JP6499380B2 - ログ分析装置、ログ分析方法およびログ分析プログラム - Google Patents

ログ分析装置、ログ分析方法およびログ分析プログラム Download PDF

Info

Publication number
JP6499380B2
JP6499380B2 JP2018523692A JP2018523692A JP6499380B2 JP 6499380 B2 JP6499380 B2 JP 6499380B2 JP 2018523692 A JP2018523692 A JP 2018523692A JP 2018523692 A JP2018523692 A JP 2018523692A JP 6499380 B2 JP6499380 B2 JP 6499380B2
Authority
JP
Japan
Prior art keywords
log
malware
signature
information
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018523692A
Other languages
English (en)
Other versions
JPWO2017217301A1 (ja
Inventor
健介 中田
健介 中田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2017217301A1 publication Critical patent/JPWO2017217301A1/ja
Application granted granted Critical
Publication of JP6499380B2 publication Critical patent/JP6499380B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ログ分析装置、ログ分析方法およびログ分析プログラムに関する。
ネットワークを介しての各種サービスやインフラへのサイバー攻撃は多種多様な手法を用いた執拗なものへと日々進化し、ますます脅威が増大しているが、感染を完全に防ぐことは困難である。そのため、感染を前提として、通信の情報からマルウェア感染端末を早期に発見し駆除するためのマルウェア感染端末の検知技術が知られている。
例えば、マルウェア感染端末の検知技術として、マルウェアの動的解析結果を用いて、悪性リストや通信の挙動に基づいたシグネチャを作成し、防御対象の通信ログを分析する技術が知られている。
中田健介、青木一史、神谷和憲、角田進、大嶋嘉人、「動的解析結果に基づく共通的なマルウェア通信パターン抽出技術の検討」、情報処理学会、コンピュータセキュリティシンポジウム2015
しかしながら、従来の技術には、ログ分析の検知結果を基に、オペレータが詳細解析および対処の要否を判断することが困難であるという問題があった。例えば、従来の技術では、ログ分析の検知結果、および検知に用いられたシグネチャがオペレータに通知される場合がある。この場合、オペレータは、検知結果やシグネチャに関する情報を得ることができるが、検知結果に対しどのような対処をするべきかを判断するための情報を得ることができないため、検知結果を解析し、詳細解析および対処の要否を判断することが困難であった。
本発明のログ分析装置は、所定のネットワークにおける通信から得られる第1の通信ログと、マルウェアによる通信から得られる第2の通信ログと、を取得するログ取得部と、前記第2の通信ログに含まれるフィールドおよび値を基に、前記マルウェアに感染した端末を検知する条件であるシグネチャを生成するシグネチャ生成部と、前記マルウェアに関する情報を取得するマルウェア情報取得部と、前記シグネチャに、前記マルウェアに関する情報を付与するマルウェア情報付与部と、前記シグネチャを用いて前記第1の通信ログを分析し、前記マルウェアに感染した端末を検知する検知部と、前記検知部による前記第1の通信ログの検知結果と、前記第1の通信ログの分析に用いられた前記シグネチャに付与された前記マルウェアに関する情報と、を対応付けて表示する表示部と、を有することを特徴とする。
また、本発明のログ分析方法は、ログ分析装置で実行されるログ分析方法であって、所定のネットワークにおける通信から得られる第1の通信ログと、マルウェアによる通信から得られる第2の通信ログと、を取得するログ取得工程と、前記第2の通信ログに含まれるフィールドおよび値を基に、前記マルウェアに感染した端末を検知する条件であるシグネチャを生成するシグネチャ生成工程と、前記マルウェアに関する情報を取得するマルウェア情報取得工程と、前記シグネチャに、前記マルウェアに関する情報を付与するマルウェア情報付与工程と、前記シグネチャを用いて前記第1の通信ログを分析し、前記マルウェアに感染した端末を検知する検知工程と、前記検知工程による前記第1の通信ログの検知結果と、前記第1の通信ログの分析に用いられた前記シグネチャに付与された前記マルウェアに関する情報と、を対応付けて表示する表示工程と、を含んだことを特徴とする。
本発明によれば、ログ分析の検知結果を基に、オペレータが容易に詳細解析および対処の要否を判断することができるようになる。
図1は、第1の実施形態に係るログ分析システムの構成の一例を示す図である。 図2は、通信ログのフィールドの一例を示す図である。 図3は、シグネチャ候補の一例を示す図である。 図4は、マルウェアに関する情報の一例を示す図である。 図5は、マルウェアに関する情報が付与されたシグネチャ候補の一例を示す図である。 図6は、検知結果表示画面の一例を示す図である。 図7は、第1の実施形態に係るログ分析装置の処理の流れを示すフローチャートである。 図8は、プログラムが実行されることによりログ分析装置が実現されるコンピュータの一例を示す図である。
以下に、本願に係るログ分析装置、ログ分析方法およびログ分析プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本発明が限定されるものではない。
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係るログ分析システムの構成について説明する。図1は、第1の実施形態に係るログ分析システムの構成の一例を示す図である。図1に示すように、ログ分析システム1は、マルウェア共有サーバ10、マルウェア動的解析装置20、ログ収集蓄積装置30およびログ分析装置40を有する。
マルウェア共有サーバ10、マルウェア動的解析装置20、ログ収集蓄積装置30およびログ分析装置40は、例えば、有線または無線のLAN(Local Area Network)やVPN(Virtual Private Network)等の任意の種類の通信網によって接続されている。なお、ログ分析システム1に含まれるログ分析装置40の数は、図示の数に限定されず、任意の数とすることができる。
また、マルウェア共有サーバ10、マルウェア動的解析装置20、ログ収集蓄積装置30およびログ分析装置40は、それぞれ図示しない通信部、制御部、および記憶部を有する。
通信部は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部はNIC(Network Interface Card)である。また、制御部は、装置全体を制御する。制御部は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部で各種のプログラムを動作させることにより各処理部が実現される。
また、記憶部は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部は、各装置で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部は、プログラムの実行で用いられる各種情報を記憶する。
例えば、制御部でプログラムを動作させることにより、後述のログ取得部401、シグネチャ生成部402、マルウェア解析レポート取得部403、マルウェア情報付与部404、トレーニング部405、ログ分析部406、検知結果表示部407および無害判定部408が実現される。また、例えば、記憶部は、後述の分析用通信ログ451、悪性通信ログ452、シグネチャ情報453、検知結果454および無害判定条件455を記憶する。
ここで、ログ分析システム1の各装置について説明する。まず、マルウェア共有サーバ10は、マルウェアに関する情報を、マルウェア共有サイトを介してログ分析装置40等に提供する。マルウェア共有サイトには、例えばVirusTotalがある。図1に示すように、マルウェア共有サーバ10は、マルウェアに関する情報を、マルウェア検体情報101として記憶する。
マルウェア動的解析装置20は、マルウェアを動作させ、悪性通信ログを取得する。図1に示すように、マルウェア動的解析装置20は、マルウェア取得部201、動的解析部202を有し、悪性通信ログ203を記憶する。マルウェア取得部201は、マルウェア共有サーバ10からマルウェア検体情報101を取得する。また、動的解析部202は、端末に感染させたマルウェアを動作させ、悪性通信ログ203を取得する。なお、マルウェア取得部201は、ハニーポットを設置してマルウェアを取得してもよい。
ログ収集蓄積装置30は、分析対象の通信ログおよび悪性通信ログを収集し蓄積する。図1に示すように、ログ収集蓄積装置30は、収集部301、正規化部302を有し、正規化済通信ログ303を記憶する。収集部301は、マルウェア動的解析装置20から悪性通信ログ203を取得する。
また、収集部301は、IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)、WebProxy、FireWall等から、分析対象の通信ログを取得する。分析対象の通信ログは、悪性であるか否かが未知の通信ログである。
正規化部302は、通信ログの正規化を行う。通信ログは、当該通信ログを記録した機器ごとにフォーマットが異なっている場合がある。このため、正規化部302は、通信ログから所定のフィールドおよび値を抽出することで正規化を行う。正規化部302が正規化を行った通信ログには、例えば分析対象の通信ログおよび悪性通信ログが含まれる。そして、ログ収集蓄積装置30は、正規化した通信ログを正規化済通信ログ303として記憶する。
図2を用いて通信ログのフィールドおよび値について説明する。図2は、通信ログのフィールドの一例を示す図である。正規化部302は、例えば図2に示すようなフィールドおよび値を、正規化済通信ログ303として通信ログから抽出する。
図2に示すように、通信ログのフィールドには、例えば、タイムスタンプ、LogSource、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、通信プロトコル名、判定結果、送信バイト数、受信バイト数、URL、メソッド名、UserAgent、ステータスコード、継続時間および通信方向が含まれる。
フィールド「タイムスタンプ」の値は、通信ログが取得された時刻である。また、フィールド「LogSource」の値は、通信ログを記録した機器ごとのユニークなIDである。また、フィールド「送信元IPアドレス」の値は、当該通信の送信元IPアドレス情報である。また、フィールド「送信元ポート番号」の値は、当該通信の送信元ポート番号である。また、フィールド「宛先IPアドレス」の値は、当該通信の宛先IPアドレスである。また、フィールド「宛先ポート番号」の値は、当該通信の宛先ポート番号である。また、フィールド「通信プロトコル名」の値は、当該通信の通信プロトコル名である。また、フィールド「判定結果」の値は、当該通信の機器における判定結果である。また、フィールド「送信バイト数」の値は、当該通信の送信バイト数である。また、フィールド「受信バイト数」の値は、当該通信の受信バイト数である。また、フィールド「URL」の値は、当該通信がHTTP通信である際の宛先URLである。また、フィールド「メソッド名」の値は、当該通信がHTTP通信である際のHTTPメソッド名である。また、フィールド「UserAgent」の値は、当該通信がHTTP通信である際のHTTPユーザエージェント名である。また、フィールド「ステータスコード」の値は、当該通信がHTTP通信である際のHTTPステータスコードである。また、フィールド「継続時間」の値は、当該通信におけるセッション継続時間である。また、フィールド「通信方向」の値は、当該通信における通信方向である。
ログ分析装置40は、通信ログを分析し、分析結果および分析に用いたシグネチャの生成元のマルウェアに関する情報を表示する。図1に示すように、ログ分析装置40は、ログ取得部401、シグネチャ生成部402、マルウェア解析レポート取得部403、マルウェア情報付与部404、トレーニング部405、ログ分析部406、検知結果表示部407および無害判定部408を有する。また、ログ分析装置40は、分析用通信ログ451、悪性通信ログ452、シグネチャ情報453、検知結果454および無害判定条件455を記憶する。
ログ取得部401は、ログ収集蓄積装置30の正規化済通信ログ303を取得する。例えば、ログ取得部401は、所定の検索条件で正規化済通信ログ303を検索し、ログの取得を問い合わせる。そして、ログ収集蓄積装置30は、検索結果を応答としてログ取得部401に返す。なお、ログ取得部401が取得する正規化済通信ログ303には、分析対象の通信ログおよび悪性通信ログの両方が含まれている。また、以降の説明において、正規化された通信ログを単に通信ログと呼ぶ。
次に、ログ取得部401は、取得した通信ログのうち、分析対象の通信ログを分析用通信ログ451としてログ分析装置40に記憶させる。また、ログ取得部401は、取得した通信ログのうち、悪性通信ログを、悪性通信ログ452としてログ分析装置40に記憶させる。このように、ログ取得部401は、所定のネットワークにおける通信から得られる分析用通信ログ451と、マルウェアによる通信から得られる悪性通信ログ452と、を取得する。
また、シグネチャ生成部402は、悪性通信ログ452に含まれるフィールドおよび値を基に、マルウェアに感染した端末を検知する条件であるシグネチャを生成する。ここで、図3を用いてシグネチャ候補について説明する。図3は、シグネチャ候補の一例を示す図である。
シグネチャ生成部402は、悪性通信ログ452に含まれるフィールドから、所定の条件を満たすフィールドを抽出し、抽出したフィールドおよび値の組に閾値が設定されたシグネチャを生成する。例えば、シグネチャ生成部402は、悪性通信ログ452のフィールドおよび値の出現回数、出現割合、出現順位等が所定の条件を満たしている場合、シグネチャ候補として抽出する。
図3に示すように、例えば、シグネチャ生成部402は、フィールドが「URL」、値が「http://www.malsite.com/」、閾値が1であるシグネチャを生成する。この場合、例えば、ログ分析装置40は、当該URLを含む通信ログが1回以上記録されている端末を検知する。
また、例えば、シグネチャ生成部402は、フィールドが「プロトコル+宛先ポート」、値が「TCP/4092」、閾値が10であるシグネチャを生成する。この場合、例えば、ログ分析装置40は、当該値を含む通信ログが10回以上記録されている端末を検知する。このように、シグネチャ生成部402は、フィールドの値を組み合わせてシグネチャ候補を生成してもよい。
また、例えば、シグネチャ生成部402は、フィールドが「宛先組織」、値が「Malware.com」、閾値が1であるシグネチャを生成する。この場合、例えば、ログ分析装置40は、当該組織を含む通信ログが1回以上記録されている端末を検知する。なお、宛先組織は、通信ログ中のURL情報から抽出することができる。
また、例えば、シグネチャ生成部402は、フィールドが「UserAgent」、値が「badAgent」、閾値が5であるシグネチャを生成する。この場合、例えば、ログ分析装置40は、当該UserAgentを含む通信ログが5回以上記録されている端末を検知する。
また、例えば、シグネチャ生成部402は、フィールドが「宛先IPアドレス」、値が「10.10.10.10」、閾値が5であるシグネチャを生成する。この場合、例えば、ログ分析装置40は、当該宛先IPアドレスを含む通信ログが5回以上記録されている端末を検知する。
マルウェア解析レポート取得部403は、マルウェアに関する情報を取得する。マルウェア解析レポート取得部403は、マルウェア共有サーバ10から、マルウェア共有サイトを介してマルウェア検体情報101を取得する。マルウェア解析レポート取得部403は、取得したマルウェア検体情報101を、レポートファイルとしてマルウェア情報付与部404に受け渡す。図4に示すように、マルウェア検体情報101が受け渡すレポートファイルには、マルウェアに関する情報として、マルウェアがアクセスを行ったファイル、マルウェアが実行したコマンド、マルウェアの感染端末内での挙動、当該マルウェアに対する(Anti Virus)ソフトの検知結果等に関する情報が含まれる。図4は、マルウェアに関する情報の一例を示す図である。
図4に示すように、マルウェアに関する情報の項目名には、例えば「imphash」、「TrID」、「First_Seen」、「AntiVirusベンダの検知名」、「behaviour」、「Sha1」が含まれる。
項目「imphash」は、当該マルウェアのインポート関数のハッシュ値である。また、項目「TrID」は、当該マルウェアのファイルタイプである。また、項目「First_Seen」は、当該マルウェアが初めて共有サイトに登録された日時である。また、項目「AntiVirusベンダの検知名」は、当該マルウェアの各AVソフトの検知結果である。また、項目「behaviour」は、当該マルウェアの動作情報である。また、項目「Sha1」は、当該マルウェアのsha1ハッシュ値である。なお、マルウェアに関する各情報が集約されたWebページが存在する場合、ログ分析装置40は、当該WebページのURLを参考URLとしてレポートファイル等に記憶させておき、検知結果表示部407に表示させてもよい。
また、マルウェア情報付与部404は、シグネチャ候補に、マルウェアに関する情報を付与する。マルウェア情報付与部404は、レポートファイルに含まれるマルウェアに関する情報を、各シグネチャ候補に付与する。例えば、マルウェア情報付与部404は、シグネチャ候補に、ファイルタイプ、登録された日時、検知名、動作情報のうち少なくとも1つを付与する。各シグネチャ候補には、生成元となった悪性通信ログ452が存在する。このため、マルウェア情報付与部404は、悪性通信ログ452を生成したマルウェアに対応する情報が付与される。ここで、例えば、動的解析部202が悪性通信ログ203を取得する際に動作させたマルウェアを識別可能な情報を、悪性通信ログ203とともにログ収集蓄積装置30及びログ分析装置40等に流通させておくことで、マルウェア情報付与部404は、シグネチャ候補とマルウェアに関する情報との対応付けを行うことができる。
なお、シグネチャ候補の生成元のマルウェアが複数存在する場合がある。このような場合、マルウェア情報付与部404は、1つのシグネチャ候補に、複数のマルウェアに関する情報を並列して付与してもよいし、所定の条件で限定した1つのマルウェアに関する情報のみを付与するようにしてもよい。
例えば、マルウェア情報付与部404は、マルウェアの分類名について、マルウェアに関する情報の提供元であるベンダのうち、確度が最も高いベンダによって提供される分類名をシグネチャ候補に付与するようにしてもよいし、最も多くのベンダから提供されている分類名を付与するようにしてもよい。
ここで、図5を用いてマルウェアに関する情報が付与されたシグネチャ候補について説明する。図5は、マルウェアに関する情報が付与されたシグネチャ候補の一例を示す図である。図5の例では、マルウェアに関する情報の一例として、マルウェアの分類名、すなわち、図4における項目「AntiVirusベンダの検知名」の値がシグネチャ候補に付与されている。
図5に示すように、マルウェア情報付与部404は、例えば、フィールドが「URL」、値が「http://www.malsite.com/」、閾値が1であるシグネチャ候補に、マルウェア情報「Win-PUP/SoftPulse」を付与する。
また、例えば、マルウェア情報付与部404は、フィールドが「プロトコル+宛先ポート」、値が「TCP/4092」、閾値が10であるシグネチャ候補に、マルウェア情報「BehavesLike.Win32.CryptDoma.dc」を付与する。
また、例えば、マルウェア情報付与部404は、フィールドが「宛先組織」、値が「Malware.com」、閾値が1であるシグネチャ候補に、マルウェア情報「Gen:Variant.Application.Bundler.SoftPulse.4」を付与する。
また、例えば、マルウェア情報付与部404は、フィールドが「UserAgent」、値が「badAgent」、閾値が5であるシグネチャ候補に、マルウェア情報「Trojan.Win32.DriverUpd.dmhxcl」を付与する。
また、例えば、マルウェア情報付与部404は、フィールドが「宛先IPアドレス」、値が「10.10.10.10」、閾値が5であるシグネチャ候補に、マルウェア情報「Trj/Genetic.gen、Signed-Adware.Softpulse」を付与する。
トレーニング部405は、学習用の通信ログを用いてシグネチャ候補のトレーニングを行う。トレーニング部405は、学習用の通信ログとして、例えば分析用通信ログ451を一定期間蓄積したものを用いる。例えば、トレーニング部405は、シグネチャ候補を用いて検知した結果を全て誤検知とみなし、誤検知の結果が所定の条件を満たすシグネチャ候補を除外する。例えば、トレーニング部405は、誤検知数または誤検知率が所定の閾値以上であるシグネチャ候補を除外し、残ったシグネチャ候補をシグネチャ情報453に含める。このように、トレーニング部405は、シグネチャ候補のうち、分析用通信ログ451を分析した場合の誤検知数または誤検知率が所定値以上であるシグネチャを除外する。
シグネチャ情報453には、マルウェア情報付与部404によって付与されたマルウェアに関する情報が、シグネチャと紐付けられて記憶されている。なお、ログ分析装置40は、トレーニング部405によるトレーニングを行わず、全てのシグネチャ候補をシグネチャ情報453に含めてもよい。
ログ分析部406は、シグネチャを用いて分析用通信ログ451を分析し、マルウェアに感染した端末を検知する。ログ分析部406は、図3に示すような、各シグネチャの検知条件に合致した端末を検知する。ログ分析部406は、検知結果454を、検知結果表示部407に受け渡す。検知結果454には、検知に用いられたシグネチャ、検知された端末に関する情報、および当該シグネチャに付与されたマルウェアに関する情報が含まれる。なお、ログ分析部406は、端末に関する情報を、分析用通信ログ451に含まれる送信元IPとしてもよいし、参照可能な別DBから送信元IPの情報を紐付けて取得したユーザIDや端末のID情報としてもよい。
検知結果表示部407は、検知結果454を表示する。例えば、検知結果表示部407は、図6に示すように、オペレータ50が閲覧可能な形式で、検知結果表示画面407aに検知結果454を表示する。図6は、検知結果表示画面の一例を示す図である。検知結果表示部407は、ログ分析部406による分析用通信ログ451の検知結果と、分析用通信ログ451の分析に用いられたシグネチャに付与されたマルウェアに関する情報と、を対応付けて表示する。さらに、このとき、検知結果表示部407は、検知結果454に含まれない情報を、解析用付加情報として分析用通信ログ451から通信ログに関する情報を取得して表示してもよい。
図6の例では、検知結果表示部407は、感染端末情報として、感染した端末の端末IDが「PC_123」であること、および管理者が「社員A」であることを表示している。なお、検知結果表示部407は、感染端末情報を、ログ分析部406によって取得されたユーザIDや端末のID情報としてもよい。
また、検知結果表示部407は、検知結果の原因となったマルウェアに付与されたマルウェアの分類名が「Win-PUP/SoftPulse」であること、および参考URLが「http://www.example.com/malware1」であることを表示している。なお、参考URLは、例えば、当該マルウェアの情報を提供しているマルウェア共有サイトのURLである。
また、検知結果表示部407は、分析用通信ログ451のうち、フィールドおよび値がシグネチャのフィールドおよび値と合致した分析用通信ログ451に関する情報をさらに表示する。検知結果表示部407は、マルウェア感染端末の検知の原因となった通信ログの情報として、取得時刻が「2016/5/31 12:10:15」であること、宛先IPアドレスが「10.10.10.20」であること、およびURLが「http://www.malsite.com/」であることを表示している。
さらに、検知結果表示部407は、無害判定ボタン408aを表示している。無害判定部408は、無害判定ボタン408aがオペレータ50によって押下されると、ログ分析の検知結果を無害なものであると判定する条件として、無害判定条件455を生成する。検知結果表示部407は、ログ分析の検知結果が、無害判定条件455を満たす場合、当該ログ分析の検知結果および分析に用いられたシグネチャに付与されたマルウェアに関する情報を表示しない。
このように、無害判定部408は、検知結果が無害であるか否かの選択を受け付け、選択を基に条件を生成する。そして、検知結果表示部407は、検知結果が無害判定部408によって生成された条件を満たすか否かによって、検知結果が無害であるか否かを判定し、検知結果が無害でないと判定した場合に、検知結果と分析に用いられたシグネチャに付与されたマルウェアに関する情報とを対応付けて表示する。
なお、シグネチャにマルウェアに関する情報を付与するタイミングは、図1の例のものに限られない。例えば、マルウェア情報付与部404は、トレーニング部405によるトレーニング、およびログ分析部406によるログ分析が行われた後に、シグネチャにマルウェアに関する情報を付与するようにしてもよい。
[第1の実施形態の処理]
図7を用いて、ログ分析装置40の処理の流れについて説明する。図7は、第1の実施形態に係るログ分析装置の処理の流れを示すフローチャートである。まず、図7に示すように、ログ取得部401は、通信ログを取得する(ステップS11)。このとき、ログ取得部401が取得する通信ログには、分析用通信ログ451および悪性通信ログ452が含まれる。
次に、シグネチャ生成部402は、悪性通信ログ452を基に、シグネチャ候補を生成する(ステップS12)。そして、マルウェア情報付与部404は、シグネチャ候補にマルウェアに関する情報を付与する(ステップS13)。例えば、マルウェア情報付与部404は、シグネチャ候補の生成元となった悪性通信ログ452を発生させたマルウェアに関する情報を、当該シグネチャ候補に付与する。
次に、トレーニング部405は、学習用の通信ログを用いて、シグネチャ候補のトレーニングを行う(ステップS14)。このとき、例えば、トレーニング部405は、シグネチャ候補のうち、誤検知率が所定値以上であるシグネチャ候補を除外する。
次に、ログ分析部406は、シグネチャを用いて分析用通信ログ451の分析を行う(ステップS15)。ログ分析部406は、シグネチャの検知条件を満たす端末を、マルウェアに感染した端末として検知する。
ここで、検知結果表示部407は、ログ分析部406の検知結果が無害判定条件を満たす場合(ステップS16、Yes)、検知結果を表示しない。一方、検知結果表示部407は、ログ分析部406の検知結果が無害判定条件455を満たさない場合(ステップS16、No)、検知結果を表示する(ステップS17)。さらに、表示された検知結果が、オペレータ50によって無害であると判断された場合、無害判定部408は、当該判断を無害判定条件455にフィードバックする(ステップS18)。
[第1の実施形態の効果]
ログ取得部401は、所定のネットワークにおける通信から得られる分析用通信ログ451と、マルウェアによる通信から得られる悪性通信ログ452と、を取得する。また、シグネチャ生成部402は、悪性通信ログ452に含まれるフィールドおよび値を基に、マルウェアに感染した端末を検知する条件であるシグネチャを生成する。また、マルウェア解析レポート取得部403は、マルウェアに関する情報を取得する。また、マルウェア情報付与部404は、シグネチャに、マルウェアに関する情報を付与する。また、ログ分析部406は、シグネチャを用いて分析用通信ログ451を分析し、マルウェアに感染した端末を検知する。また、検知結果表示部407は、ログ分析部406による分析用通信ログ451の検知結果と、分析用通信ログ451の分析に用いられたシグネチャに付与されたマルウェアに関する情報と、を対応付けて表示する。
これにより、オペレータは、端末がマルウェアに感染していることを知るとともに、当該検知結果に紐付くマルウェアに関する情報を得ることができる。このため、オペレータは、当該検知結果に紐付くマルウェアに関する情報に基づいて容易に解析等を行うことができる。
検知結果表示部407は、分析用通信ログ451のうち、フィールドおよび値がシグネチャのフィールドおよび値と合致した分析用通信ログ451に関する情報をさらに表示する。このように、検知結果だけでなく、検知の原因となった通信ログに関する情報を表示することで、オペレータはより多くの情報を得ることになり、解析がより容易になる。
無害判定部408は、検知結果が無害であるか否かの選択を受け付け、選択を基に条件を生成する。また、検知結果表示部407は、検知結果が無害判定部408によって生成された条件を満たすか否かによって、検知結果が無害であるか否かを判定し、検知結果が無害でないと判定した場合に、検知結果と分析に用いられたシグネチャに付与されたマルウェアに関する情報とを対応付けて表示する。
このように、オペレータの判断をログ分析に反映させることで、オペレータは一度無害であると判断した検知結果の解析を行う必要がなくなり、解析をより効率的に行うことができるようになる。
シグネチャ生成部402は、悪性通信ログ452に含まれるフィールドから、所定の条件を満たすフィールドを抽出し、抽出したフィールドおよび値の組に閾値が設定されたシグネチャを生成する。これにより、検知精度への影響が小さいフィールドをあらかじめ除外しておくことができるため、ログ分析における処理量を削減することができる。
トレーニング部405は、シグネチャのうち、分析用通信ログ451を分析した場合の誤検知数または誤検知率が所定値以上であるシグネチャを除外する。これにより、ログ分析における誤検知率を低減させることができる。
マルウェア情報付与部404は、シグネチャに、ファイルタイプ、登録された日時、検知名、動作情報のうち少なくとも1つを付与する。このように、オペレータが見ることによって理解できる情報を付与することで、解析を容易にすることができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
一実施形態として、ログ分析装置40は、パッケージソフトウェアやオンラインソフトウェアとして上記のログ分析を実行するログ分析プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のログ分析プログラムを情報処理装置に実行させることにより、情報処理装置をログ分析装置40として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
また、ログ分析装置40は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記のログ分析に関するサービスを提供するログ分析サーバ装置として実装することもできる。例えば、ログ分析サーバ装置は、ユーザの通信ログを入力とし、分析結果および分析に用いられたシグネチャに付与されたマルウェアに関する情報を出力とするログ分析サービスを提供するサーバ装置として実装される。この場合、ログ分析サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記のログ分析に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図8は、プログラムが実行されることによりログ分析装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、ログ分析装置40の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、ログ分析装置40における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093およびプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093およびプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 ログ分析システム
10 マルウェア共有サーバ
20 マルウェア動的解析装置
30 ログ収集蓄積装置
40 ログ分析装置
50 オペレータ
101 マルウェア検体情報
201 マルウェア取得部
202 動的解析部
203 悪性通信ログ
301 収集部
302 正規化部
303 正規化済通信ログ
401 ログ取得部
402 シグネチャ生成部
403 マルウェア解析レポート取得部
404 マルウェア情報付与部
405 トレーニング部
406 ログ分析部
407 検知結果表示部
408 無害判定部
451 分析用通信ログ
452 悪性通信ログ
453 シグネチャ情報
454 検知結果
455 無害判定条件

Claims (8)

  1. 所定のネットワークにおける通信から得られる第1の通信ログと、マルウェアによる通信から得られる第2の通信ログと、を取得するログ取得部と、
    前記第2の通信ログに含まれるフィールドおよび値を基に、前記マルウェアに感染した端末を検知する条件であるシグネチャを生成するシグネチャ生成部と、
    前記マルウェアに関する情報を取得するマルウェア情報取得部と、
    前記シグネチャに、前記マルウェアに関する情報を付与するマルウェア情報付与部と、
    前記シグネチャを用いて前記第1の通信ログを分析し、前記マルウェアに感染した端末を検知する検知部と、
    前記検知部による前記第1の通信ログの検知結果と、前記第1の通信ログの分析に用いられた前記シグネチャに付与された前記マルウェアに関する情報と、を対応付けて表示する表示部と、
    を有することを特徴とするログ分析装置。
  2. 前記表示部は、前記第1の通信ログのうち、フィールドおよび値が前記シグネチャのフィールドおよび値と合致した第1の通信ログに関する情報をさらに表示することを特徴とする請求項1に記載のログ分析装置。
  3. 前記検知結果が無害であるか否かの選択を受け付け、前記選択を基に条件を生成する無害条件生成部をさらに有し、
    前記表示部は、前記検知結果が前記無害条件生成部によって生成された条件を満たすか否かによって、前記検知結果が無害であるか否かを判定し、前記検知結果が無害でないと判定した場合に、前記検知結果と前記マルウェアに関する情報とを対応付けて表示することを特徴とする請求項1に記載のログ分析装置。
  4. 前記シグネチャ生成部は、前記第2の通信ログに含まれるフィールドから、所定の条件を満たすフィールドを抽出し、抽出したフィールドおよび値の組に閾値が設定されたシグネチャを生成することを特徴とする請求項1に記載のログ分析装置。
  5. 前記シグネチャのうち、前記第1の通信ログを分析した場合の誤検知数または誤検知率が所定値以上であるシグネチャを除外する除外部をさらに有することを特徴とする請求項1に記載のログ分析装置。
  6. 前記マルウェア情報付与部は、前記シグネチャに、前記マルウェアに関する情報として、ファイルタイプ、登録された日時、検知名、動作情報のうち少なくとも1つを付与することを特徴とする請求項1に記載のログ分析装置。
  7. ログ分析装置で実行されるログ分析方法であって、
    所定のネットワークにおける通信から得られる第1の通信ログと、マルウェアによる通信から得られる第2の通信ログと、を取得するログ取得工程と、
    前記第2の通信ログに含まれるフィールドおよび値を基に、前記マルウェアに感染した端末を検知する条件であるシグネチャを生成するシグネチャ生成工程と、
    前記マルウェアに関する情報を取得するマルウェア情報取得工程と、
    前記シグネチャに、前記マルウェアに関する情報を付与するマルウェア情報付与工程と、
    前記シグネチャを用いて前記第1の通信ログを分析し、前記マルウェアに感染した端末を検知する検知工程と、
    前記検知工程による前記第1の通信ログの検知結果と、前記第1の通信ログの分析に用いられた前記シグネチャに付与された前記マルウェアに関する情報と、を対応付けて表示する表示工程と、
    を含んだことを特徴とするログ分析方法。
  8. コンピュータを、請求項1に記載のログ分析装置として機能させるためのログ分析プログラム。
JP2018523692A 2016-06-13 2017-06-07 ログ分析装置、ログ分析方法およびログ分析プログラム Active JP6499380B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016116867 2016-06-13
JP2016116867 2016-06-13
PCT/JP2017/021163 WO2017217301A1 (ja) 2016-06-13 2017-06-07 ログ分析装置、ログ分析方法およびログ分析プログラム

Publications (2)

Publication Number Publication Date
JPWO2017217301A1 JPWO2017217301A1 (ja) 2018-09-27
JP6499380B2 true JP6499380B2 (ja) 2019-04-10

Family

ID=60664342

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018523692A Active JP6499380B2 (ja) 2016-06-13 2017-06-07 ログ分析装置、ログ分析方法およびログ分析プログラム

Country Status (3)

Country Link
US (1) US11356467B2 (ja)
JP (1) JP6499380B2 (ja)
WO (1) WO2017217301A1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US11159538B2 (en) 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
JP7256196B2 (ja) * 2018-01-31 2023-04-11 パロ アルト ネットワークス,インコーポレイテッド マルウェア検出のためのコンテキストプロファイリング
JP6749956B2 (ja) * 2018-02-26 2020-09-02 日本電信電話株式会社 トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム
US10826926B2 (en) * 2018-07-17 2020-11-03 Sap Se Pattern creation based on an attack path
JP6951017B2 (ja) * 2018-12-25 2021-10-20 Necプラットフォームズ株式会社 ログ取得装置、ログデータ取得方法およびログデータ取得プログラム
KR102291977B1 (ko) 2019-11-12 2021-08-20 고려대학교 산학협력단 악성코드 공격 피해 규모 측정 방법, 이를 수행하기 위한 기록 매체 및 장치
WO2021171524A1 (ja) * 2020-02-27 2021-09-02 日本電信電話株式会社 シグネチャ生成装置、シグネチャ生成方法およびシグネチャ生成プログラム
US20220075871A1 (en) * 2020-09-09 2022-03-10 Microsoft Technology Licensing, Llc Detecting hacker tools by learning network signatures
US11765590B2 (en) * 2020-09-15 2023-09-19 Sophos Limited System and method for rogue device detection
WO2022113348A1 (ja) * 2020-11-30 2022-06-02 三菱電機株式会社 開発側セキュリティ分析支援装置、運用側セキュリティ分析支援装置、およびセキュリティ分析支援システム
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007242002A (ja) * 2006-02-10 2007-09-20 Mitsubishi Electric Corp ネットワーク管理装置及びネットワーク管理方法及びプログラム
US8234709B2 (en) * 2008-06-20 2012-07-31 Symantec Operating Corporation Streaming malware definition updates
DE102011056502A1 (de) * 2011-12-15 2013-06-20 Avira Holding GmbH Verfahren und Vorrichtung zur automatischen Erzeugung von Virenbeschreibungen
US8856924B2 (en) * 2012-08-07 2014-10-07 Cloudflare, Inc. Mitigating a denial-of-service attack in a cloud-based proxy service
US9392007B2 (en) * 2013-11-04 2016-07-12 Crypteia Networks S.A. System and method for identifying infected networks and systems from unknown attacks
US10063439B2 (en) * 2014-09-09 2018-08-28 Belkin International Inc. Coordinated and device-distributed detection of abnormal network device operation
WO2016076334A1 (ja) * 2014-11-14 2016-05-19 日本電信電話株式会社 マルウェア感染端末の検出装置、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム
US10341364B2 (en) * 2015-02-27 2019-07-02 Corero Networks Security, Inc. Systems and methods for monitoring and mitigating network attacks
US9917852B1 (en) * 2015-06-29 2018-03-13 Palo Alto Networks, Inc. DGA behavior detection
US9935972B2 (en) * 2015-06-29 2018-04-03 Fortinet, Inc. Emulator-based malware learning and detection
US10116692B2 (en) * 2015-09-04 2018-10-30 Arbor Networks, Inc. Scalable DDoS protection of SSL-encrypted services
US9888024B2 (en) * 2015-09-30 2018-02-06 Symantec Corporation Detection of security incidents with low confidence security events
US10200390B2 (en) * 2016-02-29 2019-02-05 Palo Alto Networks, Inc. Automatically determining whether malware samples are similar

Also Published As

Publication number Publication date
US11356467B2 (en) 2022-06-07
US20190149570A1 (en) 2019-05-16
JPWO2017217301A1 (ja) 2018-09-27
WO2017217301A1 (ja) 2017-12-21

Similar Documents

Publication Publication Date Title
JP6499380B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
Aslan et al. Investigation of possibilities to detect malware using existing tools
JP6401424B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
JP6674036B2 (ja) 分類装置、分類方法及び分類プログラム
EP2998901A1 (en) Unauthorized-access detection system and unauthorized-access detection method
US9992216B2 (en) Identifying malicious executables by analyzing proxy logs
Aktas et al. Updroid: Updated android malware and its familial classification
CN116860489A (zh) 用于安全威胁的威胁风险评分的系统和方法
Aslan Performance comparison of static malware analysis tools versus antivirus scanners to detect malware
US10963562B2 (en) Malicious event detection device, malicious event detection method, and malicious event detection program
Mallikarajunan et al. Detection of spyware in software using virtual environment
Singh et al. A context-aware trigger mechanism for ransomware forensics
US10601867B2 (en) Attack content analysis program, attack content analysis method, and attack content analysis apparatus
Satrya et al. The detection of 8 type malware botnet using hybrid malware analysis in executable file windows operating systems
Korine et al. DAEMON: dataset/platform-agnostic explainable malware classification using multi-stage feature mining
EP3799367B1 (en) Generation device, generation method, and generation program
Shalaginov et al. Automated intelligent multinomial classification of malware species using dynamic behavioural analysis
Usharani et al. Detection of ransomware in static analysis by using Gradient Tree Boosting Algorithm
Lim et al. Mal-ONE: A unified framework for fast and efficient malware detection
Kanaker et al. Detecting worm attacks in cloud computing environment: Proof of concept
Le et al. A Basic Malware Analysis Process Based on FireEye Ecosystem.
EP3999985A1 (en) Inline malware detection
Ahlgren Local And Network Ransomware Detection Comparison
Wael et al. Malware incident handling and analysis workflow
Wadkar Measuring Malware Evolution Using Support Vector Machines

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180611

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190312

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190314

R150 Certificate of patent or registration of utility model

Ref document number: 6499380

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150