JP2020046698A - 監視装置、監視方法及び監視プログラム - Google Patents
監視装置、監視方法及び監視プログラム Download PDFInfo
- Publication number
- JP2020046698A JP2020046698A JP2018172125A JP2018172125A JP2020046698A JP 2020046698 A JP2020046698 A JP 2020046698A JP 2018172125 A JP2018172125 A JP 2018172125A JP 2018172125 A JP2018172125 A JP 2018172125A JP 2020046698 A JP2020046698 A JP 2020046698A
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- information
- processing device
- monitoring
- command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
初めに、情報処理システム10の構成について説明を行う。図1は、情報処理システム10の構成について説明する図である。
次に、情報処理システム10のハードウエア構成について説明する。図2は、監視装置1のハードウエア構成を説明する図である。
次に、情報処理システム10の機能について説明を行う。図3は、監視装置1の機能のブロック図である。
次に、第1の実施の形態の概略について説明する。図4は、第1の実施の形態における監視処理の概略を説明するフローチャート図である。また、図5から図7は、第1の実施の形態における監視処理の概略を説明する図である。なお、以下、図4から図7では、各公開サーバ2から取得したアクセス先情報131が予め情報格納領域130に記憶されているものとして説明を行う。
次に、第1の実施の形態の詳細について説明する。図8から図11は、第1の実施の形態における監視処理の詳細を説明するフローチャート図である。また、図12から図16は、第1の実施の形態における監視処理の詳細を説明する図である。
初めに、第1の実施の形態における監視処理のうち、各公開サーバ2からアクセス先情報131の取得を行う処理(以下、情報取得処理とも呼ぶ)について説明を行う。図8は、第1の実施の形態における情報取得処理について説明するフローチャート図である。
図12は、アクセス先情報131の具体例を説明する図である。具体的に、図12は、公開サーバ2のうちのいずれか1台(例えば、公開サーバ2a)から取得したアクセス先情報131の具体例を説明する図である。
次に、第1の実施の形態における監視処理の詳細について説明を行う。図9から図11は、第1の実施の形態における監視処理の詳細について説明するフローチャート図である。
図13は、コマンド情報132の具体例を説明する図である。具体的に、図13は、公開サーバ2のうちのいずれか1台(例えば、公開サーバ2a)から取得したコマンド情報132の具体例を説明する図である。
図14は、S31の処理で特定された情報の具体例を説明する図である。具体的に、図13で説明したコマンド情報132から特定された情報の具体例を説明する図である。
図15及び図16は、S32の処理で特定された情報の具体例を説明する図である。具体的に、図15は、図14で説明した情報から特定された情報の具体例を説明する図である。
次に、第2の実施の形態について説明する。図17から図19は、第2の実施の形態における監視処理を説明するフローチャート図である。また、図20から図22は、第2の実施の形態における監視処理を説明する図である。
図20は、コマンド情報132の具体例を説明する図である。具体的に、図20は、公開サーバ2のうちのいずれか1台(例えば、公開サーバ2a)から取得したコマンド情報132の具体例を説明する図である。
図21は、S61の処理で特定された情報の具体例を説明する図である。具体的に、図21は、図20で説明したコマンド情報132から特定された情報の具体例を説明する図である。
図22は、閾値情報133の具体例を説明する図である。
外部からのアクセスが許可されている情報処理装置を監視する監視装置であって、
前記情報処理装置によって実行された複数のコマンドを取得する取得部と、
取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定する判定部と、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する出力部と、を有する、
ことを特徴とする監視装置。
付記1において、
前記判定部は、
取得した前記複数のコマンドから、他の情報処理装置のIPアドレスが指定されている特定のコマンドを特定し、
特定した前記特定のコマンドが所定時間内に所定回数以上実行されていることを検知した場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視装置。
付記1において、さらに、
前記情報処理装置がアクセスする可能性がある他の情報処理装置の識別情報を記憶する記憶部を有し、
前記判定部は、
取得した前記複数のコマンドから、他の情報処理装置に対するアクセスを伴う特定のコマンドを特定し、
特定した前記特定のコマンドのうち、実行順序が連続する所定数のコマンドのそれぞれに対応する他の情報処理装置の第1識別情報の順序が、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の第2識別情報の順序と一致する場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視装置。
付記3において、
前記判定部は、
前記第1識別情報に、各識別情報が連続した状態で複数ずつ含まれている場合、前記第1識別情報の順序が前記第2識別情報の順序と一致するか否かの判定を行う前に、連続した状態で含まれる複数の同一の識別情報のうち、1つ以外の識別情報を前記第1識別情報から削除する、
ことを特徴とする監視装置。
付記1において、
前記出力部は、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置が外部から攻撃を受けている可能性があることを示す情報を出力する、
ことを特徴とする監視装置。
付記1において、
前記他の情報処理装置は、前記外部からのアクセスが許可されていない情報処理装置である、
ことを特徴とする監視装置。
外部からのアクセスが許可されている情報処理装置を監視する監視方法であって、
前記情報処理装置によって実行された複数のコマンドを取得し、
取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定し、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する、
ことを特徴とする監視方法。
付記7において、
前記判定する工程では、
取得した前記複数のコマンドから、他の情報処理装置のIPアドレスが指定されている特定のコマンドを特定し、
特定した前記特定のコマンドが所定時間内に所定回数以上実行されていることを検知した場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視方法。
付記7において、さらに、
前記情報処理装置がアクセスする可能性がある他の情報処理装置の識別情報を記憶部に記憶し、
前記判定する工程では、
取得した前記複数のコマンドから、他の情報処理装置に対するアクセスを伴う特定のコマンドを特定し、
特定した前記特定のコマンドのうち、実行順序が連続する所定数のコマンドのそれぞれに対応する他の情報処理装置の第1識別情報の順序が、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の第2識別情報の順序と一致する場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視方法。
外部からのアクセスが許可されている情報処理装置を監視する監視方法であって、
前記情報処理装置によって実行された複数のコマンドを取得し、
取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定し、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する、
処理をコンピュータに実行させることを特徴とする監視プログラム。
付記10において、
前記判定する処理では、
取得した前記複数のコマンドから、他の情報処理装置のIPアドレスが指定されている特定のコマンドを特定し、
特定した前記特定のコマンドが所定時間内に所定回数以上実行されていることを検知した場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視プログラム。
付記10において、さらに、
前記情報処理装置がアクセスする可能性がある他の情報処理装置の識別情報を記憶部に記憶する、
処理をコンピュータに実行させ、
前記判定する処理では、
取得した前記複数のコマンドから、他の情報処理装置に対するアクセスを伴う特定のコマンドを特定し、
特定した前記特定のコマンドのうち、実行順序が連続する所定数のコマンドのそれぞれに対応する他の情報処理装置の第1識別情報の順序が、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の第2識別情報の順序と一致する場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視プログラム。
2b:公開サーバ 2c:公開サーバ
3a:内部サーバ 3b:内部サーバ
3c:内部サーバ 5:ファイアーウォール装置
6:ファイアーウォール装置 10:情報処理システム
11:外部端末
Claims (8)
- 外部からのアクセスが許可されている情報処理装置を監視する監視装置であって、
前記情報処理装置によって実行された複数のコマンドを取得する取得部と、
取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定する判定部と、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する出力部と、を有する、
ことを特徴とする監視装置。 - 請求項1において、
前記判定部は、
取得した前記複数のコマンドから、他の情報処理装置のIPアドレスが指定されている特定のコマンドを特定し、
特定した前記特定のコマンドが所定時間内に所定回数以上実行されていることを検知した場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視装置。 - 請求項1において、さらに、
前記情報処理装置がアクセスする可能性がある他の情報処理装置の識別情報を記憶する記憶部を有し、
前記判定部は、
取得した前記複数のコマンドから、他の情報処理装置に対するアクセスを伴う特定のコマンドを特定し、
特定した前記特定のコマンドのうち、実行順序が連続する所定数のコマンドのそれぞれに対応する他の情報処理装置の第1識別情報の順序が、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の第2識別情報の順序と一致する場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視装置。 - 請求項3において、
前記判定部は、
前記第1識別情報に、各識別情報が連続した状態で複数ずつ含まれている場合、前記第1識別情報の順序が前記第2識別情報の順序と一致するか否かの判定を行う前に、連続した状態で含まれる複数の同一の識別情報のうち、1つ以外の識別情報を前記第1識別情報から削除する、
ことを特徴とする監視装置。 - 請求項1において、
前記出力部は、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置が外部から攻撃を受けている可能性があることを示す情報を出力する、
ことを特徴とする監視装置。 - 請求項1において、
前記他の情報処理装置は、前記外部からのアクセスが許可されていない情報処理装置である、
ことを特徴とする監視装置。 - 外部からのアクセスが許可されている情報処理装置を監視する監視方法であって、
前記情報処理装置によって実行された複数のコマンドを取得し、
取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定し、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する、
ことを特徴とする監視方法。 - 外部からのアクセスが許可されている情報処理装置を監視する監視方法であって、
前記情報処理装置によって実行された複数のコマンドを取得し、
取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定し、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する、
処理をコンピュータに実行させることを特徴とする監視プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018172125A JP7152657B2 (ja) | 2018-09-14 | 2018-09-14 | 監視装置、監視方法及び監視プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018172125A JP7152657B2 (ja) | 2018-09-14 | 2018-09-14 | 監視装置、監視方法及び監視プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020046698A true JP2020046698A (ja) | 2020-03-26 |
JP7152657B2 JP7152657B2 (ja) | 2022-10-13 |
Family
ID=69901306
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018172125A Active JP7152657B2 (ja) | 2018-09-14 | 2018-09-14 | 監視装置、監視方法及び監視プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7152657B2 (ja) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007334759A (ja) * | 2006-06-16 | 2007-12-27 | Oki Electric Ind Co Ltd | 情報漏洩防止装置、方法及びプログラム |
JP2009043020A (ja) * | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | ログ解析支援装置 |
JP2011188071A (ja) * | 2010-03-05 | 2011-09-22 | Nec Corp | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム |
US20150013005A1 (en) * | 2013-07-04 | 2015-01-08 | Fujitsu Limited | Apparatus and method for detecting an attack in a computer network |
WO2015059791A1 (ja) * | 2013-10-24 | 2015-04-30 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
JP2016046654A (ja) * | 2014-08-22 | 2016-04-04 | 富士通株式会社 | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム |
JP2017076185A (ja) * | 2015-10-13 | 2017-04-20 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
-
2018
- 2018-09-14 JP JP2018172125A patent/JP7152657B2/ja active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007334759A (ja) * | 2006-06-16 | 2007-12-27 | Oki Electric Ind Co Ltd | 情報漏洩防止装置、方法及びプログラム |
JP2009043020A (ja) * | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | ログ解析支援装置 |
JP2011188071A (ja) * | 2010-03-05 | 2011-09-22 | Nec Corp | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム |
US20150013005A1 (en) * | 2013-07-04 | 2015-01-08 | Fujitsu Limited | Apparatus and method for detecting an attack in a computer network |
JP2015015581A (ja) * | 2013-07-04 | 2015-01-22 | 富士通株式会社 | 監視装置、監視方法及びプログラム |
WO2015059791A1 (ja) * | 2013-10-24 | 2015-04-30 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
JP2016046654A (ja) * | 2014-08-22 | 2016-04-04 | 富士通株式会社 | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム |
JP2017076185A (ja) * | 2015-10-13 | 2017-04-20 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP7152657B2 (ja) | 2022-10-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6334069B2 (ja) | 悪意のあるコードの検出の精度保証のためのシステムおよび方法 | |
US9294505B2 (en) | System, method, and computer program product for preventing a modification to a domain name system setting | |
EP2701092A1 (en) | Method for identifying malicious executables | |
TWI396995B (zh) | 惡意軟體清除方法、系統及電腦程式產品與儲存媒體 | |
WO2009143742A1 (zh) | 一种可疑文件分析方法及系统 | |
US10601847B2 (en) | Detecting user behavior activities of interest in a network | |
US10091225B2 (en) | Network monitoring method and network monitoring device | |
US11533325B2 (en) | Automatic categorization of IDPS signatures from multiple different IDPS systems | |
WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
US11206277B1 (en) | Method and apparatus for detecting abnormal behavior in network | |
JP2017142744A (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
EP3798883A1 (en) | System and method for generating and storing forensics-specific metadata | |
CN111183620B (zh) | 入侵调查 | |
JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
US9239907B1 (en) | Techniques for identifying misleading applications | |
TW201822054A (zh) | 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品 | |
JPWO2019123757A1 (ja) | 分類装置、分類方法、および、分類プログラム | |
US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
US11321453B2 (en) | Method and system for detecting and classifying malware based on families | |
JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
Vecchiato et al. | A security configuration assessment for android devices | |
TWI640891B (zh) | 偵測惡意程式的方法和裝置 | |
JP7152657B2 (ja) | 監視装置、監視方法及び監視プログラム | |
CN115442109A (zh) | 网络攻击结果的确定方法、装置、设备及存储介质 | |
CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210610 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220316 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220405 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220511 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220830 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220912 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7152657 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |