JP2019186686A - ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 - Google Patents

ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 Download PDF

Info

Publication number
JP2019186686A
JP2019186686A JP2018073607A JP2018073607A JP2019186686A JP 2019186686 A JP2019186686 A JP 2019186686A JP 2018073607 A JP2018073607 A JP 2018073607A JP 2018073607 A JP2018073607 A JP 2018073607A JP 2019186686 A JP2019186686 A JP 2019186686A
Authority
JP
Japan
Prior art keywords
server
address
network
addresses
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018073607A
Other languages
English (en)
Other versions
JP7172104B2 (ja
Inventor
聡美 齊藤
Satomi Saito
聡美 齊藤
由紀 藤嶌
Yuki Fujishima
由紀 藤嶌
悟 鳥居
Satoru Torii
悟 鳥居
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2018073607A priority Critical patent/JP7172104B2/ja
Priority to US16/372,472 priority patent/US11233807B2/en
Publication of JP2019186686A publication Critical patent/JP2019186686A/ja
Application granted granted Critical
Publication of JP7172104B2 publication Critical patent/JP7172104B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Abstract

【課題】異常な通信を行なう通信機器を特定する処理を実施する。【解決手段】ネットワーク監視装置1は、生成部111と特定部112とを備える。生成部111は、ネットワーク内の通信からサーバプロセスを抽出して、サーバプロセスにおけるアクセス元のアドレスの組み合わせを記録したログデータ102を生成する。特定部112は、ログデータ102に記録された過去のアドレスの組み合わせと、特定対象のアクセスにおけるアドレスの組み合わせとを比較して、異常な通信を行なっている第1の通信機器を特定する。【選択図】図4

Description

本発明は、ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法に関する。
近年、企業や政府等の組織内ネットワークに対する標的型攻撃による被害が深刻化している。
標的型攻撃では、攻撃者はアンチウィルスソフトによる検知を回避するための例えばマルウェアを用いて組織内ネットワークに侵入する。そのため、外部ネットワークから組織内ネットワークへ攻撃者が侵入したことを検知するような「入口対策」では、標的型攻撃の発生の検知が困難になるおそれがある。
そこで、組織内ネットワークの内部の通信を監視し、攻撃者による挙動を検知するような「内部対策」が実施される場合がある。
攻撃者は、組織内ネットワークの探索活動により入手できた機密情報等を含むファイルを外部ネットワークに送信して入手することを目的とすることがある。このような攻撃者が入手したいファイルが複数存在する場合には、個々のファイルを外部ネットワークへ送信すると、組織内ネットワークから外部ネットワークに対して通信が継続的に発生する。ここで、組織内ネットワークと外部ネットワークとの境界を監視する監視装置が設置されている場合に、監視装置は、外部ネットワークに対して継続して発生した通信を異常と判断する可能性がある。
そこで、攻撃者は、こうした監視装置による検知を回避するために、組織内ネットワークから外部ネットワークに対する通信の発生を最小限に抑えようとすることが想定される。例えば、攻撃者は、組織内ネットワークに存在するホストに、組織内ネットワークで収集したファイルを集約するための不正なサーバ(「ステージングサーバ」等と称してもよい。)を設置する。そして、攻撃者は、ファイルを十分に収集し終えた後、不正に設置したサーバにおいてファイルを圧縮して1つのファイルとした上で、圧縮ファイルを外部ネットワークに送信する。
このような攻撃者によるファイルの外部ネットワークへの送信を防ぐため、組織ネットワーク内のセキュリティ管理者は、攻撃者が組織内ネットワークに不正に設置したサーバの検知を行なう。不正に設置されたサーバを検知できれば、不正に設置されたサーバから外部ネットワークに対する通信が発生した場合に、攻撃者による不正なファイル送信が発生している疑いがあると判断できる。その結果、セキュリティ管理者は、外部ネットワークに対する通信を遮断したり、不正に設置されたサーバとなったホストの管理者に問い合わせを行なったりといった対処を実施できる。
特開2005−275683号公報
中里純二,津田侑,高木彌一郎「エンドホスト連携による不審プロセス分析」情報通信研究機構研究報告 Vol.62 No.2(2016年12月)
しかしながら、従来の不正に設置されたサーバの検知手法では、不正に設置されたサーバの検知に見落としが発生したり、ネットワークに過度の負荷がかかったりするおそれがある。
1つの側面では、異常な通信を行なう通信機器を特定する処理を実施する。
ネットワーク監視装置は、ネットワーク内の通信からサーバプロセスを抽出して、前記サーバプロセスにおけるアクセス元のアドレスの組み合わせを記録したログデータを生成する生成部と、前記ログデータに記録された過去のアドレスの組み合わせと、特定対象のアクセスにおけるアドレスの組み合わせとを比較して、異常な通信を行なっている第1の通信機器を特定する特定部と、を備える。
1つの側面では、異常な通信を行なう通信機器を特定することができる。
攻撃者による組織内ネットワークの攻撃手法を説明する図である。 関連例としての組織内ネットワークにおける不正に設置されたサーバの検知処理の第1の例を説明する図である。 関連例としての組織内ネットワークにおける不正に設置されたサーバの検知処理の第2の例を説明する図である。 実施形態の一例における組織内ネットワークのシステム構成を模式的に示すブロック図である。 図4に示したネットワーク監視装置のハードウェア構成を模式的に示すブロック図である。 図4に示したネットワーク監視装置におけるサーバプロセス認証ログ,プロファイルDatabase(DB)及び異常通信機器Internet Protocol(IP)アドレス一覧を例示するテーブルである。 図4に示したネットワーク監視装置におけるプロファイルDBの生成処理を説明する図である。 図4に示したネットワーク監視装置において異常通信機器を検知した場合の処理を説明する図である。 図4に示したネットワーク監視装置において異常通信機器を検知しなかった場合の処理を説明する図である。 図4に示したネットワーク監視装置におけるアクセス元の集計処理を説明するフローチャートである。 図4に示したネットワーク監視装置における異常通信機器の判定処理を説明するフローチャートである。 図4に示したネットワーク監視装置における異常通信機器の判定処理を説明するフローチャートである。
以下、図面を参照して一実施の形態を説明する。ただし、以下に示す実施形態はあくまでも例示に過ぎず、実施形態で明示しない種々の変形例や技術の適用を排除する意図はない。すなわち、本実施形態を、その趣旨を逸脱しない範囲で種々変形して実施することができる。
また、各図は、図中に示す構成要素のみを備えるという趣旨ではなく、他の機能等を含むことができる。
以下、図中において、同一の各符号は同様の部分を示しているので、その説明は省略する。
〔A〕関連例
図1は、攻撃者8による組織内ネットワーク600の攻撃手法を説明する図である。
図1に示す組織内ネットワーク600は、複数(図示する例では、2つ)のセグメント7(「セグメント#1又は#2」と称してもよい。)に分けられる。なお、図中において、「セグメント」は、「Sg」とも表記されている。
各セグメント7は、セグメント7よりも小さいセグメント70(セグメント#1−1,#1−2,#2−1又は#2−2と称されてもよい。)を含む。図示する例では、セグメント#1−1及び#1−2はセグメント#1に属し、セグメント#2−1及び#2−2はセグメント#2に属す。
各セグメント70は、サーバ71とクライアント72との少なくとも一方を有する。図示する例では、セグメント#1−1はIPアドレス1.1.1.1及び1.1.1.2で特定される2つのクライアント72を有し、セグメント#1−2はIPアドレス1.1.2.1及び1.1.2.2で特定される2つのクライアント72を有する。また、セグメント#2−1はIPアドレス2.1.1.1で特定されるクライアント72とIPアドレス2.1.1.2で特定されるサーバ71とを有し、セグメント#2−2はIPアドレス2.1.2.1及び2.1.2.2で特定される2つのサーバ71を有する。
サーバ71は、データ共有を目的として、クライアント72からの要求を待ち受ける。
クライアント72は、サーバ71に要求を送信し、認証やデータ編集,設定の変更等を実施する。
攻撃者8は、組織内ネットワーク(NW)600にアクセスして侵入する(符号A1参照)。
攻撃者8は、組織内ネットワーク600に不正なサーバ71を設置する(符号A2参照)。不正に設置されたサーバ71は、組織内ネットワーク600に正規に設置されているサーバ71をウイルス等に感染させることによって転用されてもよいし、組織内ネットワーク600に物理的に新たなサーバ71を設置することによって機能してもよい。
攻撃者8は、組織内ネットワーク600のサーバ71及びクライアント72において、機密情報等が含まれるファイルを探索する(符号A3参照)。
攻撃者8は、探索したファイルを不正に設置されたサーバ71に格納する(符号A4参照)。
攻撃者8は、不正に設置されたサーバ71に蓄積したファイルをZIP形式等で圧縮して、外部ネットワークへ送信する(符号A5参照)。
図2は、関連例としての組織内ネットワーク600における不正に設置されたサーバ71の検知処理の第1の例を説明する図である。
図2に示す組織内ネットワーク600も、図1に示した組織内ネットワーク600と同様の構成を有する。
図2に示す管理者(「ネットワーク管理者」と称されてもよい。)9は、組織内ネットワーク600における通信や、組織内ネットワーク600と外部ネットワークとの間の通信をファイアウォール(図2には不図示)等によって監視する。図2に示す不正に設置されたサーバ71の検知処理では、組織内ネットワーク600の管理者9は、組織内ネットワーク600に所属するホストを探索し、サーバ機能を持つホストを特定して遮断する。
具体系には、組織内ネットワーク600に所属するホストにソフトウェアがインストールされ、ソフトウェアがプロセスを監視する。サーバプロセスが起動しているホストが不正に設置されたサーバ71の疑いありとして判断される。
また、管理者9から組織内ネットワーク600に対してネットワークスキャンが定期的に実行されてもよい。そして、管理者9は、普段解放されていないポートが解放されているホストを、不正に設置されたサーバ71として判断してよい。
図2に示す例では、サーバプロセスが動いていたり、普段解放されていないポートが解放されていたりするサーバ71についてのIPアドレスリスト601において2.1.1.2,2.1.2.1及び2.1.2.2が登録されている。そして、IPアドレスリスト601に登録されているサーバ71が外部ネットワークへ接続しようとした場合に、通信が遮断される。
しかしながら、図2に示す手法では、ソフトウェアがインストールされていないサーバ71はプロセス監視の対象外となるため、不正に設置されたサーバ71の見逃しが発生するおそれがある。また、ネットワークスキャンを定期的に実行すると、組織内ネットワーク600のネットワーク帯域を圧迫するため、組織内ネットワーク600における利便性が低下するおそれがある。
図3は、関連例としての組織内ネットワーク600における不正に設置されたサーバ71の検知処理の第2の例を説明する図である。
図3に示す組織内ネットワーク600は、図1に示した組織内ネットワーク600と同様の構成に加えて、センサ(「ネットワークセンサ」と称してもよい。)73を備える。
センサ73は、組織内ネットワーク600を流れる通信を監視する。センサ73により、あるIPアドレスが別のIPアドレスに対してサーバプロセスの認証を行なう通信を抽出する。そして、認証先となったIPアドレスが、サーバプロセスを持つIPアドレスとして判断される。
図3に示す例では、サーバプロセス認証ログ602において、時刻と送信元IPアドレスと送信先IPアドレスとが対応付けられている。サーバプロセス認証ログ602には、時刻9:00において、IPアドレス1.1.1.1から2.1.1.2へのサーバプロセスの認証を行なう通信が登録されている。また、サーバプロセス認証ログ602には、時刻9:01において、IPアドレス1.1.1.2から2.1.2.1へのサーバプロセスの認証を行なう通信が登録されている。更に、サーバプロセス認証ログ602には、時刻9:02において、IPアドレス1.1.2.1から2.1.2.2へのサーバプロセスの認証を行なう通信が登録されている。
そして、図3に示す例では、サーバプロセス認証ログ602において送信先IPアドレスとして登録されている2.1.1.2,2.1.2.1及び2.1.2.2が、サーバプロセスを持つIPアドレスを示すIPアドレスリスト601に抽出される。IPアドレスリスト601に登録されているサーバ71が外部ネットワークへ接続しようとした場合に、通信が遮断される。
しかしながら、図3に示す手法では、サーバプロセスを持つIPアドレスにおいて、プロジェクト内のファイルサーバ等の正規の目的で設置されたサーバ71に割り当てられたIPアドレスが含まれるおそれがある。この場合には、サーバプロセスの有無を判定しただけでは、正規のサーバ71のIPアドレスと不正に設置されたサーバ71のIPアドレスとを区別できないため、正規のサーバ71を不正に設置されたサーバ71として誤検知してしまうおそれがある。正規のサーバ71であっても、アプリケーションの更新等のため、外部ネットワークへ接続する場合があり、正規のサーバ71に対する過剰な遮断が発生してしまうと利便性が低下するおそれがある。
〔B〕実施形態の一例
〔B−1〕システム構成例
図4は、実施形態の一例における組織内ネットワーク100のシステム構成を模式的に示すブロック図である。
組織内ネットワーク100は、外部ネットワーク300に接続され、ネットワーク監視装置1,複数(図示する例では2つ)のセグメント2(「セグメント#1又は#2」と称してもよい。),センサ23及びファイアウォール24を備える。なお、センサ23は、ネットワークセンサ23と称されてもよい。
センサ23は、組織内ネットワーク100における通信を監視する。具体的には、センサ23は、組織内ネットワーク100における通信の送信元と送信先とを特定する。
ファイアウォール24は、組織内ネットワーク100と外部ネットワーク300との間で、通過させてはならない通信を遮断する。
各セグメント2は、セグメント2よりも小さいセグメント20(セグメント#1−1,#1−2,#2−1又は#2−2と称されてもよい。)を含む。図示する例では、セグメント#1−1及び#1−2はセグメント#1に属し、セグメント#2−1及び#2−2はセグメント#2に属す。
各セグメント20は、サーバ21とクライアント22との少なくとも一方を有する。図示する例では、セグメント#1−1はIPアドレス1.1.1.1及び1.1.1.2で特定される2つのクライアント22を有し、セグメント#1−2はIPアドレス1.1.2.1及び1.1.2.2で特定される2つのクライアント22を有する。また、セグメント#2−1はIPアドレス2.1.1.1で特定されるクライアント22とIPアドレス2.1.1.2で特定されるサーバ21とを有し、セグメント#2−2はIPアドレス2.1.2.1及び2.1.2.2で特定される2つのサーバ21を有する。
サーバ21は、通信機器の一例であり、データ共有を目的として、クライアント22からの要求を待ち受ける。
クライアント22は、通信機器の一例であり、サーバ21に要求を送信し、認証やデータ編集,設定の変更等を実施する。
ネットワーク監視装置1は、生成部111及び特定部112として機能するとともに、サーバプロセス認証ログ101,プロファイルDB102及び異常通信機器IPアドレス一覧103を保持する。
サーバプロセス認証ログ101は、センサ23よって取得された、組織内ネットワーク100における時刻毎の通信の送信元IPアドレスと送信先IPアドレスとを保持する。なお、サーバプロセス認証ログ101の詳細については、図6の(1)等を用いて後述する。
生成部111は、サーバプロセス認証ログ101に含まれる送信元IPアドレスと送信先IPアドレスとの関係から、サーバプロセスIPアドレスとクライアントIPアドレス群とを集計して、プロファイルDB102を生成する。ここで、サーバプロセスIPアドレスは、サーバプロセスを有するサーバ21のIPアドレスを示す。また、クライアントIPアドレス群は、1以上のクライアント72のIPアドレスを示す。なお、生成部111における機能の詳細は、図7等を用いて後述する。
プロファイルDB102は、サーバプロセスIPアドレスとクライアントIPアドレス群とを対応付けて保持する。なお、プロファイルDB102の詳細については、図6の(2)等を用いて後述する。
特定部112は、プロファイルDB102から異常な通信を行なっているサーバ21を異常通信機器(「不正設置サーバ」や「ステージングサーバ」と称してもよい。)として特定し、異常通信機器IPアドレス一覧103に登録する。なお、特定部112における機能の詳細は、図8及び図9等を用いて後述する。
異常通信機器IPアドレス一覧103は、特定部112によって、異常通信機器として判定されたサーバ21のIPアドレスを保持する。なお、異常通信機器IPアドレス一覧103の詳細については、図6の(3)等を用いて後述する。
組織内ネットワーク100に正規に設置されたサーバ21は用途が決まっているため、アクセス元となるIPアドレスやアクセス元の数も概ね決まっていると想定される。
例えば、部署の特定のプロジェクトのメンバーによって共有されているプロジェクトファイル共有サーバは、特定の1つのセグメント7又は70に属するIPアドレスからに限ってアクセスされることが想定される。一方、部内ファイル共有サーバは、特定の複数のセグメント7又は70に属するIPアドレスからアクセスされることが想定され、アクセス元も固定であると想定される。
そこで、実施形態の一例におけるネットワーク監視装置1は、サーバプロセスが有ると判定されたIPアドレスについて、アクセス元となったIPアドレスのパターンを記録する。これにより、ネットワーク監視装置1は、記録にないIPアドレスのパターンでアクセスされた場合に、アクセス先のIPアドレスは異常通信機器であると判定する。
図5は、図4に示したネットワーク監視装置1のハードウェア構成を模式的に示すブロック図である。
ネットワーク監視装置1は、Central Processing Unit(CPU)11,メモリ12,表示制御部13,記憶装置14,入力Interface(I/F)15,読み書き処理部16及び通信I/F17を備える。
メモリ12は、例示的に、Read Only Memory(ROM)及びRandom Access Memory(RAM)を含む記憶装置である。メモリ12のROMには、Basic Input/Output System(BIOS)等のプログラムが書き込まれてよい。メモリ12のソフトウェアプログラムは、CPU11に適宜に読み込まれて実行されてよい。また、メモリ12のRAMは、一次記録メモリあるいはワーキングメモリとして利用されてよい。
表示制御部13は、表示装置130と接続され、表示装置130を制御する。表示装置130は、液晶ディスプレイやOrganic Light-Emitting Diode(OLED)ディスプレイ,Cathode Ray Tube(CRT),電子ペーパーディスプレイ等であり、組織内ネットワーク100の管理者等のオペレータに対する各種情報を表示する。表示装置130は、図6を用いて後述する、サーバプロセス認証ログ101,プロファイルDB102及び異常通信機器IPアドレス一覧103の内容を表示してよい。表示装置130は、入力装置と組み合わされたものでもよく、例えば、タッチパネルでもよい。
記憶装置14は、例示的に、データを読み書き可能に記憶する装置であり、例えば、Hard Disk Drive(HDD)やSolid State Drive(SSD),Storage Class Memory(SCM)が用いられてよい。記憶装置14は、図6を用いて後述する、サーバプロセス認証ログ101,プロファイルDB102及び異常通信機器IPアドレス一覧103を記憶する。
入力I/F15は、マウス151やキーボード152等の入力装置と接続され、マウス151やキーボード152等の入力装置を制御する。マウス151やキーボード152は、入力装置の一例であり、これらの入力装置を介して、オペレータが各種の入力操作を行なう。
読み書き処理部16は、記録媒体160が装着可能に構成される。読み書き処理部16は、記録媒体160が装着された状態において、記録媒体160に記録されている情報を読み取り可能に構成される。本例では、記録媒体160は、可搬性を有する。例えば、記録媒体160は、フレキシブルディスク、光ディスク、磁気ディスク、光磁気ディスク、又は、半導体メモリ等である。
通信I/F17は、外部装置との通信を可能にするためのインタフェースである。ネットワーク監視装置1は、通信I/F17を介して、センサ23やファイアウォール24等との通信を行なう。
CPU11は、種々の制御や演算を行なう処理装置であり、メモリ12に格納されたOSやプログラムを実行することにより、種々の機能を実現する。すなわち、ネットワーク監視装置1のCPU11は、図4に示したように、生成部111及び特定部112として機能する。
なお、これらの生成部111及び特定部112としての機能を実現するためのプログラムは、例えば前述した記録媒体160に記録された形態で提供される。そして、コンピュータは読み書き処理部16を介してその記録媒体160からプログラム(「ネットワーク監視プログラム」と称してもよい。)を読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信経路を介してコンピュータに提供してもよい。
生成部111及び特定部112としての機能を実現する際には、内部記憶装置に格納されたプログラムがコンピュータのマイクロプロセッサによって実行される。このとき、記録媒体160に記録されたプログラムをコンピュータが読み取って実行してもよい。なお、本実施形態において、内部記憶装置はメモリ12であり、マイクロプロセッサはCPU11である。
CPU11は、例示的に、ネットワーク監視装置1全体の動作を制御する。ネットワーク監視装置1全体の動作を制御するための装置は、CPU11に限定されず、例えば、MPUやDSP,ASIC,PLD,FPGAのいずれか1つであってもよい。また、ネットワーク監視装置1全体の動作を制御するための装置は、CPU,MPU,DSP,ASIC,PLD及びFPGAのうちの2種類以上の組み合わせであってもよい。なお、MPUはMicro Processing Unitの略称であり、DSPはDigital Signal Processorの略称であり、ASICはApplication Specific Integrated Circuitの略称である。また、PLDはProgrammable Logic Deviceの略称であり、FPGAはField Programmable Gate Arrayの略称である。
図6の(1)は、図4に示したネットワーク監視装置1におけるサーバプロセス認証ログ101を例示する図である。
サーバプロセス認証ログ101には、時刻と送信元IPアドレスと送信先IPアドレスとが対応付けられている。
図6の(1)に示す例では、2018年4月30日の9時にIPアドレス1.1.1.1から2.1.1.2に対して通信があり、2018年4月30日の9時1分にIPアドレス1.1.1.2から2.1.2.1に対して通信があったことを示す。また、2018年4月30日の9時2分にIPアドレス1.1.2.1から2.1.2.1に対して通信があったことを示す。
図6の(2)は、図4に示したネットワーク監視装置1におけるプロファイルDB102を例示する図である。
プロファイルDB102には、ログデータの一例であり、集計時刻とサーバプロセスIPアドレスとクライアントIPアドレス群とが対応付けられている。
すなわち、図6の(2)に示すプロファイルDB102では、クライアントIPアドレス群が登録されることにより、図2及び図3に示した関連例におけるIPアドレスリスト601が拡張されている。
なお、クライアントIPアドレス群には、クライアントとして機能しているサーバ21又はクライアント22の個別のIPアドレスが登録されていなくてもよい。例えば、クライアントIPアドレス群には、クライアントとして機能しているサーバ21又はクライアント22が属するセグメント2又は20の識別番号が登録されてもよい。
図6の(2)に示す例では、2018年5月1日の0時に、サーバプロセスIPアドレス2.1.2.1に対してクライアントIPアドレス群1.1.1.1が集計され対応付けられている。また、2018年5月1日の0時に、サーバプロセスIPアドレス2.1.1.2に対してクライアントIPアドレス群1.1.1.2及び1.1.2.1が集計され対応付けられている。
図6の(3)は、図4に示したネットワーク監視装置1における異常通信機器IPアドレス一覧103を例示する図である。
異常通信機器IPアドレス一覧103には、判定時刻と異常通信機器IPアドレスとが対応付けられている。
図6の(3)に示す例では、2018年5月1日の0時に、IPアドレス2.1.1.1のサーバ21が異常通信機器として判定されたことが登録されている。
図7は、図4に示したネットワーク監視装置1におけるプロファイルDB102の生成処理を説明する図である。
図7に示す例において、IPアドレス2.1.1.2で特定されるサーバ21は、部内ファイル共有サーバとして機能しており、IPアドレス1.1.1.2及び1.1.2.1で特定されるクライアント22からアクセスされている(符号B1参照)。
また、図7に示す例において、IPアドレス2.1.2.1で特定されるサーバ21は、プロジェクトファイル共有サーバとして機能しており、IPアドレス1.1.1.1で特定されるクライアント22からアクセスされている(符号B2参照)。
本例では、部内ファイル共有サーバは組織内ネットワーク100が展開される部署の人員によって共有されており、プロジェクトファイル共有サーバは部署の特定のプロジェクトのメンバーによって共有されている。すなわち、部内ファイル共有サーバは、プロジェクトファイル共有サーバよりも広い範囲のクライアント22からアクセスされる傾向にある。
生成部111は、センサ23によって取得された組織内ネットワーク100における通信をサーバプロセス認証ログ101に登録し、テーブル1011に集計する(符号B3参照)。
テーブル1011においては、サーバプロセスがあるIPアドレス2.1.1.2に対して、クライアント22のIPアドレス1.1.1.2及び1.1.2.1が対応付けられている。また、テーブル1011においては、サーバ21としてのプロセスがあるIPアドレス2.1.2.1に対して、クライアントとして機能しているIPアドレス1.1.1.1が対応付けられている。
生成部111は、テーブル1011に集計した対応関係を、過去のサーバプロセスIPアドレスとクライアントIPアドレス群との対応関係を蓄積したプロファイルDB102に追加する(符号B4参照)。
図7に示す例において、プロファイルDB102には、2018年5月1日の0時に、サーバプロセスIPアドレス2.1.1.2に対してクライアントIPアドレス群1.1.1.2及び1.1.2.1が集計され対応付けられている。また、2018年5月1日の0時に、サーバプロセスIPアドレス2.1.2.1に対してクライアントIPアドレス群1.1.1.1が集計され対応付けられている。
すなわち、生成部111は、組織内ネットワーク100における通信からサーバプロセスを抽出し、抽出したサーバプロセスにおけるアクセス元のIPアドレスの組み合わせを記録したプロファイルDB102を生成する。
図7に示すプロファイルDB102の生成処理は、例えば1日に1回、定期的に実行されてよい。
図8は、図4に示したネットワーク監視装置1において異常通信機器を検知した場合の処理を説明する図である。
図8に示す例では、IPアドレス2.1.1.2,2.1.2.1及び2.1.2.2で特定されるサーバ21から、IPアドレス2.1.1.1で特定されるクライアント22へのアクセスが発生している(符号C1参照)。
生成部111は、センサ23によって取得された組織内ネットワーク100における通信をサーバプロセス認証ログ101に登録し、最新プロファイル結果1012に集計する(符号C2参照)。
最新プロファイル結果1012においては、サーバプロセスがあるIPアドレス2.1.1.1に対して、クライアントとして機能しているIPアドレス2.1.1.2,2.1.2.1及び2.1.2.2が対応付けられている。
特定部112は、最新プロファイル結果1012の内容とプロファイルDB102の内容とを比較する(符号C3参照)。
図8に示す例において、プロファイルDB102には、2018年5月1日の0時に、サーバプロセスIPアドレス2.1.1.2に対してクライアントIPアドレス群1.1.1.2及び1.1.2.1が集計され対応付けられている。また、2018年5月1日の0時に、サーバプロセスIPアドレス2.1.2.1に対してクライアントIPアドレス群1.1.1.1が集計され対応付けられている。
特定部112は、最新プロファイル結果1012を参照して、クライアントとして機能しているIPアドレス2.1.1.2と2.1.2.1と2.1.2.2との組み合わせが、プロファイルDB102のクライアントIPアドレス群に存在するかを判定する。図示する例では、クライアントとして機能しているIPアドレスの組み合わせがプロファイルDB102に存在しないため、特定部112は、サーバプロセスを有するIPアドレス2.1.1.1で特定されるクライアント22が異常通信機器であると判定する。
特定部112によって異常通信機器であると判定されたサーバ21又はクライアント22が存在する場合には、組織内ネットワーク100と外部ネットワーク300との通信が遮断されてよい。
すなわち、特定部112は、プロファイルDB102に記録された過去のIPアドレスの組み合わせと、特定対象のアクセスにおけるIPアドレスの組み合わせとを比較して、異常な通信を行なっているサーバ21又はクライアント22を特定する。
具体的には、特定部112は、特定対象のアクセスにおいて、プロファイルDB102に存在しないIPアドレスの組み合わせによってアクセスされたサーバ21又はクライアント22を、異常通信機器として特定する。
図9は、図4に示したネットワーク監視装置1において異常通信機器を検知しなかった場合の処理を説明する図である。
図9に示す例では、IPアドレス1.1.1.1で特定されるクライアント22から、IPアドレス2.1.2.1で特定されるサーバ21へのアクセスが発生している(符号D1参照)。
生成部111は、センサ23によって取得された組織内ネットワーク100における通信をサーバプロセス認証ログ101に登録し、最新プロファイル結果1012に集計する(符号D2参照)。
最新プロファイル結果1012においては、サーバプロセスがあるIPアドレス2.1.2.1に対して、クライアントとして機能しているIPアドレス1.1.1.1が対応付けられている。
特定部112は、最新プロファイル結果1012の内容とプロファイルDB102の内容とを比較する(符号D3参照)。
図9に示す例において、プロファイルDB102には、2018年5月1日の0時に、サーバプロセスIPアドレス2.1.1.2に対してクライアントIPアドレス群1.1.1.2及び1.1.2.1が集計され対応付けられている。また、2018年5月1日の0時に、サーバプロセスIPアドレス2.1.2.1に対してクライアントIPアドレス群1.1.1.1が集計され対応付けられている。
特定部112は、最新プロファイル結果1012を参照して、クライアントとして機能しているIPアドレス1.1.1.1が、プロファイルDB102のクライアントIPアドレス群に存在するかを判定する。図示する例では、クライアントとして機能しているIPアドレスがプロファイルDB102に存在しているため、特定部112は、サーバプロセスを有するIPアドレス2.1.2.1で特定されるクライアント22は異常通信機器でないと判定する。
〔B−2〕動作例
図4に示したネットワーク監視装置1におけるアクセス元の集計処理を、図10に示すフローチャート(ステップS1〜S9)に従って説明する。
生成部111は、サーバプロセス認証ログ101を読み込む(ステップS1)。
生成部111は、送信先IPアドレスの項目から重複を除外し、ユニークな送信先IPアドレスをサーバIPアドレスリストとして取得する(ステップS2)。
生成部111は、サーバIPアドレスリストと同じ長さを有するリストを作成する(ステップS3)。
生成部111は、サーバプロセス認証ログ101を1行読み込む(ステップS4)。
生成部111は、読み込んだサーバプロセス認証ログ101の1行内の送信先IPアドレスに該当するサーバIPアドレスリストの番号を取得する(ステップS5)。
生成部111は、取得した番号に対応するクライアントIPアドレス群リスト内の項目に送信元IPアドレスを追加する(ステップS6)。
生成部111は、サーバプロセス認証ログ101を全て読み込んだかを判定する(ステップS7)。
サーバプロセス認証ログ101において読み込んでいない行がある場合には(ステップS7のNoルート参照)、処理はステップS4へ戻る。
一方、サーバプロセス認証ログ101を全て読み込んだ場合には(ステップS7のYesルート参照)、生成部111は、サーバIPリストとクライアントIPアドレスとを結合したテーブル1011(図7参照)を生成する(ステップS8)。
生成部111は、結合したテーブル1011をプロファイルDB102に書き込む(ステップS9)。そして、アクセス元の集計処理は終了する。
次に、図4に示したネットワーク監視装置1における異常通信機器の判定処理を、図11及び図12に示すフローチャート(ステップS11〜S23)に従って説明する。なお、図11にはステップS11〜S17における処理を示し、図12にはステップS18〜S23における処理を示す。
特定部112は、プロファイルDB102中のログを読み込む(図11のステップS11)。
特定部112は、最新のプロファイルDB102のログを、最新プロファイル結果1012(図8及び図9参照)として取り出す(図11のステップS12)。
特定部112は、最新プロファイル結果1012の1行を読み込む(図11のステップS13)。
特定部112は、FlagをFalseに設定する(図11のステップS14)。
特定部112は、読み込んだ最新プロファイル結果1012から、クライアントIPアドレス群を取り出す(図11のステップS15)。
特定部112は、プロファイルDB102のログを1行読み込む(図11のステップS16)。
特定部112は、判定対象のクライアントIPアドレス群と、読み込んだプロファイルDB102のログ中のクライアントIPアドレス群とを比較する(図11のステップS17)。
特定部112は、図11のステップS17における比較の結果、クライアントIPアドレス群が合致したかを判定する(図12のステップS18)。
クライアントIPアドレス群が合致しない場合には(図12のステップS18のNoルート参照)、処理は図12のステップS20へ進む。
一方、クライアントIPアドレス群が合致した場合には(図12のステップS18のYesルート参照)、特定部112は、FlagをTrueに設定する(図12のステップS19)。
特定部112は、プロファイルDB102のログを全て読み込んだかを判定する(図12のステップS20)。
プロファイルDB102において読み込んでいないログがある場合には(図12のステップS20のNoルート参照)、処理は図11のステップS16へ移行する。
一方、プロファイルDB102のログを全て読み込んだ場合には(図12のステップS20のYesルート参照)、特定部112は、FlagがFalseであるかを判定する(図12のステップS21)。
FlagがFalseでない場合には(図12のステップS21のNoルート参照)、処理は図12のステップS23へ進む。
一方、FlagがFalseである場合には(図12のステップS21のYesルート参照)、特定部112は、最新プロファイル結果1012中のサーバプロセスIPアドレスによって特定されるサーバ21又はクライアント22が異常通信機器であると判定する。そして、特定部112は、最新プロファイル結果1012中のサーバプロセスIPアドレスを異常通信機器IPアドレス一覧103に格納する(図12のステップS22)。
特定部112は、最新プロファイル結果1012を全て読み込んだかを判定する(図12のステップS23)。
読み込んでいない最新プロファイル結果1012がある場合には(図12のステップS23のNoルート参照)、処理は図11のステップS13へ移行する。
一方、最新プロファイル結果1012を全て読み込んだ場合には(図12のステップS23のYesルート参照)、異常通信機器の判定処理は終了する。
すなわち、特定部112は、サーバプロセスを有するサーバ21又はクライアント22のそれぞれについてのフラグに第1の値を設定する。また、特定部112は、異常通信機器として特定されなかったサーバ21又はクライアント22についてのフラグを第1の値から第2の値に変更する。そして、特定部112は、フラグが第1の値に設定されているサーバ21又はクライアント22のIPアドレスを異常通信機器IPアドレス一覧103として出力する。
〔B−3〕効果
上述した実施形態の一例におけるネットワーク監視装置1によれば、例えば以下の効果を奏することができる。
生成部111は、組織内ネットワーク100における通信からサーバプロセスを抽出し、抽出したサーバプロセスにおけるアクセス元のIPアドレスの組み合わせを記録したプロファイルDB102を生成する。また、特定部112は、プロファイルDB102に記録された過去のIPアドレスの組み合わせと、特定対象のアクセスにおけるIPアドレスの組み合わせとを比較して、異常な通信を行なっているサーバ21又はクライアント22を特定する。
これにより、組織内ネットワーク100に設置したセンサ23から得られた情報を定期的に記録して、正規のサーバ21又はクライアント22の設置状況と正規のサーバ21又はクライアント22に対するアクセスパターンとを学習することができる。従って、組織ネットワーク100内のセキュリティ管理者によって異常通信機器を特定する場合よりも、異常通信機器の特定を効率的に実施できる。
特定部112は、特定対象のアクセスにおいて、プロファイルDB102に存在しないIPアドレスの組み合わせによってアクセスされたサーバ21又はクライアント22を、異常通信機器として特定する。
これにより、学習したアクセスパターンに存在するサーバ21又はクライアント22を正規の通信機器と判断し、学習したアクセスパターンに存在しないサーバ21又はクライアント22を異常通信機器と判断することができる。そして、外部ネットワーク300に対する通信を監視すべきサーバ21又はクライアント22を適切に選定できる。
特定部112は、サーバプロセスを有するサーバ21又はクライアント22のそれぞれについてのフラグに第1の値を設定する。また、特定部112は、異常通信機器として特定されなかったサーバ21又はクライアント22についてのフラグを第1の値から第2の値に変更する。そして、特定部112は、フラグが第1の値に設定されているサーバ21又はクライアント22のIPアドレスを異常通信機器IPアドレス一覧103として出力する。
これにより、組織内ネットワーク100に複数の異常通信機器が存在する場合においても、異常通信機器を正確に特定できる。また、出力された異常通信機器IPアドレス一覧103を組織内ネットワーク100の管理者等に提示でき、異常通信機器に対する適切且つ迅速な対処が可能となる。
〔C〕その他
開示の技術は上述した実施形態に限定されるものではなく、本実施形態の趣旨を逸脱しない範囲で種々変形して実施することができる。本実施形態の各構成及び各処理は、必要に応じて取捨選択することができ、あるいは適宜組み合わせてもよい。
〔D〕付記
以上の実施形態に関し、さらに以下の付記を開示する。
(付記1)
ネットワーク内の通信からサーバプロセスを抽出して、前記サーバプロセスにおけるアクセス元のアドレスの組み合わせを記録したログデータを生成する生成部と、
前記ログデータに記録された過去のアドレスの組み合わせと、特定対象のアクセスにおけるアドレスの組み合わせとを比較して、異常な通信を行なっている第1の通信機器を特定する特定部と、
を備える、ネットワーク監視装置。
(付記2)
前記特定部は、前記特定対象のアクセスにおいて、前記ログデータに存在しないアドレスの組み合わせによってアクセスされた通信機器を、前記第1の通信機器として特定する、
付記1に記載のネットワーク監視装置。
(付記3)
前記特定部は、
前記サーバプロセスを有する通信機器のそれぞれについてのフラグに第1の値を設定し、
前記第1の通信機器として特定されなかった通信機器についての前記フラグを前記第1の値から第2の値に変更し、
前記フラグが前記第1の値に設定されている通信機器のアドレスを前記第1の通信機器の一覧として出力する、
付記1又は2に記載のネットワーク監視装置。
(付記4)
コンピュータに、
ネットワーク内の通信からサーバプロセスを抽出して、前記サーバプロセスにおけるアクセス元のアドレスの組み合わせを記録したログデータを生成し、
前記ログデータに記録された過去のアドレスの組み合わせと、特定対象のアクセスにおけるアドレスの組み合わせとを比較して、異常な通信を行なっている第1の通信機器を特定する、
処理を実行させる、ネットワーク監視プログラム。
(付記5)
前記特定対象のアクセスにおいて、前記ログデータに存在しないアドレスの組み合わせによってアクセスされた通信機器を、前記第1の通信機器として特定する、
処理を前記コンピュータに実行させる、付記4に記載のネットワーク監視プログラム。
(付記6)
前記サーバプロセスを有する通信機器のそれぞれについてのフラグに第1の値を設定し、
前記第1の通信機器として特定されなかった通信機器についての前記フラグを前記第1の値から第2の値に変更し、
前記フラグが前記第1の値に設定されている通信機器のアドレスを前記第1の通信機器の一覧として出力する、
処理を前記コンピュータに実行させる、付記4又は5に記載のネットワーク監視プログラム。
(付記7)
ネットワーク内の通信からサーバプロセスを抽出して、前記サーバプロセスにおけるアクセス元のアドレスの組み合わせを記録したログデータを生成し、
前記ログデータに記録された過去のアドレスの組み合わせと、特定対象のアクセスにおけるアドレスの組み合わせとを比較して、異常な通信を行なっている第1の通信機器を特定する、
ネットワーク監視方法。
(付記8)
前記特定対象のアクセスにおいて、前記ログデータに存在しないアドレスの組み合わせによってアクセスされた通信機器を、前記第1の通信機器として特定する、
付記7に記載のネットワーク監視方法。
(付記9)
前記サーバプロセスを有する通信機器のそれぞれについてのフラグに第1の値を設定し、
前記第1の通信機器として特定されなかった通信機器についての前記フラグを前記第1の値から第2の値に変更し、
前記フラグが前記第1の値に設定されている通信機器のアドレスを前記第1の通信機器の一覧として出力する、
付記7又は8に記載のネットワーク監視方法。
100,600:組織内ネットワーク
1 :ネットワーク監視装置
11 :CPU
111 :生成部
112 :特定部
12 :メモリ
13 :表示制御部
130 :表示装置
14 :記憶装置
15 :入力I/F
151 :マウス
152 :キーボード
16 :読み書き処理部
160 :記録媒体
17 :通信I/F
2,20,7,70:セグメント
21,71 :サーバ
22,72 :クライアント
23,73 :センサ
24 :ファイアウォール
8 :攻撃者
9 :管理者
101,602:サーバプロセス認証ログ
1011 :テーブル
1012 :最新プロファイル結果
102 :プロファイルDB
103 :異常通信機器IPアドレス一覧
300 :外部ネットワーク
601 :IPアドレスリスト

Claims (5)

  1. ネットワーク内の通信からサーバプロセスを抽出して、前記サーバプロセスにおけるアクセス元のアドレスの組み合わせを記録したログデータを生成する生成部と、
    前記ログデータに記録された過去のアドレスの組み合わせと、特定対象のアクセスにおけるアドレスの組み合わせとを比較して、異常な通信を行なっている第1の通信機器を特定する特定部と、
    を備える、ネットワーク監視装置。
  2. 前記特定部は、前記特定対象のアクセスにおいて、前記ログデータに存在しないアドレスの組み合わせによってアクセスされた通信機器を、前記第1の通信機器として特定する、
    請求項1に記載のネットワーク監視装置。
  3. 前記特定部は、
    前記サーバプロセスを有する通信機器のそれぞれについてのフラグに第1の値を設定し、
    前記第1の通信機器として特定されなかった通信機器についての前記フラグを前記第1の値から第2の値に変更し、
    前記フラグが前記第1の値に設定されている通信機器のアドレスを前記第1の通信機器の一覧として出力する、
    請求項1又は2に記載のネットワーク監視装置。
  4. コンピュータに、
    ネットワーク内の通信からサーバプロセスを抽出して、前記サーバプロセスにおけるアクセス元のアドレスの組み合わせを記録したログデータを生成し、
    前記ログデータに記録された過去のアドレスの組み合わせと、特定対象のアクセスにおけるアドレスの組み合わせとを比較して、異常な通信を行なっている第1の通信機器を特定する、
    処理を実行させる、ネットワーク監視プログラム。
  5. ネットワーク内の通信からサーバプロセスを抽出して、前記サーバプロセスにおけるアクセス元のアドレスの組み合わせを記録したログデータを生成し、
    前記ログデータに記録された過去のアドレスの組み合わせと、特定対象のアクセスにおけるアドレスの組み合わせとを比較して、異常な通信を行なっている第1の通信機器を特定する、
    ネットワーク監視方法。
JP2018073607A 2018-04-06 2018-04-06 ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 Active JP7172104B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018073607A JP7172104B2 (ja) 2018-04-06 2018-04-06 ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法
US16/372,472 US11233807B2 (en) 2018-04-06 2019-04-02 Effective detection of a communication apparatus performing an abnormal communication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018073607A JP7172104B2 (ja) 2018-04-06 2018-04-06 ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法

Publications (2)

Publication Number Publication Date
JP2019186686A true JP2019186686A (ja) 2019-10-24
JP7172104B2 JP7172104B2 (ja) 2022-11-16

Family

ID=68096153

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018073607A Active JP7172104B2 (ja) 2018-04-06 2018-04-06 ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法

Country Status (2)

Country Link
US (1) US11233807B2 (ja)
JP (1) JP7172104B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112948341B (zh) * 2021-02-22 2024-02-09 京东科技控股股份有限公司 用于识别异常的网络设备日志的方法和装置
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012015684A (ja) * 2010-06-30 2012-01-19 Mitsubishi Electric Corp 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム
WO2014129587A1 (ja) * 2013-02-21 2014-08-28 日本電信電話株式会社 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
KR20150026345A (ko) * 2013-09-02 2015-03-11 한국전력공사 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법
JP6017004B1 (ja) * 2015-10-20 2016-10-26 株式会社リクルートホールディングス 不審者検出システム、不審者検出方法
JP2017201466A (ja) * 2016-05-03 2017-11-09 株式会社カウリス サービス提供システム、サービス提供方法、照合装置、照合方法及びコンピュータプログラム

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0617004B2 (ja) 1987-07-16 1994-03-09 東陶機器株式会社 セラミックハニカム構造体の押出し成形方法及び装置
US7249374B1 (en) * 2001-01-22 2007-07-24 Cisco Technology, Inc. Method and apparatus for selectively enforcing network security policies using group identifiers
JP2005275683A (ja) 2004-03-24 2005-10-06 Mitsubishi Electric Corp 侵入経路追跡システム
US8838570B1 (en) * 2006-11-06 2014-09-16 Trend Micro Incorporated Detection of bot-infected computers using a web browser
US20080307526A1 (en) * 2007-06-07 2008-12-11 Mi5 Networks Method to perform botnet detection
US8595834B2 (en) * 2008-02-04 2013-11-26 Samsung Electronics Co., Ltd Detecting unauthorized use of computing devices based on behavioral patterns
US8745731B2 (en) * 2008-04-03 2014-06-03 Microsoft Corporation Clustering botnet behavior using parameterized models
US20150071085A1 (en) * 2008-06-10 2015-03-12 ClioTech Inc. Network gateway for real-time inspection of data frames and identification of abnormal network behavior
US8874763B2 (en) * 2010-11-05 2014-10-28 At&T Intellectual Property I, L.P. Methods, devices and computer program products for actionable alerting of malevolent network addresses based on generalized traffic anomaly analysis of IP address aggregates
US8935383B2 (en) * 2010-12-31 2015-01-13 Verisign, Inc. Systems, apparatus, and methods for network data analysis
US8578493B1 (en) * 2011-05-10 2013-11-05 Narus, Inc. Botnet beacon detection
KR101453521B1 (ko) * 2011-05-20 2014-10-24 주식회사 케이티 무선 액세스 포인트 장치 및 비인가 무선 랜 노드 탐지 방법
US8555388B1 (en) * 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
US8370407B1 (en) * 2011-06-28 2013-02-05 Go Daddy Operating Company, LLC Systems providing a network resource address reputation service
US8561188B1 (en) * 2011-09-30 2013-10-15 Trend Micro, Inc. Command and control channel detection with query string signature
US9038178B1 (en) * 2012-06-25 2015-05-19 Emc Corporation Detection of malware beaconing activities
US9401924B2 (en) * 2012-12-20 2016-07-26 At&T Intellectual Property I, L.P. Monitoring operational activities in networks and detecting potential network intrusions and misuses
US10326778B2 (en) * 2014-02-24 2019-06-18 Cyphort Inc. System and method for detecting lateral movement and data exfiltration
US9930053B2 (en) * 2014-03-11 2018-03-27 Vectra Networks, Inc. Method and system for detecting bot behavior
US10313372B2 (en) * 2015-03-02 2019-06-04 David Paul Heilig Identifying malware-infected network devices through traffic monitoring
US9621579B2 (en) * 2014-11-21 2017-04-11 Symantec Corporation Systems and methods for protecting against unauthorized network intrusions
US9372994B1 (en) * 2014-12-13 2016-06-21 Security Scorecard, Inc. Entity IP mapping
US10454950B1 (en) * 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US9781158B1 (en) * 2015-09-30 2017-10-03 EMC IP Holding Company LLC Integrated paronymous network address detection
US11165797B2 (en) * 2016-04-22 2021-11-02 Sophos Limited Detecting endpoint compromise based on network usage history
US11102238B2 (en) * 2016-04-22 2021-08-24 Sophos Limited Detecting triggering events for distributed denial of service attacks
US10372910B2 (en) * 2016-06-20 2019-08-06 Jask Labs Inc. Method for predicting and characterizing cyber attacks
WO2018031062A1 (en) * 2016-08-12 2018-02-15 Level 3 Communications, Llc Malware detection and prevention system
US10659477B2 (en) * 2017-12-19 2020-05-19 The Boeing Company Method and system for vehicle cyber-attack event detection

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012015684A (ja) * 2010-06-30 2012-01-19 Mitsubishi Electric Corp 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム
WO2014129587A1 (ja) * 2013-02-21 2014-08-28 日本電信電話株式会社 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
KR20150026345A (ko) * 2013-09-02 2015-03-11 한국전력공사 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법
JP6017004B1 (ja) * 2015-10-20 2016-10-26 株式会社リクルートホールディングス 不審者検出システム、不審者検出方法
JP2017201466A (ja) * 2016-05-03 2017-11-09 株式会社カウリス サービス提供システム、サービス提供方法、照合装置、照合方法及びコンピュータプログラム

Also Published As

Publication number Publication date
US11233807B2 (en) 2022-01-25
US20190312901A1 (en) 2019-10-10
JP7172104B2 (ja) 2022-11-16

Similar Documents

Publication Publication Date Title
US11102223B2 (en) Multi-host threat tracking
US10728263B1 (en) Analytic-based security monitoring system and method
US8495745B1 (en) Asset risk analysis
CN106687971B (zh) 用来减少软件的攻击面的自动代码锁定
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
EP3127301B1 (en) Using trust profiles for network breach detection
US8621624B2 (en) Apparatus and method for preventing anomaly of application program
US7703138B2 (en) Use of application signature to identify trusted traffic
JP5557623B2 (ja) 感染検査システム及び感染検査方法及び記録媒体及びプログラム
JP4327698B2 (ja) ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
US20180034837A1 (en) Identifying compromised computing devices in a network
WO2013184099A1 (en) Cross-user correlation for detecting server-side multi-target intrusion
US20140195793A1 (en) Remotely Establishing Device Platform Integrity
US8392998B1 (en) Uniquely identifying attacked assets
JP6523582B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP2022037896A (ja) 脅威対応自動化方法
JP2016213799A (ja) ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置
US10812466B2 (en) Using trusted platform module to build real time indicators of attack information
US11233807B2 (en) Effective detection of a communication apparatus performing an abnormal communication
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
US20230247043A1 (en) Techniques for detecting cybersecurity vulnerabilities in a cloud based computing environment based on forensic analysis of cloud logs
JP7023433B2 (ja) インシデント対応効率化システム、インシデント対応効率化方法およびインシデント対応効率化プログラム
KR102661261B1 (ko) 봇넷 탐지 시스템 및 방법
US11973773B2 (en) Detecting and mitigating zero-day attacks
US20210359977A1 (en) Detecting and mitigating zero-day attacks

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20190607

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210113

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210914

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210921

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220412

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220613

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221004

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221017

R150 Certificate of patent or registration of utility model

Ref document number: 7172104

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150