JP6200101B2 - 分析装置、分析システム、分析方法、および、分析プログラム - Google Patents

分析装置、分析システム、分析方法、および、分析プログラム Download PDF

Info

Publication number
JP6200101B2
JP6200101B2 JP2016556526A JP2016556526A JP6200101B2 JP 6200101 B2 JP6200101 B2 JP 6200101B2 JP 2016556526 A JP2016556526 A JP 2016556526A JP 2016556526 A JP2016556526 A JP 2016556526A JP 6200101 B2 JP6200101 B2 JP 6200101B2
Authority
JP
Japan
Prior art keywords
access
authentication information
logs
source
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016556526A
Other languages
English (en)
Other versions
JPWO2016068007A1 (ja
Inventor
慎吾 折原
慎吾 折原
浩志 朝倉
浩志 朝倉
揚 鐘
揚 鐘
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2016068007A1 publication Critical patent/JPWO2016068007A1/ja
Application granted granted Critical
Publication of JP6200101B2 publication Critical patent/JP6200101B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Description

本発明は、分析装置、分析システム、分析方法、および、分析プログラムに関する。
従来、不正ログイン攻撃は、ID/PWD(ID/パスワード)の総当たりの組で行うものや、特定の単語辞書を用意して総当たりで行うもの等、ブルートフォース攻撃と呼ばれる総当たり法で行われるものが主流であった。ブルートフォース攻撃は、時間あたりの認証要求回数が極端に高くなったり、認証失敗の形跡が多数残ったりするという特徴があり、従来技術ではこのような特徴の有無により、不正ログイン攻撃を検知していた。
リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)、[online]、[平成26年10月7日検索]、インターネット<URL:http://www.soumu.go.jp/main_content/000265403.pdf> 標的型攻撃、不正ログイン……巧妙化する脅威から身を守る術は、[online]、[平成26年10月7日検索]、インターネット<URL:http://www.atmarkit.co.jp/ait/articles/1406/27/news012.html> 徳丸浩、体系的に学ぶ 安全なWebアプリケーションの作り方、P318、ソフトバンククリエイティブ、2011年3月 ユーザー・アカウントのロックアウトを解除する、[online]、[平成26年10月7日検索]、インターネット<URL:http://www.atmarkit.co.jp/ait/articles/0311/29/news005.html> 不正ログインを食い止めろ!OpenAMで認証強化、[online]、[平成26年10月7日検索]、インターネット<URL:http://www.atmarkit.co.jp/ait/articles/1310/17/news003.html>
しかし、近年では他社サービスから情報漏洩等によって流出したID/PWDリストを元に、同じID/PWDを他サービスでも使い回していることを期待し攻撃を行うリスト型攻撃が流行している。このようなリスト型攻撃は、認証に成功する確率が高いため、従来のような時間あたりの認証回数や認証失敗の回数をカウントする方法で不正ログイン攻撃を検知しようとしても、見逃してしまうおそれがある。そこで本発明は、前記した問題を解決し、攻撃を精度よく検知することを課題とする。
前記した課題を解決するため、本発明は、ユーザの認証結果および認証情報を含むアクセスログを分析する分析装置であって、前記アクセスログのうち、同じアクセス元のアクセスログをまとめる抽出部と、前記アクセスログのうち、同じアクセス元の複数のアクセスログにおける認証情報の類似度を算出し、前記算出した類似度が所定値以上であるとき、前記アクセスログの認証情報が人間の入力によるものであると推定する算出部と、前記複数のアクセスログのいずれかの認証結果が認証失敗であり、かつ、前記算出部において、前記複数のアクセスログのいずれかの認証情報が人間の入力によるものではないと推定されたとき、前記アクセスログにおけるアクセス元が攻撃元となっている可能性があると判定する判定部とを備えることを特徴とする。
本発明によれば、攻撃を精度よく検知することができる。
図1は、システムの構成例を示す図である。 図2は、図1の系列抽出部の処理の具体例を説明するための図である。 図3は、図1の算出部による類似度算出の具体例を説明するための図である。 図4は、図1の算出部による類似度算出の具体例を説明するための図である。 図5は、図1のリスク判定部によるレベル判定の具体例を説明するための図である。 図6は、図1の分析装置の処理手順を示すフローチャートである。 図7は、図1の匿名IP蓄積部を説明するための図である。 図8は、分析プログラムを実行するコンピュータを示す図である。
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。なお、本発明は本実施形態に限定されない。
まず、図1を用いて本実施形態のシステムの構成例を説明する。システムは、認証装置1と、分析装置10とを備える。認証装置1は、1以上のユーザの端末装置(図示省略)からのアクセスを受け付け、認証処理を行う。そして、その認証結果をアクセスログとして記録する。分析装置10は、認証装置1からアクセスログを受信し、分析する。
なお、このアクセスログは、アクセス元(送信元)の端末装置のIPアドレス、認証に用いた認証情報(例えば、ID、パスワード等)、認証結果、アクセスした日時等の情報を含む。なお、認証結果は、認証に成功したか否かや、認証に失敗した場合、その理由の情報等を含む。認証の失敗の理由は、例えば、認証に用いるID等が登録されたものと異なるアカウント不正や、IDに対応づけられたパスワードが登録されたものと異なるパスワード不正等である。
(分析装置)
分析装置10は、受信部11と、系列抽出部12と、算出部13と、リスク判定部(判定部)14とを備える。破線で示す匿名IP蓄積部15は装備する場合と装備しない場合があり、装備する場合については後記する。
受信部11は、認証装置1から各ユーザのアクセスログを受信する。例えば、受信部11は認証装置1から時系列で各ユーザのアクセスログを受信する。
系列抽出部12は、受信部11で受信したアクセスログをアクセス元(ユーザ)ごとにまとめる。つまり、系列抽出部12はアクセス元ごとのアクセスログの系列を抽出する。例えば、系列抽出部12は、受信部11で受信したアクセスログ群のうち、アクセス元のIPアドレスまたはIPアドレスレンジが同じアクセスログ群(例えば、図1のユーザ識別子Aのアクセスログ群とユーザ識別子Bのアクセスログ群)をまとめる。なお、系列抽出部12は、アクセス元のIPアドレスまたはIPアドレスレンジが同じ場合、同じユーザとみなし、同じユーザ識別子を付与する。
なお、系列抽出部12は、アクセス元のIPアドレスまたはIPアドレスレンジが同じアクセスログであっても、その時間間隔が所定値t以上であったとき、別ユーザのアクセスログとしてまとめるようにしてもよい。例えば、系列抽出部12は、図2に示すように、1〜12のアクセスログのうち、アクセス元のIPアドレスまたはIPアドレスレンジが同じアクセスログについて、その時間間隔がt未満であるものは同じユーザのアクセスログとしてまとめるが、その時間間隔がt以上であるものは別ユーザ(新たなユーザ)のアクセスログとしてまとめる。例えば、図2において「2」、「6」、「12」のアクセスログはそれぞれアクセス元が同じであるが、「2」と「6」のアクセスログの時間間隔t1がt未満であり、「6」と「12」のアクセスログの時間間隔t2がt以上である場合、「2」と「6」のアクセスログは同じユーザ(例えば、ユーザ識別子B)のアクセスログとしてまとめるが、「12」のアクセスログは別ユーザ(例えば、ユーザ識別子D)のアクセスログとする。このようにすることで、系列抽出部12は、時間経過によりアクセス元のIPアドレスまたはIPアドレスレンジのユーザが変わった場合でも、これに応じて別ユーザのアクセスログとしてまとめることができる。
算出部13は、系列抽出部12によりまとめられた同じユーザのアクセスログにおいて2つのアクセスログの認証情報(例えば、ID、パスワード等)の類似度を算出する。そして、算出部13は、算出した類似度が所定値以上であるとき、この2つのアクセスログのうち、いずれか一方のアクセスログにおける認証情報が人間の入力によるものであると推定する。一方、算出部13は、算出した類似度が所定値未満であるとき、この2つのアクセスログのうち、いずれか一方のアクセスログにおける認証情報が人間の入力によるものではない、つまり、機械の入力によるもの(例えば、リスト型攻撃等によるもの)と推定する。なお、算出部13は、同じユーザの3つ以上のアクセスログの認証情報の類似度を算出してももちろんよい。
例えば、算出部13は、系列抽出部12から、ユーザ識別子と、そのユーザ識別子の一連のアクセスログのうち、時系列で連続する2つのアクセスログ(直近の2つのアクセスログ)に含まれるIDとを受け取る。そして、算出部13は、このユーザ識別子Bの直近の2つのアクセスログに含まれるID(ID1とID2)を比較し、類似度を算出する。そして、算出した類似度が所定値以上であるとき、算出部13は、この認証情報の入力は人間によるものと推定し、その推定結果をリスク判定部14へ出力する。一方、算出した類似度が所定値未満であるとき、算出部13は、この認証情報の入力は機械によるものと推定し、その推定結果をリスク判定部14へ出力する。この算出部13による類似度算出の具体例は後記する。
リスク判定部14は、各ユーザのアクセスログの認証結果と、算出部13による各ユーザのアクセスログの認証情報の推定結果とに基づき、各ユーザが攻撃元となっている可能性の高さ(レベル)を判定する。例えば、リスク判定部14は、系列抽出部12によりまとめられたあるユーザのアクセスログについて連続する2つのアクセスログのいずれかの一方のアクセスログの認証結果が認証失敗であり、かつ、算出部13において、この2つのアクセスログのいずれか一方のアクセスログの認証情報の入力が人間によるものではない(つまり機械の入力によるもの)と推定されたとき、これらのアクセスログにおけるアクセス元のユーザが攻撃元となっている可能性が高いと判定する。
具体例を挙げると、リスク判定部14は、同じユーザの連続する2つのアクセスログのいずれか一方のアクセスログの認証結果がアカウント不正による認証失敗であり、かつ、算出部13においてこの2つのアクセスログのいずれか一方のアクセスログの認証情報が機械の入力によるものと推定されたとき、これらアクセスログにおけるアクセス元のユーザが攻撃元となって発生している攻撃リスクの高さ(レベル)を上げる。一方、リスク判定部14は、2つのアクセスログのいずれか一方のアクセスログの認証結果がアカウント不正による認証失敗であっても、算出部13において、この2つのアクセスログのいずれかの一方のアクセスログの認証情報が人間の入力によるものと推定されたとき、これらアクセスログにおけるアクセス元のユーザが攻撃元となって発生している攻撃リスクの高さ(レベル)を下げる。なお、リスク判定部14は2回連続してレベルの上昇があった(例えば、レベルが「1」から「3」以上に達した)アクセス元のユーザのユーザ識別子を攻撃元となっている可能性が高いユーザのユーザ識別子として出力してもよい。これにより、システムの管理者等は、攻撃元となっている可能性の高いユーザのユーザ識別子を知ることができる。
(算出部による類似度の算出の具体例)
ここで、算出部13による類似度算出の具体例を、図3および図4を用いて説明する。
算出部13は、例えば、比較対象となる2つの認証情報(例えば、ID)間で各認証情報を構成する文字、数字、記号の入力装置上での配置が近い、または、入力操作が類似しているものほど類似度を高く算出する。一例を挙げると、算出部13は、比較対象となる2つの認証情報間で各認証情報を構成する文字、数字、記号のキーボード配列上の距離(キーボード距離)が近いものほど類似度を高く算出する。例えば、図3の符号301に示す「yamaea.taro」と「yamada.taro」はキーボード距離が比較的近いので類似度を高く算出する。なお、シフトキーの押し間違えによる大文字、小文字の違い、数字、記号の違いについてもキーボード距離が近いとみなし、例えば、符号302に示す「yamada.taro5」と「yamada.taro%」についても類似度を高く算出する。
また、算出部13は、例えば、比較対象となる2つの認証情報(例えば、ID)間で各認証情報を構成する文字、数字、記号の編集距離が近いものほど類似度を高く算出してもよい。この場合、例えば、符号303に示す「yamata.daro」と「yamada.taro」は編集距離が比較的近いので類似度を高く算出する。
また、算出部13は、例えば、比較対象となる2つの認証情報(例えば、ID)のうち一方の認証情報がアットマーク(@)を含まず、区分記号(例えば、下線(_)、ドット(.)、ハイフン(-)等英数字以外)を1つ含む場合において、他方の認証情報がこの認証情報の区分記号の前後を入れ替えた文字列等であるときも類似度を高く算出してもよい。この場合、例えば、符号304に示す「yamada.taro」と「taro.yamada」は、後者の認証情報が、前者の認証情報のドット(.)で区切られた文字列を入れ替えたものであるので類似度を高く算出する。
また、算出部13は、例えば、比較対象となる2つの認証情報(例えば、ID)がそれぞれ最後に数字を含む場合において、一方の認証情報の数字を省略した形で区分記号の前後を入れ替えてみて、入れ替え後に数字を追加したものが他方の認証情報と同じであれば類似度を高く算出してもよい。例えば、符号305に示す「taro.yamada123」と「yamada.taro123」は、前者の認証情報の数字を省略した形で区分記号の前後を入れ替え、数字を追加したものが後者の認証情報と同じになるので類似度を高く算出する。また、算出部13は、例えば、比較対象となる2つの認証情報(例えば、ID)のいずれか一方が最後に数字を含む場合において、認証情報から数字を削除したものが他方の認証情報と同じであれば類似度を高く算出してもよい。例えば、「yamada」と「yamada123」は、後者の認証情報から数字を削除したものが前者の認証情報と同じになるので、算出部13は類似度を高く算出する。
また、算出部13は、例えば、比較対象となる2つの認証情報(例えば、ID)のうち、一方の認証情報がアットマーク(@)を含まず、他方の認証情報がアットマークを含む場合において、これらの認証情報間でアットマークまでの部分文字列が一致するとき、類似度を高く算出してもよい。この場合、例えば、図4の符号401に示す「yamada.taro@example.co.jp」と「yamada.taro」は前者のアットマークまでの部分文字列が一致するので類似度を高く算出する。
また、算出部13は、例えば、比較対象となる2つの認証情報(例えば、ID)のうち、一方の認証情報が2文字以下の連続する英数字以外の記号を含む場合において、他方の認証情報が記号を取り除くと一致するとき、類似度を高く算出してもよい。この場合、例えば、図4の符号402に示す「yamada-taro」と「yamadataro」は、前者の記号(ハイフン(-))を取り除くと後者と一致するので類似度を高く算出する。
また、算出部13は、例えば、比較対象となる2つの認証情報(例えば、ID)のうち、一方の認証情報が英数字以外の記号を1つ含む場合において、記号の前または後の部分文字列を一部省略したものが他方の認証情報と一致するとき、類似度を高く算出してもよい。この場合、例えば、図4の符号403に示す「yamada-taro」と「yamada-t」や、符号404に示す「yamada.taro」と「yama.taro」は記号の前または後の部分文字列を一部省略したものが他方の認証情報と一致するので類似度を高く算出する。さらに、このように一方の認証情報が英数字以外の記号を1つ含む場合において、この記号の前または後の部分文字列を一部省略したものを、記号の前後で入れ替えたものが他方の認証情報と一致するときも、類似度を高く算出してもよい。
このように算出部13は、比較対象となる2つの認証情報が異なっていたとしても、この2つの認証情報の違いが人間の入力ミスでよくあるパターンのとき、これらの認証情報の類似度を高く算出する。なお、図3、図4に例示した、算出部13が比較対象となる認証情報について類似度を高く判定するパターン(つまり、人間の入力ミスによくあるパターン)については、例えば、分析装置10の記憶部(図示省略)の所定領域に記憶しておき、分析装置10の管理者等が適宜変更できるようにしてよい。
(リスク判定部によるレベル判定の具体例)
ここで、リスク判定部14によるレベル判定の具体例を、図5を用いて説明する。ここではリスク判定部14は、図5に示す状態遷移図に基づき、アクセスログにリスト型攻撃に似たビヘイビア(機械により入力された認証情報を用いたログイン等)が観測されるとレベルを上げ、リスト型攻撃に似ていないビヘイビア(人間により入力された認証情報を用いたログイン等)が観測されるとレベルを下げる。具体的には、例えば、リスク判定部14は、アクセス元のIPアドレス=Aの一連のアクセスログ群における認証の成否、認証失敗の原因(理由)、入力した認証情報の推定結果(人間による入力か、機械による入力か)に基づき、アクセス元のIPアドレス=Aのユーザが攻撃元となって発生している攻撃リスクの高さ(脅威レベル)を5段階のレベルで判定する。これにより、攻撃の誤検知を防止したり、リスト型攻撃が成功してしまった可能性があることを判定したりすることができる。
なお、上記の5段階のレベルのうち、レベル1は「通常のIPアドレス」であり、レベル2は「要注意」であり、レベル3は「リスト型攻撃の可能性高」であり、レベル4は「リスト型攻撃が継続中」であり、レベル5は「リスト型攻撃が成功した可能性が極めて高い」を示すものとする。
図5の上段の図は、リスク判定部14によるレベル判定の例を示す状態遷移図である。この状態遷移図におけるノードはレベル(レベル1〜レベル5)を示し、ノード間を接続する矢印(エッジ)は各状態へ遷移するためのイベントを示す。イベントは、例えば、符号601に示すようにログインの成否と、認証情報の入力が機械によるものか人間によるものかの判定結果(入力判定)との組み合わせにより記述される。ログインの成否は、ログイン成功(LOGIN)、パスワード不正によるログイン失敗(FAIL)、アカウント不正によるログイン失敗(UNKNOWN)、ログインの成否を問わない(*)のいずれかである。また、認証情報の入力が機械によるものか人間によるものかの判定結果は、認証情報の入力が機械によるものか人間によるものかを問わない(入力判定なし)(*)、機械(MACHINE)、人間(HUMAN)のいずれかである。例えば、LOGIN−*は、認証情報の入力が機械によるものか人間によるものかを問わず、ログインに成功したことを示す。また、FAIL−MACHINEは、パスワード不正によりログインに失敗し、認証情報の入力が機械によるものであることを示す。さらに、*−MACHINEは、ログインの成否を問わず、認証情報の入力が機械によるものであることを示す。
次に図5の状態遷移図を説明する。まず、リスク判定部14はアクセス元のIPアドレス=Aの最初のアクセスログを参照し、イベントがFAIL−*またはLOGIN−*のときは、レベル1のままと判定するが、イベントがUNKNOWN−*のときは、レベル2と判定する。
次に、リスク判定部14は、レベル2と判定した、アクセス元のIPアドレス=Aの次のアクセスログを参照し、イベントがUNKNOWN−HUMANまたはFAIL−HUMANのときはレベル2のままと判定するが、LOGIN−*のときは、レベル1へ戻すと判定する。一方、イベントがUNKNOWN−MACHINEまたはFAIL−MACHINEのときは、レベル3と判定する。
次に、リスク判定部14は、レベル3と判定した、アクセス元のIPアドレス=Aの次のアクセスログを参照し、イベントがUNKNOWN−MACHINEまたはFAIL−MACHINEのときはレベル4と判定し、LOGIN−MACHINEのときはレベル5と判定する。一方、イベントが*−HUMANのときは、レベル2へ戻すと判定する。
次に、リスク判定部14は、レベル4と判定した、アクセス元のIPアドレス=Aの次のアクセスログを参照し、イベントがUNKNOWN−MACHINEまたはFAIL−MACHINEのときはレベル4のままと判定し、LOGIN−MACHINEのときはレベル5と判定する。一方、イベントが*−HUMANのときは、レベル2へ戻すと判定する。
次に、リスク判定部14は、レベル5と判定した、アクセス元のIPアドレス=Aの次のアクセスログを参照し、イベントがLOGIN−*のときはレベル5のままと判定し、UNKNOWN−*またはFAIL−*のときは、レベル4へ戻すと判定する。
このようにリスク判定部14は、例えば、認証情報がMACHINE(機械)により入力されたものと推定されるアクセスログを発見するたびに、そのアクセスログのアクセス元のIPアドレスが攻撃元となって発生している攻撃リスクの高さ(レベル)を上げ、認証情報がHUMAN(人間)により入力されたものと推定されるアクセスログを発見するたびに、アクセス元のIPアドレスが攻撃元となって発生している攻撃リスクの高さ(レベル)を下げる。つまり、リスク判定部14は、一連のアクセスログに、リスト型攻撃によくみられる特徴を発見するたびに、当該アクセスログのアクセス元の攻撃リスクの高さ(レベル)を上げ、リスト型攻撃によくみられる特徴を発見しなければ、当該アクセス元の攻撃リスクの高さ(レベル)を下げる。
そして、リスク判定部14は、例えば、上記のレベル判定の結果、レベル3以上になったIPアドレス(ユーザ識別子)について、攻撃元となっている可能性の高いユーザのユーザ識別子として出力する。なお、この後、分析装置10は、当該IPアドレスの端末に対しアラートを出したり、当該IPアドレスをブロック対象として認証装置1等に通知したりしてもよい。また、図5に示した状態遷移図の各ノードへの状態遷移中、所定時間以上イベントが発生しなかった場合、リスク判定部14は、レベルをレベル1にリセットしてもよい。
(処理手順)
次に、図6を用いて分析装置10の処理手順を説明する。
まず、受信部11は、認証装置1からアクセスログを受信し(S1)、系列抽出部12は、受信部11で受信したアクセスログをユーザごとに分類する(S2)。例えば、系列抽出部12は、受信部11で受信したアクセスログ群のうち、アクセス元のIPアドレスやIPアドレスレンジが同じアクセスログ同士をまとめる。
次に、算出部13は、S2でユーザごとに分類されたアクセスログについて、ユーザごとに直近の2つのアクセスログの認証情報の類似度を算出する(S3)。例えば、算出部13は図3、図4に示した方法により、ユーザごとに時系列で連続する2つのアクセスログに含まれる認証情報の類似度を算出する。
ここで算出部13が算出した類似度が所定値以上であれば(S4でYes)、そのアクセスログに含まれる認証情報は人間による入力であると推定し(S5)、類似度が所定値未満であれば(S4でNo)、そのアクセスログに含まれる認証情報は機械による入力であると推定する(S6)。そして、算出部13はその推定結果をリスク判定部14へ出力する。
その後、リスク判定部14は、系列抽出部12で分類された各ユーザのアクセスログにおける認証結果と、算出部13による当該ユーザのアクセスログの認証情報の推定結果とに基づき、各ユーザが攻撃元となっている可能性の高さ(レベル)を判定する(S7)。例えば、リスク判定部14は、図5に示した方法により各ユーザが攻撃元となって発生している攻撃リスクの高さ(レベル)を判定する。
そして、リスク判定部14は、S7で判定したレベルが所定値以上のユーザのユーザ識別子を出力する(S8)。例えば、リスク判定部14は、図5に示した方法により判定したレベルが「3」以上のユーザのユーザ識別情報を出力する。また、S8の後、S2でユーザごとに分類したアクセスログのうち、まだ類似度を算出していないアクセスログがあれば(S9:ログ終了でNo)、S3へ戻る。一方、S2でユーザごとに分類したアクセスログのすべてについて類似度を算出済みであれば(S9:ログ終了でYes)、処理を終了する。分析装置10は、以上の処理を、S2で分類した各ユーザのアクセスログについて実行する。なお、分析装置10は、各ユーザのアクセスログを順番に処理してもよいし、各ユーザのアクセスログを並列に処理してもよい。この場合、分析装置10は、算出部13およびリスク判定部14を並列度に応じて複数備えているものとする。
このようにすることで、分析装置10は、リスト型攻撃が行われている場合でも、これを検知することができる。具体的には、分析装置10は、各ユーザがリスト型攻撃の攻撃元となっている可能性の高さ(レベル)や、リスト型攻撃の攻撃元となっている可能性の高いユーザのユーザ識別子を出力することができる。さらに、分析装置10は、攻撃の検知に、認証の成否、認証失敗時の理由、認証情報の入力の推定結果を用いるので、攻撃者が通常のログインにみせかけるためログインの試行回数をゆっくりにした場合であっても、攻撃を検知しやすくなる。
(その他の実施形態)
なお、分析装置10は、図1に示す匿名IP蓄積部15をさらに備えていてもよい。この匿名IP蓄積部15は、複数のユーザ間で利用されている可能性が高いIPアドレスを蓄積する。そして、受信部11は、認証装置1から受信したアクセスログのうち、匿名IP蓄積部15に蓄積されたIPアドレスと同じIPアドレスまたはIPアドレスレンジのアクセスログを除去して、系列抽出部12へ出力する。受信部11がこのような処理を行うことで、系列抽出部12はアクセスログにおけるアクセス元のIPアドレスやIPアドレスレンジに基づき、同じユーザからのアクセスログ群をまとめることができる。
この匿名IP蓄積部15に蓄積されるIPアドレス(匿名IPアドレス)は、例えば、Tor(The onion router)、Proxyサーバ、携帯キャリア、公衆アクセスポイント等に用いられるIPアドレスである。
この匿名IP蓄積部15に蓄積される匿名IPアドレスは、例えば、図7に示すように、取得部(図1において図示省略)が、Torリスト、公開Proxyリストや、携帯キャリアIPアドレスレンジ、その他手動入力等により入手し、蓄積する。また、取得部は、これらのIPアドレスを入手するとき、IPアドレスの取得元ごとに決められた入手方法、時間間隔で入手してもよい。
例えば、取得部は、図7の符号501に示す匿名IPアドレス入手情報を参照し、Torリストの提供サイトから30分ごとにIPアドレス(IPアドレスのリスト)を入手し、匿名IP蓄積部15に蓄積する。また、取得部は、図7の符号501に示す匿名IPアドレス入手情報を参照し、携帯キャリアIPアドレスレンジから随時手動入力でIPアドレス(IPアドレスのリスト)を入手し、匿名IP蓄積部15に蓄積する。
(プログラム)
また、上記実施形態に係る分析装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成し、実行することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、分析装置10と同様の機能を実現する分析プログラムを実行するコンピュータの一例を説明する。
図8は、分析プログラムを実行するコンピュータを示す図である。図8に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図8に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した分析装置10は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
また、分析プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明した分析装置10が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
また、分析プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、分析プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、制御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 認証装置
10 分析装置
11 受信部
12 系列抽出部
13 算出部
14 リスク判定部
15 匿名IP蓄積部

Claims (9)

  1. ユーザの認証結果および認証情報を含むアクセスログを分析する分析装置であって、
    前記アクセスログのうち、同じアクセス元のアクセスログをまとめる抽出部と、
    前記アクセスログのうち、同じアクセス元の複数のアクセスログにおける認証情報の類似度を算出し、前記算出した類似度が所定値以上であるとき、前記アクセスログの認証情報が人間の入力によるものであると推定する算出部と、
    前記複数のアクセスログのいずれかの認証結果が認証失敗であり、かつ、前記算出部において、前記複数のアクセスログのいずれかの認証情報が人間の入力によるものではないと推定されたとき、前記アクセスログにおけるアクセス元が攻撃元となっている可能性があると判定する判定部と
    を備えることを特徴とする分析装置。
  2. 前記算出部は、同じアクセス元の時系列に連続した複数のアクセスログにおける認証情報の類似度を算出することを特徴とする請求項1に記載の分析装置。
  3. 前記抽出部は、前記同じアクセス元のアクセスログのうち、時間間隔が所定時間未満のアクセスログについては同じアクセス元のアクセスログとしてまとめ、時間間隔が所定時間以上のアクセスログについては新たなアクセス元のアクセスログとしてまとめることを特徴とする請求項1に記載の分析装置。
  4. 前記抽出部は、前記アクセスログのうち、複数のユーザにより利用される可能性が高いIPアドレスを送信元とするアクセスログ以外のアクセスログに対し、前記アクセスログをまとめる処理を行うことを特徴とする請求項1に記載の分析装置。
  5. 前記算出部は、前記類似度の算出の対象となる認証情報間で、異なる文字、数字または記号の入力装置上での配置位置が近い、または、入力操作が類似しているものほど、前記類似度を高く算出することを特徴とする請求項1に記載の分析装置。
  6. 前記判定部は、同じアクセス元のアクセスログについて、連続して2回以上、前記複数のアクセスログのいずれかの認証結果が認証失敗であり、かつ、前記算出部において、前記複数のアクセスログのいずれかの認証情報が人間の入力によるものではないと推定されたとき、前記アクセス元が攻撃元となっている可能性があると判定することを特徴とする請求項1に記載の分析装置。
  7. ユーザの認証結果および認証情報を含むアクセスログを生成する認証装置と、前記アクセスログを分析する分析装置とを備える分析システムであって、
    前記分析装置は、
    前記アクセスログのうち、同じアクセス元のアクセスログをまとめる抽出部と、
    前記アクセスログのうち、同じアクセス元の複数のアクセスログにおける認証情報の類似度を算出し、前記算出した類似度が所定値以上であるとき、前記アクセスログの認証情報が人間の入力によるものであると推定する算出部と、
    前記複数のアクセスログのいずれかの認証結果が認証失敗であり、かつ、前記算出部において、前記複数のアクセスログのいずれかの認証情報が人間の入力によるものではないと推定されたとき、前記アクセスログにおけるアクセス元が攻撃元となっている可能性があると判定する判定部と
    を備えることを特徴とする分析システム。
  8. ユーザの認証情報を含むアクセスログを分析する分析装置が実行する分析方法であって、
    前記アクセスログのうち、同じアクセス元のアクセスログをまとめるステップと、
    前記アクセスログのうち、同じアクセス元の複数のアクセスログにおける認証情報の類似度を算出し、前記算出した類似度が所定値以上であるとき、前記アクセスログの認証情報が人間の入力によるものであると推定するステップと、
    前記複数のアクセスログのいずれかの認証結果が認証失敗であり、かつ、前記複数のアクセスログのいずれかの認証情報が人間の入力によるものではないと推定されたとき、前記アクセスログにおけるアクセス元が攻撃元となっている可能性があると判定するステップと
    を含んだことを特徴とする分析方法。
  9. ユーザの認証結果および認証情報を含むアクセスログのうち、同じアクセス元のアクセスログをまとめる抽出部と、
    前記アクセスログのうち、同じアクセス元の複数のアクセスログにおける認証情報の類似度を算出し、前記算出した類似度が所定値以上であるとき、前記アクセスログの認証情報が人間の入力によるものであると推定する算出部と、
    前記複数のアクセスログのいずれかの認証結果が認証失敗であり、かつ、前記算出部において、前記複数のアクセスログのいずれかの認証情報が人間の入力によるものではないと推定されたとき、前記アクセスログにおけるアクセス元が攻撃元となっている可能性があると判定する判定部と
    を備える分析装置としてコンピュータを機能させるための分析プログラム。
JP2016556526A 2014-10-28 2015-10-22 分析装置、分析システム、分析方法、および、分析プログラム Active JP6200101B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014219276 2014-10-28
JP2014219276 2014-10-28
PCT/JP2015/079796 WO2016068007A1 (ja) 2014-10-28 2015-10-22 分析装置、分析システム、分析方法、および、分析プログラム

Publications (2)

Publication Number Publication Date
JPWO2016068007A1 JPWO2016068007A1 (ja) 2017-04-27
JP6200101B2 true JP6200101B2 (ja) 2017-09-20

Family

ID=55857346

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016556526A Active JP6200101B2 (ja) 2014-10-28 2015-10-22 分析装置、分析システム、分析方法、および、分析プログラム

Country Status (3)

Country Link
US (1) US10262122B2 (ja)
JP (1) JP6200101B2 (ja)
WO (1) WO2016068007A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6564137B2 (ja) * 2016-06-01 2019-08-21 日本電信電話株式会社 検知装置、検知方法、検知システム、および検知プログラム
US11102207B2 (en) * 2017-11-21 2021-08-24 T-Mobile Usa, Inc. Adaptive greylist processing
US11606372B2 (en) 2017-12-19 2023-03-14 T-Mobile Usa, Inc. Mitigating against malicious login attempts
US11843633B2 (en) * 2018-07-25 2023-12-12 Nippon Telegraph And Telephone Corporation Analysis device, analysis method, and analysis program
JP7231024B2 (ja) * 2019-06-06 2023-03-01 富士通株式会社 情報処理プログラム、情報処理方法、および情報処理装置
CN112069424A (zh) * 2019-06-10 2020-12-11 北京国双科技有限公司 访问行为数据分析方法及装置
US20220247750A1 (en) * 2021-01-29 2022-08-04 Paypal, Inc. Evaluating access requests using assigned common actor identifiers

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09212458A (ja) * 1996-01-30 1997-08-15 Toshiba Corp パスワード認証方法
US7032026B1 (en) * 2001-08-31 2006-04-18 Oracle International Corp. Method and apparatus to facilitate individual and global lockouts to network applications
US8132018B2 (en) * 2005-06-30 2012-03-06 Intel Corporation Techniques for password attack mitigation
US8613097B2 (en) * 2006-08-31 2013-12-17 Red Hat, Inc. Methods and systems for detecting an access attack
JP5098487B2 (ja) * 2007-07-26 2012-12-12 富士ゼロックス株式会社 認証情報処理装置及びプログラム
US8312540B1 (en) * 2008-06-13 2012-11-13 Juniper Networks, Inc. System for slowing password attacks
JP5365120B2 (ja) * 2008-09-25 2013-12-11 富士通株式会社 情報処理装置、情報処理方法、およびプログラム
JP6201614B2 (ja) * 2013-10-11 2017-09-27 富士通株式会社 ログ分析装置、方法およびプログラム

Also Published As

Publication number Publication date
WO2016068007A1 (ja) 2016-05-06
JPWO2016068007A1 (ja) 2017-04-27
US20170308688A1 (en) 2017-10-26
US10262122B2 (en) 2019-04-16

Similar Documents

Publication Publication Date Title
JP6200101B2 (ja) 分析装置、分析システム、分析方法、および、分析プログラム
US10178107B2 (en) Detection of malicious domains using recurring patterns in domain names
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
US9813451B2 (en) Apparatus and method for detecting cyber attacks from communication sources
US9479524B1 (en) Determining string similarity using syntactic edit distance
CN107408181B (zh) 恶意软件感染终端的检测装置、恶意软件感染终端的检测系统、恶意软件感染终端的检测方法以及记录介质
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
US8549314B2 (en) Password generation methods and systems
JP6697123B2 (ja) プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム
KR102271449B1 (ko) 인공지능 모델 플랫폼 및 인공지능 모델 플랫폼 운영 방법
TW201931187A (zh) 統一資源定位符(url)攻擊檢測方法、裝置及電子設備
Kyaw et al. Dictionary attack on Wordpress: Security and forensic analysis
CN113656807B (zh) 一种漏洞管理方法、装置、设备及存储介质
CN107547490B (zh) 一种扫描器识别方法、装置及系统
JP6039826B2 (ja) 不正アクセスの検知方法および検知システム
WO2016080232A1 (ja) 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム
JPWO2018066221A1 (ja) 分類装置、分類方法及び分類プログラム
US10348751B2 (en) Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs
US10972500B2 (en) Detection system, detection apparatus, detection method, and detection program
Mohammadmoradi et al. Making whitelisting-based defense work against badusb
Aswani et al. Topic modeling of SSH logs using latent dirichlet allocation for the application in cyber security
CN115906055A (zh) 基于密码库比对带有自动校准功能的密码测评方法和系统
JP6935849B2 (ja) 学習方法、学習装置及び学習プログラム
Lee et al. DGA-based malware detection using DNS traffic analysis

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161207

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170822

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170824

R150 Certificate of patent or registration of utility model

Ref document number: 6200101

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150