JP2013081146A - アドレス抽出装置 - Google Patents
アドレス抽出装置 Download PDFInfo
- Publication number
- JP2013081146A JP2013081146A JP2011221313A JP2011221313A JP2013081146A JP 2013081146 A JP2013081146 A JP 2013081146A JP 2011221313 A JP2011221313 A JP 2011221313A JP 2011221313 A JP2011221313 A JP 2011221313A JP 2013081146 A JP2013081146 A JP 2013081146A
- Authority
- JP
- Japan
- Prior art keywords
- address
- url
- information
- access
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】情報漏洩検知システム100は、プロキシサーバ装置600のプロキシログ201に示されるアクセス先のアドレスの内、あらかじめ正当と定義されたアドレスが示されるURLホワイトリスト202と、ユーザの指示に基づき端末装置500がプロキシサーバ装置600に通知したアクセス先のアドレスが示されるユーザ指示情報とのいずれにも示されていないアドレスを抽出する。
【選択図】図1
Description
すなわち、アンチウイルスソフトウェアでの検知にはマルウェアに対応したパターンファイルが必要である。しかし、標的型攻撃を行うマルウェアは、従来のマルウェアと異なり攻撃対象が限定されているため、一般に知られにくく、すぐに存在を認識できない。従って、アンチウイルスソフトウェアベンダのパターンファイル作成が遅れることがある。そして、多くのアンチウイルスソフトウェアでは標的型攻撃で用いられるマルウェアの検知が遅れる可能性がある。
端末装置からアクセス先として通知されたアドレスにアクセスを行うプロキシサーバ装置がアクセスを行ったアドレスの内、所定のアドレスを抽出するアドレス抽出装置であって、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスが示されるプロキシログと、あらかじめ正当と定義されたアドレスが示される正当アドレス情報とを入力するアドレス入力部と、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報に示されていないアドレスを抽出するアドレス抽出部と
を備えたことを特徴とする。
(情報漏洩検知システムの周辺構成)
図1は、情報漏洩検知システムの周辺構成の例を示す図である。
情報漏洩検知システム100は、例えばマルウェアによってアクセスされたURL(Uniform Resource Locator)を抽出する。ここで、URLは例えばプロキシサーバ装置600(後述で説明)がアクセスを行うアクセス先のアドレスである。すなわち、情報漏洩検知システム100は、アドレス抽出装置である。そして、情報漏洩検知システム100はプロキシサーバ装置600がアクセスを行ったアドレスの内、所定のアドレスを抽出する。情報漏洩検知システム100が抽出する所定のアドレスについては後述で説明する。
ここで、例えばマルウェアによってアクセスされたアドレス(URL)を以降「不正なアドレス」と称する。
ここで、図示は省略するが、端末装置500は例えば、企業などの組織で使われる個人用のパーソナルコンピュータなどであり、複数の端末装置500も例えばLANなどで接続されている。
例えば、企業などの組織では、端末装置500がネットワーク150(例えばインターネットなど)を介して、Webサイトにアクセスする際に、端末装置500から直接Webサイトにアクセスするのではなく、プロキシが端末装置500の代理でWebサイトにアクセスする。
本実施の形態では、例えば組織に1台設置されているプロキシをプロキシサーバ装置600と称する。
すなわち、プロキシサーバ装置600は、端末装置500からアクセス先として通知されたアドレスにアクセスを行う。
前述のように、例えば企業など組織内の端末装置500はWebサイトにアクセスする際に、プロキシサーバ装置600にHTTP接続する。プロキシサーバ装置600は端末装置500の代りにインターネットに接続しWeb通信(HTTP通信)を行う。Web通信(HTTP通信)の結果はプロキシサーバ装置600から端末装置500へ転送される。
例えば、マルウェアがWebアクセスする場合は必ずプロキシサーバ装置600に接続するため、プロキシログ201に通信記録が残る。また、マルウェア以外のWebアクセス(ブラウザ、アプリケーションからの通信)もプロキシログ201に通信記録が残る。
URLホワイトリスト202は、ホワイトURLのリストである。ホワイトURLは予め組織でアクセスが許可されているURLである。例えば、OS(Operating System)、オフィスアプリケーションのアップデートサイトやニュースサイトなどがある。
すなわち、ホワイトURLは、あらかじめ正当と定義されたアドレスである。そして、URLホワイトリスト202は、あらかじめ正当と定義されたアドレスが示される正当アドレス情報に対応する。
端末装置500は、端末操作記録アプリケーションを備える。端末操作記録アプリケーションが、ユーザの端末装置500の操作を記録したものが端末操作ログ203である。端末操作ログ203は、例えば端末装置500の記憶装置に記憶される。
すなわち、端末操作ログ203は、ユーザ指示情報に対応する。
ローカルプロキシ550は、各端末装置500にインストールされるプロキシである。端末装置500上のブラウザやWebアクセスするアプリケーションは、ローカルプロキシ550を通じて、プロキシサーバ装置600にアクセスする。
ローカルプロキシログ204に記録されるWebコンテンツには、ブラウザでアクセスしたWebページ(Webコンテンツ)に関連付けられるコンテンツの情報(URLの情報)が含まれる。
このWebページに関連付けられるコンテンツの情報(URLの情報)とは、Webページにアクセスしたブラウザ(または、ローカルプロキシ550やプロキシサーバ装置600)が自動で取得したり、リンクしたりする他のコンテンツの情報である。このWebページに関連付けられるコンテンツの情報には、関連付けられたコンテンツのURLの情報も含まれる。そして、関連付けられたコンテンツのURLの情報は、関連アドレス情報に対応し、ローカルプロキシログ204は関連アドレス情報にも対応する。
このWebページ(Webコンテンツ)に関連付けられ、Webページ(Webコンテンツ)にアクセスしたブラウザ(または、ローカルプロキシ550やプロキシサーバ装置600)が自動で取得したり、リンクしたりする他のコンテンツの情報を以降「Webコンテンツが自動で取得するコンテンツ」と称する。
図2は、情報漏洩検知システム100の構成の例を示す図である。情報漏洩検知システム100を構成する各要素について説明する。
プロキシログ取り込み部101は、プロキシログ201、端末識別子205、期間206を入力とし、ログの内容であるプロキシログエントリ301を抽出する。
例えばユーザが情報漏洩検知システム100を用いて調査を行いたい対象の端末装置500の識別子を、例えばキーボードの様な入力装置を用いて入力する。この入力装置は、情報漏洩検知システム100に備えられていても良いし、情報漏洩検知システム100の外部であっても良い。
URLホワイトリスト取り込み部102は、URLホワイトリスト202を入力し、URLホワイトリスト202の内容であるホワイトURL302を抽出する。
端末操作ログ取り込み部103は、端末操作ログ203を入力し、ブラウザによりアクセスされたWebサイトのURL情報であるWebアクセスURL情報303を抽出する。
また、端末操作ログ取り込み部103は、非操作期間(後述で説明)又は非アドレス対応期間(後述で説明)を算出する。すなわち、端末操作ログ取り込み部103は、期間算出部に対応する。
ローカルプロキシログ取り込み部104は、ローカルプロキシログ204、端末識別子205、期間206を入力し、ローカルプロキシログ204の内容であるローカルプロキシログエントリ304を抽出する。すなわち、ローカルプロキシログエントリ304も図2における図示は省略するが、ユーザ指示情報と関連アドレス情報とに対応する。
グレーURL特定部105は、プロキシログエントリ301、ホワイトURL302、ブラウザアクセスURL情報307(後述で説明)を入力し、マルウェアがアクセスしている可能性があるURL情報であるグレーURL情報305を抽出する。すなわち、グレーURL特定部105は、アドレス抽出部に対応する。
トップページURL特定部106は、WebアクセスURL情報303、ローカルプロキシログエントリ304を入力し、ローカルプロキシログエントリ304から、WebアクセスURL情報303とURLが一致するログエントリを抽出し、トップページURL情報306として出力する。トップページURL情報306は、ユーザ指示情報に対応する。
ブラウザアクセスURL特定部107は、トップページURL情報306、ローカルプロキシログエントリ304を入力し、ローカルプロキシログエントリ304のWebコンテンツに含まれる、Webコンテンツが自動で取得するコンテンツや、他のWebページへのリンク情報(URL)を、トップページ内URLとして抽出する。このトップページ内URLは、Webコンテンツに関連する関連アドレス情報である。
ブラックURL特定部108は、グレーURL情報305、ブラウザアクセスURL情報307、ブラック判定条件207を入力し、マルウェアのアクセスしたサイトと思われるブラックURL208を抽出する。すなわち、ブラックURL特定部108はアドレス抽出部に対応する。
また、ブラックURL特定部108は、外部サービス209(後述で説明)から情報を入力する情報入力部に対応する。
ログ蓄積部109は、プロキシログ201、端末操作ログ203、ローカルプロキシログ204を取り込み、蓄積する。ログ蓄積部109は、例えば、磁気ディスク装置などの記憶装置である。
情報漏洩検知システム100の動作について説明する。
図3は、端末操作ログ203の例を示す図である。
図4は、端末操作ログ取り込み部103の処理の例を示すフローチャートである。
図5は、WebアクセスURL情報303の例を示す図である。
期間206は、ある特定の期間にマルウェアからWebアクセスがあったか否かを確認するために、例えばユーザが期間特定部200を用いて指定する期間である。例えば、「2011/06/23 09:00:00〜2011/06/23 18:00:00」の期間にマルウェアからのWebアクセスの有無を調べる場合、期間特定部200は、期間206として「2011/06/23 09:00:00〜2011/06/23 18:00:00」を指定する。
ここで、実施の形態の説明において示されるURL(例えば、前述の「http://○○○.123−sample.△△△/」)は、あくまで例として挙げられたものであり、実在のURLとは無関係である。
このアドレス指示操作によるアドレスが端末操作ログ203には示されている(例えば、図3のD2033では「http://○○○.123−sample.△△△/」)。そして、端末装置500は、プロキシサーバ装置600にアクセス先として、このアドレスを通知する。そして、端末装置500は、前述の通りプロキシサーバ装置600を利用してWebアクセスを行う。
ここで、期間206は「2011/06/23 09:00:00〜2011/06/23 18:00:00」、端末識別子205は、「192.168.1.2」が指定されているとする。
次に、端末操作ログ取り込み部103は、入力したエントリの操作日時が期間206の範囲内か否かを判定する(図4のS403)。
操作日時が期間206の範囲内であれば(図4のS403の「YES」)、端末操作ログ取り込み部103は、入力したエントリの端末識別子が、端末識別子205と一致するか否かを判定する(図4のS404)。
端末識別子が、端末識別子205と一致すれば(図4のS404の「YES」)、端末操作ログ取り込み部103は、入力したエントリの操作タイプがWebアクセスか否かを判定する(図4のS405)。
操作タイプがWebアクセスであれば(図4のS405の「YES」)、端末操作ログ取り込み部103は、読み込んだエントリをWebアクセスURL情報303として出力する(図4のS406)。
図6は、ローカルプロキシログ204の例を示す図である。
図7は、コンテンツ実体350の例を示す図である。
図8は、ローカルプロキシログ取り込み部104の処理の例を示すフローチャートである。
図9は、ローカルプロキシログエントリ304の例を示す図である。
ローカルプロキシログ204は、図6に示すファーマットのように、例えば「アクセス日時、端末識別子、アクセスしたWebサイトのURL、メソッド(GET/POSTなど)、ステータスコード、通信サイズ、コンテンツ実体350」が時系列順に記録される。
そして、図6において、コンテンツ実体350の部分「(コンテンツ実体)」の図示を省略しているが、実際には例えば図7に示すような内容が記録されている。
図7に示す例では、「http GET」の結果として得られたコンテンツが示されているが、POSTの場合は送付されたコンテンツが記録される。
ここで、期間206は「2011/06/23 09:00:00〜2011/06/23 18:00:00」、端末識別子205は、「192.168.1.2」が指定されているとする。
ローカルプロキシログ取り込み部104は、全てのエントリを入力していなければ(図8のS501の「NO」)、入力していないローカルプロキシログ204のエントリを例えばアクセス日時の時系列順に入力する(図8のS502)。
次に、ローカルプロキシログ取り込み部104は、入力したエントリのアクセス日時が期間206の範囲内か否かを判定する(図8のS503)。
アクセス日時が期間206の範囲内であれば(図8のS503の「YES」)、ローカルプロキシログ取り込み部104は、入力したエントリの端末識別子が、端末識別子205と一致するか否かを判定する(図8のS504)。
端末識別子が、端末識別子205と一致すれば(図8のS504の「YES」)、ローカルプロキシログ取り込み部104は、読み込んだエントリをローカルプロキシログエントリ304として出力する(図8のS505)。
ここで、図6に示すD3045のアクセス日時が、期間206に該当しない為、図9に示すローカルプロキシログエントリ304のセットには含まれていない。
図10は、トップページURL特定部106の第1の処理の例を示すフローチャートである。
図11は、トップページURL特定部106の第1の処理によって抽出されたURLリストの例を示す図である。
図12は、トップページURL特定部106の第2の処理の例を示すフローチャートである。
図13は、トップページURL情報306の例を示す図である。
トップページURL特定部106は、全てのWebアクセスURL情報303を入力していなければ(図10のS601の「NO」)、入力していないWebアクセスURL情報303を例えばアクセス日時の時系列順に入力する(図10のS602)。
次に、トップページURL特定部106は、入力したWebアクセスURL情報303のURL(WebアクセスURL)を抽出する(図10のS603)。
次に、トップページURL特定部106は、入力したWebアクセスURL情報303の操作日時を抽出する(図10のS604)。
そして、トップページURL特定部106は、抽出したURL(WebアクセスURL)と操作日時とを1つのエントリとしたリストを生成する。リストの例を図11に示す。
そして、図10のS601の処理に戻り、トップページURL特定部106は、全てのWebアクセスURL情報303を入力するまで(図10のS601の「YES」)、図10のS601からS605の処理を繰り返す。
例えば、WebアクセスURL情報303のセットが図5に示される例の場合、トップページURL特定部106は、最初に図5のWebアクセスURL情報303a「2011/06/23 10:00:00、192.168.1.2,UserID1234、Webアクセス、http://○○○.abc−sample.△△△/,GET」を入力する(図10のS602)。そして、トップページURL特定部106は、WebアクセスURL情報303aから、URL「http://○○○.abc−sample.△△△/」を抽出し(図10のS603)、操作日時「2011/06/23 10:00:00」を抽出する(図10のS604)。そして、トップページURL特定部106は「http://○○○.abc−sample.△△△/、2011/06/23 10:00:00」を1つのエントリ(図11のD1061)としたリストを生成する。
トップページURL特定部106は第2の処理として、第1の処理で生成した例えば図11に示すリストに含まれるエントリのURLと操作日時とに一致するローカルプロキシログエントリ304を抽出する。
ここで図12の図示は省略しているが、トップページURL特定部106は、第1の処理で生成した例えば図11に示すリストに含まれる全てのエントリに対して、図12の処理を行う。
ここでは、トップページURL特定部106が第1の処理で抽出したエントリとして、図11のD1061に示されるエントリ「http://○○○.abc−sample.△△△/、2011/06/23 10:00:00」を例に説明する。
トップページURL特定部106は、全てのローカルプロキシログエントリ304を入力していなければ(図12のS101の「NO」)、入力していないローカルプロキシログエントリ304を例えばアクセス日時の時系列順に入力する(図12のS102)。
ここで、例えば、トップページURL特定部106は、図9のローカルプロキシログエントリ304a「2011/06/23 10:00:00、192.168.1.2、http://○○○.abc−sample.△△△/、GET、200、1000、コンテンツ実体」を入力したとする。
そして、第1の処理で抽出したエントリにおけるURLとローカルプロキシログエントリ304aに含まれるURLとが一致し、第1の処理で抽出したエントリにおける操作日時とローカルプロキシログエントリ304aのアクセス日時とが一致するので(図12のS103の「YES」)、処理はS104に進められる。
この場合、トップページURL情報306aは、図13に示す例のようになる。すなわち、URLとローカルプロキシログ204におけるアクセス日時と端末識別子とメソッドとステータスと通信サイズとが含まれた情報をトップページURL情報306と称する。そして、トップページURL情報306に示されるURLをトップページURLと称する。
図14は、ブラウザアクセスURL特定部107の処理の例を示すフローチャートである。なお、図14のフローチャートは、図12のS104の処理を詳細に示したものである。
図15は、トップページ内URL606の例を示す図である。
図16は、ブラウザアクセスURL情報307の例を示す図である。
ここで、コンテンツ実体350は前述の通り、例えば、実際には図7に示されるような情報である。つまりコンテンツ実体350は、端末装置500がWebアクセスした結果得られたhtmlコンテンツの実体である。
ここで、コンテンツ実体350は、図7に示す例を用いる。
次に、ブラウザアクセスURL特定部107は、入力した内容が<html>タグであるか否かを判定する(図14のS202)。すなわち、この処理により、ブラウザアクセスURL特定部107はhtmlコンテンツの始まりか否かを判定している。この場合、「<html lang=“ja”>」は<html>タグである(図14のS202の「YES」)。
そして、ブラウザアクセスURL特定部107は、入力したコンテンツ実体350の内容にサブコンテンツのURLが含まれるか否かを判定する(図14のS204)。
すなわち、トップページURL情報306とトップページURL情報306の各エントリ(各行)に対応づけられたトップページ内URL606とを合わせた情報をブラウザアクセスURL情報307と称する。
その後、トップページURL特定部106が引き続き、図12のS101の処理を行う。
そして、例えば、図16のブラウザアクセスURL情報307aの「(トップページ内URL)」は、図示を省略しているが、実際には図15に示すようなトップページ内URL606の内容が記録されている。
図17は、プロキシログ201の例を示す図である。
図18は、プロキシログ取り込み部101の処理の例を示すフローチャートである。
図19は、プロキシログエントリ301の例を示す図である。
すなわち、プロキシログ201は、プロキシサーバ装置600が行ったアクセス毎にアクセス先のアドレスが示されている。
ここで、期間206は「2011/06/23 09:00:00〜2011/06/23 18:00:00」、端末識別子205は、「192.168.1.2」が指定されているとする。
次に、プロキシログ取り込み部101は、入力したエントリのアクセス日時が期間206の範囲内か否かを判定する(図18のS703)。
アクセス日時が期間206の範囲内であれば(図18のS703の「YES」)、プロキシログ取り込み部101は、入力したエントリの端末識別子が、端末識別子205と一致するか否かを判定する(図18のS704)。
端末識別子が、端末識別子205と一致すれば(図18のS704の「YES」)、プロキシログ取り込み部101は、読み込んだエントリをプロキシログエントリ301として出力する(図18のS705)。
図20は、URLホワイトリスト取り込み部102の処理の例を示すフローチャートである。
図21は、URLホワイトリスト202の例を示す図である。
図22は、ホワイトURL302の例を示す図である。
URLホワイトリスト取り込み部102は、URLホワイトリスト202の各エントリの最初の要素であるURLを抽出し、ホワイトURL302として出力する。
次に、URLホワイトリスト取り込み部102は、入力したエントリのURLを抽出する(図20のS803)。
そして、URLホワイトリスト取り込み部102は、抽出したURLをホワイトURL302として出力する(図20のS804)。
グレーURL特定部105の処理を第1の例と第2の例とに分けて説明する。
図23は、グレーURL特定部105の処理の第1の例を示すフローチャートである。
図24は、グレーURL特定部105の第1の例の処理によるグレーURL情報305の例を示す図である。
グレーURL特定部105は、プロキシログエントリ301(プロキシログエントリ301のセット)とホワイトURL302(ホワイトURL302のセット)とを入力する(図23のS2301)。
ここで、プロキシログエントリ301は、図19に示す例とし、ホワイトURL302は図22に示す例とする。
なお、プロキシログエントリ301(プロキシログエントリ301のセット)は、前述の通りプロキシログ201から抽出されたものであり、プロキシログエントリ301(プロキシログエントリ301のセット)に示されるURL(アドレス)は、前述の通りプロキシログ201に示されるURL(アドレス)である。
そして、ホワイトURL302は、URLホワイトリスト202(正当アドレス情報)に示されるアドレスである。
具体的には、図19に示すプロキシログエントリ301aに、図22に示すホワイトURL302aが含まれ、図19に示すプロキシログエントリ301dに、図22に示すホワイトURL302bが含まれる。よって、グレーURL特定部105は、プロキシログエントリ301のセットの内、プロキシログエントリ301aとプロキシログエントリ301dとを削除する。
すなわち、グレーURL特定部105は、プロキシログエントリ301のセット(プロキシログ201)に示されるURL(アドレス)の内、URLホワイトリスト202(正当アドレス情報)に示されていないURL(アドレス)を抽出する。
換言すると、グレーURL情報305は、プロキシログエントリ301のセット(プロキシログ201)に示されるURLの内、URLホワイトリスト202(正当アドレス情報)に示されていないURLを示す情報である。
グレーURL情報305の例を図24に示す。ここで、図24の例は、プロキシログエントリ301に含まれるURL以外の情報(例えばアクセス日時、端末識別子など)も含まれているが、グレーURL情報305は、WebサイトのURLの情報のみであってもも良い。
図25は、グレーURL特定部105の処理の第2の例を示すフローチャートである。
図26は、グレーURL特定部105の第2の例の処理によるグレーURL情報305の例を示す図である。
グレーURL特定部105は、プロキシログエントリ301(プロキシログエントリ301のセット)とホワイトURL302(ホワイトURL302のセット)とに加えて、ブラウザアクセスURL情報307(ブラウザアクセスURL情報307のセット)を入力する(図25のS2401)。
更に、ブラウザアクセスURL情報307aに含まれるトップページ内URL606は、図15に示す例とする。図16には、ブラウザアクセスURL情報307a〜307dの4つが示されており、それぞれに対応したトップページ内URL606が存在し得る。しかし、ここでは、ブラウザアクセスURL情報307b〜307dに対応するトップページ内URL606は無いものと想定する。
具体的には、グレーURL特定部105は、入力したブラウザアクセスURL情報307のセットから、例えば図22のホワイトURL302a「http://○○○.abc−sample.△△△/」に一致するURLを含むブラウザアクセスURL情報307を選択する。この場合、グレーURL特定部105は、「http://○○○.abc−sample.△△△/」が含まれている、図16に示すブラウザアクセスURL情報307aを選択する。そして、グレーURL特定部105は、ブラウザアクセスURL情報307aのトップページ内URL606を抽出する。
そして、グレーURL特定部105は、編集したプロキシログエントリ301のセットをグレーURL情報305として出力する(図25のS2404)。
グレーURL特定部105の第1の例の処理によるグレーURL情報305の例(図24)には、図24のD2504に示される情報(「http://○○○.sample1.△△△/」のURLが示される情報)が含まれている。
一方、図15のD6061に示されるトップページ内URL606に「http://○○○.sample1.△△△/」が有る。従って、グレーURL特定部105は、第2の例の処理において、プロキシログエントリ301のセット(図19)の内プロキシログエントリ301fを削除して、グレーURL情報305を出力する。よって、グレーURL特定部105の第2の例の処理によるグレーURL情報305の例(図26)には、「http://○○○.sample1.△△△/」のURLが示される情報が含まれていない。
ブラックURL特定部108の処理を第1〜第4の例に分けて説明する。
図27は、ブラックURL特定部108の処理の第1の例と第2の例とを示すフローチャートである。
図28は、ブラックURL208の例を示す図である。
ブラックURL特定部108は、グレーURL情報305とブラウザアクセスURL情報307(ブラウザアクセスURL情報307のセット)とを入力する(図27のS2601)。
ここで、グレーURL情報305は、前述のグレーURL特定部105の第1の例で処理された情報でも、前述のグレーURL特定部105の第2の例で処理された情報でも良い。ここでは、グレーURL情報305は、前述のグレーURL特定部105の第2の例で処理された情報として、図26に示す具体例で説明を行う。すなわち、グレーURL情報305に示されるURLは、プロキシログエントリ301に示されるURLから、ホワイトURL302とトップページ内URL606とに示されるURLが除外されたものである。
また、ブラウザアクセスURL情報307は図16に示す例とする。
なお、ブラックURL特定部108の処理の第1の例の場合、ブラックURL特定部108は、グレーURL情報305のエントリから、ブラウザアクセスURL情報307の内、トップページURL情報306の部分に示されるURLが含まれるエントリを削除する。
例えば、図26のD2601の行に示すグレーURL情報305のエントリは、図16のブラウザアクセスURL情報307bのトップページURL情報306部分に示されるURLが含まれる。よって、ブラックURL特定部108は、グレーURL情報305から図26のD2601の行に示すグレーURL情報305のエントリを削除する。
したがって、ブラックURL特定部108は、グレーURL情報305のエントリの「(http://○○○.123−sample.△△△/のコンテンツが自動で取得したコンテンツの記録)」に示されるURLも、グレーURL情報305のエントリの一部として削除して構わない。
ここで、ブラックURL情報250(例えば図28に示す例)に含まれるURLの情報を(例えば「http://○○○.789−sample.△△△/」)を、ブラックURL208と称する。
すなわち、グレーURL情報305は、プロキシログエントリ301のセット(プロキシログ201)に示されるURLの内、URLホワイトリスト202(正当アドレス情報)に示されていないURLを示す情報である。
換言すると、ブラックURL特定部108は、プロキシログエントリ301のセット(プロキシログ201)に示されるURL(アドレス)の内、URLホワイトリスト202(正当アドレス情報)とトップページURL情報306(ユーザ指示情報)とのいずれにも示されていないURL(アドレス)を抽出する。
次に図27を用いて、ブラックURL特定部108の処理の第2の例を説明する。
ブラックURL特定部108は、グレーURL情報305とブラウザアクセスURL情報307(ブラウザアクセスURL情報307のセット)とを入力する(図27のS2601)。
ここで、グレーURL情報305は、前述のグレーURL特定部105の第1の例で処理された情報であり、図24に示す例とする。すなわち、グレーURL情報305に示されるURLは、プロキシログエントリ301に示されるURLから、ホワイトURL302に示されるURLが除外されたものである。
また、ブラウザアクセスURL情報307は図16に示す例とし、ブラウザアクセスURL情報307aに含まれるトップページ内URL606は、図15に示す例とする。
ここで、グレーURL特定部105の処理における説明と同様に、ブラウザアクセスURL情報307b〜307dに対応するトップページ内URL606は無いものと想定する。
ここで、ブラックURL特定部108の処理の第1の例と同様に、ブラックURL特定部108は、グレーURL情報305のエントリから、ブラウザアクセスURL情報307の内、トップページURL情報306の部分に示されるURLが含まれるエントリを削除する。そして、更に、ブラックURL特定部108は、ブラックURL特定部108の処理の第2の例の場合、グレーURL情報305のエントリから、ブラウザアクセスURL情報307の内、トップページ内URL606の部分に示されるURLが含まれるエントリも削除する。
更に、図24のD2504の行に示すグレーURL情報305のエントリは、図15のD6061の行に示されるトップページ内URL606のURLが含まれる。よって、ブラックURL特定部108は、グレーURL情報305から図24のD2504の行に示すグレーURL情報305のエントリを削除する。
結果的に、ブラックURL特定部108の処理の第1の例と、第2の例とによるブラックURL208は、図28に示すように同内容になる。
すなわち、ローカルプロキシログ取り込み部104は、ユーザ指示情報に示されるアドレスのウェブページに関連付けされているアドレスが示される関連アドレス情報を入力している。
そして、前述のように、グレーURL情報305は、プロキシログエントリ301のセット(プロキシログ201)に示されるURLの内、URLホワイトリスト202(正当アドレス情報)に示されていないURLを示す情報である。
換言すると、ブラックURL特定部108は、プロキシログエントリ301のセット(プロキシログ201)に示されるURL(アドレス)の内、URLホワイトリスト202(正当アドレス情報)とトップページURL情報306(ユーザ指示情報)とトップページ内URL606(関連アドレス情報)とのいずれにも示されていないURL(アドレス)を抽出する。
図29は、ローカルプロキシログ204を使用しない場合のブラウザアクセスURL情報307の例を示す図である。
ブラックURL特定部108の処理の第1の例は、ローカルプロキシログ204を使用したが、ブラックURL特定部108の処理の第2の例では、ローカルプロキシログ204を使用しない場合を説明する。
この場合、ローカルプロキシログ取り込み部104、トップページURL特定部106、ブラウザアクセスURL特定部107は、使用されない。
そして、ブラックURL特定部108は、端末操作ログ取り込み部103が出力するWebアクセスURL情報303をブラウザアクセスURL情報307として入力する。
なお、ローカルプロキシログ204を使用しないので、トップページ内URL606の情報が無く、グレーURL特定部105における処理は、前述の第1の例に示す処理となる。
ブラックURL特定部108の処理の第4の例を説明する。
ブラックURL特定部108の処理の第4の例は、端末操作ログ203とローカルプロキシログ204とを使用しない場合を説明する。
この場合、端末操作ログ取り込み部103、ローカルプロキシログ取り込み部104、トップページURL特定部106、ブラウザアクセスURL特定部107は使用されない。従って、ブラウザアクセスURL情報307も生成されない。
ブラックURL特定部108は、グレーURL特定部105が前述の第1の例の処理により出力したグレーURL情報305を入力し、入力したグレーURL情報305をブラックURL情報250とし、ブラックURL208を抽出する。
ブラウザアクセスURL情報307の保存処理を第1の例と第2の例とに分けて説明する。
図30は、ブラウザアクセスURL情報307保存処理の第1の例を示すフローチャートである。
図30を用いて、ブラウザアクセスURL情報307の保存処理の第1の例を説明する。
保存ブラウザアクセスURL情報が有れば(図30のS901の「YES」)、ブラウザアクセスURL特定部107は、記憶装置から保存ブラウザアクセスURL情報を入力する(図30のS902)。
次に、ブラウザアクセスURL特定部107は、入力した保存ブラウザアクセスURL情報に生成したブラウザアクセスURL情報307を追加する(図30のS903)。
そして、ブラウザアクセスURL特定部107は、編集(保存ブラウザアクセスURL情報に生成したブラウザアクセスURL情報307を追加)した情報をブラウザアクセスURL情報307として出力する(図30のS904)。更に、ブラウザアクセスURL特定部107は、編集した情報を保存ブラウザアクセスURL情報として記憶装置に入力し、記憶装置は新たな保存ブラウザアクセスURL情報を記憶する(図30のS906)。
図31は、ブラウザアクセスURL情報307保存処理の第2の例を示すフローチャートである。
保存ブラウザアクセスURL情報が無ければ(図31のS1001の「NO」)、ブラウザアクセスURL特定部107は、生成したブラウザアクセスURL情報307を出力する(図31のS1008)。
更に、ブラウザアクセスURL特定部107は、生成したブラウザアクセスURL情報307をエントリ毎に(各行毎に)タイムスタンプと対応付けて、保存ブラウザアクセスURL情報として記憶装置に入力する。そして、記憶装置はタイムスタンプに対応付けられた各エントリ(各行)から成る保存ブラウザアクセスURL情報を記憶する(図31のS1009)。
次に、ブラウザアクセスURL特定部107は、入力した保存ブラウザアクセスURL情報に生成したブラウザアクセスURL情報307をエントリ毎に(各行毎に)タイムスタンプと対応付けて、追加する(図31のS1003)。この時、ブラウザアクセスURL特定部107は、入力した保存ブラウザアクセスURL情報のエントリ毎に(各行毎に)対応付けられているタイムスタンプは変更しない。
そして、ブラウザアクセスURL特定部107は、編集した情報をブラウザアクセスURL情報307として出力する(図31のS1004)。更に、ブラウザアクセスURL特定部107は、編集した情報を保存ブラウザアクセスURL情報として記憶装置に入力し、記憶装置は新たな保存ブラウザアクセスURL情報を記憶する(図31のS1005)。
例えば、保存期間が「1日」と設定されている場合、ブラウザアクセスURL特定部107は、保存ブラウザアクセスURL情報のエントリの内、対応付けられているタイムスタンプに24時間を足した日時が現日時を超えているエントリが含まれているか否かを判定する。
該当のエントリが含まれていれば(図31のS1006の「YES」)、ブラウザアクセスURL特定部107は、保存ブラウザアクセスURL情報から該当のエントリと該当のエントリに対応付けられたタイムスタンプとを消去する(図31のS1007)。そして、記憶装置は、ブラウザアクセスURL特定部107が編集した情報を新たな保存ブラウザアクセスURL情報として記憶する。
図32は、従来の情報漏洩検知システム100の課題の例を示す図である。
しかし、組織においてプロキシログ201は大量である。そして、一方C&Cサーバとの通信はわずかで、その挙動はユーザからは認識されず、目立たないためプロキシログ201からC&Cサーバとの通信を発見することは困難である。すなわち、わずかなマルウェアの通信を大量のプロキシログ201から発見するのは困難という課題がある(図32のC101)。
また、プロキシログを見ただけでは、ユーザが意図してアクセスしたのか、何かのプログラムがユーザの意図とは関係なくアクセスしたのか判断できないという課題がある(図32のC102)。
ここで、本実施の形態の情報漏洩検知システム100は、端末操作ログ203からトップページURL情報306を特定し、ローカルプロキシログ204からトップページ内URL606(トップページURLのコンテンツが自動で取得する、あるいはリンクしているURL)を特定する。そして、本実施の形態の情報漏洩検知システム100は、トップページURL情報306とトップページ内URL606と合わせてブラウザアクセスURL情報307とする。
そして、本実施の形態の情報漏洩検知システム100は、組織に共通のプロキシサーバ装置600におけるプロキシログ201の内、調査対象の端末装置500に関わるURLの記録(端末装置500からのWebアクセスのURL)から、URLホワイトリスト202で許可されたURLを除いたグレーURL情報305を特定する。さらに、本実施の形態の情報漏洩検知システム100は、グレーURL情報305からブラウザアクセスURL情報307のURLを除くことで、ブラックURL208を特定する。
換言すると、情報漏洩検知システム100は、大量のプロキシログ201の情報から、例えば管理者のスキルに依存することなく、ユーザの意図と関係ないアクセスのアクセス先のURLを検知することが可能である。
更に、本実施の形態のブラックURL特定部108の処理の第4の例に示す方法では、環境によってはローカルプロキシと端末操作記録アプリケーションをインストールできない場合(ローカルプロキシと端末操作記録アプリケーションとを利用しない場合)でも、ブラックURL208を特定することが可能である。
(実施の形態2における情報漏洩検知システム100の概要)
実施の形態2の情報漏洩検知システム100は、プロキシログエントリ301に示されるURLの内、ローカルプロキシログ204に記録の無いURLで、かつ、ホワイトURL302でもないURLをブラックURL208として抽出する。
すなわち、実施の形態2の情報漏洩検知システム100は、ローカルプロキシを経由せずにWeb通信されたアクセス先のURLを抽出する。
なお、実施の形態2の情報漏洩検知システム100は、端末操作ログ203を使用しない。従って、端末操作ログ取り込み部103は使用されない。
ブラウザアクセスURL特定部107は、ローカルプロキシログエントリ304のみを入力し、後述の処理によりブラウザアクセスURL情報307を出力する。
図33は、トップページURL特定部106の処理の例を示すフローチャートである。
図33を用いて、実施の形態2におけるトップページURL特定部106の処理を説明する。
トップページURL特定部106は、実施の形態1と同様に、全てのローカルプロキシログエントリ304を入力していなければ(図33のS301の「NO」)、入力していないローカルプロキシログエントリ304を例えばアクセス日時の時系列順に入力する(図33のS302)。
ここで、例えば、トップページURL特定部106は、図9のローカルプロキシログエントリ304a「2011/06/23 10:00:00、192.168.1.2、http://○○○.abc−sample.△△△/、GET、200、1000、コンテンツ実体」を入力したとする。
具体例で示すと、トップページURL特定部106は、図9のローカルプロキシログエントリ304aに含まれるURL「http://○○○.abc−sample.△△△/」を抽出する。そして、トップページURL特定部106は、抽出したURLをトップページURLとし、入力したローカルプロキシログエントリ304aから実施の形態1と同様に、図13に示すトップページURL情報306aを生成する。
図33のS304の処理は、実施の形態1の図12のS104の処理と同じである為、詳細な説明は省略する。
しかし、ブラウザアクセスURL特定部107がローカルプロキシログエントリ304を入力し、前述トップページURL特定部106と同様の処理を行うことも可能である。すなわち、ブラウザアクセスURL特定部107がローカルプロキシログエントリ304を入力し、トップページURL情報306を生成し、トップページ内URL606を抽出してブラウザアクセスURL情報307を生成することも可能である。この場合、トップページURL特定部106は使用されない。
実施の形態2の情報漏洩検知システム100は、環境によっては端末操作記録アプリケーションをインストールできない場合(端末操作記録アプリケーションを利用しない場合)でも、ブラックURL208を特定することが可能である。
(実施の形態3における情報漏洩検知システム100の概要)
実施の形態3では、端末装置500に例えばWebカメラが備えられている(Webカメラの図示は省略する)。そして、期間特定部200(図2)は、Webカメラの映像からユーザが端末装置500に座っているか否かを判定して、座っていないと判定される期間を期間206として入力する。ここで、Webカメラの映像からユーザが端末装置500に座っているか否かを判定する技術は、公知技術を使用する。
なお、ユーザが端末装置500に座っているか否かを判定する技術としては、Webカメラを使用するものに特定されず、例えば、温度の変化を捉えるセンサや、音の変化を捉えるセンサなどを使用するものであっても良い。また、重量センサを備えた椅子を用いることによりユーザが端末装置500(端末装置500の椅子)に座っているか否かを判定することも可能である。
図34は、期間特定部200の処理の例を示すフローチャートである。
期間特定部200は、図34のフローチャートに基づき、ユーザが端末装置500に座っていない期間を演算する。
ここで、期間特定部200は、Webカメラからの映像を処理し、ユーザが座っているか否かの判定を行い、その判定結果を出力する映像処理装置(図示は省略)からユーザが座っているか否かの情報を入力しても良い。そして、期間特定部200は、ユーザが座っているか否かの情報に基づき、ユーザが座っているか否かを判定することも可能である。この場合、Webカメラと映像処理装置と期間特定部200とがユーザの存在を検知する検知装置である。
そして、期間特定部200は、予め設定された時間(n分間)待機し(図34のS1603)、再度S1601の処理を行う。
そして、期間特定部200は、「Start_time」が既に設定されていると判定した場合(図34のS1604の「YES」)、現在の日時を「End_time」に設定する(図34のS1605)。一方、期間特定部200は、「Start_time」が設定されていないと判定した場合(図34のS1604の「NO」)、S1603の処理を行う。
すなわち、プロキシログ取り込み部101(図2)は、プロキシサーバ装置600が行ったアクセス毎にアクセスが行われたアクセス時刻とアクセス先のアドレスとが対応付けられて示されるプロキシログ201を入力する。
さらに、グレーURL特定部105は、プロキシログ取り込み部101が抽出したプロキシログエントリ301を用いてグレーURL情報305を抽出する。
実施の形態3の情報漏洩検知システム100は、端末操作ログ203やローカルプロキシログ204を使用せずに、ユーザが端末装置500に座っていない期間を特定することが可能である。そして、実施の形態3の情報漏洩検知システム100は、調査対象期間をユーザが端末装置500に座っていない期間、すなわち、ユーザによりブラウザ操作がされていない期間とすることで、抽出されるグレーURL情報305を絞り込むことが可能である。
すなわち、実施の形態3の情報漏洩検知システム100は、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
(実施の形態4における情報漏洩検知システム100の概要)
実施の形態4の情報漏洩検知システム100は、端末操作ログ203にユーザ操作の履歴が残っている期間以外の期間を調査対象とする。
図35は、端末操作ログ取り込み部103の処理の例を示すフローチャートである。
まず、端末操作ログ取り込み部103は、実施の形態1と同様に、期間206と端末操作ログ203とを入力する(図35のS3501)。
ここで、期間206は「2011/06/23 08:00:00〜2011/06/23 18:00:00」とする。期間206は、あらかじめ定義された定義期間である。そして、「2011/06/23 08:00:00」が定義期間の開始時刻であり、「2011/06/23 18:00:00」が定義期間の終了時刻である。
そして、端末操作ログ203は図3に示す例とする。
つまり、端末操作ログ203は、ユーザが端末装置500に対してアドレス指示操作を行った場合(ユーザが端末装置500に対してアクセス先のアドレスを指示した場合)に、ユーザが端末装置500に対してアクセス先のアドレスを指示するアドレス指示操作に基づいて端末装置500がプロキシサーバ装置600にアクセス先として通知したアドレスがアドレス指示操作とアドレス指示操作の操作時刻とに対応付けられて示される。
具体的には、端末操作ログ取り込み部103は、操作日時が入力した期間206「2011/06/23 08:00:00〜2011/06/23 18:00:00」内である端末操作ログ203のエントリの内、最初に記録されたエントリと最後に記録されたエントリとの操作日時を抽出する。
そして、端末操作ログ取り込み部103は、「2011/06/23 08:00:00〜2011/06/23 08:59:59」と「2011/06/23 16:00:01〜2011/06/23 18:00:00」とを期間206として再設定する。この再設定された期間206は、非操作期間(後述)に対応する。
つまり、端末操作ログ取り込み部103は、期間206を算出する期間算出部に対応する。
具体的には、端末操作ログ取り込み部103は、操作日時が入力した期間206「2011/06/23 08:00:00〜2011/06/23 18:00:00」内であり、ブラウザの操作を示す端末操作ログ203のエントリの内、最初に記録されたエントリと最後に記録されたエントリとの操作日時を抽出する。
よって、端末操作ログ取り込み部103は、最初に記録されたエントリの操作日時(最初のアドレス対応操作時刻)として、図3のD2032に示される「2011/06/23 10:00:00」を抽出する。そして、端末操作ログ取り込み部103は、最後に記録されたエントリの操作日時(最後のアドレス対応操作時刻)として、図3のD2037に示される「2011/06/23 16:00:00」を抽出する。
そして、端末操作ログ取り込み部103は、「2011/06/23 08:00:00〜2011/06/23 09:59:59」と「2011/06/23 16:00:01〜2011/06/23 18:00:00」とを期間206として再設定する。この再設定された期間206は、非アドレス対応期間(後述)に対応する。
そして、再設定された期間206に基づき、プロキシログ取り込み部101は、実施の形態1での説明と同様にプロキシログエントリ301を抽出する。
そして、グレーURL特定部105は、再設定された期間206に基づいたプロキシログエントリ301からグレーURL情報305を抽出する。
実施の形態4の情報漏洩検知システム100は、ユーザが端末操作を行った期間を除外した期間について、マルウェアによるWeb通信のアクセス先アドレスを抽出する。また、実施の形態4の情報漏洩検知システム100は、ユーザがブラウザ操作を行った期間を除外した期間について、マルウェアによるWeb通信のアクセス先アドレスを抽出する。
つまり、実施の形態4の情報漏洩検知システム100は、ユーザが端末装置500やブラウザを操作していない期間に発生した通信のログ、すなわち、マルウェアによるWeb通信の可能性が高いログに絞り込んでマルウェアによるWeb通信のアクセス先アドレスを抽出する。
すなわち、実施の形態4の情報漏洩検知システム100は、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
(実施の形態5〜8における情報漏洩検知システム100の共通部分の説明)
実施の形態5の情報漏洩検知システム100の説明の前に、実施の形態5〜8における情報漏洩検知システム100の共通部分の説明を行う。
実施の形態5〜8における情報漏洩検知システム100は、実施の形態1〜4いずれかのブラックURL特定部108が抽出したブラックURL208をブラックURL候補とする。そして、ブラックURL特定部108は、ブラックURL候補の内、所定の条件に合致するURLを条件合致アドレスとして特定し、条件合致アドレスをブラックURL208として出力する。すなわち、ブラックURL208は条件合致アドレスに対応する。
ブラック判定条件207は、数種類存在し、あらかじめ例えばユーザによって設定され、例えば情報漏洩検知システム100の記憶装置に記憶されている。そして例えばユーザは情報漏洩検知システム100のキーボードなどの入力装置を用いて、記憶されている数種類のブラック判定条件207の中から少なくとも1つのブラック判定条件207を選択して入力する。ここで、ユーザは、記憶されている数種類のブラック判定条件207の中から複数のブラック判定条件207を組み合わせて入力することも可能である。
また、ブラックURL特定部108が、複数の(例えば2つの)ブラック判定条件207を入力した場合、ブラックURL特定部108は、まず第1のブラック判定条件207に対応してブラックURL候補の中から条件合致アドレス(ブラックURL208)を特定する。そして、更に、ブラックURL特定部108は、第1のブラック判定条件207によって特定された条件合致アドレス(ブラックURL208)の中から、第2のブラック判定条件207に対応して、条件合致アドレス(ブラックURL208)を特定することが可能である。
以降、実施の形態5〜8の各実施の形態について説明を行う。
図36は、ブラックURL特定部108の処理の例を示すフローチャートである。
ブラックURL特定部108は、前述の通り、実施の形態1〜4いずれかの処理によって抽出されたブラックURL208をブラックURL候補とする。更に、ブラックURL特定部108は、ブラック判定条件207を入力する(図36のS1101)。
更に、ブラックURL特定部108は、「不正アクセスの多い国のブラックリスト」の情報も入力する。
そして、「不正アクセスの多い国のブラックリスト」は、あらかじめ特定された国が示される特定国情報に対応する。
すなわち、ブラックURL特定部108は、抽出したブラックURL候補毎(アドレス毎)の提供国情報を入力する。
ここで、例えば、特定したブラックURL候補のホスト国がA国の場合、ブラックリストに含まれているので(図36のS1103の「YES」)、ブラックURL特定部108は、ブラックURL候補をブラックURL208として出力する(図36のS1104)。一方、特定したブラックURL候補のホスト国がX国の場合、ブラックリストに含まれていないので(図36のS1103の「NO」)、ブラックURL特定部108は、ブラックURL候補をブラックURL208として出力しない。
マルウェアの通信先のC&Cサーバは不正アクセスの多い特定の国に存在することがある。そして、実施の形態5の情報漏洩検知システム100は、ブラックURL候補から、不正アクセスの多い特定の国をホスト国としたウェブページのURLであるか否かをブラック判定条件207として、ブラックURL208を絞り込む。その為、実施の形態5の情報漏洩検知システム100は、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
(実施の形態6における情報漏洩検知システム100の概要)
実施の形態6の情報漏洩検知システム100は、ブラック判定条件207として、ブラックURL候補のウェブページへのアクセス数を用いる。具体的には、「今までアクセス数が少なかったブラックURL候補において、急にアクセス数が一定期間増加し、その後また減少したか否か」をブラック判定条件207とする。
図37は、ブラックURL特定部108の処理の例を示すフローチャートである。
図38は、ブラックURL候補のウェブページへのアクセス数の例を示す図である。
また、プロキシログ201は、図17に示す通り、プロキシサーバ装置600が行ったアクセス毎にアクセス先のアドレスと通信サイズ(アクセス時のデータ通信量)とが対応付けられて示されている。
ここで、ブラックURL特定部108が集計するアクセス数は、日毎に限らず、単位時間毎であれば、3日間毎であっても、1週間毎であっても良い。ここでは、ブラックURL特定部108は、日毎にアクセス数を集計するものとして説明を進める。
すなわち、ブラックURL特定部108は、各アドレスに対する単位時間毎のアクセス数を算出する通信量算出部に対応する。
ここで、ブラックURL特定部108は、アクセス数があらかじめ情報漏洩検知システム100の記憶装置に記憶されている閾値(「アクセス数の第1の閾値」と称する)よりも少ない場合に、「アクセス数が少ない」と判定する。そして、ブラックURL特定部108は、アクセス数が「アクセス数の第1の閾値」以上の場合に、「アクセス数が増加した」と判定する。
その場合、ブラックURL特定部108は、変数nをインクリメント(n=n+1と)する(図37のS1204)。
そして、ブラックURL特定部108は、n日後のアクセス数が基準日のアクセス数と同等又は増加しているか否かを判定する(図37のS1205)。ここで、ブラックURL特定部108は、アクセス数が「アクセス数の第1の閾値」以上の場合に、「基準日のアクセス数と同等又は増加している」と判定する。
ここで、ブラックURL特定部108は、例えば、基準日以前の日毎のアクセス数の平均xと標準偏差σとを記憶しており、例えばアクセス数が「x±3σ」以内であれば、基準日以前のアクセス数を同等と判定する。
例えば、ブラックURL特定部108は、あるブラックURL候補に対するアクセス数を現在から、30日分さかのぼって、日毎に集計したとする。
その結果、29日目まではアクセス数は「0」であるが、30日目(現在)にアクセス数が「12」に増加している。ここで、例えば、「アクセス数の第1の閾値」は「10」であるとする。
その後数日間において、ブラックURL特定部108は、アクセス数を集計した結果、33日目(現在から3日後)にアクセス数が「0」に戻っている。
この図38の例のように、ブラックURL特定部108は図37の処理によって、判定対象のブラックURL候補に対するアクセス数が、過去は少なく、かつ、所定の日数の間増加し、かつ、その後減少するか否かを判定している。
特定のマルウェアは、インターネット上のC&Cサーバと短期間に継続的に通信することが知られている。したがって、例えば5日以内に集中的にアクセス数が増加したアクセスは、マルウェアによるアクセスと考えられる。
すなわち、ブラックURL特定部108は、ブラックURL候補に対するアクセス数が、過去は少なく、かつ、基準日から所定の日数において増加し、かつ、その後減少するか否かを判定出来れば良い。
前述の通りプロキシログ201(図17)には、通信サイズ(通信量)が示されている為、ブラックURL特定部108は、各ブラックURL候補に対して、例えば日毎の通信量を集計することが可能である。
すなわち、ブラックURL特定部108は、プロキシログ201から各ブラックURL候補に対する単位時間毎のデータ通信量を算出する。
すなわち、ブラックURL特定部108は、あらかじめ定義された所定の期間においてのみ日毎(単位時間毎)のデータ通信量が、データ通信量の第1の閾値以上となるURLをブラックURL208として特定する。
前述の通り、マルウェアとC&Cサーバとのアクセス数またはデータ通信量は、短期間に増加することが知られている。実施の形態6の情報漏洩検知システム100は、短期間にアクセス数またはデータ通信量が増加するアクセス先のURLを特定することで、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
(実施の形態7における情報漏洩検知システム100の概要)
実施の形態7の情報漏洩検知システム100は、ブラック判定条件207として、ブラックURL候補のウェブページへのアクセス数を用いる。具体的には、「ブラックURL候補との通信において、周期的にアクセスが発生しているか否か」をブラック判定条件207とする。
図39は、ブラックURL特定部108の処理の例を示すフローチャートである。
図40は、ブラックURL候補のウェブページへのアクセス数の例を示す図である。
ここで、単位時間毎のアクセス数をMi(i=1〜k)とする。例えば、ブラックURL特定部108は、1分間毎のアクセス数を集計するとした場合、M1は、集計期間k分間の内の最初の1分間(1分目)のアクセス数の集計、M2は次の1分間(2分目)のアクセス数の集計を意味する。
ここで、ブラックURL特定部108は、単位時間毎のアクセス数が周期的にあらかじめ情報漏洩検知システム100の記憶装置に記憶されている閾値(「アクセス数の第2の閾値」と称する)以上となっているか否かを判定する。つまり、ブラックURL特定部108は、周期的にアクセスが発生しているか否かを判定している。
あるいは、ブラックURL特定部108は、単位時間毎のアクセス数が周期的に同じ値となっているか否かを判定しても良い。また、ブラックURL特定部108は、単位時間毎のアクセス数が周期的に「アクセス数の第2の閾値」以上の同じ値となっているか否かを判定しても良い。
周期的にアクセスが発生している場合(図39のS1303の「YES」)、判定対象のブラックURL候補をブラックURL208として特定し、出力する(図39のS1304)。
例えば図40は、ブラックURL特定部108が、あるブラックURL候補に対する1分間毎のアクセス数を集計したものである。
そして、集計期間は、例えば、1日(24時間×60分=1440分間)としている。
ブラックURL特定部108は、図40に示す集計結果において、2分に1回1アクセスが発生しており、周期的にアクセスが発生していると判定する。ここで「アクセス数の第2の閾値」は「1アクセス」とする。
すなわち、ブラックURL特定部108は、単位時間毎のデータ通信量が一定周期毎にあらかじめ定義されたデータ通信量の第2の閾値以上となるブラックURL候補をブラックURL208として特定する。
前述の通り、マルウェアとC&Cサーバとのアクセスは、周期的に行われることが知られている。実施の形態7の情報漏洩検知システム100は、周期的にアクセスが行われるアクセス先のURLを特定することで、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
(実施の形態8における情報漏洩検知システム100の概要)
実施の形態8の情報漏洩検知システム100は、ブラック判定条件207として、端末装置500(プロキシサーバ装置600)とブラックURL候補のウェブページとの間のWeb通信におけるリクエストサイズとレスポンスサイズとを用いる。具体的には、「ブラックURL候補において、通信のリクエストサイズとレスポンスサイズが閾値未満か否か」をブラック判定条件207とする。
図41は、ブラックURL特定部108の処理の例を示すフローチャートである。
また、ブラックURL特定部108は、例えば情報漏洩検知システム100の記憶装置に記憶されているリクエストサイズの閾値「αKB」とレスポンスサイズの閾値「βKB」とを入力する。あるいは例えばユーザが情報漏洩検知システム100の入力装置を用いて、リクエストサイズの閾値とレスポンスサイズの閾値とを入力しても良い。
そして、あらかじめユーザが、Webサイトへのアクセスにおけるリクエストサイズとレスポンスサイズとの統計データを取得し、αとβとの値を設定しておく。
ここで、図17における図示は省略するが、プロキシログ201には、各アクセス毎のリクエストサイズとレスポンスサイズとが示される。
すなわち、プロキシログ201は、プロキシサーバ装置600が行ったアクセス毎に、アクセス先のアドレスと、プロキシサーバ装置600からアクセス先へ送信したデータのサイズであるリクエストサイズと、プロキシサーバ装置600がアクセス先から受信したデータのサイズであるレスポンスサイズとが対応付けられて示される。
なお、1つのブラックURL候補に対して複数のアクセスが有る場合は、ブラックURL特定部108は、リクエストサイズとレスポンスサイズとの最小値を抽出する。
リクエストサイズが閾値「αKB」未満の場合(図41のS1403の「YES」)、ブラックURL特定部108は、抽出したレスポンスサイズが閾値「βKB」未満か否かを判定する(図41のS1404)。
そして、ブラックURL特定部108は、レスポンスサイズが閾値「βKB」未満の場合(図41のS1404の「YES」)、判定対象のブラックURL候補をブラックURL208として特定し、出力する(図41のS1405)。
すなわち、ブラックURL特定部108は、リクエストサイズが閾値「αKB」未満、かつ、レスポンスサイズが閾値「βKB」未満のブラックURL候補をブラックURL208として特定する。
特定のマルウェアは、インターネット上のC&Cサーバとの接続を確認するために定期的に通信することが知られている。そして、前述の通り、その場合の通信データのサイズ(リクエストサイズとレスポンスサイズ)は、ユーザがブラウザを用いて行うWebサイトの閲覧の場合と比べて、少ない。従って、実施の形態8の情報漏洩検知システム100は、リクエストサイズとレスポンスサイズとが閾値より少ないアクセスが行われるアクセス先のURLを特定することで、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
(実施の形態9における情報漏洩検知システム100の概要)
実施の形態1と実施の形態3と実施の形態4とにおいて、端末操作ログ203(図3)には、端末装置500がプロキシサーバ装置600に通知したURLが記録されると説明した。
しかし、端末操作記録アプリケーションによっては、端末操作ログ203にURLではなく、端末装置500(プロキシサーバ装置600)がアクセスしたWebサイトのトップページのタイトルが、ウィンドウタイトルとして記録される場合がある。
実施の形態9の情報漏洩検知システム100は、端末操作ログ203に記録されたWebサイトのトップページのタイトルと一致するタイトルをローカルプロキシログ204(図6)に記録されたコンテンツから検索する。そして、実施の形態9の情報漏洩検知システム100は、ローカルプロキシログ204(図6)に記録されたコンテンツにおいて、一致したタイトルに対応付けられたURLをWebサイトのトップページのURLとして特定する。
図42は、WebアクセスURL情報303の例を示す図である。
端末操作ログ取り込み部103は、端末操作ログ203の一例として、例えば図3のD2032の行に示すエントリの操作内容が、URLではなく、Webサイトのタイトルとなっている端末操作ログ203を入力する。つまり、端末操作ログ取り込み部103は、「2011/06/23 10:00:00、192.168.1.2、UserID1234、Webアクセス、サンプルサイト」を入力する。ここで、「サンプルサイト」は、Webサイト(コンテンツ)のタイトル名である。
図43は、コンテンツ実体350の例を示す図である。
ローカルプロキシログ取り込み部104は、実施の形態1と同様に、ローカルプロキシログ204(図6)を入力し、入力したローカルプロキシログ204からローカルプロキシログエントリ304(図9)を抽出し、出力する。
ここで、ローカルプロキシログエントリ304(図9)に含まれるコンテンツ実体350は、例えば図43のようになっている。つまり、コンテンツ実体350にWebサイト(コンテンツ)のタイトル名が示されている。
そして、例えば図9のローカルプロキシログエントリ304aには、Webサイト(コンテンツ)のタイトル名が示されているコンテンツ実体350と、URL「http://○○○.abc−sample.△△△/」とが対応付けられている。
そして、ローカルプロキシログ204(図6)にはローカルプロキシ情報が少なくとも1つ以上含まれている。
なお、プロキシサーバ装置600は、前述の通り、端末装置500がローカルプロキシ550を利用してプロキシサーバ装置600に通知したアドレスに基づいてアクセスを行う。
図44は、トップページURL特定部106の処理の例を示す図である。
ここでは、図42のD6031に示すWebアクセスURL情報303のエントリを例に説明を行う。
トップページURL特定部106は、全てのローカルプロキシログエントリ304を入力していなければ(図44のS1501の「NO」)、入力していないローカルプロキシログエントリ304を例えばアクセス日時の時系列順に入力する(図44のS1502)。
ここで、例えば、トップページURL特定部106は、図9のローカルプロキシログエントリ304a「2011/06/23 10:00:00、192.168.1.2、http://○○○.abc−sample.△△△/、GET、200、1000、コンテンツ実体」を入力したとする。
具体的には、図43に示すコンテンツ実体350において、<title>タグと</title>タグとで囲われている文字列を抽出し、WebアクセスURL情報303から抽出した「サンプルサイトabc−sample」と比較する。
そして、トップページURL特定部106は、このトップページURLと、ローカルプロキシログエントリ304に示されるアクセス日時と端末識別子とメソッドとステータスと通信量とをトップページURL情報306として出力する。
したがって、換言すると、ブラックURL特定部108は、プロキシログ201(図17)に示されるURLの内、URLホワイトリスト202と、トップページURL特定部106に抽出されたローカルプロキシログエントリ304(ローカルプロキシ情報)とのいずれにも示されていないアドレスを抽出する。
前述のように端末操作記録アプリケーションによっては、端末操作ログ203にURLが記録されず、アクセスしたWebサイトのトップページのタイトルがウィンドウタイトルとして記録される場合がある。このような場合でも、実施の形態9の情報漏洩検知システム100は、端末操作ログ203から得たタイトルから、端末装置500がアクセスしたWebサイトのURLを特定することが可能である。
最後に、実施の形態1〜9に示した情報漏洩検知システム100のハードウェア構成例について説明する。
図45は、本実施の形態に示した情報漏洩検知システム100のハードウェア資源の一例を示す図である。
なお、図45の構成は、あくまでも情報漏洩検知システム100のハードウェア構成の一例を示すものであり、情報漏洩検知システム100のハードウェア構成は図45に記載の構成に限らず、他の構成であってもよい。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)と接続していてもよい。また、磁気ディスク装置920の代わりに、SSD(Solid State Drive)、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
本実施の形態で説明した情報漏洩検知システム100の記憶装置、ログ蓄積部109は、磁気ディスク装置920等により実現される。
通信ボード915、キーボード902、マウス903、FDD904などは、入力装置の一例である。
本実施の形態で説明した情報漏洩検知システム100の入力装置は、例えばキーボード902やマウス903により実現される。
また、通信ボード915、表示装置901などは、出力装置の一例である。
例えば、ネットワークは、LAN、インターネットの他、WAN(ワイドエリアネットワーク)、SAN(ストレージエリアネットワーク)などでも構わない。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
情報漏洩検知システム100の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。
ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出される。
そして、読み出された情報やデータや信号値や変数値やパラメータは、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示・制御・判定・識別・検知・判別・選択・算出・導出・更新・生成・取得・通知・指示・判断・区別・削除などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示・制御・判定・識別・検知・判別・選択・算出・導出・更新・生成・取得・通知・指示・判断・区別・削除などのCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、本実施の形態で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示す。
データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。
また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
すなわち、本実施の形態で説明したフローチャートに示すステップ、手順、処理により、本発明に係る情報処理方法を実現することができる。
また、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。
或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。
プログラムはCPU911により読み出され、CPU911により実行される。
すなわち、プログラムは、本実施の形態の「〜部」としてコンピュータを機能させるものである。あるいは、本実施の形態の「〜部」の手順や方法をコンピュータに実行させるものである。
そして、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
Claims (14)
- 端末装置からアクセス先として通知されたアドレスにアクセスを行うプロキシサーバ装置がアクセスを行ったアドレスの内、所定のアドレスを抽出するアドレス抽出装置であって、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスが示されるプロキシログと、あらかじめ正当と定義されたアドレスが示される正当アドレス情報とを入力するアドレス入力部と、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報に示されていないアドレスを抽出するアドレス抽出部と
を備えたことを特徴とするアドレス抽出装置。 - 前記アドレス入力部は、
ユーザの指示に基づいて前記端末装置が前記プロキシサーバ装置にアクセス先として通知したアドレスが示されるユーザ指示情報を入力し、
前記アドレス抽出部は、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報と前記ユーザ指示情報とのいずれにも示されていないアドレスを抽出することを特徴とする請求項1記載のアドレス抽出装置。 - 前記アドレス入力部は、
前記ユーザが前記端末装置に対してアクセス先のアドレスを指示するアドレス指示操作に基づいて前記端末装置が前記プロキシサーバ装置にアクセス先として通知したアドレスがアドレス指示操作と対応付けられて示される端末操作ログを前記ユーザ指示情報として入力することを特徴とする請求項2記載のアドレス抽出装置。 - 前記アドレス入力部は、
ローカルプロキシを有する端末装置が前記ユーザの指示に基づいて前記ローカルプロキシを利用して前記プロキシサーバ装置にアクセス先として通知したアドレスが示されるローカルプロキシログを前記ユーザ指示情報として入力することを特徴とする請求項2記載のアドレス抽出装置。 - 前記アドレス入力部は、
前記ユーザ指示情報に示されるアドレスのウェブページに関連付けされているアドレスが示される関連アドレス情報を入力し、
前記アドレス抽出部は、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報と前記ユーザ指示情報と前記関連アドレス情報とのいずれにも示されていないアドレスを抽出することを特徴とする請求項2〜4いずれか記載のアドレス抽出装置。 - 前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎にアクセスが行われたアクセス時刻とアクセス先のアドレスとが対応付けられて示されるプロキシログを入力し、
前記アドレス抽出部は、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、ユーザの存在を検知する検知装置が、ユーザが前記端末装置の前に存在しないと検知した期間に含まれるアクセス時刻に対応付けられているアドレスを抽出することを特徴とする請求項1〜5いずれか記載のアドレス抽出装置。 - 前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎にアクセスが行われたアクセス時刻とアクセス先のアドレスとが対応付けられて示されるプロキシログと、
前記ユーザが前記端末装置に対して指示する指示操作と指示操作毎の操作時刻とが対応付けられて示され、前記ユーザが前記端末装置に対してアクセス先のアドレスを指示する場合に、前記ユーザが前記端末装置に対してアクセス先のアドレスを指示するアドレス指示操作に基づいて前記端末装置が前記プロキシサーバ装置にアクセス先として通知したアドレスがアドレス指示操作とアドレス指示操作の操作時刻とに対応付けられて示される端末操作ログとを入力し、
前記アドレス抽出装置は、更に、
前記端末操作ログに示される操作時刻の内、あらかじめ定義された定義期間の開始時刻後の最初の操作時刻と前記定義期間の終了時刻前の最後の操作時刻とを抽出し、前記定義期間の開始時刻から前記最初の操作時刻までの期間と前記最後の操作時刻から前記定義期間の終了時刻までの期間とから成る非操作期間を算出する、または、前記端末操作ログに示される操作時刻の内、前記定義期間の開始時刻後の操作時刻であってアドレスが対応付けられている最初の操作時刻である最初のアドレス対応操作時刻と、前記定義期間の終了時刻前の操作時刻であってアドレスが対応付けられている最後の操作時刻である最後のアドレス対応操作時刻とを抽出し、前記定義期間の開始時刻から前記最初のアドレス対応操作時刻までの期間と前記最後のアドレス対応操作時刻から前記定義期間の終了時刻までの期間とから成る非アドレス対応期間を算出する期間算出部
を備え、
前記アドレス抽出部は、
前記期間算出部により非操作期間が算出された場合に、前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記非操作期間に含まれるアクセス時刻が対応付けられているアドレスを抽出し、前記期間算出部により非アドレス対応期間が算出された場合に、前記アドレス入力部により入力されたプロキシログに示されるアクセス時刻に対応付けられているアドレスの内、前記非アドレス対応期間に含まれるアクセス時刻に対応付けられているアドレスを抽出することを特徴とする請求項1〜6いずれか記載のアドレス抽出装置。 - 前記アドレス抽出装置は、更に、
前記アドレス抽出部により抽出されたアドレスの内、少なくとも1つの所定の条件に合致する所定のアドレスを条件合致アドレスとして特定する条件合致アドレス特定部
を備えることを特徴とする請求項1〜7いずれか記載のアドレス抽出装置。 - 前記アドレス抽出装置は、更に、
前記アドレス抽出部により抽出されたアドレス毎にアドレスのウェブページの提供元が属する国が示される提供国情報と、あらかじめ特定された国が示される特定国情報とを入力する情報入力部
を備え、
前記条件合致アドレス特定部は、
前記情報入力部により入力された提供国情報に示される国の中で前記特定国情報に示されるいずれかの国に合致する国が提供しているウェブページのアドレスを条件合致アドレスとして特定する請求項8記載のアドレス抽出装置。 - 前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスとアクセス時のデータ通信量とが対応付けられて示されるプロキシログを入力し、
前記アドレス抽出装置は、更に、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のアクセス数を算出する、または、前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のデータ通信量を算出する通信量算出部
を備え、
前記条件合致アドレス特定部は、
前記通信量算出部により単位時間毎のアクセス数が算出された場合に、あらかじめ定義された所定の期間においてのみ前記通信量算出部により算出された単位時間毎のアクセス数が、あらかじめ定義されたアクセス数の第1の閾値以上となるアドレスを条件合致アドレスとして特定し、前記通信量算出部により単位時間毎のデータ通信量が算出された場合に、あらかじめ定義された所定の期間においてのみ前記通信量算出部により算出された単位時間毎のデータ通信量が、あらかじめ定義されたデータ通信量の第1の閾値以上となるアドレスを条件合致アドレスとして特定する請求項8記載のアドレス抽出装置。 - 前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスとアクセス時のデータ通信量とが対応付けられて示されるプロキシログを入力し、
前記アドレス抽出装置は、更に、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のアクセス数を算出する、または、前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のデータ通信量を算出する通信量算出部
を備え、
前記条件合致アドレス特定部は、
前記通信量算出部により単位時間毎のアクセス数が算出された場合に、前記単位時間毎のアクセス数が一定周期毎にあらかじめ定義されたアクセス数の第2の閾値以上となるアドレスを条件合致アドレスとして特定し、前記通信量算出部により単位時間毎のデータ通信量が算出された場合に、前記単位時間毎のデータ通信量が一定周期毎にあらかじめ定義されたデータ通信量の第2の閾値以上となるアドレスを条件合致アドレスとして特定することを特徴とする請求項8記載のアドレス抽出装置。 - 前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎に、アクセス先のアドレスと、前記プロキシサーバ装置からアクセス先へ送信したデータのサイズであるリクエストサイズと、前記プロキシサーバ装置がアクセス先から受信したデータのサイズであるレスポンスサイズとが対応付けられて示されるプロキシログを入力し、
前記条件合致アドレス特定部は、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスと対応付けられているレスポンスサイズをアクセス単位で特定し、
特定したレスポンスサイズがあらかじめ定義されたレスポンスサイズの閾値未満のアドレスを条件合致アドレスとして特定することを特徴とする請求項8記載のアドレス抽出装置。 - 前記条件合致アドレス特定部は、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスと対応付けられているレスポンスサイズとリクエストサイズとをアクセス単位で特定し、
特定したレスポンスサイズがあらかじめ定義されたレスポンスサイズの閾値未満であり、リクエストサイズがあらかじめ定義されたリクエストサイズの閾値未満のアドレスを条件合致アドレスとして特定することを特徴とする請求項12記載のアドレス抽出装置。 - 前記アドレス入力部は、
前記ユーザの操作により前記端末装置が前記プロキシサーバ装置に通知したアドレスに基づいて前記プロキシサーバ装置が行ったアクセスのアクセス先のウェブページのタイトルが示される端末操作ログと、
前記端末装置がローカルプロキシを利用して前記プロキシサーバ装置に通知したアドレスに基づいて前記プロキシサーバ装置が行ったアクセスのアクセス先のウェブページのタイトルとアクセス先のアドレスとが対応付けられて示されるローカルプロキシ情報が少なくとも1つ以上含まれるローカルプロキシログとを入力し、
前記アドレス抽出装置は、更に、
前記アドレス入力部により入力されたローカルプロキシログに含まれるローカルプロキシ情報に示されるタイトルの内、前記端末操作ログに示されるタイトルに合致するタイトルが示されるローカルプロキシ情報を抽出するローカルプロキシ情報抽出部
を備え、
前記アドレス抽出部は、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報と、前記ローカルプロキシ情報抽出部に抽出されたローカルプロキシ情報とのいずれにも示されていないアドレスを抽出することを特徴とする請求項1記載のアドレス抽出装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011221313A JP5804883B2 (ja) | 2011-10-05 | 2011-10-05 | アドレス抽出装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011221313A JP5804883B2 (ja) | 2011-10-05 | 2011-10-05 | アドレス抽出装置 |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2013081146A true JP2013081146A (ja) | 2013-05-02 |
JP2013081146A5 JP2013081146A5 (ja) | 2014-10-30 |
JP5804883B2 JP5804883B2 (ja) | 2015-11-04 |
Family
ID=48527179
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011221313A Expired - Fee Related JP5804883B2 (ja) | 2011-10-05 | 2011-10-05 | アドレス抽出装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5804883B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020119596A (ja) * | 2015-03-03 | 2020-08-06 | 日本電気株式会社 | ログ解析システム、解析装置、方法、および解析用プログラム |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007124482A (ja) * | 2005-10-31 | 2007-05-17 | Ntt Data Corp | スパイウェア通信管理装置およびスパイウェア通信管理プログラム |
JP2007156690A (ja) * | 2005-12-02 | 2007-06-21 | Nippon Telegr & Teleph Corp <Ntt> | フィッシング詐欺対策方法、端末、サーバ及びプログラム |
US20090138573A1 (en) * | 2005-04-22 | 2009-05-28 | Alexander Wade Campbell | Methods and apparatus for blocking unwanted software downloads |
JP2010146588A (ja) * | 2010-02-04 | 2010-07-01 | Canon It Solutions Inc | 通信データ監視装置および通信データ監視方法およびプログラム |
JP2010152773A (ja) * | 2008-12-26 | 2010-07-08 | Mitsubishi Electric Corp | 攻撃判定装置及び攻撃判定方法及びプログラム |
-
2011
- 2011-10-05 JP JP2011221313A patent/JP5804883B2/ja not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090138573A1 (en) * | 2005-04-22 | 2009-05-28 | Alexander Wade Campbell | Methods and apparatus for blocking unwanted software downloads |
JP2007124482A (ja) * | 2005-10-31 | 2007-05-17 | Ntt Data Corp | スパイウェア通信管理装置およびスパイウェア通信管理プログラム |
JP2007156690A (ja) * | 2005-12-02 | 2007-06-21 | Nippon Telegr & Teleph Corp <Ntt> | フィッシング詐欺対策方法、端末、サーバ及びプログラム |
JP2010152773A (ja) * | 2008-12-26 | 2010-07-08 | Mitsubishi Electric Corp | 攻撃判定装置及び攻撃判定方法及びプログラム |
JP2010146588A (ja) * | 2010-02-04 | 2010-07-01 | Canon It Solutions Inc | 通信データ監視装置および通信データ監視方法およびプログラム |
Non-Patent Citations (1)
Title |
---|
JPN6015022848; 'フィッシング詐欺の現状とアドレスバー偽装手口に対する一考察 Recent Trend of Phishing and a Study for' 情報処理学会 シンポジウム グループウェアとネットワークサービスワークショップ 2005 [onli , 20051120 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020119596A (ja) * | 2015-03-03 | 2020-08-06 | 日本電気株式会社 | ログ解析システム、解析装置、方法、および解析用プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP5804883B2 (ja) | 2015-11-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10491614B2 (en) | Illegitimate typosquatting detection with internet protocol information | |
US10069857B2 (en) | Performing rule-based actions based on accessed domain name registrations | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
CN104717185B (zh) | 短统一资源定位符的展示响应方法、装置、服务器和系统 | |
US8150779B1 (en) | Validating the detection of spam based entities in social networking contexts | |
JP6030272B2 (ja) | ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム | |
JP6838560B2 (ja) | 情報分析システム、情報分析方法、及び、プログラム | |
JP5791548B2 (ja) | アドレス抽出装置 | |
JP4773332B2 (ja) | セキュリティ管理装置及びセキュリティ管理方法及びプログラム | |
JPWO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
JPWO2015121923A1 (ja) | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 | |
JP7115221B2 (ja) | サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置 | |
CN106021252B (zh) | 使用公共因特网搜索确定基于因特网的对象信息 | |
US9239907B1 (en) | Techniques for identifying misleading applications | |
JP7297249B2 (ja) | 計算機システム及び情報の共有方法 | |
US11330010B2 (en) | Detecting malicious web pages by analyzing elements of hypertext markup language (HTML) files | |
JP5804883B2 (ja) | アドレス抽出装置 | |
He et al. | Mobile app identification for encrypted network flows by traffic correlation | |
CN115051867B (zh) | 一种非法外联行为的检测方法、装置、电子设备及介质 | |
US8180771B2 (en) | Search activity eraser | |
CN111858782A (zh) | 基于信息安全的数据库构建方法、装置、介质与设备 | |
JP5234832B2 (ja) | 経歴情報管理システムおよび経歴情報管理方法 | |
Zou et al. | Detecting malware based on expired command-and-control traffic | |
US11962618B2 (en) | Systems and methods for protection against theft of user credentials by email phishing attacks | |
JP7293170B2 (ja) | シグネチャ生成装置、検出装置、シグネチャ生成プログラム及び検出プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140911 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140911 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150527 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150609 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150715 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150804 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150901 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5804883 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |