JP5987627B2 - 不正アクセス検出方法、ネットワーク監視装置及びプログラム - Google Patents

不正アクセス検出方法、ネットワーク監視装置及びプログラム Download PDF

Info

Publication number
JP5987627B2
JP5987627B2 JP2012233190A JP2012233190A JP5987627B2 JP 5987627 B2 JP5987627 B2 JP 5987627B2 JP 2012233190 A JP2012233190 A JP 2012233190A JP 2012233190 A JP2012233190 A JP 2012233190A JP 5987627 B2 JP5987627 B2 JP 5987627B2
Authority
JP
Japan
Prior art keywords
authentication
information processing
access
processing apparatus
conditions
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012233190A
Other languages
English (en)
Other versions
JP2014086822A (ja
Inventor
由紀 藤嶌
由紀 藤嶌
正信 森永
正信 森永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2012233190A priority Critical patent/JP5987627B2/ja
Priority to US14/015,439 priority patent/US9203848B2/en
Publication of JP2014086822A publication Critical patent/JP2014086822A/ja
Application granted granted Critical
Publication of JP5987627B2 publication Critical patent/JP5987627B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は不正アクセス検出方法、ネットワーク監視装置及びプログラムに関する。
現在、情報処理装置を利用した情報管理が普及し、個人情報や機密情報などの重要情報を情報処理装置に格納しておくことが多くなっている。これに伴い、特定の個人や組織を標的にして情報処理装置から重要情報を不正に窃取する標的型攻撃が発生している。標的型攻撃では、いわゆるマルウェアと呼ばれる不正プログラムが使用されることがある。
例えば、標的とする組織に対して電子メールなどを利用して不正プログラムを送り込み、その組織が使用する情報処理装置を不正プログラムに感染させる。不正プログラムに感染した情報処理装置は、その情報処理装置に格納された重要情報を、攻撃者が制御する情報処理装置に送信してしまうことがある。また、不正プログラムに感染した情報処理装置を踏み台として利用して、同じネットワークに属する他の情報処理装置に不正プログラムを送り込み、又は、他の情報処理装置から重要情報を収集することもある。
一方で、このような不正プログラムによる攻撃を検出できるようにする情報セキュリティシステムが研究されている。情報セキュリティシステムには、侵入検知システム(IDS:Intrusion Detection System)、侵入防止システム(IPS:Intrusion Prevention System)、ファイアウォールなどと呼ばれるものが含まれる。ネットワークを流れるパケットを監視するネットワーク型の情報セキュリティシステムでは、不正プログラムによる攻撃を検出する方法として次のような方法が提案されている。
一例として、ネットワークトラフィックストリームを上位レベルのイベントに変換し、予め記述されたセキュリティポリシに従ってイベントを処理することで、リアルタイムに攻撃を検出する方法が提案されている。また、予め定義された不正トラフィックのパターンと現在のネットワークトラフィックとを照合することで、不正トラフィックを検出してシステム管理者に警告する方法が提案されている。また、アプリケーションソフトウェアの既知の脆弱性を利用した攻撃であるトラフィックをネットワーク上で検出し、検出したトラフィックのフィルタリングを行う方法が提案されている。
また、複数のコンピュータが行っている通信の類似性に基づいて通信の集合体(aggregate)を検出し、検出した集合体に基づいてマルウェアに感染したコンピュータ群の候補を判定する方法が提案されている。集合体の検出では、通信を行っているコンピュータに搭載されたソフトウェア、通信内容、通信相手が属する外部ネットワークが考慮される。
V. Paxson, "Bro: A System for Detecting Network Intruders in Real-Time", Proc. of the 7th USENIX Security Symposium, 1998 M. Roesch, "Snort - Lightweight Intrusion Detection for Networks", Proc. of the 13th Systems Administration Conference, pp. 229-238, 1999 H. Wang, C. Guo, D. Simon and A. Zugenmaier, "Shield: Vulnerability-Driven Network Filters for Preventing Known Vulnerability Exploits", Proc. of ACM SIGCOMM '04 Conference, 2004 T. Yen and M. Reiter, "Traffic Aggregation for Malware Detection", Proc. of the 5th Conference on Detection of Intrusions and Malware & Vulnerability Assessment, pp. 207-227, 2008
不正プログラムによる攻撃の過程では、ある情報処理装置(例えば、先に不正プログラムに感染したもの)が、次に侵入できる情報処理装置を探すために、同じネットワークに属する他の情報処理装置をスキャンすることがある。例えば、ある情報処理装置が他の情報処理装置にアクセスしてみて、既知の脆弱性を利用した不正侵入が可能か否かを、レスポンスに含まれる情報に基づいて判断することが考えられる。また、例えば、ある情報処理装置が、窃取したログイン情報を含む認証リクエストを送信してみて、そのログイン情報を利用してログイン可能な他の情報処理装置を探すことも考えられる。
情報処理装置に不正侵入するための不正アクセスは、情報セキュリティシステムによって検出されることが好ましい。しかし、ある情報処理装置から他の情報処理装置へのアクセスが不正アクセスであるか否かを精度よく判定することは容易でない。
例えば、不正アクセス以外の正常アクセスであっても、アクセス先の情報処理装置によっては(例えば、アクセス先が認証を要するファイルサーバである場合には)、頻繁にログイン操作が行われ得る。また、正常アクセスであっても、ユーザの操作ミスなどによって誤ったログイン情報を送信してしまい認証失敗になることもある。逆に、不正アクセスであっても、ゲスト認証(匿名によるアクセス)を許可している情報処理装置は、誤ったログイン情報を含む認証リクエストに対して認証成功と判断してしまうこともある。
このため、アクセス回数や認証失敗の回数などについて固定的な条件を1つ定めて、アクセスがその条件に該当するとき不正アクセスと判定し該当しないとき不正アクセスでないと判定すると、不正アクセスの誤検出や検出漏れが発生し得る。この場合、情報セキュリティシステムが提供する情報を有効に活用することが難しい。
1つの側面では、本発明は、不正アクセスが行われたか否かについての有用な情報を提供する不正アクセス検出方法、ネットワーク監視装置及びプログラムを提供することを目的とする。
1つの態様では、複数の情報処理装置の間でパケットが送信されるネットワークに接続されたネットワーク監視装置が実行する不正アクセス検出方法が提供される。一の情報処理装置から他の一の情報処理装置に対して行われた1又は複数の回数のアクセスについてのパケットを取得する。複数の条件の中から、アクセス元である一の情報処理装置とアクセス先である他の一の情報処理装置との組に応じた1又は複数の条件を選択し、取得したパケットが選択した1又は複数の条件それぞれを具備するか判定する。複数の条件のうち具備すると判定された条件の数に基づいて、他の一の情報処理装置に対して不正アクセスが行われた可能性を判定する。
1つの態様では、複数の情報処理装置の間でパケットが送信されるネットワークに接続されたネットワーク監視装置が提供される。ネットワーク監視装置は、受信部と判定部とを有する。受信部は、一の情報処理装置から他の一の情報処理装置に対して行われた1又は複数の回数のアクセスについてのパケットを取得する。判定部は、複数の条件の中からアクセス元である一の情報処理装置とアクセス先である他の一の情報処理装置との組に応じた1又は複数の条件を選択し、取得したパケットが選択した1又は複数の条件それぞれを具備するか判定し、複数の条件のうち具備すると判定された条件の数に基づいて他の一の情報処理装置に対して不正アクセスが行われた可能性を判定する。
1つの態様では、複数の情報処理装置の間でパケットが送信されるネットワークに接続されるコンピュータに実行させるプログラムが提供される。プログラムを実行するコンピュータは、一の情報処理装置から他の一の情報処理装置に対して行われた1又は複数の回数のアクセスについてのパケットを取得する。複数の条件の中から、アクセス元である一の情報処理装置とアクセス先である他の一の情報処理装置との組に応じた1又は複数の条件を選択し、取得したパケットが選択した1又は複数の条件それぞれを具備するか判定する。複数の条件のうち具備すると判定された条件の数に基づいて、他の一の情報処理装置に対して不正アクセスが行われた可能性を判定する。
1つの側面では、不正アクセスが行われたか否かについての有用な情報を提供できる。
第1の実施の形態に係る情報処理システムの例を示す図である。 第2の実施の形態に係る情報処理システムの例を示した図である。 第2の実施の形態に係る監視装置のハードウェアの例を示した図である。 第2の実施の形態に係る監視装置の機能ブロックの例を示した図である。 認証方法の一例を示した図である。 不正プログラムによる攻撃方法の一例を示した図である。 認証設定に応じたログインスキャンの検出方法を示した図である。 バージョンスキャンを受けた場合の認証側における動作を示した図である。 第2の実施の形態に係る認証許可リストの生成方法の例を示した図である。 第2の実施の形態に係る認証許可リストの例を示した図である。 第2の実施の形態に係る振る舞い表の例を示した図である。 第2の実施の形態に係る警告データの例を示した図である。 第2の実施の形態に係る監視処理の流れを示した第1の図である。 第2の実施の形態に係る監視処理の流れを示した第2の図である。 第2の実施の形態に係る監視処理の流れを示した第3の図である。
以下、本実施の形態を、図面を参照して説明する。
[第1の実施の形態]
図1は、第1の実施の形態に係る情報処理システムの例を示す図である。
第1の実施の形態の情報処理システムは、ネットワーク監視装置10と情報処理装置21〜23を含む複数の情報処理装置とを有する。ネットワーク監視装置10及び複数の情報処理装置は、ネットワーク30に接続されている。
複数の情報処理装置は、ネットワーク30を介してパケットを送信する。パケットの送信には、例えば、ネットワーク層のプロトコルとしてInternet Protocol(IP)が用いられ、トランスポート層のプロトコルとしてTransmission Control Protocol(TCP)が用いられる。各情報処理装置は、ユーザが操作する端末装置としてのクライアント装置でもよいし、クライアント装置からアクセスされるサーバ装置でもよい。例えば、情報処理装置21がクライアント装置であり、情報処理装置22,23がサーバ装置である。
複数の情報処理装置は、標的型攻撃に用いられる不正プログラム(マルウェアと呼ばれることがある)に感染する可能性がある。不正プログラムは、例えば、ネットワーク30の外部にある攻撃者の情報処理装置から、インターネットなどの広域ネットワークを介してネットワーク30に属する何れかの情報処理装置に送り込まれる。
第1の実施の形態では、情報処理装置21が先に不正プログラムに感染し、情報処理装置21が同一ネットワーク内の他の情報処理装置をスキャンして、次に侵入できる情報処理装置を探す場合を考える。その過程で、情報処理装置21は情報処理装置22,23にアクセスする可能性がある。情報処理装置21から他の一の情報処理装置へのアクセスでは、例えば、認証リクエストのパケットが情報処理装置21から当該他の一の情報処理装置に送信される。また、例えば、認証リクエストに対する認証レスポンスのパケットが、当該他の一の情報処理装置から情報処理装置21に返信される。
情報処理装置21は、脆弱性に関する情報(例えば、Operating System(OS)の種類やバージョン番号)を取得するために他の情報処理装置にアクセスするとき、ユーザ名やパスワードなどのログイン情報を含まない認証リクエストを送信することがある。かかる目的の不正アクセスは、バージョンスキャンと呼ぶこともできる。また、情報処理装置21は、窃取済みのログイン情報を用いてログイン可能な他の情報処理装置を探すとき、その窃取済みのログイン情報を含む認証リクエストを送信することがある。かかる目的の不正アクセスは、ログインスキャンと呼ぶこともできる。
ここで、アクセス先の情報処理装置の設定によっては、正しいログイン情報を含まない認証リクエストに対しても認証失敗と判断しないことがある。例えば、ゲスト認証(匿名によるアクセス)を許可している情報処理装置は、ユーザ名及びパスワードが空である認証リクエストや、登録されていないユーザ名を含む認証リクエストを受信したとき、認証成功を示す認証レスポンスを返信する可能性がある。このため、認証失敗の回数について固定的な条件を1つのみ定義し、定義した条件を具備するか否かによって不正アクセスを判定しようとしても、判定精度を向上させるのは容易でない。
また、情報処理装置21以外の情報処理装置には、通常時でも情報処理装置21からのログインの頻度が高いものとログインの頻度が低いものとが存在し得る。例えば、前者として認証を要するファイルサーバが挙げられ、後者としてWebサーバが挙げられる。このため、アクセス回数について固定的な条件を1つのみ定義し、定義した条件を具備するか否かによって不正アクセスを判定しようとしても、判定精度を向上させるのは容易でない。そこで、第1の実施の形態のネットワーク監視装置10は、情報処理装置の間のアクセス状況を総合的に検討して、不正アクセスが行われた可能性を判定する。
ネットワーク監視装置10は、ネットワーク30を流れるパケットに基づいて、不正プログラムによって不正アクセスが行われているかを監視する。ネットワーク監視装置10は、ルータやファイアウォールなどのパケットを送信する通信装置でもよいし、通信装置からパケットの複製を取得して分析するコンピュータであってもよい。
ネットワーク監視装置10は、受信部11、記憶部12及び判定部13を有する。
受信部11は、複数の情報処理装置の間で送信されるパケットを取得する。受信部11は、例えば、ケーブルでネットワーク30に接続される有線通信インターフェースである。受信部11は、特に、情報処理装置21から情報処理装置22,23に対して行われた1又は複数の回数のアクセスについてのパケットを取得する。受信部11が取得するパケットには、例えば、情報処理装置21から情報処理装置22,23に送信された認証リクエストのパケット、及び、情報処理装置22,23から情報処理装置21に返信された認証レスポンスのパケットの少なくとも一方が含まれる。
記憶部12は、パケットについて予め定義された複数の条件を示す条件情報14を記憶する。記憶部12は、Random Access Memory(RAM)などの揮発性メモリでもよいし、Hard Disk Drive(HDD)などの不揮発性記憶装置でもよい。条件情報14が示す各条件は、不正アクセスが行われたときに検出され得る状況を示す。ただし、個々の条件は、不正アクセス以外の正常アクセスが行われたときにも当てはまる可能性がある。条件情報14は、複数の条件とアクセス元・アクセス先の組とを対応付けている。図1の例では、情報処理装置21(#1)から情報処理装置22(#2)へのアクセスには条件1と条件3が適用され、情報処理装置21(#1)から情報処理装置23(#3)へのアクセスには条件1と条件2が適用される。
複数の条件のうちの1つは、アクセス元・アクセス先の組が、許可されるアクセスとして所定のリストに登録されていないか、又は、禁止されるアクセスとして所定のリストに登録されていることであってもよい。また、複数の条件のうちの1つは、認証失敗がN回(Nは2以上の整数)以上発生したことであり、複数の条件のうちの他の1つは、認証失敗がM回(MはN>Mを満たす1以上の整数)以上発生したことでもよい。この場合、1つのアクセス元・アクセス先の組に対して、前者と後者の何れか一方が排他的に適用されることが好ましい。また、複数の条件のうちの1つは、認証リクエストに含まれるユーザ名とその認証リクエストに対応する認証レスポンスに含まれるユーザ情報から導出したユーザ名とが異なることであってもよい。これは、ゲスト認証により認証成功と判断されたときに発生し得る。
判定部13は、受信部11によって取得されたパケット(キャプチャされたパケットと言うこともできる)を分析する。判定部13は、Central Processing Unit(CPU)やDigital Signal Processor(DSP)などのプロセッサを含んでもよく、プロセッサに実行させるプログラムを記憶するRAMなどのメモリを含んでもよい。複数のプロセッサの集合(マルチプロセッサ)を「プロセッサ」と呼んでもよい。また、判定部13は、Application Specific Integrated Circuit(ASIC)やField-Programmable Gate Array(FPGA)などの特定用途の集積回路を含んでもよい。
判定部13は、記憶部12に記憶された条件情報14が示す複数の条件のうち、アクセス元である一の情報処理装置とアクセス先である他の一の情報処理装置との組に対応する1又は複数の条件を選択する。例えば、判定部13は、情報処理装置21から情報処理装置22へのアクセスのパケットが取得されたとき、条件1と条件3を選択する。また、例えば、判定部13は、情報処理装置21から情報処理装置23へのアクセスのパケットが取得されたとき、条件1と条件2を選択する。アクセス元は、例えば、認証リクエストのパケットの送信元アドレス又は認証レスポンスのパケットの宛先アドレスによって特定できる。また、アクセス先は、例えば、認証リクエストのパケットの宛先アドレス又は認証レスポンスのパケットの送信元アドレスによって特定できる。
判定部13は、取得されたパケットが上記の選択した1又は複数の条件それぞれを具備するか判定する。ある条件の判定では、例えば、取得されたパケットの送信元アドレスや宛先アドレスが参照され得る。また、ある条件の判定では、例えば、認証レスポンスのパケットに含まれる認証結果(認証成功又は認証失敗を示す情報)や、認証リクエスト及び認証レスポンスのパケットに含まれるユーザ情報が参照され得る。条件の中には、1回のアクセスからその条件を具備するか判定できるものもあるし、アクセス元・アクセス先が同じ複数回のアクセスからその条件を具備するか判定するものもある。
そして、判定部13は、条件情報14が示す複数の条件のうち、具備すると判定された条件の数に基づいて、一の情報処理装置から他の一の情報処理装置に対して不正アクセスが行われた可能性を判定する。不正アクセスが行われた可能性は、多段階(例えば、3段階以上)の警告レベルとして表現してもよい。例えば、情報処理装置21から情報処理装置22へのアクセスのパケットが条件1と条件3を具備するとき、判定部13は、不正アクセスが行われた可能性を「高」と判定する。また、例えば、情報処理装置21から情報処理装置23へのアクセスのパケットが条件2を具備し条件1を具備しないとき、判定部13は、不正アクセスが行われた可能性を「中」と判定する。
このとき、判定部13は、アクセス元の情報処理装置とアクセス先の情報処理装置の組毎に不正アクセスの可能性を判定してもよいし、アクセス元の情報処理装置のグループとアクセス先の情報処理装置のグループの組毎に不正アクセスの可能性を判定してもよい。情報処理装置のグループはドメインであってもよい。不正アクセスの可能性の判定結果は、ネットワーク監視装置10が備える表示装置(例えば、ディスプレイや警告ランプ)に表示してもよいし、ネットワーク監視装置10と異なる所定の装置に通知されてもよい。
第1の実施の形態の情報処理システムによれば、パケットについての複数の条件の中からアクセス元・アクセス先の組に応じた条件が選択される。これにより、アクセスの当事者である情報処理装置の違いを考慮した適切な条件を利用することができる。
また、複数の条件のうち該当する条件の数に応じて不正アクセスの可能性が判定される。これにより、固定的な条件を1つ定めてアクセスがその条件に該当するとき不正アクセスと判定し該当しないとき不正アクセスでないと判定する場合と比べて、誤検出を考慮した有用な情報を提供することが可能となる。特に、不正アクセスの可能性を多段階の警告レベルとして表現した場合、システム管理者が適切な対応を取りやすくなる。
従って、第1の実施の形態の情報処理システムによれば、正常なアクセスと精度よく区別することが容易でない不正アクセスについての有用な情報を提供することができる。
[第2の実施の形態]
図2は、第2の実施の形態に係る情報処理システムの例を示した図である。
図2に示すように、第2の実施の形態に係る情報処理システム100は、端末装置101、ネットワーク監視装置110、ドメイン管理サーバS1、WebサーバS2、S4、ファイルサーバS3、及びクライアントC1、C2、C3、C4を含む。
端末装置101、ネットワーク監視装置110、ドメイン管理サーバS1、WebサーバS2、S4、ファイルサーバS3、及びクライアントC1、C2、C3、C4は、ネットワーク94を介して接続されている。また、ドメイン管理サーバS1、WebサーバS2、及びクライアントC1、C2は、ドメインAに属する。また、ファイルサーバS3、WebサーバS4、及びクライアントC3、C4は、ドメインBに属する。
ドメイン管理サーバS1、WebサーバS2、S4、ファイルサーバS3は、サーバ装置の一例である。クライアントC1、C2、C3、C4は、ユーザが操作するクライアント装置の一例である。ドメイン管理サーバS1、WebサーバS2、S4、ファイルサーバS3、及びクライアントC1、C2、C3、C4は、ネットワーク94を介してパケットを送信する。ドメイン管理サーバS1、WebサーバS2、S4、ファイルサーバS3、及びクライアントC1、C2、C3、C4によるパケットの送信には、例えば、ネットワーク層のプロトコルとしてIPが用いられ、トランスポート層のプロトコルとしてTCPが用いられる。
ネットワーク監視装置110は、情報処理システム100の管理者が使用する管理用の装置である。ネットワーク監視装置110は、ネットワーク94を介して送信されるパケットを監視し、クライアントC1、C2、C3、C4に侵入した不正プログラムによる攻撃を検出する。例えば、ネットワーク監視装置110は、クライアントC1、C2、C3、C4がドメイン管理サーバS1、WebサーバS2、S4、ファイルサーバS3に対して実行する不正な認証手続などを検出する。
端末装置101は、ネットワーク監視装置110が不正プログラムによる攻撃を検出した場合に発する警告を受け取る装置である。ネットワーク監視装置110から警告を受け取った端末装置101は、攻撃の検出を監視者に通知するための警告表示や警告音声の出力などを行う。以下の説明では、図2に例示したシステムを想定してネットワーク監視装置110の機能及び動作などについて述べる。
まず、図3を参照しながら、ネットワーク監視装置110の機能を実現することが可能なハードウェアの例について説明する。図3は、第2の実施の形態に係る監視装置のハードウェアの例を示した図である。図3に示すように、ネットワーク監視装置110は、例えば、CPU901、RAM902、HDD903、画像信号処理部904、入力信号処理部905、ディスクドライブ906、及び通信インターフェース907を有する。
なお、CPU901は、第1の実施の形態の判定部13の一例である。RAM902やHDD903は、第1の実施の形態の記憶部12の一例である。CPU901や通信インターフェース907は、第1の実施の形態に係る受信部11の一例である。
CPU901は、プログラムに記述された命令を実行する演算器を含むプロセッサである。CPU901は、HDD903に記憶されているプログラムやデータの少なくとも一部をRAM902にロードし、プログラムに記述された命令を実行する。なお、CPU901は、複数のプロセッサコアを含んでいてもよい。また、ネットワーク監視装置110は、複数のCPU901を搭載していてもよい。この場合、ネットワーク監視装置110は、処理を並列実行することができる。
RAM902は、CPU901が実行するプログラムや、処理に用いられるデータを一時的に記憶するための揮発性メモリである。なお、ネットワーク監視装置110は、RAM902とは異なる種類のメモリを有していてもよい。また、ネットワーク監視装置110は、複数のメモリを備えていてもよい。
HDD903は、OS、ファームウェア、或いは、アプリケーションソフトウェアなどのプログラムや、処理に用いられるデータなどを記憶する不揮発性記憶装置の一例である。なお、ネットワーク監視装置110は、フラッシュメモリやSolid State Drive(SSD)など、HDD903とは異なる種類の記憶装置を有していてもよい。また、ネットワーク監視装置110は、複数の記憶装置を有していてもよい。
画像信号処理部904は、CPU901による制御を受け、ネットワーク監視装置110に接続された表示装置91に画像を出力する。表示装置91は、例えば、Cathode Ray Tube(CRT)ディスプレイ、Liquid Crystal Display(LCD)、Plasma Display Panel(PDP)、Organic Electro-Luminescence Display(OELD)などの表示デバイスである。
入力信号処理部905は、ネットワーク監視装置110に接続された入力デバイス92から入力信号を取得し、CPU901に通知する。入力デバイス92としては、例えば、マウス、キーボード、タッチパネル、タッチパッド、トラックボール、リモートコントローラ、ボタンスイッチなどを用いることができる。
ディスクドライブ906は、記録媒体93に記録されたプログラムやデータを読み取る読み取り装置である。記録媒体93としては、例えば、Flexible Disk(FD)、HDDなどの磁気ディスク、Compact Disc(CD)やDigital Versatile Disc(DVD)などの光ディスク、Magneto-Optical disk(MO)などの光磁気ディスクを用いることができる。ディスクドライブ906は、例えば、CPU901による制御を受け、記録媒体93から読み取ったプログラムやデータをRAM902又はHDD903に格納する。
通信インターフェース907は、ネットワーク94を介して他のコンピュータと通信を行うためのインターフェースである。通信インターフェース907は、有線インターフェースであってもよいし、無線インターフェースであってもよい。なお、端末装置101、ドメイン管理サーバS1、WebサーバS2、S4、ファイルサーバS3、クライアントC1、C2、C3、C4の機能も、図3に示したハードウェアの一部又は全部を利用して実現可能である。
上記のハードウェアを用いることで、図4に示すようなネットワーク監視装置110の機能を実現することが可能になる。図4は、第2の実施の形態に係る監視装置の機能ブロックの例を示した図である。
図4に示すように、ネットワーク監視装置110は、キャプチャ部111と、キャプチャデータ記憶部112と、個別判定部113と、許可リスト記憶部114と、総合判定部115を有する。さらに、ネットワーク監視装置110は、振る舞い表記憶部116と、警告データ記憶部117と、警告部118とを有する。
なお、キャプチャ部111、個別判定部113、総合判定部115、及び警告部118が有する機能の一部又は全部は、CPU901が実行するプログラムのモジュールとして実現できる。また、キャプチャ部111、個別判定部113、総合判定部115、及び警告部118が有する機能の一部又は全部をソフトウェアではなく電子回路として実現することも可能である。また、キャプチャデータ記憶部112、許可リスト記憶部114、振る舞い表記憶部116、及び警告データ記憶部117は、RAM902やHDD903に確保された記憶領域である。
キャプチャ部111は、ネットワーク94を介して転送されるパケットをキャプチャする。キャプチャ部111は、キャプチャしたパケットに受信時刻(タイムスタンプ)を付加してキャプチャデータ記憶部112に格納する。キャプチャデータ記憶部112は、キャプチャ部111によりキャプチャされたパケットを記憶する。キャプチャデータ記憶部112に格納されたパケットは、個別判定部113により利用される。
個別判定部113は、キャプチャデータ記憶部112に格納されたパケットに含まれる認証リクエストや認証レスポンスを解析し、ネットワーク94を介して行われる不正な認証手続を検出するための情報を収集する。個別判定部113は、認証リクエスト監視部131と、認証結果監視部132と、ユーザ名監視部133とを含む。
認証リクエスト監視部131は、キャプチャ部111によりキャプチャされ、キャプチャデータ記憶部112に格納されたパケットが認証レスポンスであるか否かを判定する。例えば、Server Message Block(SMB)プロトコルにおける認証手続の場合、パケットに含まれる送信元ポート番号やSMBヘッダの内容(ユーザ名や認証結果など)を確認することで認証レスポンスであるか否かを判定することができる。
SMBは、ファイル共有などのファイルサービスを実現するために利用される。SMBは、ファイル共有サービス、プリンタ共有サービス、プロセス間通信、メールスロット機能などを提供する。また、SMBには、ネットワーク上にあるコンピュータが公開しているリソースの一覧を取得する機能もある。
プロセス間通信(IPC:interprocess communication)は、複数のプロセス間(又は複数のスレッド間)でデータをやり取りする仕組みである。メールスロット機能は、受信側で順にメッセージを取り出して処理することができるように、複数の送信元から送信されたメッセージを一時的に蓄えておく仕組み(メールスロット)を提供する機能である。
SMBプロトコルは、ネットワーク階層で言えばアプリケーション層やプレゼンテーション層に相当するファイルサービスプロトコルである。SMBプロトコルの下位プロトコルとしては、例えば、NetBIOS Extended User Interface(NetBEUI)、NBT(NetBIOS over TCP/IP)、TCP/IP、IPX(Internetwork Packet Exchange)/SPX(Sequenced Packet Exchange)などが利用される。なお、SMBを拡張し、インターネットなどのネットワークを介してファイル共有サービスなどを利用できるようにしたCommon Internet File System(CIFS)と呼ばれるプロトコルもある。
また、SMBは、ピアツーピアの動作を前提としている。従って、SMBでは、クライアントからサーバに何らかの要求が送信され、その要求に応じてサーバが応答する動作が前提とされる。認証手続の場合、認証を求めるクライアントから認証を実施するサーバへと認証を要求するための認証リクエストが送信され、この認証リクエストに応じてサーバからクライアントへと認証結果を含む認証レスポンスが送信される。
認証リクエスト及び認証レスポンスのSMBパケットには、それぞれ、IPヘッダの部分に送信元及び宛先のIPアドレスが含まれ、TCPヘッダの部分に送信元および宛先のポート番号が含まれる。認証リクエストのSMBパケットには、SMBヘッダにユーザ名や認証用の情報(パスワードなどを利用した情報)が含まれる。認証レスポンスのSMBパケットには、SMBヘッダにユーザ名を特定するためのユーザ情報や認証結果などの情報が含まれる。そのため、認証リクエスト監視部131は、これらの情報を参照することで認証リクエスト及び認証レスポンスを識別することができる。
キャプチャ部111によりキャプチャされ、キャプチャデータ記憶部112に格納されたパケットが認証レスポンスであると判定した場合、認証リクエスト監視部131は、その認証レスポンスに対応する認証リクエストを検索する。例えば、認証リクエスト監視部131は、認証レスポンスの送信元IPアドレス及び宛先IPアドレスがそれぞれ宛先IPアドレス及び送信元IPアドレスに一致し、認証レスポンスの送信元ポート番号及び宛先ポート番号がそれぞれ宛先ポート番号及び送信元ポート番号に一致し、さらに認証用の情報を含むパケットを検索する。
認証レスポンス及びこれに対応する認証リクエストが検出された場合、認証リクエスト監視部131は、その認証リクエストの属性を判定する。属性の判定には、許可リスト記憶部114に格納された認証許可リストが利用される。許可リスト記憶部114は、認証許可リストを格納するための記憶部である。認証許可リストは、通常の業務で行われ得る不自然ではないアクセスについて、認証側の装置及びアクセス側の装置を示す情報、及びアクセス側の装置が属するドメイン名を対応付けたデータである。
認証許可リストは、ネットワーク94上のアクセス状況に基づいて生成されてもよい。例えば、不正プログラムに侵入されていないある期間に、ネットワーク94を介して送受信される認証リクエスト及び認証レスポンスの組を監視し、認証成功を示す認証レスポンスを検出した場合に、その認証リクエストに含まれる情報から認証許可リストが生成され得る。認証リクエストから認証側の装置及びアクセス側の装置を示すIPアドレスや、アクセス側の装置が属するドメイン名の情報が得られるため、これらの情報を利用して認証許可リストが生成される。なお、認証許可リストに含まれる情報のうち、例えば、アクセス側の装置を示すIPアドレスが属性1に設定され、アクセス側の装置が属するドメイン名が属性2に設定され、これらの属性を示す情報が認証リクエストの属性を判定するために利用される。
認証リクエスト監視部131は、キャプチャデータ記憶部112に格納された認証レスポンスに対応する認証リクエストを検出した場合、この認証リクエストの属性が認証許可リストに記載の属性に適合するか否かを判定する。例えば、認証リクエスト監視部131は、認証リクエストが上記の属性1に適合するか否かを判定する。さらに、認証リクエスト監視部131は、その認証リクエストが上記の属性2に適合するか否かを判定する。上記の属性1及び2以外にも属性が設定されている場合、他の属性についても認証リクエストの適合性が判定される。
認証側とアクセス側の装置の組が認証許可リストに適合するか否かの判定結果(例えば、属性1についての判定結果)は、総合判定部115に入力される。上記の通り、認証許可リストには、通常の業務で行われ得る不自然でないアクセスについて、アクセス側の装置と認証側の装置の組が記載されている。従って、上記の判定により、例えば、認証手続の発生自体が不自然なのか、或いは、認証手続の発生自体は不自然でなく1回又は多数回の認証失敗が発生して初めて不自然と言えるかを切り分けることができる。
認証リクエスト監視部131は、認証側の装置、アクセス側の装置及びドメイン名が認証許可リストに適合すると判定した場合(例えば、属性1と属性2の両方が適合すると判定した場合)、現在の時点から一定時間前までに受信した認証レスポンスをキャプチャデータ記憶部112に格納されたパケットの中から検索する。キャプチャデータ記憶部112に格納されたパケットには受信時刻を示すタイムスタンプが付加されているため、このタイムスタンプを参照することで、現在の時点から一定時間前までに受信した認証レスポンスを検索することができる。
認証結果監視部132は、現在の時点から一定時間前までに受信した認証レスポンスを参照し、認証失敗がN回以上発生しているか否かを判定する。例えば、認証結果監視部132は、検索処理で検出された各認証レスポンスのSMBヘッダに含まれる認証結果を参照し、認証失敗を示す認証結果が含まれる認証レスポンスの数をカウントする。そして、認証結果監視部132は、カウントした認証レスポンスの数がN以上であるか否かを判定する。この判定結果は、総合判定部115に入力される。なお、閾値Nは、2以上の整数であり、情報処理システム100の管理者により予め設定される。
また、認証結果監視部132は、認証側の装置とアクセス側の装置の組が認証許可リストに適合する(例えば、属性1は適合する)と判定されたが、ドメイン名が認証許可リストに適合しない(例えば、属性2は適合しない)と判定された場合に、認証レスポンスが認証失敗を示すものか否かを判定する。例えば、その認証レスポンスのSMBヘッダに含まれる認証結果を参照することで、認証レスポンスが認証失敗を示すものか否かを判定することができる。例えば、ユーザ名とパスワードの組に誤りがある場合には、認証失敗を示す認証結果をSMBヘッダに含む認証レスポンスが認証側からアクセス側へと送信され得る。この判定結果は、総合判定部115に入力される。
ユーザ名監視部133は、認証リクエストのユーザ名と認証レスポンスのユーザ情報から導出したユーザ名とが異なるか否かを判定する。なお、認証リクエストのSMBヘッダ及び認証レスポンスのSMBヘッダを参照することで、認証リクエスト時のユーザ名と認証レスポンス時のユーザ名とが異なるか否かを判定することができる。この判定結果は、総合判定部115に入力される。
総合判定部115は、個別判定部113により得られた判定結果に基づいてキャプチャした認証リクエストの攻撃可能性を判定する。このとき、総合判定部115は、振る舞い表記憶部116に格納された振る舞い表を参照する。振る舞い表記憶部116は、認証リクエストの攻撃可能性を判定するためのデータテーブルである振る舞い表を記憶する記憶部である。振る舞い表には、認証側の装置、アクセス側の装置及びドメイン名の組み合わせ、及び、個別判定部113から入力された判定結果について複数の条件が割り当てられている。なお、振る舞い表の構成については後段において詳述する。
総合判定部115は、個別判定部113から入力された各判定結果に基づいて振る舞い表に記載された各条件を満たすか否かを判定する。満たされる条件の数が多い場合、総合判定部115は、キャプチャされた認証リクエストが攻撃である可能性が高いと判断する。一方、満たされる条件の数が少ない場合、総合判定部115は、キャプチャされた認証リクエストが攻撃である可能性が低いと判断する。
総合判定部115は、攻撃可能性の高さを示す警告レベル、認証側及びアクセス側の装置やドメイン名などの情報、及び、個別判定部113による判定結果に関する情報などを対応付けた警告データを警告データ記憶部117に格納する。警告データ記憶部117は、総合判定部115により生成された警告データを記憶する記憶部である。警告データ記憶部117に格納された警告データは、警告部118により管理者に提供される。
警告部118は、ネットワーク監視装置110にSimple Network Management Protocol(SNMP)が設定されているか否かを判定する。ネットワーク監視装置110にSNMPが設定されている場合、警告部118は、警告データ記憶部117に格納された警告データをSNMPトラップで端末装置101に送信する。ネットワーク監視装置110にSNMPが設定されていない場合、警告部118は、例えば、警告データ記憶部117に格納された警告データを電子メールで端末装置101に送信する。
以上、第2の実施の形態に係る情報処理システム100及びネットワーク監視装置110の例などについて説明した。
以下、具体例を参照しながら、第2の実施の形態に係る技術について更に説明する。
まず、図5を参照しながら、SMBにおける認証方法の具体例について述べる。図5は、認証方法の一例を示した図である。
SMBパケットは、IPヘッダ、TCPヘッダ、SMBヘッダを含む。IPヘッダには、送信元及び宛先のIPアドレスが含まれる。TCPヘッダには、送信元及び宛先のポート番号が含まれる。また、認証リクエストの場合、SMBヘッダには、ユーザ名、認証情報、及びドメイン名などが含まれる。一方、認証レスポンスの場合、SMBヘッダには、ユーザ情報、認証結果、及びOS情報などが含まれる。
認証リクエストに含まれるユーザ名は、認証を求めるユーザを識別する情報である。認証レスポンスに含まれるユーザ情報は、認証を許可したユーザを識別する情報である。認証情報は、パスワードの情報を含むものであり、ユーザ名と組み合わせて認証に利用される。ドメイン名は、アクセス側の装置が属するドメインのドメイン名を示す。認証結果は、認証リクエストに含まれるユーザ情報、パスワード、ドメイン名を用いた認証が成功したか否かを示す情報である。OS情報は、認証側の装置で動作するOSのOS名やバージョン番号などの情報である。なお、認証リクエストによる要求の種類によっては、認証レスポンスに含まれるOS情報が省略されることがある。
SMBにおける認証は、図5に示すような認証リクエスト及び認証レスポンスを利用して行われる。アクセス側の装置から認証側の装置へと認証リクエストが送信され、この認証リクエストを受信した認証側の装置がアクセス側の装置へと認証成功を示す認証レスポンスを送信することで認証が完了する。認証側の装置に不正に侵入しようとする不正プログラムは、例えば、図6に示すような方法で攻撃を行う。図6は、不正プログラムによる攻撃方法の一例を示した図である。
図6に示すように、アクセス側の装置が不正プログラムに感染した場合、アクセス側の装置は、認証側の装置で動作するOSの種類やバージョンなどを調べるためのバージョンスキャンと呼ばれる処理を実行することがある。例えば、アクセス側の装置は、ユーザ名をunknown(適当に選択した任意のユーザ名又は空欄でもよい)とし、ドメイン名をAとするSMBヘッダを含む認証リクエストを認証側の装置に送信する。この認証リクエストを受信した認証側の装置は、例えば、ユーザ名をguest(ゲストアカウント)とし、認証成功を示す認証結果、及び認証側の装置で動作するOSの種類やバージョンを示すOS情報をSMBヘッダに含む認証レスポンスを送信することがある。
図6に示した例のように、存在しないユーザ名を指定した場合や、ユーザ名を指定しないで認証リクエストを送信しても、バージョンスキャンの場合には認証が成功しているように見えることがある。しかし、認証レスポンスに含まれるユーザ名は、認証リクエストに含まれるユーザ名(指定しない場合は空欄)とは異なるものとなる。従って、認証リクエスト時と認証レスポンス時とでユーザ名が変化するか否かを監視することで、存在しないユーザ名を指定した場合や、ユーザ名を指定しないで行われたバージョンスキャンを検知することができる。なお、ゲストアカウントで認証に成功しても、アクセス側の装置が認証側の装置の上で行える操作は大きく制限されていることが多い。
また、不正プログラムは、指定したユーザ名及びパスワードを利用して認証が成功するか否かを調べるログインスキャンと呼ばれる処理を実行することがある。この場合、アクセス側の装置は、ユーザ名やパスワードを変えながら認証側の装置に対する認証を繰り返し実行する。例えば、不正プログラムは、アクセス側の装置から窃取したユーザ名やパスワードを利用して認証を試みることや、ユーザのキー入力を監視して得たユーザ名やパスワードらしき情報を利用して認証を試みることがある。アクセス側の装置は、こうしたユーザ名、認証情報、ドメイン名をSMBヘッダに含めて認証リクエストを認証側の装置に送信する。認証側の装置にそのユーザ名が登録されているがパスワードに誤りがある場合、認証側の装置は、そのユーザ名及び認証失敗を示す認証結果をSMBヘッダに含めた認証レスポンスをアクセス側の装置に送信する。
アクセス側の装置は、認証が成功するまで上記の認証手続を繰り返し実行する。認証が成功した場合、認証側の装置は、ユーザ名及び認証成功を示す認証結果をSMBヘッダに含む認証レスポンスをアクセス側の装置に送信する。認証が成功すると、不正プログラムは、認証が成功した正しいユーザ名及びパスワードを利用して更なる攻撃を実行する。以下では、上記のような不正プログラムによる攻撃を検出する方法について考える。
図7は、認証設定に応じたログインスキャンの検出方法を示した図である。例えば、図7に示すように、不正プログラムに感染したクライアントCと、複数のサーバSから成るシステムを想定する。但し、複数のサーバSのうち、一部のサーバSは、SMBによる一般ユーザからのアクセスの機会が通常の業務でもあるものであり、残りのサーバSは、SMBによる一般ユーザからのアクセスの機会が通常はないものである。前者のサーバSとしては、例えば、管理者ではない一般ユーザでもログインする機会があるドメイン管理サーバやファイルサーバなどがある。一方、後者のサーバSとしては、例えば、管理者ではない一般ユーザが通常はログインする機会のないWebサーバなどがある。
但し、ドメイン管理サーバやファイルサーバなどであっても、ユーザがユーザ名やパスワードを誤って入力した場合などでは認証の失敗が発生し得る。そのため、不正プログラムに感染したクライアントCからこれらのサーバSに送信された認証リクエストを攻撃であると判定する方法としては、例えば、続けて発生する多数回の認証失敗を検知する方法などが用いられる。一方、Webサーバなどの場合には、通常、一般ユーザから認証リクエストを受信しないため、認証リクエストの受信が1度でもあった場合には、その認証リクエストを攻撃と見なすことができる。
図8は、バージョンスキャンを受けた場合の認証側における動作を示した図である。クライアントCがバージョンスキャンを実行した場合、図8に示すように、管理者ではない一般ユーザからのアクセスの機会があるサーバであるか否かを問わず、認証失敗が発生しない可能性があるため、サーバSには認証失敗の履歴を記録した認証エラーログが残らないことがある。
上記のような理由から、第2の実施の形態においては、サーバSの種類に応じて攻撃を検出する方法が異なる場合などにも対応可能な攻撃の検知方法を提案する。この検知方法を実現するために、認証を受け付ける認証側の装置、及びその認証側の装置が認証の対象とするアクセス側の装置又はドメイン名などを記載したデータテーブル(認証許可リスト)が利用される。この認証許可リストは、例えば、図9に示すような方法で生成される。図9は、第2の実施の形態に係る認証許可リストの生成方法の例を示した図である。
上述した情報処理システム100を想定する。例えば、通常の業務においてクライアントC1、C2、C3、C4がドメイン管理サーバS1、WebサーバS2、S4、ファイルサーバS3に送信する認証リクエスト及びそれに対応する認証レスポンスを監視し、認証が成功した装置の組み合わせやドメイン名などを収集する。図9の例では、ドメインAに属するクライアントC1、C2からドメイン管理サーバS1への認証手続が成功している。また、ドメインBに属するクライアントC3、C4からファイルサーバS3への認証手続が成功している。一方、それ以外の認証手続は失敗している。
上記の場合、図10に示すような認証許可リストが生成される。図10は、第2の実施の形態に係る認証許可リストの例を示した図である。認証リクエストには、認証側の装置を示すIPアドレス(宛先IPアドレス)及びアクセス側の装置を示すIPアドレス(送信元IPアドレス)が含まれる。さらに、認証リクエストには、アクセス側の装置が指定したドメイン名が含まれる。認証レスポンスには認証結果が含まれるため、認証成功を示す認証レスポンスに対応する認証リクエストから情報を収集することで、図10に示すような認証許可リストを生成することができる。認証許可リストは、許可リスト記憶部114に格納される。
なお、ここでは正常時のトラフィックを監視して認証許可リストを生成する方法を紹介したが、例えば、管理者が手動で認証許可リストを作成してもよい。
なお、認証リクエストが認証許可リストに適合するか否かの判定だけで、その認証リクエストが攻撃によるものか否かを判断しない方が好ましい。そこで、第2の実施の形態では、キャプチャした認証リクエストが攻撃によるものか否かを、認証許可リストに対する適合性の他、認証の成否、過去に認証失敗が生じた回数、ユーザ名の変化などを考慮して総合的に判断する。このような総合的な判断を行うに当たり、図11に示すようなデータテーブル(振る舞い表)が利用される。図11は、第2の実施の形態に係る振る舞い表の例を示した図である。振る舞い表は、認証許可リストから生成してもよいし、管理者が手動で作成してもよい。
図11に示すように、振る舞い表には、認証側の装置を示す情報、アクセス側の装置及びドメイン名を示す情報、及び複数の条件(条件1〜4)が対応付けて記載されている。
各条件の内容は次の通りである。
条件1は、認証許可リストに登録されていないアクセス側の装置から認証側の装置に対して認証リクエストが送信されたか否かを判定する条件である。認証許可リストに登録されているアクセス側の装置から認証側の装置に対して認証リクエストが送信された場合は「正常」となり、それ以外の場合は「異常」となる。
条件2は、認証が失敗したか否かを判定する条件である。認証が失敗した場合には「異常」となり、認証が成功した場合には「正常」となる。
条件3は、過去一定時間内に同じアクセス側の装置と認証側の装置との間でN回以上認証が失敗したか否かを判定する条件である。過去一定時間内に同じアクセス側の装置と認証側の装置との間でN回以上認証が失敗した場合には「異常」となり、それ以外の場合には「正常」となる。
条件4は、認証リクエストと認証レスポンスとの間でユーザ名が変化したか否かを判定する条件である。認証リクエストと認証レスポンスとの間でユーザ名が変化した場合には「異常」となり、変化しない場合には「正常」となる。
各条件が適用されるアクセス側の装置と認証側の装置との組み合わせは次の通りである。
条件1は、全てのアクセス側の装置と認証側の装置との組み合わせに対して適用される。条件2は、アクセス側の装置と認証側の装置との組み合わせが認証許可リストに記載されており、アクセス側の装置が認証側の装置と異なるドメインを指定して認証手続を行おうとした場合に対して適用される。条件3は、アクセス側の装置と認証側の装置との組み合わせが認証許可リストに記載されており、アクセス側の装置が認証側の装置と異なるドメインを指定して認証手続を行おうとした場合に対して適用される。条件4は、認証許可リストに記載のあるアクセス側の装置と認証側の装置との組み合わせに対して適用される。
例えば、クライアントC1からドメイン管理サーバS1への認証手続が行われた場合、クライアントC1が認証リクエストでドメインAを指定していれば、条件1、3、4が適用される。クライアントC1が認証リクエストでドメインAを指定していない場合には、条件1、2、4が適用される。クライアントC2からドメイン管理サーバS1への認証手続が行われる場合についても同様である。
情報処理システム100では、クライアントC1、C2が通常はドメインAに属するものとして管理されており、ドメイン管理サーバS1に認証リクエストを送信するときドメインAを指定すると考えられる。一方で、どのドメインとして認証を受けるかはクライアントC1、C2が指定できるため、ドメインBを指定して認証リクエストを送信することもあり得る。但し、ドメインの切り替えは頻繁に行われるものではないため、通常属するドメインAを指定する場合には条件3が適用されるようにし、それ以外の場合には、より条件の厳しい(認証失敗回数の閾値が小さい)条件2が適用されるようにしている。
クライアントC3からドメイン管理サーバS1への認証手続が行われた場合、条件1が適用される。図11に例示した振る舞い表の場合、クライアントC3からドメイン管理サーバS1への認証手続は条件1について「異常」となる。クライアントC4からドメイン管理サーバS1への認証手続が行われた場合についても同様である。
クライアントC1からWebサーバS2、S4への認証手続が行われた場合、条件1が適用される。WebサーバS2、S4は、通常、管理者ではない一般ユーザからはログインされない。そのため、クライアントC1からWebサーバS2、S4へと送信される認証リクエストは、認証許可リストに適合せず、条件1について「異常」となる。クライアントC2、C3、C4からWebサーバS2、S4への認証手続についても同様である。
クライアントC3からファイルサーバS3への認証手続が行われた場合、クライアントC3が認証リクエストでドメインBを指定していれば、条件1、3、4が適用される。クライアントC3が認証リクエストでドメインBを指定していない場合には、条件1、2、4が適用される。クライアントC4からファイルサーバS3への認証手続が行われる場合についても同様である。
情報処理システム100では、クライアントC3、C4が通常はドメインBに属するものとして管理されており、ファイルサーバS3に認証リクエストを送信するときドメインBを指定すると考えられる。一方で、どのドメインとして認証を受けるかはクライアントC3、C4が指定できるため、ドメインAを指定して認証リクエストを送信することもあり得る。但し、ドメインの切り替えは頻繁に行われるものではないため、通常属するドメインBを指定する場合には条件3が適用されるようにし、それ以外の場合には、より条件の厳しい(認証失敗回数の閾値が小さい)条件2が適用されるようにしている。
クライアントC1からファイルサーバS3への認証手続が行われた場合、条件1が適用される。図11に例示した振る舞い表の場合、クライアントC1からファイルサーバS3へとの認証手続は条件1について「異常」となる。クライアントC2からファイルサーバS3への認証手続が行われた場合についても同様である。
第2の実施の形態においては、振る舞い表の各条件について「異常」に該当した数を集計し、該当数が多い場合には、対象の認証リクエストの攻撃可能性が高いと判断する。
このように、振る舞い表を利用し、認証許可リストに対する適合性の他、認証の成否、過去に認証失敗が生じた回数、ユーザ名の変化などを考慮して総合的に判断することで、高い精度で攻撃を検知することが可能になる。上記の方法で認証リクエストが攻撃であると判断されると、図12に示すような警告データが生成される。図12は、第2の実施の形態に係る警告データの例を示した図である。
図12に示すように、警告データは、認証側の装置を示す情報、アクセス側の装置及びドメイン名を示す情報、異常検出の内容、及び警告レベルを含む。異常検出の内容は、振る舞い表に記載の各条件において「異常」と判定された回数などを含む。警告レベルは、攻撃可能性の高さを示す。この警告データは、警告データ記憶部117に格納される。また、この警告データは、警告部118により、管理者が利用する端末装置101に送信される。この警告データを参照することにより、攻撃を受けている可能性のある認証側の装置、及びその攻撃元となるアクセス側の装置を特定することが可能になる。さらに、異常検出の内容や警告レベルを参照して、管理者が攻撃である可能性を更に検討することが可能になる。
以上、具体例を参照しながら、第2の実施の形態に係る技術について説明した。
次に、図13〜図15を参照しながら、第2の実施の形態に係る監視処理の流れについて説明する。図13は、第2の実施の形態に係る監視処理の流れを示した第1の図である。
(S101)キャプチャ部111は、ネットワーク94を介して転送されるパケットをキャプチャする。そして、キャプチャ部111は、キャプチャしたパケットに受信時刻(タイムスタンプ)を付加してキャプチャデータ記憶部112に格納する。
(S102)認証リクエスト監視部131は、キャプチャデータ記憶部112に格納されたパケットが認証レスポンスであるか否かを判定する。例えば、パケットに含まれる送信元ポート番号やSMBヘッダの内容(ユーザ名や認証結果など)を確認することで認証レスポンスであるか否かを判定することができる。パケットが認証レスポンスである場合、処理はS103に進む。一方、パケットが認証レスポンスでない場合、処理は図15のS120に進む。
(S103)認証リクエスト監視部131は、S102で認証レスポンスと判定したパケットに対応する認証リクエストをキャプチャデータ記憶部112に格納されたパケットの中から検索する。例えば、パケットに含まれる送信元及び宛先のIPアドレスやポート番号を参照することで認証レスポンスに対応する認証リクエストを検索することができる。
(S104)認証リクエスト監視部131は、S103の検索処理で検出された認証リクエストが許可リスト記憶部114に格納された認証許可リストの属性1に適合するか否かを判定する。例えば、属性1がアクセス側(認証を求める側)のIPアドレスである場合(図10の例を参照)、認証リクエスト監視部131は、認証リクエストに含まれる送信元IPアドレスが認証許可リストの属性1に含まれるか否かを判定する。但し、認証側(認証する側)のIPアドレスと認証リクエストのパケットに含まれる宛先IPアドレスとが一致する行に対応する属性1と、認証リクエストの送信元IPアドレスとが比較される。認証リクエストが認証許可リストの属性1に適合する場合、処理は図14のS106に進む。一方、認証リクエストが認証許可リストの属性1に適合しない場合、処理はS105に進む。
(S105)個別判定部113は、認証リクエストが認証許可リストの属性1に適合することを要件とする条件1の異常であると判定する。S105の処理が終わると、処理は図15のS114に進む。
図14は、第2の実施の形態に係る監視処理の流れを示した第2の図である。
(S106)認証リクエスト監視部131は、認証リクエストが認証許可リストの属性2に適合するか否かを判定する。例えば、属性2がドメイン名である場合(図10の例を参照)、認証リクエスト監視部131は、認証リクエストに含まれるドメイン名が認証許可リストの属性2に含まれるか否かを判定する。但し、認証側(認証する側)のIPアドレスと認証リクエストに含まれる宛先IPアドレスとが一致する行に対応する属性2と、認証リクエストのドメイン名とが比較される。認証リクエストが認証許可リストの属性2に適合する場合、処理はS109に進む。一方、認証リクエストが認証許可リストの属性2に適合しない場合、処理はS107の処理に進む。
(S107)認証結果監視部132は、認証レスポンスが認証失敗を示すものか否かを判定する。例えば、認証レスポンスのSMBヘッダに含まれる認証結果を参照することで、認証レスポンスが認証失敗を示すものか否かを判定することができる。例えば、ユーザ名は正しいがパスワードに誤りがある場合には、認証失敗を示す認証結果をSMBヘッダに含む認証レスポンスが認証側からアクセス側へと送信される。このように、認証レスポンスが認証失敗を示すものである場合、処理はS108に進む。一方、認証レスポンスが認証失敗を示すものでない場合、処理はS112に進む。
(S108)個別判定部113は、認証リクエストが認証許可リストの属性2に適合することを要件とする条件2の異常であると判定する。S108の処理が終わると、処理はS112に進む。
(S109)認証リクエスト監視部131は、現在の時点から一定時間前までに受信した、現在着目している認証レスポンスと送信元及び宛先のIPアドレスが同じである認証レスポンスを、キャプチャデータ記憶部112に格納されたパケットの中から検索する。キャプチャデータ記憶部112に格納されたパケットには受信時刻を示すタイムスタンプが付加されているため、このタイムスタンプを参照することで、現在の時点から一定時間前までに受信した認証レスポンスを検索することができる。
(S110)認証結果監視部132は、S109の検索処理で検出された認証レスポンス及びS101の処理でキャプチャされた認証レスポンスを参照し、認証失敗がN回以上発生しているか否かを判定する。例えば、認証結果監視部132は、S109の検索処理で検出された認証レスポンス及びS101でキャプチャされた認証レスポンスそれぞれのSMBヘッダに含まれる認証結果を参照し、認証失敗を示す認証結果が含まれる認証レスポンスの数をカウントする。そして、認証結果監視部132は、カウントした認証レスポンスの数がN以上であるか否かを判定する。なお、閾値Nは、2以上の整数であり、情報処理システム100の管理者により予め設定される。認証失敗がN回以上発生している場合、処理はS111に進む。一方、認証失敗がN回以上発生していない場合、処理はS112に進む。但し、S101でキャプチャされた最新の認証レスポンスの認証結果が認証失敗でない場合には、処理がS112に進んでもよい。
(S111)個別判定部113は、一定時間以内に発生した認証失敗の回数がN以上であることを要件とする条件3の異常であると判定する。S111の処理が終わると、処理はS112に進む。
(S112)ユーザ名監視部133は、認証リクエスト時のユーザ名と認証レスポンス時のユーザ名とが異なるか否かを判定する。なお、認証リクエストのSMBヘッダ及び認証レスポンスのSMBヘッダを参照することで、認証リクエスト時のユーザ名と認証レスポンス時のユーザ名とが異なるか否かを判定することができる。認証リクエスト時のユーザ名と認証レスポンス時のユーザ名とが異なる場合、処理はS113に進む。一方、認証リクエスト時のユーザ名と認証レスポンス時のユーザ名とが同じ場合、処理は図15のS114に進む。
(S113)個別判定部113は、認証リクエスト時のユーザ名と認証レスポンス時のユーザ名とが一致することを要件に含む条件4の異常であると判定する。S113の処理が終わると、処理は図15のS114に進む。
図15は、第2の実施の形態に係る監視処理の流れを示した第3の図である。
(S114)総合判定部115は、今回、条件1〜4のうち、1つ以上の条件で異常と判定されたか否かを判定する。例えば、個別判定部113が何れかの条件の異常と判定した際に、その判定結果又は異常と判定した旨の通知が総合判定部115に提供されるようにすれば、総合判定部115において異常と判定された条件の数を把握することができる。異常と判定された条件が1つ以上あった場合、処理はS115に進む。一方、異常と判定された条件がなかった場合、処理はS120に進む。
(S115)総合判定部115は、現在までに異常と判定された条件の数、及び各条件の異常が検出された回数を集計する。例えば、総合判定部115は、条件1が異常と判定された回数、条件2が異常と判定された回数、条件3が異常と判定された回数、及び条件4が異常と判定された回数を集計する。さらに、総合判定部115は、条件1〜4について異常と判定された回数の合計を算出する。
(S116)総合判定部115は、S115の処理で得られた集計結果に基づいて攻撃可能性を判定する。このとき、総合判定部115は、図11に示すような振る舞い表を参照する。振る舞い表には、認証側の装置、アクセス側の装置、及びドメイン名の組み合わせに対して条件1〜4が割り当てられている。総合判定部115は、実際の組み合わせに適用される振る舞い表の条件を参照し、振る舞い表に「異常」と記載された条件に該当するか否かを判定する。該当する条件の数が多い場合、攻撃可能性が高いと判断する。一方、該当する条件の数が少ない場合、攻撃可能性が低いと判断する。
例えば、総合判定部115は、該当する条件の数が0個ならば攻撃可能性を「低」、1個ならば「中」、2個ならば「高」とする。仮に、認証側がドメイン管理サーバS1、アクセス側がクライアントC1であり、条件3及び条件4の異常と判定された場合、振る舞い表に記載の2つの条件で異常と判定されたため、総合判定部115は、攻撃可能性を「高」と判断する。また、認証側がファイルサーバS3、アクセス側がクライアントC3であり、条件3の異常と判定された場合、振る舞い表に記載の1つの条件でしか異常と判定されていないため、総合判定部115は、攻撃可能性を「中」であると判断する。
なお、該当する条件の数を集計する方法としては、上記の例のように、1つのアクセス側の装置と1つの認証側の装置との間で行われる1回又は複数回の認証手続を通じて、異常と判定された条件の数を集計する方法が考えられる。他の方法として、例えば、振る舞い表の1列(1つの認証側の装置、属性1の種類、属性2の種類の組み合わせ)に対応する1回又は複数回の認証手続を通じて、異常と判定された条件の数を集計する方法が考えられる。さらに他の方法として、例えば、1つのドメイン内にある認証側の装置群と、属性1の種類と、属性2の種類との組み合わせに対応する1回又は複数回の認証手続を通じて、異常と判定された条件の数を集計する方法などが考えられる。
また、該当する条件の数をそのまま利用する方法の他にも、例えば、各条件について重みを設定しておき、該当する条件の重み和を攻撃可能性の高さを示すスコアとして利用する方法も考えられる。この場合、そのスコアについて2個以上の閾値を利用した閾値判定を行い、3段階以上の警告レベルを判定する方法なども考えられる。
その他にも、条件1〜4について異常と判定された回数の合計をスコアとし、そのスコアについて2個以上の閾値を利用した閾値判定を行い、3段階以上の警告レベルを判定する方法も考えられる。スコアを算出する方法としては、例えば、該当する条件の数と、各条件について異常と判定された回数とを所定の関数に代入して算出する方法なども考えられる。
なお、異常と判定された回数を集計する方法としては、例えば、1つのアクセス側の装置と1つの認証側の装置との間で行われる認証手続を監視し、条件1〜4について異常と判定された回数を集計する方法が考えられる。他の方法として、例えば、振る舞い表の1列(1つの認証側の装置、属性1の種類、属性2の種類の組み合わせ)に対応する認証手続を監視し、条件1〜4について異常と判定された回数を集計する方法が考えられる。さらに他の方法として、例えば、1つのドメイン内にある認証側の装置群と、属性1の種類と、属性2の種類との組み合わせに対応する認証手続を監視し、条件1〜4について異常と判定された回数を集計する方法などが考えられる。
上記のようにして攻撃可能性の高さを判定した後、総合判定部115は、認証側及びアクセス側の情報、ドメイン名、異常検出の内容、及び、攻撃可能性の高さを示す警告レベルの情報を含む警告データを警告データ記憶部117に格納する。
(S117)警告部118は、ネットワーク監視装置110にSNMPが設定されているか否かを判定する。ネットワーク監視装置110にSNMPが設定されている場合、処理はS118に進む。一方、ネットワーク監視装置110にSNMPが設定されていない場合、処理はS119に進む。
(S118)警告部118は、警告データ記憶部117に格納された警告データをSNMPトラップで端末装置101に送信する。S118の処理が終わると、処理はS120に進む。
(S119)警告部118は、警告データ記憶部117に格納された警告データを電子メールで端末装置101に送信する。S119の処理が終わると、処理はS120に進む。
(S120)ネットワーク監視装置110は、終了指示があるか否かを判定する。終了指示がある場合、図13〜図15に係る一連の処理は終了する。一方、終了指示がない場合、処理は図13のS101に進む。
以上、第2の実施の形態に係る監視処理の流れについて説明した。
以上説明したように、第2の実施の形態によれば、複数の条件のうち該当する条件の数に応じて不正アクセスの可能性が判定される。これにより、固定的な条件を1つ定めてアクセスがその条件に該当するとき不正アクセスと判定し該当しないとき不正アクセスでないと判定する場合と比べて、誤検出を考慮した有用な情報を提供することが可能となる。特に、不正アクセスの可能性を多段階の警告レベルとして表現した場合、システム管理者が適切な対応を取りやすくなる。このように、第2の実施の形態によれば、正常なアクセスと精度よく区別することが容易でない不正アクセスについての有用な情報を提供することができる。
10 ネットワーク監視装置
11 受信部
12 記憶部
13 判定部
14 条件情報
21,22,23 情報処理装置
100 情報処理システム
101 端末装置
110 ネットワーク監視装置
111 キャプチャ部
112 キャプチャデータ記憶部
113 個別判定部
114 許可リスト記憶部
115 総合判定部
116 振る舞い表記憶部
117 警告データ記憶部
118 警告部
131 認証リクエスト監視部
132 認証結果監視部
133 ユーザ名監視部
S1 ドメイン管理サーバ
S2、S4 Webサーバ
S3 ファイルサーバ
C1、C2、C3、C4 クライアント

Claims (8)

  1. 複数の情報処理装置の間でパケットが送信されるネットワークに接続されたネットワーク監視装置が実行する不正アクセス検出方法であって、
    一の情報処理装置から他の一の情報処理装置に対して行われた1又は複数の回数のアクセスについてのパケットを取得し、
    内容が異なる複数の条件のうち、アクセス元とアクセス先との組み合わせ毎に設定されている条件の集合の中から、アクセス元である前記一の情報処理装置とアクセス先である前記他の一の情報処理装置との組に応じた1又は複数の条件を選択し、前記取得したパケットが前記選択した1又は複数の条件それぞれを具備するか判定し、具備すると判定た条件の数に基づいて、前記他の一の情報処理装置に対して不正アクセスが行われた可能性を判定す
    不正アクセス検出方法。
  2. 前記取得したパケットは、前記一の情報処理装置から前記他の一の情報処理装置へ送信された認証リクエストのパケット、及び、前記他の一の情報処理装置から前記一の情報処理装置へ返信された認証レスポンスのパケットの少なくとも一方を含
    請求項1記載の不正アクセス検出方法。
  3. 前記複数の条件の1つは、認証リクエストに含まれるユーザ情報と当該認証リクエストに対応する認証レスポンスに含まれるユーザ情報とが異なることであ
    請求項2記載の不正アクセス検出方法。
  4. 前記複数の条件は、認証失敗を示す認証レスポンスがN回(Nは2以上の整数)以上返信されたことである第1の条件と、認証失敗を示す認証レスポンスがM回(MはN>Mを満たす1以上の整数)以上返信されたことである第2の条件とを含み、
    前記第1の条件と前記第2の条件とは排他的に選択され
    請求項2又は3記載の不正アクセス検出方法。
  5. 前記複数の条件の1つは、アクセス元の情報処理装置とアクセス先の情報処理装置との組が、許可されるアクセスとして登録されていないか又は禁止されるアクセスとして登録されていることであ
    請求項1乃至4の何れか一項に記載の不正アクセス検出方法。
  6. 前記不正アクセスが行われた可能性を示す情報として、複数の警告レベルの中から選択した何れかの警告レベルを示す情報を出力す
    請求項1乃至5の何れか一項に記載の不正アクセス検出方法。
  7. 複数の情報処理装置の間でパケットが送信されるネットワークに接続されたネットワーク監視装置であって、
    一の情報処理装置から他の一の情報処理装置に対して行われた1又は複数の回数のアクセスについてのパケットを取得する受信部と、
    内容が異なる複数の条件のうち、アクセス元とアクセス先との組み合わせ毎に設定されている条件の集合の中からアクセス元である前記一の情報処理装置とアクセス先である前記他の一の情報処理装置との組に応じた1又は複数の条件を選択し、前記取得したパケットが前記選択した1又は複数の条件それぞれを具備するか判定し、具備すると判定た条件の数に基づいて前記他の一の情報処理装置に対して不正アクセスが行われた可能性を判定する判定部
    を有するネットワーク監視装置。
  8. 複数の情報処理装置の間でパケットが送信されるネットワークに接続されるコンピュータに実行させるプログラムであって、前記コンピュータに、
    一の情報処理装置から他の一の情報処理装置に対して行われた1又は複数の回数のアクセスについてのパケットを取得し、
    内容が異なる複数の条件のうち、アクセス元とアクセス先との組み合わせ毎に設定されている条件の集合の中から、アクセス元である前記一の情報処理装置とアクセス先である前記他の一の情報処理装置との組に応じた1又は複数の条件を選択し、前記取得したパケットが前記選択した1又は複数の条件それぞれを具備するか判定し、具備すると判定た条件の数に基づいて、前記他の一の情報処理装置に対して不正アクセスが行われた可能性を判定す
    処理を実行させるプログラム。
JP2012233190A 2012-10-22 2012-10-22 不正アクセス検出方法、ネットワーク監視装置及びプログラム Expired - Fee Related JP5987627B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2012233190A JP5987627B2 (ja) 2012-10-22 2012-10-22 不正アクセス検出方法、ネットワーク監視装置及びプログラム
US14/015,439 US9203848B2 (en) 2012-10-22 2013-08-30 Method for detecting unauthorized access and network monitoring apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012233190A JP5987627B2 (ja) 2012-10-22 2012-10-22 不正アクセス検出方法、ネットワーク監視装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2014086822A JP2014086822A (ja) 2014-05-12
JP5987627B2 true JP5987627B2 (ja) 2016-09-07

Family

ID=50486614

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012233190A Expired - Fee Related JP5987627B2 (ja) 2012-10-22 2012-10-22 不正アクセス検出方法、ネットワーク監視装置及びプログラム

Country Status (2)

Country Link
US (1) US9203848B2 (ja)
JP (1) JP5987627B2 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2784203T3 (es) * 2014-07-11 2020-09-23 Deutsche Telekom Ag Método para detectar un ataque a un entorno de trabajo conectado a una red de comunicación
JP6432210B2 (ja) * 2014-08-22 2018-12-05 富士通株式会社 セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム
US10334085B2 (en) * 2015-01-29 2019-06-25 Splunk Inc. Facilitating custom content extraction from network packets
JP6740618B2 (ja) * 2015-02-25 2020-08-19 株式会社リコー 情報処理装置、通信システム、通信方法
JP2016170651A (ja) * 2015-03-13 2016-09-23 富士通株式会社 不正アクセス検出方法、装置、及びプログラム
JP6524789B2 (ja) * 2015-05-13 2019-06-05 富士通株式会社 ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置
CN107735987A (zh) * 2015-06-02 2018-02-23 三菱电机大楼技术服务株式会社 中继装置、网络监视系统和程序
JP6610100B2 (ja) * 2015-09-07 2019-11-27 富士通株式会社 ログ分析方法、プログラム及び情報処理装置
EP3432184B1 (en) 2016-04-26 2020-04-15 Mitsubishi Electric Corporation Intrusion detection device, intrusion detection method, and intrusion detection program
CN107332802B (zh) * 2016-04-28 2020-08-07 中国移动通信集团江西有限公司 一种防火墙策略监控方法及装置
JP7077896B2 (ja) * 2018-09-25 2022-05-31 ブラザー工業株式会社 通信装置及び通信装置のためのコンピュータプログラム
US11245716B2 (en) * 2019-05-09 2022-02-08 International Business Machines Corporation Composing and applying security monitoring rules to a target environment
CN111859363B (zh) * 2020-06-24 2024-04-05 杭州数梦工场科技有限公司 用于识别应用未授权访问的方法、装置以及电子设备

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2078246C (en) * 1991-09-23 1998-02-03 Randolph J. Pilc Improved method for secure access control
JP3234573B2 (ja) * 1998-08-31 2001-12-04 松下電器産業株式会社 パケットフィルタリング装置
JP2000305621A (ja) * 1999-04-20 2000-11-02 Toshiba Corp インターネットを用いた監視制御システム
US6519703B1 (en) 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
US7197563B2 (en) * 2001-05-31 2007-03-27 Invicta Networks, Inc. Systems and methods for distributed network protection
US7904454B2 (en) * 2001-07-16 2011-03-08 International Business Machines Corporation Database access security
US7386525B2 (en) * 2001-09-21 2008-06-10 Stonesoft Corporation Data packet filtering
JP3800198B2 (ja) * 2003-05-16 2006-07-26 ソニー株式会社 情報処理装置、およびアクセス制御処理方法、並びにコンピュータ・プログラム
WO2004112312A1 (ja) * 2003-06-12 2004-12-23 Fujitsu Limited ユーザ認証システム
JP3999188B2 (ja) * 2003-10-28 2007-10-31 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
JP2005149354A (ja) * 2003-11-19 2005-06-09 Max Engineering:Kk 侵入者撃退システム
US7339914B2 (en) * 2004-02-11 2008-03-04 Airtight Networks, Inc. Automated sniffer apparatus and method for monitoring computer systems for unauthorized access
JP4480422B2 (ja) * 2004-03-05 2010-06-16 富士通株式会社 不正アクセス阻止方法、装置及びシステム並びにプログラム
JP4579597B2 (ja) * 2004-06-30 2010-11-10 キヤノン株式会社 情報処理装置、情報処理方法およびプログラム
JP4292213B2 (ja) * 2004-10-12 2009-07-08 日本電信電話株式会社 サービス不能攻撃防御システム、サービス不能攻撃防御方法およびサービス不能攻撃防御プログラム
EP1806888B1 (en) * 2004-10-28 2012-04-25 Nippon Telegraph And Telephone Corporation Denial-of-service attack detecting system, and denial-of-service attack detecting method
JP4708036B2 (ja) * 2005-01-21 2011-06-22 パナソニック株式会社 通信システム、情報処理装置、サーバ、及び情報処理方法
JP4523480B2 (ja) * 2005-05-12 2010-08-11 株式会社日立製作所 ログ分析システム、分析方法及びログ分析装置
JP4195480B2 (ja) * 2006-10-04 2008-12-10 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
JP2008210235A (ja) * 2007-02-27 2008-09-11 Sony Corp 電子機器、および情報処理方法
WO2009031453A1 (ja) * 2007-09-07 2009-03-12 Cyber Solutions Inc. ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム
US8813220B2 (en) * 2008-08-20 2014-08-19 The Boeing Company Methods and systems for internet protocol (IP) packet header collection and storage
US7889741B1 (en) * 2008-12-31 2011-02-15 Juniper Networks, Inc. Methods and apparatus for packet classification based on multiple conditions
JP4672780B2 (ja) * 2009-03-18 2011-04-20 株式会社東芝 ネットワーク監視装置及びネットワーク監視方法
WO2010117623A2 (en) * 2009-03-31 2010-10-14 Coach Wei System and method for access management and security protection for network accessible computer services
JP4763819B2 (ja) * 2009-05-22 2011-08-31 株式会社バッファロー 無線lanアクセスポイント装置、不正マネジメントフレーム検出方法
JP4820437B2 (ja) * 2009-07-29 2011-11-24 シャープ株式会社 情報処理装置
JP2011135131A (ja) * 2009-12-22 2011-07-07 Panasonic Electric Works Co Ltd ネットワーク異常検知装置及びネットワーク異常検知プログラム
KR20130085570A (ko) * 2011-12-22 2013-07-30 한국전자통신연구원 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치

Also Published As

Publication number Publication date
US20140115663A1 (en) 2014-04-24
US9203848B2 (en) 2015-12-01
JP2014086822A (ja) 2014-05-12

Similar Documents

Publication Publication Date Title
JP5987627B2 (ja) 不正アクセス検出方法、ネットワーク監視装置及びプログラム
US9866566B2 (en) Systems and methods for detecting and reacting to malicious activity in computer networks
US10057282B2 (en) Detecting and reacting to malicious activity in decrypted application data
CN108370381B (zh) 用于使用客户端蜜标检测先进攻击者的系统以及方法
JP4911018B2 (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
US7720965B2 (en) Client health validation using historical data
JP2002342279A (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
JP2015225500A (ja) 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム
JP4823813B2 (ja) 異常検知装置、異常検知プログラム、および記録媒体
JP6524789B2 (ja) ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置
JP2014086821A (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
KR101576632B1 (ko) 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及系统
JP2006040196A (ja) ソフトウェア監視システムおよび監視方法
US20150163238A1 (en) Systems and methods for testing and managing defensive network devices
KR20130105769A (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
KR101231966B1 (ko) 장애 방지 서버 및 방법
JP2018142266A (ja) 不正アクセス検出装置、プログラム及び方法
KR101851680B1 (ko) 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
Bhattacharya et al. DetecSec: A framework to detect and mitigate ARP cache poisoning attacks
Kaskar et al. A system for detection of distributed denial of service (DDoS) attacks using KDD cup data set
Mukhopadhyay et al. HawkEye solutions: a network intrusion detection system
CN115514531A (zh) 数据劫持告警方法、系统、电子设备及存储介质
KR20190005429A (ko) 계층간 네트워크 장치 추적 관리 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150604

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160205

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160712

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160725

R150 Certificate of patent or registration of utility model

Ref document number: 5987627

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees