JP6538618B2 - 管理装置及び管理方法 - Google Patents
管理装置及び管理方法 Download PDFInfo
- Publication number
- JP6538618B2 JP6538618B2 JP2016126745A JP2016126745A JP6538618B2 JP 6538618 B2 JP6538618 B2 JP 6538618B2 JP 2016126745 A JP2016126745 A JP 2016126745A JP 2016126745 A JP2016126745 A JP 2016126745A JP 6538618 B2 JP6538618 B2 JP 6538618B2
- Authority
- JP
- Japan
- Prior art keywords
- threat information
- action
- threat
- information
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、管理装置及び管理方法に関する。
通常、ネットワークの管理のために、管理対象の情報システム資産と関連性の高いセキュリティ情報を収集・把握し、重大な脅威が発見された場合は迅速に対応する必要がある。近年、セキュリティ研究機関やセキュリティベンダ等の外部の情報基盤により、インターネット上の情報提供サーバ等を通じて、マルウェアや悪意のある攻撃者に関するセキュリティ分析情報を、脅威情報として配信するサービスが提供されている(例えば、非特許文献1,2参照)
「Palo Alto Networks、サイバー脅威インテリジェンスサービス「AutoFocus」を発表」、[online]、[平成28年6月10日検索]、インターネット<URL:https://www.paloaltonetworks.jp/company/press/2015/2015-0401-palo-alto-networks-unveils-autofocus-cyber-threat-intelligence-service.html>
「Virus Total」、[online]、[平成28年6月10日検索]、インターネット<URL:https://www.virustotal.com/ja/>
この情報基盤の配信する脅威情報は、一般的に、膨大な数である。例えば、不正IP(Internet Protocol)アドレスやURL(Uniform Resource Locator)を示す脅威情報は、1日に数万件以上配信されることもある。このような膨大な脅威情報の配信によって、脅威情報で示された情報量が、ユーザ側の管理装置のキャパシティを大きく超えてしまう場合がある。この場合、ユーザ側の管理装置において脅威情報をそのまま利用することが難しくなり、脅威情報を用いたネットワーク管理の最適化が滞ることがあった。
本発明は、上記に鑑みてなされたものであって、脅威情報を適切に利用し、脅威情報を用いたネットワーク管理の最適化を図ることができる管理装置及び管理方法を提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る管理装置は、情報の出入りを制限するセキュリティ装置を有する管理対象ネットワークを管理する管理装置であって、マルウェアの行動パターン及び外部からの攻撃者による攻撃の行動パターンを示す脅威情報を取得する脅威情報収集部と、管理対象ネットワーク内の端末の行動パターンを示す行動情報を取得するネットワーク行動収集部と、脅威情報収集部が収集した脅威情報の中から、ネットワーク行動収集部が収集した端末の行動情報が示す行動パターンと類似した行動パターンを示す脅威情報を抽出する脅威情報抽出部と、脅威情報抽出部によって抽出された脅威情報を用いて管理対象ネットワーク内の端末の悪性行動の候補を抽出し、該抽出した悪性行動を基にセキュリティ装置に対するセキュリティポリシーを生成するセキュリティポリシー生成部と、を有する。
本発明によれば、脅威情報を適切に利用し、脅威情報を用いたネットワーク管理の最適化を図ることができる。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[実施の形態]
本発明の実施の形態に係る管理装置について、管理装置全体の概略構成、管理装置における処理の流れ及び具体例を説明する。なお、以降で説明する端末装置、ネットワーク(NW)装置、ファイアウォール(FW)装置の台数等は、あくまで例示であり、これに限定されるものではない。
本発明の実施の形態に係る管理装置について、管理装置全体の概略構成、管理装置における処理の流れ及び具体例を説明する。なお、以降で説明する端末装置、ネットワーク(NW)装置、ファイアウォール(FW)装置の台数等は、あくまで例示であり、これに限定されるものではない。
[管理装置の構成]
図1は、本発明の実施の形態に係る管理装置の構成の一例を模式的に示す図である。図1に示すように、この実施の形態では、例えば、管理NW3のセキュリティ管理を行う管理装置4について説明する。この管理装置4は、外部の脅威情報基盤群2から、脅威情報の配信サービスの提供を受ける。
図1は、本発明の実施の形態に係る管理装置の構成の一例を模式的に示す図である。図1に示すように、この実施の形態では、例えば、管理NW3のセキュリティ管理を行う管理装置4について説明する。この管理装置4は、外部の脅威情報基盤群2から、脅威情報の配信サービスの提供を受ける。
脅威情報基盤群2は、複数の脅威情報基盤21,22を有し、インターネット上の情報提供サーバ等を通じて、管理装置4に脅威情報を配信する。この脅威情報は、マルウェアや悪意のある外部からの攻撃者に関するセキュリティ分析情報であり、マルウェアや悪意のある外部からの攻撃者による攻撃の識別情報、マルウェアの行動パターン、攻撃の行動パターン、マルウェア或いは攻撃の脅威度等を含む。この脅威情報は、マルウェアごとの一連のネットワーク活動(ネットワーク接続、DNS(Domain Name System)参照、HTTP(Hypertext Transfer Protocol)接続等)を示すものである。したがって、脅威情報は、行動パターン或いは攻撃パターンに含まれる行動を示す情報であり、ネットワーク接続先のIP(Internet Protocol)アドレス、ポート番号、DNS参照先情報、URL、HTTP接続先等を含む。
管理NW3は、インターネット5を介して外部装置(不図示)と接続する。管理NW3は、例えば、複数の端末31、NW機器32、及び、FW機器33(セキュリティ装置)を有する。
NW機器32は、ルータやスイッチ、プロキシサーバ、複数の利用者がネットワーク上にある資源を共有するCloudコントローラー等であり、実際には、複数の機器によって構成される。ルータ及びスイッチは、転送するIPパケットの情報を、Netflow、sFlow(登録商標)又はIPパケットのトラフィック情報として記録する。また、プロキシサーバは、プロキシログを記録する。複数の利用者がネットワーク上にある資源を共有するCloudコントローラーは、各資源に対するログを記録する。
FW機器33は、管理NW3とインターネット5との接続点に配置され、管理NW3とインターネット5との間に対する情報の出入りを制限する。FW機器33は、管理装置4によって、各端末31の行動に応じて、ルールが設定される。FW機器33に対し、例えば、所定の送信元或いは送信先のパケットを遮断するルールが設定される。FW機器33は、FWログを記録する。
管理装置4は、脅威情報基盤群2から配信された脅威情報を用いて、管理NW3のセキュリティ管理を行う。管理装置4は、制御部40、入力部45、出力部46及び記憶部47を有する。
制御部40は、各種の処理手順などを規定したプログラム及び所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部40は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路である。制御部40は、脅威情報収集部41と、NW行動収集部42と、脅威情報抽出部43と、セキュリティポリシー生成部44と、を有する。
脅威情報収集部41は、外部の脅威情報基盤群2から配信された脅威情報を受信することによって、マルウェアの行動パターン及び外部からの攻撃者による攻撃の行動パターンを示す脅威情報を取得する。脅威情報収集部41は、後述する管理NW3内の端末31の行動情報と比較可能なように、脅威情報を、収集の過程において適切な形式に変換する。
NW行動収集部42は、管理NW3内の端末31の行動パターンを示す行動情報を取得する。NW行動収集部42は、一つ以上の管理NW3におけるNW機器32からユーザである端末31のネットワーク行動ログを収集する。例えば、NW行動収集部42は、NW機器32やFW機器33が記録するsFlowやプロキシログ、FWログ、Cloudコントローラーのログ等を参照し、フロー情報を取得することによって、端末31の行動情報を取得する。なお、行動情報は、端末31の行動パターンに含まれる行動を示す情報であり、ネットワーク接続先のIPアドレス、ポート番号、DNS参照先情報、URL、HTTP接続先等を含む。また、NW行動収集部42は、脅威情報と比較可能なように、行動情報を、収集の過程において適切な形式に変換する。
脅威情報抽出部43は、脅威情報収集部41が収集した脅威情報の中から、NW行動収集部42が収集した端末31の行動情報が示す行動パターンと類似した行動パターンを示す脅威情報を抽出する。脅威情報抽出部43は、収集した脅威情報と管理NW3の端末31の行動情報の一致度を算出する。この一致度については、セキュリティ感度や管理NW3における設定可能なFWルール数等に基づいて設定する。
例えば、脅威情報抽出部43は、脅威情報収集部41が収集した脅威情報の中から、脅威情報と端末31の行動情報との間で一致する行動の数を算出する。そして、脅威情報抽出部43は、脅威情報収集部41が収集した脅威情報の中から、脅威情報と端末31の行動情報との間で一致する行動の数が、所定の閾値を超えた脅威情報を抽出する。
セキュリティポリシー生成部44は、脅威情報抽出部43によって抽出された脅威情報を用いて管理NW3内の端末31の悪性行動の候補を抽出し、該抽出した悪性行動を基にセキュリティ装置(例えば、FW機器33)に対するセキュリティポリシー(FWルール、URLフィルタ等)を生成する。なお、セキュリティポリシー生成部44は、脅威情報抽出部43によって抽出された脅威情報を参照することによって、管理NW3内の端末31が、この脅威情報抽出部43によって抽出された脅威情報が示すマルウェアに感染している、または、攻撃を受けている疑いがあると判断する。
ここで、セキュリティポリシー生成部44は、この管理装置4のキャパシティの範囲内となるように、抽出された脅威情報が含む行動の数を一定数に削減する。具体的には、まず、セキュリティポリシー生成部44は、脅威情報抽出部43が抽出した脅威情報を、過去に行われた行動、及び、今後行う可能性のある行動に分類する。今後行う可能性のある行動とは、抽出された脅威情報に含まれるが、管理NW3内においては未観測である行動である。すなわち、今後行う可能性のある行動とは、端末31が感染している疑いのあるマルウェアまたは端末31を攻撃している疑いのある攻撃者が、今後行う可能性のある悪性行動と言える。
そして、セキュリティポリシー生成部44は、この分類された、今後行う可能性のある行動を阻害するセキュリティポリシーを生成し、生成したセキュリティポリシーをセキュリティ機器(例えば、FW機器33)に設定する。
ここで、セキュリティポリシー生成部44による、行動の数の削減処理について説明する。例えば、セキュリティポリシー生成部44は、脅威情報抽出部43によって抽出された脅威情報が示す行動とNW行動収集部42が収集した管理NW3内の端末31の行動との一致度を算出する。或いは、セキュリティポリシー生成部44は、脅威情報抽出部43によって抽出された脅威情報が含む脅威度に基づいて、端末31が今後行う可能性のある行動の脅威度のスコアを算出する。或いは、セキュリティポリシー生成部44は、脅威情報抽出部43によって抽出された脅威情報の中での出現回数等に基づいて、端末31が今後行う可能性のある行動の脅威度のスコアを算出する。
続いて、セキュリティポリシー生成部44は、算出された一致度或いはスコアの上位から一定数の行動を求める。この一定数は、この管理装置4のキャパシティの範囲に応じて設定される。なお、セキュリティポリシー生成部44は、算出された一致度及びスコアを組み合わせて一定数の行動を求めてもよい。そして、セキュリティポリシー生成部44は、このように求めた一定数の行動を阻害するセキュリティポリシーを生成する。
入力部45は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部40に対して処理開始などの各種指示情報を入力する。出力部46は、液晶ディスプレイなどの表示装置、プリンタ等の印刷装置、情報通信装置等によって実現される。また、出力部46は、脅威情報基盤群2、管理NW3内の各機器等と通信可能である通信インターフェースであってもよい。
記憶部47は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、管理装置4を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが記憶される。
このように、管理装置4は、収集した脅威情報の中から、管理NW3内の端末31の実際の行動に類似する行動を含む脅威情報のみを抽出し、さらに、この管理装置4のキャパシティの範囲内となるように、抽出された脅威情報が含む行動の数を一定数に削減してから、これらの行動を阻害するセキュリティポリシーを生成する。
[管理装置の処理]
そこで、管理装置4の管理処理について説明する。図2及び図3は、管理装置4が行う管理処理を説明する図である。なお、図2及び図3においては、説明の簡易化のために、管理装置4については、要部のみを示す。
そこで、管理装置4の管理処理について説明する。図2及び図3は、管理装置4が行う管理処理を説明する図である。なお、図2及び図3においては、説明の簡易化のために、管理装置4については、要部のみを示す。
図2に示すように、管理装置4では、まず、脅威情報収集部41が外部の脅威情報基盤群2より、脅威情報群を収集する(図2の(1)参照)。例えば、脅威情報収集部41は、脅威情報基盤群2から、脅威情報群(1)(図2の枠C1参照)を受信する。この脅威情報群(1)は、マルウェアの行動パターン或いは攻撃者による攻撃の行動パターンを示す識別情報と、行動パターンに含まれる行動及び行動の遷移状態を示す。
例えば、脅威情報群(1)には、マルウェアの行動パターン或いは攻撃者による攻撃の行動パターンとして、「X」,「Y」,「Z」が示す脅威情報が含まれている。行動パターン「X」は、行動「a」、行動「b」、行動「c」の順に遷移するものであり、行動パターン「Y」は、行動「a」、行動「d」、行動「e」の順に遷移するものであり、行動パターン「Z」は、行動「b」から行動「f」に遷移するものであることが示されている。
一方、NW行動収集部42は、管理NW3内の端末31の行動パターンを示す行動情報を取得する(図2の(2)参照)。例えば、NW行動収集部42は、管理NW3のNW機器32等から、管理NW3の端末31の行動情報(2)(図2の枠C2参照)を取得する。この脅威情報は、端末31の行動パターンを示す識別情報と、行動パターンに含まれる行動及び行動の遷移状態を示す。例えば、端末31の行動情報(2)には、端末31の行動パターンとして、「M」,「N」が示されている。そして、行動パターン「M」は、行動「a」を行うものであり、行動パターン「N」は、行動「a」から行動「b」に遷移するものであることが示されている。
続いて、脅威情報抽出部43は、脅威情報収集部41が収集した脅威情報の中から、NW行動収集部42が収集した端末31の行動情報が示す行動パターンと類似した行動パターンを示す脅威情報を抽出するために、脅威情報と端末31の行動情報との間で一致する行動の数を算出する。そして、脅威情報抽出部43は、脅威情報の中から、脅威情報と端末31の行動情報との間で一致する行動の数が、所定の閾値を超えた脅威情報を抽出する(図3の(3)参照)。
この場合には、脅威情報抽出部43は、枠C3に示すように、脅威情報群(1)と端末31の行動情報とが示す行動パターンを比較して、脅威情報と端末31の行動情報との間で一致する行動の数を求める。なお、枠C3において、脅威情報と端末31の行動情報との間で一致する行動については、右上に「*」を付している。
まず、脅威情報抽出部43は、端末31の行動情報(2)の行動パターン「M」と、脅威情報群(1)の各脅威情報が示す行動パターン「X」,「Y」,「Z」を比較する。この場合、行動パターン「M」の行動「a」は、脅威情報群(1)の行動パターン「X」の先頭の行動「a」と、位置も一致するため、脅威情報の行動パターン「X」と端末31の行動パターン「M」とで一致する行動の数は「1」である。また、行動パターン「M」の行動「a」は、脅威情報群(1)の行動パターン「Y」の先頭の行動「a」と位置も一致するため、脅威情報の行動パターン「Y」と端末31の行動パターン「M」とで一致する行動の数は「1」である。また、行動パターン「M」のうち、脅威情報群(1)の行動パターン「Z」と位置も含めて一致する行動はない。
そして、脅威情報抽出部43は、端末31の行動情報(2)の行動パターン「N」と、脅威情報群(1)の行動パターン「X」,「Y」,「Z」を比較する。この場合、行動パターン「N」の行動「a」から行動「b」への遷移は、脅威情報群(1)の行動パターン「X」の行動「a」から行動「b」への遷移と一致するため、脅威情報の行動パターン「X」と端末31の行動パターン「N」とで一致する行動の数は「2」である。また、行動パターン「N」の行動「a」は、脅威情報群(1)の行動パターン「Y」の行動「a」と一致するため、脅威情報の行動パターン「Y」と端末31の行動パターン「N」とで一致する行動の数は「1」である(不図示)。また、行動パターン「N」の行動「b」は、脅威情報群(1)の行動パターン「Z」の行動「b」と一致するため、脅威情報の行動パターン「Z」と端末31の行動パターン「N」とで一致する行動の数は「1」である。
そして、所定の閾値を「1」とする。この場合、脅威情報抽出部43は、脅威情報群(1)の中から、脅威情報群(1)と端末31の行動情報(2)との間で一致する行動の数が、閾値「1」を超えた脅威情報を抽出する(図3の(3)参照)。図3の例では、脅威情報抽出部43は、端末31の行動パターン「N」との間で一致する行動の数が「2」である行動パターン「X」を示す脅威情報を抽出して、脅威情報基盤群2から配信された脅威情報の数を削減する。
続いて、セキュリティポリシー生成部44は、脅威情報抽出部43が抽出した脅威情報に含まれる行動を阻害するためのセキュリティポリシーを生成する(図3の(4)参照)。この場合、枠C3に示すように、端末31の行動パターン「N」について、行動「a」、行動「b」、行動「c」に遷移する行動パターン「X」が脅威情報として、脅威情報抽出部43によって抽出されている。図3の例では、端末31の行動パターン「N」は、行動「a」から行動「b」に既に遷移している。このため、セキュリティポリシー生成部44は、端末31の行動パターン「N」に対して、行動パターン「X」が示す行動「c」への遷移を阻害するセキュリティポリシーを生成する(図3の枠C4参照)。そして、セキュリティポリシー生成部44は、生成したセキュリティポリシーをFW機器33に設定する。
[管理処理の処理手順]
次に、管理装置4による管理処理の処理手順について説明する。図4は、本実施の形態に係る管理処理の処理手順を示すフローチャートである。
次に、管理装置4による管理処理の処理手順について説明する。図4は、本実施の形態に係る管理処理の処理手順を示すフローチャートである。
まず、脅威情報収集部41は、外部の脅威情報基盤群2から配信された脅威情報を受信することによって、マルウェアの行動パターン及び外部からの攻撃者による攻撃の行動パターンを示す複数の脅威情報を取得する(ステップS1)。そして、NW行動収集部42は、管理NW3内の端末31の行動パターンを示す行動情報を取得する(ステップS2)。
続いて、脅威情報抽出部43は、脅威情報収集部41が収集した脅威情報の中から、NW行動収集部42が収集した端末31の行動情報が示す行動パターンと類似した行動パターンを示す脅威情報を抽出するために、脅威情報と管理NW3の端末31の行動情報との間で一致する行動の数をそれぞれ算出する(ステップS3)。
そして、脅威情報抽出部43は、脅威情報と管理NW3の端末31の行動情報との間で一致する行動の数が所定の閾値を超える脅威情報があるか否かを判断する(ステップS4)。セキュリティポリシー生成部44は、脅威情報と管理NW3の端末31の行動情報との間で一致する行動の数が所定の閾値を超える脅威情報がないと脅威情報抽出部43が判断した場合(ステップS4:No)、管理NW3は、マルウェアに感染している、または、攻撃を受けている疑いが低いと判断し、管理処理を終了する。
脅威情報抽出部43は、脅威情報と管理NW3の端末31の行動情報との間で一致する行動の数が所定の閾値を超える脅威情報があると判断した場合(ステップS4:Yes)、この一致する行動の数が所定の閾値を超える脅威情報を抽出し(ステップS5)、抽出した脅威情報をセキュリティポリシー生成部44に出力する。
セキュリティポリシー生成部44は、脅威情報抽出部43が抽出した脅威情報に含まれる行動を阻害するためのセキュリティポリシーを生成する(ステップS6)。この場合、セキュリティポリシー生成部44は、脅威情報抽出部43が抽出した脅威情報から、端末31が感染している疑いのあるマルウェアまたは端末31を攻撃している疑いのある攻撃者が、今後行う可能性のある行動を求める。すなわち、セキュリティポリシー生成部44は、脅威情報抽出部43によって抽出された脅威情報が示す行動とNW行動収集部42が収集した管理NW3内の端末31の行動との一致度を算出する。或いは、セキュリティポリシー生成部44は、脅威情報抽出部43によって抽出された脅威情報が含む脅威度または脅威情報における出現回数に基づいて、端末31が行う可能性のある行動の脅威度のスコアを算出する。続いて、セキュリティポリシー生成部44は、算出された一致度或いはスコアの上位から一定数の行動を求め、該求めた行動を阻害するセキュリティポリシーを生成する。
そして、セキュリティポリシー生成部44は、生成したセキュリティポリシーをFW機器33に設定して、管理処理を終了する。
[管理処理の流れ]
次に、管理装置4による管理処理の流れについて説明する。図5は、管理装置4による管理処理の流れを説明するシーケンス図である。
次に、管理装置4による管理処理の流れについて説明する。図5は、管理装置4による管理処理の流れを説明するシーケンス図である。
まず、脅威情報収集部41は、脅威情報基盤群2に脅威情報の配信要求を行い(ステップS11)、脅威情報基盤群2による脅威情報の送信(ステップS12)を受けることによって、複数の脅威情報を取得する。脅威情報収集部41は、取得した脅威情報を、脅威情報抽出部43に出力する(ステップS13)。
一方、NW行動収集部42は、管理NW3のNW機器32等に管理NW3内の端末31の行動パターンを示す行動情報の要求を行い(ステップS14)、NW機器32等による管理NW3内の端末31の行動情報の送信(ステップS15)を受けることによって、端末31の行動情報を取得する。NW行動収集部42は、取得した管理NW3の端末31の行動情報を、脅威情報抽出部43に出力する(ステップS16)。
脅威情報抽出部43は、脅威情報収集部41が収集した脅威情報の中から、NW行動収集部42が収集した端末31の行動情報が示す行動パターンと類似した行動パターンを示す脅威情報を抽出する(ステップS17)。脅威情報抽出部43は、抽出した脅威情報をセキュリティポリシー生成部44に出力する(ステップS18)。
これによって、セキュリティポリシー生成部44は、脅威情報抽出部43が抽出した脅威情報に含まれる行動を阻害するためのセキュリティポリシーを生成する(ステップS19)。この場合、セキュリティポリシー生成部44は、脅威情報抽出部43が抽出した脅威情報から、端末31が感染している疑いのあるマルウェアまたは端末31を攻撃している疑いのある攻撃者が、今後行う可能性のある行動を求める。すなわち、セキュリティポリシー生成部44は、脅威情報抽出部43によって抽出された脅威情報が示す行動とNW行動収集部42が収集した管理NW3内の端末31の行動との一致度を算出する。或いは、セキュリティポリシー生成部44は、脅威情報抽出部43によって抽出された脅威情報が含む脅威度または脅威情報における出現回数に基づいて、端末31が行う可能性のある行動の脅威度のスコアを算出する。続いて、セキュリティポリシー生成部44は、算出された一致度或いはスコアの上位から一定数の行動を求め、該求めた行動を阻害するセキュリティポリシーを生成する。
そして、セキュリティポリシー生成部44は、生成したセキュリティポリシーを、例えばFW機器33に設定する(ステップS20)。
[実施の形態の効果]
このように、本実施の形態に係る管理装置4は、収集した脅威情報の中から、管理NW3内の端末31の実際の行動に類似する行動を含む脅威情報のみを抽出することによって、利用する脅威情報の情報量を適切に調整している。
このように、本実施の形態に係る管理装置4は、収集した脅威情報の中から、管理NW3内の端末31の実際の行動に類似する行動を含む脅威情報のみを抽出することによって、利用する脅威情報の情報量を適切に調整している。
さらに、管理装置4は、この管理装置4のキャパシティの範囲内となるように、抽出された脅威情報が含む行動の数を一定数に削減してから、これらの行動を阻害するセキュリティポリシーを生成する。すなわち、管理装置4は、脅威情報基盤群2により配信される攻撃に関する大量の脅威情報を管理NW3依存の情報を用いて削減してから、セキュリティポリシーを生成する。このため、実施の形態によれば、セキュリティポリシーを円滑に生成でき、ネットワーク管理の最適化を図ることができる。
したがって、管理装置4によれば、脅威情報を適切に利用し、脅威情報を用いたネットワーク管理の最適化を図ることができる。
[他の実施の形態]
[システム構成等]
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[システム構成等]
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部又は一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
図6は、プログラムが実行されることにより、管理装置4が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
図6は、プログラムが実行されることにより、管理装置4が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、管理装置4の各処理を規定するプログラムは、コンピュータ1000により実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、管理装置4の各装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例及び運用技術等は全て本発明の範疇に含まれる。
2 脅威情報基盤群
3 管理ネットワーク(NW)
4 管理装置
5 インターネット
21,22 脅威情報基盤
31 端末
32 NW機器
33 ファイアウォール(FW)機器
40 制御部
41 脅威情報収集部
42 NW行動収集部
43 脅威情報抽出部
44 セキュリティポリシー生成部
45 入力部
46 出力部
47 記憶部
3 管理ネットワーク(NW)
4 管理装置
5 インターネット
21,22 脅威情報基盤
31 端末
32 NW機器
33 ファイアウォール(FW)機器
40 制御部
41 脅威情報収集部
42 NW行動収集部
43 脅威情報抽出部
44 セキュリティポリシー生成部
45 入力部
46 出力部
47 記憶部
Claims (2)
- 情報の出入りを制限するセキュリティ装置を有する管理対象ネットワークを管理する管理装置であって、
マルウェアの行動パターン及び外部からの攻撃者による攻撃の行動パターンを示す脅威情報を取得する脅威情報収集部と、
前記管理対象ネットワーク内の端末の行動パターンを示す行動情報を取得するネットワーク行動収集部と、
前記脅威情報収集部が収集した脅威情報の中から、前記ネットワーク行動収集部が収集した前記端末の行動情報が示す行動パターンと類似した行動パターンを示す脅威情報であって前記マルウェア或いは前記攻撃の脅威度を含む脅威情報を抽出する脅威情報抽出部と、
前記脅威情報抽出部によって抽出された脅威情報を用いて前記管理対象ネットワーク内の端末の悪性行動の候補を抽出し、該抽出した悪性行動を基に前記セキュリティ装置に対するセキュリティポリシーを生成するセキュリティポリシー生成部と、
を有し、
前記脅威情報抽出部は、前記脅威情報収集部が収集した脅威情報の中から、前記脅威情報と前記ネットワーク行動収集部が収集した前記端末の行動情報との間で一致する行動の数が所定の閾値を超えた脅威情報を抽出し、
前記セキュリティポリシー生成部は、前記脅威情報抽出部が抽出した脅威情報から、前記端末が感染している疑いのあるマルウェアまたは前記端末を攻撃している疑いのある攻撃者が、今後行う可能性のある行動を求め、該求めた行動を阻害するセキュリティポリシーを生成し、生成したセキュリティポリシーを前記セキュリティ装置に設定し、
前記セキュリティポリシー生成部は、前記脅威情報抽出部によって抽出された脅威情報が示す行動と前記ネットワーク行動収集部が収集した管理対象ネットワーク内の端末の行動との一致度を算出し、或いは、前記脅威情報抽出部によって抽出された脅威情報が含む脅威度または脅威情報における出現回数に基づいて前記端末が今後行う可能性のある行動の脅威度のスコアを算出し、算出された一致度或いはスコアの上位から一定数の行動を求め、該求めた行動を阻害するセキュリティポリシーを生成することを特徴とする管理装置。 - 情報の出入りを制限するセキュリティ装置を有する管理対象ネットワークを管理する管理装置が行う管理方法であって、
マルウェアの行動パターン及び外部からの攻撃者による攻撃の行動パターンを示す脅威情報を取得する脅威情報収集工程と、
前記管理対象ネットワーク内の端末の行動パターンを示す行動情報を取得するネットワーク行動収集工程と、
前記脅威情報収集工程において収集された脅威情報の中から、前記ネットワーク行動収集工程において収集された前記端末の行動情報が示す行動パターンと類似した行動パターンを示す脅威情報であって前記マルウェア或いは前記攻撃の脅威度を含む脅威情報を抽出する脅威情報抽出工程と、
前記脅威情報抽出工程において抽出された脅威情報を用いて前記管理対象ネットワーク内の端末の悪性行動の候補を抽出し、該抽出した悪性行動を基に前記セキュリティ装置に対するセキュリティポリシーを生成するセキュリティポリシー生成工程と、
を含み、
前記脅威情報抽出工程は、前記脅威情報収集工程において収集された脅威情報の中から、前記脅威情報と前記ネットワーク行動収集工程において収集された前記端末の行動情報との間で一致する行動の数が所定の閾値を超えた脅威情報を抽出し、
前記セキュリティポリシー生成工程は、前記脅威情報抽出工程において抽出された脅威情報から、前記端末が感染している疑いのあるマルウェアまたは前記端末を攻撃している疑いのある攻撃者が、今後行う可能性のある行動を求め、該求めた行動を阻害するセキュリティポリシーを生成し、生成したセキュリティポリシーを前記セキュリティ装置に設定し、
前記セキュリティポリシー生成工程は、前記脅威情報抽出工程において抽出された脅威情報が示す行動と前記ネットワーク行動収集工程において収集された管理対象ネットワーク内の端末の行動との一致度を算出し、或いは、前記脅威情報抽出工程において抽出された脅威情報が含む脅威度または脅威情報における出現回数に基づいて前記端末が今後行う可能性のある行動の脅威度のスコアを算出し、算出された一致度或いはスコアの上位から一定数の行動を求め、該求めた行動を阻害するセキュリティポリシーを生成することを特徴とする管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016126745A JP6538618B2 (ja) | 2016-06-27 | 2016-06-27 | 管理装置及び管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016126745A JP6538618B2 (ja) | 2016-06-27 | 2016-06-27 | 管理装置及び管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018005282A JP2018005282A (ja) | 2018-01-11 |
| JP6538618B2 true JP6538618B2 (ja) | 2019-07-03 |
Family
ID=60949246
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016126745A Active JP6538618B2 (ja) | 2016-06-27 | 2016-06-27 | 管理装置及び管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6538618B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3741811A4 (en) | 2018-01-17 | 2021-11-24 | Canon Kabushiki Kaisha | COMPOUND, INK, PHOTO PAINT COMPOSITION FOR COLOR FILTER, THERMAL TRANSFER FILM AND TONER |
| JP7000271B2 (ja) | 2018-07-25 | 2022-01-19 | 株式会社日立製作所 | 車両不正アクセス対策装置、及び車両不正アクセス対策方法 |
| WO2023012849A1 (ja) * | 2021-08-02 | 2023-02-09 | 日本電気株式会社 | 推論装置、推論方法、及び、記憶媒体 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007058514A (ja) * | 2005-08-24 | 2007-03-08 | Mitsubishi Electric Corp | 情報処理装置及び情報処理方法及びプログラム |
| US20130074143A1 (en) * | 2011-09-15 | 2013-03-21 | Mcafee, Inc. | System and method for real-time customized threat protection |
| US10462158B2 (en) * | 2014-03-19 | 2019-10-29 | Nippon Telegraph And Telephone Corporation | URL selection method, URL selection system, URL selection device, and URL selection program |
-
2016
- 2016-06-27 JP JP2016126745A patent/JP6538618B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018005282A (ja) | 2018-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10135786B2 (en) | Discovering and selecting candidates for sinkholing of network domains | |
| US9985989B2 (en) | Managing dynamic deceptive environments | |
| US9942270B2 (en) | Database deception in directory services | |
| US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
| US10574695B2 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
| CN105681250B (zh) | 一种僵尸网络分布式实时检测方法和系统 | |
| RU2634209C1 (ru) | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью | |
| US20150326588A1 (en) | System and method for directing malicous activity to a monitoring system | |
| JP2018513592A (ja) | ネットワークセキュリティのための行動解析ベースのdnsトンネリング検出・分類フレームワーク | |
| JP5813810B2 (ja) | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム | |
| JP2013011949A (ja) | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム | |
| CN109688153A (zh) | 使用主机应用/程序到用户代理的映射的零日威胁检测 | |
| Lee et al. | Study of detection method for spoofed IP against DDoS attacks | |
| JP6538618B2 (ja) | 管理装置及び管理方法 | |
| Zuzcak et al. | Behavioral analysis of bot activity in infected systems using honeypots | |
| Wijesinghe et al. | An enhanced model for network flow based botnet detection | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN113518042A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| Affinito et al. | The evolution of Mirai botnet scans over a six-year period | |
| Udhani et al. | Human vs bots: Detecting human attacks in a honeypot environment | |
| KR101072981B1 (ko) | 분산 서비스 거부 공격의 방어 시스템 | |
| JP5986340B2 (ja) | Url選定方法、url選定システム、url選定装置及びurl選定プログラム | |
| Hamza et al. | Iot botnet detection: Challenges and issues | |
| JP2012014437A (ja) | データ転送装置及びアクセス解析方法 | |
| Kao et al. | Automatic NIDS rule generating system for detecting HTTP-like malware communication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180607 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190313 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190416 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190528 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190604 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190606 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6538618 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |