JP4823813B2 - 異常検知装置、異常検知プログラム、および記録媒体 - Google Patents
異常検知装置、異常検知プログラム、および記録媒体 Download PDFInfo
- Publication number
- JP4823813B2 JP4823813B2 JP2006230672A JP2006230672A JP4823813B2 JP 4823813 B2 JP4823813 B2 JP 4823813B2 JP 2006230672 A JP2006230672 A JP 2006230672A JP 2006230672 A JP2006230672 A JP 2006230672A JP 4823813 B2 JP4823813 B2 JP 4823813B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- packet information
- packet
- host
- normal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、コンピュータウィルス等によって発生するコンピュータの異常を検知する異常検知装置に関する。また、本発明は、本異常検知装置としてコンピュータを機能させるための異常検知プログラム、および本異常検知プログラムを記録したコンピュータ読み取り可能な記録媒体にも関する。
コンピュータウィルスによる攻撃等を検知する仕組みとして、侵入検知システム(Intrusion Detection System:IDS)やウィルス検知システム(Virus Detection System:VDS)がある。これらのシステムでは、システムへの侵入時やウィルス感染時に発生する攻撃パケットと所定のパターンファイルを比較することにより、既知の攻撃が検知される(例えば非特許文献1〜非特許文献3参照)。
特許文献1には、ユーザの属性毎に定められた操作ルールから、ユーザの属性に対応するルールを参照し、さらにユーザの属性に関わらず一般的に不正と判定すべきルールを参照し、ユーザの端末操作の不正判定を行うことが記載されている。特許文献2には、PC(Personal Computer)から発信されるパケットが未使用のIPアドレスへ向かう場合に、ウィルス感染による攻撃を認識することが記載されている。特許文献3には、内部ネットワーク上の全パケットをキャプチャし、そのパケットを命令列として、攻撃決定命令の有無を解析することが記載されている。
特開2005−322261号公報
特開2005−333200号公報
特開2005−182187号公報
Stephen Northcutt,Mark Cooper,Matt Fearnow,Karen Fredrick,"Intrusion Signature and Analysis",New Riders Publishing,January 2001
武田 圭史,磯崎 宏,"ネットワーク侵入検知",SOFT BANK Publishing,2000年6月9日
アトミックドロップ,"コンピュータウイルスがわかる",技術評論社,2000年10月25日
特許文献1に記載された技術では、ユーザに許された操作権限を逸脱する場合に不正と判定されるので、ウィルス感染を検知することができない。特許文献2に記載された技術では、パケットの宛先IPアドレスのみに注目しており、使用中のIPアドレスのみへアクセスするウィルスについては、それが既知か未知かに関わらず、検知することができない。特許文献3に記載された技術では、既知の攻撃決定命令を用いた判定が行われるので、未知の攻撃決定命令を含むウィルスを検知することができない。
本発明は、上述した問題点に鑑みてなされたものであって、コンピュータウィルス等によるコンピュータの異常を検知することができ、特に未知のコンピュータウィルスによるコンピュータの異常をも検知することができる異常検知装置、異常検知プログラム、および記録媒体を提供することを目的とする。
本発明は、上記の課題を解決するためになされたもので、コンピュータウィルスに感染していない正常なコンピュータから送信されたパケットの情報を示す第1の正常パケット情報を記憶する正常パケット情報記憶手段と、監視対象のコンピュータから送信されたパケットの情報を示す第1の監視対象パケット情報を記憶する監視対象パケット情報記憶手段と、前記第1の正常パケット情報と前記第1の監視対象パケット情報を比較し、前記第1の監視対象パケット情報に含まれるパケットの情報が、前記第1の正常パケット情報に含まれるパケットの情報と一致しなかった場合に、異常が発生したと判定する異常判定手段とを備えたことを特徴とする異常検知装置である。
また、本発明の異常検知装置は、コンピュータウィルスに感染しているコンピュータを含む1以上のコンピュータから送信されたパケットの情報から前記第1の正常パケット情報を除いた第1の不正パケット情報を記憶する不正パケット情報記憶手段と、前記第1の不正パケット情報と前記第1の監視対象パケット情報を比較し、前記第1の監視対象パケット情報に含まれるパケットの情報が、前記第1の不正パケット情報に含まれるパケットの情報と一致した場合に、不正が発生したと判定する不正判定手段とをさらに備えたことを特徴とする。
また、本発明の異常検知装置は、前記監視対象のコンピュータの操作履歴を示す操作履歴情報を記憶する操作履歴情報記憶手段と、前記操作履歴情報に基づいて、前記監視対象のコンピュータが操作されていない時間に前記監視対象のコンピュータから送信されたパケットの情報を前記第1の監視対象パケット情報から抽出することによって、第2の監視対象パケット情報を生成する監視対象パケット情報生成手段と、を備え、前記異常判定手段は、前記正常なコンピュータが操作されていない時間に前記正常なコンピュータから送信されたパケットの情報を前記第1の正常パケット情報から抽出することによって生成された第2の正常パケット情報と前記第2の監視対象パケット情報を比較し、前記第2の監視対象パケット情報に含まれるパケットの情報が、前記第2の正常パケット情報に含まれるパケットの情報と一致しなかった場合に、異常が発生したと判定することを特徴とする。
また、本発明の異常検知装置において、前記不正パケット情報記憶手段は、コンピュータウィルスに感染しているコンピュータを含む1以上のコンピュータから該コンピュータが操作されていない時間に送信されたパケットの情報から前記第2の正常パケット情報を除いた第2の不正パケット情報を記憶し、前記不正判定手段は、前記第2の不正パケット情報と前記第2の監視対象パケット情報を比較し、前記第2の監視対象パケット情報に含まれるパケットの情報が、前記第2の不正パケット情報に含まれるパケットの情報と一致した場合に、不正が発生したと判定することを特徴とする。
また、本発明は、コンピュータウィルスに感染していない正常なコンピュータで起動されたタスクの情報を示す正常タスク情報を記憶する正常タスク情報記憶手段と、監視対象のコンピュータで起動されたタスクの情報を示す監視対象タスク情報を記憶する監視対象タスク情報記憶手段と、前記正常タスク情報と前記監視対象タスク情報を比較し、前記監視対象タスク情報に含まれるタスクの情報が、前記正常タスク情報に含まれるタスクの情報と一致しなかった場合に、異常が発生したと判定する異常判定手段とを備えたことを特徴とする異常検知装置である。
また、本発明の異常検知装置は、コンピュータウィルスに感染しているコンピュータを含む1以上のコンピュータで起動されたタスクの情報から前記正常タスク情報を除いた不正タスク情報を記憶する不正タスク情報記憶手段と、前記不正タスク情報と前記監視対象タスク情報を比較し、前記監視対象タスク情報に含まれるタスクの情報が、前記不正タスク情報に含まれるタスクの情報と一致した場合に、不正が発生したと判定する不正判定手段とをさらに備えたことを特徴とする。
また、本発明は、上記の異常検知装置としてコンピュータを機能させるための異常検知プログラムである。
また、本発明は、上記の異常検知プログラムを記録したコンピュータ読み取り可能な記録媒体である。
本発明によれば、監視対象のコンピュータで得られたパケットまたはタスクの情報が、コンピュータウィルスに感染していない正常なコンピュータで得られた情報と一致しなかった場合に、異常が発生したと判定する。コンピュータウィルスに感染したコンピュータは、正常なコンピュータと異なる挙動を行うので、正常なコンピュータと異なる挙動を検知した場合に異常が発生したと判定することによって、コンピュータウィルス等によるコンピュータの異常を検知することができる。特に、未知のコンピュータウィルスによるコンピュータの異常をも検知することができる。
以下、図面を参照し、本発明の実施形態を説明する。まず、本発明の実施形態の概略を説明する。図1に示されるように、ウィルスに感染していないことが保証されている正常な1以上のホスト10の情報が収集され、正常ホストプロファイル(本発明の正常パケット情報および正常タスク情報に対応)100Aが生成される。収集される正常なホストの情報は、正常なホスト(またはホスト群)から送信されたパケットの情報と、正常なホスト(またはホスト群)で起動されたタスク(プロセス)の情報である。
また、既知のウィルスに感染していることが確認されている不正なホスト11の情報が収集され、その情報から、正常ホストプロファイル100Aに含まれる情報を除いた情報で構成される不正ホストプロファイル(本発明の不正パケット情報および不正タスク情報に対応)100Bが生成される。収集される不正なホストの情報は、不正なホスト(またはホスト群)で起動されたタスクの情報と、不正なホスト(またはホスト群)から送信されたパケットの情報である。また、1以上の不正なホストを含むネットワーク12において、ネットワークを構成する各ホストの情報を収集し、その情報(ネットワークプロファイル100C)から、正常ホストプロファイル100Aに含まれる情報を除いた情報で構成される不正ネットワークプロファイル100Dを不正ホストプロファイル100Bの代わりに用いてもよい。
また、監視対象のホストにおいて、そのホストの情報(本発明の監視対象パケット情報および監視対象タスク情報に対応)が収集され、予め生成された正常ホストプロファイル100Aおよび不正ホストプロファイル100Bと比較される。そして、収集された情報の中に、正常ホストプロファイル100Aに含まれる情報と一致しない情報があった場合に、監視対象のホストに異常が発生したと判定される。また、正常ホストプロファイル100Aに含まれる情報と一致しなかった情報の中に、不正ホストプロファイル100Bに含まれる情報と一致する情報があった場合には、監視対象のホストに不正が発生したと判定される。本明細書では、ウィルスに感染していない正常な状態から外れた状態を異常とし、ウィルスに感染した状態と一致する状態を不正と定義している。
(第1の実施形態)
次に、本発明の第1の実施形態を説明する。本実施形態では、ホストから送信されるパケットの情報に基づいた異常・不正の検知が行われる。ホストからパケットが送信される場合には、ウィルスへの感染によってパケットが送信される場合と、ユーザの操作によってパケットが送信される場合とが含まれる。そこで、ユーザの操作によって送信されるパケットを異常・不正の検知処理の対象から除外することによって、ウィルス等による異常・不正の検知精度を高めるため、ユーザがホストを操作していない時間(以下、無操作時間と表記)にホストから送信されるパケットの情報に基づいて、異常・不正の検知が行われるようになっている。
次に、本発明の第1の実施形態を説明する。本実施形態では、ホストから送信されるパケットの情報に基づいた異常・不正の検知が行われる。ホストからパケットが送信される場合には、ウィルスへの感染によってパケットが送信される場合と、ユーザの操作によってパケットが送信される場合とが含まれる。そこで、ユーザの操作によって送信されるパケットを異常・不正の検知処理の対象から除外することによって、ウィルス等による異常・不正の検知精度を高めるため、ユーザがホストを操作していない時間(以下、無操作時間と表記)にホストから送信されるパケットの情報に基づいて、異常・不正の検知が行われるようになっている。
図2は、正常ホストプロファイルおよび不正ホストプロファイルを生成するホスト1a(PC等)の構成を示している。パケット取得処理部101は、ホスト1aから送信されるパケットの情報を取得し、パケット履歴情報100cとして記憶部103に格納する。パケット履歴情報100cには、パケットが送信された日時、送信先IPアドレス、送信先ポート番号、送信元IPアドレス、送信元ポート番号、プロトコル種別等の情報が含まれている。パケットは、例えばパケットキャプチャライブラリであるWinPcapを用いてpcap形式で取得することができ、取得したパケットから必要な情報が、パケット履歴情報100cを構成する情報として、パケット取得処理部101によって抽出される。
キー操作取得処理部102は、ホスト1aにおけるキー操作(ユーザによるキーボードやマウスの操作)の情報を取得し、キー操作履歴情報100dとして記憶部103に格納する。キー操作履歴情報100dには、キー操作が行われた日時やキー操作の種類等の情報が含まれている。キー操作の情報は、DLL(Dynamic Link Library)の1つであるSetWindows(登録商標)HookEx()ライブラリを用いて、キーログとして取得することができる。
記憶部103は、上記のパケット履歴情報100cやキー操作履歴情報100dの他、正常ホストプロファイル100aや不正ホストプロファイル100b等を記憶する。記憶部103は、例えばハードディスクドライブ、SRAM(Static Random Access Memory)、フラッシュメモリ等で構成され、揮発性および不揮発性のいずれのものも包含しうる。無操作時間検出部104は記憶部103からキー操作履歴情報100dを読み出し、キー操作履歴情報100dに基づいて、ユーザによってホスト1aが操作されていない無操作時間を検出する。
例えば、キー操作履歴情報100dを構成するキーイベントがその発生時刻順に並んでいる場合に、キーイベントの発生時刻同士が比較され、あるキーイベントの発生時刻から所定時間以内に次のキーイベントが発生している間は、無操作時間ではないと判定される。また、あるキーイベントの発生時刻から所定時間以内に次のキーイベントが発生しなかった場合には、あるキーイベントの発生時刻から所定時間が経過した後から、次のキーイベントが発生した時刻までが無操作時間として検出される。
パケット検索部105は、無操作時間検出部104から無操作時間の通知を受け、パケット履歴情報100cに含まれる情報の中から、無操作時間に送信されたパケットの情報を検索する。例えば、無操作時間として時刻Aから時刻Bまでの時間が通知されると、パケット検索部105は記憶部103からパケット履歴情報100cを読み出し、パケット履歴情報100cを構成する各情報に含まれる時刻情報を時刻Aおよび時刻Bと比較し、時刻Aと時刻Bの間の時刻を時刻情報として含むパケットの情報をパケット履歴情報100cから抽出する。
正常ホストプロファイル生成部106は、無操作時間に送信されたパケットの情報をパケット検索部105から受け取り、その情報に基づいて正常ホストプロファイル100aを生成し、記憶部103に格納する。正常ホストプロファイル生成部106が動作する場合、ホスト1aが、ウィルスに感染していない正常なホストであることが必要である。
不正ホストプロファイル生成部107は、記憶部103から正常ホストプロファイル100aを読み出す一方で、無操作時間に送信されたパケットの情報をパケット検索部105から受け取り、その情報から、正常ホストプロファイル100aに含まれる情報を除いて不正ホストプロファイル100bを生成し、記憶部103に格納する。
パケット検索部105からのパケットの情報のうち、不正ホストプロファイル100bを構成する情報から除外されるのは、正常ホストプロファイル100aに含まれる情報と一致する情報であり、一致するとは、時刻情報を除く送信先IPアドレス等の各項目の情報が全て一致することを指す。また、不正ホストプロファイル生成部107が動作する場合、ホスト1aが、ウィルスに感染している不正なホストであることが必要である。
上記では、正常ホストプロファイルを生成するための構成と、不正ホストプロファイルを生成するための構成とが同一のホストに設けられているが、それぞれが別個のホストに設けられていてもよい。
次に、正常ホストプロファイルおよび不正ホストプロファイルを構成する情報の詳細を説明する。図4に示されるように、パケットは、攻撃に共通な部分であるペイロード401と、通信毎に変化する部分であるヘッダ402とから構成される。図5は、パケットに含まれる情報を示しており、ペイロード501は、一例としてコードレッドと呼ばれるウィルスにより発生するパケットのペイロードを示している。ヘッダ502には、パケットの送信元のIPアドレス、送信先(宛先)のIPアドレス、プロトコル種別、パケットサイズ等の情報が含まれる。
ヘッダ402に含まれる情報は、そのままヘッダ情報403としてプロファイル400(正常ホストプロファイル、不正ホストプロファイルのいずれでもよい)に格納される。ペイロード401はハッシュ処理され、その処理で得られたハッシュ値404がプロファイル400に格納される。図6はヘッダ情報の一例を示している。時刻情報601として、ミリ秒単位で表された情報がヘッダ情報に含まれる。また、送信元IPアドレス602、送信元ポート番号603、送信先IPアドレス604、送信先ポート番号605、プロトコル種別606、パケットサイズ607のそれぞれがヘッダ情報に含まれる。
正常ホストプロファイル生成部106および不正ホストプロファイル生成部107は、上記のヘッダ情報403およびハッシュ値404を生成する他、ヘッダ情報403に基づいて統計情報405およびセッション情報406を生成し、プロファイル400に格納する。統計情報405は、所定の時間内に送信された全パケットの情報をまとめたものである。また、セッション情報406は、通信セッション毎にパケットの情報をまとめたものである。
図7は統計情報の一例を示している。統計情報には、統計情報の対象となる時間に関する情報701、トラヒック量や通信プロトコル毎のパケット数に関する情報702、パケットサイズ毎のパケット数に関する情報703、送信先ポートのパケット数に関する情報704、送信元および送信先のIPアドレスのパケット数に関する情報705、および情報エントロピーに関する情報706が含まれる。
情報エントロピー(H)は情報のばらつきの度合いを示しており、以下の式により算出される。
上式において、Piは、全情報の度数に占める情報iの度数の割合(発生確率)を表しており、kは情報単位の数を表している。例えば、送信元IPアドレスの情報エントロピー(Source IP情報エントロピー)を算出する場合、所定時間内に送信されたパケットの送信元IPアドレスの数が上式のkであり、全パケット数に占める各送信元IPアドレスのパケットの総数が上式のPiである。情報が多種の情報に分散して、情報のばらつきが大きくなると、情報エントロピーの値は大きくなり、情報が特定種の情報に偏って、情報のばらつきが小さくなると、情報エントロピーの値は小さくなる。
図8はセッション情報の一例を示しており、パケットに関するpcap形式のデータからTCP通信に関するセッションデータを組み立てた場合に、そのセッションデータに含まれる情報を示している。セッション情報には、通信セッションの開始時刻801、通信セッションの終了時刻802、通信セッションの継続時間803、送信元IPアドレス804、送信元ポート番号805、送信先IPアドレス806、送信先ポート番号807、送信パケットサイズ/送信パケット数808、受信パケットサイズ/受信パケット数809、エラーフラグ810が含まれる。
次に、上述した正常ホストプロファイルおよび不正ホストプロファイルを用いた異常・不正検知処理の詳細を説明する。図3は、異常・不正検知の対象(監視対象)となるホスト1b(PC等)の構成を示している。パケット取得処理部111は、ホスト1bから送信されるパケットの情報を取得し、パケット履歴情報110cとして記憶部113に格納する。パケット履歴情報110cには、パケットが送信された日時、送信先IPアドレス、送信先ポート番号、送信元IPアドレス、送信元ポート番号、プロトコル種別等の情報が含まれている。
キー操作取得処理部112は、ホスト1bにおけるキー操作(ユーザによるキーボードやマウスの操作)の情報を取得し、キー操作履歴情報110dとして記憶部113に格納する。キー操作履歴情報110dには、キー操作が行われた日時やキー操作の種類等の情報が含まれている。記憶部113は、上記のパケット履歴情報110cやキー操作履歴情報110dの他、正常ホストプロファイル110aや不正ホストプロファイル110b等を記憶する。記憶部113は、例えばハードディスクドライブ、SRAM、フラッシュメモリ等で構成され、揮発性および不揮発性のいずれのものも包含しうる。正常ホストプロファイル110aおよび不正ホストプロファイル110bは、通信等で他のホストから予め取得され、記憶部113に格納されているものとする。
無操作時間検出部114は記憶部113からキー操作履歴情報110dを読み出し、キー操作履歴情報110dに基づいて、ユーザによってホスト1bが操作されていない無操作時間を検出する。無操作時間の具体的な検出方法は、前述した方法と同様である。パケット検索部115は、無操作時間検出部114から無操作時間の通知を受け、パケット履歴情報110cに含まれる情報の中から、無操作時間に送信されたパケットの情報を検索する。具体的な検索方法は、前述した方法と同様である。
異常検知処理部116は記憶部113から正常ホストプロファイル110aを読み出し、ホスト1bから無操作時間に送信されたパケットの情報と、正常ホストプロファイル110aに含まれる情報とを比較し、両者が一致しなかった場合(言い換えると、ホスト1bで収集されたパケットの情報の中に、正常ホストプロファイル110aに含まれる情報と一致しない情報があった場合)に、異常が発生したと判定する。異常が発生したと判定した場合には、異常検知処理部116はそのことを不正検知処理部117およびアラート発信部118に通知する。
不正検知処理部117は、異常検知処理部116から異常発生の通知を受けた場合に動作する。この不正検知処理部117は記憶部113から不正ホストプロファイル110bを読み出し、ホスト1bから無操作時間に送信されたパケットの情報(不正検知の目的上は、異常検知処理部116で異常が発生したと判定されたときの判定に用いられたパケットの情報のみでよい)と、不正ホストプロファイル110bに含まれる情報とを比較し、両者が一致した場合(言い換えると、正常ホストプロファイル110aに含まれる情報と一致しなかったパケットの情報の中に、不正ホストプロファイル110bに含まれる情報と一致する情報があった場合)に、不正が発生したと判定する。不正が発生したと判定した場合には、不正検知処理部117はそのことをアラート発信部118に通知する。
アラート発信部118は、異常および不正の少なくとも一方が発生した場合に、ユーザに対するアラートを発信する。アラートは、警告音を発生したり、画面に警告を表示したりする等の方法により、発信される。パケット情報生成部119は、前述した統計情報やセッション情報が異常・不正検知処理に用いられる場合に、無操作時間に送信されたパケットの情報をパケット検索部115から受け取り、その情報から統計情報やセッション情報を生成し、異常検知処理部116に通知する。また、前述したハッシュ値が異常・不正検知処理に用いられる場合にも、パケット情報生成部119は、パケット検索部115から受け取ったパケットの情報からハッシュ値を生成し、異常検知処理部116に通知する。
上記のホスト1bが、前述したホスト1aの機能の少なくとも一部を備えていてもよい。例えば、ホスト1bが、無操作時間に限定されない時間に送信されたパケットについてのパケット履歴情報とキー操作履歴情報を他のホストから受け取り、そのキー操作履歴情報に基づいて、そのパケット履歴情報から、無操作時間に送信されたパケットの情報を抽出し、正常ホストプロファイル110aや不正ホストプロファイル110bを生成する機能を備えていてもよい。
次に、異常・不正検知処理の詳細を説明する。図9は異常・不正検知処理の手順を示している。無操作時間検出部114は記憶部113からキー操作履歴情報110dを読み出し、キー操作履歴情報110dに基づいて無操作時間を検出する。無操作時間検出部114は、検出した無操作時間をパケット検索部115に通知する(ステップS100)。
パケット検索部115は記憶部113からパケット履歴情報110cを読み出し、パケット履歴情報110cに含まれる情報の中から、ホスト1bで無操作時間に送信されたパケットの情報を検索する。パケット検索部115は、ホスト1bから無操作時間に送信されたパケットの情報を異常検知処理部116に通知する(ステップS110)。パケットの情報として、統計情報やセッション情報、ハッシュ値が異常・不正検知処理に用いられる場合には、パケット情報生成部119で生成された情報が異常検知処理部116に通知される。
異常検知処理部116は記憶部113から正常ホストプロファイル110aを読み出し、ホスト1bから無操作時間に送信されたパケットの情報と、正常ホストプロファイル110aに含まれる情報とを比較する。この比較は、比較対象の情報を順次入れ替えながら行われ、比較結果は順次記憶部113に格納される(ステップS120)。比較が終了したら、異常検知処理部116は記憶部113から全ての比較結果を読み出し、不一致を示す比較結果が存在するか否かを判定する(ステップS130)。
全ての比較結果が一致を示していた場合には、異常は検知されず、異常・不正検知処理が終了する。また、不一致を示す比較結果が存在した場合には、異常検知処理部116は、ホスト1bに異常が発生したと判定し、アラート発信部118に異常発生を通知する(ステップS140)。
続いて、異常検知処理部116は異常発生を不正検知処理部117に通知すると共に、ホスト1bで無操作時間に送信されたパケットの情報のうち、比較結果が不一致を示す比較処理に用いた情報を不正検知処理部117に通知する。不正検知処理部117は記憶部113から不正ホストプロファイル110bを読み出し、異常検知処理部116から通知されたパケットの情報と、不正ホストプロファイル110bに含まれる情報とを比較する。この比較も、比較対象の情報を順次入れ替えながら行われ、比較結果は順次記憶部113に格納される(ステップS150)。
比較が終了したら、不正検知処理部117は記憶部113から全ての比較結果を読み出し、一致を示す比較結果が存在するか否かを判定する(ステップS160)。全ての比較結果が不一致を示していた場合には、不正は検知されず、処理はステップS180に進む。また、一致を示す比較結果が存在した場合には、不正検知処理部117は、ホスト1bに不正が発生したと判定し、アラート発信部118に不正発生を通知する(ステップS170)。
続いて、アラート発信部118はアラートの発信を行う。すなわち、異常検知処理部116から異常発生が通知された場合には、アラート発信部118は、異常発生を通知するアラートを発信し、不正検知処理部117から不正発生が通知された場合には、アラート発信部118は、不正発生を通知するアラートを発信する(ステップS180)。
以下、異常・不正検知処理に用いられるパケットの情報の一例を挙げる。
(1)送信先ポート
ホスト1bから無操作期間に送信されたパケットの送信先ポートが、正常ホストプロファイル110aにない送信先ポートであった場合に、異常が発生していると判定する。また、ホスト1bから無操作期間に送信されたパケットの送信先ポートが、不正ホストプロファイル110bにある送信先ポートであった場合に、不正が発生していると判定する。
(1)送信先ポート
ホスト1bから無操作期間に送信されたパケットの送信先ポートが、正常ホストプロファイル110aにない送信先ポートであった場合に、異常が発生していると判定する。また、ホスト1bから無操作期間に送信されたパケットの送信先ポートが、不正ホストプロファイル110bにある送信先ポートであった場合に、不正が発生していると判定する。
(2)送信先IPアドレス
ホスト1bから無操作期間に送信されたパケットの送信先IPアドレスが、正常ホストプロファイル110aにない送信先IPアドレスであった場合に、異常が発生していると判定する。また、ホスト1bから無操作期間に送信されたパケットの送信先IPアドレスが、不正ホストプロファイル110bにある送信先IPアドレスであった場合に、不正が発生していると判定する。
ホスト1bから無操作期間に送信されたパケットの送信先IPアドレスが、正常ホストプロファイル110aにない送信先IPアドレスであった場合に、異常が発生していると判定する。また、ホスト1bから無操作期間に送信されたパケットの送信先IPアドレスが、不正ホストプロファイル110bにある送信先IPアドレスであった場合に、不正が発生していると判定する。
(3)ハッシュ値
ホスト1bから無操作期間に送信されたパケットのペイロード部のハッシュ値が、正常ホストプロファイル110aにないハッシュ値であった場合に、異常が発生していると判定する。また、ホスト1bから無操作期間に送信されたパケットのハッシュ値が、不正ホストプロファイル110bにあるハッシュ値と一致した場合に、不正が発生していると判定する。
ホスト1bから無操作期間に送信されたパケットのペイロード部のハッシュ値が、正常ホストプロファイル110aにないハッシュ値であった場合に、異常が発生していると判定する。また、ホスト1bから無操作期間に送信されたパケットのハッシュ値が、不正ホストプロファイル110bにあるハッシュ値と一致した場合に、不正が発生していると判定する。
(4)パケット頻度
ホスト1bから無操作期間に送信されたパケットの頻度(単位時間当たりのパケット数)が、正常ホストプロファイル110aにあるパケットの頻度から大きくかけ離れた頻度であった場合に、異常が発生していると判定する。また、ホスト1bから無操作期間に送信されたパケットの頻度が、不正ホストプロファイル110bにあるパケットの頻度と同程度であった場合に、不正が発生していると判定する。
ホスト1bから無操作期間に送信されたパケットの頻度(単位時間当たりのパケット数)が、正常ホストプロファイル110aにあるパケットの頻度から大きくかけ離れた頻度であった場合に、異常が発生していると判定する。また、ホスト1bから無操作期間に送信されたパケットの頻度が、不正ホストプロファイル110bにあるパケットの頻度と同程度であった場合に、不正が発生していると判定する。
(5)送信先ポートの分散
ホスト1bから無操作期間に送信されたパケットの送信先ポートの種類数または分散の程度(情報エントロピー値)が、正常ホストプロファイル110aにある送信先ポートの種類数または分散の程度から大きくかけ離れていた場合に、異常が発生していると判定する。また、ホスト1bから無操作期間に送信されたパケットの送信先ポートの種類数または分散の程度が、不正ホストプロファイル110bにある送信先ポートの種類数または分散の程度と同程度であった場合に、不正が発生していると判定する。
ホスト1bから無操作期間に送信されたパケットの送信先ポートの種類数または分散の程度(情報エントロピー値)が、正常ホストプロファイル110aにある送信先ポートの種類数または分散の程度から大きくかけ離れていた場合に、異常が発生していると判定する。また、ホスト1bから無操作期間に送信されたパケットの送信先ポートの種類数または分散の程度が、不正ホストプロファイル110bにある送信先ポートの種類数または分散の程度と同程度であった場合に、不正が発生していると判定する。
(6)送信先IPアドレスの分散
ホスト1bから無操作期間に送信されたパケットの送信先IPアドレスの種類数または分散の程度(情報エントロピー値)が、正常ホストプロファイル110aにある送信先IPアドレスの種類数または分散の程度から大きくかけ離れていた場合に、異常が発生していると判定する。また、ホスト1bから無操作期間に送信されたパケットの送信先IPアドレスの種類数または分散の程度が、不正ホストプロファイル110bにある送信先IPアドレスの種類数または分散の程度と同程度であった場合に、不正が発生していると判定する。
ホスト1bから無操作期間に送信されたパケットの送信先IPアドレスの種類数または分散の程度(情報エントロピー値)が、正常ホストプロファイル110aにある送信先IPアドレスの種類数または分散の程度から大きくかけ離れていた場合に、異常が発生していると判定する。また、ホスト1bから無操作期間に送信されたパケットの送信先IPアドレスの種類数または分散の程度が、不正ホストプロファイル110bにある送信先IPアドレスの種類数または分散の程度と同程度であった場合に、不正が発生していると判定する。
上述したように、本実施形態によれば、監視対象のホストで得られたパケットの情報が、ウィルスに感染していない正常なホストで得られた情報と一致しなかった場合に、異常が発生したと判定する。ウィルスに感染したホストは、正常なホストと異なる挙動を行うので、正常なホストと異なる挙動を検知した場合に異常が発生したと判定することによって、ウィルス等によるホストの異常を検知することができる。特に、未知のウィルスによるホストの異常をも検知することができる。
また、監視対象のホストで得られたパケットの情報が、ウィルスに感染している不正なホストで得られた情報と一致した場合に、不正が発生したと判定することによって、既知のウィルスによる感染活動を検知することができる。さらに、不正ホストプロファイルを生成する際に、不正なホストで得られた情報から、正常ホストプロファイルに含まれる情報を除くことによって、不正の誤検知の発生を防止することができると共に、不正ホストプロファイルに含まれる情報の量を減らし、不正検知処理を高速に行うことができる。
また、無操作時間に送信されるパケットを用いて異常・不正検知処理を行うことによって、ユーザの操作以外のウィルス等による異常・不正の検知精度を高めることができる。
(第2の実施形態)
次に、本発明の第2の実施形態を説明する。本実施形態では、ホストで起動されるタスクの情報に基づいた異常・不正の検知が行われる。図10は、正常ホストプロファイルおよび不正ホストプロファイルを生成するホスト1c(PC等)の構成を示している。タスク取得処理部121は、ホスト1cで起動されるタスクの情報を取得し、タスク履歴情報120cとして記憶部122に格納する。タスク履歴情報120cには、タスクが起動された日時やタスクの種類等の情報が含まれている。
次に、本発明の第2の実施形態を説明する。本実施形態では、ホストで起動されるタスクの情報に基づいた異常・不正の検知が行われる。図10は、正常ホストプロファイルおよび不正ホストプロファイルを生成するホスト1c(PC等)の構成を示している。タスク取得処理部121は、ホスト1cで起動されるタスクの情報を取得し、タスク履歴情報120cとして記憶部122に格納する。タスク履歴情報120cには、タスクが起動された日時やタスクの種類等の情報が含まれている。
記憶部122は、上記のタスク履歴情報120cの他、正常ホストプロファイル120aや不正ホストプロファイル120b等を記憶する。記憶部122は、例えばハードディスクドライブ、SRAM、フラッシュメモリ等で構成され、揮発性および不揮発性のいずれのものも包含しうる。正常ホストプロファイル生成部123は記憶部122からタスク履歴情報120cを読み出し、タスク履歴情報120cに基づいて正常ホストプロファイル120aを生成し、記憶部122に格納する。正常ホストプロファイル生成部123が動作する場合、ホスト1cが、ウィルスに感染していない正常なホストであることが必要である。
不正ホストプロファイル生成部124は、記憶部122から正常ホストプロファイル120aを読み出す一方で、タスク履歴情報120cを記憶部122から読み出し、タスク履歴情報120cから、正常ホストプロファイル120aに含まれる情報を除いて不正ホストプロファイル120bを生成し、記憶部122に格納する。タスク履歴情報120cに含まれる情報のうち、不正ホストプロファイル120bを構成する情報から除外されるのは、正常ホストプロファイル120aに含まれる情報と一致する情報であり、一致するとは、時刻情報を除くタスク名等の各項目の情報が全て一致することを指す。また、不正ホストプロファイル生成部124が動作する場合、ホスト1cが、ウィルスに感染している不正なホストであることが必要である。
上記では、正常ホストプロファイルを生成するための構成と、不正ホストプロファイルを生成するための構成とが同一のホストに設けられているが、それぞれが別個のホストに設けられていてもよい。
次に、タスクに関する情報(タスク情報)の取得方法を説明する。タスク(プロセス)は、コンピュータが起動するプログラムの最小単位である。ただし、サービスを起動するデーモンタスク(管理タスク)もある。例えば、コマンドプロンプト上で「tasklist -v」と入力すると、起動中のタスクの情報を取得することができる(図12参照)。あるいは、スタートメニューの中の「ファイル名を指定して実行」を選択し、「msinfo32」⇒「システム情報」⇒「ソフトウェア環境」⇒「実行中のタスク」の順に選択することにより、タスク情報を取得することもできる。
また、タスク情報として、サービスやスタートアップの情報を取得することも可能である。サービスはWebサーバやデータベースサーバ等のサービス単位であり、1つのサービスでタスクと同じ単位になる場合もある。例えば、コマンドプロンプト上で「sc query」と入力すると、起動中のサービスの情報を取得することができる。あるいは、スタートメニューの中の「ファイル名を指定して実行」を選択し、「msinfo32」⇒「システム情報」⇒「ソフトウェア環境」⇒「サービス」の順に選択することにより、サービスの情報を取得することもできる。あるいは、スタートメニューの中の「ファイル名を指定して実行」を選択し、「msconfig」⇒「システム構成」⇒「ユーティリティ」⇒「サービス」の順に選択することにより、サービスの情報を取得することもできる。
スタートアップは、コンピュータの起動時に自動的に起動するプログラムである。例えば、スタートメニューの中の「ファイル名を指定して実行」を選択し、「msinfo32」⇒「システム情報」⇒「ソフトウェア環境」⇒「スタートアッププログラム」の順に選択することにより、サービスの情報を取得することができる。また、スタートメニューの中の「ファイル名を指定して実行」を選択し、「msconfig」⇒「システム構成」⇒「ユーティリティ」⇒「スタートアップ」の順に選択することにより、スタートアップの情報を取得することもできる。上記のようなツールを実行することにより、タスク取得処理部121はタスク情報を取得する。
図13は、正常ホストプロファイルまたは不正ホストプロファイルの一例を示している。プロファイルには、タスクの起動時刻1301、タスクの終了時刻1302、タスク名1303、使用メモリサイズ1304、ユーザ名1305、CPU時間1306が含まれる。
タスクとパケットの情報を同時取得することも可能である。例えば、タスクの情報とTCP/UDPポートの利用状況の情報をPort Reporterツールで取得することができる。これによって、PR-INITIAL、PR-PORT、PR-PIDSの3種類の状態情報を取得することができる。PR-INITIALはTCP/IPの初期状態を示している。PR-PORTはポート毎の利用状況を示しており、TCPやUDPの状態が変化する毎に1行ずつ記録される。PR-PIDSは、コンピュータ名や、ログオンしているユーザ名の他、通信を開始したタスクに関する情報(タスクIDやプログラム名、DLLファイル等)を示しており、TCPやUDPの状態が変化する毎に、PR-PORTS-*.logファイルの1行毎に対応して、新しいエントリが1つずつ作成される。
次に、上述した正常ホストプロファイルおよび不正ホストプロファイルを用いた異常・不正検知処理の詳細を説明する。図11は、異常・不正検知の対象(監視対象)となるホスト1d(PC等)の構成を示している。タスク取得処理部131は、ホスト1dで起動されるタスクの情報を取得し、タスク履歴情報130cとして記憶部132に格納する。タスク履歴情報130cには、タスクの起動日時および終了日時、タスク名等の情報が含まれている。
記憶部132は、上記のタスク履歴情報130cの他、正常ホストプロファイル130aや不正ホストプロファイル130b等を記憶する。記憶部132は、例えばハードディスクドライブ、SRAM、フラッシュメモリ等で構成され、揮発性および不揮発性のいずれのものも包含しうる。正常ホストプロファイル130aおよび不正ホストプロファイル130bは、通信等で他のホストから予め取得され、記憶部132に格納されているものとする。
異常検知処理部133は記憶部132からタスク履歴情報130cおよび正常ホストプロファイル130aを読み出し、タスク履歴情報130cに含まれる情報と、正常ホストプロファイル130aに含まれる情報とを比較し、両者が一致しなかった場合(言い換えると、ホスト1dで起動されたタスクの情報の中に、正常ホストプロファイル130aに含まれる情報と一致しない情報があった場合)に、異常が発生したと判定する。異常が発生したと判定した場合には、異常検知処理部133はそのことを不正検知処理部134およびアラート発信部135に通知する。
不正検知処理部134は、異常検知処理部133から異常発生の通知を受けた場合に動作する。この不正検知処理部134は記憶部132から不正ホストプロファイル130bを読み出し、ホスト1dで起動されたタスクの情報(不正検知の目的上は、異常検知処理部133で異常が発生したと判定されたときの判定に用いられたタスクの情報のみでよい)と、不正ホストプロファイル130bに含まれる情報とを比較し、両者が一致した場合(言い換えると、正常ホストプロファイル130aに含まれる情報と一致しなかったタスクの情報の中に、不正ホストプロファイル130bに含まれる情報と一致する情報があった場合)に、不正が発生したと判定する。不正が発生したと判定した場合には、不正検知処理部134はそのことをアラート発信部135に通知する。
アラート発信部135は、異常および不正の少なくとも一方が発生した場合に、ユーザに対するアラートを発信する。アラートは、警告音を発生したり、画面に警告を表示したりする等の方法により、発信される。
図14は異常・不正検知処理の手順を示している。以下、図14を参照しながら、異常・不正検知処理の手順を説明する。異常検知処理部133は記憶部132からタスク履歴情報130cおよび正常ホストプロファイル130aを読み出し、ホスト1dで起動されたタスクの情報と、正常ホストプロファイル130aに含まれる情報とを比較する。この比較は、比較対象の情報を順次入れ替えながら行われ、比較結果は順次記憶部132に格納される(ステップS200)。比較が終了したら、異常検知処理部133は記憶部132から全ての比較結果を読み出し、不一致を示す比較結果が存在するか否かを判定する(ステップS210)。
全ての比較結果が一致を示していた場合には、異常は検知されず、異常・不正検知処理が終了する。また、不一致を示す比較結果が存在した場合には、異常検知処理部133は、ホスト1dに異常が発生したと判定し、アラート発信部135に異常発生を通知する(ステップS220)。
続いて、異常検知処理部133は異常発生を不正検知処理部134に通知すると共に、ホスト1dで起動されたタスクの情報のうち、比較結果が不一致を示す比較処理に用いた情報を不正検知処理部134に通知する。不正検知処理部134は記憶部132から不正ホストプロファイル130bを読み出し、異常検知処理部133から通知されたタスクの情報と、不正ホストプロファイル130bに含まれる情報とを比較する。この比較も、比較対象の情報を順次入れ替えながら行われ、比較結果は順次記憶部132に格納される(ステップS230)。
比較が終了したら、不正検知処理部134は記憶部132から全ての比較結果を読み出し、一致を示す比較結果が存在するか否かを判定する(ステップS240)。全ての比較結果が不一致を示していた場合には、不正は検知されず、処理はステップS260に進む。また、一致を示す比較結果が存在した場合には、不正検知処理部134は、ホスト1dに不正が発生したと判定し、アラート発信部135に不正発生を通知する(ステップS250)。
続いて、アラート発信部135はアラートの発信を行う。すなわち、異常検知処理部133から異常発生が通知された場合には、アラート発信部135は、異常発生を通知するアラートを発信し、不正検知処理部134から不正発生が通知された場合には、アラート発信部135は、不正発生を通知するアラートを発信する(ステップS260)。
上述したように、本実施形態によれば、監視対象のホストで得られたタスクの情報が、ウィルスに感染していない正常なホストで得られた情報と一致しなかった場合に、異常が発生したと判定する。ウィルスに感染したホストは、正常なホストと異なる挙動を行うので、正常なホストと異なる挙動を検知した場合に異常が発生したと判定することによって、ウィルス等によるホストの異常を検知することができる。特に、未知のウィルスによるホストの異常をも検知することができる。
また、監視対象のホストで得られたタスクの情報が、ウィルスに感染している不正なホストで得られた情報と一致した場合に、不正が発生したと判定することによって、既知のウィルスによる感染活動を検知することができる。さらに、不正ホストプロファイルを生成する際に、不正なホストで得られた情報から、正常ホストプロファイルに含まれる情報を除くことによって、不正の誤検知の発生を防止することができると共に、不正ホストプロファイルに含まれる情報の量を減らし、不正検知処理を高速に行うことができる。
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成はこれらの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態による異常検知装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。
ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
また、上述した異常検知装置の機能を携帯電話端末の異常・不正検知に適用してもよい。以下、シングルタスクOSであるBREW(登録商標)が搭載された携帯電話端末のキー操作とパケットの取得方法を説明する。キー操作取得用の機能は、共通性のある処理をモジュール化することが可能なExtension機能により実装し、各アプリケーションにキー操作の有無を記録させる。また、現在のBREW(登録商標)の実装上、端末上で発信パケットを取得することは難しいので、ネットワーク側でパケットをキャプチャする仕組みを設ける。すなわち、キー操作の情報は、端末がExtension機能を用いて取得し、パケットの情報は、ネットワークゲートウェイが収集し、最終的に本発明の異常検知装置がそれらの情報を処理すればよい。
1a,1b,1c,1d・・・ホスト、101,111・・・パケット取得処理部、102,112・・・キー操作取得処理部、103,113,122,132・・・記憶部、104,114・・・無操作時間検出部、105,115・・・パケット検索部、106,123・・・正常ホストプロファイル生成部、107,124・・・不正ホストプロファイル生成部、116,133・・・異常検知処理部、117,134・・・不正検知処理部、118,135・・・アラート発信部、119・・・パケット情報生成部、121,131・・・タスク取得処理部
Claims (4)
- コンピュータウィルスに感染していない正常なコンピュータから送信されたパケットの情報を示す第1の正常パケット情報を記憶する正常パケット情報記憶手段と、
監視対象のコンピュータから送信されたパケットの情報を示す第1の監視対象パケット情報を記憶する監視対象パケット情報記憶手段と、
前記第1の正常パケット情報と前記第1の監視対象パケット情報を比較し、前記第1の監視対象パケット情報に含まれるパケットの情報が、前記第1の正常パケット情報に含まれるパケットの情報と一致しなかった場合に、異常が発生したと判定する異常判定手段と、
前記監視対象のコンピュータの操作履歴を示す操作履歴情報を記憶する操作履歴情報記憶手段と、
前記操作履歴情報に基づいて、前記監視対象のコンピュータが操作されていない時間に前記監視対象のコンピュータから送信されたパケットの情報を前記第1の監視対象パケット情報から抽出することによって、第2の監視対象パケット情報を生成する監視対象パケット情報生成手段と、
を備え、前記異常判定手段は、前記正常なコンピュータが操作されていない時間に前記正常なコンピュータから送信されたパケットの情報を前記第1の正常パケット情報から抽出することによって生成された第2の正常パケット情報と前記第2の監視対象パケット情報を比較し、前記第2の監視対象パケット情報に含まれるパケットの情報が、前記第2の正常パケット情報に含まれるパケットの情報と一致しなかった場合に、異常が発生したと判定する
ことを特徴とする異常検知装置。 - コンピュータウィルスに感染しているコンピュータを含む1以上のコンピュータから送信されたパケットの情報から前記第1の正常パケット情報を除いた第1の不正パケット情報を記憶する不正パケット情報記憶手段と、
前記第1の不正パケット情報と前記第1の監視対象パケット情報を比較し、前記第1の監視対象パケット情報に含まれるパケットの情報が、前記第1の不正パケット情報に含まれるパケットの情報と一致した場合に、不正が発生したと判定する不正判定手段と、
をさらに備え、
前記不正パケット情報記憶手段は、コンピュータウィルスに感染しているコンピュータを含む1以上のコンピュータから該コンピュータが操作されていない時間に送信されたパケットの情報から前記第2の正常パケット情報を除いた第2の不正パケット情報を記憶し、
前記不正判定手段は、前記第2の不正パケット情報と前記第2の監視対象パケット情報を比較し、前記第2の監視対象パケット情報に含まれるパケットの情報が、前記第2の不正パケット情報に含まれるパケットの情報と一致した場合に、不正が発生したと判定する
ことを特徴とする請求項1に記載の異常検知装置。 - 請求項1〜請求項2のいずれかに記載の異常検知装置としてコンピュータを機能させるための異常検知プログラム。
- 請求項3に記載の異常検知プログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006230672A JP4823813B2 (ja) | 2006-08-28 | 2006-08-28 | 異常検知装置、異常検知プログラム、および記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006230672A JP4823813B2 (ja) | 2006-08-28 | 2006-08-28 | 異常検知装置、異常検知プログラム、および記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008052637A JP2008052637A (ja) | 2008-03-06 |
| JP4823813B2 true JP4823813B2 (ja) | 2011-11-24 |
Family
ID=39236613
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006230672A Expired - Fee Related JP4823813B2 (ja) | 2006-08-28 | 2006-08-28 | 異常検知装置、異常検知プログラム、および記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4823813B2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5286018B2 (ja) * | 2008-10-07 | 2013-09-11 | Kddi株式会社 | 情報処理装置、プログラム、および記録媒体 |
| JP2010182020A (ja) * | 2009-02-04 | 2010-08-19 | Kddi Corp | 不正検知装置およびプログラム |
| JP2010182019A (ja) * | 2009-02-04 | 2010-08-19 | Kddi Corp | 異常検知装置およびプログラム |
| JP5387373B2 (ja) * | 2009-12-02 | 2014-01-15 | コニカミノルタ株式会社 | 通信監視システム、通信監視装置、通信監視方法および通信監視プログラム |
| JP5557623B2 (ja) * | 2010-06-30 | 2014-07-23 | 三菱電機株式会社 | 感染検査システム及び感染検査方法及び記録媒体及びプログラム |
| WO2015045043A1 (ja) | 2013-09-25 | 2015-04-02 | 三菱電機株式会社 | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 |
| JP2016071707A (ja) * | 2014-09-30 | 2016-05-09 | 京セラコミュニケーションシステム株式会社 | 感染確認装置 |
| KR102254283B1 (ko) * | 2020-11-12 | 2021-05-21 | 주식회사 시큐브 | 멀티프로세스 클러스터링 기반 랜섬웨어 공격 탐지 장치, 방법 및 그 방법을 실현하기 위한 프로그램을 기록한 기록매체 |
| CN114301758A (zh) * | 2021-12-23 | 2022-04-08 | 中国电信股份有限公司 | 告警处理方法、系统、设备及存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10154057A (ja) * | 1996-09-27 | 1998-06-09 | Hitachi Ltd | 能動的利用者支援方法 |
| JP2004258777A (ja) * | 2003-02-24 | 2004-09-16 | Fujitsu Ltd | セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム |
| JP2005157650A (ja) * | 2003-11-25 | 2005-06-16 | Matsushita Electric Ind Co Ltd | 不正アクセス検知システム |
| JP2006004247A (ja) * | 2004-06-18 | 2006-01-05 | Japan Telecom Co Ltd | 通信制御装置及びそれを用いたネットワークシステム |
| JP4002276B2 (ja) * | 2005-01-06 | 2007-10-31 | 株式会社インテリジェントウェイブ | 不正接続検知システム |
-
2006
- 2006-08-28 JP JP2006230672A patent/JP4823813B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008052637A (ja) | 2008-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
| US10645110B2 (en) | Automated forensics of computer systems using behavioral intelligence | |
| US10257224B2 (en) | Method and apparatus for providing forensic visibility into systems and networks | |
| US8266250B2 (en) | Communication detection device, method, and program for peer-to-peer communication | |
| JP4364901B2 (ja) | アタックデータベース構造 | |
| JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
| US8776217B2 (en) | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| CN106330944B (zh) | 恶意系统漏洞扫描器的识别方法和装置 | |
| US20140115663A1 (en) | Method for detecting unauthorized access and network monitoring apparatus | |
| WO2014103115A1 (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
| JP2014086821A (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
| Debar et al. | Intrusion detection: Introduction to intrusion detection and security information management | |
| JP2008278272A (ja) | 電子システム、電子機器、中央装置、プログラム、および記録媒体 | |
| CN112671800B (zh) | 一种威胁量化企业风险值的方法 | |
| JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
| JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| Dayıoglu et al. | Use of passive network mapping to enhance signature quality of misuse network intrusion detection systems | |
| JP2005284523A (ja) | 不正侵入検出システム及び方法並びに不正侵入検出用プログラム | |
| Kaskar et al. | A system for detection of distributed denial of service (DDoS) attacks using KDD cup data set | |
| JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム | |
| US20220337605A1 (en) | Management apparatus, network monitoring system, determination method, communication method, and non-transitory computer readable medium | |
| CN117955729A (en) | Flow-based malicious software detection method and device and electronic equipment | |
| CN115426132A (zh) | 基于拟态防御机制的入侵防御方法及入侵防御装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090121 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20090122 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110531 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110614 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110729 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110801 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110830 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110907 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4823813 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140916 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |