JP2019097133A - 通信監視システム及び通信監視方法 - Google Patents
通信監視システム及び通信監視方法 Download PDFInfo
- Publication number
- JP2019097133A JP2019097133A JP2017227468A JP2017227468A JP2019097133A JP 2019097133 A JP2019097133 A JP 2019097133A JP 2017227468 A JP2017227468 A JP 2017227468A JP 2017227468 A JP2017227468 A JP 2017227468A JP 2019097133 A JP2019097133 A JP 2019097133A
- Authority
- JP
- Japan
- Prior art keywords
- network
- behavior
- communication monitoring
- attacker
- parallel network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】攻撃者の挙動を把握することができる通信監視システム及び通信監視方法を提供する。【解決手段】実施形態における通信監視システム100は、マルウェア31の特徴に基づき、実ネットワーク2を模した仮想マシン21a及び仮想ネットワーク21bを有する並行ネットワーク21を形成する環境構築手段(ステップS120)と、前記並行ネットワーク21上で前記マルウェア31を実行する実行手段(ステップS130)と、前記マルウェア31を経由して前記並行ネットワーク21に侵入した攻撃者の挙動履歴を取得する挙動解析手段(ステップS140)と、を備えることを特徴とする。【選択図】図1
Description
本発明は、サイバー攻撃への対策を支援する通信監視システム及び通信監視方法に関するものである。
近年、標的型攻撃に代表される政府や企業等の組織内のネットワークを狙うサイバー攻撃が社会問題となっている。このようなサイバー攻撃への対策技術を確立するためには、例えばセキュリティベンダが公開するレポート等から詳細な知見を得る方法がある。しかし、攻撃に関連した各種ログ等は、機密情報が含まれることが多く、その詳細が組織外に公開されることは稀である。上記の他、例えばサイバー攻撃で用いられたマルウェアを、仮想マシン、ハニーポット、サンドボックス機器等で解析する方法がある。このような方法として、例えば特許文献1記載の攻撃情報管理システム、及び特許文献2記載の通信監視システム等が提案されている。
特許文献1では、攻撃情報を受信し、攻撃情報とその攻撃情報を収集した囮システムの種別との組合せを攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを攻撃情報分析部に問合せ、攻撃情報をクラスタリングし、攻撃情報の所属するクラスタを示すクラスタ識別子を攻撃情報管理テーブルに記憶し、クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルにおいて、クラスタリングの結果、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、クラスタ管理テーブルを変更する攻撃情報管理システムが開示されている。
特許文献2では、受信したパケットのペイロードのパターンが登録されている攻撃パターンと一致する、類似するかにより新たに攻撃パターン、攻撃応答パターンを登録する通信監視装置が開示されている。また、仮想ホスト装置では、受信したパケットからペイロードを抽出し、ペイロードのパターンが攻撃応答パターンに一致する場合は擬似応答パケットを生成する旨が開示されている。また、類似する場合はマスキングルールを適用してマスキングを行い、マスキング後のパターンが攻撃応答パターンに一致する場合は、擬似応答パケットを生成する。また、類似しない場合、一致しない場合は攻撃パターンに追加する。
しかし、上述した方法では、サイバー攻撃の表層的な面しか得られず、攻撃者が組織内のネットワークに侵入した後の活動(挙動)までは把握することができない、という課題が挙げられる。このため、サイバー攻撃への対策技術を開発する際に、実際の攻撃に基づいたデータセットを得られず、開発の効果を検証することが難しい。この点、特許文献1及び特許文献2の開示技術においても、攻撃者の挙動を把握することができない。
そこで本発明は、上述した問題点に鑑みて案出されたものであり、その目的とするところは、攻撃者の挙動を把握することができる通信監視システム及び通信監視方法を提供することにある。
本発明者らは、上述した問題点を解決するために、マルウェアの特徴に基づき、実ネットワークを模した並行ネットワークを形成する環境構築手段と、マルウェアを経由して前記並行ネットワークに侵入した攻撃者の挙動履歴を出力する挙動解析手段と、を備え、サイバー攻撃への対策を支援する通信監視システム及び通信監視方法を発明した。
請求項1に記載の通信監視システムは、サイバー攻撃への対策を支援する通信監視システムであって、マルウェアの特徴に基づき、実ネットワークを模した仮想マシン及び仮想ネットワークを有する並行ネットワークを形成する環境構築手段と、前記並行ネットワーク上で前記マルウェアを実行する実行手段と、前記マルウェアを経由して前記並行ネットワークに侵入した攻撃者の挙動履歴を取得する挙動解析手段と、を備えることを特徴とする。
請求項2に記載の通信監視システムは、請求項1において、前記環境構築手段は、前記挙動履歴に基づき、前記並行ネットワークを更新することを特徴とする。
請求項3に記載の通信監視システムは、請求項1又は2において、前記挙動解析手段は、前記仮想ネットワークから前記攻撃者の挙動に対応するネットワークトラフィックを取得する第1取得手段と、前記仮想マシンから前記攻撃者の挙動に対応するホスト情報を取得する第2取得手段と、に基づき、前記挙動履歴を取得することを特徴とする。
請求項4に記載の通信監視システムは、請求項1〜3の何れかにおいて、前記環境構築手段は、前記実ネットワークと、前記並行ネットワークとを接続するワームホールを形成し、前記挙動解析手段は、前記実ネットワークから前記ワームホールを介して前記並行ネットワークに侵入した前記攻撃者の前記挙動履歴を取得することを特徴とする。
請求項5に記載の通信監視システムは、請求項4において、前記ワームホールは、前記並行ネットワーク内に配置され、IDS(Intrusion Detection System)又はIPS(Intrusion Prevention System)を有するゲート部と、前記実ネットワーク内に配置されたプロキシ部と、を有することを特徴とする。
請求項6に記載の通信監視方法は、サイバー攻撃への対策を支援する通信監視方法であって、マルウェアの特徴に基づき、実ネットワークを模した仮想マシン及び仮想ネットワークを有する並行ネットワークを形成する環境構築ステップと、前記並行ネットワーク上で前記マルウェアを実行する実行ステップと、前記マルウェアを経由して前記並行ネットワークに侵入した攻撃者の挙動履歴を取得する挙動解析ステップと、を備えることを特徴とする。
上述した構成からなる本発明によれば、マルウェアを経由して並行ネットワークに侵入した攻撃者の挙動履歴を取得する挙動解析手段を備える。このため、攻撃者が実ネットワーク(組織内のネットワーク)に侵入した場合の挙動を把握することができる。これにより、サイバー攻撃への対策技術を開発する際に、実際の攻撃に基づいたデータセットを得ることができ、開発の効果を検証することが可能となる。
また、上述した構成からなる本発明によれば、環境構築手段は、マルウェアの特徴に基づき、並行ネットワークを形成する。また、実行手段は、並行ネットワーク上でマルウェアを実行する。このため、マルウェアの特徴に対応した並行ネットワーク上で、攻撃者の挙動履歴取得することができる。これにより、実ネットワークに影響を与えることなく、攻撃者の挙動を把握することが可能となる。
また、上述した構成からなる本発明によれば、環境構築手段は、挙動履歴に基づき、並行ネットワークを更新する。このため、並行ネットワークを実ネットワークと同様な利用状況を演出することができる。これにより、攻撃者が並行ネットワークを実ネットワークであると錯覚させることができ、攻撃者の挙動履歴を取得できる期間を長くすることが可能となる。
また、上述した構成からなる本発明によれば、挙動解析手段は、ネットワークトラフィックと、ホスト内部情報とに基づき、挙動履歴を取得する。このため、攻撃者の挙動の特徴を、予め分類して把握することができる。これにより、膨大な挙動履歴を全て閲覧する必要が無くなり、効率良く開発を進めることが可能となる。また、ネットワークトラフィックと、ホスト内部情報とを組み合わせた挙動を把握することができる。これにより、攻撃者の挙動における解析結果の精度を向上させることが可能となる。
また、上述した構成からなる本発明によれば、挙動解析手段は、実ネットワークからワームホールを介して並行ネットワークに侵入した攻撃者の挙動履歴を取得する。このため、実ネットワークと並行ネットワークとの判別を困難にすることができる。これにより、攻撃者が並行ネットワークを実ネットワークであると容易に錯覚させることができ、攻撃者の挙動履歴を取得できる期間をさらに長くすることが可能となる。
また、上述した構成からなる本発明によれば、ゲート部は、IDS又はIPSを有する。このため、攻撃者の挙動履歴を取得中に、実ネットワークやインターネット等に対して影響を及ぼす恐れがある場合、攻撃者の活動を遮断することができる。これにより、実ネットワークやインターネットの安全性を確保することが可能となる。
(実施形態:通信監視システム100の構成)
以下、本発明の実施形態としての通信監視システム100について詳細に説明する。図1は、本実施形態における通信監視システム100の一例を示す模式図である。
以下、本発明の実施形態としての通信監視システム100について詳細に説明する。図1は、本実施形態における通信監視システム100の一例を示す模式図である。
通信監視システム100は、主にサイバー攻撃への対策を支援するために用いられる。図1に示すように、通信監視システム100は、通信監視装置1を備える。通信監視システム100では、組織内のネットワーク等のような実際のネットワーク(以下、実ネットワーク2)を模したネットワーク環境(以下、並行ネットワーク21)が、通信監視装置1によって形成される。通信監視システム100では、並行ネットワーク21に対してサイバー攻撃を実行する実行者の挙動履歴を取得することができる。このため、挙動履歴を用いて、攻撃者が実ネットワーク2に侵入した場合の挙動を把握することができる。
<通信監視装置1>
通信監視装置1は、インターネット4を介して、攻撃者の保有する攻撃者端末3、及び実ネットワーク2と接続される。通信監視装置1は、解析者ネットワーク6を介して、解析者の保有する解析者端末5と接続される。
通信監視装置1は、インターネット4を介して、攻撃者の保有する攻撃者端末3、及び実ネットワーク2と接続される。通信監視装置1は、解析者ネットワーク6を介して、解析者の保有する解析者端末5と接続される。
図2は、通信監視装置1の構成の一例を示す模式図である。通信監視装置1として、パーソナルコンピュータ(PC)等の電子機器が用いられるほか、例えばウェブサーバ等により具現化されてもよい。通信監視装置1は、筐体10と、CPU101と、ROM102と、RAM103と、記憶部104と、I/F105〜107とを備える。各構成101〜107は、内部バス110により接続される。
CPU(Central Processing Unit)101は、通信監視装置1全体を制御する。ROM(Read Only Memory)102は、CPU101の動作コードを格納する。RAM(Random Access Memory)103は、CPU101の動作時に使用される作業領域である。記憶部104は、攻撃者の挙動履歴等の各種情報が保存される。記憶部104としてデータ保存装置が用いられ、例えばHDD(Hard Disk Drive)、SSD(solid state drive)等が用いられる。
I/F105は、インターネット4及び解析者ネットワーク6と接続するためのインターフェースであり、例えばI/F105を介して攻撃者端末3や解析者端末5との各種情報の送受信が行われる。例えば図1に示すように、I/F105は、第1I/F105aと、第2I/F105bとを有し、第1I/F105aは、インターネット4に接続され、第2I/F105bは、解析者ネットワーク6に接続される。
I/F106は、入力部分108との情報の送受信を行うためのインターフェースである。入力部分108として、例えばキーボードが用いられ、通信監視システム100の管理者等は、入力部分108を介して、各種情報又は通信監視装置1の制御コマンド等を入力できる。I/F107は、出力部分109との各種情報の送受信を行うためのインターフェースである。出力部分109は、記憶部104に保存された各種情報、又は通信監視装置1の処理状況等を出力できる。出力部分109として、例えばディスプレイが用いられる。
通信監視装置1は、例えば図1に示すように、環境構築部11と、挙動解析部12と、解析結果データストア13と、入出力部14と、を機能として備える。なお、各機能11〜14は、CPU101が、RAM103を作業領域として、記憶部104等に保存されたプログラム(命令)を実行することにより実現される。
<環境構築部11>
環境構築部11は、実ネットワーク2を模した並行ネットワーク21を形成する。環境構築部11は、解析者が指定するマルウェア31の特徴に基づき、並行ネットワーク21を形成する。環境構築部11は、例えば複数の並行ネットワーク21を有するハイパーバイザ群20を形成してもよい。
環境構築部11は、実ネットワーク2を模した並行ネットワーク21を形成する。環境構築部11は、解析者が指定するマルウェア31の特徴に基づき、並行ネットワーク21を形成する。環境構築部11は、例えば複数の並行ネットワーク21を有するハイパーバイザ群20を形成してもよい。
並行ネットワーク21は、実ネットワーク2を模したネットワークを示す。並行ネットワーク21は、例えば仮想マシン21aと、仮想ネットワーク21bとを有し、並行ネットワーク21のネットワークトポロジは、解析者自身で定義できる。
仮想マシン21aは、例えばWindows(登録商標)、Linux(登録商標)、ソフトウェアルータ等のOS(Operating System)を有し、各仮想マシン21aでは、DHCP(Dynamic Host Configuration Protocol)、DNS(Domain Name System)、AD(Active Directory)等のサービスが動作できる。仮想ネットワーク21bは、各仮想マシン21aと接続され、例えば第1I/F105aを介してインターネット4と接続される。
並行ネットワーク21は、例えばVMware vSphere(登録商標)やvSphere Distributed Switch(登録商標)等を用いて構築され、例えばAlfonsを介して操作される。
環境構築部11は、例えば図3(a)に示すように、予め記憶部104に記憶されたクラスターリポジトリを参照して、並行ネットワーク21等を形成する。クラスターリポジトリは、仮想マシンテンプレートと、コンテンツテンプレートと、ネットワークテンプレートとを有する。
図4は、仮想マシンテンプレートの一例を示す。仮想マシンテンプレートは、OSイメージとアプリケーションとを有する。例えば、"httpd"が導入されたCentOS7(Community ENTerprise Operating System 7)や、"bind"が導入されたUbuntu (登録商標)16.04 LTSのイメージ等を有する。コンテンツテンプレートは、文章やメール、アプリケーションの設定のような並行ネットワーク21等の模倣性を向上させるファイル群を有する。ネットワークテンプレートは、サブネットやそのVLAN(Virtual Local Area Network)IDといったネットワーク情報を有する。このようなクレスタ―リポジトリを参照することで、環境構築部11は高精細な並行ネットワーク21を形成することが可能となる。
環境構築部11は、解析者が作成したレシピ51に基づき、並行ネットワーク21等を形成する。レシピ51には、例えば"vlan"に対応する名称及びVLAN IDが記載される。レシピ51には、例えば"node"に対応する並行ネットワーク21上に設置する仮想マシン21aの設定(例えばIDやホスト名、OS、導入するアプリケーション、コンテンツ、又はネットワーク設定)が記載される。レシピ51には、例えば"network"に対応する、上述したvlanの指定や、IPアドレス(Internet Protocol address)、デフォルトゲートウェイ、DNS等の情報が記載される。
環境構築部11は、例えばコンテンツテンプレートを参照して、Microsoft(登録商標) Office(登録商標)文章、PDF(Portable Document Format)ファイル、壁紙、ブックマーク、メール等を仮想マシン21a内に設定できる。
なお、環境構築部11は、並行ネットワーク21等を再構築する際、部分的な変更により実行することができ、並行ネットワーク21全体を取り壊す必要がない。例えば、解析者がインターネット4の接続にHTTP(Hypertext Transfer Protocol)プロキシを使用しない場合は、プロキシサーバの停止及びソフトウェアルータの設定変更命令を投入するような簡易的な手法により、早急に解析者の要求を満たすことができる。
環境構築部11は、例えば図3(b)に示すように、実ネットワーク2と、並行ネットワーク21とを接続するワームホール22を形成してもよい。ワームホール22を形成することで、実ネットワーク2を介して攻撃者端末3との通信を発生させることができ、実ネットワーク2と並行ネットワーク21との判別を困難にすることができる。
ワームホール22は、プロキシ部22aと、ゲート部22bとを有する。プロキシ部22aは、実ネットワーク2上に配置される。ゲート部22bは、並行ネットワーク21上に配置される。このとき、インターネット4への接続のネットワークトラフィックは、ワームホール22を介する。このため、攻撃者端末3には、実ネットワーク2から接続される。また、実ネットワーク2のIPアドレスやデフォルトゲートウェイ等の情報を、並行ネットワーク21に設定できる。
ワームホール22には、例えば多段NAT(Network Address Translator)及びVPN(Virtual Private Network)が用いられる。多段NATにはiptablesのPREROUTINGがゲート部22bに、POSTROUTINGがプロキシ部22aにそれぞれ適用される。プロキシ部22aとゲート部22bとの間は、OpenVPN(登録商標)を用いて接続される。このとき、プロキシ部22a及びゲート部22bは、並行ネットワーク21のルータとして機能する。このため、ゲート部22bではTTL(Time To Live)を合わせて詐称する。
ゲート部22bは、IDS(Intrusion Detection System)又はIPS(Intrusion Prevention System)を有し、例えばSnort(登録商標)及びiptablesが利用される。例えば並行ネットワーク21上での解析中に発生する通信が、実ネットワーク2やインターネット4に対して影響を及ぼす可能性がある。一例として、DOS(Denial of Service attack)攻撃やマルウェア31の感染拡大が挙げられる。このとき、ゲート部22bの有するIDS又はIPSにより、並行ネットワーク21から実ネットワーク2及びインターネット4への攻撃活動を検知及び遮断することができる。
また、ワームホール22を形成することで、例えば仮想マシン21aは、実ネットワーク2のホストと接続されない設定をすることができる。これにより、実ネットワーク2のホストへの影響を防止することが可能となる。
<挙動解析部12>
挙動解析部12は、並行ネットワーク21上でマルウェア31を実行する。挙動解析部12は、マルウェア31を経由して並行ネットワーク21に侵入した攻撃者の挙動履歴を取得する。
挙動解析部12は、並行ネットワーク21上でマルウェア31を実行する。挙動解析部12は、マルウェア31を経由して並行ネットワーク21に侵入した攻撃者の挙動履歴を取得する。
挙動解析部12は、例えば図5に示すように、第1解析部12aと、第2解析部12bとを有する。第1解析部12aは、仮想ネットワーク21bから攻撃者の挙動に対応するネットワークトラフィックを取得する。第2解析部12bは、仮想マシン21aから攻撃者の挙動に対応するホスト情報を取得する。挙動解析部12は、ネットワークトラフィックと、ホスト情報とに基づき、挙動履歴を取得し、例えば挙動履歴がネットワークトラフィック及びホスト情報を含んでもよい。挙動解析部12は、例えば並行ネットワーク21から取得したネットワークトラフィック、ホスト情報、及びログに基づき、挙動履歴を取得してもよい。
例えば並行ネットワーク21上の仮想マシン21aは、攻撃者端末3にインターネット4を介して特に制限無く接続できる。このため、第1解析部12aは、攻撃者端末3とマルウェア31との間の通信、悪性ツールの追加ダウンロード、並行ネットワーク21からのファイルアップロード等の履歴を、ネットワークトラフィックとして取得することができる。また、第1解析部12aは、並行ネットワーク21内におけるドメインコントローラやファイルサーバ等を探索するような攻撃者の挙動を、ネットワークトラフィックとして取得することができる。
第1解析部12aは、並行ネットワーク21に関する全てのネットワークトラフィックを、ネットワーク上の挙動として解析結果データストア13に記憶させることができる。このうち、例えばHTTP、DNS、ICMP(Internet Control Message Protocol)等といった解析作業で利用する主要なプロトコルを要約する。このため、通信監視システム100を用いた解析を行うとき、解析者が膨大なpcapファイル等を全て閲覧する必要がない。
第2解析部12bは、並行ネットワーク21上の仮想マシン21a内部の情報を、ホスト情報として取得することができる。例えば仮想マシン21aがサーバホスト及びクライアントホストを有する場合、第2解析部12bは各ホストにおけるホスト情報を取得することができる。
例えばLinux(登録商標)及びWindows Server(登録商標)が搭載されるサーバホストの場合、第2解析部12bは、OS標準のログ収集機能を利用して、ホスト情報を取得することができる。また、例えばWindows(登録商標)が搭載されるクライアントホストの場合、エンドポイント対策製品を利用して、ホスト情報を取得することができる。この場合、クライアントホストの状態、例えば起動中プロセスのツリー構造、ソケットやファイルの生成等がホスト情報として取得される。第2解析部12bは、ホスト情報を、ホスト上の挙動として解析結果データストア13に記憶させることができ、ネットワーク上の挙動(ネットワークトラフィック)に対し、IPアドレスやドメイン名で関連付けることができる。
<入出力部14>
入出力部14は、解析者端末5との各種通信に用いられるUI(User Interface)を形成する。UIは、例えばRuby on Rails(登録商標)により実装される。UIを介して、並行ネットワーク21上の仮想マシン21aの操作や挙動履歴を確認することができる。また、入出力部14は、解析フローを自動化するためのAPI(Application Programming Interface)を有し、例えばREST(REpresentational State Transfer)ful APIが実装される。
入出力部14は、解析者端末5との各種通信に用いられるUI(User Interface)を形成する。UIは、例えばRuby on Rails(登録商標)により実装される。UIを介して、並行ネットワーク21上の仮想マシン21aの操作や挙動履歴を確認することができる。また、入出力部14は、解析フローを自動化するためのAPI(Application Programming Interface)を有し、例えばREST(REpresentational State Transfer)ful APIが実装される。
<実ネットワーク2>
実ネットワーク2は、政府や企業等の組織において利用される実際のネットワークを示し、マシン2a及びネットワーク2bを有する。実ネットワーク2は、例えばプライベート及びグローバルIPアドレス、デフォルトゲートウェイ、ホスト上のアプリケーション、並びに文書を含む。
実ネットワーク2は、政府や企業等の組織において利用される実際のネットワークを示し、マシン2a及びネットワーク2bを有する。実ネットワーク2は、例えばプライベート及びグローバルIPアドレス、デフォルトゲートウェイ、ホスト上のアプリケーション、並びに文書を含む。
<攻撃者端末3>
攻撃者端末3は、並行ネットワーク21内で実行されたマルウェア31を経由して侵入する攻撃者が操作する端末を示す。そのため、攻撃者端末3からの信号に基づく挙動履歴が、通信監視システム100により取得される。
攻撃者端末3は、並行ネットワーク21内で実行されたマルウェア31を経由して侵入する攻撃者が操作する端末を示す。そのため、攻撃者端末3からの信号に基づく挙動履歴が、通信監視システム100により取得される。
<インターネット4>
インターネット4は、通信監視装置1、実ネットワーク2、及び攻撃者端末3を接続するために用いられる。インターネット4の種類や特徴は任意である。
インターネット4は、通信監視装置1、実ネットワーク2、及び攻撃者端末3を接続するために用いられる。インターネット4の種類や特徴は任意である。
<解析者端末5>
解析者端末5は、解析者が操作する端末を示し、例えばPC等の電子機器が用いられる。解析者端末5は、通信監視装置1と接続され、入出力部14で形成されたUI等を介して、環境構築部11又は挙動解析部12の操作、挙動履歴等の取得等を実行する。例えば、解析者端末5は、上述した通信監視装置1の構成を備えてもよい。
解析者端末5は、解析者が操作する端末を示し、例えばPC等の電子機器が用いられる。解析者端末5は、通信監視装置1と接続され、入出力部14で形成されたUI等を介して、環境構築部11又は挙動解析部12の操作、挙動履歴等の取得等を実行する。例えば、解析者端末5は、上述した通信監視装置1の構成を備えてもよい。
<解析者ネットワーク6>
解析者ネットワーク6は、通信監視装置1及び解析者端末5を接続するために用いられる。解析者ネットワーク6として、例えばインターネット4と独立したネットワークが用いられるほか、インターネット4の一部が用いられてもよい。
解析者ネットワーク6は、通信監視装置1及び解析者端末5を接続するために用いられる。解析者ネットワーク6として、例えばインターネット4と独立したネットワークが用いられるほか、インターネット4の一部が用いられてもよい。
(実施形態:通信監視システム100の動作)
次に、本実施形態における通信監視システム100の動作について詳細に説明する。図6は、本実施形態における通信監視システム100の動作の一例を示すフローチャートである。
次に、本実施形態における通信監視システム100の動作について詳細に説明する。図6は、本実施形態における通信監視システム100の動作の一例を示すフローチャートである。
<初期情報取得手段:ステップS110>
先ず、並行ネットワーク21を形成するための初期情報を取得する(初期情報取得手段:ステップS110)。環境構築部11は、例えば解析者が作成したレシピ51を取得する。レシピ51は、サンドボックス機器やマルウェア共有サービス等で取得されたマルウェア31の特徴や、実ネットワーク2の特徴に基づき作成される。
先ず、並行ネットワーク21を形成するための初期情報を取得する(初期情報取得手段:ステップS110)。環境構築部11は、例えば解析者が作成したレシピ51を取得する。レシピ51は、サンドボックス機器やマルウェア共有サービス等で取得されたマルウェア31の特徴や、実ネットワーク2の特徴に基づき作成される。
環境構築部11は、入出力部14を介して、解析者端末5からレシピ51を取得するほか、例えば入力部分108を用いて入力されたレシピ51を取得してもよい。
<環境構築手段:ステップS120>
次に、マルウェア31の特徴に基づき、実ネットワーク2を模した仮想マシン21a及び仮想ネットワーク21bを有する並行ネットワーク21を形成する(環境構築手段:ステップS120)。環境構築部11は、例えばレシピ51に記載されたマルウェア31の特徴に基づき、並行ネットワーク21を形成する。環境構築部11は、例えばクラスターリポジトリを参照して、並行ネットワーク21を形成する。
次に、マルウェア31の特徴に基づき、実ネットワーク2を模した仮想マシン21a及び仮想ネットワーク21bを有する並行ネットワーク21を形成する(環境構築手段:ステップS120)。環境構築部11は、例えばレシピ51に記載されたマルウェア31の特徴に基づき、並行ネットワーク21を形成する。環境構築部11は、例えばクラスターリポジトリを参照して、並行ネットワーク21を形成する。
なお、環境構築部11が形成する並行ネットワーク21の数は任意であり、環境構築部11は複数の並行ネットワーク21を有するハイパーバイザ群20を形成してもよい。また、並行ネットワーク21の有する仮想マシン21aの数は、任意である。
<ワームホール22を形成:ステップS121>
次に、例えば環境構築部11は、実ネットワーク2と、並行ネットワーク21とを接続するワームホール22を形成してもよい(ステップS121)。環境構築部11は、例えば実ネットワーク2上に形成されたプロキシ部22aと、並行ネットワーク21上に形成されたゲート部22bとを有するワームホール22を形成する。ゲート部22bは、例えばIDS又はIPSを有してもよい。なお、環境構築部11は、ワームホール22を形成するか否かは任意である。
次に、例えば環境構築部11は、実ネットワーク2と、並行ネットワーク21とを接続するワームホール22を形成してもよい(ステップS121)。環境構築部11は、例えば実ネットワーク2上に形成されたプロキシ部22aと、並行ネットワーク21上に形成されたゲート部22bとを有するワームホール22を形成する。ゲート部22bは、例えばIDS又はIPSを有してもよい。なお、環境構築部11は、ワームホール22を形成するか否かは任意である。
<実行手段:ステップS130>
次に、並行ネットワーク21上でマルウェア31を実行する(ステップS130)。挙動解析部12は、例えばレシピ51を作成する際に用いたマルウェア31を、並行ネットワーク21上で実行する。
次に、並行ネットワーク21上でマルウェア31を実行する(ステップS130)。挙動解析部12は、例えばレシピ51を作成する際に用いたマルウェア31を、並行ネットワーク21上で実行する。
<挙動解析手段:ステップS140>
次に、マルウェア31を経由して並行ネットワーク21に侵入した攻撃者の挙動履歴を取得する(ステップS140)。例えば、第1解析部12aは、仮想ネットワーク21bから攻撃者の挙動に対応するネットワークトラフィックを取得し(第1取得手段)、仮想マシン21aから攻撃者の挙動に対応するホスト情報を取得する(第2取得手段)。挙動解析部12は、ネットワークトラフィックと、ホスト情報とに基づき、履歴情報を取得してもよい。挙動解析部12は、例えば挙動履歴を解析結果データストア13に記憶させる。
次に、マルウェア31を経由して並行ネットワーク21に侵入した攻撃者の挙動履歴を取得する(ステップS140)。例えば、第1解析部12aは、仮想ネットワーク21bから攻撃者の挙動に対応するネットワークトラフィックを取得し(第1取得手段)、仮想マシン21aから攻撃者の挙動に対応するホスト情報を取得する(第2取得手段)。挙動解析部12は、ネットワークトラフィックと、ホスト情報とに基づき、履歴情報を取得してもよい。挙動解析部12は、例えば挙動履歴を解析結果データストア13に記憶させる。
なお、解析結果を取得したあと、再度環境構築手段(ステップS120)を実施してもよい。この場合、環境構築部11は、挙動履歴に基づき並行ネットワーク21を更新する。例えば環境構築部11は、挙動履歴に基づくレシピ51を解析者端末5から取得し、レシピ51に基づき並行ネットワーク21の少なくとも一部を更新する。これにより、並行ネットワーク21において、実ネットワーク2と同様の状況を演出することができる。本実施形態によれば、挙動解析手段(ステップS140)と、環境構築手段(ステップS120)とを交互に繰り返すことができ、より実ネットワーク2に近い状況を、並行ネットワーク21として構築することができる。
ステップS121においてワームホール22が形成された場合、攻撃者端末3は、実ネットワーク2及びワームホール22を介して、並行ネットワーク21と接続される。このため、挙動解析部12は、実ネットワーク2からワームホール22を介して並行ネットワーク21に侵入した攻撃者の挙動履歴を取得する。
例えば、ゲート部22bがIDS又はIPSを有する場合、攻撃者の挙動情報に基づき、実ネットワーク2等に対する攻撃者の活動を遮断することができる。
これにより、本実施形態における通信監視システム100の動作が終了する。
本実施形態によれば、マルウェア31を経由して並行ネットワーク21に侵入した攻撃者の挙動履歴を取得する挙動解析手段(ステップS140)を備える。このため、攻撃者が組織内のネットワークに侵入した場合の挙動を把握することができる。これにより、サイバー攻撃への対策技術を開発する際に、実際の攻撃に基づいたデータセットを得ることができ、開発の効果を検証することが可能となる。
また、本実施形態によれば、環境構築手段(ステップS120)は、マルウェア31の特徴に基づき、並行ネットワーク21を形成する。また、実行手段(ステップS130)は、並行ネットワーク21上でマルウェア31を実行する。このため、マルウェア31の特徴に対応した並行ネットワーク21上で、攻撃者の挙動履歴取得することができる。これにより、実ネットワーク2に影響を与えることなく、攻撃者の挙動を把握することが可能となる。
また、本実施形態によれば、環境構築手段(ステップS120)は、挙動履歴に基づき、並行ネットワーク21を更新する。このため、並行ネットワーク21を実ネットワーク2と同様な利用状況を演出することができる。これにより、攻撃者が並行ネットワーク21を実ネットワーク2であると錯覚させることができ、攻撃者の挙動履歴を取得できる期間を長くすることが可能となる。
また、本実施形態によれば、挙動解析手段(ステップS140)は、ネットワークトラフィックと、ホスト内部情報とに基づき、挙動履歴を取得する。このため、攻撃者の挙動の特徴を、予め分類して把握することができる。これにより、膨大な挙動履歴を全て閲覧する必要が無くなり、効率良く開発を進めることが可能となる。また、ネットワークトラフィックと、ホスト内部情報とを組み合わせた挙動を把握することができる。これにより、攻撃者の挙動における解析結果の精度を向上させることが可能となる。
また、本実施形態によれば、挙動解析手段(ステップS140)は、実ネットワーク2からワームホール22を介して並行ネットワーク21に侵入した攻撃者の挙動履歴を取得する。このため、実ネットワーク2と並行ネットワーク21との判別を困難にすることができる。これにより、攻撃者が並行ネットワーク21を実ネットワーク2であると容易に錯覚させることができ、攻撃者の挙動履歴を取得できる期間をさらに長くすることが可能となる。
また、本実施形態によれば、ゲート部22bは、IDS又はIPSを有する。このため、攻撃者の挙動履歴を取得中に、実ネットワーク2やインターネット4等に対して影響を及ぼす恐れがある場合、攻撃者の活動を遮断することができる。これにより、実ネットワーク2やインターネット4の安全性を確保することが可能となる。
また、本実施形態における通信監視方法は、上述した通信監視装置1が実行する環境構築手段(環境構築ステップS120)と、実行手段(実行ステップS130)と、挙動解析手段(挙動解析ステップS140)とを備えることで、上述した内容と同様に、攻撃者が組織内のネットワークに侵入した場合の挙動を把握することができる。これにより、サイバー攻撃への対策技術を開発する際に、実際の攻撃に基づいたデータセットを得ることができ、開発の効果を検証することが可能となる。
1 :通信監視装置
2 :実ネットワーク
2a :マシン
2b :ネットワーク
3 :攻撃者端末
4 :インターネット
5 :解析者端末
6 :解析者ネットワーク
10 :筐体
11 :環境構築部
12 :挙動解析部
12a :第1解析部
12b :第2解析部
13 :解析結果データストア
14 :入出力部
20 :ハイパーバイザ群
21 :並行ネットワーク
21a :仮想マシン
21b :仮想ネットワーク
22 :ワームホール
22a :プロキシ部
22b :ゲート部
31 :マルウェア
51 :レシピ
100 :通信監視システム
101 :CPU
102 :ROM
103 :RAM
104 :記憶部
105 :I/F
105a :第1I/F
105b :第2I/F
106 :I/F
107 :I/F
108 :入力部分
109 :出力部分
110 :内部バス
2 :実ネットワーク
2a :マシン
2b :ネットワーク
3 :攻撃者端末
4 :インターネット
5 :解析者端末
6 :解析者ネットワーク
10 :筐体
11 :環境構築部
12 :挙動解析部
12a :第1解析部
12b :第2解析部
13 :解析結果データストア
14 :入出力部
20 :ハイパーバイザ群
21 :並行ネットワーク
21a :仮想マシン
21b :仮想ネットワーク
22 :ワームホール
22a :プロキシ部
22b :ゲート部
31 :マルウェア
51 :レシピ
100 :通信監視システム
101 :CPU
102 :ROM
103 :RAM
104 :記憶部
105 :I/F
105a :第1I/F
105b :第2I/F
106 :I/F
107 :I/F
108 :入力部分
109 :出力部分
110 :内部バス
Claims (6)
- サイバー攻撃への対策を支援する通信監視システムであって、
マルウェアの特徴に基づき、実ネットワークを模した仮想マシン及び仮想ネットワークを有する並行ネットワークを形成する環境構築手段と、
前記並行ネットワーク上で前記マルウェアを実行する実行手段と、
前記マルウェアを経由して前記並行ネットワークに侵入した攻撃者の挙動履歴を取得する挙動解析手段と、
を備えることを特徴とする通信監視システム。 - 前記環境構築手段は、前記挙動履歴に基づき、前記並行ネットワークを更新すること
を特徴とする請求項1記載の通信監視システム。 - 前記挙動解析手段は、
前記仮想ネットワークから前記攻撃者の挙動に対応するネットワークトラフィックを取得する第1取得手段と、
前記仮想マシンから前記攻撃者の挙動に対応するホスト情報を取得する第2取得手段と、
に基づき、前記挙動履歴を取得すること
を特徴とする請求項1又は2記載の通信監視システム。 - 前記環境構築手段は、前記実ネットワークと、前記並行ネットワークとを接続するワームホールを形成し、
前記挙動解析手段は、前記実ネットワークから前記ワームホールを介して前記並行ネットワークに侵入した前記攻撃者の前記挙動履歴を取得すること
を特徴とする請求項1〜3の何れか1項記載の通信監視システム。 - 前記ワームホールは、
前記並行ネットワーク内に配置され、IDS(Intrusion Detection System)又はIPS(Intrusion Prevention System)を有するゲート部と、
前記実ネットワーク内に配置されたプロキシ部と、
を有すること
を特徴とする請求項4記載の通信監視システム。 - サイバー攻撃への対策を支援する通信監視方法であって、
マルウェアの特徴に基づき、実ネットワークを模した仮想マシン及び仮想ネットワークを有する並行ネットワークを形成する環境構築ステップと、
前記並行ネットワーク上で前記マルウェアを実行する実行ステップと、
前記マルウェアを経由して前記並行ネットワークに侵入した攻撃者の挙動履歴を取得する挙動解析ステップと、
を備えることを特徴とする通信監視方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017227468A JP7045050B2 (ja) | 2017-11-28 | 2017-11-28 | 通信監視システム及び通信監視方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017227468A JP7045050B2 (ja) | 2017-11-28 | 2017-11-28 | 通信監視システム及び通信監視方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019097133A true JP2019097133A (ja) | 2019-06-20 |
| JP7045050B2 JP7045050B2 (ja) | 2022-03-31 |
Family
ID=66972151
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017227468A Active JP7045050B2 (ja) | 2017-11-28 | 2017-11-28 | 通信監視システム及び通信監視方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7045050B2 (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11057774B1 (en) | 2020-05-14 | 2021-07-06 | T-Mobile Usa, Inc. | Intelligent GNODEB cybersecurity protection system |
| US11070982B1 (en) | 2020-04-15 | 2021-07-20 | T-Mobile Usa, Inc. | Self-cleaning function for a network access node of a network |
| US11115824B1 (en) | 2020-05-14 | 2021-09-07 | T-Mobile Usa, Inc. | 5G cybersecurity protection system |
| US11206542B2 (en) | 2020-05-14 | 2021-12-21 | T-Mobile Usa, Inc. | 5G cybersecurity protection system using personalized signatures |
| US11444980B2 (en) | 2020-04-15 | 2022-09-13 | T-Mobile Usa, Inc. | On-demand wireless device centric security for a 5G wireless network |
| US11799878B2 (en) | 2020-04-15 | 2023-10-24 | T-Mobile Usa, Inc. | On-demand software-defined security service orchestration for a 5G wireless network |
| US11824881B2 (en) | 2020-04-15 | 2023-11-21 | T-Mobile Usa, Inc. | On-demand security layer for a 5G wireless network |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009181335A (ja) * | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法および解析プログラム |
| WO2016203759A1 (ja) * | 2015-06-16 | 2016-12-22 | 日本電気株式会社 | 分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体 |
-
2017
- 2017-11-28 JP JP2017227468A patent/JP7045050B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009181335A (ja) * | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法および解析プログラム |
| WO2016203759A1 (ja) * | 2015-06-16 | 2016-12-22 | 日本電気株式会社 | 分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11070982B1 (en) | 2020-04-15 | 2021-07-20 | T-Mobile Usa, Inc. | Self-cleaning function for a network access node of a network |
| US11444980B2 (en) | 2020-04-15 | 2022-09-13 | T-Mobile Usa, Inc. | On-demand wireless device centric security for a 5G wireless network |
| US11533624B2 (en) | 2020-04-15 | 2022-12-20 | T-Mobile Usa, Inc. | On-demand security for network resources or nodes, such as for a wireless 5G network |
| US11799878B2 (en) | 2020-04-15 | 2023-10-24 | T-Mobile Usa, Inc. | On-demand software-defined security service orchestration for a 5G wireless network |
| US11824881B2 (en) | 2020-04-15 | 2023-11-21 | T-Mobile Usa, Inc. | On-demand security layer for a 5G wireless network |
| US11057774B1 (en) | 2020-05-14 | 2021-07-06 | T-Mobile Usa, Inc. | Intelligent GNODEB cybersecurity protection system |
| US11115824B1 (en) | 2020-05-14 | 2021-09-07 | T-Mobile Usa, Inc. | 5G cybersecurity protection system |
| US11206542B2 (en) | 2020-05-14 | 2021-12-21 | T-Mobile Usa, Inc. | 5G cybersecurity protection system using personalized signatures |
| US11558747B2 (en) | 2020-05-14 | 2023-01-17 | T-Mobile Usa, Inc. | Intelligent cybersecurity protection system, such as for use in 5G networks |
| US11659396B2 (en) | 2020-05-14 | 2023-05-23 | T-Mobile Usa, Inc. | Intelligent cybersecurity protection system, such as for use in 5G networks |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7045050B2 (ja) | 2022-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7045050B2 (ja) | 通信監視システム及び通信監視方法 | |
| US20230065321A1 (en) | Implementing decoys in a network environment | |
| US10476891B2 (en) | Monitoring access of network darkspace | |
| US9942270B2 (en) | Database deception in directory services | |
| US9516054B2 (en) | System and method for cyber threats detection | |
| EP3171572B1 (en) | Network security protection method and device | |
| RU2495486C1 (ru) | Способ анализа и выявления вредоносных промежуточных узлов в сети | |
| US10826872B2 (en) | Security policy for browser extensions | |
| US9860265B2 (en) | System and method for identifying exploitable weak points in a network | |
| US9473528B2 (en) | Identification of malware sites using unknown URL sites and newly registered DNS addresses | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| US20170324776A1 (en) | Generating a honey network configuration to emulate a target network environment | |
| EP2715975B1 (en) | Network asset information management | |
| US9049221B1 (en) | Detecting suspicious web traffic from an enterprise network | |
| US20160261631A1 (en) | Emulating shellcode attacks | |
| US20150326599A1 (en) | Evaluating URLS For Malicious Content | |
| JP6315640B2 (ja) | 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム | |
| JP2019067398A (ja) | 電子メッセージベースのセキュリティ脅威の自動軽減 | |
| WO2016081561A1 (en) | System and method for directing malicious activity to a monitoring system | |
| JP2014179025A (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| Putra et al. | Infrastructure as code for security automation and network infrastructure monitoring | |
| JP6193147B2 (ja) | ファイアウォール装置の制御装置及びプログラム | |
| Al-Amin et al. | Development of Cyber Attack Model for Private Network | |
| Mokhov et al. | Automating MAC spoofer evidence gathering and encoding for investigations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A80 Effective date: 20171225 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201126 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210818 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210824 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211022 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220308 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220311 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7045050 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |