JP2017117224A - ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム - Google Patents

ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム Download PDF

Info

Publication number
JP2017117224A
JP2017117224A JP2015252245A JP2015252245A JP2017117224A JP 2017117224 A JP2017117224 A JP 2017117224A JP 2015252245 A JP2015252245 A JP 2015252245A JP 2015252245 A JP2015252245 A JP 2015252245A JP 2017117224 A JP2017117224 A JP 2017117224A
Authority
JP
Japan
Prior art keywords
definition information
information database
definition
processing unit
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015252245A
Other languages
English (en)
Other versions
JP6106861B1 (ja
Inventor
田中 直行
Naoyuki Tanaka
直行 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PFU Ltd
Original Assignee
PFU Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PFU Ltd filed Critical PFU Ltd
Priority to JP2015252245A priority Critical patent/JP6106861B1/ja
Application granted granted Critical
Publication of JP6106861B1 publication Critical patent/JP6106861B1/ja
Publication of JP2017117224A publication Critical patent/JP2017117224A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 通信性能に配慮しながら、ネットワーク通信を監視するセキュリティシステムを提供する。【解決手段】 検知装置は、マルウェアの侵入を検知した場合に、検知されたマルウェアに関連する脅威情報をネットワークセキュリティ装置に送信し、ネットワークセキュリティ装置は、検知装置から送信された脅威情報を受信する受信処理部と、受信処理部により受信された脅威情報に基づいて、定義情報を自動作成する作成処理部と、定義情報を登録時に関連付けて格納する定義情報データベースと、定義情報データベースに、作成処理部により作成された定義情報を追加登録する定義登録部と、定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、定義情報データベースに格納されている登録時に基づいて、定義情報データベースから、定義情報を削除する削除部とを有する。【選択図】図1

Description

本発明は、ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラムに関する。
例えば、特許文献1には、ネットワークを介して複数の防御手段と複数の検知手段に接続された管理手段に、いずれかの検知手段で検知された不正アクセスの情報を受信し、その情報に基づいて、当該不正アクセスに対する対策を実施すべき防御手段と、各防御手段に対する防御対策の内容を決定し、各防御手段に対して前記決定した防御対策を実施すべき旨の指示を行う処理を実行させる不正アクセス防止プログラムが開示されている。
また、特許文献2には、ポリシ保持部13に保持されたポリシに従って外部からのアクセスを制限するファイアウォール装置10と、DMZセグメント18に置かれ不正アクセスを検出してログをポリシ管理装置30に通報する侵入検知装置20と、内部セグメント19に置かれログを自形式のログに変換するログ形式変換部31と、変換したログに基づいて不正アクセスを禁止するポリシを作成するポリシ作成部33と、作成したポリシをファイアウォール装置10形式のポリシに変換してファイアウォール装置10に送ってポリシ保持部13に適用するポリシ形式変換部34を有するポリシ管理装置30を有する不正アクセス防御システムが開示されている。
特開2003−288282 特開2005−071218
通信性能に配慮しながら、ネットワーク通信を監視するセキュリティシステムを提供することを目的とする。
本発明に係るネットワークセキュリティ装置は、サイバー攻撃を検出するための定義情報を登録時に関連付けて格納する定義情報データベースと、前記定義情報データベースに定義情報を登録する定義登録部と、前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除部とを有する。
好適には、前記削除部は、いずれかの定義情報に対応する通信が前記監視部により検知されたタイミングと、前記定義情報データベースに登録されている登録時とに基づいて、前記定義情報データベースに登録されている定義情報を削除する。
好適には、前記削除部は、前記定義情報データベースに登録されている定義情報の件数が既定数に達した場合に、定義情報に対応する通信が前記監視部により検知されたタイミングと、前記定義情報データベースに登録されている登録時とに基づいて、前記定義情報データベースに登録されている定義情報を削除する。
好適には、前記削除部は、前記定義情報データベースに登録されている定義情報のうち、前記監視部により最後に検知されたタイミング、又は、登録時から既定期間経過した定義情報を有効期限切れと判定して削除する。
好適には、外部から、サイバー攻撃を示唆する脅威情報を受信する受信処理部と、前記受信処理部により受信された脅威情報に基づいて、定義情報を作成する作成処理部とをさらに有し、前記定義登録部は、前記作成処理部により作成された定義情報を前記定義情報データベースに追加登録する。
好適には、前記作成処理部は、受信した脅威情報に基づいて、一部がワイルドカード文字で置換されたHTTPパスを前記定義情報として作成する。
好適には、前記作成処理部は、受信した一つの脅威情報について、中継サーバが異なる複数の定義情報を作成する。
好適には、ユーザの指示に応じて、前記定義情報データベースに登録可能な定義情報の上限数を設定する上限設定部をさらに有し、前記削除部は、前記定義情報データベースに登録される定義情報が、前記上限設定部により設定された上限数以下となるように、登録されている定義情報を削除する。
本発明に係るセキュリティシステムは、マルウェアの侵入を検知する検知装置と、ネットワークセキュリティ装置とを含むセキュリティシステムであって、前記検知装置は、マルウェアの侵入を検知した場合に、検知されたマルウェアに関連する脅威情報を前記ネットワークセキュリティ装置に送信し、前記ネットワークセキュリティ装置は、前記検知装置から送信された脅威情報を受信する受信処理部と、前記受信処理部により受信された脅威情報に基づいて、定義情報を作成する作成処理部と、定義情報を登録時に関連付けて格納する定義情報データベースと、前記定義情報データベースに、前記作成処理部により作成された定義情報を追加登録する定義登録部と、前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除部とを有する。
本発明に係るネットワークセキュリティ方法は、定義情報データベースに、サイバー攻撃を検出するための定義情報を登録時に関連付けて登録する定義登録ステップと、前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視ステップと、前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除ステップとを有する。
本発明に係るプログラムは、定義情報データベースに、サイバー攻撃を検出するための定義情報を登録時に関連付けて登録する定義登録ステップと、前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視ステップと、前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除ステップとをコンピュータに実行させる。
通信性能に配慮しながら、ネットワーク通信を監視するセキュリティシステムを提供できる。
情報処理システム1のハードウェア構成を例示する図である。 ネットワークセキュリティ装置4のハードウェア構成を例示する図である。 ネットワークセキュリティ装置4の機能構成を例示する図である。 検知装置3から通知される脅威情報を例示する図である。 (A)は、攻撃防御ポリシDB600に登録される攻撃防御ポリシを例示し、(B)は、攻撃防御ルールDB610に登録される攻撃防御ルールを例示する図である。 (A)は、検知装置3から通知される脅威情報に含まれるHTTP情報を例示し、(B)は、この脅威情報に基づいて作成されるフィルター条件を例示する図である。 (A)は、クエリデータが含まれた脅威情報のHTTPパスを例示し、(B)は、クエリデータがワイルドカード文字に置換されたフィルター条件を例示する図である。 最大検知間隔と有効期間との関係を説明する図である。 攻撃防御ルール作成処理(S10)のフローチャートである。 アクセス制御処理(S20)のフローチャートである。 検知イベント処理(S30)のフローチャートである。 有効期限検査処理(S40)のフローチャートである。
以下、本発明の実施形態を、図面を参照して説明する。
図1は、情報処理システム1のハードウェア構成を例示する図である。
図1に例示するように、情報処理システム1は、検知装置3と、ネットワークセキュリティ装置4とを含む。情報処理システム1は、本発明に係るセキュリティシステムの一例である。
ネットワークセキュリティ装置4により保護される内部ネットワークには、コンピュータ端末8が接続されている。
検知装置3は、内部ネットワークにおける通信を監視して、内部ネットワークに侵入したマルウェアを検知し、検知されたマルウェアに関する脅威情報をネットワークセキュリティ装置4に通知する。ここで、脅威情報とは、サイバー攻撃を示唆する情報であり、例えば、マルウェアにより引き起こされる不正動作に関連する情報である。
本例の検知装置3は、内部ネットワークのネットワークスイッチ7のミラーポート又はネットワークタップに接続されており、内部ネットワーク内のネットワークトラフィックを検査する。
ネットワークセキュリティ装置4は、セキュリティ機能を有するコンピュータである。例えば、ネットワークセキュリティ装置4は、ファイアウォール装置、IPS装置(Intrusion Prevention System)装置、Webコンテンツフィルタリング装置、又は、複数の異なるセキュリティ機能を一つのハードウェアに統合したUTMアプライアンスである。本例のネットワークセキュリティ装置4は、内部ネットワークと外部ネットワークとの間に接続され、C&Cサーバ9へのバックドア通信を遮断する。C&Cサーバ9とは、マルウェアに感染しボットと化したコンピュータ群(ボットネット)に指令を送り、制御の中心となるサーバである。
本例では、内部ネットワークに接続されたコンピュータ端末8Aがマルウェアに感染して、ボットとなっている。検知装置3は、内部ネットワークのネットワークトラフィックを監視して、コンピュータ端末8Aに感染したマルウェアを検知すると、その脅威情報をネットワークセキュリティ装置4に通知する。ネットワークセキュリティ装置4は、検知装置3から通知された脅威情報に基づいて、攻撃防御ルールを自動で作成し、追加登録し、登録されている攻撃防御ルールに従って、通信の遮断等を行う。このように、検知装置3とネットワークセキュリティ装置4が連携して、ボット化したコンピュータ端末8AからC&Cサーバ9へのバックドア通信を遮断する。
図2は、ネットワークセキュリティ装置4のハードウェア構成を例示する図である。
図2に例示するように、ネットワークセキュリティ装置4は、CPU400、メモリ402、HDD404、及び、ネットワークインタフェース406(ネットワークIF406)を有し、これらの構成はバス412を介して互いに接続している。
CPU400は、例えば、中央演算装置である。
メモリ402は、例えば、揮発性メモリであり、主記憶装置として機能する。
HDD404は、例えば、ハードディスクドライブ装置であり、不揮発性の記録装置としてコンピュータプログラムやその他のデータファイルを格納する。
ネットワークIF406は、有線又は無線で通信するためのインタフェースであり、インターネットを介した携帯端末3との通信を実現する。
図3は、ネットワークセキュリティ装置4の機能構成を例示する図である。
図3に例示するように、本例のネットワークセキュリティ装置4には、セキュリティプログラム5がインストールされると共に、攻撃防御ポリシデータベース600(攻撃防御ポリシDB600)及び攻撃防御ルールデータベース610(攻撃防御ルールDB610)が構成される。なお、攻撃防御ルールDB610は、本発明に係る定義情報データベースの一例である。
セキュリティプログラム5は、受信処理部500、ルール作成処理部510、アクセス制御部520、検知イベント処理部530、有効期限検査処理部540、上限設定部550、及び期限延長部560を有する。
なお、セキュリティプログラム5の一部又は全部は、ASICなどのハードウェアにより実現されてもよい。
セキュリティプログラム5において、受信処理部500は、外部から、サイバー攻撃を示唆する脅威情報を受信する。本例の受信処理部500は、検知装置3から、検知されたマルウェアに関連する脅威情報を受信する。さらに、本例の受信処理部500は、受信した脅威情報と、攻撃防御ポリシDB600に登録されている攻撃防御ポリシのフィルター条件とを比較して、攻撃防御方法を指示する情報をルール作成処理部510に通知する。
ルール作成処理部510は、受信処理部500により受信された脅威情報に基づいて、攻撃防御ルールを作成し、作成された攻撃防御ルールを攻撃防御ルールDB610に追加登録する。ルール作成処理部510は、本発明に係る作成処理部及び定義登録部の一例である。攻撃防御ルールには、サイバー攻撃を検出するための定義情報(後述するフィルター条件)と、この定義情報に合致する通信が検知された場合の対応方法(後述する動作モード及び監視レベル)とが含まれている。
ルール作成処理部510は、受信した脅威情報に基づいて、一部がワイルドカード文字で置換されたHTTPパスをフィルター条件として作成する。本例のルール作成処理部510は、受信した脅威情報に含まれるHTTPパスのうち、クエリデータの部分をワイルドカード文字に置換して、フィルター条件とする。
また、ルール作成処理部510は、受信した一つの脅威情報について、中継サーバが異なる複数の攻撃防御ルールを作成する。本例のルール作成処理部510は、受信した一つの脅威情報に含まれるHTTP情報について、プロキシ接続用のフィルター条件と、Webサーバ接続用のフィルター条件とを作成する。
なお、ルール作成処理部510は、同じフィルター条件で攻撃防御ルールが攻撃防御ルールDB610に登録されている場合には、新たな攻撃防御ルールを登録しない。例えば、クエリデータの部分をワイルドカード文字で単純化した結果、同じフィルター条件となる場合もあるが、このような重複登録を防止する。
アクセス制御部520は、攻撃防御ルールDB610に格納されているフィルター条件(定義情報)を用いて、ネットワーク通信を監視する。アクセス制御部520は、本発明に係る監視部の一例である。より具体的には、アクセス制御部520は、攻撃防御ルールDB610に格納されている攻撃防御ルールのフィルター条件を用いて、ネットワーク通信を監視し、フィルター条件に合致する通信が検知された場合に、この攻撃防御ルールに従った対応(通信の遮断、ログの記録)をとる。
検知イベント処理部530は、アクセス制御部520により検知された検知履歴を攻撃防御ルールDB610に登録する。本例の検知イベント処理部530は、アクセス制御部520によりフィルター条件に合致すると判定された通信の検知回数及び検知日時を攻撃防御ルールDB610内で更新する。
有効期限検査処理部540は、いずれかのフィルター条件(定義情報)に対応する通信がアクセス制御部520により検知されたタイミングと、攻撃防御ルールDB610に登録されている攻撃防御ルールの登録時とに基づいて、攻撃防御ルールDB610に登録されている攻撃防御ルールを削除する。有効期限検査処理部540は、本発明に係る削除部の一例である。より具体的には、有効期限検査処理部540は、攻撃防御ルールDB610に登録されている攻撃防御ルールのうち、アクセス制御部520により最後に検知されたタイミング、又は、攻撃防御ルールDB610に登録された登録時から既定期間経過した攻撃防御ルールを有効期限切れと判定して削除する。
また、有効期限検査処理部540は、攻撃防御ルールDB610に登録されている攻撃防御ルールの件数が上限数に達した場合に、アクセス制御部520により検知されたタイミングと、攻撃防御ルールDB610に登録されている登録時とに基づいて、最終の検知タイミング又は登録時が古いものから順に、攻撃防御ルールを削除し、攻撃防御ルールの登録数を上限数以下にする。
上限設定部550は、ユーザの指示に応じて、攻撃防御ルールDB610に登録可能な攻撃防御ルールの上限数を設定する。例えば、上限設定部550は、ユーザが入力したトランザクション性能に応じて、攻撃防御ルールDB610に登録可能な攻撃防御ルールの上限数を設定する。攻撃防御ルールの上限数が小さく設定された場合、検査するフィルター条件が少なくなるため、通信性能の劣化が抑制される。仮に、削除した攻撃防御ルールに対応するC&Cサーバへの通信が行われたとしても、検知装置3で検知され、新たに攻撃防御ルールとして登録されるため、以降の通信は遮断されうる。
期限延長部560は、図8を参照して後述するように、感染端末毎の検知履歴(検知装置3による検知の履歴)に基づいて、感染端末毎の最大検知間隔を算出し、算出された最大検知間隔に基づいて、攻撃防御ルールに設定された有効期間(有効日数)を延長する。本例の期限延長部560は、算出された最大検知間隔が、攻撃防御ルールに設定された有効期間よりも大きい場合に、この最大検知間隔を有効期間とする。
図4は、検知装置3から通知される脅威情報を例示する図である。
図4に例示するように、本例では、脅威情報として、脅威の種類を示す脅威タイプ、マルウェアの名称であるマルウェア名、脅威のレベル、脅威情報の詳細情報を表示するURLである脅威情報URL、マルウェアに感染したコンピュータ端末に関する情報(IPアドレス、検知された通信時のポート番号、MACアドレス)、C&Cサーバ9に関する情報(接続先のIPアドレス、接続先のポート番号、HTTP情報)、マルウェアの配布元(ダウンロードしたマルウェアのmd5sum、及び、HTTP情報)、及び、感染端末の接続先情報(接続先のIPアドレス、接続先のポート番号)が通知される。
脅威タイプには、例えば、「C&Cサーバへの接続」、「マルウェアの検知」、「過去に検知していないWebブラウザ又はアプリケーションの脆弱性を利用した攻撃」、及び「既知の脅威」などの脅威の種類が含まれる。
マルウェア名は、一般化されたマルウェア名が通知されるが、マルウェア名が未登録である場合には、脅威タイプ毎に固定の名前が通知される。
脅威のレベルには、例えば、「Minor」、「Major」、「Critical」のように、順に脅威レベルが高くなる3段階が設定されており、これらのいずれかが通知される。
C&Cサーバ9に関する情報は、プロキシである場合がある。また、C&Cサーバ9のHTTP情報には、例えば、HTTP通信のURLとHTTPヘッダが含まれる。
マルウェアの配布元のHTTP情報には、例えば、配布サーバへのHTTP通信のURLとHTTPヘッダが含まれる。
感染端末の接続先情報は、プロキシである場合がある。
図5(A)は、攻撃防御ポリシDB600に登録される攻撃防御ポリシを例示し、図5(B)は、攻撃防御ルールDB610に登録される攻撃防御ルールを例示する図である。
攻撃防御ポリシDB600には、ユーザが設定した攻撃防御ポリシが登録される。攻撃防御ポリシDB600に登録される攻撃防御ポリシには、攻撃防御ポリシの優先順序を示す「識別番号」と、「脅威情報のフィルター条件」と、対応方法を指定する「動作モード」と、攻撃防御ルールの有効期間を示す「有効日数」とが含まれる。「脅威情報のフィルター条件」には、脅威情報の脅威タイプと、マルウェア名とが含まれる。マルウェア名は、一部をワイルドカード文字で、又は、正規表現で設定される。
「動作モード」には、「防御」、「検知」又は「無視」が設定される。「防御」が設定された場合、検知された脅威情報について、通信を遮断する攻撃防御ルールが作成される。「検知」が設定された場合、検知された脅威情報について、通信を検知する攻撃防御ルールが作成される。「無視」が設定された場合、攻撃防御ルールが生成されない。
「有効日数」は、例えば、感染端末のクリーンインストールに要する作業日数と、他端末への感染が無いことを監視する期間とを合算して設定される。
受信処理部500は、検知装置3から脅威情報を受信すると、受信した脅威情報と、攻撃防御ポリシDB600に登録されている攻撃防御ポリシのフィルター条件とを比較して、フィルター条件に合致する攻撃防御ポリシに含まれる動作モード及び有効日数を、脅威情報と共にルール作成部510に通知する。
ルール作成処理部510は、受信処理部500から、動作モード及び有効日数が脅威情報と共に通知されると、これらの情報に従って、図5(B)に例示する攻撃防御ルールを作成し、作成された攻撃防御ルールを攻撃防御ルールDB610に追加登録する。
攻撃防御ルールDB610に登録される攻撃防御ルールには、攻撃防御ルールを一意に識別するための「識別番号」と、C&Cサーバ又はマルウェア配布サーバを特定するための「フィルター条件」と、対処方法を指定する「動作モード」と、監視の内容を指定する「監査レベル」と、「C&CサーバのURL」と、脅威情報の詳細情報を表示する「脅威情報のURL」と、攻撃防御ルールの有効期間を示す「有効日数」と、攻撃防御ルールの有効期限を示す「有効期限日」と、攻撃防御ルールの登録時を示す「作成日時」と、攻撃防御ルールの「更新日時」と、フィルター条件に合致した通信の検知回数を示す「検知回数」と、フィルター条件に合致した通信を最後に検知した日時を示す「最終検知日時」と、感染端末毎の検知間隔を記録する「端末毎の検知履歴」とが含まれる。
「識別番号」は、例えば、ルール作成処理部510により付与されるシリアル番号である。
「フィルター条件」は、脅威情報に基づいてルール作成処理部510により作成される定義情報であり、ワイルドカード文字によりクエリ部分が単純化され、かつ、プロキシ接続用及びWebサーバ接続用に重複して作成されたものである。
「動作モード」及び「監査レベル」は、攻撃防御ポリシに従って定義される対応方法である。
「C&CサーバのURL」は、フィルター条件をURL形式に変換した文字列である。
「有効日数」は、攻撃防御ポリシの「有効日数」に従って設定された攻撃防御ルールの有効期間、又は、期限延長部560により延長された有効期間である。
「有効期限日」は、攻撃防御ルールの登録時(「作成日時」)又は「最終検知日時」のより遅い方に、「有効日数」を加算したものである。
「検知回数」及び「最終検知日時」は、検知イベント処理部530により更新される値である。「端末毎の検知履歴」は、期限延長部560により更新される値である。
図6(A)は、検知装置3から通知される脅威情報に含まれるHTTP情報を例示し、図6(B)は、この脅威情報に基づいて作成されるフィルター条件を例示する図である。
ルール作成処理部510は、図6(A)に例示する脅威情報のHTTP情報に基づいて、図6(B)に例示する攻撃防御ルールのフィルター条件を作成する。すなわち、脅威情報のHTTP情報には、C&Cサーバ9又はマルウェア配布サーバが含まれているが、図6(A)に例示するように、プロキシがある場合と無い場合とで異なるため、攻撃防御ルールのフィルター条件は、図6(B)に例示するように、Webサーバ接続用のフィルター条件と、プロキシ接続用のフィルター条件との論理和(OR)となる。
なお、Webサーバ接続用のフィルター条件は、HTTPパスとHOSTヘッダの論理積(AND)とし、プロキシ接続用のフィルター条件は、HTTPパスをプロキシ形式にする。
図7(A)は、クエリデータが含まれた脅威情報のHTTPパスを例示し、図7(B)は、クエリデータがワイルドカード文字に置換されたフィルター条件を例示する図である。
ルール作成処理部510は、図7(A)に例示するように、脅威情報のHTTPパスにクエリデータが含まれている場合に、図7(B)に例示するように、クエリデータの部分をワイルドカード文字に置換してフィルター条件とする。ここで、ワイルドカード文字とは、任意の文字列を示す文字であり、本例では「*」である。
これにより、C&Cサーバへの通信において、端末によってクエリデータが異なる場合もあるが、ワイルドカード文字による単純化によって、フィルター条件の一致確率が高くなる。
図8は、最大検知間隔と有効期間との関係を説明する図である。
図8に例示するように、有効期限検査処理部540は、各攻撃防御ルールについて、最終検知日(「検知(6)」の日)に、攻撃防御ルールの「有効日数」を加算して、有効期限日を設定し、有効期限日が到来した攻撃防御ルールを無効化する。
一方で、期限延長部560は、感染端末毎の検知間隔(最初に検知された時から最後に検知された時までの間隔)を算出し、算出された感染端末毎の検知間隔のうち、最大の検知間隔(最大検知間隔)が有効日数よりも大きい場合に、有効日数を最大検知間隔に更新して、有効期限日を延長する。最大検知間隔は、攻撃者の初期侵入から再侵入の期間とみなすことができ、最大検知間隔より有効日数が短い場合、マルウェアが未対処の可能性があると判断し、期限延長部560が有効期限日を延長する。
なお、マルウェアが長期潜伏型で、攻撃防御ルールが無効化された後に活動を再開した場合、検知装置3が再度これを検知してネットワークセキュリティ装置4に通知し、ネットワークセキュリティ装置4では、再度、このマルウェアに対応する攻撃防御ルールが登録される。
図9は、攻撃防御ルール作成処理(S10)のフローチャートである。
図9に示すように、ステップ100(S100)において、ネットワークセキュリティ装置4の受信処理部500は、検知装置3から接続要求があるまで待機し(S100:No)、接続要求があるとS102の処理に移行する。検知装置3は、HTTPSでネットワークセキュリティ装置4に接続し、脅威情報を送信する。
ステップ102(S102)において、受信処理部500は、Web−APIを介して、検知装置3から脅威情報を受信する。脅威情報は、例えば、XMLフォーマットである。
ステップ104(S104)において、受信処理部500は、受信した脅威情報のXMLを解析し、脅威タイプ、マルウェア名、及びHTTP情報を抽出する。
ステップ106(S106)において、受信処理部500は、抽出された脅威タイプ、マルウェア名、及びHTTP情報と、攻撃防御ポリシのフィルター条件とを比較する。
ステップ108(S108)において、受信処理部500は、脅威情報から抽出された脅威タイプ、マルウェア名、及びHTTP情報が、攻撃防御ポリシのフィルター条件と一致しない場合には、S106に戻って、次の攻撃防御ポリシのフィルター条件との比較処理に移り、全ての攻撃防御ポリシのフィルター条件と一致しなかった場合に、脅威情報を破棄して、S100の処理に戻る。
受信処理部500は、脅威情報から抽出された脅威タイプ、マルウェア名、及びHTTP情報が、いずれかの攻撃防御ポリシのフィルター条件と一致した場合には、S110の処理に移行する。
なお、攻撃防御ポリシの「動作モード」が「無視」である場合も、受信処理部500は、脅威情報を破棄して、S100の処理に戻る。
ステップ110(S110)において、ルール作成処理部510は、受信処理部500により受信された脅威情報と、これに合致した攻撃防御ポリシとに基づいて、攻撃防御ルールを作成する。作成される攻撃防御ルールには、HTTPパスの一部がワイルドカード文字で単純化されたプロキシ接続用のフィルター条件及びWebサーバ接続用のフィルター条件が含まれる。
ステップ112(S112)において、ルール作成処理部510は、作成された攻撃防御ルールが、攻撃防御ルールDB610に既に登録されていないか確認する。
ステップ114(S114)において、ルール作成処理部510は、作成された攻撃防御ルールが、攻撃防御ルールDB610に既に登録されている場合、攻撃防御ルールを追加登録せず、S100の処理に戻り、作成された攻撃防御ルールが、攻撃防御ルールDB610に既に登録されていない場合、S116の処理に移行する。
ステップ116(S116)において、有効期限検査処理部540は、攻撃防御ルールDB610に登録されている攻撃防御ルールの件数が、設定された上限数に達しているか否かをチェックする。
ステップ118(S118)において、有効期限検査処理部540は、登録されている攻撃防御ルールの件数が上限数に達している場合に、S120の処理に移行し、攻撃防御ルールの登録件数が上限値に達していない場合に、S122の処理に移行する。
ステップ120(S120)において、有効期限検査処理部540は、アクセス制御部520により検知されたタイミングと、攻撃防御ルールDB610に登録されている登録時とに基づいて、最終の検知タイミング(検知タイミングが無い場合は、登録時)が古いものから順に、攻撃防御ルールを削除し、攻撃防御ルールの登録数を上限数以下にする。
ステップ122(S122)において、ルール作成処理部510は、攻撃防御ルールの識別番号を採番する。
ステップ124(S124)において、ルール作成処理部510は、作成した攻撃防御ルールの「有効日数」に、攻撃防御ポリシの「有効日数」を設定する。
ステップ126(S126)において、ルール作成処理部510は、作成した攻撃防御ルールを、「作成日時」に関連付けて攻撃防御ルールDB610に追加登録する。
ステップ128(S128)において、ルール作成処理部510は、追加登録された攻撃防御ルールの識別番号及びフィルター条件をアクセス制御部520に配信する。
アクセス制御部520は、配信されたフィルター条件を用いて、アクセス制御処理(S20)を行う。
図10は、アクセス制御処理(S20)のフローチャートである。なお、本フローチャートの処理は、ネットワークセキュリティ装置4がパケットを受信したときに通信制御ドライバから呼び出されて開始される。
図10に示すように、ステップ200(S200)において、アクセス制御部520は、通信が、内部ネットワークから外部ネットワークへの通信であるか否かを判定する。本例では、内部ネットワークから外部ネットワークへの通信のみを検査対象とする。
ステップ202(S202)において、アクセス制御部520は、通信が、内部ネットワークから外部ネットワークへの通信である場合に、S204の処理に移行し、通信が、内部ネットワークから外部ネットワークへの通信でない場合に、S224の処理に移行する。
ステップ204(S204)において、アクセス制御部520は、通信が、攻撃防御ルールDB610に登録されている攻撃防御ルールのフィルター条件に合致するか否かを検査する。
ステップ206(S206)において、アクセス制御部520は、通信が、攻撃防御ルールのフィルター条件に合致する場合、S210の処理に移行し、通信が、攻撃防御ルールのフィルター条件に合致しない場合、S208の処理に移行する。
ステップ208(S208)において、アクセス制御部520は、次の攻撃防御ルールのフィルター条件を読み出し、S204の処理に戻る。
ステップ210(S210)において、アクセス制御部520は、合致したフィルター条件の攻撃防御ルールの識別番号、検知数及び検知日時を検知イベント処理部530に通知する。
検知イベント処理部530は、攻撃防御ルールDB610にアクセスして、通知された識別番号に関連付けられた「検知回数」に、通知された「検知数」を加算し、通知された「検知日時」で「最終検知日時」を更新する。
ステップ212(S212)において、アクセス制御部520は、合致したフィルター条件に対応する動作モードに従って、対応を決定する。
ステップ214(S214)において、アクセス制御部520は、動作モードが「防御」である場合に、S216の処理に移行して遮断を行い、動作モードが「検知」である場合に、S222の処理に移行して検知のみを行う。
ステップ216(S216)において、アクセス制御部520は、通信の送信元及び通信先にリセットパケットを送信して、TCPコネクションを切断する。
ステップ218(S218)において、アクセス制御部520は、遮断したことを示すログを出力する。
ステップ220(S220)において、アクセス制御部520は、通信制御ドライバに対してパケット処理済みを通知して、処理を終了する。
ステップ222(S222)において、アクセス制御部520は、検知したことを示すログを出力する。
ステップ224(S224)において、アクセス制御部520は、通信パケットを次の処理制御に渡すよう通信制御ドライバに依頼して、通信を継続させる。
図11は、検知イベント処理(S30)のフローチャートである。
図11に示すように、ステップ300(S300)において、検知イベント処理部530は、アクセス制御部520に対して、検知イベントの送信を要求する。
ステップ302(S302)において、アクセス制御部520は、検知イベントの送信が要求されるまで要求待ちをしている。
ステップ304(S304)において、アクセス制御部520は、検知イベントの送信要求が無い場合(S304:No)、S302の処理に戻って要求待ちを続け、要求があると(S304:Yes)、S306の処理に進む。
ステップ306(S306)において、アクセス制御部520は、検知イベントキューから検知イベント(ログ)を読み出し、検知イベント処理部540に送信する。
ステップ308(S308)において、検知イベント処理部530は、検知イベントの送信要求を行った後、検知イベントの受信待ちをしている。
ステップ310(S310)において、検知イベント処理部530は、アクセス制御部520から検知イベントの受信を開始すると、受信待ち状態が解除され、検知イベントを受信する。
ステップ312(S312)において、検知イベント処理部530は、受信した検知イベント情報に基づいて、各攻撃防御ルールに関連付けられた検知回数及び最終検知日を更新する。
ステップ314(S314)において、検知イベント処理部530は、最終検知日の更新に応じて、更新された最終検知日に「有効日数」を加算して、有効期限日を更新する。
図12は、有効期限検査処理(S40)のフローチャートである。
図12に示すように、ステップ400(S400)において、有効期限検査処理部540は、攻撃防御ルールDB610に登録されている攻撃防御ルールを、有効期限日の早い順にソートする。
ステップ402(S402)において、有効期限検査処理部540は、攻撃防御ルールDB610に攻撃防御ルールが1つも登録されていない場合(S402:No)、S404の処理に移行し、攻撃防御ルールDB610に攻撃防御ルールが1つ以上登録されている場合(S402:Yes)、S406の処理に移行する。
ステップ404(S404)において、有効期限検査処理部540は、10分間待機した後、S400の処理に戻る。
ステップ406(S406)において、有効期限検査処理部540は、現在時刻を取得する。
ステップ408(S408)において、有効期限検査処理部540は、攻撃防御ルールの有効期限日と、現在時刻とを比較し、有効期限日が現在時刻よりも過去である場合に、攻撃防御ルールが有効期限切れであると判断する。
ステップ410(S410)において、有効期限検査処理部540は、登録されている全ての攻撃防御ルールについて有効期限日のチェックを終了していた場合に、S404の処理に移行し、これ以外の場合に、S412の処理に移行する。
ステップ412(S412)において、有効期限検査処理部540は、攻撃防御ルールが有効期限切れであると判断した場合に、S414の処理に移行し、攻撃防御ルールも有効期限切れではないと判断した場合に、S404の処理に移行する。
ステップ414(S414)において、有効期限検査処理部540は、有効期限切れである攻撃防御ルールを期限延長部560に通知する。
期限延長部560は、有効期限切れの攻撃防御ルールについて、感染端末毎の検知間隔を算出し、最大検知間隔を求める。
ステップ416(S416)において、期限延長部560は、求められた最大検知間隔と、有効日数とを比較する。
ステップ418(S418)において、期限延長部560は、最大検知間隔が有効日数よりも大きい場合に、S420の処理に移行し、最大検知間隔が有効日数以下である場合、S424の処理に移行する。
ステップ420(S420)において、期限延長部560は、この攻撃防御ルールの「有効日数」を最大検知間隔で更新する。
ステップ422(S422)において、期限延長部560は、更新された「有効日数」(すなわち、最大検知間隔)に基づいて、攻撃防御ルールの「有効期限日」を更新する。
ステップ424(S424)において、有効期限検査処理部540は、この攻撃防御ルール(すなわち、有効期限切れの攻撃防御ルール)を無効化し、攻撃防御ルールDB610から削除する。
ステップ426(S426)において、有効期限検査処理部540は、攻撃防御ルールDB610に登録されている次の攻撃防御ルールを読み出し、S408に戻って、読み出された攻撃防御ルールについて、有効期限を検査する。
以上説明したように、本実施形態の情報処理システム1によれば、通信性能に配慮しつつ、検知装置3から通知された脅威情報と導入時に設定した攻撃防御ポリシに基づいてマルウェアの対処方法を自動で決定し、脅威情報で通知されたC&Cサーバ9及びマルウェア配布サーバへの通信を自動で遮断することで、脅威情報を解析するセキュリティエンジニアが常駐しない組織においても初動対応が確実に実施できるため、標的型サイバー攻撃からの被害を未然に防ぐことができる。
より具体的には、C&Cサーバ9及びマルウェア配布サーバへの通信の最終検知日時と攻撃防御ルールの有効日数から対策済みマルウェアの攻撃防御ルールを自動で判別し、対策完了の攻撃防御ルールを削除することで、マルウェアの感染時の初動対応からマルウェアの対策後のフィルター条件の削除までを完全に自動化することで標的型サイバー攻撃対応のネットワーク管理者の負担を軽減する効果がある。
1…情報処理システム
3…検知装置
4…ネットワークセキュリティ装置
5…セキュリティプログラム
500…受信処理部
510…ルール作成処理部
520…アクセス制御部
530…検知イベント処理部
540…有効期限検査処理部
550…上限設定部
560…期限延長部
600…攻撃防御ポリシデータベース
610…攻撃防御ルールデータベース

Claims (11)

  1. サイバー攻撃を検出するための定義情報を登録時に関連付けて格納する定義情報データベースと、
    前記定義情報データベースに定義情報を登録する定義登録部と、
    前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、
    前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除部と
    を有するネットワークセキュリティ装置。
  2. 前記削除部は、いずれかの定義情報に対応する通信が前記監視部により検知されたタイミングと、前記定義情報データベースに登録されている登録時とに基づいて、前記定義情報データベースに登録されている定義情報を削除する
    請求項1に記載のネットワークセキュリティ装置。
  3. 前記削除部は、前記定義情報データベースに登録されている定義情報の件数が既定数に達した場合に、定義情報に対応する通信が前記監視部により検知されたタイミングと、前記定義情報データベースに登録されている登録時とに基づいて、前記定義情報データベースに登録されている定義情報を削除する
    請求項1に記載のネットワークセキュリティ装置。
  4. 前記削除部は、前記定義情報データベースに登録されている定義情報のうち、前記監視部により最後に検知されたタイミング、又は、登録時から既定期間経過した定義情報を有効期限切れと判定して削除する
    請求項2に記載のネットワークセキュリティ装置。
  5. 外部から、サイバー攻撃を示唆する脅威情報を受信する受信処理部と、
    前記受信処理部により受信された脅威情報に基づいて、定義情報を作成する作成処理部と
    をさらに有し、
    前記定義登録部は、前記作成処理部により作成された定義情報を前記定義情報データベースに追加登録する
    請求項1に記載のネットワークセキュリティ装置。
  6. 前記作成処理部は、受信した脅威情報に基づいて、一部がワイルドカード文字で置換されたHTTPパスを前記定義情報として作成する
    請求項5に記載のネットワークセキュリティ装置。
  7. 前記作成処理部は、受信した一つの脅威情報について、中継サーバが異なる複数の定義情報を作成する
    請求項5に記載のネットワークセキュリティ装置。
  8. ユーザの指示に応じて、前記定義情報データベースに登録可能な定義情報の上限数を設定する上限設定部
    をさらに有し、
    前記削除部は、前記定義情報データベースに登録される定義情報が、前記上限設定部により設定された上限数以下となるように、登録されている定義情報を削除する
    請求項3に記載のネットワークセキュリティ装置。
  9. マルウェアの侵入を検知する検知装置と、ネットワークセキュリティ装置とを含むセキュリティシステムであって、
    前記検知装置は、マルウェアの侵入を検知した場合に、検知されたマルウェアに関連する脅威情報を前記ネットワークセキュリティ装置に送信し、
    前記ネットワークセキュリティ装置は、
    前記検知装置から送信された脅威情報を受信する受信処理部と、
    前記受信処理部により受信された脅威情報に基づいて、定義情報を作成する作成処理部と、
    定義情報を登録時に関連付けて格納する定義情報データベースと、
    前記定義情報データベースに、前記作成処理部により作成された定義情報を追加登録する定義登録部と、
    前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、
    前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除部と
    を有する
    セキュリティシステム。
  10. 定義情報データベースに、サイバー攻撃を検出するための定義情報を登録時に関連付けて登録する定義登録ステップと、
    前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視ステップと、
    前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除ステップと
    を有するネットワークセキュリティ方法。
  11. 定義情報データベースに、サイバー攻撃を検出するための定義情報を登録時に関連付けて登録する定義登録ステップと、
    前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視ステップと、
    前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除ステップと
    をコンピュータに実行させるプログラム。
JP2015252245A 2015-12-24 2015-12-24 ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム Active JP6106861B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015252245A JP6106861B1 (ja) 2015-12-24 2015-12-24 ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015252245A JP6106861B1 (ja) 2015-12-24 2015-12-24 ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP6106861B1 JP6106861B1 (ja) 2017-04-05
JP2017117224A true JP2017117224A (ja) 2017-06-29

Family

ID=58666330

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015252245A Active JP6106861B1 (ja) 2015-12-24 2015-12-24 ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP6106861B1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019033320A (ja) * 2017-08-04 2019-02-28 日本電信電話株式会社 攻撃対処システム及び攻撃対処方法
JP2019129337A (ja) * 2018-01-22 2019-08-01 富士通株式会社 セキュリティ装置、セキュリティプログラム及びセキュリティ方法
JP2021040234A (ja) * 2019-09-03 2021-03-11 Necプラットフォームズ株式会社 パケット転送装置、パケット転送方法、及びパケット転送プログラム
JPWO2021124485A1 (ja) * 2019-12-18 2021-06-24

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005039721A (ja) * 2003-07-18 2005-02-10 Nippon Telegr & Teleph Corp <Ntt> DDoS防御方法及びDDoS防御機能付きルータ装置
JP2009188556A (ja) * 2008-02-04 2009-08-20 Duaxes Corp ルータ装置
JP2011138229A (ja) * 2009-12-25 2011-07-14 Canon It Solutions Inc 情報処理装置、情報処理方法、及びコンピュータプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005039721A (ja) * 2003-07-18 2005-02-10 Nippon Telegr & Teleph Corp <Ntt> DDoS防御方法及びDDoS防御機能付きルータ装置
JP2009188556A (ja) * 2008-02-04 2009-08-20 Duaxes Corp ルータ装置
JP2011138229A (ja) * 2009-12-25 2011-07-14 Canon It Solutions Inc 情報処理装置、情報処理方法、及びコンピュータプログラム

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019033320A (ja) * 2017-08-04 2019-02-28 日本電信電話株式会社 攻撃対処システム及び攻撃対処方法
JP2019129337A (ja) * 2018-01-22 2019-08-01 富士通株式会社 セキュリティ装置、セキュリティプログラム及びセキュリティ方法
JP2021040234A (ja) * 2019-09-03 2021-03-11 Necプラットフォームズ株式会社 パケット転送装置、パケット転送方法、及びパケット転送プログラム
JP7067796B2 (ja) 2019-09-03 2022-05-16 Necプラットフォームズ株式会社 パケット転送装置、パケット転送方法、及びパケット転送プログラム
JPWO2021124485A1 (ja) * 2019-12-18 2021-06-24
WO2021124485A1 (ja) * 2019-12-18 2021-06-24 日本電気株式会社 管理装置、管理方法、及びプログラム
JP7416089B2 (ja) 2019-12-18 2024-01-17 日本電気株式会社 管理装置、管理方法、及びプログラム

Also Published As

Publication number Publication date
JP6106861B1 (ja) 2017-04-05

Similar Documents

Publication Publication Date Title
US11032297B2 (en) DGA behavior detection
EP3588898B1 (en) Defense against apt attack
US10237283B2 (en) Malware domain detection using passive DNS
US11831609B2 (en) Network security system with enhanced traffic analysis based on feedback loop
JP6147309B2 (ja) コンピュータプルグラム、システム、方法、及び装置
US8763071B2 (en) Systems and methods for mobile application security classification and enforcement
US10015193B2 (en) Methods and devices for identifying the presence of malware in a network
EP3264720B1 (en) Using dns communications to filter domain names
JP6408395B2 (ja) ブラックリストの管理方法
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
WO2010091186A2 (en) Method and system for providing remote protection of web servers
CN108141408B (zh) 确定系统、确定装置及确定方法
JP6106861B1 (ja) ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム
US11374946B2 (en) Inline malware detection
US8839406B2 (en) Method and apparatus for controlling blocking of service attack by using access control list
US20230119649A1 (en) Intrusion detection and prevention system rule automation and optimization
JP2017204721A (ja) セキュリティシステム
KR101072981B1 (ko) 분산 서비스 거부 공격의 방어 시스템
JP6943313B2 (ja) ログ解析システム、解析装置、方法、および解析用プログラム
JP2022541250A (ja) インラインマルウェア検出
JP2005175714A (ja) ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム
KR102267101B1 (ko) 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법
JP2019145996A (ja) セキュリティ対処策立案装置および方法
US20230362176A1 (en) System and method for locating dga compromised ip addresses
CN115622754A (zh) 一种检测并防止mqtt漏洞的方法、系统和装置

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161230

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170203

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170207

R150 Certificate of patent or registration of utility model

Ref document number: 6106861

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150