JP6296915B2 - 解析装置及び解析方法及びプログラム - Google Patents
解析装置及び解析方法及びプログラム Download PDFInfo
- Publication number
- JP6296915B2 JP6296915B2 JP2014126458A JP2014126458A JP6296915B2 JP 6296915 B2 JP6296915 B2 JP 6296915B2 JP 2014126458 A JP2014126458 A JP 2014126458A JP 2014126458 A JP2014126458 A JP 2014126458A JP 6296915 B2 JP6296915 B2 JP 6296915B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- suspicious
- destination
- terminal
- suspicious communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、不審な通信を解析する技術に関する。
近年、マルウェアが機密情報を組織外に漏洩させる事故が問題となっている。
マルウェアを用いたサイバー攻撃は高度化されつつあり、例えば、非特許文献1に示されるAPT(高度かつ継続的な脅威:Advanced・Persistent・Threat)と呼ばれる攻撃等がある。
マルウェアを用いたサイバー攻撃は高度化されつつあり、例えば、非特許文献1に示されるAPT(高度かつ継続的な脅威:Advanced・Persistent・Threat)と呼ばれる攻撃等がある。
APTでは、添付メールなどで組織に侵入したマルウェアが、計算機に感染し、さらに、攻撃者が運用するインターネット上のC&C(Command&Control)サーバと通信し、新しいマルウェアや攻撃ツールをダウンロードしたり自身をアップデートする。
そして、マルウェアはC&Cサーバから命令を受信して、組織内を偵察し、ファイルサーバを見つけ、機密ファイルをC&Cサーバへ通信で漏洩する。
これらの各活動を、攻撃とみなした場合、各攻撃は、長時間かけて段階的に行われる。
例えば、計算機に感染したマルウェアは、感染後、1ヶ月は活動せず身を潜め、1ヶ月後にC&Cサーバと通信を開始する。
このように、APTでは、複数の攻撃が時間をおいて行われる。
そして、マルウェアはC&Cサーバから命令を受信して、組織内を偵察し、ファイルサーバを見つけ、機密ファイルをC&Cサーバへ通信で漏洩する。
これらの各活動を、攻撃とみなした場合、各攻撃は、長時間かけて段階的に行われる。
例えば、計算機に感染したマルウェアは、感染後、1ヶ月は活動せず身を潜め、1ヶ月後にC&Cサーバと通信を開始する。
このように、APTでは、複数の攻撃が時間をおいて行われる。
さらに、水飲み場攻撃と呼ばれる攻撃が注目されている。
水飲み場攻撃とは、攻撃者が標的とする組織が閲覧することが予想される、インターネット上のWebサイトを侵害し、Webサイトを改ざんして、悪性Webサイトへのリンクを仕込んだり、マルウェアをホスティングする攻撃である。
また、C&Cサーバとして悪用する場合もある。
このように、攻撃者が標的とする組織が閲覧することが予想されるWebサイトを改ざんすることで、標的とする組織が当Webサイトを閲覧した場合に、悪性サイトへ誘導したり、マルウェアに感染させたり、C&Cサーバとして悪用できる。
標的とする組織は正規のサイトを閲覧している間に攻撃されていることになり、攻撃に気づかないことが多い。
また、標的とする組織以外の組織がアクセスした場合は攻撃を行わない場合があり、つまり、そのWebサイトにアクセスした誰に対しても攻撃を行うわけではないので、そのWebサイトが侵害されていることが世の中に知れ渡りにくい。
水飲み場攻撃とは、攻撃者が標的とする組織が閲覧することが予想される、インターネット上のWebサイトを侵害し、Webサイトを改ざんして、悪性Webサイトへのリンクを仕込んだり、マルウェアをホスティングする攻撃である。
また、C&Cサーバとして悪用する場合もある。
このように、攻撃者が標的とする組織が閲覧することが予想されるWebサイトを改ざんすることで、標的とする組織が当Webサイトを閲覧した場合に、悪性サイトへ誘導したり、マルウェアに感染させたり、C&Cサーバとして悪用できる。
標的とする組織は正規のサイトを閲覧している間に攻撃されていることになり、攻撃に気づかないことが多い。
また、標的とする組織以外の組織がアクセスした場合は攻撃を行わない場合があり、つまり、そのWebサイトにアクセスした誰に対しても攻撃を行うわけではないので、そのWebサイトが侵害されていることが世の中に知れ渡りにくい。
APTの対策には、様々な方法がある。
APT対策の製品として、メールによる侵入を防止する製品、情報漏洩を防止する製品などがある。
また、APT対策の方法の一つとして自動的にログ分析する方法がある。
自動的にログ分析する方法は、計算機、サーバ、ルータ等のネットワーク機器、ファイアウォール、侵入検知システム等のセキュリティ機器等のログを分析し、相互の相関関係を調べる、あるいはログから異常な記録を見つけることでAPTを検知する、あるいは経過を観察する方法がある。
APT対策の製品として、メールによる侵入を防止する製品、情報漏洩を防止する製品などがある。
また、APT対策の方法の一つとして自動的にログ分析する方法がある。
自動的にログ分析する方法は、計算機、サーバ、ルータ等のネットワーク機器、ファイアウォール、侵入検知システム等のセキュリティ機器等のログを分析し、相互の相関関係を調べる、あるいはログから異常な記録を見つけることでAPTを検知する、あるいは経過を観察する方法がある。
ファイアウォール、あるいは侵入検知システム等のセキュリティ機器のログなどの相関関係を調べることで自動的に異常を検知する製品の例として、SIEM(セキュリティ情報およびイベント管理:Security・Information・and・Event・Management)システムがある(特許文献1参照)。
SIEMシステムは、統合ログ監視システムなどと呼ばれることもある。
SIEMシステムは、統合ログ監視システムなどと呼ばれることもある。
また、各種ログを様々なキーワードでドリルダウンする、あるいは時系列で状況変化を表示する等により、人間が異常を発見するログ分析システムがある。
APTでも水飲み場攻撃に関するものは正規サイトが改ざんされるため、URL(Uniform Resource Locator)フィルタやWebレピュテーションが無効である。
「新しいタイプの攻撃」の対策に向けた設計・運用ガイド,改訂第2版,IPA
水飲み場攻撃に関しては、正規サイトが改ざんされるため、URLフィルタやWebレピュテーションが無効である。
サンドボックス型のマルウェア検知システムは、マルウェアが感染してすぐに動き出す場合は検知できるが、時間をおいたり、あるイベントをきっかけに動き出す場合は検知漏れする。
また、マルウェアが暗号化されていた場合は、マルウェア検知システムで復号できないため検知漏れする。
アンチウイルスソフトも、新種のマルウェアの場合はシグネチャの作成が遅れ検知漏れすることがある。
振る舞い検知型のアンチウイルスソフトであっても方式に依存し検知漏れが発生する課題がある。
サンドボックス型のマルウェア検知システムは、マルウェアが感染してすぐに動き出す場合は検知できるが、時間をおいたり、あるイベントをきっかけに動き出す場合は検知漏れする。
また、マルウェアが暗号化されていた場合は、マルウェア検知システムで復号できないため検知漏れする。
アンチウイルスソフトも、新種のマルウェアの場合はシグネチャの作成が遅れ検知漏れすることがある。
振る舞い検知型のアンチウイルスソフトであっても方式に依存し検知漏れが発生する課題がある。
この様に、各々のセキュリティ機器で水飲み場攻撃を検知することは困難なため、セキュリティ機器や通信機器のログを突き合わせて分析することが望ましい。
本発明は、上記のような、水飲み場攻撃を含めた不正な通信を検知することを主な目的とする。
本発明に係る解析装置は、
不審な通信を行った機器である不審通信機器と、前記不審通信機器の通信先である不審通信先とが検知された場合に、前記不審通信機器以外の機器であって前記不審通信先との通信履歴がある機器を解析対象機器として抽出する機器抽出部と、
前記解析対象機器と前記不審通信先との通信履歴を解析して、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定する通信判定部とを有することを特徴とする。
不審な通信を行った機器である不審通信機器と、前記不審通信機器の通信先である不審通信先とが検知された場合に、前記不審通信機器以外の機器であって前記不審通信先との通信履歴がある機器を解析対象機器として抽出する機器抽出部と、
前記解析対象機器と前記不審通信先との通信履歴を解析して、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定する通信判定部とを有することを特徴とする。
本発明では、不審通信先との通信履歴がある機器を解析対象機器として抽出し、解析対象機器と不審通信先との通信履歴を解析して、不審通信機器と不審通信先との通信が不正な通信であるか否かを判定する。
このように、不審通信機器と不審通信先との通信履歴のみならず、解析対象機器と不審通信先との通信履歴も解析することで、水飲み場攻撃を含めた不正な通信を検知することができる。
このように、不審通信機器と不審通信先との通信履歴のみならず、解析対象機器と不審通信先との通信履歴も解析することで、水飲み場攻撃を含めた不正な通信を検知することができる。
実施の形態1.
本実施の形態及び以降の実施の形態では、複数のセキュリティログを分析することで水飲み場攻撃を含めたサイバー攻撃の検知を行う構成を説明する。
本実施の形態及び以降の実施の形態では、複数のセキュリティログを分析することで水飲み場攻撃を含めたサイバー攻撃の検知を行う構成を説明する。
図1は、本実施の形態に係るセキュリティログ分析装置1を示す図である。
図1を用いて、セキュリティログ分析装置1の動作の概要について説明する。
なお、セキュリティログ分析装置1は、解析装置の例に相当する。
図1を用いて、セキュリティログ分析装置1の動作の概要について説明する。
なお、セキュリティログ分析装置1は、解析装置の例に相当する。
図1に示すように、セキュリティログ分析装置1は、入力部101、解釈部102、攻撃判定部103、出力部104、セキュリティ対策情報検索部201、ログ検索部202、端末設定情報検索部203、インベントリ情報検索部204を備える。
また、セキュリティログ分析装置1は、セキュリティ対策情報DB301、ログDB302、端末設定情報DB303、インベントリ情報DB304を備える。
また、セキュリティログ分析装置1は、セキュリティ対策情報DB301、ログDB302、端末設定情報DB303、インベントリ情報DB304を備える。
入力部101は、検知1201’を入力し、検知データ1101を出力する。
解釈部102は、検知データ1101を入力し、検知情報1102を出力する。
解釈部102は、検知データ1101を入力し、検知情報1102を出力する。
セキュリティ対策情報検索部201は、セキュリティ対策情報検索条件1103を入力し、セキュリティ対策情報検索条件1103’を出力してセキュリティ対策情報DB301を検索する。
セキュリティ対策情報検索部201は、セキュリティ対策情報DB301から、検索結果であるセキュリティ対策情報1104を入力する。
さらに、セキュリティ対策情報検索部201は、入力したセキュリティ対策情報1104を攻撃判定部103へ出力する。
セキュリティ対策情報検索部201は、セキュリティ対策情報DB301から、検索結果であるセキュリティ対策情報1104を入力する。
さらに、セキュリティ対策情報検索部201は、入力したセキュリティ対策情報1104を攻撃判定部103へ出力する。
セキュリティ対策情報DB301は、攻撃情報と対策に関わる情報を保存する。
ログ検索部202は、ログ検索条件1105を入力し、ログ検索条件1105’を出力してログDB302を検索する。
ログ検索部202は、ログDB302から、検索結果であるログエントリ1106を入力する。
さらに、ログ検索部202は、入力したログエントリ1106を攻撃判定部103へ出力する。
ログ検索部202は、機器抽出部の例に相当する。
ログ検索部202は、ログDB302から、検索結果であるログエントリ1106を入力する。
さらに、ログ検索部202は、入力したログエントリ1106を攻撃判定部103へ出力する。
ログ検索部202は、機器抽出部の例に相当する。
ログDB302は、プロキシログや端末ログなど様々なログを保存する。
端末設定情報検索部203は、端末設定情報検索条件1107を入力し、端末設定情報検索条件1107’を出力して端末設定情報DB303を検索する。
端末設定情報検索部203は、端末設定情報DB303から、検索結果である端末設定情報1108を入力する。
さらに、端末設定情報検索部203は、入力した端末設定情報1108を攻撃判定部103へ出力する。
端末設定情報検索部203は、端末設定情報DB303から、検索結果である端末設定情報1108を入力する。
さらに、端末設定情報検索部203は、入力した端末設定情報1108を攻撃判定部103へ出力する。
端末設定情報DB303は、PC(Personal Computer)やサーバなどの端末のOS(Operating System)や、ブラウザやメーラなどのソフトウェアの設定情報を保存する。
また、端末設定情報DB303は、ブラウザやメーラの設定、ネットワークの設定などにアクセス可能なプロセス、アプリケーション名の情報も保存する。
また、端末設定情報DB303は、ブラウザやメーラの設定、ネットワークの設定などにアクセス可能なプロセス、アプリケーション名の情報も保存する。
インベントリ情報検索部204は、インベントリ情報検索条件1109を入力し、インベントリ情報検索条件1109’を出力してインベントリ情報DB304を検索する。
インベントリ情報検索部204は、インベントリ情報DB304から、検索結果であるインベントリ情報1110を入力する。
さらに、インベントリ情報検索部204は、入力したインベントリ情報1110を攻撃判定部103へ出力する。
インベントリ情報検索部204は、インベントリ情報DB304から、検索結果であるインベントリ情報1110を入力する。
さらに、インベントリ情報検索部204は、入力したインベントリ情報1110を攻撃判定部103へ出力する。
インベントリ情報DB304は、PCやサーバなどの端末の、資産ID(Identifier)、IP(Internet Protocol)アドレス、使用OSやアプリケーション、パッチ適用状況、アカウント権限などの情報を保存する。
攻撃判定部103は、検知情報1102、セキュリティ対策情報1104、ログエントリ1106、端末設定情報1108、インベントリ情報1110を入力し、分析結果1111を出力部104に出力する。
また、攻撃判定部103は、セキュリティログ分析装置1の外部から、攻撃判定条件1202、セキュリティ対策情報検索条件1203、ログ検索条件1204、端末設定情報検索条件1205、インベントリ情報検索条件1206を入力する。
攻撃判定部103は、通信判定部の例に相当する。
また、攻撃判定部103は、セキュリティログ分析装置1の外部から、攻撃判定条件1202、セキュリティ対策情報検索条件1203、ログ検索条件1204、端末設定情報検索条件1205、インベントリ情報検索条件1206を入力する。
攻撃判定部103は、通信判定部の例に相当する。
図2は、本実施の形態に係る検知1201’の構成の一例を示す図である。
図3は、本実施の形態に係るセキュリティ対策情報1104の構成の一例を示す図である。
図4は、本実施の形態に係るインベントリ情報1110の構成の一例を示す図である。
インベントリ情報1110は、資産識別情報1110_a、資産OS情報1110_b、資産アプリ情報1110_c、資産実行情報1100_d、資産セキュリティ施策情報1110_eで構成される。
資産識別情報1110_aは、端末やサーバやセキュリティ機器の資産ID(識別子)、IPアドレス、MACアドレス、(その資産を使用するユーザの)ユーザIDなどで構成される。
資産OS情報1110_bは、インストールされているOSの情報(製品ID、バージョン情報)、そのOSに適用しているパッチの情報(適用パッチ。パッチIDで識別する)、そのOSに適用している回避策の情報(適用回避策。回避策IDで識別する)などで構成される。
資産アプリ情報1110_cは、インストールされている(アプリケーション)ソフトウエアの情報(アプリ。製品ID、バージョン情報)、そのソフトウエアに適用しているパッチの情報(適用パッチ。パッチIDで識別する)、そのソフトウエアに適用している回避策(適用回避策。回避策IDで識別する)などで構成される。
資産実行情報1100_dは、資産にインストールされたOSやアプリケーションソフトウエアを実行するための権限の情報であり、実行権限である。
資産セキュリティ施策情報1110_eは、資産におけるセキュリティ施策(OSやソフトウエアについて、実施しているセキュリティに関わる設定や、アンチウイルスソフトウエアなどのセキュリティ施策について、製品名、バージョン、パターンファイル番号など)の情報である。
インベントリ情報1110は、さらに、この資産(端末やサーバやセキュリティ機器)の用途として、開発用途、人事用途などの情報を含んでもよく、また、どの様な種類のファイル(設計ファイル、人事秘ファイルなど)を保存しているかの情報でもよい。また、ハードウエア、ソフトウエアの構成情報を含んでもよい。
図5は、本実施の形態に係る端末設定情報1108の構成の一例を示す図である。
端末設定情報1108は、各種ファイルが格納されているディレクトリなどの位置、ブラウザの設定(プロキシなど)、メーラの設定(メールアドレスなど)などの、端末の設定に関する情報である。また、ブラウザはどのファイルにアクセスできるか、どのプロセスを起動するか、起動したプロセスが何のファイルや情報にアクセスするか、といったアプリケーションに固有の情報を有する。また、特定のファイルに対してアクセス可能なプロセス名の情報が含まれてもよい。
図3は、本実施の形態に係るセキュリティ対策情報1104の構成の一例を示す図である。
図4は、本実施の形態に係るインベントリ情報1110の構成の一例を示す図である。
インベントリ情報1110は、資産識別情報1110_a、資産OS情報1110_b、資産アプリ情報1110_c、資産実行情報1100_d、資産セキュリティ施策情報1110_eで構成される。
資産識別情報1110_aは、端末やサーバやセキュリティ機器の資産ID(識別子)、IPアドレス、MACアドレス、(その資産を使用するユーザの)ユーザIDなどで構成される。
資産OS情報1110_bは、インストールされているOSの情報(製品ID、バージョン情報)、そのOSに適用しているパッチの情報(適用パッチ。パッチIDで識別する)、そのOSに適用している回避策の情報(適用回避策。回避策IDで識別する)などで構成される。
資産アプリ情報1110_cは、インストールされている(アプリケーション)ソフトウエアの情報(アプリ。製品ID、バージョン情報)、そのソフトウエアに適用しているパッチの情報(適用パッチ。パッチIDで識別する)、そのソフトウエアに適用している回避策(適用回避策。回避策IDで識別する)などで構成される。
資産実行情報1100_dは、資産にインストールされたOSやアプリケーションソフトウエアを実行するための権限の情報であり、実行権限である。
資産セキュリティ施策情報1110_eは、資産におけるセキュリティ施策(OSやソフトウエアについて、実施しているセキュリティに関わる設定や、アンチウイルスソフトウエアなどのセキュリティ施策について、製品名、バージョン、パターンファイル番号など)の情報である。
インベントリ情報1110は、さらに、この資産(端末やサーバやセキュリティ機器)の用途として、開発用途、人事用途などの情報を含んでもよく、また、どの様な種類のファイル(設計ファイル、人事秘ファイルなど)を保存しているかの情報でもよい。また、ハードウエア、ソフトウエアの構成情報を含んでもよい。
図5は、本実施の形態に係る端末設定情報1108の構成の一例を示す図である。
端末設定情報1108は、各種ファイルが格納されているディレクトリなどの位置、ブラウザの設定(プロキシなど)、メーラの設定(メールアドレスなど)などの、端末の設定に関する情報である。また、ブラウザはどのファイルにアクセスできるか、どのプロセスを起動するか、起動したプロセスが何のファイルや情報にアクセスするか、といったアプリケーションに固有の情報を有する。また、特定のファイルに対してアクセス可能なプロセス名の情報が含まれてもよい。
次に、図1〜図6を用いて、セキュリティログ分析装置1の動作について説明する。
本実施の形態では、端末は、端末が配置される組織のプロキシサーバを経由してインターネットのWebサイトに接続するものとする。
図1に示すように、入力部101は、検知1201’を入力する。
検知1201’は、図2に示す検知1201が、フォーマット化された情報である。
図2に示すように、検知1201は、以下の内容から構成される。
(a)日時:攻撃が発生した日時。
(b)攻撃ID:攻撃を識別する情報。
(c)攻撃種別:攻撃の種別(例えば、不審なWebアクセス、DoS攻撃、権限昇格など)。
(d)脆弱性ID:攻撃がソフトウェアなどの脆弱性を悪用することで成り立つ場合、その識別情報(例えば、CVE番号(脆弱性識別番号))。
(e)攻撃元情報:SourceIP/Port、資産IDなど攻撃元若しくは通信元に関する情報(通信元情報)。
(f)攻撃先情報:DestinationIP/Port、URL、資産IDなど攻撃先若しくは通信先に関する情報(通信先情報)。
このような情報は、例えば、IPS(Intrusion Prevention System)などのセキュリティ機器による攻撃の検知結果として通知される。
或いは、セキュリティログ分析装置1の外部で、プロキシログを分析した結果、不審なWebサイト((f)攻撃先情報)へ、ある端末((e)攻撃元情報)から定期的/不規則に、通信が発生していることが、検知1201’として入力される。
検知1201’は、図2に示す検知1201が、フォーマット化された情報である。
図2に示すように、検知1201は、以下の内容から構成される。
(a)日時:攻撃が発生した日時。
(b)攻撃ID:攻撃を識別する情報。
(c)攻撃種別:攻撃の種別(例えば、不審なWebアクセス、DoS攻撃、権限昇格など)。
(d)脆弱性ID:攻撃がソフトウェアなどの脆弱性を悪用することで成り立つ場合、その識別情報(例えば、CVE番号(脆弱性識別番号))。
(e)攻撃元情報:SourceIP/Port、資産IDなど攻撃元若しくは通信元に関する情報(通信元情報)。
(f)攻撃先情報:DestinationIP/Port、URL、資産IDなど攻撃先若しくは通信先に関する情報(通信先情報)。
このような情報は、例えば、IPS(Intrusion Prevention System)などのセキュリティ機器による攻撃の検知結果として通知される。
或いは、セキュリティログ分析装置1の外部で、プロキシログを分析した結果、不審なWebサイト((f)攻撃先情報)へ、ある端末((e)攻撃元情報)から定期的/不規則に、通信が発生していることが、検知1201’として入力される。
セキュリティログ分析装置1は、検知1201’を、例えば、UDP(User Datagram Protocol)やTCP(Transmission Control Protocol)パケットとして入力する。
検知1201’は、パケットのボディ部に検知1201を格納する形でフォーマット化される。
検知1201’は、セキュリティ機器のログファイルに記録されたログのエントリでもよい。
検知1201’は、パケットのボディ部に検知1201を格納する形でフォーマット化される。
検知1201’は、セキュリティ機器のログファイルに記録されたログのエントリでもよい。
入力部101は、(検知1201がフォーマット化された情報である)検知1201’から、検知1201’がパケットの場合はボディ部を、ログエントリの場合は、そのエントリである検知データ1101を取り出し、解釈部102へ出力する。
すなわち、検知データ1101とは、検知1201のことである。
すなわち、検知データ1101とは、検知1201のことである。
解釈部102は、検知1201である検知データ1101を入力する。
解釈部102は、入力した検知データ1101を、日時、攻撃ID、攻撃種別、脆弱性ID、攻撃元情報、攻撃先情報などの構成要素に分解する(解釈する)。
解釈部102は、この結果を、攻撃判定部103に入力する。
解釈部102は、入力した検知データ1101を、日時、攻撃ID、攻撃種別、脆弱性ID、攻撃元情報、攻撃先情報などの構成要素に分解する(解釈する)。
解釈部102は、この結果を、攻撃判定部103に入力する。
攻撃判定部103は、攻撃元情報、攻撃先情報のうち、監視対象の組織内の機器に該当する情報を選択する。
例えば、攻撃元情報が組織内の端末のIPアドレスであれば、攻撃元情報を選択する。
ここで、検知1201’で通知された攻撃元情報(通信元情報)で識別される端末が、組織内の端末Aであるとする(図6のS103_1)。
なお、攻撃元情報(通信元情報)で識別される端末は、不審な通信を行った機器であり、不審通信機器に相当する。
また、攻撃先情報(通信先情報)で識別される通信先は、不審通信機器の通信先であり、不審通信先に相当する。
例えば、攻撃元情報が組織内の端末のIPアドレスであれば、攻撃元情報を選択する。
ここで、検知1201’で通知された攻撃元情報(通信元情報)で識別される端末が、組織内の端末Aであるとする(図6のS103_1)。
なお、攻撃元情報(通信元情報)で識別される端末は、不審な通信を行った機器であり、不審通信機器に相当する。
また、攻撃先情報(通信先情報)で識別される通信先は、不審通信機器の通信先であり、不審通信先に相当する。
次に、攻撃判定部103は、セキュリティ対策情報検索条件1103として、通知された攻撃種別若しくは脆弱性IDを指定して、セキュリティ対策情報検索部201へ出力する。
セキュリティ対策情報検索部201はセキュリティ対策情報検索条件1103をもとに、セキュリティ対策情報DB301に対して、セキュリティ対策情報検索条件1103’を出力し、該当する情報を検索して、セキュリティ対策情報1104(図3)を入力し、さらに、攻撃判定部103へ出力する(図6のS103_2)。
セキュリティ対策情報1104の一例として図3を用いて説明する。
セキュリティ対策情報1104は、攻撃識別情報1107_a、攻撃情報1107_b、対策識別情報1107_c、対策情報1107_d、対策実施の有無1107_eで構成される。
攻撃識別情報1107_aは、攻撃ID(識別情報)、攻撃種別、脆弱性IDで構成される。
攻撃情報1107_bは、影響を受ける製品の情報(製品ID、バージョン情報、パッチIDなど)、必要とする実行権限(管理者権限など)、キーワード(攻撃情報を表す文言)などの情報で構成される。
対策識別情報1107_cは、(攻撃に対する対策の情報の)対策IDである。
対策情報1107_dは、(IDSなどのシグネチャの)シグネチャID、(脆弱性を修正するパッチの)パッチID、(脆弱性を回避するための回避策の)回避策ID、回避策内容などの情報で構成される。
対策実施の有無1107_eは、情報システムにおいて、対策を実施したか否かの情報(対策情報の有無)である。
セキュリティ対策情報検索部201はセキュリティ対策情報検索条件1103をもとに、セキュリティ対策情報DB301に対して、セキュリティ対策情報検索条件1103’を出力し、該当する情報を検索して、セキュリティ対策情報1104(図3)を入力し、さらに、攻撃判定部103へ出力する(図6のS103_2)。
セキュリティ対策情報1104の一例として図3を用いて説明する。
セキュリティ対策情報1104は、攻撃識別情報1107_a、攻撃情報1107_b、対策識別情報1107_c、対策情報1107_d、対策実施の有無1107_eで構成される。
攻撃識別情報1107_aは、攻撃ID(識別情報)、攻撃種別、脆弱性IDで構成される。
攻撃情報1107_bは、影響を受ける製品の情報(製品ID、バージョン情報、パッチIDなど)、必要とする実行権限(管理者権限など)、キーワード(攻撃情報を表す文言)などの情報で構成される。
対策識別情報1107_cは、(攻撃に対する対策の情報の)対策IDである。
対策情報1107_dは、(IDSなどのシグネチャの)シグネチャID、(脆弱性を修正するパッチの)パッチID、(脆弱性を回避するための回避策の)回避策ID、回避策内容などの情報で構成される。
対策実施の有無1107_eは、情報システムにおいて、対策を実施したか否かの情報(対策情報の有無)である。
次に、攻撃判定部103は、ログ検索条件1105として、通知された攻撃先(通信先)情報、検索期間、ログ種類を指定して、ログ検索部202へ出力する。
ここで、検索期間はログ検索条件1204で例えば、「検知の発生した日時を基準に前後24時間」として指定されたものである。
従って、検知情報1102で通知された攻撃が発生した日時の前後24時間を検索期間とする。
ログ種類は、ログ検索条件1105で指定されたログ種類であり、例えば、プロキシログである。
ログ種類は、通知された攻撃IDや攻撃種別に対して、予めどのログ種類を調べるかログ検索条件1204で指定する。
または、セキュリティログ分析装置1の運用者が予め指定して、同装置内に保存しておく。
この場合は、「不審なWebアクセスが通知された場合は、プロキシログを調べる」という指定をログ検索条件1204で指定する。
ここで、検索期間はログ検索条件1204で例えば、「検知の発生した日時を基準に前後24時間」として指定されたものである。
従って、検知情報1102で通知された攻撃が発生した日時の前後24時間を検索期間とする。
ログ種類は、ログ検索条件1105で指定されたログ種類であり、例えば、プロキシログである。
ログ種類は、通知された攻撃IDや攻撃種別に対して、予めどのログ種類を調べるかログ検索条件1204で指定する。
または、セキュリティログ分析装置1の運用者が予め指定して、同装置内に保存しておく。
この場合は、「不審なWebアクセスが通知された場合は、プロキシログを調べる」という指定をログ検索条件1204で指定する。
従って、ログ検索条件1105は、以下の条件となる。
・検索期間:攻撃が発生した日時(2014/03/21:12:00:00とする)の前後24時間を検索期間(2014/03/20:12:00:00〜2014/03/22:12:00:00とする)
・宛先:通知されたURL(www.○×△.netとする)
・検索するログ:プロキシログ
・検索期間:攻撃が発生した日時(2014/03/21:12:00:00とする)の前後24時間を検索期間(2014/03/20:12:00:00〜2014/03/22:12:00:00とする)
・宛先:通知されたURL(www.○×△.netとする)
・検索するログ:プロキシログ
ログ検索部202は、このログ検索条件1105を入力し、ログ検索条件1105’としてログDB302に対して該当するログを検索し、検索結果をログエントリ1106として入力し、さらに、攻撃判定部103へ出力する(図6のS103_3)。
この結果、該当するログエントリから、指定した期間に通知されたURL(www.○×△.net)と通信した端末の識別情報(例:IPアドレス)がわかる。
この端末には端末Aも含まれる。
ここで、取得されたログを以下とする(図6のS103_3)。
・端末Aに関わるもの:LogA
・端末Bi(i=1〜n)に関わるもの:LogBi(i=1〜n)
ここで、端末Bi(i=1〜n)は、検索期間において通知されたURLにアクセスした端末A以外の端末である。
なお、ログ検索部202により抽出された端末Bi(i=1〜n)は、不審通信機器である端末A以外の端末であって、不審通信先であるURL(www.○×△.net)との通信履歴がある機器であり、解析対象機器の例である。
この結果、該当するログエントリから、指定した期間に通知されたURL(www.○×△.net)と通信した端末の識別情報(例:IPアドレス)がわかる。
この端末には端末Aも含まれる。
ここで、取得されたログを以下とする(図6のS103_3)。
・端末Aに関わるもの:LogA
・端末Bi(i=1〜n)に関わるもの:LogBi(i=1〜n)
ここで、端末Bi(i=1〜n)は、検索期間において通知されたURLにアクセスした端末A以外の端末である。
なお、ログ検索部202により抽出された端末Bi(i=1〜n)は、不審通信機器である端末A以外の端末であって、不審通信先であるURL(www.○×△.net)との通信履歴がある機器であり、解析対象機器の例である。
次に、攻撃判定部103は、インベントリ情報検索部204に、インベントリ情報検索条件1109を出力する。
インベントリ情報検索条件1109は、インベントリ情報検索条件で指定された「検索期間と検索対象」を用いて攻撃判定部103により生成される。
ここで、インベントリ情報は、端末にインストールされたOSとソフトウェアの情報、及び、これらのパッチ情報とする。
検索期間は、攻撃が発生した日時(2014/03/21:12:00:00)の前後24時間を検索期間(2014/03/20:12:00:00〜2014/03/22:12:00:00)とする。
インベントリ情報検索条件1109は、インベントリ情報検索条件で指定された「検索期間と検索対象」を用いて攻撃判定部103により生成される。
ここで、インベントリ情報は、端末にインストールされたOSとソフトウェアの情報、及び、これらのパッチ情報とする。
検索期間は、攻撃が発生した日時(2014/03/21:12:00:00)の前後24時間を検索期間(2014/03/20:12:00:00〜2014/03/22:12:00:00)とする。
インベントリ情報検索条件1109は、以下の条件となる。
・検索期間:攻撃が発生した日時(2014/03/21:12:00:00)の前後24時間(2014/03/20:12:00:00〜2014/03/22:12:00:00)
・検索対象:検知1201’で通知された攻撃先情報(通信先情報)に対して、検索期間にアクセスした端末
・検索期間:攻撃が発生した日時(2014/03/21:12:00:00)の前後24時間(2014/03/20:12:00:00〜2014/03/22:12:00:00)
・検索対象:検知1201’で通知された攻撃先情報(通信先情報)に対して、検索期間にアクセスした端末
この結果、検索対象は端末A、端末Bi(i=1〜n)となる。
インベントリ情報検索部204は、インベントリ情報検索条件1109を入力し、インベントリ情報検索条件1109’としてインベントリ情報DB304へ出力し、該当するインベントリ情報1110を入力し、さらに、攻撃判定部103へ出力する。
この結果、得られたインベントリ情報を以下とする(図6のS103_4)。
InvA:端末Aのインベントリ情報
InvBi:端末Biのインベントリ情報(i=1〜n)
この結果、得られたインベントリ情報を以下とする(図6のS103_4)。
InvA:端末Aのインベントリ情報
InvBi:端末Biのインベントリ情報(i=1〜n)
攻撃判定部103は次のように、検知1201’で通知された通信が攻撃(不正な通信)か、以下の処理で判定する(図6のS103_5)。
ここでは、説明を簡潔にするため、端末Bi(i=1〜n)については、n=1として端末B1で表現する。
ここでは、説明を簡潔にするため、端末Bi(i=1〜n)については、n=1として端末B1で表現する。
攻撃判定部103は、セキュリティ対策情報(図3)で示された攻撃情報について、端末Aと端末B1のインベントリ情報を照合して、各端末でセキュリティ対策が施されているか確認する。
インベントリ情報には、インストールしているOSとソフトウェア、それらのパッチ適用情報が存在するため、端末Aと端末B1において差異があるか確認する。
ここでは、図3の対策情報1107_dのパッチIDを用いて、パッチの適用状態を確認する。
「最新のパッチ」が適用されているかどうかを、端末A、B1ごとにパッチの適用/未適用で示している。
インベントリ情報には、インストールしているOSとソフトウェア、それらのパッチ適用情報が存在するため、端末Aと端末B1において差異があるか確認する。
ここでは、図3の対策情報1107_dのパッチIDを用いて、パッチの適用状態を確認する。
「最新のパッチ」が適用されているかどうかを、端末A、B1ごとにパッチの適用/未適用で示している。
ここで、ログ検索部202から、端末Aと端末B1が、2014/03/20:12:00:00〜2014/03/22:12:00:00の期間に、www.○×△.netへ通信した記録がプロキシログから、ログエントリ1106として得られている。
つまり、ログエントリ1106は、前に定義したLogAとLogBi(i=1、つまりLogB1)である。
つまり、ログエントリ1106は、前に定義したLogAとLogBi(i=1、つまりLogB1)である。
ここで、攻撃判定部103は、端末B1のwww.○×△.netに対する通信について不審か否かを、LogB1に対して、予め定めた方法で分析する。
その方法は従来技術を利用してよく、例えば、通信の傾向が定期的である、頻度が極端に高いなどで判定する。
その結果により、不審通信有、不審通信無を判定する(図6のS103_5)。
その方法は従来技術を利用してよく、例えば、通信の傾向が定期的である、頻度が極端に高いなどで判定する。
その結果により、不審通信有、不審通信無を判定する(図6のS103_5)。
次に、攻撃判定部103は、表1において、端末Aと端末B1の通信とパッチの適用状態を比較して、端末Aの通信が正常通信か不正通信か判定する(図6のS103_6)。
図6のS103_4で取得したInvA、InvB1は、2014/03/20:12:00:00〜2014/03/22:12:00:00の期間における、端末Aと端末B1のインベントリ情報であり、これを調べることでこれらの端末の最新のパッチの適用の有無がわかる。
図6のS103_4で取得したInvA、InvB1は、2014/03/20:12:00:00〜2014/03/22:12:00:00の期間における、端末Aと端末B1のインベントリ情報であり、これを調べることでこれらの端末の最新のパッチの適用の有無がわかる。
攻撃判定部103は、端末B1において最新のパッチが未適用+不審通信有である場合に対して、端末Aにおいて最新のパッチが未適用の場合は、後に述べる方法で端末Sと比較する(1)。
攻撃判定部103は、端末B1において最新のパッチが未適用+不審通信無である場合に対して、端末Aにおいて最新のパッチが未適用の場合は、後に述べる方法で端末Sと比較する(2)。
攻撃判定部103は、端末B1において最新のパッチが未適用+不審通信有である場合に対して、端末Aにおいて最新のパッチが適用されている場合は、端末Aの通信を正常通信と判定する(3)。
攻撃判定部103は、端末B1において最新のパッチが未適用+不審通信無である場合に対して、端末Aにおいて最新のパッチが適用されている場合は、端末Aの通信を正常通信と判定する(4)。
攻撃判定部103は、端末B1において最新のパッチが適用されている+不審通信有である場合に対して、端末Aが最新のパッチが未適用の場合は、端末Aの通信と端末B1の通信を比較し類似しているか判定する(5)。
その方法は、既存の技術を適用してよいが、例を2つ示す。
−端末Aと端末B1における、www.○×△.netへのアクセス数を1分毎に、端末Aと端末B1ごとに集計する。集計した結果の平均と分散を、端末Aと端末B1について調べ、差異があるか調べる。差異が無ければ類似、差異があれば、非類似と判定する。
−端末Aと端末B1における、www.○×△.netへのアクセス数を1分毎に、端末Aと端末B1ごとに集計する。次に、集計した結果から、アクセスが発生した時間帯(1分毎)から、次にアクセスが発生した時間帯を調べ、定期的にアクセスが発生しているか、ランダムにアクセスが発生しているかを調べて、傾向を比較する。
攻撃判定部103は、端末Aと端末B1の通信が似ているか判定した結果、類似と判定された場合は、端末Aの通信を正常通信と判定する。
非類似と判定された場合は、不正通信として判定する。
その方法は、既存の技術を適用してよいが、例を2つ示す。
−端末Aと端末B1における、www.○×△.netへのアクセス数を1分毎に、端末Aと端末B1ごとに集計する。集計した結果の平均と分散を、端末Aと端末B1について調べ、差異があるか調べる。差異が無ければ類似、差異があれば、非類似と判定する。
−端末Aと端末B1における、www.○×△.netへのアクセス数を1分毎に、端末Aと端末B1ごとに集計する。次に、集計した結果から、アクセスが発生した時間帯(1分毎)から、次にアクセスが発生した時間帯を調べ、定期的にアクセスが発生しているか、ランダムにアクセスが発生しているかを調べて、傾向を比較する。
攻撃判定部103は、端末Aと端末B1の通信が似ているか判定した結果、類似と判定された場合は、端末Aの通信を正常通信と判定する。
非類似と判定された場合は、不正通信として判定する。
攻撃判定部103は、端末B1において最新のパッチが適用されている+不審通信有である場合に対して、端末Aにおいて最新のパッチが適用されている場合は、端末Aの通信を正常通信と判定する(6)。
攻撃判定部103は、端末B1において、最新のパッチが適用されている場合+不審通信無の場合に対して、端末Aにおいて最新のパッチが適用されていない場合は、端末Aの通信を不正通信と判定する(7)。
攻撃判定部103は、端末B1において、最新のパッチが適用されている場合で不審通信無の場合に対して、端末Aにおいて最新のパッチが適用されている場合は、端末Sと比較する(8)。
ここで、(1)、(2)、(8)については端末Sと比較を行うのでその比較の処理について説明する。
端末Sは、組織内で利用されるブラウザ、ドキュメントアプリケーション、メーラなどがインストールされており、OSやこれらのアプリケーションのパッチの適用が、パッチのリリースと同時に即座に適用され、さらに、振る舞い検知のアンチウイルスソフトウェアなどがインストールされるなどの方法により、現在知られているセキュリティ対策が施されたリファレンス端末である。
この端末は、組織内でよくアクセスするURLに対して、定期的にアクセスを行っている。
従って、2014/03/20:12:00:00〜2014/03/22:12:00:00の期間においてwww.○×△.netへもアクセスしている(組織で利用されているOSが複数の種類あれば、各々について端末Sを用意する)。
なお、端末Sは対策済み機器の例に相当する。
この端末は、組織内でよくアクセスするURLに対して、定期的にアクセスを行っている。
従って、2014/03/20:12:00:00〜2014/03/22:12:00:00の期間においてwww.○×△.netへもアクセスしている(組織で利用されているOSが複数の種類あれば、各々について端末Sを用意する)。
なお、端末Sは対策済み機器の例に相当する。
攻撃判定部103は、2014/03/20:12:00:00〜2014/03/22:12:00:00の期間において、端末Sからのwww.○×△.netへのアクセスのログを、ログ検索部202を経由して取得する。
さらに、表1における、端末Biを端末Sに読み替えて、端末Sにおけるパッチの未適用の行を削除したのが、表2である。
さらに、表1における、端末Biを端末Sに読み替えて、端末Sにおけるパッチの未適用の行を削除したのが、表2である。
ここでも、端末Sの2014/03/20:12:00:00〜2014/03/22:12:00:00の期間において、端末Sからのwww.○×△.netへのアクセスについて、端末B1と同様の方法で不審通信の有無を調べる。
表2における(5’)、(6’)、(7’)については、表1と同じ判定方法である。より具体的には、表1における端末B1を端末Sに読み替える。
つまり、表1の端末B1の最新のパッチ適用の場合における(5)が表2の(5’)に、表1における(6)が表2の(6’)に、表1における(7)が表2の(7’)に該当する。
つまり、表1の端末B1の最新のパッチ適用の場合における(5)が表2の(5’)に、表1における(6)が表2の(6’)に、表1における(7)が表2の(7’)に該当する。
表2において、端末Sが不審通信無で、端末Aが最新のパッチを適用している場合は、攻撃判定部103は、端末Aの通信は不正通信と判定する(9)。
また、図6、表1、表2では、最新のパッチの適用を判断に用いたが、最新のパッチの適用の代わりに、以下のインベントリ情報の差異を判断に使用してもよい。
・端末Aと端末Biにおける、ウイルス検知ソフトウェアの最新バージョンや最新パターンファイルの適用状態。
・端末Aと端末Biにおける、使用しているブラウザの違い、同じである場合はバージョンの違い。
・端末Aと端末Biにおける、使用しているOSの違い、同じである場合はバージョンの違い。
・端末Aと端末Biにおける、使用しているオフィスドキュメントソフトウェアの違い、同じである場合はバージョンの違い。
・端末Aと端末Biが配置されているネットワークのセキュリティ対策の違い。
・端末Aと端末Biにおける、ウイルス検知ソフトウェアの最新バージョンや最新パターンファイルの適用状態。
・端末Aと端末Biにおける、使用しているブラウザの違い、同じである場合はバージョンの違い。
・端末Aと端末Biにおける、使用しているOSの違い、同じである場合はバージョンの違い。
・端末Aと端末Biにおける、使用しているオフィスドキュメントソフトウェアの違い、同じである場合はバージョンの違い。
・端末Aと端末Biが配置されているネットワークのセキュリティ対策の違い。
つまり、実施の形態1では、パッチの適用状態を含めた、端末間のセキュリティ対策の適用状態の差異を判断に用いる。
不審な通信が検知された端末Aと、同じ通信先にアクセスした別の端末があった場合に、別の端末の通信状態と、セキュリティ対策の差異を、端末Aの通信が不正化の判定に用いる。
不審な通信が検知された端末Aと、同じ通信先にアクセスした別の端末があった場合に、別の端末の通信状態と、セキュリティ対策の差異を、端末Aの通信が不正化の判定に用いる。
このように、攻撃判定部103が判定した結果は、分析結果1111として出力部104に出力し、出力部104はセキュリティログ分析装置1の外部に分析結果1300として出力する。
本実施の形態では、説明を簡潔にするために、端末Aと端末B1との比較のみを説明したが、端末Biが複数ある場合は次のように判定してもよい。
・端末Aと端末Biに対して、表1、表2を用いて端末Aの通信が不正か判定する。
i=1〜nについて判定を行い、その結果を、判定結果i(i=1〜n)とする。
・判定結果i(i=1〜n)のうち不正通信と判定した数を計算する。
例えば、n=10において、6つの判定結果が不正通信であったとする。
・不正通信と判定された結果が、あらかじめ定めた閾値を超えたか調べる。
閾値を超えていれば、端末Aの通信は不正であったと判定する。
例えば、閾値が5であれば、6>閾値5 なので不正通信と判定する。
或いは、nに対する不正通信と判定した割合で、判定してもよい。
例えば、閾値を0.5とすれば、6/10=0.6なので、閾値0.5を超えており、不正通信と判定する。
・端末Aと端末Biに対して、表1、表2を用いて端末Aの通信が不正か判定する。
i=1〜nについて判定を行い、その結果を、判定結果i(i=1〜n)とする。
・判定結果i(i=1〜n)のうち不正通信と判定した数を計算する。
例えば、n=10において、6つの判定結果が不正通信であったとする。
・不正通信と判定された結果が、あらかじめ定めた閾値を超えたか調べる。
閾値を超えていれば、端末Aの通信は不正であったと判定する。
例えば、閾値が5であれば、6>閾値5 なので不正通信と判定する。
或いは、nに対する不正通信と判定した割合で、判定してもよい。
例えば、閾値を0.5とすれば、6/10=0.6なので、閾値0.5を超えており、不正通信と判定する。
また、端末A、端末Biは、物理的なユーザ端末に限らず、物理的なサーバであっても、モバイル端末であっても、これらの用途となる仮想端末であっても、それらの組み合わせでもよい。
(実施の形態の効果)
このように、セキュリティログ分析装置1は、装置の外部で不審な通信を発していると判定された端末Aについて、本当に不審な通信か否かを、端末AがアクセスしたWebサイトに同時期にアクセスした端末Bのログを用いて不審通信を行っているか調べ、さらに、インベントリ情報から得られたパッチの適用状態の差異をもとに、端末Aのアクセスが本当に不正か判定できる。
端末AがアクセスしたWebサイトが、正規のサイトであったとしても、同時期に同組織からアクセスした他の端末の通信傾向と比較し、さらにパッチの状況を比較することで、正規のサイトがC&Cサーバとして密かに侵害されていたとしても検知が可能となる。
このように、セキュリティログ分析装置1は、装置の外部で不審な通信を発していると判定された端末Aについて、本当に不審な通信か否かを、端末AがアクセスしたWebサイトに同時期にアクセスした端末Bのログを用いて不審通信を行っているか調べ、さらに、インベントリ情報から得られたパッチの適用状態の差異をもとに、端末Aのアクセスが本当に不正か判定できる。
端末AがアクセスしたWebサイトが、正規のサイトであったとしても、同時期に同組織からアクセスした他の端末の通信傾向と比較し、さらにパッチの状況を比較することで、正規のサイトがC&Cサーバとして密かに侵害されていたとしても検知が可能となる。
実施の形態2.
実施の形態1では、端末Aの攻撃の判定に、端末Aと端末Biのパッチ等のセキュリティ対策状態の差異を用いた。
本実施の形態では、端末Aと端末Biの、端末の用途の差異を判定に用いる。
攻撃者は、興味のある情報を扱える端末に対してのみ攻撃をしかけ、その結果、特定の端末に不正通信が発生している可能性があるため、これを踏まえた実施の形態である。
ここでは、端末Aの用途が人事情報を扱う端末であるとする(人事用途)。
実施の形態1では、端末Aの攻撃の判定に、端末Aと端末Biのパッチ等のセキュリティ対策状態の差異を用いた。
本実施の形態では、端末Aと端末Biの、端末の用途の差異を判定に用いる。
攻撃者は、興味のある情報を扱える端末に対してのみ攻撃をしかけ、その結果、特定の端末に不正通信が発生している可能性があるため、これを踏まえた実施の形態である。
ここでは、端末Aの用途が人事情報を扱う端末であるとする(人事用途)。
実施の形態1との差分を示す。
実施の形態2では、セキュリティ対策情報は使用しない(図6における、S103_2は用いない)。
図6のS103_1、S103_3、S103_4、S103_5の処理は実施の形態1に同じである。
S103_4では、インベントリ情報DBにおいて、各端末の用途を取得し、開発用途の端末Biを抽出する。
S103_6における処理を、表3を用いて説明する。
本実施の形態でも、説明を簡潔にするために、端末B1に関して説明する。
実施の形態2では、セキュリティ対策情報は使用しない(図6における、S103_2は用いない)。
図6のS103_1、S103_3、S103_4、S103_5の処理は実施の形態1に同じである。
S103_4では、インベントリ情報DBにおいて、各端末の用途を取得し、開発用途の端末Biを抽出する。
S103_6における処理を、表3を用いて説明する。
本実施の形態でも、説明を簡潔にするために、端末B1に関して説明する。
攻撃判定部103は、インベントリ情報DBから取得した端末Aの用途(人事用途)と、端末B1の用途(開発用途)を用いて表3に従い端末Aの通信が不正か判定する。
・端末B1が不審通信有の場合は、端末Aの通信は正常通信と判定する(1)
・端末B1が不審通信無の場合は、端末Aの通信は不正通信と判定する(2)
・端末B1が不審通信有の場合は、端末Aの通信は正常通信と判定する(1)
・端末B1が不審通信無の場合は、端末Aの通信は不正通信と判定する(2)
本実施の形態では、端末Aが不審な通信を行っている場合に、端末Aと同じ通信先にアクセスした他の端末B1があった場合に、端末B1の通信が不正か調べ、さらに、端末Aと端末Bの用途の差異から、端末Aの通信が不正通信か判定する。
人事用途の端末Aで不審通信が発生しているが、開発用途の端末B1では不審通信が発生していない場合(表3の(1))は、端末Aを利用する人事部のみで不正通信が発生していると捉えることができる。
このため、表3の(1)に該当する場合は、人事部を狙った攻撃が発生していると判断することができる。
一方、人事用途の端末A、開発用途の端末B1でともに不審通信が発生している場合(表3の(2))は、人事部及び開発部に共通する事象なので、問題がないと捉えることができる。
人事用途の端末Aで不審通信が発生しているが、開発用途の端末B1では不審通信が発生していない場合(表3の(1))は、端末Aを利用する人事部のみで不正通信が発生していると捉えることができる。
このため、表3の(1)に該当する場合は、人事部を狙った攻撃が発生していると判断することができる。
一方、人事用途の端末A、開発用途の端末B1でともに不審通信が発生している場合(表3の(2))は、人事部及び開発部に共通する事象なので、問題がないと捉えることができる。
インベントリ情報DBには、端末の用途の代わりに、アクセス可能なサーバとそのサーバに保存されている情報の種類(開発情報、人事情報など)を含めてもよい。
これにより、各端末がアクセス可能な情報の種類がわかるので、結果として、各端末の用途を調べることが可能となる。
これにより、各端末がアクセス可能な情報の種類がわかるので、結果として、各端末の用途を調べることが可能となる。
実施の形態1のように、端末Biが複数あった場合に、端末Aと各端末Bi間の比較により不正通信と判定された合計数を、閾値と比較して、端末Aの通信を不正通信と判定してもよい。
(実施の形態の効果)
このように、セキュリティログ分析装置1は、端末の用途の情報の差異を用いて、不正通信か否か判定するため、特定の用途の端末に攻撃を仕掛けられた場合でも、不正通信を判定できる。
このように、セキュリティログ分析装置1は、端末の用途の情報の差異を用いて、不正通信か否か判定するため、特定の用途の端末に攻撃を仕掛けられた場合でも、不正通信を判定できる。
実施の形態3.
水飲み場攻撃の場合、攻撃者は特定の組織からのアクセスに対してのみ反応することがある。
本実施の形態では、不審な通信が検知された端末Aに対して、端末Aが所属する組織以外に設置された端末から、端末Aがアクセスした通信先にアクセスし、その差異から不正通信か否か判定する。
水飲み場攻撃の場合、攻撃者は特定の組織からのアクセスに対してのみ反応することがある。
本実施の形態では、不審な通信が検知された端末Aに対して、端末Aが所属する組織以外に設置された端末から、端末Aがアクセスした通信先にアクセスし、その差異から不正通信か否か判定する。
本実施の形態では、実施の形態1との差分を示す。
本実施の形態では、セキュリティ対策情報検索部201、端末設定情報検索部203、インベントリ情報検索部204は使用しない。
本実施の形態では、セキュリティ対策情報検索部201、端末設定情報検索部203、インベントリ情報検索部204は使用しない。
ログ検索条件1105は、以下の条件とする。
・検索期間:攻撃が発生した日時(2014/03/21:12:00:00とする)の前後24時間を検索期間(2014/03/20:12:00:00〜2014/03/22:12:00:00)
・宛先:通知されたURL(www.○×△.net)
・検索するログ:プロキシログ、端末Aの配置されている組織以外の端末
・検索期間:攻撃が発生した日時(2014/03/21:12:00:00とする)の前後24時間を検索期間(2014/03/20:12:00:00〜2014/03/22:12:00:00)
・宛先:通知されたURL(www.○×△.net)
・検索するログ:プロキシログ、端末Aの配置されている組織以外の端末
図6の処理において、S103_1、S103_3、S103_5を使用する。
S103_3においては、ログエントリLogBiとして取得されるのは、端末Aの配置されている組織以外の端末に関するものである。
つまり、端末Bi(i=1〜n)は、端末Aの配置されている組織以外の端末である。
端末Aが企業Xのイントラネット内に配置されているのであれば、端末Bは企業Xのイントラネット以外に配置されたものである。
S103_5において、攻撃判定部103は、LogBi(i=1〜n)において、通信が不審か判定された結果を用いて、以下のように端末Aの通信が不正通信か判定する。
ここでは、説明を簡潔にするためにn=1とする。
・端末B1の通信が不審な通信である場合:端末Aの通信は正常通信
・端末B1の通信が不審な通信で無い場合:端末Aの通信は不正通信
S103_3においては、ログエントリLogBiとして取得されるのは、端末Aの配置されている組織以外の端末に関するものである。
つまり、端末Bi(i=1〜n)は、端末Aの配置されている組織以外の端末である。
端末Aが企業Xのイントラネット内に配置されているのであれば、端末Bは企業Xのイントラネット以外に配置されたものである。
S103_5において、攻撃判定部103は、LogBi(i=1〜n)において、通信が不審か判定された結果を用いて、以下のように端末Aの通信が不正通信か判定する。
ここでは、説明を簡潔にするためにn=1とする。
・端末B1の通信が不審な通信である場合:端末Aの通信は正常通信
・端末B1の通信が不審な通信で無い場合:端末Aの通信は不正通信
実施の形態1、2のように、端末Biが複数あった場合に、端末Aと各端末Bi間の比較により不正通信と判定された合計数を、閾値と比較して、端末Aの通信を不正通信と判定してもよい。
ログDB302において、「端末Aが配置されている組織(企業X)」以外に配置された端末についてログを収集していない場合が考えられる。
その場合、例えば、企業X内のイントラネットのある端末B’から、企業Xのプロキシサーバを経由して、インターネット上の公開プロキシサーバに接続し、さらに、インターネット上の公開プロキシサーバから、「www.○×△.net」に接続し、この通信の状態をログDBに蓄積して、LogB’として判定に用いてもよい。
この場合は、ログエントリの検索対象の期間が異なるが、通信の傾向(定期的な通信を発しているかなど)について判定することが可能である。
或いは、このように、インターネット上の公開プロキシサーバを経由して、組織の端末がよくアクセスするWebサイトに定期的にアクセスするリファレンス端末を運用することで、上記のログを常にログDB302に記録してもよい。
このようにすれば、ログ検索条件1105で指定する検索期間のログを取得できる。
その場合、例えば、企業X内のイントラネットのある端末B’から、企業Xのプロキシサーバを経由して、インターネット上の公開プロキシサーバに接続し、さらに、インターネット上の公開プロキシサーバから、「www.○×△.net」に接続し、この通信の状態をログDBに蓄積して、LogB’として判定に用いてもよい。
この場合は、ログエントリの検索対象の期間が異なるが、通信の傾向(定期的な通信を発しているかなど)について判定することが可能である。
或いは、このように、インターネット上の公開プロキシサーバを経由して、組織の端末がよくアクセスするWebサイトに定期的にアクセスするリファレンス端末を運用することで、上記のログを常にログDB302に記録してもよい。
このようにすれば、ログ検索条件1105で指定する検索期間のログを取得できる。
(実施の形態の効果)
このように、本実施の形態では、セキュリティログ分析装置1は、端末の配置された場所の違いを用いて、不正通信か否か判定するため、攻撃者が特定の組織からのアクセスにのみ反応して不正通信を行う場合に検知が可能である。
このように、本実施の形態では、セキュリティログ分析装置1は、端末の配置された場所の違いを用いて、不正通信か否か判定するため、攻撃者が特定の組織からのアクセスにのみ反応して不正通信を行う場合に検知が可能である。
実施の形態4.
本実施の形態では、端末操作ログと、端末設定情報を用いて、水飲み場攻撃などの攻撃を検知する実施の形態を示す。
マルウェアは、組織内からインターネットのC&Cサーバと通信する際に、端末内のプロキシの設定情報を参照して、プロキシサーバに接続するため、これを検知に利用する。
本実施の形態では、セキュリティログ分析装置1における、セキュリティ対策情報DB301、入力部101、解釈部102、検知1201’は使用しない。
また、本実施の形態、更に実施の形態5及び6では、攻撃判定部103は、不審ファイル操作抽出部及び不正ファイル操作抽出部の例に相当する。
本実施の形態では、端末操作ログと、端末設定情報を用いて、水飲み場攻撃などの攻撃を検知する実施の形態を示す。
マルウェアは、組織内からインターネットのC&Cサーバと通信する際に、端末内のプロキシの設定情報を参照して、プロキシサーバに接続するため、これを検知に利用する。
本実施の形態では、セキュリティログ分析装置1における、セキュリティ対策情報DB301、入力部101、解釈部102、検知1201’は使用しない。
また、本実施の形態、更に実施の形態5及び6では、攻撃判定部103は、不審ファイル操作抽出部及び不正ファイル操作抽出部の例に相当する。
セキュリティログ分析装置1は、以下のログ検索条件1204を入力する。
・検索期間:現在の時刻から24時間遡った期間(2014/03/19:12:00:00〜2014/03/20:12:00:00とする)
・検索するログ:端末操作ログ、監査ログ
・端末:端末A
・検索期間:現在の時刻から24時間遡った期間(2014/03/19:12:00:00〜2014/03/20:12:00:00とする)
・検索するログ:端末操作ログ、監査ログ
・端末:端末A
さらに、セキュリティログ分析装置1は、以下の端末設定情報検索条件1205を入力する。
・検索期間:現在の時刻から24時間遡った期間(2014/03/19:12:00:00〜2014/03/20:12:00:00とする)
・検索対象:プロキシの設定情報(プロキシ設定ファイル)
・端末:端末A
・検索期間:現在の時刻から24時間遡った期間(2014/03/19:12:00:00〜2014/03/20:12:00:00とする)
・検索対象:プロキシの設定情報(プロキシ設定ファイル)
・端末:端末A
セキュリティログ分析装置1の攻撃判定部103は、ログ検索条件1204を用いて、ログ検索部202を経由して、ログDB302から、ログ検索条件1204で指定された端末操作ログと監査ログのログエントリ1106を取得する。
セキュリティログ分析装置1の攻撃判定部103は、端末設定情報検索条件1205を用いて、端末設定情報検索部203を経由して、端末設定情報DB303から、端末設定情報検索条件1205で指定された端末設定情報1108を取得する。
攻撃判定部103の処理を図7で説明する。
監査ログは以下のフォーマットとする。
タイムスタンプ 端末ID プロセス名 端末設定情報 処理
2014/3/20:09:00:00 端末A P_α プロキシ情報 読出
2014/3/20:10:00:00 端末A P_β プロキシ情報 読出
2014/3/20:11:00:00 端末A P_γ プロキシ情報 読出
端末IDは監査対象の機器のIDである。
プロセス名は、端末設定情報に対してアクセスしたプロセス名で、処理は、端末設定情報に対する処理である。
この例の一行目は、2014/3/20:09:00:00に、端末Aにおいて、プロセスP_αが、プロキシの設定情報を、読み出した、という意味になる。
監査ログは以下のフォーマットとする。
タイムスタンプ 端末ID プロセス名 端末設定情報 処理
2014/3/20:09:00:00 端末A P_α プロキシ情報 読出
2014/3/20:10:00:00 端末A P_β プロキシ情報 読出
2014/3/20:11:00:00 端末A P_γ プロキシ情報 読出
端末IDは監査対象の機器のIDである。
プロセス名は、端末設定情報に対してアクセスしたプロセス名で、処理は、端末設定情報に対する処理である。
この例の一行目は、2014/3/20:09:00:00に、端末Aにおいて、プロセスP_αが、プロキシの設定情報を、読み出した、という意味になる。
攻撃判定部103は、ログエントリ1106から、監査ログのログエントリを参照し、上記のような端末設定情報におけるプロキシ情報へのアクセスを記録したログエントリを抽出する(図7 S1032_1)。
ここで、上記の例のログエントリが得られたとする。
ここで、上記の例のログエントリが得られたとする。
次に、攻撃判定部103は、監査ログのログエントリから、端末設定情報内のプロキシ情報(プロキシ設定ファイル)にアクセス可能なプロセス名のリストに該当するログエントリを除外する。
端末設定情報内のプロキシ情報にアクセス可能なプロセス名のリストは、端末設定情報1108から得られる。
端末設定情報内のプロキシ情報にアクセス可能なプロセス名が、P_αの場合、この除外の結果、以下のログエントリが残る(図7 S1032_2)。
タイムスタンプ 端末ID プロセス名、端末設定情報 処理
2014/3/20:10:00:00 端末A P_β プロキシ情報 読出
2014/3/20:11:00:00 端末A P_γ プロキシ情報 読出
このエントリを、不審アクセスログエントリとする。
端末設定情報内のプロキシ情報にアクセス可能なプロセス名のリストは、端末設定情報1108から得られる。
端末設定情報内のプロキシ情報にアクセス可能なプロセス名が、P_αの場合、この除外の結果、以下のログエントリが残る(図7 S1032_2)。
タイムスタンプ 端末ID プロセス名、端末設定情報 処理
2014/3/20:10:00:00 端末A P_β プロキシ情報 読出
2014/3/20:11:00:00 端末A P_γ プロキシ情報 読出
このエントリを、不審アクセスログエントリとする。
次に、攻撃判定部103は、ログエントリ1106から、端末操作ログのログエントリを参照する。
端末操作ログは以下のフォーマットとする。
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:10:00:00 端末A P_β プロキシ情報 読出
この例の一行目は、2014/3/20:10:00:00に、端末Aにおいて、プロセスP_βが、プロキシの設定情報を、読み出した、という意味になる。
端末操作ログは以下のフォーマットとする。
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:10:00:00 端末A P_β プロキシ情報 読出
この例の一行目は、2014/3/20:10:00:00に、端末Aにおいて、プロセスP_βが、プロキシの設定情報を、読み出した、という意味になる。
端末操作ログは、端末操作記録ツールにより、記録されるログで、端末のユーザが手動により操作した結果を記録するツールである。
例えば、ブラウザを操作して、どのサイトにアクセスしたか、何のアプリケーションを用いて、ドキュメントを閲覧・書き込みなどを行ったか、何のファイルをどのフォルダからどのフォルダへコピーしたか、何のファイルをリネーム・削除したか、何のアプリケーションを使って何のファイルへアクセスしたか、などの操作が記録される。
プロセス名は、アプリケーション名として示される場合もある。
プロセスP_βは、例えば、ブラウザや、Webサイトと通信を行うアプリケーションが該当する。
例えば、ブラウザを操作して、どのサイトにアクセスしたか、何のアプリケーションを用いて、ドキュメントを閲覧・書き込みなどを行ったか、何のファイルをどのフォルダからどのフォルダへコピーしたか、何のファイルをリネーム・削除したか、何のアプリケーションを使って何のファイルへアクセスしたか、などの操作が記録される。
プロセス名は、アプリケーション名として示される場合もある。
プロセスP_βは、例えば、ブラウザや、Webサイトと通信を行うアプリケーションが該当する。
次に、攻撃判定部103は、端末操作ログのログエントリを参照した結果、ユーザがプログラムなどを用いて手動でプロキシ情報にアクセスしたタイムスタンプと、プロセス名を抽出する(図7 S1032_3)。
つまり、以下が抽出される。
これを、正常アクセス情報とする。
2014/3/20:10:00:00 端末A P_β プロキシ情報 読出
つまり、以下が抽出される。
これを、正常アクセス情報とする。
2014/3/20:10:00:00 端末A P_β プロキシ情報 読出
次に、攻撃判定部103は、不審アクセスログエントリから、正常アクセス情報のタイムスタンプとプロセス名に該当するエントリを削除する(図7 S1032_4)。
この結果、以下が残る。
タイムスタンプ 端末ID プロセス名、端末設定情報 処理
2014/3/20:11:00:00 端末A P_γ プロキシ情報 読出
この結果、以下が残る。
タイムスタンプ 端末ID プロセス名、端末設定情報 処理
2014/3/20:11:00:00 端末A P_γ プロキシ情報 読出
次に、攻撃判定部103は、S1032_4の結果、残ったログエントリは、アクセスが許可されたプロセスがアクセスしたものでも、ユーザ操作によってアクセスされたものでもないため、不正なプログラムがアクセスした結果、記録されたものと判定し、マルウェアがプロキシ情報にアクセスしたと判定する。
上記の例では、ログを分析する対象を端末Aとして指定したが、複数の端末を、検索条件で指定してもよく、その場合は、該当する端末各々について、端末Aと同じログの分析を行えばよい。
(実施の形態の効果)
このように、本実施の形態では、セキュリティログ分析装置1は、端末操作ログと監査ログを用いることで、不正なプログラムがインターネットと通信する際に利用するプロキシ情報へのアクセスを識別できる。
このように、本実施の形態では、セキュリティログ分析装置1は、端末操作ログと監査ログを用いることで、不正なプログラムがインターネットと通信する際に利用するプロキシ情報へのアクセスを識別できる。
実施の形態5.
以下では、端末操作ログと、端末設定情報を用いて、水飲み場攻撃などの攻撃を検知する実施の形態4とは異なる実施の形態を示す。
以下では、端末操作ログと、端末設定情報を用いて、水飲み場攻撃などの攻撃を検知する実施の形態4とは異なる実施の形態を示す。
マルウェアは、組織内からインターネットのC&Cサーバと通信する際に、ブラウザにコードインジェクションなどの手段で自身を組み込んで、ブラウザの通信を用いて、C&Cサーバと通信することがある。
本実施の形態では、このような通信を検出する。
本実施の形態では、このような通信を検出する。
本実施の形態で使用する情報は、監査ログと端末操作ログである。
監査ログと端末操作ログとの取得条件は、実施の形態4と同じとする。
監査ログと端末操作ログとの取得条件は、実施の形態4と同じとする。
攻撃判定部103は、ブラウザを起動している時間帯を、端末操作ログを用いて調べる。
端末操作ログが以下のように記録されている場合、端末Aでは、2014/3/20:09:00:00から2014/3/20:09:30:00までブラウザが起動していることになる(操作対象の列は、記録されたURL1〜URL4にアクセスしていることを示し、処理は、HTTPのメソッドを示している)。
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:09:00:00 端末A ブラウザ URL1 GET
2014/3/20:09:10:00 端末A ブラウザ URL2 GET
2014/3/20:09:20:00 端末A ブラウザ URL3 GET
2014/3/20:09:30:00 端末A ブラウザ URL4 POST
端末操作ログが以下のように記録されている場合、端末Aでは、2014/3/20:09:00:00から2014/3/20:09:30:00までブラウザが起動していることになる(操作対象の列は、記録されたURL1〜URL4にアクセスしていることを示し、処理は、HTTPのメソッドを示している)。
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:09:00:00 端末A ブラウザ URL1 GET
2014/3/20:09:10:00 端末A ブラウザ URL2 GET
2014/3/20:09:20:00 端末A ブラウザ URL3 GET
2014/3/20:09:30:00 端末A ブラウザ URL4 POST
次に、攻撃判定部103は、端末Aでブラウザが操作されている時間である、「2014/3/20:09:00:00から2014/3/20:09:30:00」の期間において、監査ログからブラウザのプロセスがブラウザキャッシュ領域(以下、単にブラウザキャッシュという)以外に保存したファイルXを特定する。
例えば、監査ログのエントリが、以下の場合、ファイルX(紙面幅の都合で、フォルダパスの情報まで書けないが、実際にはフォルダパスの情報も操作対象の欄に含んで記録されうる。フォルダパスは例えば「c:¥○○○」でありブラウザのキャッシュの場所「c:¥◇◇◇」ではない)が、ブラウザキャッシュ以外に書出されたか調べる。
タイムスタンプ 端末ID プロセス名、対象 処理
2014/3/20:10:00:00 端末A ブラウザ ファイルX 書出
タイムスタンプ 端末ID プロセス名、対象 処理
2014/3/20:10:00:00 端末A ブラウザ ファイルX 書出
調べた結果、ファイルXは、フォルダパス「c:¥○○○」に出力されており、ブラウザのキャッシュの場所「c:¥◇◇◇」には保存されていない。
つまり、ブラウザが自動的にファイルXを保存したのではない。
つまり、ブラウザが自動的にファイルXを保存したのではない。
次に、攻撃判定部103は、端末操作ログについて、2014/3/20:09:00:00から2014/3/20:09:30:00の期間において、ユーザが手動でファイルXを書出したか調べる。ファイル操作に関する端末操作ログが以下の場合、該当するログエントリが無い。
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:10:00:00 端末A ファイル操作 ファイルY 書出
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:10:00:00 端末A ファイル操作 ファイルY 書出
つまり、ユーザがファイル操作により、ファイルYを書き出したことはわかるが(操作対象にはフォルダパス「c:¥●●●」も記録される)、ファイルXをフォルダパス「c:¥○○○」へ保存していない。
この結果、攻撃判定部103は、ファイルXは、ブラウザにより書出されたが、ユーザが手動で実施したものでも、ブラウザが自動で実施したものでもないことがわかるため、マルウェアなどの不正なプログラムによる書出しと判定する。
この結果、攻撃判定部103は、ファイルXは、ブラウザにより書出されたが、ユーザが手動で実施したものでも、ブラウザが自動で実施したものでもないことがわかるため、マルウェアなどの不正なプログラムによる書出しと判定する。
(実施の形態の効果)
このように、本実施の形態では、セキュリティログ分析装置1は、端末操作ログと監査ログを用いて、不正なプログラムがインターネットと通信した際に保存したファイルを特定することで、マルウェアの侵入を検知できる。
このように、本実施の形態では、セキュリティログ分析装置1は、端末操作ログと監査ログを用いて、不正なプログラムがインターネットと通信した際に保存したファイルを特定することで、マルウェアの侵入を検知できる。
実施の形態6.
本実施の形態では、実施の形態5と同様に、端末操作ログと監査ログに加えてプロキシログを用いることで、マルウェアによるファイルの送信を検知する。
本実施の形態では、実施の形態5と同様に、端末操作ログと監査ログに加えてプロキシログを用いることで、マルウェアによるファイルの送信を検知する。
実施の形態5との差分を示す。
実施の形態5と同様に、端末Aの端末操作ログと監査ログを取得する。
さらに、同じ期間における端末Aのインターネットへのアクセスに関するプロキシログを取得する。
実施の形態5と同様に、端末Aの端末操作ログと監査ログを取得する。
さらに、同じ期間における端末Aのインターネットへのアクセスに関するプロキシログを取得する。
攻撃判定部103は、プロキシログから、端末AからPOSTを行ったログエントリを取得する。
さらに、攻撃判定部103は、ブラウザを起動している時間帯を端末操作ログから特定する。
この結果、端末AからのPOSTに該当するエントリは以下であるとする。
・プロキシログ
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:09:30:00 端末A ブラウザ URL4 POST
また、ブラウザを起動している時間帯は、実施の形態5と同じで、以下である。
・端末操作ログ
2014/3/20:09:00:00から2014/3/20:09:30:00
さらに、攻撃判定部103は、ブラウザを起動している時間帯を端末操作ログから特定する。
この結果、端末AからのPOSTに該当するエントリは以下であるとする。
・プロキシログ
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:09:30:00 端末A ブラウザ URL4 POST
また、ブラウザを起動している時間帯は、実施の形態5と同じで、以下である。
・端末操作ログ
2014/3/20:09:00:00から2014/3/20:09:30:00
次に、攻撃判定部103は、監査ログを用いて、上記期間にブラウザのプロセスが読出したファイルZを特定する。
・監査ログ
タイムスタンプ 端末ID プロセス名、対象 処理
2014/3/20:09:00:01 端末A ブラウザ ファイルU 読出
2014/3/20:09:29:00 端末A ブラウザ ファイルZ 読出
上記の監査ログのエントリが得られたとする。
つまり、端末Aにおいて、2014/3/20:09:00:01に、ブラウザがファイルUを、2014/3/20:09:29:00に、ブラウザがファイルZを、読出したことがかる。
・監査ログ
タイムスタンプ 端末ID プロセス名、対象 処理
2014/3/20:09:00:01 端末A ブラウザ ファイルU 読出
2014/3/20:09:29:00 端末A ブラウザ ファイルZ 読出
上記の監査ログのエントリが得られたとする。
つまり、端末Aにおいて、2014/3/20:09:00:01に、ブラウザがファイルUを、2014/3/20:09:29:00に、ブラウザがファイルZを、読出したことがかる。
次に、攻撃判定部103は、このタイムスタンプ2014/3/20:09:00:01、09:29:00のタイミングで、端末操作によりユーザがファイルZを読み出したか調べる。
ファイル操作に関わる端末操作ログのエントリは以下である。
・端末操作ログ
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:09:00:01 端末A ブラウザ ファイルU 読出
2014/3/20:09:29:02 端末A ファイル操作 ファイルW 読出
つまり、ユーザは、ファイルUについてはブラウザを使って読み出しているが、ファイルZについてはブラウザを使って操作していない。
従って、ファイルZは、ユーザの操作によってPOSTされていないことがわかるので、攻撃判定部103は、マルウェアによるPOSTの候補と判定する。
プロキシログには、送信したファイル名が記録されることがあり(HTTPヘッダに記録されることがある)、これとファイルZの名称を比較することで、ファイルZがPOSTされたと判定してもよい。
また、送信したファイル名がプロキシログからわからない場合は、プロキシログに記録されるHTTPリクエストのサイズから、HTTPヘッダ部分のサイズを削除した残りのサイズと、ファイルZのサイズを比較し、同じか値が似ていれば、ファイルZが送出されたと判定してもよい。
HTTPヘッダ部分のサイズは、送信先のURLの記録などから推測する。
ファイル操作に関わる端末操作ログのエントリは以下である。
・端末操作ログ
タイムスタンプ 端末ID プロセス名 操作対象 処理
2014/3/20:09:00:01 端末A ブラウザ ファイルU 読出
2014/3/20:09:29:02 端末A ファイル操作 ファイルW 読出
つまり、ユーザは、ファイルUについてはブラウザを使って読み出しているが、ファイルZについてはブラウザを使って操作していない。
従って、ファイルZは、ユーザの操作によってPOSTされていないことがわかるので、攻撃判定部103は、マルウェアによるPOSTの候補と判定する。
プロキシログには、送信したファイル名が記録されることがあり(HTTPヘッダに記録されることがある)、これとファイルZの名称を比較することで、ファイルZがPOSTされたと判定してもよい。
また、送信したファイル名がプロキシログからわからない場合は、プロキシログに記録されるHTTPリクエストのサイズから、HTTPヘッダ部分のサイズを削除した残りのサイズと、ファイルZのサイズを比較し、同じか値が似ていれば、ファイルZが送出されたと判定してもよい。
HTTPヘッダ部分のサイズは、送信先のURLの記録などから推測する。
(実施の形態の効果)
このように、本実施の形態では、セキュリティログ分析装置1は、端末操作ログと監査ログを用いて、不正なプログラムがインターネットと通信してPOSTしたファイルを特定することで、マルウェアの侵入を検知できる。
このように、本実施の形態では、セキュリティログ分析装置1は、端末操作ログと監査ログを用いて、不正なプログラムがインターネットと通信してPOSTしたファイルを特定することで、マルウェアの侵入を検知できる。
以上、本発明の実施の形態について説明したが、これらの実施の形態のうち、2つ以上を組み合わせて実施しても構わない。
あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。
なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。
あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。
あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。
なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。
最後に、実施の形態1〜6に示したセキュリティログ分析装置1のハードウェア構成例を図8を参照して説明する。
セキュリティログ分析装置1はコンピュータであり、セキュリティログ分析装置1の各要素をプログラムで実現することができる。
セキュリティログ分析装置1のハードウェア構成としては、バスに、演算装置901、外部記憶装置902、主記憶装置903、通信装置904、入出力装置905が接続されている。
セキュリティログ分析装置1はコンピュータであり、セキュリティログ分析装置1の各要素をプログラムで実現することができる。
セキュリティログ分析装置1のハードウェア構成としては、バスに、演算装置901、外部記憶装置902、主記憶装置903、通信装置904、入出力装置905が接続されている。
演算装置901は、プログラムを実行するCPU(Central Processing Unit)である。
外部記憶装置902は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置である。
主記憶装置903は、RAM(Random Access Memory)である。
通信装置904は、例えばNIC(Network Interface Card)である。
入出力装置905は、例えばマウス、キーボード、ディスプレイ装置等である。
外部記憶装置902は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置である。
主記憶装置903は、RAM(Random Access Memory)である。
通信装置904は、例えばNIC(Network Interface Card)である。
入出力装置905は、例えばマウス、キーボード、ディスプレイ装置等である。
プログラムは、通常は外部記憶装置902に記憶されており、主記憶装置903にロードされた状態で、順次演算装置901に読み込まれ、実行される。
プログラムは、図1に示す「〜部」として説明している機能を実現するプログラムである。
更に、外部記憶装置902にはオペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置903にロードされ、演算装置901はOSを実行しながら、図1に示す「〜部」の機能を実現するプログラムを実行する。
また、実施の形態1〜6の説明において、「〜の判断」、「〜の判定」、「〜の抽出」、「〜の検知」、「〜の解析」、「〜の設定」、「〜の登録」、「〜の選択」、「〜の生成」、「〜の入力」、「〜の出力」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置903にファイルとして記憶されている。
プログラムは、図1に示す「〜部」として説明している機能を実現するプログラムである。
更に、外部記憶装置902にはオペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置903にロードされ、演算装置901はOSを実行しながら、図1に示す「〜部」の機能を実現するプログラムを実行する。
また、実施の形態1〜6の説明において、「〜の判断」、「〜の判定」、「〜の抽出」、「〜の検知」、「〜の解析」、「〜の設定」、「〜の登録」、「〜の選択」、「〜の生成」、「〜の入力」、「〜の出力」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置903にファイルとして記憶されている。
なお、図8の構成は、あくまでもセキュリティログ分析装置1のハードウェア構成の一例を示すものであり、セキュリティログ分析装置1のハードウェア構成は図8に記載の構成に限らず、他の構成であってもよい。
また、実施の形態1〜6に示す手順により、本発明に係る解析方法を実現可能である。
1 セキュリティログ分析装置、101 入力部、102 解釈部、103 攻撃判定部、104 出力部、201 セキュリティ対策情報検索部、202 ログ検索部、203 端末設定情報検索部、204 インベントリ情報検索部、301 セキュリティ対策情報DB、302 ログDB、303 端末設定情報DB、304 インベントリ情報DB。
Claims (13)
- 不審な通信を行った機器である不審通信機器と、前記不審通信機器の通信先である不審通信先とが検知された場合に、前記不審通信機器以外の機器であって前記不審通信先との通信履歴がある機器を解析対象機器として抽出する機器抽出部と、
前記解析対象機器と前記不審通信先との通信履歴を解析して、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定する通信判定部とを有することを特徴とする解析装置。 - 前記通信判定部は、
前記解析対象機器と前記不審通信先との通信履歴を解析して、前記解析対象機器と前記不審通信先との間に不審な通信があったか否かを判定し、前記解析対象機器と前記不審通信先との間に不審な通信があったか否かの判定結果に基づき、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定することを特徴とする請求項1に記載の解析装置。 - 前記通信判定部は、
前記不審通信機器及び前記解析対象機器のセキュリティ状態を判定し、前記不審通信機器及び前記解析対象機器のセキュリティ状態の判定結果と前記解析対象機器と前記不審通信先との間に不審な通信があったか否かの判定結果とに基づき、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定することを特徴とする請求項2に記載の解析装置。 - 前記通信判定部は、
前記不審通信機器及び前記解析対象機器のセキュリティ状態として、特定のセキュリティ対策が前記不審通信機器及び前記解析対象機器に施されているか否かを判定することを特徴とする請求項3に記載の解析装置。 - 前記通信判定部は、
前記不審通信機器に前記セキュリティ対策が施されていて前記解析対象機器には前記セキュリティ対策が施されていない場合は、前記解析対象機器と前記不審通信先との間に不審な通信があったか否かにかかわらず、前記不審通信機器と前記不審通信先との間の通信は正常な通信であると判定し、
前記不審通信機器及び前記解析対象機器に前記セキュリティ対策が施されている場合に、前記解析対象機器と前記不審通信先との間に不審な通信があれば、前記不審通信機器と前記不審通信先との間の通信は正常な通信であると判定し、
前記不審通信機器に前記セキュリティ対策が施されていなくて前記解析対象機器には前記セキュリティ対策が施されている場合に、前記解析対象機器と前記不審通信先との間に不審な通信がなければ、前記不審通信機器と前記不審通信先との間の通信は不正な通信であると判定することを特徴とする請求項4に記載の解析装置。 - 前記通信判定部は、
前記不審通信機器に前記セキュリティ対策が施されていなくて前記解析対象機器には前記セキュリティ対策が施され、更に、前記解析対象機器と前記不審通信先との間に不審な通信がある場合は、
前記不審通信機器と前記不審通信先との間の通信パターンと前記解析対象機器と前記不審通信先との通信パターンとが類似すれば、前記不審通信機器と前記不審通信先との間の通信は正常な通信であると判定し、
前記不審通信機器と前記不審通信先との間の通信パターンと前記解析対象機器と前記不審通信先との通信パターンとが類似しなければ、前記不審通信機器と前記不審通信先との間の通信は不正な通信であると判定することを特徴とする請求項4に記載の解析装置。 - 前記通信判定部は、
前記不審通信機器及び前記解析対象機器に前記セキュリティ対策が施されていない場合と、前記不審通信機器及び前記解析対象機器に前記セキュリティ対策が施され、更に、前記解析対象機器と前記不審通信先との間に不審な通信がない場合に、
前記セキュリティ対策が施され、前記不審通信先との通信履歴がある機器である対策済み機器と前記不審通信先との間に不審な通信があったか否かを判定し、
前記対策済み機器と前記不審通信先との間に不審な通信がない場合は、前記不審通信機器と前記不審通信先との間の通信は不正な通信であると判定し、
前記対策済み機器と前記不審通信先との間に不審な通信がある場合は、
前記不審通信機器と前記不審通信先との間の通信パターンと前記対策済み機器と前記不審通信先との通信パターンとが類似すれば、前記不審通信機器と前記不審通信先との間の通信は正常な通信であると判定し、
前記不審通信機器と前記不審通信先との間の通信パターンと前記対策済み機器と前記不審通信先との通信パターンとが類似しなければ、前記不審通信機器と前記不審通信先との間の通信は不正な通信であると判定することを特徴とする請求項4に記載の解析装置。 - 前記通信判定部は、
前記不審通信機器及び前記解析対象機器の用途の異同を判定し、用途の異同の判定結果と前記解析対象機器と前記不審通信先との間に不審な通信があったか否かの判定結果とに基づき、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定することを特徴とする請求項2に記載の解析装置。 - 前記通信判定部は、
前記不審通信機器及び前記解析対象機器の用途が異なる場合に、
前記解析対象機器と前記不審通信先との間に不審な通信があれば、前記不審通信機器と前記不審通信先との間の通信は正常な通信であると判定し、前記解析対象機器と前記不審通信先との間に不審な通信がなければ、前記不審通信機器と前記不審通信先との間の通信は不正な通信であると判定することを特徴とする請求項8に記載の解析装置。 - 前記機器抽出部は、
前記不審通信機器が所属する組織に所属していない機器を前記解析対象機器として抽出することを特徴とする請求項1に記載の解析装置。 - 前記機器抽出部は、
前記不審通信機器と前記不審通信先との間の通信が発生した時刻が含まれる時間帯に前記不審通信先との通信履歴がある機器を前記解析対象機器として抽出することを特徴とする請求項1に記載の解析装置。 - 不審な通信を行った機器である不審通信機器と、前記不審通信機器の通信先である不審通信先とが検知された場合に、コンピュータが、前記不審通信機器以外の機器であって前記不審通信先との通信履歴がある機器を解析対象機器として抽出する機器抽出ステップと、
前記コンピュータが、前記解析対象機器と前記不審通信先との通信履歴を解析して、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定する通信判定ステップとを有することを特徴とする解析方法。 - 不審な通信を行った機器である不審通信機器と、前記不審通信機器の通信先である不審通信先とが検知された場合に、前記不審通信機器以外の機器であって前記不審通信先との通信履歴がある機器を解析対象機器として抽出する機器抽出処理と、
前記解析対象機器と前記不審通信先との通信履歴を解析して、前記不審通信機器と前記不審通信先との間の通信が不正な通信であるか否かを判定する通信判定処理とをコンピュータに実行させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014126458A JP6296915B2 (ja) | 2014-06-19 | 2014-06-19 | 解析装置及び解析方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014126458A JP6296915B2 (ja) | 2014-06-19 | 2014-06-19 | 解析装置及び解析方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016004540A JP2016004540A (ja) | 2016-01-12 |
| JP6296915B2 true JP6296915B2 (ja) | 2018-03-20 |
Family
ID=55223740
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014126458A Expired - Fee Related JP6296915B2 (ja) | 2014-06-19 | 2014-06-19 | 解析装置及び解析方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6296915B2 (ja) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002251374A (ja) * | 2000-12-20 | 2002-09-06 | Fujitsu Ltd | 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP4437107B2 (ja) * | 2005-08-16 | 2010-03-24 | 日本電気株式会社 | コンピュータシステム |
| JP2010108469A (ja) * | 2008-10-01 | 2010-05-13 | Sky Co Ltd | 操作監視システム及び操作監視プログラム |
-
2014
- 2014-06-19 JP JP2014126458A patent/JP6296915B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016004540A (ja) | 2016-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6894003B2 (ja) | Apt攻撃に対する防御 | |
| US9542556B2 (en) | Malware family identification using profile signatures | |
| EP3295359B1 (en) | Detection of sql injection attacks | |
| US10726125B2 (en) | Malware detection using clustering with malware source information | |
| Sukwong et al. | Commercial antivirus software effectiveness: an empirical study | |
| JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
| US9117075B1 (en) | Early malware detection by cross-referencing host data | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| US20160078229A1 (en) | System And Method For Threat Risk Scoring Of Security Threats | |
| JP6001781B2 (ja) | 不正アクセス検知システム及び不正アクセス検知方法 | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| Wang et al. | NetSpy: Automatic generation of spyware signatures for NIDS | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
| Sequeira | Intrusion prevention systems: security's silver bullet? | |
| US20240045954A1 (en) | Analysis of historical network traffic to identify network vulnerabilities | |
| Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
| US10601867B2 (en) | Attack content analysis program, attack content analysis method, and attack content analysis apparatus | |
| Abuzaid et al. | An efficient trojan horse classification (ETC) | |
| Mallikarajunan et al. | Detection of spyware in software using virtual environment | |
| Vigna et al. | Host-based intrusion detection | |
| Kono et al. | An unknown malware detection using execution registry access | |
| JP6296915B2 (ja) | 解析装置及び解析方法及びプログラム | |
| CN107517226B (zh) | 基于无线网络入侵的报警方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170116 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171116 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171212 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180111 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180123 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180220 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6296915 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |