JP2016066282A - ウイルス検知システム及び方法 - Google Patents

ウイルス検知システム及び方法 Download PDF

Info

Publication number
JP2016066282A
JP2016066282A JP2014195244A JP2014195244A JP2016066282A JP 2016066282 A JP2016066282 A JP 2016066282A JP 2014195244 A JP2014195244 A JP 2014195244A JP 2014195244 A JP2014195244 A JP 2014195244A JP 2016066282 A JP2016066282 A JP 2016066282A
Authority
JP
Japan
Prior art keywords
suspicious
activity
terminal
communication
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014195244A
Other languages
English (en)
Other versions
JP6267089B2 (ja
Inventor
信隆 川口
Nobutaka Kawaguchi
信隆 川口
谷川 嘉伸
Yoshinobu Tanigawa
嘉伸 谷川
恒太 井手口
Kota Ideguchi
恒太 井手口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2014195244A priority Critical patent/JP6267089B2/ja
Publication of JP2016066282A publication Critical patent/JP2016066282A/ja
Application granted granted Critical
Publication of JP6267089B2 publication Critical patent/JP6267089B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】マルウェア等のウイルスや標的型攻撃による拡散活動を精度良く早期に検知し得るウイルス検知システム及び方法を提案する。【解決手段】ウイルスの拡散活動を検知するウイルス検知システムにおいて、複数の端末のそれぞれは、他端末との間で行った通信及び自端末内部で行った活動を監視し、通信又は活動を行った場合には通信情報又は活動情報を生成して拡散活動検知装置に送信し、拡散活動検知装置は、端末からの通信情報又は活動情報を受信した場合、予め定められた第1のポリシーに基づいて、通信情報又は活動情報が不審通信情報又は不審活動情報であるか否かを判断し、予め定められた第2のポリシーに基づいて、不審通信情報又は不審活動情報を生成した端末が不審端末であるか否かを判断し、不審端末間の関連性を示すグラフを構築し、構築したグラフに基づいて、ウイルスの拡散活動を検知することを特徴とする。【選択図】図1

Description

本発明は、ウイルス検知システム及び方法に関し、特にマルウェア等のウイルスや標的型攻撃による拡散活動を検知するウイルス検知システム及び方法に適用して好適なものである。
近年、情報漏えいや不正アクセス等の脅威をもたらすコンピュータウイルス、スパイウェア及びボットプログラムといった悪意のある不正プログラム(マルウェア)が増加している。マルウェアの脅威からシステムやネットワークを守るためには、マルウェアを検知する必要がある。
マルウェアの検知には様々な方式があるが、方式によっては検知に時間がかかるという課題がある。また高度なマルウェアに対しては検知精度が低下するという課題がある。さらにここ数年では、高度なマルウェアを巧みに活用して特定の官庁や企業、組織のネットワークに侵入し、機密情報の窃取やシステム破壊を行う「標的型攻撃」がセキュリティ上の大きな脅威となっている。
マルウェアによる被害を最小化するためには、初期感染端末からソフトウェアの脆弱性等を悪用して、同ネットワーク内の他端末に感染を広げる「拡散活動」を検知する必要がある。組織ネットワークで高度なマルウェアの拡散活動を検知する方法の1つとして、ネットワークや端末の挙動を詳細に観測し、観測結果に基づいて検知する方法がある。
特許文献1には、プロセスが行う端末内活動や通信を観測し、その挙動が予め決められたルールに合致する場合にマルウェアを検知する技術が開示されている。特許文献2及び特許文献3には、特定の標的型攻撃が行われるときに生じる通信の特徴に着目してマルウェアを検知する技術が開示されている。
また非特許文献1には、マルウェアが拡散活動を行うと通常の通信頻度が低い組織内端末間でコネクションが張られ、さらにマルウェアの感染が広がると、このコネクションをエッジとするツリー構造が観測されることに着目し、一定サイズ以上のツリー構造が発生した場合にマルウェアを検知する技術が開示されている。
また非特許文献2には、ネットワーク内に同一種類の端末(例えばWEBサーバ)のグループが存在し、その一部のサブグループのレスポンスタイムやCPU負荷等が変動した場合に変動の度合いを分析することで、個々のサーバの調子が偶然悪いのではなくサブグループが攻撃されていることを検知する技術が開示されている。
特開2011−53893号公報 特開2014−86821号公報 特開2014−86822号公報
"サイレントワーム検知のためのアノマリーコネクションツリーメソッド"、情報処理学会論文誌48(2)、pp.614-624、2007 "CommunityEpidemic Detection Using Time-Correlated Anomalies"、Springer Lecture Notes in Computer Science Volume 6307、2010、pp360-381
しかし特許文献1に記載の技術は、SPAMメールの送信等のように活動が比較的活発なマルウェアの検知を目的としている。昨今のマルウェアは、検知を回避するために正規ツールを活用して明らかに不審な活動を行わない傾向にある。
よって特許文献1に記載の技術では、最新のマルウェアを検知することができない場合がある。また特許文献2及び特許文献3に記載の技術では、特定の通信や攻撃を行う標的型攻撃の検知に特化しているため有効範囲が狭く、マルウェアの拡散活動を汎用的に検知することができない。
また非特許文献1に記載の技術では、通信のみに着目し、各端末内での活動(ファイルの実行やレジストリの書き換え等)には着目していないため、大規模な拡散活動に対しては有効であるが、拡散範囲が比較的狭い攻撃に対して有効とはいえない。
また非特許文献2に記載の技術では、複数の端末の異常状態を検知に用いるが、拡散に用いられる通信を検知に用いないため、拡散活動の性質を十分に活用しているとはいえず、十分な検知速度を得られない場合がある。
本発明は以上の点を考慮してなされたもので、マルウェア等のウイルスや標的型攻撃による拡散活動を精度良く早期に検知し得るウイルス検知システム及び方法を提案する。
かかる課題を解決するために、本発明においては、ウイルスの拡散活動を検知するウイルス検知システムにおいて、複数の端末及び拡散活動検知装置を備え、複数の端末のそれぞれは、他端末との間で行った通信及び自端末内部で行った活動を監視し、通信又は活動を行った場合には通信情報又は活動情報を生成して拡散活動検知装置に送信し、拡散活動検知装置は、端末からの通信情報又は活動情報を受信した場合、予め定められた第1のポリシーに基づいて、通信情報又は活動情報が不審通信情報又は不審活動情報であるか否かを判断し、通信情報又は活動情報が不審通信情報又は不審活動情報である場合、予め定められた第2のポリシーに基づいて、不審通信情報又は不審活動情報を生成した端末が不審端末であるか否かを判断し、不審通信情報又は不審活動情報を生成した端末が不審端末である場合、不審端末間の関連性を示すグラフを構築し、構築したグラフに基づいて、ウイルスの拡散活動を検知することを特徴とする。
またかかる課題を解決するために、本発明においては、ウイルスの拡散活動を検知するウイルス検知方法において、複数の端末のそれぞれが、他端末との間で行った通信及び自端末内部で行った活動を監視する第1のステップと、通信又は活動を行った場合には通信情報又は活動情報を生成して拡散活動検知装置に送信する第2のステップと、拡散活動検知装置が、端末からの通信情報又は活動情報を受信した場合、予め定められた第1のポリシーに基づいて、通信情報又は活動情報が不審通信情報又は不審活動情報であるか否かを判断する第3のステップと、通信情報又は活動情報が不審通信情報又は不審活動情報である場合、予め定められた第2のポリシーに基づいて、不審通信情報又は不審活動情報を生成した端末が不審端末であるか否かを判断第4のステップと、不審通信情報又は不審活動情報を生成した端末が不審端末である場合、不審端末間の関連性を示すグラフを構築し、構築したグラフに基づいて、ウイルスの拡散活動を検知する第5のステップとを備えることを特徴とする。
本発明によれば、マルウェア等のウイルスや標的型攻撃による拡散活動を精度良く早期に検知することができる。
ウイルス検知システムの機能構成図である。 拡散活動検知装置の物理構成図である。 通信DBの内部構成図である。 正常通信プロファイルDBの内部構成図である。 正常通信ポリシーDBの内部構成図である。 活動DBの内部構成図である。 正常活動プロファイルDBの内部構成図である。 正常活動ポリシーDBの内部構成図である。 グラフ管理DBの内部構成図である。 グラフ評価ポリシーDBの内部構成図である。 不審通信・不審活動DBの内部構成図である。 不審端末ポリシーDBの内部構成図である。 対応ルールDBの内部構成図である。 拡散活動検知処理のフローチャートである。 拡散活動検知処理のフローチャートである。 不審活動グラフ管理処理のフローチャートである。 管理者用ダッシュボードの画面構成図である。 第2の実施の形態におけるウイルス検知システムの機能構成図である。
以下図面について、本発明の一実施の形態を詳述する。
(1)第1の実施の形態
第1の実施の形態では、初期感染端末が端末20Aであり、端末20Aを起点として、端末20D、端末20B、端末20Cの順にウイルスの拡散活動が行われる標的型攻撃に対し、拡散活動検知装置10が各端末20A〜20Dからの通信情報及び活動情報を受信して解析することにより、拡散活動を精度良く早期に検知するウイルス検知システム1について説明する。
(2)ウイルス検知システムの機能構成
図1は、第1の実施の形態におけるウイルス検知システム1の機能構成を示す。ウイルス検知システム1は、拡散活動検知装置10、端末20A〜20D及び管理者端末30を備えて構成される。またこれらの拡散活動検知装置10、端末20A〜20D及び管理者端末30は、通信ネットワークN1を介して互いに通信可能に接続される。
拡散活動検知装置10は、一般的なサーバ装置であり、標的型攻撃による拡散活動を検知する装置である。端末20Aは、一般的なユーザ端末であり、ここでは標的型攻撃の拡散活動の起点として悪用される端末である。他の端末20B〜20Dは、端末20Aによる拡散活動の影響を受けて、端末20Aと同様に悪用される端末である。
管理者端末30は、一般的なユーザ端末であり、管理者用ダッシュボード31を備える。管理者用ダッシュボード31は、拡散活動検知装置10の検知状況を監視し、また拡散活動検知装置10における各種設定を変更するための操作表示画面である。通信ネットワークN1は、WAN(World Area Network)、LAN(Local Area Network)、携帯電話又はPHS等の公衆回線網である。
以下、拡散活動検知装置10の詳細について説明する。拡散活動検知装置10は、複数のプログラム(機能部)、データベース(DB)及びインタフェイスを備える。制御部11は、拡散活動検知装置10の動作を統括的に制御し、外部との通信や各機能部との連携を通じて拡散活動を検知する。また検知した拡散活動の対策を実行する。
正常通信学習部12は、通信ネットワークN1における「正常通信」を学習する。「正常通信」とは、拡散活動が発生していない段階で、通信ネットワークN1に含まれる端末間で行われる通信をいう。正常通信以外の通信は「不審通信」と呼ぶ。
通信DB121は、端末間で行われた通信の情報を格納する。拡散活動検知装置10は、「学習フェイズ」と「検知フェイズ」の2つの動作モードを有しており、動作モードが学習フェイズの場合に通信の情報を取得して、通信DB121に格納する。
不審通信判定部13は、学習結果に基づいて、任意の端末間の通信が正常通信であるか不審通信であるかを判定する。正常通信プロファイルDB131は、正常通信と判定された通信の情報を格納する。
正常通信ポリシーDB132は、端末間の通信を正常通信と判定するか不審通信と判定するかのルールを格納する。正常通信ポリシー管理インタフェイス133は、正常通信ポリシーDB132に格納されているルールを管理者端末30等の外部から編集するためのインタフェイスである。
正常活動学習部14は、端末内部の「正常活動」を学習する。「正常活動」とは、拡散活動が発生していない段階で、端末内部で行われる活動をいう。正常活動は、具体的にはファイルアクセス、レジストリアクセス、ファイルの実行及び外部ネットワークとの通信等である。正常活動以外の活動は「不審活動」と呼ぶ。
活動DB141は、端末内部で行われた活動の情報を格納する。拡散活動検知装置10は、動作モードが学習フェイズの場合に活動の情報を取得して、活動DB141に格納する。
不審活動判定部15は、学習結果に基づいて、任意の端末内部の活動が正常活動であるか不審活動であるかを判定する。正常活動プロファイルDB151は、正常活動と判定された活動の情報を格納する。
正常活動ポリシーDB152は、端末内部の活動を正常活動と判定するか不審活動と判定するかのルールを格納する。正常活動ポリシー管理インタフェイス153は、正常活動ポリシーDB152に格納されているルールを管理者端末30等の外部から編集するためのインタフェイスである。
不審活動グラフ管理部16は、不審通信又は不審活動を一定の基準を超えて行う「不審端末」をノードとし、不審端末間で発生した不審通信をエッジとする「不審活動グラフ」を構築及び管理し、所定の条件を満たす不審活動グラフが出現した場合には拡散活動が発生したことを検知する。
不審活動グラフの構築及び管理が拡散活動の検知に繋がるのは、拡散活動が発生する際は各端末の動作が正常時とは異なることが多くなり、かつ、不審端末から不審通信を受信した「正常端末」がその後に不審端末に転換することが多いためである。すなわち不審通信又は不審活動を追跡したグラフを構築及び管理することにより、実際の拡散活動を早期に検知することができる。
グラフ管理DB161は、通信ネットワークN1において発生した各不審活動グラフの情報を管理する。グラフ評価ポリシーDB162は、不審活動グラフのグラフスコアを決定する際のルールを格納する。
グラフ評価ポリシー管理インタフェイス163は、グラフ評価ポリシーDB162に格納されているルールを管理者端末30等の外部から編集するためのインタフェイスである。不審端末管理部17は、通信ネットワークN1に接続されている端末が不審端末であるか正常端末であるかを判定する。
不審通信・不審活動DB171は、不審端末の判定に必要な情報を格納する。不審端末ポリシーDB172は、端末を不審端末と判定するルールを格納する。不審端末ポリシー管理インタフェイス173は、不審端末ポリシーDB172に格納されているルールを管理者端末30等の外部から編集するためのインタフェイスである。
不正活動対応部18は、拡散活動を検知した場合の対策を実行する。対応ルールDB181は、不審活動グラフの特徴に応じた対策を格納する。ルール管理インタフェイス182は、対応ルールDB181に格納されているルールを管理者端末30等の外部から編集するためのインタフェイスである。
次いで端末20Aの詳細について説明する。端末20A内には、監視部21がインストールされている。監視部21は、端末通信監視部22、端末活動監視部23及び端末制御部24から構成される。端末通信監視部22は、端末20Aが他端末と行った通信を監視し、通信情報を端末制御部24に送信する。
端末活動監視部23は、端末20Aが行った内部活動を監視し、活動情報を端末制御部24に送信する。端末制御部24は、端末通信監視部22及び端末活動監視部23から受信した通信情報及び活動情報を拡散活動検知装置10に送信する。
端末20B〜20Dについても上記端末20Aと同様の構成を備えるため、ここでの説明は省略する。なおここでは端末20A〜20Dが通信ネットワークN1に接続している構成を図示しているが、更に複数の端末が通信ネットワークN1に接続して構成されるとしてもよい。
(3)拡散活動検知装置の物理構成
図2は、拡散活動検知装置10の物理構成を示す。拡散活動検知装置10は、CPU101、メモリ102、外部記憶装置103、IF(インタフェイス)104、入出力装置105及びバスB1を備えて構成される。
CPU101は、メモリ102内に格納された各種プログラムとの協働により、拡散活動検知装置10の動作を統括的に制御するプロセッサである。メモリ102は、各種プログラムを格納するための記憶媒体である。
メモリ102に格納される各種プログラムとは、制御部11、正常通信学習部12、不審通信判定部13、正常活動学習部14、不審活動判定部15、不審活動グラフ管理部16、不審端末管理部17及び不正活動対応部18である(図1参照)。
外部記憶装置103は、HDD(Hard Disk Drive)等の記憶媒体であり、各種DBを長期的に格納する。各種DBとは、通信DB121、正常通信プロファイルDB131、正常通信ポリシーDB132、活動DB141、正常活動プロファイルDB151、正常活動ポリシーDB152、グラフ管理DB161、グラフ評価ポリシーDB162、不審通信・不審活動DB171、不審端末ポリシーDB172及び対応ルールDB181である(図1参照)。
IF104は、拡散活動検知装置10を通信ネットワークN1に接続させるためのインタフェイスである。入出力装置105は、拡散活動検知装置10において、ユーザ及び管理者による各種情報の入力及び格納されている情報の出力を行うためのキーボード、マウス及び操作表示画面等である。
バスB1は、CPU101、メモリ102、外部記憶装置103、IF104及び入出力装置105を互いに通信可能に接続する。端末20A〜20Dのハードウェア構成については、上記拡散活動検知装置10のハードウェア構成と同様であるため、ここでの説明は省略する。
(4)データベースの内部構成
図3は、通信DB121の内部構成を示す。通信DB121は、拡散活動検知装置10が学習フェイズである場合に端末間で行われた通信を格納するデータベースである。
具体的に通信DB121は、ID欄1211、通信開始時刻欄1212、通信元端末欄1213及び通信先端末欄1214から構成される。ID欄1211には、各レコードを識別するための識別子が格納される。
通信開始時刻欄1212には、通信が開始された時刻が格納され、通信元端末欄1213には、通信を開始した端末の識別情報が格納される。通信先端末欄1214には、通信相手の端末の識別情報が格納される。
従って図3の場合、例えばIDが「1」のレコードにより特定される通信は、通信開始時刻が「2014−07−16 10:00」であり、「端末20A」から「端末20B」に向けて行われた通信であることが示されている。
図4は、正常通信プロファイルDB131の内部構成を示す。正常通信プロファイルDB131は、端末間で行われた通信のうち、正常通信であると判定された通信の通信元端末及び通信先端末を格納するデータベースである。
具体的に正常通信プロファイルDB131は、ID欄1311、通信元端末欄1312及び通信先端末欄1313から構成される。ID欄1311には、各レコードを識別するための識別子が格納される。
また通信元端末欄1312には、通信を開始した端末の識別情報が格納され、通信先端末欄1313には、通信相手の端末の識別情報が格納される。
従って図4の場合、例えばIDが「1」のレコードにより特定される通信は、送信元端末が「端末20A」であり、送信先端末が「端末20B」であることが示されており、この「端末20A」から「端末20B」に向けて行われる通信が正常通信であると判定されていることが示されている。
図5は、正常通信ポリシーDB132の内部構成を示す。正常通信ポリシーDB132は、端末間で行われた通信について、正常通信又は不審通信の何れかに分類するためのルールを格納するデータベースである。
具体的に正常通信ポリシーDB132は、ID欄1321及びポリシー欄1322から構成される。ID欄1321には、各レコードを識別するための識別子が格納され、ポリシー欄1322には、分類するためのルールが格納される。
従って図5の場合、例えばIDが「1」のレコードにより特定されるルールは、「30日間の学習期間内において発生した通信回数が10回以上の通信は正常通信とする」というルールであることが示されている。
図6は、活動DB141の内部構成を示す。活動DB141は、拡散活動検知装置10が学習フェイズである場合に端末内で行われた活動を格納するデータベースである。
具体的に活動DB141は、ID欄1411、活動開始時刻欄1412、活動端末欄1413及び活動内容欄1414から構成される。ID欄1411には、各レコードを識別するための識別子が格納される。
活動開始時刻欄1412には、活動が開始された時刻が格納され、活動端末欄1413には、活動を開始した端末の識別情報が格納される。また活動内容欄1414には、具体的な活動内容が格納される。
従って図6の場合、例えばIDが「1」のレコードにより特定される活動は、活動開始時刻が「2014−07−16 10:00」であり、「端末20A」により行われ、具体的な活動内容は「ファイルダウンロード」であることが示されている。
図7は、正常活動プロファイルDB151の内部構成を示す。正常活動プロファイルDB151は、端末内で行われた活動のうち、正常活動であると判定された活動の活動端末及び活動内容を格納するデータベースである。
具体的に正常活動プロファイルDB151は、ID欄1511、活動端末欄1512及び活動内容欄1513から構成される。ID欄1511には、各レコードを識別するための識別子が格納される。また活動端末欄1512には、活動を行った端末の識別情報が格納され、活動内容欄1513には、活動内容が格納される。
従って図7の場合、例えばIDが「1」のレコードにより特定される活動は、活動端末が「端末20A」であり、活動内容が「Word.exe実行」であることが示されており、この「端末20A」により実行される「Word.exe実行」という活動が正常活動であると判定されていることが示されている。
図8は、正常活動ポリシーDB152の内部構成を示す。正常活動ポリシーDB152は、端末内で行われた活動について、正常活動又は不審活動の何れかに分類するためのルールを格納するデータベースである。
具体的に正常活動ポリシーDB152は、ID欄1521及びポリシー欄1522から構成される。ID欄1521には、各レコードを識別するための識別子が格納され、ポリシー欄1522には、ルールが格納される。
従って図8の場合、例えばIDが「1」のレコードにより特定されるルールは、「30日間の学習期間内において発生した活動回数が10回以上の活動は正常活動とする」というルールであることが示されている。
図9は、グラフ管理DB161の内部構成を示す。グラフ管理DB161は、不審通信及び不審活動に関する情報を格納するデータベースである。
具体的にグラフ管理DB161は、ID欄1611、生成時間欄1612、端末欄1613、不審通信受信時刻欄1614、不審通信送信元端末欄1615、評価対象フラグ欄1616、不審端末転換時刻欄1617及び最終不審通信・不審活動時刻欄1618から構成される。
ID欄1611には、各レコードを識別するための識別子が格納され、生成時間欄1612には、不審活動グラフの生成時間が格納される。また端末欄1613には、不審活動グラフを構成する1つ以上の端末の識別情報が格納される。
不審通信受信時刻欄1614には、不審活動グラフに含まれる端末がグラフに含まれた後に初めて不審通信を受信した時刻が格納される。なおグラフに含まれた後、いまだ不審通信を受信していない場合にはNULLが格納される。
不審通信送信元端末欄1615には、不審通信の送信元端末の識別情報が格納される。不審通信を受信していない場合にはNULLが格納される。評価対象フラグ欄1616には、不審活動グラフに含まれる端末がグラフの評価対象であるか否かを示す識別情報が格納される。評価対象の場合にはTrueが格納され、評価対象でない場合はFalseが格納される。
不審端末転換時刻欄1617には、各端末が正常端末から不審端末に変化した時刻が格納され、最終不審通信・不審活動時刻欄1618には、各端末が不審通信又は不審活動を最後に行った時刻が格納される。
従って図9の場合、例えばIDが「1」のレコードにより特定される不審活動グラフは、「2014−07−17 10:55」に生成され、「端末20A」、「端末20D」、「端末20B」及び「端末20C」から構成されることが示されている。
「端末20A」は初期感染端末であり、拡散活動の起点となる端末であることから、「端末20A」に関連付けられる不審通信受信時刻及び不審通信送信元端末は「NULL」であることが示されている。また「端末20A」はグラフの評価対象であるため「True」が格納されていることが示されている。
また「端末20A」が不審端末に変化した時刻は「2014−07−17 10:55」であり、最終不審通信又は最終不審活動を行った時刻は「2014−07−17 11:00」であることが示されている。
一方でIDが「1」の不審活動グラフを構成する「端末20D」は、不審通信を受信した時刻が「2014−07−17 11:00」であり、「端末20A」から不審通信を受信したことが示されている。「端末20D」は、その後「端末20B」に向けて不審通信を行い、更に「端末20B」は「端末20C」に向けて不審通信を行っていることが示されている。
図10は、グラフ評価ポリシーDB162の内部構成を示す。グラフ評価ポリシーDB162は、グラフ管理DB161に格納されている任意の不審活動グラフを評価するためのルールを格納するデータベースである。
具体的にグラフ評価ポリシーDB162は、ID欄1621及びポリシー欄1622から構成される。ID欄1621には、各レコードを識別するための識別子が格納され、ポリシー欄1622には、ルールが格納される。
従って図10の場合、例えばIDが「1」のレコードにより特定されるルールは、「評価対象グラフ=Trueの端末数をグラフスコアに加算する」というルールであることが示されている。
図11は、不審通信・不審活動DB171の内部構成を示す。不審通信・不審活動DB171は、拡散活動検知装置10が検知フェイズである場合に不審通信又は不審活動を行った端末(不審通信の場合は送信元の端末)を格納するデータベースである。
具体的に不審通信・不審活動DB171は、ID欄1711、開始時刻欄1712、端末欄1713及び種別欄1714から構成される。ID欄1711には、各レコードを識別するための識別子が格納され、開始時刻欄1712には、不審通信又は不審活動が開始された時刻が格納される。
また端末欄1713には、不審通信又は不審活動を行った端末の識別情報が格納され、種別欄1714には、不審通信又は不審活動の何れかが格納される。
従って図11の場合、例えばIDが「1」のレコードにより特定される不審通信又は不審活動は、開始時刻が「2014−07−17 10:50」であり、「端末20A」により行われた「不審活動」であることが示されている。
図12は、不審端末ポリシーDB172の内部構成を示す。不審端末ポリシーDB172は、不審端末であると判定するためのルールを格納するデータベースである。
具体的に不審端末ポリシーDB172は、ID欄1721及びポリシー欄1722から構成される。ID欄1721には各レコードを識別するための識別子が格納され、ポリシー欄1722には、ルールが格納される。
従って図12の場合、例えばIDが「1」のレコードにより特定されるルールは、「過去1分間の不審活動又は不審通信が2個以上の端末」を不審端末とするルールであることが示されている。
図13は、対応ルールDB181の内部構成を示す。対応ルールDB181は、拡散活動検知装置10が拡散活動を検知した場合の対策をグラフスコアごとに格納するデータベースである。
具体的に対応ルールDB181は、ID欄1811及びルール欄1812から構成される。ID欄1811には、各レコードを識別する識別子が格納され、ルール欄1812には、ルールが格納される。
従って図13の場合、例えばIDが「1」のレコードにより特定されるルールは、「グラフスコアが10以上の場合、管理者にアラート」するというルールであることが示されている。
(5)フローチャート
(5−1)全体処理
図14A及び図14Bは、ウイルス検知システム1により実行される拡散活動検知処理の処理手順を示す。この拡散活動検知処理は、端末20A及び拡散活動検知装置10により繰り返し実行される。なおここでは端末20A〜20Dのうちの端末20Aが拡散活動検知装置10と協働して処理する場合について説明するが、他の端末20B〜20Dも同様の処理を実行する。
まず端末20A内の端末通信監視部22は、端末20Aが他の端末(ここでは端末20Dとする)に対して通信を開始したことを検知すると、通信情報を生成し、生成した通信情報を端末20A内の端末制御部24に送信する(SP1)。通信情報には、通信開始時刻、通信元端末である端末20Aの識別情報、通信先端末である端末20Dの識別情報が含まれる。
同様に端末20A内の端末活動監視部23は、端末20Aが活動を開始したことを検知すると、活動情報を生成し、生成した活動情報を端末20A内の端末制御部24に送信する(SP2)。活動情報には、活動開始時刻、活動端末である端末20Aの識別情報及び活動内容が含まれる。
端末20A内の端末制御部24は、ステップSP1及びSP2において送信された通信情報及び活動情報を受信するたびに、通信情報及び活動情報を拡散活動検知装置10内の制御部11に送信する(SP3)。ここまでが端末20Aによる一連の処理である。続いて拡散活動検知装置10による一連の処理について説明する。
拡散活動検知装置10内の制御部11は、端末20Aからの通信情報及び活動情報を受信すると、現在の動作モードが学習フェイズであるか否かを判断する(SP4)。現在の動作モードが学習フェイズである場合(SP4:Y)、制御部11は、通信情報及び活動情報をそれぞれ正常通信学習部12及び正常活動学習部14に送信する(SP5)。
正常通信学習部12は、通信情報を受信すると、受信した通信情報を通信DB121に格納し、同様に正常活動学習部14は、活動情報を受信すると、受信した活動情報を活動DB141に格納することにより、通信状況及び活動状況を学習する(SP6)。動作モードが学習フェイズである場合には拡散活動検知装置10による処理はここで終了する。
これに対し、現在の動作モードが検知フェイズである場合(SP4:N)、制御部11は、通信情報及び活動情報をそれぞれ不審通信判定部13及び不審活動判定部15に送信する(SP7)。
不審通信判定部13は、通信情報を受信すると、受信した通信情報が不審通信であるか否かを判定し、同様に不審活動判定部15も活動情報を受信すると、受信した活動情報が不審活動であるか否かを判定する(SP8)。そして不審通信判定部13及び不審活動判定部15は、判定結果を制御部11に送信する(SP9)。
ここでステップSP8の処理の詳細について説明する。まず不審通信判定部13の処理の詳細について説明する。
不審通信判定部13は、通信情報を受信すると、学習フェイズから検知フェイズに切り替わってから初めて通信情報を受信したか否かを判断する。検知フェイズに切り替わってから初めて通信情報を受信した場合、不審通信判定部13は、正常通信ポリシーDB132に規定されているルールを満たす通信を通信DB121内のレコードから抽出し、抽出したレコードを集約することにより正常通信プロファイルDB131を作成する。
なお正常通信ポリシーDB132に規定されているルールの何れかを満たし、かつ、何れかを満たさない通信については、IDの値が小さいルールを優先適用する。また検知フェイズに切り替わってから通信情報を2度以上受信している場合には、1度目の受信の際に上記の通り正常通信プロファイルDB131が作成されているものとする。
次いで不審通信判定部13は、今回端末20Aから送信された通信情報が正常通信プロファイルDB131に含まれているか否かを判断する。端末20Aからの通信情報が正常通信プロファイルDB131に含まれている場合には正常通信であると判定し、含まれていない場合には不審通信と判定する(SP8)。そして不審通信判定部13は、判定結果を制御部11に送信する(SP9)。
続いて不審活動判定部15の処理の詳細について説明する。不審活動判定部15は、活動情報を受信すると、学習フェイズから検知フェイズに切り替わってから初めて活動情報を受信したか否かを判断する。検知フェイズに切り替わってから初めて活動情情報を受信した場合、不審活動判定部15は、正常活動ポリシーDB152に規定されているルールを満たす活動を活動DB141内のレコードから抽出し、抽出したレコードを集約することにより正常活動プロファイルDB151を作成する。
なお正常活動ポリシーDB152に規定されているルールの何れかを満たし、かつ、何れかを満たさない活動については、IDの値が小さいルールを優先適用する。また検知フェイズに切り替わってから活動情報を2度以上受信している場合には、1度目の受信の際に上記の通り正常活動プロファイルDB151が作成されているものとする。
次いで不審活動判定部15は、今回端末20Aから送信された活動情報が正常活動プロファイルDB151に含まれているか否かを判断する。端末20Aからの活動情報が正常活動プロファイルDB151に含まれている場合には正常活動と判定し、含まれていない場合には不審活動と判定する(SP8)。そして不審活動判定部15は、判定結果を制御部11に送信する(SP9)。
制御部11は、受信した判定結果が不審通信又は不審活動であるか否かを判断する(SP10)。判定結果が不審通信又は不審活動でない場合(SP10:N)、本処理を終了する。これに対し、判定結果が不審通信又は不審活動である場合(SP10:Y)、制御部11は、ステップSP1及びSP2において端末20Aから送信された通信情報及び活動情報を不審通信情報及び不審活動情報として不審端末管理部17に送信する(SP11)。
不審端末管理部17は、不審通信情報及び不審活動情報を受信すると、不審端末判定処理を実行する(SP12)。不審端末判定処理の詳細について説明すると、まず不審端末管理部17は、受信した不審通信情報及び不審活動情報と、これら不審通信情報及び不審活動情報を生成した端末(ここでは端末20A)とを関連付けて、不審通信・不審活動DB171に格納する。
次いで不審端末管理部17は、不審端末ポリシーDB172を参照して、不審通信・不審活動DB171に格納されている端末から不審端末を判定する。
また制御部11は、不審通信情報又は不審活動情報を含むグラフ評価要求を不審活動グラフ管理部16に送信する(SP13)。不審活動グラフ管理部16は、制御部11からのグラフ評価要求を受信すると、端末20Aが不審端末であるか否かを不審端末管理部17に問い合わせて、不審端末管理部17からの判定結果を受信する(SP14)。
不審活動グラフ管理部16は、ステップSP13及びSP14において受信したグラフ評価要求及び判定結果に基づいてグラフ管理DB161を更新し、更新後のグラフ管理DB161に格納されている不審活動グラフを評価する(SP15)。
不審活動グラフの評価に際して、不審活動グラフ管理部16は、グラフ評価ポリシーDB162を参照し、グラフ管理DB161に格納されている各不審活動グラフについてグラフスコアを算出する。そしてグラフスコアが閾値を超える場合には拡散活動の検知通知を制御部11に送信する(SP16)。
なおグラフスコアが閾値を超えない場合にはグラフ評価要求に対する返信は行わずに本処理を終了するとしてもよい。ステップSP14〜SP16における処理を不審活動グラフ管理処理と呼び、詳細については後述する(図15)。
制御部11は、拡散活動の検知の有無を判断し(SP17)、検知通知を受信していない場合には(SP17:N)、処理を終了する。これに対し検知通知を受信している場合には(SP17:Y)、対策実施指示を不正活動対応部18に送信する(SP18)。
不正活動対応部18は、対策実施指示を受信すると、対応ルールDB181を参照して、検知した拡散活動についての対策処理を実行し(SP19)、一連の処理を終了する。
(5−2)不審活動グラフ管理処理の詳細
図15は、不審活動グラフ管理処理の処理手順を示す。不審活動グラフ管理処理は、図14BのステップSP14〜SP16において実行される処理の詳細である。
まず不審活動グラフ管理部16は、制御部11からのグラフ評価要求を受信すると(SP21)、グラフ評価要求に含まれる情報が不審通信情報であるか否かを判断する(SP22)。グラフ評価要求に含まれる情報が不審通信情報である場合(SP22:Y)、不審活動グラフ管理部16は、不審通信情報の送信元端末が不審端末であり、かつ、送信先端末が正常端末であるか否かを判断する(SP23)。
不審活動グラフ管理部16は、ステップSP23の判断に際して不審端末管理部17に問い合わせて、不審通信情報の送信元端末及び送信先端末が不審端末であるか否かの判定結果を不審端末管理部17から受信する。そして不審活動グラフ管理部16は、ステップSP23の判断で肯定結果を得ると(SP23:Y)、グラフ管理DB161内の全ての不審活動グラフのレコードに対して以下の処理(SP25〜SP27)を実行する(SP24)。
具体的には、不審活動グラフ管理部16は、一定の条件を満たすか否かを判断する(SP25)。一定の条件とは、条件Pかつ条件Q1を満たすこと又は条件Pかつ条件Q2を満たすことをいう。条件を満たす場合には既存の不審活動グラフを更新するべく、ステップSP26に移行する。満たさない場合には次のレコードに対して条件を満たすか否かを判断する。
ここで条件Pは、不審活動グラフ内に送信元端末があり、かつ、送信先端末がないこと、条件Q1は、現在時刻−送信元端末の不審通信受信時刻<Δt2、かつ、送信元端末の評価対象フラグ=Falseであること、条件Q2は、現在時刻−送信元端末の最終不審通信・不審活動時刻<Δt1であること、である。
条件Pかつ条件Q1を満たす場合又は条件Pかつ条件Q2を満たす場合とは、すなわち、不審活動グラフに含まれる不審端末から現時点では含まれていない正常端末に対して不審通信が行われ(条件P)、送信元端末が不審通信を受信してから経過した時間が一定時間(Δt2)以内であって送信元端末が現時点で評価対象ではないか(条件Q1)、或いは、送信元端末が最後に不審通信又は不審活動を行ってから経過した時間が一定時間(Δt1)以内である(条件Q2)場合である。この場合、送信元端末による拡散活動を検知する。
なおΔt1及びΔt2は、不審活動グラフ管理部16において設定されるパラメータであり、例えば10分又は1時間等である。このΔt1及びΔt2を長く設定すると、一の不審活動グラフに含まれる端末数は多くなることが予測される。
一方でΔt1及びΔt2を短く設定すると、一の不審活動グラフに含まれる端末数は少なくなることが予測される。送信元端末による不審通信又は不審活動の影響をどの程度の期間まで考慮するかによって、Δt1及びΔt2の長さを適宜設定することができる。
例えば検知しようとする標的型攻撃の拡散活動が1時間に1回程度である場合には、Δt1及びΔt2を1時間に設定すればよい。送信元端末は1時間以内に少なくとも1回の不審通信又は不審活動を行うため、送信元端末が最後に不審通信又は不審活動を行ってから1時間以内の送信元端末による拡散活動を検知することができる。
Δt1及びΔt2を1日のように更に長く設定すると、送信元端末が不審通信又は不審活動を行ってからあまりに長い期間が経過していても送信元端末による拡散活動として検知することになる。実際には送信元端末からの通信を受信した送信先端末は送信元端末の不審通信又は不審活動の影響を受けていないものと解釈することができる。よって検知精度が低下する場合がある。
これに対しΔt1及びΔt2を1分のように短く設定すると、送信元端末は1分以内に不審通信又は不審活動を行わないため、送信元端末が最後に不審通信又は不審活動を行ってから1時間後の拡散活動を検知することができない。よってΔt1及びΔt2は、検知しようとする拡散活動の攻撃頻度に応じて適宜設定することが好ましい。
不審活動グラフ管理部16は、ステップSP25の判断で肯定結果を得ると、レコードの内容を更新する(SP26)。具体的には評価対象フラグがFalseの場合にはTrueに変更し、不審端末転換時刻がNULLの場合には現在時刻を設定し、最終不審通信・不審活動時刻がNULLの場合には現在時刻を設定して、レコードの内容を更新する。
次いで不審活動グラフ管理部16は、不審活動グラフ内に新たなレコードを追加し、不審通信の送信先端末に関する情報を設定する(SP27)。具体的にはレコードの端末欄1613には不審通信の送信先端末を設定し、不審通信受信時刻欄1614には現在時刻を設定する。
また不審通信送信元端末欄1615には送信元端末の識別情報を設定し、評価対象フラグ欄1616にはFalseを設定し、不審端末転換時刻欄1617及び最終不審通信・不審活動時刻欄1618にはNULLを設定して、送信先端末に関する情報を設定する。
ステップSP22に戻り、不審活動グラフ管理部16は、グラフ評価要求に含まれる情報が不審通信情報でない場合(SP22:N)、グラフ評価要求に含まれる不審活動を行った端末が不審端末であるか否かを不審端末管理部17に問い合わせる。そして不審端末管理部17からの判定結果に基づいて、不審活動を行った端末が不審端末であるか否かを判断する(SP28)。
不審活動グラフ管理部16は、ステップSP28の判断で肯定結果を得ると(SP28:Y)、グラフ管理DB161内の全ての不審活動グラフのレコードに対して以下の処理(SP30〜SP32)を実行する(SP29)。
具体的には、不審活動グラフ管理部16は、不審活動グラフ内に不審活動を行った端末(不審活動端末)が存在するか否かを判断する(SP30)。不審活動端末が存在しない場合には次のレコードに対して存在するか否かを判断する(SP30:N)。
これに対し不審活動グラフ管理部16は、不審活動グラフ内に不審活動端末が存在する場合には(SP30:Y)、一定の条件を満たすか否かを判断する(SP31)。一定の条件とは、条件R又は条件Sを満たすことをいう。条件を満たす場合には既存の不審活動グラフを更新するべく、ステップSP32に移行する。満たさない場合には次のレコードに対して条件を満たすか否かを判断する。
ここで条件Rは、現在時刻−不審活動端末の不審通信受信時刻<Δt2、かつ、送信元端末の評価対象フラグ=Falseであること、条件Sは、現在時刻−不審活動端末の最終不審通信・不審活動時刻<Δt1であること、である。
条件R又は条件Sを満たす場合とは、すなわち、不審活動端末が不審通信を受信してから経過した時間が一定時間(Δt2)以内であり、かつ、不審活動端末が現時点で評価対象ではない場合、或いは、不審活動端末が最後に不審通信又は不審活動を行ってから経過した時間が一定時間(Δt1)以内である場合である。この場合、不審活動端末による拡散活動を検知する。
不審活動グラフ管理部16は、ステップSP31の判断で肯定結果を得ると、レコードの内容を更新する(SP32)。具体的には評価対象フラグがFalseの場合にはTrueに変更し、不審端末転換時刻がNULLの場合には現在時刻を設定し、最終不審通信・不審活動時刻がNULLの場合には現在時刻を設定して、レコードの内容を更新する。
次いで不審活動グラフ管理部16は、グラフ管理DB161が更新されているか否かを判断する(SP33)。更新されている場合(SP33:Y)、不審活動グラフ管理部16は、グラフ評価ポリシーDB162において規定されているルールに基づいて、更新後の不審活動グラフのスコアを算出する(SP34)。
次いで不審活動グラフ管理部16は、算出したグラフスコアが予め決められた閾値を超えるか否かを判断する(SP35)。不審活動グラフ管理部16は、ステップSP35の判断で肯定結果を得ると、拡散活動の検知通知を生成して制御部11に送信して(SP36)、本処理を終了する。
これに対し不審活動グラフ管理部16は、ステップSP33の判断で否定結果を得ると、新たな不審活動グラフをグラフ管理DB161に追加する(SP37)。このとき不審活動グラフ管理部16は、生成時間欄1612に現在時刻を設定し、端末欄1613に不審活動端末の識別情報を設定する。
また不審通信受信時刻欄1614及び不審通信送信元端末欄1615にはNULLを設定し、評価対象フラグ欄1616にはTrueを設定する。また不審端末転換時刻欄1617及び最終不審通信・不審活動時刻欄1618には現在時刻を設定する。また送信先端末が存在する場合には送信先端末も同一の不審活動グラフに追加する。
このとき不審活動グラフ管理部16は、不審通信受信時刻欄1614には現在時刻を設定し、不審通信送信元端末欄1615には送信元端末の識別情報を設定し、評価対象フラグ欄1616にはFalseを設定する。また不審端末転換時刻欄1617及び最終不審通信・不審活動時刻欄1618には現在時刻を設定する。
(6)不審活動グラフ管理処理の詳細
図16は、管理者用ダッシュボード31の操作表示画面構成を示す。ネットワーク管理者は、管理者端末30から管理者用ダッシュボード31を閲覧することにより、現在の拡散活動の概要や対応状況を確認することができる。管理者用ダッシュボード31は、グラフ構築状況領域32、グラフ詳細領域33及びポリシー編集領域34から構成される。
グラフ構築状況領域32には、グラフ管理DB161及びグラフ評価ポリシーDB162に基づいて、現在の不審活動グラフの構築状況の概要が表示される。またグラフスコアが閾値を超えているものについては、対応ルールDB181に基づいて、対応状況が表示される。
グラフ詳細領域33には、各不審活動グラフの詳細(不審端末転換時刻や不審通信発生時刻)が表示される。この表示された情報に基づいて、管理者はどのような拡散活動が発生しているのかを確認することができる。
ポリシー編集領域34には、正常通信ポリシー管理インタフェイス133、正常活動ポリシー管理インタフェイス153、グラフ評価ポリシー管理インタフェイス163、不審端末ポリシー管理インタフェイス173又はルール管理インタフェイス182を介して、各種ポリシー又はルールの確認及び編集を行うための編集ボタンが表示される。
(7)第1の実施の形態による効果
以上のように第1の実施の形態におけるウイルス検知システム1によれば、端末20A〜20Dが通信情報又は活動情報を拡散活動検知装置10に送信し、拡散活動検知装置10は、端末20A〜20Dからの通信情報又は活動情報を受信して、不審通信情報又は不審活動情報であるか否かを判断し、不審通信情報又は不審活動情報である場合には生成した端末が不審端末であるか否かを判断し、不審端末である場合には他の不審端末との間を不審通信によって接続し、複数の不審端末により構成される不審活動グラフを構築するようにしたので、構築した不審活動グラフを参照することにより、拡散活動を精度良く早期に検知することができる。
(8)第2の実施の形態
第2の実施の形態では、端末内にインストールされたアンチマルウェアソフトを用いて、不審通信及び不審活動を監視する点及び拡散活動の検知状況に応じて実行するアンチマルウェアソフトを切り替える点で、第1の実施の形態と異なる。以下第1の実施の形態における構成と同様の構成についてはその説明を省略し、異なる構成について説明する。
図17は、第2の実施の形態におけるウイルス検知システム1Aの機能構成を示す。ウイルス検知システム1Aは、端末201A、拡散活動検知装置101A及び外部管理装置40等を備えて構成される。なおここでは単一の端末201Aが拡散活動検知装置101Aに接続して図示されているが、実際には複数の端末が拡散活動検知装置101Aに接続して構成される。
端末201A内の監視部211は、複数のアンチマルウェアX、Y及びZを備えて構成される。端末201Aが不審通信又は不審活動を行うと、アンチマルウェアX〜Zは端末201Aが行った不審通信又は不審活動を検知し、不審通信又は不審活動を含むログファイルを端末制御部24に送信する。なお端末201A内で1度に実行されるアンチマルウェアソフトは1個(例えばアンチマルウェアX)である。
端末制御部24は、例えばアンチマルウェアXからのログファイルを受信すると、ログファイルを拡散活動検知装置101Aが解釈可能な形式に変換し、不審通信情報又は不審活動情報として拡散活動検知装置101Aに送信する。
拡散活動検知装置101A内の制御部11は、端末制御部24からの不審通信情報又は不審活動情報を受信すると、各部及び各DBと協働して、図14BのステップSP10以降の処理を実行する。
外部管理装置40は、拡散活動検知装置101Aにおける検知結果の正誤判断を行い、検知状況を拡散活動検知装置101A内のフィードバック部19に送信する。フィードバック部19は、フィードバックルールDB191に格納されているルールと、検知状況又はグラフ管理DB161の内容とに基づいて、端末201Aにおいて現在実行されているアンチマルウェアソフトの切り替え命令を生成する。
フィードバックルールDB191には、アンチマルウェアソフトを切り替えるか否かを判断するための具体的なルールが格納されている。ネットワーク管理者は、管理者端末30及びフィードバック管理インタフェイス192を介して、フィードバックルールDB191内に格納されているルールを編集することができる。
例えばフィードバック部19は、アンチマルウェアXによる検知率が低いことを示す検知状況を受信した場合、端末201A内で実行すべきアンチマルウェアソフトをアンチマルウェアXからアンチマルウェアYに切り替えることを指示する切り替え命令を生成する。
またフィードバック部19は、グラフ管理DB161を参照してグラフスコアが所定の閾値を超える不審活動グラフが存在する場合、例えば低負荷かつ低性能なアンチマルウェアから高負荷かつ高性能なアンチマルウェアに切り替えることを指示する切り替え命令を生成する。
そしてフィードバック部19は、アンチマルウェアソフトの切り替え命令を端末201Aに送信する。端末制御部24は、フィードバック部19からの切り替え命令に従って、実行するアンチマルウェアソフトを切り替える。
(9)第2の実施の形態による効果
以上のように第2の実施の形態におけるウイルス検知システム1Aによれば、フィードバックルールDB191に格納されているルールに従って、検知状況又はグラフ管理DB161を参照してマルウェアソフトを切り替えるか否かを判断し、切り替える場合には切り替え命令を拡散活動検知装置101Aから端末201Aに送信するようにしたので、アンチマルウェアの検知性能が時間経過とともに変化して検知見逃し率又は誤検知率が増加するような場合であっても適切なアンチマルウェアソフトに切り替えて不審通信又は不審活動を検知することができる。
また不審活動グラフの構成状況に応じて、低負荷かつ低性能であるアンチマルウェアソフトから、高負荷かつ高性能であるアンチマルウェアソフトに切り替えることができる。なお他の方法として、所謂多腕バンディットアルゴリズム等、既存のアクティブラーニング型アルゴリズムを用いて、切り替えるアンチマルウェアソフトを選択するとしてもよい。
(10)他の実施の形態
上記実施の形態では、不審活動グラフ単位で拡散活動を管理するとしているが、一定の条件を満たす場合、2つのグラフを1つに集約し、集約した不審活動グラフ単位で拡散活動を管理するようにしてもよい。例えば図16のグラフ詳細領域33を参照して説明すると、ここでは端末Dから端末Bに向けて不審通信による拡散活動が行われていることが示されているが、仮に端末Dから端末Bに向かう通信が不審通信と判定されない場合には、2つのグラフに分断されて管理されることになる。
この場合であっても、例えば一のグラフに含まれる端末のうちの不審端末転換時刻が最新の端末(この場合、端末D)と、他のグラフに含まれる端末のうちの不審端末転換時刻が最古の端末(この場合、端末B)とを比較して、時刻差が閾値以内であり、かつ、両端末間で通信が行われているという条件を満たす場合には、2つのグラフを1つに集約するとしてもよい。
この場合、実際には端末Dから端末Bに向かう通信が不審通信であるにもかかわらず不審通信とみなされずにグラフが分断されてしまった場合でも、あらためて1つのグラフに集約することができる。よって拡散活動の検知が遅延することを防止することができる。
また上記実施の形態においては、拡散活動検知装置10が学習フェイズである場合に通信DB121及び活動DB141に通信及び活動を格納するとしたが、検知フェイズである場合でも常に通信及び活動を格納するとしてもよい。
この場合、通信DB121及び活動DB141に格納される通信及び活動が時々刻々と更新され、最新の通信及び活動に基づいて、正常通信プロファイルDB131及び正常活動プロファイルDB151が更新されることになる。よって端末間の通信が不審通信であるか否か、或いは、端末内の活動が不審活動であるか否かを精度良く検知することができ、結果的に拡散活動の検知精度を向上させることができる。
また上記実施の形態においては、1組のΔt1及びΔt2を用いて構築した不審活動グラフをグラフ管理DB161に格納するとしたが、複数種類のΔt1及びΔt2を用いて構築した不審活動グラフを格納するとしてもよい。すなわちΔt1及びΔt2の組み合わせごとに不審活動グラフを構築するとしてもよい。
この場合、上記実施の形態では攻撃頻度が同一のマルウェアによる拡散活動について、拡散ルートごとに不審活動グラフを構築するようにしているがこれに加えて、攻撃頻度が異なるマルウェアによる拡散活動について、それぞれ拡散ルートごとに不審活動グラフを構築することができる。よって多様なマルウェアによる拡散活動を検知することができる。
1 ウイルス検知システム
10 拡散活動検知装置
11 制御部
12 正常通信学習部
13 不審通信判定部
14 正常活動学習部
15 不審活動判定部
16 不審活動グラフ管理部
17 不審端末管理部
18 不正活動対応部
19 フィードバック部
20A〜20D 端末
21 監視部
22 端末通信監視部
23 端末活動監視部
24 端末制御部
30 管理者端末
31 管理者用ダッシュボード
40 外部管理装置

Claims (14)

  1. ウイルスの拡散活動を検知するウイルス検知システムにおいて、
    複数の端末及び拡散活動検知装置を備え、
    前記複数の端末のそれぞれは、
    他端末との間で行った通信及び自端末内部で行った活動を監視し、通信又は活動を行った場合には通信情報又は活動情報を生成して前記拡散活動検知装置に送信し、
    前記拡散活動検知装置は、
    前記端末からの通信情報又は活動情報を受信した場合、
    予め定められた第1のポリシーに基づいて、前記通信情報又は前記活動情報が不審通信情報又は不審活動情報であるか否かを判断し、
    前記通信情報又は前記活動情報が不審通信情報又は不審活動情報である場合、
    予め定められた第2のポリシーに基づいて、前記不審通信情報又は前記不審活動情報を生成した端末が不審端末であるか否かを判断し、
    前記不審通信情報又は前記不審活動情報を生成した端末が不審端末である場合、
    不審端末間の関連性を示すグラフを構築し、構築したグラフに基づいて、ウイルスの拡散活動を検知する
    ことを特徴とするウイルス検知システム。
  2. 前記拡散活動検知装置は、
    前記第1のポリシーに基づいて、前記通信情報又は前記活動情報が正常通信情報又は正常活動情報であるか否かを判断し、正常通信情報又は正常活動情報ではない場合、前記通信情報又は前記活動情報を前記不審通信情報又は前記不審活動情報であると判定する
    ことを特徴とする請求項1に記載のウイルス検知システム。
  3. 前記第1のポリシーは、
    特定の端末間の通信又は通信回数が予め定められた回数以上の通信を正常通信とし、
    特定の端末内の活動又は活動回数が予め定められた回数以上の活動を正常活動とするように規定されている
    ことを特徴とする請求項1に記載のウイルス検知システム。
  4. 前記第2のポリシーは、
    不審通信情報又は不審活動情報を生成した回数が予め定められた回数以上の端末を不審端末とするように規定されている
    ことを特徴とする請求項1に記載のウイルス検知システム。
  5. 前記拡散活動検知装置は、
    前記不審通信の送信元である不審端末と、前記不審通信の送信先である不審端末との間を結ぶことにより前記グラフを構築する
    ことを特徴とする請求項1に記載のウイルス検知システム。
  6. 前記拡散活動検知装置は、
    前記不審通信の送信元である不審端末から不審通信を受信した端末であって、かつ、不審通信を受信してから一定時間内に不審端末に転換した端末を前記不審通信の送信先である不審端末とする
    ことを特徴とする請求項5に記載のウイルス検知システム。
  7. 前記拡散活動検知装置は、
    前記一定時間として複数種類の時間を設定する
    ことを特徴とする請求項6に記載のウイルス検知システム。
  8. 前記拡散活動検知装置は、
    前記グラフに含まれる不審端末数及び予め定められた各不審端末の重み付けに基づいて、前記グラフに対するスコアを算出し、
    予め定められた第3のポリシーに基づいて、拡散活動を抑制するための対策を実行する
    ことを特徴とする請求項1に記載のウイルス検知システム。
  9. 前記第3のポリシーは、
    前記グラフに対するスコアごとに拡散活動を抑制するための対策が規定されている
    ことを特徴とする請求項8に記載のウイルス検知システム。
  10. 前記拡散活動検知装置は、
    前記第1のポリシー、前記第2のポリシー及び前記第3のポリシーを編集するためのインタフェイスを備える
    ことを特徴とする請求項8に記載のウイルス検知システム。
  11. 前記グラフの構築状況を管理者に提示するための管理者用ダッシュボードを備える
    ことを特徴とする請求項1に記載のウイルス検知システム。
  12. 前記複数の端末のそれぞれは、
    複数のアンチマルウェアソフトを備え、何れか一のアンチマルウェアソフトを実行することにより、他端末との間で行った通信又は自端末内部で行った活動が不審通信又は不審活動であるか否かを判断し、不審通信又は不審活動である場合には不審通信情報又は不審活動情報を生成して前記拡散活動検知装置に送信し、
    前記拡散活動検知装置は、
    前記第2のポリシーに基づいて、前記不審通信情報又は前記不審活動情報を生成した端末が不審端末であるか否かを判断し、
    前記不審通信情報又は前記不審活動情報を生成した端末が不審端末である場合、
    前記グラフを構築し、構築したグラフに基づいて、ウイルスの拡散活動を検知し、
    検知状況に基づいて、前記複数の端末において現在実行されているアンチマルウェアソフトを他のアンチマルウェアソフトに切り替えるように前記複数の端末に指示する
    ことを特徴とする請求項1に記載のウイルス検知システム。
  13. 前記拡散活動検知装置は、
    複数のグラフを構築した場合、一のグラフと、他のグラフとの間に関連性がある場合には1つのグラフに集約し、集約したグラフに基づいて、ウイルスの拡散活動を検知する
    ことを特徴とする請求項1に記載のウイルス検知システム。
  14. ウイルスの拡散活動を検知するウイルス検知方法において、
    複数の端末のそれぞれが、
    他端末との間で行った通信及び自端末内部で行った活動を監視する第1のステップと、
    通信又は活動を行った場合には通信情報又は活動情報を生成して前記拡散活動検知装置に送信する第2のステップと、
    前記拡散活動検知装置が、
    前記端末からの通信情報又は活動情報を受信した場合、
    予め定められた第1のポリシーに基づいて、前記通信情報又は前記活動情報が不審通信情報又は不審活動情報であるか否かを判断する第3のステップと、
    前記通信情報又は前記活動情報が不審通信情報又は不審活動情報である場合、
    予め定められた第2のポリシーに基づいて、前記不審通信情報又は前記不審活動情報を生成した端末が不審端末であるか否かを判断第4のステップと、
    前記不審通信情報又は前記不審活動情報を生成した端末が不審端末である場合、
    不審端末間の関連性を示すグラフを構築し、構築したグラフに基づいて、ウイルスの拡散活動を検知する第5のステップと
    を備えることを特徴とするウイルス検知方法。
JP2014195244A 2014-09-25 2014-09-25 ウイルス検知システム及び方法 Active JP6267089B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014195244A JP6267089B2 (ja) 2014-09-25 2014-09-25 ウイルス検知システム及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014195244A JP6267089B2 (ja) 2014-09-25 2014-09-25 ウイルス検知システム及び方法

Publications (2)

Publication Number Publication Date
JP2016066282A true JP2016066282A (ja) 2016-04-28
JP6267089B2 JP6267089B2 (ja) 2018-01-24

Family

ID=55805553

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014195244A Active JP6267089B2 (ja) 2014-09-25 2014-09-25 ウイルス検知システム及び方法

Country Status (1)

Country Link
JP (1) JP6267089B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016171243A1 (ja) * 2015-04-22 2016-10-27 株式会社日立製作所 サイバー攻撃分析装置及びサイバー攻撃分析方法
GB2551972A (en) * 2016-06-29 2018-01-10 Sophos Ltd Endpoint malware detection using an event graph
US9928366B2 (en) 2016-04-15 2018-03-27 Sophos Limited Endpoint malware detection using an event graph
US9967267B2 (en) 2016-04-15 2018-05-08 Sophos Limited Forensic analysis of computing activity
WO2019225251A1 (ja) * 2018-05-21 2019-11-28 日本電信電話株式会社 学習方法、学習装置及び学習プログラム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008227931A (ja) * 2007-03-13 2008-09-25 Kddi R & D Laboratories Inc Ipアドレス視覚化装置、プログラム、および記録媒体
US20110023120A1 (en) * 2009-07-23 2011-01-27 Institute For Information Industry Method and system for cleaning malicious software and computer program product and storage medium
US8065731B1 (en) * 2008-07-01 2011-11-22 Narus, Inc. System and method for malware containment in communication networks
JP2012084994A (ja) * 2010-10-07 2012-04-26 Hitachi Ltd マルウェア検出方法、およびマルウェア検出装置
US20120323829A1 (en) * 2011-06-17 2012-12-20 Microsoft Corporation Graph-based classification based on file relationships
JP2013529335A (ja) * 2010-04-28 2013-07-18 シマンテック コーポレーション クラスタリングを使用した行動シグネチャの生成

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008227931A (ja) * 2007-03-13 2008-09-25 Kddi R & D Laboratories Inc Ipアドレス視覚化装置、プログラム、および記録媒体
US8065731B1 (en) * 2008-07-01 2011-11-22 Narus, Inc. System and method for malware containment in communication networks
US20110023120A1 (en) * 2009-07-23 2011-01-27 Institute For Information Industry Method and system for cleaning malicious software and computer program product and storage medium
JP2013529335A (ja) * 2010-04-28 2013-07-18 シマンテック コーポレーション クラスタリングを使用した行動シグネチャの生成
JP2012084994A (ja) * 2010-10-07 2012-04-26 Hitachi Ltd マルウェア検出方法、およびマルウェア検出装置
US20120323829A1 (en) * 2011-06-17 2012-12-20 Microsoft Corporation Graph-based classification based on file relationships

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
川口 信隆 ほか: "マルウェア解析システムの検知結果の相関性に着目したマルウェア検知方式に関する一考察", 2014年 暗号と情報セキュリティシンポジウム SCIS2014 [CD−ROM], vol. 4C1−1, JPN6017047238, 21 January 2014 (2014-01-21), JP, pages 1 - 6, ISSN: 0003698747 *
広岡 俊彦 ほか: "ウイルスの挙動を解析するための実ネットワークを使った仮想感染ネットワークの設計", コンピュータセキュリティシンポジウム2004 VOLUME II OF II, vol. 第2004巻 第11号, JPN6017047236, 20 October 2004 (2004-10-20), JP, pages 433 - 438, ISSN: 0003698746 *

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016171243A1 (ja) * 2015-04-22 2016-10-27 株式会社日立製作所 サイバー攻撃分析装置及びサイバー攻撃分析方法
US10817602B2 (en) 2016-04-15 2020-10-27 Sophos Limited Endpoint malware detection using an event graph
US11550909B2 (en) 2016-04-15 2023-01-10 Sophos Limited Tracking malicious software movement with an event graph
US9928366B2 (en) 2016-04-15 2018-03-27 Sophos Limited Endpoint malware detection using an event graph
US9967267B2 (en) 2016-04-15 2018-05-08 Sophos Limited Forensic analysis of computing activity
US20180276380A1 (en) 2016-04-15 2018-09-27 Sophos Limited Endpoint malware detection using an event graph
US20180276379A1 (en) 2016-04-15 2018-09-27 Sophos Limited Endpoint malware detection using an event graph
US10460105B2 (en) 2016-04-15 2019-10-29 Sophos Limited Endpoint malware detection using an event graph
US10489588B2 (en) 2016-04-15 2019-11-26 Sophos Limited Endpoint malware detection using an event graph
US11095669B2 (en) 2016-04-15 2021-08-17 Sophos Limited Forensic analysis of computing activity
US10516682B2 (en) 2016-04-15 2019-12-24 Sophos Limited Forensic analysis of computing activity
GB2551972B (en) * 2016-06-29 2019-09-18 Sophos Ltd Endpoint malware detection using an event graph
GB2551972A (en) * 2016-06-29 2018-01-10 Sophos Ltd Endpoint malware detection using an event graph
JPWO2019225251A1 (ja) * 2018-05-21 2020-12-10 日本電信電話株式会社 学習方法、学習装置及び学習プログラム
WO2019225251A1 (ja) * 2018-05-21 2019-11-28 日本電信電話株式会社 学習方法、学習装置及び学習プログラム

Also Published As

Publication number Publication date
JP6267089B2 (ja) 2018-01-24

Similar Documents

Publication Publication Date Title
US10462188B2 (en) Computer network security system
US10051010B2 (en) Method and system for automated incident response
US10601860B2 (en) Application platform security enforcement in cross device and ownership structures
US10021127B2 (en) Threat indicator analytics system
AU2015203069B2 (en) Deception network system
US10289838B2 (en) Scoring for threat observables
EP2837131B1 (en) System and method for determining and using local reputations of users and hosts to protect information in a network environment
JP6267089B2 (ja) ウイルス検知システム及び方法
JP6076881B2 (ja) 評価方法及び評価装置
US20150074756A1 (en) Signature rule processing method, server, and intrusion prevention system
JP2011053893A (ja) 不正プロセス検知方法および不正プロセス検知システム
Ghafir et al. Advanced persistent threat and spear phishing emails
US11128649B1 (en) Systems and methods for detecting and responding to anomalous messaging and compromised accounts
Swathy Akshaya et al. Taxonomy of security attacks and risk assessment of cloud computing
CA2762688A1 (en) Multiple hypothesis tracking
US10291644B1 (en) System and method for prioritizing endpoints and detecting potential routes to high value assets
Pell et al. Towards dynamic threat modelling in 5G core networks based on MITRE ATT&CK
KR101494329B1 (ko) 악성 프로세스 검출을 위한 시스템 및 방법
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
US10250625B2 (en) Information processing device, communication history analysis method, and medium
Anwar et al. Understanding internet of things malware by analyzing endpoints in their static artifacts
JP6286314B2 (ja) マルウェア通信制御装置
Gauhar Fatima et al. A Study on Intrusion Detection
Cheng et al. Intrusion Detection Traps within Live Network Environment
WO2022218806A1 (en) Network protection

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170206

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171212

R150 Certificate of patent or registration of utility model

Ref document number: 6267089

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150