JP2016004540A - 解析装置及び解析方法及びプログラム - Google Patents
解析装置及び解析方法及びプログラム Download PDFInfo
- Publication number
- JP2016004540A JP2016004540A JP2014126458A JP2014126458A JP2016004540A JP 2016004540 A JP2016004540 A JP 2016004540A JP 2014126458 A JP2014126458 A JP 2014126458A JP 2014126458 A JP2014126458 A JP 2014126458A JP 2016004540 A JP2016004540 A JP 2016004540A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- suspicious
- destination
- terminal
- suspicious communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
Description
マルウェアを用いたサイバー攻撃は高度化されつつあり、例えば、非特許文献1に示されるAPT(高度かつ継続的な脅威:Advanced・Persistent・Threat)と呼ばれる攻撃等がある。
そして、マルウェアはC&Cサーバから命令を受信して、組織内を偵察し、ファイルサーバを見つけ、機密ファイルをC&Cサーバへ通信で漏洩する。
これらの各活動を、攻撃とみなした場合、各攻撃は、長時間かけて段階的に行われる。
例えば、計算機に感染したマルウェアは、感染後、1ヶ月は活動せず身を潜め、1ヶ月後にC&Cサーバと通信を開始する。
このように、APTでは、複数の攻撃が時間をおいて行われる。
水飲み場攻撃とは、攻撃者が標的とする組織が閲覧することが予想される、インターネット上のWebサイトを侵害し、Webサイトを改ざんして、悪性Webサイトへのリンクを仕込んだり、マルウェアをホスティングする攻撃である。
また、C&Cサーバとして悪用する場合もある。
このように、攻撃者が標的とする組織が閲覧することが予想されるWebサイトを改ざんすることで、標的とする組織が当Webサイトを閲覧した場合に、悪性サイトへ誘導したり、マルウェアに感染させたり、C&Cサーバとして悪用できる。
標的とする組織は正規のサイトを閲覧している間に攻撃されていることになり、攻撃に気づかないことが多い。
また、標的とする組織以外の組織がアクセスした場合は攻撃を行わない場合があり、つまり、そのWebサイトにアクセスした誰に対しても攻撃を行うわけではないので、そのWebサイトが侵害されていることが世の中に知れ渡りにくい。
APT対策の製品として、メールによる侵入を防止する製品、情報漏洩を防止する製品などがある。
また、APT対策の方法の一つとして自動的にログ分析する方法がある。
自動的にログ分析する方法は、計算機、サーバ、ルータ等のネットワーク機器、ファイアウォール、侵入検知システム等のセキュリティ機器等のログを分析し、相互の相関関係を調べる、あるいはログから異常な記録を見つけることでAPTを検知する、あるいは経過を観察する方法がある。
SIEMシステムは、統合ログ監視システムなどと呼ばれることもある。
サンドボックス型のマルウェア検知システムは、マルウェアが感染してすぐに動き出す場合は検知できるが、時間をおいたり、あるイベントをきっかけに動き出す場合は検知漏れする。
また、マルウェアが暗号化されていた場合は、マルウェア検知システムで復号できないため検知漏れする。
アンチウイルスソフトも、新種のマルウェアの場合はシグネチャの作成が遅れ検知漏れすることがある。
振る舞い検知型のアンチウイルスソフトであっても方式に依存し検知漏れが発生する課題がある。
不審な通信を行った機器である不審通信機器と、前記不審通信機器の通信先である不審通信先とが検知された場合に、前記不審通信機器以外の機器であって前記不審通信先との通信履歴がある機器を解析対象機器として抽出する機器抽出部と、
前記解析対象機器と前記不審通信先との通信履歴を解析して、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定する通信判定部とを有することを特徴とする。
このように、不審通信機器と不審通信先との通信履歴のみならず、解析対象機器と不審通信先との通信履歴も解析することで、水飲み場攻撃を含めた不正な通信を検知することができる。
本実施の形態及び以降の実施の形態では、複数のセキュリティログを分析することで水飲み場攻撃を含めたサイバー攻撃の検知を行う構成を説明する。
図1を用いて、セキュリティログ分析装置1の動作の概要について説明する。
なお、セキュリティログ分析装置1は、解析装置の例に相当する。
また、セキュリティログ分析装置1は、セキュリティ対策情報DB301、ログDB302、端末設定情報DB303、インベントリ情報DB304を備える。
解釈部102は、検知データ1101を入力し、検知情報1102を出力する。
セキュリティ対策情報検索部201は、セキュリティ対策情報DB301から、検索結果であるセキュリティ対策情報1104を入力する。
さらに、セキュリティ対策情報検索部201は、入力したセキュリティ対策情報1104を攻撃判定部103へ出力する。
ログ検索部202は、ログDB302から、検索結果であるログエントリ1106を入力する。
さらに、ログ検索部202は、入力したログエントリ1106を攻撃判定部103へ出力する。
ログ検索部202は、機器抽出部の例に相当する。
端末設定情報検索部203は、端末設定情報DB303から、検索結果である端末設定情報1108を入力する。
さらに、端末設定情報検索部203は、入力した端末設定情報1108を攻撃判定部103へ出力する。
また、端末設定情報DB303は、ブラウザやメーラの設定、ネットワークの設定などにアクセス可能なプロセス、アプリケーション名の情報も保存する。
インベントリ情報検索部204は、インベントリ情報DB304から、検索結果であるインベントリ情報1110を入力する。
さらに、インベントリ情報検索部204は、入力したインベントリ情報1110を攻撃判定部103へ出力する。
また、攻撃判定部103は、セキュリティログ分析装置1の外部から、攻撃判定条件1202、セキュリティ対策情報検索条件1203、ログ検索条件1204、端末設定情報検索条件1205、インベントリ情報検索条件1206を入力する。
攻撃判定部103は、通信判定部の例に相当する。
図3は、本実施の形態に係るセキュリティ対策情報1104の構成の一例を示す図である。
図4は、本実施の形態に係るインベントリ情報1110の構成の一例を示す図である。
インベントリ情報1110は、資産識別情報1110_a、資産OS情報1110_b、資産アプリ情報1110_c、資産実行情報1100_d、資産セキュリティ施策情報1110_eで構成される。
資産識別情報1110_aは、端末やサーバやセキュリティ機器の資産ID(識別子)、IPアドレス、MACアドレス、(その資産を使用するユーザの)ユーザIDなどで構成される。
資産OS情報1110_bは、インストールされているOSの情報(製品ID、バージョン情報)、そのOSに適用しているパッチの情報(適用パッチ。パッチIDで識別する)、そのOSに適用している回避策の情報(適用回避策。回避策IDで識別する)などで構成される。
資産アプリ情報1110_cは、インストールされている(アプリケーション)ソフトウエアの情報(アプリ。製品ID、バージョン情報)、そのソフトウエアに適用しているパッチの情報(適用パッチ。パッチIDで識別する)、そのソフトウエアに適用している回避策(適用回避策。回避策IDで識別する)などで構成される。
資産実行情報1100_dは、資産にインストールされたOSやアプリケーションソフトウエアを実行するための権限の情報であり、実行権限である。
資産セキュリティ施策情報1110_eは、資産におけるセキュリティ施策(OSやソフトウエアについて、実施しているセキュリティに関わる設定や、アンチウイルスソフトウエアなどのセキュリティ施策について、製品名、バージョン、パターンファイル番号など)の情報である。
インベントリ情報1110は、さらに、この資産(端末やサーバやセキュリティ機器)の用途として、開発用途、人事用途などの情報を含んでもよく、また、どの様な種類のファイル(設計ファイル、人事秘ファイルなど)を保存しているかの情報でもよい。また、ハードウエア、ソフトウエアの構成情報を含んでもよい。
図5は、本実施の形態に係る端末設定情報1108の構成の一例を示す図である。
端末設定情報1108は、各種ファイルが格納されているディレクトリなどの位置、ブラウザの設定(プロキシなど)、メーラの設定(メールアドレスなど)などの、端末の設定に関する情報である。また、ブラウザはどのファイルにアクセスできるか、どのプロセスを起動するか、起動したプロセスが何のファイルや情報にアクセスするか、といったアプリケーションに固有の情報を有する。また、特定のファイルに対してアクセス可能なプロセス名の情報が含まれてもよい。
検知1201’は、図2に示す検知1201が、フォーマット化された情報である。
図2に示すように、検知1201は、以下の内容から構成される。
(a)日時:攻撃が発生した日時。
(b)攻撃ID:攻撃を識別する情報。
(c)攻撃種別:攻撃の種別(例えば、不審なWebアクセス、DoS攻撃、権限昇格など)。
(d)脆弱性ID:攻撃がソフトウェアなどの脆弱性を悪用することで成り立つ場合、その識別情報(例えば、CVE番号(脆弱性識別番号))。
(e)攻撃元情報:SourceIP/Port、資産IDなど攻撃元若しくは通信元に関する情報(通信元情報)。
(f)攻撃先情報:DestinationIP/Port、URL、資産IDなど攻撃先若しくは通信先に関する情報(通信先情報)。
このような情報は、例えば、IPS(Intrusion Prevention System)などのセキュリティ機器による攻撃の検知結果として通知される。
或いは、セキュリティログ分析装置1の外部で、プロキシログを分析した結果、不審なWebサイト((f)攻撃先情報)へ、ある端末((e)攻撃元情報)から定期的/不規則に、通信が発生していることが、検知1201’として入力される。
検知1201’は、パケットのボディ部に検知1201を格納する形でフォーマット化される。
検知1201’は、セキュリティ機器のログファイルに記録されたログのエントリでもよい。
すなわち、検知データ1101とは、検知1201のことである。
解釈部102は、入力した検知データ1101を、日時、攻撃ID、攻撃種別、脆弱性ID、攻撃元情報、攻撃先情報などの構成要素に分解する(解釈する)。
解釈部102は、この結果を、攻撃判定部103に入力する。
例えば、攻撃元情報が組織内の端末のIPアドレスであれば、攻撃元情報を選択する。
ここで、検知1201’で通知された攻撃元情報(通信元情報)で識別される端末が、組織内の端末Aであるとする(図6のS103_1)。
なお、攻撃元情報(通信元情報)で識別される端末は、不審な通信を行った機器であり、不審通信機器に相当する。
また、攻撃先情報(通信先情報)で識別される通信先は、不審通信機器の通信先であり、不審通信先に相当する。
セキュリティ対策情報検索部201はセキュリティ対策情報検索条件1103をもとに、セキュリティ対策情報DB301に対して、セキュリティ対策情報検索条件1103’を出力し、該当する情報を検索して、セキュリティ対策情報1104(図3)を入力し、さらに、攻撃判定部103へ出力する(図6のS103_2)。
セキュリティ対策情報1104の一例として図3を用いて説明する。
セキュリティ対策情報1104は、攻撃識別情報1107_a、攻撃情報1107_b、対策識別情報1107_c、対策情報1107_d、対策実施の有無1107_eで構成される。
攻撃識別情報1107_aは、攻撃ID(識別情報)、攻撃種別、脆弱性IDで構成される。
攻撃情報1107_bは、影響を受ける製品の情報(製品ID、バージョン情報、パッチIDなど)、必要とする実行権限(管理者権限など)、キーワード(攻撃情報を表す文言)などの情報で構成される。
対策識別情報1107_cは、(攻撃に対する対策の情報の)対策IDである。
対策情報1107_dは、(IDSなどのシグネチャの)シグネチャID、(脆弱性を修正するパッチの)パッチID、(脆弱性を回避するための回避策の)回避策ID、回避策内容などの情報で構成される。
対策実施の有無1107_eは、情報システムにおいて、対策を実施したか否かの情報(対策情報の有無)である。
ここで、検索期間はログ検索条件1204で例えば、「検知の発生した日時を基準に前後24時間」として指定されたものである。
従って、検知情報1102で通知された攻撃が発生した日時の前後24時間を検索期間とする。
ログ種類は、ログ検索条件1105で指定されたログ種類であり、例えば、プロキシログである。
ログ種類は、通知された攻撃IDや攻撃種別に対して、予めどのログ種類を調べるかログ検索条件1204で指定する。
または、セキュリティログ分析装置1の運用者が予め指定して、同装置内に保存しておく。
この場合は、「不審なWebアクセスが通知された場合は、プロキシログを調べる」という指定をログ検索条件1204で指定する。
・検索期間:攻撃が発生した日時(2014/03/21:12:00:00とする)の前後24時間を検索期間(2014/03/20:12:00:00〜2014/03/22:12:00:00とする)
・宛先:通知されたURL(www.○×△.netとする)
・検索するログ:プロキシログ
この結果、該当するログエントリから、指定した期間に通知されたURL(www.○×△.net)と通信した端末の識別情報(例:IPアドレス)がわかる。
この端末には端末Aも含まれる。
ここで、取得されたログを以下とする(図6のS103_3)。
・端末Aに関わるもの:LogA
・端末Bi(i=1〜n)に関わるもの:LogBi(i=1〜n)
ここで、端末Bi(i=1〜n)は、検索期間において通知されたURLにアクセスした端末A以外の端末である。
なお、ログ検索部202により抽出された端末Bi(i=1〜n)は、不審通信機器である端末A以外の端末であって、不審通信先であるURL(www.○×△.net)との通信履歴がある機器であり、解析対象機器の例である。
インベントリ情報検索条件1109は、インベントリ情報検索条件で指定された「検索期間と検索対象」を用いて攻撃判定部103により生成される。
ここで、インベントリ情報は、端末にインストールされたOSとソフトウェアの情報、及び、これらのパッチ情報とする。
検索期間は、攻撃が発生した日時(2014/03/21:12:00:00)の前後24時間を検索期間(2014/03/20:12:00:00〜2014/03/22:12:00:00)とする。
・検索期間:攻撃が発生した日時(2014/03/21:12:00:00)の前後24時間(2014/03/20:12:00:00〜2014/03/22:12:00:00)
・検索対象:検知1201’で通知された攻撃先情報(通信先情報)に対して、検索期間にアクセスした端末
この結果、得られたインベントリ情報を以下とする(図6のS103_4)。
InvA:端末Aのインベントリ情報
InvBi:端末Biのインベントリ情報(i=1〜n)
ここでは、説明を簡潔にするため、端末Bi(i=1〜n)については、n=1として端末B1で表現する。
インベントリ情報には、インストールしているOSとソフトウェア、それらのパッチ適用情報が存在するため、端末Aと端末B1において差異があるか確認する。
ここでは、図3の対策情報1107_dのパッチIDを用いて、パッチの適用状態を確認する。
「最新のパッチ」が適用されているかどうかを、端末A、B1ごとにパッチの適用/未適用で示している。
つまり、ログエントリ1106は、前に定義したLogAとLogBi(i=1、つまりLogB1)である。
その方法は従来技術を利用してよく、例えば、通信の傾向が定期的である、頻度が極端に高いなどで判定する。
その結果により、不審通信有、不審通信無を判定する(図6のS103_5)。
図6のS103_4で取得したInvA、InvB1は、2014/03/20:12:00:00〜2014/03/22:12:00:00の期間における、端末Aと端末B1のインベントリ情報であり、これを調べることでこれらの端末の最新のパッチの適用の有無がわかる。
その方法は、既存の技術を適用してよいが、例を2つ示す。
−端末Aと端末B1における、www.○×△.netへのアクセス数を1分毎に、端末Aと端末B1ごとに集計する。集計した結果の平均と分散を、端末Aと端末B1について調べ、差異があるか調べる。差異が無ければ類似、差異があれば、非類似と判定する。
−端末Aと端末B1における、www.○×△.netへのアクセス数を1分毎に、端末Aと端末B1ごとに集計する。次に、集計した結果から、アクセスが発生した時間帯(1分毎)から、次にアクセスが発生した時間帯を調べ、定期的にアクセスが発生しているか、ランダムにアクセスが発生しているかを調べて、傾向を比較する。
攻撃判定部103は、端末Aと端末B1の通信が似ているか判定した結果、類似と判定された場合は、端末Aの通信を正常通信と判定する。
非類似と判定された場合は、不正通信として判定する。
この端末は、組織内でよくアクセスするURLに対して、定期的にアクセスを行っている。
従って、2014/03/20:12:00:00〜2014/03/22:12:00:00の期間においてwww.○×△.netへもアクセスしている(組織で利用されているOSが複数の種類あれば、各々について端末Sを用意する)。
なお、端末Sは対策済み機器の例に相当する。
さらに、表1における、端末Biを端末Sに読み替えて、端末Sにおけるパッチの未適用の行を削除したのが、表2である。
つまり、表1の端末B1の最新のパッチ適用の場合における(5)が表2の(5’)に、表1における(6)が表2の(6’)に、表1における(7)が表2の(7’)に該当する。
・端末Aと端末Biにおける、ウイルス検知ソフトウェアの最新バージョンや最新パターンファイルの適用状態。
・端末Aと端末Biにおける、使用しているブラウザの違い、同じである場合はバージョンの違い。
・端末Aと端末Biにおける、使用しているOSの違い、同じである場合はバージョンの違い。
・端末Aと端末Biにおける、使用しているオフィスドキュメントソフトウェアの違い、同じである場合はバージョンの違い。
・端末Aと端末Biが配置されているネットワークのセキュリティ対策の違い。
不審な通信が検知された端末Aと、同じ通信先にアクセスした別の端末があった場合に、別の端末の通信状態と、セキュリティ対策の差異を、端末Aの通信が不正化の判定に用いる。
・端末Aと端末Biに対して、表1、表2を用いて端末Aの通信が不正か判定する。
i=1〜nについて判定を行い、その結果を、判定結果i(i=1〜n)とする。
・判定結果i(i=1〜n)のうち不正通信と判定した数を計算する。
例えば、n=10において、6つの判定結果が不正通信であったとする。
・不正通信と判定された結果が、あらかじめ定めた閾値を超えたか調べる。
閾値を超えていれば、端末Aの通信は不正であったと判定する。
例えば、閾値が5であれば、6>閾値5 なので不正通信と判定する。
或いは、nに対する不正通信と判定した割合で、判定してもよい。
例えば、閾値を0.5とすれば、6/10=0.6なので、閾値0.5を超えており、不正通信と判定する。
このように、セキュリティログ分析装置1は、装置の外部で不審な通信を発していると判定された端末Aについて、本当に不審な通信か否かを、端末AがアクセスしたWebサイトに同時期にアクセスした端末Bのログを用いて不審通信を行っているか調べ、さらに、インベントリ情報から得られたパッチの適用状態の差異をもとに、端末Aのアクセスが本当に不正か判定できる。
端末AがアクセスしたWebサイトが、正規のサイトであったとしても、同時期に同組織からアクセスした他の端末の通信傾向と比較し、さらにパッチの状況を比較することで、正規のサイトがC&Cサーバとして密かに侵害されていたとしても検知が可能となる。
実施の形態1では、端末Aの攻撃の判定に、端末Aと端末Biのパッチ等のセキュリティ対策状態の差異を用いた。
本実施の形態では、端末Aと端末Biの、端末の用途の差異を判定に用いる。
攻撃者は、興味のある情報を扱える端末に対してのみ攻撃をしかけ、その結果、特定の端末に不正通信が発生している可能性があるため、これを踏まえた実施の形態である。
ここでは、端末Aの用途が人事情報を扱う端末であるとする(人事用途)。
実施の形態2では、セキュリティ対策情報は使用しない(図6における、S103_2は用いない)。
図6のS103_1、S103_3、S103_4、S103_5の処理は実施の形態1に同じである。
S103_4では、インベントリ情報DBにおいて、各端末の用途を取得し、開発用途の端末Biを抽出する。
S103_6における処理を、表3を用いて説明する。
本実施の形態でも、説明を簡潔にするために、端末B1に関して説明する。
・端末B1が不審通信有の場合は、端末Aの通信は正常通信と判定する(1)
・端末B1が不審通信無の場合は、端末Aの通信は不正通信と判定する(2)
人事用途の端末Aで不審通信が発生しているが、開発用途の端末B1では不審通信が発生していない場合(表3の(1))は、端末Aを利用する人事部のみで不正通信が発生していると捉えることができる。
このため、表3の(1)に該当する場合は、人事部を狙った攻撃が発生していると判断することができる。
一方、人事用途の端末A、開発用途の端末B1でともに不審通信が発生している場合(表3の(2))は、人事部及び開発部に共通する事象なので、問題がないと捉えることができる。
これにより、各端末がアクセス可能な情報の種類がわかるので、結果として、各端末の用途を調べることが可能となる。
このように、セキュリティログ分析装置1は、端末の用途の情報の差異を用いて、不正通信か否か判定するため、特定の用途の端末に攻撃を仕掛けられた場合でも、不正通信を判定できる。
水飲み場攻撃の場合、攻撃者は特定の組織からのアクセスに対してのみ反応することがある。
本実施の形態では、不審な通信が検知された端末Aに対して、端末Aが所属する組織以外に設置された端末から、端末Aがアクセスした通信先にアクセスし、その差異から不正通信か否か判定する。
本実施の形態では、セキュリティ対策情報検索部201、端末設定情報検索部203、インベントリ情報検索部204は使用しない。
・検索期間:攻撃が発生した日時(2014/03/21:12:00:00とする)の前後24時間を検索期間(2014/03/20:12:00:00〜2014/03/22:12:00:00)
・宛先:通知されたURL(www.○×△.net)
・検索するログ:プロキシログ、端末Aの配置されている組織以外の端末
S103_3においては、ログエントリLogBiとして取得されるのは、端末Aの配置されている組織以外の端末に関するものである。
つまり、端末Bi(i=1〜n)は、端末Aの配置されている組織以外の端末である。
端末Aが企業Xのイントラネット内に配置されているのであれば、端末Bは企業Xのイントラネット以外に配置されたものである。
S103_5において、攻撃判定部103は、LogBi(i=1〜n)において、通信が不審か判定された結果を用いて、以下のように端末Aの通信が不正通信か判定する。
ここでは、説明を簡潔にするためにn=1とする。
・端末B1の通信が不審な通信である場合:端末Aの通信は正常通信
・端末B1の通信が不審な通信で無い場合:端末Aの通信は不正通信
その場合、例えば、企業X内のイントラネットのある端末B’から、企業Xのプロキシサーバを経由して、インターネット上の公開プロキシサーバに接続し、さらに、インターネット上の公開プロキシサーバから、「www.○×△.net」に接続し、この通信の状態をログDBに蓄積して、LogB’として判定に用いてもよい。
この場合は、ログエントリの検索対象の期間が異なるが、通信の傾向(定期的な通信を発しているかなど)について判定することが可能である。
或いは、このように、インターネット上の公開プロキシサーバを経由して、組織の端末がよくアクセスするWebサイトに定期的にアクセスするリファレンス端末を運用することで、上記のログを常にログDB302に記録してもよい。
このようにすれば、ログ検索条件1105で指定する検索期間のログを取得できる。
このように、本実施の形態では、セキュリティログ分析装置1は、端末の配置された場所の違いを用いて、不正通信か否か判定するため、攻撃者が特定の組織からのアクセスにのみ反応して不正通信を行う場合に検知が可能である。
本実施の形態では、端末操作ログと、端末設定情報を用いて、水飲み場攻撃などの攻撃を検知する実施の形態を示す。
マルウェアは、組織内からインターネットのC&Cサーバと通信する際に、端末内のプロキシの設定情報を参照して、プロキシサーバに接続するため、これを検知に利用する。
本実施の形態では、セキュリティログ分析装置1における、セキュリティ対策情報DB301、入力部101、解釈部102、検知1201’は使用しない。
また、本実施の形態、更に実施の形態5及び6では、攻撃判定部103は、不審ファイル操作抽出部及び不正ファイル操作抽出部の例に相当する。
・検索期間:現在の時刻から24時間遡った期間(2014/03/19:12:00:00〜2014/03/20:12:00:00とする)
・検索するログ:端末操作ログ、監査ログ
・端末:端末A
・検索期間:現在の時刻から24時間遡った期間(2014/03/19:12:00:00〜2014/03/20:12:00:00とする)
・検索対象:プロキシの設定情報(プロキシ設定ファイル)
・端末:端末A
監査ログは以下のフォーマットとする。
タイムスタンプ 端末ID プロセス名 端末設定情報 処理
2014/3/20:09:00:00 端末A P_α プロキシ情報 読出
2014/3/20:10:00:00 端末A P_β プロキシ情報 読出
2014/3/20:11:00:00 端末A P_γ プロキシ情報 読出
端末IDは監査対象の機器のIDである。
プロセス名は、端末設定情報に対してアクセスしたプロセス名で、処理は、端末設定情報に対する処理である。
この例の一行目は、2014/3/20:09:00:00に、端末Aにおいて、プロセスP_αが、プロキシの設定情報を、読み出した、という意味になる。
ここで、上記の例のログエントリが得られたとする。
端末設定情報内のプロキシ情報にアクセス可能なプロセス名のリストは、端末設定情報1108から得られる。
端末設定情報内のプロキシ情報にアクセス可能なプロセス名が、P_αの場合、この除外の結果、以下のログエントリが残る(図7 S1032_2)。
タイムスタンプ 端末ID プロセス名、端末設定情報 処理
2014/3/20:10:00:00 端末A P_β プロキシ情報 読出
2014/3/20:11:00:00 端末A P_γ プロキシ情報 読出
このエントリを、不審アクセスログエントリとする。
端末操作ログは以下のフォーマットとする。
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:10:00:00 端末A P_β プロキシ情報 読出
この例の一行目は、2014/3/20:10:00:00に、端末Aにおいて、プロセスP_βが、プロキシの設定情報を、読み出した、という意味になる。
例えば、ブラウザを操作して、どのサイトにアクセスしたか、何のアプリケーションを用いて、ドキュメントを閲覧・書き込みなどを行ったか、何のファイルをどのフォルダからどのフォルダへコピーしたか、何のファイルをリネーム・削除したか、何のアプリケーションを使って何のファイルへアクセスしたか、などの操作が記録される。
プロセス名は、アプリケーション名として示される場合もある。
プロセスP_βは、例えば、ブラウザや、Webサイトと通信を行うアプリケーションが該当する。
つまり、以下が抽出される。
これを、正常アクセス情報とする。
2014/3/20:10:00:00 端末A P_β プロキシ情報 読出
この結果、以下が残る。
タイムスタンプ 端末ID プロセス名、端末設定情報 処理
2014/3/20:11:00:00 端末A P_γ プロキシ情報 読出
このように、本実施の形態では、セキュリティログ分析装置1は、端末操作ログと監査ログを用いることで、不正なプログラムがインターネットと通信する際に利用するプロキシ情報へのアクセスを識別できる。
以下では、端末操作ログと、端末設定情報を用いて、水飲み場攻撃などの攻撃を検知する実施の形態4とは異なる実施の形態を示す。
本実施の形態では、このような通信を検出する。
監査ログと端末操作ログとの取得条件は、実施の形態4と同じとする。
端末操作ログが以下のように記録されている場合、端末Aでは、2014/3/20:09:00:00から2014/3/20:09:30:00までブラウザが起動していることになる(操作対象の列は、記録されたURL1〜URL4にアクセスしていることを示し、処理は、HTTPのメソッドを示している)。
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:09:00:00 端末A ブラウザ URL1 GET
2014/3/20:09:10:00 端末A ブラウザ URL2 GET
2014/3/20:09:20:00 端末A ブラウザ URL3 GET
2014/3/20:09:30:00 端末A ブラウザ URL4 POST
タイムスタンプ 端末ID プロセス名、対象 処理
2014/3/20:10:00:00 端末A ブラウザ ファイルX 書出
つまり、ブラウザが自動的にファイルXを保存したのではない。
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:10:00:00 端末A ファイル操作 ファイルY 書出
この結果、攻撃判定部103は、ファイルXは、ブラウザにより書出されたが、ユーザが手動で実施したものでも、ブラウザが自動で実施したものでもないことがわかるため、マルウェアなどの不正なプログラムによる書出しと判定する。
このように、本実施の形態では、セキュリティログ分析装置1は、端末操作ログと監査ログを用いて、不正なプログラムがインターネットと通信した際に保存したファイルを特定することで、マルウェアの侵入を検知できる。
本実施の形態では、実施の形態5と同様に、端末操作ログと監査ログに加えてプロキシログを用いることで、マルウェアによるファイルの送信を検知する。
実施の形態5と同様に、端末Aの端末操作ログと監査ログを取得する。
さらに、同じ期間における端末Aのインターネットへのアクセスに関するプロキシログを取得する。
さらに、攻撃判定部103は、ブラウザを起動している時間帯を端末操作ログから特定する。
この結果、端末AからのPOSTに該当するエントリは以下であるとする。
・プロキシログ
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:09:30:00 端末A ブラウザ URL4 POST
また、ブラウザを起動している時間帯は、実施の形態5と同じで、以下である。
・端末操作ログ
2014/3/20:09:00:00から2014/3/20:09:30:00
・監査ログ
タイムスタンプ 端末ID プロセス名、対象 処理
2014/3/20:09:00:01 端末A ブラウザ ファイルU 読出
2014/3/20:09:29:00 端末A ブラウザ ファイルZ 読出
上記の監査ログのエントリが得られたとする。
つまり、端末Aにおいて、2014/3/20:09:00:01に、ブラウザがファイルUを、2014/3/20:09:29:00に、ブラウザがファイルZを、読出したことがかる。
ファイル操作に関わる端末操作ログのエントリは以下である。
・端末操作ログ
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:09:00:01 端末A ブラウザ ファイルU 読出
2014/3/20:09:29:02 端末A ファイル操作 ファイルW 読出
つまり、ユーザは、ファイルUについてはブラウザを使って読み出しているが、ファイルZについてはブラウザを使って操作していない。
従って、ファイルZは、ユーザの操作によってPOSTされていないことがわかるので、攻撃判定部103は、マルウェアによるPOSTの候補と判定する。
プロキシログには、送信したファイル名が記録されることがあり(HTTPヘッダに記録されることがある)、これとファイルZの名称を比較することで、ファイルZがPOSTされたと判定してもよい。
また、送信したファイル名がプロキシログからわからない場合は、プロキシログに記録されるHTTPリクエストのサイズから、HTTPヘッダ部分のサイズを削除した残りのサイズと、ファイルZのサイズを比較し、同じか値が似ていれば、ファイルZが送出されたと判定してもよい。
HTTPヘッダ部分のサイズは、送信先のURLの記録などから推測する。
このように、本実施の形態では、セキュリティログ分析装置1は、端末操作ログと監査ログを用いて、不正なプログラムがインターネットと通信してPOSTしたファイルを特定することで、マルウェアの侵入を検知できる。
あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。
なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。
セキュリティログ分析装置1はコンピュータであり、セキュリティログ分析装置1の各要素をプログラムで実現することができる。
セキュリティログ分析装置1のハードウェア構成としては、バスに、演算装置901、外部記憶装置902、主記憶装置903、通信装置904、入出力装置905が接続されている。
外部記憶装置902は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置である。
主記憶装置903は、RAM(Random Access Memory)である。
通信装置904は、例えばNIC(Network Interface Card)である。
入出力装置905は、例えばマウス、キーボード、ディスプレイ装置等である。
プログラムは、図1に示す「〜部」として説明している機能を実現するプログラムである。
更に、外部記憶装置902にはオペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置903にロードされ、演算装置901はOSを実行しながら、図1に示す「〜部」の機能を実現するプログラムを実行する。
また、実施の形態1〜6の説明において、「〜の判断」、「〜の判定」、「〜の抽出」、「〜の検知」、「〜の解析」、「〜の設定」、「〜の登録」、「〜の選択」、「〜の生成」、「〜の入力」、「〜の出力」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置903にファイルとして記憶されている。
Claims (19)
- 不審な通信を行った機器である不審通信機器と、前記不審通信機器の通信先である不審通信先とが検知された場合に、前記不審通信機器以外の機器であって前記不審通信先との通信履歴がある機器を解析対象機器として抽出する機器抽出部と、
前記解析対象機器と前記不審通信先との通信履歴を解析して、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定する通信判定部とを有することを特徴とする解析装置。 - 前記通信判定部は、
前記解析対象機器と前記不審通信先との通信履歴を解析して、前記解析対象機器と前記不審通信先との間に不審な通信があったか否かを判定し、前記解析対象機器と前記不審通信先との間に不審な通信があったか否かの判定結果に基づき、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定することを特徴とする請求項1に記載の解析装置。 - 前記通信判定部は、
前記不審通信機器及び前記解析対象機器のセキュリティ状態を判定し、前記不審通信機器及び前記解析対象機器のセキュリティ状態の判定結果と前記解析対象機器と前記不審通信先との間に不審な通信があったか否かの判定結果とに基づき、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定することを特徴とする請求項2に記載の解析装置。 - 前記通信判定部は、
前記不審通信機器及び前記解析対象機器のセキュリティ状態として、特定のセキュリティ対策が前記不審通信機器及び前記解析対象機器に施されているか否かを判定することを特徴とする請求項3に記載の解析装置。 - 前記通信判定部は、
前記不審通信機器に前記セキュリティ対策が施されていて前記解析対象機器には前記セキュリティ対策が施されていない場合は、前記解析対象機器と前記不審通信先との間に不審な通信があったか否かにかかわらず、前記不審通信機器と前記不審通信先との間の通信は正常な通信であると判定し、
前記不審通信機器及び前記解析対象機器に前記セキュリティ対策が施されている場合に、前記解析対象機器と前記不審通信先との間に不審な通信があれば、前記不審通信機器と前記不審通信先との間の通信は正常な通信であると判定し、
前記不審通信機器に前記セキュリティ対策が施されていなくて前記解析対象機器には前記セキュリティ対策が施されている場合に、前記解析対象機器と前記不審通信先との間に不審な通信がなければ、前記不審通信機器と前記不審通信先との間の通信は不正な通信であると判定することを特徴とする請求項4に記載の解析装置。 - 前記通信判定部は、
前記不審通信機器に前記セキュリティ対策が施されていなくて前記解析対象機器には前記セキュリティ対策が施され、更に、前記解析対象機器と前記不審通信先との間に不審な通信がある場合は、
前記不審通信機器と前記不審通信先との間の通信パターンと前記解析対象機器と前記不審通信先との通信パターンとが類似すれば、前記不審通信機器と前記不審通信先との間の通信は正常な通信であると判定し、
前記不審通信機器と前記不審通信先との間の通信パターンと前記解析対象機器と前記不審通信先との通信パターンとが類似しなければ、前記不審通信機器と前記不審通信先との間の通信は不正な通信であると判定することを特徴とする請求項4に記載の解析装置。 - 前記通信判定部は、
前記不審通信機器及び前記解析対象機器に前記セキュリティ対策が施されていない場合と、前記不審通信機器及び前記解析対象機器に前記セキュリティ対策が施され、更に、前記解析対象機器と前記不審通信先との間に不審な通信がない場合に、
前記セキュリティ対策が施され、前記不審通信先との通信履歴がある機器である対策済み機器と前記不審通信先との間に不審な通信があったか否かを判定し、
前記対策済み機器と前記不審通信先との間に不審な通信がない場合は、前記不審通信機器と前記不審通信先との間の通信は不正な通信であると判定し、
前記対策済み機器と前記不審通信先との間に不審な通信がある場合は、
前記不審通信機器と前記不審通信先との間の通信パターンと前記対策済み機器と前記不審通信先との通信パターンとが類似すれば、前記不審通信機器と前記不審通信先との間の通信は正常な通信であると判定し、
前記不審通信機器と前記不審通信先との間の通信パターンと前記対策済み機器と前記不審通信先との通信パターンとが類似しなければ、前記不審通信機器と前記不審通信先との間の通信は不正な通信であると判定することを特徴とする請求項4に記載の解析装置。 - 前記通信判定部は、
前記不審通信機器及び前記解析対象機器の用途の異同を判定し、用途の異同の判定結果と前記解析対象機器と前記不審通信先との間に不審な通信があったか否かの判定結果とに基づき、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定することを特徴とする請求項2に記載の解析装置。 - 前記通信判定部は、
前記不審通信機器及び前記解析対象機器の用途が異なる場合に、
前記解析対象機器と前記不審通信先との間に不審な通信があれば、前記不審通信機器と前記不審通信先との間の通信は正常な通信であると判定し、前記解析対象機器と前記不審通信先との間に不審な通信がなければ、前記不審通信機器と前記不審通信先との間の通信は不正な通信であると判定することを特徴とする請求項8に記載の解析装置。 - 前記機器抽出部は、
前記不審通信機器が所属する組織に所属していない機器を前記解析対象機器として抽出することを特徴とする請求項1に記載の解析装置。 - 前記機器抽出部は、
前記不審通信機器と前記不審通信先との間の通信が発生した時刻が含まれる時間帯に前記不審通信先との通信履歴がある機器を前記解析対象機器として抽出することを特徴とする請求項1に記載の解析装置。 - 機器で発生したファイル操作のうち不審なファイル操作を抽出する不審ファイル操作抽出部と、
前記不審ファイル操作抽出部により抽出された前記不審なファイル操作のうち、前記機器を使用するユーザの指示に基づいて発生したファイル操作であるユーザ指示ファイル操作を特定し、前記不審なファイル操作から前記ユーザ指示ファイル操作を除外して得られたファイル操作を不正なファイル操作とする不正ファイル操作判定部とを有することを特徴とする解析装置。 - 前記不審ファイル操作抽出部は、
前記機器がプロキシサーバにアクセスする際に用いるプロキシ設定ファイルへのファイル操作のうち前記プロキシ設定ファイルの操作が許可されていないプロセスによって発生したファイル操作を、前記不審なファイル操作として抽出することを特徴とする請求項12に記載の解析装置。 - 前記不審ファイル操作抽出部は、
前記機器に実装されているブラウザによるブラウザキャッシュ領域以外の保存領域へのファイル保存を、前記不審なファイル操作として抽出することを特徴とする請求項12に記載の解析装置。 - 前記不審ファイル操作抽出部は、
前記機器に実装されているブラウザによるPOST処理に関連するファイル操作を、前記不審なファイル操作として抽出することを特徴とする請求項12に記載の解析装置。 - 不審な通信を行った機器である不審通信機器と、前記不審通信機器の通信先である不審通信先とが検知された場合に、コンピュータが、前記不審通信機器以外の機器であって前記不審通信先との通信履歴がある機器を解析対象機器として抽出する機器抽出ステップと、
前記コンピュータが、前記解析対象機器と前記不審通信先との通信履歴を解析して、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定する通信判定ステップとを有することを特徴とする解析方法。 - コンピュータが、機器で発生したファイル操作のうち不審なファイル操作を抽出する不審ファイル操作抽出ステップと、
前記コンピュータが、前記不審ファイル操作抽出ステップにより抽出された前記不審なファイル操作のうち、前記機器を使用するユーザの指示に基づいて発生したファイル操作であるユーザ指示ファイル操作を特定し、前記不審なファイル操作から前記ユーザ指示ファイル操作を除外して得られたファイル操作を不正なファイル操作とする不正ファイル操作判定ステップとを有することを特徴とする解析方法。 - 不審な通信を行った機器である不審通信機器と、前記不審通信機器の通信先である不審通信先とが検知された場合に、前記不審通信機器以外の機器であって前記不審通信先との通信履歴がある機器を解析対象機器として抽出する機器抽出処理と、
前記解析対象機器と前記不審通信先との通信履歴を解析して、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定する通信判定処理とをコンピュータに実行させることを特徴とするプログラム。 - 機器で発生したファイル操作のうち不審なファイル操作を抽出する不審ファイル操作抽出処理と、
前記不審ファイル操作抽出処理により抽出された前記不審なファイル操作のうち、前記機器を使用するユーザの指示に基づいて発生したファイル操作であるユーザ指示ファイル操作を特定し、前記不審なファイル操作から前記ユーザ指示ファイル操作を除外して得られたファイル操作を不正なファイル操作とする不正ファイル操作判定処理とをコンピュータに実行させることを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014126458A JP6296915B2 (ja) | 2014-06-19 | 2014-06-19 | 解析装置及び解析方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014126458A JP6296915B2 (ja) | 2014-06-19 | 2014-06-19 | 解析装置及び解析方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016004540A true JP2016004540A (ja) | 2016-01-12 |
JP6296915B2 JP6296915B2 (ja) | 2018-03-20 |
Family
ID=55223740
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014126458A Expired - Fee Related JP6296915B2 (ja) | 2014-06-19 | 2014-06-19 | 解析装置及び解析方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6296915B2 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002251374A (ja) * | 2000-12-20 | 2002-09-06 | Fujitsu Ltd | 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
JP2007052550A (ja) * | 2005-08-16 | 2007-03-01 | Nec Corp | コンピュータシステム及び情報処理端末 |
JP2010108469A (ja) * | 2008-10-01 | 2010-05-13 | Sky Co Ltd | 操作監視システム及び操作監視プログラム |
-
2014
- 2014-06-19 JP JP2014126458A patent/JP6296915B2/ja not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002251374A (ja) * | 2000-12-20 | 2002-09-06 | Fujitsu Ltd | 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
JP2007052550A (ja) * | 2005-08-16 | 2007-03-01 | Nec Corp | コンピュータシステム及び情報処理端末 |
JP2010108469A (ja) * | 2008-10-01 | 2010-05-13 | Sky Co Ltd | 操作監視システム及び操作監視プログラム |
Non-Patent Citations (3)
Title |
---|
可児 潤也 ほか: "SaaR:Sandbox as a Requestの実装と評価", 情報処理学会 研究報告, vol. Vol.2014-DPS-158 No.19, JPN6017047240, 27 February 2014 (2014-02-27), JP, pages 1 - 8, ISSN: 0003722572 * |
大谷 尚通 ほか: "企業内ネットワークの通信ログを用いたサイバー攻撃検知システム", CSS2013コンピュータセキュリティシンポジウム2013論文集 [CD−ROM], vol. 2013, no. 4, JPN6016047559, 14 October 2013 (2013-10-14), JP, pages 287 - 294, ISSN: 0003722574 * |
義則 隆之 ほか: "マルチ環境解析を利用した悪性Webサイトアクセスが及ぼす影響の分析支援", 電子情報通信学会技術研究報告, vol. 113, no. 502, JPN6017047243, 20 March 2014 (2014-03-20), JP, pages 161 - 166, ISSN: 0003722573 * |
Also Published As
Publication number | Publication date |
---|---|
JP6296915B2 (ja) | 2018-03-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6894003B2 (ja) | Apt攻撃に対する防御 | |
US9542556B2 (en) | Malware family identification using profile signatures | |
EP3295359B1 (en) | Detection of sql injection attacks | |
US10726125B2 (en) | Malware detection using clustering with malware source information | |
Sukwong et al. | Commercial antivirus software effectiveness: an empirical study | |
JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
US20160078229A1 (en) | System And Method For Threat Risk Scoring Of Security Threats | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
Sequeira | Intrusion prevention systems: security's silver bullet? | |
US20240045954A1 (en) | Analysis of historical network traffic to identify network vulnerabilities | |
Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
US10601867B2 (en) | Attack content analysis program, attack content analysis method, and attack content analysis apparatus | |
Mallikarajunan et al. | Detection of spyware in software using virtual environment | |
Abuzaid et al. | An efficient trojan horse classification (ETC) | |
CN107517226B (zh) | 基于无线网络入侵的报警方法及装置 | |
Kono et al. | An unknown malware detection using execution registry access | |
Wu et al. | A novel approach to trojan horse detection by process tracing | |
JP6296915B2 (ja) | 解析装置及び解析方法及びプログラム | |
Howard et al. | An approach for detecting malicious keyloggers | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170116 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171116 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171212 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180111 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180123 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180220 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6296915 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |