JP2016170651A - 不正アクセス検出方法、装置、及びプログラム - Google Patents
不正アクセス検出方法、装置、及びプログラム Download PDFInfo
- Publication number
- JP2016170651A JP2016170651A JP2015050343A JP2015050343A JP2016170651A JP 2016170651 A JP2016170651 A JP 2016170651A JP 2015050343 A JP2015050343 A JP 2015050343A JP 2015050343 A JP2015050343 A JP 2015050343A JP 2016170651 A JP2016170651 A JP 2016170651A
- Authority
- JP
- Japan
- Prior art keywords
- access
- processing system
- type
- packet
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
【課題】不正アクセスの検出精度を高める技術を提供する。
【解決手段】特定のアクセス元から情報処理システムに対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定する。特定されたアクセスの種別の組合せに基づいて、特定のアクセス元から情報処理システムに対するアクセスの危険度を判定する処理を含む。
【選択図】図8
【解決手段】特定のアクセス元から情報処理システムに対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定する。特定されたアクセスの種別の組合せに基づいて、特定のアクセス元から情報処理システムに対するアクセスの危険度を判定する処理を含む。
【選択図】図8
Description
本発明は、不正アクセスの検出技術に関する。
不正アクセスの検出に関して、或る文献は以下のような技術を開示する。具体的には、攻撃検出部が、ネットワークからのアクセス内容を調査し、不正アクセスであるか判断するとともに、そのアクセス内容から危険度を判定する。ブラックリスト管理部は、不正アクセスであると判断されたアクセスを発行してきた送信元を、その危険度とともに管理する。サービス管理部は、アクセス先のサービスを危険度とともに管理する。そして、ブラックリスト管理部は、不正アクセスの送信元がすでに要注意監視サービスリストに登録されている場合、不正アクセスの内容から求められる危険度よりも高い危険度を使用する。
上記の技術は、パケット中の送信元アドレスを偽装して不正アクセスを試みる攻撃に着目した技術である。しかし、不正アクセスの手口はますます巧妙化及び複雑化しているため、上記の技術を利用しても検出できない不正アクセスが存在する。また、本来は不正ではないアクセスを不正アクセスとして検出してしまうこともある。
従って、本発明の目的は、1つの側面では、不正アクセスの検出精度を高めるための技術を提供することである。
本発明の1つの態様は、特定のアクセス元から情報処理システムに対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定し、特定されたアクセスの種別の組合せに基づいて、特定のアクセス元から情報処理システムに対するアクセスの危険度を判定する処理を含む。
1つの側面では、不正アクセスの検出精度を高めることができるようになる。
[実施の形態1]
図1に、本実施の形態におけるシステムの概要を示す。データセンタ1に構築されたクラウドシステム11は、システムA乃至Cと、ファイアウォール装置A乃至Cとを有する。システムAはユーザA用のシステムであり、システムBはユーザB用のシステムであり、システムCはユーザC用のシステムである。システムA乃至Cは、物理サーバ(ウェブサーバ、アプリケーションサーバ、データベースサーバなど)、物理スイッチ、及び物理ルータ等を含む。
図1に、本実施の形態におけるシステムの概要を示す。データセンタ1に構築されたクラウドシステム11は、システムA乃至Cと、ファイアウォール装置A乃至Cとを有する。システムAはユーザA用のシステムであり、システムBはユーザB用のシステムであり、システムCはユーザC用のシステムである。システムA乃至Cは、物理サーバ(ウェブサーバ、アプリケーションサーバ、データベースサーバなど)、物理スイッチ、及び物理ルータ等を含む。
ファイアウォール装置A乃至Cは、システムA乃至Cを、インターネット3に接続された攻撃者端末5による不正アクセスから保護するための装置であり、パケットのフィルタリング等を実行する。ファイアウォール装置A乃至Cは、データセンタ1内のネットワークを介してパケット送信装置12に接続される。
パケット送信装置12は、クラウドシステム11に送信されるパケット及びクラウドシステム11から送信されるパケットのコピーを、ポートミラーリング等によって検出システム10に送信する。
検出システム10は、受信したパケットについて解析を実行し、不正アクセスを検出する。検出システム10は、検出した不正アクセスに関するデータを、管理者端末7に送信する。検出システム10は、不正アクセスから保護するための対策(例えば、ファイアウォール装置A乃至Cにおけるパケットの遮断)を実行する。なお、管理者端末7を操作する管理者が、不正アクセスに関するデータの内容を確認し、管理者端末7を操作することにより対策を行ってもよい。
図2に、検出システム10のシステム構成を示す。検出システム10は、管理サーバ101と、解析サーバ102と、検知サーバ103とを有する。
管理サーバ101は、管理部1011と、サーバデータ格納部1012とを有する。管理部1011は、クラウドシステム11内の物理サーバに関するデータ(以下、サーバデータと呼ぶ)をサーバデータ格納部1012において管理する。管理部1011は、サーバデータ格納部1012に格納されたサーバデータを更新した場合、更新後のサーバデータを解析サーバ102に送信する。
検知サーバ103は、選別部1031と、条件格納部1032とを有する。選別部1031は、パケット送信装置12から受信したパケットのうち、条件格納部1032に格納された条件を満たすパケットを特定する。選別部1031は、特定したパケットに関するデータを解析サーバ102に送信する。
解析サーバ102は、解析部1021と、フローデータ格納部1022と、サーバデータ格納部1023と、リスクテーブル格納部1024と、パケットデータ格納部1025と、アドレステーブル格納部1026とを有する。解析部1021は、管理サーバ101から受信したサーバデータをサーバデータ格納部1023に格納する。解析部1021は、検知サーバ103から受信した、パケットに関するデータをパケットデータ格納部1025に格納する。解析部1021は、パケットデータ格納部1025に格納されたデータ、サーバデータ格納部1023に格納されたデータ、アドレステーブル格納部1026に格納されたデータ、及びリスクテーブル格納部1024に格納されたデータに基づきアクセスのリスク値を決定し、フローデータ格納部1022に格納する。本実施の形態において、フローとは、送信元アドレスと宛先アドレスとの組合せから特定される通信フローのことである。解析部1021は、アクセス毎のリスク値からフローのリスク値を決定し、送信元から宛先への一連のアクセスが不正アクセスに該当するか否か判定する。
図3に、本実施の形態において取り扱う不正アクセスの一例を示す。攻撃者端末5は、情報収集のためのパケットをクラウドシステム11におけるサーバに対して送信する(図3における(1))。検知サーバ103は、情報収集のためのパケットを検知すると、解析サーバ102に通知する(図3における(2))。例えば、pingコマンドによるホストスキャン及びnmapコマンドによるポートスキャンが図3における(1)の情報収集に該当する。これにより、サーバのグローバルIP(Internet Protocol)アドレス(例えば、192.xxx.xxx.xxx)とTCP(Transmission Control Protocol)のポート番号(例えば80)とが収集される。但し、情報収集のためのパケットは日常的に送受信されるパケットであるため、情報収集のためのパケットを検出しただけでは不正アクセスに該当するとは判断されない。なお、攻撃者端末5は、C&C(Command and Control)サーバと呼ばれることが有る。
攻撃者端末5は、情報収集のためのパケットをクラウドシステム11における攻撃対象のサーバに対してさらに送信する(図3における(3))。検知サーバ103は、情報収集のためのパケットを検知すると、解析サーバ102に通知する(図3における(4))。例えば、図4に示すようなHTTP(HyperText Transfer Protocol)ヘッダに含まれるデータ(例えばバナー情報)から、攻撃対象のサーバにおいて動作するアプリケーションに関する情報を収集する処理が図3における(3)の情報収集に該当する。攻撃者端末5は、収集した情報から、アプリケーションの脆弱性を特定することができる。
攻撃者端末5は、攻撃のためのパケットをクラウドシステム11における攻撃対象のサーバに対してさらに送信する(図3における(5))。検知サーバ103は、攻撃のためのパケットを検知すると、解析サーバ102に通知する(図3における(6))。例えば、脆弱性を利用して情報を窃取するためのマルウエアを攻撃対象のサーバに送り込むことが図3における(5)の攻撃に該当する。
なお、図3における(1)、(3)及び(5)のパケットは、インバウンド通信のパケットである。
攻撃者端末5は、窃取された情報を含むパケットをクラウドシステム11における攻撃対象のサーバから受信する(図3における(7))。検知サーバ103は、窃取された情報を含むパケットを検知すると、解析サーバ102に通知する(図3における(8))。例えば、バックドア通信が図3における(7)の通信に該当する。なお、図3における(7)のパケットはアウトバウンド通信に該当する。
解析サーバ102は、攻撃者端末5と攻撃対象のサーバとの間で交換されるパケットを遮断することを指示する遮断指示を、該当するファイアウォール装置に送信する(図3における(9))。これにより、攻撃者端末5と攻撃対象のサーバとの間で交換されるパケットはファイアウォール装置を通過できなくなり(図3における(10))、情報窃取が停止する。
なお、ここでは情報収集、攻撃、及び情報窃取という一連のアクセスを検出した場合にファイアウォール装置においてパケットを遮断するが、管理者は、他の段階でパケットを遮断するように予め設定を行うこともできる。例えば、情報収集のためのアクセス及び攻撃のためのアクセスの両方を検出した場合にパケットを遮断してもよい。
次に、図5乃至図15を用いて、検出システム10において行われる処理について説明する。まず、図5及び図6を用いて、管理サーバ101が実行する処理について説明する。
まず、管理サーバ101における管理部1011は、サーバデータ格納部1012に格納されたサーバデータが更新されたか判断する(図5:ステップS1)。
図6に、サーバデータ格納部1012に格納されるサーバデータの一例を示す。図6の例では、サーバの識別子と、アプリケーションの識別子と、バージョンを表す情報と、脆弱性を表す情報とが格納される。サーバデータは、アプリケーションのバージョン変更が行われた場合等に管理者によって更新される。
サーバデータが更新されていない場合(ステップS1:Noルート)、ステップS5の処理に移行する。サーバデータが更新された場合(ステップS1:Yesルート)、管理部1011は、更新されたサーバデータをサーバデータ格納部1012から読み出し、解析サーバ102に送信する(ステップS3)。ステップS3においては、サーバデータ格納部1012に格納されたサーバデータをそのまま送信してもよいし、更新された部分だけ送信してもよい。
管理部1011は、例えば、管理者から処理の終了指示が入力された場合には処理を終了し(ステップS5:Yesルート)、管理者から処理の終了指示が入力されていない場合(ステップS5:Noルート)、ステップS1の処理に戻る。
以上のような処理を実行すれば、解析サーバ102が最新のサーバデータを利用できるようになる。
次に、図7を用いて、検知サーバ103が実行する処理について説明する。
まず、検知サーバ103における選別部1031は、パケット送信装置12からパケットを受信し(図7:ステップS11)、パケットに含まれるデータが、条件格納部1032に格納された検知条件を満たすか判断する(ステップS13)。パケットに含まれるデータとは、例えば、IPヘッダに含まれる送信元IPアドレス及び宛先IPアドレス、サーバからの応答パケットのTCPヘッダに含まれるポート番号、サーバからの応答パケットに含まれるバナー情報、HTTPヘッダに含まれる情報、及びロボット型検索エンジンに対する命令を記述するためのファイル(例えば、robots.txt)の情報などである。但し、ここで示したようなデータに限られるわけではない。
検知条件は、例えば、特定の国であることを表す送信元IPアドレスであるという条件、宛先が複数であるという条件、ポート番号が所定の番号(例えば80)であるという条件、HTTPヘッダに含まれる情報が攻撃を表しているという条件、アウトバウンドパケットの送信先IPアドレスが国外のIPアドレスであるという条件、又はポートスキャン或いはホストスキャンのコマンドに該当するという条件等である。但し、ここで示した条件に限られるわけではない。
パケットに含まれるデータが検出条件を満たさない場合(ステップS15:Noルート)、選別部1031は、ステップS11において受信したパケットを廃棄する(ステップS19)。パケットに含まれるデータが検出条件を満たす場合(ステップS15:Yesルート)、選別部1031は、ステップS11において受信したパケットに関するデータ(以下、パケットデータと呼ぶ)を、解析サーバ102に送信する(ステップS17)。パケットデータは、例えば、パケットの受信時刻、送信元アドレス、宛先アドレス、及びアクセス種別(例えば、ポートスキャン、ホストスキャンなど)を表すデータ等を含む。
選別部1031は、例えば、管理者から処理の終了指示が入力された場合には処理を終了し(ステップS21:Yesルート)、管理者から処理の終了指示が入力されていない場合(ステップS21:Noルート)、ステップS11の処理に戻る。
以上のような処理を実行すれば、解析サーバ102は、検知条件を満たすパケットだけを処理すればよいので、解析サーバ102の処理負荷を低減できるようになる。
次に、図8乃至図15を用いて、解析サーバ102が実行する処理について説明する。
まず、解析サーバ102における解析部1021は、登録処理を実行する(ステップS31)。登録処理については、図9乃至図13を用いて説明する。
解析部1021は、更新されたサーバデータを管理サーバ101から受信したか判断する(図9:ステップS51)。更新されたサーバデータを管理サーバ101から受信していない場合(ステップS51:Noルート)、ステップS55の処理に移行する。更新されたサーバデータを管理サーバ101から受信した場合(ステップS51:Yesルート)、解析部1021は、更新されたサーバデータをサーバデータ格納部1023に登録する(ステップS53)。なお、ステップS53においては、更新された部分のみ受信してもよいし、サーバデータ全体を受信してもよい。なお、解析サーバ102におけるサーバデータ格納部1023に格納されるサーバデータのフォーマットは、管理サーバ101におけるサーバデータ格納部1012に格納されるサーバデータのフォーマットと同じである。
解析部1021は、パケットデータを検知サーバ103から受信したか判断する(ステップS55)。パケットデータを検知サーバ103から受信していない場合(ステップS55:Noルート)、呼び出し元の処理に戻る。パケットデータを検知サーバ103から受信した場合(ステップS55:Yesルート)、解析部1021は、受信したパケットデータをパケットデータ格納部1025に登録する(ステップS57)。
図10に、パケットデータ格納部1025に格納されるデータの一例を示す。図10の例では、パケットの受信時刻と、送信元アドレスと、宛先アドレスと、アクセス種別を表すデータとが格納される。
解析部1021は、受信したパケットデータに含まれる、アクセス種別を表すデータに対応するリスク値を、リスクテーブル格納部1024から特定する(ステップS59)。
図11に、リスクテーブル格納部1024に格納されるリスクテーブルの一例を示す。図11の例では、番号と、通信の方向を表す情報と、アクセス種別を表す情報と、該当又は非該当のいずれであるかを表す情報と、リスク値とが格納される。例えば、「ポートスキャン」は情報収集に該当するので、アクセス種別が「ポートスキャン」であり且つインバウンドのパケットである場合、リスク値は「1」である。また、例えばインバウンドのパケットのアクセス種別が「攻撃」ではあるが、その攻撃に関係する脆弱性をサーバが有しているか不明である場合、リスク値は「1」である。
なお、ステップS59において「攻撃」についてのリスク値を特定する際には、サーバデータ格納部1023に格納された、脆弱性についてのデータが使用される。例えば、或るパケットが特定の脆弱性に関するものであっても、攻撃対象のサーバがその脆弱性を有していない場合には、リスク値は「1」である。
なお、説明を簡単にするため処理を単純化しているが、通常は、情報収集や攻撃、情報窃取等に関連するパケットの数は複数(例えば数百以上)である。従って、着目するフローについて、(直近の期間において該当するパケットの数)/(直近の期間におけるパケットの総数)が所定の閾値(例えば0.9)以上である場合に「該当」すると判定してもよい。実際に情報収集や攻撃、情報窃取等が行われている場合には上記の計算によって算出される値はほぼ1になることが確認されている。
解析部1021は、受信したパケットデータに含まれる送信元アドレスと宛先アドレスとの組合せに対応するフローを、アドレステーブル格納部1026から特定する(ステップS61)。
図12に、アドレステーブル格納部1026に格納されるデータの一例を示す。図12の例では、アドレスの組合せと、そのアドレスの組合せに対応するフローの識別子とが格納される。
解析部1021は、ステップS61において特定されたフローについて、パケットデータに含まれる、アクセス種別を表すデータと、ステップS59において特定されたリスク値とを、フローデータ格納部1022に格納する(ステップS63)。そして呼び出し元の処理に戻る。
図13に、フローデータ格納部1022に格納されるデータの一例を示す。図13の例では、フローの識別子と、情報収集に関連するアクセスの種別を表す情報と、そのアクセスの種別に対応するリスク値と、攻撃に関連するアクセスの種別を表す情報と、そのアクセスの種別に対応するリスク値と、情報窃取に関連するアクセスの種別を表す情報と、そのアクセスの種別に対応するリスク値とが格納される。
例えばフロー「F1」については、図13の状態においてはリスク値は1である。例えばフロー「F3」については、図13の状態においてはリスク値は6(=1+2+3)である。例えばフロー「F5」については、図13の状態においてはリスク値は2(=1+1)である。
以上のようにすれば、アクセス種別の組合せに基づきリスク値を決定できるようになる。
図8の説明に戻り、解析部1021は、リスク値についての条件を満たすフローを探索する(ステップS33)。リスク値についての条件とは、例えば、「リスク値が3以上である」というような条件である。
リスク値についての条件を満たすフローが無い場合(ステップS35:Noルート)、ステップS43の処理に移行する。リスク値についての条件を満たすフローが有る場合(ステップS35:Yesルート)、解析部1021は、リスク値についての条件を満たすフローにおけるアクセス種別の組合せが、予め定められた組合せに該当するか判定する(ステップS37)。
予め定められた組合せとは、例えば「情報収集+攻撃」という組合せ及び「情報収集+攻撃+情報窃取」という組合せである。ステップS37の処理を実行することで、リスク値が予め定められた値以上であっても不正アクセスに該当する可能性が低いケース(例えば、情報窃取に該当するパケットだけが検出されたケース)を排除できるようになる。
アクセス種別の組合せが予め定められた組合せに該当しない場合(ステップS39:Noルート)、ステップS43の処理に移行する。アクセス種別の組合せが予め定められた組合せに該当する場合(ステップS39:Yesルート)、不正アクセスのフローであると判断できる。従って、解析部1021は、不正アクセスに関するデータ(すなわち、リスク値についての条件を満たすフローについてのデータ)を管理者端末7に送信する(ステップS41)。
ステップS41においては、例えばメールによって、不正アクセスに関するデータを管理者端末7に送信する。送信されるデータは、例えば、フローデータ格納部1022に格納されているデータである。
図14を用いて、不正アクセスの検出について説明する。なお、この例では、リスク値についての条件は「リスク値が3以上である」という条件であるとし、予め定められた組合せを「情報収集+攻撃」という組合せ及び「情報収集+攻撃+情報窃取」という組合せとする。
フロー「F1」は、情報収集にのみ該当し、攻撃及び情報窃取には該当しない。この場合、リスク値は「1」である。情報収集のためのパケットは比較的頻繁に送受信され、これだけでは不正アクセスに該当すると判断することはできないので、パケットの遮断を行わず、経過観察が行われることになる。
フロー「F2」は、情報収集及び攻撃に該当するが、情報窃取には該当しない。この場合、リスク値は「3」である。フロー「F2」については、サーバの脆弱性を狙った攻撃が行われており危険度が高いので、情報窃取が行われていなくても対策を実行する。これにより、情報窃取が行われることを未然に防ぐことができる。
フロー「F3」は、情報収集、攻撃、及び情報窃取に該当する。この場合、リスク値は「6」である。フロー「F3」については、既に情報窃取が行われているので、被害の拡大を防ぐため、対策を迅速に実行する。
フロー「F4」は、情報収集に該当するが、攻撃に該当するかが不明であり、情報窃取には該当しない。この場合、リスク値は「2」である。この場合は、パケットの遮断を行わず、攻撃対象のサーバが脆弱性を有するか否かを管理者が確認することになる。
フロー「F5」は、情報収集及び攻撃には該当しないが、情報窃取には該当する。この場合、リスク値は「3」である。この場合、リスク値についての条件を満たすことになるが、誤検知の可能性があるので、パケットの遮断が行われない。まずは、フローにおけるアクセスの内容を管理者が確認することになる。
解析部1021は、不正アクセスに対する対策を実行する(ステップS42)。本実施の形態においては、攻撃者端末5と攻撃対象のサーバとの間で交換されるパケットを遮断することを指示する遮断指示を、該当するファイアウォール装置に送信する。
解析部1021は、例えば、管理者から処理の終了指示が入力された場合には処理を終了し(ステップS43:Yesルート)、管理者から処理の終了指示が入力されていない場合(ステップS43:Noルート)、ステップS31の処理に戻る。
以上のような処理を実行すれば、不正アクセスの検出精度を高めることができるようになる。例えば、単に情報収集だけが行われるようなアクセスは危険性が低いので、そのようなアクセスの危険度を下げるようにリスクテーブルを設定することで、不正アクセスとして検出されることを防げるようになる。また、情報窃取に該当するアクセスが行われた場合であっても、情報収集に該当するアクセス及び攻撃に該当するアクセスが行われていなければ、不正アクセスとして検出しなくてよいことがある。このような場合も、ステップS37の処理に使用する組合せの情報を予め定義しておくことで、不正アクセスとして検出されることを防げるようになる。よって、本実施の形態によれば、複数種類のアクセスが行われるような不正アクセス(例えば、標的型攻撃)にも適切に対処できるようになる。
次に、図15を用いて、管理者端末7が実行する処理について説明する。
まず、管理者端末7は、不正アクセスに関するデータを解析サーバ102から受信する(図15:ステップS71)。ステップS71において受信するデータは、解析サーバ102がステップS41において送信したデータである。
管理者端末7は、不正アクセスに関するデータを含む表示データを、表示装置(例えばモニタ)に表示する(ステップS73)。そして処理を終了する。
以上のような処理を実行すれば、管理者端末7を操作する管理者は、不正アクセスに関するデータを確認し、ファイアウォール装置A乃至Cによるパケットの遮断以外の対策を検討することができるようになる。また、検出精度が高くなるので、管理者が無駄な対策をせずに済むようになる。
[実施の形態2]
第1の実施の形態においては、不正アクセスの検出を検出システム10が実行したが、1台の物理サーバである検出装置15が不正アクセスの検出を実行してもよい。
第1の実施の形態においては、不正アクセスの検出を検出システム10が実行したが、1台の物理サーバである検出装置15が不正アクセスの検出を実行してもよい。
図16に、検出装置15の機能ブロック図を示す。検出装置15は、管理部150と、解析部151と、選別部152と、サーバデータ格納部153と、フローデータ格納部154と、パケットデータ格納部155と、リスクテーブル格納部156と、アドレステーブル格納部157と、条件格納部158とを有する。
管理部150は、サーバデータをサーバデータ格納部153において管理する。選別部152は、パケット送信装置12から受信したパケットのうち、条件格納部158に格納された条件を満たすパケットを特定する。選別部152は、特定したパケットに関するデータを解析部151に出力する。解析部151は、選別部152から受け取った、パケットに関するデータをパケットデータ格納部155に格納する。解析部151は、パケットデータ格納部155に格納されたデータ、サーバデータ格納部153に格納されたデータ、アドレステーブル格納部157に格納されたデータ、及びリスクテーブル格納部156に格納されたデータに基づきアクセスのリスク値を決定し、フローデータ格納部154に格納する。解析部151は、アクセス毎のリスク値からフローのリスク値を決定し、送信元から宛先への一連のアクセスが不正アクセスに該当するか否か判定を行う。
以上のような検出装置15を使用すれば、第1の実施の形態における検出システム10と同様の検出を実行できるようになる。
以上本発明の一実施の形態を説明したが、本発明はこれに限定されるものではない。例えば、上で説明した管理サーバ101、解析サーバ102、検知サーバ103、及び検出装置15の機能ブロック構成は実際のプログラムモジュール構成に一致しない場合もある。
また、上で説明した各テーブルの構成は一例であって、上記のような構成でなければならないわけではない。さらに、処理フローにおいても、処理結果が変わらなければ処理の順番を入れ替えることも可能である。さらに、並列に実行させるようにしても良い。
なお、上で述べた例では、不正アクセスに関するデータを管理者端末7にメールによって送信する例を示したが、管理者が管理者端末7のブラウザを使用して、不正アクセスに関するデータを管理者端末7の表示装置に表示させるようにしてもよい。この場合、表示装置には、例えば図17に示すようなウィンドウ1701が表示される。図17の例では、管理者端末7を操作する管理者に関係するサーバ2台が表示されており、各サーバは危険度によって色付けされている。ここでは、Web/AP(Application)サーバ(ここでは、ウェブサーバの機能及びアプリケーションサーバの機能を有するサーバ)1702の危険度が、6段階の危険度のうち最も高い危険度であり、DB(DataBase)サーバの危険度が、6段階の危険度のうち4番目に高い危険度である。管理者が管理者端末7のマウスをクリックすることにより、画面上のWeb/APサーバ1702が選択されると、不正アクセスに関するデータを表示するため画面に遷移する。
なお、上で述べた例では、ステップS35における判定とステップS39における判定とを両方行っているが、リスクテーブルの設定をより詳細に行ったうえで、ステップS35における判定のみを行うようにしてもよい。
なお、上で述べた管理サーバ101、検知サーバ103、解析サーバ102、管理者端末7、攻撃者端末5、及び検出装置15は、コンピュータ装置であって、図18に示すように、メモリ2501とCPU(Central Processing Unit)2503とハードディスク・ドライブ(HDD:Hard Disk Drive)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。CPU2503は、アプリケーション・プログラムの処理内容に応じて表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、所定の動作を行わせる。また、処理途中のデータについては、主としてメモリ2501に格納されるが、HDD2505に格納されるようにしてもよい。本発明の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及びアプリケーション・プログラムなどのプログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
以上述べた本発明の実施の形態をまとめると、以下のようになる。
本実施の形態に係る不正アクセス検出方法は、(A)特定のアクセス元から情報処理システムに対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定し、(B)特定されたアクセスの種別の組合せに基づいて、特定のアクセス元から情報処理システムに対するアクセスの危険度を判定する処理を含む。
このようにすれば、特定のアクセス元から情報処理システムに対するアクセスの危険度がより適切な値になるので、不正アクセスの検出精度を高めることができるようになる。
また、本不正アクセス検出方法は、(C)情報処理システムから特定のアクセス元に対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定する処理を含んでもよい。そして、危険度を判定する処理において、(b1)特定のアクセス元から情報処理システムに対して送信される複数のパケットの各々について特定されたアクセスの種別と、情報処理システムから特定のアクセス元に対して送信される複数のパケットの各々について特定されたアクセスの種別との組合せに基づいて、特定のアクセス元から情報処理システムに対するアクセスの危険度を判定してもよい。このようにすれば、検出可能な不正アクセスの種類を増やすことができるようになり、また、不正アクセスの検出精度をより高めることができるようになる。
また、本不正アクセス検出方法は、(D)判定された危険度が所定の閾値以上である場合、特定のアクセス元から情報処理システムに対するアクセスが不正であることを表すデータを出力してもよい。このようにすれば、出力されたデータを確認した管理者等が、不正なアクセスに対する対策を実施できるようになる。
また、本不正アクセス検出方法は、(E)判定された危険度が所定の閾値以上である場合に、アクセスの種別の組合せが、所定の組合せであるか判断し、(F)アクセスの種別の組合せが所定の組合せである場合、特定のアクセス元から情報処理システムに対するアクセスが不正であることを表すデータを出力してもよい。たとえ危険度が所定の閾値以上であったとしても、不正なアクセスには該当しないケースも存在すると考えられる。従って、上で述べたようにすれば、誤検出の発生を抑制できるようになる。
また、特定のアクセス元から情報処理システムに対して送信されるパケットによるアクセスの種別は、情報処理システムにおける脆弱性の発見に関係するアクセスの種別である第1の種別と、情報処理システム内の情報を取得するためのプログラムの送信に関係するアクセスの種別である第2の種別とを含み、情報処理システムから特定のアクセス元に対して送信されるパケットによるアクセスの種別は、情報処理システム内の情報の送信に関係するアクセスの種別である第3の種別を含んでもよい。これにより、標的型攻撃などの不正アクセスを検出できるようになる。
なお、上記方法による処理をコンピュータに行わせるためのプログラムを作成することができ、当該プログラムは、例えばフレキシブルディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納される。尚、中間的な処理結果はメインメモリ等の記憶装置に一時保管される。
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
コンピュータに、
特定のアクセス元から情報処理システムに対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定し、
特定された前記アクセスの種別の組合せに基づいて、前記特定のアクセス元から前記情報処理システムに対するアクセスの危険度を判定する、
処理を実行させるプログラム。
コンピュータに、
特定のアクセス元から情報処理システムに対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定し、
特定された前記アクセスの種別の組合せに基づいて、前記特定のアクセス元から前記情報処理システムに対するアクセスの危険度を判定する、
処理を実行させるプログラム。
(付記2)
前記情報処理システムから前記特定のアクセス元に対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定する
処理をさらに実行させ、
前記危険度を判定する処理において、
前記特定のアクセス元から前記情報処理システムに対して送信される前記複数のパケットの各々について特定された前記アクセスの種別と、前記情報処理システムから前記特定のアクセス元に対して送信される前記複数のパケットの各々について特定された前記アクセスの種別との組合せに基づいて、前記特定のアクセス元から前記情報処理システムに対するアクセスの危険度を判定する、
付記1記載のプログラム。
前記情報処理システムから前記特定のアクセス元に対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定する
処理をさらに実行させ、
前記危険度を判定する処理において、
前記特定のアクセス元から前記情報処理システムに対して送信される前記複数のパケットの各々について特定された前記アクセスの種別と、前記情報処理システムから前記特定のアクセス元に対して送信される前記複数のパケットの各々について特定された前記アクセスの種別との組合せに基づいて、前記特定のアクセス元から前記情報処理システムに対するアクセスの危険度を判定する、
付記1記載のプログラム。
(付記3)
判定された前記危険度が所定の閾値以上である場合、前記特定のアクセス元から前記情報処理システムに対するアクセスが不正であることを表すデータを出力する、
処理をさらに実行させる付記1又は2記載のプログラム。
判定された前記危険度が所定の閾値以上である場合、前記特定のアクセス元から前記情報処理システムに対するアクセスが不正であることを表すデータを出力する、
処理をさらに実行させる付記1又は2記載のプログラム。
(付記4)
判定された前記危険度が所定の閾値以上である場合に、前記アクセスの種別の組合せが、所定の組合せであるか判断し、
前記アクセスの種別の組合せが前記所定の組合せである場合、前記特定のアクセス元から前記情報処理システムに対するアクセスが不正であることを表すデータを出力する、
処理をさらに実行させる付記1又は2記載のプログラム。
判定された前記危険度が所定の閾値以上である場合に、前記アクセスの種別の組合せが、所定の組合せであるか判断し、
前記アクセスの種別の組合せが前記所定の組合せである場合、前記特定のアクセス元から前記情報処理システムに対するアクセスが不正であることを表すデータを出力する、
処理をさらに実行させる付記1又は2記載のプログラム。
(付記5)
前記特定のアクセス元から前記情報処理システムに対して送信されるパケットによるアクセスの種別は、前記情報処理システムにおける脆弱性の発見に関係するアクセスの種別である第1の種別と、前記情報処理システム内の情報を取得するためのプログラムの送信に関係するアクセスの種別である第2の種別とを含み、前記情報処理システムから前記特定のアクセス元に対して送信されるパケットによるアクセスの種別は、前記情報処理システム内の情報の送信に関係するアクセスの種別である第3の種別を含む
付記2記載のプログラム。
前記特定のアクセス元から前記情報処理システムに対して送信されるパケットによるアクセスの種別は、前記情報処理システムにおける脆弱性の発見に関係するアクセスの種別である第1の種別と、前記情報処理システム内の情報を取得するためのプログラムの送信に関係するアクセスの種別である第2の種別とを含み、前記情報処理システムから前記特定のアクセス元に対して送信されるパケットによるアクセスの種別は、前記情報処理システム内の情報の送信に関係するアクセスの種別である第3の種別を含む
付記2記載のプログラム。
(付記6)
コンピュータが、
特定のアクセス元から情報処理システムに対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定し、
特定された前記アクセスの種別の組合せに基づいて、前記特定のアクセス元から前記情報処理システムに対するアクセスの危険度を判定する、
処理を実行する不正アクセス検出方法。
コンピュータが、
特定のアクセス元から情報処理システムに対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定し、
特定された前記アクセスの種別の組合せに基づいて、前記特定のアクセス元から前記情報処理システムに対するアクセスの危険度を判定する、
処理を実行する不正アクセス検出方法。
(付記7)
特定のアクセス元から情報処理システムに対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定する特定部と、
特定された前記アクセスの種別の組合せに基づいて、前記特定のアクセス元から前記情報処理システムに対するアクセスの危険度を判定する判定部と、
を有する不正アクセス検出装置。
特定のアクセス元から情報処理システムに対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定する特定部と、
特定された前記アクセスの種別の組合せに基づいて、前記特定のアクセス元から前記情報処理システムに対するアクセスの危険度を判定する判定部と、
を有する不正アクセス検出装置。
1 データセンタ 10 検出システム
11 クラウドシステム 12 パケット送信装置
3 インターネット 5 攻撃者端末
7 管理者端末 101 管理サーバ
1011 管理部 1012 サーバデータ格納部
102 解析サーバ 1021 解析部
1022 フローデータ格納部 1023 サーバデータ格納部
1024 リスクテーブル格納部 1025 パケットデータ格納部
1026 アドレステーブル格納部 103 検知サーバ
1031 選別部 1032 条件格納部
15 検出装置 150 管理部
151 解析部 152 選別部
153 サーバデータ格納部 154 フローデータ格納部
155 パケットデータ格納部 156 リスクテーブル格納部
157 アドレステーブル格納部 158 条件格納部
11 クラウドシステム 12 パケット送信装置
3 インターネット 5 攻撃者端末
7 管理者端末 101 管理サーバ
1011 管理部 1012 サーバデータ格納部
102 解析サーバ 1021 解析部
1022 フローデータ格納部 1023 サーバデータ格納部
1024 リスクテーブル格納部 1025 パケットデータ格納部
1026 アドレステーブル格納部 103 検知サーバ
1031 選別部 1032 条件格納部
15 検出装置 150 管理部
151 解析部 152 選別部
153 サーバデータ格納部 154 フローデータ格納部
155 パケットデータ格納部 156 リスクテーブル格納部
157 アドレステーブル格納部 158 条件格納部
Claims (7)
- コンピュータに、
特定のアクセス元から情報処理システムに対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定し、
特定された前記アクセスの種別の組合せに基づいて、前記特定のアクセス元から前記情報処理システムに対するアクセスの危険度を判定する、
処理を実行させるプログラム。 - 前記情報処理システムから前記特定のアクセス元に対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定する
処理をさらに実行させ、
前記危険度を判定する処理において、
前記特定のアクセス元から前記情報処理システムに対して送信される前記複数のパケットの各々について特定された前記アクセスの種別と、前記情報処理システムから前記特定のアクセス元に対して送信される前記複数のパケットの各々について特定された前記アクセスの種別との組合せに基づいて、前記特定のアクセス元から前記情報処理システムに対するアクセスの危険度を判定する、
請求項1記載のプログラム。 - 判定された前記危険度が所定の閾値以上である場合、前記特定のアクセス元から前記情報処理システムに対するアクセスが不正であることを表すデータを出力する、
処理をさらに実行させる請求項1又は2記載のプログラム。 - 判定された前記危険度が所定の閾値以上である場合に、前記アクセスの種別の組合せが、所定の組合せであるか判断し、
前記アクセスの種別の組合せが前記所定の組合せである場合、前記特定のアクセス元から前記情報処理システムに対するアクセスが不正であることを表すデータを出力する、
処理をさらに実行させる請求項1又は2記載のプログラム。 - 前記特定のアクセス元から前記情報処理システムに対して送信されるパケットによるアクセスの種別は、前記情報処理システムにおける脆弱性の発見に関係するアクセスの種別である第1の種別と、前記情報処理システム内の情報を取得するためのプログラムの送信に関係するアクセスの種別である第2の種別とを含み、前記情報処理システムから前記特定のアクセス元に対して送信されるパケットによるアクセスの種別は、前記情報処理システム内の情報の送信に関係するアクセスの種別である第3の種別を含む
請求項2記載のプログラム。 - コンピュータが、
特定のアクセス元から情報処理システムに対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定し、
特定された前記アクセスの種別の組合せに基づいて、前記特定のアクセス元から前記情報処理システムに対するアクセスの危険度を判定する、
処理を実行する不正アクセス検出方法。 - 特定のアクセス元から情報処理システムに対して送信される複数のパケットの各々について、当該パケットに含まれる、アクセスの種別を示す情報に基づいてアクセスの種別を特定し、
特定された前記アクセスの種別の組合せに基づいて、前記特定のアクセス元から前記情報処理システムに対するアクセスの危険度を判定する、
処理を実行する不正アクセス検出装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015050343A JP2016170651A (ja) | 2015-03-13 | 2015-03-13 | 不正アクセス検出方法、装置、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015050343A JP2016170651A (ja) | 2015-03-13 | 2015-03-13 | 不正アクセス検出方法、装置、及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016170651A true JP2016170651A (ja) | 2016-09-23 |
Family
ID=56983822
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015050343A Pending JP2016170651A (ja) | 2015-03-13 | 2015-03-13 | 不正アクセス検出方法、装置、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016170651A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7258257B1 (ja) * | 2022-08-08 | 2023-04-14 | 三菱電機株式会社 | プログラマブルコントローラ、例外アクセス学習方法及びプログラム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005134972A (ja) * | 2003-10-28 | 2005-05-26 | Pfu Ltd | ファイアウォール装置 |
| JP2006148778A (ja) * | 2004-11-24 | 2006-06-08 | Nippon Telegr & Teleph Corp <Ntt> | パケット転送制御装置 |
| JP2006178855A (ja) * | 2004-12-24 | 2006-07-06 | Ntt Communications Kk | 利用者権限制御装置、利用者権限制御方法、及び利用者権限制御プログラム |
| JP2007074096A (ja) * | 2005-09-05 | 2007-03-22 | Hiroai Systems:Kk | 不正アクセス防止手段 |
| JP2014086822A (ja) * | 2012-10-22 | 2014-05-12 | Fujitsu Ltd | 不正アクセス検出方法、ネットワーク監視装置及びプログラム |
-
2015
- 2015-03-13 JP JP2015050343A patent/JP2016170651A/ja active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005134972A (ja) * | 2003-10-28 | 2005-05-26 | Pfu Ltd | ファイアウォール装置 |
| JP2006148778A (ja) * | 2004-11-24 | 2006-06-08 | Nippon Telegr & Teleph Corp <Ntt> | パケット転送制御装置 |
| JP2006178855A (ja) * | 2004-12-24 | 2006-07-06 | Ntt Communications Kk | 利用者権限制御装置、利用者権限制御方法、及び利用者権限制御プログラム |
| JP2007074096A (ja) * | 2005-09-05 | 2007-03-22 | Hiroai Systems:Kk | 不正アクセス防止手段 |
| JP2014086822A (ja) * | 2012-10-22 | 2014-05-12 | Fujitsu Ltd | 不正アクセス検出方法、ネットワーク監視装置及びプログラム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7258257B1 (ja) * | 2022-08-08 | 2023-04-14 | 三菱電機株式会社 | プログラマブルコントローラ、例外アクセス学習方法及びプログラム |
| WO2024033972A1 (ja) * | 2022-08-08 | 2024-02-15 | 三菱電機株式会社 | プログラマブルコントローラ、例外アクセス学習方法及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9306964B2 (en) | Using trust profiles for network breach detection | |
| CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
| KR102580898B1 (ko) | Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법 | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| US9450974B2 (en) | Intrusion management | |
| US10333898B1 (en) | Methods and systems for efficient network protection | |
| US10972490B2 (en) | Specifying system, specifying device, and specifying method | |
| WO2016191232A1 (en) | Mitigation of computer network attacks | |
| JP2006512856A (ja) | DoS攻撃の検出及び追跡を行うシステム及び方法 | |
| US20170250998A1 (en) | Systems and methods of preventing infection or data leakage from contact with a malicious host system | |
| WO2018057609A1 (en) | Systems and methods for network security event filtering and translation | |
| US10686832B2 (en) | Dynamic allocation of a signal receiver for dissemination of threat information | |
| US20150058985A1 (en) | Network Access Apparatus Having a Control Module and a Network Access Module | |
| US11895148B2 (en) | Detection and mitigation of denial of service attacks in distributed networking environments | |
| JP6106861B1 (ja) | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム | |
| JP6649296B2 (ja) | セキュリティ対処案設計装置及びセキュリティ対処案設計方法 | |
| JP2019152912A (ja) | 不正通信対処システム及び方法 | |
| CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
| US20040093514A1 (en) | Method for automatically isolating worm and hacker attacks within a local area network | |
| JP2016170651A (ja) | 不正アクセス検出方法、装置、及びプログラム | |
| JP4753264B2 (ja) | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) | |
| JP2009005122A (ja) | 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム | |
| JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
| JP2009081736A (ja) | パケット転送装置及びパケット転送プログラム | |
| KR20110027907A (ko) | 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180115 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181009 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181016 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20190409 |