JP5844938B2 - ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム - Google Patents

ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム Download PDF

Info

Publication number
JP5844938B2
JP5844938B2 JP2015501520A JP2015501520A JP5844938B2 JP 5844938 B2 JP5844938 B2 JP 5844938B2 JP 2015501520 A JP2015501520 A JP 2015501520A JP 2015501520 A JP2015501520 A JP 2015501520A JP 5844938 B2 JP5844938 B2 JP 5844938B2
Authority
JP
Japan
Prior art keywords
log
analysis
information
communication
log data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015501520A
Other languages
English (en)
Other versions
JPWO2014129587A1 (ja
Inventor
健介 中田
健介 中田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015501520A priority Critical patent/JP5844938B2/ja
Application granted granted Critical
Publication of JP5844938B2 publication Critical patent/JP5844938B2/ja
Publication of JPWO2014129587A1 publication Critical patent/JPWO2014129587A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、インターネットなどの外部ネットワークからのサイバー攻撃や外部ネットワークへの情報漏えいの検出を支援するための技術に関する。
近年、ネットワークを介して提供される各種サービスや、インフラなどに対して攻撃する不正な通信(サイバー攻撃)は、多種多様な手法を用いたものへと日々進化し、ますます脅威が増大している。このような不正な通信に対する対策技術としては、例えば、FW(FireWall:ファイアウォール)やIDS(Intrusion Detection System)、IPS(Intrusion Prevention System)などが知られている。図8は、従来技術に係る対策技術の一例を説明するための図である。
例えば、FWは、図8に示すように、ルータ等のネットワーク装置のパケットフィルタリング機能、あるいは、専用装置として、内部ネットワークと外部ネットワークとの接続点に配置される。そして、例えば、FWは、内部ネットワークに含まれる端末が外部ネットワークの端末に提供しているサービスのパケット、および、外部ネットワークの端末が提供しているサービスを内部ネットワークの端末が利用するためのパケットのみを通過させ、それ以外のパケットを遮断するように、内部ネットワークに含まれる端末のユーザによってルールが設定される。
また、例えば、IDSやIPSは、ルータ等のネットワーク装置の機能、あるいは、専用装置として提供される。ここで、IDSやIPSには、例えば、図8に示すように、取得したパケットを、予め定義された攻撃パケットのパターンとマッチングすることによって攻撃を検出するシグネチャ型や、取得したパケット、又は、ネットワーク機器から収集した各種ログ、統計情報を用いてトラフィックを監視し、監視データを分析することによって異常なトラフィックを検出するアノマリ型が知られている。
一例を挙げると、シグネチャ型では、図8に示すように、FW通過後の地点でパケットを取得して、当該パケットに不正なビット列が含まれるか否かを判定し、不正なビット列が存在する場合に異常と検出する。また、例えば、アノマリ型では、内部ネットワークの端末におけるリソースの付加や通信量などの振る舞いに正常状態を定義して、それを外れる場合に異常と検出する。上述した技術においては、異常を検出すると、例えば、図8に示すように、アラートを出力することでネットワーク管理者に異常を通知する。
特開2008−219149号公報 特開2006−115007号公報 特開2005−210601号公報
しかしながら、上述した従来技術では、不正な通信に対する対策技術として一定の限界があった。例えば、FWにおいては、パケットごとに通過の可否を決定しており、攻撃成功時の通過したパケットについてのログを単一で見るだけでは攻撃者の通信が見分けることができないなど、対策技術として一定の限界があった。また、例えば、IDSやIPSのシグネチャ型においても、予め定義されたパターンに基づくため、未知の攻撃への対応が遅れ、対策技術として一定の限界があった。また、例えば、IDSやIPSのアノマリ型では、正常状態の定義を厳密に定義すると誤検出が多発することとなり、不正な通信をもれなく検出することが困難であり、対策技術として一定の限界があった。
そこで、本願に係る技術は、上述した従来技術の問題に鑑みてなされたものであって、不正な通信を高精度に検出することを可能にするネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、本願に係るネットワーク監視装置は、外部ネットワークとの接続点及び内部のセグメント分割点の少なくとも一方に設けられるファイアウォールとウェブアクセス用のプロキシサーバとを備えてIPパケットを転送するネットワーク内に設けられ、不正の疑いがある通信を検出するネットワーク監視装置であって、前記ファイアウォール及び前記プロキシサーバの少なくとも一方からログデータを収集して格納するログ収集部と、前記ログ収集部に対してログデータの問い合わせを行い、設定された分析条件にしたがって前記ログデータを分析して分析結果を出力するログ分析部と、を備え、前記ログ収集部により格納されるログデータは、5−タプル、送信サイズ、受信サイズ、httpヘッダから抽出された情報、タイムスタンプの少なくとも一つ以上を含む情報であり、前記httpヘッダから抽出される情報は、宛先URL、User−Agent名及びリクエストメソッドの少なくとも1つ以上を含んでいる。
本願に係るネットワーク監視装置は、不正な通信を高精度に検出することを可能にする。
図1は、第1の実施形態に係るネットワーク監視装置が含まれるネットワークの構成の一例を示す図である。 図2は、第1の実施形態に係るネットワーク監視装置の構成の一例を示す図である。 図3は、第1の実施形態に係るログDBによって記憶されるログ情報の一例を示す図である。 図4は、第1の実施形態に係るネットワーク監視装置による処理の手順を示すフローチャートである。 図5は、不正なアクセスや侵入を検出して防御するためのシステムの構成の一例を示す図である。 図6は、第2の実施形態に係る検出装置の構成を示すブロック図である。 図7は、第2の実施形態に係る検出装置が適用されるネットワークの構成の一例を示す図である。 図8は、従来技術に係る対策技術の一例を説明するための図である。
以下に添付図面を参照して、本願に係るネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラムの実施形態を詳細に説明する。なお、本願に係るネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラムは、以下の実施形態により限定されるものではない。
(第1の実施形態)
[第1の実施形態に係るネットワーク監視装置を含むネットワークの構成]
まず、第1の実施形態に係るネットワーク監視装置100を含むネットワークの構成について説明する。図1は、第1の実施形態に係るネットワーク監視装置100が含まれるネットワークの構成の一例を示す図である。例えば、第1の実施形態に係るネットワーク監視装置を含むネットワークは、図1に示すように、企業内NW(Network)であり、インターネット(適宜、外部ネットワークと記載)と接続される。
ここで、企業内NWは、図1に示すように、ネットワーク監視装置100と、FW(FireWall)200と、プロキシサーバ300とを含む。また、企業内NWは、図1に示すように、ユーザPCや、ファイルサーバ、SW(Switch)/ルータ、IDS/IPSなどが含まれる。例えば、企業内NWにおいては、ユーザPCからファイルサーバにアクセスされたり、或いは、ユーザPCからFW200を介してインターネットにアクセスされたりする。また、例えば、企業内NWにおいては、ユーザPCからプロキシサーバ300を介してインターネットにアクセスされる。
FW200は、企業内NWに含まれるユーザPC及びファイルサーバと、インターネット上の端末及びサーバとの間で実行される通信におけるパケットを監視する。具体的には、FW200は、ユーザによって予め定義された条件に基づいて、インターネットと企業内NWとの間のパケットの転送を制御する。例えば、FW200は、パケットの5−tupleの情報(宛先IP(インターネットプロトコル(Internet Protocol))アドレス、送信元IPアドレス、宛先ポート、送信ポート及びプロトコル)に基づいて、不正な通信に係るパケットか否かを判定して、不正な通信であると判定した場合には、パケットを破棄する。また、FW200は、企業内NWに含まれるユーザPCやファイルサーバとインターネットとの接続を、プロキシサーバ300を介した接続となるように制御する。すなわち、FW200は、企業内NWに含まれるユーザPCやファイルサーバが、インターネットと直接接続されないように制御する。
また、FW200は、企業内NWに含まれるユーザPCとファイルサーバとの間で実行される通信におけるパケットを監視する。具体的には、FW200は、ユーザによって予め定義された条件に基づいて、ユーザPCとファイルサーバとの間のパケットの転送を制御する。例えば、FW200は、パケットの5−tupleの情報に基づいて、不正な通信に係るパケットか否かを判定して、不正な通信であると判定した場合には、パケットを破棄する。
ここで、FW200は、自身を通過するパケットについて、各種ログを出力する。例えば、FW200は、自身を通過したパケットの5−tupleの情報や、当該パケットの通過時刻(パケット通過のタイムスタンプ)の情報、さらには、当該パケットに対する判定結果(通過の可否の結果)の情報などを出力する。なお、上記した情報はあくまでも一例であり、FW200は、機器によってその他の情報も適宜出力することが可能である。また、FW200は、各種ログを出力するとともに、各種ログを記憶するものであってもよい。
プロキシサーバ300は、企業内NWに含まれるユーザPC及びファイルサーバと、インターネットに含まれる端末及びサーバとの通信を代理する。すなわち、プロキシサーバ300は、企業内NWに含まれるユーザPC又はファイルサーバがインターネットにアクセスする場合に、アクセス先の端末又はサーバとの通信を代理で実行する。
また、プロキシサーバ300は、インターネットに含まれる端末及びサーバとの通信において一度読み込んだファイルを一定期間保持(キャッシュ)しておき、企業内NWに含まれるユーザPC又はファイルサーバから同様の接続要求があった場合に、キャッシュしたファイルを提供する。また、プロキシサーバ300は、パケットの宛先URL(Uniform Resource Locator)などに基づいて、インターネット上の接続先のWebサイトや接続元のユーザ端末を制限したりする。
ここで、プロキシサーバ300は、自身が代理した通信におけるパケットのログを記憶する。例えば、プロキシサーバ300は、通信の接続時間や、接続元のユーザ端末、接続結果、パケットの送受信サイズ、アクセス方法、アクセス先のURLの情報や、通信が行われた時刻(通信が実行されたタイムスタンプ)の情報などを記憶する。なお、上記した情報はあくまでも一例であり、プロキシサーバ300は、機器によってその他の情報も適宜記憶することが可能である。
ネットワーク監視装置100は、企業内NWにおいて転送されるパケットを監視して、不正な通信を高精度に検出する。具体的には、ネットワーク監視装置100は、図1に示すように、FW200及びプロキシサーバ300からパケットの情報を収集して、不正な通信を検出する。例えば、ネットワーク監視装置100は、FW200やプロキシサーバ300からログ情報(適宜、「ログデータ」と記載)を収集して分析することで、図1に示すように、「1:企業内NWにおいてウィルス等に感染した感染ユーザPCとインターネット上の悪性サイトとの間で実行される通信」の検出や、「2:企業内NWの内部での不正な通信の調査」、「3:インターネット上の攻撃者と企業内NWに含まれるサーバ等との通信及び攻撃者によるデータの持ち出し」の検出などを行う。
[第1の実施形態に係るネットワーク監視装置の構成]
次に、第1の実施形態に係るネットワーク監視装置の構成について説明する。図2は、第1の実施形態に係るネットワーク監視装置100の構成の一例を示す図である。図2に示すように、ネットワーク監視装置100は、FW200及びプロキシサーバ300に接続され、企業内NWにおける通信を監視する。なお、図2においては、FW200及びプロキシサーバ300がそれぞれ1台ずつ示されているが、実際には、任意の台数のFW200及びプロキシサーバ300がネットワーク監視装置100に接続される。
ネットワーク監視装置100は、図2に示すように、通信制御I/F部110と、入力部120と、表示部130と、記憶部140と、制御部150とを有する。そして、ネットワーク監視装置100は、企業内NWに含まれるFW200及びプロキシサーバ300からログ情報を収集して、収集したログ情報に基づいて、企業内NWにおける通信を監視する。
通信制御I/F部110は、企業内NWに含まれるFW200及びプロキシサーバ300と、制御部150との間でやり取りする各種情報に関する通信を制御する。例えば、通信制御I/F部110は、FW200及びプロキシサーバ300からのログ収集に係る通信を制御する。また、通信制御I/F部110は、入力部120及び表示部130と、制御部150との間での各種情報のやり取りを制御する。
入力部120は、例えば、キーボードやマウスなどであり、ユーザによる種々の情報の入力処理を受付ける。一例を挙げると、入力部120は、ログ情報の分析するための条件などの入力処理などを受付ける。なお、ログ情報を分析するための条件については後述する。表示部130は、例えば、ディスプレイなどであり、ユーザに対して処理結果を表示出力する。一例を挙げると、表示部130は、ログ情報を分析するための条件に応じたログ情報を表示出力する。すなわち、表示部130は、企業内NWにおける不正な通信に関するログ情報を表示出力する。
記憶部140は、図1に示すように、ログDB141と、分析情報DB142と、分析結果DB143とを有する。記憶部140は、例えば、ハードディスク、光ディスクなどの記憶装置、または、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)などの半導体メモリ素子であり、ネットワーク監視装置100によって実行される各種プログラムなどを記憶する。
ログDB141は、後述する制御部150によってFW200及びプロキシサーバ300のうち、少なくとも一方から収集されたログを記憶する。具体的には、ログDB141は、後述する制御部150がFW200及びプロキシサーバ300のうち少なくとも一方から収集し、正規化されたログ情報を記憶する。例えば、ログDB141は、FW200又はプロキシサーバ300を通過したパケットの5−tupleの情報(宛先IPアドレス、送信元IPアドレス、宛先ポート、送信ポート及びプロトコル)や通信の接続時間や、接続結果、パケットの送受信サイズ、アクセス先のURLの情報や、タイムスタンプを含む情報が正規化されたログ情報を記憶する。
図3は、第1の実施形態に係るログDB141によって記憶されるログ情報の一例を示す図である。例えば、ログDB141は、図3に示すように、タイムスタンプの情報に基づいて、各パケットの情報を時系列に並べたログ情報を記憶する。すなわち、ログDB141は、図3に示すように、「日付/時刻」に宛先IPアドレスと、送信元IPアドレスと、宛先ポートと、送信ポートと、プロトコルと、送信サイズと、受信サイズと、宛先URLと、ユーザエージェントと、リクエストメソッドと、判定結果とが対応付けられたログ情報を記憶する。
ここで、図3に示す「日付/時刻」とは、パケットがFW200を通過した時刻、又は、プロキシサーバ300が通信を実行した時刻を示す。また、図3に示す「宛先IPアドレス」とは、パケットの宛先の端末(企業内NWのユーザPCや、インターネット上の端末など)又はサーバ(企業内NWのファイルサーバや、インターネット上のサーバなど)のIPアドレスを示す。また、図3に示す「送信元IPアドレス」とは、パケットの送信元の端末(企業内NWのユーザPCや、インターネット上の端末など)又はサーバ(企業内NWのファイルサーバや、インターネット上のサーバなど)のIPアドレスを示す。
また、図3に示す「宛先ポート」とは、パケットの宛先となる端末(企業内NWのユーザPCや、インターネット上の端末など)又はサーバ(企業内NWのファイルサーバや、インターネット上のサーバなど)のポートを示す。また、図3に示す「送信ポート」とは、パケットの送信元となる端末(企業内NWのユーザPCや、インターネット上の端末など)又はサーバ(企業内NWのファイルサーバや、インターネット上のサーバなど)のポートを示す。また、図3に示す「プロトコル」とは、パケットの送受信に用いられる通信プロトコルを示す。
また、図3に示す「送信サイズ」とは、FW200又はプロキシサーバ300が送信したパケットのサイズを示す。また、図3に示す「受信サイズ」とは、FW200又はプロキシサーバ300が受信したパケットのサイズを示す。また、図3に示す「宛先URL」とは、端末(企業内NWのユーザPCや、インターネット上の端末など)によってアクセスされるサーバ(企業内NWのファイルサーバや、インターネット上のサーバなど)上のサイトのURLを示す。
また、図3に示す「ユーザエージェント」とは、サーバ(企業内NWのファイルサーバや、インターネット上のサーバなど)上のサイトにアクセスする端末(企業内NWのユーザPCや、インターネット上の端末など)のブラウザの情報を示す。例えば、ユーザがWebサイトの閲覧を要求すると、サイトをホストするサーバに対してブラウザから一連のヘッダが送信される。各ヘッダは、閲覧が要求された情報を提供する最適な方法をサーバ側で決定するための詳細な情報を含む。ここで、「ユーザエージェント」は、サーバに対して情報を要求しているアプリケーションを識別するためのヘッダである。一例を挙げると、「ユーザエージェント」には、Webサイトの閲覧を要求した端末のブラウザや、ブラウザのバージョン、OSなどの情報が含まれる。
また、図3に示す「リクエストメソッド」とは、端末(企業内NWのユーザPCや、インターネット上の端末など)から(企業内NWのファイルサーバや、インターネット上のサーバなど)に発信される要求を示す。「リクエストメソッド」としては、例えば、ブラウザがサーバに対してWebサイトの取得を要求する「GET」や、ヘッダのみの情報を要求する「HEAD」、サーバにファイルのアップロードを要求する「PUT」、「POST」などがある。
また、図3に示す「判定結果」とは、FW200や、プロキシサーバ300による判定結果を示す。例えば、「判定結果」としては、ユーザによって予め定義された条件に基づくユーザPCとインターネットとの間のパケットの転送制御の結果を含む。また、「判定結果」としては、例えば、パケットの宛先URLなどに基づくインターネット上の接続先のWebサイトや接続元のユーザ端末の接続制限の結果を含む。
上述したように、ログDB141は、後述する制御部150によって収集され、図3に示すようなログ情報を記憶する。ここで、図3に示すログ情報はあくまでも一例であり、実施形態はこれに限定されるものではない。すなわち、ログDB141は、ログ情報としてその他の情報を記憶することも可能である。また、すべてのパケットについて、図3に示す全ての情報が収集されるわけではなく、例えば、ログを出力するログ出力機器に応じたログが収集される。言い換えると、ログ出力機器の種類によっては、いずれかの情報が収集されない場合もある。
図2に戻って、分析情報DB142は、後述する制御部150による分析に用いられる情報を記憶する。具体的には、分析情報DB142は、ログDB141によって記憶されるログ情報の中から、所定の条件を満たすログ情報を抽出する際の各種情報を記憶する。例えば、分析情報DB142は、パケットのヘッダに含まれる情報でログ情報を抽出する場合のキーとなる情報を記憶する。一例を挙げると、分析情報DB142は、ユーザエージェントに含まれる文字列によってログ情報を抽出する場合のキーとなる情報を記憶する。例えば、分析情報DB142は、所定の文字列以外の文字列がユーザエージェントに含まれるログ情報を抽出するための所定の文字列を記憶する。なお、上述した例は、あくまでも一例であり、分析情報DB142によって記憶される情報は、これに限られるものではない。すなわち、分析情報DB142は、ログDB141によって記憶されるログ情報の中から、所定の条件を満たすログ情報を抽出する際に用いることができる情報であれば、どのような情報でも記憶することができる。
分析結果DB143は、後述する制御部150による分析結果を記憶する。具体的には、分析結果DB143は、後述する制御部150がログDB141に記憶されるログ情報から所定の条件に基づいて抽出したログ情報を記憶する。より具体的には、分析結果DB143は、ログDB141に記憶されるログ情報が経時的に分析されることで抽出された、所定の期間において所定の条件を満たすログ情報を記憶する。
制御部150は、ログ収集部151と、ログ分析部152と、出力制御部153とを有する。制御部150は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路であり、ネットワーク監視装置100の全体制御を実行する。
ログ収集部151は、企業内NWを転送されるパケットについて、企業内NWに含まれるFW200及びプロキシサーバ300のうち少なくとも一方から通過するパケットに関するログを収集する。具体的には、ログ収集部151は、FW200からパケットの5−tupleの情報や、当該パケットの通過時刻(パケット通過のタイムスタンプ)の情報、さらには、当該パケットに対する判定結果(不正な通信か否かの結果)の情報などを収集する。また、ログ収集部151は、プロキシサーバ300から通信の接続時間や、接続元のユーザ端末、接続結果、パケットの送受信サイズ、アクセス方法、アクセス先のURLの情報や、通信が行われた時刻(通信が実行されたタイムスタンプ)の情報などを収集する。
そして、ログ収集部151は、収集した情報を正規化することで形式の異なるログファイルを統一された共通の形式のログ情報に変換する。そして、ログ収集部151は、正規化したログ情報をログDB141に格納する。例えば、ログ収集部151は、上述したログの情報を正規化したログ情報をログDB141に格納する(図3参照)。すなわち、ログ収集部151は、ログ情報として、企業内NWを転送されるパケットにおける宛先IPアドレスと、送信元IPアドレスと、宛先ポートと、送信ポートと、プロトコルと、パケットの送受信サイズと、パケットの宛先URLと、ユーザエージェントと、リクエストメソッドと、FW200又はプロキシサーバ300による判定結果と、時刻情報とを含むログ情報をログDB141に格納する。
ここで、ログ収集部151は、後述するログ分析部152によるログ情報の分析の条件に応じて、収集するログ情報を選択することも可能である。例えば、ログ収集部151は、ネットワークを転送されるパケットにおける宛先IPアドレスと、送信元IPアドレスと、宛先ポートと、送信ポートと、プロトコルと、時刻情報(タイムスタンプ)とを含むログを収集する。或いは、ログ収集部151は、ネットワークを転送されるパケットにおける宛先IPアドレスと、送信元IPアドレスと、宛先ポートと、送信ポートと、プロトコルと、パケットの送受信サイズと、時刻情報(タイムスタンプ)とを含む情報を収集する。或いは、ログ収集部151は、ログ情報として、ネットワークを転送されるパケットにおける宛先IPアドレスと、送信元IPアドレスと、宛先ポートと、送信ポートと、プロトコルと、パケットの宛先URLと、ユーザエージェントと、リクエストメソッドと、時刻情報(タイムスタンプ)とを含む情報を収集する。すなわち、収集されるログ情報が選択されることにより、ログ収集部151によってログDB141に格納されるログ情報の構成は適宜変化することとなる。
ログ分析部152は、ログ収集部151によって収集されたログ情報を経時的に分析することで、所定の期間において所定の条件を満たすログ情報を抽出する。具体的には、ログ分析部152は、ログ収集部151によって収集されたログ情報に基づいて、所定の期間において通信のコネクション数及び間隔が所定の条件を満たすログ情報を抽出する。例えば、ログ分析部152は、ログ収集部151によって収集されたログ情報の宛先IPアドレスと、送信元IPアドレスと、宛先ポートと、送信ポートと、プロトコルと、時刻情報とを用いて、ログDB141に記憶されたログ情報の中から通信のコネクションの数が「10回」であり、かつ、その時間間隔が「30秒」ごとに発生する通信が所定の期間継続しているログ情報を抽出する。そして、ログ分析部152は、抽出したログ情報を分析結果DB143に格納する。
また、ログ分析部152は、ログ収集部151によって収集されたログ情報に基づいて、所定の期間においてパケットの送受信サイズが前記所定の条件を満たすログ情報を抽出する。例えば、ログ分析部152は、ログ収集部151によって収集されたログ情報の宛先IPアドレスと、送信元IPアドレスと、宛先ポートと、送信ポートと、プロトコルと、パケットの送受信サイズと、時刻情報とを用いて、ログDB141に記憶されたログ情報の中からパケットの送受信サイズがそれぞれ所定のバイト数を上回っている通信が所定の期間継続しているログ情報を抽出する。そして、ログ分析部152は、抽出したログ情報を分析結果DB143に格納する。
また、ログ分析部152は、ログ収集部151によって収集されたログ情報に基づいて、所定の期間においてログに含まれる元の通信のヘッダ情報が所定の条件を満たすログ情報を抽出する。例えば、ログ分析部152は、ログ収集部151によって収集されたログ情報の宛先IPアドレスと、送信元IPアドレスと、宛先ポートと、送信ポートと、プロトコルと、パケットの宛先URLと、ユーザエージェントと、リクエストメソッドと、時刻情報とを用いて、ユーザエージェントに含まれる文字列が分析情報DB142に記憶されていない文字列である通信が所定の期間継続しているログ情報を抽出する。そして、ログ分析部152は、抽出したログ情報を分析結果DB143に格納する。
このように、ログ分析部152は、ログ収集部151によって収集されたログ情報を経時的に分析することで、所定の期間において所定の条件を満たすログ情報を抽出する。ここで、上述した抽出の例は、あくまでも一例であり、ログ情報を抽出する条件はユーザが任意に設定することができる。例えば、複数の情報(例えば、図3に示す各情報)に対して種々の条件を設定し、設定した条件を満たす通信が所定の期間継続するログ情報を抽出するようにしてもよい。また、これらの条件の設定は、ログ情報を分析する際に入力部120を介してユーザが入力する場合であってもよく、或いは、予め設定した条件をログ分析部152が読み出す場合であってもよい。ここで、ユーザが不正な通信と類推される条件を種々設定して、分析させることで不正通信の可能性が高いログ情報を検出することが可能となる。
出力制御部153は、ログ分析部152によって分析され、分析結果DB143に記憶された分析結果を表示部130に表示出力するように制御する。すなわち、出力制御部153は、ユーザによって設定された条件で抽出されたログ情報を表示出力させる。従って、ユーザが不正な通信と類推される条件を種々設定することで、不正な通信の可能性が高い情報を表示部130に確認することができる。
[第1の実施形態に係るネットワーク監視装置による処理の手順]
次に、第1の実施形態に係るネットワーク監視装置100による処理の手順について、図4を用いて説明する。図4は、第1の実施形態に係るネットワーク監視装置100による処理の手順を示すフローチャートである。図4に示すように、第1の実施形態に係るネットワーク監視装置100においては、ログ収集部151が、FW200及びプロキシサーバ300からログ情報を収集し(ステップS101)、収集したログ情報を正規化してログDB141に格納する(ステップS102)。
そして、入力部120が操作者から分析の条件を受け付けると(ステップS103肯定)、ログ分析部152が、受け付けた分析の条件に応じたログ情報を抽出する(ステップS104)。その後、ログ分析部152は、抽出したログ情報である分析結果を分析結果DB143に格納する(ステップS105)。なお、ログ分析部152が分析の条件を受け付けるまで、ログ情報の収集が継続して実行される(ステップS103否定)。
そして、出力制御部153が、分析結果DB143に記憶される分析結果を表示部130に表示出力する(ステップS106)。
[第1の実施形態の効果]
上述したように、第1の実施形態によれば、ログ収集部151が、企業NWを転送されるパケットについて、企業NWに含まれるFW200及びプロキシサーバ300のうち少なくとも一方からログ情報を収集する。そして、ログ分析部152が、ログ収集部151によって収集されたログ情報を経時的に分析することで、所定の期間において所定の条件を満たすログ情報を抽出する。従って、第1の実施形態に係るネットワーク監視装置100は、所定の条件を満たすログ情報の経時的な変化に基づいてログ情報を抽出することで、これまでは見逃されていた不正な通信の候補を検出することができ、不正な通信を効率よく特定することを可能とする。
例えば、従来技術のFWにおいては、パケットごとに通過の可否を決定しており、攻撃成功時の通過したパケットについてのログを単一で見るだけでは攻撃者の通信が見分けることができず、進化し続ける未知の攻撃に対して対応が遅れることがあった。また、例えば、従来技術のIDSやIPSのシグネチャ型においても、予め定義されたパターンに基づくため、未知の攻撃への対応が遅れる場合があった。これに対して、本願のネットワーク監視装置100では、所定の条件を満たすログ情報の経時的な分析をすることで、これまでに検出できなかった攻撃などを検出することができ、不正な通信を効率よく特定することを可能とする。
また、例えば、本願に係るネットワーク監視装置100では、FW200やプロキシサーバ300に記憶された複数のログの情報に関する所定の条件を柔軟に変化させることで、不正な通信を幅広く検出することができる。
また、第1の実施形態によれば、ログ収集部151は、ログ情報として、企業NWを転送されるパケットにおける宛先IPアドレスと、送信元IPアドレスと、宛先ポートと、送信ポートと、プロトコルと、タイムスタンプとを含む情報を収集する。そして、ログ分析部152は、ログ収集部151によって収集されたログ情報に基づいて、所定の期間において通信のコネクション数及び間隔が所定の条件を満たすログ情報を抽出する。従って、第1の実施形態に係るネットワーク監視装置100は、例えば、悪性サイトと継続して実行される通信や、インターネット上の攻撃者によるデータの持ち出しなどの不正な通信を検出することができる。
また、第1の実施形態によれば、ログ収集部151は、ログ情報として、ネットワークを転送されるパケットにおける宛先IPアドレスと、送信元IPアドレスと、宛先ポートと、送信ポートと、プロトコルと、パケットの送受信サイズと、タイムスタンプとを含む情報を収集する。また、ログ分析部152は、ログ収集部151によって収集されたログ情報に基づいて、所定の期間においてパケットの送受信サイズが所定の条件を満たすログ情報を抽出する。従って、第1の実施形態に係るネットワーク監視装置100は、例えば、インターネット上の攻撃者から企業NW内のファイルサーバへの攻撃などの不正な通信を検出することができる。
また、第1の実施形態によれば、ログ収集部151は、ログ情報として、企業NWを転送されるパケットにおける宛先IPアドレスと、送信元IPアドレスと、宛先ポートと、送信ポートと、プロトコルと、パケットの宛先URLと、ユーザエージェントと、リクエストメソッドと、タイムスタンプとを含む情報を収集する。ログ分析部152は、ログ収集部151によって収集されたログ情報に基づいて、所定の期間においてログに含まれる元の通信のヘッダ情報が所定の条件を満たすログ情報を抽出する。従って、第1の実施形態に係るネットワーク監視装置100は、例えば、不正なHTTPヘッダ情報を含む不正な通信を検出することができる。
(第2の実施形態)
次に、第2の実施形態に係る検出装置(第1の実施形態に係るネットワーク監視装置に対応)について説明する。第2の実施形態に係る検出装置では、現状では検出が難しいサイバー攻撃を検出し、また、攻撃成功後の攻撃者との間の通信や情報漏えいなどの事象を検出することができる。
従来、企業内ネットワークなどの内部ネットワークをインターネットなどの外部ネットワークに接続し、外部ネットワーク上に展開された各種のサービスを利用することは極めて一般的なこととなっている。その一方で、ネットワークを介しての各種のサービスやインフラストラクチャ(社会基盤)へのサイバー攻撃は多種多様な手法を用いた執拗なものへと日々進化しており、ますますそれらの脅威が増大している。
それらの脅威の一例としては、内部ネットワーク内に設けられているサーバに対して外部ネットワークから不正にアクセスし、機密情報を盗み出す、というものがある。単純に外部ネットワークから内部ネットワークに不正にアクセスするだけではなく、内部ネットワークに接続されているPC(パーソナルコンピュータ)に対し、悪意のあるソフトウェアを不正に埋め込み、すなわち悪意のあるソフトウェアによってPCを感染させ、その感染させたソフトウェアを用いて内部ネットワーク内のサーバから不正に情報を収集して外部に送信する、というものもある。また、不正なパケットを外部ネットワークから内部ネットワークに送りつけることによって、内部ネットワーク内のサーバの正常な動作を妨げる、というものもある。
そのような脅威から内部ネットワークを防御するために、外部ネットワークと内部ネットワークとの接続点にファイアウォール(FW)を設けた上で、IDS/IPSを配備するようになってきている。IDS/IPSは、外部からの侵入を疑わせる事象を検出し、さらに、そのような事象を検出した場合に、通信の切断など、必要な防御策を実行するシステムである。
図5は、不正なアクセスや侵入を検出して防御するためのシステムの構成の一例を示す図である。ここでは、外部ネットワーク61に対して内部ネットワーク62が接続している。いずれのネットワークもIPパケットを転送するものであり、IPの上位レイヤのプロトコルとして、TCP(伝送制御プロトコル(Transmission Control Protocol))あるいはUDP(ユーザデータプロトコル(User Datagram Protocol))が用いられている。
外部ネットワーク61と内部ネットワーク62との間には、パケットフィルタリングを行うことによって不正な通信を防止するためのファイアウォール71が設けられている。ファイアウォール71は、パケットヘッダに含まれるいわゆる5−タプル(5-tuple)に基づいてパケットフィルタリングの処理を実行する。5−タプルは、IPパケットのヘッダに含まれる送信元IPアドレス、宛先IPアドレス及びプロトコルと、TCPパケットあるいはUDPパケットのヘッダに含まれる送信元ポート番号及び宛先ポート番号からなる5つのパラメータの組み合わせである。ファイアウォール71は、ログ機能を有しており、通過しようとしたパケットについての通過の可否に関するログを管理者に提供できるようになっている。
内部ネットワーク62内には、例えばサーバ75、76が設けられるとともに、ファイアウォール71では阻止できなかった不正アクセスや侵入などのサイバー攻撃を検出し防御するためにIDS/IPS73も設けられている。IDS/IPS73は、不正なアクセスや侵入などを検出すると、ネットワークの管理者63に対して警報を発する。
不正アクセスや侵入を検出するためにIDS/IPS73に用いられる検出方法としては、大きく分けるとシグネチャ型とアノマリ型とがある。シグネチャ型の検出方法では、不正アクセスや侵入等を特徴づけるビット列が既知であるとして、ネットワーク内のある地点を通過するパケットを検査し、その中に不正なビット列が存在する場合に異常として検出する。一方、アノマリ型では、リソースの負荷や通信量、ユーザの振る舞いなどに関して正常状態を定義し、各種のログや統計情報、負荷量、通信量などを監視し、ネットワークやそこに接続されるサーバの状態が正常状態から外れる場合に異常として検出する。シグネチャ型は、予め定義されたパターンとのマッチングに基づくものであって、不正なビット列が既知であることが前提なので、未知の攻撃への対応が遅れがちになるという課題を有する。一方、アノマリ型では、正常状態を厳密に定義すると誤検知が多くなるので、もれなく不正な通信を見つけるのが難しい、という課題がある。
サイバー攻撃の手法は進化し多様化しているが、ファイアウォールからのログを見て判断したり、IDS/IPSなどを用いてシグネチャやパターンファイルとのマッチングによって防御したりする手法だけでは、進化し続けるサイバー攻撃に対応することが難しい。したがって、従来のファイアウォールやIDS/IPSといったセキュリティアプライアンスによる防御では十分ではなく、サイバー攻撃を取りこぼすことなく検出する新たな技術が必要である。また、トラフィック流量が閾値を超える場合や、あらかじめ定められたパターンとはずれた場合を異常として検知するセキュリティアプライアンスも存在するが、内部ネットワーク上の感染端末(悪意のあるソフトウェアが埋め込まれてしまった端末)と外部ネットワーク側の攻撃者との間の継続的な通信などは検出することができないという問題がある。
そこで、第2の実施形態に係る検出装置では、現状では検出が難しい上述したような進化したサイバー攻撃を検出し、また、攻撃成功後の攻撃者との間の通信や情報漏えいなどの事象を検出することで、上記の問題を解決する。
次に、第2の実施形態に係る検出装置について、図面を参照して説明する。図6は、第2の実施形態に係る検出装置の構成を示すブロック図である。
図6に示す検出装置20は、IPパケットが転送される内部ネットワークに設けられるものである。内部ネットワークは、外部ネットワークであるインターネットに対してファイアウォール41を介して接続しているものとし、また、内部ネットワーク内には、ウェブアクセスのためのプロキシサーバ44が設けられているものとする。プロキシサーバ44は、内部ネットワーク内の端末からインターネット上のウェブサイトへのアクセスを代理し必要に応じてアクセス制限を行うものであり、特に、http(ハイパーテキスト転送プロトコル:Hypertext Transmission Protocol)やhttps(http secure)によるメッセージの代理応答や転送制御を行う。第2の実施形態に係る検出装置20は、IDS/IPSといった従来のセキュリティアプライアンスとは別個に設けられるものである。検出装置20は、ファイアウォール41とプロキシサーバ44からのログを用いて、ログの時系列に着目した相関分析を行い、その分析結果から不正なパターンを抽出することで、サイバー攻撃や情報漏えいの発生を検出する。時系列に着目した相関分析は長期にわたって行うことが好ましい。検出装置20は、ファイアウォール41及びプロキシサーバ44から取得されるログにおいて、特に、5−タプルと、送信サイズ、受信サイズ、宛先URL、User−Agent名、リクエストメソッド及びタイムスタンプとを使用する。ここで、送信サイズ及び受信サイズは、ファイアウォール41のログからもhttpヘッダからも得ることができるものである。宛先URL、User−Agent名及びリクエストメソッドは、いずれも、httpヘッダあるいはhttpsヘッダから得られるものである。タイムスタンプは、ファイアウォール41やプロキシサーバ44などの機器におけるログの記録に関する時刻情報であり、例えば、ログに対応するイベントの発生時刻、あるいは実際にログを記録した時刻を表すものである。
このような検出装置20は、図6に示すように、大別すると、ファイアウォール41及びプロキシサーバ44からログデータを収集して記憶するログ収集部21と、ログ収集部21に記憶されたログデータの分析を行うログ分析部22とから構成されている。
ログ収集部21は、ファイアウォール41及びプロキシサーバ44からログデータを収集する収集実行部31と、分析を容易にするためにログデータの正規化を行う正規化部32と、正規化されたログデータが格納されるログ管理記憶部33と、ログ分析部22からの問合せに応じてログ管理記憶部33内のログデータを検索し、ログ管理記憶部33からの検索結果の応答を受け取ってログ分析部22に渡すログ抽出部34と、を備えている。収集実行部31が収集するログデータは、例えば、宛先IPアドレス、送信元IPアドレス、宛先ポート、送信ポート、プロトコルの5−タプルの情報に加えて、送信サイズ、受信サイズ、宛先URL、User−Agent名、リクエストメソッド、タイムスタンプの情報を含んでいる。さらにはログデータは、ファイアウォール41及びプロキシサーバ44において、対象とするパケットあるいはhttpメッセージを通過させたかあるいは不正なものとして拒絶したかの判定結果(これを機器判定結果と呼ぶ)や、ファイアウォール41及びプロキシサーバ44の各々の装置IDなどの情報を含んでいてもよい。ファイアウォール41やプロキシサーバ44から出力されるログデータの書式が統一されたものである場合などには、必ずしも正規化処理を行わなくても分析を容易に行えるので、正規化部32を設けることなく収集実行部31で収集したログデータを、直接、ログ管理記憶部33に格納するようにしてもよい。
一方、ログ分析部22は、ログ収集部21のログ抽出部34に対して問合せを行ってログを取得するログ取得部35と、ログ取得部35に対してログデータを要求してその応答を受け取り、設定された分析条件に応じてログデータの分析を行う分析実行部36と、分析実行部36から出力される分析結果を格納する分析結果DB(データベース)37と、を備えている。さらに、柔軟な分析及び分析精度向上のために、ログ分析部22は、ネットワーク(NW)情報を格納する記憶部38(適宜「NW情報38」と記載)と、分析条件として各種の分析ルールを格納する記憶部39(適宜「分析ルール39」と記載)とを備えていてもよい。ネットワーク情報は、監視対象のネットワークのトポロジーやアドレス及びサブネットなどの情報であって、ログ取得部35がログ収集部21からログデータを取得した際に、ログデータに関係する通信の方向がどちらの方向であるのか(内部ネットワークから外部ネットワークに向かう通信か、その逆方向か、または内部ネットワークに閉じた通信か)を判別するために使用される。判別した通信方向は、ログデータとともに分析実行部36に送られる。
この検出装置20では、分析実行部36は、単一のログデータではなく複数のログデータについて時系列相関を分析するための分析ルールを記憶部39から複数読み込むことができるようにすることができる。複数の分析ルールを読み込む場合には、分析実行部36は、ログ収集部21に蓄積されたログデータのうち、各分析ルールで定められた項目の値を分析に使用し、各分析ルールごとの分析結果を出力する。さらに分析実行部36は、各分析ルールによる分析結果の組み合わせパターンから、不正な通信の候補を識別してその候補を出力する。
次に、この検出装置20の動作について説明する。
内部ネットワーク内のファイアウォール41及びプロキシサーバ44からは、随時、ログデータが送信されており、ログ収集部21において収集実行部31がそれらのログデータを収集して正規化部32に転送し、正規化部32はログデータの正規化を行ってログ管理記憶部33内に格納する。一方、ログ分析部22において、分析実行部36は、ログデータ要求をログ取得部35に送り、ログ取得部35は、ログデータ要求に基づいてログ収集部21内のログ抽出部34に問合せを行い、ログ抽出部34は、問合せに基づいてログ管理記憶部33内のログデータを検索する。この検索に対する結果応答がログ管理記憶部33からログ抽出部34に送られ、それにより、ログ取得部35がログ抽出部34からログデータを取得する。次にログ取得部35は、NW情報38内のネットワーク情報に基づいて、取得したログデータに関係する通信の通信方向を判定し、ログデータと通信方向の判定結果とをログデータ応答として分析実行部36に送る。すると分析実行部36は、分析ルール39から読出した単一もしくは複数の分析ルールをログデータに適用し、時系列相関分析によって不正通信の候補を抽出する。特に、複数の分析ルールを適用した場合には、分析実行部36は、複数の分析ルールから得られた分析結果の出力頻度やパターンを解析することで、より精度よく不正な通信を検出する。抽出された不正通信の候補は、分析結果DB37に蓄積される。
企業内多くの内部ネットワークでは、ファイアウォールを通過できるパケットのプロトコルやポート番号が限定されている。通過できる数少ないプロトコル/ポート番号の代表的なものが、ウェブアクセスのためのhttpメッセージである。このため、悪意のあるソフトウェアを内部ネットワーク上の端末に感染させ、そのソフトウェアを用いて内部ネットワーク上の端末やサーバ内のデータを盗み出そうとする場合、攻撃者はhttpメッセージを利用することが考えられる。第2の実施形態に係る検出装置20では、ファイアウォール41からのログデータに加え、ウェブアクセス用のプロキシサーバ44からのログデータを用いることにより、不正の疑いがあるhttp通信を検出することができ、特に、感染端末と攻撃者との間の通信や、情報漏えいの恐れのある通信を検出することができる。
第2の実施形態に係る検出装置20は、その使用するログデータ自体としては既存の装置から出力されるものを利用できるので、ネットワーク構成に大きな影響を与えることなく、導入することが可能である。
以下、第2の実施形態に係る検出装置20において利用可能な分析ルール、とりわけ感染端末と攻撃者との間の通信や情報漏えいの恐れのある通信を検出するために利用することができ、ログデータについて時系列相関を分析することができる分析ルールの例について、説明する。
(1)httpコネクションの送信バイト数に着目し、ログ収集部21に蓄積されたログデータのうち少なくとも5−タプルの情報と送信バイト数、タイムスタンプの情報とを基にして、タイムスタンプの時刻情報を参照し、設定された期間内で送信バイト数の値が正常値と差がある通信を不正の疑いがある通信とする。
(2)httpコネクションの数に着目し、ログ収集部21に蓄積されたログデータのうちの少なくとも5−タプルの情報と宛先URL、タイムスタンプの情報とを基にして、タイムスタンプの時刻情報を参照し、設定された期間内で同一通信の組のコネクション数が正常値と差がある通信を不正の疑いがある通信とする。
(3)内部ネットワークにあらかじめポリシーが設定されているとして、ポリシー違反のコネクションに着目し、ログ収集部21に蓄積されたログデータのうち少なくとも5−タプルの情報と、上述の機器判定結果、タイムスタンプの情報とを基にして、タイムスタンプの時刻情報を参照し、設定された期間内で同一通信の組のコネクションにおけるポリシー違反の発生頻度が正常値と差がある通信を不正の疑いがある通信とする。
(4)httpコネクションの送受信バイト数の差分に着目し、ログ収集部21に蓄積されたログデータのうち少なくとも5−タプルの情報と送信バイト数、受信バイト数、タイムスタンプの情報とを基にして、タイムスタンプの時刻情報を参照し、設定された期間内で、送信バイト数と受信バイト数の差の値が正常値と差がある通信を不正の疑いがある通信とする。
(5)http通信のヘッダの情報のうちUser−Agent名に着目し、ログ収集部21に蓄積されるログデータのうち少なくとも5−タプルの情報とUser−Agent名、タイムスタンプの情報とを基にして、タイムスタンプの時刻情報を参照し、設定された期間内でUser−Agent名が正常値と差がある通信を不正の疑いがある通信とする。
(6)http通信のヘッダの情報のうちリクエストメソッドと送受信バイト数に着目し、ログ収集部21に蓄積されたログデータのうち少なくとも5−タプルの情報と送信バイト数、受信バイト数、リクエストメソッド、タイムスタンプの情報とを基にして、タイムスタンプの時刻情報を参照し、設定された期間内で特定のリクエストメソッドとその通信に伴う送受信バイト数の差の値が正常値と差がある通信を不正の疑いがある通信とする。
(7)宛先URLに着目し、ログ収集部21に蓄積されたログデータのうち少なくとも5−タプルの情報と宛先URL、タイムスタンプの情報とを基にして、タイムスタンプの時刻情報を参照し、設定された期間内で宛先URLに異常がある通信を不正の疑いがある通信とする。
例えば、第2の実施形態に係る検出装置20は、専用ハードウェアとして構成することもできるが、マイクロプロセッサやメモリ、通信インタフェースなどを備える汎用のコンピュータを利用し、検査装置20の機能を実行するコンピュータプログラムをこのコンピュータ上で実行させることによっても実現できる。なお、第1の実施形態に係るネットワーク監視装置100についても同様である。
図7は第2の実施形態に係る検出装置が適用されるネットワークの構成の一例を示す図である。内部ネットワークである企業内ネットワーク12がインターネット11に接続しており、企業内ネットワーク12とインターネット11との接続点にはファイアウォール41が設けられている。企業内ネットワーク12内では、ファイアウォール41に接続するスイッチ(SW)/ルータ42が設けられており、スイッチ/ルータ42にはIDS/IPS43、プロキシサーバ44、ファイルサーバ45、46、端末であるユーザPC47〜49が設けられている。そして上述した検査装置20が、ファイアウォール41及びプロキシサーバ44からログデータを受け取るように設けられている。図には示されていないが、企業内ネットワーク12では、そのネットワークがさらにいくつかのセグメントに分割されてセグメント分割点に内部ファイアウォールが設けられていてもよい。内部ファイアウォールのログデータも検査装置20に提供されるようにすれば、企業内ネットワーク12内を始終点とする不正の疑いがある通信を検出することができる。
インターネット11には、悪性サイト51が存在し、また、攻撃者52も存在するものとする。ここで、ユーザPC47〜49のうち、二重線の枠で示されているユーザPC49は、悪意のあるソフトウェアが埋め込まれた感染端末であるとする。攻撃者が企業内ネットワーク12内から情報を窃取しようとする場合、典型的な例では、まず、[1]で示すように、ユーザPC49が悪性サイト51と通信してファイルサーバ45、46の調査を指示され、次に、[2]に示すように、ユーザPC49が内部での調査活動を行ってファイルサーバ45、46から情報を入手し、最後に、[3]に示すように、感染端末であるユーザPC49が攻撃者52として通信して、不正に入手したデータを攻撃者52に送信することによりデータがインターネット11側に持ち出される。第2の実施形態に係る検査装置20を用い上述したような分析ルールを適用することによって、図において[1]、[2]、[3]で示すいずれの段階においても、ファイアウォール41及び内部ファイアウォールの少なくとも一方からのログデータと、プロキシサーバ44からのログデータとに基づいて、不正の疑いがある通信を検出することができる。
このように、第2の実施形態に係る検出装置では、ファイアウォール及びプロキシサーバという既存のネットワークにおいて一般的に設けられている装置からのログデータを用い、これらのログデータを組み合わせることによって、不正の疑いがある通信を検出できるようになり、特に、攻撃成功後の攻撃者との間の通信や情報漏えいなどの事象を検出できるようになる、という効果がある。
(第3の実施形態)
これまで第1の実施形態および第2の実施形態を説明したが、本願に係る実施例は、第1の実施形態および第2の実施形態に限定されるものではない。すなわち、これらの実施例は、その他の様々な形態で実施されることが可能であり、種々の省略、置き換え、変更を行うことができる。
例えば、各装置の分散・統合の具体的形態(例えば、図2の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、ログDB141と分析結果DB143とを1つのDBとして統合してもよく、一方、ログ収集部151を、ログを収集する収集部と、正規化処理を行う正規化処理部とに分散してもよい。また、記憶部140は、既存の管理システムや外部のDBを利用する場合であってもよい。すなわち、既存の管理システムのDB、或いは、外部のDBが、記憶部140に含まれるログDB141、分析情報DB142及び分析結果DB143を有し、制御部150が既存の管理システムのDB、或いは、外部のDBに対してアクセスし、情報の読み書きを実行する場合であってもよい。
また、制御部150をネットワーク監視装置100の外部装置としてネットワーク経由で接続するようにしてもよく、或いは、ログ収集部151とログ分析部152とを別の装置がそれぞれ有し、ネットワークに接続されて協働することで、上述したネットワーク監視装置100の機能を実現するようにしてもよい。
上述した第1の実施形態においては、インターネットと企業NWとの間でパケットがやり取りされる場合を1例に挙げて説明した。しかしながら、実施形態はこれに限定されるものではなく、例えば、複数のネットワーク間でパケットがやり取りされる環境であればどのような環境にも適用することができる。
上述した第1の実施形態においては、図1に示すように、2台のFW200と、1台のプロキシサーバ300が企業NWに含まれる場合について説明した。しかしながら、実施形態はこれに限定されるものではなく、各装置の台数はネットワークによって任意に変更される。すなわち、ネットワーク監視装置100は、監視するネットワーク内に配置されたFW200及びプロキシサーバ300からそれぞれログ情報を収集する。
上述した第1の実施形態においては、FW200及びプロキシサーバ300からそれぞれログ情報を収集する場合について説明した。しかしながら、実施形態はこれに限定されるものではなく、例えば、どちらか一方からログ情報を収集する場合であってもよい。
これらの実施例やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
11 インターネット
12 企業内ネットワーク
20 検出装置
21、151 ログ収集部
22、152 ログ分析部
31 収集実行部
32 正規化部
33 ログ管理記憶部
34 ログ抽出部
35 ログ取得部
36 分析実行部
37、143 分析結果データベース(DB)
38 ネットワーク(NW)情報を格納する記憶部
39 分析ルールを格納する記憶部
41、200 ファイアウォール(FW)
42 スイッチ/ルータ
43 IDS/IPS
44、300 プロキシサーバ
45、46 ファイルサーバ
47〜49 ユーザPC
100 ネットワーク監視装置
141 ログDB
142 分析情報DB
153 出力制御部

Claims (8)

  1. 外部ネットワークとの接続点及び内部のセグメント分割点の少なくとも一方に設けられるファイアウォールとウェブアクセス用のプロキシサーバとを備えてIPパケットを転送するネットワーク内に設けられ、不正の疑いがある通信を検出するネットワーク監視装置であって、
    前記ファイアウォール及び前記プロキシサーバの少なくとも一方からログデータを収集して格納するログ収集部と、
    前記ログ収集部に対してログデータの問い合わせを行い、設定された分析条件にしたがって前記ログデータを分析して分析結果を出力するログ分析部と、
    を備え、
    前記ログ収集部により格納されるログデータは、5−タプル、送信サイズ、受信サイズ、httpヘッダから抽出された情報、タイムスタンプのうち、少なくとも5−タプル、送信サイズ、受信サイズおよびタイムスタンプを含む情報であり、前記httpヘッダから抽出される情報は、宛先URL、User−Agent名及びリクエストメソッドのうち、少なくともリクエストメソッドを含んでおり、
    前記ログ分析部は、所定の期間の特定のリクエストメソッドの通信におけるIPパケットの送信サイズと受信サイズとの差について、予め設定された正常値との差が所定の閾値以上の場合に、不正な通信の疑いがあると分析することを特徴とするネットワーク監視装置。
  2. 前記ログ分析部は、複数の前記ログデータについて時系列相関を分析するための分析条件を複数設定可能であって、各分析条件にしたがって分析を実行することを特徴とする請求項1に記載のネットワーク監視装置。
  3. 前記ログ分析部は、前記各分析条件での分析結果の組み合わせパターンから不正な通信の候補を検出して出力することを特徴とする請求項2に記載のネットワーク監視装置。
  4. 前記ログ分析部において、監視対象のネットワークについての情報に基づきログデータの対象となる通信の方向を判別し、判別した方向と当該ログデータとに基づいて分析を実行することを特徴とする請求項1乃至3のいずれか1項に記載のネットワーク監視装置。
  5. 前記ログ収集部は、前記ログデータとして、前記5−タプルと前記タイムスタンプとを含む情報を収集し、
    前記ログ分析部は、前記ログ収集部によって収集されたログデータに基づいて、所定の期間において通信のコネクション数及び間隔が所定の条件を満たすログデータを抽出することを特徴とする請求項3に記載のネットワーク監視装置。
  6. 前記ログ収集部は、前記ログデータとして、前記5−タプルと前記宛先URLと前記User−Agent名と前記リクエストメソッドと前記タイムスタンプとを含む情報を収集し、
    前記ログ分析部は、前記ログ収集部によって収集されたログデータに基づいて、所定の期間において前記ログデータに含まれる元の通信のヘッダ情報が所定の条件を満たすログデータを抽出することを特徴とする請求項3に記載のネットワーク監視装置。
  7. 外部ネットワークとの接続点及び内部のセグメント分割点の少なくとも一方に設けられるファイアウォールとウェブアクセス用のプロキシサーバとを備えてIPパケットを転送するネットワーク内に設けられ、不正の疑いがある通信を検出するネットワーク監視装置で実行するネットワーク監視方法であって、
    前記ファイアウォール及び前記プロキシサーバの少なくとも一方からログデータを収集して格納するログ収集工程と、
    前記ログ収集工程に対してログデータの問い合わせを行い、設定された分析条件にしたがって前記ログデータを分析して分析結果を出力するログ分析工程と、
    を含み、
    前記ログ収集工程により格納されるログデータは、5−タプル、送信サイズ、受信サイズ、httpヘッダから抽出された情報、タイムスタンプのうち、少なくとも5−タプル、送信サイズ、受信サイズおよびタイムスタンプを含む情報であり、前記httpヘッダから抽出される情報は、宛先URL、User−Agent名及びリクエストメソッドのうち、少なくともリクエストメソッドを含んでおり、
    前記ログ分析工程において、所定の期間の特定のリクエストメソッドの通信におけるIPパケットの送信サイズと受信サイズとの差について、予め設定された正常値との差が所定の閾値以上の場合に、不正な通信の疑いがあると分析することを特徴とするネットワーク監視方法。
  8. 外部ネットワークとの接続点及び内部のセグメント分割点の少なくとも一方に設けられるファイアウォールとウェブアクセス用のプロキシサーバとを備えてIPパケットを転送するネットワーク内に設けられ、不正の疑いがある通信を検出するネットワーク監視プログラムであって、
    前記ファイアウォール及び前記プロキシサーバの少なくとも一方からログデータを収集して格納するログ収集ステップと、
    前記ログ収集ステップに対してログデータの問い合わせを行い、設定された分析条件にしたがって前記ログデータを分析して分析結果を出力するログ分析ステップと、
    をコンピュータに実行させ、
    前記ログ収集ステップにより格納されるログデータは、5−タプル、送信サイズ、受信サイズ、httpヘッダから抽出された情報、タイムスタンプのうち、少なくとも5−タプル、送信サイズ、受信サイズおよびタイムスタンプを含む情報であり、前記httpヘッダから抽出される情報は、宛先URL、User−Agent名及びリクエストメソッドのうち、少なくともリクエストメソッドを含んでおり、
    前記ログ分析ステップにおいて、所定の期間の特定のリクエストメソッドの通信におけるIPパケットの送信サイズと受信サイズとの差について、予め設定された正常値との差が所定の閾値以上の場合に、不正な通信の疑いがあると分析することを特徴とするネットワーク監視プログラム。
JP2015501520A 2013-02-21 2014-02-21 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム Active JP5844938B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015501520A JP5844938B2 (ja) 2013-02-21 2014-02-21 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
JP2013032587 2013-02-21
JP2013032587 2013-02-21
JP2013034529 2013-02-25
JP2013034529 2013-02-25
JP2015501520A JP5844938B2 (ja) 2013-02-21 2014-02-21 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
PCT/JP2014/054190 WO2014129587A1 (ja) 2013-02-21 2014-02-21 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム

Publications (2)

Publication Number Publication Date
JP5844938B2 true JP5844938B2 (ja) 2016-01-20
JPWO2014129587A1 JPWO2014129587A1 (ja) 2017-02-02

Family

ID=51391367

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015501520A Active JP5844938B2 (ja) 2013-02-21 2014-02-21 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム

Country Status (5)

Country Link
US (1) US9661008B2 (ja)
EP (1) EP2961111B1 (ja)
JP (1) JP5844938B2 (ja)
CN (1) CN105027510B (ja)
WO (1) WO2014129587A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021114706A (ja) * 2020-01-20 2021-08-05 株式会社Ihi コンテナ型仮想化環境における通信管理装置
US11870792B2 (en) 2018-03-23 2024-01-09 Nippon Telegraph And Telephone Corporation Abnormal traffic analysis apparatus, abnormal traffic analysis method, and abnormal traffic analysis program

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3011430A4 (en) * 2013-06-19 2017-02-08 Hewlett-Packard Enterprise Development LP Unifying application log messages using runtime instrumentation
JP6252254B2 (ja) * 2014-02-28 2017-12-27 富士通株式会社 監視プログラム、監視方法および監視装置
KR101564644B1 (ko) * 2014-07-03 2015-10-30 한국전자통신연구원 접근제어리스트 추출 방법 및 시스템
JP6357093B2 (ja) * 2014-12-11 2018-07-11 Tis株式会社 ログ解析方法、ログ解析プログラム及びログ解析装置
US9667656B2 (en) 2015-03-30 2017-05-30 Amazon Technologies, Inc. Networking flow logs for multi-tenant environments
CN106559241B (zh) * 2015-09-29 2019-11-08 阿里巴巴集团控股有限公司 应用日志的收集、发送方法、装置、系统及日志服务器
US10592566B2 (en) * 2015-10-29 2020-03-17 Ca, Inc. Intelligent edge device for filtering internet of things (IoT) data
US10164990B2 (en) * 2016-03-11 2018-12-25 Bank Of America Corporation Security test tool
US10313384B1 (en) * 2016-08-11 2019-06-04 Balbix, Inc. Mitigation of security risk vulnerabilities in an enterprise network
JP6652912B2 (ja) * 2016-12-21 2020-02-26 アラクサラネットワークス株式会社 ネットワーク装置および異常検知システム
EP3571607A4 (en) * 2017-01-20 2020-07-22 Jiko Group, Inc. SYSTEMS AND METHODS OF CALCULATION AND RECONCILIATION OF DATA AT THE LEVEL OF PRIVATE Nodes
JP7028559B2 (ja) * 2017-01-25 2022-03-02 エヌ・ティ・ティ・コミュニケーションズ株式会社 攻撃検知システム、攻撃検知方法および攻撃検知プログラム
JP6860161B2 (ja) * 2017-03-17 2021-04-14 日本電気通信システム株式会社 不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システム
JP7031667B2 (ja) * 2017-06-05 2022-03-08 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及び、プログラム
US11095678B2 (en) * 2017-07-12 2021-08-17 The Boeing Company Mobile security countermeasures
JP6962374B2 (ja) * 2017-08-30 2021-11-05 日本電気株式会社 ログ分析装置、ログ分析方法及びプログラム
JP7172104B2 (ja) * 2018-04-06 2022-11-16 富士通株式会社 ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法
JP6962476B2 (ja) * 2018-08-06 2021-11-05 日本電気株式会社 通信装置、通信方法、及び、通信プログラム
CN110838949B (zh) * 2018-08-16 2023-09-29 阿里巴巴集团控股有限公司 一种网络流量日志记录方法及装置
JP7010268B2 (ja) * 2019-04-19 2022-01-26 オムロン株式会社 通信監視システムおよび通信監視方法
CN110062049A (zh) * 2019-04-30 2019-07-26 深圳前海微众银行股份有限公司 一种办公网络的监控方法、装置、计算机设备及存储介质
KR102295947B1 (ko) * 2019-11-15 2021-08-30 한전케이디엔주식회사 사이버 보안관제의 실시간 모니터링 시스템 및 방법
CN117061139A (zh) * 2022-05-07 2023-11-14 华为技术有限公司 一种检测攻击的方法及装置
CN116112407A (zh) * 2022-12-28 2023-05-12 上海学登信息科技有限公司 网络流量数据采集系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006295232A (ja) * 2005-04-05 2006-10-26 Lac Co Ltd セキュリティ監視装置、セキュリティ監視方法、及びプログラム
JP2009044665A (ja) * 2007-08-10 2009-02-26 Fujitsu Ltd 通信装置を制御するプログラム及び通信装置

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US7599939B2 (en) * 2003-11-26 2009-10-06 Loglogic, Inc. System and method for storing raw log data
JP2005210601A (ja) 2004-01-26 2005-08-04 Nippon Telegr & Teleph Corp <Ntt> 不正侵入検知装置
JP4363650B2 (ja) 2004-10-12 2009-11-11 日本電信電話株式会社 侵入検知処理装置、侵入検知処理方法および記録媒体
US7661136B1 (en) 2005-12-13 2010-02-09 At&T Intellectual Property Ii, L.P. Detecting anomalous web proxy activity
JP4620070B2 (ja) 2007-02-28 2011-01-26 日本電信電話株式会社 トラヒック制御システムおよびトラヒック制御方法
JP5011234B2 (ja) * 2008-08-25 2012-08-29 株式会社日立情報システムズ 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
CN102164129A (zh) * 2011-03-19 2011-08-24 东北电力大学 防火墙与入侵检测系统的联动方法
CN102394885B (zh) * 2011-11-09 2015-07-15 中国人民解放军信息工程大学 基于数据流的信息分类防护自动化核查方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006295232A (ja) * 2005-04-05 2006-10-26 Lac Co Ltd セキュリティ監視装置、セキュリティ監視方法、及びプログラム
JP2009044665A (ja) * 2007-08-10 2009-02-26 Fujitsu Ltd 通信装置を制御するプログラム及び通信装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6015033850; 笠間貴弘、他2名: 'マルチモーダル分析による不正通信の検出' 電子情報通信学会技術研究報告 ICS2012-49 第112巻 第315号, 20121115, pp.25-30, 一般社団法人 電子情報通信学会 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11870792B2 (en) 2018-03-23 2024-01-09 Nippon Telegraph And Telephone Corporation Abnormal traffic analysis apparatus, abnormal traffic analysis method, and abnormal traffic analysis program
JP2021114706A (ja) * 2020-01-20 2021-08-05 株式会社Ihi コンテナ型仮想化環境における通信管理装置
JP7388203B2 (ja) 2020-01-20 2023-11-29 株式会社Ihi コンテナ型仮想化環境における通信管理装置

Also Published As

Publication number Publication date
CN105027510A (zh) 2015-11-04
EP2961111B1 (en) 2018-01-31
CN105027510B (zh) 2018-06-12
US20160014146A1 (en) 2016-01-14
EP2961111A4 (en) 2016-12-14
US9661008B2 (en) 2017-05-23
JPWO2014129587A1 (ja) 2017-02-02
EP2961111A1 (en) 2015-12-30
WO2014129587A1 (ja) 2014-08-28

Similar Documents

Publication Publication Date Title
JP5844938B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
Stiawan et al. Investigating brute force attack patterns in IoT network
JP6001689B2 (ja) ログ分析装置、情報処理方法及びプログラム
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US8561129B2 (en) Unified network threat management with rule classification
Ho et al. Statistical analysis of false positives and false negatives from real traffic with intrusion detection/prevention systems
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
CA2886058A1 (en) Identifying and mitigating malicious network threats
Seo et al. A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems
KR20070072835A (ko) 실시간 웹로그 수집을 통한 웹해킹 대응 방법
Choi et al. A model of analyzing cyber threats trend and tracing potential attackers based on darknet traffic
Seo et al. Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
KR20120000942A (ko) 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치 및 그 탐지 방법
JP4161989B2 (ja) ネットワーク監視システム
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
Shyla et al. The Geo-Spatial Distribution of Targeted Attacks sources using Honeypot Networks
Kumar et al. Recent advances in intrusion detection systems: An analytical evaluation and comparative study
KR20100041533A (ko) 네트워크 관리 방법
Selvaraj et al. Enhancing intrusion detection system performance using firecol protection services based honeypot system
Sqalli et al. Classifying malicious activities in Honeynets using entropy and volume‐based thresholds
Gheorghe et al. Attack evaluation and mitigation framework
Sakthipriya et al. Intrusion Detection for Web Application: An Analysis
Misbahuddin et al. Dynamic IDP Signature processing by fast elimination using DFA

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151020

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151117

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151119

R150 Certificate of patent or registration of utility model

Ref document number: 5844938

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150