JP2013011949A - 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム - Google Patents

特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム Download PDF

Info

Publication number
JP2013011949A
JP2013011949A JP2011142902A JP2011142902A JP2013011949A JP 2013011949 A JP2013011949 A JP 2013011949A JP 2011142902 A JP2011142902 A JP 2011142902A JP 2011142902 A JP2011142902 A JP 2011142902A JP 2013011949 A JP2013011949 A JP 2013011949A
Authority
JP
Japan
Prior art keywords
feature information
information
new
communication
extracted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011142902A
Other languages
English (en)
Other versions
JP5655191B2 (ja
Inventor
Takeshi Yagi
毅 八木
Hiroki Takakura
弘喜 高倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nagoya University NUC
Nippon Telegraph and Telephone Corp
Original Assignee
Nagoya University NUC
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nagoya University NUC, Nippon Telegraph and Telephone Corp filed Critical Nagoya University NUC
Priority to JP2011142902A priority Critical patent/JP5655191B2/ja
Publication of JP2013011949A publication Critical patent/JP2013011949A/ja
Application granted granted Critical
Publication of JP5655191B2 publication Critical patent/JP5655191B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することを課題とする。
【解決手段】情報収集配信サーバ10の別特徴情報抽出部12bは、オペレータからの特徴情報抽出処理の開始指示を受け付けると、URLリスト13aから特徴情報を含むURLを特定し、オペレータが設定したルールに基づいて、特徴情報と情報種別が異なる別の特徴情報を抽出する。そして、新特徴情報抽出部12cは、抽出した別の特徴情報を用いて、予め記憶しているURLリスト13aから新たな特徴情報を抽出する。続いて、新特徴情報抽出部12cは、新たな特徴情報を特徴情報管理テーブル13bに記憶されている既定の特徴情報に追加する。
【選択図】 図2

Description

本発明は、特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラムに関する。
近年、インターネットの普及に伴い、個人情報の管理やアプリケーションの配信を実施するサーバに対するサイバー攻撃が急増している。サイバー攻撃の代表例としては、攻撃者が正規ユーザのサーバや端末に不正アクセスするために用いる攻撃ツールプログラムであるマルウェアを利用したDDoS(Distributed Denial of Service)攻撃やスパム送信や情報盗難などが挙げられる。
従来、これらの脅威に対処するために、例えば、ファイアウォール機能や通信機能やアンチウィルス機能およびセキュリティアプライアンス機能をルータなどのパケット転送装置に実装することで、サーバ監視機能を構築していた。このようなパケット転送装置をサーバの前段に配置することで、送受信されるデータの内容やパケットヘッダの内容およびファイルの内容等に応じて通信を制御するアクセス制御技術が知られている。
このような技術では、サーバ監視機能を開発したセキュリティベンダが、既知のソフトウェア脆弱性やマルウェアを解析することで、攻撃者がサーバに対して取りうる送信メッセージパターンをシグネチャ化し、シグネチャにマッチする送信メッセージをサーバ監視機能でフィルタする。これにより、攻撃者の不正アクセスからサーバを防御する。
特開2010−198386号公報 八木毅、谷本直人、浜田雅樹、伊藤光恭「プロバイダによるWebサイトへのマルウェア配布防御方式」、信学技報IN2009−34
しかしながら、上記した従来の技術では、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することができないという課題があった。つまり、サーバ監視装置が、シグネチャにマッチしない通信についてはネットワークの通過を許容するため、この通過可能な通信サービスを悪用した不正アクセスを完全に阻止することは困難である。この結果、例えば、セキュリティベンダにとって未知となるソフトウェアの脆弱性や、セキュリティベンダが解析していないソフトウェアの脆弱性に基づいた攻撃には対応できないとういう問題あった。
なお、脆弱性があるソフトウェアを故意に搭載した囮システムをサーバ監視機能配下に配置し、サーバ監視機能で囮システムへのアクセスを監視することで、未知の攻撃を収集する方法が考えられる。しかし、特定のサーバに保存されている情報を不正入手する攻撃が囮システムに送信される可能性が低く、収集可能な攻撃が制限される結果、未知の攻撃を適切に検知することができなかった。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る特徴情報抽出装置は、特定種類の通信の特徴を示す特徴情報を記憶する特徴情報記憶部と、前記特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報と情報種別が異なる別の特徴情報を抽出する別特徴情報抽出部と、前記別特徴情報抽出部によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別の情報を新たな特徴情報として抽出する新特徴情報抽出部と、前記新特徴情報抽出部によって抽出された新たな特徴情報を前記特徴情報記憶部に登録する登録部と、を有することを特徴とする。
また、本発明に係る特徴情報抽出方法は、特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報と情報種別が異なる別の特徴情報を抽出する別特徴情報抽出工程と、前記別特徴情報抽出工程によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別の情報を新たな特徴情報として抽出する新特徴情報抽出工程と、前記新特徴情報抽出工程によって抽出された新たな特徴情報を特徴情報記憶部に登録する登録工程と、を含んだことを特徴とする。
開示の装置、方法およびプログラムによれば、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することを可能にする。
図1は、実施例1に係る情報収集配信サーバを適用するネットワーク構成の一例を示す図である。 図2は、実施例1に係る情報収集配信サーバの構成の一例を説明するための図である。 図3は、特徴情報管理テーブルの一例を示す図である。 図4は、パス名と変数を特徴情報としている場合に、新たに特徴情報を抽出する処理を説明する図である。 図5は、特徴情報の範囲をオペレータが手動で設定する処理を説明する図である。 図6は、変数への入力値を特徴情報としている場合に、新たに特徴情報を抽出する処理を説明する図である。 図7は、通信情報の収集処理と特徴情報の配信処理とを説明する図である。 図8は、囮サーバのトラヒックから新たなシグネチャを生成する処理を説明する図である。 図9は、ユーザサーバへの通信から新たなシグネチャを生成する処理を説明する図である。 図10は、通信の宛先URLから攻撃を検知する処理を説明する図である。 図11は、実施例1に係る情報収集配信サーバの処理手順を説明するためのフローチャートである。 図12は、囮端末へのトラヒックから新たなシグネチャを生成する処理を説明する図である。 図13は、囮端末へのトラヒックから新たなシグネチャを生成する処理を説明する図である。 図14は、ファイルから特徴情報を抽出する処理を説明する図である。 図15は、本実施例に係る特徴情報抽出プログラムを実行するコンピュータを示す図である。
以下に添付図面を参照して、この発明に係る特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラムの実施例を詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
[実施例1に係るファイル収集監視装置の構成]
まず、実施例1に係るファイル収集監視装置の構成について説明する。図1は、実施例1に係る情報収集配信サーバを適用するネットワーク構成の一例を示す図である。
図1に示すように、ネットワーク1は、ネットワーク2〜5を収容する。ネットワーク1は、インターネットのように広域なネットワークであってもよいし、企業ネットワークのように比較的狭域ネットワークであってもよい。
ネットワーク1とネットワーク2との間は、パケット転送部29によって接続されている。また、ネットワーク1とネットワーク3との間は、パケット転送部37によって接続されている。また、ネットワーク1とネットワーク4との間は、パケット転送部42によって接続されている。また、ネットワーク1とネットワーク5との間は、パケット転送部53によって接続されている。また、ネットワーク2内のサーバや端末との間は、パケット転送部25、26によって接続されている。また、ネットワーク3内のサーバや端末との間は、パケット転送部35、36によって接続されている。
囮サーバ21および囮端末22は、サーバや端末に不正アクセスするために用いる攻撃ツールプログラムであるマルウェアを利用したDDoS(Distributed Denial of Service)攻撃やスパム送信などの特定種類の通信(以下、適宜「攻撃」という)を収集する。そして、囮サーバ21および囮端末22は、収集した特定種類の通信のログ情報を所定の記憶領域に保存している。
各ユーザサーバ23、24、33、34やユーザ端末31、34は、ネットワーク1〜5を介して通信を行う。各ユーザサーバ23、24、33、34やユーザ端末31、34は、攻撃者端末41や悪性サーバ51などからの攻撃を受けたことを確認したい対象であり、フィルタ処理による防御対象である。また、各ユーザサーバ23、24、33、34やユーザ端末31、34は、通信のログ情報を所定の記憶領域に保存している。
攻撃者端末41は、各ユーザサーバ23、24、33、34やユーザ端末31、34を攻撃する。悪性サーバ51は、アクセスしたユーザ端末31、32を攻撃するために他のサーに転送する。マルウェア配布サーバ52は、アクセスしたユーザ端末31、32にマルウェアを配布する。
パケット転送部25、26、29、35〜37、42、53は、スイッチやルータなどの機器であって、スイッチ機能、ルータ機能、ポートフォワ−ディング機能、ハイパーテキスト転送プロトコル(HTTP:HyperText Transfer Protocol)転送機能などを有する。パケット転送部25、26、29、35〜37、42、53は、MACアドレスやIPアドレス、ポート番号、HTTPヘッダなどのヘッダの情報を参照して転送先を決定してパケットを出力する。
通信監視部27、28は、ネットワーク2において配置される装置である。また、通信監視部37aは、パケット転送部37内の一機能として配置される。通信監視部27、28、37aは、セキュリティアプライアンスやプロキシ、アンチウィルスなどが適用され、転送に用いられる情報およびパケットペイロードを監視する。
また、通信監視部27、28、37aは、特定種類の通信を特定するための特徴情報を保有し、特徴情報と一致する通信を検知し、検知した通信を遮断するとともに、図示しない外部端末に転送して検疫させる。また、通信監視部27、28、37aは、検知した通信を遮断するとともに、通信を情報袖手配信サーバ10に送信する。また、通信監視部27、28、37aは、トラヒックのログ情報を保存している。
情報収集配信サーバ10は、各通信監視部27、28、37aや、各ユーザサーバ23、24、33、34、各ユーザ端末31、34により保存された通信のログ情報を収集し、収集した情報を解析して新たな特徴情報を抽出し、抽出された新たな特徴情報を各通信監視部27、28、37aや、各ユーザサーバ23、24、33、34、各ユーザ端末31、34に配布する。なお、情報収集配信サーバ10についての詳しい説明は、以下に説明する。
[情報収集配信サーバの構成]
次に、図2を用いて、図1に示した情報収集配信サーバ10の構成を説明する。図2は、実施例1に係る情報収集配信サーバ10の構成を示すブロック図である。図2に示すように、この情報収集配信サーバ10は通信制御I/F11、制御部12、記憶部13を有する。以下にこれらの各部の処理を説明する。
通信制御I/F11は、接続される各通信監視部27、28、37a、各ユーザサーバ23、24、33、34、各ユーザ端末31、34との間でやり取りする各種情報に関する通信を制御する。具体的には、WWWブラウザ制御I/F11は、各通信監視部27、28、37a、各ユーザサーバ23、24、33、34、各ユーザ端末31、34から通信のログ情報を受信し、また、各通信監視部27、28、37a、各ユーザサーバ23、24、33、34、各ユーザ端末31、34へ特徴情報を送信する。
記憶部13は、制御部12による各種処理に要するデータや、制御部12による各種処理結果を記憶し、URLリスト13a、特徴情報管理テーブル13bを有する。また、記憶部13は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置である。
URLリスト13aは、後述する通信情報収集部12aによって収集された通信のログ情報のうち、HTTPの宛先統一資源位置指定子であるURLが保存されている。例えば、URLリスト13aには、通信に利用されたURLとして「http://host#1/d-A/d-B/d-C/file?para=value」が保存される。
特徴情報管理テーブル13bは、特定種類の通信の特徴を示す特徴情報を記憶する。具体的には、特徴情報管理テーブル13bは、図3に示すように、特徴情報を一意に識別する「番号」と、特定種類の通信の特徴を示す「特徴情報」と、特徴情報の属性を示す「属性情報」と、特徴情報の信頼度を示す「スコア」と、特徴情報を抽出するまでに行った抽出処理の回数を示す「多段回数」と、特徴情報を保有する通信を検知した回数を示す「検知回数」とをそれぞれ対応付けて記憶する。
ここで、属性情報には、ブラックとグレーが存在する。ブラックの属性情報の方がグレーの属性情報よりも信頼度が高い。すわなち、属性情報がブラックである特徴情報で検知された通信は、攻撃者端末41等からの攻撃である可能性が高いことを意味している。例えば、囮サーバ21や囮端末22で攻撃から抽出した特徴情報の属性情報については、多段回数が「0」であり、攻撃である可能性が高いため、「ブラック」が設定される。また、それ以外の属性情報は、ブラックよりも信頼度が低い「グレー」に設定される。なお、属性情報は、ブラックとグレーの2種類に限らず、3種類以上あってもよい。また、属性情報を「ブラック」または「グレー」のいずれかにするかの選別は、オペレータによって適宜変更することが可能である。つまり、ブラックやグレーの設定は、例えば、多段回数に基づいて設定してもよい。
また、ここでスコアとは、各特徴情報の信頼度を示した値あり、値が大きいほど信頼度も大きい。なお、スコアの算出方法については、後述するスコア算出部12dの処理の説明で詳述する。このように、特徴情報管理テーブル13bにおいて、各特徴情報には、属性情報やスコアが設定されている。例えば、通信監視部27、28、37aでは、監視対象として設定可能な特徴情報の数や容量に制限がある場合があり、設定する特徴情報を選定するために、属性情報やスコアが利用される。
つまり、設定可能な特徴情報の数や容量に制限がある場合には、通信監視部27、28、37aは、属性情報が「ブラック」の特徴情報のみを設定したり、所定の閾値以上のスコアの特徴情報のみを設定したりする。なお、特徴情報の選定には、主に属性情報を使用し、詳細な粒度が必要な際には、スコアを使うようにする。例えば、「ブラック」の特徴情報から順に特徴情報を設定し、設定容量に空きがある場合には、「グレー」の特徴情報を順に設定してもよい。さらに、「グレー」、「ブラック」のそれぞれの中の優先順位は、スコアや多段回数や検知回数によって、さらに順位付けされてもよい。
また、検知回数の計測方法としては、トラフィック情報を抽出したログのような情報を用意し、情報収集配信サーバ10が生成した特徴情報で、このトラフィック情報のフィルタリングを行って検知回数を計測してもよいし、IDS(侵入検知システム)などに、生成した特徴情報を適用して、実際に流れているトラフィック情報をIDSなどで検知して検知回数を計測するようにしてもよい。
制御部12は、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有し、通信情報収集部12aと、別特徴情報抽出部122bと、新特徴情報抽出部12cと、スコア算出部12dと、特徴情報配信部12eとを有する。また、制御部12は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路、又は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路である。
通信情報収集部12aは、各通信監視部27、28、37a、各ユーザサーバ23、24、33、34、各ユーザ端末31、34から通信のログ情報を収集する。具体的には、通信情報収集部12aは、各通信監視部27、28、37a、各ユーザサーバ23、24、33、34、各ユーザ端末31、34から通信のログ情報を収集し、ログ情報からURLを抽出して、URLリスト13aに格納する。
別特徴情報抽出部12bは、特徴情報を含む通信情報を特定し、特定された通信情報から、所定のルールに従って、特徴情報と情報種別が異なる別の特徴情報を抽出する。具体的には、別特徴情報抽出部12bは、URLリスト13aから通信に利用された全URLを読み出すとともに、特徴情報管理テーブル13aから特徴情報を1つ読み出す。そして、別特徴情報抽出部12bは、読み出した特徴情報を含むURLを特定し、特定されたURLから、所定のルールに従って、特徴情報と情報種別が異なる別の特徴情報を抽出する。そして、別特徴情報抽出部12bは、抽出した別の特徴情報と全URLを新特徴情報抽出部12cに通知する。
ここで、所定のルールに従って、別の特徴情報を抽出する処理の一例について説明する。例えば、別特徴情報抽出部12bは、ルールとして、「?」以降にある「=」より先の文字を抽出するルールを保持している。そして、別特徴情報抽出部12bは、特徴情報「d-A/d-B/d-C/file-a?para=」を含むURL「http://host#1/d-A/d-B/d-C/file-a?para=value」を特定し、URL「http://host#1/d-A/d-B/d-C/file-a?para=value」をURLリスト13aから読み出した場合に、ルールに従って、「value」を別の特徴情報として抽出する。
新特徴情報抽出部12cは、抽出された別の特徴情報を含む通信情報を特定し、特定された通信情報から、特徴情報と同じ、つまり、抽出された別の特徴情報とは異なる情報種別の情報を新たな特徴情報として抽出する。そして、新特徴情報抽出部12cは、抽出された新たな特徴情報を特徴情報管理テーブル13bに登録する。具体的には、新特徴情報抽出部12cは、別特徴情報抽出部12bから別の特徴情報と全URLを受信すると、別の特徴情報を含むURLを特定する。
そして、新特徴情報抽出部12cは、特定されたURLから、特徴情報と同じ情報種別の情報を新たな特徴情報として抽出する。例えば、新特徴情報抽出部12cは、特徴情報の情報種別として、パス名および変数が設定されている場合には、特定されたURLのパス名および変数を新たな特徴情報として抽出する。その後、新特徴情報抽出部12cは、抽出した新たな特徴情報を特徴情報管理テーブル13aに登録するとともに、新たな特徴情報をスコア算出部12dに通知する。
ここで、図4を用いて、上述した別の特徴情報を抽出する処理および新たな特徴情報を抽出する処理について具体例を挙げて説明する。図4は、パス名と変数を特徴情報としている場合に、新たに特徴情報を抽出する処理を説明する図である。まず、別の特徴情報を抽出する処理および新たな特徴情報を抽出する処理を説明する前に、URLの文字列について説明する。
図4に例示するように、URL「http://host#1/d-A/d-B/d-C/file-a?para=value」は、アクセス手段の特徴を示すアクセス手段識別子である「http:」と、アクセス先のホスト名である「host#1」と、アクセス先のプログラムの配置箇所を示すパス名「/d-A/d-B/d-C/file-a?」と、パス名に含まれるファイル名「file-a?」と、プログラムへ情報を入力する場合の入力先の変数名である「para=」と、プログラムへ情報を入力する場合の入力値である「value」とから構成される。なお、FTP(File Transfer Protocol)の通信では、アクセス手段識別子が「FTP」となる。また、プログラムへの入力には、ヘッダの環境変数やペイロードが使用されてもよい。
以下に説明する図4の例では、特徴情報の情報種別として、「パス名」および「変数名」が設定され、別の特徴情報として「入力値」を抽出する場合について説明する。別特徴情報抽出部12bは、URLリスト13aから通信に利用された全URLを読み出すとともに、特徴情報管理テーブル13aから事前に登録された特徴情報であるパス名および変数名「E/F/G?H=」を読み出す。なお、この例では、「E/F/G?」がパス名に該当し、「H=」が変数名に該当する。
そして、別特徴情報抽出部12bは、読み出した特徴情報「E/F/G?H=」を含むURL「http://A.B.C.D/E/F/G?H=IJK」を特定する。続いて、別特徴情報抽出部12bは、特定されたURL「http://A.B.C.D/E/F/G?H=IJK」から、ルールに従って、パス名および変数名と情報種別が異なる入力値「IJK」を別の特徴情報として抽出する(図4の(1)参照)。
そして、新特徴情報抽出部12cは、別の特徴情報「IJK」を含むURL「http://A.B.C.D/L/M/N?H=IJK」を特定し、特定されたURL「http://A.B.C.D/L/M/N?H=IJK」から、特徴情報と同じ情報種別であるパス名および変数名「L/M/N?H=」を新たな特徴情報として抽出する(図4の(2)参照)。その後、新特徴情報抽出部12cは、抽出した新たな特徴情報「L/M/N?H=」を特徴情報管理テーブル13aに登録する。
また、通信監視部27、28、37aは、別の特徴情報「IJK」を含むURL「http://O.P.Q.R/S/T/U?H=IJK」を特定した場合にも、特定されたURL「http://O.P.Q.R/S/T/U?H=IJK」から、特徴情報と同じ情報種別であるパス名および変数名「S/T/U?H=」を新たな特徴情報として抽出する(図4の(3)参照)。
このように、新たな特徴情報が自動的に追加されることで、例えば、通信監視部27、28、37aが新たな特徴情報「L/M/N?H=」を攻撃の検知に使用することができる。このため、通信監視部27、28、37aは、新たな特徴情報を含むURLが使用される通信を攻撃として検知する結果、攻撃の遮断や検疫を適切に行うことが可能となる。
その後、別特徴情報抽出部12bおよび新特徴情報抽出部12cは、異なる新たな特徴情報を抽出する処理を繰り返すことを自動的に行う。なお、繰り返しの終了条件は、例えば、予め設定した上限値に抽出した新たな特徴情報の多段回数が到達するまで、または、全てのルールを用いて新たな特徴を抽出する処理を行うまで、新たな特徴を抽出する処理を繰り返し行う等の条件とする。
また、新たな特徴情報とすべき情報の範囲については、オペレータが目的に応じて手動で設定するようにしてもよい。ここで、図5を用いて、新たな特徴情報とすべき情報の範囲をオペレータが目的に応じて手動で設定する場合について説明する。図5は、特徴情報の範囲をオペレータが手動で設定する処理を説明する図である。
図5に示すように、別特徴情報抽出部12bは、特定されたURL「http://A.B.C.D/E/F/G?H=IJK」から、ルールに従って、パス名と情報種別が異なる入力値「IJK」を別の特徴情報として抽出する(図5の(1)参照)。
そして、新特徴情報抽出部12cは、別の特徴情報「IJK」を含むURL「http://A.B.C.D/L/M/N?H=IJK」を特定し、特定されたURL「http://A.B.C.D/L/M/N?H=IJK」から、特徴情報と同じ情報種別であるパス名「L/M/N?」を新たな特徴情報として抽出する(図5の(2)参照)。その後、新たな特徴情報の範囲を変数名まで拡大する旨の指示を受け付けると、新特徴情報抽出部12cは、変数名まで含んだ「L/M/N?H=」を新たな特徴情報として特徴情報管理テーブル13aに登録する(図5の(3)参照)。
また、図4の例では、パス名と変数名とを特徴情報とし、入力値を別の特徴情報として新たな特徴情報を抽出する処理について説明したが、図6に示すように、入力値を特徴情報とし、パス名と変数名とを別の特徴情報として新たな特徴情報を抽出するようにしてもよい。図6は、変数への入力値を特徴情報としている場合に、新たに特徴情報を抽出する処理を説明する図である。
図6に示すように、別特徴情報抽出部12bは、特定されたURL「http://A.B.C.D/W/X/Y?Z=IJK」から、ルールに従って、入力値と情報種別が異なるパス名および変数名「W/X/Y?Z=」を別の特徴情報として抽出する(図6の(1)参照)。そして、新特徴情報抽出部12cは、別の特徴情報「W/X/Y?Z=」を含むURL「http://A.B.C.D/W/X/Y?Z=abc」を特定し、特定されたURL「http://A.B.C.D/W/X/Y?Z=abc」から、特徴情報と同じ情報種別である入力値「abc」を新たな特徴情報として抽出する(図6の(2)参照)。
また、新特徴情報抽出部12cは、新たな特徴情報を特徴情報管理テーブル13bに登録するとともに、別特徴情報抽出部12bによって抽出された別の特徴情報を登録するようにしてもよい。別の特徴情報も登録することで、特徴情報の量を増加させることができる。
図2の説明に戻って、スコア算出部12dは、各特徴情報について、多段回数および検知回数に応じて、特徴情報が攻撃を検出する信頼度の値であるスコアを算出する。具体的には、スコア算出部12dは、新特徴情報抽出部12cから新たな特徴情報を受信した場合、または、オペレータからスコア算出指示を受け付けた場合に、スコア算出対象となる特徴情報の多段回数および検知回数に関する情報を図示しない記憶領域から取得する。そして、スコア算出部12dは、取得した多段回数および検知回数に応じて、スコアを算出する。
例えば、スコア算出部12dは、多段回数が大きいほどスコアを低くなるように算出する。これは、既定の特徴情報からの関係性が、多段回数が多くなるにつれて薄くなるからである。また、スコア算出部12dは、検知回数が大きいほどスコアが高くなるように算出する。例えば、スコア算出部12は、スコアの算出方法を「スコア=(多段に使用した回数に関する閾値を境とする単調減少するステップ関数1)+(検知回数で単調増加する関数2)」と表すことができる。なお、ステップ関数1がある閾値未満では大きな値をとり、この閾値以上では非常に小さな値をとり、この値の幅が関数2の値よりも大きなものとしてもよい。
つまり、例えば、検知回数よりも多段回数の方がスコアへの影響が強く、スコアに基づいて、ブラック/ホワイトを判定することが可能となる。また、スコア=α*(多段に使用した回数)+β/(検知回数)として、スコアが小さいものほど、高精度としてもよいものである(α、βは重み付けの値)。ここで、「ブラック」は、シグネチャとして通信監視部27、28、37aに設定可、「グレー」は、シグネチャとして使用するには信用度が不十分な可能性があるものとして通信監視部27、28、37aに設定不可としてもよいし、スコアの高い順で通信監視部27、28、37aに設定してもよい。
特徴情報配信部12dは、特徴情報を各通信監視部27、28、37a、各ユーザサーバ23、24、33、34、各ユーザ端末31、34に配信する。具体的には、特徴情報配信部12dは、特徴情報管理テーブル13bから特徴情報を読み出し、特徴情報の属性情報およびスコアに基づいて、複数の特徴情報から一部の特徴情報を選定する。そして、特徴情報配信部12dは、選定した特徴情報をリスト化して、各通信監視部27、28、37a、各ユーザサーバ23、24、33、34、各ユーザ端末31、34に配信する。
ここで、図7を用いて、通信情報収集部12aが通信のログ情報を収集し、特徴情報配信部12dが特徴情報を配信する処理について説明する。図7に例示するように、通信情報収集部12aは、通信監視部37a、ユーザサーバ33およびユーザ端末31が搭載するアンチウィルスソフトなどにより保存された通信のログ情報を収集する。ここで、通信情報収集部12aは、例えば、通信監視部37aから通信のログ情報を収集する方法として、フックやポートミラーリングなどにより通信のログ情報を収集している。
また、特徴情報配信部12dは、特徴情報をリスト化し、通信監視部37a、ユーザサーバ33およびユーザ端末31が搭載するアンチウィルスソフトなどに配信する。ここで、特徴情報配信部12dは、上述したように、属性情報やスコアに応じて、特徴情報を選別して配信するようにしてもよいし、特徴情報のリストに属性情報やスコアの情報を含めて、通信監視部37a等に配信し、通信監視部37a側で採用する特徴情報を選別するようにしてもよい。
また、情報収集配信サーバ10は、セキュリティベンダが配信した特徴情報以外の情報から、新たな特徴情報を抽出できる。例えば、囮サーバ21や囮端末22を利用することで、セキュリティベンダが配信した特徴情報以外の情報から新たな特徴情報を抽出することができる。ここで、情報収集配信サーバ10が新たな特徴情報を抽出し、ユーザサーバ等に配信することで、攻撃者端末等からの攻撃をより精度良く検知することができる例について図8〜図10を用いて説明する。図8は、囮サーバのトラヒックから新たなシグネチャを生成する処理を説明する図である。図9は、ユーザサーバへの通信から新たなシグネチャを生成する処理を説明する図である。図10は、通信の宛先URLから攻撃を検知する処理を説明する図である。
ここで、図8〜図10を用いた説明の前提として、セキュリティベンダが配信する特徴情報とユーザサーバ33上で機能するアンチウィルスソフトとの関係について説明する。図8〜図10の例では、図示しないセキュリティベンダが、特定種類の通信を攻撃として特定した場合に、攻撃を特定するための特徴情報を生成し、当該特徴情報をユーザサーバ33上のアンチウィルスソフト等に配信している。これにより、ユーザサーバ33が、ユーザサーバ33が攻撃を受けた場合には、ユーザサーバ33上のアンチウィルスソフト等で攻撃を検知することを前提にしている。本実施例では、これに加えて、実施例1に係る情報収集配信サーバ10が、例えば、囮サーバ21や囮端末22を利用して、セキュリティベンダが配信した特徴情報以外の情報から、新たな特徴情報を抽出し、ユーザサーバ33に新たな特徴情報を配信することができる。このような前提をもとに、情報収集配信サーバ10が、攻撃者端末等からの攻撃をより精度良く検知することができる例について図8〜図10を用いて以下に説明する。
図8に示すように、パスと変数が特徴情報の情報種別である場合に、特徴情報収集配信サーバ10は、パスと変数で構成される情報aと変数への入力値oを記述した囮サーバ21に対する攻撃301を収集し、情報aを特徴情報として登録し、ユーザサーバ33に配信する。これにより、ユーザサーバ33は、情報aを保有する攻撃302を検知することができる。このように、囮サーバ21や囮端末22を併用することで、セキュリティベンダが配信した特徴情報以外の情報から、新たな特徴情報を抽出できる。
さらに、実施例1に係る情報収集配信サーバ10では、囮サーバ21がパスと変数で構成される情報cと変数への入力値qとを記述した攻撃304を収集した場合には、入力値qを別の特徴情報として抽出する。そして、ユーザサーバ33が攻撃303を受信した際に、変数への入力値が別の特徴情報と一致する「q」であることから、情報収集配信サーバ10は、パスと変数で構成される情報bを新たな特徴情報として登録および配信することで、その後ユーザサーバ33が攻撃303を検知できるようになる。
また、図9の例を用いて、囮サーバ21や囮端末22がない場合について説明する。図9に示すように、パスと変数で構成される情報bを特徴情報として使用している場合に、ユーザサーバ33が上述したように攻撃303を検知できるとともに、パスと変数で構成される情報bと入力値rを記述した攻撃305を検知できる。さらに、情報収集配信サーバ10は、攻撃305の入力値rを別の特徴情報とすることで、パスと変数で構成される情報dと入力値rを記述した攻撃306を受信した際に、入力値がrであることから、パスと変数で構成される情報dを新たな特徴情報として、パスと変数で構成される情報dを新たな特徴情報として登録および配信する。これにより、その後、ユーザサーバ33が攻撃306を検知できるようになる。
また、ユーザサーバ33に対する攻撃として、変数への入力値に、マルウェアを配布するマルウェア配布サーバ52のURLが記述されていることがある。これにより、ユーザサーバ33にマルウェア感染を引き起こすための通信を行わせる場合がある。そこで、このような攻撃に対処する例として、変数への入力値を特徴情報とするとともに、ユーザサーバ33から送信される通信の宛先URLが特徴情報である入力値の一部に記述された文字列と一致するか否かを検査させるようにしてもよい。
例えば、図10に例示するように、ユーザサーバ33は、通信307〜309において、ユーザサーバ33から送信される通信の宛先URLが、図8および図9において攻撃に使用されていた変数の入力値o、p、qの一部に記述されていた文字列と一致するか検査する。この結果、一致する場合には、当該通信が攻撃である可能性が高いため、ユーザサーバ33は、通信の遮断等を行って防御する。これにより、ユーザサーバ33にマルウェア感染を引き起こすための通信を遮断することができる。
[情報収集配信サーバによる処理]
次に、図11を用いて、実施例1に係る情報収集配信サーバ10による処理を説明する。図11は、実施例1に係る情報収集配信サーバの処理動作を示すフローチャートである。
図11に示すように、情報収集配信サーバ10の別特徴情報抽出部12bは、オペレータからの特徴情報抽出処理の開始指示を受け付けると、URLリスト13aから特徴情報を含むURL(例えば、URL「http://A.B.C.D/W/X/Y?Z=IJK」)を特定し、オペレータが設定したルールに基づいて、特徴情報(例えば、URLの入力値である特徴情報「IJK」)と情報種別(例えば、URLの入力値)が異なる別の特徴情報を抽出する(ステップS101)。上記の例を用いて説明すると、別特徴情報抽出部12bは、特定されたURL「http://A.B.C.D/W/X/Y?Z=IJK」から、ルールに従って、入力値と情報種別が異なるパス名および変数名「W/X/Y?Z=」を別の特徴情報として抽出する。
そして、新特徴情報抽出部12cは、抽出した別の特徴情報を用いて、予め記憶しているURLリスト13aから新たな特徴情報を抽出する(ステップS102)。例えば、新特徴情報抽出部12cは、別の特徴情報「W/X/Y?Z=」を含むURL「http://A.B.C.D/W/X/Y?Z=abc」を特定し、特定されたURL「http://A.B.C.D/W/X/Y?Z=abc」から、特徴情報と同じ情報種別である入力値「abc」を新たな特徴情報として抽出する。
続いて、新特徴情報抽出部12cは、新たな特徴情報を特徴情報管理テーブル13bに記憶されている既定の特徴情報に追加する(ステップS103)。その後、新特徴情報抽出部12cは、終了条件を満たすか判定する(ステップS104)。ここで、終了条件としては、例えば、ステップS101〜103の繰り返し回数が一定回数以上となったことや、特徴情報の数や容量が一定数以上となったことが条件として適用される。
この結果、新特徴情報抽出部12cは、終了条件を満たしていないと判定した場合には(ステップS104否定)、ステップS101に戻って、ステップS101〜103の処理を繰り返す。また、新特徴情報抽出部12cは、終了条件を満たしたと判定した場合には(ステップS104肯定)、処理を終了する。
[実施例1の効果]
上述してきたように、情報収集配信サーバ10は、特徴情報を含む通信情報を特定し、特定された通信情報から、所定のルールに従って、特徴情報と情報種別が異なる別の特徴情報を抽出する。そして、情報収集配信サーバ10は、抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、特徴情報と同じ情報種別の情報を新たな特徴情報として抽出し、抽出された新たな特徴情報を特徴情報管理テーブル13bに登録する。このため、既知の特徴情報以外の新たな特徴情報を自動的に生成して登録することができるので、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することが可能である。
また、実施例1によれば、情報収集配信サーバ10は、特徴情報を含むURLを特定し、特定されたURLから別の特徴情報を抽出し、抽出された別の特徴情報を含むURLを特定し、特定されたURLから、特徴情報と同じ情報種別である入力値を新たな特徴情報として抽出する。このため、既知の特徴情報以外の新たな入力値の特徴情報を自動的に生成して登録することができるので、入力値を特徴情報として攻撃を検知する際に、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することが可能である。なお、パスを特徴情報として攻撃を検知するよりも入力値を特徴情報として攻撃を検知する方が相対的に精度が高い。
また、実施例1によれば、情報収集配信サーバ10は、特徴情報を含むURLを特定し、特定されたURLから別の特徴情報を抽出し、抽出された別の特徴情報を含むURLを特定し、特定されたURLから、特徴情報と同じ情報種別であるパス情報を新たな特徴情報として抽出する。このため、既知の特徴情報以外の新たなパス名の特徴情報を自動的に生成して登録することができるので、パスを特徴情報として攻撃を検知する際に、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することが可能である。
また、実施例1によれば、情報収集配信サーバ10は、抽出された新たな特徴情報について、新たな特徴情報が抽出されるまでに実行された多段に使用された処理の回数である多段回数に基づいて、新たな特徴情報が特定種類の通信の特徴である信頼度を示すスコアを算出する。そして、情報収集配信サーバ10は、算出されたスコアに基づいて、特徴情報管理テーブル13bに記憶された複数の特徴情報から一部の特徴情報を選定する。このため、精度の良い特徴情報のみを採用することが可能である。
また、実施例1によれば、情報収集配信サーバ10は、抽出された新たな特徴情報について、該新たな特徴情報によって特定種類の通信が検知された回数である検知回数に基づいて、新たな特徴情報の信頼度を示すスコアを算出する。そして、情報収集配信サーバ10は、算出されたスコアに基づいて、特徴情報管理テーブル13bに記憶された複数の特徴情報から一部の特徴情報を選定する。このため、精度の良い特徴情報のみを採用することが可能である。
また、実施例1によれば、情報収集配信サーバ10は、抽出された新たな特徴情報について、新たな特徴情報が抽出されるまでに実行された多段に使用された処理の回数である多段回数と、該新たな特徴情報によって特定種類の通信が検知された回数である検知回数とに基づいて、特徴情報管理テーブル13bに記憶された複数の特徴情報から一部の特徴情報を選定する。このため、精度の良い特徴情報のみを採用することが可能である。
また、実施例1によれば、情報収集配信サーバ10は、新たな特徴情報が前記特徴情報記憶部に登録されると、さらに異なる新たな特徴情報を含む通信情報を特定し、特定された通信情報から、所定のルールに従って、特徴情報と情報種別が異なる別の特徴情報を抽出する。そして、情報収集配信サーバ10は、抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、特徴情報と同じ情報種別の情報を新たな特徴情報として抽出する。このため、情報収集配信サーバ10は、既知の特徴情報以外の新たな特徴情報を自動的に増やしていくことができるので、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することが可能である。
また、実施例1によれば、抽出された別の特徴情報を特徴情報管理テーブル13bに登録するので、特徴情報を増やすことができ、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することが可能である。
ところで、上記の実施例1では、通信に利用されたURLを用いて、新たな特徴情報を抽出する場合を説明したが、本発明はこれに限定されるものではなく、コンテンツの内容やHTTPリクエストメッセージの内容、ファイルの内容等を用いて、新たな特徴情報を抽出するようにしてもよい。
そこで、以下の実施例2では、コンテンツの内容やHTTPリクエストメッセージの内容、ファイルの内容等を用いて、新たな特徴情報を抽出する場合として、図12〜図14を用いて、実施例2における情報収集配信サーバの処理について説明する。図12は、囮端末へのトラヒックから新たなシグネチャを生成する処理を説明する図である。図13は、囮端末へのトラヒックから新たなシグネチャを生成する処理を説明する図である。図14は、ファイルから特徴情報を抽出する処理を説明する図である。
まず、図12を参照しつつ、コンテンツの内容を用いて、新たな特徴情報を抽出する場合について説明する。例えば、図12に示すように、囮端末22がマルウェア感染を引き起こすための通信501および504を行った場合に、情報収集配信サーバ10は、通信501および504に関する情報として、コンテンツの内容を収集するようにしてもよい。
そして、情報収集配信サーバ10は、マルウェア感染を引き起こすための通信を検知するための特徴情報として、コンテンツの内容をユーザ端末31等に配布する。これにより、ユーザ端末31は、配布されたコンテンツの内容が部分一致する通信502、503を検知する。なお、情報収集配信サーバ10は、通信502、503のコンテンツの内容以外の情報を別の特徴情報とし、別の特徴情報を含む通信情報を特定し、特定された通信情報から、コンテンツの内容を抽出して新たな特徴情報とするようにしてもよい。
次に、図13を参照しつつ、HTTPリクエストメッセージの内容を用いて、新たな特徴情報を抽出する場合について説明する。例えば、HTTPを用いた通信では、囮端末22への攻撃および攻撃を引き起こすための通信がHTTPレスポンスメッセージである場合があり、このような場合には、当該レスポンスの原因となったHTTPリクエストメッセージが存在する。このため、囮端末22から送信されたHTTPリクエストメッセージに起因して囮端末22への攻撃が発生した場合には、HTTPリクエストメッセージから攻撃の原因となった通信601〜604を特定できる。
このような場合に、情報収集配信サーバ10は、通信601〜604のログ情報から、HTTPリクエストメッセージの一致する部分を抽出し、新たな特徴情報として登録し、ユーザサーバ33等に配信する。これにより、ユーザサーバ33は、配布されたHTTPリクエストメッセージの内容が部分一致する通信601〜604を検知し、通信を遮断することができる。
次に、図14を参照しつつ、ファイルの内容を用いて、新たな特徴情報を抽出する場合について説明する。例えば、図14に示すように、情報収集配信サーバ10は、既定の特徴情報「#!bot@pscan<ip>」217が記述されているファイル218を受信した際に、ルールに従って、ファイル218に記述されている別の特徴情報「#!bot@htflood」219を抽出する。ここで、ルールとは、予めファイル内の位置を指定しておき、該当する位置にある行や文字列を抽出対象とする、または予め決めておいた文字列を含む行や文字列を抽出対象とするなどのルールである。
そして、情報収集配信サーバ10は、別の特徴情報「#!bot@htflood」219を含むファイルを受信した際に、ファイルを送受信する通信を特定種類の通信とするとともに、ファイルに記述されている特徴情報「#!bot@uflood」を新たな特徴情報として抽出し、新たな特徴情報として登録し、ユーザサーバ33等に配信する。
このように、コンテンツの内容やHTTPリクエストメッセージの内容、ファイルの内容等を用いて、新たな特徴情報を抽出することで、特徴情報の量を増やし、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することが可能である。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では実施例3として本発明に含まれる他の実施例を説明する。
[システム構成]
また、本実施例において説明した各処理の内、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上述文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。
[プログラム]
上記実施例で説明した情報収集配信サーバ10は、あらかじめ用意されたプログラムをコンピュータで実行することで実現することもできる。そこで、以下では、図2に示した情報収集配信サーバ10と同様の機能を実現する特徴情報抽出プログラムを実行するコンピュータの一例を説明する。
図15は、本実施例に係る特徴情報抽出プログラムを実行するコンピュータ1000を示す図である。図15に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1010は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図15に示すように、ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。本実施例に係るファイル収集監視プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。
また、ファイル収集監視プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュールやプログラムデータを必要に応じてRAM1012に読み出して、各種の手順を実行する。
なお、特徴情報抽出プログラムに係るプログラムモジュールやプログラムデータは、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、情報送受信プログラムに係るプログラムモジュールやプログラムデータは、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
これらの実施例やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
[その他]
なお、本実施例で説明したアクセス制御プログラムは、インターネットなどのネットワークを介して配布することができる。また、制御プログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
10 情報収集配信サーバ
11 通信制御I/F
12 制御部
12a 通信情報収集部
12b 別特徴情報抽出部
12c 新特徴情報抽出部
12d スコア算出部
12e 特徴情報配信部
13 記憶部
13a URLリスト
13b 特徴情報管理テーブル
21 囮サーバ
22 囮端末
23、24、33、34 ユーザサーバ
25、26、29、37、35、36、42、53 パケット転送部
27、28、37a 通信監視部
31、32 ユーザ端末
41 攻撃者端末
51 悪性サーバ
52 マルウェア配布サーバ

Claims (9)

  1. 特定種類の通信の特徴を示す特徴情報を記憶する特徴情報記憶部と、
    前記特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報と情報種別が異なる別の特徴情報を抽出する別特徴情報抽出部と、
    前記別特徴情報抽出部によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別の情報を新たな特徴情報として抽出する新特徴情報抽出部と、
    前記新特徴情報抽出部によって抽出された新たな特徴情報を前記特徴情報記憶部に登録する登録部と、
    を有することを特徴とする特徴情報抽出装置。
  2. 前記特徴情報記憶部は、前記特徴情報として、前記特定種類の通信において用いられる変数へ入力される入力値を記憶し、
    前記別特徴情報抽出部は、前記特徴情報を含むハイパーテキスト転送プロトコルの宛先統一資源位置指定子を特定し、該特定された宛先統一資源位置指定子から、所定のルールに従って、前記特徴情報の情報種別である入力値と情報種別が異なる別の特徴情報を抽出し、
    前記新特徴情報抽出部は、前記別特徴情報抽出部によって抽出された別の特徴情報を含む宛先統一資源位置指定子を特定し、該特定された宛先統一資源位置指定子から、前記特徴情報と同じ情報種別である入力値を新たな特徴情報として抽出することを特徴とする請求項1に記載の特徴情報抽出装置。
  3. 前記特徴情報記憶部は、前記特徴情報として、前記特定種類の通信において用いられるパスに関するパス情報を記憶し、
    前記別特徴情報抽出部は、前記特徴情報を含むハイパーテキスト転送プロトコルの宛先統一資源位置指定子を特定し、該特定された宛先統一資源位置指定子から、所定のルールに従って、前記特徴情報の情報種別であるパス情報と情報種別が異なる別の特徴情報を抽出し、
    前記新特徴情報抽出部は、前記別特徴情報抽出部によって抽出された別の特徴情報を含む宛先統一資源位置指定子を特定し、該特定された宛先統一資源位置指定子から、前記特徴情報と同じ情報種別であるパス情報を新たな特徴情報として抽出することを特徴とする請求項1に記載の特徴情報抽出装置。
  4. 前記別特徴情報抽出部は、前記登録部によって登録された新たな特徴情報を取得し、該新たな特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報と情報種別が異なる別の特徴情報を抽出し、
    前記新特徴情報抽出部は、前記前記別特徴情報抽出部によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別の情報を新たな特徴情報として抽出し、
    前記登録部は、前記新特徴情報抽出部によって抽出された新たな特徴情報を前記特徴情報記憶部に登録するものであって、
    前記新特徴情報抽出部によって抽出された新たな特徴情報について、該新たな特徴情報が抽出されるまでに前記新特徴情報抽出部が繰り返した抽出処理の回数である多段回数に基づいて、前記新たな特徴情報の信頼度を示すスコアを算出するスコア算出部と、
    前記スコア算出部によって算出されたスコアに基づいて、前記特徴情報記憶部に記憶された複数の特徴情報から一部の特徴情報を選定する特徴情報選定部と、
    をさらに有することを特徴とする請求項1〜3のいずれか一つに記載の特徴情報抽出装置。
  5. 前記新特徴情報抽出部によって抽出された新たな特徴情報について、該新たな特徴情報によって前記特定種類の通信が検知された回数である検知回数に基づいて、前記新たな特徴情報が前記特定種類の信頼度を示すスコアを算出するスコア算出部と、
    前記スコア算出部によって算出されたスコアに基づいて、前記特徴情報記憶部に記憶された複数の特徴情報から一部の特徴情報を選定する特徴情報選定部と、
    をさらに有することを特徴とする請求項1〜3のいずれか一つに記載の特徴情報抽出装置。
  6. 前記別特徴情報抽出部は、前記登録部によって新たな特徴情報が前記特徴情報記憶部に登録されると、さらに異なる新たな特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記登録部によって登録された新たな特徴情報と情報種別が異なる別の特徴情報を抽出し、
    前記新特徴情報抽出部は、前記別特徴情報抽出部によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別の情報を新たな特徴情報として抽出することを特徴とする請求項1〜5のいずれか一つに記載の特徴情報抽出装置。
  7. 前記登録部は、前記別特徴情報抽出部によって抽出された別の特徴情報を前記特徴情報記憶部に登録することを特徴とする請求項1〜6のいずれか一つに記載の特徴情報抽出装置。
  8. 特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報と情報種別が異なる別の特徴情報を抽出する別特徴情報抽出工程と、
    前記別特徴情報抽出工程によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別の情報を新たな特徴情報として抽出する新特徴情報抽出工程と、
    前記新特徴情報抽出工程によって抽出された新たな特徴情報を特徴情報記憶部に登録する登録工程と、
    を含んだことを特徴とする特徴情報抽出方法。
  9. コンピュータを請求項1〜7のいずれか一つに記載の特徴情報抽出装置として機能させるための特徴情報抽出プログラム。
JP2011142902A 2011-06-28 2011-06-28 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム Active JP5655191B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011142902A JP5655191B2 (ja) 2011-06-28 2011-06-28 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011142902A JP5655191B2 (ja) 2011-06-28 2011-06-28 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム

Publications (2)

Publication Number Publication Date
JP2013011949A true JP2013011949A (ja) 2013-01-17
JP5655191B2 JP5655191B2 (ja) 2015-01-21

Family

ID=47685798

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011142902A Active JP5655191B2 (ja) 2011-06-28 2011-06-28 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム

Country Status (1)

Country Link
JP (1) JP5655191B2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015050767A (ja) * 2013-09-03 2015-03-16 韓國電子通信研究院Electronics and Telecommunications Research Institute ホワイトリスト基盤のネットワークスイッチ
JP2016081348A (ja) * 2014-10-17 2016-05-16 エヌ・ティ・ティ・コミュニケーションズ株式会社 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム
WO2016121621A1 (ja) * 2015-01-27 2016-08-04 株式会社ラック 情報処理装置、情報処理方法及びプログラム
JP2017532916A (ja) * 2014-10-31 2017-11-02 中国科学院声学研究所Institute Of Acoustics, Chinese Academy Of Sciences Rdpデータ収集装置及び方法
JP2018007179A (ja) * 2016-07-07 2018-01-11 エヌ・ティ・ティ・コミュニケーションズ株式会社 監視装置、監視方法および監視プログラム
JP2018073140A (ja) * 2016-10-31 2018-05-10 富士通株式会社 ネットワーク監視装置、プログラム及び方法
JP6375047B1 (ja) * 2017-12-05 2018-08-15 株式会社サイバーセキュリティクラウド ファイアウォール装置
WO2019026310A1 (ja) 2017-08-02 2019-02-07 三菱電機株式会社 情報処理装置、情報処理方法及び情報処理プログラム
JP2019536158A (ja) * 2016-11-23 2019-12-12 Line株式会社 検知結果が有効であるかないかを検証する方法およびシステム
JP2020005234A (ja) * 2018-07-02 2020-01-09 日本電信電話株式会社 生成装置、生成方法及び生成プログラム

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017187999A1 (ja) 2016-04-26 2017-11-02 日本電気株式会社 プログラム分析システム、プログラム分析方法、及び、記録媒体
PL3588897T3 (pl) 2018-06-30 2020-07-27 Ovh Sposób i system obrony infrastruktury przed rozproszonym atakiem odmowy usługi

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005011234A (ja) * 2003-06-20 2005-01-13 Toshiba Corp 不正アクセス検出装置、不正アクセス検出方法およびプログラム
JP2006133992A (ja) * 2004-11-04 2006-05-25 Toshiba Corp 異常データ検出装置、異常データ検出方法及び異常データ検出プログラム
US20110083180A1 (en) * 2009-10-01 2011-04-07 Kaspersky Lab, Zao Method and system for detection of previously unknown malware
JP2011076188A (ja) * 2009-09-29 2011-04-14 Nippon Telegr & Teleph Corp <Ntt> Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム
JP2011086192A (ja) * 2009-10-16 2011-04-28 Nippon Telegr & Teleph Corp <Ntt> 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
JP2011087189A (ja) * 2009-10-16 2011-04-28 Nippon Telegr & Teleph Corp <Ntt> 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005011234A (ja) * 2003-06-20 2005-01-13 Toshiba Corp 不正アクセス検出装置、不正アクセス検出方法およびプログラム
JP2006133992A (ja) * 2004-11-04 2006-05-25 Toshiba Corp 異常データ検出装置、異常データ検出方法及び異常データ検出プログラム
JP2011076188A (ja) * 2009-09-29 2011-04-14 Nippon Telegr & Teleph Corp <Ntt> Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム
US20110083180A1 (en) * 2009-10-01 2011-04-07 Kaspersky Lab, Zao Method and system for detection of previously unknown malware
JP2011086192A (ja) * 2009-10-16 2011-04-28 Nippon Telegr & Teleph Corp <Ntt> 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
JP2011087189A (ja) * 2009-10-16 2011-04-28 Nippon Telegr & Teleph Corp <Ntt> 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9369434B2 (en) 2013-09-03 2016-06-14 Electronics And Telecommunications Research Institute Whitelist-based network switch
JP2015050767A (ja) * 2013-09-03 2015-03-16 韓國電子通信研究院Electronics and Telecommunications Research Institute ホワイトリスト基盤のネットワークスイッチ
JP2016081348A (ja) * 2014-10-17 2016-05-16 エヌ・ティ・ティ・コミュニケーションズ株式会社 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム
JP2017532916A (ja) * 2014-10-31 2017-11-02 中国科学院声学研究所Institute Of Acoustics, Chinese Academy Of Sciences Rdpデータ収集装置及び方法
WO2016121621A1 (ja) * 2015-01-27 2016-08-04 株式会社ラック 情報処理装置、情報処理方法及びプログラム
JP2016139935A (ja) * 2015-01-27 2016-08-04 株式会社ラック 情報処理装置、情報処理方法及びプログラム
JP2018007179A (ja) * 2016-07-07 2018-01-11 エヌ・ティ・ティ・コミュニケーションズ株式会社 監視装置、監視方法および監視プログラム
JP2018073140A (ja) * 2016-10-31 2018-05-10 富士通株式会社 ネットワーク監視装置、プログラム及び方法
JP2019536158A (ja) * 2016-11-23 2019-12-12 Line株式会社 検知結果が有効であるかないかを検証する方法およびシステム
WO2019026310A1 (ja) 2017-08-02 2019-02-07 三菱電機株式会社 情報処理装置、情報処理方法及び情報処理プログラム
JP6375047B1 (ja) * 2017-12-05 2018-08-15 株式会社サイバーセキュリティクラウド ファイアウォール装置
JP2019103039A (ja) * 2017-12-05 2019-06-24 株式会社サイバーセキュリティクラウド ファイアウォール装置
US11088991B2 (en) 2017-12-05 2021-08-10 Cyber Security Cloud, Inc. Firewall device to automatically select a rule required for each individual web server
JP2020005234A (ja) * 2018-07-02 2020-01-09 日本電信電話株式会社 生成装置、生成方法及び生成プログラム
WO2020009094A1 (ja) * 2018-07-02 2020-01-09 日本電信電話株式会社 生成装置、生成方法及び生成プログラム
JP7052602B2 (ja) 2018-07-02 2022-04-12 日本電信電話株式会社 生成装置、生成方法及び生成プログラム
US11985151B2 (en) 2018-07-02 2024-05-14 Nippon Telegraph And Telephone Corporation Generation device, generation method, and generation program

Also Published As

Publication number Publication date
JP5655191B2 (ja) 2015-01-21

Similar Documents

Publication Publication Date Title
JP5655191B2 (ja) 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
US11924170B2 (en) Methods and systems for API deception environment and API traffic control and security
JP6053091B2 (ja) トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
JP6159018B2 (ja) 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム
US8347383B2 (en) Network monitoring apparatus, network monitoring method, and network monitoring program
EP3591558A1 (en) System and method for detection of malicious hypertext transfer protocol chains
JP5832951B2 (ja) 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム
Affinito et al. The evolution of Mirai botnet scans over a six-year period
JP5986340B2 (ja) Url選定方法、url選定システム、url選定装置及びurl選定プログラム
WO2022166166A1 (zh) 安全组件的功能验证方法及装置
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JP5345500B2 (ja) 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
JP6538618B2 (ja) 管理装置及び管理方法
JP5313104B2 (ja) 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
JP5385867B2 (ja) データ転送装置及びアクセス解析方法
JP5952219B2 (ja) ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム
JP5952220B2 (ja) ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム
JP2013255196A (ja) ネットワーク監視装置及びネットワーク監視方法
KR101686472B1 (ko) 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법
Misbahuddin et al. Dynamic IDP Signature processing by fast elimination using DFA
Singh Intrusion detection system (IDS) and intrusion prevention system (IPS) for network security: a critical analysis

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20131004

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20131004

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140715

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140916

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141007

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141009

R150 Certificate of patent or registration of utility model

Ref document number: 5655191

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350