JP5739034B1 - 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム - Google Patents
攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム Download PDFInfo
- Publication number
- JP5739034B1 JP5739034B1 JP2014056662A JP2014056662A JP5739034B1 JP 5739034 B1 JP5739034 B1 JP 5739034B1 JP 2014056662 A JP2014056662 A JP 2014056662A JP 2014056662 A JP2014056662 A JP 2014056662A JP 5739034 B1 JP5739034 B1 JP 5739034B1
- Authority
- JP
- Japan
- Prior art keywords
- communication
- unauthorized
- user terminal
- attack detection
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】長期間のログ分析を実時間で実施するとともに、攻撃の継続性を判定してイベントの重複検知を防止することで効率的なセキュリティオペレーションを行う。【解決手段】攻撃検知装置10は、収集されたログを用いて、所定の短い時間ごとに、ユーザ端末の通信先IPアドレスがブラックリストの通信先IPアドレスと一致する回数をカウントする。また、攻撃検知装置10は、カウントされた回数のうち所定期間においてカウントされた回数を用いて、所定の長い時間ごとに、ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する。そして、攻撃検知装置10は、検知された不正通信のうち、所定期間内に検知された不正通信と通信元IPアドレスおよび通信先IPアドレスが同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する。【選択図】図2
Description
本発明は、攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラムに関する。
従来、企業システム等の守るべき資産群において、ファイヤウォールやIDS(Intrusion Detection System)/IPS(Intrusion Prevention System)等のセキュリティアプライアンスの配備による、いわゆる入口対策では防ぎ切れず、未知のマルウェアに侵入を許してしまった後に、セキュリティアプライアンスやWebプロキシ等が出力するログの相関分析を行うことで当該マルウェアを検知するシステムとして、SIEM(Security Information and Event Management)と呼ばれるものがある。
中田健介著、「ネットワークログ分析による不正通信検出手法」、電子情報通信学会2013年総合大会(2013年3月19日〜22日)
しかしながら、従来のSIEM技術では、長期間のログ分析を実時間で実施することができず、また、分析結果において同種のイベントを重複検知してしまい、セキュリティオペレーションを効率的に稼働できない場合があるという課題があった。
つまり、従来のSIEM技術では、長期間のログを相関分析する際は、分析対象の全ログを読み込んで処理を行なうため、分析時間が長大化するとともに、マシンリソースも足りなくなってしまう結果、長期間のログ分析を実時間で実施することができない場合があった。
また、ログ分析は分析期間より短いサイクルで実施するため、同種のイベントを繰返し検知してしまい、膨大なイベント検知結果が表示され、セキュリティ・オペレータが対処すべきイベントを適切に表示できない場合があるため、セキュリティオペレーションを効率的に稼働できない場合があった。
ここで、図11の例を用いて、従来のログ分析処理の一例を説明する。例えば、図11に例示するように、従来のSIEM技術では、セキュリティアプライアンス、ネットワーク装置、サーバ等からログを取得してログを正規化する。そして、正規化されたログを取得してイベントを検知する。ここで、イベントを検知する処理では、分析対象の全ログを読み込んで処理するので、分析時間が長大化するとともに、実時間の分析ができなかった。また、イベントの検知結果は、同種イベントが重複して検知され、さらに、膨大なイベント数によりオペレーションの稼働コストが増大する。
上述した課題を解決し、目的を達成するために、本発明の攻撃検知システムは、ユーザ端末と、該ユーザ端末の通信を中継する機器と、前記ユーザ端末の不正通信を検知する攻撃検知装置とを含む攻撃検知システムであって、前記攻撃検知装置は、前記ユーザ端末の通信に関するログを前記機器から収集する収集部と、前記収集部によって収集されたログを用いて、第一の時間ごとに、前記ユーザ端末の通信先情報がブラックリストの通信先情報と一致する回数をカウントするカウント部と、前記カウント部によってカウントされた回数のうち所定期間においてカウントされた回数を用いて、前記第一の時間よりも長い第二の時間ごとに、前記ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する検知部と、前記検知部によって検知された不正通信のうち、所定期間内に検知された不正通信と通信元情報および通信先情報が同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する判定部と、を備えることを特徴とする。
また、本発明の攻撃検知装置は、ユーザ端末の通信に関するログを収集する収集部と、前記収集部によって収集されたログを用いて、第一の時間ごとに、前記ユーザ端末の通信先情報がブラックリストの通信先情報と一致する回数をカウントするカウント部と、前記カウント部によってカウントされた回数のうち所定期間においてカウントされた回数を用いて、前記第一の時間よりも長い第二の時間ごとに、前記ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する検知部と、前記検知部によって検知された不正通信のうち、所定期間内に検知された不正通信と通信元情報および通信先情報が同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する判定部と、を備えることを特徴とする。
また、本発明の攻撃検知方法は、攻撃検知装置で実行される攻撃検知方法であって、ユーザ端末の通信に関するログを収集する収集工程と、前記収集工程によって収集されたログを用いて、第一の時間ごとに、前記ユーザ端末の通信先情報がブラックリストの通信先情報と一致する回数をカウントするカウント工程と、前記カウント工程によってカウントされた回数のうち所定期間においてカウントされた回数を用いて、前記第一の時間よりも長い第二の時間ごとに、前記ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する検知工程と、前記検知工程によって検知された不正通信のうち、所定期間内に検知された不正通信と通信元情報および通信先情報が同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する判定工程と、を含んだことを特徴とする。
また、本発明の攻撃検知プログラムは、ユーザ端末の通信に関するログを収集する収集ステップと、前記収集ステップによって収集されたログを用いて、第一の時間ごとに、前記ユーザ端末の通信先情報がブラックリストの通信先情報と一致する回数をカウントするカウントステップと、前記カウントステップによってカウントされた回数のうち所定期間においてカウントされた回数を用いて、前記第一の時間よりも長い第二の時間ごとに、前記ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する検知ステップと、前記検知ステップによって検知された不正通信のうち、所定期間内に検知された不正通信と通信元情報および通信先情報が同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する判定ステップと、をコンピュータに実行させることを特徴とする。
本発明によれば、長期間のログ分析を実時間で実施するとともに、攻撃の継続性を判定してイベントの重複検知を防止することで効率的なセキュリティオペレーションを可能とすることができるという効果を奏する。
以下に、本願に係る攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本願に係る攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラムが限定されるものではない。
[第一の実施の形態]
以下の実施の形態では、第一の実施の形態に係る攻撃検知システムの構成、攻撃検知装置の構成および処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
以下の実施の形態では、第一の実施の形態に係る攻撃検知システムの構成、攻撃検知装置の構成および処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
[第一の実施の形態に係る攻撃検知システムの構成]
まず、図1を用いて、第一の実施の形態に係る攻撃検知システムについて説明する。図1は、第一の実施の形態に係る攻撃検知システムの全体構成を示す概略構成図である。
まず、図1を用いて、第一の実施の形態に係る攻撃検知システムについて説明する。図1は、第一の実施の形態に係る攻撃検知システムの全体構成を示す概略構成図である。
図1に示すように、攻撃検知システムは、攻撃検知装置10、セキュリティアプライアンス20、ネットワーク装置30およびサーバ40を有し、ネットワーク50を介して各装置が接続されている。なお、図1では、セキュリティアプライアンス20、ネットワーク装置30およびサーバ40を1台ずつ記載しているが、これに限定されるものではなく、複数台であってもよい。
攻撃検知装置10は、SIEM(Security Information and Event Management)技術に関するものであり、セキュリティアプライアンス20等から取得するログの相関分析において、短期間に実施するカウント処理と長期間を対象としたイベント検知処理の組み合わせにより、長時間継続的に発生する攻撃を実時間で検知するとともに、同種の攻撃を何度も検知することなく防御オペレーションを容易化する。
具体的には、攻撃検知装置10は、セキュリティアプライアンス20、ネットワーク装置30およびサーバ40からユーザ端末(図示せず)の通信に関するログを収集する。また、攻撃検知装置10は、収集されたログを用いて、所定の短い時間(例えば、5分)ごとに、ユーザ端末のDstIPアドレス(以下、「通信先IPアドレス」と記載)がブラックリストの通信先IPアドレスと一致する回数をカウントする。
また、攻撃検知装置10は、カウントされた回数のうち所定期間(例えば、24時間の間)においてカウントされた回数を用いて、所定の長い時間(例えば、1時間)ごとに、ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する。そして、攻撃検知装置10は、検知された不正通信のうち、所定期間(例えば、24時間)内に検知された不正通信とSrcIPアドレス(以下、「通信元IPアドレス」と記載)および通信先IPアドレスが同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する。
セキュリティアプライアンス20は、ユーザ端末に対する不正アクセスやウイルスによる攻撃を防ぐ機器であり、例えば、ファイヤウォールやIDS(Intrusion Detection System)/IPS(Intrusion Prevention System)等である。
ネットワーク装置30は、ユーザ端末の通信を中継するスイッチやルータ等のネットワーク機器である。サーバ40は、ユーザ端末と通信を行う各種サーバである。例えば、サーバ40は、Proxyサーバ、DNS(Domain Name System)サーバ、メールサーバ、ファイルサーバ、Webサーバ等である。
[攻撃検知装置の構成]
次に、図2を用いて、図1に示した攻撃検知装置の構成を説明する。図2は、第一の実施形態に係る攻撃検知装置の構成を示すブロック図である。図2に示すように、この攻撃検知装置10は、入出力部11、制御部12、記憶部13を有する。以下にこれらの各部の処理を説明する。
次に、図2を用いて、図1に示した攻撃検知装置の構成を説明する。図2は、第一の実施形態に係る攻撃検知装置の構成を示すブロック図である。図2に示すように、この攻撃検知装置10は、入出力部11、制御部12、記憶部13を有する。以下にこれらの各部の処理を説明する。
入出力部11は、各種情報の入出力を司る入出力インタフェースである。この入出力部11は、例えば、ユーザの操作により受け付けた検知ルール等を入力したり、検知結果を出力したりする。
また、記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納するが、特に本発明に密接に関連するものとしては、ブラックリスト記憶部13a、正規化ログ記憶部13b、カウント結果記憶部13c、イベント検知結果記憶部13dおよび継続イベント記憶部13eを有する。たとえば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
ブラックリスト記憶部13aは、悪質なサイトを示すネットワークアドレスとしてURL(Uniform Resource Locator)及びIPアドレスが列挙されたブラックリストを記憶する。なお、以下の例では、ブラックリストに列挙された通信先IPアドレスを用いて、攻撃検知処理を行う。
正規化ログ記憶部13bは、ユーザ端末の通信に関するログ情報であって、検索及び分析しやすいデータ形式に統一的に整理する正規化が行われたログ情報を記憶する。このログ情報は、後述する収集部12aによって収集されたログ情報である。
カウント結果記憶部13cは、ユーザ端末の通信先IPアドレスとブラックリストの通信先IPアドレスとが一致した回数を記憶する。例えば、図3に例示するように、カウント結果記憶部13cは、ユーザ端末の通信先のIPアドレスである「通信先IPアドレス」と、該通信先IPアドレスがブラックリストの通信先IPアドレスと一致した回数である「マッチ回数」とを対応付けて記憶する。なお、カウント結果記憶部13cに記憶された情報は、カウント処理が行われるごと、例えば、5分ごとにリセットされる。
イベント検知結果記憶部13dは、後述する検知部12cにより検知ルールに基づいて検知された所定の特徴を持つイベントの情報を記憶する。例えば、図4に例示するように、イベント検知結果記憶部13dは、ユーザ端末を一意に識別する「端末ID」と、通信を行ったユーザ端末のSrcIPアドレスである「通信元IPアドレス」と、通信を行ったユーザ端末のDstIPアドレスである「通信先IPアドレス」と、通信が行われた日時を示す「通信日時」と、検知ルールに適合するか否かを示す「検知結果」とを対応付けて記憶する。なお。図4の例では、検知結果が「○」となっている通信については、検知ルールに適合して、不正通信として検知されたことを示す。また、イベント検知結果記憶部13dに記憶された情報は、イベント検知処理が行われるごと、例えば、1時間ごとにリセットされる。
継続イベント記憶部13eは、前述したイベント検知結果について、通信元IPアドレスおよび通信先IPアドレスをキーとし、キーをもとに同種イベントを継続イベントとしてまとめたものを記憶する。例えば、図5に例示するように、継続イベント記憶部13eは、「端末ID」と、「通信元IPアドレス」と、「通信先IPアドレス」と、「通信日時」と、「検知結果」とを記憶するとともに、攻撃が継続しているか否かを示す「状態」を記憶する。この状態では、攻撃が継続している場合には、「攻撃継続」が記憶され、攻撃が終了している場合には、「攻撃終了」が記憶される。なお、継続イベント記憶部13eに記憶された情報は、継続イベント判定処理が行われるたびに更新される。
制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、収集部12a、カウント部12b、検知部12c、判定部12dおよび表示部12eを有する。ここで、制御部12は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
収集部12aは、ユーザ端末の通信に関するログ情報を、ユーザ端末の通信を中継する機器から収集する。例えば、収集部12aは、ユーザ端末の通信に関するログ情報をセキュリティアプライアンス20、ネットワーク装置30、サーバ40のいずれか一つまたは複数から受信すると、該ログ情報をカウント部12bが検索及び分析しやすいデータ形式に統一的に整理する正規化を行う。そして、収集部12aは、正規化したログを正規化ログ記憶部13bに格納する。
カウント部12bは、収集部12aによって収集されたログを用いて、所定の短い時間(例えば、5分)ごとに、ユーザ端末が通信を行った通信先IPアドレスがブラックリストの通信先IPアドレスと一致する回数をカウントする。例えば、カウント部12bは、5分ごとに、正規化ログ記憶部13bに記憶されたログを取得する。そして、カウント部12bは、ユーザ端末が通信を行った通信先IPアドレスとブラックリストの通信先IPアドレスとを比較し、一致する回数をカウントする。そして、カウント部12bは、カウント結果をカウント結果記憶部13cに格納する。
検知部12cは、カウント部12bによってカウントされた回数のうち所定期間(例えば、24時間の間)においてカウントされた回数を用いて、所定の長い時間(例えば、1時間)ごとに、ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する。例えば、検知部12cは、検知ルールとして、24時間以内にユーザ端末の通信先IPアドレスがブラックリストの通信先IPアドレスと一致する回数がN回以上という条件に適合する通信を不正通信として検知する。
具体的には、検知部12cは、1時間ごとに、カウント結果記憶部13cから直近の24時間分のカウント結果を取得する。そして、検知部12cは、カウント結果および検知ルールを用いて、不正通信(攻撃)を検知する。つまり、上記の例では、24時間以内にユーザ端末の通信先IPアドレスがブラックリストの通信先IPアドレスと一致する回数がN回以上という条件に適合する通信を不正通信として検知する。そして、検知部12cは、検知結果をイベント検知結果記憶部13dに格納する。
判定部12dは、検知部12cによって検知された不正通信のうち、所定期間(例えば、24時間)内に検知された不正通信と、通信元IPアドレスおよび通信先IPアドレスが同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する。また、判定部12dは、不正通信が継続状態であることを検出した後に、該不正通信が検知ルールに適合しなくなった場合には、該不正通信が終了したことを検出する。
例えば、判定部12dは、継続状態であることを検出した場合には、継続イベント記憶部13eに記憶される「状態」を「攻撃継続」に更新する。また、判定部12dは、「状態」が「攻撃継続」であった不正通信について、検知ルールに規定された条件を満たさなくなった場合には、「状態」を「攻撃終了」に更新する。
具体的には、判定部12dは、イベント検知結果記憶部13dに記憶された検知結果を取得し、通信元IPアドレスおよび通信先IPアドレスが同一の通信については、同種のイベントとしてまとめてから継続イベント記憶部13eに格納する。ここで、判定部12dは、通信元IPアドレスおよび通信先IPアドレスが同一のイベントが既に継続イベント記憶部13eに記憶されている場合には、攻撃が継続しているものとして、該イベントの「状態」を「攻撃継続」に更新する。
表示部12eは、イベント検知結果記憶部13dに記憶された情報を読み出して表示する。ここで、同種イベントを継続イベントとしてまとめ、繰返し検知しないようにしており、例えば、同一の通信元IPアドレスおよび通信先IPアドレスで過去24時間以内にイベントを検知している場合には、イベントを「継続」状態とすることで、同一のイベントを複数回表示しないようにしている。このように、同種イベントと定義し攻撃の継続性を判定させ、イベントの重複検知を防止することで、効率的なセキュリティオペレーションにつなげることが可能である。
ここで、図6を用いて、攻撃検知装置10による攻撃検知処理の全体の流れを説明する。図6は、第一の実施形態に係る攻撃検知装置による攻撃検知処理の概要を説明する図である。
図6に示すように、攻撃検知装置10は、ユーザ端末の通信に関するログ情報をセキュリティアプライアンス20、ネットワーク装置30、サーバ40から受信する(図6の(1)参照)。そして、攻撃検知装置10は、5分の短期間の繰り返しで、ユーザ端末が通信を行った通信先IPアドレスがブラックリストの通信先IPアドレスと一致する回数をカウントする(図6の(2)参照)。
続いて、攻撃検知装置10は、カウントした回数のうち24時間の間においてカウントされた回数を用いて、1時間の長期間を対象に、ユーザ端末の通信のうち、検知ルールに適合する不正通信を検知する(図6の(3)参照)。
そして、攻撃検知装置10は、検知した不正通信のうち、24時間内に検知された不正通信と、通信元IPアドレスおよび通信先IPアドレスが同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する(図6の(4)参照)。
このように、短期間の「カウント処理」と長期間の「イベント検知処理」の組み合わせによって、長期間のログ分析を実時間で実施するとともに、同種イベントと定義し攻撃の継続性を判定させ、イベントの重複検知を防止することで、効率的なセキュリティオペレーションにつなげることが可能である。
[攻撃検知装置の処理の一例]
次に、図7〜図9を用いて、攻撃検知装置10の処理について説明する。図7は、第一の実施の形態に係る攻撃検知装置によるログ収集処理の流れを示すフローチャートである。図8は、第一の実施の形態に係る攻撃検知装置によるカウント処理の流れを示すフローチャートである。図9は、第一の実施の形態に係る攻撃検知装置によるイベント検知処理の流れを示すフローチャートである。
次に、図7〜図9を用いて、攻撃検知装置10の処理について説明する。図7は、第一の実施の形態に係る攻撃検知装置によるログ収集処理の流れを示すフローチャートである。図8は、第一の実施の形態に係る攻撃検知装置によるカウント処理の流れを示すフローチャートである。図9は、第一の実施の形態に係る攻撃検知装置によるイベント検知処理の流れを示すフローチャートである。
まず、図7を用いて、攻撃検知装置10によるログ収集処理の流れを説明する。図7に示すように、攻撃検知装置10の収集部12aは、ユーザ端末の通信に関するログ情報をセキュリティアプライアンス20、ネットワーク装置30、サーバ40のいずれか一つまたは複数から受信すると(ステップS101肯定)、該ログ情報をカウント部12bが検索及び分析しやすいデータ形式に統一的に整理する正規化を行う(ステップS102)。そして、収集部12aは、正規化したログを正規化ログ記憶部13bに格納する(ステップS103)。
次に、図8を用いて、攻撃検知装置10によるカウント処理の流れを説明する。図8に示すように、攻撃検知装置10のカウント部12bは、前回のカウント処理を行ってから5分が経過すると(ステップS201肯定)、正規化ログ記憶部13bに記憶されたログを取得する(ステップS202)。
そして、カウント部12bは、ユーザ端末が通信を行った通信先IPアドレスとブラックリストの通信先IPアドレスとを比較し、一致する回数をカウントする(ステップS203)。そして、カウント部12bは、カウント結果をカウント結果記憶部13cに格納する(ステップS204)。
次に、図9を用いて、攻撃検知装置10によるイベント検知処理を説明する。図9に示すように、攻撃検知装置10の検知部12cは、前回のイベント検知処理から1時間が経過すると(ステップS301肯定)、カウント結果記憶部13cから直近の24時間分のカウント結果を取得する(ステップS302)。そして、検知部12cは、カウント結果および検知ルールを用いて、不正通信(攻撃)を検知する(ステップS303)。
つまり、例えば、検知部12cは、24時間以内にユーザ端末の通信先IPアドレスがブラックリストの通信先IPアドレスと一致する回数がN回以上という条件に適合する通信を不正通信として検知する。そして、検知部12cは、検知結果をイベント検知結果記憶部13dに格納する(ステップS304)。
その後、判定部12dは、イベント検知結果記憶部13dに記憶された検知結果を取得し、通信元IPアドレスおよび送信先IPアドレスが同一の通信については、同種のイベントとしてまとめてから継続イベント記憶部13eに格納する(ステップS305)。
[第一の実施形態の効果]
このように、第一の実施形態に係る攻撃検知装置10は、ユーザ端末の通信に関するログを収集する。また、攻撃検知装置10は、収集されたログを用いて、所定の短い時間(例えば、5分)ごとに、ユーザ端末の通信先IPアドレスがブラックリストの通信先IPアドレスと一致する回数をカウントする。また、攻撃検知装置10は、カウントされた回数のうち所定期間(例えば、24時間の間)においてカウントされた回数を用いて、所定の長い時間(例えば、1時間)ごとに、ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する。そして、攻撃検知装置10は、検知された不正通信のうち、所定期間(例えば、24時間)内に検知された不正通信と通信元IPアドレスおよび通信先IPアドレスが同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する。このため、攻撃検知装置10は、長期間のログ分析を実時間で実施するとともに、攻撃の継続性を判定してイベントの重複検知を防止することで効率的なセキュリティオペレーションを行うことが可能である。
このように、第一の実施形態に係る攻撃検知装置10は、ユーザ端末の通信に関するログを収集する。また、攻撃検知装置10は、収集されたログを用いて、所定の短い時間(例えば、5分)ごとに、ユーザ端末の通信先IPアドレスがブラックリストの通信先IPアドレスと一致する回数をカウントする。また、攻撃検知装置10は、カウントされた回数のうち所定期間(例えば、24時間の間)においてカウントされた回数を用いて、所定の長い時間(例えば、1時間)ごとに、ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する。そして、攻撃検知装置10は、検知された不正通信のうち、所定期間(例えば、24時間)内に検知された不正通信と通信元IPアドレスおよび通信先IPアドレスが同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する。このため、攻撃検知装置10は、長期間のログ分析を実時間で実施するとともに、攻撃の継続性を判定してイベントの重複検知を防止することで効率的なセキュリティオペレーションを行うことが可能である。
(システム構成等)
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
(プログラム)
また、上記実施形態に係る攻撃検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータで読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、攻撃検知装置10と同様の機能を実現する攻撃検知プログラムを実行するコンピュータの一例を説明する。
また、上記実施形態に係る攻撃検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータで読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、攻撃検知装置10と同様の機能を実現する攻撃検知プログラムを実行するコンピュータの一例を説明する。
図10は、攻撃検知プログラムを実行するコンピュータを示す図である。図10に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図10に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1090やメモリ1010に記憶される。
また、攻撃検知プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明した攻撃検知装置10が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
また、攻撃検知プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、攻撃検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、攻撃検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 攻撃検知装置
11 入出力部
12 制御部
12a 収集部
12b カウント部
12c 検知部
12d 判定部
12e 表示部
13 記憶部
13a ブラックリスト記憶部
13b 正規化ログ記憶部
13c カウント結果記憶部
13d イベント検知結果記憶部
13e 継続イベント記憶部
20 セキュリティアプライアンス
30 ネットワーク装置
40 サーバ
50 ネットワーク
11 入出力部
12 制御部
12a 収集部
12b カウント部
12c 検知部
12d 判定部
12e 表示部
13 記憶部
13a ブラックリスト記憶部
13b 正規化ログ記憶部
13c カウント結果記憶部
13d イベント検知結果記憶部
13e 継続イベント記憶部
20 セキュリティアプライアンス
30 ネットワーク装置
40 サーバ
50 ネットワーク
Claims (7)
- ユーザ端末と、該ユーザ端末の通信を中継する機器と、前記ユーザ端末の不正通信を検知する攻撃検知装置とを含む攻撃検知システムであって、
前記攻撃検知装置は、
前記ユーザ端末の通信に関するログを前記機器から収集する収集部と、
前記収集部によって収集されたログを用いて、第一の時間ごとに、前記ユーザ端末の通信先情報がブラックリストの通信先情報と一致する回数をカウントするカウント部と、
前記カウント部によってカウントされた回数のうち所定期間においてカウントされた回数を用いて、前記第一の時間よりも長い第二の時間ごとに、前記ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する検知部と、
前記検知部によって検知された不正通信のうち、所定期間内に検知された不正通信と通信元情報および通信先情報が同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する判定部と、
を備えることを特徴とする攻撃検知システム。 - 前記収集部は、収集したログを、検索及び分析しやすいデータ形式に統一的に整理する正規化を行うことを特徴とする請求項1に記載の攻撃検知システム。
- 前記検知部は、前記所定の検知ルールとして、所定の期間に前記ユーザ端末の通信先情報が前記ブラックリストの通信先情報と一致する回数が所定回数以上という条件に適合する通信を不正通信として検知することを特徴とする請求項1または2に記載の攻撃検知システム。
- 前記判定部は、前記不正通信が継続状態であることを検出した後に、該不正通信が検知ルールに適合しなくなった場合には、該不正通信が終了したことを検出することを特徴とする請求項1〜3のいずれか一つに記載の攻撃検知システム。
- ユーザ端末の通信に関するログを収集する収集部と、
前記収集部によって収集されたログを用いて、第一の時間ごとに、前記ユーザ端末の通信先情報がブラックリストの通信先情報と一致する回数をカウントするカウント部と、
前記カウント部によってカウントされた回数のうち所定期間においてカウントされた回数を用いて、前記第一の時間よりも長い第二の時間ごとに、前記ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する検知部と、
前記検知部によって検知された不正通信のうち、所定期間内に検知された不正通信と通信元情報および通信先情報が同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する判定部と、
を備えることを特徴とする攻撃検知装置。 - 攻撃検知装置で実行される攻撃検知方法であって、
ユーザ端末の通信に関するログを収集する収集工程と、
前記収集工程によって収集されたログを用いて、第一の時間ごとに、前記ユーザ端末の通信先情報がブラックリストの通信先情報と一致する回数をカウントするカウント工程と、
前記カウント工程によってカウントされた回数のうち所定期間においてカウントされた回数を用いて、前記第一の時間よりも長い第二の時間ごとに、前記ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する検知工程と、
前記検知工程によって検知された不正通信のうち、所定期間内に検知された不正通信と通信元情報および通信先情報が同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する判定工程と、
を含んだことを特徴とする攻撃検知方法。 - ユーザ端末の通信に関するログを収集する収集ステップと、
前記収集ステップによって収集されたログを用いて、第一の時間ごとに、前記ユーザ端末の通信先情報がブラックリストの通信先情報と一致する回数をカウントするカウントステップと、
前記カウントステップによってカウントされた回数のうち所定期間においてカウントされた回数を用いて、前記第一の時間よりも長い第二の時間ごとに、前記ユーザ端末の通信のうち所定の検知ルールに適合する不正通信を検知する検知ステップと、
前記検知ステップによって検知された不正通信のうち、所定期間内に検知された不正通信と通信元情報および通信先情報が同一である不正通信があるか判定し、同一である不正通信がある場合には、該不正通信が継続状態であることを検出する判定ステップと、
をコンピュータに実行させるための攻撃検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014056662A JP5739034B1 (ja) | 2014-03-19 | 2014-03-19 | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014056662A JP5739034B1 (ja) | 2014-03-19 | 2014-03-19 | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP5739034B1 true JP5739034B1 (ja) | 2015-06-24 |
| JP2015179979A JP2015179979A (ja) | 2015-10-08 |
Family
ID=53534108
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014056662A Active JP5739034B1 (ja) | 2014-03-19 | 2014-03-19 | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5739034B1 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5926413B1 (ja) * | 2015-02-16 | 2016-05-25 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
| KR101695461B1 (ko) * | 2016-02-29 | 2017-01-13 | (주)씨커스 | 보안 위험 감지 장치 및 방법 |
| JP5992643B2 (ja) * | 2016-04-21 | 2016-09-14 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
| JP6088700B2 (ja) * | 2016-08-17 | 2017-03-01 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
| JP7028559B2 (ja) * | 2017-01-25 | 2022-03-02 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
| JP6145588B2 (ja) * | 2017-02-03 | 2017-06-14 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
| JP6626039B2 (ja) * | 2017-06-13 | 2019-12-25 | 日本電信電話株式会社 | ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007094997A (ja) * | 2005-09-30 | 2007-04-12 | Fujitsu Ltd | Idsのイベント解析及び警告システム |
-
2014
- 2014-03-19 JP JP2014056662A patent/JP5739034B1/ja active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007094997A (ja) * | 2005-09-30 | 2007-04-12 | Fujitsu Ltd | Idsのイベント解析及び警告システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015179979A (ja) | 2015-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
| US10467411B1 (en) | System and method for generating a malware identifier | |
| US11882137B2 (en) | Network security blacklist derived from honeypot statistics | |
| US10291654B2 (en) | Automated construction of network whitelists using host-based security controls | |
| US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
| EP1995929B1 (en) | Distributed system for the detection of eThreats | |
| EP3068095B1 (en) | Monitoring apparatus and method | |
| JP4364901B2 (ja) | アタックデータベース構造 | |
| WO2018218537A1 (zh) | 工业控制系统及其网络安全的监视方法 | |
| US9584541B1 (en) | Cyber threat identification and analytics apparatuses, methods and systems | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| JP6401424B2 (ja) | ログ分析装置、ログ分析方法およびログ分析プログラム | |
| JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
| US20190394220A1 (en) | Automatic characterization of malicious data flows | |
| US11636208B2 (en) | Generating models for performing inline malware detection | |
| WO2018191089A1 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
| CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| US11374946B2 (en) | Inline malware detection | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| JP2014179025A (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| Wang et al. | Behavior‐based botnet detection in parallel | |
| JP2018121218A (ja) | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム | |
| US10237287B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN114205169B (zh) | 网络安全防御方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150421 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150422 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5739034 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |