JP5952220B2 - ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム - Google Patents

ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム Download PDF

Info

Publication number
JP5952220B2
JP5952220B2 JP2013109100A JP2013109100A JP5952220B2 JP 5952220 B2 JP5952220 B2 JP 5952220B2 JP 2013109100 A JP2013109100 A JP 2013109100A JP 2013109100 A JP2013109100 A JP 2013109100A JP 5952220 B2 JP5952220 B2 JP 5952220B2
Authority
JP
Japan
Prior art keywords
monitoring
file
probability
resource location
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013109100A
Other languages
English (en)
Other versions
JP2014229127A (ja
Inventor
毅 八木
毅 八木
剛男 針生
剛男 針生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013109100A priority Critical patent/JP5952220B2/ja
Publication of JP2014229127A publication Critical patent/JP2014229127A/ja
Application granted granted Critical
Publication of JP5952220B2 publication Critical patent/JP5952220B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Description

本発明は、ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラムに関する。
近年、インターネットの普及に伴い、個人情報の管理やアプリケーションの配信を実施するサーバに対するサイバー攻撃が急増している。サイバー攻撃の代表例としては、攻撃者が正規ユーザのサーバや端末に不正にアクセスするために用いる攻撃ツールプログラムであるマルウェアを利用したDDoS(Distributed Denial of Services)攻撃やスパム送信、情報盗難などが挙げられる。これらの攻撃の多くは、既存のパーソナルコンピュータやサーバを乗っ取り、踏み台として利用し、他のパーソナルコンピュータやサーバを攻撃する形で実行される。
従来、これらの脅威に対処するために、ファイアウォール機能と転送データ監視機能をルータ等のパケット転送装置に実装することが行われている。かかる機能の実装により、パケット転送装置にサーバ監視機能を構築し、サーバの前段に配置する。そして、パケット転送装置を利用して、送受信されるデータの内容やパケットヘッダ内容に応じて通信を制御するアクセス制御を実現する。
上記アクセス制御技術においては、サーバ監視機能を開発するセキュリティベンダは、既知のソフトウェアの脆弱性やマルウェアを解析する。そして、セキュリティベンダは、攻撃者が攻撃のためにサーバ等に対して送信する可能性がある送信メッセージのパターンをシグネチャ化する。そして、セキュリティベンダは、シグネチャに合致する送信メッセージをフィルタするようサーバ監視機能を構築する。これによって、攻撃者の不正アクセスからサーバ等を防御することができる。
また、脆弱性があるソフトウェアを故意に搭載したおとりサーバをサーバ監視機能の配下に配置し、サーバ監視機能によっておとりサーバへのアクセスを監視することが提案されている。これによってサーバ監視機能は、たとえば攻撃者がアプリケーション提供サーバ等に不正アクセスする際に利用するマルウェア等のプログラムをおとりサーバがダウンロードする際の挙動を検出する。そして、サーバ監視機能は、おとりサーバがダウンロードを要求した要求先を、マルウェアダウンロード用のサイトとして特定する。かかるサーバ監視機能によってマルウェアダウンロード用のサイトと特定されたサイト等のリストを、ブラックリストとする。そして、顧客サーバまたは顧客サーバとネットワークとの境界に配置されたファイアウォール機能やセキュリティアプライアンス等に、ブラックリストを入力しておく。これによって、顧客サーバのマルウェアへの感染を防止することができる。
八木毅、谷本直人、針生剛男、伊藤光恭、「Webサイト向けマルウェアダウンロードサイトの生存期間監視方式」、信学技報、vol. 110, no. 78, IA2010-14, pp. 75-80, 2010年6月
しかしながら、マルウェアダウンロード用のサイトは、攻撃に使用される期間が限られている。また、一般のWebサイトがマルウェアダウンロード用のサイトとして悪用されることが多いため、悪用されていたWebサイトの管理者がマルウェアを発見して駆除することもある。さらに、攻撃者がブラックリストによる攻撃防御を回避するために、マルウェアダウンロード用のサイトを頻繁に変えることも考えられる。このように、マルウェアの配置場所が変更され、マルウェアが配置されなくなったサイトがある場合、他のサービスを提供する観点からかかるサイトをブラックリストから外す必要がある。
しかし、攻撃者が積極的にマルウェアの配置場所を他のサイトに変更した場合、防御側は、新たなマルウェアダウンロード用のサイトを発見するまで、当該マルウェアを使用した攻撃を検知することができない。しかし、頻繁にファイルを再取得してマルウェアか否かを確認すると、防御側は攻撃自体の検知を行うことができず検知漏れが生じる。他方、防御側が、マルウェアが配置され続けているか否かを頻繁に確認しなければ、マルウェアの配置場所の変更を確認できず、マルウェアダウンロード用のサイトではなくなったサイトまでもブラックリストに載せてしまうことになる。その結果、防御側は、攻撃ではないアクセスも攻撃として誤検出してしまう。
開示の実施の形態は、上記に鑑みてなされたものであって、アクセス元に監視を検知される可能性を抑制しつつ、不正なファイルの移動や変化を早期に検知することを目的とする。
上述した課題を解決し、目的を達成するために、開示の実施形態に係るファイル監視周期算出装置は、不正なファイルが配置される統一資源位置指定子を検出し、当該統一資源位置指定子に配置されるファイルを監視する監視部と、統一資源位置指定子を用いたアクセスの数を取得し、前記統一資源位置指定子を用いたアクセスが出現する確率である出現確率を算出する第1の算出部と、統一資源位置指定子のファイルが変動する確率である変動確率を算出する第2の算出部と、不正なファイルが配置される統一資源位置指定子に対する監視を検出する確率である発見確率を算出する第3の算出部と、出現確率、変動確率および発見確率に基づき、監視部がファイルの監視を実行する周期を決定する決定部と、を備えることを特徴とする。
また、開示の実施形態に係るファイル監視周期算出システムは、ネットワークを介して所定の統一資源位置指定子に配置されるファイルを取得するサーバと、サーバに対する不正なアクセスを監視する監視装置と、を備える。監視装置は、不正なファイルが配置される統一資源位置指定子を検出し、当該統一資源位置指定子に配置されるファイルを監視する監視部と、統一資源位置指定子を用いたアクセスの数を取得し、前記統一資源位置指定子を用いたアクセスが出現する確率である出現確率を算出する第1の算出部と、統一資源位置指定子のファイルが変動する確率である変動確率を算出する第2の算出部と、不正なファイルが配置される統一資源位置指定子に対する監視を検出する確率である発見確率を算出する第3の算出部と、出現確率、変動確率および発見確率に基づき、監視部がファイルの監視を実行する周期を決定する決定部と、を備えることを特徴とする。
また、開示の実施形態に係るファイル監視周期算出方法は、ネットワークを介して所定の統一資源位置指定子に配置されるファイルを取得するサーバと、サーバに対する不正なアクセスを監視する監視装置と、を備えるファイル監視周期算出システムで実行される。監視装置は、不正なファイルが配置される統一資源位置指定子を検出し、当該統一資源位置指定子に配置されるファイルを監視する監視工程と、監視装置は、統一資源位置指定子を用いたアクセスの数を取得し、前記統一資源位置指定子を用いたアクセスが出現する確率である出現確率を算出する第1の算出工程と、監視装置は、統一資源位置指定子のファイルが変動する確率である変動確率を算出する第2の算出工程と、監視装置は、不正なファイルが配置される統一資源位置指定子に対する監視を検出する確率である発見確率を算出する第3の算出工程と、監視装置は、出現確率、変動確率および発見確率に基づき、監視工程においてファイルの監視を実行する周期を決定する決定工程と、を含んだことを特徴とする。
また、開示の実施形態に係るファイル監視周期算出プログラムは、不正なファイルが配置される統一資源位置指定子を検出し、当該統一資源位置指定子に配置されるファイルを監視する監視ステップと、統一資源位置指定子を用いたアクセスの数を取得し、前記統一資源位置指定子を用いたアクセスが出現する確率である出現確率を算出する第1の算出ステップと、統一資源位置指定子のファイルが変動する確率である変動確率を算出する第2の算出ステップと、不正なファイルが配置される統一資源位置指定子に対する監視を検出する確率である発見確率を算出する第3の算出ステップと、出現確率、変動確率および発見確率に基づき、統一資源位置指定子に配置されるファイルの監視を実行する周期を決定する決定ステップと、をコンピュータに実行させることを特徴とする。
開示するファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラムは、アクセス元に監視を検知される可能性を抑制しつつ、不正なファイルの移動や変化を早期に検知するという効果を奏する。
図1は、実施形態に係るファイル監視周期算出システムを適用するネットワークモデルの一例を示す図である。 図2は、実施形態に係るファイル監視周期算出装置の構成の一例を示す図である。 図3は、実施形態に係るブラックリストに記憶される情報の一例を示す図である。 図4は、実施形態における状態遷移モデルの一例を示す図である。 図5は、図4における状態遷移モデルの一例において各ボットで発生している事象を説明するための図である。 図6は、実施形態における状態遷移モデルの一例におけるβの推定モデルを説明するための図である。 図7は、実施形態におけるファイル監視周期算出装置の動作の一例を説明するための図である。 図8は、実施形態におけるファイル監視周期算出処理の流れの一例を示すフローチャートである。 図9は、ファイル監視周期算出システムによる一連の処理を実行するプログラムであるファイル監視周期算出プログラムによる情報処理が、コンピュータを用いて具体的に実現されることを示す図である。
以下に、本発明に係るファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。
[ネットワークモデルの一例]
図1は、実施形態に係るファイル監視周期算出システムを適用するネットワークモデルの一例を示す図である。図1のネットワークモデルにおいては、攻撃者A(端末装置1)が、ボットB〜B(1≦i≦N、Nは1より大きい自然数)を利用して被攻撃者V(サーバ2)を攻撃する。
以下の説明において、「ボット」とは、マルウェアダウンロードサイトとして悪用するために攻撃者が準備した踏み台サイトなどのコンピュータリソースを指す。なお、実際の攻撃においては、攻撃者はマルウェアダウンロードサイトとしてコンピュータリソースを利用するのみならず、攻撃自体の送信にも任意のコンピュータリソースを利用する。しかし、以下の説明においては、マルウェアダウンロードサイトとして利用されるコンピュータリソースのみを「ボット」と呼ぶ。
また、以下の説明において、「ブラックリスト」とは、ネットワークを介した攻撃を受ける被攻撃者がそれまでに特定した攻撃元をリスト化したものである。ブラックリストはたとえば、攻撃のためのマルウェアダウンロードサイトとして利用されるサイトの統一資源位置指定子(URL: Uniform Resource Locator)等の情報を含む。以下の説明においては、被攻撃者Vのブラックリストをl=(l)(1≦i≦N、Nは1より大きい自然数)と表す。
本ネットワークモデルでは、攻撃者Aによる攻撃および被攻撃者Vの防御は以下のように実現されるものとする。
1.攻撃者Aは、一定の攻撃レートαで、被攻撃者Vに対する攻撃を実行する。
2.攻撃者Aは、一定の停止レートηで、攻撃に使用するボットBの使用を停止する。
3.攻撃者Aは、一定の開始レートζで、攻撃に使用していないボットBを用いた攻撃を開始する。
4.被攻撃者Vは、一定の検知レートβで、ブラックリストに登録されていないボットBを利用した攻撃を検知する。
5.被攻撃者Vは、一定の送信レートγで、ブラックリストに登録されたボットBにプローブを送信する。
以下の説明において、検知レートβは、攻撃に使用されるボットが出現する確率を表すものとして出現確率とも呼ぶ。さらに、停止レートηおよび開始レートζは、マルウェアの存在する場所や有無の変動を表すものとして変動確率とも呼ぶ。
6.攻撃者AがボットBを攻撃に使用しているときは、B=1と表し、攻撃者AがボットBを攻撃に使用していないときは、B=0と表す。
7.ボットBがブラックリストlに登録されているときは、l=1と表し、ボットBがブラックリストlに登録されていないときは、l=0と表す。
上記の条件下で、攻撃者Aは、攻撃に使用しているボットBが受信するパケットを監視し、被攻撃者Vから送信されるプローブを検出すると、当該ボットBの使用を停止する。ボットBは、攻撃実行時のパケットとプローブとを受信する。このため、攻撃に使用するパケットが多い場合、攻撃者Aがプローブを検出する確率は低下する。したがって、攻撃者Aがプローブを検出する確率を示すプローブ検出レートをf(α,γ)と表す。なお、以下の説明においてプローブ検出レートを発見確率とも呼ぶ。
上記の条件下で、被攻撃者Vは、ボットBに対して送信レートγでプローブを送信し、Bが攻撃に使用されていない場合には、攻撃の停止を検出する。被攻撃者Vが攻撃を停止したボットを検出する攻撃停止ボット検出レートをg(γ)と表す。
[ファイル監視周期算出装置の構成の一例]
図2は、実施形態に係るファイル監視周期算出装置10の構成の一例を示す図である。図2を参照して、ファイル監視周期算出装置10の構成の一例について説明する。ファイル監視周期算出装置10は、図1のサーバ2に相当する。
ファイル監視周期算出装置10は、監視部101と、監視連携部102と、マルウェアダウンロードサイト監視部103と、出現確率算出部104と、変動確率算出部105と、発見確率算出部106と、監視周期算出部107と、ブラックリスト108と、を備える。監視部101、マルウェアダウンロードサイト監視部103は、図1の「監視部」、「マルウェアダウンロードサイト監視部」にそれぞれ相当する。なお、サーバ2とは別の装置としてファイル監視周期算出装置10を配置してもよい。
監視部101は、攻撃者Aからの攻撃を検出し収集する。たとえば、攻撃者Aが、マルウェアダウンロードサイトへのアクセスを誘導する不正な命令を被攻撃者Vのサーバ2に送信する。監視部101は、命令を受信すると、アンチウィルスソフト等を利用して当該命令が攻撃であるか否かを判定する。監視部101は、検出した攻撃の情報を、マルウェアダウンロードサイト監視部103、出現確率算出部104および発見確率算出部106に送信する。
監視部101はたとえば、ハニーポットと呼ばれるおとりシステムである。ハニーポットは意図的に脆弱なソフトウェアを搭載し、攻撃を受けやすく構成したシステムである。また、Webサイトに対するアクセスから攻撃を検出して攻撃をログに記録するよう監視部101を構成してもよい。また、サーバ2にアンチウィルスソフトを搭載して攻撃を検出し攻撃を記録するように構成している場合は、当該アンチウィルスソフトが監視部101の機能を実現する。
なお、監視部101は、かならずしもファイル監視周期算出装置10自体に搭載する必要はなく、独立した別の装置として実現してもよい。たとえば、ハニーポットとしておとりサーバ20を設置して、おとりサーバ20からファイル監視周期算出装置10に、収集した攻撃の情報を送信するように構成してもよい。また、ファイル監視周期算出装置10に監視部101を設けるとともに、外部のおとりサーバ20が収集した攻撃の情報もファイル監視周期算出装置10に送信させて利用するように構成してもよい。
監視連携部102は、外部のおとりサーバ20等から送信される攻撃の情報を受信する。監視連携部102は、たとえば、所定の期間ごとに外部のおとりサーバ20にアクセスして攻撃の情報を収集する。収集した攻撃の情報は、マルウェアダウンロードサイト監視部103、出現確率算出部104、発見確率算出部106に送られる。なお、外部のおとりサーバ20等から攻撃の情報を収集しない場合は、監視連携部102は設けなくともよい。
監視部101および監視連携部102が検出した攻撃の情報は、ブラックリスト108として記憶される。ブラックリスト108については後述する。
マルウェアダウンロードサイト監視部103は、マルウェアダウンロードサイトに対する監視処理を実行する。マルウェアダウンロードサイトとは、監視部101および監視連携部102により検出された攻撃によりアクセスを誘導される、マルウェアが配置されるサイトである。マルウェアダウンロードサイトとして監視対象となるサイトは、監視部101および監視連携部102により、ブラックリスト108に登録される。
マルウェアダウンロードサイト監視部103は、所定の監視周期ごとにマルウェアダウンロードサイトにアクセスしてマルウェアの有無および変化を検出する。マルウェアダウンロードサイト監視部103の監視周期は、監視周期算出部107(後述)が算出して通知する。
具体的には、マルウェアダウンロードサイト監視部103は、ブラックリスト108に登録された統一資源位置指定子により特定される各マルウェアダウンロードサイトに、該当する監視周期ごとにアクセスする。そしてマルウェアダウンロードサイト監視部103は、当該サイトに以前取得したファイルが存在するか否かを検出する。具体的には、マルウェアダウンロードサイト監視部103は、マルウェアダウンロードサイトからファイルを取得できた場合は、当該ファイルと以前取得したファイルとの一致性を判定する。ファイルが一致すると判定した場合、マルウェアダウンロードサイト監視部103は、当該マルウェアダウンロードサイトが継続して攻撃に利用されていると判定する。
また、ファイルが一致しないと判定した場合、マルウェアダウンロードサイト監視部103は、新しく取得したファイルがマルウェアであるか否かを判定する。マルウェアであると判定した場合、マルウェアダウンロードサイト監視部103は、当該サイトが継続して前と同じ攻撃に利用されていると判定する。または、マルウェアダウンロードサイト監視部103は、当該サイトが新たな攻撃に利用されていると判定するよう構成してもよい。
なお、ファイルの一致性の判定およびマルウェアか否かの判定の手法は特に限定されない。ファイルの一致性の判定はたとえば、ファイルのハッシュ値を比較して実行すればよい。また、マルウェアか否かの判定はたとえば、アンチウィルスソフトを利用して行えばよい。また、ファイルを試験的に実行して挙動を確認することでマルウェアか否かを判定してもよい。
マルウェアダウンロードサイト監視部103は、判定の結果に基づき、ブラックリスト108を更新する。具体的には、当該サイトに以前取得したファイルが存在しないと判定した場合、マルウェアダウンロードサイト監視部103は、ブラックリスト108から該当するマルウェアダウンロードサイトの情報を削除する。また、マルウェアダウンロードサイト監視部103は、当該サイトが継続して同じ攻撃に利用されていると判定した場合、ブラックリスト108を現状で維持する。また、マルウェアダウンロードサイト監視部103は、当該サイトが新たな攻撃に利用されていると判定した場合、ブラックリスト108に記憶されている当該サイトの情報を削除し、新たな攻撃の情報を登録する。
なお、監視部101、監視連携部102およびマルウェアダウンロードサイト監視部103の機能を統合して一つの機能部が実行してもよい。以下、監視部101、監視連携部102およびマルウェアダウンロードサイト監視部103をまとめて監視部とも呼ぶ。
出現確率算出部104は、監視部101および監視連携部102が取得した攻撃の情報に基づき、マルウェアダウンロードサイトを利用した攻撃が実行される確率、すなわち攻撃レートαを算出する。たとえば、出現確率算出部104は、監視部101および監視連携部102が単位時間あたりに検出した攻撃数を算出する。図1のネットワークモデル中、「攻撃レートα」が出現確率に相当する。出現確率算出部104は、算出した出現確率を、監視周期算出部107に通知する。
また、出現確率算出部104は、監視部101および監視連携部102が取得した攻撃の情報に基づき、新たなマルウェアダウンロードサイトが出現する確率を算出する。つまり、出現確率とは、被攻撃者が統一資源位置指定子を用いた攻撃を発見する確率といえる。図1のネットワークモデル中、「検知レートβ」が出現確率に相当する。出現確率の具体的な算出手法については後述する。なお、複数のハニーポットをネットワーク上に配置して攻撃を検出する場合、複数のハニーポット全体で検出した攻撃に対する一部のハニーポットで検出した攻撃の割合を用いて出現確率を算出してもよい。
変動確率算出部105は、マルウェアダウンロード監視部103が収集した情報に基づき、マルウェアダウンロードサイトに配置されたマルウェアの削除および変更の確率である変動確率を算出する。図1のネットワークモデル中、変動確率は停止レートηおよび開始レートζによって表される。変動確率の具体的な算出法については後述する。なお、マルウェアダウンロードサイト上にマルウェアが存在する平均時間を算出し、算出した平均時間に基づき変動確率を算出してもよい。
発見確率算出部106は、攻撃者が被攻撃者によるファイル確認を検知する確率である発見確率を算出する。発見確率とは、攻撃者Aが被攻撃者Vによるプローブ送信、すなわち監視を発見する確率である。つまり、発見確率とは、上述したプローブ検出レートである。発見確率は、f(α,γ)と表してもよい。
監視周期算出部107は、出現確率算出部104、変動確率算出部105および発見確率算出部106が算出した各値に基づき、各マルウェアダウンロードサイトの監視周期を算出する。図1のネットワークモデル中、「送信レートγ」が監視周期に相当する。すなわち、監視周期算出部107は、攻撃レートα、出現確率(検知レートβ)および変動確率(停止レートη及び開始レートζ)に基づき、発見確率(プローブ検出レート、f(α,γ))を最小とする監視周期(送信レートγ)を算出する。監視周期の具体的な算出手法については後述する。
ブラックリスト108は、監視部101および監視連携部102が検出した攻撃の情報を記憶する。ブラックリスト108はたとえば、攻撃に利用されるボットの位置を特定する統一資源位置指定子と、当該統一資源位置指定子から取得したファイルの情報と、該当する監視周期と、を記憶する。マルウェアダウンロードサイト監視部103、出現確率算出部104および発見確率算出部106は、監視部101および監視連携部102から攻撃の情報を受け取るのではなく、ブラックリスト108から取得するように構成してもよい。
図3は、実施形態に係るブラックリスト108に記憶される情報の一例を示す図である。図3に示すように、たとえば、ブラックリスト108は、監視部101および監視連携部102により検出されたマルウェアダウンロードサイトの統一資源位置指定子と、当該サイトへのアクセスを誘導するアクセスの数と、を記憶する。また、ブラックリスト108は、当該サイトから直前に取得したファイルの情報と、当該サイトの監視周期と、を記憶する。たとえば、図3の例では、統一資源位置指定子として「http://host#1/d-A/d-B/d-C/file-a」、当該統一資源位置指定子に対応するアクセス数として「27」が記憶されている。また、対応する取得ファイルの情報として記憶部内の取得ファイル位置を示す情報「M01」が記憶されている。また、当該統一資源位置指定子に適用される監視周期として「800」が記憶されている。
[状態遷移モデルの一例]
次に、図4を参照して、実施形態に係るネットワークモデル上でのボットBとBの状態遷移について説明する。図4は、実施形態における状態遷移モデルの一例を示す図である。図4は、ボットBが攻撃に使用される場合にボットBとBの状態に注目した状態遷移図の一部である。
図4の状態遷移図では、マルウェアダウンロードサイトとして攻撃者Aに利用されている踏み台サイト等のボットを、マルウェアダウンロードサイトとして攻撃に使用されているかという点およびブラックリスト108に登録されているかという点から状態定義する。また、状態間の遷移を、攻撃者Aの行動およびサービスプロバイダである被攻撃者Vの行動から定義する。
また、評価指標を、TP、TN、FP、FNという事象から定義する。ここで、TP(True Positive)は、マルウェアダウンロードサイトをブラックリスト108に登録できているという事象を表す。また、TN(True Negative)は、マルウェアダウンロードサイトではないサイトをブラックリスト108に登録していないという事象を表す。また、FP(False Positive)は、マルウェアダウンロードサイトではないサイトをブラックリスト108に登録しているという事象を表す。また、FN(False Negative)は、マルウェアダウンロードサイトをブラックリスト108に登録していないという事象を表す。これらの事象に基づいて評価指標を定義することで、プローブの送信周期を変化させた際の最適なプローブ送信周期、すなわち監視周期を決定する。
ここで、各システムすなわちボットの状態を、(b,l)で表す。「b」はボットを表し、「l」はブラックリストへの登録状態を表す。そしてある状態(b,l)から他の状態(b’,l’)への状態遷移レートを、λ(b,l)(b’,l’)で表す。なお、各状態遷移の発生はポアソン過程に従うと仮定する。
まず、状態(b,l)から状態(b’,l)への状態遷移レートを考える。ただし、b≠b’とする。この状態遷移レートはすなわち、攻撃者Aが攻撃に使用するボットを追加する場合および削除する場合の状態遷移レートである。上述した条件から、本実施形態では、攻撃者Aは開始レートζで攻撃に使用するボットを追加するため、次式(1)が成り立つ。
Figure 0005952220
また、攻撃者Aは停止レートηで攻撃に使用しているボットを停止するため、次式(2)が成り立つ。
Figure 0005952220
ただし、攻撃に使用しているボットがブラックリスト108に掲載されている時、すなわち、「Bi=li=1」のときのみ、攻撃者Aは、停止レートηに加え、プローブを感知した場合にボットの使用を停止する。したがって、次式(3)が成り立つ。
Figure 0005952220
次に、状態(b,l)から(b,l’)への状態遷移レートを考える。ただし、l≠l’とする。この状態遷移レートはすなわち、被攻撃者Vがブラックリスト108を更新する場合の状態遷移レートである。なお、上述した条件においては、単位時間あたりブラックリスト108の変更が生じるのは単一のボットBのみである。
まず、被攻撃者VがボットBをブラックリスト108から削除する場合を考える。ここで全てのボットは等価であり、被攻撃者VがボットBからの攻撃停止を検知する攻撃停止ボット検出レートはg(γ)である。したがって、次式(4)が成り立つ。
Figure 0005952220
また、被攻撃者VがボットBをブラックリスト108に登録する場合を考える。この場合も全てのボットは等価であり、また、被攻撃者VがボットBからの攻撃を検知する検知レートはβである。したがって、次式(5)が成り立つ。
Figure 0005952220
上記の遷移が発生しない場合は、ボットは同一の状態にとどまる。したがって、次式(6)が成り立つ。
Figure 0005952220
上記以外の状態遷移レートは全て0となる。
ここで、B=0のとき、すなわち、ボットBが攻撃に使用されていない場合は、式(1)に示すように開始レートζでBの使用が開始される(B=1)。
また、B=1かつl=0のとき、すなわち、Bが攻撃に使用されているがブラックリスト108に登録されていない場合、式(5)に従って、検知レートβで被攻撃者VがBを使用した攻撃を検出する。そして、被攻撃者VはBをブラックリスト108に登録する(l=1)。また、式(2)に示すように、停止レートηでBの使用が停止される(B=0)。ただし、Bの使用が停止されるという状態遷移は、B=1かつl=1のとき、すなわちBが攻撃に使用されかつブラックリスト108に登録されているときは、式(3)に示すようにレートη+f(α,γ)で発生する。
また、B=0かつl=1のとき、すなわち、Bが攻撃に使用されていないがブラックリスト108に登録されているとき、式(4)に示すように攻撃停止ボット検出レートg(γ)でBがブラックリスト108から削除される(l=0)。
なお、式(6)の状態遷移はいずれの状態でも発生する。
図5は、図4における状態遷移モデルの一例において各ボットで発生している事象を説明するための図である。図5に示すように、b=1のとき、全ボットで発生している事象はTPまたはTNとなり、最適な状態となる。
次に、本状態遷移モデルのマルコフ連鎖を用いて各状態の定常分布確率を算出することで、γに対するTP、TN、FPおよびFNを算出する。
まず、実体調査の結果に基づき、αとγ以外のパラメータを設定する。攻撃に使用されるボット数は実際には一定数となるので、攻撃に使用するボット数を1とする。このとき、攻撃に使用されているボットBの停止と新たに選択されたボットB(i≠j)を用いた攻撃の開始は同時に発生するため、次式(7)を用いることができる。
Figure 0005952220
また、前述の通り、プローブ検出レートf(α,γ)は、攻撃数の増加に対して低下するため、次式(8)とすることができる。
Figure 0005952220
また、攻撃停止ボット検出レートg(γ)は、被攻撃者Vがプローブの応答を確認するため、次式(9)とすることができる。
Figure 0005952220
本解析では、ボット間で遷移レートに差異が発生しない。このため、ボットBがブラックリスト108に登録されているときにBがマルウェアダウンロードサイトである確率を示すPPV(Positive Predictive Value)を次式(10)で定義できる。
Figure 0005952220
また、ボットBがマルウェアダウンロードサイトではない場合にブラックリスト108に登録されていない確率を示すNPV(Negative Predictive Value)を次式(11)で定義できる。
Figure 0005952220
式(10)および(11)で定義したPPVおよびNPVは評価値として利用することができる。なお、式(10)および(11)中、Sは全状態の集合を表し、P(b,l)は状態(b,l)の定常分布確率を表す。
さらに、全ボットで発生している事象がTPまたはTNとなる状態の定常分布確率の総和Opも評価値とすることができる。Opは次式(12)で表すことができる。
Figure 0005952220
ここで、PPV、NPVおよびOpを最大化するγを算出するためには、全ボット数Nや、同一のマルウェアダウンロードサイトが使用された攻撃レートαの監視に加え、停止レートηおよび検知レートβを推定する必要がある。
[変動確率の算出手法]
停止レートη、すなわち変動確率はたとえば、マルウェアダウンロードサイト監視部103が監視する統一資源位置指定子に配置されたファイルに変化がない時間の平均値を求めることで算出する。
具体的には、マルウェアダウンロードサイトの平均活動期間を観測して算出する。この際、マルウェアダウンロードサイトの活動期間は指数分布に従う傾向があることも考慮する。たとえば、平均活動期間が15日である場合、分単位でマルウェアダウンロードサイト上のマルウェアが別のサイトに再配置されるレートを次式(13)で算出することができる。
Figure 0005952220
[出現確率の算出手法]
また、検知レートβ、すなわち、出現確率はたとえば、サーバ2に対するアクセス中に同じアクセス元と統一資源位置指定子が出現する出現頻度の周期性に基づいて算出することができる。
次に図6を参照して、βの推定モデルについて説明する。図6は、実施形態における状態遷移モデルの一例におけるβの推定モデルを説明するための図である。図6の例では、同一のマルウェアダウンロードサイトを用いた複数の攻撃が監視部101で観測されたと仮定する。
たとえば、図6の例では、監視部101が攻撃(3)と攻撃(9)とを検出する。監視部101における攻撃検出状態は、攻撃者Aが攻撃対象に対して定期的に所定の順序で攻撃を繰り返しているためと推定できる。すなわち、攻撃者Aが、Webサイト1、Webサイト2、監視部101、おとりサーバ20、Webサイト3、Webサイト4の順に攻撃をしかけていると推定できる。
ここで、たとえば、監視部101において同一のマルウェアダウンロードサイトを用いた攻撃を平均22日周期で受信したとする。攻撃の到着周期がポアソン過程に従うと仮定する。また、サービスプロバイダ(被攻撃者V)が配置した監視機能を有する装置(監視部101、おとりサーバ20等)の台数をxとする。また、監視機能を有する各装置の攻撃検知レートをyとする。この場合βは次式(14)で表すことができる。
Figure 0005952220
[ファイル監視周期算出装置10の動作]
次に、図7を参照して、ファイル監視周期算出装置10の動作の流れの一例について説明する。図7は、実施形態におけるファイル監視周期算出装置10の動作の一例を説明するための図である。
図7に示すように、ファイル監視周期算出装置10の監視部101は、攻撃者Aからのアクセスを受けるとともにマルウェアダウンロードサイト(ボット)へアクセスしてファイルを取得する。監視部101は、アクセスおよびファイルを解析して攻撃およびマルウェアダウンロードサイトの情報を収集する。監視部101は収集した攻撃およびマルウェアダウンロードサイトの情報を、出現確率算出部104および発見確率算出部106に送る。なお、監視部101は、アクセスおよびファイルの情報をログに記録し、出現確率算出部104および発見確率算出部106は、監視部101からログの情報を取得するよう構成してもよい。
出現確率算出部104は、監視部101から取得した情報に基づき、上述した手法で攻撃レートαを算出する。さらに出現確率算出部104は、監視部101から取得した情報に基づき、上述した手法で検知レートβ、すなわち出現確率を算出する。出現確率算出部104はたとえば、マルウェアダウンロードサイトの使用周期からβを算出する。
他方、マルウェアダウンロードサイト監視部103は、任意のマルウェアダウンロードサイトの監視を行う。その際に、当該マルウェアダウンロードサイト上にマルウェアが存在していた場合、マルウェアダウンロードサイト監視部103は、マルウェアが存在するという情報と、当該サイトの活動期間の統計情報とを、変動確率算出部105に通知する。マルウェアダウンロードサイト監視部103が取得した情報は、別の記憶部等に格納し、変動確率算出部105が記憶部から読み出すように構成してもよい。
変動確率算出部105は、上述した手法で開始レートζおよび停止レートη、すなわち変動確率を算出する。
出現確率算出部104が算出した検知レートαおよび出現確率β、変動確率算出部105が算出した変動確率ζおよびη、ならびに発見確率算出部106が算出した発見確率は、監視周期算出部107へ送られる。なお、監視周期算出部107が適宜、出現確率算出部104、変動確率算出部105および発見確率算出部106にアクセスして情報を取得するようにしてもよい。
発見確率算出部106は、プローブ検出レートすなわち発見確率f(α,γ)を算出する。発見確率算出部106は、監視部101からαを取得してもよいし、監視周期算出部107からαおよびγを取得してもよい。監視周期算出部107は、発見確率算出部106が算出する発見確率f(α,γ)が最低となるよう、監視周期、すなわちプローブ送信周期γを算出する。
監視周期算出部107は、上述した手法により、αと存在情報と依存関係にあるマルウェアダウンロードサイトのプローブ送信周期、すなわち監視周期γを算出する。監視周期算出部107は算出した監視周期γを、マルウェアダウンロードサイト監視部103に送って設定する。監視周期算出部107は通知のみをおこない、マルウェアダウンロードサイト監視部103が監視周期を設定してもよい。または、マルウェアダウンロードサイト監視部103が適宜監視周期算出部107から監視周期を取得して設定してもよい。また、上述したようにブラックリスト108に監視周期算出部107が監視周期を登録し、マルウェアダウンロードサイト監視部103はブラックリスト108を参照して監視をおこなってもよい。
図8は、図7を参照して説明したファイル監視周期算出装置10の動作により実行される、実施形態におけるファイル監視周期算出処理の流れの一例を示すフローチャートである。
図8を参照して、ファイル監視周期算出処理の流れを説明する。まず、監視部101が攻撃の情報を収集する(ステップS801)。監視部101が収集した情報に基づき、出現確率算出部104は攻撃レートαを算出する(ステップS802)。また、出現確率算出部104は出現確率(検知レートβ)を算出する(ステップS803)。また、マルウェアダウンロードサイト監視部103は、監視対象にアクセスしてマルウェアの存在情報と活動期間の統計情報を取得する(ステップS804)。マルウェアダウンロードサイト監視部103が取得した情報にもとづき、変動確率算出部105は、変動確率(停止レートηおよび開始レートζ)を算出する(ステップS805)。発見確率算出部106は、プローブ検出レートf(α,γ)すなわち発見確率を算出する(ステップS806)。監視周期算出部107は、算出された攻撃レートα、出現確率βおよび変動確率η,ζに基づき、発見確率f(α,γ)を最小値とする監視周期γを算出する(ステップS807)。算出した監視周期γにもとづき、マルウェアダウンロードサイト監視部103が監視を実行する。これによって、ファイル監視周期算出処理が終了する。
[実施形態に係るファイル監視周期算出装置の効果]
上述のように、実施形態に係るファイル監視周期算出装置およびファイル監視周期算出システムは、不正なファイルが配置される統一資源位置指定子を検出し、当該統一資源位置指定子に配置されるファイルを監視する監視部と、統一資源位置指定子を用いたアクセスの数を取得し、統一資源位置指定子を用いたアクセスが出現する確率である出現確率を算出する第1の算出部と、統一資源位置指定子のファイルが変動する確率である変動確率を算出する第2の算出部と、不正なファイルが配置される統一資源位置指定子に対する監視を検出する確率である発見確率を算出する第3の算出部と、出現確率、変動確率および発見確率に基づき、監視部がファイルの監視を実行する周期を決定する決定部と、を備える。このため、アクセス元の攻撃状況に応じた監視周期を設定して、アクセス元に監視を検知される可能性を抑制しつつ、不正なファイルの移動や変化を早期に検知することができる。
また、実施形態に係るファイル監視周期算出装置およびファイル監視周期算出システムにおいて、第1の算出部は、サーバへのアクセスにおいて、所定のアクセス元と所定の統一資源位置指定子の出現頻度の周期性に基づいて、出現確率を算出する。このため、アクセス元の攻撃状況に対応づけて出現確率を算出することができる。
また、実施形態に係るファイル監視周期算出装置およびファイル監視周期算出システムにおいて、監視装置は、所定の統一資源位置指定子を、サーバまたはネットワーク上で検出する検出部をさらに備え、第1の算出部は、検出部の検出結果に基づき、所定の統一資源位置指定子が出現する頻度を算出する。このため、アクセス元の攻撃状況により正確に対応付けた出現確率を算出することができる。
また、実施形態に係るファイル監視周期算出装置およびファイル監視周期算出システムにおいて、監視部は、統一資源位置指定子に配置されるファイルの変化の有無を監視し、第2の算出部は、監視部がファイルに変化がないことを検出した時間の平均値に基づき、変動確率を算出する。このため、配置されるファイルの状況に正確に対応付けて変動確率を算出することができる。
また、実施形態に係るファイル監視周期算出装置およびファイル監視周期算出システムにおいて、監視装置はさらに、不正なファイルが配置される可能性がある1以上の統一資源位置指定子を特定する特定部と、1以上の統一資源位置指定子にファイルが配置されているか否か、および、1以上の統一資源位置指定子が監視部の監視対象であるか否かに基づき、1以上の統一資源位置指定子のファイルの状態を規定する規定部と、を備え、決定部は、出現確率、変動確率、発見確率および監視部によるファイルの監視周期にもとづいて、状態間の遷移確率を算出し、監視周期を変化させた場合の状態各々の定常分布確率を算出し、所定の状態および状態群のうち少なくとも一方について定常分布確率が最大となる監視周期を、周期として決定する。このため、ファイル配置の状態遷移モデルに基づいて最適な監視周期を決定することができる。
このように、実施形態に係るファイル監視周期算出システム、ファイル監視周期算出装置、ファイル監視周期算出方法においては、実測値から監視周期の数値解析に必要なデータを算出または推定し、数値解析を実施して算出した最適な監視周期をもちいてマルウェアダウンロードサイトの監視を実行する。このため、アクセス元からのアクセスに応じて不要な監視を最小限に抑制し、アクセス元に監視を検知される確率を低下させることができる。また、特にアクセス元が攻撃者である場合、攻撃者に監視を検知されてマルウェアを別のサイトに再配置される事態を回避することができる。その結果、新たなサイトに配置されたマルウェアを用いた攻撃を検知できなくなる可能性を排除でき、ブラックリストを用いた防御における検知漏れを抑制することができる。
なお、上記実施形態では、本発明に係るファイル監視周期算出システム、ファイル監視周期算出装置、ファイル監視周期算出方法及びファイル監視周期算出プログラムの、マルウェアダウンロードサイトの監視への適用例を説明した。しかし、これに限定されず、本発明は他のファイル監視システムに適用することもできる。
これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、その他の実施形態にて実施されてもよい。以下に、その他の実施形態を説明する。
[システム構成]
本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。例えば、攻撃元の情報は監視部101が検出し、ブラックリスト108に登録するものとしたが、サーバ20のログ等からオペレータが検出して手入力するものとしてもよい。この他、上述文書中や図面中に示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示したファイル監視周期算出システムおよびファイル監視周期算出装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。例えば、図2に示す例では、監視部101、監視連携部102、マルウェアダウンロードサイト監視部103、出現確率算出部104、変動確率算出部105、発見確率算出部106、監視周期算出部107を一つの装置の構成要素として記載した。しかし、たとえば、出現確率算出部104、変動確率算出部105、発見確率算出部106および監視周期算出部107を独立した装置に実装してもよい。その場合、監視周期の設定と、監視処理の実行とは別の独立した装置で実行し、適宜相互に情報を送受信するものとしてもよい。また、ブラックリスト108は、ファイル監視周期算出装置10に格納するものとしたが、ブラックリスト108を格納する記憶装置を別個に設けて、複数のおとりサーバ20からの情報を統合的に格納させてもよい。
[プログラム]
図9は、ファイル監視周期算出システムによる一連の処理を実行するプログラムであるファイル監視周期算出プログラムによる情報処理が、コンピュータを用いて具体的に実現されることを示す図である。図9に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブ1080と、ネットワークインタフェース1070とを有する。コンピュータ1000の各部はバス1100によって接続される。
メモリ1010は、図9に例示するように、ROM1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。
ここで、図9に例示するように、ハードディスクドライブ1080は、例えば、OS1081、アプリケーションプログラム1082、プログラムモジュール1083、プログラムデータ1084を記憶する。すなわち、開示の実施の形態に係るファイル監視周期算出プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1083として、例えばハードディスクドライブ1080に記憶される。例えば、出現確率算出部104、変動確率算出部105および発見確率算出部106の各部と同様の情報処理を実行する手順各々が記述されたプログラムモジュール1083が、ハードディスクドライブ1080に記憶される。
また、ブラックリスト108に記憶されるデータのように、ファイル監視周期算出プログラムによる情報処理に用いられるデータは、プログラムデータ1084として、例えばハードディスクドライブ1080に記憶される。そして、CPU1020が、ハードディスクドライブ1080に記憶されたプログラムモジュール1083やプログラムデータ1084を必要に応じてRAM1012に読み出し、各種の手順を実行する。
なお、ファイル監視周期算出プログラムに係るプログラムモジュール1083やプログラムデータ1084は、ハードディスクドライブ1080に記憶される場合に限られない。例えば、プログラムモジュール1083やプログラムデータ1084は、着脱可能な記憶媒体に記憶されてもよい。この場合、CPU1020は、ディスクドライブなどの着脱可能な記憶媒体を介してデータを読み出す。また、同様に、ファイル監視周期算出プログラムに係るプログラムモジュール1083やプログラムデータ1084は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。この場合、CPU1020は、ネットワークインタフェース1070を介して他のコンピュータにアクセスすることで各種データを読み出す。
[その他]
なお、本実施形態で説明したファイル監視周期算出プログラムは、インターネット等のネットワークを介して配布することができる。また、ファイル監視周期算出プログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読取可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
1 端末装置
2 サーバ
10 ファイル監視周期算出装置
20 おとりサーバ
101 監視部
102 監視連携部
103 マルウェアダウンロードサイト監視部
104 出現確率算出部
105 変動確率算出部
106 発見確率算出部
107 監視周期算出部
108 ブラックリスト
1000 コンピュータ
1010 メモリ
1011 ROM
1012 RAM
1020 CPU
1070 ネットワークインタフェース
1080 ハードディスクドライブ
1081 OS
1082 アプリケーションプログラム
1083 プログラムモジュール
1084 プログラムデータ
1100 バス

Claims (9)

  1. 不正なファイルが配置される統一資源位置指定子を検出し、当該統一資源位置指定子に配置されるファイルを監視する監視部と、
    前記統一資源位置指定子を用いたアクセスの数を取得し、前記統一資源位置指定子を用いたアクセスが出現する確率である出現確率を算出する第1の算出部と、
    前記統一資源位置指定子のファイルが変動する確率である変動確率を算出する第2の算出部と、
    不正なファイルが配置される統一資源位置指定子に対する監視を検出する確率である発見確率を算出する第3の算出部と、
    前記出現確率、前記変動確率および前記発見確率に基づき、前記監視部がファイルの監視を実行する周期を決定する決定部と、
    を備えるファイル監視周期算出装置。
  2. ネットワークを介して所定の統一資源位置指定子に配置されるファイルを取得するサーバと、
    前記サーバに対する不正なアクセスを監視する監視装置と、
    を備えるファイル監視周期算出システムであって、
    前記監視装置は、
    不正なファイルが配置される統一資源位置指定子を検出し、当該統一資源位置指定子に配置されるファイルを監視する監視部と、
    前記統一資源位置指定子を用いたアクセスの数を取得し、前記統一資源位置指定子を用いたアクセスが出現する確率である出現確率を算出する第1の算出部と、
    前記統一資源位置指定子のファイルが変動する確率である変動確率を算出する第2の算出部と、
    不正なファイルが配置される統一資源位置指定子に対する監視を検出する確率である発見確率を算出する第3の算出部と、
    前記出現確率、前記変動確率および前記発見確率に基づき、前記監視部がファイルの監視を実行する周期を決定する決定部と、
    を備えるファイル監視周期算出システム。
  3. 前記第1の算出部は、前記サーバへのアクセスにおいて、所定のアクセス元と所定の統一資源位置指定子の出現頻度の周期性に基づいて、前記出現確率を算出することを特徴とする請求項2に記載のファイル監視周期算出システム。
  4. 前記監視装置は、前記所定の統一資源位置指定子を、前記サーバまたは前記ネットワーク上で検出する検出部をさらに備え、
    前記第1の算出部は、前記検出部の検出結果に基づき、前記所定の統一資源位置指定子の出現頻度を算出することを特徴とする請求項3に記載のファイル監視周期算出システム。
  5. 前記監視部は、前記統一資源位置指定子に配置されるファイルの変化の有無を監視し、
    前記第2の算出部は、前記監視部が前記ファイルに変化がないことを検出した時間の平均値に基づき、前記変動確率を算出することを特徴とする請求項2に記載のファイル監視周期算出システム。
  6. 前記監視装置はさらに、
    不正なファイルが配置される可能性がある1以上の統一資源位置指定子を特定する特定部と、
    前記1以上の統一資源位置指定子にファイルが配置されているか否か、および、前記1以上の統一資源位置指定子が前記監視部の監視対象であるか否かに基づき、前記1以上の統一資源位置指定子のファイルの状態を規定する規定部と、
    を備え、
    前記決定部は、前記出現確率、前記変動確率、前記発見確率および前記監視部によるファイルの監視周期にもとづいて、前記状態間の遷移確率を算出し、前記監視周期を変化させた場合の前記状態各々の定常分布確率を算出し、所定の状態および状態群のうち少なくとも一方について前記定常分布確率が最大となる監視周期を、前記周期として決定することを特徴とする請求項2に記載のファイル監視周期算出システム。
  7. ネットワークを介して所定の統一資源位置指定子に配置されるファイルを取得するサーバと、
    前記サーバに対する不正なアクセスを監視する監視装置と、
    を備えるファイル監視周期算出システムで実行されるファイル監視周期算出方法であって、
    前記監視装置は、不正なファイルが配置される統一資源位置指定子を検出し、当該統一資源位置指定子に配置されるファイルを監視する監視工程と、
    前記監視装置は、前記統一資源位置指定子を用いたアクセスの数を取得し、前記統一資源位置指定子を用いたアクセスが出現する確率である出現確率を算出する第1の算出工程と、
    前記監視装置は、前記統一資源位置指定子のファイルが変動する確率である変動確率を算出する第2の算出工程と、
    前記監視装置は、不正なファイルが配置される統一資源位置指定子に対する監視を検出する確率である発見確率を算出する第3の算出工程と、
    前記監視装置は、前記出現確率、前記変動確率および前記発見確率に基づき、前記監視工程においてファイルの監視を実行する周期を決定する決定工程と、
    を含んだことを特徴とするファイル監視周期算出方法。
  8. 不正なファイルが配置される統一資源位置指定子を検出し、当該統一資源位置指定子に配置されるファイルを監視する監視ステップと、
    前記統一資源位置指定子を用いたアクセスの数を取得し、前記統一資源位置指定子を用いたアクセスが出現する確率である出現確率を算出する第1の算出ステップと、
    前記統一資源位置指定子のファイルが変動する確率である変動確率を算出する第2の算出ステップと、
    不正なファイルが配置される統一資源位置指定子に対する監視を検出する確率である発見確率を算出する第3の算出ステップと、
    前記出現確率、前記変動確率および前記発見確率に基づき、前記統一資源位置指定子に配置されるファイルの監視を実行する周期を決定する決定ステップと、
    をコンピュータに実行させるためのファイル監視周期算出プログラム。
  9. コンピュータを請求項1に記載のファイル監視周期算出装置として機能させるためのファイル監視周期算出プログラム。
JP2013109100A 2013-05-23 2013-05-23 ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム Expired - Fee Related JP5952220B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013109100A JP5952220B2 (ja) 2013-05-23 2013-05-23 ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013109100A JP5952220B2 (ja) 2013-05-23 2013-05-23 ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム

Publications (2)

Publication Number Publication Date
JP2014229127A JP2014229127A (ja) 2014-12-08
JP5952220B2 true JP5952220B2 (ja) 2016-07-13

Family

ID=52128912

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013109100A Expired - Fee Related JP5952220B2 (ja) 2013-05-23 2013-05-23 ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム

Country Status (1)

Country Link
JP (1) JP5952220B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11604879B2 (en) 2017-07-12 2023-03-14 Nec Corporation Attestation system, attestation method, and attestation program
JP7020362B2 (ja) * 2018-10-10 2022-02-16 日本電信電話株式会社 探索装置、探索方法及び探索プログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7685174B2 (en) * 2003-07-08 2010-03-23 Seventh Knight Inc. Automatic regeneration of computer files
JP5116447B2 (ja) * 2007-11-16 2013-01-09 Kddi株式会社 ポリシ生成システム、プログラム、および記録媒体
JP5389740B2 (ja) * 2010-06-08 2014-01-15 日本電信電話株式会社 更新方法、更新装置及び更新システム

Also Published As

Publication number Publication date
JP2014229127A (ja) 2014-12-08

Similar Documents

Publication Publication Date Title
US11843666B2 (en) Sub-networks based security method, apparatus and product
US9774601B2 (en) Security of computer resources
US10354072B2 (en) System and method for detection of malicious hypertext transfer protocol chains
US10095866B2 (en) System and method for threat risk scoring of security threats
US8904529B2 (en) Automated deployment of protection agents to devices connected to a computer network
US8256003B2 (en) Real-time network malware protection
US8312537B1 (en) Reputation based identification of false positive malware detections
US9948667B2 (en) Signature rule processing method, server, and intrusion prevention system
US20080148381A1 (en) Methods, systems, and computer program products for automatically configuring firewalls
JP5655191B2 (ja) 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
EP3374870B1 (en) Threat risk scoring of security threats
USRE48043E1 (en) System, method and computer program product for sending unwanted activity information to a central system
JP5952220B2 (ja) ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム
JP5389740B2 (ja) 更新方法、更新装置及び更新システム
JP5952219B2 (ja) ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム
JP6635029B2 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
Tupakula et al. Trust enhanced security architecture for detecting insider threats
JP2015082191A (ja) 情報処理装置、情報処理方法
JP2023177332A (ja) コンピュータ又はコンピュータネットワークにおける脅威検出の構成及び方法
CN114189360A (zh) 态势感知的网络漏洞防御方法、装置及系统
Yagi et al. Life-cycle monitoring scheme of malware download sites for websites
WO2013081521A1 (en) Monitoring traffic in a communication network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150623

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151001

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20151005

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160516

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160607

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160609

R150 Certificate of patent or registration of utility model

Ref document number: 5952220

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees