JP6159018B2 - 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム - Google Patents

抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム Download PDF

Info

Publication number
JP6159018B2
JP6159018B2 JP2016508722A JP2016508722A JP6159018B2 JP 6159018 B2 JP6159018 B2 JP 6159018B2 JP 2016508722 A JP2016508722 A JP 2016508722A JP 2016508722 A JP2016508722 A JP 2016508722A JP 6159018 B2 JP6159018 B2 JP 6159018B2
Authority
JP
Japan
Prior art keywords
communication
extraction
extraction condition
log information
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016508722A
Other languages
English (en)
Other versions
JPWO2015141640A1 (ja
Inventor
毅 八木
毅 八木
大紀 千葉
大紀 千葉
和憲 神谷
和憲 神谷
佐藤 徹
徹 佐藤
健介 中田
健介 中田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2015141640A1 publication Critical patent/JPWO2015141640A1/ja
Application granted granted Critical
Publication of JP6159018B2 publication Critical patent/JP6159018B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/64Hybrid switching systems
    • H04L12/6418Hybrid transport
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Description

本発明の実施形態は、抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラムに関する。
インターネットの普及に伴い、DDoS(Distributed Denial of Service)攻撃やスパムメール送信などのサイバー攻撃が急増している。これらの攻撃のほとんどは、マルウェアと呼ばれる悪意あるソフトウェアに起因している。攻撃者は、一般ユーザの端末やサーバをマルウェアに感染させ、マルウェアを操作することで端末やサーバを不正に制御し、情報収集や新たな攻撃を実施している。これらの攻撃は近年社会問題化している。このため、マルウェア感染を中心としたサイバー攻撃への対策が急務となっている。
サイバー攻撃対策としては、端末上で実施する対策とネットワーク上で実施する対策が検討されている。端末上で実施する対策としては、アンチウィルスソフトを用いる手法や、ホスト型Intrusion Detection System(IDS)やホスト型Intrusion Prevention System(IPS)を用いる手法が検討されている。本手法では、端末にソフトウェアをインストールして対策を実施する。一方、ネットワーク上で実施する対策としては、ネットワーク型のIDSやIPS、FirewallやWeb Application Firewall(WAF)等を用いる手法が検討されている。本手法では、ネットワークの接続箇所に検査装置を配置する。また、近年では、端末や装置のログを分析して攻撃の痕跡を発見するSecurity Information and Event Management(SIEM)サービス等も実施されている。上述のいずれの手法においても、予め用意した既知の攻撃の特徴情報に基づいて対策を講じている。
このような対策手法では、ハニーポットと呼ばれる囮のシステムでマルウェア感染攻撃やその他のサイバー攻撃の通信相手や通信内容を収集したり、サンドボックスと呼ばれるマルウェア解析システムでマルウェアを実際に動作させてマルウェアの通信相手や通信内容を収集したり、スパムメール対策システムやDDoS対策システムで攻撃と判定された通信の通信相手や通信内容を収集したりすることで、攻撃に関わる通信の情報を収集する。更に、攻撃に関わる通信の情報から、宛先URL(Uniform Resource Locator)や宛先IP(Internet Protocol)アドレス等を含む特徴情報を抽出する。この際、機械学習を初めとした既存の技術を用いて、攻撃に関わる通信の情報から特徴情報を自動的に抽出する場合が多い。この手法では、攻撃に関わる通信の情報を、日時、通信相手のIPアドレス、通信時に使用したポート番号、一定時間内の通信回数、及び通信量等、予め定めた項目毎に分類して集計する。この際、日時やポート番号には観測した値が入力されることが多いが、通信回数や通信量については、平均値、標準偏差、分散値等の統計値が入力されることがある。集計値が算出された後、例えば、統計的な外れ値を探索し、外れ値を発見した際には、当該値に関わる通信を攻撃と判定するとともに、当該項目の当該外れ値を攻撃検知のための規則とし、当該項目における当該値を、攻撃に見られる特徴情報であると特定する。更に、発見した攻撃に関して、例えば、IPアドレスをブラックリスト化し、当該IPアドレスを相手とした通信を攻撃と判定するための特徴情報とする場合もある。なお、通信相手のURLをブラックリスト化する場合もあるが、この際は、URLを正規表現でブラックリスト化する場合もある。なお、通常、異なる装置やソフトウェアからトラヒックログやアラートを収集して通信相手や通信内容の情報を抽出する際、装置やソフトウェアに応じて各項目の表記方法が異なる場合があるが、近年ではSIEM製品として異なる表記で示されたログ情報を統一的な表記方法に変換して集計する技術も普及している。
R. Perdisci, W. Lee, and N. Feamster, "Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces." NSDI, p.26, Apr. 2010. Y. Xie, F. Yu, K. Achan, R. Panigrahy, G. Hulten, and I. Osipkov, "Spamming Botnets: Signatures and Characteristics," Proceedings of the ACM SIGCOMM 2008 conference on Data communication - SIGCOMM’08, vol.38, no. 4, p.171, Aug. 2008.
しかしながら、上記の方法では、攻撃に関わる通信ではない通信、すなわち良性な通信を、攻撃に関わる通信として誤検知してしまう場合がある。
例えば、上記の方法では、攻撃に関わる通信の情報を収集した際に、良性な通信が混在した場合に、良性な通信の特徴情報を誤って抽出し、当該情報を抽出した規則を悪性トラヒックログ特定のための規則と誤判定してしまう危険性がある。一例としては、マルウェアは、解析の妨害やインターネットへの接続確認を目的として、正規のWebサイト等にアクセスする場合が多い。このため、サンドボックスを用いて収集したマルウェアの通信相手や通信内容に正規のWebサイトへの正常なアクセスが混在する可能性がある。攻撃に関わる通信の内容を精査する手法として、インターネット上の情報を収集して通信相手のレピュテーションを実施する手法や、収集した通信内容をアンチウィルスソフト、IDS、IPS、WAF等に対して再現して攻撃と判定されるか検査する手法が検討されている。しかしながら、いずれの手法においても、検知漏れや誤検知が発生する可能性があり、攻撃に関わる通信の情報から攻撃の通信情報を自動的に、かつ、正確に抽出することは困難である。特に、他の手段でも発見できない攻撃を発見できないことを意味する検知漏れは許容されることがあるが、誤検知については、検知後に発生する対処や調査等のオペレーションコスト発生を回避するために、可能な限り抑制することが望まれる。このため、現在では、攻撃を発見するための規則を特定して攻撃の特徴情報を抽出する場合、ほぼ多くの場合において解析者が手動で内容を分析することが行われている。この結果、攻撃の特徴情報を抽出するための時間的なコストと人的なコストが必要となり、攻撃が多種多様化している近年では、これらのコストがセキュリティベンダやサービスプロバイダにおいて大きなボトルネックとなっている。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、誤検知を抑制することを目的とする。
実施形態に係る抽出条件決定方法は、抽出条件決定装置で実行される抽出条件決定方法であって、所定の期間における通信のログ情報であって、特定種類の通信が既知であるログ情報を収集する収集工程と、前記ログ情報から特定種類の通信を抽出するための条件が定義された抽出条件を記憶する記憶部を参照し、収集されたログ情報から当該条件に適合する通信を抽出する抽出工程と、抽出された通信に対する前記特定種類の通信の割合が閾値以上である場合に、当該抽出条件を採用することを決定する決定工程と、採用された抽出条件を出力する制御を行う出力制御工程とを含んだことを特徴とする。
本願の開示する技術の一つの態様によれば、誤検知を抑制することができるという効果を奏する。
図1は、第1の実施形態に係る情報収集配信サーバを適用するネットワーク構成の一例を示す図である。 図2は、第1の実施形態に係る情報収集配信サーバの構成を示すブロック図である。 図3は、第1の実施形態に係るログ情報記憶部に記憶される情報の一例を示す図である。 図4は、第1の実施形態に係る解析情報記憶部に記憶される情報の一例を示す図である。 図5は、第1の実施形態に係る解析情報記憶部に記憶される情報の一例を示す図である。 図6は、第1の実施形態に係る抽出条件記憶部に記憶される情報の一例を示す図である。 図7は、第1の実施形態に係る情報収集配信サーバの処理手順を説明するためのフローチャートである。 図8は、第1の実施形態に係る情報収集配信サーバの適用例を説明するための図である。 図9は、第1の実施形態に係る情報収集配信サーバの適用例を説明するための図である。 図10は、第1の実施形態に係る情報収集配信サーバの適用例を説明するための図である。 図11は、第1の実施形態の変形例に係る情報収集配信サーバの処理手順を説明するためのフローチャートである。 図12は、抽出条件決定プログラムを実行するコンピュータを示す図である。
以下に添付図面を参照して、この発明に係る抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラムの実施形態を詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。
(第1の実施形態)
(情報収集配信サーバを適用するネットワーク構成)
図1は、第1の実施形態に係る情報収集配信サーバを適用するネットワーク構成の一例を示す図である。
図1に示すように、ネットワーク1は、ネットワーク2〜5を収容する。ネットワーク1は、インターネットのように広域なネットワークであってもよいし、企業ネットワークのように比較的狭域ネットワークであってもよい。
ネットワーク1とネットワーク2との間は、パケット転送部29によって接続されている。また、ネットワーク1とネットワーク3との間は、パケット転送部37によって接続されている。また、ネットワーク1とネットワーク4との間は、パケット転送部42によって接続されている。また、ネットワーク1とネットワーク5との間は、パケット転送部53によって接続されている。また、ネットワーク2内のサーバや端末との間は、パケット転送部25、26によって接続されている。また、ネットワーク3内のサーバや端末との間は、パケット転送部35、36によって接続されている。
囮サーバ21、囮端末22、端末型サンドボックス23、及びサーバ型サンドボックス24は、サーバや端末に不正アクセスするために用いる攻撃ツールプログラムであるマルウェアを利用したDDoS(Distributed Denial of Service)攻撃やスパム送信などの特定種類(以下、適宜「悪性」という)の通信を収集する。そして、囮サーバ21、囮端末22、端末型サンドボックス23、及びサーバ型サンドボックス24は、収集した悪性の通信のログ情報を所定の記憶領域に保存している。
例えば、囮サーバ21及び囮端末22としては、オープンソースのハニーポットや独自に開発したハニーポット等が適用される。また、例えば、端末型サンドボックス23及びサーバ型サンドボックス24としては、オープンソースのソフトウェアや独自に開発したサンドボックス等が適用される。
ユーザ端末31、32及びユーザサーバ33、34は、ネットワーク1〜5を介して通信を行う。ユーザ端末31、32及びユーザサーバ33、34は、攻撃者端末41や悪性サーバ51などからの攻撃を受けたことを確認したい対象であり、フィルタ処理による防御対象である。また、ユーザ端末31、32及びユーザサーバ33、34は、攻撃を検知する攻撃検知ソフトウェアが適用される。ユーザ端末31、32及びユーザサーバ33、34は、検知した通信のログ情報を所定の記憶領域に保存している。
攻撃者端末41は、ユーザ端末31、32やユーザサーバ33、34を攻撃する。悪性サーバ51は、アクセスしたユーザ端末31、32を攻撃するために他のサーバに転送する。マルウェア配布サーバ52は、アクセスしたユーザ端末31、32にマルウェアを配布する。
パケット転送部25、26、29、35〜37、42、53は、スイッチやルータなどの機器であって、スイッチ機能、ルータ機能、ポートフォワ−ディング機能、ハイパーテキスト転送プロトコル(HTTP:HyperText Transfer Protocol)転送機能などを有する。パケット転送部25、26、29、35〜37、42、53は、MACアドレスやIPアドレス、ポート番号、HTTPヘッダなどのヘッダの情報を参照して転送先を決定してパケットを出力する。
通信監視部27、28は、ネットワーク2において配置される装置である。また、通信監視部37aは、パケット転送部37内の一機能として配置される。通信監視部27、28、37aは、セキュリティアプライアンスやプロキシ、アンチウィルスなどが適用され、転送に用いられる情報及びパケットペイロードを監視する。
また、通信監視部27、28、37aは、悪性の通信を特定するための特徴情報を保有し、特徴情報と一致する通信を検知し、検知した通信を遮断するとともに、図示しない外部端末に転送して検疫させる。また、通信監視部27、28、37aは、検知した通信を遮断するとともに、通信を情報収集配信サーバ10に送信する。また、通信監視部27、28、37aは、トラヒックのログ情報を保存している。
情報収集配信サーバ10は、各通信監視部27、28、37aや、囮サーバ21、囮端末22、端末型サンドボックス23、サーバ型サンドボックス24、ユーザ端末31、32、ユーザサーバ33、34により保存された通信のログ情報を収集する。そして、情報収集配信サーバ10は、収集した情報を解析して新たな特徴情報を抽出し、抽出された新たな特徴情報を各通信監視部27、28、37aや、囮サーバ21、囮端末22、端末型サンドボックス23、サーバ型サンドボックス24、ユーザ端末31、32、ユーザサーバ33、34に配信する。例えば、情報収集配信サーバ10は、セキュリティベンダによって提供される。なお、情報収集配信サーバ10についての詳しい説明は、以下に説明する。
(情報収集配信サーバの構成)
図2は、第1の実施形態に係る情報収集配信サーバ10の構成を示すブロック図である。図2に示すように、この情報収集配信サーバ10は、通信制御I/F11、制御部12、記憶部13を有する。以下にこれらの各部の処理を説明する。
通信制御I/F11は、接続される各通信監視部27、28、37aや、囮サーバ21、囮端末22、端末型サンドボックス23、サーバ型サンドボックス24、ユーザ端末31、32、ユーザサーバ33、34との間でやり取りする各種情報に関する通信を制御する。具体的には、通信制御I/F11は、各通信監視部27、28、37aや、囮サーバ21、囮端末22、端末型サンドボックス23、サーバ型サンドボックス24、ユーザ端末31、32、ユーザサーバ33、34から通信のログ情報を受信する。また、通信制御I/F11は、各通信監視部27、28、37aや、囮サーバ21、囮端末22、端末型サンドボックス23、サーバ型サンドボックス24、ユーザ端末31、32、ユーザサーバ33、34へ特徴情報を送信する。
記憶部13は、制御部12による各種処理に要するデータや、制御部12による各種処理結果を記憶する。記憶部13は、ログ情報記憶部131と、解析情報記憶部132と、抽出条件記憶部133とを有する。また、記憶部13は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置である。
ログ情報記憶部131は、通信のログ情報を記憶する。例えば、ログ情報記憶部131は、所定の期間において、ログ情報収集部121によって収集されたログ情報を記憶する。また、例えば、ログ情報記憶部131は、ログ情報解析部122によって参照される。
図3は、第1の実施形態に係るログ情報記憶部131に記憶される情報の一例を示す図である。図3に示すように、例えば、ログ情報記憶部131は、「番号」と、「通信日時」と、「通信元IPアドレス」と、「通信先IPアドレス」と、「送信元ポート」と、「宛先ポート」とをそれぞれ対応付けて記憶する。このうち、「番号」は、通信元と通信先との間で行われた通信を一意に識別する情報である。「通信日時」は、通信の日時を示す情報である。「通信元IPアドレス」は、通信元のIPアドレスを示す情報である。「通信先IPアドレス」は、通信先のIPアドレスを示す情報である。「送信元ポート」は、送信元のポート番号を示す情報である。「宛先ポート」は、宛先のポート番号を示す情報である。
なお、図3の例は、あくまで一例に過ぎない。例えば、ログ情報記憶部131には、上記のログ情報とは異なる情報がログ情報として記憶されていても良い。これは、ログ情報収集部121によって収集可能なログ情報が、ソフトウェアやネットワーク機器によって異なるからである。例えば、ログ情報記憶部131には、pcap形式のデータが記憶されていても良いし、proxyサーバ等で収集されるHTTPヘッダのデータが記憶されていても良い。また、ログ情報記憶部131には、ルータやスイッチ等のネットワーク機器において標準的に観測できるIPアドレスやポート番号毎のフレーム・パケット数等が記憶されても良い。また、ログ情報記憶部131には、通信ごとのデータが記録される場合や、受信フレーム・パケットごとにデータが記録される場合、若しくはマルチセッションのデータが記録される場合であっても良い。
解析情報記憶部132は、解析情報を記憶する。例えば、解析情報記憶部132は、ログ情報解析部122によって通信元IPアドレスごとに解析された解析情報を記憶する。また、例えば、解析情報記憶部132は、通信ログ抽出部123によって参照される。
図4は、第1の実施形態に係る解析情報記憶部132に記憶される情報の一例を示す図である。図4に示すように、例えば、解析情報記憶部132において、「番号」は、解析情報を一意に識別する情報である。「通信元IPアドレス」は、通信元のIPアドレスを示す情報である。「通信先IPアドレス」は、所定の期間内に通信元IPアドレスから行われた通信の通信先のIPアドレスを示す情報である。ここで、「*」は、複数の通信先IPアドレスを含むことを示す。「通信回数」は、所定の期間内に通信元IPアドレスから行われた通信の回数を示す情報である。「通信間隔(平均)」は、所定の期間内に通信元IPアドレスから行われた通信の間隔の平均値を示す情報である。「通信間隔(標準偏差)」は、所定の期間内に通信元IPアドレスから行われた通信の間隔の標準偏差を示す情報である。「通信量(平均)」は、所定の期間内に通信元IPアドレスから行われた通信に要した通信量の平均値を示す情報である。「通信量(標準偏差)」は、所定の期間内に通信元IPアドレスから行われた通信に要した通信量の標準偏差を示す情報である。
なお、本実施形態においては、解析情報記憶部132の各々のエントリ(レコード)を「トラヒックログ」、若しくは「通信ログ」と表記する。また、トラヒックログのうち、悪性の通信であることが既知のトラヒックログを「悪性トラヒックログ」と表記し、良性の通信であることが既知のトラヒックログを「良性トラヒックログ」と表記する。また、トラヒックログは、「通信」の一例である。
また、図4の例は、あくまで一例に過ぎない。例えば、解析情報記憶部132には、上記の解析情報とは異なる情報が解析情報として記憶されていても良い。例えば、解析情報記憶部132には、上記の平均値や標準偏差に限らず、分散値等、他の統計値であっても良い。また、例えば、解析情報記憶部132は、統計値に限らず、初観測日時、最終観測日時、通信プロトコル、通信先URL、及びデータ内に記述されたテキスト等の情報が記憶されても良い。
ここで、第1の実施形態に係るログ情報記憶部131及び解析情報記憶部132は、後述のログ情報収集部121が、悪性の通信が既知であるログ情報を収集した場合には、悪性の通信を示す情報を記憶する。例えば、解析情報記憶部132は、悪性トラヒックログを示す情報と、良性トラヒックログを示す情報とを記憶する。
図5は、第1の実施形態に係る解析情報記憶部132に記憶される情報の一例を示す図である。図5に示す例では、悪性トラヒックログが白色(ハッチング無し)のエントリで示され、良性トラヒックログが網掛けのエントリで示される。すなわち、解析情報記憶部132は、番号「1」、「3」、「5」の各トラヒックログが悪性トラヒックログであることを記憶する。また、解析情報記憶部132は、番号「2」、「4」、「6」、「7」の各トラヒックログが良性トラヒックログであることを記憶する。
なお、ここでは一例として、悪性の通信を示す情報をエントリのハッチングパターンによって示したが、実際には、解析情報記憶部132は、悪性の通信を示す情報を表すフラグ情報として記憶したり、悪性の通信を示す情報を記憶するテーブルとして記憶したりする。フラグ情報として記憶する場合には、例えば、解析情報記憶部132は、悪性トラヒックログを示すフラグ情報と、良性トラヒックログを示すフラグ情報とをそれぞれ個別に用いても良いし、1つのフラグ情報のON/OFFによって悪性トラヒックログ及び良性トラヒックログを識別可能なフラグ情報を用いても良い。
また、ここでは説明の都合上、解析情報記憶部132が悪性の通信を示す情報を記憶する場合を例示したが、ログ情報記憶部131も同様に悪性の通信を示す情報を記憶する。また、ログ情報記憶部131及び解析情報記憶部132は、ログ情報収集部121が、悪性の通信が未知であるログ情報を収集した場合には、悪性の通信を示す情報を記憶しない。
抽出条件記憶部133は、通信のログ情報から特定種類の通信を抽出するための条件が定義された抽出条件を記憶する。例えば、抽出条件記憶部133は、情報収集配信サーバ10を操作する操作者によって予め定義される。また、例えば、抽出条件記憶部133は、通信ログ抽出部123によって参照される。
図6は、第1の実施形態に係る抽出条件記憶部133に記憶される情報の一例を示す図である。図6に示すように、例えば、抽出条件記憶部133は、抽出条件として、複数の「手順」と、複数の「条件」とをそれぞれ対応づけて記憶する。「手順」は、対応する条件による抽出を実行する順序を示す。「条件」は、悪性の通信をログ情報から抽出するための情報である。後述の処理では、例えば、手順に従ってそれぞれの条件に適合するトラヒックログを抽出するので、条件は、次の手順で処理対象とする範囲が記憶されているとも言える。このように、抽出条件記憶部133は、1つの抽出条件として、複数の条件と、その条件の順序を示す手順とを対応づけて記憶する。
なお、図6の例は、あくまで一例に過ぎない。例えば、抽出条件記憶部133には、複数の抽出条件が記憶されていても良い。また、抽出条件記憶部133に記憶される抽出条件には、1つの条件のみが記憶されていても良い。また、抽出条件記憶部133に記憶される情報の具体例については、図8〜図10を用いて後述する。
このように、記憶部13は、各種の情報を記憶する。なお、記憶部13に記憶される各種の情報は、抽出の過程において、項目が随時追加されたり、数値が再計算されて更新されたりしても良い。
制御部12は、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。制御部12は、ログ情報収集部121と、ログ情報解析部122と、通信ログ抽出部123と、抽出条件決定部124と、出力制御部125とを有する。また、制御部12は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路、又は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路である。
ログ情報収集部121は、所定の期間における通信のログ情報を収集する。例えば、ログ情報収集部121は、各通信監視部27、28、37aや、囮サーバ21、囮端末22、端末型サンドボックス23、サーバ型サンドボックス24、ユーザ端末31、32、ユーザサーバ33、34から通信のログ情報を収集する。そして、ログ情報収集部121は、収集したログ情報を通信日時の順に採番し、ログ情報記憶部131に格納する。
一例としては、ログ情報収集部121は、pcap形式のデータ、サーバのsyslog情報、proxyサーバ等で収集されるHTTPヘッダのデータ、ネットワーク機器において観測されるIPアドレスやポート番号毎のフレーム・パケット数等を収集し、ログ情報記憶部131に格納する。なお、ネットワーク機器やソフトウェアの違いにより、収集されるログ情報の項目や表記方法は必ずしも一致しないものの、近年では、SIEM製品として、異なる表記方法で示されたログ情報を統一的な表記方法に変換して集計する技術が普及している。
また、ログ情報収集部121は、悪性の通信が既知であるログ情報を収集する。例えば、ログ情報収集部121は、囮サーバ21、囮端末22、端末型サンドボックス23、サーバ型サンドボックス24、ユーザ端末31、32、ユーザサーバ33、34が攻撃を検知した場合には、検知した通信のログ情報を悪性の通信のログ情報として収集する。そして、ログ情報収集部121は、収集したログ情報を通信日時の順に採番し、悪性の通信を示す情報とともにログ情報記憶部131に格納する(図5参照)。また、ログ情報収集部121は、囮サーバ21、囮端末22、端末型サンドボックス23、サーバ型サンドボックス24、ユーザ端末31、32、ユーザサーバ33、34等が攻撃として検知しなかった通信のログ情報を、良性の通信のログ情報として収集する。そして、ログ情報収集部121は、収集したログ情報を通信日時の順に採番し、良性の通信を示す情報とともにログ情報記憶部131に格納する(図5参照)。
なお、ここでは、攻撃として検知されなかった通信のログ情報を、良性の通信のログ情報として収集する場合を説明したが、実施形態はこれに限定されるものではない。例えば、ログ情報収集部121は、悪性の通信とは別に、良性の通信であるか否かを判定する処理が行われた後に、良性の通信であると判定された通信のログ情報を収集してもよい。言い換えると、ログ情報収集部121は、良性の通信が既知であるログ情報を収集してもよいし、良性の通信が既知でなくとも、悪性の通信ではない通信を良性の通信のログ情報として収集してもよい。すなわち、ログ情報収集部121は、少なくとも、悪性の通信が既知であるログ情報を収集する。
また、ここでは、ログ情報収集部121が、囮サーバ21、囮端末22、端末型サンドボックス23、サーバ型サンドボックス24、ユーザ端末31、32、ユーザサーバ33、34から自動的にログ情報を収集する場合を説明したが、実施形態はこれに限定されるものではない。例えば、ログ情報収集部121は、操作者による手動的なログ情報の登録を受け付けることで、ログ情報を収集しても良い。この場合、情報収集配信サーバ10は、囮サーバ21、囮端末22、端末型サンドボックス23、サーバ型サンドボックス24、ユーザ端末31、32、ユーザサーバ33、34と接続されていなくても良い。また、ログ情報収集部121は、悪性の通信が未知であるログ情報を収集する場合もある。
ログ情報解析部122は、ログ情報を解析する。例えば、ログ情報解析部122は、ログ情報記憶部131が登録されると、ログ情報記憶部131から所定の期間におけるログ情報を取得する。そして、ログ情報解析部122は、取得したログ情報を、通信元IPアドレスごとに解析し、解析情報を生成する。そして、ログ情報解析部122は、生成した解析情報を解析情報記憶部132に格納する。
例えば、ログ情報解析部122は、通信元IPアドレスごとに、通信先IPアドレスを集計する。そして、ログ情報解析部122は、通信先IPアドレスが1つある場合には、そのIPアドレスを解析情報記憶部132に登録する。また、ログ情報解析部122は、通信先IPアドレスが複数ある場合には、解析情報記憶部132に「*」を登録する。また、例えば、ログ情報解析部122は、通信元IPアドレスごとに通信回数を計数し、計数した値を解析情報記憶部132に登録する。また、ログ情報解析部122は、通信元IPアドレスごとに各種の統計値(通信間隔(平均)、通信間隔(標準偏差)、通信量(平均)、通信量(標準偏差)等)を算出し、算出した値を解析情報記憶部132に登録する。なお、ログ情報解析部122によって解析される解析方法は、例えば、操作者によって予め設定されている。
通信ログ抽出部123は、抽出条件記憶部133を参照し、収集されたログ情報からその条件に適合する通信を抽出する。例えば、通信ログ抽出部123は、解析情報記憶部132に解析情報が登録されると、抽出条件記憶部133を参照し、手順1の条件を取得する。そして、通信ログ抽出部123は、取得した条件に適合するトラヒックログを解析情報から抽出する。そして、通信ログ抽出部123は、抽出したトラヒックログに悪性トラヒックログが存在するか否かを判定する。
ここで、悪性トラヒックログが存在する場合には、通信ログ抽出部123は、抽出条件に未取得の条件が無くなるまで、上述した処理を繰り返し行う。そして、抽出条件に未取得の条件が無くなると、通信ログ抽出部123は、抽出に用いた抽出条件及び抽出されたトラヒックログを示す情報を含む抽出結果を抽出条件決定部124へ送る。一方、悪性トラヒックログが存在しない場合には、通信ログ抽出部123は、その旨の情報を抽出条件決定部124へ送る。なお、通信ログ抽出部123の詳細な説明は、適用例を挙げて後述する。
抽出条件決定部124は、抽出された通信に対する悪性の通信の割合が閾値以上である場合に、抽出条件を採用することを決定する。例えば、抽出条件決定部124は、通信ログ抽出部123によって抽出された抽出結果を受け付けると、抽出された全てのトラヒックログに対する悪性トラヒックログの割合が閾値以上であるか否かを判定する。ここで、抽出条件決定部124は、閾値以上である場合には、通信ログ抽出部123で抽出に用いられた抽出条件を採用することを決定する。そして、抽出条件決定部124は、決定した抽出条件を出力制御部125へ送る。なお、この閾値は、操作者によって予め設定されてもよいし、本機能によって機械的に設定されてもよい。
一方、抽出条件決定部124は、閾値以上でない場合、若しくは、悪性トラヒックログが存在しない旨の情報を通信ログ抽出部123から受け付けた場合には、抽出条件を不採用とすることを決定する。そして、抽出条件決定部124は、抽出条件を不採用とした旨の情報を出力制御部125へ送る。なお、抽出条件決定部124の詳細な説明は、適用例を挙げて後述する。
出力制御部125は、採用された結果を出力する制御を行う。例えば、出力制御部125は、決定した抽出条件を抽出条件決定部124から受け付けると、受け付けた抽出条件を操作者に通知する。また、例えば、出力制御部125は、抽出条件を不採用とした旨の情報を抽出条件決定部124から受け付けると、受け付けた不採用の旨の情報を操作者に通知する。
(情報収集配信サーバの処理)
図7は、第1の実施形態に係る情報収集配信サーバ10の処理手順を説明するためのフローチャートである。
図7に示すように、ログ情報収集部121は、悪性の通信が既知であるログ情報を収集する(ステップS101)。続いて、ログ情報解析部122は、ログ情報を解析し、解析情報を生成する(ステップS102)。例えば、ログ情報解析部122は、図5に示した解析情報を生成する。
続いて、通信ログ抽出部123は、抽出に用いる条件の順序として、n=1を設定し(ステップS103)、抽出条件から手順n=1の条件を取得する(ステップS104)。そして、通信ログ抽出部123は、取得した条件に適合するトラヒックログを解析情報のトラヒックログから抽出する(ステップS105)。そして、通信ログ抽出部123は、抽出したトラヒックログに悪性トラヒックログが存在するか否か判定する(ステップS106)。
ここで、悪性トラヒックログが存在する場合には(ステップS106肯定)、通信ログ抽出部123は、抽出条件に未取得の条件があるか否か判定する(ステップS107)。未取得の条件がある場合には(ステップS107肯定)、通信ログ抽出部123は、nを1インクリメントさせ(ステップS108)、抽出条件から手順nの条件を取得する(ステップS109)。そして、通信ログ抽出部123は、手順n−1までに適合したトラヒックログのうち、手順nの条件に適合するトラヒックログを抽出する(ステップS110)。そして、通信ログ抽出部123は、ステップS106の処理に戻る。
一方、ステップS107において、未取得の条件がない場合には(ステップS107否定)、通信ログ抽出部123は、抽出結果を抽出条件決定部124へ送る。この抽出結果には、少なくとも、抽出に用いた抽出条件と、それまでの処理で抽出された全てのトラヒックログを示す情報が含まれる。そして、抽出条件決定部124は、抽出結果を受け付けると、抽出されたトラヒックログに対する悪性トラヒックログの割合が閾値以上であるか否かを判定する(ステップS111)。ここで、閾値以上である場合には(ステップS111肯定)、抽出条件決定部124は、通信ログ抽出部123で抽出に用いられた抽出条件を採用することを決定する(ステップS112)。そして、抽出条件決定部124は、決定した抽出条件を出力制御部125へ送る。
一方、閾値以上でない場合には(ステップS111否定)、抽出条件決定部124は、抽出条件を不採用とすることを決定する(ステップS113)。そして、抽出条件決定部124は、抽出条件を不採用とした旨の情報を出力制御部125へ送る。
また、ステップS106において、悪性トラヒックログが存在しない場合には(ステップS106否定)、通信ログ抽出部123は、悪性トラヒックログが存在しない旨の情報を抽出条件決定部124へ送る。そして、抽出条件決定部124は、抽出条件を不採用とすることを決定する(ステップS113)。そして、抽出条件決定部124は、抽出条件を不採用とした旨の情報を出力制御部125へ送る。
そして、出力制御部125は、決定された結果を出力する(ステップS114)。例えば、出力制御部125は、採用された抽出条件を抽出条件決定部124から受け付けると、受け付けた抽出条件を操作者に通知する。また、例えば、出力制御部125は、抽出条件を不採用とした旨の情報を抽出条件決定部124から受け付けると、受け付けた不採用の旨の情報を操作者に通知する。
(適用例)
図8〜図10は、第1の実施形態に係る情報収集配信サーバ10の適用例を説明するための図である。ここでは、情報収集配信サーバ10が、図5に示した解析情報を用いて、図8〜図10に示した各抽出条件a〜cを採用するか否かを決定する場合の処理を説明する。なお、ここでは、抽出条件決定部124は、抽出された全てのトラヒックログに対する悪性トラヒックログの割合が95%以上である場合に、抽出に用いた抽出条件を採用することを決定する場合を説明する。
図8を用いて、抽出条件aを採用するか否かを決定する場合の処理を説明する。この場合、通信ログ抽出部123は、抽出条件記憶部133の抽出条件aから手順1の条件「通信回数が300回以上」を取得する。そして、通信ログ抽出部123は、図5のトラヒックログから、条件「通信回数が300回以上」に適合するトラヒックログを抽出する。ここで、条件「通信回数が300回以上」に適合するトラヒックログは、番号「3」、「4」のトラヒックログである。このため、通信ログ抽出部123は、番号「3」、「4」のトラヒックログを抽出する。
続いて、通信ログ抽出部123は、抽出したトラヒックログに悪性トラヒックログが存在するか否かを判定する。ここで、抽出されたトラヒックログのうち、番号「3」は、悪性トラヒックログである。このため、通信ログ抽出部123は、抽出条件に未取得の条件があるか否かを判定する。ここで、図8の抽出条件aには、手順1以外の条件は存在しないので、通信ログ抽出部123は、抽出に用いた抽出条件aと、抽出された番号「3」、「4」のトラヒックログを抽出条件決定部124に送る。
そして、抽出条件決定部124は、抽出された全てのトラヒックログに対する悪性トラヒックログの割合が95%以上であるか否かを判定する。ここで、抽出されたトラヒックログのうち、番号「3」は悪性トラヒックログであり、番号「4」は良性トラヒックログである(図5参照)。つまり、この場合、抽出された全てのトラヒックログに対する悪性トラヒックログの割合は50%であるので、抽出条件決定部124は、抽出条件aを不採用と決定する。このように、図8の抽出条件aは、不採用と決定される。
図9を用いて、抽出条件bを採用するか否かを決定する場合の処理を説明する。この場合、通信ログ抽出部123は、抽出条件記憶部133の抽出条件bから手順1の条件「1つの通信元IPアドレスからの通信先IPアドレスが2以上」を取得する。そして、通信ログ抽出部123は、図5のトラヒックログから、取得した条件に適合するトラヒックログを抽出する。ここで、条件「1つの通信元IPアドレスからの通信先IPアドレスが2以上」に適合するトラヒックログは、番号「1」、「3」、「6」、「7」のトラヒックログである。このため、通信ログ抽出部123は、番号「1」、「3」、「6」、「7」のトラヒックログを抽出する。
続いて、通信ログ抽出部123は、抽出したトラヒックログに悪性トラヒックログが存在するか否かを判定する。ここで、抽出されたトラヒックログのうち、番号「1」、「3」は、悪性トラヒックログである。このため、通信ログ抽出部123は、抽出条件に未取得の条件があるか否かを判定する。ここで、図8の抽出条件bには、手順2の条件が存在するので、通信ログ抽出部123は、手順2の条件「通信回数が300回以上」を取得する。そして、通信ログ抽出部123は、手順n−1までに適合したトラヒックログのうち、条件「通信回数が300回以上」に適合するトラヒックログを抽出する。ここで、手順1の条件で抽出した番号「1」、「3」、「6」、「7」のトラヒックログのうち、手順2の条件「通信回数が300回以上」に適合するトラヒックログは、番号「3」のトラヒックログである。このため、通信ログ抽出部123は、番号「3」のトラヒックログを抽出する。
ここで、抽出条件bには、これ以上条件は存在しないので、通信ログ抽出部123は、抽出に用いた抽出条件bと、抽出された番号「3」のトラヒックログを抽出条件決定部124に送る。
抽出条件決定部124は、抽出された全てのトラヒックログに対する悪性トラヒックログの割合が95%以上であるか否かを判定する。ここで、抽出されたトラヒックログのうち、番号「3」は悪性トラヒックログである(図5参照)。つまり、この場合、抽出された全てのトラヒックログに対する悪性トラヒックログの割合は100%であるので、抽出条件決定部124は、抽出条件bを採用すると決定する。このように、図9の抽出条件bは、採用と決定される。なお、抽出条件bによれば、例えば、Ddos攻撃を検出することができる。
図10を用いて、抽出条件cを採用するか否かを決定する場合の処理を説明する。この場合、通信ログ抽出部123は、抽出条件記憶部133の抽出条件cから手順1の条件「通信間隔(標準偏差)が5以下」を取得する。そして、通信ログ抽出部123は、図5のトラヒックログから、取得した条件に適合するトラヒックログを抽出する。ここで、条件「通信間隔(標準偏差)が5以下」に適合するトラヒックログは、番号「1」、「5」のトラヒックログである。このため、通信ログ抽出部123は、番号「1」、「5」のトラヒックログを抽出する。
続いて、通信ログ抽出部123は、抽出したトラヒックログに悪性トラヒックログが存在するか否かを判定する。ここで、抽出されたトラヒックログのうち、番号「1」、「5」は、悪性トラヒックログである。このため、通信ログ抽出部123は、抽出条件に未取得の条件があるか否かを判定する。ここで、図8の抽出条件cには、手順2の条件が存在するので、通信ログ抽出部123は、手順2の条件「1つの通信元IPアドレスからの通信先IPアドレスが2以上」を取得する。そして、通信ログ抽出部123は、手順n−1までに適合した番号「1」、「5」のトラヒックログのうち、条件「1つの通信元IPアドレスからの通信先IPアドレスが2以上」に適合する番号「1」のトラヒックログを抽出する。
ここで、抽出条件cには、これ以上条件は存在しないので、通信ログ抽出部123は、抽出に用いた抽出条件cと、抽出された番号「1」のトラヒックログを抽出条件決定部124に送る。
抽出条件決定部124は、抽出された全てのトラヒックログに対する悪性トラヒックログの割合が95%以上であるか否かを判定する。ここで、抽出されたトラヒックログのうち、番号「1」は悪性トラヒックログである(図5参照)。つまり、この場合、抽出された全てのトラヒックログに対する悪性トラヒックログの割合は100%であるので、抽出条件決定部124は、抽出条件cを採用すると決定する。このように、図10の抽出条件cは、採用と決定される。なお、抽出条件cによれば、一定間隔で複数の通信先にアクセスするトラヒックログを特定できるので、マルウェアが通信時に到達可能なサーバを探索する挙動を発見することができる。
(第1の実施形態の効果)
上述してきたように、情報収集配信サーバ10において、抽出条件記憶部133は、通信のログ情報から悪性の通信を抽出するための条件が定義された抽出条件を記憶する。また、ログ情報収集部121は、悪性の通信が既知であるログ情報を収集する。また、通信ログ抽出部123は、抽出条件記憶部133を参照し、収集されたログ情報からその条件に適合する通信を抽出する。また、抽出条件決定部124は、抽出された通信に対する悪性の通信の割合が閾値以上である場合に、抽出条件を採用することを決定する。また、出力制御部125は、決定された結果を出力する制御を行う。このため、第1の実施形態に係る情報収集配信サーバ10は、誤検知を抑制することができる。
例えば、情報収集配信サーバ10は、悪性の通信を抽出する条件が適宜された抽出条件を用いて、悪性の通信が既知のログ情報から抽出する。そして、情報収集配信サーバ10は、抽出された通信に対する悪性の通信の割合が閾値(例えば、95%等)を超える場合に、用いた抽出条件を採用することを決定する。このため、情報収集配信サーバ10は、良性の通信が混在し難い抽出条件を採用することができるので、良性の通信が悪性と誤検知されるのを抑制しつつ、悪性の通信の検出を行うことができる。
(第1の実施形態の変形例)
上述した処理によって採用された抽出条件を用いることで、情報収集配信サーバ10は、悪性の通信が未知であるログ情報から悪性の通信を検出することができる。
図11は、第1の実施形態の変形例に係る情報収集配信サーバ10の処理手順を説明するためのフローチャートである。なお、図11では、通信ログ抽出部123は、抽出条件決定部124によって採用された抽出条件も用いて悪性トラヒックログを抽出する。
図11に示すように、ログ情報収集部121は、悪性の通信が未知であるログ情報を収集する(ステップS201)。続いて、ログ情報解析部122は、ログ情報を解析し、解析情報を生成する(ステップS202)。
続いて、通信ログ抽出部123は、n=1を設定し(ステップS203)、抽出条件から手順n=1の条件を取得する(ステップS204)。そして、通信ログ抽出部123は、取得した条件に適合するトラヒックログを解析情報のトラヒックログから抽出する(ステップS205)。
そして、通信ログ抽出部123は、抽出条件に未取得の条件があるか否か判定する(ステップS206)。未取得の条件がある場合には(ステップS206肯定)、通信ログ抽出部123は、nを1インクリメントさせ(ステップS207)、抽出条件から手順nの条件を取得する(ステップS208)。そして、通信ログ抽出部123は、手順n−1までに適合したトラヒックログのうち、手順nの条件に適合するトラヒックログを抽出する(ステップS209)。そして、通信ログ抽出部123は、ステップS206の処理に戻る。
一方、ステップS206において、未取得の条件がない場合には(ステップS206否定)、通信ログ抽出部123は、抽出結果を出力制御部125へ送る。そして、出力制御部125は、抽出結果を出力する(ステップS210)。
このように、情報収集配信サーバ10は、抽出条件決定部124によって採用された抽出条件を用いて、悪性の通信が未知であるログ情報から悪性の通信を検出することができる。このため、情報収集配信サーバ10は、検出した悪性の通信の特徴を示す特徴情報をログ情報から抽出し、これを囮サーバ21、囮端末22、端末型サンドボックス23、サーバ型サンドボックス24、ユーザ端末31、32、ユーザサーバ33、34等の各通信監視装置に配信することができる。この場合、通信監視装置は、配信された特徴情報と一致する通信をネットワークにおける通信から検知することが可能となる。
また、例えば、情報収集配信サーバ10は、ネットワーク2で収集されたログ情報を使って抽出条件を決定し、その抽出条件で抽出された特徴情報を、ネットワーク2の通信を監視する通信監視装置(囮サーバ21、囮端末22、端末型サンドボックス23、サーバ型サンドボックス24)に適用することができる。これによれば、情報収集配信サーバ10は、ネットワーク2のログ情報に基づく特徴情報を、ネットワーク2の監視に適用できるので、より正確な攻撃検知が期待される。なお、これに限らず、情報収集配信サーバ10は、ネットワーク2のログ情報に基づく特徴情報を、他のネットワークの監視に適用しても良い。
(その他の実施形態)
さて、これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、種々の異なる形態にて実施されてよいものである。
(良性の通信を用いた処理)
例えば、上記の実施形態では、抽出された通信に対する悪性の通信の割合が閾値以上である場合に、抽出に用いた抽出条件を採用する場合を説明したが、実施形態はこれに限定されるものではない。例えば、実施形態は、抽出された通信に対する良性の通信の割合が閾値以上である場合に、抽出に用いた抽出条件を採用しない場合であっても良い。すなわち、抽出条件決定部124は、抽出された通信に対する特定種類の通信の割合が閾値以上であるか否かに応じて、抽出に用いた抽出条件を採用するか否かを決定する。
(システム構成)
また、本実施形態において説明した各処理の内、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上述文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。
(プログラム)
上記実施形態で説明した情報収集配信サーバ10は、あらかじめ用意されたプログラムをコンピュータで実行することで実現することもできる。そこで、以下では、図2に示した情報収集配信サーバ10と同様の機能を実現する抽出条件決定プログラムを実行するコンピュータの一例を説明する。
図12は、抽出条件決定プログラムを実行するコンピュータ1000を示す図である。図12に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図12に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図12に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図12に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。
ここで、図12に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のデータ処理プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各手順を実行する。
なお、抽出条件決定プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、データ処理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
これらの実施例やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
10 情報収集配信サーバ
12 制御部
13 記憶部
121 ログ情報収集部
123 通信ログ抽出部
124 抽出条件決定部
125 出力制御部
133 抽出条件記憶部

Claims (8)

  1. 抽出条件決定装置で実行される抽出条件決定方法であって、
    所定の期間における悪性の通信と良性の通信とが混在する通信のログ情報であって、悪性の通信が既知であるログ情報を収集する収集工程と、
    前記ログ情報における通信元ごとに解析し、該通信元ごとの所定の項目の統計値を含む解析情報を生成する解析工程と、
    前記ログ情報から悪性の通信を抽出するための条件が定義された抽出条件を記憶する記憶部を参照し、前記解析情報から当該条件に適合する通信を抽出する抽出工程と、
    抽出された全ての通信に対する前記悪性の通信の割合が閾値以上であるか否かを判定し、前記全ての通信に対する前記悪性の通信の割合が閾値以上である場合に、当該抽出条件を採用することを決定する決定工程と、
    採用された抽出条件を出力する制御を行う出力制御工程と
    を含んだことを特徴とする抽出条件決定方法。
  2. 前記記憶部は、前記条件が複数定義された抽出条件を記憶し、
    前記抽出工程は、前記複数の条件に適合する通信を前記ログ情報から抽出することを特徴とする請求項1に記載の抽出条件決定方法。
  3. 前記記憶部は、前記複数の条件が所定の順序で定義された抽出条件を記憶し、
    前記抽出工程は、前記複数の条件に所定の順序で適合する通信を前記ログ情報から抽出することを特徴とする請求項2に記載の抽出条件決定方法。
  4. 前記収集工程は、前記ログ情報として、前記悪性の通信が未知である未知ログ情報を収集し、
    前記抽出工程は、前記未知ログ情報から前記条件に適合する通信を抽出し、
    前記出力制御工程は、前記未知ログ情報から抽出された通信の特徴を示す特徴情報を、ネットワークにおける通信を監視する通信監視装置に出力することで、前記通信監視装置に前記特徴情報と一致する通信を検知させることを特徴とする請求項1〜3のいずれか一つに記載の抽出条件決定方法。
  5. 通信監視装置と、抽出条件決定装置とを備えた通信監視システムであって、
    前記通信監視装置は、ネットワークにおける通信を監視し、
    前記抽出条件決定装置は、
    通信のログ情報から特定種類の通信を抽出するための条件が定義された抽出条件を記憶する記憶部と、
    所定の期間における通信のログ情報であって、特定種類の通信が既知であるログ情報を前記通信監視装置から収集する収集部と、
    前記記憶部を参照し、収集されたログ情報から前記条件に適合する通信を抽出する抽出部と、
    抽出された通信に対する前記特定種類の通信の割合が閾値以上である場合に、当該抽出条件を採用することを決定する決定部と、
    採用された抽出条件を出力する制御を行う出力制御部と
    を備えたことを特徴とする通信監視システム。
  6. 前記収集部は、前記ログ情報として、前記特定種類の通信が未知である未知ログ情報を収集し、
    前記抽出部は、前記未知ログ情報から前記条件に適合する通信を抽出し、
    前記出力制御部は、前記未知ログ情報から抽出された通信の特徴を示す特徴情報を前記通信監視装置に出力し、
    前記通信監視装置は、出力された特徴情報と一致する通信を前記ネットワークにおける通信から検知することを特徴とする請求項5に記載の通信監視システム。
  7. 通信のログ情報から特定種類の通信を抽出するための条件が定義された抽出条件を記憶する記憶部と、
    所定の期間における悪性の通信と良性の通信とが混在する通信のログ情報であって、悪性の通信が既知であるログ情報を収集する収集部と、
    前記ログ情報における通信元ごとに解析し、該通信元ごとの所定の項目の統計値を含む解析情報を生成する解析部と、
    前記記憶部を参照し、前記解析情報から前記条件に適合する通信を抽出する抽出部と、
    抽出された全ての通信に対する前記悪性の通信の割合が閾値以上であるか否かを判定し、前記全ての通信に対する前記悪性の通信の割合が閾値以上である場合に、当該抽出条件を採用することを決定する決定部と、
    採用された抽出条件を出力する制御を行う出力制御部と
    を備えたことを特徴とする抽出条件決定装置。
  8. 所定の期間における悪性の通信と良性の通信とが混在する通信のログ情報であって、悪性の通信が既知であるログ情報を収集する収集ステップと、
    前記ログ情報における通信元ごとに解析し、該通信元ごとの所定の項目の統計値を含む解析情報を生成する解析ステップと、
    前記ログ情報から特定種類の通信を抽出するための条件が定義された抽出条件を記憶する記憶部を参照し、前記解析情報から当該条件に適合する通信を抽出する抽出ステップと、
    抽出された全ての通信に対する前記悪性の通信の割合が閾値以上であるか否かを判定し、前記全ての通信に対する前記悪性の通信の割合が閾値以上である場合に、当該抽出条件を採用することを決定する決定ステップと、
    採用された抽出条件を出力する制御を行う出力制御ステップと
    をコンピュータに実行させるための抽出条件決定プログラム。
JP2016508722A 2014-03-19 2015-03-16 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム Active JP6159018B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014056664 2014-03-19
JP2014056664 2014-03-19
PCT/JP2015/057757 WO2015141640A1 (ja) 2014-03-19 2015-03-16 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム

Publications (2)

Publication Number Publication Date
JPWO2015141640A1 JPWO2015141640A1 (ja) 2017-04-13
JP6159018B2 true JP6159018B2 (ja) 2017-07-05

Family

ID=54144607

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016508722A Active JP6159018B2 (ja) 2014-03-19 2015-03-16 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム

Country Status (3)

Country Link
US (1) US10257213B2 (ja)
JP (1) JP6159018B2 (ja)
WO (1) WO2015141640A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10257213B2 (en) * 2014-03-19 2019-04-09 Nippon Telegraph And Telephone Corporation Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
JP5926413B1 (ja) * 2015-02-16 2016-05-25 株式会社ラック 情報処理装置、情報処理方法及びプログラム
JP2017097625A (ja) * 2015-11-24 2017-06-01 富士通株式会社 判定プログラム、判定方法、および判定装置
GB201603118D0 (en) * 2016-02-23 2016-04-06 Eitc Holdings Ltd Reactive and pre-emptive security system based on choice theory
JP5992643B2 (ja) * 2016-04-21 2016-09-14 株式会社ラック 情報処理装置、情報処理方法及びプログラム
JP6088700B2 (ja) * 2016-08-17 2017-03-01 株式会社ラック 情報処理装置、情報処理方法及びプログラム
JP6145588B2 (ja) * 2017-02-03 2017-06-14 株式会社ラック 情報処理装置、情報処理方法及びプログラム
JP6749873B2 (ja) * 2017-09-01 2020-09-02 日本電信電話株式会社 検知装置、検知方法、および、検知プログラム
JP6787861B2 (ja) * 2017-09-20 2020-11-18 日本電信電話株式会社 分類装置
US11470113B1 (en) * 2018-02-15 2022-10-11 Comodo Security Solutions, Inc. Method to eliminate data theft through a phishing website
JP6769664B1 (ja) * 2019-07-03 2020-10-14 Necプラットフォームズ株式会社 電話交換装置、電話交換システム、制御方法及びプログラム
JP2022050219A (ja) * 2020-09-17 2022-03-30 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4020912B2 (ja) 2002-05-28 2007-12-12 富士通株式会社 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法
JP2005316779A (ja) * 2004-04-28 2005-11-10 Intelligent Cosmos Research Institute 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム
US7558796B1 (en) * 2005-05-19 2009-07-07 Symantec Corporation Determining origins of queries for a database intrusion detection system
JP2007094850A (ja) * 2005-09-29 2007-04-12 Fuji Xerox Co Ltd コミュニケーション分析装置および方法
JP5451545B2 (ja) * 2010-07-05 2014-03-26 エヌ・ティ・ティ・コミュニケーションズ株式会社 ノイズ除去条件決定装置、ノイズ除去条件決定方法、及びプログラム
JP5331774B2 (ja) * 2010-10-22 2013-10-30 株式会社日立パワーソリューションズ 設備状態監視方法およびその装置並びに設備状態監視用プログラム
US8776207B2 (en) * 2011-02-16 2014-07-08 Fortinet, Inc. Load balancing in a network with session information
PL2702524T3 (pl) * 2011-04-27 2018-02-28 Seven Networks Llc Wykrywanie i filtrowanie złośliwego oprogramowania, oparte na obserwacji ruchu wykonywanego w rozproszonym układzie zarządzania ruchem w sieciach mobilnych
WO2013015995A1 (en) * 2011-07-27 2013-01-31 Seven Networks, Inc. Automatic generation and distribution of policy information regarding malicious mobile traffic in a wireless network
US9749338B2 (en) * 2011-12-19 2017-08-29 Verizon Patent And Licensing Inc. System security monitoring
US9043905B1 (en) * 2012-01-23 2015-05-26 Hrl Laboratories, Llc System and method for insider threat detection
WO2014111863A1 (en) * 2013-01-16 2014-07-24 Light Cyber Ltd. Automated forensics of computer systems using behavioral intelligence
WO2014117298A1 (en) * 2013-01-31 2014-08-07 Hewlett-Packard Development Company, L.P. Event log system
JP2016517597A (ja) * 2013-03-15 2016-06-16 パワー フィンガープリンティング インコーポレイテッド コンピュータベースのシステムに電力指紋付けシステムを使用して保全性評価を強化するシステム、方法、及び装置
CN103399766B (zh) * 2013-07-29 2016-05-11 百度在线网络技术(北京)有限公司 更新输入法系统的方法和设备
US9607146B2 (en) * 2013-09-18 2017-03-28 Qualcomm Incorporated Data flow based behavioral analysis on mobile devices
US10257213B2 (en) * 2014-03-19 2019-04-09 Nippon Telegraph And Telephone Corporation Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
JP5640167B1 (ja) * 2014-03-31 2014-12-10 株式会社ラック ログ分析システム
JP6295857B2 (ja) * 2014-06-27 2018-03-20 富士通株式会社 抽出方法、装置、及びプログラム
US9680938B1 (en) * 2014-10-06 2017-06-13 Exabeam, Inc. System, method, and computer program product for tracking user activity during a logon session

Also Published As

Publication number Publication date
US20160366171A1 (en) 2016-12-15
US10257213B2 (en) 2019-04-09
WO2015141640A1 (ja) 2015-09-24
JPWO2015141640A1 (ja) 2017-04-13

Similar Documents

Publication Publication Date Title
JP6159018B2 (ja) 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム
JP6053091B2 (ja) トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
US11075885B2 (en) Methods and systems for API deception environment and API traffic control and security
US9860278B2 (en) Log analyzing device, information processing method, and program
US9544273B2 (en) Network traffic processing system
JP5655191B2 (ja) 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
TW201703465A (zh) 網路異常偵測技術
US20200304521A1 (en) Bot Characteristic Detection Method and Apparatus
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
JP5832951B2 (ja) 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム
US20060272019A1 (en) Intelligent database selection for intrusion detection & prevention systems
US10348751B2 (en) Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs
WO2020027250A1 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
JP5986340B2 (ja) Url選定方法、url選定システム、url選定装置及びurl選定プログラム
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
Prieto et al. Botnet detection based on DNS records and active probing
JP5385867B2 (ja) データ転送装置及びアクセス解析方法
Kheir et al. Peerviewer: Behavioral tracking and classification of P2P malware
JP2013255196A (ja) ネットワーク監視装置及びネットワーク監視方法
Shekhawat Analysis of Encrypted Malicious Traffic
Graham A botnet needle in a virtual haystack.
Prasad et al. Symptoms Based Detection and Removal of Bot Processes
WO2005119450A2 (en) Intelligent database selection for intrusion detection & prevention systems

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170606

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170608

R150 Certificate of patent or registration of utility model

Ref document number: 6159018

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150