JP6393010B2 - 解析方法、解析装置および解析プログラム - Google Patents

解析方法、解析装置および解析プログラム Download PDF

Info

Publication number
JP6393010B2
JP6393010B2 JP2018501596A JP2018501596A JP6393010B2 JP 6393010 B2 JP6393010 B2 JP 6393010B2 JP 2018501596 A JP2018501596 A JP 2018501596A JP 2018501596 A JP2018501596 A JP 2018501596A JP 6393010 B2 JP6393010 B2 JP 6393010B2
Authority
JP
Japan
Prior art keywords
access
network
feature amount
source
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018501596A
Other languages
English (en)
Other versions
JPWO2017145843A1 (ja
Inventor
毅 八木
毅 八木
大紀 千葉
大紀 千葉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2017145843A1 publication Critical patent/JPWO2017145843A1/ja
Application granted granted Critical
Publication of JP6393010B2 publication Critical patent/JP6393010B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Description

本発明は、解析方法、解析装置および解析プログラムに関する。
近年、インターネットのインフラ化、Webサービスの浸透に伴い、それらを提供するWebサーバに対する攻撃が急増している。また、Webを介して特定の政府、企業等の団体を対象に攻撃を行うサイバーテロも増加しており、社会的、政治的な問題となっている。
従来、このようなWebサイトへの攻撃を検知する方法として、ソフトウェアの脆弱性を解析して生成されたシグネチャを用いる方法と、攻撃を収集、解析して検知する方法が知られている。近年のWebアプリケーションの爆発的な普及を考慮すると、前者を網羅的に実施するのは困難なため、Webサーバ型ハニーポット等を設置して攻撃の挙動を収集、分析する手法がとられている。
攻撃を収集して解析する手法には、ユーザPCやサーバでトラヒックをキャプチャして解析する手法があるが、この手法は高い検知精度が期待できる一方、プライバシの問題やトラヒックのキャプチャがサービス品質に与える影響等を考慮する必要があるため、実施できる環境には制限がある。
このため、Webサイトへの攻撃を収集するシステム(Webサーバ型ハニーポット)を設置し、攻撃の実際の挙動を確認する方法が重要となる(例えば非特許文献1および2)。ハニーポットは、攻撃対象に応じて構築される囮システムであり、Webサーバ型ハニーポットは、Webサイトへの攻撃を収集する際に使用される。
ハニーポットは、一般的にエミュレータである低対話型と、実際のOSやアプリケーションを用いる高対話型に大別される。特にWebサイトへの攻撃は、囮であることが攻撃者に感知されにくく、多くの情報を収集できる高対話型が使用される。
J. P. John, F. Yu, Y. Xie, A. Krishnamurthy, and M. Abadi, "Heat-seeking honeypots: Design and experience," in Proceedings of the 20th International Conference on World Wide Web, Mar. 2011. D. Canali and D. Balzarotti, "Behind the scenes of online attacks: an analysis of exploitation behaviors on the web," in Proceedings of 20th Annual Network & Distributed System Security Symposium (NDSS 2013), Feb. 2013. T. Nelms, R. Perdisci, and M. Ahamad, "ExecScent: mining for new C&C domains in live networks with adaptive control protocol templates," Proc. 22nd USENIX Conf. Secur., pp.589‐604, Aug. 2013. 千葉大紀、八木毅、秋山満昭、青木一史、針生剛男、「感染後通信検知のための通信プロファイリング技術の設計と評価」コンピュータセキュリティシンポジウム2014論文集、2014(2) pp.960‐967、2014年10月
しかしながら、従来技術では、限られた情報から、攻撃による通信を当該通信に類似した正常な通信と識別しつつ検知することが困難である問題があった。
例えば、ハニーポットへは、検索エンジンデータベース作成のためのクローラによる正常な通信が行われる場合がある。クローラによる通信は、様々なプログラムに対して様々な入力値を試行する点で、Webサイトのぜい弱性を確認するぜい弱性スキャンと類似しているため、単一の通信、あるいは単一のサーバから得られる限られた情報から両者を識別しつつぜい弱性スキャンを検知することは困難である。
本発明の解析方法は、解析装置で実行される解析方法であって、ネットワーク上の複数の観測点で収集された、前記ネットワーク上のサーバへのアクセスに関する第1のアクセスデータを、前記アクセスのアクセス元である検知対象アクセス元ごとに分類し、前記検知対象アクセス元ごとの前記第1のアクセスデータの特徴量であるネットワーク的特徴量を生成するネットワーク的特徴量生成工程と、前記ネットワーク的特徴量を基に、前記検知対象アクセス元のうち、所定の連続アクセスを行っているアクセス元を検知するアクセス元検知工程と、ネットワーク上の単一の観測点で収集された、前記ネットワーク上のサーバへのアクセスに関する第2のアクセスデータごとの特徴量である検知対象点的特徴量と、前記第1のアクセスデータのうち、アクセス元が前記アクセス元検知工程によって検知されたアクセス元である第1のアクセスデータごとの特徴量である教師点的特徴量と、を生成する点的特徴量生成工程と、前記第2のアクセスデータのうち、前記検知対象点的特徴量の前記教師点的特徴量との類似度が所定値以上である第2のアクセスデータを、前記所定の連続アクセスによるアクセスデータとして検知するアクセス検知工程と、を含んだことを特徴とする。
また、本発明の解析装置は、ネットワーク上の複数の観測点で収集された、前記ネットワーク上のサーバへのアクセスに関する第1のアクセスデータを、前記アクセスのアクセス元である検知対象アクセス元ごとに分類し、前記検知対象アクセス元ごとの前記第1のアクセスデータの特徴量であるネットワーク的特徴量を生成するネットワーク的特徴量生成部と、前記ネットワーク的特徴量を基に、前記検知対象アクセス元のうち、所定の連続アクセスを行っているアクセス元を検知するアクセス元検知部と、ネットワーク上の単一の観測点で収集された、前記ネットワーク上のサーバへのアクセスに関する第2のアクセスデータごとの特徴量である検知対象点的特徴量と、前記第1のアクセスデータのうち、アクセス元が前記アクセス元検知部によって検知されたアクセス元である第1のアクセスデータごとの特徴量である教師点的特徴量と、を生成する点的特徴量生成部と、前記第2のアクセスデータのうち、前記検知対象点的特徴量の前記教師点的特徴量との類似度が所定値以上である第2のアクセスデータを、前記所定の連続アクセスによるアクセスデータとして検知するアクセス検知部と、を有することを特徴とする。
また、本発明の解析プログラムは、コンピュータに、ネットワーク上の複数の観測点で収集された、前記ネットワーク上のサーバへのアクセスに関する第1のアクセスデータを、前記アクセスのアクセス元である検知対象アクセス元ごとに分類し、前記検知対象アクセス元ごとの前記第1のアクセスデータの特徴量であるネットワーク的特徴量を生成するネットワーク的特徴量生成ステップと、前記ネットワーク的特徴量を基に、前記検知対象アクセス元のうち、所定の連続アクセスを行っているアクセス元を検知するアクセス元検知ステップと、ネットワーク上の単一の観測点で収集された、前記ネットワーク上のサーバへのアクセスに関する第2のアクセスデータごとの特徴量である検知対象点的特徴量と、前記第1のアクセスデータのうち、アクセス元が前記アクセス元検知ステップによって検知されたアクセス元である第1のアクセスデータごとの特徴量である教師点的特徴量と、を生成する点的特徴量生成ステップと、前記第2のアクセスデータのうち、前記検知対象点的特徴量の前記教師点的特徴量との類似度が所定値以上である第2のアクセスデータを、前記所定の連続アクセスによるアクセスデータとして検知するアクセス検知ステップと、を実行させることを特徴とする。
本発明によれば、限られた情報から、攻撃による通信を当該通信に類似した正常な通信と識別しつつ検知することができる。
図1は、第1の実施形態に係る解析装置が備えられたネットワークの構成の一例を示す図である。 図2は、第1の実施形態に係る解析装置の構成の一例を示す図である。 図3は、第1の実施形態に係る解析装置の解析処理について説明するための図である。 図4は、第1の実施形態に係る解析装置の解析処理について説明するための図である。 図5は、第1の実施形態に係る解析装置のネットワーク的特徴量を用いたスキャン検知処理の流れを示すフローチャートである。 図6は、第1の実施形態に係る解析装置のネットワーク的特徴量を用いたクローリング検知処理の流れを示すフローチャートである。 図7は、第1の実施形態に係る解析装置の点的特徴量を用いたスキャン検知処理の流れを示すフローチャートである。 図8は、第1の実施形態に係る解析装置の点的特徴量を用いたクローリング検知処理の流れを示すフローチャートである。 図9は、第1の実施形態に係る解析装置のネットワーク的特徴量および点的特徴量を用いたスキャン検知処理の流れを示すフローチャートである。 図10は、第1の実施形態に係る解析装置のネットワーク的特徴量および点的特徴量を用いたクローリング検知処理の流れを示すフローチャートである。 図11は、第1の実施形態に係る解析装置のネットワーク的特徴量のみを用いた検知処理の流れを示すフローチャートである。 図12は、第1の実施形態に係る解析装置の点的特徴量のみを用いた検知処理の流れを示すフローチャートである。 図13は、第1の実施形態に係る解析装置の効果を説明するための図である。 図14は、プログラムが実行されることにより解析装置が実現されるコンピュータの一例を示す図である。
以下に、本願に係る解析方法、解析装置および解析プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本発明が限定されるものではない。
[第1の実施形態]
まず、第1の実施形態に係る解析装置の構成、処理の流れおよび効果を説明する。なお、前述の通り、ハニーポットには、エミュレータである低対話型と、実際のOSやアプリケーションを用いる高対話型があるが、本実施形態におけるハニーポットは、高対話型のWebサーバ型ハニーポットであるものとする。
[第1の実施形態の構成]
図1を用いて、第1の実施形態の解析装置が備えられたネットワークの構成について説明する。図1は、第1の実施形態に係る解析装置が備えられたネットワークの構成の一例を示す図である。
ネットワーク1は、データ中継装置20、30および40を経由することでネットワーク2〜4を収容している。ここで、データ中継装置20、30および40は、例えば、一般的なルータやスイッチ、ゲートウェイ装置等である。また、ネットワーク1は例えばインターネットのような広域ネットワークである。また、ネットワーク2〜4は、LAN(Local Area Network)やホームネットワーク、クラウドコンピューティング環境内に構築されたネットワーク等である。
データ中継装置20は、顧客から預かるユーザWebサーバ201、202を収容し、サーバ監視機能21経由で囮Webサーバ211、212をさらに収容している。なお、サーバ監視機能21は、データ中継装置20の外側に配置されていてもよいし、データ中継装置20の一機能として、データ中継装置20内に配置されていてもよい。また、例えば囮Webサーバ211および212はハニーポットとして機能する。
また、サーバ監視機能21と囮Webサーバ211と囮Webサーバ212の物理インタフェースが1口であれば、各々の装置に接続した物理リンクをルータやスイッチやハブ等の転送装置に接続することで物理インタフェースを複数口としてもよい。また、各装置の物理インタフェースが複数口であれば、サーバ監視機能21と囮Webサーバ211および囮Webサーバ212をハブ&スポーク状に物理リンクで接続することができる。このことは、データ中継装置20、ユーザWebサーバ201およびユーザWebサーバ202についても同様である。
また、データ中継装置30は、サーバ監視機能31経由でユーザWebサーバ301、302を収容している。なお、各ネットワークに配置されるサーバの数および各データ中継装置が収容するサーバの数は、図1の例に限定されず、任意の数とすることができる。また、配置されるサーバの種類は、ユーザWebサーバのみであってもよいし、囮Webサーバのみであってもよい。また、ネットワーク1には、不正アクセスを試行する攻撃者が使用する攻撃者端末401が、データ中継装置40経由で収容されている。
解析装置10は、各サーバへのアクセスデータを解析する。解析装置10は、ネットワーク1に配置され、各サーバや各サーバへのアクセスを監視する機能を有する各データ中継装置と、オンラインで接続されている。なお、解析装置10の配置は、図1の例に限定されず、例えば、独立したネットワークに配置され、各データ監視装置が収集したアクセスデータをオフラインで受け取るようにしてもよい。解析装置10は、アクセスデータから特徴量を生成する。
図2を用いて、解析装置10の構成について説明する。図2は、第1の実施形態に係る解析装置の構成の一例を示す図である。図2に示すように解析装置10は、制御部11および記憶部12を有する。また、制御部11は、収集部111、ネットワーク的特徴量生成部112、アクセス元検知部113、点的特徴量生成部114およびアクセス検知部115を有する。また、記憶部12は、アクセス元記憶部121およびアクセス記憶部122を有する。
収集部111は、各データ中継装置からアクセスデータを収集する。各データ中継装置は、Webサーバや囮Webサーバ、各サーバへのアクセスを監視し、アクセスデータを収集する。各データ中継装置が収集するアクセスデータは、どの情報を特徴量に用いるかに依存する。例えば、各データ中継装置は、HTTPリクエストメッセージにおけるリクエスト部に記載されたURLやメソッド、ヘッダ部に記載されたUserAgentやReferer、ボディ部に記載された送信元IPアドレスや宛先IPアドレスや送信元ポート番号や宛先ポート番号やプロトコル番号およびPOSTメソッド時におけるボディ部の長さ等を収集する。
ネットワーク的特徴量生成部112は、ネットワーク上の複数の観測点で収集された、ネットワーク上のサーバへのアクセスに関する第1のアクセスデータを、アクセスのアクセス元である検知対象アクセス元ごとに分類し、検知対象アクセス元ごとの第1のアクセスデータの特徴量であるネットワーク的特徴量を生成する。ここで、複数の観測点とは、例えば図1のデータ中継装置20、30および40である。また、第1のアクセスデータとは、例えば、図1のネットワーク1で収集されたアクセスデータである。
このとき、ネットワーク的特徴量生成部112は、パケットの送信元アドレス、アドレスブロック、アドレス管理事業者のいずれかを検知対象アクセス元とし、ネットワーク的特徴量に、パケットサイズの統計情報、パケット到着間隔の統計情報、パケット数の統計情報、ポート番号の統計情報、ポート番号の連続性、宛先アドレスの連続性のうち少なくとも1つを含めることとしてもよい。
具体的に、ネットワーク的特徴量生成部112は、収集部111が収集したアクセスデータをアクセス元単位で集合化し、集合内でネットワーク的特徴情報を生成する。また、ネットワーク的特徴量生成部112は、収集部111によって収集された情報から生成された追加の情報を基に特徴量を生成してもよい。
例えば、ネットワーク的特徴量生成部112は、収集部111がアクセスデータとして収集したリクエストURLやUserAgnetやRefererを正規表現化し、正規表現から特徴量を抽出してもよい。この際、ネットワーク的特徴量生成部112は、正規表現化する前の文字列の長さやURLでのパスの階層数、クエリの属性数、階層や属性ごとの文字数の平均を特徴量としてもよいし、正規表現化されたデータに含まれるデータ型とその割合を特徴量とすることもできる(例えば非特許文献3を参照)。
また、ネットワーク的特徴量生成部112は、IPアドレスを元に、サブネット、AS番号、事業者、国の情報を取得して特徴量とすることもできる。加えて、ネットワーク的特徴量生成部112は、ポート番号がwell−knowsポートであるかreservedであるかprivateであるか、という情報を特徴量として追加してもよいし、特定のポートか否かを特徴量として追加してもよい。
また、ネットワーク的特徴量生成部112は、HTTPレスポンスメッセージにおける、レスポンス部に記載されたステータスコード、コンテンツの種類、コンテンツのテキスト種別(HTML、CSS等)、テキストの文字コード(UTF−8、ISO−8859−1等)、リクエスト受信後のWebサーバや囮Webサーバの挙動を特徴量に加えてもよい。また、ネットワーク的特徴量生成部112は、ポート番号について、同一アドレスからのパケット群におけるパケットサイズの統計値、パケット到着間隔の統計値、到着パケット数の統計値、周期的な特徴、ポート番号に連続性が見られるか、送信先IPアドレスに連続性が見られるか、等の全てまたは一部を特徴量に加えてもよい。
さらに、ネットワーク的特徴量生成部112は、アクセスデータを解析する対象のWebサーバや囮Webサーバに対して、各サーバが保有するIPアドレス順にアクセスしているか、また、その際にポート番号を同一にしているか、また、ポート番号を規則的に増減させているのか、等を特徴量に加えてもよい。
さらに、ネットワーク的特徴量生成部112は、例えばハニーポットからエラーコードが返される割合を特徴量として用いてもよい。なお、ネットワーク的特徴量生成部112は、アクセス元IPアドレスをアクセス元単位としてもよいし、AS番号をアクセス元単位としてもよいし、アドレスブロックをアクセス元単位としてもよい。
また、パケット到着間隔の統計値を特徴量とする場合、ネットワーク的特徴量生成部112は、通信ログ集合をHTTPリクエスト到着時刻で昇順に並び替え、到着時刻順に並べられた通信ログ集合をさらに時間スロットΔtごとに区切る。ここで、周期的に通信要求を行うクローラと、バースト的に通信要求を行うぜい弱性スキャンとでは、HTTPリクエストの到着にそれぞれ異なる傾向が現れることが知られている。そこで、ネットワーク的特徴量生成部112は、各スロットにおけるリクエストの到着数や到着リクエストが存在するスロットの数等から、リクエストの到着数や到着間隔、周期性、バースト性に関する特徴量を抽出することができる。なお、ネットワーク的特徴量生成部112は、到着間隔の数字を直接特徴量としてもよい。
また、ぜい弱性スキャンでは、数値的に連続したIPアドレスに対して連続的に通信要求が行われることがある。そこで、ネットワーク的特徴量生成部112は、HTTPリクエスト到着時刻順に並べられた通信ログ集合を基に、リクエスト到着順に対する送信先IPアドレスの連続性について分析した結果を特徴量として用いることもできる。
アクセス元検知部113は、ネットワーク的特徴量を基に、検知対象アクセス元のうち、所定の連続アクセスを行っているアクセス元を検知する。例えば、アクセス元検知部113は、ぜい弱性スキャンによる連続アクセスを行っているアクセス元、またはクローラによる連続アクセスを行っているアクセス元を検知する。
点的特徴量生成部114は、ネットワーク上の単一の観測点で収集された、ネットワーク上のサーバへのアクセスに関する第2のアクセスデータごとの特徴量である検知対象点的特徴量と、第1のアクセスデータのうち、アクセス元がアクセス元検知部113によって検知されたアクセス元である第1のアクセスデータごとの特徴量である教師点的特徴量と、を生成する。ここで、単一の観測点とは、例えば図1のデータ中継装置20である。また、第2のアクセスデータとは、例えば、図1のネットワーク2で収集されたアクセスデータである。
例えば、図1の攻撃者端末401が、アクセス元検知部113によって、ぜい弱性スキャンによる連続アクセスを行っているアクセス元として検知された場合、攻撃者端末401をアクセス元とするアクセスデータであって、データ中継装置20、30および40で収集されたアクセスデータそれぞれの特徴量が教師点的特徴量である。また、このとき、例えば、データ中継装置20で収集されたアクセスデータそれぞれの特徴量が検知対象点的特徴量である。
また、点的特徴量生成部114は、検知対象点的特徴量および教師点的特徴量に、HTTPリクエストメッセージのリクエスト部、ヘッダ部およびボディ部と、HTTPレスポンスメッセージのリクエスト部、ヘッダ部およびボディ部と、パケットのアドレス情報と、パケットのポート番号情報と、のうち少なくとも1つを含めるようにしてもよい。
ここで、検知対象点的特徴量および教師点的特徴量を含む点的特徴量について説明する。ネットワーク的特徴量が、アクセス元ごとの特徴量であったのに対し、点的特徴量はアクセスごとの特徴量である。すなわち、1台のWebサーバや囮Webサーバへのアクセスデータが点的特徴量の抽出対象である。
具体的に、点的特徴量生成部114は、収集部111が収集したアクセスデータ、または検知対象のアクセスデータを基に特徴量を生成する。また、点的特徴量生成部114は、ネットワーク的特徴量と同じ情報に基づいて点的特徴量を生成してもよいし、ネットワーク的特徴量とは異なる情報に基づいて点的特徴量を生成してもよい。
点的特徴量生成部114がリクエストURL「http://www.example.com/test/index.php?id=1」から特徴量を生成する場合の例について説明する。なお、ネットワーク的特徴量生成部112も、同様の方法で特徴量を生成してもよい。
点的特徴量生成部114は、リクエストURLにおけるパス部「/test/index.php」、およびクエリ部「id=1」を基に特徴量を生成する。パス部は、リクエストされたリソースの場所(パス)を指定する箇所である。また、クエリ部は、リクエスト時のパラメータを指定する箇所である。
まず、点的特徴量生成部114は、パス部やクエリ部の文字数を特徴量とすることができる。この場合、点的特徴量生成部114は、パス部の文字数である12や、クエリ部の文字数である3を特徴量とする。ここでは、点的特徴量生成部114は、「/」や「.」等の区切り文字は文字数に含めないこととする。
また、点的特徴量生成部114は、パス部の階層数やクエリ部のパラメータ数を特徴量とすることができる。この場合、点的特徴量生成部114は、パス部の階層数である2や、クエリ部のパラメータ数である1を特徴量とする。
さらに、点的特徴量生成部114は、パス部における階層ごとの平均文字数、クエリ部におけるパラメータごとの平均文字数を特徴量としてもよい。この場合、点的特徴量生成部114は、パス部における階層ごとの平均文字数である6や、クエリ部におけるパラメータごとの平均文字数である3を特徴量とする。
さらに、点的特徴量生成部114は、パス部やクエリ部に含まれる文字列の種類を基に特徴量を生成することもできる。この場合、点的特徴量生成部114は、まず、テキスト形式で表されるリクエストURLの情報を、一般的に扱いやすい数値型の情報へと変換するため、パス部およびクエリ部を正規表現に変換する。この場合、正規表現は、<文字列の種類(string 型、integer 型、hex 型、base64 型); 文字列長>で表されるものとする。
具体的に、点的特徴量生成部114は、パス部を「/<string;4>/<string;5>.<string;3>」、クエリ部を「<string;2>=<int;1>」に変換する。そして、点的特徴量生成部114は、得られた正規表現から、パス部およびクエリ部それぞれに含まれる文字列の種類とその割合を求め、特徴量とする。
そして、アクセス検知部115は、第2のアクセスデータのうち、検知対象点的特徴量の教師点的特徴量との類似度が所定値以上である第2のアクセスデータを、所定の連続アクセスによるアクセスデータとして検知する。
図3および4を用いて、解析装置10の各機能部による解析処理の一例について説明する。図3および4は、第1の実施形態に係る解析装置の解析処理について説明するための図である。図3および図4は、アクセス元単位をAS番号とし、ぜい弱性スキャンによるアクセスを検知する場合の例を示している。
まず、図3に示すように、ネットワーク的特徴量生成部112は、ネットワーク上の複数の観測点で収集されたアクセスデータを、アクセス元のAS番号ごとに分類し、AS番号ごとのアクセスデータの特徴量であるネットワーク的特徴量を生成する。このとき、アクセス元とネットワーク的特徴量を対にしたデータを評価データとよぶ。例えば、図3の評価データに示すように、アクセス元のAS番号が「AS1」であるアクセスデータのネットワーク的特徴量は「X1」である。
そして、アクセス元検知部113は、ネットワーク的特徴量を基に、AS番号のうち、ぜい弱性スキャンによる連続アクセスのアクセス元のAS番号を検知する。このとき、アクセス元検知部113は、既知のスキャンのアクセス元のネットワーク的特徴量、すなわち「X1」および「X3」を教師データとして採用し、評価データのうち、教師データとの類似度が所定値以上であるネットワーク的特徴量のアクセス元をスキャンのアクセス元として検知する。
なお、既知のスキャンのアクセス元は、公開されているブラックリスト等に記載されたものであってもよい。また、クローリングの検知を行う場合、既知のクローリングのアクセス元として、例えばGoogle(登録商標)等の検索エンジン事業者の情報を用いることができる。
なお、クローリングの特徴は検索エンジン事業者により異なり、特にGoogleによるクローリングは、他の検索エンジンによるクローリングと比較して特徴が大きく異なることが知られている。このため、まず、Googleによるクローリングを既知のクローリングとすることで、誤検知を低減させることができる。
図3の例では、ネットワーク的特徴量「X5」と教師データとの類似度が所定値以上であったため、ネットワーク的特徴量「X5」のアクセス元である「AS5」がスキャンのアクセス元として検知される。なお、この場合、アクセス元が既知のスキャンのアクセス元である評価データ、すなわち「AS1」および「AS3」をアクセス元とする評価データは、あらかじめ検知対象の評価データから除外される。そして、アクセス元検知部113は、検知した「AS5」を、アクセス元記憶部121に記憶させる。
次に、図4に示すように、点的特徴量生成部114は、ネットワーク上の単一の観測点で収集された、検知対象のアクセスデータごとの特徴量である検知対象点的特徴量を生成する。このとき、各アクセスのアクセス元と検知対象点的特徴量を対にしたデータを評価データとよぶ。例えば、図4の評価データに示すように、アクセス1のアクセス元のAS番号は「AS1」、検知対象点的特徴量は「Y1」である。
また、点的特徴量生成部114は、アクセス元記憶部121に記憶されているAS番号をアクセス元とするアクセスデータごとの特徴量である教師点的特徴量を生成し、教師データとして採用する。
そして、アクセス検知部115は、評価データのうち、検知対象点的特徴量の教師データとの類似度が所定値以上であるアクセスデータを、スキャンによる連続アクセスによるアクセスデータとして検知する。図4の例では、検知対象点的特徴量「Y4」と教師データとの類似度が所定値以上であったため、アクセス4がスキャンによるアクセスとして検知される。なお、この場合、アクセス元が既知のスキャンのアクセス元である評価データ、すなわち「アクセス1」、「アクセス3」および「アクセス5」は評価データからあらかじめ除外される。そして、アクセス検知部115は、検知した「アクセス4」を、アクセス記憶部122に記憶させる。なお、アクセス元検知部113およびアクセス検知部115は、例えば、類似度を非特許文献4と同じ手順で算出する。
[第1の実施形態の処理]
解析装置10の処理について説明する。スキャンを検知する場合について図3および図4の例を用いて説明したが、解析装置10は、クローリングを検知することもできる。このため、解析装置10は、(1)ネットワーク的特徴量を用いたスキャン検知処理、(2)ネットワーク的特徴量を用いたクローリング検知処理、(3)点的特徴量を用いたスキャン検知処理、および(4)点的特徴量を用いたクローリング検知処理を行うことができる。そこで、まず、(1)〜(4)の各処理について説明し、その後、(1)〜(4)を組み合わせた処理について説明する。
((1)ネットワーク的特徴量を用いたスキャン検知処理)
まず、図5を用いて、ネットワーク的特徴量を用いたスキャン検知処理について説明する。図5は、第1の実施形態に係る解析装置のネットワーク的特徴量を用いたスキャン検知処理の流れを示すフローチャートである。図5に示すように、まず、収集部111は、Webサーバや囮Webサーバへのアクセスデータを収集する(ステップS101)。そして、ネットワーク的特徴量生成部112は、アクセス元単位で集合化されたアクセス群からネットワーク的特徴量を生成し、アクセス元単位とネットワーク的特徴量の対となる評価データを生成する(ステップS102)。このとき、ネットワーク的特徴量生成部112は、既にスキャンと判明しているアクセス元単位に関するデータを教師データとして評価データから除外する(ステップS103)。
アクセス元検知部113は、評価データから任意のアクセス元単位に関するネットワーク的特徴量を抽出し(ステップS104)、既にスキャンと判明しているアクセス元単位に対するネットワーク的特徴量と、当該抽出したネットワーク的特徴量が類似しているか否かを判定する(ステップS105)。
このとき、既にスキャンと判明しているアクセス元単位に対するネットワーク的特徴量と、当該抽出したネットワーク的特徴量が類似している場合(ステップS105、Yes)、アクセス元検知部113は、当該アクセス元単位をスキャンのアクセス元単位と判定する(ステップS106)。一方、既にスキャンと判明しているアクセス元単位に対するネットワーク的特徴量と、当該抽出したネットワーク的特徴量が類似していない場合(ステップS105、No)、アクセス元検知部113は、当該アクセス元単位をスキャンのアクセス元単位でないと判定する(ステップS107)。
アクセス元検知部113は、判定後、当該アクセス元単位に関するデータを評価データから除外する(ステップS108)。そして、未判定の評価データが存在している場合(ステップS109、Yes)、解析装置10は、ステップS104に戻り処理を繰り返す。また、未判定の評価データが存在しない場合(ステップS109、No)、解析装置10は、処理を終了する。
つまり、アクセス元検知部113は、検知対象アクセス元のうち、ネットワーク的特徴量の、ぜい弱性スキャンによるアクセスを行うことが既知であるアクセス元によるアクセスに関するアクセスデータから生成される教師ネットワーク的特徴量との類似度が所定値以上であるアクセス元を、ぜい弱性スキャンによる連続アクセスを行っているアクセス元として検知する。
((2)ネットワーク的特徴量を用いたクローリング検知処理)
次に、図6を用いて、ネットワーク的特徴量を用いたクローリング検知処理について説明する。図6は、第1の実施形態に係る解析装置のネットワーク的特徴量を用いたクローリング検知処理の流れを示すフローチャートである。図6に示すように、まず、収集部111は、Webサーバや囮Webサーバへのアクセスデータを収集する(ステップS201)。そして、ネットワーク的特徴量生成部112は、アクセス元単位で集合化されたアクセス群からネットワーク的特徴量を生成し、アクセス元単位とネットワーク的特徴量の対となる評価データを生成する(ステップS202)。このとき、ネットワーク的特徴量生成部112は、既にクローラと判明しているアクセス元単位に関するデータを教師データとして評価データから除外する(ステップS203)。
アクセス元検知部113は、評価データから任意のアクセス元単位に関するネットワーク的特徴量を抽出し(ステップS204)、既にクローリングと判明しているアクセス元単位に対するネットワーク的特徴量と、当該抽出したネットワーク的特徴量が類似しているか否かを判定する(ステップS205)。
このとき、既にクローラと判明しているアクセス元単位に対するネットワーク的特徴量と、当該抽出したネットワーク的特徴量が類似している場合(ステップS205、Yes)、アクセス元検知部113は、当該アクセス元単位をクローラのアクセス元単位と判定する(ステップS206)。一方、既にクローラと判明しているアクセス元単位に対するネットワーク的特徴量と、当該抽出したネットワーク的特徴量が類似していない場合(ステップS205、No)、アクセス元検知部113は、当該アクセス元単位をクローラのアクセス元単位でないと判定する(ステップS207)。
アクセス元検知部113は、判定後、当該アクセス元単位に関するデータを評価データから除外する(ステップS208)。そして、未判定の評価データが存在している場合(ステップS209、Yes)、解析装置10は、ステップS204に戻り処理を繰り返す。また、未判定の評価データが存在しない場合(ステップS209、No)、解析装置10は、処理を終了する。
つまり、アクセス元検知部113は、検知対象アクセス元のうち、ネットワーク的特徴量の、クローラによるアクセスを行うことが既知であるアクセス元によるアクセスに関するアクセスデータから生成される教師ネットワーク的特徴量との類似度が所定値以上であるアクセス元を、クローラによる連続アクセスを行っているアクセス元として検知する。
((3)点的特徴量を用いたスキャン検知処理)
次に、図7を用いて、点的特徴量を用いたスキャン検知処理について説明する。図7は、第1の実施形態に係る解析装置の点的特徴量を用いたスキャン検知処理の流れを示すフローチャートである。図7に示すように、まず、収集部111は、Webサーバや囮Webサーバへのアクセスデータを収集する(ステップS301)。そして、点的特徴量生成部114は、アクセスごとに点的特徴量を生成し評価データ化する(ステップS302)。このとき、点的特徴量生成部114は、既にスキャンと判明している点的特徴量のデータを教師データとして評価データから除外する(ステップS303)。
アクセス検知部115は、評価データから任意のアクセスに関する点的特徴量の情報を抽出し(ステップS304)、既にスキャンと判明している点的特徴量と、当該抽出した点的特徴量が類似しているか否かを判定する(ステップS305)。
このとき、既にスキャンと判明している点的特徴量と、当該抽出した点的特徴量が類似している場合(ステップS305、Yes)、アクセス検知部115は、当該アクセスをスキャンのアクセスと判定する(ステップS306)。一方、既にスキャンと判明している点的特徴量と、当該抽出した点的特徴量が類似していない場合(ステップS305、No)、アクセス検知部115は、当該アクセスをスキャンのアクセスでないと判定する(ステップS307)。
アクセス検知部115は、判定後、当該アクセスに関するデータを評価データから除外する(ステップS308)。そして、未判定の評価データが存在している場合(ステップS309、Yes)、解析装置10は、ステップS304に戻り処理を繰り返す。また、未判定の評価データが存在しない場合(ステップS309、No)、解析装置10は、処理を終了する。
((4)点的特徴量を用いたクローリング検知処理)
次に、図8を用いて、点的特徴量を用いたクローリング検知処理について説明する。図8は、第1の実施形態に係る解析装置の点的特徴量を用いたクローリング検知処理の流れを示すフローチャートである。図8に示すように、まず、収集部111は、Webサーバや囮Webサーバへのアクセスデータを収集する(ステップS401)。そして、点的特徴量生成部114は、アクセスごとに点的特徴量を生成し評価データ化する(ステップS402)。このとき、点的特徴量生成部114は、既にクローリングと判明している点的特徴量のデータを教師データとして評価データから除外する(ステップS403)。
アクセス検知部115は、評価データから任意のアクセスに関する点的特徴量の情報を抽出し(ステップS404)、既にクローリングと判明している点的特徴量と、当該抽出した点的特徴量が類似しているか否かを判定する(ステップS405)。
このとき、既にクローリングと判明している点的特徴量と、当該抽出した点的特徴量が類似している場合(ステップS405、Yes)、アクセス検知部115は、当該アクセスをクローリングのアクセスと判定する(ステップS406)。一方、既にクローリングと判明している点的特徴量と、当該抽出した点的特徴量が類似していない場合(ステップS405、No)、アクセス検知部115は、当該アクセスをクローリングのアクセスでないと判定する(ステップS407)。
アクセス検知部115は、判定後、当該アクセスに関するデータを評価データから除外する(ステップS408)。そして、未判定の評価データが存在している場合(ステップS409、Yes)、解析装置10は、ステップS404に戻り処理を繰り返す。また、未判定の評価データが存在しない場合(ステップS409、No)、解析装置10は、処理を終了する。
さらに、(1)〜(4)の処理を組み合わせることで、精度良くスキャンおよびクローリングを検知することができる。特に、ネットワーク的特徴量を用いた検知をあらかじめ行っておくことで、既知のスキャンまたはクローリングのアクセス元の情報を取得しておき、取得した情報を、点的特徴量を用いた検知に利用することができる。これにより、点的特徴量のみを用いた検知の精度を向上させることができる。
((1)と(3)の組み合わせ)
まず、図9を用いて、ネットワーク的特徴量および点的特徴量を用いたスキャン検知処理について説明する。図9は、第1の実施形態に係る解析装置のネットワーク的特徴量および点的特徴量を用いたスキャン検知処理の流れを示すフローチャートである。図9に示すように、まず、解析装置10は、図5に示す処理により、ネットワーク的特徴量を用いたスキャン検知を行う(ステップS501)。
そして、点的特徴量生成部114は、ステップS501でスキャンではないと判定されたアクセスごとに点的特徴量を生成し評価データ化する(ステップS502)。具体的に、点的特徴量生成部114は、ステップS501でスキャンのアクセス元と判定されなかったアクセス元のアクセスデータを基に評価データの点的特徴量を生成することができる。
このとき、点的特徴量生成部114は、既にスキャンと判明しているアクセスの点的特徴量のデータを教師データとして採用する(ステップS503)。具体的に、点的特徴量生成部114は、ステップS501でスキャンのアクセス元と判定されたアクセス元のアクセスデータを基に生成した点的特徴量を教師データとすることができる。なお、ステップS504〜509の処理は、図7のS304〜309の処理と同様であるため、説明を省略する。
((2)と(4)の組み合わせ)
次に、図10を用いて、ネットワーク的特徴量および点的特徴量を用いたクローリング検知処理について説明する。図10は、第1の実施形態に係る解析装置のネットワーク的特徴量および点的特徴量を用いたクローリング検知処理の流れを示すフローチャートである。図10に示すように、まず、解析装置10は、図6に示す処理により、ネットワーク的特徴量を用いたクローリング検知を行う(ステップS601)。
そして、点的特徴量生成部114は、ステップS601でクローリングではないと判定されたアクセスごとに点的特徴量を生成し評価データ化する(ステップS602)。具体的に、点的特徴量生成部114は、ステップS601でクローリングのアクセス元と判定されなかったアクセス元のアクセスデータを基に評価データの点的特徴量を生成することができる。
このとき、点的特徴量生成部114は、既にクローリングと判明しているアクセスの点的特徴量のデータを教師データとして採用する(ステップS603)。具体的に、点的特徴量生成部114は、ステップS601でクローリングのアクセス元と判定されたアクセス元のアクセスデータを基に生成した点的特徴量を教師データとすることができる。なお、ステップS604〜609の処理は、図8のS404〜409の処理と同様であるため、説明を省略する。
((2)と(1)の組み合わせ)
次に、図11を用いて、ネットワーク的特徴量のみを用いた検知処理について説明する。図11は、第1の実施形態に係る解析装置のネットワーク的特徴量のみを用いた検知処理の流れを示すフローチャートである。図11に示すように、まず、解析装置10は、図6に示す処理により、ネットワーク的特徴量を用いたクローリング検知を行う(ステップS701)。そして、ネットワーク的特徴量生成部112は、クローラのアクセス元単位でないと判定されたアクセス元単位と、ネットワーク的特徴量の対となる評価データを生成する。(ステップS702)。このとき、ネットワーク的特徴量生成部112は、既にスキャンと判明しているアクセス元単位に関するデータを教師データとして採用する(ステップS703)。なお、ステップS704〜709の処理は、図5のS104〜109の処理と同様であるため、説明を省略する。
図11の処理では、アクセス元検知部113は、検知対象アクセス元のうち、アクセス元検知部113によって、クローラによる連続アクセスを行っているアクセス元として検知されたアクセス元以外のアクセス元から、さらにぜい弱性スキャンによる連続アクセスを行っているアクセス元を検知する。
このように、クローラと判定されなかったアクセス元を対象として、スキャンのアクセス元であるか否かの判定を行うことで、クローリングとスキャンをさらに精度の良く識別することが可能となる。
((4)と(3)の組み合わせ)
次に、図12を用いて、点的特徴量のみを用いた検知処理について説明する。図12は、第1の実施形態に係る解析装置の点的特徴量のみを用いた検知処理の流れを示すフローチャートである。図12に示すように、まず、解析装置10は、図8に示す処理により、点的特徴量を用いたクローリング検知を行う(ステップS801)。そして、点的特徴量生成部114は、クローリングではないと判定されたアクセスごとに点的特徴量を生成し評価データ化する(ステップS802)。このとき、点的特徴量生成部114は、既にスキャンと判明しているアクセスの点的特徴量のデータを教師データとして採用する(ステップS803)。なお、ステップS804〜809の処理は、図7のS304〜309の処理と同様であるため、説明を省略する。
[第1の実施形態の効果]
ネットワーク的特徴量生成部112は、ネットワーク上の複数の観測点で収集された、ネットワーク上のサーバへのアクセスに関する第1のアクセスデータを、アクセスのアクセス元である検知対象アクセス元ごとに分類し、検知対象アクセス元ごとの第1のアクセスデータの特徴量であるネットワーク的特徴量を生成する。また、アクセス元検知部113は、ネットワーク的特徴量を基に、検知対象アクセス元のうち、所定の連続アクセスを行っているアクセス元を検知する。また、点的特徴量生成部114は、ネットワーク上の単一の観測点で収集された、ネットワーク上のサーバへのアクセスに関する第2のアクセスデータごとの特徴量である検知対象点的特徴量と、第1のアクセスデータのうち、アクセス元がアクセス元検知部113によって検知されたアクセス元である第1のアクセスデータごとの特徴量である教師点的特徴量と、を生成する。また、アクセス検知部115は、第2のアクセスデータのうち、検知対象点的特徴量の教師点的特徴量との類似度が所定値以上である第2のアクセスデータを、所定の連続アクセスによるアクセスデータとして検知する。
このように、クローリングやスキャンを識別可能なネットワーク的特徴量を用いた検知を事前に行っておくことで、点的特徴量を用いた検知であっても精度の良い検知を行うことが可能になる。つまり、本実施形態によれば、限られた情報から、攻撃による通信を当該通信に類似した正常な通信と識別しつつ検知することができる。
図13を用いて、本実施形態の効果をさらに詳細に説明する。図13は、第1の実施形態に係る解析装置の効果を説明するための図である。図13に示すように、まず、攻撃者端末401等によるスキャンは、複数のWebサーバや囮Webサーバで観測し、統計的観点から解析することで発見できる場合が多い。
そこで、本実施形態では、統計的観点からの解析結果をネットワーク的特徴量としている。そして、ネットワーク的特徴量からスキャンと判定されたアクセスにおいて、点的特徴量を解析すると、スキャンに見られる点的特徴量の教師データを生成できる。このような教師データを用いることで、1台のWebサーバ上での観測しか実現できない場合であっても、点的特徴量の類似性からスキャンを検知することができる。
ネットワーク的特徴量生成部112は、パケットの送信元アドレス、アドレスブロック、アドレス管理事業者のいずれかを検知対象アクセス元とし、ネットワーク的特徴量に、パケットサイズの統計情報、パケット到着間隔の統計情報、パケット数の統計情報、ポート番号の統計情報、ポート番号の連続性、宛先アドレスの連続性のうち少なくとも1つを含める。また、点的特徴量生成部114は、検知対象点的特徴量および教師点的特徴量に、HTTPリクエストメッセージのリクエスト部、ヘッダ部およびボディ部と、HTTPレスポンスメッセージのリクエスト部、ヘッダ部およびボディ部と、パケットのアドレス情報と、パケットのポート番号情報と、のうち少なくとも1つを含める。このように、攻撃によるアクセスを特に検知しやすい情報を特徴量に含めることで、さらに精度の良い検知を行うことが可能となる。
アクセス元検知部113は、ぜい弱性スキャンによる連続アクセスを行っているアクセス元、またはクローラによる連続アクセスを行っているアクセス元を検知する。これにより、短期間に集中的なアクセスを行う点で類似しているスキャンとクローリングを識別することが可能となる。
アクセス元検知部113は、検知対象アクセス元のうち、ネットワーク的特徴量の、ぜい弱性スキャンによるアクセスを行うことが既知であるアクセス元によるアクセスに関するアクセスデータから生成される教師ネットワーク的特徴量との類似度が所定値以上であるアクセス元を、ぜい弱性スキャンによる連続アクセスを行っているアクセス元として検知する。また、アクセス元検知部113は、検知対象アクセス元のうち、ネットワーク的特徴量の、クローラによるアクセスを行うことが既知であるアクセス元によるアクセスに関するアクセスデータから生成される教師ネットワーク的特徴量との類似度が所定値以上であるアクセス元を、クローラによる連続アクセスを行っているアクセス元として検知する。このように、既知のアクセスデータの特徴量との類似度によって判定を行うことにより、未知のアクセスデータの検知が可能となる。
アクセス元検知部113は、検知対象アクセス元のうち、アクセス元検知部113によって、クローラによる連続アクセスを行っているアクセス元として検知されたアクセス元以外のアクセス元から、さらにぜい弱性スキャンによる連続アクセスを行っているアクセス元を検知する。このように、あらかじめクローリングのアクセスを除外したうえでスキャンのアクセスを検知することで、さらに精度を向上させることができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPU(Central Processing Unit)および当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、解析装置は、パッケージソフトウェアやオンラインソフトウェアとして上記の解析を実行する解析プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の解析プログラムを情報処理装置に実行させることにより、情報処理装置を解析装置として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、解析装置は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の解析に関するサービスを提供するサーバ装置として実装することもできる。例えば、解析装置は、アクセスデータを入力とし、検知結果を出力とする解析サービスを提供するサーバ装置として実装される。この場合、解析装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の解析に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図14は、プログラムが実行されることにより解析装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、解析装置の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、解析装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093およびプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093およびプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1、2、3、4 ネットワーク
10 解析装置
11 制御部
12 記憶部
20、30、40 データ中継装置
21、31 サーバ監視機能
111 収集部
112 ネットワーク的特徴量生成部
113 アクセス元検知部
114 点的特徴量生成部
115 アクセス検知部
121 アクセス元記憶部
122 アクセス記憶部
201、202、301、302 ユーザWebサーバ
211、212 囮Webサーバ
401 攻撃者端末

Claims (8)

  1. 解析装置で実行される解析方法であって、
    ネットワーク上の複数の観測点で収集された、前記ネットワーク上のサーバへのアクセスに関する第1のアクセスデータを、前記アクセスのアクセス元である検知対象アクセス元ごとに分類し、前記検知対象アクセス元ごとの前記第1のアクセスデータの特徴量であるネットワーク的特徴量を生成するネットワーク的特徴量生成工程と、
    前記ネットワーク的特徴量を基に、前記検知対象アクセス元のうち、所定の連続アクセスを行っているアクセス元を検知するアクセス元検知工程と、
    ネットワーク上の単一の観測点で収集された、前記ネットワーク上のサーバへのアクセスに関する第2のアクセスデータごとの特徴量である検知対象点的特徴量と、前記第1のアクセスデータのうち、アクセス元が前記アクセス元検知工程によって検知されたアクセス元である第1のアクセスデータごとの特徴量である教師点的特徴量と、を生成する点的特徴量生成工程と、
    前記第2のアクセスデータのうち、前記検知対象点的特徴量の前記教師点的特徴量との類似度が所定値以上である第2のアクセスデータを、前記所定の連続アクセスによるアクセスデータとして検知するアクセス検知工程と、
    を含んだことを特徴とする解析方法。
  2. 前記ネットワーク的特徴量生成工程は、パケットの送信元アドレス、アドレスブロック、アドレス管理事業者のいずれかを前記検知対象アクセス元とし、前記ネットワーク的特徴量に、パケットサイズの統計情報、パケット到着間隔の統計情報、パケット数の統計情報、ポート番号の統計情報、ポート番号の連続性、宛先アドレスの連続性のうち少なくとも1つを含め、
    前記点的特徴量生成工程は、前記検知対象点的特徴量および前記教師点的特徴量に、HTTPリクエストメッセージのリクエスト部、ヘッダ部およびボディ部と、HTTPレスポンスメッセージのリクエスト部、ヘッダ部およびボディ部と、パケットのアドレス情報と、パケットのポート番号情報と、のうち少なくとも1つを含めることを特徴とする請求項1に記載の解析方法。
  3. 前記アクセス元検知工程は、ぜい弱性スキャンによる連続アクセスを行っているアクセス元、またはクローラによる連続アクセスを行っているアクセス元を検知することを特徴とする請求項1または2に記載の解析方法。
  4. 前記アクセス元検知工程は、前記検知対象アクセス元のうち、前記ネットワーク的特徴量の、ぜい弱性スキャンによるアクセスを行うことが既知であるアクセス元によるアクセスに関するアクセスデータから生成される教師ネットワーク的特徴量との類似度が所定値以上であるアクセス元を、ぜい弱性スキャンによる連続アクセスを行っているアクセス元として検知することを特徴とする請求項3に記載の解析方法。
  5. 前記アクセス元検知工程は、前記検知対象アクセス元のうち、前記ネットワーク的特徴量の、クローラによるアクセスを行うことが既知であるアクセス元によるアクセスに関するアクセスデータから生成される教師ネットワーク的特徴量との類似度が所定値以上であるアクセス元を、クローラによる連続アクセスを行っているアクセス元として検知することを特徴とする請求項3に記載の解析方法。
  6. 前記アクセス元検知工程は、前記検知対象アクセス元のうち、前記アクセス元検知工程によって、クローラによる連続アクセスを行っているアクセス元として検知されたアクセス元以外のアクセス元から、さらにぜい弱性スキャンによる連続アクセスを行っているアクセス元を検知することを特徴とする請求項5に記載の解析方法。
  7. ネットワーク上の複数の観測点で収集された、前記ネットワーク上のサーバへのアクセスに関する第1のアクセスデータを、前記アクセスのアクセス元である検知対象アクセス元ごとに分類し、前記検知対象アクセス元ごとの前記第1のアクセスデータの特徴量であるネットワーク的特徴量を生成するネットワーク的特徴量生成部と、
    前記ネットワーク的特徴量を基に、前記検知対象アクセス元のうち、所定の連続アクセスを行っているアクセス元を検知するアクセス元検知部と、
    ネットワーク上の単一の観測点で収集された、前記ネットワーク上のサーバへのアクセスに関する第2のアクセスデータごとの特徴量である検知対象点的特徴量と、前記第1のアクセスデータのうち、アクセス元が前記アクセス元検知部によって検知されたアクセス元である第1のアクセスデータごとの特徴量である教師点的特徴量と、を生成する点的特徴量生成部と、
    前記第2のアクセスデータのうち、前記検知対象点的特徴量の前記教師点的特徴量との類似度が所定値以上である第2のアクセスデータを、前記所定の連続アクセスによるアクセスデータとして検知するアクセス検知部と、
    を有することを特徴とする解析装置。
  8. コンピュータに、
    ネットワーク上の複数の観測点で収集された、前記ネットワーク上のサーバへのアクセスに関する第1のアクセスデータを、前記アクセスのアクセス元である検知対象アクセス元ごとに分類し、前記検知対象アクセス元ごとの前記第1のアクセスデータの特徴量であるネットワーク的特徴量を生成するネットワーク的特徴量生成ステップと、
    前記ネットワーク的特徴量を基に、前記検知対象アクセス元のうち、所定の連続アクセスを行っているアクセス元を検知するアクセス元検知ステップと、
    ネットワーク上の単一の観測点で収集された、前記ネットワーク上のサーバへのアクセスに関する第2のアクセスデータごとの特徴量である検知対象点的特徴量と、前記第1のアクセスデータのうち、アクセス元が前記アクセス元検知ステップによって検知されたアクセス元である第1のアクセスデータごとの特徴量である教師点的特徴量と、を生成する点的特徴量生成ステップと、
    前記第2のアクセスデータのうち、前記検知対象点的特徴量の前記教師点的特徴量との類似度が所定値以上である第2のアクセスデータを、前記所定の連続アクセスによるアクセスデータとして検知するアクセス検知ステップと、
    を実行させることを特徴とする解析プログラム。
JP2018501596A 2016-02-24 2017-02-13 解析方法、解析装置および解析プログラム Active JP6393010B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016033637 2016-02-24
JP2016033637 2016-02-24
PCT/JP2017/005180 WO2017145843A1 (ja) 2016-02-24 2017-02-13 解析方法、解析装置および解析プログラム

Publications (2)

Publication Number Publication Date
JPWO2017145843A1 JPWO2017145843A1 (ja) 2018-06-28
JP6393010B2 true JP6393010B2 (ja) 2018-09-19

Family

ID=59686161

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018501596A Active JP6393010B2 (ja) 2016-02-24 2017-02-13 解析方法、解析装置および解析プログラム

Country Status (4)

Country Link
US (1) US11159548B2 (ja)
EP (1) EP3379772B1 (ja)
JP (1) JP6393010B2 (ja)
WO (1) WO2017145843A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7045949B2 (ja) 2018-07-13 2022-04-01 株式会社Pfu 情報処理装置、通信検査方法及びプログラム
JP6970344B2 (ja) * 2018-08-03 2021-11-24 日本電信電話株式会社 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
CN111600894B (zh) * 2020-05-20 2023-05-16 新华三信息安全技术有限公司 一种网络攻击检测方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4745881B2 (ja) 2006-04-21 2011-08-10 三菱電機株式会社 ネットワーク状態判定装置及びネットワーク状態判定方法及びネットワーク状態判定プログラム
US20090327224A1 (en) * 2008-06-26 2009-12-31 Microsoft Corporation Automatic Classification of Search Engine Quality
JP5650617B2 (ja) * 2011-10-11 2015-01-07 日本電信電話株式会社 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム

Also Published As

Publication number Publication date
JPWO2017145843A1 (ja) 2018-06-28
EP3379772A1 (en) 2018-09-26
WO2017145843A1 (ja) 2017-08-31
EP3379772B1 (en) 2020-08-12
US20190007439A1 (en) 2019-01-03
EP3379772A4 (en) 2019-07-31
US11159548B2 (en) 2021-10-26

Similar Documents

Publication Publication Date Title
Xu et al. Am I eclipsed? A smart detector of eclipse attacks for Ethereum
US11750659B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
US10574695B2 (en) Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium
Choi et al. A method of DDoS attack detection using HTTP packet pattern and rule engine in cloud computing environment
JP6053091B2 (ja) トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
Rafique et al. Firma: Malware clustering and network signature generation with mixed network behaviors
US20100162350A1 (en) Security system of managing irc and http botnets, and method therefor
KR102079687B1 (ko) 공격 그래프 기반의 사이버 위협 예측 시스템 및 그 방법
KR101859562B1 (ko) 취약점 정보 분석 방법 및 장치
Zhan et al. A characterization of cybersecurity posture from network telescope data
JP6393010B2 (ja) 解析方法、解析装置および解析プログラム
US20230283641A1 (en) Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement
JP2015179416A (ja) ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム
CN107360198B (zh) 可疑域名检测方法及系统
Kim Potential risk analysis method for malware distribution networks
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
Engelberth et al. The inmas approach
JP2020022133A (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
KR101935261B1 (ko) 위험 자산 알림 시스템 및 이의 동작 방법
Hong et al. Scalable command and control detection in log data through UF-ICF analysis
Kim et al. A design of automated vulnerability information management system for secure use of internet-connected devices based on internet-wide scanning methods
CN108347447B (zh) 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统
US10333976B1 (en) Open source intelligence deceptions
Jeng et al. Md-minerp: Interaction profiling bipartite graph mining for malware-control domain detection
Kuze et al. Detection of vulnerability scanning using features of collective accesses based on information collected from multiple honeypots

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180209

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180821

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180823

R150 Certificate of patent or registration of utility model

Ref document number: 6393010

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150