JP2012015684A - 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム - Google Patents
内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム Download PDFInfo
- Publication number
- JP2012015684A JP2012015684A JP2010148669A JP2010148669A JP2012015684A JP 2012015684 A JP2012015684 A JP 2012015684A JP 2010148669 A JP2010148669 A JP 2010148669A JP 2010148669 A JP2010148669 A JP 2010148669A JP 2012015684 A JP2012015684 A JP 2012015684A
- Authority
- JP
- Japan
- Prior art keywords
- address
- internal network
- communication
- traffic
- abnormality
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】未知のマルウェアからの通信先に対しても通信を有効に遮断できる構成を実現する。
【解決手段】中継装置ログ分析装置132は、中継装置112から定期的にログデータを受信する。異常検出装置131は、企業内部ネットワーク103におけるトラフィック異常を検出した際に、異常を発生させた端末装置のIPアドレスを中継装置ログ分析装置132に通知する。中継装置ログ分析装置132は、ルータ装置121等で生成されたトラフィック情報を解析してトラフィック異常の発生時刻を特定し、トラフィック異常の発生時刻と異常を発生させた端末装置のIPアドレスに基づき中継装置112からのログデータを解析し、異常を発生させた端末装置がアクセスしたアドレスを特定し、特定したアドレスをマルウェアからの通信先とし、当該アドレスを宛先とするパケットを遮断するよう中継装置112を設定する。
【選択図】図1
【解決手段】中継装置ログ分析装置132は、中継装置112から定期的にログデータを受信する。異常検出装置131は、企業内部ネットワーク103におけるトラフィック異常を検出した際に、異常を発生させた端末装置のIPアドレスを中継装置ログ分析装置132に通知する。中継装置ログ分析装置132は、ルータ装置121等で生成されたトラフィック情報を解析してトラフィック異常の発生時刻を特定し、トラフィック異常の発生時刻と異常を発生させた端末装置のIPアドレスに基づき中継装置112からのログデータを解析し、異常を発生させた端末装置がアクセスしたアドレスを特定し、特定したアドレスをマルウェアからの通信先とし、当該アドレスを宛先とするパケットを遮断するよう中継装置112を設定する。
【選択図】図1
Description
本発明は、マルウェアからの通信先を検出し、マルウェアからの通信先へのアクセスを遮断する技術に関する。
マルウェアとは、コンピュータウイルス、ワーム、バックドア、キーロガー、スパイウェア、トロイの木馬など、不正かつ有害な動作を行う意図で作成された悪意のある不正ソフトウェアや悪質な不正コードの総称である。
マルウェアとは、コンピュータウイルス、ワーム、バックドア、キーロガー、スパイウェア、トロイの木馬など、不正かつ有害な動作を行う意図で作成された悪意のある不正ソフトウェアや悪質な不正コードの総称である。
従来より、不正プログラムであるマルウェアへの対策技術として、マルウェアによって悪用される可能性がある、オペレーティングシステムやソフトウェアの脆弱性に対する修正パッチ(プログラムの不具合を修正するためのモジュール)の自動適用技術や、アンチウイルス対策ソフトウェアが一般的に導入されている。
また、通信トラフィック(以下、単にトラフィックという)の挙動の異常を検知し、異常なトラフィックの発信元からの通信を遮断する方式が存在する(例えば、特許文献1、特許文献2、特許文献3)。
特許文献1では、各端末やサーバにトラフィックを監視するセンサ装置を割り当て、端末からの受信データ量が予め定められた閾値を超えた場合に受信パケットを破棄する方式、ならびに、センサ装置から得られた情報を基に、情報漏洩や不正アクセスを検知して該当するパケットを遮断する方式が開示されている。
特許文献1では、各端末やサーバにトラフィックを監視するセンサ装置を割り当て、端末からの受信データ量が予め定められた閾値を超えた場合に受信パケットを破棄する方式、ならびに、センサ装置から得られた情報を基に、情報漏洩や不正アクセスを検知して該当するパケットを遮断する方式が開示されている。
また、特許文献1、特許文献2、特許文献3では、悪意のあるURL(Uniform Resource Locator)に関するリスト(ブラックリスト)を予め設定しておき、リストに記載されたURLへのアクセスを遮断する方式、ならびに、短時間に多数のアクセス要求が発信された場合には、DoS(Denial of Service)攻撃であると判定し、アクセスの要求元をアクセス拒否リストへ登録して通信を遮断する方式が開示されている。
従来の方式(特許文献1、特許文献2、特許文献3)では、悪意のあるURLに関するリスト(ブラックリスト)を予め設定しておく必要があり、かつ、悪意のあるURLの存続期間は短く、次々に新しいURLが誕生することから、最新のブラックリストを適用していたとしても、対策漏れが発生するという課題がある。
この発明は上記の課題を解決することを主な目的とし、ブラックリストに記述されていない未知のマルウェアからの通信先に対しても通信を有効に遮断できる構成を実現することを主な目的とする。
本発明に係る内部ネットワーク管理システムは、
複数の端末装置と、トラフィック情報を用いてトラフィック異常を検出する異常検出装置とが含まれる内部ネットワークを管理し、
前記内部ネットワークと外部ネットワークとを接続する中継装置
と通信を行う内部ネットワーク管理システムであって、
前記異常検出装置が前記内部ネットワークにて発生したトラフィック異常の発生元として特定した異常発生端末装置の通信アドレスである異常発生アドレスを通知する異常発生アドレス通知を受信し、前記異常検出装置がトラフィック異常を検出したトラフィック情報を分析対象トラフィック情報として受信する第1の通信部と、
前記異常発生アドレス通知に示される異常発生アドレスと前記分析対象トラフィック情報に示されるパケットの送信元の端末装置の通信アドレス及びパケット送信時刻とに基づき、前記分析対象トラフィック情報を分析し、前記異常検出装置により検出されたトラフィック異常の開始時刻を特定するトラフィック情報分析部と、
前記中継装置から、前記内部ネットワークから前記外部ネットワーク宛てに送信されたアウトバウンドパケットごとに送信元の通信アドレスと送信先の通信アドレスと前記中継装置においてアウトバウンドパケットに対する処理がなされた処理時刻とが示されるログデータを受信する第2の通信部と、
前記第2の通信部により受信されたログデータから、前記中継装置における処理時刻が前記トラフィック情報分析部により特定されたトラフィック異常の開始時刻以降の時刻となっており送信元の通信アドレスが前記異常発生アドレスとなっているアウトバウンドパケットを抽出し、抽出したアウトバウンドパケットの送信先の通信アドレスを遮断対象アドレスとして指定する遮断対象アドレス指定部と、
前記中継装置に対して、前記遮断対象アドレス指定部により指定された遮断対象アドレスを送信先とするアウトバウンドパケットを前記外部ネットワークに転送しないよう指示する遮断指示部とを有することを特徴とする。
複数の端末装置と、トラフィック情報を用いてトラフィック異常を検出する異常検出装置とが含まれる内部ネットワークを管理し、
前記内部ネットワークと外部ネットワークとを接続する中継装置
と通信を行う内部ネットワーク管理システムであって、
前記異常検出装置が前記内部ネットワークにて発生したトラフィック異常の発生元として特定した異常発生端末装置の通信アドレスである異常発生アドレスを通知する異常発生アドレス通知を受信し、前記異常検出装置がトラフィック異常を検出したトラフィック情報を分析対象トラフィック情報として受信する第1の通信部と、
前記異常発生アドレス通知に示される異常発生アドレスと前記分析対象トラフィック情報に示されるパケットの送信元の端末装置の通信アドレス及びパケット送信時刻とに基づき、前記分析対象トラフィック情報を分析し、前記異常検出装置により検出されたトラフィック異常の開始時刻を特定するトラフィック情報分析部と、
前記中継装置から、前記内部ネットワークから前記外部ネットワーク宛てに送信されたアウトバウンドパケットごとに送信元の通信アドレスと送信先の通信アドレスと前記中継装置においてアウトバウンドパケットに対する処理がなされた処理時刻とが示されるログデータを受信する第2の通信部と、
前記第2の通信部により受信されたログデータから、前記中継装置における処理時刻が前記トラフィック情報分析部により特定されたトラフィック異常の開始時刻以降の時刻となっており送信元の通信アドレスが前記異常発生アドレスとなっているアウトバウンドパケットを抽出し、抽出したアウトバウンドパケットの送信先の通信アドレスを遮断対象アドレスとして指定する遮断対象アドレス指定部と、
前記中継装置に対して、前記遮断対象アドレス指定部により指定された遮断対象アドレスを送信先とするアウトバウンドパケットを前記外部ネットワークに転送しないよう指示する遮断指示部とを有することを特徴とする。
本発明によれば、トラフィック異常が発生した際に中継装置のログデータを解析し、送信元が異常発生アドレスとなっているアウトバウンドパケットを抽出して遮断対象アドレスを指定し、遮断対象アドレスを送信先とするアウトバウンドパケットの中継を中継装置に行わせないようにするため、ブラックリストに記述されていない未知のマルウェアからの通信先に対しても通信を有効に遮断できる。
実施の形態1.
本実施の形態では、企業内部でトラフィックの挙動を監視し、トラフィック異常が発生した際にマルウェアの通信先と考えられる悪意のあるURLを特定し、動的にブラックリストを更新することによって、一般的には知られていない悪意のあるURLへの通信に関しても対策可能とする方式を説明する。
つまり、本実施の形態に示す方式では、トラフィック異常が発生した際にトラフィック異常の原因と考えられるURL(通信アドレスの例)を特定し、特定したURLへの企業内部からのアクセスを遮断することにより、未知のマルウェアからの通信先に対しても通信を有効に遮断できる。
なお、本実施の形態では、企業の内部ネットワークを例にして説明を進めるが、官公庁の内部ネットワークや所定の団体の内部ネットワークにも本実施の形態に係るシステムを適用可能である。
本実施の形態では、企業内部でトラフィックの挙動を監視し、トラフィック異常が発生した際にマルウェアの通信先と考えられる悪意のあるURLを特定し、動的にブラックリストを更新することによって、一般的には知られていない悪意のあるURLへの通信に関しても対策可能とする方式を説明する。
つまり、本実施の形態に示す方式では、トラフィック異常が発生した際にトラフィック異常の原因と考えられるURL(通信アドレスの例)を特定し、特定したURLへの企業内部からのアクセスを遮断することにより、未知のマルウェアからの通信先に対しても通信を有効に遮断できる。
なお、本実施の形態では、企業の内部ネットワークを例にして説明を進めるが、官公庁の内部ネットワークや所定の団体の内部ネットワークにも本実施の形態に係るシステムを適用可能である。
図1は、本実施の形態に係るシステム構成例を示す。
図1において、インターネット101は、後述する企業内部ネットワーク103の外部に存在するネットワークであり、外部ネットワークの例である。
インターネット接続環境102は、企業内部ネットワーク103とインターネット101を接続するために設けられている。
企業内部ネットワーク103は、企業内に配置されているネットワークであり、LAN(Local Area Network)、イントラネットと呼ばれるネットワークが含まれる。
企業内部ネットワーク103は、内部ネットワークの例である。
図1において、インターネット101は、後述する企業内部ネットワーク103の外部に存在するネットワークであり、外部ネットワークの例である。
インターネット接続環境102は、企業内部ネットワーク103とインターネット101を接続するために設けられている。
企業内部ネットワーク103は、企業内に配置されているネットワークであり、LAN(Local Area Network)、イントラネットと呼ばれるネットワークが含まれる。
企業内部ネットワーク103は、内部ネットワークの例である。
インターネット接続環境102では、Firewall装置111と中継装置112が設置され、企業内部ネットワーク103からインターネット101へのパケット(アウトバウンドパケット)は、一旦、中継装置112を経由してからFirewall装置111を通って送信される。
つまり、中継装置112は、企業内部ネットワーク103とインターネット101とを接続し、インターネット101宛てのアウトバウンドパケットを企業内部ネットワーク103から受信し、受信したアウトバウンドパケットをインターネット101に転送する。
また、中継装置112は、受信したアウトバウンドパケットのログデータを所定の周期にて生成する。
中継装置112は、ログデータとして、アクセスログやメール送受信ログを生成する。
なお、アクセスログとメール送受信ログを区別する必要のないときは、両者を指す語としてログデータという語を用いる。
中継装置112は、プロキシやゲートウェイとも呼ばれる。
なお、中継装置112は、指定したURLやIP(Internet Protocol)アドレスへのアクセス要求、もしくは、指定したメールアドレス宛のメールをフィルタリングする機能を備えている。
つまり、中継装置112は、企業内部ネットワーク103とインターネット101とを接続し、インターネット101宛てのアウトバウンドパケットを企業内部ネットワーク103から受信し、受信したアウトバウンドパケットをインターネット101に転送する。
また、中継装置112は、受信したアウトバウンドパケットのログデータを所定の周期にて生成する。
中継装置112は、ログデータとして、アクセスログやメール送受信ログを生成する。
なお、アクセスログとメール送受信ログを区別する必要のないときは、両者を指す語としてログデータという語を用いる。
中継装置112は、プロキシやゲートウェイとも呼ばれる。
なお、中継装置112は、指定したURLやIP(Internet Protocol)アドレスへのアクセス要求、もしくは、指定したメールアドレス宛のメールをフィルタリングする機能を備えている。
企業内部ネットワーク103には、ルータ装置121、スイッチ装置122〜124と、それらを繋げる通信ケーブルが含まれている。
各スイッチ装置122〜124には、企業内ユーザが業務で使用する端末装置141〜146が接続されている。
端末装置141〜146は、スイッチ装置122〜124やルータ装置121を介して他の端末装置やインターネット101へアクセスする。
また、ルータ装置121、スイッチ装置122〜124は、周期的にトラフィック情報を生成する。
トラフィック情報については後述する。
各スイッチ装置122〜124には、企業内ユーザが業務で使用する端末装置141〜146が接続されている。
端末装置141〜146は、スイッチ装置122〜124やルータ装置121を介して他の端末装置やインターネット101へアクセスする。
また、ルータ装置121、スイッチ装置122〜124は、周期的にトラフィック情報を生成する。
トラフィック情報については後述する。
異常検出装置131は、企業内部ネットワーク103を流れるトラフィックの振舞いを監視し、異常なトラフィックの発生を検出する。
トラフィックの振舞いとは、企業内部ネットワーク103を構成する機器(ルータ装置、スイッチ装置)から収集するトラフィック情報を集計して得られた値の時系列的な特徴の変化である。
トラフィック情報の集計の方法としては、条件を指定せずに単位時間当たりの発生数やデータ転送量を集計することが考えられる。
もしくは、発信元IPアドレス、宛先IPアドレス、発信元ポート番号、宛先ポート番号の、ひとつあるいは、複数を条件に指定して単位時間当たりの発生数やデータ転送量を集計することが考えられる。
トラフィックの振舞いは、このような集計の結果得られた値の時系列的な特徴の変化である。
異常検出装置131は、トラフィック情報を集計して得られた特徴における変化量が所定レベルを超えた場合に、トラフィック異常が発生したと判断する。
例えば、異常検出装置131は、単位時間当たりのデータ転送量が特定の単位時間において急激に増加した場合にトラフィック異常が発生したと判断する。
トラフィックの振舞いとは、企業内部ネットワーク103を構成する機器(ルータ装置、スイッチ装置)から収集するトラフィック情報を集計して得られた値の時系列的な特徴の変化である。
トラフィック情報の集計の方法としては、条件を指定せずに単位時間当たりの発生数やデータ転送量を集計することが考えられる。
もしくは、発信元IPアドレス、宛先IPアドレス、発信元ポート番号、宛先ポート番号の、ひとつあるいは、複数を条件に指定して単位時間当たりの発生数やデータ転送量を集計することが考えられる。
トラフィックの振舞いは、このような集計の結果得られた値の時系列的な特徴の変化である。
異常検出装置131は、トラフィック情報を集計して得られた特徴における変化量が所定レベルを超えた場合に、トラフィック異常が発生したと判断する。
例えば、異常検出装置131は、単位時間当たりのデータ転送量が特定の単位時間において急激に増加した場合にトラフィック異常が発生したと判断する。
ここで、トラフィック情報とは、端末装置から送信されたパケットごとのパケットダンプデータや、フロー統計情報を指している。
パケットダンプデータとは、ネットワーク上のある観測地点において流れたパケットをそのままデータとして記録したものである。
また、フロー統計情報とは、端末装置におけるデータのやりとりをフローという概念で定義し、端末装置で行われた通信を、フロー単位にパケット送信数、パケット受信数、データ送信バイト量、データ受信バイト量などの統計情報を記録したものである。
フロー統計情報の一般的な例としては、NetFlow、sFlowなどが挙げられる。
パケットダンプデータおよびフロー統計情報のいずれの場合も、観測時刻情報、発信元IPアドレス、宛先IPアドレス、発信元ポート番号、宛先ポート番号の情報が含まれている。
観測時刻情報には、パケットの送信時刻が含まれる。
また、発信元IPアドレスは、パケット送信元の端末装置の通信アドレスであり、宛先IPアドレスは、パケットの送信先の通信アドレスである。
パケットダンプデータとは、ネットワーク上のある観測地点において流れたパケットをそのままデータとして記録したものである。
また、フロー統計情報とは、端末装置におけるデータのやりとりをフローという概念で定義し、端末装置で行われた通信を、フロー単位にパケット送信数、パケット受信数、データ送信バイト量、データ受信バイト量などの統計情報を記録したものである。
フロー統計情報の一般的な例としては、NetFlow、sFlowなどが挙げられる。
パケットダンプデータおよびフロー統計情報のいずれの場合も、観測時刻情報、発信元IPアドレス、宛先IPアドレス、発信元ポート番号、宛先ポート番号の情報が含まれている。
観測時刻情報には、パケットの送信時刻が含まれる。
また、発信元IPアドレスは、パケット送信元の端末装置の通信アドレスであり、宛先IPアドレスは、パケットの送信先の通信アドレスである。
なお、企業内部ネットワーク103に含まれるルータ装置121、スイッチ装置122〜124がトラフィック情報を生成する機能を持たない場合は、トラフィック情報を生成する専用のセンサを企業内部ネットワーク103上に配置してトラフィック情報を収集するようにしてもよい。
中継装置ログ分析装置132は、中継装置112で記録されるアクセスログ(もしくは、メール送受信ログ)を分析する。
中継装置ログ分析装置132の詳細は後述する。
なお、中継装置ログ分析装置132は、内部ネットワーク管理システムの例である。
中継装置ログ分析装置132の詳細は後述する。
なお、中継装置ログ分析装置132は、内部ネットワーク管理システムの例である。
共有DB(Database)装置133は、ルータ装置121、スイッチ装置122〜124が生成したトラフィック情報を記憶する。
異常検出装置131及び中継装置ログ分析装置132は、それぞれ、共有DB装置133にアクセス可能であり、共有DB装置133からトラフィック情報を取得できる。
異常検出装置131及び中継装置ログ分析装置132は、それぞれ、共有DB装置133にアクセス可能であり、共有DB装置133からトラフィック情報を取得できる。
なお、図1は、本実施の形態の内容を簡潔に説明するために必要な構成のみを記載しているものであり、本実施の形態を適用するためのネットワークを実際に構成する際のネットワーク構成を制限するものではない。
また、本実施の形態は、異常検出装置131でのトラフィック異常の検知を起点としたマルウェア対策処理に主眼を置いたものであるため、本実施の形態における異常検出装置131の実現方式については特に制限しない。
しかしながら、異常検出装置131は、少なくとも、トラフィックの異常を検知する機能、ならびに、異常トラフィックの発生元の端末装置(異常発生端末装置)のIPアドレス(異常発生アドレス)を特定する機能を備えているものとする。
異常トラフィックを発生させた端末装置は、マルウェアの感染のおそれがある端末装置である。
以下では、異常トラフィックを発生させた端末装置、つまり、マルウェアの感染のおそれがある端末装置を、マルウェア感染端末ともいう。
しかしながら、異常検出装置131は、少なくとも、トラフィックの異常を検知する機能、ならびに、異常トラフィックの発生元の端末装置(異常発生端末装置)のIPアドレス(異常発生アドレス)を特定する機能を備えているものとする。
異常トラフィックを発生させた端末装置は、マルウェアの感染のおそれがある端末装置である。
以下では、異常トラフィックを発生させた端末装置、つまり、マルウェアの感染のおそれがある端末装置を、マルウェア感染端末ともいう。
また、異常検出装置131は、上記の機能に加えて、特定したIPアドレスから端末装置のMAC(Media Access Control Address)アドレスを特定する機能や、IPアドレスとMACアドレスを基に、マルウェア感染端末を企業内部ネットワーク103から隔離(ルータ装置やスイッチ装置等、企業内部ネットワークを構成する機器を用いた特定通信のフィルタリングや接続ポートのリンクダウン、端末上のパーソナルファイアウォールでのフィルタリングなど)を行う機能を、ひとつ以上有していてもよい。
次に、中継装置ログ分析装置132について詳細を記載する。
図2に、中継装置ログ分析装置132の構成例を示す。
図2に、中継装置ログ分析装置132の構成例を示す。
データ取得部201は、異常検出装置131がトラフィック異常を検出した際に、トラフィック異常を検出したことを通知する異常検出メッセージを後述の通信部206を介して異常検出装置131から受信する。
また、データ取得部201は、通信部206を介して共有DB装置133にアクセスしてトラフィック情報を取得する。
異常検出メッセージには、少なくとも、異常検出装置131がトラフィック異常を検出したトラフィック情報の識別子、マルウェア感染端末のIPアドレス(異常発生アドレス)、トラフィック異常を発生させたフローの通信プロトコル、トラフィック異常を発生させたフローにおける宛先ポート番号が示されている。
データ取得部201は、異常検出メッセージに含まれる識別子を用いて分析対象のトラフィック情報を取得する。
トラフィック異常を発生させたフローの通信プロトコルとして、例えば、HTTP(HyperText Transfer Protocol)、HTTPS(Hypertext Transfer Protocol Security)、SSL(Secure Socket Layer)、SMTP(Simple Mail Transfer Protocol)などが通知される。
また、宛先ポート番号としては、HTTP、HTTPS、SSL、SMTPなどに割り当てられているポート番号が通知される。
なお、通信プロトコルと宛先ポート番号はいずれか一方のみであってもよいし、両者が通知されてもよい。
異常検出メッセージは、異常発生アドレス通知の例である。
また、データ取得部201は、後述の通信部206を介して定期的に中継装置112へアクセスし、中継装置112内に記録されているアクセスログ(もしくはメール送受信ログ)を取得する。
アクセスログには、アウトバウンドパケットごとに、通信の発信元IPアドレス、通信の発生時刻、通信の継続時刻、通信メソッド、宛先URLやIPアドレス、通信結果コード、送受信データ量などが記録されている。
また、メール送受信ログには、アウトバウンドパケットごとに、送信日時、送信元ホスト名(もしくは、IPアドレス)、宛先メールアドレス、発信元メールアドレスが記録されている。
なお、上記において、通信の発信元IPアドレス、発信元メールアドレスは、アウトバウンドパケットの送信元の端末装置の通信アドレスに相当する。
また、宛先URLやIPアドレス、宛先メールアドレスは、アウトバウンドパケットの送信先の通信アドレスに相当する。
また、通信の発生時刻、送信日時は、中継装置112においてアウトバウンドパケットに対する処理がなされた処理時刻に相当する。
通信の発生時刻は、中継装置112においてアウトバウンドパケットを受信した時刻や中継装置112においてアウトバウンドパケットをインターネット101に転送した時刻である。
また、データ取得部201は、通信部206を介して共有DB装置133にアクセスしてトラフィック情報を取得する。
異常検出メッセージには、少なくとも、異常検出装置131がトラフィック異常を検出したトラフィック情報の識別子、マルウェア感染端末のIPアドレス(異常発生アドレス)、トラフィック異常を発生させたフローの通信プロトコル、トラフィック異常を発生させたフローにおける宛先ポート番号が示されている。
データ取得部201は、異常検出メッセージに含まれる識別子を用いて分析対象のトラフィック情報を取得する。
トラフィック異常を発生させたフローの通信プロトコルとして、例えば、HTTP(HyperText Transfer Protocol)、HTTPS(Hypertext Transfer Protocol Security)、SSL(Secure Socket Layer)、SMTP(Simple Mail Transfer Protocol)などが通知される。
また、宛先ポート番号としては、HTTP、HTTPS、SSL、SMTPなどに割り当てられているポート番号が通知される。
なお、通信プロトコルと宛先ポート番号はいずれか一方のみであってもよいし、両者が通知されてもよい。
異常検出メッセージは、異常発生アドレス通知の例である。
また、データ取得部201は、後述の通信部206を介して定期的に中継装置112へアクセスし、中継装置112内に記録されているアクセスログ(もしくはメール送受信ログ)を取得する。
アクセスログには、アウトバウンドパケットごとに、通信の発信元IPアドレス、通信の発生時刻、通信の継続時刻、通信メソッド、宛先URLやIPアドレス、通信結果コード、送受信データ量などが記録されている。
また、メール送受信ログには、アウトバウンドパケットごとに、送信日時、送信元ホスト名(もしくは、IPアドレス)、宛先メールアドレス、発信元メールアドレスが記録されている。
なお、上記において、通信の発信元IPアドレス、発信元メールアドレスは、アウトバウンドパケットの送信元の端末装置の通信アドレスに相当する。
また、宛先URLやIPアドレス、宛先メールアドレスは、アウトバウンドパケットの送信先の通信アドレスに相当する。
また、通信の発生時刻、送信日時は、中継装置112においてアウトバウンドパケットに対する処理がなされた処理時刻に相当する。
通信の発生時刻は、中継装置112においてアウトバウンドパケットを受信した時刻や中継装置112においてアウトバウンドパケットをインターネット101に転送した時刻である。
トラフィック情報集計部202は、データ取得部201により取得されたトラフィック情報を集計して、異常なトラフィックの原因となったフローが発生した時刻、つまりトラフィック異常の開始時刻を特定する。
トラフィック情報の集計は、異常検出装置131で特定されたマルウェア感染端末のIPアドレス(異常検出メッセージで通知されたIPアドレス)、中継装置で中継している通信プロトコル(異常検出メッセージで通知された通信プロトコル)、中継装置のIPアドレス(中継装置ログ分析装置132で記憶している中継装置のIPアドレス)を条件として行う。
具体的には、トラフィック情報集計部202は、異常検出メッセージで通知された通信プロトコル又は宛先ポート番号より、中継装置112で中継される通信によりトラフィック異常が発生したかどうかを判断する。
そして、中継装置112で中継される通信によりトラフィック異常が発生している場合には、トラフィック情報集計部202は、発信元IPアドレスとしてマルウェア感染端末のIPアドレスが含まれ、宛先IPアドレスとして中継装置112のIPアドレスが含まれるレコードをトラフィック情報から抽出し、抽出したレコードを集計する。
集計によって得られた結果から、異常なトラフィックの原因となったフローが開始された時刻が特定される。
トラフィック情報集計部202は、トラフィック情報分析部の例である。
トラフィック情報の集計は、異常検出装置131で特定されたマルウェア感染端末のIPアドレス(異常検出メッセージで通知されたIPアドレス)、中継装置で中継している通信プロトコル(異常検出メッセージで通知された通信プロトコル)、中継装置のIPアドレス(中継装置ログ分析装置132で記憶している中継装置のIPアドレス)を条件として行う。
具体的には、トラフィック情報集計部202は、異常検出メッセージで通知された通信プロトコル又は宛先ポート番号より、中継装置112で中継される通信によりトラフィック異常が発生したかどうかを判断する。
そして、中継装置112で中継される通信によりトラフィック異常が発生している場合には、トラフィック情報集計部202は、発信元IPアドレスとしてマルウェア感染端末のIPアドレスが含まれ、宛先IPアドレスとして中継装置112のIPアドレスが含まれるレコードをトラフィック情報から抽出し、抽出したレコードを集計する。
集計によって得られた結果から、異常なトラフィックの原因となったフローが開始された時刻が特定される。
トラフィック情報集計部202は、トラフィック情報分析部の例である。
URL特定部203では、データ取得部201により取得されたログデータであるアクセスログ(もしくはメール送受信ログ)を分析して、マルウェアの発生源と考えられる通信アドレスを特定する。
URL特定部203は、トラフィック情報集計部202により特定された時刻、発信元IPアドレス(マルウェア感染端末のIPアドレス)を基にアクセスログ(もしくはメール送受信ログ)を分析して、該当するログレコードを抽出し、中継装置112のアクセスログに含まれている宛先URL(もしくは、メール送受信ログに含まれている宛先メールアドレス)を特定する。
より具体的には、URL特定部203は、中継装置112における処理時刻がトラフィック情報集計部202により特定された時刻以降の時刻となっており発信元IPアドレスが異常検出装置131により特定されたマルウェア感染端末のIPアドレス(異常発生アドレス)となっているアウトバウンドパケット(HTTPにおけるPOSTメソッド、HTTPS通信、送信メール)のレコードをログデータから抽出し、抽出したアウトバウンドパケットのレコードに送信先として記されている宛先URL(もしくは、宛先メールアドレス)を遮断対象アドレスとして指定する。
そして、URL特定部203は、遮断対象アドレスとして指定した宛先URL(もしくは、宛先メールアドレス)を後述するブラックリスト記憶部207のブラックリストへ登録する。
また、URL特定部203は、中継装置フィルタ設定部204に、遮断対象アドレス宛のアウトバウンドパケットの遮断を指示する。
なお、以下では、宛先URLと宛先メールアドレスを区別する必要のないときは、両者を指す語として遮断対象アドレスという語を用いる。
URL特定部203は、遮断対象アドレス指定部の例である。
URL特定部203は、トラフィック情報集計部202により特定された時刻、発信元IPアドレス(マルウェア感染端末のIPアドレス)を基にアクセスログ(もしくはメール送受信ログ)を分析して、該当するログレコードを抽出し、中継装置112のアクセスログに含まれている宛先URL(もしくは、メール送受信ログに含まれている宛先メールアドレス)を特定する。
より具体的には、URL特定部203は、中継装置112における処理時刻がトラフィック情報集計部202により特定された時刻以降の時刻となっており発信元IPアドレスが異常検出装置131により特定されたマルウェア感染端末のIPアドレス(異常発生アドレス)となっているアウトバウンドパケット(HTTPにおけるPOSTメソッド、HTTPS通信、送信メール)のレコードをログデータから抽出し、抽出したアウトバウンドパケットのレコードに送信先として記されている宛先URL(もしくは、宛先メールアドレス)を遮断対象アドレスとして指定する。
そして、URL特定部203は、遮断対象アドレスとして指定した宛先URL(もしくは、宛先メールアドレス)を後述するブラックリスト記憶部207のブラックリストへ登録する。
また、URL特定部203は、中継装置フィルタ設定部204に、遮断対象アドレス宛のアウトバウンドパケットの遮断を指示する。
なお、以下では、宛先URLと宛先メールアドレスを区別する必要のないときは、両者を指す語として遮断対象アドレスという語を用いる。
URL特定部203は、遮断対象アドレス指定部の例である。
中継装置フィルタ設定部204は、URL特定部203からの指示に基づき、中継装置112に対して、URL特定部203で特定された宛先URLへの通信(もしくは、宛先メールアドレスへのメール送信)を遮断する設定を行う。
中継装置フィルタ設定部204は、例えば、通信部206を介して、URL特定部203により特定された遮断対象アドレスを送信先とするアウトバウンドパケットをインターネット101に転送しないよう指示するメッセージを中継装置112に送信する。
中継装置フィルタ設定部204は、遮断指示部の例である。
中継装置フィルタ設定部204は、例えば、通信部206を介して、URL特定部203により特定された遮断対象アドレスを送信先とするアウトバウンドパケットをインターネット101に転送しないよう指示するメッセージを中継装置112に送信する。
中継装置フィルタ設定部204は、遮断指示部の例である。
また、未検知感染端末特定部205は、中継装置フィルタ設定部204によって中継装置に対して遮断設定が行われたURLに対してアクセス(もしくは、宛先メールアドレスへのメール送信)を試みた端末装置があるかどうかを、ブラックリストに記載のURL(もしくは、宛先メールアドレス)一覧を基に、アクセスログ(もしくはメール送受信ログ)を分析して判断する。
そして、遮断設定が行われたURLに対するアクセス(もしくは、宛先メールアドレスへのメール送信)を試みた端末装置があった場合には、その端末装置のIPアドレスを特定する。
これは、マルウェアのアクセス先URLに対して、通常の業務においてアクセス(もしくは、宛先メールアドレスへのメール送信)をすることは皆無であることから、アクセス(もしくは、宛先メールアドレスへのメール送信)を試みた端末装置は、異常トラフィックは発生させていない(中継装置112で遮断されているため)ものの、マルウェアに感染している可能性が高いと判断されるためである。
このように、マルウェアのアクセス先URLへのアクセスを試行した端末装置は、マルウェアに感染している疑いがあり、企業内部ネットワーク103から隔離すべき端末装置(隔離対象端末装置)である。
未検知感染端末特定部205は、このような企業内部ネットワーク103から隔離すべき端末装置のIPアドレスを指定しており、隔離対象指定部の例である。
未検知感染端末特定部205は、隔離すべき端末装置のIPアドレスを、例えば、システム管理者に通知する。
なお、異常検出装置131に、端末装置の隔離機能が備わっている場合には、未検知感染端末特定部205は、通信部206を介して、特定したIPアドレスを通知し、当該IPアドレスを使用している端末装置を企業内部ネットワーク103から隔離するよう異常検出装置131に指示を出すようにしてもよい。
そして、遮断設定が行われたURLに対するアクセス(もしくは、宛先メールアドレスへのメール送信)を試みた端末装置があった場合には、その端末装置のIPアドレスを特定する。
これは、マルウェアのアクセス先URLに対して、通常の業務においてアクセス(もしくは、宛先メールアドレスへのメール送信)をすることは皆無であることから、アクセス(もしくは、宛先メールアドレスへのメール送信)を試みた端末装置は、異常トラフィックは発生させていない(中継装置112で遮断されているため)ものの、マルウェアに感染している可能性が高いと判断されるためである。
このように、マルウェアのアクセス先URLへのアクセスを試行した端末装置は、マルウェアに感染している疑いがあり、企業内部ネットワーク103から隔離すべき端末装置(隔離対象端末装置)である。
未検知感染端末特定部205は、このような企業内部ネットワーク103から隔離すべき端末装置のIPアドレスを指定しており、隔離対象指定部の例である。
未検知感染端末特定部205は、隔離すべき端末装置のIPアドレスを、例えば、システム管理者に通知する。
なお、異常検出装置131に、端末装置の隔離機能が備わっている場合には、未検知感染端末特定部205は、通信部206を介して、特定したIPアドレスを通知し、当該IPアドレスを使用している端末装置を企業内部ネットワーク103から隔離するよう異常検出装置131に指示を出すようにしてもよい。
通信部206は、異常検出装置131から異常検出メッセージ(異常発生アドレス通知)を受信し、また、共有DB装置133にトラフィック情報の取得要求を送信し、共有DB装置133からトラフィック情報(分析対象トラフィック情報)を受信する。
更に、通信部206は、定期的に、ログデータの取得要求を中継装置112に送信し、中継装置112からログデータを受信する。
通信部206は、物理インタフェースの管理、伝送制御手順の管理、ネットワーク接続手順の管理等を行いながら、上述の通信を行う。
通信部206は、第1の通信部及び第2の通信部の例である。
更に、通信部206は、定期的に、ログデータの取得要求を中継装置112に送信し、中継装置112からログデータを受信する。
通信部206は、物理インタフェースの管理、伝送制御手順の管理、ネットワーク接続手順の管理等を行いながら、上述の通信を行う。
通信部206は、第1の通信部及び第2の通信部の例である。
ブラックリスト記憶部207は、URL特定部203により特定された遮断対象アドレスが列挙されるブラックリスト情報を記憶する。
ここまで、本実施の形態を構成する各装置についての詳細について説明した。
次に、各装置が全体のシステムとして動作する際の一連の流れについて説明する。
図3及び図4は、本実施の形態に係るシステムの動作例を表したフロー図である。
次に、各装置が全体のシステムとして動作する際の一連の流れについて説明する。
図3及び図4は、本実施の形態に係るシステムの動作例を表したフロー図である。
本実施の形態で実現するマルウェア対策処理の開始条件となるのが、異常検出装置131によるトラフィックの異常な振舞いの検知である。
異常検出装置131は、トラフィックの異常な振舞いを検知した際(S301)に、異常なトラフィックを生成している端末装置(マルウェア感染端末)のIPアドレスと、トラフィック異常を検出したトラフィック情報の識別子と、トラフィック異常を発生させたフローの通信プロトコル、トラフィック異常を発生させたフローにおける宛先ポート番号を通知する異常検出メッセージを中継装置ログ分析装置132に送信する。
また、異常検出装置131にマルウェア感染端末を企業内部ネットワーク103から隔離する機能が備わっている場合には、異常検出装置131は、マルウェア感染端末のIPアドレスに対応するMACアドレスを特定して、マルウェア感染端末を企業内部ネットワーク103から隔離する処理を行う(S313)。
異常検出装置131にマルウェア感染端末を企業内部ネットワーク103から隔離する機能がない場合は、異常検出装置131は、例えば、システム管理者にトラフィック異常の発生、マルウェア感染端末のIPアドレス、MACアドレスを通知する。
異常検出装置131は、トラフィックの異常な振舞いを検知した際(S301)に、異常なトラフィックを生成している端末装置(マルウェア感染端末)のIPアドレスと、トラフィック異常を検出したトラフィック情報の識別子と、トラフィック異常を発生させたフローの通信プロトコル、トラフィック異常を発生させたフローにおける宛先ポート番号を通知する異常検出メッセージを中継装置ログ分析装置132に送信する。
また、異常検出装置131にマルウェア感染端末を企業内部ネットワーク103から隔離する機能が備わっている場合には、異常検出装置131は、マルウェア感染端末のIPアドレスに対応するMACアドレスを特定して、マルウェア感染端末を企業内部ネットワーク103から隔離する処理を行う(S313)。
異常検出装置131にマルウェア感染端末を企業内部ネットワーク103から隔離する機能がない場合は、異常検出装置131は、例えば、システム管理者にトラフィック異常の発生、マルウェア感染端末のIPアドレス、MACアドレスを通知する。
中継装置ログ分析装置132では、通信部206が、異常検出装置からの異常検出メッセージを受信する(S302)(第1の通信ステップ)。
前述したように、異常検出メッセージには、マルウェア感染端末のIPアドレス、プロトコル/宛先ポート番号、トラフィック情報の識別子が含まれる。
前述したように、異常検出メッセージには、マルウェア感染端末のIPアドレス、プロトコル/宛先ポート番号、トラフィック情報の識別子が含まれる。
次に、中継装置ログ分析装置132では、データ取得部201が定期的にログデータの取得要求を生成し、通信部206がログデータの取得要求を中継装置112に送信し、中継装置112からログデータを受信する(S303)(第2の通信ステップ)。
なお、中継装置112からのログデータの受信は定期的に行われるため、ログデータの受信はS304以降に行われる場合もある。
図3では、便宜的にS302とS304にログデータを受信することとしている。
なお、ここでは、データ取得部201の取得要求に基づいて中継装置112がログデータを送信することとしているが、取得要求なしに中継装置112が自律的に一定周期でログデータを送信するようにしてもよい。
なお、中継装置112からのログデータの受信は定期的に行われるため、ログデータの受信はS304以降に行われる場合もある。
図3では、便宜的にS302とS304にログデータを受信することとしている。
なお、ここでは、データ取得部201の取得要求に基づいて中継装置112がログデータを送信することとしているが、取得要求なしに中継装置112が自律的に一定周期でログデータを送信するようにしてもよい。
次に、トラフィック情報集計部202が、異常トラフィックのプロトコル/宛先ポート番号から、異常トラフィックを発生させた通信が中継装置112で中継が行われている通信か否かを判断する。
例えば、異常検出メッセージで通知された通信プロトコルがHTTP、HTTPS、SSL、SMTPなどである場合、異常検出メッセージで通知された宛先ポート番号がHTTP、HTTPS、SSL、SMTPなどに割り当てられているポート番号である場合は、異常トラフィックを発生させた通信は中継装置112で中継が行われている。
異常トラフィックを発生させた通信が中継装置112で中継が行われている場合は、データ取得部201が、異常検出メッセージで通知された識別子を含むトラフィック情報の取得要求を生成し、通信部206が当該取得要求を共有DB装置133に送信し、共有DB装置133から分析対象のトラフィック情報を取得する(第1の通信ステップ)。
その後、トラフィック情報集計部202が、通信部206が受信した分析対象のトラフィック情報を集計して(S304)、異常トラフィックの発生時刻を特定する(S305)(トラフィック情報分析ステップ)。
具体的には、トラフィック情報集計部202は、分析対象のトラフィック情報から、発信元IPアドレスとしてマルウェア感染端末のIPアドレスが含まれ、宛先IPアドレスとして中継装置112のIPアドレスが含まれるレコードを抽出する。
そして、トラフィック情報集計部202は、抽出したレコードに示されている(又は抽出したレコードから導出される)パケット送信時刻のうち最先のパケット送信時刻を異常トラフィックの発生時刻とする。
例えば、異常検出メッセージで通知された通信プロトコルがHTTP、HTTPS、SSL、SMTPなどである場合、異常検出メッセージで通知された宛先ポート番号がHTTP、HTTPS、SSL、SMTPなどに割り当てられているポート番号である場合は、異常トラフィックを発生させた通信は中継装置112で中継が行われている。
異常トラフィックを発生させた通信が中継装置112で中継が行われている場合は、データ取得部201が、異常検出メッセージで通知された識別子を含むトラフィック情報の取得要求を生成し、通信部206が当該取得要求を共有DB装置133に送信し、共有DB装置133から分析対象のトラフィック情報を取得する(第1の通信ステップ)。
その後、トラフィック情報集計部202が、通信部206が受信した分析対象のトラフィック情報を集計して(S304)、異常トラフィックの発生時刻を特定する(S305)(トラフィック情報分析ステップ)。
具体的には、トラフィック情報集計部202は、分析対象のトラフィック情報から、発信元IPアドレスとしてマルウェア感染端末のIPアドレスが含まれ、宛先IPアドレスとして中継装置112のIPアドレスが含まれるレコードを抽出する。
そして、トラフィック情報集計部202は、抽出したレコードに示されている(又は抽出したレコードから導出される)パケット送信時刻のうち最先のパケット送信時刻を異常トラフィックの発生時刻とする。
次に、URL特定部203が、S305で特定された異常トラフィックの発生時刻と異常検出メッセージで通知されたマルウェア感染端末のIPアドレスに基づき、S303で取得されたログデータを分析して、マルウェア感染端末からインターネット101へのアクセス先URL、もしくは、宛先メールアドレスを特定する(S306)(遮断対象アドレス指定ステップ)。
より具体的には、URL特定部203は、中継装置112における処理時刻がS305で特定された異常トラフィックの発生時刻以降の時刻となっており送信元アドレスがマルウェア感染端末のIPアドレスとなっているアウトバウンドパケットのレコードをログデータから抽出し、抽出したレコードに示される(又は抽出したレコードから導出される)アウトバウンドパケットの送信先アドレスを遮断対象アドレスとして抽出する。
より具体的には、URL特定部203は、中継装置112における処理時刻がS305で特定された異常トラフィックの発生時刻以降の時刻となっており送信元アドレスがマルウェア感染端末のIPアドレスとなっているアウトバウンドパケットのレコードをログデータから抽出し、抽出したレコードに示される(又は抽出したレコードから導出される)アウトバウンドパケットの送信先アドレスを遮断対象アドレスとして抽出する。
URL特定部203によりアクセス先URLが特定された場合(S307でYES)には、中継装置フィルタ設定部204が、アクセス先URLを宛先アドレスとするアウトバウンドパケットはインターネット101に転送させないよう中継装置112に対してフィルタリング設定を行う(S308)(遮断指示ステップ)。
また、宛先メールアドレスが特定された場合(S307でYES)には、中継装置フィルタ設定部204が、宛先メールアドレスを宛先アドレスとするメール(アウトバウンドパケット)はインターネット101に転送させないよう中継装置112に対してフィルタリング設定を行う(S308)。
また、宛先メールアドレスが特定された場合(S307でYES)には、中継装置フィルタ設定部204が、宛先メールアドレスを宛先アドレスとするメール(アウトバウンドパケット)はインターネット101に転送させないよう中継装置112に対してフィルタリング設定を行う(S308)。
このように、中継装置112にフィルタリング設定を行うことによって、企業内部ネットワーク103の端末装置141〜146から送信された遮断対象アドレスに対するアウトバウンドパケットは中継装置112において遮断されるので、インターネット101に送出されない。
しかし、マルウェアに感染している端末装置は、中継装置112における遮断の有無にかかわらず、遮断対象アドレスへのアウトバウンドパケットの送信を行うため、中継装置112のログデータには、いずれかの端末装置が遮断対象アドレスへのアウトバウンドパケットの送信を行ったことが記録される。
しかし、マルウェアに感染している端末装置は、中継装置112における遮断の有無にかかわらず、遮断対象アドレスへのアウトバウンドパケットの送信を行うため、中継装置112のログデータには、いずれかの端末装置が遮断対象アドレスへのアウトバウンドパケットの送信を行ったことが記録される。
中継装置ログ分析装置132では、中継装置112へフィルタリング設定を行った後に中継装置112により生成されたログデータを、通信部206が中継装置112から定期的に受信する(S309)。
未検知感染端末特定部205は、通信部206によりログデータが受信される度に、受信されたログデータに、送信先アドレスがフィルタリング設定したURL(遮断対象アドレス)となっているアウトバウンドパケット(通信自体は、中継装置112によって遮断されている)についてのレコードが存在するかどうかを確認する(S310)。
なお、説明が煩雑になるのを避けるためS303についての説明では言及しなかったが、S303において中継装置112からログデータを受信した場合にも、S304以降の処理と並行して別ルーチンにてS310以降の処理が行われる。
なお、説明が煩雑になるのを避けるためS303についての説明では言及しなかったが、S303において中継装置112からログデータを受信した場合にも、S304以降の処理と並行して別ルーチンにてS310以降の処理が行われる。
S310の処理の結果、送信先アドレスが遮断対象アドレスとなっているアウトバウンドパケットのレコードが存在した場合(S311でYES)に、当該アウトバウンドパケットの送信元の端末装置はマルウェアに感染している可能性が高いと判定し、未検知感染端末特定部205は当該アウトバウンドパケットの送信元のIPアドレスを特定し(S312、企業内部ネットワーク103から該当する端末装置を隔離するよう指示する。
具体的には、未検知感染端末特定部205は、隔離すべき端末装置のIPアドレスを異常検出装置131又はシステム管理者に通知し、該当する端末装置を企業内部ネットワーク103から隔離するよう指示する。
具体的には、未検知感染端末特定部205は、隔離すべき端末装置のIPアドレスを異常検出装置131又はシステム管理者に通知し、該当する端末装置を企業内部ネットワーク103から隔離するよう指示する。
この結果、異常検出装置131又はシステム管理者は、隔離対象の端末装置を企業内部ネットワーク103から隔離する(S313)。
このように、本実施の形態によれば、異常検出装置で検知された結果を基に、マルウェア感染端末の隔離を行うことに加え、マルウェアがアクセスするインターネット上のURLに関して、中継装置における動的なフィルタリングを行うことで、マルウェアによる被害の拡大を防止することができる。
つまり、ブラックリストに記述されていない未知のマルウェアからの通信先に対しても通信を有効に遮断することができ、マルウェアによる被害の拡大を防止することができる。
また、中継装置においてフィルタリング設定が行われた後のログデータを解析して、他にマルウェアに感染している可能性のある端末装置を特定し、特定した端末装置の隔離を行うようにしているので、マルウェアが企業内ネットワーク内に拡散することを防止できる。
つまり、ブラックリストに記述されていない未知のマルウェアからの通信先に対しても通信を有効に遮断することができ、マルウェアによる被害の拡大を防止することができる。
また、中継装置においてフィルタリング設定が行われた後のログデータを解析して、他にマルウェアに感染している可能性のある端末装置を特定し、特定した端末装置の隔離を行うようにしているので、マルウェアが企業内ネットワーク内に拡散することを防止できる。
以上、本実施の形態では、以下の動作を行う中継装置ログ分析装置を説明した。
1)トラフィック情報を集計して異常なトラフィックの発生時刻を特定する。
2)特定した時刻と感染端末のIPアドレス情報を基に中継装置のログを分析して、マルウェアがアクセスするURLを特定する。
3)特定したURLを中継装置に対して動的にフィルタ設定を行う。
1)トラフィック情報を集計して異常なトラフィックの発生時刻を特定する。
2)特定した時刻と感染端末のIPアドレス情報を基に中継装置のログを分析して、マルウェアがアクセスするURLを特定する。
3)特定したURLを中継装置に対して動的にフィルタ設定を行う。
また、本実施の形態では、中継装置ログ分析装置が、中継装置に対して動的にフィルタ設定したURLへアクセスを試みた2次感染端末のIPアドレスを特定することを説明した。
また、本実施の形態では、上記の中継装置ログ分析装置が含まれるマルウェア対策装置、システム、および、サービスを説明した。
なお、以上の説明では、中継装置ログ分析装置132が中継装置112から定期的にログデータを受信する例を示したが、ログデータの受信は定期的でなくてもよい。
例えば、システム管理者からの指示を入力した場合等の特定のイベントをトリガーにして中継装置112からログデータを受信するようにしてもよい。
例えば、システム管理者からの指示を入力した場合等の特定のイベントをトリガーにして中継装置112からログデータを受信するようにしてもよい。
最後に、本実施の形態に示した中継装置ログ分析装置132のハードウェア構成例について説明する。
図5は、本実施の形態に示す中継装置ログ分析装置132のハードウェア資源の一例を示す図である。
なお、図5の構成は、あくまでも中継装置ログ分析装置132のハードウェア構成の一例を示すものであり、中継装置ログ分析装置132のハードウェア構成は図5に記載の構成に限らず、他の構成であってもよい。
図5は、本実施の形態に示す中継装置ログ分析装置132のハードウェア資源の一例を示す図である。
なお、図5の構成は、あくまでも中継装置ログ分析装置132のハードウェア構成の一例を示すものであり、中継装置ログ分析装置132のハードウェア構成は図5に記載の構成に限らず、他の構成であってもよい。
図5において、中継装置ログ分析装置132は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、SSD(Solid State Drive)、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
本実施の形態で説明した「ブラックリスト記憶部」は、RAM914、磁気ディスク装置920等により実現される。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、SSD(Solid State Drive)、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
本実施の形態で説明した「ブラックリスト記憶部」は、RAM914、磁気ディスク装置920等により実現される。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
通信ボード915は、図1に示すように、企業内部ネットワークに接続されている。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
また、RAM914には、CPU911に実行させるオペレーティングシステム921のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
また、ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
中継装置ログ分析装置132の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
中継装置ログ分析装置132の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
上記プログラム群923には、本実施の形態の説明において「〜部」(「ブラックリスト記憶部」以外、以下同様)として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、本実施の形態の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の確認」、「〜の指定」、「〜の特定」、「〜の指示」、「〜の抽出」、「〜の検出」、「〜の更新」、「〜の設定」、「〜の登録」、「〜の選択」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。
ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出される。
そして、読み出された情報やデータや信号値や変数値やパラメータは、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、本実施の形態で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示す。
データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。
また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。
ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出される。
そして、読み出された情報やデータや信号値や変数値やパラメータは、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、本実施の形態で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示す。
データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。
また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、本実施の形態の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。
すなわち、本実施の形態で説明したフローチャートに示すステップ、手順、処理により、本発明に係る内部ネットワーク管理方法を実現することができる。
また、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。
或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。
プログラムはCPU911により読み出され、CPU911により実行される。
すなわち、プログラムは、本実施の形態の「〜部」としてコンピュータを機能させるものである。あるいは、本実施の形態の「〜部」の手順や方法をコンピュータに実行させるものである。
すなわち、本実施の形態で説明したフローチャートに示すステップ、手順、処理により、本発明に係る内部ネットワーク管理方法を実現することができる。
また、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。
或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。
プログラムはCPU911により読み出され、CPU911により実行される。
すなわち、プログラムは、本実施の形態の「〜部」としてコンピュータを機能させるものである。あるいは、本実施の形態の「〜部」の手順や方法をコンピュータに実行させるものである。
このように、本実施の形態に示す中継装置ログ分析装置132は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータである。
そして、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
そして、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
101 インターネット、102 インターネット接続環境、103 企業内部ネットワーク、111 Firewall装置、112 中継装置、121 ルータ装置、122 スイッチ装置、123 スイッチ装置、124 スイッチ装置、131 異常検出装置、132 中継装置ログ分析装置、133 共有DB装置、141 端末装置、142 端末装置、143 端末装置、144 端末装置、145 端末装置、146 端末装置、201 データ取得部、202 トラフィック情報集計部、203 URL特定部、204 中継装置フィルタ設定部、205 未検知感染端末特定部、206 通信部、207 ブラックリスト記憶部。
Claims (7)
- 複数の端末装置と、トラフィック情報を用いてトラフィック異常を検出する異常検出装置とが含まれる内部ネットワークを管理し、
前記内部ネットワークと外部ネットワークとを接続する中継装置
と通信を行う内部ネットワーク管理システムであって、
前記異常検出装置が前記内部ネットワークにて発生したトラフィック異常の発生元として特定した異常発生端末装置の通信アドレスである異常発生アドレスを通知する異常発生アドレス通知を受信し、前記異常検出装置がトラフィック異常を検出したトラフィック情報を分析対象トラフィック情報として受信する第1の通信部と、
前記異常発生アドレス通知に示される異常発生アドレスと前記分析対象トラフィック情報に示されるパケットの送信元の端末装置の通信アドレス及びパケット送信時刻とに基づき、前記分析対象トラフィック情報を分析し、前記異常検出装置により検出されたトラフィック異常の開始時刻を特定するトラフィック情報分析部と、
前記中継装置から、前記内部ネットワークから前記外部ネットワーク宛てに送信されたアウトバウンドパケットごとに送信元の通信アドレスと送信先の通信アドレスと前記中継装置においてアウトバウンドパケットに対する処理がなされた処理時刻とが示されるログデータを受信する第2の通信部と、
前記第2の通信部により受信されたログデータから、前記中継装置における処理時刻が前記トラフィック情報分析部により特定されたトラフィック異常の開始時刻以降の時刻となっており送信元の通信アドレスが前記異常発生アドレスとなっているアウトバウンドパケットを抽出し、抽出したアウトバウンドパケットの送信先の通信アドレスを遮断対象アドレスとして指定する遮断対象アドレス指定部と、
前記中継装置に対して、前記遮断対象アドレス指定部により指定された遮断対象アドレスを送信先とするアウトバウンドパケットを前記外部ネットワークに転送しないよう指示する遮断指示部とを有することを特徴とする内部ネットワーク管理システム。 - 前記第2の通信部は、
前記遮断指示部から前記中継装置に対する指示が行われた後に前記中継装置により生成されたログデータを前記中継装置から受信し、
前記内部ネットワーク管理システムは、更に、
前記第2の通信部により受信されたログデータから送信先の通信アドレスが前記遮断対象アドレスとなっているアウトバウンドパケットを抽出し、抽出したアウトバウンドパケットの送信元の通信アドレスを前記内部ネットワークから隔離すべき隔離対象端末装置の通信アドレスとして指定する隔離対象指定部を有することを特徴とする請求項1に記載の内部ネットワーク管理システム。 - 前記第2の通信部は、
所定の周期でログデータを生成する中継装置から繰り返しログデータを受信し、
前記隔離対象指定部は、
前記第2の通信部によりログデータが受信される度に、受信されたログデータにおいて送信先の通信アドレスが前記遮断対象アドレスとなっているアウトバウンドパケットを検索することを特徴とする請求項2に記載の内部ネットワーク管理システム。 - 前記内部ネットワーク管理システムは、
指定された端末装置を前記内部ネットワークから隔離する機能を有する異常検出装置が含まれる内部ネットワークを管理し、
前記隔離対象指定部は、
前記異常検出装置に対して、前記隔離対象端末装置の通信アドレスを通知し、前記隔離対象端末装置を前記内部ネットワークから隔離するよう指示することを特徴とする請求項2又は3に記載の内部ネットワーク管理システム。 - 前記内部ネットワーク管理システムは、
パケットを送信する複数の端末装置と、送信されたパケットごとに送信元の端末装置の通信アドレス及びパケット送信時刻が示されるトラフィック情報を取得し、取得したトラフィック情報を分析してトラフィック異常を検出し、トラフィック異常の発生元である異常発生端末装置の通信アドレスを特定する異常検出装置とが含まれる内部ネットワークを管理し、
前記内部ネットワークと前記内部ネットワーク外の外部ネットワークとを接続し、前記外部ネットワーク宛てのアウトバウンドパケットを前記内部ネットワークから受信し、受信したアウトバウンドパケットを前記外部ネットワークに転送し、受信したアウトバウンドパケットのログデータを生成する中継装置と通信を行うことを特徴とする請求項1〜4のいずれかに記載の内部ネットワーク管理システム。 - 複数の端末装置と、トラフィック情報を用いてトラフィック異常を検出する異常検出装置とが含まれる内部ネットワークを管理し、
前記内部ネットワークと外部ネットワークとを接続する中継装置
と通信を行うコンピュータが行う内部ネットワーク管理方法であって、
前記コンピュータが、前記異常検出装置が前記内部ネットワークにて発生したトラフィック異常の発生元として特定した異常発生端末装置の通信アドレスである異常発生アドレスを通知する異常発生アドレス通知を受信し、前記異常検出装置がトラフィック異常を検出したトラフィック情報を分析対象トラフィック情報として受信する第1の通信ステップと、
前記コンピュータが、前記異常発生アドレス通知に示される異常発生アドレスと前記分析対象トラフィック情報に示されるパケットの送信元の端末装置の通信アドレス及びパケット送信時刻とに基づき、前記分析対象トラフィック情報を分析し、前記異常検出装置により検出されたトラフィック異常の開始時刻を特定するトラフィック情報分析ステップと、
前記コンピュータが、前記中継装置から、前記内部ネットワークから前記外部ネットワーク宛てに送信されたアウトバウンドパケットごとに送信元の通信アドレスと送信先の通信アドレスと前記中継装置においてアウトバウンドパケットに対する処理がなされた処理時刻とが示されるログデータを受信する第2の通信ステップと、
前記コンピュータが、前記第2の通信ステップにより受信されたログデータから、前記中継装置における処理時刻が前記トラフィック情報分析部により特定されたトラフィック異常の開始時刻以降の時刻となっており送信元の通信アドレスが前記異常発生アドレスとなっているアウトバウンドパケットを抽出し、抽出したアウトバウンドパケットの送信先の通信アドレスを遮断対象アドレスとして指定する遮断対象アドレス指定ステップと、
前記コンピュータが、前記中継装置に対して、前記遮断対象アドレス指定ステップにより指定された遮断対象アドレスを送信先とするアウトバウンドパケットを前記外部ネットワークに転送しないよう指示する遮断指示ステップとを有することを特徴とする内部ネットワーク管理方法。 - 複数の端末装置と、トラフィック情報を用いてトラフィック異常を検出する異常検出装置とが含まれる内部ネットワークを管理し、
前記内部ネットワークと外部ネットワークとを接続する中継装置
と通信を行うコンピュータに、
前記異常検出装置が前記内部ネットワークにて発生したトラフィック異常の発生元として特定した異常発生端末装置の通信アドレスである異常発生アドレスを通知する異常発生アドレス通知を受信し、前記異常検出装置がトラフィック異常を検出したトラフィック情報を分析対象トラフィック情報として受信する第1の通信ステップと、
前記異常発生アドレス通知に示される異常発生アドレスと前記分析対象トラフィック情報に示されるパケットの送信元の端末装置の通信アドレス及びパケット送信時刻とに基づき、前記分析対象トラフィック情報を分析し、前記異常検出装置により検出されたトラフィック異常の開始時刻を特定するトラフィック情報分析ステップと、
前記中継装置から、前記内部ネットワークから前記外部ネットワーク宛てに送信されたアウトバウンドパケットごとに送信元の通信アドレスと送信先の通信アドレスと前記中継装置においてアウトバウンドパケットに対する処理がなされた処理時刻とが示されるログデータを受信する第2の通信ステップと、
前記第2の通信ステップにより受信されたログデータから、前記中継装置における処理時刻が前記トラフィック情報分析部により特定されたトラフィック異常の開始時刻以降の時刻となっており送信元の通信アドレスが前記異常発生アドレスとなっているアウトバウンドパケットを抽出し、抽出したアウトバウンドパケットの送信先の通信アドレスを遮断対象アドレスとして指定する遮断対象アドレス指定ステップと、
前記中継装置に対して、前記遮断対象アドレス指定ステップにより指定された遮断対象アドレスを送信先とするアウトバウンドパケットを前記外部ネットワークに転送しないよう指示する遮断指示ステップとを実行させることを特徴とするプログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010148669A JP5518594B2 (ja) | 2010-06-30 | 2010-06-30 | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
| US13/074,475 US20120005743A1 (en) | 2010-06-30 | 2011-03-29 | Internal network management system, internal network management method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010148669A JP5518594B2 (ja) | 2010-06-30 | 2010-06-30 | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014075857A Division JP2014123996A (ja) | 2014-04-02 | 2014-04-02 | ネットワーク監視装置及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012015684A true JP2012015684A (ja) | 2012-01-19 |
| JP5518594B2 JP5518594B2 (ja) | 2014-06-11 |
Family
ID=45400797
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010148669A Expired - Fee Related JP5518594B2 (ja) | 2010-06-30 | 2010-06-30 | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20120005743A1 (ja) |
| JP (1) | JP5518594B2 (ja) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014021720A (ja) * | 2012-07-18 | 2014-02-03 | Kddi Corp | 攻撃ホスト検知装置、方法及びプログラム |
| JP2014085772A (ja) * | 2012-10-22 | 2014-05-12 | Nippon Telegr & Teleph Corp <Ntt> | 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム |
| JP2014232923A (ja) * | 2013-05-28 | 2014-12-11 | 日本電気株式会社 | 通信装置、サイバー攻撃検出方法、及びプログラム |
| JP2015082769A (ja) * | 2013-10-23 | 2015-04-27 | 日本電信電話株式会社 | 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム |
| JP2015179416A (ja) * | 2014-03-19 | 2015-10-08 | 日本電信電話株式会社 | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム |
| JP2017059964A (ja) * | 2015-09-15 | 2017-03-23 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
| WO2019117052A1 (ja) * | 2017-12-13 | 2019-06-20 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
| JP2019186686A (ja) * | 2018-04-06 | 2019-10-24 | 富士通株式会社 | ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 |
| JP2020119596A (ja) * | 2015-03-03 | 2020-08-06 | 日本電気株式会社 | ログ解析システム、解析装置、方法、および解析用プログラム |
| US10924492B2 (en) | 2015-12-25 | 2021-02-16 | Hitachi Solutions, Ltd. | Information leakage prevention system and method |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102523223B (zh) * | 2011-12-20 | 2014-08-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种木马检测的方法及装置 |
| WO2013093209A1 (en) | 2011-12-21 | 2013-06-27 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
| JP2014182720A (ja) * | 2013-03-21 | 2014-09-29 | Fujitsu Ltd | 情報処理システム、情報処理装置及び障害処理方法 |
| JP6127755B2 (ja) * | 2013-06-13 | 2017-05-17 | オムロン株式会社 | 情報処理装置、情報処理装置の制御方法および制御プログラム |
| US10367827B2 (en) | 2013-12-19 | 2019-07-30 | Splunk Inc. | Using network locations obtained from multiple threat lists to evaluate network data or machine data |
| JP2015171052A (ja) * | 2014-03-07 | 2015-09-28 | 富士通株式会社 | 識別装置、識別プログラム、及び識別方法 |
| JP6329275B2 (ja) | 2014-11-19 | 2018-05-23 | 日本電信電話株式会社 | 制御装置、通信システム、制御方法、および、制御プログラム |
| US10154041B2 (en) * | 2015-01-13 | 2018-12-11 | Microsoft Technology Licensing, Llc | Website access control |
| US10644976B2 (en) * | 2015-05-18 | 2020-05-05 | Denso Corporation | Relay apparatus |
| CA2999465A1 (en) * | 2015-11-18 | 2017-05-26 | Halliburton Energy Services, Inc. | Fiber optic distributed acoustic sensor omnidirectional antenna for use in downhole and marine applications |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| CN107104924B (zh) * | 2016-02-22 | 2020-10-09 | 阿里巴巴集团控股有限公司 | 网站后门文件的验证方法及装置 |
| US10523635B2 (en) * | 2016-06-17 | 2019-12-31 | Assured Information Security, Inc. | Filtering outbound network traffic |
| US11604440B2 (en) * | 2017-03-29 | 2023-03-14 | Hitachi, Ltd. | Control switching device for abnormality prevention in multiple terminals |
| JP6938205B2 (ja) * | 2017-05-02 | 2021-09-22 | アライドテレシスホールディングス株式会社 | アクセス制御システム |
| CN107302586B (zh) * | 2017-07-12 | 2020-06-26 | 深信服科技股份有限公司 | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 |
| JP6716051B2 (ja) * | 2018-07-26 | 2020-07-01 | デジタルア−ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
| CN110278213B (zh) * | 2019-06-28 | 2021-08-06 | 公安部第三研究所 | 一种网络安全日志关键信息提取方法及系统 |
| CN113422697B (zh) * | 2021-06-21 | 2023-03-24 | 深信服科技股份有限公司 | 一种追踪方法、装置、电子设备及可读存储介质 |
| TWI785718B (zh) * | 2021-08-04 | 2022-12-01 | 中華電信股份有限公司 | 電信網路的自我修復系統和自我修復方法 |
| CN116846675B (zh) * | 2023-08-04 | 2024-02-20 | 北京中科网芯科技有限公司 | 一种系统网络通信安全性的监控方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006238043A (ja) * | 2005-02-24 | 2006-09-07 | Mitsubishi Electric Corp | ネットワーク異常検出装置 |
| JP2007013262A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
| JP2007266960A (ja) * | 2006-03-28 | 2007-10-11 | Matsushita Electric Works Ltd | 通信制御装置、通信制御プログラム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7773540B1 (en) * | 2006-06-01 | 2010-08-10 | Bbn Technologies Corp. | Methods, system and apparatus preventing network and device identification |
| CN101546367B (zh) * | 2009-05-04 | 2012-05-23 | 电子科技大学 | 带预警功能的网络木马综合检测方法 |
-
2010
- 2010-06-30 JP JP2010148669A patent/JP5518594B2/ja not_active Expired - Fee Related
-
2011
- 2011-03-29 US US13/074,475 patent/US20120005743A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006238043A (ja) * | 2005-02-24 | 2006-09-07 | Mitsubishi Electric Corp | ネットワーク異常検出装置 |
| JP2007013262A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
| JP2007266960A (ja) * | 2006-03-28 | 2007-10-11 | Matsushita Electric Works Ltd | 通信制御装置、通信制御プログラム |
Non-Patent Citations (1)
| Title |
|---|
| 佐川 裕一: "事前対策はこれで完璧! 安心ネットワークのススメ 4 実践!ボットネット対策 あなたのPCは感染して", SOFTWAREDESIGN, vol. 第187号, JPN6013049082, 18 May 2006 (2006-05-18), JP, pages 36 - 45, ISSN: 0002646921 * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014021720A (ja) * | 2012-07-18 | 2014-02-03 | Kddi Corp | 攻撃ホスト検知装置、方法及びプログラム |
| JP2014085772A (ja) * | 2012-10-22 | 2014-05-12 | Nippon Telegr & Teleph Corp <Ntt> | 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム |
| JP2014232923A (ja) * | 2013-05-28 | 2014-12-11 | 日本電気株式会社 | 通信装置、サイバー攻撃検出方法、及びプログラム |
| JP2015082769A (ja) * | 2013-10-23 | 2015-04-27 | 日本電信電話株式会社 | 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム |
| JP2015179416A (ja) * | 2014-03-19 | 2015-10-08 | 日本電信電話株式会社 | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム |
| JP2020119596A (ja) * | 2015-03-03 | 2020-08-06 | 日本電気株式会社 | ログ解析システム、解析装置、方法、および解析用プログラム |
| US10397248B2 (en) | 2015-09-15 | 2019-08-27 | Fujitsu Limited | Method and apparatus for monitoring network |
| JP2017059964A (ja) * | 2015-09-15 | 2017-03-23 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
| US10924492B2 (en) | 2015-12-25 | 2021-02-16 | Hitachi Solutions, Ltd. | Information leakage prevention system and method |
| WO2019117052A1 (ja) * | 2017-12-13 | 2019-06-20 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
| JPWO2019117052A1 (ja) * | 2017-12-13 | 2020-11-19 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム |
| JP7006704B2 (ja) | 2017-12-13 | 2022-01-24 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム |
| US11461463B2 (en) | 2017-12-13 | 2022-10-04 | Nec Corporation | Information processing device, information processing method, and recording medium |
| JP2019186686A (ja) * | 2018-04-06 | 2019-10-24 | 富士通株式会社 | ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 |
| JP7172104B2 (ja) | 2018-04-06 | 2022-11-16 | 富士通株式会社 | ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120005743A1 (en) | 2012-01-05 |
| JP5518594B2 (ja) | 2014-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5518594B2 (ja) | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム | |
| US10616258B2 (en) | Security information and event management | |
| JP5557623B2 (ja) | 感染検査システム及び感染検査方法及び記録媒体及びプログラム | |
| US10587636B1 (en) | System and method for bot detection | |
| US9917857B2 (en) | Logging attack context data | |
| US10095866B2 (en) | System and method for threat risk scoring of security threats | |
| US11381578B1 (en) | Network-based binary file extraction and analysis for malware detection | |
| US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
| US8204984B1 (en) | Systems and methods for detecting encrypted bot command and control communication channels | |
| JP6246943B2 (ja) | ネットワークフォレンジクスのための記憶媒体、装置及び方法 | |
| CA2545916C (en) | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data | |
| JP2014123996A (ja) | ネットワーク監視装置及びプログラム | |
| US7610624B1 (en) | System and method for detecting and preventing attacks to a target computer system | |
| JP2003241989A (ja) | コンピュータウイルス発生検出装置、方法、およびプログラム | |
| JP2006119754A (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
| EP3374870B1 (en) | Threat risk scoring of security threats | |
| US20090276852A1 (en) | Statistical worm discovery within a security information management architecture | |
| CN114006722B (zh) | 发现威胁的态势感知验证方法、装置及系统 | |
| KR101006372B1 (ko) | 유해 트래픽 격리 시스템 및 방법 | |
| CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
| CN114189360B (zh) | 态势感知的网络漏洞防御方法、装置及系统 | |
| TWI761122B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
| EP3964988B1 (en) | Sensing device, sensing method, and sensing program | |
| KR100775455B1 (ko) | 네트워크 테스트 시스템 및 그 테스트 방법 | |
| US20050262565A1 (en) | Method and systems for computer security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121217 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130927 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131008 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131121 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140304 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140402 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5518594 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |