JP6088700B2 - Information processing apparatus, information processing method, and program - Google Patents
Information processing apparatus, information processing method, and program Download PDFInfo
- Publication number
- JP6088700B2 JP6088700B2 JP2016159857A JP2016159857A JP6088700B2 JP 6088700 B2 JP6088700 B2 JP 6088700B2 JP 2016159857 A JP2016159857 A JP 2016159857A JP 2016159857 A JP2016159857 A JP 2016159857A JP 6088700 B2 JP6088700 B2 JP 6088700B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- period
- information
- communications
- count
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
本発明は、情報処理装置、情報処理方法及びプログラムに関する。 The present invention relates to an information processing apparatus, an information processing method, and a program.
近年、コンピュータウイルスに代表されるマルウェアは、侵入方法、攻撃手法の何れにおいても高度化かつ巧妙化しており、その被害を未然に防ぐことや被害を局所化することが困難になりつつある。従来のマルウェアの場合は、その攻撃と被害の関係が容易に推測でき、対処の難易度の違いはあれど、比較的早期に発見できた。しかし、現在のマルウェアの場合は、その侵入に気が付き難く、発見されるまでに甚大な被害が生じてしまっている。 In recent years, malware typified by computer viruses has become sophisticated and sophisticated in both intrusion methods and attack methods, and it is becoming difficult to prevent damage and to localize damage. In the case of conventional malware, the relationship between the attack and damage can be easily guessed, and it was discovered relatively early, although the degree of difficulty in dealing with it was different. However, in the case of current malware, it is difficult to notice the intrusion, and it has caused tremendous damage until it was discovered.
マルウェアを検出する技術として、例えば、特許文献1には、異常外部通信を所定時間内に所定回数以上行っている内部端末間で、異常内部通信が所定回数以上行われている場合に、内部ネットワーク内でマルウェアが発生していると判断するマルウェア検出装置が開示されている。
As a technique for detecting malware, for example,
また、例えば、特許文献2には、端末からの社内ネットワークに対する接続要求毎に、接続要求を行った端末における最終接続時刻からの経過時間を算出し、予め設定された許容時間と比較し、最終接続時刻からの経過時間が許容時間を超える場合に、接続要求を行った端末を不適合端末として社内ネットワークへの接続を禁止する技術が開示されている。
Also, for example, in
マルウェアに感染した端末は、攻撃者からの指令に従って処理を実行するために、外部にある攻撃者のサーバとの間で例えば定期的に繰り返して通信を行う場合がある。しかし、このような通信は、インターネット向けのほかの通信に紛れてしまい、発見するのが非常に困難であった。
本発明の目的は、監視対象とするネットワーク上で繰り返し行われる通信の把握を容易にすることにある。
In order for a terminal infected with malware to execute processing in accordance with an instruction from the attacker, there may be a case where the terminal periodically communicates with an external attacker's server, for example. However, such communications were confused with other communications for the Internet and were very difficult to find.
An object of the present invention is to facilitate grasping of communication that is repeatedly performed on a network to be monitored.
かかる目的のもと、本発明は、監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する取得手段と、前記取得手段にて取得された情報により、前記通信のうち当該通信における情報の少なくとも一部が共通する通信の集合を抽出する抽出手段と、前記抽出手段にて抽出された通信の集合について、前記対象期間に設定される第1期間内で特定の一の通信と特定の他の通信との間隔が当該第1期間とは異なる第2期間よりも長い当該第1期間の数であるカウント数に基づく情報を出力する出力手段とを備える情報処理装置を提供する。
ここで、前記出力手段は、前記抽出手段にて抽出された通信の集合を、前記カウント数に基づく順番で並べて表示するもの、であってよい。
また、前記出力手段は、前記抽出手段にて抽出された通信の集合のうち、前記カウント数が予め定められた基準を満たす集合について、当該集合に関する情報を出力するもの、であってよい。
さらに、前記抽出手段は、通信におけるデータの送信先及び送信元が同一である通信の集合を抽出するもの、であってよい。
また、本発明は、監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得するステップと、取得された前記情報により、前記通信のうち当該通信における情報の少なくとも一部が共通する通信の集合を抽出するステップと、抽出された前記通信の集合について、前記対象期間に設定される第1期間内で特定の一の通信と特定の他の通信との間隔が当該第1期間とは異なる第2期間よりも長い当該第1期間の数であるカウント数に基づく情報を出力するステップとを含む情報処理方法も提供する。
そして、本発明は、コンピュータに、監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する機能と、取得された前記情報により、前記通信のうち当該通信における情報の少なくとも一部が共通する通信の集合を抽出する機能と、抽出された前記通信の集合について、前記対象期間に設定される第1期間内で特定の一の通信と特定の他の通信との間隔が当該第1期間とは異なる第2期間よりも長い当該第1期間の数であるカウント数に基づく情報を出力する機能とを実現させるためのプログラムも提供する。
For this purpose, the present invention provides an acquisition unit for acquiring information included in a communication detected within a target period on a network to be monitored, and information acquired by the acquisition unit. Among these, an extraction unit that extracts a set of communications in which at least a part of information in the communication is common, and a set of communications extracted by the extraction unit are specified within a first period set in the target period. An information processing apparatus comprising: an output unit that outputs information based on a count number that is a number of the first period longer than a second period in which an interval between the communication and the other specific communication is different from the first period provide.
Here, the output unit may display a set of communications extracted by the extraction unit in an order based on the count number.
The output unit may output information on the set of the communication sets extracted by the extraction unit for a set in which the count number satisfies a predetermined criterion.
Further, the extraction means may extract a set of communications in which the data transmission destination and the transmission source in the communication are the same.
In addition, the present invention provides a step of acquiring information included in a communication detected within a target period on a network to be monitored, and at least a part of the information in the communication among the communication by the acquired information Extracting a set of common communication, and for the extracted set of communication, an interval between a specific one communication and a specific other communication within the first period set in the target period is There is also provided an information processing method including a step of outputting information based on a count number that is a number of the first period longer than a second period different from the one period.
Then, the present invention provides a computer with a function of acquiring information included in a communication detected within a target period on a network to be monitored, and the acquired information. A function for extracting a set of communications that are at least partially in common, and an interval between a specific one communication and a specific other communication within the first period set as the target period for the extracted communication set A program for realizing a function of outputting information based on a count number which is the number of the first period longer than the second period different from the first period is also provided.
本発明によれば、監視対象とするネットワーク上で繰り返し行われる通信の把握が容易になる。 According to the present invention, it is possible to easily grasp communication that is repeatedly performed on a monitoring target network.
以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。
<システム構成>
まず、本実施の形態が適用されるコンピュータシステムについて説明する。図1は、本実施の形態が適用されるコンピュータシステムの全体構成例を示した図である。図示するように、このコンピュータシステムでは、クライアント端末10a、10b、10cが社内LAN(Local Area Network)40に接続されている。また、通信分析装置20が社内LAN40及びインターネット50の両方に接続されている。さらに、攻撃者サーバ30がインターネット50に接続されている。
Embodiments of the present invention will be described below in detail with reference to the accompanying drawings.
<System configuration>
First, a computer system to which this embodiment is applied will be described. FIG. 1 is a diagram showing an example of the overall configuration of a computer system to which the present embodiment is applied. As shown in the figure, in this computer system,
クライアント端末10a、10b、10cは、ユーザが使用するコンピュータであり、例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。また、本実施の形態において、クライアント端末10a、10b、10cは、マルウェアに感染することがあるものとする。ここで、マルウェアとは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。例えば、マルウェアの一つであるボットは、コンピュータに感染した後、C&C(コマンド&コントロール)サーバと呼ばれる制御用サーバに接続して攻撃者からの指令を待ち、感染したコンピュータ上で指令どおりの処理を実行する。
The
なお、図1では、クライアント端末10a、10b、10cを示したが、これらを区別する必要がない場合にはクライアント端末10と称することもある。また、図1には3台のクライアント端末10しか示していないが、クライアント端末10の台数は図示の3台には限定されない。
Although FIG. 1 shows the
通信分析装置20は、社内LAN40とインターネット50との間のネットワークを監視対象とし、監視対象とするネットワーク上で検知された通信について、通信間隔に基づく情報を出力する。出力される通信間隔に基づく情報は、攻撃である可能性の高い不正な通信を検出するためのものである。具体的には、通信分析装置20は、クライアント端末10から社内LAN40を介してインターネット50へアクセスする通信を対象に、マルウェアによる不正通信を検出するための情報を出力する。また、通信分析装置20は、例えば、クライアント端末10から社内LAN40を介してインターネット50へアクセスする際に経由するように設置されたプロキシサーバ(不図示)に蓄えられている通信のログなどをもとに情報の出力を行う。
The
この通信分析装置20は、ゲートウェイ等の通信装置の中に設けられても良いし、通信装置とは独立に設けられても良い。また、図1では、通信分析装置20を社内LAN40とインターネット50との間の通信回線上にインラインで設置するのではなく、例えば、プロキシサーバなどから通信分析装置20が通信ログを取得するような構成にしているが、通信分析装置20をインラインで設置した構成にしても良い。本実施の形態では、情報処理装置の一例として、通信分析装置20が用いられる。
The
攻撃者サーバ30は、マルウェアに感染したクライアント端末10が通信の接続先とするサーバであり、攻撃者が運営しているものである。この攻撃者サーバ30は、例えばクライアント端末10がボットに感染した場合には、クライアント端末10が攻撃者からの指令を待つために接続する接続先の制御用サーバに該当する。また、図1には1台の攻撃者サーバ30しか示していないが、2台以上の攻撃者サーバ30が存在する場合もあるものとする。
The
社内LAN40は、会社内のコンピュータやプリンタを専用回線等で接続し、これらの間でデータを送受信できるようにしたネットワークである。 The in-house LAN 40 is a network in which computers and printers in a company are connected by a dedicated line or the like so that data can be transmitted and received between them.
インターネット50は、TCP/IP(Transmission Control Protocol/Internet Protocol)を用いて全世界のネットワークを相互に接続した巨大なネットワークである。 The Internet 50 is a huge network that connects networks all over the world using TCP / IP (Transmission Control Protocol / Internet Protocol).
上述したように、本実施の形態において、クライアント端末10は、マルウェアに感染した場合、不正なサーバである攻撃者サーバ30に接続する。その際、クライアント端末10は、攻撃者サーバ30からの指令に従って処理を実行するために、例えば10秒などの間隔で、繰り返して攻撃者サーバ30との間で通信を行う場合がある。そこで、通信分析装置20は、クライアント端末10から社内LAN40を介してインターネット50へアクセスする通信を対象にその通信間隔を調べて、攻撃者サーバ30との間の通信である可能性がある、繰り返し行われる通信を検出するための情報を出力する。
As described above, in the present embodiment, when the
<通信分析装置の機能構成>
次に、通信分析装置20の機能構成について説明する。図2は、本実施の形態に係る通信分析装置20の機能構成例を示したブロック図である。
<Functional configuration of communication analyzer>
Next, the functional configuration of the
図示するように、通信分析装置20は、社内LAN40(図1参照)とインターネット50(図1参照)との間のネットワーク上で検知された通信のログを取得する通信ログ取得部21と、取得された通信ログのうち分析の対象とする通信ログを抽出する通信ログ抽出部22とを備えている。また、通信分析装置20は、通信ログの取得対象とした期間を予め定められた期間である第1期間の長さで区切り、各第1期間について、最初の通信と最後の通信との間隔が予め定められた期間である第2期間を超えていればカウントするカウント部23と、カウント部23によるカウントの処理に用いられる第1期間及び第2期間の設定値を記憶する設定値記憶部24と、カウント部23によるカウント数に基づく情報を出力する情報出力部25とを備えている。
As illustrated, the
取得手段の一例としての通信ログ取得部21は、社内LAN40とインターネット50との間のネットワークを監視対象とし、監視対象とするネットワーク上で検知された通信のログを取得する。ここで、通信ログ取得部21は、例えば管理者の操作を契機として、クライアント端末10から社内LAN40を介してインターネット50へアクセスする通信のログをプロキシサーバ(不図示)から取得する。
The communication
通信ログとしては、例えば管理者が指定した期間や1週間などの予め定められた期間を取得の対象期間として、その対象期間内に検知されたものが取得される。また、通信ログには、例えば、その通信におけるデータの送信先の情報、データの送信元の情報、通信が行われた日時等の情報が含まれている。なお、通信ログは、プロキシサーバから取得するような構成に限られず、例えば、通信分析装置20がインラインで設置された場合に通信分析装置20内で格納しておいても良い。
As the communication log, for example, a period specified by the administrator or a predetermined period such as one week is acquired as a target period for acquisition, and data detected within the target period is acquired. In addition, the communication log includes, for example, information on the data transmission destination in the communication, information on the data transmission source, and information such as the date and time when the communication was performed. The communication log is not limited to the configuration obtained from the proxy server, and may be stored in the
抽出手段の一例としての通信ログ抽出部22は、通信ログ取得部21が取得した通信ログのうち、分析対象とする通信ログの集合を抽出する。ここで、通信ログ抽出部22は、通信ログ取得部21が取得した各通信ログについて、データの送信先を識別可能な情報(以下、送信先情報と称する)及びデータの送信元を識別可能な情報(以下、送信元情報と称する)を特定する。送信先情報には、例えば、データの送信先である装置のドメイン名やIPアドレス、送信先のURL(Uniform Resource Locator)などの情報が含まれる。また、送信元情報には、例えば、データの送信元であるクライアント端末10のIPアドレス、クライアント端末10を使用するユーザとして設定されているユーザ名、クライアント端末10に設定されているコンピュータ名などの情報が含まれる。
The communication
そして、通信ログ抽出部22は、各通信ログの送信先情報及び送信元情報をもとに、送信先及び送信元のペアが同一である複数の通信ログを分析対象として、それぞれのペアごとに抽出する。例えば、通信ログ取得部21が取得した通信ログのうち、送信先のドメインが「ドメインA」で、送信元のユーザ名が「ユーザA」である通信ログが1000個存在する場合、通信ログ抽出部22は、その1000個の通信ログの集合を分析対象として抽出する。
Then, the communication
また、以下では、通信ログ抽出部22は、送信先及び送信元のペアが同一である複数の通信ログを分析対象として抽出する場合について説明するが、少なくともデータの送信先が同一である通信ログを分析対象として抽出しても良い。この場合、例えば、送信先のドメインが「ドメインA」の通信ログが2000個あれば、その2000個の通信ログが分析対象としてまとめて抽出されることとなる。
In the following description, the communication
カウント手段の一例としてのカウント部23は、通信ログ抽出部22が分析対象として抽出した通信ログの集合について、取得の対象期間の前から順番に第1期間の長さで区切っていく。そして、カウント部23は、区切られた第1期間のそれぞれについて、第1期間内の最初の通信と最後の通信との間隔が第2期間よりも長いか否かを判定する。ここで、最初の通信と最後の通信との間隔が第2期間を超えていれば、カウント部23はカウント数を1増やす処理を行う。一方、最初の通信と最後の通信との間隔が第2期間を超えていなければ、カウント部23はカウントしない。
The
例えば、区切られた第1期間が100個存在する場合、カウント部23は、その100個の第1期間のそれぞれについて、分析対象とした通信ログの最初の通信と最後の通信との間隔が第2期間よりも長いか否かを判定する。そして、カウント部23は、第2期間を超えていると判定するごとにカウントする。例えば、100個の第1期間のうち最初の通信と最後の通信との間隔が第2期間を超えているものが60個存在すれば、カウント数は60となる。
For example, when there are 100 divided first periods, the
設定値記憶部24は、カウント部23によるカウントの処理に用いられる第1期間及び第2期間の設定値を記憶する。第1期間としては、例えば、10分、5分、1分などの期間が設定される。また、第2期間は、第1期間よりも短く、例えば、第1期間が10分の場合には第2期間は8分、第1期間が5分の場合には第2期間は4分、第1期間が1分の場合には第2期間は40秒などのように設定される。このような第1期間及び第2期間の値は、例えば管理者の入力により予め設定されるものとする。
The set
出力手段の一例としての情報出力部25は、カウント部23によるカウント数に基づく情報を出力する。ここで、情報出力部25は、通信ログ抽出部22が分析対象として抽出した通信ログの集合について、カウント部23がカウントしたカウント数を取得する。そして、情報出力部25は、取得したカウント数に基づく情報を出力する。例えば、情報出力部25は、通信ログの集合を、カウント数が多い順番や少ない順番などのカウント数に基づく順番で並べて表示部(不図示)に表示する。
The
また、情報出力部25は、カウント数が予め定められた基準を満たす通信について、その通信に関する情報を表示部に表示しても良い。例えば、情報出力部25は、カウント数が予め定められた閾値を超える通信ログの集合について、その通信が不正通信の可能性があることを示す表示をしたり、アラートを表示したりする。また、例えば、情報出力部25は、カウント数が予め定められた閾値以下である通信ログの集合について、その通信が正常な通信であることを示す表示を行う。
Moreover, the
<通信分析装置のハードウェア構成例>
次に、本実施の形態に係る通信分析装置20のハードウェア構成について説明する。図3は、通信分析装置20を適用するのに好適なコンピュータのハードウェア構成の一例を示した図である。図示するように、通信分析装置20は、演算手段であるCPU(Central Processing Unit)20aと、主記憶手段であるメモリ20cを備える。また、外部デバイスとして、磁気ディスク装置(HDD:Hard Disk Drive)20g、ネットワーク・インターフェイス20f、ディスプレイ装置を含む表示機構20d、音声機構20h、キーボードやマウス等の入力デバイス20i等を備える。
<Hardware configuration example of communication analyzer>
Next, the hardware configuration of the
図3に示す構成例では、メモリ20cおよび表示機構20dは、システム・コントローラ20bを介してCPU20aに接続されている。また、ネットワーク・インターフェイス20f、磁気ディスク装置20g、音声機構20hおよび入力デバイス20iは、I/Oコントローラ20eを介してシステム・コントローラ20bと接続されている。各構成要素は、システム・バスや入出力バス等の各種のバスによって接続される。
In the configuration example shown in FIG. 3, the
また、図3において、磁気ディスク装置20gにはOSのプログラムやアプリケーション・プログラムが格納されている。そして、これらのプログラムがメモリ20cに読み込まれてCPU20aに実行されることにより、本実施の形態に係る通信分析装置20の通信ログ取得部21、通信ログ抽出部22、カウント部23、情報出力部25の機能が実現される。また、例えば、磁気ディスク装置20g等の記憶する手段により、設定値記憶部24が実現される。
In FIG. 3, the
なお、図3は、本実施の形態が適用されるのに好適なコンピュータのハードウェア構成を例示するに過ぎない。本実施の形態は、カウント数に基づく情報を出力する装置に広く適用できるものであり、図示の構成においてのみ本実施の形態が実現されるのではない。 FIG. 3 merely exemplifies a hardware configuration of a computer suitable for application of the present embodiment. The present embodiment can be widely applied to devices that output information based on the number of counts, and the present embodiment is not realized only in the illustrated configuration.
<通信分析装置の処理手順>
次に、通信分析装置20が通信ログをもとにカウント数に基づく情報を出力する処理の手順について説明する。図4は、通信ログをもとにカウント数に基づく情報を出力する手順の一例を示したフローチャートである。
<Processing procedure of communication analyzer>
Next, a procedure of processing in which the
まず、通信ログ取得部21は、社内LAN40とインターネット50との間のネットワーク上で取得の対象期間内に検知された通信のログであり、クライアント端末10からインターネット50へアクセスする通信のログをプロキシサーバから取得する(ステップ101)。次に、通信ログ抽出部22は、通信ログ取得部21が取得した通信ログのうち、分析対象とする通信ログの集合を抽出する(ステップ102)。ここで、通信ログ抽出部22は、各通信ログの送信先情報及び送信元情報をもとに、送信先及び送信元のペアが同一である複数の通信ログをまとめて抽出する。また、通常、対象期間内の通信ログは多数蓄積されており、送信元及び送信先のペアも多数存在する。そのため、通信ログ抽出部22は、送信先及び送信元のペアごとに、通信ログの集合を抽出する。
First, the communication
次に、カウント部23は、抽出された通信ログの集合のうち1つを選択する(ステップ103)。そして、カウント部23は、選択した通信ログの集合について、対象期間の前から順番に第1期間の長さで区切っていく(ステップ104)。次に、カウント部23は、区切られた第1期間のうち1つを選択する(ステップ105)。そして、カウント部23は、通信ログの発生日時をもとに、選択した第1期間内で発生した最初の通信と最後の通信との間隔を計算し、計算した間隔が第2期間を超えているか否かを判定する(ステップ106)。
Next, the
最初の通信と最後の通信との間隔が第2期間を超えていると判定された場合(ステップ106でYes)、カウント部23はカウント数を1増やす(ステップ107)。一方、最初の通信と最後の通信との間隔が第2期間を超えていないと判定された場合(ステップ106でNo)、カウント部23はカウント数を増やさずそのままとする。
When it is determined that the interval between the first communication and the last communication exceeds the second period (Yes in Step 106), the
次に、カウント部23は、ステップ104で区切られた第1期間の全てを選択したか否かを判定する(ステップ108)。まだ選択されていない第1期間があると判定された場合(ステップ108でNo)、ステップ105に移行する。一方、全ての第1期間が選択されたと判定された場合(ステップ108でYes)、カウント部23は、ステップ102で抽出された通信ログの集合の全てを選択したか否かを判定する(ステップ109)。
Next, the
まだ選択されていない通信ログの集合があると判定された場合(ステップ109でNo)、ステップ103に移行する。一方、通信ログの集合の全てが選択されたと判定された場合(ステップ109でYes)、次に、情報出力部25は、通信ログの集合ごとにカウント数を取得し、取得したカウント数に基づく情報を出力する(ステップ110)。ここで、情報出力部25は、通信ログの集合ごとに、ステップ105〜108にてカウントされたカウント数を取得し、取得したカウント数に基づく情報を出力する。例えば、情報出力部25は、通信ログの集合をカウント数が多い順番に並べて表示したり、カウント数が予め定められた閾値を超える通信ログの集合についてその通信が不正通信の可能性がある旨を表示したりする。そして、本処理フローは終了する。
If it is determined that there is a set of communication logs not yet selected (No in step 109), the process proceeds to step 103. On the other hand, when it is determined that all of the communication log set has been selected (Yes in Step 109), the
<通信ログの例>
次に、通信ログ取得部21が取得する通信ログについて説明する。図5は、通信ログ取得部21が取得する通信ログの一例を示す図である。
<Example of communication log>
Next, the communication log acquired by the communication
図5に示す通信ログには、データの送信先である装置のIPアドレス、データの送信元であるクライアント端末10のIPアドレス、送信元であるクライアント端末10のユーザ名、送信元であるクライアント端末10のコンピュータ名、通信が発生した日時の情報が含まれる。例えば、番号1の通信ログにおいて、送信先である装置のIPアドレスは「50.1.1.1」、送信元のクライアント端末10のIPアドレスは「111.22.33.44」である。また、送信元のクライアント端末10のユーザ名は「UserA」、送信元のクライアント端末10のコンピュータ名は「LAN−PC1」、通信の発生日時は「2015年1月1日10時」である。
The communication log shown in FIG. 5 includes the IP address of the device that is the data transmission destination, the IP address of the
また、例えば、番号1、番号3及び番号4の通信ログについて、送信先のIPアドレスは「50.1.1.1」、送信元のIPアドレスは「111.22.33.44」であり、送信先及び送信元のペアが同一である。そのため、通信ログ抽出部22は、図5に示す通信ログから分析対象とする通信ログの集合を抽出する場合、番号1、番号3及び番号4の通信ログを抽出する。
For example, for the communication logs of
ここで、図5に示す通信ログでは、送信元情報として、送信元IPアドレス、送信元ユーザ名、送信元コンピュータ名が存在し、通信ログ抽出部22は、これらの送信元情報のうちのいずれかの情報を用いて通信ログの集合を抽出すれば良い。ただし、例えばDHCP(Dynamic Host Configuration Protocol)により自動的にクライアント端末10にIPアドレスが割り当てられるような場合、同じクライアント端末10であっても異なるIPアドレスで通信を行う場合がある。そのような場合には、通信ログ抽出部22は、送信元コンピュータ名や送信元ユーザ名等をもとに送信元であるクライアント端末10を識別して、通信ログの集合を抽出すれば良い。なお、通信ログに含まれる情報の種類は図5に示すものに限られるわけではなく、例えば、送信先情報として送信先である装置のドメイン名を用いても良い。
Here, in the communication log shown in FIG. 5, the transmission source information includes a transmission source IP address, a transmission source user name, and a transmission source computer name, and the communication
<カウント処理の具体例>
次に、カウント部23によるカウント処理について、具体例を挙げて説明する。図6(a)〜(d)は、カウント部23によるカウント処理の具体例を説明するための図である。図示の例では2つの第1期間を示しているが、以下では、1つ目の第1期間内の通信について説明する。
<Specific example of count processing>
Next, the counting process by the
まず、図6(a)に示す例では、繰り返し通信が行われ、第1期間内で8回の通信が発生している。そして、最初の通信と最後の通信との間隔が第2期間を超えている。そのため、カウント部23はカウント数を1増やす処理を行う。
図6(b)に示す例では、第1期間内で2回の通信が発生しており、最初の通信と最後の通信との間隔が第2期間を超えている。そのため、図6(b)の場合には、図6(a)の場合よりも通信の発生回数は少ないが、カウント部23はカウント数を1増やす処理を行う。
First, in the example illustrated in FIG. 6A, communication is repeatedly performed, and communication is performed eight times within the first period. The interval between the first communication and the last communication exceeds the second period. Therefore, the
In the example shown in FIG. 6B, two communications occur within the first period, and the interval between the first communication and the last communication exceeds the second period. Therefore, in the case of FIG. 6B, the number of occurrences of communication is smaller than in the case of FIG.
図6(c)に示す例では、第1期間内で5回の通信が発生しているが、短時間に5回の通信が行われており、最初の通信と最後の通信との間隔が第2期間を超えていない。そのため、カウント部23はカウントしない。
図6(d)に示す例では、第1期間内で10回の通信が発生しており、最初の通信と最後の通信との間隔が第2期間を超えている。そのため、カウント部23はカウント数を1増やす処理を行う。
In the example shown in FIG. 6C, five communications occur within the first period, but five communications are performed in a short time, and the interval between the first communications and the last communications is The second period has not been exceeded. Therefore, the
In the example shown in FIG. 6D, 10 times of communication has occurred within the first period, and the interval between the first communication and the last communication exceeds the second period. Therefore, the
ここで、図示の例で、第1期間を1分、第2期間を40秒とすると、図6(a)の例では、8秒ほどの間隔で繰り返し通信が発生している。上述したように、クライアント端末10がマルウェアに感染した場合、攻撃者サーバ30との間で繰り返し通信を行う場合がある。このような繰り返し行われる通信が発生した場合、ある第1期間においてカウント部23によるカウントが行われれば、他の第1期間においてもカウントが行われる可能性が高い。そのため、カウント数が多い通信であることを示す情報が出力されることで、繰り返し行われる通信であってマルウェアによる通信の可能性があるものとして把握される。
Here, in the example shown in the figure, assuming that the first period is 1 minute and the second period is 40 seconds, in the example of FIG. 6A, communication repeatedly occurs at intervals of about 8 seconds. As described above, when the
また、図6(b)に示す例では、第1期間内に2回の通信が発生しており、マルウェアにより繰り返し発生したものか、マルウェアとは関係なく正常な通信として単発で発生したものかの判別はされない。ここで、2回の通信が単発で発生したものであれば、継続して他の第1期間でもカウントされる可能性は低い。そのため、正常な通信として単発で発生したものについては、カウント数が少ない通信であることを示す情報が出力されることとなる。一方、2回の通信がマルウェアにより繰り返し発生した通信であれば、他の第1期間においてもカウントが行われる可能性が高い。そのため、図6(a)に示す場合と同様に、カウント数が多い通信であることを示す情報が出力され、繰り返し行われる通信であってマルウェアによる通信の可能性があるものとして把握される。 In the example shown in FIG. 6 (b), communication has occurred twice during the first period, and has occurred repeatedly due to malware, or has occurred as a single normal communication regardless of malware. Is not determined. Here, if two communications occur once, it is unlikely that they will continue to be counted even in other first periods. For this reason, information indicating that the communication is a single communication as a normal communication is a communication with a small number of counts. On the other hand, if the two communications are communications that repeatedly occur due to malware, there is a high possibility that the count will be performed in the other first period. Therefore, as in the case shown in FIG. 6A, information indicating that the communication has a large number of counts is output, and it is recognized that the communication is repeated and may be communicated by malware.
ここで、マルウェアにより繰り返し発生する通信であっても、その通信間隔が第1期間の1分を超える場合には、第1期間内で2回以上通信が行われることがないため、カウント部23によるカウントが行われないこととなる。このような場合には、第1期間の設定値を長くするように変更すれば、カウント部23によるカウントが行われる。
Here, even if the communication occurs repeatedly due to malware, if the communication interval exceeds 1 minute of the first period, the communication is not performed twice or more within the first period. Will not be counted. In such a case, if the setting value of the first period is changed to be longer, the counting by the
次に、図6(c)に示す例は、ユーザが、例えばインターネット経由でウェブページを閲覧することにより、正常な通信が短時間に連続して発生した場合を示す。第1期間内で何度も通信が発生しているが、最初の通信と最後の通信との間隔が第2期間よりも短いため、カウント部23によるカウントは行われない。即ち、例えば定期的に繰り返し行われる通信ではなく、短時間に連続して発生する正常な通信については、カウントが行われず、カウント数が少ない通信であることを示す情報が出力される。
Next, the example illustrated in FIG. 6C illustrates a case where normal communication continuously occurs in a short time by a user browsing a web page via the Internet, for example. Although communication has occurred many times within the first period, since the interval between the first communication and the last communication is shorter than the second period, the counting by the
一方、図6(d)に示す例は、ユーザが、例えばウェブページを閲覧した後にさらに違うウェブページを閲覧することにより、短時間に連続して通信が発生した後にさらに連続して通信が発生した場合を示す。この場合、マルウェアにより繰り返し行われる通信ではなく正常な通信であるが、最初の通信と最後の通信との間隔が第2期間を超えているため、カウント部23はカウント数を1増やす処理を行う。
On the other hand, in the example shown in FIG. 6 (d), for example, when a user browses a different web page after browsing a web page, the communication occurs continuously after a short period of continuous communication. Shows the case. In this case, although the communication is not normal communication repeated by the malware but normal communication, since the interval between the first communication and the last communication exceeds the second period, the
このように、ユーザがウェブページを閲覧する際、様々なウェブページを閲覧することにより連続する通信が複数箇所で発生し、最初の通信と最後の通信との間隔が第2期間を超える場合がある。ただし、ウェブページの閲覧において、通常、ユーザは閲覧するウェブページを頻繁に変えて連続する通信が常に複数箇所で発生するわけではない。また、ユーザがウェブページを閲覧する時間も例えば数時間など限られた時間であると考えられる。そのため、ある第1期間においてカウント部23によるカウントが行われても、他の第1期間でもカウントされるとは限らない。さらに、カウントされるのはユーザがウェブページを閲覧する時間に限られており、繰り返し行われる通信と比較するとカウント数は少なくなる。結果として、第1期間内に連続する正常な通信が複数箇所で発生した場合には、カウント数が少ない通信であることを示す情報が出力されることとなる。
As described above, when the user browses the web page, continuous communication may occur at a plurality of locations by browsing various web pages, and the interval between the first communication and the last communication may exceed the second period. is there. However, in browsing a web page, usually, the user frequently changes the web page to browse and continuous communication does not always occur at a plurality of locations. In addition, the time for which the user browses the web page is also considered to be a limited time such as several hours. Therefore, even if counting by the
このようにして、カウント部23は、第1期間内で最初の通信と最後の通信との間隔が第2期間を超えていれば、カウント数を1増やす処理を行う。そのため、マルウェアにより繰り返し通信が行われている場合、第1期間においてカウントされてカウント数が増えることにより、マルウェアによる不正通信の可能性があるものとして管理者に把握され易くなる。
In this way, the
一方、繰り返し行われる通信ではなく、単発で通信が発生した場合や連続する通信が複数箇所で発生した場合にも、カウント部23によりカウントされる場合がある。しかし、そのような通信のカウント数は継続して加算される可能性が低く、通信ログを取得する対象期間を長くすればするほど、繰り返し行われる通信と比較してカウント数が少なくなる。
On the other hand, the
<カウント数に基づく情報を出力する処理の具体例>
次に、カウント部23によるカウント数に基づく情報を出力する処理について、具体例を挙げて説明する。図7は、カウント部23によるカウント数に基づく情報を出力する処理の具体例を説明するための図である。図7に示す例は、例えば1日間で蓄積された通信ログのうち、送信先IPアドレス及び送信元IPアドレスのペアが同一である通信ログの集合を分析対象とし、カウント数が多い順番に各集合を上から並べたものである。
<Specific example of processing for outputting information based on count number>
Next, the process of outputting information based on the count number by the
例えば、番号1に示す通信ログの集合として、送信先IPアドレスが「50.1.1.1」、送信元IPアドレスが「111.22.33.44」の通信ログの集合について、カウント数が1000であることが示されている。同様に、他の通信ログの集合についてもカウント数が示され、カウント数が多い順番に各集合が上から並べられている。このように表示されることにより、管理者は、例えば、カウント数が多い通信ログは不正通信の可能性があると判断し、例えば該当の通信ログを詳細に調べる等の対応をすれば良い。
For example, as a set of communication logs indicated by
また、情報出力部25は、カウント数が予め定められた閾値を超えていれば、その通信ログの集合について不正通信の可能性があることを示す表示を行うこととしても良い。例えば、予め定められた閾値を500とすれば、図7に示す番号1〜4の通信ログの集合が、不正通信の可能性があるものとして表示される。
Further, if the count number exceeds a predetermined threshold, the
以上説明したように、本実施の形態に係る通信分析装置20は、監視対象とするネットワーク上で検知された通信のログについて、第1期間ごとに最初の通信と最後の通信との間隔を計算し、計算した間隔が第2期間を超えているか否かを判定する。そして、通信分析装置20は、計算した間隔が第2期間を超えていればカウント数を1増やし、それぞれの第1期間を対象として加算したカウント数に基づいて情報を出力する。
As described above, the
そのため、マルウェアに感染したクライアント端末10が繰り返し通信を行うことにより、カウント数が多くなり、管理者は、出力された情報をもとに不正通信の可能性があるものとして把握し易くなる。ここで、繰り返し発生する通信はマルウェアによるものに限られるわけではなく、例えば、ウィルス対策用ソフトウェアの更新のために行われる正常な通信等も繰り返し行われる場合がある。本実施の形態では、マルウェアによるものではなく繰り返し行われる正常な通信も、カウント数が多くなり、不正通信の可能性があるものとして把握される場合がある。ただし、そのような正常な通信について、管理者は、例えば、予め正常なものとして登録したり、送信先IPアドレスをもとに正常なものと判断して登録したりすれば良い。そして、正常なものとして登録された通信については、例えば、カウントの対象から除外したり、管理者へ報知する表示画面には正常な通信として表示したりすれば良い。
Therefore, when the
また、通信分析装置20は、プロキシサーバ等に蓄積された通信ログではなく、現在ネットワーク上に流れているトラフィックを対象にカウントすることとしても良い。この場合、通信分析装置20は、送信先及び送信元のペアごとに第1期間内の通信を把握し、カウントするか否かを判定してカウント数を増やしていく。そして、情報出力部25は、例えば、カウント数が予め定められた閾値を超えた時点で、表示機構20d等にアラートを表示して管理者に報知する。
Further, the
なお、本発明の実施の形態を実現するプログラムは、磁気記録媒体(磁気テープ、磁気ディスクなど)、光記録媒体(光ディスクなど)、光磁気記録媒体、半導体メモリなどのコンピュータが読取可能な記録媒体に記憶した状態で提供し得る。また、インターネットなどの通信手段を用いて提供することも可能である。 The program for realizing the embodiment of the present invention is a computer-readable recording medium such as a magnetic recording medium (magnetic tape, magnetic disk, etc.), an optical recording medium (optical disk, etc.), a magneto-optical recording medium, or a semiconductor memory. Can be provided in a state stored in the memory. It can also be provided using communication means such as the Internet.
また、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態には限定されない。本発明の精神及び範囲から逸脱することなく様々に変更したり代替態様を採用したりすることが可能なことは、当業者に明らかである。 Moreover, although this invention was demonstrated using embodiment, the technical scope of this invention is not limited to the said embodiment. It will be apparent to those skilled in the art that various modifications and alternative embodiments can be made without departing from the spirit and scope of the invention.
10a,10b,10c…クライアント端末、20…通信分析装置、21…通信ログ取得部、22…通信ログ抽出部、23…カウント部、24…設定値記憶部、25…情報出力部、30…攻撃者サーバ 10a, 10b, 10c ... Client terminal, 20 ... Communication analyzer, 21 ... Communication log acquisition unit, 22 ... Communication log extraction unit, 23 ... Count unit, 24 ... Setting value storage unit, 25 ... Information output unit, 30 ... Attack Server
Claims (6)
前記取得手段にて取得された情報により、前記通信のうち当該通信における情報の少なくとも一部が共通する通信の集合を抽出する抽出手段と、
前記抽出手段にて抽出された通信の集合について、前記対象期間に設定される第1期間内で特定の一の通信と特定の他の通信との間隔が当該第1期間とは異なる第2期間よりも長い当該第1期間の数であるカウント数に基づく情報を出力する出力手段と
を備える情報処理装置。 An acquisition means for acquiring information included in communications detected within a target period on a network to be monitored;
Extraction means for extracting a set of communications in which at least a part of the information in the communication is common among the communications based on the information obtained by the obtaining means;
For a set of communications extracted by the extraction means, a second period in which an interval between a specific communication and a specific other communication is different from the first period within a first period set in the target period An information processing apparatus comprising: output means for outputting information based on a count number that is a longer number of the first period.
を特徴とする請求項1に記載の情報処理装置。 The information processing apparatus according to claim 1, wherein the output unit displays a set of communications extracted by the extraction unit in an order based on the count number.
を特徴とする請求項1または2に記載の情報処理装置。 The output means outputs information related to the set of the communication sets extracted by the extracting means for a set whose count number satisfies a predetermined criterion. The information processing apparatus described in 1.
を特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。 The information processing apparatus according to claim 1, wherein the extraction unit extracts a set of communications in which a data transmission destination and a transmission source in the communication are the same.
取得された前記情報により、前記通信のうち当該通信における情報の少なくとも一部が共通する通信の集合を抽出するステップと、
抽出された前記通信の集合について、前記対象期間に設定される第1期間内で特定の一の通信と特定の他の通信との間隔が当該第1期間とは異なる第2期間よりも長い当該第1期間の数であるカウント数に基づく情報を出力するステップと
を含む情報処理方法。 Obtaining information included in communications detected within a target period on a network to be monitored;
Extracting a set of communications in which at least a part of the information in the communication is common among the communications based on the acquired information;
For the extracted set of communication, the interval between the specific one communication and the specific other communication within the first period set in the target period is longer than the second period different from the first period. Outputting information based on a count that is the number of first periods.
監視対象とするネットワーク上で対象期間内に検知された通信に含まれる情報を取得する機能と、
取得された前記情報により、前記通信のうち当該通信における情報の少なくとも一部が共通する通信の集合を抽出する機能と、
抽出された前記通信の集合について、前記対象期間に設定される第1期間内で特定の一の通信と特定の他の通信との間隔が当該第1期間とは異なる第2期間よりも長い当該第1期間の数であるカウント数に基づく情報を出力する機能と
を実現させるためのプログラム。 On the computer,
A function to acquire information included in communications detected within the target period on the network to be monitored;
A function of extracting a set of communications in which at least a part of the information in the communication is common among the communications based on the acquired information;
For the extracted set of communication, the interval between the specific one communication and the specific other communication within the first period set in the target period is longer than the second period different from the first period. A program for realizing a function of outputting information based on a count number which is the number of first periods.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016159857A JP6088700B2 (en) | 2016-08-17 | 2016-08-17 | Information processing apparatus, information processing method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016159857A JP6088700B2 (en) | 2016-08-17 | 2016-08-17 | Information processing apparatus, information processing method, and program |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016085190A Division JP5992643B2 (en) | 2016-04-21 | 2016-04-21 | Information processing apparatus, information processing method, and program |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017018209A Division JP6145588B2 (en) | 2017-02-03 | 2017-02-03 | Information processing apparatus, information processing method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017005746A JP2017005746A (en) | 2017-01-05 |
JP6088700B2 true JP6088700B2 (en) | 2017-03-01 |
Family
ID=57754802
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016159857A Active JP6088700B2 (en) | 2016-08-17 | 2016-08-17 | Information processing apparatus, information processing method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6088700B2 (en) |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3945438B2 (en) * | 2003-03-28 | 2007-07-18 | コニカミノルタビジネステクノロジーズ株式会社 | Control program and control device |
US9055093B2 (en) * | 2005-10-21 | 2015-06-09 | Kevin R. Borders | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
KR20130085570A (en) * | 2011-12-22 | 2013-07-30 | 한국전자통신연구원 | Method and terminal apparatus of cyber-attack prevention |
JP6159018B2 (en) * | 2014-03-19 | 2017-07-05 | 日本電信電話株式会社 | Extraction condition determination method, communication monitoring system, extraction condition determination apparatus, and extraction condition determination program |
JP5739034B1 (en) * | 2014-03-19 | 2015-06-24 | 日本電信電話株式会社 | Attack detection system, attack detection device, attack detection method, and attack detection program |
JP6174520B2 (en) * | 2014-05-22 | 2017-08-02 | 日本電信電話株式会社 | Malignant communication pattern detection device, malignant communication pattern detection method, and malignant communication pattern detection program |
WO2015186155A1 (en) * | 2014-06-03 | 2015-12-10 | 三菱電機株式会社 | Log analysis device and log analysis method |
-
2016
- 2016-08-17 JP JP2016159857A patent/JP6088700B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017005746A (en) | 2017-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2634211C1 (en) | Method and system of protocols analysis of harmful programs interaction with control centers and detection of computer attacks | |
US9443075B2 (en) | Interception and policy application for malicious communications | |
US10666680B2 (en) | Service overload attack protection based on selective packet transmission | |
US8161538B2 (en) | Stateful application firewall | |
EP3101580B1 (en) | Website information extraction device, system, website information extraction method, and website information extraction program | |
JP2019021294A (en) | SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS | |
JP6502902B2 (en) | Attack detection device, attack detection system and attack detection method | |
JP2019523584A (en) | Network attack prevention system and method | |
JP5980968B2 (en) | Information processing apparatus, information processing method, and program | |
JP6470201B2 (en) | Attack detection device, attack detection system, and attack detection method | |
JP5926413B1 (en) | Information processing apparatus, information processing method, and program | |
JP6145588B2 (en) | Information processing apparatus, information processing method, and program | |
JP5992643B2 (en) | Information processing apparatus, information processing method, and program | |
JP6088700B2 (en) | Information processing apparatus, information processing method, and program | |
JP5966076B1 (en) | Information processing apparatus, information processing method, and program | |
JP6007308B1 (en) | Information processing apparatus, information processing method, and program | |
JP6105797B1 (en) | Information processing apparatus, information processing method, and program | |
JP2011002916A (en) | Infection activity detection apparatus, infection activity detection method and program | |
JP6105792B1 (en) | Information processing apparatus, information processing method, and program | |
JP6063593B1 (en) | Information processing apparatus, information processing method, and program | |
JP2012150658A (en) | Information processing device, system, communication monitoring method and program | |
CN116436686A (en) | Dynamic protection method and device for distributed denial of service attack | |
JP5086382B2 (en) | Abnormal traffic analysis system, method and apparatus | |
TW201909592A (en) | Method for detecting hacker reverse connection behavior capable of filtering out an abnormal external network connection by using a simple and fast statistical method | |
JP2016136745A (en) | Information processing device, information processing method and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161014 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20161014 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20161108 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170110 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170203 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6088700 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |