JP2018073140A - ネットワーク監視装置、プログラム及び方法 - Google Patents

ネットワーク監視装置、プログラム及び方法 Download PDF

Info

Publication number
JP2018073140A
JP2018073140A JP2016212472A JP2016212472A JP2018073140A JP 2018073140 A JP2018073140 A JP 2018073140A JP 2016212472 A JP2016212472 A JP 2016212472A JP 2016212472 A JP2016212472 A JP 2016212472A JP 2018073140 A JP2018073140 A JP 2018073140A
Authority
JP
Japan
Prior art keywords
access
access source
dummy
attribute information
types
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016212472A
Other languages
English (en)
Other versions
JP6750457B2 (ja
Inventor
聡美 齊藤
Satomi Saito
聡美 齊藤
悟 鳥居
Satoru Torii
悟 鳥居
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2016212472A priority Critical patent/JP6750457B2/ja
Priority to US15/796,485 priority patent/US20180124084A1/en
Priority to EP17198858.7A priority patent/EP3316550A1/en
Publication of JP2018073140A publication Critical patent/JP2018073140A/ja
Application granted granted Critical
Publication of JP6750457B2 publication Critical patent/JP6750457B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】アクセス元からのアクセスの中に不正なアクセスが混在している場合にも、アクセス元の正当性を高精度に推定する。
【解決手段】複数の公開サーバ12によって形成される監視対象のネットワークに複数のダミーサーバ14が設置されている。ネットワーク監視装置24の集計部28は、複数のダミーサーバ14の各々に対するアクセスの履歴に含まれる、個々のダミーサーバ14にアクセスしたアクセス元の識別情報及び属性情報に基づいて、アクセス元毎に、アクセスしたダミーサーバの数及び属性情報の種類数を集計する。不正アクセス元推定部34は、アクセス元毎に集計したダミーサーバ14の数及び属性情報の種類数に基づいて、個々のアクセス元の正当性を推定する。
【選択図】図1

Description

本発明はネットワーク監視装置、ネットワーク監視プログラム及びネットワーク監視方法に関する。
ダミーサーバを用い、マルウェア実行端末、ダミーサーバ及びログ解析端末を備えた隔離環境でマルウェアの動作を解析する第1の技術が提案されている。第1の技術は、マルウェア実行端末上でマルウェアを実行させ、マルウェアによりAPI呼び出しがなされたとき、実際の関数ではなく、マルウェア実行端末がログ収集のために用意した関数を呼び出すように仕向けることでAPI呼び出しログを収集する。また、第1の技術は、マルウェアがサーバへのアクセスを要求したとき、そのリクエストを実際のサーバへではなく、ダミーサーバへ送信することでサーバアクセスログを収集する。そして、第1の技術は、収集したログをログ解析端末へ送信し、ログ定義ファイルを参照して必要なログのみを取り出し、ビヘイビア定義ファイルを参照してビヘイビアを抽出する。
特開2007−334536号公報
サーバの運営では、一般に、攻撃意図を持った不正なアクセスを監視し、不正なアクセスを行ったアクセス元をブラックリストに登録し、ブラックリストに登録されている不正なアクセス元からサーバへのアクセスを遮断することが行われる。但し、クライアントからサーバへのアクセスには、クライアントからサーバへ直接アクセスする以外に、クライアントからプロキシサーバ(代理サーバ)を経由してサーバへアクセスする方法がある。プロキシサーバを経由したアクセスでは、複数のクライアントから1台のプロキシサーバを経由してサーバにアクセスしていたとしても、サーバ側からは、1台のプロキシサーバが複数のクライアントからの全てのアクセスのアクセス元に見える。
また、プロキシサーバには、攻撃意図を持たない正規のクライアントが利用する正規のプロキシサーバと、攻撃意図を持ったアクセスを行う不正なクライアントが利用する不正なプロキシサーバと、が混在している。正規のプロキシサーバは、例えば、企業等の組織に設置され、組織内の正規のクライアントから組織外のネットワークへのアクセスを制御する。一方、不正なプロキシサーバは、攻撃意図を持ったアクセスを行う不正なクライアントが、サーバ側から本来のアクセス元を隠蔽する目的で用いられている。
しかし、正規のプロキシサーバを経由して不正なアクセスが発生することもある。例えば、組織内のクライアントがマルウェア等に感染すると、当該クライアントが不正なアクセスを行うクライアントとして動作することで、正規のプロキシサーバを経由して不正なアクセスが発生する可能性がある。この場合、正規のプロキシサーバが不正なアクセス元と認定されてブラックリストに登録されることで、正規のプロキシサーバの配下の正規のクライアントからのアクセスが遮断されてしまうことになる。
これに対して第1の技術は、隔離環境でマルウェアの動作を解析する技術であり、プロキシサーバからのアクセスの中に不正なアクセスが混在している場合に、アクセス元の正当性を推定できるものではない。
一つの側面では、本発明は、アクセス元からのアクセスの中に不正なアクセスが混在している場合にも、アクセス元の正当性を推定することが目的である。
一つの実施態様では、監視対象のネットワークに複数のダミーサーバが設置される。また、複数のダミーサーバの各々に対するアクセスの履歴に含まれる、個々のダミーサーバにアクセスしたアクセス元の識別情報及び属性情報に基づいて、アクセス元毎に、アクセスしたダミーサーバの数及び属性情報の種類数を集計する。そして、アクセス元毎に集計したダミーサーバの数及び属性情報の種類数に基づいて、個々のアクセス元の正当性を推定する。
一つの側面として、アクセス元からのアクセスの中に不正なアクセスが混在している場合にも、アクセス元の正当性を推定することができる、という効果を有する。
ネットワーク監視装置及びサーバ群の機能ブロック図である。 ネットワーク監視装置として機能する第1コンピュータ及びダミーサーバとして機能する第2コンピュータの概略ブロック図である。 ダミーサーバによって実行される通信履歴記録処理の一例のフローチャートである。 サーバとクライアントとの間の通信シーケンスの一例を示すタイミングチャートである。 個々のダミーサーバに記録される通信履歴情報の一例を示す図表である。 ネットワーク監視装置によって実行されるネットワーク監視処理の一例のフローチャートである。 ダミーサーバからの通信履歴情報の収集結果の一例を示す図表である。 テーブルに登録される集計結果情報の一例を示す図表である。 第1実施形態に係る不正アクセス元推定処理の一例のフローチャートである。 ブラックリストの一例を示す図表である。 第2実施形態に係る不正アクセス元推定処理の一例のフローチャートである。 重大アプリケーションリストの一例を示す図表である。 第3実施形態に係る不正アクセス元推定処理の一例のフローチャートである。
以下、図面を参照して開示の技術の実施形態の一例を詳細に説明する。
〔第1実施形態〕
図1に示すサーバ群10は、複数の公開サーバ12及び複数のダミーサーバ14を含んでいる。サーバ群10に含まれる複数の公開サーバ12は、ネットワーク監視装置24の通信監視部38を経由してインターネット20に接続されており、所定のIPアドレスの範囲内でかつ互いに異なるIPアドレスが各々割り当てられている。個々の公開サーバ12は、インターネット20を経由して自サーバにアクセスしてきた任意のアクセス元(図示省略)に対し、例えばウェブページの配信などの所定のサービスを提供する。なお、複数の公開サーバ12によって形成されるネットワークは、本発明における監視対象のネットワークの一例である。
また、サーバ群10に含まれる複数のダミーサーバ14は、ネットワーク監視装置24の通信監視部38を経由することなくインターネット20に接続されている。複数のダミーサーバ14は、前記所定のIPアドレスの範囲内でかつ互いに異なるIPアドレス(複数の公開サーバ12とも異なるIPアドレス)が各々割り当てられている。従って、複数のダミーサーバ14は、複数の公開サーバ12によって形成される監視対象のネットワークに各々設置されている。また、複数のダミーサーバ14は、ネットワーク監視装置24と共にネットワーク監視システムを形成している。
また、複数のダミーサーバ14は、通信履歴記録部16を含み、通信履歴記憶領域18が設けられている。個々のダミーサーバ14の通信履歴記録部16は、任意のアクセス元からインターネット20を経由して自サーバがアクセスされる度に、通信履歴記憶領域18に通信履歴情報を記録する。通信履歴情報には、アクセス時刻、アクセス元の識別情報及びアクセス元の属性情報が含まれる。アクセス元の識別情報の一例はアクセス元のIPアドレスである。アクセス元の属性情報の一例は、ダミーサーバ14へのアクセスに利用されたアプリケーションの識別情報と、ダミーサーバ14へのアクセスでアクセス元から通知された利用可能な鍵交換アルゴリズムの情報である。
ネットワーク監視装置24は、通信履歴収集部26、集計部28、不正アクセス元推定部34、ブラックリスト登録部36及び通信監視部38を含み、集計部28はダミーサーバ数集計部30及び属性情報種類数集計部32を含んでいる。また、通信監視部38はブラックリスト記憶部40及び通信遮断部42を含んでいる。なお、集計部28が、集計部の一例であり、不正アクセス元推定部34が、推定部の一例である。
通信履歴収集部26は、複数のダミーサーバ14に各々接続されており、個々のダミーサーバ14の通信履歴記憶領域18に記録されている通信履歴情報を、個々のダミーサーバ14から各々収集する。
集計部28のダミーサーバ数集計部30及び属性情報種類数集計部32は、通信履歴収集部26に各々接続されている。ダミーサーバ数集計部30は、通信履歴収集部26によって収集された通信履歴情報から、個々のアクセス元がアクセスしたダミーサーバ14の数を個々のアクセス元毎に集計する。属性情報種類数集計部32は、通信履歴収集部26によって収集された通信履歴情報から、個々のアクセス元毎に属性情報の種類数を集計する。属性情報の種類数の一例は、ダミーサーバ14へのアクセスに利用されたアプリケーションの種類数と、ダミーサーバ14へのアクセスでアクセス元から通知された利用可能な鍵交換アルゴリズムの種類数である。
不正アクセス元推定部34は、集計部28のダミーサーバ数集計部30及び属性情報種類数集計部32に各々接続されている。不正アクセス元推定部34は、ダミーサーバ数集計部30によって集計されたダミーサーバ14の数及び属性情報種類数集計部32によって集計された属性情報の種類数に基づいて、個々のアクセス元の正当性、すなわち不正アクセス元でないか否かを推定する。
ブラックリスト登録部36は、不正アクセス元推定部34及び通信監視部38のブラックリスト記憶部40に各々接続されている。ブラックリスト登録部36は、不正アクセス元推定部34によって正当性が無いと推定されたアクセス元、すなわち不正アクセス元の情報を、ブラックリスト記憶部40に記憶されたブラックリストに追加登録する。
通信遮断部42は、ブラックリスト記憶部40に接続されている。通信遮断部42は、インターネット20を経由して公開サーバ12にアクセスしてきたアクセス元が、ブラックリスト記憶部40に記憶されたブラックリストに情報が登録されたアクセス元か否かを推定する。そして、通信遮断部42は、ブラックリストに情報が登録されたアクセス元から公開サーバ12へのアクセスを遮断する。なお、通信遮断部42は、本発明におけるアクセス遮断部の一例である。
ネットワーク監視装置24のうち、通信監視部38以外の部分は、図2に示す第1コンピュータ50で実現することができる。第1コンピュータ50はCPU52、一時記憶領域としてのメモリ54及び不揮発性の記憶部56、キーボード等の入力部58、ディスプレイ等の表示部60及び通信部62を含む。CPU52、メモリ54、記憶部56、入力部58、表示部60及び通信部62は、バス64を介して互いに接続されている。また通信部62は、通信監視部38、インターネット20及びダミーサーバ14として各々機能する複数の第2コンピュータ80と通信線を介して接続されている。
記憶部56はHDD(Hard Disk Drive)、SSD(Solid State Drive)、フラッシュメモリ等によって実現される。記憶部56には、第1コンピュータ50をネットワーク監視装置24のうちの通信監視部38以外の部分として機能させるためのネットワーク監視プログラム66が記憶されている。CPU52は、ネットワーク監視プログラム66を記憶部56から読み出してメモリ54に展開し、ネットワーク監視プログラム66が有するプロセスを順次実行する。
ネットワーク監視プログラム66は、通信履歴収集プロセス68、集計プロセス70、不正アクセス元推定プロセス72及びブラックリスト登録プロセス74を含む。CPU52は、通信履歴収集プロセス68を実行することで、図1に示す通信履歴収集部26として動作する。またCPU52は、集計プロセス70を実行することで、図1に示す集計部28として動作する。またCPU52は、不正アクセス元推定プロセス72を実行することで、図1に示す不正アクセス元推定部34として動作する。またCPU52は、ブラックリスト登録プロセス74を実行することで、図1に示すブラックリスト登録部36として動作する。これにより、ネットワーク監視プログラム66を実行した第1コンピュータ50が、ネットワーク監視装置24のうちの通信監視部38以外の部分として機能し、第1コンピュータ50及び通信監視部38によってネットワーク監視装置24が実現されることになる。
また、ダミーサーバ14は図2に示す第2コンピュータ80で実現することができる。第2コンピュータ80はCPU82、一時記憶領域としてのメモリ84及び不揮発性の記憶部86、キーボード等の入力部88、ディスプレイ等の表示部90及び通信部92を含む。CPU82、メモリ84、記憶部86、入力部88、表示部90及び通信部92は、バス94を介して互いに接続されている。また、通信部92は通信監視部38、インターネット20及び第1コンピュータ50と通信線を介して接続されている。
記憶部86はHDD、SSD、フラッシュメモリ等によって実現される。記憶部86には、第2コンピュータ80を図1に示す通信履歴記録部16として機能させるための通信履歴記録プログラム96が記憶されており、通信履歴記憶領域18が設けられている。CPU82は、通信履歴記録プログラム96を記憶部86から読み出してメモリ84に展開し、通信履歴記録プログラム96を順次実行する。これにより、通信履歴記録プログラム96を実行した第2コンピュータ80がダミーサーバ14として機能することになる。
次に第1実施形態の作用を説明する。ダミーサーバ14は、公開サーバ12とは異なり、存在を公開していないサーバである。このため、複数の公開サーバ12を含むネットワークが提供するサービスを利用する正規のクライアントであれば、ダミーサーバ14へのアクセスは発生しない。
一方、攻撃意図を持った不正なクライアントは、例えば、ネットワーク内から攻撃の足掛かりになりそうなサーバを探し出すこと等を目的として、ネットワークのIPアドレスの範囲内の任意のIPアドレスに不正にアクセスすることを繰り返すことがある。この不正アクセスにおけるアクセス対象のIPアドレスは、ネットワークのIPアドレスの範囲内からランダムに選択される場合も、IPアドレスの範囲内の先頭から順に選択される場合もある。このような不正アクセスが行われると、ダミーサーバ14へもアクセスが発生する。
ダミーサーバ14は、任意のアクセス元からインターネット20を経由して自サーバがアクセスされる度に、通信履歴記録部16が図3に示す通信履歴記録処理を行う。通信履歴記録処理のステップ150において、通信履歴記録部16は、アクセス元から自サーバへの今回のアクセスにおけるアクセス時刻及びアクセス元のIPアドレスを通信履歴記憶領域18に記録する。
次のステップ152において、通信履歴記録部16は、アクセス元から自サーバへの今回のアクセスに利用されたアプリケーションの識別情報を取得し、取得したアプリケーションの識別情報を通信履歴記憶領域18に記録する。
一例として、図4にはSecure Shell(SSH)のプロトコルに準拠した通信を行う場合のクライアントとサーバとの間の通信シーケンスを示す。この通信シーケンスでは、クライアントから送信されたACKnowledgement(ACK)がサーバで受信されると、Protocol Version Exchangeフェーズへ遷移し、クライアントとサーバとの間でProtocol Version Exchangeが交換される。このとき、クライアントからサーバへ送信されるProtocol Version Exchangeには、プロトコルのバージョン及びアプリケーションのバージョンを表す文字列が含まれている。このため、例えば図4に示す通信シーケンスにおいて、通信履歴記録部16は、アクセス元から受信したProtocol Version Exchangeに含まれる上記の文字列を抽出することで、アプリケーションの識別情報を取得することができる。なお、ダミーサーバ14とアクセス元との間の通信のプロトコルは上記のSSHに限られるものではない。
また、ステップ154において、通信履歴記録部16は、アクセス元の鍵交換アルゴリズムの情報を取得し、取得した鍵交換アルゴリズムの情報を通信履歴記憶領域18に記録する。一例として、図4に示す通信シーケンスでは、上述したProtocol Version Exchangeフェーズの後、Key Exchange Initフェーズへ遷移し、クライアントとサーバとの間でKey Exchange Initが交換される。このとき、クライアントからサーバへ送信されるKey Exchange Initには、クライアントがサポートする全ての鍵交換アルゴリズムの情報が含まれている。このため、例えば図4に示す通信シーケンスにおいて、通信履歴記録部16は、アクセス元から受信したKey Exchange Initに含まれる上記の鍵交換アルゴリズムの情報を抽出することで、鍵交換アルゴリズムの情報を取得することができる。ステップ154で鍵交換アルゴリズムの情報を通信履歴記憶領域18に記録すると、通信履歴記録処理を終了する。
監視対象のネットワークに設置された複数のダミーサーバ14は、任意のアクセス元からインターネット20を経由して自サーバがアクセスされる度に、上記の通信履歴記録処理を行う。これにより、個々のダミーサーバ14の通信履歴記憶領域18には、一例として図5に示す通信履歴情報100A,100B,100Cのように、互いに異なる通信履歴情報が各々記憶されることになる。
次に図6を参照し、ネットワーク監視装置24で定期的に実行されるネットワーク監視処理を説明する。なお、ネットワーク監視処理の実行時間間隔は、例えば、監視対象のネットワークの規模、設置したダミーサーバ14の数、監視対象のネットワークに設定されたセキュリティのレベルなどに応じて予め設定してもよい。また、ダミーサーバ14へのアクセス数(アクセスの頻度)の変化に応じて、ネットワーク監視処理の実行時間間隔を変化させてもよい。
ネットワーク監視処理のステップ160において、通信履歴収集部26は、個々のダミーサーバ14を識別するための変数iに1を設定する。ステップ162において、通信履歴収集部26は、i番目のダミーサーバ14から、通信履歴記憶領域18に記録された通信履歴情報のうち、アクセス時刻が所定の時刻範囲内の通信履歴情報を収集する。なお、所定の時刻範囲としては、例えば、ネットワーク監視処理を前回実行した時刻から現時刻までの範囲を適用することができる。
ステップ164において、通信履歴収集部26は、ステップ162で収集した通信履歴情報にi番目のダミーサーバ14の識別情報を付加し、ダミーサーバ14の識別情報を付加した通信履歴情報を収集結果テーブルに記憶させる。次のステップ166において、通信履歴収集部26は、変数iの値がダミーサーバ14の総数に達したか否か判定する。ステップ166の判定が否定された場合はステップ168へ移行し、ステップ168において、通信履歴収集部26は、変数iを1だけインクリメントしてステップ162に戻る。
これにより、ステップ166の判定が肯定される迄、ステップ162〜168が繰り返され、個々のダミーサーバ14から通信履歴情報が順次収集されて、収集結果テーブルに各々記憶される。そして、全てのダミーサーバ14から通信履歴情報を各々収集し、ステップ166の判定が肯定される時点では、一例として図7に示すような通信履歴情報の収集結果102が収集結果テーブルに記憶される。
ステップ166の判定が肯定された場合はステップ170へ移行し、ステップ170において、集計部28は、収集結果テーブルに記憶された通信履歴情報の収集結果の中に、次のステップ172以降の処理を未実行のIPアドレスが存在しているか否か判定する。ステップ170の判定が肯定された場合はステップ172へ移行する。ステップ172において、集計部28は、収集結果テーブルに記憶された通信履歴情報の収集結果から、ステップ172以降の処理を未実行の1つのIPアドレスを、処理対象のIPアドレスとして取り出す。
次のステップ174において、集計部28は、処理対象のIPアドレスをキーにして収集結果テーブルに記憶された通信履歴情報の収集結果を検索する。そして集計部28は、通信履歴情報の収集結果で処理対象のIPアドレスと対応付けられているダミーサーバ14の識別情報、アプリケーションの識別情報及び鍵交換アルゴリズムの情報を全て抽出する。
ステップ176において、集計部28のダミーサーバ数集計部30は、ステップ174で抽出したダミーサーバ14の識別情報の種類数を計数することで、処理対象のIPアドレスのアクセス元からアクセスが有ったダミーサーバ14の数を集計する。そして、ダミーサーバ数集計部30は、集計したダミーサーバ14の数を、処理対象のIPアドレスと対応付けて集計結果テーブルに記録する。
次のステップ178において、集計部28の属性情報種類数集計部32は、ステップ174で抽出したアプリケーションの識別情報の種類数を集計する。この集計の結果は、処理対象のIPアドレスのアクセス元からダミーサーバ14へのアクセスに利用されたアプリケーションの種類数を表している。属性情報種類数集計部32は、集計したアプリケーションの種類数を、処理対象のIPアドレスと対応付けて集計結果テーブルに記録する。また、属性情報種類数集計部32は、ステップ174で抽出したアプリケーションの識別情報も、処理対象のIPアドレスと対応付けアプリケションリストとして集計結果テーブルに記録する。
また、ステップ180において、集計部28の属性情報種類数集計部32は、ステップ174で抽出した鍵交換アルゴリズムの情報の種類数を集計する。この集計の結果は、処理対象のIPアドレスのアクセス元からダミーサーバ14へのアクセスでアクセス元から通知された鍵交換アルゴリズムの種類数を表している。属性情報種類数集計部32は、集計した鍵交換アルゴリズムの種類数を、処理対象のIPアドレスと対応付けて集計結果テーブルに記録する。
ステップ180の処理を完了するとステップ170に戻り、ステップ170の判定が否定される迄、ステップ170〜180を繰り返す。これにより、ダミーサーバ14へのアクセスを行った個々のアクセス元に対してステップ172〜180の処理が各々行われ、集計結果テーブルには、一例として図8に示すような集計結果情報104が記憶される。
ダミーサーバ14へのアクセスを行った全てのアクセス元に対してステップ172〜180の処理を完了すると、ステップ170の判定が否定されることでステップ182へ移行する。ステップ182において、不正アクセス元推定部34は、不正アクセス元推定処理を行う。この不正アクセス元推定処理について、図9を参照して説明する。
不正アクセス元推定処理のステップ190において、不正アクセス元推定部34は、集計結果テーブルに記憶された集計結果情報の中に、次のステップ192以降の処理を未実行のIPアドレスが存在しているか否か判定する。ステップ190の判定が肯定された場合はステップ192へ移行する。ステップ192において、不正アクセス元推定部34は、集計結果テーブルに記憶された集計結果情報から、ステップ192以降の処理を未実行の1つのIPアドレスを、処理対象のIPアドレスとして選択する。
ステップ194において、不正アクセス元推定部34は、ステップ192で選択した処理対象のIPアドレスと対応付けて集計結果テーブルに記憶されているダミーサーバ14の数を読み出し、読み出したダミーサーバ14の数が1を超えているか否か判定する。
アクセスしたダミーサーバ14の数が0の場合、処理対象のIPアドレスのアクセス元は、ダミーサーバ14へのアクセスを行っていないので、正規クライアントか、又は、不正クライアントが配下に存在しないプロキシサーバである可能性が高い。
一方、アクセスしたダミーサーバ14の数が1の場合、処理対象のIPアドレスのアクセス元は、ダミーサーバ14への不正アクセスを行っているので、不正クライアントか、又は、不正クライアントが配下に存在するプロキシサーバである可能性が有る。但し、アクセスしたダミーサーバ14の数が1であれば、処理対象のIPアドレスのアクセス元からの不正アクセスの規模は小さく、処理対象のIPアドレスのアクセス元が、不正クライアントが配下に存在する不正なプロキシサーバである可能性は低い。このため、ステップ194の判定が否定された場合は、処理対象のIPアドレスのアクセス元は危険度が低いと推定し、ステップ190に戻る。
また、ステップ194の判定が否定された場合はステップ196へ移行する。ステップ196において、不正アクセス元推定部34は、処理対象のIPアドレスと対応付けて集計結果テーブルに記憶されているアプリケーションの種類数を読み出し、読み出したアプリケーションの種類数が1を超えているか否か判定する。なお、処理対象のIPアドレスのアクセス元は、ダミーサーバ14への不正アクセスを行っているので、読み出したアプリケーションの種類数は1以上の値になる。
ここで、処理対象のIPアドレスのアクセス元からダミーサーバ14へのアクセスに利用されたアプリケーションの種類数が1の場合、処理対象のIPアドレスのアクセス元からの不正アクセスの規模は小さい。このため、アクセス元が、不正クライアントが配下に複数存在する不正なプロキシサーバである可能性は低い。このため、ステップ196の判定が否定された場合は、処理対象のIPアドレスのアクセス元は危険度が低いと推定し、ステップ190に戻る。
一方、ステップ194,196の判定が各々肯定された場合は、複数のダミーサーバ14に、複数種のアプリケーションを利用してアクセスしているので、処理対象のIPアドレスのアクセス元からの不正アクセスの規模が小さいとは言えない。すなわち、アプリケーションの識別情報は、プロトコルのバージョン及びアプリケーションのバージョンを表す文字列が含まれているので、クライアント毎に相違している可能性が高い。そして、アプリケーションの種類数が多くなるに従って、処理対象のIPアドレスのアクセス元は、不正クライアントが配下に複数存在する不正なプロキシサーバである可能性が高くなる。
従って、ステップ196の判定が肯定された場合は、処理対象のIPアドレスのアクセス元は危険度が高いと推定し、ステップ198へ移行する。ステップ198において、ブラックリスト登録部36は、通信監視部38のブラックリスト記憶部40に記憶されているブラックリストに、処理対象のIPアドレスを追加登録し、ステップ190に戻る。
上述した処理により、ステップ190の判定が肯定される迄、ステップ190〜198が繰り返される。従って、例えば図8に示す集計結果情報104が集計結果テーブルに記憶されている場合、IPアドレスが"8.8.8.8"のアクセス元はステップ194,196の判定が各々肯定され、上記のIPアドレス"8.8.8.8"がブラックリストに追加登録される(図10参照)。ブラックリストに上記のIPアドレスが追加登録された以降は、通信監視部38の通信遮断部42により、上記のIPアドレスのアクセス元から公開サーバ12へのアクセスが遮断されることになる。
また、集計結果テーブルに記憶された全てのIPアドレスに対してステップ192以降の処理を行うと、ステップ190の判定が否定されて不正アクセス元推定処理(図9)を終了し、ネットワーク監視処理(図6)を終了する。
〔第2実施形態〕
次に開示の技術の第2実施形態について説明する。なお、第2実施形態は第1実施形態と同一の構成であるので、各部分に同一の符号を付して構成の説明を省略し、図11を参照して第2実施形態に係る不正アクセス元推定処理を説明する。
ステップ210において、不正アクセス元推定部34は、集計結果テーブルに記憶された集計結果情報に基づいて、アクセス元毎に集計されたダミーサーバの数の平均値及びアプリケーションの種類数の平均値を各々演算する。ステップ212において、不正アクセス元推定部34は、集計結果テーブルに記憶された集計結果情報の中に、次のステップ214以降の処理を未実行のIPアドレスが存在しているか否か判定する。ステップ212の判定が肯定された場合はステップ214へ移行する。
ステップ214において、不正アクセス元推定部34は、集計結果テーブルに記憶された集計結果情報から、ステップ214以降の処理を未実行の1つのIPアドレスを、処理対象のIPアドレスとして選択する。
ステップ216において、不正アクセス元推定部34は、ステップ214で選択した処理対象のIPアドレスと対応付けて集計結果テーブルに記憶されているダミーサーバ14の数を読み出す。そして、不正アクセス元推定部34は、読み出したダミーサーバ14の数と、先のステップ210で演算したダミーサーバの数の平均値とに基づいて、処理対象のIPアドレスのアクセス元についてダミーサーバの数の標準偏差を演算する。
次のステップ218において、不正アクセス元推定部34は、ステップ216で演算したダミーサーバ数の標準偏差が、予め設定した第1閾値以上か否か判定する。ステップ218の判定が否定された場合、処理対象のIPアドレスのアクセス元からの不正アクセスの規模は小さく、処理対象のIPアドレスのアクセス元が、不正クライアントが配下に存在する不正なプロキシサーバである可能性は低い。このため、ステップ218の判定が否定された場合は、処理対象のIPアドレスのアクセス元は危険度が低いと推定し、ステップ212に戻る。
また、ステップ218の判定が肯定された場合はステップ220へ移行する。ステップ220において、不正アクセス元推定部34は、ステップ214で選択した処理対象のIPアドレスと対応付けて集計結果テーブルに記憶されているアプリケーションの種類数を読み出す。そして、不正アクセス元推定部34は、読み出したアプリケーションの種類数と、先のステップ210で演算したアプリケーションの種類数の平均値とに基づいて、処理対象のIPアドレスのアクセス元についてアプリケーションの種類数の標準偏差を演算する。
次のステップ222において、不正アクセス元推定部34は、ステップ220で演算したダミーサーバ数の標準偏差が、予め設定した第2閾値以上か否か判定する。ステップ222の判定が否定された場合、処理対象のIPアドレスのアクセス元からの不正アクセスの規模は小さく、処理対象のIPアドレスのアクセス元が、不正クライアントが配下に存在する不正なプロキシサーバである可能性は低い。このため、ステップ222の判定が否定された場合は、処理対象のIPアドレスのアクセス元は危険度が低いと推定し、ステップ212に戻る。
一方、ステップ216,222の判定が各々肯定された場合は、処理対象のIPアドレスのアクセス元はダミーサーバ14の数もアプリケーションの種類数も平均値より明確に多く、当該アクセス元からの不正アクセスの規模が小さいとは言えない。そして、アプリケーションの種類数が平均値より明確に多い場合、処理対象のIPアドレスのアクセス元は、不正クライアントが配下に複数存在する不正なプロキシサーバである可能性が高い。従って、ステップ222の判定が肯定された場合は、処理対象のIPアドレスのアクセス元は危険度が高いと推定し、ステップ224へ移行する。ステップ224において、ブラックリスト登録部36は、通信監視部38のブラックリスト記憶部40に記憶されているブラックリストに、処理対象のIPアドレスを追加登録し、ステップ212に戻る。
上述した処理により、ステップ212の判定が肯定される迄、ステップ212〜224が繰り返され、ステップ216,222の判定が各々肯定された処理対象のIPアドレスはブラックリストに追加登録される。そして、ブラックリストに追加登録されたIPアドレスのアクセス元から公開サーバ12へのアクセスは、通信監視部38の通信遮断部42によって遮断されることになる。また、集計結果テーブルに記憶された全てのIPアドレスに対してステップ214以降の処理を行うと、ステップ212の判定が否定されて不正アクセス元推定処理(図11)を終了する。
〔第3実施形態〕
次に開示の技術の第3実施形態について説明する。なお、第1実施形態及び第2実施形態と同一の部分には同一の符号を付し、説明を省略する。
第3実施形態では、不正アクセスに利用されるアプリケーションのうち、特にセキュリティ上の懸念が大きいアプリケーションの識別情報が、一例として図12に示す重大アプリケーション情報106として重大アプリケーションテーブルに予め登録されている。重大アプリケーションテーブルは、例えば記憶部56などに記憶され、不正アクセス元推定部34によって参照される。重大アプリケーションテーブルに登録されている重大アプリケーション情報106は、ウィルス定義情報などと同様に、セキュリティ上の懸念が大きいアプリケーションの存在が新たに検知される度に、内容を更新することが好ましい。
なお、図12に示す重大アプリケーション情報106に含まれる"HTC-Hydra"は、複数種類のプロトコルに対応したブルートフォース攻撃ツールである。また、図12に示す重大アプリケーション情報106に含まれる"Medusa "は、複数種類のプロトコルに対応したブルートフォース攻撃ツールであり、並列処理が可能とされている。その他にセキュリティ上の懸念が大きいアプリケーションとしては、例えば"Ncrack"などのブルートフォース攻撃ツールが挙げられる。これらはネットワークへの攻撃に使用されるアプリケーションの一例であるが、上記に限定されるものではない。
次に図13を参照し、第3実施形態に係る不正アクセス元推定処理を説明する。ステップ230において、不正アクセス元推定部34は、集計結果テーブルに記憶された集計結果情報の中に、次のステップ232以降の処理を未実行のIPアドレスが存在しているか否か判定する。ステップ230の判定が肯定された場合はステップ232へ移行する。ステップ232において、不正アクセス元推定部34は、集計結果テーブルに記憶された集計結果情報から、ステップ232以降の処理を未実行の1つのIPアドレスを、処理対象のIPアドレスとして選択する。
次のステップ234において、不正アクセス元推定部34は、ステップ232で選択した処理対象のIPアドレスと対応付けて集計結果テーブルに記憶されているダミーサーバ14の数Dを読み出す。そして、不正アクセス元推定部34は、読み出したダミーサーバ14の数Dに応じた処理対象のIPアドレスのアクセス元の評価値Rを演算する。評価値Rは、例えば次の(1)式に従って演算することができる。なお、(1)式におけるw1は、ダミーサーバ14の数Dに対する重み係数である。
=D×w1 …(1)
また、ステップ236において、不正アクセス元推定部34は、ステップ232で選択した処理対象のIPアドレスと対応付けて集計結果テーブルにアプリケーションリストとして記憶されているアプリケーションの識別情報を全て読み出す。また、不正アクセス元推定部34は、読み出した全てのアプリケーションの識別情報が重大アプリケーションテーブルに登録されているか否かを順次確認することで、確認したアプリケーションが重大アプリケーションか否かを弁別する。そして、不正アクセス元推定部34は、アプリケーションが重大アプリケーションか否かを弁別した結果に基づいて、重大アプリケーションの種類数A1及びその他のアプリケーションの種類数A2を集計する。
次のステップ238において、不正アクセス元推定部34は、処理対象のIPアドレスからのアクセスに利用されたアプリケーションの種類数A1,A2に応じた処理対象のIPアドレスのアクセス元の評価値Rを演算する。評価値Rは、例えば次の(2)式に従って演算することができる。なお、(2)式におけるw2は重大アプリケーションの種類数A1に対する重み係数、w3はその他のアプリケーションの種類数A2に対する重み係数であり、w2>w3である。
=A1×w2+A2×w3 …(2)
ステップ240において、不正アクセス元推定部34は、ステップ232で選択した処理対象のIPアドレスと対応付けて集計結果テーブルに記憶されている鍵交換アルゴリズムの種類数Kを読み出す。そして、不正アクセス元推定部34は、読み出した鍵交換アルゴリズムの種類数Kに応じた処理対象のIPアドレスのアクセス元の評価値Rを演算する。評価値Rは、例えば次の(3)式に従って演算することができる。なお、(3)式におけるw4は、鍵交換アルゴリズムの種類数Kに対する重み係数である。
=K×w4 …(3)
なお、鍵交換アルゴリズム情報についても、アプリケーションの識別情報と同様にクライアント毎に相違している可能性が高い。このため、鍵交換アルゴリズムの種類数Kが多くなるに従って、処理対象のIPアドレスのアクセス元が、不正クライアントが配下に複数存在する不正なプロキシサーバである可能性が高くなる。
続いてステップ242において、不正アクセス元推定部34は、上記の(1)〜(3)式で演算した評価値に基づいて、処理対象のIPアドレスのアクセス元の総合評価値Rを演算する。総合評価値Rは、例えば次の(4)式に従って演算することができる。
R=R+R+R …(4)
そして、次のステップ244において、不正アクセス元推定部34は、ステップ242で演算した総合評価値Rが閾値Rth以上か否か判定する。なお、閾値Rthは、例えば所定値としてもよいし、例えば、ダミーサーバ14の数Dの平均値、アプリケーションの種類数A1,A2の平均値及び鍵交換アルゴリズムの種類数Kの平均値に応じて値を切り替えてもよい。
前述の(1)〜(4)式から明らかなように、総合評価値Rは、処理対象のIPアドレスのアクセス元に関するダミーサーバ14の数Dが増加するに従って値が増加し、アプリケーションの種類数A1,A2が増加するに従って値が増加する。また、重大アプリケーションの種類数A1が増加した場合に総合評価値Rの値が増加する割合の方が、その他のアプリケーションの種類数A2が増加した場合に総合評価値Rの値が増加する割合よりも高い。更に、総合評価値Rは、処理対象のIPアドレスのアクセス元に関する鍵交換アルゴリズムの種類数Kが増加するに従って値が増加する。従って、総合評価値Rは、処理対象のIPアドレスのアクセス元に対する危険度(セキュリティに対する懸念の度合い)を表しており、ステップ244の判定が否定された場合は処理対象のIPアドレスのアクセス元は危険度が低いと推定できる。このため、ステップ244の判定が否定された場合はステップ230に戻る。
一方、ステップ244の判定が肯定された場合、処理対象のIPアドレスのアクセス元からの不正アクセスの規模が小さいとは言えず、処理対象のIPアドレスのアクセス元は、不正クライアントが配下に複数存在する不正なプロキシサーバである可能性が高い。従って、ステップ244の判定が肯定された場合は、処理対象のIPアドレスのアクセス元は危険度が高いと推定し、ステップ246へ移行する。ステップ246において、ブラックリスト登録部36は、通信監視部38のブラックリスト記憶部40に記憶されているブラックリストに、処理対象のIPアドレスを追加登録し、ステップ230に戻る。
上述した処理により、ステップ230の判定が肯定される迄、ステップ230〜246が繰り返され、ステップ244の判定が肯定された処理対象のIPアドレスはブラックリストに追加登録される。そして、ブラックリストに追加登録されたIPアドレスのアクセス元から公開サーバ12へのアクセスは、通信監視部38の通信遮断部42によって遮断される。また、集計結果テーブルに記憶された全てのIPアドレスに対してステップ232以降の処理を行うと、ステップ230の判定が否定されて不正アクセス元推定処理(図13)を終了する。
上記の各実施形態では、複数の公開サーバ12によって形成される監視対象のネットワークに複数のダミーサーバ14が設置されている。また、集計部28は、複数のダミーサーバ14の各々に対するアクセスの履歴に含まれる、個々のダミーサーバ14にアクセスしたアクセス元の識別情報及び属性情報に基づいて、アクセス元毎に、アクセスしたダミーサーバの数及び属性情報の種類数を集計する。そして、不正アクセス元推定部34は、アクセス元毎に集計したダミーサーバ14の数及び属性情報の種類数に基づいて、個々のアクセス元の正当性を推定する。これにより、アクセス元からのアクセスの中に不正なアクセスが混在している場合にも、アクセス元の正当性を高精度に推定することができる。
また、上記の各実施形態では、アクセス元の属性情報は、ダミーサーバ14へのアクセスに利用されたアプリケーションの識別情報を含み、集計部28は、アクセス元の属性情報の種類数としてアプリケーションの種類数を集計する。アプリケーションの識別情報はクライアント毎に相違している可能性が高く、アプリケーションの種類数が多くなるに従って、処理対象のIPアドレスのアクセス元が、不正クライアントが配下に複数存在する不正なプロキシサーバである可能性が高くなる。これにより、アクセス元の正当性の推定精度を向上させることができる。
また、第3実施形態では、ネットワークへの攻撃に使用される重大アプリケーションの識別情報を記憶部56などに記憶している。そして、不正アクセス元推定部34は、重大アプリケーションを利用したアクセスが有ったアクセス元に対し、重大アプリケーションを利用したアクセスが無いアクセス元よりも、総合評価値Rが増加するように総合評価値Rを演算する。これにより、重大アプリケーションを使用した不正アクセスがあったアクセス元を、より危険度が高いアクセス元と評価することができ、アクセス元の正当性の推定精度を更に向上させることができる。
また、第3実施形態では、アクセス元の属性情報は、ダミーサーバ14へのアクセスでアクセス元から通知された利用可能な鍵交換アルゴリズムの情報を含み、集計部28は、アクセス元の属性情報の種類数として鍵交換アルゴリズムの種類数を集計する。鍵交換アルゴリズムの情報はクライアント毎に相違している可能性が高く、鍵交換アルゴリズムの種類数が多くなるに従って、処理対象のIPアドレスのアクセス元が、不正クライアントが配下に複数存在する不正なプロキシサーバである可能性が高くなる。これにより、アクセス元の正当性の推定精度を向上させることができる。
また、第1実施形態において、不正アクセス元推定部34は、個々のアクセス元毎に、ダミーサーバ14の数と第1閾値との大小関係及びアクセス元の属性情報の種類数と第2閾値との大小関係を判定することで、個々のアクセス元の正当性を推定している。また、第2実施形態において、不正アクセス元推定部34は、ダミーサーバ14の数の平均値との乖離度合い(標準偏差)及びアクセス元の属性情報の種類数の平均値との乖離度合い(標準偏差)を判定することで、個々のアクセス元の正当性を推定している。これにより、個々のアクセス元の正当性を推定することを簡易な処理で実現することができる。
また、上記の各実施形態では、不正アクセス元推定部34によって正当性を有しないと推定されたアクセス元から監視対象のネットワークに含まれる公開サーバ12へのアクセスを、通信監視部38の通信遮断部42が遮断する。これにより、監視対象のネットワークにおけるセキュリティ上の懸念を低減することができる。
なお、上記では通信監視部38が第1コンピュータ50と協働することでネットワーク監視装置24が実現される態様を説明したが、これに限定されるものではなく、第1コンピュータ50を通信監視部38としても機能させてもよい。
また、上記では本発明に係るネットワーク監視プログラムの一例であるネットワーク監視プログラム66が記憶部56に予め記憶(インストール)されている態様を説明したが、これに限定されるものではない。本発明に係るネットワーク監視プログラムは、例えば、CD−ROMやDVD−ROM、メモリカード等の記録媒体に記録されている形態で提供することも可能である。
本明細書に記載された全ての文献、特許出願及び技術規格は、個々の文献、特許出願及び技術規格が参照により取り込まれることが具体的かつ個々に記された場合と同程度に、本明細書中に参照により取り込まれる。
以上の実施形態に関し、更に以下の付記を開示する。
(付記1)
監視対象のネットワークに設置された複数のダミーサーバの各々に対するアクセスの履歴に含まれる、個々の前記ダミーサーバにアクセスしたアクセス元の識別情報及び属性情報に基づいて、アクセス元毎に、アクセスした前記ダミーサーバの数及び前記属性情報の種類数を集計する集計部と、
前記集計部によってアクセス元毎に集計された前記ダミーサーバの数及び前記属性情報の種類数に基づいて、個々のアクセス元の正当性を推定する推定部と、
を含むネットワーク監視装置。
(付記2)
前記属性情報は、前記ダミーサーバへのアクセスに利用されたアプリケーションの識別情報を含み、
前記集計部は、前記属性情報の種類数として前記アプリケーションの種類数を集計する付記1記載のネットワーク監視装置。
(付記3)
ネットワークへの攻撃に使用される特定アプリケーションの識別情報を記憶する記憶部を更に備え、
前記推定部は、前記記憶部に識別情報が記憶された前記特定アプリケーションを利用したアクセスが有ったアクセス元に対し、前記特定アプリケーションを利用したアクセスが無いアクセス元よりも、正当性を有すると推定する確率が低下するように、前記正当性の推定を行う付記2記載のネットワーク監視装置。
(付記4)
前記属性情報は、前記ダミーサーバへのアクセスでアクセス元から通知された利用可能な鍵交換アルゴリズムの情報を含み、
前記集計部は、前記属性情報の種類数として鍵交換アルゴリズムの種類数を集計する付記1記載のネットワーク監視装置。
(付記5)
前記推定部は、個々のアクセス元毎に、前記ダミーサーバの数と第1閾値との大小関係及び前記属性情報の種類数と第2閾値との大小関係を判定するか、又は、前記ダミーサーバの数の平均値との乖離度合い及び前記属性情報の種類数の平均値との乖離度合いを判定することで、個々のアクセス元の正当性を推定する付記1〜付記4の何れか1項記載のネットワーク監視装置。
(付記6)
前記推定部によって正当性を有しないと推定されたアクセス元から監視対象のネットワークに含まれるサーバへのアクセスを遮断するアクセス遮断部を更に含む付記1〜付記5の何れか1項記載のネットワーク監視装置。
(付記7)
監視対象のネットワークに設置された複数のダミーサーバと、
付記1〜付記6の何れか1項記載のネットワーク監視装置と、
を含むネットワーク監視システム。
(付記8)
前記複数のダミーサーバは、前記監視対象のネットワークに割り当てられたアドレスの範囲内でかつ互いに異なるアドレスが割り当てられている付記1〜付記6の何れか1項記載のネットワーク監視装置、又は、付記7記載のネットワーク監視システム。
(付記9)
ネットワークに設置された複数のダミーサーバの各々に対するアクセスの履歴に含まれる、ダミーサーバにアクセスしたアクセス元の識別情報及び属性情報に基づいて、アクセスしたダミーサーバの数及び属性情報の種類数をアクセス元毎に集計し、
集計したアクセス元毎のダミーサーバの数及び属性情報の種類数に基づいてアクセス元の正当性を推定する
処理をコンピュータに実行させるためのネットワーク監視プログラム。
(付記10)
ネットワークに設置された複数のダミーサーバの各々に対するアクセスの履歴に含まれる、ダミーサーバにアクセスしたアクセス元の識別情報及び属性情報に基づいて、アクセスしたダミーサーバの数及び属性情報の種類数をアクセス元毎に集計し、
集計したアクセス元毎のダミーサーバの数及び属性情報の種類数に基づいてアクセス元の正当性を推定する
処理をコンピュータが実行するネットワーク監視方法。
(付記11)
前記属性情報は、前記ダミーサーバへのアクセスに利用されたアプリケーションの識別情報を含み、
前記集計部は、前記属性情報の種類数として前記アプリケーションの種類数を集計する付記9記載のネットワーク監視プログラム、又は、付記10記載のネットワーク監視方法。
(付記12)
ネットワークへの攻撃に使用される特定アプリケーションの識別情報を記憶する記憶部を更に備え、
前記推定部は、前記記憶部に識別情報が記憶された前記特定アプリケーションを利用したアクセスが有ったアクセス元に対し、前記特定アプリケーションを利用したアクセスが無いアクセス元よりも、正当性を有すると推定する確率が低下するように、前記正当性の推定を行う付記11記載のネットワーク監視プログラム、又は、付記11記載のネットワーク監視方法。
(付記13)
前記属性情報は、前記ダミーサーバへのアクセスでアクセス元から通知された利用可能な鍵交換アルゴリズムの情報を含み、
前記集計部は、前記属性情報の種類数として鍵交換アルゴリズムの種類数を集計する付記9記載のネットワーク監視プログラム、又は、付記10記載のネットワーク監視方法。
(付記14)
前記推定部は、個々のアクセス元毎に、前記ダミーサーバの数と第1閾値との大小関係及び前記属性情報の種類数と第2閾値との大小関係を判定するか、又は、前記ダミーサーバの数の平均値との乖離度合い及び前記属性情報の種類数の平均値との乖離度合いを判定することで、個々のアクセス元の正当性を推定する付記9、付記11〜付記13の何れか1項記載のネットワーク監視プログラム、又は、付記10〜付記13の何れか1項記載のネットワーク監視方法。
(付記15)
前記推定部によって正当性を有しないと推定されたアクセス元から監視対象のネットワークに含まれるサーバへのアクセスを遮断するアクセス遮断部を更に含む付記9、付記11〜付記14の何れか1項記載のネットワーク監視プログラム、又は、付記10〜付記14の何れか1項記載のネットワーク監視方法。
(付記16)
前記複数のダミーサーバは、前記監視対象のネットワークに割り当てられたアドレスの範囲内でかつ互いに異なるアドレスが割り当てられている付記9、付記11〜付記15の何れか1項記載のネットワーク監視プログラム、又は、付記10〜付記15の何れか1項記載のネットワーク監視方法。
10…サーバ群、12…公開サーバ、14…ダミーサーバ、16…通信履歴記録部、18…通信履歴記憶領域、20…インターネット、24…ネットワーク監視装置、26…通信履歴収集部、28…集計部、30…ダミーサーバ数集計部、32…属性情報種類数集計部、34…不正アクセス元推定部、36…ブラックリスト登録部、38…通信監視部、40…ブラックリスト記憶部、42…通信遮断部、50…第1コンピュータ、52…CPU、54…メモリ、56…記憶部、66…ネットワーク監視プログラム

Claims (8)

  1. 監視対象のネットワークに設置された複数のダミーサーバの各々に対するアクセスの履歴に含まれる、個々の前記ダミーサーバにアクセスしたアクセス元の識別情報及び属性情報に基づいて、アクセス元毎に、アクセスした前記ダミーサーバの数及び前記属性情報の種類数を集計する集計部と、
    前記集計部によってアクセス元毎に集計された前記ダミーサーバの数及び前記属性情報の種類数に基づいて、個々のアクセス元の正当性を推定する推定部と、
    を含むネットワーク監視装置。
  2. 前記属性情報は、前記ダミーサーバへのアクセスに利用されたアプリケーションの識別情報を含み、
    前記集計部は、前記属性情報の種類数として前記アプリケーションの種類数を集計する請求項1記載のネットワーク監視装置。
  3. ネットワークへの攻撃に使用される特定アプリケーションの識別情報を記憶する記憶部を更に備え、
    前記推定部は、前記記憶部に識別情報が記憶された前記特定アプリケーションを利用したアクセスが有ったアクセス元に対し、前記特定アプリケーションを利用したアクセスが無いアクセス元よりも、正当性を有すると推定する確率が低下するように、前記正当性の推定を行う請求項2記載のネットワーク監視装置。
  4. 前記属性情報は、前記ダミーサーバへのアクセスでアクセス元から通知された利用可能な鍵交換アルゴリズムの情報を含み、
    前記集計部は、前記属性情報の種類数として鍵交換アルゴリズムの種類数を集計する請求項1記載のネットワーク監視装置。
  5. 前記推定部は、個々のアクセス元毎に、前記ダミーサーバの数と第1閾値との大小関係及び前記属性情報の種類数と第2閾値との大小関係を判定するか、又は、前記ダミーサーバの数の平均値との乖離度合い及び前記属性情報の種類数の平均値との乖離度合いを判定することで、個々のアクセス元の正当性を推定する請求項1〜請求項4の何れか1項記載のネットワーク監視装置。
  6. 前記推定部によって正当性を有しないと推定されたアクセス元から監視対象のネットワークに含まれるサーバへのアクセスを遮断するアクセス遮断部を更に含む請求項1〜請求項5の何れか1項記載のネットワーク監視装置。
  7. ネットワークに設置された複数のダミーサーバの各々に対するアクセスの履歴に含まれる、ダミーサーバにアクセスしたアクセス元の識別情報及び属性情報に基づいて、アクセスしたダミーサーバの数及び属性情報の種類数をアクセス元毎に集計し、
    集計したアクセス元毎のダミーサーバの数及び属性情報の種類数に基づいてアクセス元の正当性を推定する
    処理をコンピュータに実行させるためのネットワーク監視プログラム。
  8. ネットワークに設置された複数のダミーサーバの各々に対するアクセスの履歴に含まれる、ダミーサーバにアクセスしたアクセス元の識別情報及び属性情報に基づいて、アクセスしたダミーサーバの数及び属性情報の種類数をアクセス元毎に集計し、
    集計したアクセス元毎のダミーサーバの数及び属性情報の種類数に基づいてアクセス元の正当性を推定する
    処理をコンピュータが実行するネットワーク監視方法。
JP2016212472A 2016-10-31 2016-10-31 ネットワーク監視装置、プログラム及び方法 Expired - Fee Related JP6750457B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2016212472A JP6750457B2 (ja) 2016-10-31 2016-10-31 ネットワーク監視装置、プログラム及び方法
US15/796,485 US20180124084A1 (en) 2016-10-31 2017-10-27 Network monitoring device and method
EP17198858.7A EP3316550A1 (en) 2016-10-31 2017-10-27 Network monitoring device and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016212472A JP6750457B2 (ja) 2016-10-31 2016-10-31 ネットワーク監視装置、プログラム及び方法

Publications (2)

Publication Number Publication Date
JP2018073140A true JP2018073140A (ja) 2018-05-10
JP6750457B2 JP6750457B2 (ja) 2020-09-02

Family

ID=60201849

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016212472A Expired - Fee Related JP6750457B2 (ja) 2016-10-31 2016-10-31 ネットワーク監視装置、プログラム及び方法

Country Status (3)

Country Link
US (1) US20180124084A1 (ja)
EP (1) EP3316550A1 (ja)
JP (1) JP6750457B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230052533A1 (en) * 2020-03-05 2023-02-16 Aetna Inc. Systems and methods for identifying access anomalies using network graphs

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3087910A1 (fr) * 2018-10-26 2020-05-01 Serenicity Dispositif d’enregistrement d’intrusion informatique
CN113037728B (zh) * 2021-02-26 2023-08-15 上海派拉软件股份有限公司 一种实现零信任的风险判定方法、装置、设备及介质
CN113297253A (zh) * 2021-06-15 2021-08-24 深信服科技股份有限公司 一种设备识别方法、装置、设备及可读存储介质
CN116150734B (zh) * 2023-04-23 2023-07-25 深圳市君润众乐数字科技有限公司 一种基于人工智能的应用资源数字化管理系统及方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005044277A (ja) * 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
JP2008152791A (ja) * 2001-03-13 2008-07-03 Fujitsu Ltd フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
JP2010152773A (ja) * 2008-12-26 2010-07-08 Mitsubishi Electric Corp 攻撃判定装置及び攻撃判定方法及びプログラム
JP2013011949A (ja) * 2011-06-28 2013-01-17 Nippon Telegr & Teleph Corp <Ntt> 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
US20140317738A1 (en) * 2013-04-22 2014-10-23 Imperva, Inc. Automatic generation of attribute values for rules of a web application layer attack detector
JP2015179416A (ja) * 2014-03-19 2015-10-08 日本電信電話株式会社 ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム
JP2016143320A (ja) * 2015-02-04 2016-08-08 富士通株式会社 ログ監視方法、ログ監視装置、ログ監視システム、及びログ監視プログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007334536A (ja) 2006-06-14 2007-12-27 Securebrain Corp マルウェアの挙動解析システム
US8176178B2 (en) * 2007-01-29 2012-05-08 Threatmetrix Pty Ltd Method for tracking machines on a network using multivariable fingerprinting of passively available information
CN101119387B (zh) * 2007-09-10 2012-11-14 北京网秦天下科技有限公司 一种便利于定制、配置与迁移手机软件业务的方法和系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008152791A (ja) * 2001-03-13 2008-07-03 Fujitsu Ltd フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
JP2005044277A (ja) * 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
JP2010152773A (ja) * 2008-12-26 2010-07-08 Mitsubishi Electric Corp 攻撃判定装置及び攻撃判定方法及びプログラム
JP2013011949A (ja) * 2011-06-28 2013-01-17 Nippon Telegr & Teleph Corp <Ntt> 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
US20140317738A1 (en) * 2013-04-22 2014-10-23 Imperva, Inc. Automatic generation of attribute values for rules of a web application layer attack detector
US20140317740A1 (en) * 2013-04-22 2014-10-23 Imperva, Inc. Community-based defense through automatic generation of attribute values for rules of web application layer attack detectors
JP2015179416A (ja) * 2014-03-19 2015-10-08 日本電信電話株式会社 ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム
JP2016143320A (ja) * 2015-02-04 2016-08-08 富士通株式会社 ログ監視方法、ログ監視装置、ログ監視システム、及びログ監視プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
千葉 大紀 外: "マルウェア感染端末検知のためのHTTP通信プロファイル技術の設計", 情報処理学会 研究報告 セキュリティ心理学とトラスト(SPT) 2014−SPT−008 [ONLINE] INT, JPN6019025338, 20 March 2014 (2014-03-20), JP, pages 1 - 6, ISSN: 0004303877 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230052533A1 (en) * 2020-03-05 2023-02-16 Aetna Inc. Systems and methods for identifying access anomalies using network graphs
US11848952B2 (en) * 2020-03-05 2023-12-19 Aetna Inc. Systems and methods for identifying access anomalies using network graphs

Also Published As

Publication number Publication date
EP3316550A1 (en) 2018-05-02
US20180124084A1 (en) 2018-05-03
JP6750457B2 (ja) 2020-09-02

Similar Documents

Publication Publication Date Title
US10574681B2 (en) Detection of known and unknown malicious domains
JP6750457B2 (ja) ネットワーク監視装置、プログラム及び方法
US8549645B2 (en) System and method for detection of denial of service attacks
CN107465651B (zh) 网络攻击检测方法及装置
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
JP2016152594A (ja) ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
WO2018191089A1 (en) System and method for detecting creation of malicious new user accounts by an attacker
CN113326514B (zh) 网络资产的风险评估方法、装置、交换机、设备及服务器
JP6717206B2 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム
CN113711559B (zh) 检测异常的系统和方法
JP2016146114A (ja) ブラックリストの管理方法
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
JP4823813B2 (ja) 異常検知装置、異常検知プログラム、および記録媒体
CN108183884B (zh) 一种网络攻击判定方法及装置
US10963562B2 (en) Malicious event detection device, malicious event detection method, and malicious event detection program
JPWO2016195090A1 (ja) 検知システム、検知装置、検知方法及び検知プログラム
JP5719054B2 (ja) アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム
WO2023163820A1 (en) Graph-based analysis of security incidents
CN112560085B (zh) 业务预测模型的隐私保护方法及装置
JP2018106634A (ja) ホワイトリスト作成装置
JP6712944B2 (ja) 通信予測装置、通信予測方法及び通信予測プログラム
JP6883535B2 (ja) 攻撃予測装置、攻撃予測方法及び攻撃予測プログラム
CN110445799B (zh) 入侵阶段的确定方法、装置及服务器
JP6857627B2 (ja) ホワイトリスト管理システム
CN117857080A (zh) DDoS攻击的检测方法、系统、设备及介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190709

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200714

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200727

R150 Certificate of patent or registration of utility model

Ref document number: 6750457

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees