてステップ303〜313の処理を行う。また、未処理の分割データがなければ、処理を終了する。
このようにして処理が終了すると、解析結果記憶部37には、ログ解析部35による解析結果が記憶されている。
そこで、最後に、表示制御部38が、解析結果記憶部37に記憶された解析結果が表示されるよう、表示機構90d(図8参照)を制御する。
そこで、最後に、表示制御部38が、解析結果記憶部37に記憶された解析結果が表示されるよう、表示機構90d(図8参照)を制御する。
以下、図5に示した動作例について、図3のログデータ及び図4のネットブロック定義を用いて、具体的に説明する。
まず、ステップ301で、所定時間を、現在時刻から遡って1時間であるとすると、ログ抽出部33は、10時2分のログレコードから10時58分のログレコードまでを、図3のログデータから抽出する。
次に、この例ではログデータに4つの発信元IPアドレスが含まれるので、ステップ302で、ログ分割部34は、4つの分割データを生成する。
まず、ステップ301で、所定時間を、現在時刻から遡って1時間であるとすると、ログ抽出部33は、10時2分のログレコードから10時58分のログレコードまでを、図3のログデータから抽出する。
次に、この例ではログデータに4つの発信元IPアドレスが含まれるので、ステップ302で、ログ分割部34は、4つの分割データを生成する。
図6−1及び図6−2に、このとき生成される分割データについて示す。
このうち、図6−1(a)は、発信元IPアドレス「2.2.2.2」に対応する分割データであり、同(b)は、発信元IPアドレス「3.3.3.3」に対応する分割データであり、図6−2(c)は、発信元IPアドレス「4.4.4.4」に対応する分割データであり、同(d)は、発信元IPアドレス「5.5.5.5」に対応する分割データである。
但し、図6−1(a),(b)、図6−2(c)に示したネットブロックIDは、後述するステップ306で設定されるものであるので、この時点では設定されていないものとする。
このうち、図6−1(a)は、発信元IPアドレス「2.2.2.2」に対応する分割データであり、同(b)は、発信元IPアドレス「3.3.3.3」に対応する分割データであり、図6−2(c)は、発信元IPアドレス「4.4.4.4」に対応する分割データであり、同(d)は、発信元IPアドレス「5.5.5.5」に対応する分割データである。
但し、図6−1(a),(b)、図6−2(c)に示したネットブロックIDは、後述するステップ306で設定されるものであるので、この時点では設定されていないものとする。
その後、ステップ303〜313では、これら4つの分割データごとにボット化の検証を行うが、ここでは、発信元IPアドレス「2.2.2.2」に対応する分割データ、発信元IPアドレス「3.3.3.3」に対応する分割データ、発信元IPアドレス「4.4.4.4」に対応する分割データ、発信元IPアドレス「5.5.5.5」に対応する分割データの順に検証を行うものとする。尚、この検証において用いる閾値は、Th1を「6」、Th2を「3」、Th3を「3」とする。
まず、ステップ303で発信元IPアドレス「2.2.2.2」に対応する分割データに着目した場合について述べる。
この場合は、ステップ304で、CntDstAllに「10」が設定され、これは「6」よりも大きいので、ステップ305で、CntDstAllがTh1よりも大きいと判定される。従って、ステップ306へ進み、図6−1(a)に示すように、IPアドレス「1.2.3.4」から「1.2.3.8」までにネットブロックID「A」が付加され、IPアドレス「1.2.3.14」から「1.2.3.18」までにネットブロックID「B」が付加される。これにより、ステップ307では、ネットブロックIDが複数存在すると判定される。また、ステップ308で、ネットブロックID「A」で特定されるネットブロック内の宛先IPアドレスの数CntDstNb(1)、ネットブロックID「B」で特定されるネットブロック内の宛先IPアドレスの数CntDstNb(2)に「5」が設定され、これは「3」よりも大きいので、ステップ308で、CntDstNb(n)がTh2よりも大きいと判定される。
この場合は、ステップ304で、CntDstAllに「10」が設定され、これは「6」よりも大きいので、ステップ305で、CntDstAllがTh1よりも大きいと判定される。従って、ステップ306へ進み、図6−1(a)に示すように、IPアドレス「1.2.3.4」から「1.2.3.8」までにネットブロックID「A」が付加され、IPアドレス「1.2.3.14」から「1.2.3.18」までにネットブロックID「B」が付加される。これにより、ステップ307では、ネットブロックIDが複数存在すると判定される。また、ステップ308で、ネットブロックID「A」で特定されるネットブロック内の宛先IPアドレスの数CntDstNb(1)、ネットブロックID「B」で特定されるネットブロック内の宛先IPアドレスの数CntDstNb(2)に「5」が設定され、これは「3」よりも大きいので、ステップ308で、CntDstNb(n)がTh2よりも大きいと判定される。
このようにして、IPアドレス「2.2.2.2」を有するクライアント10はボット化している可能性があると判定される。
そこで、ログ解析部35は、その旨の情報を解析結果記憶部37に記憶することになるが、解析結果記憶部37に過去の検証に関する情報が何も記憶されていないとすると、ステップ309で、この分割データ内の攻撃情報に類似する攻撃情報はまだ記憶されていないと判定され、ステップ310へ進むことになる。
そこで、ログ解析部35は、その旨の情報を解析結果記憶部37に記憶することになるが、解析結果記憶部37に過去の検証に関する情報が何も記憶されていないとすると、ステップ309で、この分割データ内の攻撃情報に類似する攻撃情報はまだ記憶されていないと判定され、ステップ310へ進むことになる。
図7(a)に、ステップ310で解析結果記憶部37に記憶される解析結果について示す。
図示するように、解析結果は、発信元IPアドレスと、フラグと、ボットスコアと、攻撃情報とを対応付けたものとなっている。ここで、フラグは、発信元IPアドレスを有するクライアント10がボット化した可能性があること、又は、発信元IPアドレスを有するクライアント10を用いて人的な攻撃が行われていることを示すフラグである。前者の場合、フラグにはボットフラグ「bot」が設定され、後者の場合、フラグには人的攻撃フラグ「man」が設定される。また、ボットスコアは、発信元IPアドレスを有するクライアント10がボット化した可能性の程度を表すスコアである。
この図に示されるように、ステップ310では、発信元IPアドレスとして、「2.2.2.2」が記憶され、フラグとして、ボット化した可能性があることを示す「bot」が記憶され、ボットスコアとして、「score1」が記憶される。
図示するように、解析結果は、発信元IPアドレスと、フラグと、ボットスコアと、攻撃情報とを対応付けたものとなっている。ここで、フラグは、発信元IPアドレスを有するクライアント10がボット化した可能性があること、又は、発信元IPアドレスを有するクライアント10を用いて人的な攻撃が行われていることを示すフラグである。前者の場合、フラグにはボットフラグ「bot」が設定され、後者の場合、フラグには人的攻撃フラグ「man」が設定される。また、ボットスコアは、発信元IPアドレスを有するクライアント10がボット化した可能性の程度を表すスコアである。
この図に示されるように、ステップ310では、発信元IPアドレスとして、「2.2.2.2」が記憶され、フラグとして、ボット化した可能性があることを示す「bot」が記憶され、ボットスコアとして、「score1」が記憶される。
次に、ステップ303で発信元IPアドレス「3.3.3.3」に対応する分割データに着目した場合について述べる。
この場合は、ステップ304で、CntDstAllに「10」が設定され、これは「6」よりも大きいので、ステップ305で、CntDstAllがTh1よりも大きいと判定される。従って、ステップ306へ進み、図6−1(b)に示すように、IPアドレス「1.2.3.18」から「1.2.3.14」までにネットブロックID「B」が付加され、IPアドレス「1.2.3.8」から「1.2.3.4」までにネットブロックID「A」が付加される。これにより、ステップ307では、ネットブロックIDが複数存在すると判定される。また、ステップ308で、ネットブロックID「A」で特定されるネットブロック内の宛先IPアドレスの数CntDstNb(1)、ネットブロックID「B」で特定されるネットブロック内の宛先IPアドレスの数CntDstNb(2)に「5」が設定され、これは「3」よりも大きいので、ステップ308で、CntDstNb(n)がTh2よりも大きいと判定される。
この場合は、ステップ304で、CntDstAllに「10」が設定され、これは「6」よりも大きいので、ステップ305で、CntDstAllがTh1よりも大きいと判定される。従って、ステップ306へ進み、図6−1(b)に示すように、IPアドレス「1.2.3.18」から「1.2.3.14」までにネットブロックID「B」が付加され、IPアドレス「1.2.3.8」から「1.2.3.4」までにネットブロックID「A」が付加される。これにより、ステップ307では、ネットブロックIDが複数存在すると判定される。また、ステップ308で、ネットブロックID「A」で特定されるネットブロック内の宛先IPアドレスの数CntDstNb(1)、ネットブロックID「B」で特定されるネットブロック内の宛先IPアドレスの数CntDstNb(2)に「5」が設定され、これは「3」よりも大きいので、ステップ308で、CntDstNb(n)がTh2よりも大きいと判定される。
このようにして、IPアドレス「3.3.3.3」を有するクライアント10はボット化している可能性があると判定される。
そこで、ログ解析部35は、その旨の情報を解析結果記憶部37に記憶することになるが、解析結果記憶部37にはIPアドレス「2.2.2.2」に対応する分割データ内の攻撃情報が記憶されているので、これをIPアドレス「3.3.3.3」に対応する分割データ内の攻撃情報と比較する。この場合、攻撃情報は共に「exploit1」であるので、ステップ309で、この分割データ内の攻撃情報に類似する攻撃情報が既に記憶されていると判定され、ステップ311へ進むことになる。
そこで、ログ解析部35は、その旨の情報を解析結果記憶部37に記憶することになるが、解析結果記憶部37にはIPアドレス「2.2.2.2」に対応する分割データ内の攻撃情報が記憶されているので、これをIPアドレス「3.3.3.3」に対応する分割データ内の攻撃情報と比較する。この場合、攻撃情報は共に「exploit1」であるので、ステップ309で、この分割データ内の攻撃情報に類似する攻撃情報が既に記憶されていると判定され、ステップ311へ進むことになる。
図7(b)に、ステップ311で解析結果記憶部37に記憶される解析結果について示す。尚、解析結果を構成する各項目については既に述べたので、ここでの説明は省略する。
この図に示されるように、ステップ311では、発信元IPアドレスとして、「3.3.3.3」が記憶され、フラグとして、ボット化した可能性があることを示す「bot」が記憶され、ボットスコアとして、「score2」が記憶される。ここで、「score2」は、「score1」よりも高いスコアであり、ボットが蔓延している可能性があることを示している。即ち、「score1」は、特定の機器が自己感染型悪性プログラムに感染した可能性があることを示す情報の一例であり、「score2」は、複数の機器が自己感染型悪性プログラムに感染した可能性があることを示す情報の一例である。
この図に示されるように、ステップ311では、発信元IPアドレスとして、「3.3.3.3」が記憶され、フラグとして、ボット化した可能性があることを示す「bot」が記憶され、ボットスコアとして、「score2」が記憶される。ここで、「score2」は、「score1」よりも高いスコアであり、ボットが蔓延している可能性があることを示している。即ち、「score1」は、特定の機器が自己感染型悪性プログラムに感染した可能性があることを示す情報の一例であり、「score2」は、複数の機器が自己感染型悪性プログラムに感染した可能性があることを示す情報の一例である。
次いで、ステップ303で発信元IPアドレス「4.4.4.4」に対応する分割データに着目した場合について述べる。
この場合は、ステップ304で、CntDstAllに「7」が設定され、これは「6」よりも大きいので、ステップ305で、CntDstAllがTh1よりも大きいと判定される。従って、ステップ306へ進み、図6−2(c)に示すように、IPアドレス「1.2.3.1」から「1.2.3.5」までにネットブロックID「A」が付加され、IPアドレス「1.2.3.13」、「1.2.3.14」にネットブロックID「B」が付加される。これにより、ステップ307では、ネットブロックIDが複数存在すると判定される。また、ステップ308で、ネットブロックID「A」で特定されるネットブロック内の宛先IPアドレスの数CntDstNb(1)に「5」が設定され、ネットブロックID「B」で特定されるネットブロック内の宛先IPアドレスの数CntDstNb(2)に「2」が設定される。ところが、この場合、前者は「3」よりも大きいものの、後者は「3」よりも大きくないので、ステップ308で、CntDstNb(n)がTh2よりも大きくないと判定される。
この場合は、ステップ304で、CntDstAllに「7」が設定され、これは「6」よりも大きいので、ステップ305で、CntDstAllがTh1よりも大きいと判定される。従って、ステップ306へ進み、図6−2(c)に示すように、IPアドレス「1.2.3.1」から「1.2.3.5」までにネットブロックID「A」が付加され、IPアドレス「1.2.3.13」、「1.2.3.14」にネットブロックID「B」が付加される。これにより、ステップ307では、ネットブロックIDが複数存在すると判定される。また、ステップ308で、ネットブロックID「A」で特定されるネットブロック内の宛先IPアドレスの数CntDstNb(1)に「5」が設定され、ネットブロックID「B」で特定されるネットブロック内の宛先IPアドレスの数CntDstNb(2)に「2」が設定される。ところが、この場合、前者は「3」よりも大きいものの、後者は「3」よりも大きくないので、ステップ308で、CntDstNb(n)がTh2よりも大きくないと判定される。
このようにして、IPアドレス「4.4.4.4」を有するクライアント10はボット化している可能性があまりないと判定される。この場合、ログ解析部35は、解析結果記憶部37に情報を記憶しない。
最後に、ステップ303で発信元IPアドレス「5.5.5.5」に対応する分割データに着目した場合について述べる。
この場合は、ステップ304で、CntDstAllに「2」が設定され、これは「6」よりも小さいので、ステップ305で、CntDstAllがTh1よりも大きくないと判定される。また、CntDstAllの値「2」は「3」よりも小さいので、ステップ312で、CntDstAllがTh3よりも大きくないと判定される。
この場合は、ステップ304で、CntDstAllに「2」が設定され、これは「6」よりも小さいので、ステップ305で、CntDstAllがTh1よりも大きくないと判定される。また、CntDstAllの値「2」は「3」よりも小さいので、ステップ312で、CntDstAllがTh3よりも大きくないと判定される。
このようにして、IPアドレス「5.5.5.5」を有するクライアント10については、これを用いて人的攻撃が行われている可能性があると判定される。
そこで、ログ解析部35は、ステップ313で、その旨の情報を解析結果記憶部37に記憶することになる。
そこで、ログ解析部35は、ステップ313で、その旨の情報を解析結果記憶部37に記憶することになる。
図7(c)に、ステップ313で解析結果記憶部37に記憶される解析結果について示す。尚、解析結果を構成する各項目については既に述べたので、ここでの説明は省略する。
この図に示されるように、ステップ313では、発信元IPアドレスとして、「5.5.5.5」が記憶され、フラグとして、人的攻撃が行われている可能性があることを示す「man」が記憶されている。
この図に示されるように、ステップ313では、発信元IPアドレスとして、「5.5.5.5」が記憶され、フラグとして、人的攻撃が行われている可能性があることを示す「man」が記憶されている。
以上により、本実施の形態の動作は終了する。
尚、本実施の形態において、監視装置30は、IDS20からログデータを収集するものとしたが、これには限らない。例えば、IPS(Intrusion Prevention System)、WAF(Web Application Firewall)、ハニーネット等の通信機器や通信ソフトウェアからログデータを収集するようにしてもよい。
尚、本実施の形態において、監視装置30は、IDS20からログデータを収集するものとしたが、これには限らない。例えば、IPS(Intrusion Prevention System)、WAF(Web Application Firewall)、ハニーネット等の通信機器や通信ソフトウェアからログデータを収集するようにしてもよい。
以上述べたように、本実施の形態では、所定時間内に1つの発信元IPアドレスからアクセスされた宛先IPアドレスの数が閾値を超えているという第1の条件と、その宛先IPアドレスが複数のネットブロックに跨っているという第2の条件と、ネットブロックごとの宛先IPアドレスの数が閾値を超えているという第3の条件とが満たされた場合に、その発信元IPアドレスを有するクライアント10が自己感染型悪性プログラムに感染した可能性があると判断するようにした。これにより、クライアント10が自己感染型悪性プログラムに感染したことを、ある程度の確実性をもって検知することが可能となった。
最後に、本実施の形態を適用するのに好適なコンピュータのハードウェア構成について説明する。図8は、このようなコンピュータのハードウェア構成の一例を示した図である。図示するように、コンピュータは、演算手段であるCPU(Central Processing Unit)90aと、M/B(マザーボード)チップセット90bを介してCPU90aに接続されたメインメモリ90cと、同じくM/Bチップセット90bを介してCPU90aに接続された表示機構90dとを備える。また、M/Bチップセット90bには、ブリッジ回路90eを介して、ネットワークインターフェイス90fと、磁気ディスク装置(HDD)90gと、音声機構90hと、キーボード/マウス90iと、フレキシブルディスクドライブ90jとが接続されている。
尚、図8において、各構成要素は、バスを介して接続される。例えば、CPU90aとM/Bチップセット90bの間や、M/Bチップセット90bとメインメモリ90cの間は、CPUバスを介して接続される。また、M/Bチップセット90bと表示機構90dとの間は、AGP(Accelerated Graphics Port)を介して接続されてもよいが、表示機構90dがPCI Express対応のビデオカードを含む場合、M/Bチップセット90bとこのビデオカードの間は、PCI Express(PCIe)バスを介して接続される。また、ブリッジ回路90eと接続する場合、ネットワークインターフェイス90fについては、例えば、PCI Expressを用いることができる。また、磁気ディスク装置90gについては、例えば、シリアルATA(AT Attachment)、パラレル転送のATA、PCI(Peripheral Components Interconnect)を用いることができる。更に、キーボード/マウス90i、及び、フレキシブルディスクドライブ90jについては、USB(Universal Serial Bus)を用いることができる。
10…クライアント、20…IDS、30…監視装置、31…通信制御部、32…ログ記憶部、33…ログ抽出部、34…ログ分割部、35…ログ解析部、36…ネットブロック定義記憶部、37…解析結果記憶部、38…表示制御部
Claims (6)
- 自己感染型悪性プログラムによる感染活動を検知する感染活動検知装置であって、
複数の通信機器による監視の対象であるIPアドレスへのアクセスに関するアクセス情報を含むログデータを、当該複数の通信機器から受信する受信手段と、
前記受信手段により受信した前記ログデータを記憶する記憶手段と、
前記記憶手段に記憶された前記ログデータから、所定期間内の特定の機器からのアクセスに関する特定のアクセス情報を抽出する抽出手段と、
前記抽出手段により抽出された前記特定のアクセス情報におけるアクセスの宛先として指定されたIPアドレスの数が予め定めた閾値を超えており、当該指定されたIPアドレスが予め定めた複数のIPアドレスのグループのうちの少なくとも2つのグループに跨っていることを1つの条件として、前記特定の機器が前記自己感染型悪性プログラムに感染した可能性があることを示す情報を出力する出力手段と
を備えたことを特徴とする感染活動検知装置。 - 前記出力手段は、前記抽出手段により抽出された前記特定のアクセス情報におけるアクセスの宛先として指定されたIPアドレスのうち、前記少なくとも2つのグループの各グループに含まれるIPアドレスの数が、当該各グループについて予め定めた閾値を超えていることを更に1つの条件として、前記特定の機器が前記自己感染型悪性プログラムに感染した可能性があることを示す情報を出力することを特徴とする請求項1に記載の感染活動検知装置。
- 前記抽出手段は、前記記憶手段に記憶された前記ログデータから、所定期間内の前記特定の機器以外の他の機器からのアクセスに関する他のアクセス情報を抽出し、
前記出力手段は、前記抽出手段により抽出された前記他のアクセス情報におけるアクセスの宛先として指定されたIPアドレスの数が予め定めた閾値を超えており、当該指定されたIPアドレスが予め定めた複数のIPアドレスのグループのうちの少なくとも2つのグループに跨っており、前記特定の機器からのアクセスによる攻撃内容と前記他の機器からのアクセスによる攻撃内容との類似度が予め定めた基準を超えていることを1つの条件として、複数の機器が前記自己感染型悪性プログラムに感染した可能性があることを示す情報を出力することを特徴とする請求項1に記載の感染活動検知装置。 - 前記出力手段は、前記抽出手段により抽出された前記特定のアクセス情報におけるアクセスの宛先として指定されたIPアドレスの数が予め定めた閾値未満であることを1つの条件として、前記特定の機器を用いて人的攻撃が行われている可能性があることを示す情報を出力することを特徴とする請求項1に記載の感染活動検知装置。
- 自己感染型悪性プログラムによる感染活動を検知する感染活動検知方法であって、
複数の通信機器による監視の対象であるIPアドレスへのアクセスに関するアクセス情報を含むログデータを、当該複数の通信機器から受信するステップと、
受信した前記ログデータを記憶手段に記憶するステップと、
前記記憶手段に記憶された前記ログデータから、所定期間内の特定の機器からのアクセスに関する特定のアクセス情報を抽出するステップと、
抽出された前記特定のアクセス情報におけるアクセスの宛先として指定されたIPアドレスの数が予め定めた閾値を超えており、当該指定されたIPアドレスが予め定めた複数のIPアドレスのグループのうちの少なくとも2つのグループに跨っていることを1つの条件として、前記特定の機器が前記自己感染型悪性プログラムに感染した可能性があることを示す情報を出力するステップと
を含むことを特徴とする感染活動検知方法。 - 自己感染型悪性プログラムによる感染活動を検知するコンピュータに、
複数の通信機器による監視の対象であるIPアドレスへのアクセスに関するアクセス情報を含むログデータを、当該複数の通信機器から受信する機能と、
受信した前記ログデータを記憶手段に記憶する機能と、
前記記憶手段に記憶された前記ログデータから、所定期間内の特定の機器からのアクセスに関する特定のアクセス情報を抽出する機能と、
抽出された前記特定のアクセス情報におけるアクセスの宛先として指定されたIPアドレスの数が予め定めた閾値を超えており、当該指定されたIPアドレスが予め定めた複数のIPアドレスのグループのうちの少なくとも2つのグループに跨っていることを1つの条件として、前記特定の機器が前記自己感染型悪性プログラムに感染した可能性があることを示す情報を出力する機能と
を実現させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009143889A JP2011002916A (ja) | 2009-06-17 | 2009-06-17 | 感染活動検知装置、感染活動検知方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009143889A JP2011002916A (ja) | 2009-06-17 | 2009-06-17 | 感染活動検知装置、感染活動検知方法、及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2011002916A true JP2011002916A (ja) | 2011-01-06 |
Family
ID=43560839
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009143889A Pending JP2011002916A (ja) | 2009-06-17 | 2009-06-17 | 感染活動検知装置、感染活動検知方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2011002916A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101428004B1 (ko) * | 2014-04-04 | 2014-08-11 | (주)지란지교소프트 | 데이터를 유출하는 악성 코드 탐색 방법 및 장치 |
| JP2017510894A (ja) * | 2014-03-26 | 2017-04-13 | シマンテック コーポレーションSymantec Corporation | エンドポイントからのネットワークリクエストに言語分析を適用するマルウェアに感染しているマシンを識別するためのシステム |
| US10514974B2 (en) | 2015-02-17 | 2019-12-24 | Nec Corporation | Log analysis system, log analysis method and program recording medium |
-
2009
- 2009-06-17 JP JP2009143889A patent/JP2011002916A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017510894A (ja) * | 2014-03-26 | 2017-04-13 | シマンテック コーポレーションSymantec Corporation | エンドポイントからのネットワークリクエストに言語分析を適用するマルウェアに感染しているマシンを識別するためのシステム |
| KR101428004B1 (ko) * | 2014-04-04 | 2014-08-11 | (주)지란지교소프트 | 데이터를 유출하는 악성 코드 탐색 방법 및 장치 |
| US10514974B2 (en) | 2015-02-17 | 2019-12-24 | Nec Corporation | Log analysis system, log analysis method and program recording medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10594714B2 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
| US11240262B1 (en) | Malware detection verification and enhancement by coordinating endpoint and malware detection systems | |
| US9178906B1 (en) | Detecting and remediating malware dropped by files | |
| US10666680B2 (en) | Service overload attack protection based on selective packet transmission | |
| US10133866B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
| JP6432210B2 (ja) | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム | |
| US8805995B1 (en) | Capturing data relating to a threat | |
| US9838405B1 (en) | Systems and methods for determining types of malware infections on computing devices | |
| US20160078229A1 (en) | System And Method For Threat Risk Scoring Of Security Threats | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| US20130305368A1 (en) | Methods and apparatus for identifying and removing malicious applications | |
| US8898777B1 (en) | Systems and methods for detecting user activities to identify deceptive activity | |
| US20160248788A1 (en) | Monitoring apparatus and method | |
| KR20160004349A (ko) | 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출 | |
| US8955138B1 (en) | Systems and methods for reevaluating apparently benign behavior on computing devices | |
| JPWO2014112185A1 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| US10951637B2 (en) | Distributed detection of malicious cloud actors | |
| US11347896B1 (en) | Horizontal scan detection | |
| JP6656211B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| US20230164152A1 (en) | Malicious incident visualization | |
| Solairaj et al. | Keyloggers software detection techniques | |
| JP2019516160A (ja) | セキュリティ脅威を検出するためのシステム及び方法 | |
| CN116860489A (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| US10320816B1 (en) | Systems and methods for uniquely identifying malicious advertisements |