JP6707952B2 - 制御装置、制御方法及びプログラム - Google Patents
制御装置、制御方法及びプログラム Download PDFInfo
- Publication number
- JP6707952B2 JP6707952B2 JP2016069924A JP2016069924A JP6707952B2 JP 6707952 B2 JP6707952 B2 JP 6707952B2 JP 2016069924 A JP2016069924 A JP 2016069924A JP 2016069924 A JP2016069924 A JP 2016069924A JP 6707952 B2 JP6707952 B2 JP 6707952B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- communication
- information
- definition information
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、制御装置、制御方法及びプログラムに関する。
サイバー攻撃に対して電子メールやウェブサイトのフィルタリングを実施する方式として、ブラックリスト方式やホワイトリスト方式がある。ブラックリスト方式では、スパムメールを大量に送信した者や有害ウェブサイトのブラックリストを作成し、リストアップされた者やサイトとの通信を通信事業者がブロックする。ホワイトリスト方式では、安全が確認されている者やサイトのリストを作成し、リストアップされた者やサイト以外との通信を通信事業者がブロックする。ブラックリスト方式やホワイトリスト方式によってフィルタリングを行うための様々な提案がなされている。
特許文献1には、管理対象ネットワークの通信ログを収集し、公開ブラックリストの情報と収集した通信ログとに基づいて新たなブラックリストを作成するアクセス制御装置が開示されている。特許文献1のアクセス制御装置では、通信ログの状態に応じて、アクセス頻度の高いブラックリストを絞り込む。
しかし、特許文献1のアクセス制御装置では、管理対象ネットワークの通信ログを基にブラックリストを作成するため、管理対象ネットワークが過去に受けたことのない攻撃はブラックリストに登録されない。そのため、特許文献1のアクセス制御装置においては、過去に受けたことのない攻撃にブラックリストを用いて対応することができないという問題があった。
また、特許文献1に開示されている技術をホワイトリストの作成に適用すると、過去にアクセスしたことのない対象はホワイトリストに登録されない。そのため、過去にアクセスしたことのない対象にそのホワイトリストを用いてはアクセスすることができないという問題があった。
本発明の目的は、上述の課題を解決する制御装置、制御方法及びプログラムを提供することにある。
本発明の制御装置は、複数の端末から、通信履歴情報を収集する収集部と、特定の通信対象を示す特定通信定義情報が登録されている第1のリストを格納する格納部と、一の端末の通信履歴情報に合致する特定通信定義情報と、他の端末の通信履歴情報に合致する特定通信定義情報と、に基づいて一以上の特定通信定義情報が登録される一の端末のための第1のリストを作成する作成部と、を備える。
本発明の制御方法は、複数の端末から、通信履歴情報を収集する収集ステップと、特定の通信対象を示す特定通信定義情報が登録されている第1のリストを格納する格納ステップと、一の端末の通信履歴情報に合致する特定通信定義情報と、他の端末の通信履歴情報に合致する特定通信定義情報と、に基づいて一以上の特定通信定義情報が登録される一の端末のための第1のリストを作成する作成ステップと、を含む。
本発明のプログラムは、コンピュータに、複数の端末から、通信履歴情報を収集する収集処理と、特定の通信対象を示す特定通信定義情報が登録されている第1のリストを格納する格納処理と、一の端末の通信履歴情報に合致する特定通信定義情報と、他の端末の通信履歴情報に合致する特定通信定義情報と、に基づいて一以上の特定通信定義情報が登録される一の端末のための第1のリストを作成する作成処理と、を実行させる。
本発明によれば、サイバー攻撃への対策において、電子メールやウェブサイトのフィルタリングに用いるリストを最適化することができる。
[第1の実施形態]
[処理構成]
図1は、第1の実施形態にかかる制御装置100の構成を示す図である。制御装置100は、収集部101、格納部102、作成部103を備える。
[処理構成]
図1は、第1の実施形態にかかる制御装置100の構成を示す図である。制御装置100は、収集部101、格納部102、作成部103を備える。
収集部101は、複数の端末から、通信履歴情報を収集する。端末は、ファイアウォール機能を有する端末である。ファイアウォール機能とは、あるコンピュータやネットワークとそれらの外部のネットワークとの境界に設置され、内外の通信を中継・監視し、外部の攻撃から内部を保護する機能をいう。例えば、端末は、内部ネットワークとしてのイントラネットと外部ネットワークとしてのインターネットとの境界に設置される。内部ネットワークは、接続する端末ごとに異なっていても同じでも良い。
格納部102は、特定の通信対象を示す特定通信定義情報が登録されているリスト(第1のリスト)を格納する。リストは、例えばブラックリストである。特定の送信元からの通信を定義する特定通信定義情報は、例えば不正な送信元からの通信を定義する情報であり、危険なユーザ(コンピュータウイルス配布元)のInternet Protocol(IP)アドレス、アクセスすることが好ましくないWebサイトのUniform Resource Locator(URL)、及び不正な通信パターンに関する情報のうち少なくともいずれかを含む。不正な通信パターンには、例えば、Webブラウザの「再読み込み」機能を何度も連続して実行することにより大量のページ送信要求を送り、過大な負荷をかけて停止させるF5攻撃がある。F5攻撃の場合、リストには、攻撃元のIPアドレスをヘッダ情報として含む通信のパターン(F5攻撃)が登録される。1つの通信の振る舞いを不正な通信パターンとして登録する他に、複数の通信の振る舞いをまとめて1つの通信パターンとして登録してもよい。
作成部103は、一の端末の通信履歴情報に合致する特定通信定義情報と、他の端末の通信履歴情報に合致する特定通信定義情報と、に基づいて一以上の特定通信定義情報が登録される一の端末のためのリストを作成する。作成部103により作成されたリストに基づいて設定された端末では、当該リストに登録されている特定通信定義情報で定義される通信をブロック(遮断)することができる。
[ハードウェア構成]
図2は、制御装置100のハードウェア構成を示す図である。制御装置100は、プロセッサ100a、メモリ100b、ストレージ100c、入出力インタフェース(入出力I/F)100d及び通信インタフェース(通信I/F)100eを備える。プロセッサ100a、メモリ100b、ストレージ100c、入出力インタフェース100d及び通信インタフェース100eは、相互にデータを送受信するためのデータ伝送路100fで接続されている。
図2は、制御装置100のハードウェア構成を示す図である。制御装置100は、プロセッサ100a、メモリ100b、ストレージ100c、入出力インタフェース(入出力I/F)100d及び通信インタフェース(通信I/F)100eを備える。プロセッサ100a、メモリ100b、ストレージ100c、入出力インタフェース100d及び通信インタフェース100eは、相互にデータを送受信するためのデータ伝送路100fで接続されている。
プロセッサ100aは、例えばCentral Processing Unitや Graphics Processing Unitなどの演算処理装置である。プロセッサ100aは、後述するストレージ100cに格納されている各プログラムを実行することで、各処理部(収集部101、格納部102、作成部103)の機能をそれぞれ実現する。ここで、プロセッサ100aは、各プログラムを実行する際、これらのプログラムを後述するメモリ100b上に読み出してから実行しても良いし、メモリ100b上に読み出さずに実行しても良い。
メモリ100bは、例えばRandom Access Memory(RAM)やRead Only Memory(ROM)などのメモリである。
ストレージ100cは、例えばHard Disk Drive、Solid State Drive、又はメモリカードなどの記憶装置である。また、ストレージ100cは、RAMやROM等のメモリであってもよい。ストレージ100cは、各処理部(収集部101、格納部102、作成部103)の機能を実現するプログラムを格納する。
通信インタフェース100eは、外部装置や外部ネットワークとの間でデータを送受信する。通信インタフェース100eは、例えば有線ネットワーク又は無線ネットワークを介して外部装置や外部ネットワークと通信する。なお、制御装置100のハードウェア構成は、図2に示される構成に制限されない。
[動作]
図3を用いて、制御装置100の動作を説明する。複数の端末から、通信履歴情報を収集する(ステップS1)。特定の通信対象を示す特定通信定義情報が登録されているリストを格納する(ステップS2)。一の端末の通信履歴情報に合致する特定通信定義情報と、他の端末の通信履歴情報に合致する特定通信定義情報と、に基づいて一以上の特定通信定義情報が登録される一の端末のためのリストを作成する(ステップS3)。
図3を用いて、制御装置100の動作を説明する。複数の端末から、通信履歴情報を収集する(ステップS1)。特定の通信対象を示す特定通信定義情報が登録されているリストを格納する(ステップS2)。一の端末の通信履歴情報に合致する特定通信定義情報と、他の端末の通信履歴情報に合致する特定通信定義情報と、に基づいて一以上の特定通信定義情報が登録される一の端末のためのリストを作成する(ステップS3)。
[作用効果]
第1の実施形態にかかる制御装置100によれば、作成部103は、一の端末の通信履歴情報に合致する特定通信定義情報と、他の端末の通信履歴情報に合致する特定通信定義情報と、に基づいて一以上の特定通信定義情報が登録される一の端末のためのリストを作成する。これにより、サイバー攻撃への対策において、電子メールやウェブサイトのフィルタリングに用いるリストを最適化することができる。
第1の実施形態にかかる制御装置100によれば、作成部103は、一の端末の通信履歴情報に合致する特定通信定義情報と、他の端末の通信履歴情報に合致する特定通信定義情報と、に基づいて一以上の特定通信定義情報が登録される一の端末のためのリストを作成する。これにより、サイバー攻撃への対策において、電子メールやウェブサイトのフィルタリングに用いるリストを最適化することができる。
なお、端末をグループ化し、上述した他の端末を、一の端末と同じグループに属する端末とすることができる。端末が属するグループは、例えば教育機関、医療機関、金融機関といった、端末が用いられる業種のグループである。他に、端末が属するグループは、端末が用いられる国や端末に搭載されているOperating System(OS)のグループであってもよい。ある攻撃を受けた端末Tが属するグループと同じグループに属する他の端末は、端末Tが受けた攻撃と同じ攻撃を受ける可能性が高いと考えられる。そのため、一の端末と同じグループに属する他の端末の通信履歴情報も用いることにより、より効果的なリストを作成することができる。
第1の実施形態にかかる制御装置100の構成は、端末内に構成されてもよい。すなわち、一の端末においてリスト及び他の端末の通信履歴情報も収集し、一の端末のためリストを作成してもよい。
[第2の実施形態]
[処理構成]
図4は、第2の実施形態にかかるアクセス制御装置21を含むシステム2000の全体構成を示すブロック図である。システム2000は、端末1乃至3及びアクセス制御装置21を含む。
[処理構成]
図4は、第2の実施形態にかかるアクセス制御装置21を含むシステム2000の全体構成を示すブロック図である。システム2000は、端末1乃至3及びアクセス制御装置21を含む。
端末1乃至3は、ブラックリスト方式でアクセス制御を行う端末である。端末1乃至3は、アクセス制御装置21により管理される端末であり、以下、管理対象端末とも表記する。端末1乃至3はそれぞれ、ログ送信部4乃至6、及びブラックリスト受信部7乃至9を備える。端末1乃至3は、同じグループ20に属するが異なる場所に存在する端末である。例えば、本実施例では、グループ20は金融機関に設置された端末からなるグループである。アクセス制御装置21が管理する端末として、グループ20とは別のグループに属する端末を含んで構成してもよい。端末1乃至3は、例えば、ファイアウォール機能を搭載するハードウェアである。
ログ送信部4乃至6は、それぞれ定期的に自端末の通信ログ(通信履歴情報)をアクセス制御装置21のログ収集部10(後述)に送信する。送信の周期は任意とする。
ブラックリスト受信部7乃至9は、アクセス制御装置21のリスト配信部19(後述)から配信されるブラックリストを受信し、各端末1乃至3のブラックリストを更新する。
次に、アクセス制御装置21について説明する。アクセス制御装置21は、第1の実施形態における制御装置100に対応する。アクセス制御装置21は、ログ収集部10、ログ解析部11、データベース制御部12、ログ情報データベース13、ブラックリスト取得部15、不正通信情報データベース16、リスト作成部17、重み付け部18、リスト配信部19、パラメータ制御部22、ブラックリストデータベース23及び重み付けデータベース24を備える。
ログ収集部10は、第1の実施形態における収集部101に対応する。ログ収集部10は、端末1乃至3のログ送信部4乃至6から送信された通信ログを受信し、収集した通信ログをログ解析部11に対して出力する。
ログ解析部11は、ログ収集部10から受け取った通信ログを解析する。ログ解析部11は、通信ログ、当該通信ログが得られた端末の端末名及び通信の観測時刻を対応づけた情報をログ情報として、データベース制御部12を介して当該ログ情報をログ情報データベース13に格納する。
データベース制御部12は、ログ情報データベース13、不正通信情報データベース16、ブラックリストデータベース23及び重み付けデータベース24に対する情報の生成、参照、更新、及び削除等の制御を行う。
ログ情報データベース13は、端末1乃至3の情報(管理対象端末情報)とログ情報とを格納するデータベースである。
図5を参照すると、ログ情報データベース13には、ログ情報及び管理対象端末情報が格納される。ログ情報は、通信ログ、当該通信ログが得られた端末の端末名及び通信の観測時刻を対応づけた情報である。通信ログは、端末に対して通信を確立したあるいは確立しようとしたコンピュータのIPアドレスを含む。また、管理対象端末情報は、例えば、端末名、業種、地域及びOSである。管理対象端末情報及びログ情報として格納される情報は、これらに限られない。管理対象端末情報の一例として格納される業種、地域、OSとして、端末を業種、地域、又はOSでグルーピングした場合のグループ名やグループ識別子がログ情報データベース13に格納される。
ブラックリスト取得部15は、インターネットから公開ブラックリスト14(第2のリスト)を取得する。公開ブラックリスト14は、不正通信定義情報とそのスコアを含む。不正通信定義情報は、第1の実施形態における特定通信定義情報に対応する。スコアは、公開ブラックリストであらかじめ設定されている値であり、各不正通信情報定義情報の危険度を表している。スコアが大きい又は高いほど危険度が高い不正通信情報定義情報である。ブラックリスト取得部15は、取得した公開ブラックリスト14から、不正通信定義情報とそのスコアとが対応付けられた不正通信情報を抽出し、データベース制御部12を介して、不正通信情報データベース16に格納する。なお、ブラックリスト取得部15は、公開ブラックリスト14を取得する他、ベンダが独自に保持しているブラックリストを取得してもよい。
図6を参照すると、不正通信情報データベース16には、ブラックリスト取得部15が取得した公開ブラックリストに含まれる不正通信定義情報とそのスコアとが対応付けられた不正通信情報が格納される。不正通信情報データベース16は、最新の不正通信情報だけでなく過去の不正通信情報も保持する。これらの不正通信情報は、パラメータ制御部22(後述)が重み付けパラメータ対応表を作成する際に使用される。図7は、重み付けパラメータ対応表の一例である。重み付けパラメータ対応表は、端末ごとに作成され、重み付け部18での重み付けに使用される。図7を参照すると、(a)は自重み用の重み付けパラメータ対応表、(b)は他重み用の重み付けパラメータ対応表である。不正通信情報データベース16は、ブラックリスト取得部15が取得したブラックリストから抽出された不正通信情報を格納することに代えて、ブラックリスト取得部15が取得したブラックリストをそのまま格納してもよい。
リスト作成部17は、第1の実施形態における作成部103に対応する。リスト作成部17は、端末別のブラックリスト(以降、端末別ブラックリストとも表記)を作成する。端末別ブラックリストは、第1の実施形態における第1のリストに対応する。より詳細には、リスト作成部17は、以下の1乃至6の処理を行う。
1. データベース制御部12を介して、不正通信情報データベース16から抽出された一以上の不正通信情報を受け取る。
2. データベース制御部12を介して、ログ情報データベース13から不正通信情報の不正通信定義情報に一致する一以上のログ情報を抽出する。当該抽出は、ある一の端末と、当該一の端末と同じグループに属する一以上の他の端末について実施する。例えば、ある時刻に特定のIPアドレスから端末に対して大量の通信があった場合、F5攻撃の可能性がある。この場合、ログ情報からは、送信元IPアドレスの他、不正な通信パターンも抽出することができる。以降は、抽出後のログ情報を不正通信ログとも表記する。
3. 不正通信ログに不正通信情報に含まれる各不正通信定義情報のスコアを紐付けて、重み付け部18(後述)に対して出力する。
4. 重み付け部18から受け取った重み情報を基に、端末別にブラックリストを作成する。ブラックリストを作成する場合は、「スコア×自重み」と「スコア×他重み」のそれぞれで、値が大きい不正通信定義情報を所定数抽出して登録することでブラックリストを作成する。一例として、「スコア×自重み」を優先し、「スコア×自重み」の値が大きい不正通信定義情報を2つ、「スコア×他重み」の値が大きい不正通信定義情報を1つ抽出する。「スコア×自重み」の値が大きい不正通信定義情報と「スコア×他重み」の値が大きい不正通信定義情報とが同じになった場合は、例えば、「スコア×自重み」とは異なる値の「スコア×他重み」を有する不正通信定義情報のうち値が大きい不正通信定義情報を抽出する。また例えば、「スコア×自重み」の値が大きい不正通信定義情報を2つ、「スコア×他重み」の値が大きい不正通信定義情報を1つ抽出する場合であって、「スコア×自重み」の値が大きい不正通信定義情報がA、D、「スコア×他重み」の値が大きい不正通信定義情報がDである場合は、A、Dのみを抽出してもよい。
5. 作成したブラックリストをリスト配信部19に対して出力する。
6. データベース制御部12を介して、作成したブラックリストをブラックリストデータベース23に格納する。
1. データベース制御部12を介して、不正通信情報データベース16から抽出された一以上の不正通信情報を受け取る。
2. データベース制御部12を介して、ログ情報データベース13から不正通信情報の不正通信定義情報に一致する一以上のログ情報を抽出する。当該抽出は、ある一の端末と、当該一の端末と同じグループに属する一以上の他の端末について実施する。例えば、ある時刻に特定のIPアドレスから端末に対して大量の通信があった場合、F5攻撃の可能性がある。この場合、ログ情報からは、送信元IPアドレスの他、不正な通信パターンも抽出することができる。以降は、抽出後のログ情報を不正通信ログとも表記する。
3. 不正通信ログに不正通信情報に含まれる各不正通信定義情報のスコアを紐付けて、重み付け部18(後述)に対して出力する。
4. 重み付け部18から受け取った重み情報を基に、端末別にブラックリストを作成する。ブラックリストを作成する場合は、「スコア×自重み」と「スコア×他重み」のそれぞれで、値が大きい不正通信定義情報を所定数抽出して登録することでブラックリストを作成する。一例として、「スコア×自重み」を優先し、「スコア×自重み」の値が大きい不正通信定義情報を2つ、「スコア×他重み」の値が大きい不正通信定義情報を1つ抽出する。「スコア×自重み」の値が大きい不正通信定義情報と「スコア×他重み」の値が大きい不正通信定義情報とが同じになった場合は、例えば、「スコア×自重み」とは異なる値の「スコア×他重み」を有する不正通信定義情報のうち値が大きい不正通信定義情報を抽出する。また例えば、「スコア×自重み」の値が大きい不正通信定義情報を2つ、「スコア×他重み」の値が大きい不正通信定義情報を1つ抽出する場合であって、「スコア×自重み」の値が大きい不正通信定義情報がA、D、「スコア×他重み」の値が大きい不正通信定義情報がDである場合は、A、Dのみを抽出してもよい。
5. 作成したブラックリストをリスト配信部19に対して出力する。
6. データベース制御部12を介して、作成したブラックリストをブラックリストデータベース23に格納する。
重み付け部18は、リスト作成部17から受け取った不正通信ログを基に重み付けを行い、重み付けされた不正通信ログをリスト作成部17に対して出力する。重み付け部18は、重み付けの際に自重みと他重みの二種類の重みを用いる。自重みは、1つの端末(以降は、自端末と表記する)のログ情報を基に導出する重みである。他重みは、自端末と同じグループに属する他の端末(以降は、他端末と表記する)のログ情報を基に導出する重みである。例として、図3のシステム構成において、端末1のブラックリストを作成するための重み付けを行う場合、端末1のログ情報を基に導出されるのが自重み、端末2と端末3のログ情報を基に導出されるのが他重みである。それぞれの重みの導出方法を下記に示す。
自重み = N × T
他重み = N × M × T
変数N、T及びMについては以下の通りである。変数N、T及びMは、重み付けパラメータ対応表に基づいて導出する。
N: 端末における、不正通信定義情報で示される通信の観測数に関するパラメータである。自重みの計算では自端末での、不正通信定義情報で示される通信の観測数を用い、他重みの計算では他端末での、不正通信定義情報で示される通信の観測数の合計値を用いる。
T: 不正通信定義情報で示される通信の観測時刻に関するパラメータである。自重みの計算では自端末での、不正通信定義情報で示される通信の観測時刻を用い、他重みの計算では他端末での、不正通信定義情報で示される通信の観測時刻を用いる。複数の他端末で同じ不正通信定義情報で示される通信が観測された場合は、観測時刻が現在に近いものを計算に使用する。
M: 不正通信定義情報で示される通信が観測された端末の数に関するパラメータである。不正通信定義情報で示される通信が観測された端末の数には、不正通信定義情報で示される通信が観測された他端末の数を用いる。
自重み = N × T
他重み = N × M × T
変数N、T及びMについては以下の通りである。変数N、T及びMは、重み付けパラメータ対応表に基づいて導出する。
N: 端末における、不正通信定義情報で示される通信の観測数に関するパラメータである。自重みの計算では自端末での、不正通信定義情報で示される通信の観測数を用い、他重みの計算では他端末での、不正通信定義情報で示される通信の観測数の合計値を用いる。
T: 不正通信定義情報で示される通信の観測時刻に関するパラメータである。自重みの計算では自端末での、不正通信定義情報で示される通信の観測時刻を用い、他重みの計算では他端末での、不正通信定義情報で示される通信の観測時刻を用いる。複数の他端末で同じ不正通信定義情報で示される通信が観測された場合は、観測時刻が現在に近いものを計算に使用する。
M: 不正通信定義情報で示される通信が観測された端末の数に関するパラメータである。不正通信定義情報で示される通信が観測された端末の数には、不正通信定義情報で示される通信が観測された他端末の数を用いる。
ここで、例えば、不正通信定義情報で示される通信の観測された時刻が現在時刻から離れている(古い)と、Tの値が小さくなり、自重み及び他重みの値が小さくなる。また、他端末で観測されていない通信の場合は、Mの値が小さくなり、他重みの値が小さくなる。これらの場合は、たとえ自端末で観測された通信に関する不正通信定義情報であっても、リスト作成部17が新たに作成する端末別ブラックリストに登録されるとは限らない。
リスト配信部19は、リスト作成部17から受け取った端末別ブラックリストを、該当する端末に配信する。
パラメータ制御部22は、データベース制御部12を介して、不正通信情報データベース16の不正通信情報、ログ情報データベース13のログ情報及びブラックリストデータベース23のブラックリストを読み取り、重み付けパラメータ対応表(図8)を作成する。
ブラックリストデータベース23は、各端末に配信した端末別ブラックリストを格納するデータベースである。各端末に配信した端末別ブラックリストは、パラメータ制御部22が重み付けパラメータ対応表を作成する際に使用される。
重み付けデータベース24は、各端末の重み付けパラメータ対応表を格納するデータベースである。
[動作]
図9乃至12は、アクセス制御装置21の動作を示すフローチャートであり、それぞれ独立した動作を示す。図9は、ログ送信部4乃至6から通信ログを受信した際に行われる処理の流れを示す。図10乃至12は、周期的に行われる処理の流れを示す。図9乃至12の処理を行うにあたり事前に行う処理として、業種、地域、OSなど様々な範囲で端末をグループに分け、各端末が属するグループをログ情報データベース13に登録する。図7は、各端末の属するグループを登録した際の管理対象端末情報(図5)を示す図である。
図9乃至12は、アクセス制御装置21の動作を示すフローチャートであり、それぞれ独立した動作を示す。図9は、ログ送信部4乃至6から通信ログを受信した際に行われる処理の流れを示す。図10乃至12は、周期的に行われる処理の流れを示す。図9乃至12の処理を行うにあたり事前に行う処理として、業種、地域、OSなど様々な範囲で端末をグループに分け、各端末が属するグループをログ情報データベース13に登録する。図7は、各端末の属するグループを登録した際の管理対象端末情報(図5)を示す図である。
まず、図9における各処理について説明する。ログ収集部10は、端末1乃至3のログ送信部4乃至6から定期的に送信される通信ログを受信する(ステップS11)。ログ解析部11は、ステップS11にて受信した通信ログを解析してログ情報を作成する(ステップS12)。ログ解析部11は、データベース制御部12を介して、ステップS12にて作成したログ情報をログ情報データベース13に格納する(ステップS13)。
図13は、ステップS11乃至13の処理が行われた場合に得られるログ情報(図5)の一例を示す図である。
次に、図9における各処理について説明する。ブラックリスト取得部15は、インターネット上に公開されている、もしくはベンダが独自に保持しているブラックリスト14を取得する(ステップS21)。ブラックリスト取得部15は、データベース制御部12を介して、ステップS21にて取得したブラックリストを不正通信情報データベース16に格納する(ステップS22)。ステップS21及びS22の処理が行われた場合に不正通信情報データベース16に格納されるテーブルは、先述の図6である。
次に、図11における各処理について説明する。リスト作成部17は、データベース制御部12を介して、不正通信情報データベース16に格納されている不正通信情報を読み取る(ステップS31)。リスト作成部17は、データベース制御部12を介して、ログ情報データベース13から、ステップS31にて読み取った不正通信情報に含まれる不正通信定義情報に一致するログ情報(不正通信ログ)を抽出する(ステップS32)。ここでは、過去の所定の期間に観測されたログ情報を対象とする。
リスト作成部17は、ステップS32にて抽出した不正通信ログに、不正通信情報に含まれる各不正通信定義情報のスコアを紐付けて、スコアが紐付けられた不正通信ログを重み付け部18に対して出力する(ステップS33)。
図14は、ステップS33にてスコアが紐付けられた不正通信ログの一例を示す図である。重み付け部18は、データベース制御部12を介して、重み付けデータベース24に格納されている重み付けパラメータ対応表を読み取る(ステップS34)。重み付け部18は、不正通信ログと重み付けパラメータ対応表を基に、不正通信情報に重み付けを行う(ステップS35)。重み付けの際は、自重みと他重みの二種類の重みを用いる。
図15は、例えば端末1について、自重みと他重みを計算した結果を示す図である。例えば、不正通信定義情報Aで示される通信(通信A)について、自重みの計算には、端末1での通信Aの観測数に基づくN、端末1での通信Aの観測時刻に基づくTを用いる。他重みの計算には、端末1と同じグループに属する端末2及び端末3での通信Aの観測数に基づくN、端末2及び端末3での通信Aの観測時刻に基づくT、通信Aが観測された、同じグループ内の他端末の数に基づくMが用いられる。なお、計算方法は一例である。重み付け部18は、自重み、他重み及び不正通信定義情報のスコア(図6)を基に、図16に示すようなテーブル(以降は、重み情報と表記する)を作成する。図16において、「スコア×自重み」は、図6のスコアと、図15で計算した自重みとをかけ合わせた値である。「スコア×他重み」は、図6のスコアと、図15で計算した他重みとをかけ合わせた値である。
ステップS35の処理を端末別に行い、端末別の重み情報をリスト作成部17に対して出力する。
リスト作成部17では、重み付け部18から受け取った重み情報を基に、端末別ブラックリストを作成する(ステップS36)。リスト作成部17では、「スコア×自重み」と「スコア×他重み」のそれぞれで、値が大きい不正通信定義情報を所定数抽出し、抽出した不正通信定義情報を登録することでブラックリストを作成する。リスト作成部17は、作成した端末別のブラックリストをリスト配信部19に対して出力する。リスト作成部17は、データ制御部12を介して、端末別のブラックリストとブラックリスト作成時刻を、図17に示す形式でブラックリストデータベース23に格納する(ステップS37)。図17は、ステップS37の処理が行われた場合にブラックリストデータベース23に格納される情報を示す図である。図17を参照すると、(a)は端末名XXXの端末用のリスト、同様に(b)は端末名YYYの端末用のリスト、(c)は端末名ZZZの端末用のリストである。リスト配信部19は、リスト作成部17から受け取った端末別ブラックリストを、端末1乃至3のブラックリスト受信部7乃至9に配信する(ステップS38)。
次に、図12における各処理について説明する。パラメータ制御部22は、データベース制御部12を介して、各端末において過去に配信した端末別ブラックリストのうち最新の端末別ブラックリストとその作成時刻とを、ブラックリストデータベース23から読み取る(ステップS41)。パラメータ制御部22は、データベース制御部12を介して、重み付けデータベース24から各端末の重み付けパラメータ対応表を読み取る(ステップS42)。パラメータ制御部22は、データベース制御部12を介して、端末別ブラックリスト作成時に使用した不正通信情報と、端末別ブラックリスト配信後所定期間の不正通信情報とを、不正通信情報データベース16から読み取る。ここで、端末別ブラックリスト作成時に使用した不正通信情報と、端末別ブラックリスト配信後の所定期間の不正通信情報とを合わせてブラックリスト配信前後の不正通信情報と呼ぶ。そして、パラメータ制御部22は、データベース制御部12を介して、ログ情報データベース13から、端末別ブラックリスト作成時に使用したログ情報と、端末別ブラックリスト配信後所定期間のログ情報とのうち、ブラックリスト配信前後の不正通信情報に含まれる不正通信定義情報に一致するログ情報(不正通信ログ)を抽出して読み取る(ステップS43)。パラメータ制御部22は、ステップS43で読み取った不正通信ログに対して、不正通信情報に含まれる各不正通信定義情報のスコアを紐付ける(ステップS44)。
以下に説明するステップS45乃至S52の処理は端末別に行い、処理対象の端末での処理が終わり次第、ステップS53へと進む。
パラメータ制御部22は、ステップS41にて読み取った最新の端末別ブラックリストと、ステップS43で読み取った不正通信ログとを比較し、一致する不正通信定義情報の数を調べる(ステップS45)。パラメータ制御部22は、ステップS41にて読み取ったブラックリストリストには登録されていないが、配信後の不正通信ログには見られる不正通信定義情報に着目し、重み付けパラメータ対応表を修正する(ステップS46)。図18は、重み付けパラメータを修正する場合に用いる基準をまとめた表である。重み付けパラメータ修正の観点を以下に示す。
1. 観測数が多い不正通信定義情報ほど危険度が高いため、過去所定期間内の観測数が多い不正通信定義情報ほど、変数Nの値を大きくする。
2. 最近攻撃を行った不正ユーザは、再度同じ攻撃を行ってくる可能性が高いため、観測時刻が現在に近いものほど、変数Tの値を大きくする。
3. 多くの端末に対して行われている攻撃は、危険度の高い流行りの攻撃である可能性が高いため、観測端末数が多いものほど、変数Mの値を大きくする。
1. 観測数が多い不正通信定義情報ほど危険度が高いため、過去所定期間内の観測数が多い不正通信定義情報ほど、変数Nの値を大きくする。
2. 最近攻撃を行った不正ユーザは、再度同じ攻撃を行ってくる可能性が高いため、観測時刻が現在に近いものほど、変数Tの値を大きくする。
3. 多くの端末に対して行われている攻撃は、危険度の高い流行りの攻撃である可能性が高いため、観測端末数が多いものほど、変数Mの値を大きくする。
重み付けパラメータの修正について、具体例を用いて説明する。あるブラックリスト配信後の自端末の不正通信ログXが、配信されたブラックリストに含まれていなかったとする。この場合、図18によると、不正通信ログXで示される通信が、ブラックリスト配信後であって、現在から過去3日の間に観測された場合、ステップS42で読み取った重み付けパラメータ対応表において、不正通信ログXに合致する不正通信定義情報の観測時刻に対応する変数Tの値を5に修正(変更)する。
パラメータ制御部22は、修正した重み付けパラメータと、配信後の不正通信ログとを基に不正通信定義情報に重み付けを行い、図11のステップS36と同様の手順で新たな端末別ブラックリストを作成する(ステップS47)。パラメータ制御部22は、作成した端末別ブラックリストと、ステップS43にて読み取った配信後の不正通信ログとを比較し、一致する不正通信定義情報の数を調べる(ステップS48)。ステップS48にける一致数がステップS45における一致数よりも大きい場合はステップS53へ進み、小さい場合はS50へと進む(ステップS49)。
ステップS46乃至S49の処理を所定の回数行っている場合はステップS52へ進み、行っていない場合はステップS51へ進む(ステップS50)。
ステップS51では、ステップS45の重み付けパターン対応表を用いて、インクリメント数を変更する。そして、再度ステップS46の処理へと進む。
ステップS52では、重み付けパラメータ対応表をステップS45の状態に戻す。
パラメータ制御部22は、データベース制御部12を介して、重み付けパラメータ対応表を重み付けデータベース24に格納する。
[効果]
自端末の通信ログのみに基づいてブラックリストを作成すると、未知の攻撃に対応することができない。本実施形態にかかるアクセス制御装置21では、端末のグルーピングと重み付け方法の学習を用いる。これにより、一の端末を設定するためのブラックリストを作成する場合に、一の端末と同じグループに属する他の端末に対する攻撃も考慮することができる。すなわち、各端末に対し、各端末に対する未知の攻撃を防ぐことのできるブラックリストを作成し、配信することができる。
自端末の通信ログのみに基づいてブラックリストを作成すると、未知の攻撃に対応することができない。本実施形態にかかるアクセス制御装置21では、端末のグルーピングと重み付け方法の学習を用いる。これにより、一の端末を設定するためのブラックリストを作成する場合に、一の端末と同じグループに属する他の端末に対する攻撃も考慮することができる。すなわち、各端末に対し、各端末に対する未知の攻撃を防ぐことのできるブラックリストを作成し、配信することができる。
なお、本実施形態では、アクセス制御装置21において、公開されているブラックリストから各端末のブラックリストを作成する態様について説明した。この態様に替えて、一の端末において、他端末のブラックリストを取得し、当該他端末のブラックリストから自端末のブラックリストを作成する態様とすることもできる。
[第3の実施形態]
第3の実施形態では、ブラックリストを作成する際の構成及び動作について説明した。本実施形態では、ホワイトリストを作成する際の構成及び動作について説明する。第1及び第2の実施形態と同様の構成については、説明を省略する。
第3の実施形態では、ブラックリストを作成する際の構成及び動作について説明した。本実施形態では、ホワイトリストを作成する際の構成及び動作について説明する。第1及び第2の実施形態と同様の構成については、説明を省略する。
本実施形態の制御装置は、第2の実施形態におけるブラックリスト取得部15に代えてホワイトリスト取得部15´を備える。ホワイトリスト取得部15´は、複数の端末1乃至3が保持するホワイトリストを取得する。
重み付け部18´は、ホワイトリスト取得部15´が取得したホワイトリストに重み付けを行い、リスト作成部17に対して出力する。重み付け部18´は、重み付けの際に自重みと他重みの二種類の重みを用いる。自重みと他重みについては、第2の実施形態で説明した通りである。
[効果]
本実施形態では、端末のグルーピングと重み付け方法の学習を用いる。これにより、恣意的になりやすいホワイトリストに対して客観的なホワイトリストを作成することができる。また、例えば、一の端末と同一グループに属する他の端末においてアクセスが許可されているアプリケーションについては、当該一の端末においてもアクセスが許可される蓋然性が高い。この場合、同一グループ内の他の端末のログ情報を参考にして一の端末が保持するホワイトリストを作成することにより、流動的で利便性の高いホワイトリストを作成することができる。
本実施形態では、端末のグルーピングと重み付け方法の学習を用いる。これにより、恣意的になりやすいホワイトリストに対して客観的なホワイトリストを作成することができる。また、例えば、一の端末と同一グループに属する他の端末においてアクセスが許可されているアプリケーションについては、当該一の端末においてもアクセスが許可される蓋然性が高い。この場合、同一グループ内の他の端末のログ情報を参考にして一の端末が保持するホワイトリストを作成することにより、流動的で利便性の高いホワイトリストを作成することができる。
なお、第2の実施形態と第3の実施形態とを組み合わせた態様とすることもできる。
以上、本発明の実施形態について説明したが、本発明は上記実施形態に限定されるものではなく、本発明の趣旨を逸脱しない限りにおいて他の変形例、応用例を含むことは言うまでもない。
1、2、3 端末(管理対象端末)
4、5、6 ログ送信部
7、8、9 ブラックリスト受信部
10 ログ収集部
11 ログ解析部
12 データベース制御部
13 ログ情報データベース
14 公開ブラックリスト
15 ブラックリスト取得部
16 不正通信情報データベース
17 リスト作成部
18 重み付け部
19 リスト配信部
20 グループ
21 アクセス制御装置
22 パラメータ制御部
23 ブラックリストデータベース
24 重み付けデータベース
100 制御装置
100a プロセッサ
100b メモリ
100c ストレージ
100d 入出力インタフェース
100e 通信インタフェース
101 収集部
102 格納部
103 作成部
2000 システム
4、5、6 ログ送信部
7、8、9 ブラックリスト受信部
10 ログ収集部
11 ログ解析部
12 データベース制御部
13 ログ情報データベース
14 公開ブラックリスト
15 ブラックリスト取得部
16 不正通信情報データベース
17 リスト作成部
18 重み付け部
19 リスト配信部
20 グループ
21 アクセス制御装置
22 パラメータ制御部
23 ブラックリストデータベース
24 重み付けデータベース
100 制御装置
100a プロセッサ
100b メモリ
100c ストレージ
100d 入出力インタフェース
100e 通信インタフェース
101 収集部
102 格納部
103 作成部
2000 システム
Claims (10)
- 複数の端末から、通信履歴情報を収集する収集部と、
特定の通信対象を示す特定通信定義情報が登録されている第1のリストを格納する格納部と、
前記通信履歴情報に合致する前記特定通信定義情報に、一の前記端末の通信履歴情報に基づいて導出される自重みと、他の前記端末の通信履歴情報に基づいて導出される他重みと、を設定する重み付け部と、
重み付けされた前記特定通信定義情報のうち、所定の条件を満たす一以上の特定通信定義情報が登録される前記一の端末のための前記第1のリストを作成する作成部と、
を備える制御装置。 - 前記特定通信定義情報が登録されている第2のリストを取得する取得部を備え、
前記作成部は、前記取得部が取得した前記第2のリストから、前記一の端末の通信履歴情報に合致する特定通信定義情報と、前記他の端末の通信履歴情報に合致する特定通信定義情報とを抽出して前記第1のリストを作成する、請求項1に記載の制御装置。 - 前記作成部は、前記通信履歴情報と合致する前記特定通信定義情報のうち、前記通信履歴情報との合致数が多い前記特定通信定義情報、該特定通信定義情報に合致する前記通信履歴情報が前記第2のリストの作成時刻から過去所定期間内に得られた前記特定通信定義情報、又は該特定通信定義情報に合致する前記通信履歴情報が得られた前記端末数の多い前記特定通信定義情報を優先的に抽出する、請求項2に記載の制御装置。
- 前記他の端末は、前記一の端末と同じグループに属する、請求項1乃至3のいずれか1項に記載の制御装置。
- 複数の端末から、通信履歴情報を収集する収集部と、
特定の通信対象を示す特定通信定義情報が登録されている第1のリストを格納する格納部と、
一の前記端末の通信履歴情報に合致する特定通信定義情報と、他の前記端末の通信履歴情報に合致する特定通信定義情報と、に基づいて一以上の特定通信定義情報が登録される前記一の端末のための前記第1のリストを作成する作成部と、
前記通信履歴情報に合致する前記特定通信定義情報に重み付けを設定する重み付け部と、を備え、
前記重み付け部は、前記一の端末の通信履歴情報に基づいて導出される自重みと、前記一の端末と同じグループに属する前記他の端末の前記通信履歴情報に基づいて導出される他重みと、を設定し、
前記作成部は、前記重み付けされた結果所定の条件を満たす前記特定通信定義情報に基づいて前記第1のリストを作成する、制御装置。 - 複数の端末から、通信履歴情報を収集する収集ステップと、
特定の通信対象を示す特定通信定義情報が登録されている第1のリストを格納する格納ステップと、
前記通信履歴情報に合致する前記特定通信定義情報に、一の前記端末の通信履歴情報に基づいて導出される自重みと、他の前記端末の通信履歴情報に基づいて導出される他重みと、を設定する重み付けステップと、
重み付けされた前記特定通信定義情報のうち、所定の条件を満たす一以上の特定通信定義情報が登録される前記一の端末のための前記第1のリストを作成する作成ステップと、を含む制御方法。 - 前記特定通信定義情報が登録されている第2のリストを取得する第1の取得ステップを含み、
前記作成ステップでは、前記第1の取得ステップにて取得した前記第2のリストから、前記一の端末の通信履歴情報に合致する特定通信定義情報と、前記他の端末の通信履歴情報に合致する特定通信定義情報とを抽出して前記第1のリストを作成する、請求項6に記載の制御方法。 - 前記他の端末は、前記一の端末と同じグループに属する、請求項6又は7に記載の制御方法。
- コンピュータに、
複数の端末から、通信履歴情報を収集する収集処理と、
特定の通信対象を示す特定通信定義情報が登録されている第1のリストを格納する格納処理と、
前記通信履歴情報に合致する前記特定通信定義情報に、一の前記端末の通信履歴情報に基づいて導出される自重みと、他の前記端末の通信履歴情報に基づいて導出される他重みと、を設定する重み付け処理と、
重み付けされた前記特定通信定義情報のうち、所定の条件を満たす一以上の特定通信定義情報が登録される前記一の端末のための前記第1のリストを作成する作成処理と、を実行させるプログラム。 - 前記特定通信定義情報が登録されている第2のリストを取得する第1の取得処理を実行させ、
前記作成処理では、前記第1の取得処理にて取得した前記第2のリストから、前記一の端末の通信履歴情報に合致する特定通信定義情報と、前記他の端末の通信履歴情報に合致する特定通信定義情報とを抽出して前記第1のリストを作成する、請求項9に記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016069924A JP6707952B2 (ja) | 2016-03-31 | 2016-03-31 | 制御装置、制御方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016069924A JP6707952B2 (ja) | 2016-03-31 | 2016-03-31 | 制御装置、制御方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017182520A JP2017182520A (ja) | 2017-10-05 |
| JP6707952B2 true JP6707952B2 (ja) | 2020-06-10 |
Family
ID=60006206
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016069924A Active JP6707952B2 (ja) | 2016-03-31 | 2016-03-31 | 制御装置、制御方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6707952B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6626039B2 (ja) * | 2017-06-13 | 2019-12-25 | 日本電信電話株式会社 | ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム |
| US10904283B2 (en) * | 2018-06-19 | 2021-01-26 | AO Kaspersky Lab | System and method of countering an attack on computing devices of users |
| JP7147337B2 (ja) * | 2018-07-31 | 2022-10-05 | 株式会社リコー | 通信制御システム、通信制御方法およびプログラム |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6162021B2 (ja) * | 2013-10-23 | 2017-07-12 | 日本電信電話株式会社 | 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム |
| CN104753862A (zh) * | 2013-12-27 | 2015-07-01 | 华为技术有限公司 | 一种提高网络安全性的方法及装置 |
| JP5813810B2 (ja) * | 2014-03-19 | 2015-11-17 | 日本電信電話株式会社 | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム |
| JP5719054B2 (ja) * | 2014-03-19 | 2015-05-13 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム |
-
2016
- 2016-03-31 JP JP2016069924A patent/JP6707952B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017182520A (ja) | 2017-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| US10581908B2 (en) | Identifying phishing websites using DOM characteristics | |
| US10574695B2 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
| JP6408395B2 (ja) | ブラックリストの管理方法 | |
| US20230092522A1 (en) | Data packet processing method, apparatus, and electronic device, computer-readable storage medium, and computer program product | |
| CN107645478B (zh) | 网络攻击防御系统、方法及装置 | |
| EP3593508A1 (en) | Identifying malicious network devices | |
| JP2017532649A (ja) | 機密情報処理方法、装置、及び、サーバ、ならびに、セキュリティ決定システム | |
| WO2017049042A1 (en) | Identifying phishing websites using dom characteristics | |
| US11316887B2 (en) | Threat mitigation system and method | |
| JP6707952B2 (ja) | 制御装置、制御方法及びプログラム | |
| CN113452780B (zh) | 针对客户端的访问请求处理方法、装置、设备及介质 | |
| CN113676563B (zh) | 内容分发网络服务的调度方法、装置、设备及存储介质 | |
| CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| CN109150848A (zh) | 一种基于Nginx的蜜罐的实现方法及系统 | |
| EP3579523A1 (en) | System and method for detection of malicious interactions in a computer network | |
| US20220166801A1 (en) | Threat mitigation system and method | |
| CN114338064B (zh) | 识别网络流量类型的方法、装置、系统、设备和存储介质 | |
| JP6294847B2 (ja) | ログ管理制御システムおよびログ管理制御方法 | |
| JP2018196054A (ja) | 評価プログラム、評価方法および情報処理装置 | |
| US10560473B2 (en) | Method of network monitoring and device | |
| CN105468981A (zh) | 基于漏洞识别技术的插件安全扫描装置及扫描方法 | |
| US20210377313A1 (en) | Threat Mitigation System and Method | |
| CN104519069A (zh) | 一种拦截资源请求的方法和装置 | |
| CN112702321B (zh) | 分布式交易限流方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190215 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191226 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200121 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200228 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200421 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200504 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6707952 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |