JP2016157311A - Network monitoring apparatus, network monitoring method, and network monitoring program - Google Patents
Network monitoring apparatus, network monitoring method, and network monitoring program Download PDFInfo
- Publication number
- JP2016157311A JP2016157311A JP2015035440A JP2015035440A JP2016157311A JP 2016157311 A JP2016157311 A JP 2016157311A JP 2015035440 A JP2015035440 A JP 2015035440A JP 2015035440 A JP2015035440 A JP 2015035440A JP 2016157311 A JP2016157311 A JP 2016157311A
- Authority
- JP
- Japan
- Prior art keywords
- file server
- user
- shared
- connection request
- name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラムに関する。 The present invention relates to a network monitoring device, a network monitoring method, and a network monitoring program.
従来から、組織内に侵入したマルウェアが、ファイル共有プロトコルを悪用して組織内に拡散することが知られている。マルウェアの拡散を検知する試みとして、ファイル共有時の認証ログを監視する手法、ホストの操作ログを監視する手法、ウイルス対策ソフトウェアを用いた手法などが利用されている。 Conventionally, it is known that malware that has entered an organization spreads within the organization by exploiting a file sharing protocol. As an attempt to detect the spread of malware, a method of monitoring an authentication log at the time of file sharing, a method of monitoring a host operation log, a method using anti-virus software, and the like are used.
例えば、認証ログを監視する手法では、ユーザ端末がファイルサーバへログインする時の認証ログが正常なアカウントからの認証要求か否かを監視する。また、ホストの操作ログを監視する手法では、ファイルサーバのログを監視し、正常なアカウントによるファイル操作か否かを監視する。また、ウイルス対策ソフトウェアを用いた手法では、シグネチャを用いてマルウェアを検出する。 For example, in the method of monitoring the authentication log, it is monitored whether the authentication log when the user terminal logs in to the file server is an authentication request from a normal account. In the method of monitoring the operation log of the host, the log of the file server is monitored to monitor whether the file operation is performed by a normal account. In the method using anti-virus software, malware is detected using a signature.
しかしながら、上記技術では、正当なアカウントを盗んだマルウェアや未知のマルウェアの拡散を検知することができない。 However, the above technique cannot detect the spread of malware that has stolen legitimate accounts or unknown malware.
例えば、正当なユーザ端末がファイル共有プロトコルを用いてファイルサーバへの認証が許可された後にマルウェアに感染した場合、ファイルサーバへのアクセスは正当なアカウントで実行される。このため、認証ログや操作ログでは、正常なユーザによるログかマルウェアによるログかの判断ができない。また、シグネチャは、既知のマルウェアに対応するものなので、ウイルス対策ソフトウェアでは未知のマルウェアを検出できない。 For example, when a legitimate user terminal is infected with malware after authentication to the file server is permitted using the file sharing protocol, access to the file server is executed with a legitimate account. For this reason, it is impossible to determine whether the log is a normal user log or a malware log from the authentication log or operation log. In addition, since the signature corresponds to known malware, antivirus software cannot detect unknown malware.
1つの側面では、マルウェアの拡散を検知することができるネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラムを提供することを目的とする。 An object of one aspect is to provide a network monitoring apparatus, a network monitoring method, and a network monitoring program that can detect the spread of malware.
第1の案では、ネットワーク監視装置は、ネットワークを伝送されるデータから共有接続リクエストと、該共有接続リクエストに対する応答とを抽出する抽出部を有する。ネットワーク監視装置は、前記抽出部が抽出した前記共有接続リクエストと前記応答とに基づいて、前記共有接続リクエストのリクエスト先であるファイルサーバが利用された状況を特定する利用特性を算出する算出部を有する。ネットワーク監視装置は、前記算出部が算出した前記利用特性と、前記ファイルサーバの用途によって予め特定される基準利用特性との比較に応じて、前記ファイルサーバへの不正アクセスを検出する検出部を有する。 In the first plan, the network monitoring apparatus includes an extraction unit that extracts a shared connection request and a response to the shared connection request from data transmitted through the network. The network monitoring device includes a calculation unit that calculates a usage characteristic that identifies a situation in which a file server that is a request destination of the shared connection request is used based on the shared connection request and the response extracted by the extraction unit. Have. The network monitoring device includes a detection unit that detects unauthorized access to the file server in accordance with a comparison between the usage characteristic calculated by the calculation unit and a reference usage characteristic specified in advance by the use of the file server. .
一実施形態によれば、マルウェアの拡散を検知することができる。 According to one embodiment, the spread of malware can be detected.
以下に、本願の開示するネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラムの実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。 Hereinafter, embodiments of a network monitoring device, a network monitoring method, and a network monitoring program disclosed in the present application will be described in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.
[全体構成]
図1は、実施例1に係るシステムの全体構成例を示す図である。図1に示すように、このシステムは、複数のユーザ端末1とネットワーク機器10とファイルサーバ50とを有する。なお、一例としてファイルサーバ50が1台の場合を図示しているが、これに限定されるものではなく、複数台のファイルサーバ50を有していてもよい。
[overall structure]
FIG. 1 is a diagram illustrating an example of the overall configuration of a system according to the first embodiment. As shown in FIG. 1, this system includes a plurality of
ユーザ端末1は、共有接続手法の一例であるSMBプロトコルを用いて、ネットワーク機器10を経由してファイルサーバ50にアクセスする端末装置であり、例えばパーソナルコンピュータ、サーバやスマートフォンなどの一例である。例えば、ユーザ端末1は、ファイルサーバ50に対してログイン処理を実行し、ログインが許可された後、SMBプロトコルを用いてファイルサーバ50へアクセスする。
The
ファイルサーバ50は、業務などの用途ごとに設けられた共有のファイルサーバであり、SMBプロトコルを用いたユーザ端末1が共有で利用する。ファイルサーバ50は、アクセスしてきたユーザ端末1に対してログイン処理を実行し、ログインを許可したユーザ端末1からの操作を許可する。
The
このファイルサーバ50やファイルサーバ50内の共有フォルダには、アクセス権が設定された共有名が設定されている。ユーザ端末1は、共有名を指定してSMB共有接続リクエスト(以下、共有接続要求と記載する場合がある)を送信する。そして、ファイルサーバ50は、ログイン許可されたユーザ端末からのリクエストであり、存在する共有名に対するアクセス権のあるユーザ端末1からのリクエストである場合に、SMB共有接続リクエストを許可する。
In the
ネットワーク機器10は、ユーザ端末1とファイルサーバ50との通信を中継するネットワーク機器であり、例えばルータやスイッチなどの一例である。ネットワーク機器10は、ネットワークを伝送されるデータからSMB共有接続リクエストと、該SMB共有接続リクエストに対する応答とを抽出する。そして、ネットワーク機器10は、抽出したSMB共有接続リクエストと応答とに基づいて、SMB共有接続リクエストのリクエスト先であるファイルサーバ50が利用された状況を特定する利用特性を算出する。その後、ネットワーク機器10は、算出した利用特性と、ファイルサーバ50の用途によって予め特定される基準利用特性との比較に応じて、ファイルサーバ50への不正アクセスを検出する。
The
すなわち、ネットワーク機器10は、ファイルサーバ50の利用特性を予め算出しておき、ファイルサーバ50への共有接続(以下、TreeConnectと記載する場合がある)から実測した実測値と比較して、利用特性と異なる不正なアクセスを検出する。この結果、ネットワーク機器10は、マルウェアの拡散を検知することができる。
That is, the
[ネットワーク機器の機能構成]
次に、図1に示した各装置の機能構成について説明する。なお、ファイルサーバ50は、一般的なファイルサーバと同様の機能構成を有し、ユーザ端末1は、一般的なパソコンなどと同様の機能を有するので、これらの詳細な説明は省略する。ここでは、ネットワーク機器10の機能構成について説明する。
[Functional configuration of network device]
Next, the functional configuration of each device shown in FIG. 1 will be described. Since the
図2は、実施例1に係るネットワーク機器の機能構成を示す機能ブロック図である。図2に示すように、ネットワーク機器10は、通信部11、記憶部12、制御部15を有する。なお、ここで図示した機能部は一例であり、例えばディスプレイ等に情報を表示させる表示部などの他の機能を有していてもよい。
FIG. 2 is a functional block diagram of the functional configuration of the network device according to the first embodiment. As illustrated in FIG. 2, the
通信部11は、ユーザ端末1やファイルサーバ50との通信を制御する処理部であり、例えばネットワークインタフェースなどの一例である。例えば、通信部11は、ユーザ端末1から受け付けた各種要求をファイルサーバ50へ送信し、ファイルサーバ50から受信した応答をユーザ端末1に送信する。
The
記憶部12は、制御部15が実行するプログラムやデータなどを記憶する記憶装置であり、例えばメモリやハードディスクなどの一例である。この記憶部12は、利用基準DB12a、利用特性DB12b、利用者基準DB12c、利用者特性DB12dを記憶する。
The
利用基準DB12aは、ファイルサーバ50の用途によって予め特定される基準利用特性を記憶するデータベースである。ファイルサーバ50は、サーバ毎に用途が決まっており、使われ方に異なる特徴がみられる。これをファイルサーバの基準利用特性と呼ぶ。
The usage standard DB 12a is a database that stores standard usage characteristics specified in advance according to the use of the
図3は、利用基準DBに記憶される基準利用特性の一例を示す図である。図3に示すように、利用基準DB12aは、基準利用特性として「サーバ名、接続者数(人/日)、クライアントのIPアドレス、共有名、接続回数(回/日)、存在しない共有名への接続要求数(回/日)、アクセス権なしの共有名への接続要求数(回/日)、最短接続時間」を対応付けて記憶する。
FIG. 3 is a diagram illustrating an example of the reference usage characteristics stored in the usage reference DB. As shown in FIG. 3, the
ここで記憶される「サーバ名」は、ファイルサーバ50を一意に特定する情報であり、例えばIP(Internet Protocol)アドレスやホスト名などである。「接続者数(人/日)」は、サーバ名で特定されるファイルサーバ50へ共有接続した1日のユーザの数であり、ファイルサーバを一意に特定する情報+アカウント名で1人の接続者と扱う。「クライアントのIPアドレス」は、サーバ名で特定されるファイルサーバ50へ接続したユーザ端末1のIPアドレスである。
The “server name” stored here is information for uniquely identifying the
「共有名」は、ファイルサーバ50が利用者から接続要求を受け付けた共有名である。「接続回数(回/日)」は、ファイルサーバ50が利用者から共有接続された1日の述べ回数である。「存在しない共有名への接続要求数(回/日)」は、存在しない共有名に対してファイルサーバ50が受け付けた接続要求の1日の述べ回数である。「アクセス権なしの共有名への接続要求数(回/日)」は、ファイルサーバ50が受け付けた、アクセス権のない共有名への接続要求の1日の述べ回数である。「最短接続時間」は、ユーザの接続時間のうち最短の接続時間であり、接続要求と切断要求を紐付けして測定される。
The “share name” is a share name with which the
図3の1行目は、サーバ名が「serverA」のファイルサーバ50に対する基準利用特性である。この基準利用特性は、1日の接続者数が18人、1日の接続回数が54回、存在しない共有名への1日の接続要求が2回、アクセス権がない共有名への1日の接続要求が3回、最短接続時間が3分15秒であることを示す。また、「serverA」へ共有接続したユーザ端末のIPアドレスが「192.168.1.11、192.168.1.12、192.168.1.13、192.168.1.14、192.168.1.15、192.168.1.16」であることを示す。また、共有接続された共有名が「doc、lib、tmp」であることを示す。
The first line in FIG. 3 shows the reference usage characteristics for the
なお、ここで記憶される基準利用特性は、ファイルサーバ50の用途にしたがって、管理者等が予め設定することができる。例えば、業務データを記憶するファイルサーバは、人事データを記憶するファイルサーバよりも1日のアクセスを多くし、人事データを記憶するファイルサーバに対してはセキュリティを厳重に考慮して設定する。また、ここで記憶される基準利用特性は、ファイルサーバ50への過去のアクセス履歴等から作成することもできる。
The reference usage characteristics stored here can be set in advance by an administrator or the like according to the use of the
利用特性DB12bは、ファイルサーバ50に対して実際に実行されたSMB共有接続リクエストと応答から算出された利用特性を記憶するデータベースである。すなわち、利用特性DB12bは、実際の共有接続が測定された実測値を記憶する。図4は、利用特性DBに記憶される実測値の一例を示す図である。図4に示すように、利用特性DB12bは、実測値(利用特性)として「サーバ名、接続者数(人/日)、クライアントのIPアドレス、共有名、接続回数(回/日)、存在しない共有名への接続要求数(回/日)、アクセス権なしの共有名への接続要求数(回/日)、最短接続時間」を対応付けて記憶する。なお、各項目は、図3と同様なので詳細な説明は省略する。
The
図4の1行目は、サーバ名が「serverA」のファイルサーバ50に対する実測値である。この実測値は、1日の接続者数が31人、1日の接続回数が87回、存在しない共有名への1日の接続要求が23回、アクセス権がない共有名への1日の接続要求が19回、最短接続時間が1秒であることを示す。また、「serverA」へ共有接続したユーザ端末のIPアドレスが「192.168.1.11、192.168.1.12、192.168.1.13、192.168.1.14、192.168.1.15、192.168.1.16」であることを示す。また、共有接続された共有名が「doc、lib、Tmp、c$、d$、E$」であることを示す。
The first line in FIG. 4 shows actual measurement values for the
なお、ここでは、一例として1日の実測値を説明したが、これに限定されるものではない。例えば、1時間などの所定時間おきに測定された実測値を蓄積することもでき、測定時間や記憶させる情報等は、任意に設定変更することができる。 In addition, although the actual measurement value of 1 day was demonstrated here as an example, it is not limited to this. For example, actual measurement values measured every predetermined time such as one hour can be accumulated, and measurement time, information to be stored, and the like can be arbitrarily changed.
利用者基準DB12cは、利用者がファイルサーバ50を利用した状況を特定する利用者特性を記憶するデータベースである。ファイルサーバ50を利用するユーザ毎に、ファイルサーバ50の使い方に異なる特徴がみられる。これをファイルサーバ利用者の基準利用者特性と呼ぶ。
The
図5は、利用者基準DBに記憶される基準利用者特性の一例を示す図である。図5に示すように、利用者基準DB12cは、基準利用者特性として「利用者名、クライアントのIPアドレス、接続サーバ名、接続回数(回/日)、存在しない共有名への接続要求数(回/日)、アクセス権なしの共有名への接続要求数(回/日)、最短接続時間」を対応付けて記憶する。
FIG. 5 is a diagram illustrating an example of reference user characteristics stored in the user reference DB. As shown in FIG. 5, the
ここで記憶される「利用者名」は、ファイルサーバ50へ共有接続したユーザ名であり、例えばログインIDなどである。「クライアントのIPアドレス」は、共有接続した利用者の利用者端末が通信に使用したIPアドレスである。「接続サーバ名」は、利用者が共有接続したファイルサーバ50の名称である。「接続者数(回/日)」は、ユーザが1日に各ファイルサーバへ接続した接続回数である。
The “user name” stored here is a user name that is shared and connected to the
「存在しない共有名への接続要求数(回/日)」は、存在しない共有名に対してユーザが1日に送信した接続要求の回数であり、共有接続した各ファイルサーバごとに記憶される。なお、存在しない共有名とは、ファイルサーバ50の管理者により共有の設定が行われていないもののことを意味する。「アクセス権なしの共有名への接続要求数(回/日)」は、アクセス権のない共有名に対してユーザが1日に送信した接続要求の回数であり、共有接続した各ファイルサーバごとに記憶される。「最短接続時間」は、接続した最短時間であり、共有接続した各ファイルサーバごとに記憶される。
“Number of connection requests to non-existing shared name (times / day)” is the number of connection requests sent by the user to non-existing shared name per day, and is stored for each file server that is shared and connected. . The nonexistent share name means that the share server has not been set by the administrator of the
図5の1行目は、利用者Aに対する基準利用者特性である。この基準利用者特性は、IPアドレスが「192.168.1.11」であり、「serverA」、「serverB」、「serverC」に接続したことを示す。また、「serverA」について、利用者Aは、1日で2回接続し、存在しない共有名に対して1日で1回接続要求を送信し、アクセス権がない共有名に対する接続要求がなく、最短接続時間が3分15秒であることを示す。また、「serverB」について、利用者Aは、1日で1回接続し、存在しない共有名やアクセス権がない共有名に対する接続要求がなく、最短接続時間が1分28秒であることを示す。また、「serverC」について、利用者Aは、1日で4回接続し、存在しない共有名やアクセス権がない共有名に対する接続要求がなく、最短接続時間が5分41秒であることを示す。
The first line in FIG. 5 is a reference user characteristic for user A. This reference user characteristic indicates that the IP address is “192.168.1.11” and the connection is made to “server A”, “server B”, and “server C”. For “server A”, user A connects twice a day, sends a connection request once per day to a non-existing share name, and there is no connection request for a share name without access rights. The shortest connection time is 3
さらに、利用者基準DB12cは、ファイルサーバ50に関する情報を記憶する。具体的には、図5に示すように、利用者基準DB12cは、「サーバ名、共有名、接続タイミング」を対応付けて記憶する。「サーバ名」は、ファイルサーバ50の名称等であり、「共有名」は、ファイルサーバ50において共有されるフォルダ等の名称であり、「接続タイミング」は、共有名への接続タイミングである。
Further, the
図5の例では、ファイルサーバ「serverA」については、共有名として「doc」、「lib」、「tmp」が設定されている。そして、共有名「doc」および「lib」への接続タイミングがOS(Operating System)起動時の自動接続であり、共有名「tmp」への接続タイミングが随時接続であることを示す。つまり、ログイン許可されているユーザ端末1は、ファイルサーバ「serverA」が起動した場合に共有名「doc」および「lib」へは自動で接続し、共有名「tmp」へは任意のタイミングで接続することを示す。
In the example of FIG. 5, “doc”, “lib”, and “tmp” are set as share names for the file server “serverA”. Then, the connection timing to the share names “doc” and “lib” is an automatic connection when the OS (Operating System) is started, and the connection timing to the share name “tmp” is a connection at any time. That is, when the file server “serverA” starts up, the
利用者特性DB12dは、ファイルサーバ50へ共有接続した各ユーザが実際に実行したSMB共有接続リクエストと応答から算出された利用者特性を記憶するデータベースである。すなわち、利用者特性DB12dは、実際の共有接続が測定された実測値を記憶する。図6は、利用者特性DBに記憶される実測値の一例を示す図である。図6に示すように、利用者特性DB12dは、実測値(利用特性)として「利用者名、クライアントのIPアドレス、接続サーバ名、接続回数(回/日)、存在しない共有名への接続要求数(回/日)、アクセス権なしの共有名への接続要求数(回/日)、最短接続時間、接続タイミング」を対応付けて記憶する。なお、各項目は、図4と同様なので詳細な説明は省略する。
The
図6の1行目は、利用者Aに対する基準利用者特性である。この基準利用者特性は、IPアドレス「192.168.2.24,192.168.3.86,192.168.3.154」を用いて共有接続をしたことを示す。また、「serverA」、「serverB」、「serverC」、「serverD」、「serverE」、「serverF」の各ファイルサーバに接続したことを示す。 The first line in FIG. 6 is a reference user characteristic for user A. This reference user characteristic indicates that a shared connection is made using IP addresses “192.168.2.24, 192.168.3.86, 192.168.3.154”. Further, it indicates that connection is made to each of the file servers “serverA”, “serverB”, “serverC”, “serverD”, “serverE”, and “serverF”.
また、「serverA」について、利用者Aは、1日で20回接続し、存在しない共有名に対して1日で10回接続要求を送信し、アクセス権がない共有名に対する接続要求を1日で5回送信し、最短接続時間が3秒である。そして、いずれも「serverA」のOS停止中に送信されていることを示す。また、「serverB」について、利用者Aは、1日で10回接続し、存在しない共有名に対して1日で5回接続要求を送信し、アクセス権がない共有名に対する接続要求を1日で10回送信し、最短接続時間が5秒である。そして、いずれも「serverB」のOS停止中に送信されていることを示す。なお、serverC以降については同様なので詳細な説明を省略する。
For “server A”, user A connects 20 times a day, sends a
なお、ここでは、一例として1日の実測値を説明したが、これに限定されるものではない。例えば、1時間などの所定時間おきに測定された実測値を蓄積することもでき、測定時間や記憶させる情報等は、任意に設定変更することができる。 In addition, although the actual measurement value of 1 day was demonstrated here as an example, it is not limited to this. For example, actual measurement values measured every predetermined time such as one hour can be accumulated, and measurement time, information to be stored, and the like can be arbitrarily changed.
制御部15は、ネットワーク機器10全体を司る処理部であり、例えばプロセッサなどである。この制御部15は、キャプチャ部16、抽出部17、ファイル処理部18、利用者処理部19、警告部20を有する。なお、キャプチャ部16、抽出部17、ファイル処理部18、利用者処理部19、警告部20は、例えばプロセッサが有する電子回路の一例やプロセッサが実行するプロセスの一例である。
The
キャプチャ部16は、ネットワークに流れるデータをキャプチャする処理部である。具体的には、ユーザ端末1とファイルサーバ50との間で送受信されるデータをキャプチャして記憶部12等に格納する。
The
抽出部17は、キャプチャ部16がキャプチャしたデータの中からSMBパケットを抽出し、SMB共有接続リクエストおよびその応答を抽出し、ファイル処理部18や利用者処理部19に出力する処理部である。
The
具体的には、抽出部17は、SMBパケットのうちSMBヘッダ内のコマンドを参照して、SMBの認可のプロセスである共有接続の要求と応答を検出し、要求と応答をIPアドレス、ポート番号、セッションIDで紐づける。そして、抽出部17は、共有接続が成功した場合はその時間を保持する。
Specifically, the
同様に、抽出部17は、SMBの認証プロセスであるサーバ接続(SessionSetup)の要求と応答を検出し、要求と応答をIPアドレス、ポート番号で紐づけ、認証成功時には、IPアドレス、アカウント名もしくはユーザIDを保持する。また、抽出部17は、サーバへ切断(Logoff)の要求と応答を検出し、要求と応答をIPアドレスおよびポート番号で紐づけし、切断成功時には認証成功時に保持していたIPアドレス、ポート番号、アカウント名もしくはユーザIDを解放する。
Similarly, the
ファイル処理部18は、ファイルサーバ利用特性算出部18aと特性比較部18bとを有し、これらによってファイルの利用特性から不正アクセスを検出する処理部である。
The
ファイルサーバ利用特性算出部18aは、SMB共有接続リクエストと応答とに基づいて、SMB共有接続リクエストのリクエスト先であるファイルサーバが利用された状況を特定する利用特性を算出する処理部である。具体的には、ファイルサーバ利用特性算出部18aは、共有接続リクエストであるTree Connectとその応答を解析して、図4に示すファイルサーバ50の利用特性を算出して、利用特性DB12bに格納する。
The file server usage
なお、ファイルサーバ50毎に利用特性を算出するためには、ファイルサーバ50を一意に管理することになる。そのために、共有接続要求の送信先、言い換えれば応答送信元のIPアドレス、MAC(Media Access Control)アドレス、もしくはIPアドレスから逆引きしたホスト名を用いる。また、ファイルサーバ利用特性算出部18aは、ファイルサーバ50ごとに、1日単位で以下の情報を算出する。なお、ここでは1日単位を例にして説明するが、これに限定されるものではく、例えば1時間おきに算出することもでき、1日の情報を1時間で区分けして管理することもできる。
In order to calculate the usage characteristics for each
(接続者数)
例えば、ファイルサーバ利用特性算出部18aは、接続元のIPアドレス+アカウント名で1人の接続者と判定して、ファイルサーバ50ごとに接続者数を計数する。このとき、ファイルサーバ利用特性算出部18aは、共有接続要求のタイミングで、保持している接続中のアカウント情報を確認し、これまでに接続要求を出したことのないアカウントであった場合は、接続者数をカウントアップする。
(Number of connected users)
For example, the file server usage
(クライアントのIPアドレス)
例えば、ファイルサーバ利用特性算出部18aは、ファイルサーバ50ごとに、共有接続要求を送信した送信元IPアドレスを抽出する。
(Client IP address)
For example, the file server usage
(共有名)
例えば、ファイルサーバ利用特性算出部18aは、ファイルサーバ50ごとに、共有接続要求に含まれる共有名情報を取得して保持し、これまでに接続要求を出したことのない共有名であった場合に、共有名数を実測値として記録する。
(Share name)
For example, when the file server usage
(接続回数)
例えば、ファイルサーバ利用特性算出部18aは、ファイルサーバ50のすべての利用者から送信された共有接続(TreeConnect)要求のうち接続が成功した数を述べ数で計数する。なお、共有接続が成功したかどうかについては、TreeConnectの応答を解析して確認することができる。
(Number of connections)
For example, the file server usage
(存在しない共有名への接続要求数)
例えば、ファイルサーバ利用特性算出部18aは、ファイルサーバ50のすべての利用者から送信された共有接続要求のうち、存在しない共有名に対して送信された要求の数を計数する。また、存在しない共有名に対しての要求かどうかについては、共有接続の応答を解析して、エラー等のメッセージが応答されたか否か等により確認することができる。
(Number of connection requests to non-existing share name)
For example, the file server usage
(アクセス権なし共有名への接続要求数)
例えば、ファイルサーバ利用特性算出部18aは、ファイルサーバ50のすべての利用者から送信された共有接続要求のうち、アクセス権のない共有名に対して送信された要求の数を計数する。なお、アクセス権のない共有名に対しての要求かどうかについては、共有接続の応答を解析して、エラー等のメッセージが応答されたか否か等により確認することができる。
(Number of connection requests to share names without access rights)
For example, the file server usage
(最短接続時間)
例えば、ファイルサーバ利用特性算出部18aは、ファイルサーバ50毎に共有切断(TreeDisconnect)が成功した場合、共有接続が成功した時刻から切断されるまでの時刻を接続時間として計時する。
(Shortest connection time)
For example, when the file disconnection (TreeDisconnect) succeeds for each
このようにして、ファイルサーバ利用特性算出部18aは、1日単位や1時間単位などの間隔で、上記項目を算出して利用特性の実測値を特定し、利用特性DB12bに格納する。
In this way, the file server usage
図2に戻り、特性比較部18bは、ファイルサーバ利用特性算出部18aが算出した利用特性と、ファイルサーバ50の用途によって予め特定される基準利用特性との比較に応じて、ファイルサーバ50への不正アクセスを検出する処理部である。具体的には、特性比較部18bは、ファイルサーバ50ごとに、実測値と基準値とを比較して、基準値と異なる実測値が測定された場合に、マルウェアによる不正アクセスが発生したと検出する。
Returning to FIG. 2, the
例えば、図3と図4に示されるServerAを例にして説明する。特性比較部18bは、接続者数の実測値が31人で基準値が18人であり、実測値が基準値と異なることを理由に、または、実測値が基準値よりも閾値(例えば5人)以上多いことを理由に、ファイルサーバ50への不正アクセスを検出する。
For example, Server A shown in FIGS. 3 and 4 will be described as an example. The
特性比較部18bは、共有名の実測値のうち「c$、d$、E$」が基準値に含まれないことを理由に、ファイルサーバ50への不正アクセスを検出する。また、特性比較部18bは、接続回数の実測値が87人で基準値が54人であり、実測値が基準値と異なることを理由に、または、実測値が基準値よりも閾値(例えば5人)以上多いことを理由に、ファイルサーバ50への不正アクセスを検出する。
The
また、特性比較部18bは、存在しない共有名への接続要求数の実測値が23人で基準値が2人であり、実測値が基準値と異なることを理由に、または、実測値が基準値よりも閾値(例えば5人)以上多いことを理由に、ファイルサーバ50への不正アクセスを検出する。
In addition, the
同様に、特性比較部18bは、アクセス権なし共有名への接続要求数の実測値が19人で基準値が3人であり、実測値が基準値と異なることを理由に、または、実測値が基準値よりも閾値(例えば5人)以上多いことを理由に、ファイルサーバ50への不正アクセスを検出する。また、特性比較部18bは、最短接続時間の実測値が1秒で基準値が3分15秒であり、実測値が基準値と異なることを理由に、または、実測値が基準値よりも閾値(例えば1分)以上短いことを理由に、ファイルサーバ50への不正アクセスを検出する。
Similarly, the
また、特性比較部18bは、実測値と基準値との比較以外にも、実測値の所定時間ごとの増加率からファイルサーバ50への不正アクセスを検出することもできる。例えば、特性比較部18bは、例えば1時間ごとに計数された接続者数の増加率が10%以上を越えた場合、ファイルサーバ50への不正アクセスを検出する。
In addition to the comparison between the actual measurement value and the reference value, the
また、特性比較部18bは、例えば1時間ごとに計数された接続回数、存在しない共有名への接続要求数、アクセス権なし共有名への接続要求数などの増加率が10%以上を越えた場合、ファイルサーバ50への不正アクセスを検出する。
In addition, the
なお、特性比較部18bは、不正アクセスの検出にどの項目を用いるかについては任意に設定変更することができる。例えば、特性比較部18bは、項目が1つでも条件を満たす場合にファイルサーバ50への不正アクセスを検出することもでき、3つ以上の項目が条件を満たす場合にファイルサーバ50への不正アクセスを検出することもできる。
The
利用者処理部19は、利用者特性算出部19aと利用者特性比較部19bとを有し、これらによってファイルの利用者特性から不正アクセスを検出する処理部である。
The
利用者特性算出部19aは、ファイルサーバ50を利用する利用者について、利用者が要求したSMB共有接続リクエストと利用者が取得した応答とに基づいて、利用者がファイルサーバ50を利用した状況を特定する利用者特性を算出する処理部である。具体的には、利用者特性算出部19aは、共有接続リクエストであるTree Connectとその応答を解析して、図6に示すファイルサーバ50の利用特性を算出して、利用者特性DB12dに格納する。
The user
なお、ファイルサーバ50の利用者毎の利用特性を算出するためには、利用者を一意に管理することになる。そのために要求送信元のIPアドレス、MACアドレス、アカウント名を利用する。利用者特性算出部19aは、ユーザごとに、1日単位で以下の情報を算出する。なお、ここでは1日単位を例にして説明するが、これに限定されるものではく、例えば1時間おきに算出することもでき、1日の情報を1時間で区分けして管理することもできる。
In order to calculate the usage characteristics for each user of the
(クライアントのIPアドレス)
例えば、利用者特性算出部19aは、ユーザが送信した共有接続要求が、これまでに接続要求を出したことのないユーザであった場合は、IPアドレスもしくはIPアドレスから逆引きしたホスト名を抽出して保持する。
(Client IP address)
For example, if the shared connection request transmitted by the user is a user who has not issued a connection request so far, the user
(接続サーバ名)
例えば、利用者特性算出部19aは、共有接続要求のタイミングで、保持している接続中のアカウント情報を確認する。そして、利用者特性算出部19aは、その利用者がこれまで接続要求を出したことのないサーバの場合、そのサーバのIPアドレスを利用者毎に保持する。
(Connection server name)
For example, the user
(接続回数)
例えば、利用者特性算出部19aは、ユーザが送信した共有接続要求のうち接続が成功した数を述べ数で計数する。なお、SMB共有接続が成功したかどうかについては、TreeConnectの応答を解析して確認することができる。
(Number of connections)
For example, the user
(存在しない共有名への接続要求数)
例えば、利用者特性算出部19aは、ユーザから送信された共有接続要求のうち、存在しない共有名に対して送信された要求の数を計数する。なお、存在しない共有名に対しての要求かどうかについては、SMB共有接続の応答を解析して確認することができる。また、存在しない共有名とは、ファイルサーバ50の管理者により共有の設定が行われていないもののことを意味する。
(Number of connection requests to non-existing share name)
For example, the user
(アクセス権なし共有名への接続要求数)
例えば、利用者特性算出部19aは、ユーザから送信された共有接続要求のうち、アクセス権のない共有名に対して送信された要求の数を計数する。なお、アクセス権のない共有名に対しての要求かどうかについては、SMB共有接続の応答を解析して確認することができる。
(Number of connection requests to share names without access rights)
For example, the user
(最短接続時間)
例えば、利用者特性算出部19aは、ユーザ毎かつファイルサーバ毎に、共有切断が成功した場合、共有接続が成功した時刻から切断されるまでの時刻を接続時間として保持する。
(Shortest connection time)
For example, when the sharing disconnection is successful for each user and for each file server, the user
(接続タイミング)
例えば、利用者特性算出部19aは、SMB共有接続要求がOS起動時の自動接続によるものか、それ以外の手動接続によるものかを抽出する。例えば、利用者特性算出部19aは、DHCP(Dynamic Host Configuration Protocol)でIPが割り当てられている時刻やNetBIOS(Network Basic Input Output System)名のブロードキャスト時刻、WINS(Windows(登録商標) Internet Name Service)への登録時刻から判断して抽出する。このようにして、利用者特性算出部19aは、1日単位や1時間単位などの間隔で、上記項目を算出して利用者特性の実測値を特定し、利用者特性DB12dに格納する。
(Connection timing)
For example, the user
図2に戻り、利用者特性比較部19bは、利用者特性算出部19aが算出した利用者特性と、予め特定されるユーザのファイルサーバ50の利用の仕方である基準利用者との比較に応じて、ファイルサーバ50へ不正アクセスしたユーザを検出する処理部である。具体的には、利用者特性比較部19bは、ユーザごとに、実測値と基準値とを比較して、基準値と異なる実測値が測定された場合に、マルウェアによる不正アクセスが発生したと検出する。
Returning to FIG. 2, the user
例えば、図5と図6に示される利用者Aを例にして説明する。利用者特性比較部19bは、実際に使用されたIPアドレスが「192.168.2.24,192.168.3.86,192.168.3.154」であり、基準値「192.168.1.11」と異なることから、マルウェアによる不正アクセスが発生したと検出する。
For example, a description will be given by taking user A shown in FIGS. 5 and 6 as an example. The user
また、利用者特性比較部19bは、基準値の「ServerA、ServerB、ServerC」以外に、「ServerD、ServerE、ServerF」へ実際に接続されたことから、マルウェアによる不正アクセスが発生したと検出する。
In addition to the reference values “ServerA, ServerB, ServerC”, the user
また、利用者特性比較部19bは、基準値の「ServerA、ServerB、ServerC」への各接続回数が「20、10、9」であることを検出する。すると、利用者特性比較部19bは、実測値が基準値と異なることを理由に、または、実測値が基準値よりも閾値(例えば5人)以上多いことを理由に、ファイルサーバ50への不正アクセスを検出する。
In addition, the user
また、利用者特性比較部19bは、基準値の「ServerA、ServerB、ServerC」内の存在しない共有名への接続要求数が「10、5、8」であることを検出する。すると、利用者特性比較部19bは、実測値が基準値と異なることを理由に、または、実測値が基準値よりも閾値(例えば5人)以上多いことを理由に、ファイルサーバ50への不正アクセスを検出する。
In addition, the user
また、利用者特性比較部19bは、基準値の「ServerA、ServerB、ServerC」内のアクセス権がない共有名への接続要求数が「5、10、4」であることを検出する。すると、利用者特性比較部19bは、実測値が基準値と異なることを理由に、または、実測値が基準値よりも閾値(例えば3人)以上多いことを理由に、ファイルサーバ50への不正アクセスを検出する。
In addition, the user
また、利用者特性比較部19bは、基準値の「ServerA、ServerB、ServerC」に対する最短接続時間の実測値を「3秒、5秒、41秒」と検出する。すると、利用者特性比較部19bは、実測値が基準値と異なることを理由に、または、実測値が基準値よりも閾値(例えば1分)以上短いことを理由に、ファイルサーバ50への不正アクセスを検出する。
Further, the user
また、利用者特性比較部19bは、基準値の「ServerA、ServerB、ServerC」への接続タイミングの実測値を「OS停止中、OS停止中、OS起動時」と検出する。すると、利用者特性比較部19bは、「ServerA」に対する実測値が基準値と異なることを理由に、ファイルサーバ50への不正アクセスを検出する。
In addition, the user
また、利用者特性比較部19bは、実測値と基準値との比較以外にも、実測値の所定時間ごとの増加率からファイルサーバ50への不正アクセスを検出することもできる。例えば、利用者特性比較部19bは、1時間ごとに計数された接続サーバ先への接続者数の増加率が10%以上を越えた場合、ファイルサーバ50への不正アクセスを検出することもできる。
In addition to the comparison between the actual measurement value and the reference value, the user
同様に、利用者特性比較部19bは、例えば1時間ごとに計数された、存在しない共有名への接続要求数やアクセス権なし共有名への接続要求数などの増加率が10%以上を越えた場合、ファイルサーバ50への不正アクセスを検出する。
Similarly, in the user
なお、利用者特性比較部19bは、不正アクセスの検出にどの項目を用いるかについては任意に設定変更することができる。例えば、利用者特性比較部19bは、項目が1つでも条件を満たす場合にファイルサーバ50への不正アクセスを検出することもでき、3つ以上の項目が条件を満たす場合にファイルサーバ50への不正アクセスを検出することもできる。
Note that the user
警告部20は、不正アクセスが検出された場合に、管理者端末やディスプレイ等に不正アクセスが発生したことを示すメッセージや危険回避を促すメッセージなどを出力する処理部である。
The
[処理の流れ]
次に、ネットワーク機器10が実行する処理について説明する。ここでは、全体的な処理の流れ、ファイルの基準利用特性の算出処理、ファイルの基準利用者特性の算出処理、検出処理について説明する。
[Process flow]
Next, processing executed by the
(全体的な処理)
図7は、全体的な処理の流れを示すフローチャートである。図7に示すように、キャプチャ部16は、ネットワークデータをキャプチャし(S101)、抽出部17は、SMBパケットを抽出する(S102)。
(Overall processing)
FIG. 7 is a flowchart showing the overall processing flow. As shown in FIG. 7, the
続いて、ファイル処理部18のファイルサーバ利用特性算出部18aは、特性算出期間であると判定した場合(S103:Yes)、ファイルサーバ50の基準利用特性を算出する(S104)。その後、特性比較部18bは、算出した基準利用特性と実データとを比較する(S105)。
Subsequently, when the file server usage
同様に、利用者処理部19の利用者特性算出部19aは、特性算出期間であると判定した場合(S103:Yes)、ファイルサーバ50を利用する利用者の基準利用者特性を算出する(S106)。その後、利用者特性比較部19bは、算出した基準利用者特性と実データとを比較する(S107)。
Similarly, when it is determined that it is the characteristic calculation period (S103: Yes), the user
なお、特性算出期間ではない場合(S103:No)、S104およびS106を実行せずに、S105およびS107が実行される。 When it is not the characteristic calculation period (S103: No), S105 and S107 are executed without executing S104 and S106.
続いて、警告部20は、S105またはS107の比較によって異常が検出された場合(S108:Yes)、異常を記録して監視システムや管理者端末などの、警告を通知する(S109)。その後、終了指示等が受け付けられた場合(S110:Yes)、制御部15は処理を終了し、終了指示等が受け付けられない場合(S110:No)、S101以降が繰り返される。
Subsequently, when an abnormality is detected by the comparison of S105 or S107 (S108: Yes), the
一方、S105またはS107の比較によって異常が検出されなかった場合(S108:No)、ファイルサーバ利用特性算出部18aおよび利用者特性算出部19aは、特性算出期間であるか否かを判定する(S111)。
On the other hand, when no abnormality is detected by the comparison of S105 or S107 (S108: No), the file server usage
そして、ファイルサーバ利用特性算出部18aは、特性算出期間であると判定した場合(S111:Yes)、ファイルサーバ50の基準利用特性を算出して利用基準DB12aに記録する(S112)。さらに、利用者特性算出部19aは、ファイルサーバ50を利用する利用者の基準利用者特性を算出して利用者基準DB12cに記録する(S113)。その後S110が実行される。なお、特性算出期間ではない場合も(S111:No)、S110が実行される。
If the file server usage
(ファイルの基準利用特性の算出処理)
図8は、ファイルサーバの基準利用特性を算出する処理の流れを示すフローチャートである。図8に示すように、ファイルサーバ利用特性算出部18aは、抽出部17が抽出したデータから、パケット送信元としてIPアドレス、MACアドレスを取得して、ファイルサーバ50を特定する(S201)。
(Calculation process of standard usage characteristics of files)
FIG. 8 is a flowchart showing the flow of processing for calculating the reference usage characteristics of the file server. As shown in FIG. 8, the file server usage
続いて、ファイルサーバ利用特性算出部18aは、抽出部17が抽出したデータが認証要求である場合(S202:Yes)、接続元情報としてIPアドレス、MACアドレス、アカウント名を取得して、利用基準DB12aに格納する(S203)。なお、ファイルサーバ利用特性算出部18aは、抽出部17が抽出したデータが認証要求ではない場合(S202:No)、S203を実行せずにS204を実行する。
Subsequently, when the data extracted by the
そして、ファイルサーバ利用特性算出部18aは、抽出部17が抽出したデータが共有接続要求である場合(S204:Yes)、共有接続情報として共有名、共有接続要求数を取得して、利用基準DB12aに格納する(S205)。また、ファイルサーバ利用特性算出部18aは、共有接続要求時刻を記憶部12等に保持しておく(S206)。なお、ファイルサーバ利用特性算出部18aは、抽出部17が抽出したデータが共有接続要求ではない場合(S204:No)、S205およびS206を実行せずにS207を実行する。
Then, when the data extracted by the
さらに、ファイルサーバ利用特性算出部18aは、抽出部17が抽出したデータが共有接続応答である場合(S207:Yes)、S208を実行する。すなわち、ファイルサーバ利用特性算出部18aは、共有可否情報として、存在しない共有名への接続要求数、アクセス権がない共有名への接続要求数を取得して、利用基準DB12aに格納する(S208)。なお、ファイルサーバ利用特性算出部18aは、抽出部17が抽出したデータが共有接続応答ではない場合(S207:No)、S208を実行せずにS209を実行する。
Furthermore, when the data extracted by the
また、ファイルサーバ利用特性算出部18aは、抽出部17が抽出したデータが共有切断である場合(S209:Yes)、S206で取得した共有接続の要求時刻から切断までの時間を算出する(S210)。
In addition, when the data extracted by the
続いて、ファイルサーバ利用特性算出部18aは、算出した切断までの時間がこれまでで最短の接続時間である場合(S211:Yes)、S210で算出した時間を最短切断時間として利用基準DB12aに格納する(S212)。なお、ファイルサーバ利用特性算出部18aは、算出した切断までの時間がこれまでで最短の接続時間ではない場合(S211:No)、そのまま処理を終了する。また、ファイルサーバ利用特性算出部18aは、抽出部17が抽出したデータが共有切断ではない場合(S209:No)、処理を終了する。
Subsequently, when the calculated time until disconnection is the shortest connection time so far (S211: Yes), the file server usage
なお、ここで基準利用特性の算出例を説明したが、利用特性の実測値を算出する場合も同様のフローで処理することができる。 In addition, although the calculation example of the reference usage characteristic has been described here, the same flow can be processed when the actual value of the usage characteristic is calculated.
(ファイルの基準利用者特性の算出処理)
図9は、ファイルの基準利用者特性を算出する処理の流れを示すフローチャートである。図9に示すように、利用者特性算出部19aは、抽出部17が抽出したデータが認証要求である場合(S301:Yes)、パケット送信元として接続元情報としてIPアドレス、MACアドレス、ホスト名、利用者名を取得して、利用者基準DB12cに格納する(S302)。なお、利用者特性算出部19aは、抽出部17が抽出したデータが認証要求ではない場合(S301:No)、S302を実行せずにS303を実行する。
(File standard user characteristics calculation process)
FIG. 9 is a flowchart showing a flow of processing for calculating a reference user characteristic of a file. As shown in FIG. 9, when the data extracted by the
そして、利用者特性算出部19aは、抽出部17が抽出したデータが共有接続要求である場合(S303:Yes)、S304を実行する。すなわち、利用者特性算出部19aは、接続元+利用者名ごとに、共有接続情報としてサーバ名、IPアドレス、MACアドレス、共有名、共有接続要求数を取得して、利用者基準DB12cに格納する。
Then, when the data extracted by the
また、利用者特性算出部19aは、共有接続要求時刻を記憶部12等に保持しておき(S305)、共有接続タイミングを記憶部12等に保持しておく(S306)。なお、利用者特性算出部19aは、抽出部17が抽出したデータが共有接続応答ではない場合(S303:No)、S304−S306を実行せずにS307を実行する。
The user
さらに、利用者特性算出部19aは、抽出部17が抽出したデータが共有接続応答である場合(S307:Yes)、S308を実行する。すなわち、利用者特性算出部19aは、共有可否情報として、存在しない共有名への接続要求数、アクセス権がない共有名への接続要求数を取得して、利用者基準DB12cに格納する。なお、利用者特性算出部19aは、抽出部17が抽出したデータが共有接続応答ではない場合(S307:No)、S308を実行せずにS309を実行する。
Furthermore, when the data extracted by the
また、利用者特性算出部19aは、抽出部17が抽出したデータが共有切断である場合(S309:Yes)、S305で取得した共有接続の要求時刻から切断までの時間を算出する(S310)。
In addition, when the data extracted by the
続いて、利用者特性算出部19aは、算出した切断までの時間がこれまでで最短の接続時間である場合(S311:Yes)、S310で算出した時間を最短切断時間として利用者基準DB12cに格納する(S312)。なお、利用者特性算出部19aは、算出した切断までの時間がこれまでで最短の接続時間ではない場合(S311:No)、そのまま処理を終了する。また、利用者特性算出部19aは、抽出部17が抽出したデータが共有切断ではない場合(S309:No)、処理を終了する。
Subsequently, when the calculated time until disconnection is the shortest connection time so far (S311: Yes), the user
なお、ここで基準利用者特性の算出例を説明したが、利用者特性の実測値を算出する場合も同様のフローで処理することができる。 In addition, although the calculation example of the reference | standard user characteristic was demonstrated here, when calculating the actual value of a user characteristic, it can process by the same flow.
(不正アクセスの検出処理)
図10は、不正アクセスの検出処理の流れを示すフローチャートである。なお、ここでは、特性比較部18bと利用者特性比較部19bをあわせて比較部と記載する。
(Unauthorized access detection processing)
FIG. 10 is a flowchart showing the flow of unauthorized access detection processing. Here, the
図10に示すように、比較部は、比較項目を1つ選択する(S401)。例えば、比較部は、図3や図5に示した項目のうち1つを選択する。そして、比較部は、初期化として異常フラグをオフに設定する(S402)。その後、比較部は、選択した比較項目に適した比較値の生成方法を決定する(S403)。なお、比較値の生成方法は、管理者等によって比較項目ごとに指定することができる。 As shown in FIG. 10, the comparison unit selects one comparison item (S401). For example, the comparison unit selects one of the items shown in FIG. 3 and FIG. Then, the comparison unit sets the abnormality flag to OFF as initialization (S402). Thereafter, the comparison unit determines a comparison value generation method suitable for the selected comparison item (S403). The method for generating the comparison value can be specified for each comparison item by the administrator or the like.
そして、比較部は、比較値の生成方法が累積数である場合、指定時間単位で累積数を算出する(S404)。例えば、比較部は、ファイルサーバ50ごとに、1時間単位で、接続者を算出したり、存在しない共有名への接続者数を算出したりする。また、比較部は、ユーザごとに、1時間単位で、接続回数やアクセス権がない共有名への接続要求数を算出する。
Then, when the comparison value generation method is the cumulative number, the comparison unit calculates the cumulative number in designated time units (S404). For example, the comparison unit calculates the number of connected users for each
また、比較部は、比較値の生成方法が累積リストである場合、指定時間単位で累積リストを算出する(S405)。例えば、比較部は、ファイルサーバ50ごとに、1時間単位で、接続したクライアントのIPアドレスの一覧を作成する。また、比較部は、ユーザごとに、1時間単位で、使用したIPアドレスのリストや接続したサーバ名のリストを作成する。
Further, when the comparison value generation method is the accumulation list, the comparison unit calculates the accumulation list in units of designated time (S405). For example, the comparison unit creates a list of IP addresses of connected clients for each
また、比較部は、比較値の生成方法が増加率である場合、指定時間単位で増加率を算出する(S406)。例えば、比較部は、ファイルサーバ50ごとに1時間における接続者数の増加率やユーザごとに1時間における接続回数の増加率などを算出する。
Further, when the comparison value generation method is an increase rate, the comparison unit calculates the increase rate in units of designated time (S406). For example, the comparison unit calculates an increase rate of the number of connected users in one hour for each
また、比較部は、比較値の生成方法が最小値である場合、指定時間単位で最小値を算出する(S407)。例えば、比較部は、ファイルサーバ50やユーザごとに、最短接続時間などを算出する。
Further, when the comparison value generation method is the minimum value, the comparison unit calculates the minimum value in a specified time unit (S407). For example, the comparison unit calculates the shortest connection time or the like for each
その後、比較部は、比較項目に基づいて比較方法を決定し(S408)、決定した比較方法に基づいて不正アクセスを検出する(S409〜S412)。 Thereafter, the comparison unit determines a comparison method based on the comparison item (S408), and detects unauthorized access based on the determined comparison method (S409 to S412).
具体的には、比較部は、増加率が閾値よりも大きい場合(S409:Yes)、異常フラグをオンにする(S412)。また、比較部は、算出した最小値が記録済みの最小値よりも小さい場合(S410:Yes)、異常フラグをOnにする(S412)。また、比較部は、作成した累積リストが記録済みの累積リストと異なる場合(S411:Yes)、異常フラグをOnにする(S412)。その後、比較部は、比較項目が他にもある場合には(S413:Yes)、S401以降を繰り返し、比較項目が他にない場合には(S413:No)、処理を終了する。 Specifically, when the increase rate is greater than the threshold (S409: Yes), the comparison unit turns on the abnormality flag (S412). When the calculated minimum value is smaller than the recorded minimum value (S410: Yes), the comparison unit sets the abnormality flag to On (S412). If the created cumulative list is different from the recorded cumulative list (S411: Yes), the comparison unit sets the abnormality flag to On (S412). Thereafter, when there are other comparison items (S413: Yes), the comparison unit repeats S401 and the subsequent steps, and when there are no other comparison items (S413: No), the processing ends.
また、増加率が閾値以下である場合(S409:No)、算出した最小値が記録済みの最小値以下である場合(S410:No)、作成した累積リストが記録済みの累積リストと同じ場合(S411:No)、比較部は、S412を実行せずにS413を実行する。 Further, when the increase rate is equal to or less than the threshold (S409: No), when the calculated minimum value is equal to or less than the recorded minimum value (S410: No), when the created cumulative list is the same as the recorded cumulative list ( (S411: No), the comparison unit executes S413 without executing S412.
[ファイル特性判定の説明]
図11は、ファイルサーバの利用特性の判定を説明する図である。図11に示す例では、Aさん、マルウェアに感染したBさん、Cさんの3ユーザがファイルサーバ50へアクセスする例を示す。
[Description of file characteristics judgment]
FIG. 11 is a diagram illustrating determination of usage characteristics of a file server. The example shown in FIG. 11 shows an example in which three users, Mr. A, Mr. B and Mr. C infected with malware, access the
図11に示すように、いずれのユーザも正当なアカウントで認証処理を実行するので、ファイルサーバ50への認証は許可される。一般的な検出ソフト等では、この認証処理でマルウェアの検出を実行するので、Bさんがマルウェアに感染したことを検出できない。
As shown in FIG. 11, since any user executes the authentication process with a valid account, authentication to the
ところが、実施例1に係るネットワーク機器10は、認証許可後に共有接続が認可される各アクセスからマルウェアによりアクセスを検出することができる。具体的には、ネットワーク機器10は、正当な利用者なら短時間に共有接続と切断を繰り返さないし、接続時間も短くないと判定する。また、ネットワーク機器10は、正当な利用者なら存在する共有名やアクセス権の有無を知っているので、存在しない共有名やアクセス権がない共有名への接続要求を必要以上に繰り返さないと判定する。
However, the
ネットワーク機器10は、共有接続の実行状況からこれらの点に該当する共有接続を検出するので、従来では検出対象ではなかった共有接続時の不正アクセスを検出することができる。また、ネットワーク機器10は、攻撃者に狙われている危険なサーバを見つけることができる。
Since the
[ファイル特性判定の説明]
図12は、利用者特性の判定を説明する図である。図12に示す例では、マルウェアに感染したAさんがファイルサーバ51とファイルサーバ52へアクセスする例を示す。
[Description of file characteristics judgment]
FIG. 12 is a diagram illustrating determination of user characteristics. The example shown in FIG. 12 shows an example in which Mr. A infected with malware accesses the
図12に示すように、マルウェアに感染したAさんが使用するユーザ端末1は、正当なアカウントで認証処理を実行するので、ファイルサーバ51およびファイルサーバ52への認証は許可される。一般的な検出ソフト等では、この認証処理でマルウェアの検出を実行するので、Aさんがマルウェアに感染したことを検出できない。
As shown in FIG. 12, the
ところが、実施例1に係るネットワーク機器10は、認証許可後に共有接続が認可される各アクセスからマルウェアによりアクセスを検出することができる。具体的には、ネットワーク機器10は、正当な利用者なら短時間に共有接続と切断を繰り返さないし、接続時間も短くないと判定する。また、ネットワーク機器10は、正当な利用者なら存在する共有名やアクセス権の有無を知っているので、存在しない共有名やアクセス権がない共有名への接続要求を必要以上に繰り返さないと判定する。さらに、ネットワーク機器10は、ユーザが使用するIPアドレス等はおおよそ決まっており、毎回違うIPアドレスであることは少ないと判定する。さらに、ネットワーク機器10は、ユーザAが使用したことがない共有名などにアクセスする回数は少ないと判定する。
However, the
ネットワーク機器10は、共有接続の実行状況からこれらの点に該当する共有接続を検出するので、従来では検出対象ではなかった、共有接続を実行するユーザ端末を特定することができる。また、ネットワーク機器10は、マルウェアが正規の有効なアカウントを利用して、ファイルサーバ経由でマルウェアを拡散させる活動を検知できる。また、ネットワーク機器10は、リアルタイムでマルウェア拡散を検知でき、未知のマルウェアの拡散も検知できる。さらに、ネットワーク機器10は、特別なソフトウェア等を用いずにマルウェアによる攻撃等を検出することができるので、マルウェア検出にかかるコストの削減も実現できる。
Since the
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。 Although the embodiments of the present invention have been described so far, the present invention may be implemented in various different forms other than the embodiments described above.
[判定処理]
上記実施例では、ファイルの利用特性と利用者の特性の両方を判定する例を説明したが、これに限定されるものではない。例えば、ネットワーク機器10は、いずれか一方のみを判定することもでき、各判定項目を任意に組み合わせることもできる。一例を挙げると、ネットワーク機器10は、利用特性の任意の1項目と利用者特性の任意の2項目とを判定項目として利用することもできる。
[Determination process]
In the above embodiment, an example has been described in which both the usage characteristics of a file and the characteristics of a user are determined. However, the present invention is not limited to this. For example, the
[判定手法]
上記実施例では、ネットワーク機器10が、基準と実測値との比較、実測値の増加率、最小値などを用いて、不正アクセスを検出する例を説明したが、これに限定されるものではない。例えば、ネットワーク機器10が、最大値などの他の指標を用いることもできる。具体的には、ネットワーク機器10は、1日の接続者数を1時間おきに測定して、測定値の最大値を抽出する。そして、ネットワーク機器10は、最大値が閾値を超える場合、不正アクセスを検出することもできる。
[Judgment method]
In the above embodiment, an example has been described in which the
[システム]
また、図示した装置の各構成は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、任意の単位で分散または統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[system]
Further, each configuration of the illustrated apparatus does not necessarily need to be physically configured as illustrated. That is, it can be configured to be distributed or integrated in arbitrary units. Further, all or any part of each processing function performed in each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 In addition, among the processes described in this embodiment, all or part of the processes described as being performed automatically can be performed manually, or the processes described as being performed manually can be performed. All or a part can be automatically performed by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above-described document and drawings can be arbitrarily changed unless otherwise specified.
[ハードウェア]
図13は、ハードウェア構成例を示す図である。図13に示すように、ネットワーク機器10は、HDD(Hard Disk Drive)10a、通信インタフェース10b、メモリ10c、CPU(Central Processing Unit)10dを有する。また、図13に示した各部は、バス等で相互に接続される。なお、ここで示したハードウェアは一例であり、例えばグラフィックインタフェースやマウスなどの他のハードウェアを有していてもよい。
[hardware]
FIG. 13 is a diagram illustrating a hardware configuration example. As shown in FIG. 13, the
HDD10aは、図2等に示した機能を動作させるプログラムやDBを記憶する。通信インタフェース10bは、他の装置との通信を制御するインタフェースであり、例えばネットワークインタフェースカードである。
The
CPU10dは、図2等に示した各処理部と同様の処理を実行するプログラムをHDD10a等から読み出してメモリ10cに展開することで、図2等で説明した各機能を実行するプロセスを動作させる。
The
すなわち、このプロセスは、ネットワーク機器10が有する各処理部と同様の機能を実行する。具体的には、CPU10dは、キャプチャ部16、抽出部17、ファイル処理部18、利用者処理部19、警告部20と同様の機能を有するプログラムをHDD10a等から読み出す。そして、CPU10dは、キャプチャ部16、抽出部17、ファイル処理部18、利用者処理部19、警告部20と同様の処理を実行するプロセスを実行する。
That is, this process executes the same function as each processing unit included in the
このようにネットワーク機器10は、プログラムを読み出して実行することでネットワーク監方法を実行する情報処理装置として動作する。また、このプログラムは、ハードディスク、フレキシブルディスク(FlexibleDisk)、CD−ROM(Compact Disk−Read Only Memory)、MO(Magneto Optical)ディスク、DVD(Digital Versatile Disk)などのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することができる。なお、この他の実施例でいうプログラムは、ネットワーク機器10によって実行されることに限定されるものではない。例えば、他のコンピュータまたはサーバがプログラムを実行する場合や、これらが協働してプログラムを実行するような場合にも、本発明を同様に適用することができる。
As described above, the
10 ネットワーク機器
11 通信部
12 記憶部
12a 利用基準DB
12b 利用特性DB
12c 利用者基準DB
12d 利用者特性DB
15 制御部
16 キャプチャ部
17 抽出部
18 ファイル処理部
18a ファイルサーバ利用特性算出部
18b 特性比較部
19 利用者処理部
19a 利用者特性算出部
19b 利用者特性比較部
20 警告部
10
12b Usage characteristic DB
12c user standard DB
12d User characteristics DB
DESCRIPTION OF
Claims (8)
前記抽出部が抽出した前記共有接続リクエストと前記応答とに基づいて、前記共有接続リクエストのリクエスト先であるファイルサーバが利用された状況を特定する利用特性を算出する算出部と、
前記算出部が算出した前記利用特性と、前記ファイルサーバの用途によって予め特定される基準利用特性との比較に応じて、前記ファイルサーバへの不正アクセスを検出する検出部と
を有することを特徴とするネットワーク監視装置。 An extraction unit that extracts a shared connection request and a response to the shared connection request from data transmitted over the network;
Based on the shared connection request and the response extracted by the extraction unit, a calculation unit that calculates a usage characteristic that identifies a situation in which a file server that is a request destination of the shared connection request is used;
A detection unit that detects unauthorized access to the file server according to a comparison between the usage characteristic calculated by the calculation unit and a reference usage characteristic specified in advance by a use of the file server. Network monitoring device.
前記検出部は、前記算出部によって算出された情報が前記基準利用特性と異なる場合に、前記ファイルサーバへの不正アクセスを検出することを特徴とする請求項1に記載のネットワーク監視装置。 The calculation unit includes the number of connected users connected to the file server, the share name that the file server has accepted the share connection request, the number of times the file server is connected to be shared, and the share name that the file server has The number of shared connection requests sent to a share name that is not shared, the number of shared connection requests received from a user to whom the file server does not have access rights, and the shortest connection time among the connections to which the file server is shared Extract at least one of
The network monitoring apparatus according to claim 1, wherein the detection unit detects unauthorized access to the file server when the information calculated by the calculation unit is different from the reference usage characteristic.
前記検出部は、前記算出部によって算出された増加率が閾値を超える場合に、前記ファイルサーバへの不正アクセスを検出することを特徴とする請求項1に記載のネットワーク監視装置。 The calculation unit includes a rate of increase of the number of connected users connected to the file server every predetermined time, a rate of increase of the number of times that the file server is shared and connected per predetermined time, and a shared name of the file server At least a rate of increase of the number of shared connection requests transmitted to a shared name per predetermined time, and a rate of increase of the number of shared connection requests received from a user without access right by the file server per predetermined time Calculate one,
The network monitoring apparatus according to claim 1, wherein the detection unit detects unauthorized access to the file server when the increase rate calculated by the calculation unit exceeds a threshold value.
前記検出部は、前記算出部が算出した前記利用者特性と、予め特定される前記利用者の前記ファイルサーバの利用の仕方である基準利用者特性との比較に応じて、前記ファイルサーバへの不正アクセスを検出することを特徴とする請求項1に記載のネットワーク監視装置。 The calculation unit, for a user who uses the file server, based on the shared connection request requested by the user and the response acquired by the user, the situation where the user has used the file server User characteristics that identify
The detection unit is configured to send the file server to the file server according to a comparison between the user characteristic calculated by the calculation unit and a reference user characteristic that is a method of using the file server of the user specified in advance. The network monitoring apparatus according to claim 1, wherein unauthorized access is detected.
前記検出部は、前記算出部によって算出された情報が前記基準利用者特性と異なる場合に、前記ファイルサーバへの不正アクセスを検出することを特徴とする請求項4に記載のネットワーク監視装置。 The calculation unit includes the address information used by the user, the number of times the user has connected to the file server, the share name from which the user has sent a connection request, and the share name to which the user does not exist. At least one of the number of shared connection requests, the number of shared connection requests transmitted to the file server to which the user has no access right, and the shortest connection time among the connections that the user has connected to the file server Extract
The network monitoring apparatus according to claim 4, wherein the detection unit detects unauthorized access to the file server when the information calculated by the calculation unit is different from the reference user characteristic.
前記検出部は、前記算出部によって算出された増加率が閾値を超える場合に、前記ファイルサーバへの不正アクセスを検出することを特徴とする請求項4に記載のネットワーク監視装置。 The calculation unit is configured to increase the number of connection times that the user has connected to the file server for each predetermined time, increase rate for the predetermined number of times of the shared connection request transmitted to the share name that the user does not exist, Calculating at least one of the rate of increase of the number of shared connection requests transmitted to the file server to which the user has no access right per predetermined time;
The network monitoring apparatus according to claim 4, wherein the detection unit detects unauthorized access to the file server when the increase rate calculated by the calculation unit exceeds a threshold value.
ネットワークを伝送されるデータから共有接続リクエストと、該共有接続リクエストに対する応答とを抽出し、
抽出した前記共有接続リクエストと前記応答とに基づいて、前記共有接続リクエストのリクエスト先であるファイルサーバが利用された状況を特定する利用特性を算出し、
算出した前記利用特性と、前記ファイルサーバの用途によって予め特定される基準利用特性との比較に応じて、前記ファイルサーバへの不正アクセスを検出する
処理を含むことを特徴とするネットワーク監視方法。 A computer extracts a shared connection request and a response to the shared connection request from data transmitted over the network;
Based on the extracted shared connection request and the response, calculate a usage characteristic that identifies a situation in which a file server that is a request destination of the shared connection request is used,
A network monitoring method, comprising: a process of detecting unauthorized access to the file server in accordance with a comparison between the calculated usage characteristic and a reference usage characteristic specified in advance according to a use of the file server.
ネットワークを伝送されるデータから共有接続リクエストと、該共有接続リクエストに対する応答とを抽出し、
抽出した前記共有接続リクエストと前記応答とに基づいて、前記共有接続リクエストのリクエスト先であるファイルサーバが利用された状況を特定する利用特性を算出し、
算出した前記利用特性と、前記ファイルサーバの用途によって予め特定される基準利用特性との比較に応じて、前記ファイルサーバへの不正アクセスを検出する
処理を実行させることを特徴とするネットワーク監視プログラム。 Extracting a shared connection request and a response to the shared connection request from data transmitted over the network to the computer,
Based on the extracted shared connection request and the response, calculate a usage characteristic that identifies a situation in which a file server that is a request destination of the shared connection request is used,
A network monitoring program for executing a process of detecting unauthorized access to the file server in accordance with a comparison between the calculated usage characteristic and a reference usage characteristic specified in advance by the use of the file server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015035440A JP2016157311A (en) | 2015-02-25 | 2015-02-25 | Network monitoring apparatus, network monitoring method, and network monitoring program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015035440A JP2016157311A (en) | 2015-02-25 | 2015-02-25 | Network monitoring apparatus, network monitoring method, and network monitoring program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2016157311A true JP2016157311A (en) | 2016-09-01 |
Family
ID=56826225
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015035440A Pending JP2016157311A (en) | 2015-02-25 | 2015-02-25 | Network monitoring apparatus, network monitoring method, and network monitoring program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2016157311A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6207784B1 (en) * | 2017-03-27 | 2017-10-04 | 株式会社ラック | Relay device, relay method, and program |
JP2018200668A (en) * | 2017-05-26 | 2018-12-20 | キヤノンマーケティングジャパン株式会社 | Information processing device, control method, and program |
-
2015
- 2015-02-25 JP JP2015035440A patent/JP2016157311A/en active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6207784B1 (en) * | 2017-03-27 | 2017-10-04 | 株式会社ラック | Relay device, relay method, and program |
JP2018200668A (en) * | 2017-05-26 | 2018-12-20 | キヤノンマーケティングジャパン株式会社 | Information processing device, control method, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2016006520A1 (en) | Detection device, detection method and detection program | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
EP2950228A1 (en) | Authentication information theft detection method, authentication information theft detection device, and program for the same | |
JP2016046654A (en) | Security system, security method, security device, and program | |
JP2016152594A (en) | Network attack monitoring device, network attack monitoring method, and program | |
JP6524789B2 (en) | Network monitoring method, network monitoring program and network monitoring device | |
JP6717206B2 (en) | Anti-malware device, anti-malware system, anti-malware method, and anti-malware program | |
JP2014086822A (en) | Unauthorized access detection method, network monitoring device, and program | |
JP5739034B1 (en) | Attack detection system, attack detection device, attack detection method, and attack detection program | |
JP2016143320A (en) | Log monitoring method, log monitor, log monitoring system, and log monitoring program | |
JP5980968B2 (en) | Information processing apparatus, information processing method, and program | |
JP2017076185A (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
CN105959294B (en) | A kind of malice domain name discrimination method and device | |
TW201928750A (en) | Collation server, collation method, and computer program | |
CN112019516A (en) | Access control method, device, equipment and storage medium for shared file | |
KR20150026587A (en) | Apparatus, method and computer readable recording medium for providing notification of log-in from new equipments | |
JP2018073140A (en) | Network monitoring device, program and method | |
JP2016157311A (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
CN107911500B (en) | Method, equipment and device for positioning user based on situation awareness and storage medium | |
US9936008B2 (en) | Method and system for dynamically shifting a service | |
JP5743822B2 (en) | Information leakage prevention device and restriction information generation device | |
KR101273519B1 (en) | Service access control device and method | |
US20180351978A1 (en) | Correlating user information to a tracked event | |
KR101765200B1 (en) | Apparatus and method for system security management | |
JP2006330926A (en) | Virus infection detection device |