JP2020046698A - 監視装置、監視方法及び監視プログラム - Google Patents

監視装置、監視方法及び監視プログラム Download PDF

Info

Publication number
JP2020046698A
JP2020046698A JP2018172125A JP2018172125A JP2020046698A JP 2020046698 A JP2020046698 A JP 2020046698A JP 2018172125 A JP2018172125 A JP 2018172125A JP 2018172125 A JP2018172125 A JP 2018172125A JP 2020046698 A JP2020046698 A JP 2020046698A
Authority
JP
Japan
Prior art keywords
information processing
information
processing device
monitoring
command
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018172125A
Other languages
English (en)
Other versions
JP7152657B2 (ja
Inventor
敏郎 有賀
Toshiro Ariga
敏郎 有賀
雅行 内藤
Masayuki Naito
雅行 内藤
修一 小倉
Shuichi Ogura
修一 小倉
ユスティヌス ジュリ
Yustinus Juli
ユスティヌス ジュリ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2018172125A priority Critical patent/JP7152657B2/ja
Publication of JP2020046698A publication Critical patent/JP2020046698A/ja
Application granted granted Critical
Publication of JP7152657B2 publication Critical patent/JP7152657B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】サイバー攻撃の検知をより高い精度で行うことを可能とする監視装置、監視方法及び監視プログラムを提供する。【解決手段】外部からのアクセスが許可されている情報処理装置を監視する監視装置は、情報処理装置によって実行された複数のコマンドを取得する取得部と、取得した複数のコマンドに含まれる内容の関連性から、情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定する判定部と、情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、情報処理装置に関する警告を出力する出力部と、を有する。【選択図】図4

Description

本発明は、監視装置、監視方法及び監視プログラムに関する。
近年、企業や組織が保有する重要情報を不正に入手することを目的としたサイバー攻撃が行われている。このようなサイバー攻撃では、例えば、脆弱性を突くことによって乗っ取った公開サーバ(外部からのアクセスが許可されているサーバ)を踏み台にすることにより、内部サーバ(外部からのアクセスが許可されていないサーバ)に蓄積されている重要情報の不正取得が行われる。
そのため、企業や組織におけるセキュリティ管理者(以下、単に管理者とも呼ぶ)は、例えば、公開サーバに対して行われたサイバー攻撃を公開サーバにおいて検知する方法や、ネットワークを流れる通信パケットからサイバー攻撃の存在を検知する方法等を導入することにより、管理対象の情報処理システムに対するサイバー攻撃の検知を行う必要がある(例えば、特許文献1乃至3参照)。
特開2006−172171号公報 特開2016−046654号公報 特開2006−246109号公報
しかしながら、近年のサイバー攻撃の多様化に伴い、上記のような方法を導入した場合であっても、検知を行うことができないサイバー攻撃が登場する可能性がある。そのため、上記のような企業や組織では、サイバー攻撃の検知をより高い精度で行うことができる新たな方法が望まれている。
そこで、一つの側面では、本発明は、サイバー攻撃の検知をより高い精度で行うことを可能とする監視装置、監視方法及び監視プログラムを提供することを目的とする。
実施の形態の一態様では、外部からのアクセスが許可されている情報処理装置を監視する監視装置は、前記情報処理装置によって実行された複数のコマンドを取得する取得部と、取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定する判定部と、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する出力部と、を有する。
一つの側面によれば、サイバー攻撃の検知をより高い精度で行うことを可能とする。
図1は、情報処理システム10の構成について説明する図である。 図2は、監視装置1のハードウエア構成を説明する図である。 図3は、監視装置1の機能のブロック図である。 図4は、第1の実施の形態における監視処理の概略を説明するフローチャート図である。 図5は、第1の実施の形態における監視処理の概略を説明する図である。 図6は、第1の実施の形態における監視処理の概略を説明する図である。 図7は、第1の実施の形態における監視処理の概略を説明する図である。 図8は、第1の実施の形態における監視処理の詳細を説明するフローチャート図である。 図9は、第1の実施の形態における監視処理の詳細を説明するフローチャート図である。 図10は、第1の実施の形態における監視処理の詳細を説明するフローチャート図である。 図11は、第1の実施の形態における監視処理の詳細を説明するフローチャート図である。 図12は、アクセス先情報131の具体例を説明する図である。 図13は、コマンド情報132の具体例を説明する図である。 図14は、S31の処理で特定された情報の具体例を説明する図である。 図15は、S32の処理で特定された情報の具体例を説明する図である。 図16は、S32の処理で特定された情報の具体例を説明する図である。 図17は、第2の実施の形態における監視処理を説明するフローチャート図である。 図18は、第2の実施の形態における監視処理を説明するフローチャート図である。 図19は、第2の実施の形態における監視処理を説明するフローチャート図である。 図20は、コマンド情報132の具体例を説明する図である。 図21は、S61の処理で特定された情報の具体例を説明する図である。 図22は、閾値情報133の具体例を説明する図である。
[情報処理システムの構成]
初めに、情報処理システム10の構成について説明を行う。図1は、情報処理システム10の構成について説明する図である。
具体的に、情報処理システム10は、監視装置1と、公開サーバ2a、2b及び2cと、内部サーバ3a、3b及び3cと、ファイアーウォール装置5(以下、FW5とも呼ぶ)と、ファイアーウォール装置6(以下、FW6とも呼ぶ)とを有する。以下、公開サーバ2a、2b及び2cを総称して公開サーバ2とも呼び、内部サーバ3a、3b及び3cを総称して内部サーバ3とも呼ぶ。なお、情報処理システム10は、3台以外の数の公開サーバ2を有するものであってもよく、3台以外の数の内部サーバ3を有するものであってもよい。
公開サーバ2は、例えば、Webサーバであり、外部(例えば、外部端末11)からのアクセスが許可されたサーバである。
FW5は、例えば、許可されている目的以外での外部から公開サーバ2に対するアクセスを禁止する処理を行う装置である。すなわち、FW5は、例えば、公開サーバ2に対するサイバー攻撃を防ぐために設けられた装置である。
内部サーバ3は、例えば、顧客情報等の重要情報を蓄積するサーバであり、外部(例えば、外部端末11)からのアクセスが許可されていないサーバである。
FW6は、例えば、許可されている目的以外での公開サーバ2から内部サーバ3に対するアクセスを禁止する処理を行う装置である。すなわち、FW6は、例えば、内部サーバ3に対するサイバー攻撃(公開サーバ2を踏み台としたサイバー攻撃)を防ぐための設けられた装置である。
そして、情報処理システム10の管理者は、FW5及びFW6の設置に加え、例えば、公開サーバ2に対して行われたサイバー攻撃を公開サーバ2において検知する方法や、情報処理システム10のネットワークを流れる通信パケットからサイバー攻撃の存在を検知する方法等を情報処理システム10に導入する。具体的に、管理者は、例えば、公開サーバ2に対して行われたサイバー攻撃の検知を行うソフトウエアを公開サーバ2において動作させる。また、管理者は、例えば、取得した通信パケットを解析することによってサイバー攻撃の検知を行う装置(図示しない)を導入する。
これにより、情報処理システム10の管理者は、例えば、情報処理システム10に対して行われたサイバー攻撃の検知(早期検知)を行うことが可能になる。
しかしながら、近年のサイバー攻撃の多様化に伴い、上記のようなFW5及びFW6の設置や、サイバー攻撃を検知するための各種方法の導入を行った場合であっても、情報処理システム10に対するサイバー攻撃の検知を行うことができないケースが想定される。そのため、上記のような企業や組織では、サイバー攻撃の検知をより高い精度で行う必要性が生じている。
そこで、本実施の形態における監視装置1は、公開サーバ2(以下、情報処理装置2とも呼ぶ)によって実行された複数のコマンドを取得する。そして、監視装置1は、取得した複数のコマンドに含まれる内容の関連性から、公開サーバ2が他のサーバ(例えば、内部サーバ3)に対して攻撃を行った可能性があるか否かを判定する。
その後、監視装置1は、公開サーバ2が他のサーバに対して攻撃を行った可能性があると判定した場合、攻撃を行った可能性があると判定した公開サーバ2に関する警告を出力する。
すなわち、本実施の形態における監視装置1は、公開サーバ2がサイバー攻撃によって既に乗っ取られているケースを予め想定し、公開サーバ2において実行されたコマンドの内容に基づくサイバー攻撃の検知を行う。
これにより、監視装置1は、公開サーバ2が乗っ取られた後においてもサイバー攻撃の検知を行うことが可能になる。そのため、監視装置1は、サイバー攻撃の検知をより精度良く行うことが可能になる。
[情報処理システムのハードウエア構成]
次に、情報処理システム10のハードウエア構成について説明する。図2は、監視装置1のハードウエア構成を説明する図である。
監視装置1は、図2に示すように、プロセッサであるCPU101と、メモリ102と、外部インターフェース(I/Oユニット)103と、記憶媒体104とを有する。各部は、バス105を介して互いに接続される。
記憶媒体104は、例えば、公開サーバ2の動作を監視する処理(以下、監視処理とも呼ぶ)を行うためのプログラム110を記憶するプログラム格納領域(図示しない)を有する。また、記憶媒体104は、例えば、監視処理を行う際に用いられる情報を記憶する記憶部130(以下、情報格納領域130とも呼ぶ)を有する。なお、記憶媒体104は、例えば、HDD(Hard Disk Drive)やSSD(Sokid State Drive)であってよい。
CPU101は、記憶媒体104からメモリ102にロードされたプログラム110を実行して監視処理を行う。
外部インターフェース103は、例えば、FW6と通信を行う。
[情報処理システムの機能]
次に、情報処理システム10の機能について説明を行う。図3は、監視装置1の機能のブロック図である。
監視装置1は、図3に示すように、監視装置1のCPU101やメモリ102等のハードウエアとプログラム110とが有機的に協働することにより、情報取得部111と、情報管理部112と、コマンド取得部113と、攻撃判定部114と、警告出力部115とを含む各種機能を実現する。
また、監視装置1は、図3に示すように、アクセス先情報131と、コマンド情報132と、閾値情報133とを情報格納領域130に記憶する。
情報取得部111は、各公開サーバ2がアクセスを行う可能性がある他のサーバの識別情報を含むアクセス先情報131を、各公開サーバ2からそれぞれ取得する。アクセス先情報131は、例えば、各公開サーバ2が保持しているhostsファイルである。
情報管理部112は、情報取得部111が取得したアクセス先情報131を情報格納領域130に記憶する。
コマンド取得部113は、各公開サーバ2によって実行されたコマンド(複数のコマンド)を示す情報であるコマンド情報132を、各公開サーバ2からそれぞれ取得する。具体的に、コマンド取得部113は、例えば、コマンドの取得を前回行ってから現在のまでの間に実行されたコマンドを示すコマンド情報132の取得を行う。
攻撃判定部114は、コマンド取得部113が取得したコマンド情報132に含まれるコマンドの内容の関連性から、各公開サーバ2が他のサーバに対して攻撃を行った可能性があるか否かを判定する。攻撃判定部114による処理の詳細については後述する。
警告出力部115は、公開サーバ2のうちの少なくともいずれか1つが他のサーバに対して攻撃を行った可能性があると攻撃判定部114が判定した場合、攻撃を行った可能性があると判定した公開サーバ2に関する警告を出力装置(図示しない)に出力する。
[第1の実施の形態の概略]
次に、第1の実施の形態の概略について説明する。図4は、第1の実施の形態における監視処理の概略を説明するフローチャート図である。また、図5から図7は、第1の実施の形態における監視処理の概略を説明する図である。なお、以下、図4から図7では、各公開サーバ2から取得したアクセス先情報131が予め情報格納領域130に記憶されているものとして説明を行う。
監視装置1は、図4に示すように、監視実行タイミングになるまで待機する(S1のNO)。監視実行タイミングは、例えば、管理者によって公開サーバ2の監視を開始する旨の入力があったタイミングであってよい。
そして、監視実施タイミングになった場合(S1のYES)、監視装置1は、公開サーバ2によって実行された複数のコマンドを取得する(S2)。
具体的に、監視装置1は、図5に示すように、公開サーバ2a、2b及び2cのそれぞれによって実行された複数のコマンドを示すコマンド情報132を、公開サーバ2a、2b及び2cのそれぞれから取得する。そして、監視装置1は、取得したコマンド情報132を情報格納領域130に記憶する。
続いて、監視装置1は、S2の処理で取得した複数のコマンドに含まれる内容の関連性から、S2の処理で複数のコマンドを取得した公開サーバ2が他のサーバに対して攻撃を行った可能性があるか否かを判定する(S3)。
具体的に、監視装置1は、図6に示すように、情報格納領域130に記憶されたアクセス先情報131及びコマンド情報132を参照し、公開サーバ2のうちの少なくとも1つが他のサーバ(例えば、内部サーバ3)に対して攻撃を行っていたか否かの判定を行う。
その結果、公開サーバ2が他のサーバに対して攻撃を行った可能性があると判定した場合(S4のYES)、監視装置1は、S2の処理で複数のコマンドを取得した公開サーバ2に関する警告を出力する(S5)。
一方、公開サーバ2が他のサーバに対して攻撃を行った可能性がないと判定した場合(S4のNO)、監視装置1は、S5の処理を行わない。
具体的に、監視装置1は、図7に示すように、例えば、公開サーバ2cが他のサーバに対して攻撃を行っていた可能性があると判定した場合、公開サーバ2cに関する警告を出力装置(図示しない)に出力する。
すなわち、本実施の形態における監視装置1は、公開サーバ2がサイバー攻撃によって既に乗っ取られているケースを予め想定し、公開サーバ2において実行されたコマンドの内容に基づくサイバー攻撃の検知を行う。
これにより、監視装置1は、公開サーバ2が乗っ取られた後においてもサイバー攻撃の検知を行うことが可能になる。そのため、監視装置1は、サイバー攻撃の検知をより精度良く行うことが可能になる。
そして、管理者は、例えば、出力装置に出力された情報を閲覧することで、公開サーバ2に対してサイバー攻撃が行われている可能性があると認識することが可能になる。そのため、管理者は、サイバー攻撃が行われている可能性がある公開サーバ2の調査を迅速に開始することが可能になる。
[第1の実施の形態の詳細]
次に、第1の実施の形態の詳細について説明する。図8から図11は、第1の実施の形態における監視処理の詳細を説明するフローチャート図である。また、図12から図16は、第1の実施の形態における監視処理の詳細を説明する図である。
[第1の実施の形態における情報取得処理]
初めに、第1の実施の形態における監視処理のうち、各公開サーバ2からアクセス先情報131の取得を行う処理(以下、情報取得処理とも呼ぶ)について説明を行う。図8は、第1の実施の形態における情報取得処理について説明するフローチャート図である。
監視装置1の情報取得部111は、図8に示すように、情報取得タイミングまで待機する(S11のNO)。情報取得タイミングは、例えば、管理者によってアクセス先情報131の取得を行う旨の入力があったタイミングであってよい。
そして、情報取得タイミングになった場合(S11のYES)、情報取得部111は、各公開サーバ2がアクセスを行う可能性がある他のサーバの識別情報を含むアクセス先情報131を各公開サーバ2から取得する(S12)。
その後、監視装置1の情報管理部112は、S12の処理で取得したアクセス先情報131を情報格納領域130に記憶する(S13)。以下、アクセス先情報131の具体例について説明を行う。
[アクセス先情報の具体例]
図12は、アクセス先情報131の具体例を説明する図である。具体的に、図12は、公開サーバ2のうちのいずれか1台(例えば、公開サーバ2a)から取得したアクセス先情報131の具体例を説明する図である。
図12に示すアクセス先情報131は、各アクセス先情報131を識別する情報が記憶される「項番」と、公開サーバ2によってアクセスされる可能性がある他のサーバの識別情報(ホスト名)が記憶される「ホスト名」とを項目として有する。
具体的に、図12に示すアクセス先情報131において、「項番」が「1」である情報には、「ホスト名」として「localhost」が記憶され、「項番」が「2」である情報には、「ホスト名」として「kevin」が記憶されている。
また、図12に示すアクセス先情報131において、「項番」が「3」である情報には、「ホスト名」として「jstest」が記憶され、「項番」が「4」である情報には、「ホスト名」として「duncan」が記憶されている。図12に含まれる他の情報についての説明は省略する。
[第1の実施の形態における監視処理の詳細]
次に、第1の実施の形態における監視処理の詳細について説明を行う。図9から図11は、第1の実施の形態における監視処理の詳細について説明するフローチャート図である。
監視装置1のコマンド取得部113は、図9に示すように、監視実施タイミングになるまで待機する(S21のNO)。
そして、監視実施タイミングになった場合(S21のYES)、コマンド取得部113は、各公開サーバ2によって所定の時間内に実行されたコマンドの内容を示すコマンド情報132を各公開サーバ2からそれぞれ取得する(S23)。
具体的に、コマンド取得部113は、例えば、コマンドの取得を前回行ってから現在のまでの間に実行されたコマンドの内容を示すコマンド情報132の取得を行う。
その後、情報管理部112は、S22の処理で取得したコマンド情報132を情報格納領域130に記憶する(S23)。以下、コマンド情報132の具体例について説明を行う。
[コマンド情報の具体例(1)]
図13は、コマンド情報132の具体例を説明する図である。具体的に、図13は、公開サーバ2のうちのいずれか1台(例えば、公開サーバ2a)から取得したコマンド情報132の具体例を説明する図である。
図13に示すコマンド情報132は、各コマンド情報132を識別する情報が記憶される「項番」と、公開サーバ2によって実行されたコマンドが記憶される「コマンド」とを項目として有する。
具体的に、図13に示すコマンド情報132において、「項番」が「1」である情報には、「コマンド」として「id −un」が記憶され、「項番」が「2」である情報には、「コマンド」として「/bin/hostname」が記憶されている。
また、図13に示すコマンド情報132において、「項番」が「3」である情報には、「コマンド」として「cat /etc/hosts」が記憶され、「項番」が「4」である情報には、「コマンド」として「ssh localhost」が記憶されている。
さらに、図13に示すコマンド情報132において、「項番」が「5」である情報には、「コマンド」として「ssh kevin」が記憶され、「項番」が「6」である情報には、「コマンド」として「ssh jstest」が記憶されている。図13に含まれる他の情報についての説明は省略する。
図9に戻り、監視装置1の攻撃判定部114は、公開サーバ2のうちの1台を特定する(S24)。具体的に、攻撃判定部114は、例えば、公開サーバ2aの特定を行う。
そして、攻撃判定部114は、情報格納領域130に記憶されたコマンド情報132のうち、S24の処理で特定した公開サーバ2に対応するコマンド情報132に、他のサーバに対してアクセスを行うコマンドを示す情報が含まれているか否かを判定する(S25)。
その結果、他のサーバ2に対してアクセスを行うコマンドを示す情報が含まれていると判定した場合(S26のYES)、攻撃判定部114は、図10に示すように、情報格納領域130に記憶されたコマンド情報132(S22の処理で取得したコマンド情報132)のうち、S24の処理で特定した公開サーバ2に対応するコマンド情報132から、他のサーバに対するアクセスを行うコマンドを示すコマンド情報132を特定する(S31)。以下、S31の処理で特定された情報の具体例について説明を行う。
[S31の処理で特定された情報の具体例]
図14は、S31の処理で特定された情報の具体例を説明する図である。具体的に、図13で説明したコマンド情報132から特定された情報の具体例を説明する図である。
攻撃判定部114は、S31の処理において、図13で説明したコマンド情報132に含まれる情報から、他のサーバに対してアクセスを行うコマンド(例えば、「ssh」や「telnet」を含むコマンド)が記憶された情報を特定する。
具体的に、図13で説明したコマンド情報132において、「項番」が「4」、「5」、「6」、「8」、「9」、「11」及び「12」である情報の「コマンド」には、それぞれ「ssh」を含むコマンドが設定されている。そのため、攻撃判定部114は、この場合、図14に示すように、図13で説明したコマンド情報132に含まれる情報のうち、「項番」が「4」、「5」、「6」、「8」、「9」、「11」及び「12」である情報を特定する。
図10に戻り、攻撃判定部114は、S31の処理で特定したコマンド情報132に含まれるコマンドから、アクセス先の他のサーバに対応する識別情報を特定する(S32)。以下、S32の処理で特定された情報の具体例について説明を行う。
[S32の処理で特定された情報の具体例]
図15及び図16は、S32の処理で特定された情報の具体例を説明する図である。具体的に、図15は、図14で説明した情報から特定された情報の具体例を説明する図である。
攻撃判定部114は、S32の処理において、図14で説明した情報から、アクセス先のサーバの識別情報をそれぞれ特定する。
具体的に、図14で説明した情報には、「ssh」以外の文字列(ホスト名)として「localcast」、「kevin」、「jstest」、「duncun」、「sv1」、「sv2」及び「sv3」がそれぞれ含まれている。そのため、攻撃判定部114は、図15に示すように、「localcast」、「kevin」、「jstest」、「duncun」、「sv1」、「sv2」及び「sv3」を示す情報(ホスト名)を識別情報として特定する。
図10に戻り、攻撃判定部114は、情報格納領域130に記憶されたアクセス先情報131のうち、S24の処理で特定した公開サーバ2に対応するアクセス先情報131を特定する(S33)。
そして、攻撃判定部114は、S32の処理で特定した識別情報のうち、実行順序が連続する所定数のコマンドのそれぞれに対応する識別情報(以下、第1識別情報とも呼ぶ)の順序が、S33の処理で特定したアクセス先情報131に含まれる識別情報のうち、記憶順序が連続する所定数の識別情報(以下、第2識別情報とも呼ぶ)の順序と一致するか否かを判定する(S34)。
具体的に、攻撃判定部114は、例えば、図15で説明した情報の「ホスト名」に設定された情報のうち、実行順序が連続する所定数のコマンドのそれぞれに対応する情報(第1識別情報)の順序と、図12で説明したアクセス先情報131の「ホスト名」に設定された情報のうち、記憶順序が連続する所定数の情報(第2識別情報)の順序との比較を行う。所定数のコマンドは、例えば、5個のコマンドであってよい。
ここで、図15で説明した情報の「ホスト名」に設定された情報と、図12で説明したアクセス先情報131の「ホスト名」に設定された情報とは、各情報の順序及び内容が全て一致している。そのため、例えば、S34の処理における所定数が「5」である場合、攻撃判定部114は、第1識別情報の順序と第2識別情報の順序とが一致していると判定する。
図10に戻り、第1識別情報の順序と第2識別情報の順序とが一致すると判定した場合(S35のYES)、攻撃判定部114は、S24の処理で特定した公開サーバ2を、警告の出力を行う必要がある公開サーバ2として特定する(S36)。
すなわち、アクセス先情報131(例えば、hostsファイル)にホスト名が含まれている各サーバに対して、アクセス先情報131における記憶順に従ってアクセスを行っている公開サーバ2の存在を検知した場合、攻撃判定部114は、検知した公開サーバ2が悪意のある者(図示しない)によって既にサイバー攻撃を受けており、他のサーバ(例えば、内部サーバ3)に対して攻撃を行う際の踏み台にされているものと判定することが可能である。
そのため、攻撃判定部114は、S35の処理において、第1識別情報の順序と第2識別情報の順序とが一致すると判定した場合、S24の処理で特定した公開サーバ2が既にサイバー攻撃を受けていると判定し、S24の処理で特定した公開サーバ2を警告の出力を行う必要がある公開サーバ2として特定する。
これにより、監視装置1は、後述するように、サイバー攻撃を受けている可能性がある公開サーバ2の存在を管理者に認識させることが可能になる。
なお、例えば、図16に示すように、S32の処理で特定した情報が各識別情報を複数回ずつ連続した状態で含んでいる場合、攻撃判定部114は、連続している複数の識別情報を1つに集約する(連続している複数の識別情報から1つ以外の識別情報を削除する)ものであってよい。そして、攻撃判定部114は、この場合、S32の処理で特定した情報に対して集約が行われた後の情報を用いることにより、第1識別情報の順序と第2識別情報の順序との比較を行うものであってよい。
これにより、監視装置1は、公開サーバ2に対して行われたサイバー攻撃の検知をより精度良く行うことが可能になる。
図11に戻り、S36の処理の後、攻撃判定部114は、S24の処理において全ての公開サーバ2の特定を行ったか否かを判定する(S41)。
その結果、全ての公開サーバ2の特定を行っていないと判定した場合(S42のNO)、攻撃判定部114は、S24以降の処理を再度行う。
一方、全ての公開サーバ2の特定を行っていると判定した場合(S42のYES)、監視装置1の警告出力部115は、S36の処理で特定した公開サーバ2が外部から攻撃を受けている可能性があることを示す情報を出力装置(図示しない)に出力する(S43)。その後、監視装置1は、監視処理を終了する。
これにより、管理者は、出力装置に出力された情報を閲覧することで、外部からサイバー攻撃を受けている可能性がある公開サーバ2の存在を認識することが可能になる。そのため、管理者は、サイバー攻撃を受けている可能性がある公開サーバ2の調査等を迅速に開始することが可能になる。
なお、監視装置1は、S26の処理において、他のサーバ2に対してアクセスを行うコマンドを示す情報が含まれていないと判定した場合(S26のNO)についても同様に、監視処理を終了する。また、監視装置1は、S35の処理において、第1識別情報の順序と第2識別情報の順序とが一致しないと判定した場合(S35のNO)についても同様に、監視処理を終了する。
このように、本実施の形態における監視装置1は、公開サーバ2によって実行された複数のコマンドを取得する。そして、監視装置1は、取得した複数のコマンドに含まれる内容の関連性から、公開サーバ2が他のサーバ(例えば、内部サーバ3)に対して攻撃を行った可能性があるか否かを判定する。
その後、監視装置1は、少なくともいずれか1つの公開サーバ2が他のサーバに対して攻撃を行った可能性があると判定した場合、攻撃を行った可能性があると判定した公開サーバ2に関する警告を出力する。
すなわち、監視装置1は、公開サーバ2がサイバー攻撃によって既に乗っ取られているケースを予め想定し、公開サーバ2において実行されたコマンドの内容に基づくサイバー攻撃の検知を行う。
これにより、監視装置1は、公開サーバ2が乗っ取られた後においてもサイバー攻撃の検知を行うことが可能になる。そのため、監視装置1は、サイバー攻撃の検知をより精度良く行うことが可能になる。
[第2の実施の形態の詳細]
次に、第2の実施の形態について説明する。図17から図19は、第2の実施の形態における監視処理を説明するフローチャート図である。また、図20から図22は、第2の実施の形態における監視処理を説明する図である。
コマンド取得部113は、図17に示すように、監視実施タイミングになるまで待機する(S51のNO)。
そして、監視実施タイミングになった場合(S51のYES)、コマンド取得部113は、各公開サーバ2によって所定の時間内に実行されたコマンドの内容を示すコマンド情報132を各公開サーバ2からそれぞれ取得する(S53)。
具体的に、コマンド取得部113は、例えば、コマンドの取得を前回行ってから現在のまでの間に実行されたコマンドの内容を示すコマンド情報132の取得を行う。
その後、情報管理部112は、S52の処理で取得したコマンド情報132を情報格納領域130に記憶する(S53)。以下、コマンド情報132の具体例について説明を行う。
[コマンド情報の具体例(2)]
図20は、コマンド情報132の具体例を説明する図である。具体的に、図20は、公開サーバ2のうちのいずれか1台(例えば、公開サーバ2a)から取得したコマンド情報132の具体例を説明する図である。
図20に示すコマンド情報132は、図13で説明したコマンド情報132と同じ項目を有している。
具体的に、図20に示すコマンド情報132において、「項番」が「1」である情報には、「コマンド」として「uname −m」が記憶され、「項番」が「2」である情報には、「コマンド」として「cat /etc/hosts」が記憶されている。
また、図20に示すコマンド情報132において、「項番」が「3」である情報には、「コマンド」として「inconfig −a」が記憶され、「項番」が「4」である情報には、「コマンド」として「ssh 192.168.0.1」が記憶されている。
さらに、図20に示すコマンド情報132において、「項番」が「5」である情報には、「コマンド」として「ssh 192.168.0.2」が記憶され、「項番」が「6」である情報には、「コマンド」として「ssh 192.168.0.3」が記憶されている。図20に含まれる他の情報についての説明は省略する。
図17に戻り、攻撃判定部114は、公開サーバ2のうちの1台を特定する(S54)。具体的に、攻撃判定部114は、例えば、公開サーバ2aの特定を行う。
そして、攻撃判定部114は、情報格納領域130に記憶されたコマンド情報132のうち、S53の処理で特定した公開サーバ2に対応するコマンド情報132に、IPアドレスを含むコマンドを示す情報が含まれているか否かを判定する(S55)。
その結果、IPアドレスを含むコマンドを示す情報が含まれていると判定した場合(S56のYES)、攻撃判定部114は、図18に示すように、情報格納領域130に記憶されたコマンド情報132(S52の処理で取得したコマンド情報132)のうち、S54の処理で特定した公開サーバ2に対応するコマンド情報132から、IPアドレスを含むコマンドを示すコマンド情報132を特定する(S61)。以下、S61の処理で特定された情報の具体例について説明を行う。
[S61の処理で特定された情報の具体例]
図21は、S61の処理で特定された情報の具体例を説明する図である。具体的に、図21は、図20で説明したコマンド情報132から特定された情報の具体例を説明する図である。
攻撃判定部114は、S61の処理において、図20で説明したコマンド情報132に含まれる情報から、IPアドレスを含むコマンドが記憶された情報を特定する。
具体的に、図20で説明したコマンド情報132において、「項番」が「4」、「5」、「6」、「7」、「9」及び「10」である情報の「コマンド」には、それぞれIPアドレスを含むコマンドが設定されている。そのため、攻撃判定部114は、この場合、図21に示すように、図20で説明したコマンド情報132に含まれる情報のうち、「項番」が「4」、「5」、「6」、「7」、「9」及び「10」である情報を特定する。
図18に戻り、攻撃判定部114は、S61の処理で特定したコマンド情報132の発生頻度を特定する(S62)。
具体的に、攻撃判定部114は、例えば、S52の処理で取得されたコマンド情報132に対応するコマンドのうち、S61の処理で特定したコマンド情報132に対応するコマンドの個数を発生頻度として特定するものであってよい。
また、攻撃判定部114は、例えば、S52の処理で取得されたコマンド情報132に対応するコマンドを、各コマンドが実行されたタイムスタンプに従って単位時間毎に区分けするものであってよい。そして、攻撃判定部114は、例えば、区分けされたコマンドの個数が最も多い単位時間に含まれるコマンドの個数を発生頻度として特定するものであってもよい。なお、単位時間は、例えば、情報格納領域130に記憶された閾値情報133に情報が含まれる単位時間であってよい。以下、閾値情報133の具体例について説明を行う。
[閾値情報の具体例]
図22は、閾値情報133の具体例を説明する図である。
図22に示す閾値情報133は、各閾値情報133を識別する情報が記憶される「項番」と、S62の処理で参照される単位時間が記憶される「単位時間」と、「単位時間」に記憶された単位時間内に実行されるコマンドの上限閾値が記憶される「上限閾値」とを項目として有する。
具体的に、図22に示す閾値情報133において、「項番」が「1」である情報には、「単位時間」として「20(秒)」が記憶され、「上限閾値」として「20(個)」が記憶されている。
図18に戻り、攻撃判定部114は、S62の処理で特定した発生頻度が情報格納領域130に記憶された閾値情報133に含まれる上限閾値を上回っているか否かを判定する(S63)。
具体的に、攻撃判定部114は、例えば、図22で説明した閾値情報133を参照し、S52の処理で取得されたコマンド情報132に対応するコマンドのタイムスタンプが含まれる単位時間(20(秒))に、S61の処理で特定したコマンド情報132に対応するコマンドが20(個)以上実行されている単位時間が含まれているか否かの判定を行う。
その結果、S62の処理で特定した発生頻度が上限閾値を上回っていると判定した場合(S64のYES)、攻撃判定部114は、S54の処理で特定した公開サーバ2を警告の出力を行う必要がある公開サーバ2として特定する(S65)。
すなわち、IPアドレスを含むコマンドを頻繁に実行している公開サーバ2を検知した場合、攻撃判定部114は、検知した公開サーバ2が悪意のある者(図示しない)によって既にサイバー攻撃を受けており、他のサーバに対して攻撃を行う際の踏み台にされていると判定することが可能である。
そのため、攻撃判定部114は、S54の処理で特定した公開サーバ2から取得したコマンド情報132に基づいて特定された発生頻度(S61の処理で特定したコマンド情報132の発生頻度)が上限閾値を上回っていると判定した場合、S54の処理で特定した公開サーバ2が既にサイバー攻撃を受けていると判定する。そして、攻撃判定部114は、この場合、S54の処理で特定した公開サーバ2を警告の出力を行う必要がある公開サーバ2として特定する。
これにより、監視装置1は、後述するように、サイバー攻撃を受けている可能性がある公開サーバ2の存在を管理者に認識させることが可能になる。
なお、攻撃判定部114は、公開サーバ2から取得したコマンド情報132を参照することにより、IPアドレスの名前解決が行われる前の状態のコマンド(IPアドレスがホスト名等に変換される前の状態のコマンド)に基づく判定を行うことが可能になる。
図19に戻り、S66の処理の後、攻撃判定部114は、S54の処理において全ての公開サーバ2の特定を行ったか否かを判定する(S71)。
その結果、全ての公開サーバ2の特定を行っていないと判定した場合(S72のNO)、攻撃判定部114は、S54以降の処理を再度行う。
一方、全ての公開サーバ2の特定を行っていると判定した場合(S72のYES)、警告出力部115は、S66の処理で特定した公開サーバ2が外部から攻撃を受けている可能性があることを示す情報を出力装置(図示しない)に出力する(S73)。
これにより、管理者は、出力装置に出力された情報を閲覧することで、外部からサイバー攻撃を受けている可能性がある公開サーバ2の存在を認識することが可能になる。そのため、管理者は、サイバー攻撃を受けている可能性がある公開サーバ2の調査等を迅速に開始することが可能になる。
なお、監視装置1は、S56の処理において、他のサーバ2に対してアクセスを行うコマンドを示す情報が含まれていないと判定した場合(S56のNO)についても同様に、監視処理を終了する。また、監視装置1は、S64の処理において、上限閾値を上回っていないと判定した場合(S64のNO)についても同様に、監視処理を終了する。
以上の実施の形態をまとめると、以下の付記のとおりである。
(付記1)
外部からのアクセスが許可されている情報処理装置を監視する監視装置であって、
前記情報処理装置によって実行された複数のコマンドを取得する取得部と、
取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定する判定部と、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する出力部と、を有する、
ことを特徴とする監視装置。
(付記2)
付記1において、
前記判定部は、
取得した前記複数のコマンドから、他の情報処理装置のIPアドレスが指定されている特定のコマンドを特定し、
特定した前記特定のコマンドが所定時間内に所定回数以上実行されていることを検知した場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視装置。
(付記3)
付記1において、さらに、
前記情報処理装置がアクセスする可能性がある他の情報処理装置の識別情報を記憶する記憶部を有し、
前記判定部は、
取得した前記複数のコマンドから、他の情報処理装置に対するアクセスを伴う特定のコマンドを特定し、
特定した前記特定のコマンドのうち、実行順序が連続する所定数のコマンドのそれぞれに対応する他の情報処理装置の第1識別情報の順序が、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の第2識別情報の順序と一致する場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視装置。
(付記4)
付記3において、
前記判定部は、
前記第1識別情報に、各識別情報が連続した状態で複数ずつ含まれている場合、前記第1識別情報の順序が前記第2識別情報の順序と一致するか否かの判定を行う前に、連続した状態で含まれる複数の同一の識別情報のうち、1つ以外の識別情報を前記第1識別情報から削除する、
ことを特徴とする監視装置。
(付記5)
付記1において、
前記出力部は、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置が外部から攻撃を受けている可能性があることを示す情報を出力する、
ことを特徴とする監視装置。
(付記6)
付記1において、
前記他の情報処理装置は、前記外部からのアクセスが許可されていない情報処理装置である、
ことを特徴とする監視装置。
(付記7)
外部からのアクセスが許可されている情報処理装置を監視する監視方法であって、
前記情報処理装置によって実行された複数のコマンドを取得し、
取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定し、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する、
ことを特徴とする監視方法。
(付記8)
付記7において、
前記判定する工程では、
取得した前記複数のコマンドから、他の情報処理装置のIPアドレスが指定されている特定のコマンドを特定し、
特定した前記特定のコマンドが所定時間内に所定回数以上実行されていることを検知した場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視方法。
(付記9)
付記7において、さらに、
前記情報処理装置がアクセスする可能性がある他の情報処理装置の識別情報を記憶部に記憶し、
前記判定する工程では、
取得した前記複数のコマンドから、他の情報処理装置に対するアクセスを伴う特定のコマンドを特定し、
特定した前記特定のコマンドのうち、実行順序が連続する所定数のコマンドのそれぞれに対応する他の情報処理装置の第1識別情報の順序が、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の第2識別情報の順序と一致する場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視方法。
(付記10)
外部からのアクセスが許可されている情報処理装置を監視する監視方法であって、
前記情報処理装置によって実行された複数のコマンドを取得し、
取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定し、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する、
処理をコンピュータに実行させることを特徴とする監視プログラム。
(付記11)
付記10において、
前記判定する処理では、
取得した前記複数のコマンドから、他の情報処理装置のIPアドレスが指定されている特定のコマンドを特定し、
特定した前記特定のコマンドが所定時間内に所定回数以上実行されていることを検知した場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視プログラム。
(付記12)
付記10において、さらに、
前記情報処理装置がアクセスする可能性がある他の情報処理装置の識別情報を記憶部に記憶する、
処理をコンピュータに実行させ、
前記判定する処理では、
取得した前記複数のコマンドから、他の情報処理装置に対するアクセスを伴う特定のコマンドを特定し、
特定した前記特定のコマンドのうち、実行順序が連続する所定数のコマンドのそれぞれに対応する他の情報処理装置の第1識別情報の順序が、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の第2識別情報の順序と一致する場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視プログラム。
1:監視装置 2a:公開サーバ
2b:公開サーバ 2c:公開サーバ
3a:内部サーバ 3b:内部サーバ
3c:内部サーバ 5:ファイアーウォール装置
6:ファイアーウォール装置 10:情報処理システム
11:外部端末

Claims (8)

  1. 外部からのアクセスが許可されている情報処理装置を監視する監視装置であって、
    前記情報処理装置によって実行された複数のコマンドを取得する取得部と、
    取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定する判定部と、
    前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する出力部と、を有する、
    ことを特徴とする監視装置。
  2. 請求項1において、
    前記判定部は、
    取得した前記複数のコマンドから、他の情報処理装置のIPアドレスが指定されている特定のコマンドを特定し、
    特定した前記特定のコマンドが所定時間内に所定回数以上実行されていることを検知した場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
    ことを特徴とする監視装置。
  3. 請求項1において、さらに、
    前記情報処理装置がアクセスする可能性がある他の情報処理装置の識別情報を記憶する記憶部を有し、
    前記判定部は、
    取得した前記複数のコマンドから、他の情報処理装置に対するアクセスを伴う特定のコマンドを特定し、
    特定した前記特定のコマンドのうち、実行順序が連続する所定数のコマンドのそれぞれに対応する他の情報処理装置の第1識別情報の順序が、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の第2識別情報の順序と一致する場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
    ことを特徴とする監視装置。
  4. 請求項3において、
    前記判定部は、
    前記第1識別情報に、各識別情報が連続した状態で複数ずつ含まれている場合、前記第1識別情報の順序が前記第2識別情報の順序と一致するか否かの判定を行う前に、連続した状態で含まれる複数の同一の識別情報のうち、1つ以外の識別情報を前記第1識別情報から削除する、
    ことを特徴とする監視装置。
  5. 請求項1において、
    前記出力部は、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置が外部から攻撃を受けている可能性があることを示す情報を出力する、
    ことを特徴とする監視装置。
  6. 請求項1において、
    前記他の情報処理装置は、前記外部からのアクセスが許可されていない情報処理装置である、
    ことを特徴とする監視装置。
  7. 外部からのアクセスが許可されている情報処理装置を監視する監視方法であって、
    前記情報処理装置によって実行された複数のコマンドを取得し、
    取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定し、
    前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する、
    ことを特徴とする監視方法。
  8. 外部からのアクセスが許可されている情報処理装置を監視する監視方法であって、
    前記情報処理装置によって実行された複数のコマンドを取得し、
    取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定し、
    前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する、
    処理をコンピュータに実行させることを特徴とする監視プログラム。
JP2018172125A 2018-09-14 2018-09-14 監視装置、監視方法及び監視プログラム Active JP7152657B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018172125A JP7152657B2 (ja) 2018-09-14 2018-09-14 監視装置、監視方法及び監視プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018172125A JP7152657B2 (ja) 2018-09-14 2018-09-14 監視装置、監視方法及び監視プログラム

Publications (2)

Publication Number Publication Date
JP2020046698A true JP2020046698A (ja) 2020-03-26
JP7152657B2 JP7152657B2 (ja) 2022-10-13

Family

ID=69901306

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018172125A Active JP7152657B2 (ja) 2018-09-14 2018-09-14 監視装置、監視方法及び監視プログラム

Country Status (1)

Country Link
JP (1) JP7152657B2 (ja)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007334759A (ja) * 2006-06-16 2007-12-27 Oki Electric Ind Co Ltd 情報漏洩防止装置、方法及びプログラム
JP2009043020A (ja) * 2007-08-08 2009-02-26 Nomura Research Institute Ltd ログ解析支援装置
JP2011188071A (ja) * 2010-03-05 2011-09-22 Nec Corp 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム
US20150013005A1 (en) * 2013-07-04 2015-01-08 Fujitsu Limited Apparatus and method for detecting an attack in a computer network
WO2015059791A1 (ja) * 2013-10-24 2015-04-30 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
JP2016046654A (ja) * 2014-08-22 2016-04-04 富士通株式会社 セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム
JP2017076185A (ja) * 2015-10-13 2017-04-20 富士通株式会社 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007334759A (ja) * 2006-06-16 2007-12-27 Oki Electric Ind Co Ltd 情報漏洩防止装置、方法及びプログラム
JP2009043020A (ja) * 2007-08-08 2009-02-26 Nomura Research Institute Ltd ログ解析支援装置
JP2011188071A (ja) * 2010-03-05 2011-09-22 Nec Corp 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム
US20150013005A1 (en) * 2013-07-04 2015-01-08 Fujitsu Limited Apparatus and method for detecting an attack in a computer network
JP2015015581A (ja) * 2013-07-04 2015-01-22 富士通株式会社 監視装置、監視方法及びプログラム
WO2015059791A1 (ja) * 2013-10-24 2015-04-30 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
JP2016046654A (ja) * 2014-08-22 2016-04-04 富士通株式会社 セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム
JP2017076185A (ja) * 2015-10-13 2017-04-20 富士通株式会社 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム

Also Published As

Publication number Publication date
JP7152657B2 (ja) 2022-10-13

Similar Documents

Publication Publication Date Title
JP6334069B2 (ja) 悪意のあるコードの検出の精度保証のためのシステムおよび方法
US9294505B2 (en) System, method, and computer program product for preventing a modification to a domain name system setting
EP2701092A1 (en) Method for identifying malicious executables
TWI396995B (zh) 惡意軟體清除方法、系統及電腦程式產品與儲存媒體
WO2009143742A1 (zh) 一种可疑文件分析方法及系统
US10601847B2 (en) Detecting user behavior activities of interest in a network
US10091225B2 (en) Network monitoring method and network monitoring device
US11533325B2 (en) Automatic categorization of IDPS signatures from multiple different IDPS systems
WO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体
US11206277B1 (en) Method and apparatus for detecting abnormal behavior in network
JP2017142744A (ja) 情報処理装置、ウィルス検出方法及びプログラム
EP3798883A1 (en) System and method for generating and storing forensics-specific metadata
CN111183620B (zh) 入侵调查
JP5656266B2 (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
US9239907B1 (en) Techniques for identifying misleading applications
TW201822054A (zh) 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品
JPWO2019123757A1 (ja) 分類装置、分類方法、および、分類プログラム
US20170054742A1 (en) Information processing apparatus, information processing method, and computer readable medium
US11321453B2 (en) Method and system for detecting and classifying malware based on families
JP6258189B2 (ja) 特定装置、特定方法および特定プログラム
Vecchiato et al. A security configuration assessment for android devices
TWI640891B (zh) 偵測惡意程式的方法和裝置
JP7152657B2 (ja) 監視装置、監視方法及び監視プログラム
CN115442109A (zh) 网络攻击结果的确定方法、装置、设备及存储介质
CN115001724B (zh) 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210610

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220316

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220511

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220830

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220912

R150 Certificate of patent or registration of utility model

Ref document number: 7152657

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150