JP2017076841A - 監視装置および監視方法 - Google Patents

監視装置および監視方法 Download PDF

Info

Publication number
JP2017076841A
JP2017076841A JP2015202226A JP2015202226A JP2017076841A JP 2017076841 A JP2017076841 A JP 2017076841A JP 2015202226 A JP2015202226 A JP 2015202226A JP 2015202226 A JP2015202226 A JP 2015202226A JP 2017076841 A JP2017076841 A JP 2017076841A
Authority
JP
Japan
Prior art keywords
packet
discriminator
header information
classifier
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015202226A
Other languages
English (en)
Inventor
啓仁 野村
Keiji Nomura
啓仁 野村
亮一 鈴木
Ryoichi Suzuki
亮一 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015202226A priority Critical patent/JP2017076841A/ja
Publication of JP2017076841A publication Critical patent/JP2017076841A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】多様な検知回避行動のパターンに柔軟に対応する。【解決手段】複数種類の判別器23は、パケットのヘッダ情報に基づいて、該パケットが攻撃によるスキャンのためのものであるか、もしくは所定の操作によるものであるかを判断する。分類器22は、判別器23からヘッダ情報に基づいて適切なものを選択して、パケットのヘッダ情報を送信する。判別器23のそれぞれは、特定の監視期間を設定し、ヘッダ情報が特定の条件に合致するパケットから求めた特徴量が、監視期間中に、所定の判別条件を満たした場合に、該パケットが攻撃によるスキャンのためのものであるか、もしくは所定の操作によるものであるかを判断する。【選択図】図2

Description

本発明は、ネットワークの監視装置および監視方法に関する。
近年、官公庁や企業等の特定の相手を標的とし、長期に渡って組織内部に潜入・情報を窃取する高度標的型攻撃が大きな問題となっている。高度標的型攻撃では、標的組織のネットワーク上の端末にマルウェアを感染させた後に、感染した端末(感染端末)がネットワーク上の他の端末の脆弱性を突いて、さらに感染端末を増やす行動をとることがある。
このとき、感染端末は、他の端末に試験パケットを送り、対象からの応答を得るスキャンを行う。スキャンによって、感染端末は、ネットワーク上に存在する端末のIPアドレス、利用可能なTCP/UDPポート、および端末のOS等の情報を収集する。
高度標的型攻撃において、攻撃者は、ネットワーク管理者にスキャンが検知されるのを防ぐため、スキャン頻度を極端に遅くする低速スキャン等の検知回避行動を感染端末にとらせることがある。
このような検知回避行動への対策として、例えば低速スキャンの宛先ポートの一様性を仮定した統計的仮説検定を用いた手法や、端末ごとのTCPセッション確立失敗数をカウントしてスキャンを検知する手法が知られている。
IPA、"「高度標的型攻撃」対策に向けたシステム設計ガイド"、p.7、2014、[online]、[2015年9月25日検索]、インターネット<https://www.ipa.go.jp/files/000046236.pdf> TREND MICRO、"2013年 国内における持続的標的型攻撃の分析"、2014、[online]、[2015年9月25日検索]、インターネット<http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20140320013250.html> 武仲 正彦、鳥居 悟、古川 和快、清水 聡、"ランダムで低速なポートスキャンの検知についての検討2"、Symposium on Cryp-tography and Information Security 2013(SCIS2013)、2013. 嶌田 一郎、津田 侑、衛藤 将史、井上 大介、"ライブネットにおける低速スキャン検知手法"、Computer Security Symposium 2014 (CSS2014)、2014.
しかしながら、従来の技術には多様な検知回避行動のパターンに対応できないという問題があった。また、検知のために必要なリソースが増大する場合があるという問題があった。
例えば、攻撃者が、感染端末から取得したセッション確立情報やトラヒック情報を基に、通信可能なネットワーク端末やOSの情報を特定し、より効果的な攻撃が期待できるポートへのスキャンを優先的に行うことが考えられる。
この場合、宛先ポートが一様であるスキャンと比較して、実行されるスキャンの回数は、少なくなることが考えられる。そのため、従来の技術によってこのようなスキャンを検知するためには、検出閾値を下げることが考えらえるが、その場合、ネットワーク上の正規ユーザの設定ミスや誤操作等も誤検知する恐れがある。よって、従来の技術ではこのようなパターンに対しては対応することができない。
また、例えば低速スキャンの検知を行う場合、スキャンの頻度に応じた長い監視期間が必要である。これに対して、設定ミスや誤操作等の検知を行う場合は、長い監視期間は不要である。このため、低速スキャンの検知と、設定ミスや誤操作等の検知とを同じ監視期間で行う場合、監視に必要なリソースが増大するという問題が発生することが考えられる。
本発明の監視装置は、ネットワークを流れるパケットのIPおよび上位プロトコルのヘッダ情報に基づいて、攻撃によるスキャンを検知する監視装置であって、パケットのヘッダ情報に基づいて、該パケットが攻撃によるスキャンのためのものであるか、もしくは所定の操作によるものであるかを判断する複数種類の判別器と、前記複数種類の判別器から前記ヘッダ情報に基づいて判別器を選択して、該判別器にパケットのヘッダ情報を送信する分類器と、を有し、前記複数種類の判別器のそれぞれは、特定の監視期間を設定し、ヘッダ情報が特定の条件に合致するパケットから求めた特徴量が、前記監視期間中に、所定の判別条件を満たした場合に、該パケットが攻撃によるスキャンのためのものであるか、もしくは所定の操作によるものであるかを判断することを特徴とする。
本発明の監視方法は、ネットワークを流れるパケットのIPおよび上位プロトコルのヘッダ情報に基づいて、攻撃によるスキャンを検知する監視方法であって、複数種類の判別器と、分類器と、を有する監視装置で実行される監視方法であって、前記分類器が前記複数種類の判別器から前記ヘッダ情報に基づいて判別器を選択して、該判別器にパケットのヘッダ情報を送信する分類工程と、前記複数種類の判別器のそれぞれが、特定の監視期間を設定し、ヘッダ情報が特定の条件に合致するパケットから求めた特徴量が、前記監視期間中に、所定の判別条件を満たした場合に、該パケットが攻撃によるスキャンであるか否か、もしくは所定の操作によるものであるか否かを判断する判別工程と、を含んだことを特徴とする。
本発明によれば、多様な検知回避行動のパターンに柔軟に対応できる。また、検知のために必要となるリソースの量も低減できる。
図1は、第1の実施形態に係る監視装置を含むネットワークの構成の一例を示す図である。 図2は、第1の実施形態に係る監視装置の構成の一例を示す図である。 図3は、ホワイトリストの一例を示す図である。 図4は、第1の実施形態に係る監視装置の分類器の構成の一例を示す図である。 図5は、第1の実施形態に係る監視装置の判別器の構成の一例を示す図である。 図6は、第1の実施形態に係る監視装置の判別器が保管する監視情報の一例を示す図である。 図7は、第1の実施形態に係る監視装置の動作の一例を示す図である。 図8は、第1の実施形態に係る監視装置の動作の一例を示す図である。 図9は、第1の実施形態に係る監視装置の動作の一例を示す図である。 図10は、第1の実施形態に係る監視装置の判別処理の一例を示す図である。 図11は、第1の実施形態に係る監視装置の応答処理の一例を示す図である。 図12は、プログラムが実行されることにより監視装置が実現されるコンピュータの一例を示す図である。
以下に、本願に係る監視装置および監視方法の実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本願に係る監視装置および監視方法が限定されるものではない。
[第1の実施形態]
以下の実施形態では、第1の実施形態に係る監視装置の構成および各処理の流れを説明し、最後に第1の実施形態による効果を説明する。
[第1の実施形態の構成]
まず、図1を用いて監視装置を含むネットワークの構成について説明する。図1は、第1の実施形態に係る監視装置を含むネットワークの構成の一例を示す図である。図1に示すように、監視装置1、端末2、感染端末2aがネットワークに接続されている。
感染端末2aは、マルウェアに感染した端末である。感染端末2aは、感染の拡大を目的としてネットワークを経由して端末2に対してパケットを送出し応答を得ることでスキャンを行い、IPアドレス、利用可能なTCP/UDPポートおよびOSの情報等を収集する。このとき、感染端末2aは、スキャンの頻度を非常に低くする検知回避行動をとる場合がある。
端末2および感染端末2aは、ユーザの操作によって、もしくは設定に従って自動的にネットワーク上の他の端末に対してパケットを送出し通信を行う。このとき、端末2および感染端末2aは、操作ミスや設定ミス等によって、他の端末の空いていないポートを宛先としてパケットを送出する等、本来正常と考えられていない通信を行う場合がある。
監視装置1は、端末2および感染端末2aを含むネットワーク上のパケットのIPおよび上位プロトコルのヘッダ情報を取得する。そして、監視装置1は、ポートスキャンを検知するために取得したヘッダ情報を分析し、分析結果に応じた応答処理を行う。以降、監視装置1の構成について詳細に説明する。
[監視装置の構成]
図2を用いて監視装置1の構成について説明する。図2は、第1の実施形態に係る監視装置の構成の一例を示す図である。図2に示すように、監視装置1は、入出力部10、制御部20および記憶部30を有する。また、制御部20は、フィルタリング部21、分類器22、判別器23を有する。なお、判別器23は、複数であってもよい。また、記憶部30は、ホワイトリスト31および構成管理DB32を有する。
入出力部10には、前述のネットワーク上のパケットのIPおよび上位プロトコルのヘッダ情報が入力される。そして、入出力部10は、制御部20等による分析の結果を監視結果情報として出力する。監視結果情報には、例えば各判別ロジックに検知された端末のIPアドレス、疑わしいスキャンの種類等が含まれる。監視結果情報は、ディスプレイ等のインタフェースを介してユーザに認識可能な形式で出力されてもよいし、マルウェア駆除のための装置等から参照可能な形式で外部の記憶装置に蓄積されるようにしてもよい。
制御部20は、入出力部10に入力されたヘッダ情報を各部の処理により分析する。フィルタリング部21は、記憶部30のホワイトリスト31を参照し、ヘッダ情報を基に正常な通信を抽出する。そして、フィルタリング部21は、抽出した正常な通信によるパケットのヘッダ情報を削除したうえで分類器22にヘッダ情報を送信する。また、フィルタリング部21は、リクエストに応じてホワイトリストの編集を行う。分類器22および判別器23については後述する。
記憶部30は、制御部20における各処理に必要な情報を記憶する。ホワイトリスト31は、安全な通信におけるパケットのヘッダ情報を記憶する。ホワイトリスト31には、例えば図3に示すように、正常な通信に対応した送信元IPアドレス、宛先IPアドレス、宛先ポート番号およびL4プロトコルからなる。図3は、ホワイトリストの一例を示す図である。
なお、フィルタリング部21は、ホワイトリスト31に記憶されている送信元IPアドレス、宛先IPアドレス、宛先ポート番号およびL4プロトコルに合致するヘッダ情報を持つパケットを正常な通信によるものとして抽出する。また、ホワイトリスト31は、エントリごとに有効期限を記憶するようにしてもよい。
例えば、図3に示すように、フィルタリング部21は、送信元IPアドレスが「10.10.20.10」、宛先IPアドレスが「10.10.30.10」、宛先ポート番号が「2020」、L4プロトコルが「TCP」であるパケットを、「2015/9/30」までの期間において、正常な通信によるものとして抽出する。
構成管理DB32は、ネットワーク内の装置構成情報を記憶する。構成管理DB32は、構成情報として、例えばネットワーク上の機器のIPアドレスおよびOS情報、機器の接続情報、サーバ等の提供サービスやオープンポート情報等を記憶する。なお、分類器22は、構成管理DB32から、装置のIPアドレスおよびポート番号を取得して新たな判別器を作成してもよい。
[分類器の構成]
分類器22は、判別器23から適切なものを選択して、パケットのヘッダ情報を送信する。分類器22は、ヘッダ情報を判別器23に判別させ、判別器23から判別結果としてフィードバック情報を取得し、フィードバック情報を基に応答処理を行う。図4を用いて分類器22の構成について説明する。図4は、第1の実施形態に係る監視装置の分類器の構成の一例を示す図である。図4に示すように、分類器22は、送受信部221、管理部222、割当部223、応答部224、判別器作成部225、判別器更新部226およびリクエスト作成部227を有する。
送受信部221は、分類器22における各情報の送受信を行う。例えば、送受信部221は、フィルタリング部21からパケットのヘッダ情報を受信する。また、送受信部221は、割当部223が判別器23に割り当てたヘッダ情報を判別器23それぞれに送信する。また、送受信部221は、判別器23からフィードバック情報を受信する。また、送受信部221は、分類器22における応答処理の結果を監視装置1の入出力部10へ送信する。また、送受信部221は、リクエスト作成部227が作成したホワイトリストの編集のためのリクエストをフィルタリング部21へ送信する。
管理部222は、作成済みの判別器および作成可能な判別器の情報を管理する。管理部222が管理する情報は、例えば判別器の判別ロジックおよび判別ロジックに必要なパラメータや各判別器の状態である。さらに、管理部222が管理する判別器のパラメータには、個々の判別ロジックで必要になるパラメータや、監視期間を定めるパラメータが含まれる。また、管理部222は、各判別器の状態として、例えば作成時刻、各判別器が監視するヘッダ情報の種類等を管理する。
割当部223は、管理部222が管理している情報および所定の割り当てロジックに従って、送受信部221が受信したヘッダ情報を判別器23それぞれに割り当てる。そして、前述の通り、送受信部221は、割当部223が判別器23に割り当てたヘッダ情報を判別器23それぞれに送信する。
応答部224は、送受信部221が判別器23から受信したフィードバック情報に基づいて各種応答処理を行う。応答部224は、単独もしくは複数の判別器23のフィードバック情報を基に攻撃情報を判定する判定ロジックを持つ。そして、応答部224は、判定した攻撃情報に基づいて判別器作成部225、判別器更新部226またはリクエスト作成部227に応答処理を実行させる。また、応答部224は、各部に応答処理を行わせることなく、送受信部221に、判定結果をネットワーク管理者や他のセキュリティ機器に送信させるようにしてもよい。
判別器作成部225は、初期設定として、またはフィードバック情報に基づく応答処理として判別器23を作成する。このとき、判別器作成部225は、管理部222から判別ロジックおよび判別ロジックに必要なパラメータを取得し、さらに必要に応じて構成管理DB32から構成情報および設定情報を取得する。また、判別器作成部225は、作成した判別器23の情報を管理部222に管理させる。
判別器更新部226は、作成済みの判別器23のパラメータの設定を行う。なお、判別器更新部226は、判別器作成部225と同様に、必要に応じて管理部222および構成管理DB32を参照することもできる。また、判別器更新部226は、パラメータの設定を行った判別器23の情報を管理部222に更新させる。
リクエスト作成部227は、フィードバック情報を基に、フィルタリング部21にホワイトリスト31を編集させるためのリクエストを作成する。このとき、リクエスト作成部227は、リクエストにホワイトリスト31のエントリおよび追加もしくは削除を示すフラグを含める。リクエストに含まれるエントリには、送信元IPアドレス、宛先IPアドレス、宛先ポート番号およびL4プロトコル等が含まれる。なお、前述の通り、リクエスト作成部227が作成したリクエストは、送受信部221によってフィルタリング部21へ送信される。
このように、分類器22は、判別器23がフィードバックした所定の操作、例えば設定ミスによるものであると判断したパケットを安全であるとみなし、リクエストを作成し送信することで、ヘッダ情報をホワイトリスト31に追加する。
[判別器の構成]
複数種類の判別器23は、パケットのヘッダ情報に基づいて、該パケットが攻撃によるスキャンのためのものであるか、もしくは所定の操作によるものであるかを判断する。判別器23のそれぞれは、特定の監視期間を設定し、ヘッダ情報が特定の条件に合致するパケットから求めた特徴量が、監視期間中に、所定の判別条件を満たした場合に、該パケットが攻撃によるスキャンのためのものであるか、もしくは所定の操作によるものであるかを判断する。
判別器23は、分類器22が割り当てたヘッダ情報の判別を行い、判別結果をフィードバック情報として分類器22へ送信する。このとき、判別器23は、フィードバック情報によってパケットが攻撃によるスキャンのためのものであるか、もしくは所定の操作によるものであるかの判断の結果を表す。
図5を用いて判別器23の構成について説明する。図5は、第1の実施形態に係る監視装置の判別器の構成の一例を示す図である。図5に示すように、判別器23は、送受信部231、保管部233および判別部232を有する。
送受信部231は、判別器23における各情報の送受信を行う。例えば、送受信部231は、分類器22からヘッダ情報を受信する。また、送受信部231は、判別部232が作成したフィードバック情報を分類器22へ送信する。
判別部232は、各機能を用いてヘッダ情報を基にフィードバック情報を作成する。ここで判別部232の各機能について説明する。
まず、判別部232は、ヘッダ情報から監視に必要な特徴量を算出し、検知条件が満たされるか否かを判別する機能である判別ロジックを有する。このとき、判別部232は、判別結果を監視情報として保管部233に保管させる。
また、判別部232は、保管部233が保管している監視情報を管理する管理機能を有する。判別部232は、管理機能を用いて、分類器22が設定するパラメータの1つである監視期間に従って、保管部233が保管している監視情報が監視期間を超過しているか否かを逐次判定する。そして、監視期間を超過した監視情報が存在する場合、判別部232は、フィードバック情報作成機能によりフィードバック情報の作成を行う。なお、判別部232は、フィードバック情報の作成に必要な監視情報を取得後、保管部233から当該監視情報を削除するようにしてもよい。
また、判別部232は、判別ロジックの判別結果、または監視期間の超過をトリガとして、フィードバック情報を作成する機能を有する。前述の通り、フィードバック情報は、送受信部231によって分類器22へ送信される。フィードバック情報には、例えば判別結果、判別器IDおよび属性値が含まれる。
判別結果は、例えば攻撃によるものではないと判別したことを示す「White」、攻撃によるものであると判別したことを示す「Black」、またはどちらとも判別ができなかったことを示す「Grey」の3値のいずれかである。判別器IDは、判別を行った判別器の識別情報である。属性値は、判別結果の内容を説明する情報であり、判別器ごとに構成および値が異なる。
保管部233は、分類器22から受信したヘッダ情報、ヘッダ情報に含まれる判別に必要な特徴量、ヘッダ情報を受信した時刻のタイムスタンプ、判別部232による判別結果等を監視情報として保管する。また、監視期間が経過し、フィードバック情報の分類器22への送信が完了した場合は、保管部233は、保管している監視情報を破棄することとしてもよい。
図6を用いて保管部233が保管する監視情報について説明する。図6は、第1の実施形態に係る監視装置の判別器が保管する監視情報の一例を示す図である。例えば図6に示すように、保管部233は、ヘッダ情報のうち送信元IPアドレスが「10.10.20.10」、宛先IPアドレスが「10.10.30.10」、宛先ポート番号が「1000」であるパケットが検知条件を満たした回数「10」を保管する。
また、保管部233は、回数を加算する際に、最後に加算された日時を示すタイムスタンプを記憶し、監視情報一式を同一時刻のものとして扱う。なお、保管部233は、個々の監視情報ごとにタイムスタンプを対応させて記憶するようにしてもよい。
例えば、判別部232は、パケットが検知条件を満たした回数と閾値との比較結果を基にフィードバック情報を作成する。このとき、判別部232は、送信元IPアドレスごとの回数を集約することとしてもよい。その場合、図6の例では、送信元IPアドレス「10.10.20.10」については、集約した回数「25」を基にフィードバック情報が作成される。なお、保管部233は、宛先IPアドレスおよび宛先ポート番号を記憶せずに、送信元IPアドレスごとに回数を記憶するようにしてもよい。
[動作例1]
以降、具体的な例を用いて監視装置1の動作について説明する。なお、任意の構成もしくは設定でよい部分については説明を省略する。まず、図7を用いて低速スキャンによるパケットと設定ミスによるパケットとを検知する場合について説明する。図7は、第1の実施形態に係る監視装置の動作の一例を示す図である。
図7の例において、判別器23bは、第1の監視期間を設定し、特定の条件、例えばTCP接続の確立に失敗したという条件に合致するパケットを送信元IPアドレスごとにカウントし、カウント数が、第1の監視期間中に、所定の閾値を超えた場合に、該パケットが設定ミス等によるものであって、攻撃によるスキャンのためのものでないと判断する。このとき、判別器23aは、第1の監視期間より長い第2の監視期間を設定し、特定の条件、例えばTCP接続の確立に失敗したという条件に合致するパケットを送信元IPアドレスごとにカウントし、カウント数が、第2の監視期間中に、所定の閾値を超えた場合に、該パケットが攻撃によるスキャンのためのものであると判断する。以降、図7の例について具体的に説明する。
まず、図7の例においては、通常の通信を行う端末に加えて、マルウェアに感染した感染端末A、および宛先ポート番号が誤って設定された設定ミス端末Mが存在するものとする。
感染端末Aは、ネットワークの情報を得るために、幅広い宛先IPアドレスおよび宛先ポート番号に対して、1日に平均30回程度の頻度でスキャンのためのパケットAを送信する。また、設定ミス端末Mは、組織内プロキシサーバのIPアドレスを宛先IPアドレス、プロキシサーバの利用ポート番号(例えば33303)に近いポート番号(例えば33033)を宛先ポート番号として、1分間に平均10回程度の頻度でパケットMを送信しアクセスを行う。
まず、図7に示すように、分類器22は、判別器(Slow)23aおよび判別器(プロキシポートミス)23bを作成する。このとき、分類器22は、判別器23aの監視期間として「1週間」を設定する。また、分類器22は、判別器23bの監視期間として「30分」を設定する。また、分類器22は、判別器23aおよび判別器23bの検知条件として、「TCPセッション確立失敗」を設定する。また、分類器22は、判別器23aおよび判別器23bのそれぞれに所定の閾値を設定する。
まず、パケットAおよびパケットMのヘッダ情報は、ホワイトリスト31に記憶されていないため、分類器22へ送信される。
ここで、分類器22は、割当条件に従ってヘッダ情報を各判別器に割り当てる。例えば、判別器23aの割当条件は「全て」であるため、分類器22は、全てのヘッダ情報を判別器23aに割り当てる。また、判別器23bの割当条件は「宛先IPアドレスが組織内プロキシサーバのIPアドレス」であるため、分類器22は、宛先IPアドレスが組織内プロキシサーバのIPアドレスであるヘッダ情報を判別器23bに割り当てる。
なお、同一のヘッダ情報が複数の判別器に対して重複して送信されてもかまわない。また、組織内プロキシサーバのIPアドレスは構成管理DB32に記憶されている。また、図7の例では、スキャンのためのパケットが幅広い宛先IPアドレスおよび宛先ポート番号に対して送信されることを想定しているため、全てのヘッダ情報を判別器23aに割り当てることとしている。これに対して、スキャンのためのパケットの宛先等の特徴をある程度特定できる場合は、特定した特徴に応じた割当条件を判別器23aに設定してもよい。
これより、分類器22は、パケットAおよびパケットAに対する応答パケットのヘッダ情報を判別器23aに送信する。また、分類器22は、パケットMおよびパケットMに対する応答パケットのヘッダ情報を判別器23aおよび判別器23bに送信する。そして、分類器22は、判別器23aおよび判別器23bからのフィードバック情報を基に応答処理を行う。
ここで、検知条件「TCPセッション確立失敗」の判定方法の一例について説明する。例えばヘッダ情報からSYNパケットであることが判明しているパケットについて、送信元と宛先が逆転した応答パケットとしてRSTパケットが存在している場合、判別器は、当該SYNパケットを検知条件「TCPセッション確立失敗」を満たすパケットとしてカウントする。
この場合、パケットのカウント数が、判別器23における、ヘッダ情報が特定の条件に合致するパケットから求めた特徴量として用いられる。そして、判別器23は、パケットのカウント数が所定の閾値を超えた場合に、判別条件が満たされたと判断する。
また、判別器23におけるパケットから求めた特徴量は、パケットのカウント数に限られない。例えば、判別器23は、あるパケットと他のパケットとの共起確率をパケットから求めた特徴量としてもよい。この場合、判別器23は、例えば共起確率が事前に設定した上限値を超えるか、または下限値を下回った場合に、判別条件が満たされたと判断する。
また、判別器23aは、閾値を超えたヘッダ情報について攻撃によるスキャンのためのパケットのものであるとみなし、フィードバック情報における判別結果を「Black」とする。一方、判別器23bは、閾値を超えたヘッダ情報について攻撃によるスキャンのためのパケットのものでないとみなし、フィードバック情報における判別結果を「White」とする。
そして、例えば判別器23aによるパケットAのヘッダ情報についての判別結果が「Black」であり、判別器23bからの「White」の判定がない、または「Grey」であった場合、分類器22は応答部224のもつ判定ロジックによって、パケットAが攻撃によるスキャンのためのものであると判定し、ネットワーク管理者に対しアラームを出力する。
また、例えば判別器23aによるパケットMのヘッダ情報についての判別結果が「Black」であり、判別器23bによるパケットMのヘッダ情報についての判別結果が「White」であった場合、分類器22は応答部224のもつ判定ロジックによって、パケットMは設定ミスとして判定し、パケットMのヘッダ情報をホワイトリスト31に追加するリクエストを作成し、作成したリクエストをフィルタリング部21に送信する。
なお、パケットAの宛先IPアドレスが組織内プロキシサーバのIPアドレスであることも当然あり得る。この場合、分類器22は、パケットAおよびパケットAに対する応答パケットのヘッダ情報を判別器23aだけでなく、判別器23bにも送信する。このとき、判別器23bは、パケットAを攻撃によるスキャンのためのパケットのものでないとみなし、判別結果を「White」とする誤検知を発生させる場合がある。しかし、このような場合であっても、応答部224の判定ロジックによって、パケットAは設定ミスとして判定される。
なお、応答部224の判定ロジックは、各判別器の判別結果の信頼性等に基づき任意の判定方法を設定できるものとする。例えば、判別器23aの判別結果が「Black」である場合、常に当該パケットを攻撃によるものであると判定するようにしてもよい。
[動作例2]
次に、図8を用いてポート番号設定ミスによるパケットと、IPアドレス設定ミスによるパケットとを検知する場合について説明する。図8は、第1の実施形態に係る監視装置の動作の一例を示す図である。なお、図8の例においては直接的に攻撃によるスキャンが検知されるわけではないが、ホワイトリスト31が編集されることにより、攻撃によるスキャンの検知精度が向上する。
図8の例において、構成管理DB32は、プロキシサーバのIPアドレス、およびプロキシサーバのポート番号を記憶する。このとき、判別器23cは、特定の監視期間を設定し、プロキシサーバのポート番号の10進数表記とのレーベンシュタイン距離があらかじめ設定した値以下であるポート番号が設定されているという条件に合致するパケットを送信元IPアドレスごとにカウントし、カウント数が、特定の監視期間中に、所定の閾値を超えた場合に、該パケットがポート番号の設定ミス等によるものであって、攻撃によるスキャンのためのものでないと判断する。
また、判別器23dは、特定の監視期間を設定し、プロキシサーバのIPアドレスの10進数表記とのレーベンシュタイン距離が所定値以下であるIPアドレスが設定されているという条件に合致するパケットを送信元IPアドレスごとにカウントし、カウント数が、特定の監視期間中に、所定の閾値を超えた場合に、該パケットがIPアドレスの設定ミス等によるものであって、攻撃によるスキャンのためのものでないと判断する。
なお、2つの文字列間のレーベンシュタイン距離が小さいということは、類似度が大きいということを示している。つまり、レーベンシュタイン距離があらかじめ設定した値以下であることは、類似度があらかじめ設定した値以上であるということである。
そして、分類器22は、ヘッダ情報の宛先IPアドレスがプロキシサーバのIPアドレスであるパケットのヘッダ情報を判別器23cに送信し、ヘッダ情報の宛先ポート番号がプロキシサーバのポート番号であるパケットのヘッダ情報を判別器23dに送信する。以降、図8の例について具体的に説明する。なお、図8の例では、レーベンシュタイン距離の設定値は1である。また、プロキシサーバのIPアドレスが「10.10.10.10」、ポート番号が「2020」であるものとする。
そして、図8に示すように、分類器22は、判別器(ポート番号設定ミス)23cおよび判別器(IPアドレス設定ミス)23dを作成する。このとき、分類器22は、判別器23cおよび判別器23dのそれぞれに所定の監視期間および閾値を設定する。また、分類器22は、判別器23cの検知条件として、「宛先ポート番号が打ち間違え候補かつTCPセッション確立失敗」を設定する。また、分類器22は、判別器23dの検知条件として、「宛先IPアドレスが打ち間違え候補かつTCPセッション確立失敗」を設定する。
ここで、宛先ポート番号の打ち間違え候補について説明する。ポート番号の打ち間違え候補は、例えばプロキシサーバの宛先ポート番号の10進数表記におけるレーベンシュタイン距離が1以下である番号である。これより、プロキシサーバのポート番号「2020」に対する打ち間違え候補の例として「202」、「2002」、「20202」、「020」、「0220」等が挙げられる。
一方、宛先IPアドレスの打ち間違え候補は、プロキシサーバのIPアドレスの10進数表記におけるレーベンシュタイン距離が1以下である番号である。これより、プロキシサーバのIPアドレス「10.10.10.10」に対する打ち間違え候補の例として「10.10.10.11」、「10.10.10.01」、「10.10.101.10」、「10.1.10.100」等が挙げられる。
なお、上記の例では打ち間違え候補とする番号のレーベンシュタイン距離は、1以下であるが、他の値であってもよい。また、レーベンシュタイン距離を用いない任意の方法により打ち間違え候補を作成することとしてもよい。
ここで、分類器22は、割当条件に従ってヘッダ情報を各判別器に割り当てる。例えば、判別器23cの割当条件は「宛先IPアドレスが「10.10.10.10」」であるため、分類器22は、宛先IPアドレスが「10.10.10.10」であるヘッダ情報を判別器23cに割り当てる。また、判別器23dの割当条件は「宛先ポート番号が「2020」」であるため、分類器22は、宛先ポート番号が「2020」であるヘッダ情報を判別器23dに割り当てる。そして、判別器23cおよび判別器23dは、閾値を超えたヘッダ情報のフィードバック情報における判別結果を「White」とする。
例えば、判別器23cによる判別結果が「White」であったヘッダ情報について、分類器22は、ポート番号の設定ミスであるものと判定し、当該ヘッダ情報をホワイトリスト31に追加するリクエストを作成し、作成したリクエストをフィルタリング部21に送信する。
一方、判別器23dによる判別結果が「White」であったヘッダ情報について、分類器22は、IPアドレスの設定ミスであるものと判定し、当該ヘッダ情報をホワイトリスト31に追加するリクエストを作成し、作成したリクエストをフィルタリング部21に送信する。
[動作例3]
図9を用いて低速スキャンによるパケットを検知する場合であって、応答処理において判別器を新規作成する場合について説明する。図9は、第1の実施形態に係る監視装置の動作の一例を示す図である。
図9の例において、判別器23eは、攻撃または安全であると判定できないと判断したパケットのヘッダ情報、すなわち判別結果が「Grey」であるヘッダ情報を分類器22へ通知する。このとき、分類器22は、該パケットのヘッダ情報を基に判別器23fを作成し、判別器23fに該パケットのヘッダ情報を送信する。また、判別器23fは、該パケットが攻撃によるスキャンのためのものであるか否かを判断する。以降、図9の例について具体的に説明する。
まず、図9の例においては、通常の通信を行う端末に加えて、マルウェアに感染した感染端末XおよびYが存在するものとする。
感染端末Xは、ネットワークの情報を得るために、幅広い宛先IPアドレスおよび宛先ポート番号に対して、1日に平均60回(1時間に平均2.5回)程度の頻度でスキャンのためのパケットXを送信する。また、感染端末Yは、ネットワークの情報を得るために、幅広い宛先IPアドレスおよび宛先ポート番号に対して、1日に平均6000回(1時間に平均250回)程度の頻度でスキャンのためのパケットYを送信する。
まず、図9に示すように、分類器22は、判別器(失敗カウントShort)23eを作成する。このとき、分類器22は、判別器23eの監視期間として「1時間」を設定する。また、分類器22は、判別器23eの検知条件として、「TCPセッション確立失敗」を設定する。また、分類器22は、判別器23eの閾値として「20」を設定する。そして、判別器23eは、回数が閾値を超えたヘッダ情報のフィードバック情報における判別結果を「Black」、回数が1以上閾値未満のヘッダ情報のフィードバック情報における判別結果を「Grey」とする。
まず、パケットXおよびパケットYのヘッダ情報は、ホワイトリスト31に記憶されていないため、分類器22へ送信される。ここで、分類器22は、全てのヘッダ情報を判別器23eに送信するように設定されている。
これより、分類器22は、パケットXおよびパケットYに対する応答パケットのヘッダ情報を判別器23eに送信する。そして、分類器22は、判別器23eからのフィードバック情報を基に応答処理を行う。
ここで、パケットYは1時間に平均250回の頻度で送信されるため、パケットYの回数が閾値である20を超え、パケットYが判別器23eによって「Black」と判別される可能性が高い。一方、パケットXは1時間に平均2.5回の頻度で送信されるため、パケットXの回数が閾値である20を超える可能性は低く、パケットXが判別器23eによって「Black」と判別される可能性は低い。ただし、パケットXが判別器23eによって「Grey」と判別される可能性がある。
判別器23eの割当条件は「全て」であるため、分類器22は、割当条件に従って全てのヘッダ情報を判別器23eに割り当てる。そして、判別器23eからのフィードバック情報における判別結果が「Grey」である場合、分類器22は、応答部224のもつ判定ロジックによって、パケットYは攻撃によるスキャンの疑いがあると判定し、応答処理として判別器(失敗カウントLong)23fを作成する。そして、判別器23fの割当条件は「判別器(失敗カウントShort)の判別結果が「Grey」」であるため、分類器22は、判別器23eの判別結果が「Grey」であったヘッダ情報を判別器23fに送信する。
このとき、図9に示すように、分類器22は、判別器23fの監視期間として「1週間」を設定する。また、分類器22は、判別器23fの検知条件として「TCPセッション確立失敗」を設定する。また、分類器22は、判別器23fの閾値として「10」を設定する。そして、判別器23fは、回数が閾値を超えたヘッダ情報のフィードバック情報における判別結果を「Black」とする。
このように、分類器22が、応答処理として、作成済みの判別器を基に監視期間を大きくもしくは閾値を小さく設定した判別器を作成することで、作成済みの判別器では明確な判別ができなかったヘッダ情報についても判別を行うことができる。この場合、パケットXは、判別器23fによって「Black」と判別される可能性が高い。
[第1の実施形態の処理]
図10を用いて、監視装置1の処理について説明する。図10は、第1の実施形態に係る監視装置の判別処理の一例を示す図である。図10に示すように、まず入出力部10は、ネットワーク上のパケットのヘッダ情報を受信する(ステップS10)。次に、フィルタリング部21は、ホワイトリスト31を参照し、受信したヘッダ情報のうちホワイトリスト31に含まれるものを削除することでヘッダ情報の編集を行う(ステップS11)。
そして、分類器22は、割り当てロジックに従ってヘッダ情報を判別器23に割り当てる(ステップS12)。ここで、判別器23は、割り当てられたヘッダ情報について判別を行い、フィードバック情報を作成する(ステップS13)。そして、分類器22は、フィードバック情報に応じた応答処理を行う(ステップS14)。
図11を用いて、応答処理について説明する。図11は、第1の実施形態に係る監視装置の応答処理の一例を示す図である。図11に示すように、まず分類器22は、受け取った一つまたは複数の判別結果を応答部224の保持する判定ロジックによって判定する(ステップS141)。そして、分類器22は、判定結果に応じた異なる応答処理を実行する(ステップS142)。
まず、判定結果が「攻撃によるスキャンでないと断定」である場合(ステップS142、攻撃によるスキャンでないと断定)、分類器22は、ホワイトリスト31を編集するためのリクエストを作成する(ステップS143)。例えば、判別結果から、パケットが設定ミスや操作ミス等によるものであることが明らかである場合に、分類器22は、当該パケットを攻撃によるスキャンではないと断定する。
また、判定結果が「攻撃によるスキャンの疑いあり」である場合(ステップS142、攻撃によるスキャンの疑いあり)、分類器22は、新たな判別器を作成する(ステップS144)。ここで、分類器22は、作成済みの判別器を基に、監視期間を大きくもしくは閾値を小さく設定した判別器を作成するようにしてもよい。さらに、この場合、分類器22は、新たな判別器を作成することなく、作成済みの判別器のパラメータの設定を行うようにしてもよい。
また、判定結果が「攻撃によるスキャンと断定」である場合(ステップS142、攻撃によるスキャンと断定)、分類器22は、ネットワーク管理者に対してアラームを出力する(ステップS145)。
なお、各判定結果に対する分類器22の応答処理は、上記のものに限定されない。例えば、判定結果が「攻撃によるスキャンでないと断定」、または「攻撃によるスキャンの疑いあり」である場合に、分類器22は、パケットが設定ミスによるものであること等を記載したログを出力するようにしてもよい。これによって、攻撃によるスキャンへの対応が必要ない場合であっても、オペレータは、出力されたログに基づいて設定ミス等への対応を行うことが可能になる。
[第1の実施形態の効果]
複数種類の判別器23は、パケットのヘッダ情報に基づいて、該パケットが攻撃によるスキャンのためのものであるか、もしくは所定の操作によるものであるかを判断する。分類器22は、判別器23からヘッダ情報に基づいて適切なものを選択して、パケットのヘッダ情報を送信する。判別器23のそれぞれは、特定の監視期間を設定し、ヘッダ情報が特定の条件に合致するパケットから求めた特徴量が、監視期間中に、所定の判別条件を満たした場合に、該パケットが攻撃によるスキャンのためのものであるか、もしくは所定の操作によるものであるかを判断する。
これにより、攻撃による低速スキャンと所定の操作、すなわち設定ミス等を識別して検知することができるため、多様な検知回避行動のパターンに柔軟に対応できる。
判別器23のそれぞれは、ヘッダ情報が特定の条件に合致するパケットを送信元IPアドレスごとにカウントした数をパケットから求めた特徴量としてもよい。
これにより、攻撃等の元となっているIPアドレスを特定することができる。
構成管理DB32は、ネットワーク内の装置構成情報を記憶する。そして、分類器22は、構成管理DB32から、装置のIPアドレスおよびポート番号を取得して新たな判別器を作成してもよい。
これにより、既存のネットワークの情報を利用することができ、効率よく分類器22や判別器23の設定を行うことができる。
ホワイトリスト31は、安全な通信におけるパケットのヘッダ情報を記憶するようにしてもよい。このとき、判別器23は、所定の操作によるものであると判断したパケットのヘッダ情報を分類器22へフィードバックする。さらに、分類器22は、リクエストを作成し送信することで、フィードバックされたヘッダ情報をホワイトリスト31に追加する。
これにより、ホワイトリスト31が編集され、誤検知率を低下させ、検知精度を向上させることができる。
判別器23eは、攻撃または安全とは断定できないと判断したパケットのヘッダ情報を分類器22へ通知するようにしてもよい。このとき、分類器22は、該パケットのヘッダ情報を基に判別器23fを作成し、判別器23fに該パケットのヘッダ情報を送信する。また、判別器23fは、該パケットが攻撃によるスキャンのためのものであるか否かを判断する。
これにより、作成済みの判別器では明確な判別ができなかったパケットについても、より明確に判別ができるようになるため、多様な検知回避行動のパターンに対するさらに柔軟な対応が可能となる。また、長期的な監視を行うパケットを限定することにより、監視にかかるリソースを効率化することが可能となる。
判別器23bは、第1の監視期間を設定し、TCP接続の確立に失敗したという条件に合致するパケットを送信元IPアドレスごとにカウントし、カウント数が、第1の監視期間中に、所定の閾値を超えた場合に、該パケットが設定ミスによるものであると判断するようにしてもよい。このとき、判別器23aは、第1の監視期間より長い第2の監視期間を設定し、TCP接続の確立に失敗したという条件に合致するパケットを送信元IPアドレスごとにカウントし、カウント数が、第2の監視期間中に、所定の閾値を超えた場合に、該パケットが攻撃によるスキャンのためのものであると判断する。
これにより、低速スキャン等のより長期の監視が必要なものと設定ミス等の比較的短期間の監視でスキャンの判別が可能なものとが切り分けられるため、監視に必要なリソースを抑えることができる。
構成管理DB32は、プロキシサーバのIPアドレス、およびプロキシサーバのポート番号を記憶するようにしてもよい。このとき、判別器23cは、特定の監視期間を設定し、プロキシサーバのポート番号の10進数表記とのレーベンシュタイン距離があらかじめ設定した値以下であるポート番号が設定されているという条件に合致するパケットを送信元IPアドレスごとにカウントし、カウント数が、特定の監視期間中に、所定の閾値を超えた場合に、該パケットがポート番号の設定ミスによるものであると判断する。
また、判別器23dは、特定の監視期間を設定し、プロキシサーバのIPアドレスの10進数表記とのレーベンシュタイン距離が所定値以下であるIPアドレスが設定されているという条件に合致するパケットを送信元IPアドレスごとにカウントし、カウント数が、特定の監視期間中に、所定の閾値を超えた場合に、該パケットがIPアドレスの設定ミスによるものであると判断する。
そして、分類器22は、ヘッダ情報の宛先IPアドレスがプロキシサーバのIPアドレスであるパケットのヘッダ情報を判別器23cに送信し、ヘッダ情報の宛先ポート番号がプロキシサーバのポート番号であるパケットのヘッダ情報を判別器23dに送信する。
これにより、直接的に攻撃によるスキャンが検知されるわけではないが、ホワイトリスト31が編集されることにより、攻撃によるスキャンの検知精度が向上する。
[システム構成等]
また、図示した各装置の各構成要素は、機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は、図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPU(Central Processing Unit)および当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、監視装置1は、パッケージソフトウェアやオンラインソフトウェアとして上記の監視を実行する監視プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の監視プログラムを情報処理装置に実行させることにより、情報処理装置を監視装置1として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等のスレート端末等がその範疇に含まれる。
また、監視装置1は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の監視に関するサービスを提供するサーバ装置として実装することもできる。例えば、監視装置1は、ネットワーク上のパケットのヘッダ情報を入力とし、当該ヘッダ情報に対する監視結果を出力する監視サービスを提供するサーバ装置として実装される。この場合、監視装置1は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の監視に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図12は、プログラムが実行されることにより監視装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、監視装置の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、監視装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093およびプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093およびプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 監視装置
2 端末
2a 感染端末
10 入出力部
20 制御部
21 フィルタリング部
22 分類器
23 判別器
23a 判別器(Slow)
23b 判別器(プロキシポートミス)
23c 判別器(ポート番号設定ミス)
23d 判別器(IPアドレス設定ミス)
23e 判別器(失敗カウントShort)
23f 判別器(失敗カウントLong)
30 記憶部
31 ホワイトリスト
32 構成管理DB
221、231 送受信部
222 管理部
223 割当部
224 応答部
225 判別器作成部
226 判別器更新部
227 リクエスト作成部
232 判別部
233 保管部

Claims (8)

  1. ネットワークを流れるパケットのIPおよび上位プロトコルのヘッダ情報に基づいて、攻撃によるスキャンを検知する監視装置であって、
    パケットのヘッダ情報に基づいて、該パケットが攻撃によるスキャンのためのものであるか、もしくは所定の操作によるものであるかを判断する複数種類の判別器と、
    前記複数種類の判別器から前記ヘッダ情報に基づいて判別器を選択して、該判別器にパケットのヘッダ情報を送信する分類器と、
    を有し、
    前記複数種類の判別器のそれぞれは、特定の監視期間を設定し、ヘッダ情報が特定の条件に合致するパケットから求めた特徴量が、前記監視期間中に、所定の判別条件を満たした場合に、該パケットが攻撃によるスキャンのためのものであるか、もしくは所定の操作によるものであるかを判断することを特徴とする監視装置。
  2. 前記複数種類の判別器のそれぞれは、ヘッダ情報が特定の条件に合致するパケットを送信元IPアドレスごとにカウントした数を前記パケットから求めた特徴量とし、所定の閾値を超えることを前記所定の判別条件とすることを特徴とする請求項1に記載の監視装置。
  3. 前記ネットワーク内の装置構成情報を記憶する構成管理データベースをさらに有し、
    前記分類器は、前記構成管理データベースから、装置のIPアドレスおよびポート番号を取得して新たな判別器を作成することを特徴とする請求項1または2に記載の監視装置。
  4. 安全な通信におけるパケットのヘッダ情報を記憶するホワイトリストをさらに有し、
    前記判別器は、前記所定の操作によるものであると判断したパケットのヘッダ情報を前記分類器へフィードバックし、
    前記分類器は、該ヘッダ情報を前記ホワイトリストに追加することを特徴とする請求項1から3のいずれか1項に記載の監視装置。
  5. 前記判別器は、攻撃または安全とは断定できないと判断したパケットのヘッダ情報を前記分類器へ通知し、
    前記分類器は、該パケットのヘッダ情報を基に新たな判別器を作成し、前記新たな判別器に該パケットのヘッダ情報を送信し、
    前記新たな判別器は、該パケットが攻撃によるスキャンのためのものであるか否かを判断することを特徴とする請求項1から4のいずれか1項に記載の監視装置。
  6. 前記複数種類の判別器は、
    第1の監視期間を設定し、ヘッダ情報が特定の条件に合致するパケットから求めた特徴量が、前記第1の監視期間中に、所定の判別条件を満たした場合に、該パケットが攻撃によるスキャンのためのものでないと判断する第1の判別器と、
    前記第1の監視期間より長い第2の監視期間を設定し、ヘッダ情報が特定の条件に合致するパケットから求めた特徴量が、前記第2の監視期間中に、所定の判別条件を満たした場合に、該パケットが攻撃によるスキャンのためのものであると判断する第2の判別器と、
    を含んだことを特徴とする請求項1から5のいずれか1項に記載の監視装置。
  7. 前記構成管理データベースは、プロキシサーバのIPアドレス、および前記プロキシサーバのポート番号を記憶し、
    前記複数種類の判別器は、
    特定の監視期間を設定し、前記プロキシサーバのポート番号との類似度があらかじめ設定した値以上であるポート番号が設定されているという条件に合致するパケットから求めた特徴量が、前記特定の監視期間中に、所定の判別条件を満たした場合に、該パケットが攻撃によるスキャンのためのものでないと判断する第3の判別器と、
    特定の監視期間を設定し、前記プロキシサーバのIPアドレスとの類似度があらかじめ設定した値以上であるIPアドレスが設定されているという条件に合致するパケットから求めた特徴量が、前記特定の監視期間中に、所定の判別条件を満たした場合に、該パケットが攻撃によるスキャンのためのものでないと判断する第4の判別器と、
    を含み、
    前記分類器は、ヘッダ情報の宛先IPアドレスが前記プロキシサーバのIPアドレスであるパケットのヘッダ情報を前記第3の判別器に送信し、ヘッダ情報の宛先ポート番号が前記プロキシサーバのポート番号であるパケットのヘッダ情報を前記第4の判別器に送信することを特徴とする請求項3に記載の監視装置。
  8. ネットワークを流れるパケットのIPおよび上位プロトコルのヘッダ情報に基づいて、攻撃によるスキャンを検知する監視方法であって、
    複数種類の判別器と、
    分類器と、
    を有する監視装置で実行される監視方法であって、
    前記分類器が前記複数種類の判別器から前記ヘッダ情報に基づいて判別器を選択して、該判別器にパケットのヘッダ情報を送信する分類工程と、
    前記複数種類の判別器のそれぞれが、特定の監視期間を設定し、ヘッダ情報が特定の条件に合致するパケットから求めた特徴量が、前記監視期間中に、所定の判別条件を満たした場合に、該パケットが攻撃によるスキャンであるか否か、もしくは所定の操作によるものであるか否かを判断する判別工程と、
    を含んだことを特徴とする監視方法。
JP2015202226A 2015-10-13 2015-10-13 監視装置および監視方法 Pending JP2017076841A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015202226A JP2017076841A (ja) 2015-10-13 2015-10-13 監視装置および監視方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015202226A JP2017076841A (ja) 2015-10-13 2015-10-13 監視装置および監視方法

Publications (1)

Publication Number Publication Date
JP2017076841A true JP2017076841A (ja) 2017-04-20

Family

ID=58549478

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015202226A Pending JP2017076841A (ja) 2015-10-13 2015-10-13 監視装置および監視方法

Country Status (1)

Country Link
JP (1) JP2017076841A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112312075A (zh) * 2019-08-02 2021-02-02 广州弘度信息科技有限公司 一种用于视频监控网络的运维系统及方法
WO2021153032A1 (ja) * 2020-01-31 2021-08-05 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知方法、及び異常検知装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112312075A (zh) * 2019-08-02 2021-02-02 广州弘度信息科技有限公司 一种用于视频监控网络的运维系统及方法
WO2021153032A1 (ja) * 2020-01-31 2021-08-05 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知方法、及び異常検知装置

Similar Documents

Publication Publication Date Title
US10218740B1 (en) Fuzzy hash of behavioral results
US11503044B2 (en) Method computing device for detecting malicious domain names in network traffic
US10567422B2 (en) Method, apparatus and system for processing attack behavior of cloud application in cloud computing system
CN109889547B (zh) 一种异常网络设备的检测方法及装置
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
WO2019136953A1 (zh) 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质
CN111371735B (zh) 僵尸网络检测方法、系统及存储介质
US10320833B2 (en) System and method for detecting creation of malicious new user accounts by an attacker
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
JP2016152594A (ja) ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
JP6401424B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
US10757029B2 (en) Network traffic pattern based machine readable instruction identification
RU2531565C2 (ru) Система и способ анализа событий запуска файлов для определения рейтинга их безопасности
JP6386593B2 (ja) 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム
CN115695031A (zh) 主机失陷检测方法、装置及设备
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JP2017076841A (ja) 監視装置および監視方法
JP2007074339A (ja) 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム
JP7166969B2 (ja) ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法
JP2010250607A (ja) 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム
Chiba et al. Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts
JP6708575B2 (ja) 分類装置、分類方法および分類プログラム
US11425162B2 (en) Detection of malicious C2 channels abusing social media sites
JP7020362B2 (ja) 探索装置、探索方法及び探索プログラム
KR101896679B1 (ko) 악성코드 탐지장치 및 이의 악성코드 탐지방법