JP6201614B2 - ログ分析装置、方法およびプログラム - Google Patents

ログ分析装置、方法およびプログラム Download PDF

Info

Publication number
JP6201614B2
JP6201614B2 JP2013214198A JP2013214198A JP6201614B2 JP 6201614 B2 JP6201614 B2 JP 6201614B2 JP 2013214198 A JP2013214198 A JP 2013214198A JP 2013214198 A JP2013214198 A JP 2013214198A JP 6201614 B2 JP6201614 B2 JP 6201614B2
Authority
JP
Japan
Prior art keywords
attack
communication device
log
attacked
brute force
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013214198A
Other languages
English (en)
Other versions
JP2015076863A (ja
Inventor
聡美 本多
聡美 本多
由紀 藤嶌
由紀 藤嶌
武仲 正彦
正彦 武仲
悟 鳥居
悟 鳥居
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2013214198A priority Critical patent/JP6201614B2/ja
Priority to EP14183903.5A priority patent/EP2860937B1/en
Priority to US14/482,120 priority patent/US9407649B2/en
Publication of JP2015076863A publication Critical patent/JP2015076863A/ja
Application granted granted Critical
Publication of JP6201614B2 publication Critical patent/JP6201614B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、ログ分析装置、方法およびプログラムに関するものである。
近年、ネットワーク上でのサイバー攻撃が活発化している。例として、攻撃者がホストプロバイダの「admin」などの監視者ユーザ名に対するブルートフォース攻撃を実施し、パスワードを搾取するものがある。そして、サイバー攻撃の活発化に伴って、被害も深刻化している。このようなサイバー攻撃では、攻撃を受けた通信装置を管理するプロバイダは、攻撃元のIPアドレスを特定し、そのアドレスからの通信を遮断する防御策を取ることで対応する。
サイバー攻撃の監視のための侵入検知システム(Intrusion Detection System、IDS)と呼ばれるセキュリティ装置が知られている。一般にIDSでは、ネットワーク上を流れるパケットがサーバー攻撃などの特異事象のパターンであるか否かを判定し、特異事象のパターンである場合は、ログに記録する。パケットがサーバー攻撃などの特異事象のパターンであるか否かを判定する際には、予め登録してある特異事象のパターンと合致するかに基いて判定したり、過去のパターンとの比較に基いて判定したりする。
また、侵入検知システムのようなセキュリティ装置を含むセキュリティ対策システムであって、セキュリティ装置が収集したログのパターン分析を行うなど、セキュリティ装置の運用を支援するマネージドセキュリティサービス(Managed Security System、MMS)が知られている。
さらに、侵入検知システムから出力されるログを分析するために、ログ分析装置が知られている。
ログ分析装置の一例では、まず、過去のある期間に記録されたイベントの到着間隔または継続時間を示す時間値に関する分布を生成し、生成した分布の平均値および標準偏差に基いて理論統計分布を生成する。次に、分析対象の所定期間に記録されたイベントの時間値に関する分布と、理論統計分布との相関を表す相関係数を算出し、相関係数の値が所定値以下の場合に分析対象のイベントが特異であると判断する。
また、別のログ分析装置では、まず、ネットワークに設置されている侵入検知システム(IDS)やファイアーウォール(FW)等のセキュリティ装置が検出したイベント情報を度数化した統計情報と、その統計情報を周波数分解して得られる周波数成分情報とを得て、その周波数成分に基いてインシデントの発生傾向を判断する。このような構成を採用することによって、ネットワーク上で発生した1つあるいは複数の攻撃を記録したセキュリティ装置のログに対し、効率的に特徴づけを行い、その中の特異な変化を検出することで、複雑なインシデントを検出することができる。ここで、インシデントとは、コンピュータセキュリティに関連したイベントのことを指す。
さらに別のログ分析装置では、まず、ログ中から分析に用いるパラメータを抽出し、そのパラメータに属するイベントの数に基づいてネットワークの異常度に関する異常値を算出する。次に、その異常値に関する所定の条件が満たされた場合に所定の事象が発生する条件付確率を算出することで未来のイベント数の推移を客観的に予測する、たとえば、所定の事象が発生する条件付確率を算出する。パラメータとしては、侵入検知システム、ルータ、ファイアーウォールなどのネットワーク機器から出力されるログに記録されている、Attack Signature、Source/Destintion PortおよびSource/Destintion IDなどが挙げられる。異常値としては、比率分析における比率や、確率分析における上側稀率、下側稀率が挙げられる。
このようなログ分析装置では、特に、攻撃の回数たとえば、毎分100回などと多く、同じ攻撃パターン、たとえば攻撃元も攻撃先も毎回変わらないような攻撃が繰り返し発生しているような場合には、攻撃を検知することができる。ここで攻撃元、攻撃先はそれぞれ、攻撃元IPアドレス、攻撃先IPアドレスで指定され得る。
特開2005−236862号公報 特開2006−319633号公報 特開2005−196675号公報
近年、ブルートフォース攻撃の攻撃者は、複数の攻撃先に対して、断続的に攻撃元を変えて攻撃をしたり、攻撃開始から終了まで単一の攻撃元から行うログイン試行などの攻撃の回数を少なくしたりと、侵入検知システム(Intrusion Detection System、IDS)などのセキュリティ装置からの検出を回避するための手段を採用している。そのため、このような攻撃の攻撃元を特定するには長い期間にわたりセキュリティ装置のログを分析しないといけないという問題がある。
よって、一つの側面として、本発明は、ログに基づいて、複数の通信装置の中から、効率よく攻撃対象となる通信装置を抽出することを目的とする。
攻撃元通信装置から攻撃を受ける複数の被攻撃先通信装置をネットワーク機器から収集したログに基いて分類するログ分析装置が提供される。ログ分析装置は、攻撃をネットワーク機器が検知した検知時刻および検知時間を含む攻撃を受けた期間と、当該期間内における攻撃を受けた回数との間の関係についての、複数の被攻撃先通信装置の間での相関の高さを示す相関係数をログに基いて計算する相関係数計算部と、相関係数が所定の閾値以上であり、かつ、当該期間において攻撃元通信装置が同一である被攻撃先通信装置の組み合わせを高相関通信装置群として抽出する抽出部と、を含むことを特徴とする。
ログに基づいて、複数の通信装置の中から、効率よく攻撃対象となる通信装置を抽出することができる。
ブルートフォース攻撃の例の概略を説明する図である。 ブルートフォース攻撃の一例を受けた通信装置のログの例を示す図である。 図2に示されているログの一部を拡大した図である。 ブルートフォース攻撃の別の例を受けた通信装置のログの例を示す図である。 ログ分析装置を含むシステムの概略を説明する図である。 ログ分析装置の出力の例を示す図である。 侵入検知システムとログ分析装置の機能ブロック図の例を示す図である。 ログ分析装置のインターフェース部の出力画面の例を示す図である。 侵入検知システムのIDSログデータベースに格納されるデータの例を示す図である。 ログ分析装置の分析設定データベースに格納されるデータの例を示す図である。 侵入検知システムの要対策通信装置IPアドレスデータベースに格納されるデータの例を示す図である。 ログ分析装置が侵入検知システムのIDSログデータベースから受け取るログデータの例を示す図である。 ブルートフォース攻撃分析部で作成されるポート番号ごとの攻撃元(Hacker)、攻撃回数、検知時刻(time)、被攻撃先(被攻撃先通信装置(Victim))についてのデータの示す回数データ列の例を示す図である。 ブルートフォース攻撃分析部で相関の高い通信装置を抽出する様子の例を示す図である。 ブルートフォース攻撃分析部で相関の高い通信装置を抽出する様子の例を示す図である。 最大クリーク法の概略を説明するための図である。 最大クリーク法を用いるブルートフォース攻撃分析部の機能ブロック図の例を示す図である。 図17に示されているブルートフォース攻撃分析部のペア生成部の出力の例を示す図である。 図17に示されているブルートフォース攻撃分析部のクリーク探索部の出力の例を示す図である。 図17に示されているブルートフォース攻撃分析部の出力部の出力の例を示す図である。 コンピュータの構成の例を示す図である。 ログ分析処理の流れを示す図である。
以下、図面を参照して、まず、概略について説明し、その後、実施形態のログ分析装置、方法およびプログラムについて説明する。
<概略>
ブルートフォース攻撃とは、考えられる全ての鍵をリストアップすることで暗号文の復号を試みる攻撃である。攻撃を効率的に実施するために、辞書に収集されている単語を候補として探す辞書攻撃や、システムに初期設定される値を使うといった手段も存在する。さらに、ブルートフォース攻撃には、あるシステムから漏洩したと考えられる大量の識別子(ID)、パスワードを別のシステムへのログインに使用する攻撃も含まれ得る。
以下では、次のような用語を用いる。
「攻撃元」とは、ブルートフォース攻撃を仕掛ける通信の発信元の通信装置を指し、発信元のIPアドレスを意味することもある。
ここで、「IPアドレス」とは、通信の送受信を行う通信装置を識別するための番号である。
「被攻撃先」とは、ブルートフォース攻撃を受ける通信装置を指し、攻撃を受ける通信装置のIPアドレスを意味することもある。
「Victim」とは、被攻撃先のことである。
「検知時刻」とは、侵入検知システム(IDS)、侵入防止システム(IPS)等がブルートフォース攻撃を検知した時刻である。
「ログイン試行回数」とは、ある検知時刻を含むある連続的期間において、攻撃元から被攻撃先へログイン試行のブルートフォース攻撃が検知された回数であり得る。たとえば、ある時刻から5分間にわたり、ある被攻撃先がある攻撃元から攻撃を受けた場合、その5分間の攻撃の総数でも良い。また、このログイン試行回数は、単位時間当たりのブルートフォース攻撃が検知された回数であっても良い。たとえば、1分間あたりのログイン試行の回数であっても良い。たとえば、ある時刻から5分間にわたり、ある被攻撃先がある攻撃元から攻撃を受けた場合、1分あたりの攻撃の回数の平均あっても良い。また、5分間を1分の攻撃が5回行われたとしても良い。この場合、ログイン試行回数は、1分ごとの平均であってもよい。
また、「ログイン試行回数」を単に攻撃の回数と呼ぶこともある。
「ポート番号」とは、攻撃が検知された被攻撃先の通信装置のポート番号である。
侵入検知システム(IDS)は、ブルートフォース攻撃を検知したり、特定のIPアドレスを有する通信装置に向けてのアクセスを重点的に監視したりといった対策のために用いられる。一般に、IDSは、攻撃元IPアドレスを特定する機能を有する。IDSで攻撃元IPアドレスが特定されれば、ユーザはそのアドレスからの通信を遮断するなどして防御を行う。
侵入防止システム(IPS)は異常を通知するだけでなく、ファイアーウォールと連動して通信を遮断するなどのネットワーク防御を自動で行う機能を持つ。
図1はブルートフォース攻撃の例の概略を説明する図である。
図1に示されているブルートフォース攻撃では、検知時刻によって毎回異なる攻撃元から特定の複数の被攻撃先群へ向けて攻撃が行われる。
図1では、たとえば、時刻tでは、攻撃元Hから被攻撃先V、V、…、Vm−1へブルートフォース攻撃を行い、時刻tでは、攻撃元Hから被攻撃先V、V、…、Vへブルートフォース攻撃を行う。時刻tでは、攻撃元Hから被攻撃先V、…、Vへブルートフォース攻撃を行い、時刻tでは、攻撃元Hから被攻撃先V、V、…、Vm−1へブルートフォース攻撃を行う。時刻tn−1では、攻撃元Hn−1から被攻撃先V、…、Vへブルートフォース攻撃を行い、時刻tでは、攻撃元Hから被攻撃先V、V、…、Vへブルートフォース攻撃を行う。
図2は、ブルートフォース攻撃の一例を受けた通信装置のログの例を示す図であり、図3は図2に示されているログの一部を拡大した図である。
図2のウィンドウKとして示されている部分に、図1のようなブルートフォース攻撃を見ることができる。
たとえば、図3に示されているように、時刻Tで通信装置(Victim)の番号が、18、21−22、29、30、36、38−40の通信装置は、Hacker A(攻撃元)から毎分15回のログイン試行を1分間にわたり行うというブルートフォース攻撃(A列)を受けている。また、時刻Tで通信装置(Victim)の番号が、18、21、22、28−30、36、38、40の通信装置はHacker B(攻撃元)から毎分20回のログイン試行を1分間にわたり行うというブルートフォース攻撃(B列)を受けている。また、時刻Tから5分間にわたり通信装置(Victim)の番号が、18、21−22、28−30、36、38−40の通信装置は、Hacker C(攻撃元)から毎分18回のログイン試行を行うというブルートフォース攻撃(C列)を受けている。
このように、図2、3に示されているログは、攻撃を受ける期間によって異なる攻撃元から特定の被攻撃先群へ向けて繰り返しブルートフォース攻撃が行われていることを示している。攻撃を受けた通信装置のログを検証すると、このようなブルートフォース攻撃は、攻撃元、被攻撃先、ログイン試行回数、攻撃検知時刻について、次のような特徴を有している。
攻撃元については、攻撃元は攻撃のたびに異なる。「攻撃元が攻撃のたびに異なる」という意味は、攻撃を受ける側から見ると、複数の被攻撃先に対して断続的に攻撃元を変えて攻撃が行われる、という意味であり得る。
被攻撃先については、特定の被攻撃先群が複数の攻撃元から比較的長期間継続して攻撃を受ける。被攻撃先群の中には、被攻撃先群中の他の通信装置が攻撃を受けたものの、攻撃を受けないものも存在する。途中から攻撃を受けるようになり新たに被攻撃先群に加わる被攻撃先や、逆に途中から攻撃を受けなくなった被攻撃先や、また一定の期間のみ攻撃を受ける被攻撃先も存在し得る。
ログイン試行回数は、比較的少ない。たとえば、分析対象とするログ全体のログイン試行回数の平均が72回程度のときに、平均18回程度という場合もある。
攻撃検知時刻は、ある一つの攻撃元から被攻撃先群に対してほぼ同時刻において攻撃が検知される。しかし、被攻撃先によっては、時間的に連続して攻撃が検知されるものもあれば、そうでない被攻撃先も存在する。
このように、図1−3に示されているログのウィンドウKに含まれるブルートフォース攻撃は次のような特徴を有する。
(C1)複数の被攻撃先が、ほぼ同時刻に、同じログイン試行回数の攻撃を受ける、
(C2)攻撃元は攻撃のたびに異なる、
(C3)侵入検知システム(IDS)や侵入防止システム(IPS)からの検知を回避するために、少ないログイン試行回数でブルートフォース攻撃を行う。
上記の特徴は、図2に示されているようなブルートフォース攻撃が有する特徴とは異なっている。
図4は、ブルートフォース攻撃の別の例を受けた通信装置のログの例を示す図である。
図4には、攻撃元Aから特定の被攻撃先がブルートフォース攻撃を受け(A系列)、別の攻撃元Bから別の被攻撃先がブルートフォース攻撃を受ける(B系列)様子が示されている。図4に示されているようなブルートフォース攻撃では、攻撃元が特定されれば、その攻撃元からの通信を遮断することで、攻撃を防御することができる。しかしながら、図1−3に示されているようなブルートフォース攻撃に対策を施すとしても、このような攻撃を受ける通信装置をグループ化し、被攻撃先群(Victim群)として特定する必要がある。
図5は、グループ化装置を含むシステムの概略を説明する図である。
システム10は、侵入検知システム(IDS)110と、侵入検知システム(IDS)110から提供されるIDSログを分析し、攻撃を受ける通信装置をグループ化し、攻撃先群(Victim群)として特定するログ分析装置100を含んでいる。ログ分析装置100は、グループ化装置と呼ばれることもある。
侵入検知システム(IDS)110は、ネットワーク120に接続され、グループ化装置100にIDSログ140を提供する。
ログ分析装置100は、相関係数計算部1002、抽出部(通信装置(Victim)群選択部)1004、および出力部1006を含む。
相関係数計算部1002は、IDSログ140に基いて、攻撃元(Hacker)、攻撃回数、検知時刻の3つについて、複数の被攻撃先(Victim)の相関係数を計算する。
抽出部1004は、相関係数の高い通信装置(Victim)を抽出し、攻撃先群(Victim群)として特定する。
出力部1006は、抽出部1004で特定された通信装置(Victim)は、要対策通信装置リスト150に登録し、侵入検知システム(IDS)110に送る。
要対策通信装置リスト150を受けた侵入検知システム(IDS)110は、リスト150に登録されている通信装置に対し、ログイン試行に対する監視を強めるなどの対策を行う。
また、抽出部1004は、相関係数が所定の閾値以上であり、かつ、期間の各々において前記攻撃元通信装置が同一である複数の被攻撃先通信装置の組み合わせを高相関通信装置群として抽出する。
図6は、ログ分析装置の出力の例を示す図である。
図6に示されている表には、攻撃元(Hacker)、検知時刻、被攻撃先とログイン試行回数が含まれている。
たとえば、攻撃元(Hacker)hは11月1日4時に、通信装置(Victim)v、v、v、v、vに対し12回のログイン試行を行うブルートフォース攻撃を仕掛けている。攻撃元(Hacker)hは11月1日4時1分に、通信装置(Victim)v、v、v、v、vに対し9回から10回(v1に対してのみ10回でその他に対しては9回)のログイン試行を行うブルートフォース攻撃を仕掛けている。攻撃元(Hacker)hは11月1日4時2分には、通信装置(Victim)v、v、v、v、vに対し3回から4回(v1に対してのみ3回でその他に対しては4回)のログイン試行を行うブルートフォース攻撃を仕掛けている。また、攻撃元(Hacker)hは11月1日4時3分に、通信装置(Victim)vに対して、100回のログイン試行を行うブルートフォース攻撃を仕掛けている。
図6に示されている例では、攻撃元(Hacker)hからの攻撃は、図1−3に示されているようなブルートフォース攻撃であり、攻撃元(Hacker)h3からの攻撃は図4に示されているようなブルートフォース攻撃である。よって、通信装置(Victim)v、v、v、v、vが、複数の攻撃先に対して断続的に攻撃元を変えて攻撃をするブルートフォース攻撃を受ける可能性が高い通信装置(Victim)群として特定されている。また、攻撃元(Hacker)hから通信装置(Victim)vに対する攻撃は、図1−3に示されているようなブルートフォース攻撃ではない。
このようにログ分析装置100は、攻撃元通信装置から攻撃を受ける複数の被攻撃先通信装置を侵入検知システム(IDS)110等のネットワーク機器から収集したログに基いて分類する。
ログ分析装置100の相関係数計算部1002は、複数の被攻撃先通信装置の組み合わせに対して、攻撃を侵入検知システム(IDS)110等のネットワーク機器が検知した検知時刻および検知時間を含む攻撃が行われた期間における攻撃の回数に関する相関係数をログに基いて計算しても良い。
ログ分析装置100の抽出部1004は通信装置(Victim)群選択部1004や高相関通信装置群選択部1004と呼ばれることもある。
抽出部1004は、相関係数が所定の閾値以上であり、かつ、ある期間において攻撃元通信装置が同一である複数の被攻撃先通信装置の組み合わせを高相関通信装置群として抽出しても良い。
出力部1006は、高相関通信装置群に関する情報を侵入検知システム(IDS)110等のネットワーク機器に出力しても良い。高相関通信装置群に関する情報を受けた侵入検知システム(IDS)110等のネットワーク機器は、高相関通信装置群のIPアドレスに向けてのアクセスを重点的に監視し、攻撃に備えることができる。
ここで、攻撃は断続的に複数の期間にわたり行われ、検知時刻は複数であり、複数の期間の各々はそれぞれ異なる前記複数の検知時刻の一つを含んでも良い。この場合、相関係数計算部1002は、複数の被攻撃先通信装置の組み合わせに対して、攻撃を侵入検知システム(IDS)110等のネットワーク機器が検知した複数の検知時刻および複数の期間の各々における前記攻撃の回数に関する相関係数を前記ログに基いて計算しても良い。
抽出部1004は、複数の被攻撃先通信装置が受けた攻撃の検知時刻および検知時間を含む攻撃が行われた期間における攻撃の回数に関する情報に対応した頂点と、所定の閾値以上の相関係数を有する複数の被攻撃先通信装置のうちの2つに対応する頂点間に付与した辺を含むグラフから、クリークを抽出することによって高相関通信装置群を抽出しても良い。このように抽出部1004は、最大クリーク法等のグラフ理論における手法を用いても良い。
また、ログ分析装置100は、ログから、ブルートフォース攻撃を受けた通信装置のみを対象として通信装置の分類(グループ化)を行っても良い。
上記のような構成を採用することによって、
(E1)長期間にわたりログを収集せずとも、将来攻撃を受ける可能性が高い通信装置(Victim)群を特定することができる、
(E2)特定された通信装置(Victim)群を重点的に監視することで、ブルートフォース攻撃に対する対策を促すことができる、
(E3)要対策通信装置リスト150を適宜更新することができるので、被攻撃先群の変化を追跡することができる、たとえば、ある時刻から要対策通信装置リスト150に載らなくなった通信装置があるとすれば、攻撃者が何らかの理由でその通信装置を攻撃先から外した、攻撃が成功してブルートフォース攻撃を行う必要がなくなったなどの変化を推測することができる、
などの効果を奏する。
<侵入検知システム(IDS)とログ分析装置>
図7は侵入検知システム(IDS)110とログ分析装置100の機能ブロック図の例を示す図である。
図7に示されているログ分析装置100は、侵入検知システム(IDS)110と組み合わされて、上記の(C1)〜(C3)のような特徴を有するようなブルートフォース攻撃に対応するため、このような攻撃を受ける通信装置をグループ化するログ分析装置である。そして、上記(E1)〜(E3)のような効果を得ることができる。
図7では、ログ分析装置100は、侵入検知システム(IDS)110とは別の外の装置である。しなしながら、ログ分析装置100は、侵入検知システム(IDS)110の中に組み込まれてもよい。
侵入検知システム(IDS)110は、攻撃探知部112、IDSログデータベース(DB)114、攻撃対策部116、および要対策通信装置(Victim)IPアドレスデータベース(DB)118を含む。
侵入検知システム(IDS)110の攻撃探知部112は、たとえば、図5に示されているようにネットワーク120に接続され、ネットワーク120を流れるブルートフォース攻撃に関わるパケットを検知し、異常を知らせるイベントをログ分析装置100に向けて発行する。
侵入検知システム(IDS)110のIDSログデータベース(DB)114は、攻撃探知部112によって検知されたブルートフォース攻撃に関わるパケットに関する情報を格納する。
図9は侵入検知システム(IDS)110のIDSログデータベース(DB)114に格納されるデータの例を示す図である。
図9に示されているように、IDSログデータベース(DB)114に格納されるデータには、攻撃元(Hacker)、被攻撃先(Victim)、検知時刻、ログイン試行回数(攻撃回数)、被攻撃先のポート(Port)が含まれている。
たとえば図9に示されているデータからは、IPアドレスが「11.22.33.44」の攻撃元(Hacker)のから、IPアドレスが「55.66.77.88」の被攻撃先(Victim)のポート番号(Port)「22」に対し、検知時刻「2013年4月1日0時0分」にログイン試行回数30回のブルートフォース攻撃が行われたことが分かる。
ログ分析装置100は、侵入検知システム(IDS)110のIDSログデータベース(DB)114に格納されるデータに基いて、ブルートフォース攻撃の攻撃と考えられる通信装置のIPアドレスを要対策通信装置(Victim)IPアドレスとして特定する。具体的には、ログ分析装置100は、IDSログデータベース(DB)114に格納されるデータに基いて、攻撃元(Hacker)、攻撃回数、検知時刻の3つについて、複数の被攻撃先(Victim)の相関係数を計算する。相関係数の計算方法としては、たとえば、最大クリーク法を用いても良い。そして、相関係数の高い通信装置(Victim)を抽出し、通信装置群(Victim群)として特定する。これらの通信装置群を被攻撃先群と呼ぶこともある。
図8は、ログ分析装置の出力画面の例を示す図である。
図8に示されているように、ブルートフォース攻撃の攻撃の候補であるIPアドレスが、そのIPアドレスが攻撃と認定された日時(追加日)と共に表示される。
図8の例では、IPアドレス「55.66.77.88」は「2013年4月1日12時0分」に攻撃の候補と認定されたことが表示される。
図8の例において、「<分析設定>」の欄は、攻撃先群(Victim群)を特定する際の相関係数の閾値、分析に使用したログデータの期間を含んでいる。
侵入検知システム(IDS)110の要対策通信装置(Victim)IPアドレスデータベース(DB)118には、ログ分析装置100において特定された要対策通信装置(Victim)IPアドレスが、そのIPアドレスが攻撃の候補と認定された日時(追加日)と共に格納されている。
図11は、侵入検知システム110の要対策通信装置(Victim)IPアドレスデータベース(DB)118に格納されるデータの例を示す図である。要対策通信装置(Victim)IPアドレスデータベース(DB)118に格納されるデータは、図5に示されている要対策通信装置リスト150に対応する。
図11の例では要対策通信装置(Victim)IPアドレスデータベース(DB)118には、たとえば、IPアドレス「55.66.77.88」は「2013年4月1日12時0分」に攻撃と認定されたことを示すデータが格納されている。
侵入検知システム(IDS)110の攻撃対策部116は、要対策通信装置(Victim)IPアドレスデータベース(DB)118に格納されているリストに含まれる攻撃元からの通信に対する対策を行う。たとえば攻撃対策部116は、要対策通信装置(Victim)へのログイン試行があたっときに、アラート(警報)を発しても良い。また、攻撃対策部116は、要対策通信装置(Victim)の通信を遮断しても良い。
ログ分析装置100は、ブルートフォース攻撃分析部102、分析設定データベース(DB)104、インターフェース部106を含む。
ログ分析装置100のブルートフォース攻撃分析部102は、図5の相関係数計算部1002と抽出部1004の機能を合わせた機能を有している。すなわち、侵入検知システム(IDS)110のIDSログデータベース(DB)114に格納されるデータに基づいて、ブルートフォース攻撃の攻撃と考えられる通信装置のIPアドレスを要対策通信装置(Victim)IPアドレスとして特定する。具体的には、ログ分析装置100は、IDSログデータベース(DB)114に格納されるデータに基いて、攻撃元(Hacker)、攻撃回数、検知時刻の3つについて、複数の被攻撃先(Victim)の相関係数を計算する。攻撃回数、検知時刻に関する相関係数の計算方法としては、たとえば、最大クリーク法を用いても良い。そして、相関係数の高い通信装置(Victim)を抽出し、被攻撃先群(Victim群、通信装置群)として特定する。
ログ分析装置100の分析設定データベース(DB)104は、ブルートフォース攻撃分析部102で相関係数計算し、相関係数の高い通信装置(Victim)を抽出し、被攻撃先群(Victim群)として特定する際のパラメータが格納されている。
図10は、ログ分析装置100の分析設定データベース104に格納されるデータの例を示す図である。
図10に示されているように、分析設定データベース104に格納されるデータは、被攻撃先群(Victim群)を特定する際の相関係数の閾値、分析に使用したログデータの期間(分析の間隔)を含んでいる。図10の例では、相関係数の閾値は0.8、分析の間隔は0.5日である。
相関係数Rは、通信装置vが受けたブルートフォース攻撃の回数をx、検知時刻をtとして、
として定義しても良い。ここで、xavはブルートフォース攻撃の回数xの平均、tavは検知時刻tの平均である。ブルートフォース攻撃の回数は、1分間あたりのログイン試行回数であっても良い。
ログ分析装置100のインターフェース部106は、ブルートフォース攻撃分析部102で特定されたブルートフォース攻撃の被攻撃先に関する情報を表示する。インターフェース部106の出力の例は、図8に示されている。分析設定データベース104に格納されるデータは、図8に示されているインターフェース部106の出力の例では、「<分析設定>」の欄の出力に用いられる。
またログ分析装置100のインターフェース部106は、ブルートフォース攻撃分析部102で特定されたブルートフォース攻撃の被攻撃先に関する情報をログ分析装置100に送る。このブルートフォース攻撃の被攻撃先に関する情報は、図5に示されている要対策通信装置リスト150に対応する。要対策通信装置リスト150に含まれる情報は、侵入検知システム(IDS)110の要対策通信装置(Victim)IPアドレスデータベース(DB)118に格納される。
<<ルートフォース攻撃分析部の機能>>
ここで、ログ分析装置100のブルートフォース攻撃分析部102の機能について説明する。
ログ分析装置100のブルートフォース攻撃分析部102では、まず、ログ分析装置100のIDSログデータベース(DB)114に格納されるデータを取得する。そして、そのデータに基いて、攻撃元(Hacker)、被攻撃先(Victim)、検知時刻、ログイン試行回数(攻撃回数)、被攻撃先のポート(Port)に関する回数データ列を作成する。
図12は、侵入検知システム110のIDSログデータベース114から受け取るログデータの例を示す図である。図12は図9と同様であり、IDSログデータベース(DB)114に格納されるデータには、攻撃元(Hacker)、被攻撃先(Victim)、検知時刻、ログイン試行回数(攻撃回数)、被攻撃先のポート(Port)が含まれている。
たとえば図12に示されているデータからは、IPアドレスが「11.22.33.44」の攻撃元(Hacker)のから、IPアドレスが「55.66.77.88」の被攻撃先(Victim)のポート番号(Port)「22」に対し、検知時刻「2013年4月1日0時0分」にログイン試行回数30回のブルートフォース攻撃が行われたことが分かる。
次に、ログ分析装置100のブルートフォース攻撃分析部102は、図12に示されているデータから、ポートごとに、どの攻撃元(Hacker)から、いつ(time)、どの被攻撃先(被攻撃先通信装置(Victim))にブルートフォース攻撃があったか、に関する情報を含む回数データに書き直す。
図13は、ブルートフォース攻撃分析部で作成されるポート番号ごとの攻撃元(Hacker)、攻撃回数、検知時刻(time)、被攻撃先(被攻撃先通信装置(Victim))についてのデータの示す回数データ列の例を示す図である。
たとえば図13に示されている回数データ列の例からは、IPアドレス「11.22.33.44」の攻撃元から、検知時刻「2013年11月1日4時0分」に、IPアドレス、「11.22.33.44」、「2.22.33.44」、「3.22.33.44」、「4.22.33.44」、「5.22.33.44」を有する被攻撃先にログイン試行回数12回のブルートフォース攻撃が行われたことが分かる。また、IPアドレス「11.22.33.44」の攻撃元は、検知時刻「2013年11月1日4時1分」に、IPアドレス、「11.22.33.44」、「2.22.33.44」、「3.22.33.44」、「4.22.33.44」、「5.22.33.44」を有する被攻撃先にログイン試行回数9回または10回のブルートフォース攻撃を行い、検知時刻「2013年11月1日4時2分」には、同じ被攻撃先に対して、ログイン試行回数3回または4回のブルートフォース攻撃を行っている。
次に、ログ分析装置100のブルートフォース攻撃分析部102は、試行回数、検知時刻、攻撃元(Hacker)について相関が高い通信装置(Victim)群を抽出する。これは、複数の攻撃先に対して複数の異なる攻撃元からブルートフォース攻撃をしたり、攻撃開始から終了まで単一の攻撃元から行うログイン試行などのブルートフォース攻撃の回数が少ないようなブルートフォース攻撃が有する特徴、すなわち、
(C1)複数の被攻撃先が、ほぼ同時刻に、同じログイン試行回数の攻撃を受ける、
(C2)攻撃元は攻撃のたびに異なる、
(C3)侵入検知システム(IDS)や侵入防止システム(IPS)からの検知を回避するために、少ないログイン試行回数でブルートフォース攻撃を行う、
のうち、特徴(C1)を利用している。試行回数、検知時刻について相関が高い通信装置(Victim)群を抽出する際には、最大クリーク法を用いることができる。
図14は、ブルートフォース攻撃分析部1024で相関の高い通信装置を抽出する様子の例を示す図である。
たとえば図14に示されている回数データ列の例では、「11.22.33.44」、「2.22.33.44」、「3.22.33.44」の3つのIPアドレスを有する通信装置が、検知時刻「2013年11月1日4時0分」、「2013年11月1日4時1分」、「2013年11月1日4時2分」に、ログイン試行回数12回、ログイン試行回数9〜10回、ログイン試行回数3〜4回のブルートフォース攻撃を受けている。
そして、ブルートフォース攻撃分析部102は、「11.22.33.44」、「2.22.33.44」、「3.22.33.44」の3つのIPアドレスを有する通信装置を、相関が高い被攻撃先通信装置(Victim)の候補として選ぶ。
図15は、ブルートフォース攻撃分析部で相関の高い通信装置を抽出する様子の例を示す図である。IPアドレス「11.22.33.44」、「2.22.33.44」、「3.22.33.44」を有する通信装置が受けたブルートフォース攻撃の攻撃元はいずれもIPアドレス「11.22.33.44」を有する通信装置である。
よって、ブルートフォース攻撃分析部102は、「11.22.33.44」、「2.22.33.44」、「3.22.33.44」の3つのIPアドレスを有する通信装置を、相関が高い被攻撃先通信装置(Victim)として出力する。
このようにして、試行回数、検知時刻、攻撃元(Hacker)について相関が高い通信装置(Victim)群を抽出することができる。
ここで、最大クリーク法を用いた、試行回数、検知時刻について相関が高い通信装置(Victim)群の抽出について説明する。
最大クリーク問題とは、無向グラフ中の部分グラフの中の完全グラフでサイズが最大のものを選び出す組み合わせ最適化問題の一種である。
まず用語をいくつか定義する。
「クリーク」とは、完全グラフを誘導する頂点集合である。完全グラフとは任意の2つの頂点の間に辺が存在するグラフである。
「最大クリーク」とは、グラフ中で頂点数が最大のクリークである。
最大クリーク法は、グラフ中のクリークの中で最大のものを見付ける方法である。アルゴリズムの一つは、まず、候補節点集合を探す。「候補節点集合」とは、ある時点で保持しているクリークに付け加えても、またクリークとなるような頂点の集合である。そして、候補節点集合中の頂点をクリークに追加し、頂点数が1つだけ増加したクリークを作る。この操作を出来る限り繰り返すことにより、最大クリークを見付ける。
図16は最大クリーク法の概略を説明するための図である。
図16に示されているグラフは、1から6で指定される6つの頂点を含んでいる。頂点1は、頂点2、5と、頂点2は、頂点1、3、5と、頂点3は頂点2、4と、頂点4は頂点3、5、6と、頂点5は頂点1、2、4と辺によって結ばれている。
図16に示されているグラフでは、頂点1、2、5によって構成されるクリークが最大クリークである。
最大クリーク法を、相関係数の高い通信装置(Victim)を抽出し、攻撃先群(Victim群)として特定する問題に適用するには、各頂点には、ブルートフォース攻撃を受けた通信装置(Victim)を割り当てる。さらに、各頂点には、その通信装置(Victim)が受けたブルートフォース攻撃のログイン試行回数、検知時刻、攻撃元(Hacker)に関するデータを対応させる。
頂点間を辺で結ぶか否かは、その通信装置(Victim)が受けたブルートフォース攻撃の回数、検知時刻の2つに関する相関を計算し、所定の閾値以上であれば2つの頂点を辺で結ぶ。ブルートフォース攻撃の回数は、単位時間あたりのログイン試行回数であっても良い。単位時間は1分であり得る。
たとえば、通信装置vが割り当てられた頂点i(i=1〜n)の相関係数を求めるには次のような方法がある。
たとえば、通信装置vが割り当てられた頂点1と通信装置vが割り当てられた頂点2の相関係数Rを計算し、閾値以上であるか否かによって頂点1と2を辺で結ぶか否かを決定しても良い。
相関係数Rは、通信装置v(i=1,2)受けたブルートフォース攻撃の回数をx、検知時刻をtとして、
と定義してもよい。ここで、xavはブルートフォース攻撃の回数xの平均、tavは検知時刻tの平均である。
または、通信装置vが受けたブルートフォース攻撃の回数をx、検知時刻をtとして、ブルートフォース攻撃の回数xの差と、検知時刻tについての差が共に、所定の範囲内にあるときに、通信装置vが割り当てられた頂点間を辺で結んでも良い。
図17は、最大クリーク法を用いるブルートフォース攻撃分析部102の機能ブロック図の例を示す図である。
図17に示されているブルートフォース攻撃分析部102は、ペア生成部1022、クリーク探索部1024、および出力部1026を含んでいる。
ブルートフォース攻撃分析部102のペア生成部1022では、相関の高い、すなわち相関係数が閾値以上である通信装置(Victim)のペアを作る。相関係数の閾値は、分析設定DB104に格納されているものを用いても良い。
まずブルートフォース攻撃分析部102のペア生成部1022は、ログ分析装置100のIDSログデータベース(DB)114に格納されるデータを取得する。次に、ペア生成部1022は、取得したデータに基いて、攻撃元(Hacker)、被攻撃先(Victim)、検知時刻、ログイン試行回数(攻撃回数)、被攻撃先のポート(Port)に関する回数データ列を作成する。そして、ペア生成部1022は、検知時刻、ログイン試行回数(攻撃回数)について相関の高い通信装置(Victim)のペアを作る。
通信装置(Vctim)同士のペアは、グラフではそれぞれが割り当てられた頂点間が辺で結ばれることによって表現される。
図18Aは、図17に示されているブルートフォース攻撃分析部のペア生成部1022の出力の例を示す図である。
図18Aの例では、victim1で指定される通信装置とvictim2で指定される通信装置がペアを形成する。また、victim10で指定される通信装置は、victim13およびvictim14で指定される通信装置とペアを形成する。さらに、victim13で指定される通信装置とvictim14で指定される通信装置がペアを形成する。
これをグラフ化すると次のようなグラフになる。まず、victim1が割り当てられる頂点と、victim2が割り当てられる頂点の間は辺で結ばれており、victim10が割り当てられる頂点と、victim13が割り当てられる頂点と、victim14が割り当てられる頂点は完全グラフを形成する。
ブルートフォース攻撃分析部102のクリーク探索部1024は、ペア生成部1022で形成された通信装置(Vctim)同士のペアを表現するグラフから、クリークを構成する頂点を見付ける。ブルートフォース攻撃分析部102のクリーク探索部1024は、最大クリークを構成する頂点を見付けても良い。
図18Bは、図17に示されているブルートフォース攻撃分析部102のクリーク探索部1024の出力の例を示す図である。
ペア生成部1022の結果を用いると、上の例では、victim1、2、10、13、14に対応する頂点を含むグラフ中で、クリークを構成する頂点は、victim1とvictim2に対応する頂点が一つのクリークを構成する。また、victim10とvictim13とvictim14に対応する頂点が一つのクリークを構成する。最大クリークを構成する頂点を見付ける場合は、victim10とvictim13とvictim14に対応する頂点から構成されるクリークが、最大クリークである。
そしてクリーク探索部1024は、クリークを構成する頂点に対応する通信装置群を、相関が高い被攻撃先通信装置(Victim)の候補とする。
ブルートフォース攻撃分析部102の出力部1026は、クリーク探索部1024で選ばれた相関が高い被攻撃先通信装置(Victim)の候補が受けたブルートフォース攻撃の攻撃元が同一かどうかを判定し、同一であれば相関が高い被攻撃先通信装置(Victim)群として認定する。相関が高い被攻撃先通信装置(Victim)群は、高相関通信装置群と呼ばれることもある。
図18Cは、図17に示されているブルートフォース攻撃分析部102の出力部1026の出力の例を示す図である。
victim1とvictim2で指定される通信装置を含む通信装置(Victim)群(victim1、victim2)と、victim10、victim13、victim14で指定される通信装置を含む通信装置(Victim)群(victim10、victim13、victim14)が、相関が高い被攻撃先通信装置(Victim)群として出力される。
別の方法として、ブルートフォース攻撃分析部102は、通信装置vが受けたブルートフォース攻撃の回数をx、検知時刻をtとして、相関係数Rを、
と定義し、相関係数Rが所定の閾値以上となるような通信装置vの組み合わせを探しても良い。ここで、xavはブルートフォース攻撃の回数xの平均、tavは検知時刻tの平均である。
図17のブルートフォース攻撃分析部102のペア生成部1022とクリーク探索部1024は、図5の相関係数計算部1002と抽出部1004に対応する。
図17のブルートフォース攻撃分析部102の出力部1026は、図5の出力部1006に対応する。
上記のような構成を採用することによって、ログ分析装置100は、複数の攻撃先に対して断続的に攻撃元を変えて攻撃をするブルートフォース攻撃を受ける通信装置を特定し、その攻撃に対する対策を取るために、短い期間のセキュリティ装置のログの分析によって、このような攻撃を受ける通信装置を特定することができる。
図19は実施形態のログ分析装置100の構成の例を示す図である。ログ分析装置100と侵入検知システム110が一体となって構成される場合には、両者を含む装置の構成の例でもある。
このコンピュータ200は、Central Processing Unit(CPU)202、Read Only Memory(ROM)204、及びRandom Access Memory(RAM)206を備えている。コンピュータ500は、さらに、ハードディスク装置208、入力装置210、表示装置212、インターフェース装置214、及び記録媒体駆動装置216を備えている。なお、これらの構成要素はバスライン220を介して接続されており、CPU202の管理の下で各種のデータを相互に授受することができる。
Central Processing Unit(CPU)202は、このコンピュータ200全体の動作を制御する演算処理装置であり、コンピュータ200の制御処理部として機能する。
Read Only Memory(ROM)204は、所定の基本制御プログラムが予め記録されている読み出し専用半導体メモリである。CPU202は、この基本制御プログラムをコンピュータ100の起動時に読み出して実行することにより、このコンピュータ200の各構成要素の動作制御が可能になる。
Random Access Memory(RAM)206は、CPU202が各種の制御プログラムを実行する際に、必要に応じて作業用記憶領域として使用する、随時書き込み読み出し可能な半導体メモリである。
ハードディスク装置208は、CPU202によって実行される各種の制御プログラムや各種のデータを記憶しておく記憶装置である。PU02は、ハードディスク装置208に記憶されている所定の制御プログラムを読み出して実行することにより、後述する各種の制御処理を行えるようになる。
入力装置210は、例えばマウス装置やキーボード装置であり、情報処理装置のユーザにより操作されると、その操作内容に対応付けられている各種情報の入力を取得し、取得した入力情報をCPU202に送付する。
表示装置212は例えば液晶ディスプレイであり、CPU202から送付される表示データに応じて各種のテキストや画像を表示する。
インターフェース装置214は、このコンピュータ200に接続される各種機器との間での各種情報の授受の管理を行う。
記録媒体駆動装置216は、可搬型記録媒体218に記録されている各種の制御プログラムやデータの読み出しを行う装置である。CPU202は、可搬型記録媒体218に記録されている所定の制御プログラムを、記録媒体駆動装置216を介して読み出して実行することによって、後述する各種の制御処理を行うようにすることもできる。なお、可搬型記録媒体218としては、例えばUSB(Universal Serial Bus)規格のコネクタが備えられているフラッシュメモリ、CD−ROM(Compact Disc Read Only Memory)、DVD−ROM(Digital Versatile Disc Read Only Memory)などがある。
このようなコンピュータ200を用いてログ分析装置またはログ分析装置を含む侵入検知システムを構成するには、例えば、上述の各処理部における処理をCPU202に行わせるための制御プログラムを作成する。作成された制御プログラムはハードディスク装置208若しくは可搬型記録媒体218に予め格納しておく。そして、CPU202に所定の指示を与えてこの制御プログラムを読み出させて実行させる。こうすることで、ログ分析装置またはログ分析装置を含む侵入検知システムが備えている機能がCPU202により提供される。
<ログ分析処理>
図20は、ログ分析処理の流れを示す図である。
また、ログ分析装置が図19に示されているような汎用コンピュータ200である場合には、下記の説明は、そのような処理を行う制御プログラムを定義する。すなわち、以下では、下記に説明する処理を汎用コンピュータに行わせる制御プログラムの説明でもある。
処理が開始されるとS100で、ログ分析装置100のブルートフォース攻撃分析部102(ペア生成部1022)は、ログ分析装置100のIDSログデータベース(DB)114に格納されるデータを取得する。
次にS102でログ分析装置100のブルートフォース攻撃分析部102(ペア生成部1022)は、S100で取得したデータに基いて、攻撃元(Hacker)、被攻撃先(Victim)、検知時刻、ログイン試行回数(攻撃回数)、被攻撃先のポート(Port)に関する回数データ列を作成する。
次にS104でログ分析装置100のブルートフォース攻撃分析部102(クリーク探索部1024)は、S102で形成された通信装置(Vctim)同士のペアを表現するグラフから、頂点間の相関係数を計算する。
次のS106でブルートフォース攻撃分析部102(出力部1026)は、S104で計算された相関係数を用いて、クリークが構成されるかどうかを判定し、相関が高い通信装置(Victim)群が存在するかどうかを判定する。クリークが構成されるかどうかを判定する際、頂点間の相関係数が分析設定DB104に格納されている相関係数の閾値より大きいかどうかに基いて判定しても良い。この判定の結果が“Yes”、すなわち、相関が高い通信装置(Victim)群が存在する場合には、処理はS108に進む。また、判定の結果が“No”、すなわち、相関が高い通信装置(Victim)群が存在しない場合には、処理は終了する。
S108でブルートフォース攻撃分析部102(出力部1026)は、S106で選ばれた相関が高い被攻撃先通信装置(Victim)の候補が受けたブルートフォース攻撃の攻撃元が同一かどうかを判定する。この判定の結果が“Yes”、すなわち、相関が高い被攻撃先通信装置(Victim)の候補が受けたブルートフォース攻撃の攻撃元が同一である場合には、処理はS110に進む。また、判定の結果が“No”、すなわち、相関が高い被攻撃先通信装置(Victim)の候補が受けたブルートフォース攻撃の攻撃元が同一ではない場合には、処理は終了する。
S110でブルートフォース攻撃分析部102(出力部1026)は、同一の攻撃元からのブルートフォース攻撃を受けた相関が高い被攻撃先通信装置(Victim)の候補を、相関が高い被攻撃先通信装置(Victim)として認定し、要対策通信装置リスト150に登録する。要対策通信装置リスト150に含まれる情報は、侵入検知システム(IDS)110の要対策通信装置(Victim)IPアドレスデータベース(DB)118に格納される。相関が高い被攻撃先通信装置(Victim)群は、高相関通信装置群と呼ばれることもある。
また、S110でインターフェース部106は、相関が高い被攻撃先通信装置(Victim)をディスプレイ等に表示しても良い。図8はそのような表示の例である。
また、S110でインターフェース部106は、相関が高い被攻撃先通信装置(Victim)に関する情報をログ分析装置100に送る。この相関が高い被攻撃先通信装置(Victim)に関する情報は、図5に示されている要対策通信装置リスト150に対応する。
上記のような処理によって、複数の攻撃先に対して断続的に攻撃元を変えて攻撃をするブルートフォース攻撃を受ける通信装置を特定し、その攻撃に対する対策を取るために、短い期間のセキュリティ装置のログの分析によって、このような攻撃を受ける通信装置を特定することができる。
以上の実施形態に関し、さらに以下の付記を開示する。
(付記1)
攻撃元通信装置から攻撃を受ける複数の被攻撃先通信装置をネットワーク機器から収集したログに基いて分類するログ分析装置であって、
前記複数の被攻撃先通信装置の組み合わせに対して、前記攻撃を前記ネットワーク機器が検知した検知時刻および前記検知時間を含む前記攻撃が行われた期間における前記攻撃の回数に関する相関係数を前記ログに基いて計算する相関係数計算部と、
前記相関係数が所定の閾値以上であり、かつ、前記期間において前記攻撃元通信装置が同一である前記複数の被攻撃先通信装置の組み合わせを高相関通信装置群として抽出する抽出部と、
を含むログ分析装置。
(付記2)
前記攻撃は断続的に複数の期間にわたり行われ、前記検知時刻は複数であり、前記複数の期間の各々はそれぞれ異なる前記複数の検知時刻の一つを含み、
前記相関係数計算部は、前記複数の被攻撃先通信装置の組み合わせに対して、前記攻撃を前記ネットワーク機器が検知した前記複数の検知時刻および前記複数の期間の各々における前記攻撃の回数に関する相関係数を前記ログに基いて計算し、
前記抽出部は、前記相関係数が所定の閾値以上であり、かつ、前記期間の各々において前記攻撃元通信装置が同一である前記複数の被攻撃先通信装置の組み合わせを高相関通信装置群として抽出する、付記1に記載のログ分析装置。
(付記3)
前記抽出部は、前記複数の被攻撃先通信装置が受けた前記攻撃の前記検知時刻および前記検知時間を含む前記攻撃が行われた期間における前記攻撃の回数に関する情報に対応した頂点と、前記所定の閾値以上の相関係数を有する前記複数の被攻撃先通信装置のうちの2つに対応する頂点間に付与した辺を含むグラフから、クリークを抽出することによって前記高相関通信装置群を抽出する、付記1または2に記載のログ分析装置。
(付記4)
前記攻撃はブルートフォース攻撃であり、前記攻撃はログイン試行である付記1乃至3のいずれか1項に記載のログ分析装置。
(付記5)
攻撃元通信装置から攻撃を受ける複数の被攻撃先通信装置をネットワーク機器から収集したログに基いて分類するログ分析方法であって、
前記複数の被攻撃先通信装置の組み合わせに対して、前記攻撃を前記ネットワーク機器が検知した検知時刻および前記検知時間を含む前記攻撃が行われた期間における前記攻撃の回数に関する相関係数を前記ログに基いて計算することと、
前記相関係数が所定の閾値以上であり、かつ、前記期間において前記攻撃元通信装置が同一である前記複数の被攻撃先通信装置の組み合わせを高相関通信装置群として抽出することと、
を含むログ分析方法。
(付記6)
前記攻撃は断続的に複数の期間にわたり行われ、前記検知時刻は複数であり、前記複数の期間の各々はそれぞれ異なる前記複数の検知時刻の一つを含み、
前記相関係数を計算することは、前記複数の被攻撃先通信装置の組み合わせに対して、前記攻撃を前記ネットワーク機器が検知した前記複数の検知時刻および前記複数の期間の各々における前記攻撃の回数に関する相関係数を前記ログに基いて計算し、
前記高相関通信装置群を抽出することは、前記相関係数が所定の閾値以上であり、かつ、前記期間の各々において前記攻撃元通信装置が同一である前記複数の被攻撃先通信装置の組み合わせを高相関通信装置群として抽出する、付記5に記載のログ分析方法。
(付記7)
前記高相関通信装置群を抽出することは、前記複数の被攻撃先通信装置が受けた前記攻撃の前記検知時刻および前記検知時間を含む前記攻撃が行われた期間における前記攻撃の回数に関する情報に対応した頂点と、前記所定の閾値以上の相関係数を有する前記複数の被攻撃先通信装置のうちの2つに対応する頂点間に付与した辺を含むグラフから、クリークを抽出することによって前記高相関通信装置群を抽出する、付記5または6に記載のログ分析方法。
(付記8)
前記攻撃はブルートフォース攻撃であり、前記攻撃はログイン試行である付記5乃至7のいずれか1項に記載のログ分析方法。
(付記9)
コンピュータに、攻撃元通信装置から攻撃を受ける複数の被攻撃先通信装置をネットワーク機器から収集したログに基いて分類させるプログラムであって、
前記複数の被攻撃先通信装置の組み合わせに対して、前記攻撃を前記ネットワーク機器が検知した検知時刻および前記検知時間を含む前記攻撃が行われた期間における前記攻撃の回数に関する相関係数を前記ログに基いて計算し、
前記相関係数が所定の閾値以上であり、かつ、前記期間において前記攻撃元通信装置が同一である前記複数の被攻撃先通信装置の組み合わせを高相関通信装置群として抽出する処理を前記コンピュータに実行させるプログラム。
(付記10)
前記攻撃は断続的に複数の期間にわたり行われ、前記検知時刻は複数であり、前記複数の期間の各々はそれぞれ異なる前記複数の検知時刻の一つを含み、
前記相関係数を計算することは、前記複数の被攻撃先通信装置の組み合わせに対して、前記攻撃を前記ネットワーク機器が検知した前記複数の検知時刻および前記複数の期間の各々における前記攻撃の回数に関する相関係数を前記ログに基いて計算し、
前記高相関通信装置群を抽出することは、前記相関係数が所定の閾値以上であり、かつ、前記期間の各々において前記攻撃元通信装置が同一である前記複数の被攻撃先通信装置の組み合わせを高相関通信装置群として抽出させる、付記9に記載のプログラム。
(付記11)
前記高相関通信装置群を抽出することは、前記複数の被攻撃先通信装置が受けた前記攻撃の前記検知時刻および前記検知時間を含む前記攻撃が行われた期間における前記攻撃の回数に関する情報に対応した頂点と、前記所定の閾値以上の相関係数を有する前記複数の被攻撃先通信装置のうちの2つに対応する頂点間に付与した辺を含むグラフから、クリークを抽出することによって前記高相関通信装置群を抽出させる、付記9または10に記載のプログラム。
(付記12)
前記攻撃はブルートフォース攻撃であり、前記攻撃はログイン試行である付記9乃至11のいずれか1項に記載のプログラム。
10 システム
100 ログ分析装置
102 ブルートフォース攻撃分析部
104 分析設定データベース(DB)
106 インターフェース部
1002 相関係数計算部
1004 抽出部(通信装置(Victim)群選択部)
1006 出力部
110 侵入検知システム(IDS)
112 攻撃探知部
114 IDSログデータベース(DB)
116 攻撃対策部
118 要対策通信装置IPアドレスデータベース(DB)
120 ネットワーク
130 通信装置群
140 IDSログ
150 要対策通信装置リスト

Claims (6)

  1. 攻撃元通信装置から攻撃を受ける複数の被攻撃先通信装置をネットワーク機器から収集したログに基いて分類するログ分析装置であって
    前記攻撃を前記ネットワーク機器が検知した検知時刻および検知時間を含む前記攻撃を受けた期間と、前記期間内における前記攻撃を受けた回数との間の関係についての、前記複数の被攻撃先通信装置の間での相関の高さを示す相関係数を前記ログに基いて計算する相関係数計算部と、
    前記相関係数が所定の閾値以上であり、かつ、前記期間において前記攻撃元通信装置が同一である被攻撃先通信装置の組み合わせを高相関通信装置群として抽出する抽出部と、
    を含むログ分析装置。
  2. 前記攻撃は断続的に複数の期間にわたり行われ、前記検知時刻は複数であり、前記複数の期間の各々はそれぞれ異なる前記複数の検知時刻の一つを含み、
    前記相関係数計算部は前記攻撃を前記ネットワーク機器が検知した前記複数の検知時刻および前記複数の期間の各々における前記攻撃の回数に関する前記相関係数を前記ログに基いて計算し、
    前記抽出部は、前記相関係数が所定の閾値以上であり、かつ、前記期間の各々において前記攻撃元通信装置が同一である被攻撃先通信装置の組み合わせを高相関通信装置群として抽出する、請求項1に記載のログ分析装置。
  3. 前記抽出部は前記検知時刻および前記検知時間を含む前記攻撃を受けた期間における前記攻撃を受けた回数に関する情報に対応した頂点と、前記所定の閾値以上の前記相関係数を有する被攻撃先通信装置のうちの2つに対応する頂点間に付与した辺を含むグラフから、クリークを抽出することによって前記高相関通信装置群を抽出する、請求項1または2に記載のログ分析装置。
  4. 前記攻撃はブルートフォース攻撃であり、前記攻撃はログイン試行である請求項1乃至3のいずれか1項に記載のログ分析装置。
  5. 攻撃元通信装置から攻撃を受ける複数の被攻撃先通信装置をネットワーク機器から収集したログに基いて分類するログ分析方法であって
    前記攻撃を前記ネットワーク機器が検知した検知時刻および検知時間を含む前記攻撃を受けた期間と、前記期間内における前記攻撃を受けた回数との間の関係についての、前記複数の被攻撃先通信装置の間での相関の高さを示す相関係数を前記ログに基いて計算することと、
    前記相関係数が所定の閾値以上であり、かつ、前記期間において前記攻撃元通信装置が同一である被攻撃先通信装置の組み合わせを高相関通信装置群として抽出することと、
    を含むログ分析方法。
  6. コンピュータに、攻撃元通信装置から攻撃を受ける複数の被攻撃先通信装置をネットワーク機器から収集したログに基いて分類させるプログラムであって
    前記攻撃を前記ネットワーク機器が検知した検知時刻および検知時間を含む前記攻撃を受けた期間と、前記期間内における前記攻撃を受けた回数との間の関係についての、前記複数の被攻撃先通信装置の間での相関の高さを示す相関係数を前記ログに基いて計算し、
    前記相関係数が所定の閾値以上であり、かつ、前記期間において前記攻撃元通信装置が同一である被攻撃先通信装置の組み合わせを高相関通信装置群として抽出する、
    処理を前記コンピュータに実行させるプログラム。
JP2013214198A 2013-10-11 2013-10-11 ログ分析装置、方法およびプログラム Expired - Fee Related JP6201614B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2013214198A JP6201614B2 (ja) 2013-10-11 2013-10-11 ログ分析装置、方法およびプログラム
EP14183903.5A EP2860937B1 (en) 2013-10-11 2014-09-08 Log analysis device, method, and program
US14/482,120 US9407649B2 (en) 2013-10-11 2014-09-10 Log analysis device and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013214198A JP6201614B2 (ja) 2013-10-11 2013-10-11 ログ分析装置、方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2015076863A JP2015076863A (ja) 2015-04-20
JP6201614B2 true JP6201614B2 (ja) 2017-09-27

Family

ID=51542147

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013214198A Expired - Fee Related JP6201614B2 (ja) 2013-10-11 2013-10-11 ログ分析装置、方法およびプログラム

Country Status (3)

Country Link
US (1) US9407649B2 (ja)
EP (1) EP2860937B1 (ja)
JP (1) JP6201614B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210137821A (ko) * 2020-05-11 2021-11-18 국방과학연구소 사이버 위협 경보 유형들의 상관관계를 결정하는 방법 및 상기 방법을 수행하는 상관관계 결정 장치

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
JP6200101B2 (ja) * 2014-10-28 2017-09-20 日本電信電話株式会社 分析装置、分析システム、分析方法、および、分析プログラム
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
JP6528448B2 (ja) * 2015-02-19 2019-06-12 富士通株式会社 ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
JP2017076185A (ja) * 2015-10-13 2017-04-20 富士通株式会社 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US11558407B2 (en) * 2016-02-05 2023-01-17 Defensestorm, Inc. Enterprise policy tracking with security incident integration
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US10237300B2 (en) 2017-04-06 2019-03-19 Microsoft Technology Licensing, Llc System and method for detecting directed cyber-attacks targeting a particular set of cloud based machines
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
CN107454103B (zh) * 2017-09-07 2021-02-26 杭州安恒信息技术股份有限公司 基于时间线的网络安全事件过程分析方法及系统
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
CN108494735B (zh) * 2018-02-13 2021-02-05 北京明朝万达科技股份有限公司 一种非法破解登录分析告警方法及装置
JP6883535B2 (ja) * 2018-02-20 2021-06-09 Kddi株式会社 攻撃予測装置、攻撃予測方法及び攻撃予測プログラム
JP6719492B2 (ja) * 2018-02-26 2020-07-08 三菱電機株式会社 ルール生成装置およびルール生成プログラム
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
WO2020017000A1 (ja) 2018-07-19 2020-01-23 富士通株式会社 サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US11698962B2 (en) * 2018-11-29 2023-07-11 Bull Sas Method for detecting intrusions in an audit log
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
JP7296470B2 (ja) * 2019-10-29 2023-06-22 日立Astemo株式会社 分析装置及び分析方法
US11165823B2 (en) * 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
CN111488572B (zh) * 2020-03-27 2024-01-19 杭州迪普科技股份有限公司 用户行为分析日志生成方法、装置、电子设备及介质
CN112187719B (zh) * 2020-08-31 2023-04-14 新浪技术(中国)有限公司 被攻击服务器的信息获取方法、装置和电子设备
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
WO2022066910A1 (en) 2020-09-23 2022-03-31 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US20230140790A1 (en) * 2021-11-01 2023-05-04 Recorded Future, Inc. Malware Victim Identification
US12113794B2 (en) * 2021-11-17 2024-10-08 Saudi Arabian Oil Company System and method for controlling login access to computer resource assets
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
US12135782B2 (en) 2022-05-27 2024-11-05 The Boeing Company System, method, and program for analyzing vehicle system logs
CN115695019B (zh) * 2022-11-03 2023-05-12 深圳有方信息技术有限公司 一种大数据网络安全数据传输方法
US12367291B2 (en) * 2023-04-05 2025-07-22 Capital One Services, Llc Systems and methods for a net worth algorithm for vulnerabilities
CN117118753A (zh) * 2023-10-23 2023-11-24 深圳市科力锐科技有限公司 网络攻击的防护方法、装置、设备及存储介质
US12483384B1 (en) 2025-04-16 2025-11-25 Extrahop Networks, Inc. Resynchronizing encrypted network traffic

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4129207B2 (ja) * 2003-07-18 2008-08-06 株式会社日立製作所 不正侵入分析装置
JP4500921B2 (ja) 2004-01-09 2010-07-14 Kddi株式会社 ログ分析装置、ログ分析方法およびログ分析プログラム
JP4160002B2 (ja) 2004-02-23 2008-10-01 Kddi株式会社 ログ分析装置、ログ分析プログラムおよび記録媒体
JP4523480B2 (ja) 2005-05-12 2010-08-11 株式会社日立製作所 ログ分析システム、分析方法及びログ分析装置
JP4677569B2 (ja) * 2005-11-08 2011-04-27 国立大学法人東北大学 ネットワーク異常検知方法およびネットワーク異常検知システム
US8776226B2 (en) * 2010-01-26 2014-07-08 Bae Systems Information And Electronic Systems Integration Inc. Method and apparatus for detecting SSH login attacks
CN103718170B (zh) * 2011-07-29 2017-06-13 惠普发展公司,有限责任合伙企业 用于事件的分布式基于规则的相关的系统和方法
WO2013036269A1 (en) * 2011-09-09 2013-03-14 Hewlett-Packard Development Company, L.P. Systems and methods for evaluation of events based on a reference baseline according to temporal position in a sequence of events

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210137821A (ko) * 2020-05-11 2021-11-18 국방과학연구소 사이버 위협 경보 유형들의 상관관계를 결정하는 방법 및 상기 방법을 수행하는 상관관계 결정 장치
KR102380559B1 (ko) * 2020-05-11 2022-03-30 국방과학연구소 사이버 위협 경보 유형들의 상관관계를 결정하는 방법 및 상기 방법을 수행하는 상관관계 결정 장치

Also Published As

Publication number Publication date
US9407649B2 (en) 2016-08-02
EP2860937A1 (en) 2015-04-15
US20150106930A1 (en) 2015-04-16
EP2860937B1 (en) 2019-05-01
JP2015076863A (ja) 2015-04-20

Similar Documents

Publication Publication Date Title
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
Rahal et al. A distributed architecture for DDoS prediction and bot detection
EP2953298B1 (en) Log analysis device, information processing method and program
JP6528448B2 (ja) ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
US12081569B2 (en) Graph-based analysis of security incidents
EP3772004B1 (en) Malicious incident visualization
US11057411B2 (en) Log analysis device, log analysis method, and log analysis program
US20230018096A1 (en) Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program
EP3337106B1 (en) Identification system, identification device and identification method
US11500987B2 (en) Incident effect range estimation device, incident effect range estimation method, storage medium, and system
CN110896386B (zh) 识别安全威胁的方法、装置、存储介质、处理器和终端
KR101940512B1 (ko) 공격특성 dna 분석 장치 및 그 방법
US20230275908A1 (en) Thumbprinting security incidents via graph embeddings
CN113645215A (zh) 异常网络流量数据的检测方法、装置、设备及存储介质
Rastogi et al. Network anomalies detection using statistical technique: a chi-square approach
US20250088521A1 (en) Identifying similarities in complex objects at scale
CN117879933A (zh) 告警日志的处理方法、装置及设备
US20220060485A1 (en) Threat forecasting
CN118200022B (zh) 基于大数据网络恶意攻击的数据加密方法及系统
RU2781822C1 (ru) Система и способ автоматической оценки качества сигнатур сетевого трафика
CN118509250B (zh) 基于抗毁性测试技术的网络安全漏洞检测方法及系统
EP4332804A2 (en) System for automatically evaluating the quality of network traffic signatures
CN120639666A (zh) 一种网络流量的监测方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160606

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170307

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170404

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170501

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170801

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170814

R150 Certificate of patent or registration of utility model

Ref document number: 6201614

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees