JP2017059964A - ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム - Google Patents

ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム Download PDF

Info

Publication number
JP2017059964A
JP2017059964A JP2015182298A JP2015182298A JP2017059964A JP 2017059964 A JP2017059964 A JP 2017059964A JP 2015182298 A JP2015182298 A JP 2015182298A JP 2015182298 A JP2015182298 A JP 2015182298A JP 2017059964 A JP2017059964 A JP 2017059964A
Authority
JP
Japan
Prior art keywords
packet
connection
value
terminal
network monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015182298A
Other languages
English (en)
Other versions
JP6641819B2 (ja
Inventor
山田 正弘
Masahiro Yamada
正弘 山田
正信 森永
Masanobu Morinaga
正信 森永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2015182298A priority Critical patent/JP6641819B2/ja
Priority to US15/262,803 priority patent/US10397248B2/en
Publication of JP2017059964A publication Critical patent/JP2017059964A/ja
Application granted granted Critical
Publication of JP6641819B2 publication Critical patent/JP6641819B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】標的型攻撃に関わる通信を高精度で検知するネットワーク監視装置を提供する。【解決手段】ネットワーク監視装置は、第1の端末と第2の端末のコネクションにおいて、第1及び第2の端末間で転送された複数のパケット群の各々について、当該パケット群の特徴を表す特徴値を特定し、特定された複数の特徴値のばらつきを表す値を算出する算出部と、算出部が算出した値が所定の閾値以上であるか判定する第1判定部と、値が閾値以上で有る場合、コネクションの最初と最後のパケット取得時刻差が所定時間以上であるかを判定する第2の判定部とを有し、標的型攻撃に関わる通信を高精度で検知する。【選択図】図12

Description

本発明は、ネットワークの監視技術に関する。
独自に開発又はカスタマイズされたマルウエアを利用した攻撃が頻繁に行われるようになっており、特に遠隔操作型のマルウエアであるRAT(Remote Administration Tool)を利用して特定の組織或いは個人から情報を窃取する標的型攻撃が増加している。
図1に、RATを利用した標的型攻撃の一例を示す。図1の例では、インターネット等の外部ネットワークに接続された攻撃者が、指令となるパケットAを、組織のネットワークである内部ネットワークに接続された端末(この端末が踏み台である)に送信する。踏み台は、内部ネットワークに接続された他の端末(この端末が標的である)に、RATのプログラム等を含むパケットBを送信し、標的に実行させる。標的は、攻撃者との間で新たなコネクションを確立し、標的内の情報等を含むパケットCを攻撃者に送信する。或いは、標的が新たな踏み台として利用され、RATへの感染が広がる。
マルウエアを検知する技術として、シグネチャ方式が知られている。シグネチャ方式とは、マルウエア毎に通信データのパターンを定義し、ネットワークを流れる通信データとパターンとの比較によりマルウエアを検知する技術である。
しかし、シグネチャ方式では、既にパターンが作成されているマルウエアしか検知することができず、独自に開発され又はカスタマイズされたマルウエアを検知できない。
また、標的型攻撃に関わる通信を検知する従来技術が存在する。この従来技術においては、内部ネットワークに接続された端末間で転送されるパケットと、内部ネットワークに接続された端末と外部ネットワークに接続された端末との間で転送されるパケットとを解析することで、標的型攻撃が検知される。
但し、上記従来技術は、内部ネットワークに接続された端末間で転送されるパケットを捕捉可能な位置に、捕捉用の装置を設置することを前提とした技術である。必要とされる捕捉用の装置の数は、内部ネットワークの規模に応じて増加する。また、内部ネットワークの規模に対する、捕捉用の装置の導入コストについては十分に検討がなされていない。
特開2015−15581号公報 特開2015−133547号公報
従って、本発明の目的は、1つの側面では、外部端末と内部端末の間で転送されるパケットを用いて、標的型攻撃に関わる通信を高精度で検知するための技術を提供することである。
本発明に係るネットワーク監視装置は、第1の端末と第2の端末のコネクションにて、第1及び第2の端末間で転送された複数のパケット群の各々について、当該パケット群の特徴を表す特徴値を特定し、特定された複数の特徴値のばらつきを表す値を算出する算出部と、算出部が算出した値が所定の閾値以上であるか判定する第1判定部とを有する。
1つの側面では、外部端末と内部端末の間で転送されるパケットを用いて、標的型攻撃に関わる通信を高精度で検知できるようになる。
図1は、RATを利用した標的型攻撃の一例を示す図である。 図2は、RAT通信のコネクションを示す図である。 図3は、プッシュ通知のコネクションを示す図である。 図4は、本実施の形態のシステム概要を示す図である。 図5は、監視装置、スイッチ、攻撃者端末及びユーザ端末の位置関係を説明するための図である。 図6は、第1の実施の形態における監視装置の機能ブロック図である。 図7は、第1の実施の形態における監視装置が実行する処理の処理フローを示す図である。 図8は、コネクションデータ格納部に格納されるデータの一例を示す図である。 図9は、パケット群の情報の一例を示す図である。 図10は、第1の実施の形態における監視装置が実行する処理の処理フローを示す図である。 図11は、トリガパケット及びトリガ関連パケットについて説明するための図である。 図12は、分析処理の処理フローを示す図である。 図13は、第2の実施の形態における監視装置の機能ブロック図である。 図14は、第2の実施の形態における監視装置が実行する処理の処理フローを示す図である。 図15は、アドレスリスト格納部に格納される組織内IPアドレスリストの一例を示す図である。 図16は、アドレスリスト格納部に格納される組織外IPアドレスリストの一例を示す図である。 図17は、第3の実施の形態における検知処理の処理フローを示す図である。 図18は、第4の実施の形態における検知処理の処理フローを示す図である。 図19は、コンピュータの機能ブロック図である。
[本実施の形態の概要]
RAT通信のコネクションは以下のような特徴を有している。従って、コネクションが以下のような特徴を有するか判定することで、RAT通信のコネクションの候補を絞り込むことが可能である。
(1)内部ネットワークに接続された端末(ここでは内部端末と呼ぶ)から外部ネットワークに接続された端末(ここでは外部端末と呼ぶ)へのパケットによってコネクションの確立が開始される。つまり、接続元が内部端末であり、接続先が外部端末である。
(2)接続先のポート番号が、HTTP(Hypertext Transfer Protocol)のポート番号又はHTTPS(Hypertext Transfer Protocol Secure)のポート番号と一致する。
(3)コネクションの継続時間が一定時間以上である。
(4)内部端末に指令パケットが転送されてから外部端末に応答パケットが転送されるまでの1群のパケット(以下、パケット群と呼ぶ)の最後のパケットが転送されてから一定時間以上経過した後、外部端末から内部端末へ新たに指令パケットが転送される。
しかし、RAT通信のコネクションだけではなく、プッシュ通知のコネクションも上記のような特徴を有している。そのため、このような特徴のみに基づきコネクションの候補を絞り込んだとしても、RAT通信のコネクションとプッシュ通知のコネクションとを判別することができない。
図2及び図3を用いて、RAT通信のコネクション及びプッシュ通知のコネクションについて説明する。図2はRAT通信のコネクションを示す図であり、図3はプッシュ通知のコネクションを示す図である。図2及び図3においては、細い実線の矢印はパケットの転送を示している。縦方向の位置の違いは転送時刻の違いを表しており、転送時刻が早いパケットほど上の位置に示されている。
図3に示すように、プッシュ通知は、内部端末から外部端末への要求に応じてサービスが開始されるため、内部端末から外部端末へのパケットによってコネクションの確立が開始されるという特徴を有する。また、プッシュ通知においても、通常は接続先のポート番号がHTTPのポート番号又はHTTPSのポート番号と同じであり、配信が繰り返されるためコネクションの継続時間が長い。さらに、プッシュ通知は、或る時刻における配信が終了した後一定時間が経過すると外部端末から内部端末へパケットが転送されるという特徴を有しており、この点においてもRAT通信と同じである。
しかし、図2及び図3からわかるように、以下のような点においてRAT通信とプッシュ通知とは異なる。
(5)RAT通信においては、攻撃者が指令の内容を考え手作業で指令を入力するため、パケット群間の時間間隔にばらつきがある。一方、プッシュ通知は定期的に行われるものが多く、パケット群間の時間間隔が一定である。
(6)RAT通信においては、指令の内容が毎回異なるため、パケットの数がパケット群間で大きく異なる。一方、プッシュ通知においては、例えば株価情報の配信などのように配信形式が常に同じである場合が多いため、パケットの数が一定である。
また、以下のような点においてもRAT通信とプッシュ通知とは異なる。
(7)RAT通信においては、攻撃者が毎回異なる指令を入力するため、パケットのデータ部分の内容がパケット群間で大きく異なる。一方、プッシュ通知においては、例えば株価情報の配信などのように配信形式が常に同じであり内容が少しだけ異なるというような場合が多いため、パケット群間でのデータ部分の内容の相違がRAT通信と比較して小さい。
(8)同様の理由から、RAT通信においてはパケットサイズがパケット群間で大きく異なるのに対し、プッシュ通知においてはパケット群間でのパケットサイズの相違がRAT通信と比較して小さい。
従って、上記(5)乃至(8)の特徴をさらに利用すれば、RAT通信のコネクションとプッシュ通知のコネクションとを判別できるようになる。以下では、上記(1)乃至(8)の特徴を利用してRAT通信を検知する方法について説明する。
[実施の形態1]
図4に、本実施の形態のシステム概要を示す。スイッチ30はネットワークスイッチであり、RATを内部ネットワークに送り込む攻撃者端末50と、内部ネットワークに接続され且つRAT攻撃の対象となるユーザ端末70との間で転送されるパケットを中継する。本実施の形態の主要な処理を実行する監視装置1はスイッチ30に接続される。監視装置1は、スイッチ30が中継するパケットの複製をスイッチ30から取得し、取得したパケットに基づきRAT攻撃に関わる通信(以下、RAT通信と呼ぶ)のコネクションを検知する。
図5を用いて、監視装置1、スイッチ30、攻撃者端末50、及びユーザ端末70の位置関係をより具体的に説明する。図5においては、スイッチやルータ等の中継装置31乃至38が配置された内部ネットワークに、ユーザ端末70乃至73及びサーバ90乃至93が接続されている。ここでは、ユーザ端末70が踏み台であり、サーバ92が標的である。攻撃者端末50とユーザ端末70との間及びユーザ端末70とサーバ92との間ではRAT通信が発生する。スイッチ30は、中継装置34と中継装置38との間に配置されており、攻撃者端末50とユーザ端末70との間のパケットを捕捉可能である。このように、スイッチ30は、内部ネットワークに接続された装置間を転送されるパケットを捕捉可能な位置(例えば、ユーザ端末70とサーバ92との間)に配置されなくてもよい。
なお、本実施の形態のシステムの具体的な態様は、図5に示したような態様には限られない。また、ユーザ端末、サーバ、及び中継装置の数に限定は無い。
図6に、第1の実施の形態における監視装置1の機能ブロック図を示す。監視装置1は、取得部101と、抽出部102と、コネクションデータ格納部106と、分析部107と、通知部111とを含む。抽出部102は、接続パケット抽出部103と、トリガパケット抽出部104と、トリガ関連パケット抽出部105とを含む。分析部107は、算出部108と、第1判定部109と、第2判定部110とを含む。
取得部101は、スイッチ30が中継するパケット(実際には複製)を取得し、抽出部102に渡す。抽出部102における接続パケット抽出部103は、新規にコネクションを確立するためのパケットのうち最初のパケット(以下、接続パケットと呼ぶ)を検知し、接続パケットに関する情報をコネクションデータ格納部106に格納する。トリガパケット抽出部104は、後述されるトリガパケットを検知し、トリガパケットに関する情報をコネクションデータ格納部106に格納する。トリガ関連パケット抽出部105は、後述されるトリガ関連パケットを抽出し、トリガ関連パケットに関する情報をコネクションデータ格納部106に格納する。分析部107における算出部108は、コネクションデータ格納部106に格納されているデータに基づき、後述するパケット群間での特徴値のばらつきを表す値(本実施の形態においては標準偏差)を算出する。第1判定部109は、算出部108によって算出された値に基づき、対象のコネクションがRAT通信のコネクションであるか判定する処理を実行する。第2判定部110は、コネクションデータ格納部106に格納されたデータに基づき、対象のコネクションがRAT通信のコネクションであるか判定する処理を実行する。通知部111は、分析部107による処理の結果に基づき、RAT通信のコネクションに関する情報を、例えば組織内ネットワークにおける管理者端末に送信する処理を実行する。
次に、図7乃至図12を用いて、第1の実施の形態における監視装置1が実行する処理について説明する。
まず、監視装置1の取得部101は、スイッチ30が中継するパケットの複製(以下、対象パケットと呼ぶ)をスイッチ30から取得し(図7:ステップS1)、抽出部102に出力する。
抽出部102は、解析に使用されるデータを対象パケットから読み出す(ステップS3)。解析に使用されるデータは、例えば、パケットの取得時刻、送信元IP(Internet Protocol)アドレス、宛先IPアドレス、プロトコル、TCP(Transmission Control Protocol)ポート番号、TCPフラグ(例えば、SYN(SYNchronize)フラグ及びACK(ACKnowledge)フラグ)、パケットサイズ、及びパケットのデータ部分等である。
抽出部102における接続パケット抽出部103は、ステップS3に読み出されたデータに基づき、対象パケットが接続パケットであるか判定する(ステップS5)。上で述べたように、接続パケットは、新規にコネクションを確立するためのパケットのうち最初のパケットである。例えば、SYNフラグが1であり且つACKフラグが1である場合には接続パケットであると判定される。
対象パケットが接続パケットではない場合(ステップS5:Noルート)、処理は端子Aを介して図10のステップS13に移行する。一方、対象パケットが接続パケットである場合(ステップS5:Yesルート)、接続パケット抽出部103は、新規に確立されるコネクションについての接続元IPアドレス(ここでは、送信元IPアドレス)、接続先IPアドレス(ここでは、宛先IPアドレス)、接続元ポート番号及び接続先ポート番号と、対象パケットの取得時刻とを、コネクションデータ格納部106に格納する(ステップS7)。
図8に、コネクションデータ格納部106に格納されるデータの一例を示す。図8の例では、確立されたコネクションに割り振られる通番であるコネクション番号と、接続元のIPアドレス及びポート番号と、接続先のIPアドレス及びポート番号と、接続パケットの取得時刻と、コネクションにおける最新のパケットの取得時刻と、パケット群の情報とが格納される。なお、ステップS7を実行する時点においては対象パケットが最新パケットであるので、対象パケットの取得時刻が最新パケットの取得時刻の欄にも格納される。
パケット群の情報は、例えば図9に示すような情報を含む。図9の例では、パケット群を識別するための識別情報であるパケット群ID(IDentifier)と、トリガパケットの取得時刻、パケットサイズ、及びデータ部分と、各トリガ関連パケットの取得時刻、パケットサイズ、及びデータ部分とが格納される。トリガパケット及びトリガ関連パケットについては後述する。
図7の説明に戻り、抽出部102は、管理者からの終了指示を受け付けたか判定する(ステップS9)。終了指示を受け付けていない場合(ステップS9:Noルート)、ステップS1の処理に戻る。一方、終了指示を受け付けた場合(ステップS9:Yesルート)、処理は終了する。
図10を用いて、端子A以降の処理について説明する。抽出部102におけるトリガパケット抽出部104は、対象パケットと同一の送信元IPアドレス、宛先IPアドレス、送信元ポート番号、及び宛先ポート番号を有するコネクション(すなわち、対象パケットのコネクションと同一のコネクション)がコネクションデータ格納部106に登録されているか判定する(ステップS13)。
対象パケットのコネクションと同一のコネクションがコネクションデータ格納部106に登録されていない場合(ステップS13:Noルート)、処理は端子Bを介して図7のステップS9の処理に戻る。
一方、対象パケットのコネクションと同一のコネクションがコネクションデータ格納部106に登録されている場合(ステップS13:Yesルート)、トリガパケット抽出部104は、対象パケットの送信元IPアドレス及び宛先IPアドレスに基づき、対象パケットは接続先から接続元へ送信されたか判定する(ステップS15)。例えば、送信元IPアドレスがコネクションデータ格納部106に格納された接続先IPアドレスと同じであり、且つ、宛先IPアドレスがコネクションデータ格納部106に格納された接続元IPアドレスと同じである場合、対象パケットは接続先から接続元へ送信されたと判定される。
対象パケットは接続先から接続元へ送信されていない場合(ステップS15:Noルート)、ステップS23の処理に移行する。一方、対象パケットは接続先から接続元へ送信された場合(ステップS15:Yesルート)、トリガパケット抽出部104は、対象パケットの取得時刻と、同じコネクションの直前パケットの取得時刻との差が第1の所定時間(例えば10秒)以上であるか判定する(ステップS17)。
取得時刻の差が第1の所定時間以上である場合(ステップS17:Yesルート)、対象パケットはトリガパケットである。よって、トリガパケット抽出部104は、新規のパケット群IDを生成する(ステップS19)。ステップS19においては、例えば、前回生成されたパケット群IDに1を加算することで新規のパケット群IDが生成される。
図11を用いて、トリガパケット及びトリガ関連パケットについて説明する。図11においては、細い実線の矢印はパケットの転送を示している。縦方向の位置の違いは転送時刻の違いを表しており、転送時刻が早いパケットほど上の位置に示されている。
図11において、トリガパケットは、パケット群1gの中で最初に転送されたパケット1101、パケット群2gの中で最初に転送されたパケット1102、及びパケット群3gの中で最初に転送されたパケット1103である。そして、トリガ関連パケットは、パケット群1gに含まれるパケットのうちパケット1101以外のパケット、パケット群2gに含まれるパケットのうちパケット1102以外のパケット、及びパケット群3gに含まれるパケットのうちパケット1103以外のパケットである。本実施の形態においては、トリガパケット間の時間間隔がパケット群間の時間間隔であるとみなされる。特徴(5)についての説明で述べたように、RAT通信においてはパケット群間の時間間隔にばらつきがある。
図10の説明に戻り、トリガパケット抽出部104は、ステップS19において生成したパケット群ID、トリガパケットの取得時刻、トリガパケットのサイズ、及びトリガパケットのデータ部分をトリガパケットのデータとしてコネクションデータ格納部106に格納する(ステップS21)。処理は端子Bを介して図7のステップS9の処理に戻る。
一方、取得時刻の差が第1の所定時間以上ではない場合(ステップS17:Noルート)、トリガ関連パケット抽出部105は、以下の処理を実行する。具体的には、トリガ関連パケット抽出部105は、対象パケットと同一コネクションにおいてトリガパケットのデータがコネクションデータ格納部106に有り、且つ、そのトリガパケットの取得時刻と対象パケットの取得時刻との差が第2の所定時間(例えば1秒)以内であるか判定する(ステップS23)。
対象パケットと同一コネクションにおいてトリガパケットのデータがコネクションデータ格納部106に格納されていない場合、又は、トリガパケットの取得時刻と対象パケットの取得時刻との差が第2の所定時間以内ではない場合(ステップS23:Noルート)、処理は端子Bを介して図7のステップS9の処理に戻る。一方、対象パケットと同一コネクションにおいてトリガパケットのデータがコネクションデータ格納部106に有り、且つ、そのトリガパケットの取得時刻と対象パケットの取得時刻との差が第2の所定時間以内である場合(ステップS23:Yesルート)、対象パケットはトリガ関連パケットである。よって、トリガ関連パケット抽出部105は、トリガ関連パケットの取得時刻、トリガ関連パケットのサイズ、及びトリガ関連パケットのデータ部分をトリガパケットのデータとしてコネクションデータ格納部106に格納する(ステップS25)。トリガ関連パケット抽出部105は、トリガ関連パケットを抽出したことを分析部107に通知する。
分析部107は、対象パケットのコネクションにおけるパケット群の数が所定数(例えば4)以上であるか判定する(ステップS27)。対象パケットのコネクションにおけるパケット群の数が所定数以上ではない場合(ステップS27:Noルート)、処理は端子Bを介して図7のステップS9の処理に戻る。一方、対象パケットのコネクションにおけるパケット群の数が所定数以上である場合(ステップS27:Yesルート)、分析部107は、分析処理を実行する(ステップS29)。分析処理については、図12を用いて説明する。なお、最後のパケット群については、分析処理の対象から外される。
まず、分析部107における算出部108は、コネクションデータ格納部106に格納されているパケット群情報から、特徴値をパケット群毎に特定する(図12:ステップS31)。特徴値とは、例えば、1つ前又は1つ後のパケット群との間の時間間隔、パケットの数、パケットのデータ部分の内容に関する値、又はパケットサイズに関する値である。データ部分の内容に関する値は、例えば、データ部分を入力とした場合に或る関数によって算出される値である。パケットサイズに関する値は、例えば、特定の順番に転送されたパケット(例えば、1番目に転送されたパケット)のサイズ、或いは、パケットのサイズの平均値等が使用される。
第1判定部109は、ステップS31において算出された特徴値から、特徴値の標準偏差を算出し(ステップS33)、算出された標準偏差が閾値以上であるか判定する(ステップS35)。閾値は、例えば、RAT通信のコネクションについて算出された標準偏差と、プッシュ通知のコネクションについて算出された標準偏差との平均値である。このように閾値を設定すれば、対象のコネクションがRAT通信のコネクションとプッシュ通知のコネクションのいずれに似ているかを判定できる。
特徴値の標準偏差が閾値以上ではない場合(ステップS35:Noルート)、呼び出し元の処理に戻り、処理は端子Bを介して図7のステップS9の処理に戻る。一方、特徴値の標準偏差が閾値以上である場合(ステップS35:Yesルート)、第2判定部110は、コネクションデータ格納部106に格納されているデータに基づき、接続パケットの取得時刻と対象パケットの取得時刻との差が第3の所定時間(例えば10分)以上であるか判定する(ステップS37)。
接続パケットの取得時刻と対象パケットの取得時刻との差が第3の所定時間以上ではない場合(ステップS37:Noルート)、呼び出し元の処理に戻り、処理は端子Bを介して図7のステップS9の処理に戻る。一方、接続パケットの取得時刻と対象パケットの取得時刻との差が第3の所定時間以上である場合(ステップS37:Yesルート)、対象パケットのコネクションはRAT通信のコネクションである。よって、第2判定部110は、対象パケットのコネクションに関する情報(例えば、宛先IPアドレス及び送信元IPアドレス)を通知部111に出力する。これに応じ、通知部111は、システムの管理者の端末に、対象パケットのコネクションに関する情報を含む通知を送信する(ステップS39)。そして呼び出し元の処理に戻り、処理は端子Bを介して図7のステップS9の処理に戻る。
以上のように、RAT通信のコネクションの方がプッシュ通知のコネクションよりも特徴値のばらつきが大きいという特徴を利用することで、RAT通信を高精度で検知できるようになる。また、本実施の形態の方法によれば、個人を標的とした攻撃である場合や、組織において踏み台が次の標的に侵入を試みる前の段階である場合においても、RAT通信の検知が可能である。
[実施の形態2]
第2の実施の形態においては、RAT通信のコネクションの候補を絞り込むことで、より高い精度でRAT通信を検知できるようにする。
図13に、第2の実施の形態における監視装置1の機能ブロック図である。第2の実施の形態における監視装置1は、取得部101と、抽出部102と、コネクションデータ格納部106と、分析部107と、通知部111と、アドレスリスト格納部113とを含む。抽出部102は、接続パケット抽出部103と、トリガパケット抽出部104と、トリガ関連パケット抽出部105と、絞り込み部112とを含む。分析部107は、算出部108と、第1判定部109と、第2判定部110とを含む。
取得部101は、スイッチ30が中継するパケット(実際には複製)を取得し、抽出部102に渡す。抽出部102における絞り込み部112は、アドレスリスト格納部113に格納されたデータに基づき接続パケットを検知し、接続パケット抽出部103に渡す。接続パケット抽出部103は、接続パケットに関する情報をコネクションデータ格納部106に格納する。トリガパケット抽出部104は、トリガパケットを検知し、トリガパケットに関する情報をコネクションデータ格納部106に格納する。トリガ関連パケット抽出部105は、トリガ関連パケットを抽出し、トリガ関連パケットに関する情報をコネクションデータ格納部106に格納する。分析部107における算出部108は、コネクションデータ格納部106に格納されているデータに基づき、特徴値のばらつきを表す値(本実施の形態においては標準偏差)を算出する。第1判定部109は、算出部108によって算出された値に基づき、対象のコネクションがRAT通信のコネクションであるか判定する処理を実行する。第2判定部110は、コネクションデータ格納部106に格納されたデータに基づき、対象のコネクションがRAT通信のコネクションであるか判定する処理を実行する。通知部111は、分析部107による処理の結果に基づき、RAT通信のコネクションに関する情報を、例えば組織内ネットワークにおける管理者の端末に送信する処理を実行する。
次に、図14を用いて、第2の実施の形態における監視装置1が実行する処理を説明する。
まず、監視装置1の取得部101は、スイッチ30が中継するパケットの複製(以下、対象パケットと呼ぶ)をスイッチ30から取得し(図14:ステップS41)、抽出部102に出力する。
抽出部102は、解析に使用されるデータを対象パケットから読み出す(ステップS43)。解析に使用されるデータは、例えば、パケットの取得時刻、送信元IPアドレス、宛先IPアドレス、プロトコル、TCPポート番号、TCPフラグ(例えば、SYNフラグ及びACKフラグ)、パケットサイズ、及びパケットのデータ部分等である。
抽出部102における絞り込み部112は、ステップS43に読み出されたデータに基づき、対象パケットが接続パケットであるか判定する(ステップS45)。上で述べたように、接続パケットは、新規にコネクションを確立するためのパケットのうち最初のパケットである。例えば、SYNフラグが1であり且つACKフラグが1である場合には接続パケットであると判定される。
対象パケットが接続パケットではない場合(ステップS45:Noルート)、処理は端子Aを介して図10のステップS13に移行する。一方、対象パケットが接続パケットである場合(ステップS45:Yesルート)、絞り込み部112は、接続先ポート番号が所定の値(ここでは、HTTPやHTTPSで使用される80、443、或いは8080)であるか判定する(ステップS47)。
接続先のポート番号が所定の値ではない場合(ステップS47:Noルート)、ステップS41の処理に戻る。一方、接続先のポート番号が所定の値である場合(ステップS47:Yesルート)、絞り込み部112は、接続元IPアドレスはアドレスリスト格納部113に格納されている組織内IPアドレスリスト内のIPアドレスのいずれかと一致するか判定する(ステップS49)。図15に、アドレスリスト格納部113に格納されている組織内IPアドレスリストの一例を示す。図15の例では、組織内IPアドレスとして、内部ネットワークに接続された装置のIPアドレスが格納される。
接続元IPアドレスは組織内IPアドレスリスト内のIPアドレスのいずれとも一致しない場合(ステップS49:Noルート)、ステップS41の処理に戻る。一方、接続元IPアドレスは組織内IPアドレスリスト内のIPアドレスのいずれかと一致する場合(ステップS49:Yesルート)、絞り込み部112は、接続先IPアドレスはアドレスリスト格納部113に格納されている組織外IPアドレスリスト内のIPアドレスのいずれかと一致するか判定する(ステップS51)。図16に、アドレスリスト格納部113に格納されている組織外IPアドレスリストの一例を示す。図16の例では、組織外IPアドレスとして、外部ネットワークに接続された装置のIPアドレスが格納される。
接続先IPアドレスは組織外IPアドレスリスト内のIPアドレスのいずれとも一致しない場合(ステップS51:Noルート)、ステップS41の処理に戻る。一方、接続先IPアドレスは組織外IPアドレスリスト内のIPアドレスのいずれかと一致する場合(ステップS51:Yesルート)、絞り込み部112は、対象パケットが接続パケットであることを接続パケット抽出部103に通知する。
これに応じ、接続パケット抽出部103は、新規に確立されるコネクションについての接続元IPアドレス(ここでは、送信元IPアドレス)、接続先IPアドレス(ここでは、宛先IPアドレス)、接続元ポート番号及び接続先ポート番号と、対象パケットの取得時刻とを、コネクションデータ格納部106に格納する(ステップS55)。
抽出部102は、管理者からの終了指示を受け付けたか判定する(ステップS57)。終了指示を受け付けていない場合(ステップS57:Noルート)、ステップS41の処理に戻る。一方、終了指示を受け付けた場合(ステップS57:Yesルート)、処理は終了する。端子A以降の処理は、図10を用いて説明したとおりであるのでここでは説明を省略する。
以上のような処理を実行すれば、より高い精度でRAT通信を検知できるようにする。また、特徴値の分析が行われるコネクションの数を減らすことができるので、監視装置1の処理負荷を低減できるようになる。
[実施の形態3]
第3の実施の形態においては、分析処理の他の例を示す。システム概要及び監視装置1の機能ブロックは第1の実施の形態において説明したとおりである。
図17を用いて、第3の実施の形態の分析処理について説明する。まず、分析部107における算出部108は、コネクションデータ格納部106に格納されているパケット群情報から、特徴値をパケット群毎に特定する(図17:ステップS61)。特徴値とは、例えば、1つ前又は1つ後のパケット群との間の時間間隔、パケットの数、パケットのデータ部分の内容に関する値、又はパケットサイズに関する値である。
第1判定部109は、トリガパケット間の時間間隔についての条件が満たされるか判定する(ステップS63)。本条件は、例えば、トリガパケット間の時間間隔の標準偏差が閾値以上であるという条件である。閾値は、例えば、RAT通信の場合の時間間隔について算出された標準偏差と、プッシュ通知の場合の時間間隔について算出された標準偏差との平均値である。
トリガパケット間の時間間隔についての条件が満たされない場合(ステップS63:Noルート)、呼び出し元の処理に戻り、処理は端子Bを介して図7のステップS9に戻る。一方、トリガパケット間の時間間隔についての条件が満たされる場合(ステップS63:Yesルート)、第1判定部109は、パケット数についての条件が満たされるか判定する(ステップS65)。本条件は、例えば、パケット数の標準偏差が閾値以上であるという条件である。閾値は、例えば、RAT通信の場合のパケット数について算出された標準偏差と、プッシュ通知の場合の時間間隔について算出された標準偏差との平均値である。
パケット数についての条件が満たされない場合(ステップS65:Noルート)、呼び出し元の処理に戻り、処理は端子Bを介して図7のステップS9に戻る。一方、パケット数についての条件が満たされる場合(ステップS65:Yesルート)、第1判定部109は、パケットサイズについての条件が満たされるか判定する(ステップS67)。例えば、1番目のパケットのサイズの標準偏差、2番目のパケットのサイズの標準偏差、・・・、というように各順番のパケットについて標準偏差を求め、標準偏差が閾値を超えた順番の数が所定数以上であれば、パケットサイズについての条件が満たされると判定される。
パケットサイズについての条件が満たされない場合(ステップS67:Noルート)、呼び出し元の処理に戻り、処理は端子Bを介して図7のステップS9に戻る。一方、パケットサイズについての条件が満たされる場合(ステップS67:Yesルート)、第1判定部109は、データ部分の内容についての条件が満たされるか判定する(ステップS69)。例えば、1番目のパケットのデータ部分の内容において相違する部分のデータサイズ、2番目のパケットのデータ部分の内容において相違する部分のデータサイズ、・・・というように、相違する部分のデータサイズを各順番のパケットについて求める。そして、相違する部分のデータサイズが閾値を超える順番の数が所定数以上である場合に、データ部分の内容にばらつきがあると判定する。或いは、相違する部分のデータサイズの総和を求め、その総和が閾値以上であるか否かによって判定してもよい。
データ部分の内容についての条件が満たされない場合(ステップS69:Noルート)、呼び出し元の処理に戻り、処理は端子Bを介して図7のステップS9に戻る。一方、データ部分の内容についての条件が満たされる場合(ステップS69:Yesルート)、第2判定部110は、コネクションデータ格納部106に格納されているデータに基づき、接続パケットの取得時刻と対象パケットの取得時刻との差が第3の所定時間(例えば10分)以上であるか判定する(ステップS71)。
接続パケットの取得時刻と対象パケットの取得時刻との差が第3の所定時間以上ではない場合(ステップS71:Noルート)、呼び出し元の処理に戻り、処理は端子Bを介して図7のステップS9の処理に戻る。一方、接続パケットの取得時刻と対象パケットの取得時刻との差が第3の所定時間以上である場合(ステップS71:Yesルート)、対象パケットのコネクションはRAT通信のコネクションである。よって、第2判定部110は、対象パケットのコネクションに関する情報(例えば、宛先IPアドレス及び送信元IPアドレス)を通知部111に出力する。これに応じ、通知部111は、システムの管理者の端末に、対象パケットのコネクションに関する情報を含む通知を送信する(ステップS73)。そして呼び出し元の処理に戻り、処理は端子Bを介して図7のステップS9の処理に戻る。
以上のように、RAT通信のコネクションの方がプッシュ通知のコネクションよりも特徴値のばらつきが大きいという特徴を利用することで、RAT通信を高精度で検知できるようになる。なお、本実施の形態のように、特徴値に関する複数の条件全てが満たされない限りRAT通信であると判定されないようにすれば、誤検知を減らすことができるようになる。
[実施の形態4]
第4の実施の形態においては、分析処理の他の例を示す。システム概要及び監視装置1の機能ブロックは第1の実施の形態において説明したとおりである。
図18を用いて、第4の実施の形態の分析処理について説明する。まず、分析部107における算出部108は、コネクションデータ格納部106に格納されているパケット群情報から、特徴値をパケット群毎に特定する(図18:ステップS81)。特徴値とは、例えば、1つ前又は1つ後のパケット群との間の時間間隔、パケットの数、パケットのデータ部分の内容に関する値、又はパケットサイズに関する値である。
第1判定部109は、トリガパケット間の時間間隔についての条件が満たされるか判定する(ステップS83)。本条件は、例えば、トリガパケット間の時間間隔の標準偏差が閾値以上であるという条件である。閾値は、例えば、RAT通信の場合の時間間隔について算出された標準偏差と、プッシュ通知の場合の時間間隔について算出された標準偏差との平均値である。
トリガパケット間の時間間隔についての条件が満たされる場合(ステップS83:Yesルート)、ステップS91の処理に移行する。一方、トリガパケット間の時間間隔についての条件が満たされない場合(ステップS83:Noルート)、第1判定部109は、パケット数についての条件が満たされるか判定する(ステップS85)。本条件は、例えば、パケット数の標準偏差が閾値以上であるという条件である。閾値は、例えば、RAT通信の場合のパケット数について算出された標準偏差と、プッシュ通知の場合の時間間隔について算出された標準偏差との平均値である。
パケット数についての条件が満たされる場合(ステップS85:Yesルート)、ステップS91の処理に移行する。一方、パケット数についての条件が満たされない場合(ステップS85:Noルート)、第1判定部109は、パケットサイズについての条件が満たされるか判定する(ステップS87)。例えば、1番目のパケットのサイズの標準偏差、2番目のパケットのサイズの標準偏差、・・・、というように各順番のパケットについて標準偏差を求め、標準偏差が閾値を超えた順番の数が一定値以上であれば、パケットサイズについての条件が満たされると判定される。
パケットサイズについての条件が満たされる場合(ステップS87:Yesルート)、ステップS91の処理に移行する。一方、パケットサイズについての条件が満たされない場合(ステップS87:Noルート)、第1判定部109は、データ部分の内容についての条件が満たされるか判定する(ステップS89)。例えば、1番目のパケットのデータ部分の内容において相違する部分のデータサイズ、2番目のパケットのデータ部分の内容において相違する部分のデータサイズ、・・・というように、相違する部分のデータサイズを各順番のパケットについて求める。そして、相違する部分のデータサイズが閾値を超える順番が所定数以上である場合に、データ部分の内容にばらつきがあると判定する。或いは、相違する部分のデータサイズの総和を求め、その総和が閾値以上であるか否かによって判定してもよい。
データ部分の内容についての条件が満たされない場合(ステップS89:Noルート)、呼び出し元の処理に戻り、処理は端子Bを介して図7のステップS9の処理に戻る。一方、データ部分の内容についての条件が満たされる場合(ステップS89:Yesルート)、第2判定部110は、コネクションデータ格納部106に格納されているデータに基づき、接続パケットの取得時刻と対象パケットの取得時刻との差が第3の所定時間(例えば10分)以上であるか判定する(ステップS91)。
接続パケットの取得時刻と対象パケットの取得時刻との差が第3の所定時間以上ではない場合(ステップS91:Noルート)、呼び出し元の処理に戻り、処理は端子Bを介して図7のステップS9の処理に戻る。一方、接続パケットの取得時刻と対象パケットの取得時刻との差が第3の所定時間以上である場合(ステップS91:Yesルート)、対象パケットのコネクションはRAT通信のコネクションである。よって、第2判定部110は、対象パケットのコネクションに関する情報(例えば、宛先IPアドレス及び送信元IPアドレス)を通知部111に出力する。これに応じ、通知部111は、システムの管理者の端末に、対象パケットのコネクションに関する情報を含む通知を送信する(ステップS93)。そして呼び出し元の処理に戻り、処理は端子Bを介して図7のステップS9の処理に戻る。
以上のように、RAT通信のコネクションの方がプッシュ通知のコネクションよりも特徴値のばらつきが大きいという特徴を利用することで、RAT通信を高精度で検知できるようになる。なお、本実施の形態のように、特徴値に関する複数の条件のいずれかが満たされた場合に第2判定部110による判定に移行すれば、厳密に判定をすることによってRAT通信の検知漏れが発生することを抑制できるようになる。
以上本発明の一実施の形態を説明したが、本発明はこれに限定されるものではない。例えば、上で説明した監視装置1の機能ブロック構成は実際のプログラムモジュール構成に一致しない場合もある。
また、上で説明した各テーブルの構成は一例であって、上記のような構成でなければならないわけではない。さらに、処理フローにおいても、処理結果が変わらなければ処理の順番を入れ替えることも可能である。さらに、並列に実行させるようにしても良い。
また、ばらつきを表す値として、標準偏差以外の値を使用してもよい。
また、特徴値に関する複数の条件のうち2つの条件が満たされた場合或いは3つの条件が満たされた場合に、第2判定部110による判定に移行してもよい。また、パケットの送信方向を特徴値として利用し、送信方向についての条件が満たされるか判定してもよい。
なお、上で述べた監視装置1は、コンピュータ装置であって、図19に示すように、メモリ2501とCPU(Central Processing Unit)2503とハードディスク・ドライブ(HDD:Hard Disk Drive)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。CPU2503は、アプリケーション・プログラムの処理内容に応じて表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、所定の動作を行わせる。また、処理途中のデータについては、主としてメモリ2501に格納されるが、HDD2505に格納されるようにしてもよい。本発明の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及びアプリケーション・プログラムなどのプログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
以上述べた本発明の実施の形態をまとめると、以下のようになる。
本実施の形態の第1の態様に係るネットワーク監視装置は、(A)第1の端末と第2の端末のコネクションにて、第1及び第2の端末間で転送された複数のパケット群の各々について、当該パケット群の特徴を表す特徴値を特定し、特定された複数の特徴値のばらつきを表す値を算出する算出部と、(B)算出部が算出した値が所定の閾値以上であるか判定する第1判定部とを有する。
標的型攻撃に関わる通信(例えばRAT通信)のコネクションにて転送された複数のパケット群の特徴値のばらつきを表す値は、通常の通信(例えばプッシュ通知)のコネクションについて算出したばらつきを表す値と比較して大きい。そこで、上で述べたようにすれば、標的型攻撃に関わる通信を高精度で検知できるようになる。
また、本ネットワーク監視装置は、(C)算出部が算出した値が所定の閾値以上であると判定された場合、コネクションの最初のパケットを取得した時刻と、コネクションの最後のパケットを取得した時刻との差が、所定時間以上であるか判定する第2判定部と、(D)差が所定時間以上であると判定された場合、コネクションに関する情報を出力する出力部とをさらに有してもよい。RAT通信のコネクションは長時間維持されるという特徴を有する。そこで、上で述べたようにすれば、RAT通信であることがより確実なコネクションに関する情報を出力できるようになる。
また、上で述べた算出部は、(a1)コネクションの接続元のIPアドレスが内部ネットワークのIPアドレスであり、コネクションの接続先のIPアドレスが外部ネットワークのIPアドレスであり、且つコネクションの接続先のポート番号がウェブサーバへのアクセスであることを表すポート番号である場合、コネクションについてばらつきを表す値を算出してもよい。このようにすれば、RAT通信である可能性が低いコネクションを処理の対象から除外できるようになる。
また、上で述べた特徴値は、パケット群に含まれるパケットの数と、パケット群に含まれるパケットのサイズと、パケット群とパケット群の1つ前のパケット群との間の時間間隔と、パケット群に含まれるパケットのデータ部分の内容に関する値との少なくともいずれかを含んでもよい。このようにすれば、RAT通信のコネクションを高精度で検知できるようになる。
また、パケット群とパケット群の1つ前のパケット群との間の時間間隔は、パケット群の最初のパケットと、パケット群の1つ前のパケット群の最初のパケットとの間の時間間隔であってもよい。
また、本ネットワーク監視装置は、(E)コネクションにて転送された各パケットを取得した時刻に基づき、複数のパケット群を抽出する抽出部をさらに有してもよい。
本実施の形態の第2の態様に係るネットワーク監視方法は、(F)第1の端末と第2の端末のコネクションにて、第1及び第2の端末間で転送された複数のパケット群の各々について、当該パケット群の特徴を表す特徴値を特定し、(F)特定された複数の特徴値のばらつきを表す値を算出し、(G)算出された値が所定の閾値以上であるか判定する処理を含む。
なお、上記方法による処理をコンピュータに行わせるためのプログラムを作成することができ、当該プログラムは、例えばフレキシブルディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納される。尚、中間的な処理結果はメインメモリ等の記憶装置に一時保管される。
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
第1の端末と第2の端末のコネクションにて、前記第1及び第2の端末間で転送された複数のパケット群の各々について、当該パケット群の特徴を表す特徴値を特定し、特定された複数の特徴値のばらつきを表す値を算出する算出部と、
前記算出部が算出した前記値が所定の閾値以上であるか判定する第1判定部と、
を有するネットワーク監視装置。
(付記2)
前記算出部が算出した前記値が前記所定の閾値以上であると判定された場合、前記コネクションの最初のパケットを取得した時刻と、前記コネクションの最後のパケットを取得した時刻との差が、所定時間以上であるか判定する第2判定部と、
前記差が前記所定時間以上であると判定された場合、前記コネクションに関する情報を出力する出力部と、
をさらに有する付記1記載のネットワーク監視装置。
(付記3)
前記算出部は、
前記コネクションの接続元のIPアドレスが内部ネットワークのIPアドレスであり、前記コネクションの接続先のIPアドレスが外部ネットワークのIPアドレスであり、且つ前記コネクションの接続先のポート番号がウェブサーバへのアクセスであることを表すポート番号である場合、前記コネクションについて前記ばらつきを表す値を算出する、
付記1又は2記載のネットワーク監視装置。
(付記4)
前記特徴値は、前記パケット群に含まれるパケットの数と、前記パケット群に含まれるパケットのサイズと、前記パケット群と前記パケット群の1つ前のパケット群との間の時間間隔と、前記パケット群に含まれるパケットのデータ部分の内容に関する値との少なくともいずれかを含む
付記1乃至3のいずれか1つ記載のネットワーク監視装置。
(付記5)
前記パケット群と前記パケット群の1つ前のパケット群との間の時間間隔は、前記パケット群の最初のパケットと、前記パケット群の1つ前のパケット群の最初のパケットとの間の時間間隔である、
付記4記載のネットワーク監視装置。
(付記6)
前記コネクションにて転送された各パケットを取得した時刻に基づき、前記複数のパケット群を抽出する抽出部、
をさらに有する付記1乃至5のいずれか1つ記載のネットワーク監視装置。
(付記7)
コンピュータに、
第1の端末と第2の端末のコネクションにて、前記第1及び第2の端末間で転送された複数のパケット群の各々について、当該パケット群の特徴を表す特徴値を特定し、
特定された複数の特徴値のばらつきを表す値を算出し、
算出された前記値が所定の閾値以上であるか判定する、
処理を実行させるネットワーク監視プログラム。
(付記8)
コンピュータが、
第1の端末と第2の端末のコネクションにて、前記第1及び第2の端末間で転送された複数のパケット群の各々について、当該パケット群の特徴を表す特徴値を特定し、
特定された複数の特徴値のばらつきを表す値を算出し、
算出された前記値が所定の閾値以上であるか判定する、
処理を実行するネットワーク監視方法。
1 監視装置 30 スイッチ 31−38 中継装置
50 攻撃者端末 70−73 ユーザ端末
90−93 サーバ 101 取得部
102 抽出部 103 接続パケット抽出部
104 トリガパケット抽出部 105 トリガ関連パケット抽出部
106 コネクションデータ格納部 107 分析部
108 算出部 109 第1判定部
110 第2判定部 111 通知部
112 絞り込み部 113 アドレスリスト格納部

Claims (7)

  1. 第1の端末と第2の端末のコネクションにて、前記第1及び第2の端末間で転送された複数のパケット群の各々について、当該パケット群の特徴を表す特徴値を特定し、特定された複数の特徴値のばらつきを表す値を算出する算出部と、
    前記算出部が算出した前記値が所定の閾値以上であるか判定する第1判定部と、
    を有するネットワーク監視装置。
  2. 前記算出部が算出した前記値が前記所定の閾値以上であると判定された場合、前記コネクションの最初のパケットを取得した時刻と、前記コネクションの最後のパケットを取得した時刻との差が、所定時間以上であるか判定する第2判定部と、
    前記差が前記所定時間以上であると判定された場合、前記コネクションに関する情報を出力する出力部と、
    をさらに有する請求項1記載のネットワーク監視装置。
  3. 前記算出部は、
    前記コネクションの接続元のIPアドレスが内部ネットワークのIPアドレスであり、前記コネクションの接続先のIPアドレスが外部ネットワークのIPアドレスであり、且つ前記コネクションの接続先のポート番号がウェブサーバへのアクセスであることを表すポート番号である場合、前記コネクションについて前記ばらつきを表す値を算出する、
    請求項1又は2記載のネットワーク監視装置。
  4. 前記特徴値は、前記パケット群に含まれるパケットの数と、前記パケット群に含まれるパケットのサイズと、前記パケット群と前記パケット群の1つ前のパケット群との間の時間間隔と、前記パケット群に含まれるパケットのデータ部分の内容に関する値との少なくともいずれかを含む
    請求項1乃至3のいずれか1つ記載のネットワーク監視装置。
  5. 前記コネクションにて転送された各パケットを取得した時刻に基づき、前記複数のパケット群を抽出する抽出部、
    をさらに有する請求項1乃至4のいずれか1つ記載のネットワーク監視装置。
  6. コンピュータに、
    第1の端末と第2の端末のコネクションにて、前記第1及び第2の端末間で転送された複数のパケット群の各々について、当該パケット群の特徴を表す特徴値を特定し、
    特定された複数の特徴値のばらつきを表す値を算出し、
    算出された前記値が所定の閾値以上であるか判定する、
    処理を実行させるネットワーク監視プログラム。
  7. コンピュータが、
    第1の端末と第2の端末のコネクションにて、前記第1及び第2の端末間で転送された複数のパケット群の各々について、当該パケット群の特徴を表す特徴値を特定し、
    特定された複数の特徴値のばらつきを表す値を算出し、
    算出された前記値が所定の閾値以上であるか判定する、
    処理を実行するネットワーク監視方法。
JP2015182298A 2015-09-15 2015-09-15 ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム Active JP6641819B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015182298A JP6641819B2 (ja) 2015-09-15 2015-09-15 ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム
US15/262,803 US10397248B2 (en) 2015-09-15 2016-09-12 Method and apparatus for monitoring network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015182298A JP6641819B2 (ja) 2015-09-15 2015-09-15 ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム

Publications (2)

Publication Number Publication Date
JP2017059964A true JP2017059964A (ja) 2017-03-23
JP6641819B2 JP6641819B2 (ja) 2020-02-05

Family

ID=58237250

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015182298A Active JP6641819B2 (ja) 2015-09-15 2015-09-15 ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム

Country Status (2)

Country Link
US (1) US10397248B2 (ja)
JP (1) JP6641819B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018198473A1 (ja) * 2017-04-27 2018-11-01 富士通株式会社 ネットワーク監視装置、ネットワーク監視プログラム及びネットワーク監視方法
WO2019043804A1 (ja) * 2017-08-30 2019-03-07 日本電気株式会社 ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体
WO2019159833A1 (ja) * 2018-02-15 2019-08-22 日本電信電話株式会社 脅威情報抽出装置及び脅威情報抽出システム
JP2020014061A (ja) * 2018-07-13 2020-01-23 株式会社Pfu 情報処理装置、通信検査方法及びプログラム

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9979739B2 (en) 2013-01-16 2018-05-22 Palo Alto Networks (Israel Analytics) Ltd. Automated forensics of computer systems using behavioral intelligence
CN107707928B (zh) * 2017-10-30 2021-03-23 广州市千钧网络科技有限公司 一种数据流延迟的控制方法、装置及接收设备
US10999304B2 (en) * 2018-04-11 2021-05-04 Palo Alto Networks (Israel Analytics) Ltd. Bind shell attack detection
JP7060800B2 (ja) * 2018-06-04 2022-04-27 日本電信電話株式会社 感染拡大攻撃検知システム及び方法、並びに、プログラム
JP6970344B2 (ja) * 2018-08-03 2021-11-24 日本電信電話株式会社 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
US11316872B2 (en) 2019-01-30 2022-04-26 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using port profiles
US11184378B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Scanner probe detection
US11184376B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Port scan detection using destination profiles
US11184377B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using source profiles
US11070569B2 (en) 2019-01-30 2021-07-20 Palo Alto Networks (Israel Analytics) Ltd. Detecting outlier pairs of scanned ports
CN110519248B (zh) * 2019-08-19 2020-11-24 光通天下网络科技股份有限公司 DDoS攻击判定及流量清洗的方法、装置和电子设备
US11153350B2 (en) * 2019-09-16 2021-10-19 Fortinet, Inc. Determining on-net/off-net status of a client device
US11509680B2 (en) 2020-09-30 2022-11-22 Palo Alto Networks (Israel Analytics) Ltd. Classification of cyber-alerts into security incidents
JP2022167670A (ja) * 2021-04-23 2022-11-04 富士通株式会社 情報処理プログラム、情報処理方法、および情報処理装置
US11799880B2 (en) 2022-01-10 2023-10-24 Palo Alto Networks (Israel Analytics) Ltd. Network adaptive alert prioritization system

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005159551A (ja) * 2003-11-21 2005-06-16 Nippon Telegr & Teleph Corp <Ntt> ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム
JP2005295212A (ja) * 2004-03-31 2005-10-20 Toshiba Solutions Corp 異常データ検出装置及び異常データ検出プログラム
JP2006238043A (ja) * 2005-02-24 2006-09-07 Mitsubishi Electric Corp ネットワーク異常検出装置
WO2007055222A1 (ja) * 2005-11-08 2007-05-18 Tohoku University ネットワーク異常検知方法およびネットワーク異常検知システム
JP2012015684A (ja) * 2010-06-30 2012-01-19 Mitsubishi Electric Corp 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム
JP2014232923A (ja) * 2013-05-28 2014-12-11 日本電気株式会社 通信装置、サイバー攻撃検出方法、及びプログラム

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7610624B1 (en) * 2004-01-12 2009-10-27 Novell, Inc. System and method for detecting and preventing attacks to a target computer system
US8837528B2 (en) * 2005-02-25 2014-09-16 Sony Computer Entertainment America Llc Data distribution by proxy
JP2007074383A (ja) 2005-09-07 2007-03-22 Yokogawa Electric Corp 情報システム
US8867564B2 (en) * 2006-09-19 2014-10-21 Broadcom Corporation Method and system for an extended range ethernet link discovery signaling
JP5298293B2 (ja) 2007-03-30 2013-09-25 国立大学法人九州大学 検出装置、検出方法、通信制御方法、履歴空間データ生産方法、及びこれらの方法をコンピュータに実行させることが可能なプログラム
JP4924503B2 (ja) * 2008-03-25 2012-04-25 富士通株式会社 輻輳検出方法、輻輳検出装置及び輻輳検出プログラム
CN102447748B (zh) * 2010-10-15 2015-04-22 华为技术有限公司 在nat穿越中分配外网互联网协议ip地址的方法及设备、系统
US8789176B1 (en) * 2011-03-07 2014-07-22 Amazon Technologies, Inc. Detecting scans using a bloom counter
KR20130006750A (ko) * 2011-06-20 2013-01-18 한국전자통신연구원 서비스 거부 공격 탐지 방법 및 장치
US9191399B2 (en) * 2012-09-11 2015-11-17 The Boeing Company Detection of infected network devices via analysis of responseless outgoing network traffic
US20140211614A1 (en) * 2013-01-25 2014-07-31 Arxceo Corporation Methods and systems for providing redundancy in data network communications
JP6142702B2 (ja) 2013-07-04 2017-06-07 富士通株式会社 監視装置、監視方法及びプログラム
US20150033336A1 (en) * 2013-07-24 2015-01-29 Fortinet, Inc. Logging attack context data
US9148402B2 (en) * 2013-12-06 2015-09-29 Qualcomm Innovation Center, Inc. Systems, methods, and apparatus for full-cone and address restricted cone network address translation using hardware acceleration
JP6229504B2 (ja) 2014-01-09 2017-11-15 富士通株式会社 ネットワーク監視装置、監視方法及びプログラム
JP6476853B2 (ja) 2014-12-26 2019-03-06 富士通株式会社 ネットワーク監視システム及び方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005159551A (ja) * 2003-11-21 2005-06-16 Nippon Telegr & Teleph Corp <Ntt> ネットワーク攻撃対策方法およびそのネットワーク装置、ならびにそのプログラム
JP2005295212A (ja) * 2004-03-31 2005-10-20 Toshiba Solutions Corp 異常データ検出装置及び異常データ検出プログラム
JP2006238043A (ja) * 2005-02-24 2006-09-07 Mitsubishi Electric Corp ネットワーク異常検出装置
WO2007055222A1 (ja) * 2005-11-08 2007-05-18 Tohoku University ネットワーク異常検知方法およびネットワーク異常検知システム
JP2012015684A (ja) * 2010-06-30 2012-01-19 Mitsubishi Electric Corp 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム
JP2014232923A (ja) * 2013-05-28 2014-12-11 日本電気株式会社 通信装置、サイバー攻撃検出方法、及びプログラム

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
山田 正弘、森永 正信、海野 由紀、鳥居 悟: "組織内ネットワークにおける標的型攻撃の振る舞い検知に向けた 複数センサ連携手法", 2015年 暗号と情報セキュリティシンポジウム SCIS2015 [CD−ROM] 2015年 暗号, JPN6019046137, 20 January 2015 (2015-01-20), pages 1 - 8, ISSN: 0004163124 *
溝口 誠一郎、笠原 義晃、堀 良彰、櫻井 幸一: "機械的通信挙動モデルに基づく階層型クラスタリングによるボット検知手法", 情報処理学会論文誌 論文誌ジャーナル[CD−ROM], vol. 54, no. 3, JPN6019020752, 15 March 2013 (2013-03-15), pages 1087 - 1098, ISSN: 0004049320 *
蒋 丹、面 和成: "初期段階におけるRemote Access Trojanの検知手法", CSS2014 コンピュータセキュリティシンポジウム2014 論文集 合同開催 マルウェア対策研究人, vol. 2014, no. 2, JPN6019020750, 15 October 2014 (2014-10-15), pages 719 - 726, ISSN: 0004049321 *
鳥居 悟、清水 聡、森永 正信: "RAT通信監視手法の提案", CSS2012コンピュータセキュリティシンポジウム2012論文集 合同開催 マルウェア対策研究人材育, vol. 2012, no. 3, JPN6019020748, 23 October 2012 (2012-10-23), pages 571 - 578, ISSN: 0004049319 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018198473A1 (ja) * 2017-04-27 2018-11-01 富士通株式会社 ネットワーク監視装置、ネットワーク監視プログラム及びネットワーク監視方法
US11146582B2 (en) 2017-04-27 2021-10-12 Fujitsu Limited Information processing apparatus, recording medium recording network monitoring program, and network monitoring method
WO2019043804A1 (ja) * 2017-08-30 2019-03-07 日本電気株式会社 ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体
WO2019159833A1 (ja) * 2018-02-15 2019-08-22 日本電信電話株式会社 脅威情報抽出装置及び脅威情報抽出システム
JP2019145879A (ja) * 2018-02-15 2019-08-29 日本電信電話株式会社 脅威情報抽出装置及び脅威情報抽出システム
US11546356B2 (en) 2018-02-15 2023-01-03 Nippon Telegraph And Telephone Corporation Threat information extraction apparatus and threat information extraction system
JP2020014061A (ja) * 2018-07-13 2020-01-23 株式会社Pfu 情報処理装置、通信検査方法及びプログラム
JP7045949B2 (ja) 2018-07-13 2022-04-01 株式会社Pfu 情報処理装置、通信検査方法及びプログラム

Also Published As

Publication number Publication date
US20170078312A1 (en) 2017-03-16
US10397248B2 (en) 2019-08-27
JP6641819B2 (ja) 2020-02-05

Similar Documents

Publication Publication Date Title
JP6641819B2 (ja) ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム
JP6142702B2 (ja) 監視装置、監視方法及びプログラム
US9372995B2 (en) Vulnerability countermeasure device and vulnerability countermeasure method
CN108234171B (zh) 一种数据处理方法、系统以及装置
CN110708215A (zh) 深度包检测规则库生成方法、装置、网络设备及存储介质
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
JP6502902B2 (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
CN110740144B (zh) 确定攻击目标的方法、装置、设备及存储介质
TW201626759A (zh) 用於自共用公用ip位址之網際網路請求訊務偵測由一具有額外非指定網域名稱的網路伺服器所選擇之複數個用戶端終端機之裝置的數量之方法,及用於選擇性偵測其之系統
CN110808967B (zh) 挑战黑洞攻击的检测方法及相关装置
JP2017211806A (ja) 通信の監視方法、セキュリティ管理システム及びプログラム
JP6476853B2 (ja) ネットワーク監視システム及び方法
EP3408989B1 (en) Detecting malware on spdy connections
CN111079144B (zh) 一种病毒传播行为检测方法及装置
JP5925287B1 (ja) 情報処理装置、方法およびプログラム
CN114244610A (zh) 一种文件传输方法、装置,网络安全设备及存储介质
CN113961920A (zh) 可疑进程处理方法、装置、存储介质及电子设备
JP6063340B2 (ja) 指令元特定装置、指令元特定方法、及び指令元特定プログラム
JP2018098727A (ja) サービスシステム、通信プログラム、及び通信方法
KR101518469B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
JP2013192033A (ja) 中継装置、中継処理のための情報処理方法及びプログラム、経路制御装置、経路制御のための情報処理方法及びプログラム、並びに情報処理システム
KR101428721B1 (ko) 트래픽 분석을 통한 악성 트래픽 탐지 방법 및 그 시스템
JP2009081736A (ja) パケット転送装置及びパケット転送プログラム
JP2015133547A (ja) ネットワーク監視装置、監視方法及びプログラム
US11977648B2 (en) Information protection apparatus, information protection method and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180514

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190422

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190611

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190729

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191203

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191216

R150 Certificate of patent or registration of utility model

Ref document number: 6641819

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150