JP3999188B2 - 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム - Google Patents

不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム Download PDF

Info

Publication number
JP3999188B2
JP3999188B2 JP2003368063A JP2003368063A JP3999188B2 JP 3999188 B2 JP3999188 B2 JP 3999188B2 JP 2003368063 A JP2003368063 A JP 2003368063A JP 2003368063 A JP2003368063 A JP 2003368063A JP 3999188 B2 JP3999188 B2 JP 3999188B2
Authority
JP
Japan
Prior art keywords
scenario
unauthorized access
ongoing
event
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003368063A
Other languages
English (en)
Other versions
JP2005136526A (ja
Inventor
仁史 三友
芳樹 東角
文恵 滝澤
悟 鳥居
修 小谷野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2003368063A priority Critical patent/JP3999188B2/ja
Priority to US10/822,558 priority patent/US7313818B2/en
Publication of JP2005136526A publication Critical patent/JP2005136526A/ja
Application granted granted Critical
Publication of JP3999188B2 publication Critical patent/JP3999188B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Description

本発明はコンピュータへの不正アクセスを検出するための不正アクセス検知装置、不正アクセス検知方法、および不正アクセス検知プログラムに関し、特に攻撃モデルを用いて不正アクセスを検知する不正アクセス検知装置、不正アクセス検知方法、および不正アクセス検知プログラムに関する。
近年の情報通信技術の発展に伴い、インターネットを介したサービスの提供が盛んに行われている。たとえば、サービスの提供者は、インターネットを介してアクセス可能なサーバを設置する。そのサーバにおいて、インターネット経由で接続されたクライアント装置に対して各種サービスを提供する。
ただし、サービスを提供するサーバは、インターネットからアクセス可能であるため、不正アクセスによる攻撃の対象になりやすい。そこで、不正アクセスを早期に発見するための技術が必要とされる。
基本的には、不正目的のコマンドを含むアクセス要求を検出することで、不正アクセスを発見できる。具体的には、一般に既知のセキュリティホールに対して攻撃を加えるための不正コマンドのリストを予め登録しておく。そして、リストに登録された不正コマンドを含むアクセス要求を検出すると、そのアクセス要求の受付を拒否すると共に、不正アクセスの発生を管理者に通知する。
たとえば、脆弱性(セキュリティホール)を有するスクリプトとして“phf”が良く知られている。“phf”はウェブサーバ上で動作するスクリプトである。この“phf”が動作するウェブサーバに対して、不正行為者が所定のHTTP(HyperText Transfer Protocol)リクエストを送信すると、その不正行為者はパスワードファイルを入手することができる。不正行為者が送信する所定HTTPリクエストには、スクリプトを指定するために“phf”という文字列が含まれる。そこで、文字列“phf”を含むHTTPリクエストを不正アクセスとして検出することができる。
ところが、複数の正規なコマンドを組み合わせることで攻撃する不正アクセスも存在する。たとえば、以下のような順序でサーバに値してコマンドを送ることで、不正アクセスが実行されることがある。
1.「ping_sweep」:攻撃者は攻撃の第一歩として、ネットワークツールpingを用いて、動作中のマシンのIP(Internet Protocol)アドレスを取得する。
2.「Port_scan」:攻撃者は動作中のマシンに対して、各ポートをスキャンする(各TCP(Transmission Control Protocol)ポートが応答するかどうかを検査する処理)。これによって、攻撃者は該当マシンにおいて提供されているサービスの種別を知ることができる。
3.「Fingerprinting」:攻撃者はあるポートに対して適当なパケットを送りつけ、その反応を確かめることによってサーバのソフトウェアの種別・版数等を推定する。
4.「Hijacking」:サーバで動作するソフトウェアの種別・版数に応じた脆弱性が分かった場合、攻撃者は脆弱性を利用してマシンを乗っ取る(任意のプログラムを該当マシンに実行させることができるようにすること)。
5.「Deploy_Back_door」:攻撃者は、乗っ取ったマシンにバックドアプログラムを導入する。バックドアプログラムは、攻撃者による該当マシンの自由な操作を容易にするためのツールである。
このような場合、個々のアクセス要求に含まれるコマンドだけでは、不正を検出することができない。そこで、攻撃の準備行為を状態遷移で表した攻撃モデルを登録しておく。そして、イベントそれぞれを関連付けて手順として検出し、攻撃モデルと比較することで不正アクセスを検知することができる(たとえば、非特許文献1参照)。
三友仁史 他、「攻撃モデルを用いたDDoS攻撃の予兆検知方式」、情報処理学会 第65回全国大会、2003年3月、第65回情報処理学会全国大会公演論文集 第三分冊p.207−208
しかし、従来の方式では、大量のイベントが発生するサーバ上では、処理負荷が過大となってしまうという問題がある。すなわち、従来の方式では、リアルタイムに入力されるイベントシーケンスに対し、保持している「それまでのイベント履歴」と攻撃モデルとを照合することで不正アクセスの検知を行う。この場合、イベントが1つ入力されるごとに、全てのイベント履歴を追跡し、攻撃モデル中のイベント遷移が出現するかを判定する必要がある。そのため、長期間の運用によってイベント履歴が膨大になった場合、不正アクセスの検知がリアルタイムに行えない恐れがある。
本発明はこのような点に鑑みてなされたものであり、一連の準備段階の処理を経て実行される不正アクセスをリアルタイムに検知することができる不正アクセス検知装置、不正アクセス検知方法、および不正アクセス検知プログラムを提供することを目的とする。
本発明では上記課題を解決するために、図1に示すような不正アクセス検知装置1が提供される。本発明に係る不正アクセス検知装置1は、ネットワーク2を介した不正アクセスを検出するためのものである。この不正アクセス検知装置1は、以下の要素で構成される。
不正アクセスシナリオ記憶手段1aは、準備動作を経て不正アクセスが実行されるまでにネットワーク2を介して行われる処理の手順を定義した不正アクセスシナリオが格納されている。進行中シナリオ記憶手段1bは、不正アクセスシナリオに沿ってネットワーク2を介して行われた処理の経過を示す進行中シナリオを、進行中シナリオに関連する処理と他の処理とを区別するためのキーデータに対応付けて格納する。キーデータ抽出手段1cは、ネットワーク2を介して通信されるパケット5を取得し、取得したパケット5からキーデータを抽出する。進行中シナリオ検索手段1dは、キーデータ抽出手段1cが抽出したキーデータを検索キーとして、進行中シナリオ記憶手段1bから進行中シナリオを検索する。照合手段1eは、進行中シナリオ検索手段1dで検出された進行中シナリオに続けてパケット5で示される処理を行うことが、不正アクセスシナリオ記憶手段1aに格納されている不正アクセスシナリオに沿っているかどうかを照合する。進行中シナリオ更新手段1fは、照合手段1eによる照合の結果、不正アクセスシナリオに沿っていると判断されたとき、進行中シナリオ記憶手段1bに格納されている進行中シナリオを更新する。レポート出力手段1gは、照合手段1eによる照合の結果に基づいて、不正アクセスシナリオに沿った処理の進行状況を示す不正アクセスレポート6を出力する。
このような不正アクセス検知装置によれば、パケット5がネットワーク2上で通信されると、そのパケット5がキーデータ抽出手段1cで取得され、キーデータが抽出される。次に、進行中シナリオ検索手段1dにより、キーデータ抽出手段1cが抽出したキーデータを検索キーとして、進行中シナリオ記憶手段1bから進行中シナリオが検索される。さらに、照合手段1eにより、進行中シナリオ検索手段1dで検出された進行中シナリオに続けてパケット5で示される処理を行うことが、不正アクセスシナリオ記憶手段1aに格納されている不正アクセスシナリオに沿っているかどうかが照合される。照合手段1eによる照合の結果、不正アクセスシナリオに沿っていると判断されたとき、進行中シナリオ更新手段1fにより、進行中シナリオ記憶手段1bに格納されている進行中シナリオが更新される。また、レポート出力手段1gにより、照合手段1eによる照合の結果に基づいて、不正アクセスシナリオに沿った処理の進行状況を示す不正アクセスレポート6が出力される。
また、本発明では上記課題を解決するために、ネットワークを介した不正アクセスを検出するための不正アクセス検知方法において、前記ネットワークを介して通信されるパケットを取得し、取得した前記パケットから所定のキーデータを抽出し、準備動作を経て不正アクセスが実行されるまでに前記ネットワークを介して行われる処理の手順を定義した不正アクセスシナリオに沿って前記ネットワークを介して行われた処理の経過を示す進行中シナリオを、前記進行中シナリオに関連する処理と他の処理とを区別するためのキーデータに対応付けて格納する進行中シナリオ記憶手段から、前記パケットから抽出した前記キーデータを検索キーとして前記進行中シナリオを検索し、前記不正アクセスシナリオが格納された不正アクセスシナリオ記憶手段を参照し、検出された前記進行中シナリオに続けて前記パケットで示される処理を行うことが前記不正アクセスシナリオに沿っているかどうかを照合し、照合の結果、前記不正アクセスシナリオに沿っていると判断されたとき、前記進行中シナリオ記憶手段に格納されている前記進行中シナリオを更新し、照合の結果に基づいて、前記不正アクセスシナリオに沿った処理の進行状況を示す不正アクセスレポートを出力する、ことを特徴とする不正アクセス検知方法が提供される。
このような不正アクセス検知方法によれば、パケットがネットワーク上で通信されると、そのパケットからキーデータが抽出される。次に、抽出したキーデータを検索キーとして、進行中シナリオ記憶手段から進行中シナリオが検索される。さらに、検出された進行中シナリオに続けてパケットで示される処理を行うことが、不正アクセスシナリオ記憶手段に格納されている不正アクセスシナリオに沿っているかどうかが照合される。照合の結果、不正アクセスシナリオに沿っていると判断されたとき、進行中シナリオ記憶手段に格納されている進行中シナリオが更新される。また、照合の結果に基づいて、不正アクセスシナリオに沿った処理の進行状況を示す不正アクセスレポートが出力される。
また、上記課題を解決するために、ネットワークを介した不正アクセスを検出するための不正アクセス検知プログラムにおいて、コンピュータを、準備動作を経て不正アクセスが実行されるまでに前記ネットワークを介して行われる処理の手順を定義した不正アクセスシナリオが格納された不正アクセスシナリオ記憶手段、前記不正アクセスシナリオに沿って前記ネットワークを介して行われた処理の経過を示す進行中シナリオを、前記進行中シナリオに関連する処理と他の処理とを区別するためのキーデータに対応付けて格納する進行中シナリオ記憶手段、前記ネットワークを介して通信されるパケットを取得し、取得した前記パケットから前記キーデータを抽出するキーデータ抽出手段、キーデータ抽出手段が抽出した前記キーデータを検索キーとして、前記進行中シナリオ記憶手段から前記進行中シナリオを検索する進行中シナリオ検索手段、前記進行中シナリオ検索手段で検出された前記進行中シナリオに続けて前記パケットで示される処理を行うことが、前記不正アクセスシナリオ記憶手段に格納されている前記不正アクセスシナリオに沿っているかどうかを照合する照合手段、前記照合手段による照合の結果、前記不正アクセスシナリオに沿っていると判断されたとき、前記進行中シナリオ記憶手段に格納されている前記進行中シナリオを更新する進行中シナリオ更新手段、前記照合手段による照合の結果に基づいて、前記不正アクセスシナリオに沿った処理の進行状況を示す不正アクセスレポートを出力するレポート出力手段、として機能させるための不正アクセス検知プログラムが提供される。
このような不正アクセス検知プログラムをコンピュータに実行させることで、コンピュータが上記不正アクセス検知装置として機能する。
以上説明したように本発明では、キーデータを検索キーとして進行中シナリオを検索し、検出された進行中シナリオに続けてパケットで示される処理を行うことと、不正アクセスシナリオとの照合を行うようにした。そのため、格納されている全ての進行中シナリオの照合を行う必要が無くなり、一連の準備段階の処理を経て実行される不正アクセスをリアルタイムに検知することが可能となる。
以下、本発明の実施の形態を図面を参照して説明する。
まず、実施の形態に適用される発明の概要について説明し、その後、実施の形態の具体的な内容を説明する。
図1は、実施の形態に適用される発明の概念図である。不正アクセス検知装置1は、ネットワーク2を介した不正アクセスを検出するためのものである。図1に示すように、不正アクセス検知装置1は、不正アクセスシナリオ記憶手段1a、進行中シナリオ記憶手段1b、キーデータ抽出手段1c、進行中シナリオ検索手段1d、照合手段1e、進行中シナリオ更新手段1f、およびレポート出力手段1gを有している。
不正アクセスシナリオ記憶手段1aには、不正アクセスシナリオが格納されている。不正アクセスシナリオは、準備動作を経て不正アクセスが実行されるまでにネットワーク2を介して行われる処理の手順を定義したものである。たとえば、不正アクセスシナリオは、ネットワーク2を介して行われる処理の指示や応答の際に発生するイベントの遷移によって、準備動作を経て不正アクセスが実行されるまでの処理手順を定義することができる。
進行中シナリオ記憶手段1bは、不正アクセスシナリオに沿ってネットワーク2を介して行われた処理の経過を示す進行中シナリオを、進行中シナリオに関連する処理と他の処理とを区別するためのキーデータに対応付けて格納する。キーデータは、たとえば、パケット5の発信元アドレスと宛先アドレスとである。
キーデータ抽出手段1cは、ネットワーク2を介して通信されるパケット5を取得し、取得したパケット5からキーデータを抽出する。たとえば、発信元装置3から宛先装置4に対して送信されたパケット5から、発信元装置3のアドレスと宛先装置4のアドレスとが抽出される。
進行中シナリオ検索手段1dは、キーデータ抽出手段1cが抽出したキーデータを検索キーとして、進行中シナリオ記憶手段1bから進行中シナリオを検索する。たとえば、発信元装置3のアドレスと宛先装置4のアドレスとの両方を含む進行中シナリオが検索される。
照合手段1eは、進行中シナリオ検索手段1dで検出された進行中シナリオに続けてパケット5で示される処理を行うことが、不正アクセスシナリオ記憶手段1aに格納されている不正アクセスシナリオに沿っているかどうかを照合する。
進行中シナリオ更新手段1fは、照合手段1eによる照合の結果、不正アクセスシナリオに沿っていると判断されたとき、進行中シナリオ記憶手段1bに格納されている進行中シナリオを更新する。
レポート出力手段1gは、照合手段1eによる照合の結果に基づいて、不正アクセスシナリオに沿った処理の進行状況を示す不正アクセスレポート6を出力する。たとえば、レポート出力手段1gは、進行中シナリオ検索手段1dで検出された進行中シナリオが、不正アクセスシナリオの最後の処理まで進行したときに不正アクセスレポート6を出力する。
このような不正アクセス検知装置によれば、パケット5がネットワーク2上で通信されると、そのパケット5がキーデータ抽出手段1cで取得され、キーデータが抽出される。次に、進行中シナリオ検索手段1dにより、キーデータ抽出手段1cが抽出したキーデータを検索キーとして、進行中シナリオ記憶手段1bから進行中シナリオが検索される。さらに、照合手段1eにより、進行中シナリオ検索手段1dで検出された進行中シナリオに続けてパケット5で示される処理を行うことが、不正アクセスシナリオ記憶手段1aに格納されている不正アクセスシナリオに沿っているかどうかが照合される。照合手段1eによる照合の結果、不正アクセスシナリオに沿っていると判断されたとき、進行中シナリオ更新手段1fにより、進行中シナリオ記憶手段1bに格納されている進行中シナリオが更新される。また、レポート出力手段1gにより、照合手段1eによる照合の結果に基づいて、不正アクセスシナリオに沿った処理の進行状況を示す不正アクセスレポート6が出力される。
このように、本発明では、イベント履歴を保持する代わりに、進行中シナリオを、あるキーデータをキーとしてデータベース化して保持することにした。ここで、キーデータは、不正アクセスシナリオ記憶手段1a中で定義された不正アクセスシナリオにおいて、シナリオを構成する各イベントに対して共通に関連付けられているべき情報である(たとえば、発信元アドレスや宛先アドレス)。
これにより、リアルタイムに入力されるパケットから抽出されるキーデータに基づき、それらが関連する進行中シナリオをリアルタイムに特定できる。また、不正アクセスシナリオ記憶手段1a中の不正アクセスシナリオとの照合も、キーデータにより検出された進行中シナリオに関してのみ行えばよい。そのため、処理時間が短くて済む。その結果、不正アクセスの検知がリアルタイムに行える。
なお、進行中シナリオ記憶手段1bにおいて、進行中シナリオに対応付けて、進行中シナリオの進捗度を示す数値を記憶させることもできる。この場合、進行中シナリオ更新手段1fは、進捗度の数値を増加させることで、進行中シナリオを更新する。
また、レポート出力手段1gは、進捗度が所定の値を超えたとき、不正アクセスレポートを出力するようにすることができる。すなわち、不正アクセスシナリオの最終段階まで進行中シナリオが進んでいなくても、進捗度が有る程度以上進んだ場合、不正アクセスレポート6が出力される。これにより、不正アクセスの予兆が現れたときに不正アクセスレポートを出力できる。
さらに、不正アクセスシナリオ記憶手段1aでは、不正アクセスシナリオに関し、ネットワーク2を介して行われる処理を示す情報(たとえばパケット)の発信元と宛先とのそれぞれに対して役割を設定することができる。この場合、照合手段1eは、パケットで示される処理の発信元と宛先とが、不正アクセスシナリオで定義された役割を担っているかどうかを判定する。すなわち、役割に沿った処理を示すパケットを取得した場合にのみ、進行中シナリオが進行するものと判断される。これにより、役割の異なる3台以上の装置が関係する不正アクセスの検知が可能となる。
また、不正アクセスシナリオは、ネットワーク2を介して行われる処理の指示や応答の際に発生するイベントを契機とした状態遷移によって、準備動作を経て不正アクセスが実行されるまでの処理手順を定義することができる。この場合、照合手段1eは、パケット5で示される処理のイベントによる状態遷移が、不正アクセスシナリオに沿っているか否かを判定する。これにより、攻撃の実行までに複数のイベントが複雑に関係し合っている場合であっても、不正アクセスの準備状態の進捗を把握することができる。
また、不正アクセスシナリオには、処理が次の段階へ進行するまでの有効期限を設定することもできる。この場合、照合手段1eは、パケットで示される処理が、有効期限内に発生した処理かどうかを判定する。すなわち、有効期限内に次の段階の処理が発生した場合にのみ、進行中シナリオが進行するものと判断される。これにより、途中で処理の進行が中止された進行中シナリオに基づいて、誤って不正アクセスレポートを出力する事態を防止することができる。
このとき、進行中シナリオ更新手段1fは、有効期限の切れた進行中シナリオを進行中シナリオ記憶手段1bから削除することができる。これにより、途中で停止した不要な進行中シナリオを効率よく削除できる。
また、不正アクセスシナリオは、シナリオが進行する毎に加算される重みを定義することができる。この場合、レポート出力手段1gは、重みのトータルが所定値を超えたとき、不正アクセスレポート6を出力する。これにより、不正アクセスが実行される危険性が高くなったときに攻撃の予兆を検知し、実際の攻撃前に不正アクセスレポート6を出力することができる。
また、照合手段1eは、将来起こりうる不正シナリオにおける被害の種類、大きさ、期間等について予測することもできる。予測内容に応じた対策を施すことで、不正アクセスの内容に応じた適切な対応が可能となる。
さらに必要に応じて、不正シナリオに関わる装置、ネットワーク2などに関する情報を、ネットワーク2越しに取得、解析することで、将来起こりうる不正シナリオにおける被害を予測することも可能である。
以下に本発明の実施の形態を具体的に説明する。
[第1の実施の形態]
まず、第1の実施の形態について説明する。
図2は、第1の実施の形態に係るネットワークシステムの構成例を示す図である。図2に示すように、イントラネット21とインターネット22との間にファイアウォール(FW)200が設置されている。ファイアウォール200はネットワーク10に接続されている。
ネットワーク10は、インターネット22に接続されたクライアント31,32,33,・・・からアクセス可能なネットワークである。ネットワーク10には、不正アクセス検知装置100、ウェブサーバ210、メールサーバ220などが接続されている。ウェブサーバ210は、インターネット22を介してウェブページ等のコンテンツの提供サービスを行うサーバコンピュータである。メールサーバ220は、イントラネット21とインターネット22とを介した電子メール送受信サービスを行うサーバコンピュータである。
不正アクセス検知装置100は、IDS(侵入検知システム)等の機能を利用してネットワーク10上の装置へのインターネット22を介した不正アクセスを監視するコンピュータである。すなわち、ウェブサーバ210やメールサーバ220は、所定のサービスをインターネット22を介して提供するため、IPアドレスが公開されている。そのため、ウェブサーバ210やメールサーバ220は、不正進入等の攻撃を受けやすい。そこで、不正アクセス検知装置100は、ネットワーク10を介して伝送されるパケットを監視し、ウェブサーバ210やメールサーバ220に対する不正アクセスを検出する。
図3は、本発明の実施の形態に用いる不正アクセス検知装置のハードウェア構成例を示す図である。不正アクセス検知装置100は、CPU(Central Processing Unit)101によって装置全体が制御されている。CPU101には、バス107を介してRAM(Random Access Memory)102、ハードディスクドライブ(HDD:Hard Disk Drive)103、グラフィック処理装置104、入力インタフェース105、および通信インタフェース106が接続されている。
RAM102には、CPU101に実行させるOS(Operating System)のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。また、RAM102には、CPU101による処理に必要な各種データが格納される。HDD103には、OSやアプリケーションプログラムが格納される。
グラフィック処理装置104には、モニタ11が接続されている。グラフィック処理装置104は、CPU101からの命令に従って、画像をモニタ11の画面に表示させる。入力インタフェース105には、キーボード12とマウス13とが接続されている。入力インタフェース105は、キーボード12やマウス13から送られてくる信号を、バス107を介してCPU101に送信する。
通信インタフェース106は、ネットワーク10に接続されている。通信インタフェース106は、ネットワーク10を介して、他のコンピュータとの間でデータの送受信を行う。
以上のようなハードウェア構成によって、第1の実施の形態の処理機能を実現することができる。なお、図3には、不正アクセス検知装置100のハードウェア構成を示したが、ファイアウォール200、ウェブサーバ210、メールサーバ220、およびクライアント31,32,33,・・・も同様のハードウェア構成で実現することができる。
図4は、第1の実施の形態に係る不正アクセス検知装置の内部構成を示すブロック図である。不正アクセス検知装置100は、通信処理部110、パケットモニタ部120、シナリオ検出部130、および攻撃レポート部140を有している。
通信処理部110は、ネットワーク10を介した通信を行う。この通信処理部110は、不正アクセス検知装置100宛のパケットに限らず、ウェブサーバ210やメールサーバ220宛のパケットも取り込み、パケットモニタ部120へ渡す。
パケットモニタ部120は、ネットワーク10を介して伝送されるパケットを解析し、そのパケットに基づくイベントを検出する。パケットモニタ部120は、検出したイベントをシナリオ検出部130に渡す。
シナリオ検出部130は、パケットモニタ部120で検出されたイベントに基づいて、不正アクセスシナリオに沿ったイベント遷移を検出する。そして、検出されたイベント遷移を不正アクセスレポートとして攻撃レポート部140に通知する。
攻撃レポート部140は、シナリオ検出部130から検出されたイベント遷移を元に将来の攻撃予測に関する攻撃レポート41,42,43,・・・を生成し、管理者に対して通知する。攻撃レポート41,42,43,・・・の通知方法として、たとえば、管理者が使用している端末装置の画面にレポートの内容を表示させることができる。また、即時対応が不要な内容のレポートであれば、管理者に対して電子メールにより攻撃レポート41,42,43,・・・を通知することもできる。
このような構成により、ネットワーク10を介した通信のパケットが通信処理部110で取得され、パケットモニタ部120でイベントが検出される。検出されたイベントはシナリオ検出部130に渡され、不正アクセスシナリオと照合される。不正アクセスシナリオに沿ったイベント遷移が検出されると、その内容が攻撃レポート部140に通知され、攻撃レポート41,42,43,・・・が出力される。
次に、シナリオ検出部130の詳細について説明する。
図5は、第1の実施の形態のシナリオ検出部の機能を示すブロック図である。シナリオ検出部130は、シナリオ定義データベース(DB)131、進行中シナリオDB132、関連ホスト抽出部133、進行中シナリオ検索部134、イベント系列照合部135、進行中シナリオ更新部136、および検出シナリオ出力部137を有している。
図5において、イベント51,52,53,・・・は、ネットワーク10上でパケットモニタ部120によって、リアルタイムに検出されたイベントである。このようなイベント51,52,53,・・・には、その名称(イベントの名前)、発信元IPアドレス、宛先IPアドレス、検出時刻などが情報として含まれている。
また、第1の実施の形態においては、イベントを関連付けるキーデータは「発信元IPアドレス」「宛先IPアドレス」となる
シナリオ定義DB131は、予め定義された不正アクセスシナリオが格納されたデータベースである。不正アクセスは所定のシナリオに沿って進行することが多いため、シナリオ定義DB131には、不正アクセスシナリオがイベント遷移で表現されている。
進行中シナリオDB132は、キーデータによって関連付けられるイベントの遷移(進行中イベント)が登録されたデータベースである。進行中シナリオDB132には、発信元IPアドレス、宛先IPアドレス、対応する不正アクセスイベントの名前、進捗度等が進行中のシナリオ毎に登録されている。
関連ホスト抽出部133は、リアルタイムに入力されるイベント51,52,53,・・・からキーデータとして、「発信元IPアドレス」と「宛先IPアドレス」とを抽出する。
進行中シナリオ検索部134は、関連ホスト抽出部133が抽出した「発信元IPアドレス」と「宛先IPアドレス」とを検索キーとして、進行中シナリオDB132を検索する。検出された進行中シナリオは、イベント系列照合部135に渡される。
イベント系列照合部135は、進行中シナリオ検索部134により進行中シナリオDB132からエントリが検出された場合、そのエントリが保持している「不正アクセスシナリオの名前」「進捗度」を取得する。そして、イベント系列照合部135は、シナリオ定義DB131を参照し、入力されたイベントの名称に基づき、検出された進行中シナリオから入力されたイベントへの遷移が不正アクセスシナリオに沿っているかどうかを判定する。不正アクセスシナリオに沿ったイベントが発生していれば、その旨が進行中シナリオ更新部136に通知される。
また、イベント系列照合部135は、シナリオ定義DB131を参照し、入力されたイベントが先頭となるイベント遷移が有る場合、そのイベント遷移が開始されたことを進行中シナリオ更新部136に通知する。さらに、イベント系列照合部135は、進行中シナリオのイベント遷移が不正アクセスシナリオの終端まで達したとき、進行中シナリオの情報を検出シナリオ出力部137に渡す。
進行中シナリオ更新部136は、イベント系列照合部135からシナリオに沿ったイベント発生の通知を受けて、進行中シナリオDB132における該当エントリの「進捗度」を更新する。
また、進行中シナリオ更新部136は、シナリオ定義DB131中のエントリにおいて先頭イベントが現在処理中のイベントと同じ場合、これに該当するエントリを進行中シナリオDB132に追加する。
検出シナリオ出力部137は、イベント系列照合部135においてイベント遷移が不正アクセスシナリオの終端まで達したと判断されたとき、不正なアクセスを検出したとして、外部に不正アクセスレポート61,62,63,・・・を出力する。不正アクセスレポート61,62,63,・・・には、検出された進行中シナリオに関する情報(発信元IPアドレスや宛先IPアドレスなど)が含まれる。
図6は、シナリオ定義DBのデータ構造例を示す図である。シナリオ定義DB131には、不正アクセスシナリオ名に対応付けて、不正アクセスが行われるときのイベント遷移が登録されている。イベント遷移は、イベント名の配列で表されている。
たとえば、不正アクセスシナリオAは、最初にイベントaが発生し、次にイベントbが発生し、最後にイベントc発生するというシナリオを表している。また、不正アクセスシナリオBは、最初にイベントaが発生し、次にイベントdが発生し、次にイベントe発生し、最後にイベント遷移cが発生するというシナリオを表している。
シナリオ定義DB131に定義された不正アクセスシナリオに沿って、キーデータで関連付けられたイベント遷移が発生した場合、不正アクセスが検出されたことになる。
図7は、進行中シナリオDBのデータ構造例を示す図である。進行中シナリオDB132は、発信元IPアドレスと宛先IPアドレスとの組、不正アクセスシナリオ名、進捗度が互いに関連付けられ、1つのエントリとして登録されている。
各エントリは、装置間の通信における進行中シナリオの進行状況を示している。すなわち、進行中シナリオの「発信元IPアドレス」「宛先IPアドレス」をキーデータ(検索対象項目)として、そのキーデータに対応付けて、不正アクセスシナリオ名や、その進捗度を保持している。進捗度は、現在イベント遷移の何番目まで進行しているのかによって、シナリオの進行状態を示している。
たとえば、発信元IPアドレス「192.168.1.5」の装置と宛先IPアドレス「10.10.100.100」の装置との間では、不正アクセスシナリオBに沿った進行中シナリオが、2番目のイベントまで進行している。また、発信元IPアドレス「10.1.1.123」の装置と宛先IPアドレス「192.168.30.30」の装置との間では、不正アクセスシナリオDに沿った進行中シナリオが、3番目のイベントまで進行している。
以上のような構成のシナリオ検出部130において、以下のようなシナリオ検出処理が行われる。
図8は、シナリオ検出処理の手順を示すフローチャートである。以下、図8に示す処理をステップ番号に沿って説明する。
[ステップS11]関連ホスト抽出部133は、イベントの入力を受け付けると、処理をステップS12に進める。
[ステップS12]関連ホスト抽出部133は、入力されたイベントからキーデータを抽出する。第1の実施の形態では、キーデータとして発信元IPアドレスと宛先IPアドレスとが抽出される。抽出されたキーデータは、進行中シナリオ検索部134に渡される。
[ステップS13]進行中シナリオ検索部134は、関連ホスト抽出部133から抽出された発信元IPアドレスと宛先IPアドレスとを検索キーとして、進行中シナリオDB132から進行中シナリオのエントリを検索する(2つの検索キーの論理積(AND)を検索条件とする)。そして、進行中シナリオ検索部134は、検索結果として得られた進行中シナリオをリストアップする。リストアップされた進行中シナリオは、イベント系列照合部135に渡される。
たとえばイベント51が入力され、そのイベント51の発信元IPアドレスが「192.168.1.5」、宛先IPアドレスが「10.10.100.100」、イベント名が「e」であった場合を考える。このとき、進行中シナリオDB132の内容が図7の通りであれば、イベント51の発信元IPアドレス及び宛先IPアドレスから、進行中シナリオDB132内の第一エントリが検出される。
[ステップS14]イベント系列照合部135は、進行中シナリオ検索部134によってリストアップされている進行中シナリオがあるか否かを判断する。進行中シナリオがある場合、処理がステップS15に進められる。進行中シナリオが無い場合、処理がステップS22に進められる。
[ステップS15]イベント系列照合部135は、リストアップされた1つの進行中シナリオに対し、入力されたイベントによる進行の有無を判定する。
具体的には、イベント系列照合部135は、シナリオ定義DB131を参照し、ステップS13で検出された進行中シナリオから入力されたイベントへの遷移と、予め定義されている不正アクセスシナリオとを照合する。次に、イベント系列照合部135は、検出された進行中シナリオのイベント遷移が、ステップS11で入力されたイベントへ遷移したときに、不正アクセスシナリオ名で特定される不正アクセスシナリオに沿っているか否かを判断する。イベント遷移(イベント名の配列)が前方一致すれば、不正アクセスシナリオに沿っていると判断される。不正アクセスシナリオに沿ったイベント遷移であれば、イベント系列照合部135は、シナリオが進行すると判定する。
たとえば、ステップS13の説明で示したようなイベント51が入力された場合、シナリオは「不正アクセスシナリオB」において「2番目」まで進行していることが分かる。そこでシナリオ定義DB131で「不正アクセスシナリオB」を参照すると、イベント名「e」が入力された場合に次の遷移が発生する(すなわち、「状態」が変化する)ことがわかる。ステップS11で入力されたイベント51の名前は「e」であるため、不正アクセスシナリオに沿ったイベント遷移が発生し、シナリオが進行する。
また、シナリオ定義DB131に定義されている不正アクセスシナリオにおける先頭のイベントに対応するイベントが入力された場合、新規のシナリオのイベント遷移が発生したものと判断される。
[ステップS16]イベント系列照合部135は、照合の結果、イベント遷移が発生し、進行中シナリオが進行するか否かを判断する。進行中シナリオが進行する場合、処理がステップS17に進められる。進行中シナリオが進行しない場合、処理がステップS21に進められる。
[ステップS17]進行中シナリオ更新部136は、イベント遷移が発生した進行中シナリオのエントリを更新する。具体的には、進行中シナリオ更新部136は、該当する進行中シナリオの進捗度を1段階進める。
たとえば、ステップS13の説明で示したようなイベント51が入力された場合、進行中シナリオDB132の第一エントリの「進捗度」が「2番目」から「3番目」に更新される。
[ステップS18]イベント系列照合部135は、不正アクセスレポートの出力の要否を判定する。たとえば、イベント系列照合部135は、ステップS17で進行させた進行中シナリオが、シナリオ定義DB131に定義された不正アクセスシナリオの終端に達した場合、不正アクセスレポートの出力が必要であると判断する。
[ステップS19]イベント系列照合部135は、不正アクセスレポートの出力が必要な場合、不正アクセスが発生したことを検出シナリオ出力部137に通知し、処理をステップS20に進める。不正アクセスレポートの出力が不要な場合、処理をステップS21に進める。
[ステップS20]検出シナリオ出力部137は、イベント系列照合部135から通知された内容に応じた不正アクセスレポートを生成し、出力する。
[ステップS21]イベント系列照合部135は、処理対象となっている進行中シナリオを、ステップS13で生成されたリストから削除する。その後、処理がステップS14に進められ、リストアップされている他の進行中シナリオに対して、ステップS14〜ステップS20の処理が行われる。
[ステップS22]リストアップされている進行中シナリオが無くなったとき、進行中シナリオ更新部136は、入力されたイベントによって開始する新たな進行中シナリオを、進行中シナリオDB132に追加する。すなわち、進行中シナリオ更新部136は、シナリオ定義DB131中の不正アクセスシナリオにおいて先頭イベントがステップS11で入力されたイベントと同じ場合、これに該当するエントリ(新規の進行中シナリオ)を進行中シナリオDB132に追加する。
たとえば、ステップS13の説明で示したようなイベント51が入力された場合、シナリオ定義DB131において先頭イベントが「イベントe」の不正アクセスシナリオそれぞれに対応付けて、進捗度を「1番目」としたエントリが進行中シナリオDB132に追加される。その後、処理が終了する。
このようにして、第1のコンピュータから第2のコンピュータに対して、不正アクセスシナリオに沿ったイベントを含むパケットが送信された場合、不正アクセスを検出して、管理者に通知することができる。この場合、不正アクセスレポートには、攻撃者が使用する装置のIPアドレス、攻撃を受けている装置のIPアドレス、完了した不正アクセスシナリオの名前等が含まれる。
このように第1の実施の形態では、キーデータが一致する進行中シナリオのイベント遷移のみを調査するため、不正アクセスシナリオとの照合処理が非常に簡単である。その結果、インターネット22等の大規模なネットワークを介して大量のパケットがネットワーク10上で送受信されても、リアルタイムに不正アクセスを検出することができる。
特に、不正アクセスには、サーバの負荷を過大にすることでセキュリティホールを発生させる攻撃もある。そのため、トラフィックが混雑している状態でも安定して不正アクセスを検出できることは、システムの安全性を確保する上で重要である。
[第2の実施の形態]
次に、第2の実施の形態について説明する。第2の実施の形態は、イベントの発信元や宛先が変遷するような不正アクセスを検知できるようにしたものである。イベントの発信元や宛先が変遷するような不正アクセスとしては、たとえば、DDoS(Distributed Denial of Service:分散型サービス不能化)攻撃がある。
DDoS攻撃とは、複数の踏み台(ネットワークを介して悪者に乗っ取られた装置)から1つのターゲットに向けて一斉に大量のパケットを送りつける攻撃である。DDoS攻撃は専用のツール(DDoS攻撃発生ツール)を用いて行われることが多く、それには様々な種類がある。
図9は、DDoS攻撃の発生メカニズムを示す概念図である。図9の例では、クライアント31を利用して、ウェブサーバ210に攻撃を加える場合を想定している。
クライアント31を使用する攻撃者は、インターネット22からアクセス可能なコンピュータをエージェント241,242,243,・・・として機能させる。クライアント31から各エージェント241,242,243,・・・へは、ハンドラ230を経由して指示を送る。
ここで、「エージェント」とは、DDoS攻撃の目標(任意の装置あるいはネットワーク)に向けて大量のパケットを送りつける処理機能である。すなわち、「エージェント」はターゲットに直接被害を及ぼすホストとなる。
また、「ハンドラ」とは、攻撃者の使用するクライアント31とエージェント241,242,243,・・・とのインタフェースに相当し、攻撃者がエージェントを操作するための機能である。「ハンドラ」とはエージェントに対して外部から指令を出すホストとなる。
エージェント241,242,243,・・・やハンドラ230は、一般にネットワーク越しに攻撃者によって乗っ取られた脆弱なマシンにインストールされる。
攻撃者はクライアント31を操作し、ハンドラ230にコマンドを与える。ハンドラ230は、コマンドが与えられると、それをエージェント241,242,243,・・・に対する操作・設定コマンドに変換し、各エージェント241,242,243,・・・に送信する。エージェント241,242,243,・・・は一種のサーバソフトウェアによる処理機能であり、ハンドラ230からコマンドを受信すると、その内容に応じた攻撃を実行する。たとえば、攻撃対象のウェブサーバ210に対して、大量のパケットを送信する(パケットフラッド)。
これらハンドラ230やエージェント241,242,243,・・・をネットワーク上のコンピュータに導入するためのソフトウェアのインストール及び設定は、ネットワークを介して行われる。よって、これらに係る通信は(暗号化されていない限り)ネットワーク上で検出可能である。
そこで、第2の実施の形態では、攻撃者がハンドラ230とするコンピュータの乗っ取りや、エージェント241,242,243,・・・へのコマンドの送信等の攻撃のシナリオを不正アクセス検知装置300に登録する。不正アクセス検知装置300は、予め登録された不正アクセスシナリオに沿ったイベント遷移を監視する。そして、不正アクセスシナリオに沿ったイベント遷移が攻撃の準備段階まで進んだとき、不正アクセス検知装置300は、ウェブサーバ210の管理者や、ハンドラ230やエージェント241,242,243,・・・の管理者へ、不正アクセスの発生の予告通知を行う。
なお、DDoS攻撃では、不正アクセスに関与する装置が多数あるため、2つのコンピュータ間の通信(1台が発信元、他の1台が宛先)のイベント遷移だけを監視したのでは、DDoS攻撃を検出できない。そこで、第2の実施の形態に係る不正アクセス検知装置300では、不正アクセスシナリオにおいて、各装置の役割に応じたイベント遷移を定義する。
さらに、不正アクセス検知装置300は、進行中シナリオを記憶するとき、検出したイベントに関与する装置に、不正アクセスシナリオ上の役割を設定する。そして、役割が設定された各装置間で、各役割に従って不正アクセスシナリオに沿ったイベント遷移が行われたとき、不正アクセス検知装置300において不正アクセスの検出が行われる。
なお、図9に示す不正アクセス検知装置300、ハンドラ230、エージェント241,242,243,・・・のハードウェア構成は、図3に示した構成と同様である。
以下、第2の実施の形態に係る不正アクセス検知装置300の機能について詳細に説明する。
図10は、第2の実施の形態に係る不正アクセス検知装置の内部構成を示すブロック図である。不正アクセス検知装置300は、通信処理部310、パケットモニタ部320、シナリオ検出部330、引数抽出部340、および攻撃レポート部350を有している。
通信処理部310は、図4に示した第1の実施の形態の通信処理部110と同様の機能を有している。パケットモニタ部320は、図4に示した第1の実施の形態のパケットモニタ部120と同様の機能を有している。ただし、パケットモニタ部320は、検出したイベントを、シナリオ検出部330だけでなく引数抽出部340にも渡す。
シナリオ検出部330は、パケットモニタ部320で検出されたイベントに基づいて、不正アクセスシナリオに沿ったイベント遷移を検出する。そして、不正アクセスシナリオに沿ったイベント遷移に基づいて不正アクセスレポートの出力を行う。シナリオ検出部330は、不正アクセスレポートを攻撃レポート部350に通知する。
引数抽出部340は、パケットモニタ部320から受け取ったイベントから、DDoS攻撃におけるハンドラ230からエージェント241,242,243,・・・への設定コマンドの引数を抽出する。抽出した引数は攻撃レポート部350に渡され、攻撃レポート71,72,73,・・・に反映される。
攻撃レポート部350は、シナリオ検出部330から検出されたイベント遷移を元に将来の攻撃に関する攻撃レポート71,72,73,・・・を生成し、処理のコンピュータ(ハンドラ230やエージェント241,242,243,・・・)の管理者に対して通知する。攻撃レポート71,72,73,・・・の通知方法として、たとえば、管理者が使用している端末装置の画面にレポートの内容を表示させることができる。また、即時対応が不要な内容のレポートであれば、電子メール等により攻撃レポート71,72,73,・・・を通知することもできる。
このような構成の不正アクセス検知装置300のシナリオ検出部330において、DDoS攻撃の発生が検出される。
図11は、第2の実施の形態のシナリオ検出部の機能を示すブロック図である。シナリオ検出部330は、役割指定シナリオ定義データベース(DB)331、役割指定進行中シナリオDB332、関連ホスト抽出部333、役割指定進行中シナリオ検索部334、イベント系列照合部335、役割指定進行中シナリオ更新部336、および検出シナリオ出力部337を有している。
関連ホスト抽出部333、イベント系列照合部335、および検出シナリオ出力部337は、図5に示した第1の実施の形態のシナリオ検出部130内の同名の要素と同じ機能を有している。また、シナリオ検出部330には、イベント81,82,83,・・・が順次入力され、不正アクセスを検出すると不正アクセスレポート91,92,93,・・・が出力される。
役割指定シナリオ定義DB331は、予め定義された不正アクセスシナリオが定義されたデータベースである。ただし、役割指定シナリオ定義DB331では、不正アクセスシナリオにおいて、関与する装置の役割が指定されている。たとえば、攻撃者のクライアントとしての役割、ハンドラとしての役割、エージェントとしての役割が指定されている。
役割指定進行中シナリオDB332は、役割が与えられた装置間で発生したイベントの遷移が進行中シナリオとして登録されたデータベースである。
役割指定進行中シナリオ検索部334は、関連ホスト抽出部333が抽出した「発信元IPアドレス」「宛先IPアドレス」をキーとして、何れかのIPアドレスの装置が関与している役割指定進行中シナリオDB332を検索する。検出された役割指定進行中シナリオは、イベント系列照合部335に渡される。
イベント系列照合部335は、役割指定進行中シナリオ検索部334により役割指定進行中シナリオDB332から、該当するエントリが検出された場合、そのエントリが保持している「不正アクセスシナリオ名」、「進捗度」を取得する。そして、イベント系列照合部335は、役割指定シナリオ定義DB331を参照し、入力されたイベントの名称により、入力されたイベントへの遷移が不正アクセスシナリオに沿っているかどうかを判定する。不正アクセスシナリオに沿ったイベントが発生していれば、その旨が役割指定進行中シナリオ更新部336に通知される。
具体的には、イベント系列照合部335は、第2の実施の形態では各装置に役割が指定されているため、「発信元IPアドレス」と「宛先IPアドレス」とのそれぞれに対応する装置の役割を特定する。そして、イベント系列照合部335は、役割が特定された装置が、入力されたイベントにおいて、役割指定シナリオ定義DB331で定義されている不正アクセスシナリオに沿った役割を担っている場合、シナリオが進行すると判断される。
役割指定進行中シナリオ更新部336は、イベント系列照合部335においてシナリオが進行すると判断されたとき、役割指定進行中シナリオDB332内の該当するエントリを更新する。具体的には、役割指定進行中シナリオ更新部336は、入力されたイベントから抽出された「発信元IPアドレス」と「宛先IPアドレス」とのそれぞれの役割を設定すると共に、シナリオの進捗度を1段階進める。
図12は、役割指定シナリオ定義DBのデータ構造例を示す図である。役割指定シナリオ定義DB331には、不正アクセスシナリオ名とイベント遷移との項目が設けられている。不正アクセスシナリオ名には、DDoS攻撃のシナリオに設定された名称が登録される。イベント遷移には、イベント遷移によって表現されたDDoS攻撃のシナリオが登録される、イベント遷移の項目で登録されるイベントは、イベント名に加え、発信元と宛先との役割が設定される。このように、各イベントに「発信元」と「宛先」との装置に対し、「当該シナリオにおける役割」が関連付けられている。
図12の例では、不正アクセスシナリオXのイベント遷移として、イベントa、イベントb、イベントcが登録されている。イベントaでは、発信元の役割はハンドラであり、宛先の役割はエージェントである。イベントbでは、発信元の役割はエージェントであり、宛先の役割はハンドラである。イベントcでは、発信元の役割はエージェントであり、宛先の役割はターゲットである。「ターゲット」とは不正アクセスの被害者である。
このように、イベント毎に発信元と宛先とに対して役割が設定されている。ある装置(IPアドレスで識別される)に役割が一旦設定されると、その装置は、以後のイベントでも設定されたと通りの役割を担うことになる。たとえば、不正アクセスシナリオXのイベントaでは、発信元の装置がハンドラとなり、宛先の装置がエージェントとなる。そのため、次にイベントbが入力された場合、イベントaにおいてハンドラであった装置が宛先であり、イベントaにおいてエージェントであった装置が発信元である場合、そのシナリオが進行する。
また、イベントcでは、新たな役割としてターゲットが出現する。したがって、イベントbでエージェントを担った装置が発信元となるイベントcが入力されれば、宛先に関係なくシナリオが進行する。
図13は、役割指定進行中シナリオDBのデータ構造例を示す図である。役割指定進行中シナリオDB332には、役割担当IPアドレス、不正アクセスシナリオ名、および進捗度の項目が設けられている。
役割担当IPアドレスの項目には、役割指定の進行中シナリオにおける最後のイベントでの各装置の役割が設定される。装置はIPアドレスによって特定される。なお、役割担当IPアドレスの項目に、過去に入力された全てのイベントにおける各装置の役割を設定しておいてもよい。
不正アクセスシナリオ名の項目には、進行している不正アクセスシナリオの名称が登録される。
進捗度の項目には、進行中シナリオの進行の度合いが設定される。進捗度は、不正アクセスシーケンス上での何番目のイベントまで進行したのかによって示される。
以上のような構成のシナリオ検出部330により、役割が指定された不正アクセスシナリオに沿って、3台以上の装置が役割に応じたイベントを発生させたとき、不正アクセスが検出される。具体的には、イベント81,82,83,・・・が入力されると、入力されたイベント81,82,83,・・・から、関連ホスト抽出部333によりキーデータが抽出される。キーデータは、発信元IPアドレスと宛先IPアドレスとである。
すると、役割指定進行中シナリオ検索部334により、キーデータの少なくとも何れか一方の役割担当IPアドレスに設定されたエントリが、役割指定進行中シナリオDB332から検出される。検出されたエントリは、イベント系列照合部335に通知される。
イベント系列照合部335では、役割指定シナリオ定義DB331が参照され、役割指定進行中シナリオ検索部334で検出されたエントリに対応する不正アクセスシナリオと、入力されたイベントとが照合される。入力されたイベントが、照合対象の不正アクセスシナリオに沿っていれば、シナリオが進行すると判断される。
シナリオが進行すると判断された場合、役割指定進行中シナリオ更新部336により、役割指定進行中シナリオDB332内の該当エントリの進捗度が更新される。なお、入力されたイベントが、役割指定シナリオ定義DB331内の不正アクセスシナリオにおける先頭のイベントに相当するとき、役割指定進行中シナリオ更新部336は、新たなエントリを役割指定進行中シナリオDB332に追加する。
また、イベント系列照合部335でシナリオを進行させると判断したとき、シナリオが最終端まで完了した場合、その旨が検出シナリオ出力部に通知される。すると、検出シナリオ出力部337が最終端まで完了したシナリオに関する不正アクセスレポートを出力する。
このように、第2の実施の形態では、入力されたイベントと、その発信元の装置または宛先の装置が関連して現在進行している進行中シナリオとを、各ホストの役割までを鑑みて不正アクセスシナリオに符合するか否かを判定している。すなわち、不正アクセスシナリオにおいて、各イベントの送信元及び宛先の装置に「役割」を関連付けるものである。そのため、「2装置間による一方通行な不正アクセスシナリオ」に限らずDDoS攻撃のように、「双方向通信の含まれるシナリオ」「3者以上の装置が含まれる不正アクセスシナリオ」等を検出することが可能となる。
[第3の実施の形態]
次に、第3の実施の形態について説明する。第3の実施の形態は、シナリオ定義DB中の、不正アクセスシナリオを示す「イベント遷移」を、「状態遷移」に拡張するためのものである。
なお、第3の実施の形態における不正アクセス検知装置の機能の構成要素は、図4、図5に示す第1の実施の形態の構成要素とほぼ同じである。そこで、以下、図4、図5に示した構成を参照して、第1の実施の形態と異なる点について説明する。
第3の実施の形態に係るシナリオ検出部130では、シナリオ定義DB131において、単純なイベントの遷移のみならず、イベントを契機とした状態遷移を格納する。そして、イベント系列照合部135において、現在の状態から、入力されたイベントによる遷移があるか否かを照合する。これにより、より複雑なシナリオを簡易に記述でき、攻撃モデルデータベースの縮小化が期待できる。
図14は、第3の実施の形態のシナリオ定義DBに定義されるイベント遷移を示す図である。この例では、イベント遷移が、シナリオ状態遷移に置き換えて定義されている。シナリオの状態には、初期状態411、中間状態412、413、終了状態414がある。
初期状態411から中間状態412へは、イベントaが入力されることで遷移する。初期状態411から中間状態413へは、イベントbが入力されることで遷移する。
中間状態412から中間状態413へは、イベントcが発生することで遷移する。中間状態412から終了状態414へは、イベントdが発生することで遷移する。中間状態413から終了状態414へは、イベントfが発生することで遷移する。中間状態413のときにイベントeが発生すると、中間状態413が維持される。
このように、第3の実施の形態では、状態遷移の遷移条件がイベントとなっている。これにより、イベントとシナリオを照合することができる。
なお、状態遷移においては、イベント遷移の先頭に該当する「初期状態」と、終端に該当する「終了状態」が含まれる必要がある。
また、第3の実施の形態における不正アクセス検知装置の進行中シナリオDB132では、各エントリにおいて「進捗度」を「状態名」(図14の例では中間状態412など)で表すこととなる。
[第4の実施の形態]
次に、第4の実施の形態について説明する。第4の実施の形態では、シナリオ定義データベースに格納されたイベント遷移あるいはイベントを契機とした状態遷移において、遷移それぞれに予め有効期限を設定しておく。そして、現在処理中のイベントと、そのキーデータが関連した進行中シナリオを、各遷移の有効期限までを鑑みてイベント遷移若しくは状態遷移に符合するか否かを判定する。すなわち、入力されたイベントと進行中シナリオとのキーデータが一致しても、進行中シナリオの有効期限を超えていれば、イベントは進行しない。これにより、有効期限以上に発生間隔の離れたイベント同士は、別のシナリオとして処理することができる。
なお、第4の実施の形態における不正アクセス検知装置の機能の構成要素は、図4、図5に示す第1の実施の形態の構成要素とほぼ同じである。そこで、以下、図4、図5に示した構成を参照して、第1の実施の形態と異なる点について説明する。
図15は、第4の実施の形態のシナリオ定義DBに定義されるイベント遷移を示す図である。図15に示すように、イベント421〜423の配列でイベント遷移が定義されている。また、シナリオが進行する際の有効期限424,425が設定されている。
具体的には、イベント421からイベント422へ遷移する際の有効期限424は、5分である。また、イベント422からイベント423へ遷移する際の有効期限425は、1時間である。
このように、攻撃モデルを示す不正アクセスシナリオ中のイベント間の遷移に「有効期限」が関連付けられ、進行中シナリオDB132中の各エントリにおいて、「前の遷移が発生した時刻」を保持する。イベント系列照合部135は、不正アクセスシナリオ中の「有効期限」、進行中シナリオ中の「前の遷移が発生した時刻」及び現在時刻を照合して、遷移が発生するか否かを判定する。
たとえば、「前の遷移が発生した時刻」が正午であり、その次の遷移の有効期限が5分だった場合、次のイベントの入力が12時5分以内であればそれに係る遷移は有効となり、12時5分を過ぎていればそれに係る遷移は無効となる。
このように、シナリオの進行に有効期限を設けることで、誤った不正アクセスを検出することを防止することができる。
また、進行中シナリオ更新部136は、進行中シナリオDB132から、有効期限の切れた不要なエントリを削除することができる。この場合、進行中シナリオDB132は、シナリオ定義DB131中の「有効期限」、進行中シナリオDB132中の「前の遷移が発生した時刻」、及び現在時刻を鑑みて、適当なタイミング(たとえば、所定の時間間隔)で有効期限が切れたエントリを進行中シナリオDB132から消去する。
たとえば、進行中シナリオ更新部136は、10分ごとに進行中シナリオDB132中の有効期限の切れたシナリオを全検索する。そして、進行中シナリオ更新部136は、検出された進行中シナリオのエントリを進行中シナリオDB132より削除する。これにより、有効期限の切れたシナリオを10分以内に削除できる。
このように、有効期限切れの進行中シナリオを削除することで、途中まで進んだ攻撃が止まった進行中シナリオによって進行中シナリオDB132が溢れてしまう事態を回避できる。
[第5の実施の形態]
次に、第5の実施の形態について説明する。第5の実施の形態では、不正アクセスシナリオの途中の段階まで進行中シナリオが進行したとき、不正アクセスの発生の予兆を通知する不正アクセスレポートを出力する。不正アクセスの予兆は、進行中シナリオが進行する毎に加算される重みによって判断する。すなわち、進行中シナリオの重みのトータルが所定値を超えたときに、不正アクセスの予兆有りと判断される。
すなわち、第1〜第4の実施の形態では、進行中シナリオが不正アクセスシナリオの終端に達したとき、不正アクセス検出のレポートを出力していた。ところが、不正アクセスシナリオの途中まで進行中シナリオが進行すれば、最終的に攻撃が実行される蓋然性が高いと判断できることがある。そこで、第5の実施の形態では、将来的に攻撃が行われる蓋然性が高いと判断できるときは、これはシナリオの途中の段階でもレポートを出力する。
なお、第5の実施の形態における不正アクセス検知装置の機能の構成要素は、図4、図5に示す第1の実施の形態の構成要素とほぼ同じである。そこで、以下、図4、図5に示した構成を参照して、第1の実施の形態と異なる点について説明する。
第5の実施の形態では、シナリオ定義DB131において、予めイベント遷移や状態遷移の各イベントや遷移に重みを付与しておく。
図16は、第5の実施の形態のイベント遷移DBに設定されるイベント遷移の例を示す図である。図16に示すようにイベント遷移を構成する各イベント431〜433には、重み434〜436が設定されている。たとえば、イベント431の重みは1であり、イベント432の重みは5であり、イベント433の重みは3である。
また、イベント432は、繰り返し発生することがある。たとえば、ポートスキャンのイベントなどは、繰り返し発生する。
そして、不正アクセスシナリオのイベント遷移には、レポート出力閾値が設定されている。レポート出力閾値は、攻撃が行われる蓋然性の有無を判断するための指標である。発生したイベントの重みのトータルがレポート出力閾値を超えたとき、攻撃が行われる予兆有りと判断され、レポート提出が行われる。
イベントに重みが設定されることにより、進行中シナリオDB132には、進捗度の項目に代えて、重みトータルの項目が設けられる。
図17は、第5の実施の形態における進行中シナリオDBのデータ構造例を示す図である。第5の実施の形態における進行中シナリオDB132aには、発信元IPアドレスと宛先IPアドレスとの組、不正アクセスシナリオ名、および重みトータルの項目が設けられている。重みトータルには、対応する進行中シナリオにおいて発生したイベントに設定されている重みのトータルが設定される。
イベント系列照合部135は、イベントが入力されることで進行中シナリオが進行したとき、入力されたイベントの重みを、対象となる進行中シナリオの重みトータルに加算する。そして、加算した後の重みトータルが不正アクセスシナリオのレポート出力閾値を超えたとき、イベント系列照合部135は、不正アクセスの発生確率が高いと判断し、その旨を検出シナリオ出力部137に伝える。すると、検出シナリオ出力部137は、不正アクセスを検出したとして不正アクセスレポートを出力する。
たとえば、図16に示すイベント遷移の場合、イベント431からイベント432に遷移した段階では、重みトータルは「6」であり、レポートは出力されない。その後、イベント433が再度発生した場合、重みトータルが「9」となり、レポート出力閾値「8」を超える。したがって、不正アクセスレポートが出力される。
また、イベント431からイベント432に遷移し、その後、再度イベント432が入力された場合、重みトータルが「11」となる。この場合にも重みトータルがレポート出力閾値「8」を超えることとなり、不正アクセスレポートが出力される。
なお、進行中シナリオが進行したときは、進行中シナリオ更新部136によって、進行中シナリオDB132内の該当エントリにおける重みトータルの値が更新される。すなわち、新たに発生したイベントの重みが、元の重みトータルの値に加算される。
このように、重みによって不正アクセスの蓋然性を判断できるようにすることで、実際に攻撃が行われる前に、不正アクセスレポートを出力し、システムの管理者に警告を発することができる。
なお、重みを用いずに、進捗度によって、攻撃の予兆を通知する不正アクセスレポートを出力することもできる。たとえば、不正アクセスシナリオ毎に、何番目のイベントを超えたらレポート出力を行うのかを、閾値として設定しておく。イベント系列照合部135は、進行中シナリオの進捗度が閾値を超えたとき、その旨を検出シナリオ出力部137に通知する。すると、検出シナリオ出力部137において不正アクセスレポートが出力される。
[第6の実施の形態]
第6の実施の形態は、不正アクセスシナリオにおいて、その状態、含まれるイベント、及びそれに付随するパラメータなどを鑑み、将来起こりうる被害の種類、大きさ等を予測するものである。しかも、予測内容に応じて事前の予防対策を自動的に実施することもできる。
すなわち、イベント系列で定義された不正アクセスシナリオに沿った進行中シナリオの進行過程で、不正アクセスシナリオ上の以後のイベント遷移を参照することで、将来起こりうるイベントを予測することもできる。しかし、将来起こるイベントが分かっても、それが効果的な不正アクセス回避に繋がるとは限らない。むしろ、将来起こりうる被害の種類、大きさ、時間、期間などが分かったほうが、効果的な不正アクセス回避を行うことができる。
図18は、第6の実施の形態に係る不正アクセス検知装置の内部構成を示すブロック図である。不正アクセス検知装置500は、通信処理部510、パケットモニタ部520、シナリオ検出部530、引数抽出部540、攻撃レポート部550および事前対策実施部560を有している。
通信処理部510は、パケットモニタ部520、引数抽出部540、および攻撃レポート部550については、図10に示した第2の実施の形態の同名の構成要素と同様の機能を有している。シナリオ検出部530は、パケットモニタ部520で検出されたイベントに基づいて、不正アクセスシナリオに沿ったイベント遷移を検出する。そして、不正アクセスシナリオに沿ったイベント遷移に基づいて、不正アクセスの予備動作の進行状況に応じて、攻撃の可能性や被害の大きさを予測する。そして、シナリオ検出部530は、予測結果を攻撃レポート部550に通知する。また、シナリオ検出部530は、予測により事前対策が必要と判断された場合、対策要求を事前対策実施部560に通知する。
事前対策実施部560は、シナリオ検出部からの対策要求に応じて、攻撃を抑止するための事前対策を実行する。たとえば、不正アクセスの予兆を検出したら、当該通信を以後所定の時間遮断する。
このような構成の不正アクセス検知装置500により、不正アクセスの予兆を検知し、攻撃レポート571,572,573,・・・を出力する共に、事前対策を施すことができる。
図19は、第6の実施の形態のシナリオ検出部の機能を示すブロック図である。シナリオ検出部530は、役割指定シナリオ定義データベース(DB)531、役割指定進行中シナリオDB532、関連ホスト抽出部533、役割指定進行中シナリオ検索部534、イベント系列照合部535、役割指定進行中シナリオ更新部536、検出シナリオ出力部537および対策指示部538を有している。
役割指定シナリオ定義DB531、役割指定進行中シナリオDB532、関連ホスト抽出部533、役割指定進行中シナリオ検索部534、イベント系列照合部535、役割指定進行中シナリオ更新部536、および検出シナリオ出力部537は、図11に示した第2の実施の形態の同名の構成要素とほぼ同じ機能を有している。以下、これらの構成要素のうち第2の実施の形態と異なる機能について説明するとともに、対策指示部538の機能を説明する。
イベント系列照合部535は、役割が指定された不正アクセスシナリオと、進行中シナリオから入力されたイベントに応じた状態遷移との照合を行う。その際、イベント系列照合部535は、予め状態毎に設定されている予測インパクト/対策定義テーブルを参照して、インパクト(攻撃開始)までの予想時間、その時間内のインパクトの発生確率、およびインパクトの大きさを判断する。そして、イベント系列照合部535は、予想される攻撃の内容に応じた対策を決定する。緊急を要する対策であれば、対策指示部538に対して対策の内容が通知される。緊急を要さない対策であれば、検出シナリオ出力部537に対策の内容が通知される。
検出シナリオ出力部537は、予想される攻撃の内容を受け取った場合、その攻撃に関する不正アクセスレポートを出力する。出力された不正アクセスレポートは、攻撃レポート部550によって、不正アクセス検知装置500、攻撃の対象となる装置、攻撃の踏み台となる装置等のそれぞれの管理者に通知される。
対策指示部538は、イベント系列照合部535から対策内容を受け取ると、その内容の対策要求620を生成し、事前対策実施部560に渡す。すると、事前対策実施部560によって、所定の通信の遮断等の対策が実施される。
また、第6の実施の形態では、役割指定シナリオ定義DB531は、図14と同様な状態遷移によって不正アクセスシナリオが定義されている。たとえば、著名なDDoS発生ツールであるTrinooに応じた不正アクセスシナリオを役割指定シナリオ定義DB531に登録することができる。
図20は、Trinooに対する設定コマンドを示す図である。図20に示すハンドラ向けコマンドは、攻撃者が、ハンドラに対して入力するコマンドである。エージェント向けコマンドは、入力されたコマンドに応答してハンドラがエージェントに対して送信するコマンドである。攻撃者が、ハンドラに対して図20の上に記載されているコマンドから順に入力することで、パケットフラッドによる攻撃を指示することができる。
たとえば、攻撃者が「msize」を入力すると、ハンドラからエージェントに「rsz」が送信される。このコマンドは、エージェントに対して、将来発生させるパケットフラッド中の、UDPパケットのサイズ(Byte)を引数で設定することを指示している。
攻撃者が「mtimer」を入力すると、ハンドラからエージェントに「bbb」が送信される。このコマンドは、エージェントに対して、将来発生させるフラッドの長さ(秒)を引数で設定することを指示している。
攻撃者が「mping」を入力すると、ハンドラからエージェントに「png」が送信される。このコマンドは、全てのエージェントの生死(起動されているか否か)を確認するためのコマンドである。起動されているエージェントのみが、「png」に対して応答を返す。
攻撃者が「die」を入力すると、ハンドラからエージェントに「d1e」が送信される。このコマンドは、全てのエージェントに対して動作の停止を指示している。
攻撃者が「dos」を入力すると、ハンドラからエージェントに「aaa」が送信される。このコマンドは、エージェントに対して、引数指定したIPアドレスにUDPフラッドを発信ことを指示している。
攻撃者が「mdos」を入力すると、ハンドラからエージェントに「xyz」が送信される。このコマンドは、エージェントに対して、引数指定したIPアドレスにUDPフラッドを発信することを指示している。この場合、UDPフラッドを発信する対象として、複数のIPアドレスを指定することもできる。
これらの指示がハンドラからエージェントに伝えられることで、エージェントによるウェブサーバ等への攻撃が実行される。
そこで、役割指定シナリオ定義DB531には、図20に示すコマンドに応じたイベント遷移が不正アクセスシナリオとして登録される。
図21は、Trinooに応じた不正アクセスシナリオのイベント遷移を示す図である。この例では、イベント遷移が初期状態631、中間状態632〜634、および終了状態635,636で示されている。
図21では、エージェント起動メッセージのイベントが実線の矢印で示されている。設定コマンドのイベントは、点線の矢印で示されている。PONG(pingへの応答)のイベントは、破線の矢印で示されている。攻撃命令のイベントは、1点鎖線の矢印で示されている。終了命令のイベントは、2点鎖線の矢印で示されている。
初期状態631(「agent_start(エージェント起動)」の指示待機状態)からエージェント起動メッセージが出力されると、中間状態632に状態が遷移する。
中間状態632は、「config_waiting(攻撃態勢完了待ち)」の状態である。中間状態632は、攻撃の準備が整っていないため、フラッドが直ぐに発生する可能性は低いと考えられる。中間状態632から設定コマンドが発行されると、中間状態633に状態が遷移する。また、中間状態632からPONGが発行されると、中間状態634に状態が遷移する。さらに、中間状態632から攻撃命令が発行されると、終了状態636に状態が遷移する。
中間状態633は、「configured(攻撃態勢完了)」の状態である。中間状態633では、パケットフラッドによる攻撃が直ぐに発生する可能性がやや高いと考えられる。中間状態633から攻撃指令が発効されると、終了状態636に状態が遷移する。また、中間状態633から終了命令が発効されると、終了状態635に状態が遷移する。さらに、中間状態633からPONGが発行されると、中間状態634に状態が遷移する。
中間状態634は、「UDP_waiting(UDPフラッド開始指示待ち)」の状態である。中間状態634では、パケットフラッドによる攻撃が直ぐに発生する可能性が高いと考えられる。中間状態634から攻撃指令が発効されると、終了状態636に状態が遷移する。また、中間状態634から終了命令が発効されると、終了状態635に状態が遷移する。さらに、中間状態634から設定コマンドが発行されると、中間状態633に状態が遷移する。
終了状態635は、「died(エージェント停止)」の状態である。終了状態635になれば、少なくともこの進行中シナリオによってパケットフラッドが発生する可能性がなくなる。
終了状態636は、「UDP_flooding(フラッド実行)」の状態である。終了状態636の時点では、パケットフラッディングによる攻撃が既に開始されている。
このように、Trinooと呼ばれるツールはコマンドベースで動作し、各コマンドに与える引数を監視することによって、最終的な被害に関する情報(DDoS攻撃の時間、パケットサイズ、等)を類推できる。なお、DDoS攻撃は、いったん攻撃が開始されると被害を回避することは困難と言われている。したがって、DDoS攻撃を予測することで、DDoS攻撃が発生する前に段階的且つ柔軟な対策を選択・実施することが必要である。
第6の実施の形態では、各状態に対応付けて、その状態のときの予測インパクト/対策定義テーブルが予め設定されている。
図22は、「UDP_waiting」の状態に対応する予測インパクト/対策定義テーブルの例を示す図である。予測インパクト/対策定義テーブル640には、予測インパクトとして、インパクト(攻撃)までの時間、インパクトの発生確率、インパクトの大きさが設定されている。なお、インパクトの大きさは、「大」、「中」、「小」の3段階で示されている。また、予測インパクトに対して、実施する対策が設定されている。
図22の例では、5分以内にインパクトがある確率は70%であり、そのときのインパクトの大きさは「大」である。1時間以内にインパクトがある確率は10%であり、そのときのインパクトの大きさは「大」である。1日以内にインパクトがある確率は10%であり、そのときのインパクトの大きさは「中」である。
このような予測インパクトの場合、緊急性が高くインパクトも大きいため、当該通信を以後一時間遮断するという実施対策となる。この実施対策を自動実行する場合、通信の遮断を指示する対策要求620が事前対策実施部560に通知される。すると、事前対策実施部560によって、たとえば、ハンドラとエージェントとの間の通信が遮断される。
図23は、「config_waiting」の状態に対応する予測インパクト/対策定義テーブルの例を示す図である。この予測インパクト/対策定義テーブル650によれば、1時間以内にインパクトがある確率は10%であり、そのときのインパクトの大きさは「中」である。1日以内にインパクトがある確率は40%であり、そのときのインパクトの大きさは「大」である。3日以内にインパクトがある確率は30%であり、そのときのインパクトの大きさは「大」である。
このような予測インパクトの場合、図22に比べ、比較的対策時間に余裕がある(緊急性は低い)。そこで、対策として、攻撃を起こしそうなホストの管理者(管理ホスト)に連絡する。また、当該通信を、以後3日間監視し、必要に応じて遮断する。この実施対策を自動実行する場合、通信の遮断を指示する対策要求620が事前対策実施部560に通知される。すると、事前対策実施部560によって、たとえば、通信の監視が行われる。
なお、DDoS攻撃のエージェントの種類及びその位置(装置のIPアドレス等)を特定できた場合、当該装置や周囲のネットワークのスペックを取得し併せて分析することで、DDoS攻撃の浪費帯域等について予測を行うこともできる。
なお、上記の実施の形態では、不正アクセス検知装置を単体の装置として説明したが、不正アクセス検知装置の機能をファイアウォールやその他のコンピュータに内蔵することもできる。
上記の処理機能は、コンピュータによって実現することができる。その場合、不正アクセス検知装置が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリなどがある。磁気記録装置には、ハードディスク装置(HDD)、フレキシブルディスク(FD)、磁気テープなどがある。光ディスクには、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)などがある。光磁気記録媒体には、MO(Magneto-Optical disk)などがある。
プログラムを流通させる場合には、たとえば、そのプログラムが記録されたDVD、CD−ROMなどの可搬型記録媒体が販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
プログラムを実行するコンピュータは、たとえば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送される毎に、逐次、受け取ったプログラムに従った処理を実行することもできる。
(付記1) ネットワークを介した不正アクセスを検出するための不正アクセス検知装置において、
準備動作を経て不正アクセスが実行されるまでに前記ネットワークを介して行われる処理の手順を定義した不正アクセスシナリオが格納された不正アクセスシナリオ記憶手段と、
前記不正アクセスシナリオに沿って前記ネットワークを介して行われた処理の経過を示す進行中シナリオを、前記進行中シナリオに関連する処理と他の処理とを区別するためのキーデータに対応付けて格納する進行中シナリオ記憶手段と、
前記ネットワークを介して通信されるパケットを取得し、取得した前記パケットから前記キーデータを抽出するキーデータ抽出手段と、
前記キーデータ抽出手段が抽出した前記キーデータを検索キーとして、前記進行中シナリオ記憶手段から前記進行中シナリオを検索する進行中シナリオ検索手段と、
前記進行中シナリオ検索手段で検出された前記進行中シナリオに続けて前記パケットで示される処理を行うことが、前記不正アクセスシナリオ記憶手段に格納されている前記不正アクセスシナリオに沿っているかどうかを照合する照合手段と、
前記照合手段による照合の結果、前記不正アクセスシナリオに沿っていると判断されたとき、前記進行中シナリオ記憶手段に格納されている前記進行中シナリオを更新する進行中シナリオ更新手段と、
前記照合手段による照合の結果に基づいて、前記不正アクセスシナリオに沿った処理の進行状況を示す不正アクセスレポートを出力するレポート出力手段と、
を有することを特徴とする不正アクセス検知装置。
(付記2) 前記レポート出力手段は、前記進行中シナリオ検索手段で検出された前記進行中シナリオが、前記不正アクセスシナリオの最後の処理まで進行したときに前記不正アクセスレポートを出力することを特徴とする付記1記載の不正アクセス検知装置。
(付記3) 前記進行中シナリオ記憶手段は、前記進行中シナリオに対応付けて、前記進行中シナリオの進捗度を示す数値を記憶しており、
前記進行中シナリオ更新手段は、前記進捗度の数値を増加させることで、前記進行中シナリオを更新することを特徴等する付記1記載の不正アクセス検知装置。
(付記4) 前記レポート出力手段は、前記進捗度が所定の値を超えたとき、前記不正アクセスレポートを出力することを特徴とする付記記載の不正アクセス検知装置。
(付記5) 前記不正アクセスシナリオ記憶手段では、前記不正アクセスシナリオに関し、前記ネットワークを介して行われる処理を示す情報の発信元と宛先とのそれぞれに対して役割が設定されており、
前記照合手段は、前記パケットで示される処理の発信元と宛先とが、前記不正アクセスシナリオで定義された役割を担っているかどうかを判定することを特徴とする付記1記載の不正アクセス検知装置。
(付記6) 前記不正アクセスシナリオ記憶手段に格納された前記不正アクセスシナリオは、前記ネットワークを介して行われる処理の指示や応答の際に発生するイベントを契機とした状態遷移によって、準備動作を経て不正アクセスが実行されるまでの処理手順が定義されており、
前記照合手段は、前記パケットで示される処理のイベントによる状態遷移が、前記不正アクセスシナリオに沿っているか否かを判定することを特徴とする付記1記載の不正アクセス検知装置。
(付記7) 前記不正アクセスシナリオ記憶手段に格納された前記不正アクセスシナリオは、処理が次の段階へ進行するまでの有効期限が設定されており、
前記照合手段は、前記パケットで示される処理が、前記有効期限内に発生した処理かどうかを判定することを特徴とする付記1記載の不正アクセス検知装置。
(付記8) 前記不正アクセスシナリオ記憶手段に格納された前記不正アクセスシナリオは、シナリオが進行する毎に加算される重みが定義されており、
前記レポート出力手段は、重みのトータルが所定値を超えたとき、前記不正アクセスレポートを出力することを特徴とする付記1記載の不正アクセス検知装置。
(付記9) ネットワークを介した不正アクセスを検出するための不正アクセス検知方法において、
前記ネットワークを介して通信されるパケットを取得し、取得した前記パケットから所定のキーデータを抽出し、
準備動作を経て不正アクセスが実行されるまでに前記ネットワークを介して行われる処理の手順を定義した不正アクセスシナリオに沿って前記ネットワークを介して行われた処理の経過を示す進行中シナリオを、前記進行中シナリオに関連する処理と他の処理とを区別するための前記キーデータに対応付けて格納する進行中シナリオ記憶手段から、前記パケットから抽出した前記キーデータを検索キーとして前記進行中シナリオを検索し、
前記不正アクセスシナリオが格納された不正アクセスシナリオ記憶手段を参照し、検出された前記進行中シナリオに続けて前記パケットで示される処理を行うことが前記不正アクセスシナリオに沿っているかどうかを照合し、
照合の結果、前記不正アクセスシナリオに沿っていると判断されたとき、前記進行中シナリオ記憶手段に格納されている前記進行中シナリオを更新し、
照合の結果に基づいて、前記不正アクセスシナリオに沿った処理の進行状況を示す不正アクセスレポートを出力する、
ことを特徴とする不正アクセス検知方法。
(付記10) ネットワークを介した不正アクセスを検出するための不正アクセス検知プログラムにおいて、
コンピュータを、
準備動作を経て不正アクセスが実行されるまでに前記ネットワークを介して行われる処理の手順を定義した不正アクセスシナリオが格納された不正アクセスシナリオ記憶手段、
前記不正アクセスシナリオに沿って前記ネットワークを介して行われた処理の経過を示す進行中シナリオを、前記進行中シナリオに関連する処理と他の処理とを区別するためのキーデータに対応付けて格納する進行中シナリオ記憶手段、
前記ネットワークを介して通信されるパケットを取得し、取得した前記パケットから前記キーデータを抽出するキーデータ抽出手段、
前記キーデータ抽出手段が抽出した前記キーデータを検索キーとして、前記進行中シナリオ記憶手段から前記進行中シナリオを検索する進行中シナリオ検索手段、
前記進行中シナリオ検索手段で検出された前記進行中シナリオに続けて前記パケットで示される処理を行うことが、前記不正アクセスシナリオ記憶手段に格納されている前記不正アクセスシナリオに沿っているかどうかを照合する照合手段、
前記照合手段による照合の結果、前記不正アクセスシナリオに沿っていると判断されたとき、前記進行中シナリオ記憶手段に格納されている前記進行中シナリオを更新する進行中シナリオ更新手段、
前記照合手段による照合の結果に基づいて、前記不正アクセスシナリオに沿った処理の進行状況を示す不正アクセスレポートを出力するレポート出力手段、
として機能させるための不正アクセス検知プログラム。
(付記11) ネットワークを介した不正アクセスを検出するための不正アクセス検知プログラムを記録したコンピュータ読み取り可能な記録媒体において、
コンピュータを、
準備動作を経て不正アクセスが実行されるまでに前記ネットワークを介して行われる処理の手順を定義した不正アクセスシナリオが格納された不正アクセスシナリオ記憶手段、
前記不正アクセスシナリオに沿って前記ネットワークを介して行われた処理の経過を示す進行中シナリオを、前記進行中シナリオに関連する処理と他の処理とを区別するためのキーデータに対応付けて格納する進行中シナリオ記憶手段、
前記ネットワークを介して通信されるパケットを取得し、取得した前記パケットから前記キーデータを抽出するキーデータ抽出手段、
前記キーデータ抽出手段が抽出した前記キーデータを検索キーとして、前記進行中シナリオ記憶手段から前記進行中シナリオを検索する進行中シナリオ検索手段、
前記進行中シナリオ検索手段で検出された前記進行中シナリオに続けて前記パケットで示される処理を行うことが、前記不正アクセスシナリオ記憶手段に格納されている前記不正アクセスシナリオに沿っているかどうかを照合する照合手段、
前記照合手段による照合の結果、前記不正アクセスシナリオに沿っていると判断されたとき、前記進行中シナリオ記憶手段に格納されている前記進行中シナリオを更新する進行中シナリオ更新手段、
前記照合手段による照合の結果に基づいて、前記不正アクセスシナリオに沿った処理の進行状況を示す不正アクセスレポートを出力するレポート出力手段、
として機能させるための不正アクセス検知プログラムを記録したコンピュータ読み取り可能な記録媒体。
実施の形態に適用される発明の概念図である。 第1の実施の形態に係るネットワークシステムの構成例を示す図である。 本発明の実施の形態に用いる不正アクセス検知装置のハードウェア構成例を示す図である。 第1の実施の形態に係る不正アクセス検知装置の内部構成を示すブロック図である。 第1の実施の形態のシナリオ検出部の機能を示すブロック図である。 シナリオ定義DBのデータ構造例を示す図である。 進行中シナリオDBのデータ構造例を示す図である。 シナリオ検出処理の手順を示すフローチャートである。 DDoS攻撃の発生メカニズムを示す概念図である。 第2の実施の形態に係る不正アクセス検知装置の内部構成を示すブロック図である。 第2の実施の形態のシナリオ検出部の機能を示すブロック図である。 役割指定シナリオ定義DBのデータ構造例を示す図である。 役割指定進行中シナリオDBのデータ構造例を示す図である。 第3の実施の形態のシナリオ定義DBに定義されるイベント遷移を示す図である。 第4の実施の形態のシナリオ定義DBに定義されるイベント遷移を示す図である。 第5の実施の形態のイベント遷移DBに設定されるイベント遷移の例を示す図である。 第5の実施の形態における進行中シナリオDBのデータ構造例を示す図である。 第6の実施の形態に係る不正アクセス検知装置の内部構成を示すブロック図である。 第6の実施の形態のシナリオ検出部の機能を示すブロック図である。 Trinooに対する設定コマンドを示す図である。 Trinooに応じた不正アクセスシナリオのイベント遷移を示す図である。 「UDP_waiting」の状態に対応する予測インパクト/対策定義テーブルの例を示す図である。 「config_waiting」の状態に対応する予測インパクト/対策定義テーブルの例を示す図である。
符号の説明
1 不正アクセス検知装置
1a 不正アクセスシナリオ記憶手段
1b 進行中シナリオ記憶手段
1c キーデータ抽出手段
1d 進行中シナリオ検索手段
1e 照合手段
1f 進行中シナリオ更新手段
1g レポート出力手段
2 ネットワーク
3 発信元装置
4 宛先装置
5 パケット
6 不正アクセスレポート

Claims (4)

  1. ネットワークを介した不正アクセスを検出するための不正アクセス検知装置において、
    準備動作を経て不正アクセスが実行されるまでに、前記ネットワークを介して行われる処理を示す情報の発信元と宛先とによって、それぞれに対して設定された役割に応じて前記ネットワークを介して行われる処理の手順を定義した不正アクセスシナリオが格納された不正アクセスシナリオ記憶手段と、
    前記不正アクセスシナリオに沿って前記ネットワークを介して行われた処理の経過を示す進行中シナリオを、前記進行中シナリオに関連する処理と他の処理とを区別するためのキーデータに対応付けて格納する進行中シナリオ記憶手段と、
    前記ネットワークを介して通信されるパケットを取得し、取得した前記パケットから前記キーデータを抽出するキーデータ抽出手段と、
    前記キーデータ抽出手段が抽出した前記キーデータを検索キーとして、前記進行中シナリオ記憶手段から前記進行中シナリオを検索する進行中シナリオ検索手段と、
    前記進行中シナリオ検索手段で検出された前記進行中シナリオに続けて、前記パケットの発信元と宛先とによって前記パケットで示される処理を行うことが、前記不正アクセスシナリオ記憶手段に格納されている前記不正アクセスシナリオに示される発信元と宛先との役割に応じた処理の手順に沿っているかどうかを照合する照合手段と、
    前記照合手段による照合の結果、前記不正アクセスシナリオに沿っていると判断されたとき、前記進行中シナリオ記憶手段に格納されている前記進行中シナリオを更新する進行中シナリオ更新手段と、
    前記照合手段による照合の結果に基づいて、前記不正アクセスシナリオに沿った処理の進行状況を示す不正アクセスレポートを出力するレポート出力手段と、
    を有することを特徴とする不正アクセス検知装置。
  2. 前記不正アクセスシナリオ記憶手段に格納された前記不正アクセスシナリオは、前記ネットワークを介して行われる処理の指示や応答の際に発生するイベントを契機とした状態遷移によって、準備動作を経て不正アクセスが実行されるまでの処理手順が定義されており、
    前記照合手段は、前記パケットで示される処理のイベントによる状態遷移が、前記不正アクセスシナリオに沿っているか否かを判定することを特徴とする請求項1記載の不正アクセス検知装置。
  3. ネットワークを介した不正アクセスを検出するための不正アクセス検知方法において、
    前記ネットワークを介して通信されるパケットを取得し、取得した前記パケットから所定のキーデータを抽出し、
    準備動作を経て不正アクセスが実行されるまでに、前記ネットワークを介して行われる処理を示す情報の発信元と宛先とによって、それぞれに対して設定された役割に応じて前記ネットワークを介して行われる処理の手順を定義した不正アクセスシナリオに沿って前記ネットワークを介して行われた処理の経過を示す進行中シナリオを、前記進行中シナリオに関連する処理と他の処理とを区別するための前記キーデータに対応付けて格納する進行中シナリオ記憶手段から、前記パケットから抽出した前記キーデータを検索キーとして前記進行中シナリオを検索し、
    前記不正アクセスシナリオが格納された不正アクセスシナリオ記憶手段を参照し、検出された前記進行中シナリオに続けて、前記パケットの発信元と宛先とによって前記パケットで示される処理を行うことが、前記不正アクセスシナリオに示される発信元と宛先との役割に応じた処理の手順に沿っているかどうかを照合し、
    照合の結果、前記不正アクセスシナリオに沿っていると判断されたとき、前記進行中シナリオ記憶手段に格納されている前記進行中シナリオを更新し、
    照合の結果に基づいて、前記不正アクセスシナリオに沿った処理の進行状況を示す不正アクセスレポートを出力する、
    ことを特徴とする不正アクセス検知方法。
  4. ネットワークを介した不正アクセスを検出するための不正アクセス検知プログラムにおいて、
    コンピュータを、
    準備動作を経て不正アクセスが実行されるまでに、前記ネットワークを介して行われる処理を示す情報の発信元と宛先とによって、それぞれに対して設定された役割に応じて前記ネットワークを介して行われる処理の手順を定義した不正アクセスシナリオが格納された不正アクセスシナリオ記憶手段、
    前記不正アクセスシナリオに沿って前記ネットワークを介して行われた処理の経過を示す進行中シナリオを、前記進行中シナリオに関連する処理と他の処理とを区別するためのキーデータに対応付けて格納する進行中シナリオ記憶手段、
    前記ネットワークを介して通信されるパケットを取得し、取得した前記パケットから前記キーデータを抽出するキーデータ抽出手段、
    前記キーデータ抽出手段が抽出した前記キーデータを検索キーとして、前記進行中シナリオ記憶手段から前記進行中シナリオを検索する進行中シナリオ検索手段、
    前記進行中シナリオ検索手段で検出された前記進行中シナリオに続けて、前記パケットの発信元と宛先とによって前記パケットで示される処理を行うことが、前記不正アクセスシナリオ記憶手段に格納されている前記不正アクセスシナリオに示される発信元と宛先との役割に応じた処理の手順に沿っているかどうかを照合する照合手段、
    前記照合手段による照合の結果、前記不正アクセスシナリオに沿っていると判断されたとき、前記進行中シナリオ記憶手段に格納されている前記進行中シナリオを更新する進行中シナリオ更新手段、
    前記照合手段による照合の結果に基づいて、前記不正アクセスシナリオに沿った処理の進行状況を示す不正アクセスレポートを出力するレポート出力手段、
    として機能させるための不正アクセス検知プログラム。
JP2003368063A 2003-10-28 2003-10-28 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム Expired - Fee Related JP3999188B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2003368063A JP3999188B2 (ja) 2003-10-28 2003-10-28 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
US10/822,558 US7313818B2 (en) 2003-10-28 2004-04-12 Device, method and program for detecting unauthorized access

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003368063A JP3999188B2 (ja) 2003-10-28 2003-10-28 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム

Publications (2)

Publication Number Publication Date
JP2005136526A JP2005136526A (ja) 2005-05-26
JP3999188B2 true JP3999188B2 (ja) 2007-10-31

Family

ID=34510329

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003368063A Expired - Fee Related JP3999188B2 (ja) 2003-10-28 2003-10-28 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム

Country Status (2)

Country Link
US (1) US7313818B2 (ja)
JP (1) JP3999188B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9853994B2 (en) 2013-01-21 2017-12-26 Mitsubishi Electric Corporation Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program

Families Citing this family (207)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9614772B1 (en) 2003-10-20 2017-04-04 F5 Networks, Inc. System and method for directing network traffic in tunneling applications
US7694022B2 (en) * 2004-02-24 2010-04-06 Microsoft Corporation Method and system for filtering communications to prevent exploitation of a software vulnerability
US9027135B1 (en) 2004-04-01 2015-05-05 Fireeye, Inc. Prospective client identification using malware attack detection
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8561177B1 (en) 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
US8375444B2 (en) 2006-04-20 2013-02-12 Fireeye, Inc. Dynamic signature creation and enforcement
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8006305B2 (en) * 2004-06-14 2011-08-23 Fireeye, Inc. Computer worm defense system and method
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8539582B1 (en) 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US8204984B1 (en) 2004-04-01 2012-06-19 Fireeye, Inc. Systems and methods for detecting encrypted bot command and control communication channels
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
JP4371905B2 (ja) * 2004-05-27 2009-11-25 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
JP2006350654A (ja) * 2005-06-15 2006-12-28 Yaskawa Information Systems Co Ltd サーバ計算機
US8418233B1 (en) * 2005-07-29 2013-04-09 F5 Networks, Inc. Rule based extensible authentication
US8533308B1 (en) 2005-08-12 2013-09-10 F5 Networks, Inc. Network traffic management through protocol-configurable transaction processing
US8732476B1 (en) * 2006-04-13 2014-05-20 Xceedium, Inc. Automatic intervention
US20070283166A1 (en) * 2006-06-05 2007-12-06 Kabushiki Kaisha Toshiba System and method for state transition intrusion detection
JP4773332B2 (ja) * 2006-12-28 2011-09-14 三菱電機株式会社 セキュリティ管理装置及びセキュリティ管理方法及びプログラム
US8353032B1 (en) * 2007-06-29 2013-01-08 Symantec Corporation Method and system for detecting identity theft or unauthorized access
JP5095286B2 (ja) * 2007-07-13 2012-12-12 株式会社日立システムズ 通信制御システム
US9832069B1 (en) 2008-05-30 2017-11-28 F5 Networks, Inc. Persistence based on server response in an IP multimedia subsystem (IMS)
US9130846B1 (en) 2008-08-27 2015-09-08 F5 Networks, Inc. Exposed control components for customizable load balancing and persistence
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8832829B2 (en) * 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US9762605B2 (en) 2011-12-22 2017-09-12 Phillip King-Wilson Apparatus and method for assessing financial loss from cyber threats capable of affecting at least one computer network
US9147180B2 (en) * 2010-08-24 2015-09-29 Varonis Systems, Inc. Data governance for email systems
US9519782B2 (en) 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
JP5868514B2 (ja) * 2012-09-19 2016-02-24 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
US20150193617A1 (en) * 2012-09-25 2015-07-09 Mitsubishi Electric Corporation Signature verification device, signature verification method, and program
JP5987627B2 (ja) * 2012-10-22 2016-09-07 富士通株式会社 不正アクセス検出方法、ネットワーク監視装置及びプログラム
US8844019B2 (en) * 2012-11-21 2014-09-23 Check Point Software Technologies Ltd. Penalty box for mitigation of denial-of-service attacks
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
EP3044718A4 (en) * 2013-09-10 2017-05-17 Symantec Corporation Systems and methods for using event-correlation graphs to detect attacks on computing systems
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US10089461B1 (en) 2013-09-30 2018-10-02 Fireeye, Inc. Page replacement code injection
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9519775B2 (en) * 2013-10-03 2016-12-13 Qualcomm Incorporated Pre-identifying probable malicious behavior based on configuration pathways
US9213831B2 (en) 2013-10-03 2015-12-15 Qualcomm Incorporated Malware detection and prevention by monitoring and modifying a hardware pipeline
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
JP6104149B2 (ja) * 2013-12-24 2017-03-29 三菱電機株式会社 ログ分析装置及びログ分析方法及びログ分析プログラム
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9507935B2 (en) 2014-01-16 2016-11-29 Fireeye, Inc. Exploit detection system with threat-aware microvisor
US9519758B2 (en) * 2014-02-04 2016-12-13 Pegasus Media Security, Llc System and process for monitoring malicious access of protected content
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
CN106062765B (zh) 2014-02-26 2017-09-22 三菱电机株式会社 攻击检测装置和攻击检测方法
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
JP2015225500A (ja) * 2014-05-28 2015-12-14 富士通株式会社 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
JP2016181191A (ja) * 2015-03-25 2016-10-13 富士通株式会社 管理プログラム、管理装置及び管理方法
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
JP2017005960A (ja) * 2015-06-16 2017-01-05 株式会社東芝 ディジタル保護制御装置
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10050999B1 (en) * 2015-09-22 2018-08-14 Amazon Technologies, Inc. Security threat based auto scaling
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US20190018959A1 (en) * 2015-12-09 2019-01-17 Nec Corporation Diagnosis device, diagnosis method, and non-transitory recording medium
US10754719B2 (en) 2015-12-09 2020-08-25 Nec Corporation Diagnosis device, diagnosis method, and non-volatile recording medium
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
JP2017129894A (ja) * 2016-01-18 2017-07-27 三菱電機株式会社 サイバー攻撃検知システム
JP2017138688A (ja) * 2016-02-02 2017-08-10 株式会社リコー 情報処理装置、情報処理システム情報処理方法およびプログラム
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US9692784B1 (en) 2016-10-25 2017-06-27 Fortress Cyber Security, LLC Security appliance
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
JP6903901B2 (ja) 2016-11-28 2021-07-14 富士通株式会社 攻撃検知装置、攻撃検知プログラム及び攻撃検知方法
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
CN108259449B (zh) 2017-03-27 2020-03-06 新华三技术有限公司 一种防御apt攻击的方法和系统
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
JP6869100B2 (ja) * 2017-05-12 2021-05-12 株式会社Pfu 情報処理装置、不正活動分類方法および不正活動分類用プログラム
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
JP6858676B2 (ja) * 2017-09-04 2021-04-14 三菱電機株式会社 プラントのセキュリティ対処支援システム
CN111108495A (zh) * 2017-09-21 2020-05-05 三菱电机株式会社 警报频度控制装置和警报频度控制程序
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11381593B2 (en) * 2017-12-11 2022-07-05 Radware, Ltd. System and method for providing insights on distributed denial of service attacks
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
JP7079721B2 (ja) * 2018-12-05 2022-06-02 アラクサラネットワークス株式会社 ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法
US11176251B1 (en) 2018-12-21 2021-11-16 Fireeye, Inc. Determining malware via symbolic function hash analysis
US11743290B2 (en) 2018-12-21 2023-08-29 Fireeye Security Holdings Us Llc System and method for detecting cyberattacks impersonating legitimate sources
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11601444B1 (en) 2018-12-31 2023-03-07 Fireeye Security Holdings Us Llc Automated system for triage of customer issues
US11310238B1 (en) 2019-03-26 2022-04-19 FireEye Security Holdings, Inc. System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources
US11677786B1 (en) 2019-03-29 2023-06-13 Fireeye Security Holdings Us Llc System and method for detecting and protecting against cybersecurity attacks on servers
US11636198B1 (en) 2019-03-30 2023-04-25 Fireeye Security Holdings Us Llc System and method for cybersecurity analyzer update and concurrent management system
US11431734B2 (en) * 2019-04-18 2022-08-30 Kyndryl, Inc. Adaptive rule generation for security event correlation
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
WO2021084961A1 (ja) * 2019-10-29 2021-05-06 日立Astemo株式会社 分析装置及び分析方法
US11838300B1 (en) 2019-12-24 2023-12-05 Musarubra Us Llc Run-time configurable cybersecurity system
US11522884B1 (en) 2019-12-24 2022-12-06 Fireeye Security Holdings Us Llc Subscription and key management system
US11436327B1 (en) 2019-12-24 2022-09-06 Fireeye Security Holdings Us Llc System and method for circumventing evasive code for cyberthreat detection

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9853994B2 (en) 2013-01-21 2017-12-26 Mitsubishi Electric Corporation Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program

Also Published As

Publication number Publication date
US20050091513A1 (en) 2005-04-28
US7313818B2 (en) 2007-12-25
JP2005136526A (ja) 2005-05-26

Similar Documents

Publication Publication Date Title
JP3999188B2 (ja) 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
US7870612B2 (en) Antivirus protection system and method for computers
US8326881B2 (en) Detection of network security breaches based on analysis of network record logs
US8006302B2 (en) Method and system for detecting unauthorized use of a communication network
US8544099B2 (en) Method and device for questioning a plurality of computerized devices
US7568232B2 (en) Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus
US9325725B2 (en) Automated deployment of protection agents to devices connected to a distributed computer network
US20050203921A1 (en) System for protecting database applications from unauthorized activity
US20060288414A1 (en) Method and system for preventing virus infection
CN107347057B (zh) 入侵检测方法、检测规则生成方法、装置及系统
CN112787992A (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
CN101147143A (zh) 向计算机系统和网络提供安全性的方法和装置
CN111800405A (zh) 检测方法及检测设备、存储介质
Yamada et al. RAT-based malicious activities detection on enterprise internal networks
US11916945B2 (en) Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity
JP2006146600A (ja) 動作監視サーバ、端末装置及び動作監視システム
CN113449302A (zh) 一种检测恶意软件的方法
CN115086081B (zh) 一种蜜罐防逃逸方法及系统
JP2005316779A (ja) 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム
TWI711939B (zh) 用於惡意程式碼檢測之系統及方法
Wu et al. A novel approach to trojan horse detection by process tracing
CN115664770A (zh) 一种电力应用系统账户安全防御系统、方法、介质及设备
JP2015219859A (ja) ネットワーク制御システム及びネットワーク制御方法
JP2005057522A (ja) ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム
JP2020046698A (ja) 監視装置、監視方法及び監視プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050413

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070306

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070508

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070709

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070807

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070808

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100817

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110817

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120817

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120817

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130817

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees