JP6860161B2 - Unauthorized communication monitoring device, unauthorized communication monitoring method, unauthorized communication monitoring program, and unauthorized communication monitoring system - Google Patents
Unauthorized communication monitoring device, unauthorized communication monitoring method, unauthorized communication monitoring program, and unauthorized communication monitoring system Download PDFInfo
- Publication number
- JP6860161B2 JP6860161B2 JP2017052563A JP2017052563A JP6860161B2 JP 6860161 B2 JP6860161 B2 JP 6860161B2 JP 2017052563 A JP2017052563 A JP 2017052563A JP 2017052563 A JP2017052563 A JP 2017052563A JP 6860161 B2 JP6860161 B2 JP 6860161B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- unauthorized
- history
- network
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システムに関する。 The present invention relates to an unauthorized communication monitoring device, an unauthorized communication monitoring method, an unauthorized communication monitoring program, and an unauthorized communication monitoring system.
コンピュータウイルスやワーム等と呼ばれるマルウェアは、通信機器によって構成されるネットワークを介して接続された端末間の通信において、端末に不正な通信を実行させる。このようなマルウェアを検出する方法として、端末間を送受信される通信パケットを中継する通信機器で通信パケットを監視する方法が知られている。 Malware called computer viruses, worms, etc. causes terminals to perform unauthorized communication in communication between terminals connected via a network composed of communication devices. As a method of detecting such malware, a method of monitoring communication packets with a communication device that relays communication packets sent and received between terminals is known.
特許文献1は、ネットワークを監視し、ワームの感染源を特定するための情報を出力することで、ワームの検出を支援する感染防止システムを開示している。
特許文献2は、通信機器間で送受信される通信パケットの流量、通信量の変動、および通信のパターン等を監視し、ワームを検出する方法を開示している。
特許文献1は、予めワームのパターンファイルを保持しており、そのパターンファイルと通信パケットのペイロードとを比較することで、マルウェアを検出している。そのため、特許文献1には、未知のワームや、既存のワームの一部を変更したワーム(亜種)を検出することができない、という課題がある。
また、特許文献2は、通信パケットの流量、通信量の変動の傾向、および通信のパターン等を監視しているが、この方法ではワームの存在を推定するに留まってしまう。そのため、特許文献2には、ワームの存在を確定できない、という課題がある。
Further,
本発明の目的は、未知のワームや亜種のワームを含むマルウェアを検出できる不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システムを提供することにある。 An object of the present invention is to provide a fraudulent communication monitoring device, a fraudulent communication monitoring method, a fraudulent communication monitoring program, and a fraudulent communication monitoring system capable of detecting malware including unknown worms and variants of worms.
本発明の第1の態様の不正通信監視装置は、ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける通信履歴受信部と、前記通信パケットの通信履歴に基づいて、前記端末−前記通信機器間および前記通信機器−前記通信機器間で生じたマルウェアが発生させた不正通信を検出する不正通信検出部と、を備え、前記不正通信検出部は、前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて、前記不正通信を検出する。 The fraudulent communication monitoring device according to the first aspect of the present invention includes a communication history receiving unit that receives communication history of communication packets transmitted and received between a terminal and a communication device and between a communication device and a communication device constituting a network, and the communication packet. based on the communication history, the terminal - the communication device and between the communication device - and a fraud communication detector that detects the unauthorized communication that triggered malware generated between the communication device, the unauthorized communication detector Detects the unauthorized communication based on the information in the range from the beginning of the communication packet to the part determined according to the communication protocol used for the communication of the communication packet in the communication history of the communication packet.
本発明の第2の態様の不正通信監視方法は、ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受けて、前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて、前記端末−前記通信機器間および前記通信機器−前記通信機器間で生じたマルウェアが発生させた不正通信を検出する。 The method for monitoring unauthorized communication according to the second aspect of the present invention receives the communication history of communication packets transmitted and received between terminals and communication devices and between communication devices and communication devices constituting the network, and receives the communication history of the communication packets. Among them, based on the information in the range from the beginning of the communication packet to the part determined according to the communication protocol used for the communication of the communication packet , the terminal and the communication device and the communication device and the communication device are used. Detects unauthorized communication caused by malware generated in.
本発明の第3の態様の不正通信監視プログラムは、コンピュータに、ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける処理と、前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて、マルウェアが発生させた不正な通信を検出する処理と、を実行させる。 The fraudulent communication monitoring program according to the third aspect of the present invention is a process of receiving a communication history of communication packets transmitted and received between a terminal and a communication device and a communication device and a communication device constituting a network by a computer, and the communication packet. in the communication history, the beginning of the communication packet, processing based on the information of the range to a point determined according to the communication protocol used for communication of the communication packet, detecting fraudulent communication malware caused And to execute.
本発明の第4の態様の不正通信監視システムは、通信履歴収集装置と、不正通信監視装置とを含み、前記通信履歴収集装置は、通信機器が送受信した通信パケットのうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて通信履歴を生成する通信パケット受信部と、前記通信履歴を前記不正通信監視装置に送信する通信履歴送信部と、を備え、前記不正通信監視装置は、前記通信履歴を受ける通信履歴受信部と、前記通信履歴を解析し、マルウェアが発生させた不正な通信を検出する不正通信検出部と、を備える。
The unauthorized communication monitoring system according to the fourth aspect of the present invention includes a communication history collecting device and an unauthorized communication monitoring device, and the communication history collecting device is the head of the communication packet among the communication packets transmitted and received by the communication device. To a communication packet receiver that generates a communication history based on information in a range determined according to the communication protocol used for the communication of the communication packet, and a communication that transmits the communication history to the unauthorized communication monitoring device. The unauthorized communication monitoring device includes a history transmitting unit, a communication history receiving unit that receives the communication history, an unauthorized communication detecting unit that analyzes the communication history and detects an unauthorized communication generated by malware, and an unauthorized communication detecting unit. To be equipped.
本発明によれば、マルウェアが発生させた不正動作を迅速に検出することのできる不正通信監視装置、不正通信監視方法、不正通信監視プログラム、および不正通信監視システムを提供することができる。 According to the present invention, it is possible to provide an unauthorized communication monitoring device, an unauthorized communication monitoring method, an unauthorized communication monitoring program, and an unauthorized communication monitoring system capable of quickly detecting an unauthorized operation caused by malware.
以下、図面を参照しながら、本発明の実施形態について詳細に説明する。なお、各図において同一または相当する部分には同一の符号を付して適宜説明は省略する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In each figure, the same or corresponding parts are designated by the same reference numerals, and the description thereof will be omitted as appropriate.
[第1の実施形態]
図1は、本発明の第1の実施形態に係る不正通信監視装置の構成を示すブロック図である。
[First Embodiment]
FIG. 1 is a block diagram showing a configuration of an unauthorized communication monitoring device according to the first embodiment of the present invention.
本発明の不正通信監視装置20は、通信履歴受信部21と、不正通信検出部22とを備える。
The fraudulent
通信履歴受信部21は、ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける。本実施形態において、「端末」とは、PC(Personal Computer)、サーバ、タブレット端末、スマートフォン等のことである。また、本実施形態において、「通信機器」とは、端末と、端末との間の通信を仲介する経路の役割を持つ機器である。具体的には、通信機器は、ルータ、ハブ、L2/L3スイッチ、無線LAN(Local Area Network)アクセスポイント、ロードバランサ等である。また、ファイアウォール、IPS(Intrusion Prevention System)、IDS(Intrusion Detection System)等のセキュリティ製品も、端末間の通信を仲介する機能があるので通信機器に含まれる。
The communication
不正通信検出部22は、通信パケットの通信履歴に基づいて、通信機器による不正の通信を検出する。具体的には、不正通信検出部22は、通信パケットのヘッダに含まれている情報に基づいて、不正な通信を検出する。すなわち、不正通信検出部22は、マルウェアそのものを検出するのではなく、マルウェアが発生させる不正な通信を検出する。
The fraudulent
更に具体的に説明すると、通信パケットのヘッダには、送信元の通信機器のMAC(Media Access Control)アドレス、IP(Internet Protocol)アドレス、およびポート等に関する情報が含まれている。また、通信パケットのヘッダには、送信先の通信機器のMACアドレス、IPアドレス、およびポートに関する情報が含まれている。すなわち、不正通信検出部22は、通信パケットのヘッダを解析することで、送信元の通信機器および送信先の通信機器に関する情報を得ることができる。よって、不正通信検出部22は、ネットワークに接続された端末構成を把握することができる。なお、ネットワークに接続された端末構成とは、端末がどのようにネットワークに接続されているかを意味している。
More specifically, the header of the communication packet includes information on the MAC (Media Access Control) address, IP (Internet Protocol) address, port, and the like of the communication device of the source. In addition, the header of the communication packet contains information about the MAC address, IP address, and port of the destination communication device. That is, the unauthorized
一方、マルウェアは送信先の端末に当該マルウェアをコピーさせるのが普通である。このことを利用して、不正通信検出部22は、例えば、通信パケットのヘッダに含まれる送信先の端末のIPアドレス、ポート番号等を解析し、存在しない端末のIPアドレス、ポート番号が含まれていた場合、その通信をマルウェアが発生させた不正な通信として検出することができる。これは、上述の通り、不正通信検出部22が、ネットワークに接続された端末構成を既に把握しているためである。このため、不正通信検出部22は、マルウェアを検出するために、パターンファイル等を必要としないため、未知のマルウェアや、既存のマルウェアの亜種が発生させた不正な通信をも検出することができる。
On the other hand, malware usually causes the destination terminal to copy the malware. Utilizing this fact, the unauthorized
更に言えば、不正通信検出部22は、マルウェアがネットワークを探索するために、無差別に送信した通信パケットのうち、宛先不明で通信に失敗したパケット等を検知することができる。すなわち、不正通信検出部22は、マルウェアの活動初期に見られるネットワークの探索活動を検出することができる。したがって、不正通信検出部22は、マルウェアを早期に発見することができる。
Furthermore, the unauthorized
[不正通信監視装置20の動作]
図2は、本発明の第1の実施形態に係る不正通信監視装置の動作の流れを示すフローチャートである。
[Operation of unauthorized communication monitoring device 20]
FIG. 2 is a flowchart showing an operation flow of the unauthorized communication monitoring device according to the first embodiment of the present invention.
不正通信監視装置20において、まず、通信履歴受信部21が、端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける(ステップS101)。
In the unauthorized
次に、不正通信検出部22は、通信履歴受信部21が受けた通信パケットの通信履歴に関する情報に基づいて、不正な通信を検出する(ステップS102)。
Next, the unauthorized
[第2の実施形態]
図3は、本発明の第2の実施形態に係る不正通信監視システムの構成を示す模式図である。
[Second Embodiment]
FIG. 3 is a schematic diagram showing a configuration of an unauthorized communication monitoring system according to a second embodiment of the present invention.
図3に示された不正通信監視システム100は、通信履歴収集装置10と、不正通信監視装置20Aとを含む。通信履歴収集装置10は、例えば、ネットワークを構成する各通信機器に接続されており、図3においては通信機器30に接続されている。不正通信監視装置20Aは、例えば、ネットワークを構成する各通信機器間のサーバである。通信履歴収集装置10と、不正通信監視装置20Aとは、ネットワーク40を介して接続されている。ネットワーク40は、有線であってもよいし、無線であってもよい。また、不正通信監視装置20Aには、複数の通信履歴収集装置10がネットワーク40を介して接続されていてもよい。なお、図3において、通信履歴収集装置10と、不正通信監視装置20Aとはネットワーク40を介して接続された別体の装置として記載しているが、これは例示であり、本発明を限定するものではない。通信履歴収集装置10と、不正通信監視装置20Aとは1つの装置として構成されていてもよいし、通信履歴収集装置10と、不正通信監視装置20Aとの少なくとも一方が、通信機器30と一体に構成されていてもよい。
The unauthorized
図示された通信履歴収集装置10は、通信パケット受信部11と、通信履歴送信部12とを備える。
The illustrated communication
通信パケット受信部11は、通信機器30から、通信機器30が他の通信機器や端末と送受信した通信パケットを受ける。また、通信パケット受信部11は、通信パケットのうち、通信パケットの先頭から、マルウェアが発生させた不正な通信を解析するために必要な部分までを抽出する。不正な通信を解析するために必要な部分は、検知したいマルウェアがどのような通信を行うかにより異なる。例えば、マルウェアによってはHTTPプロトコルを用いて通信をするものもある。この場合、マルウェアの不正な通信を解析するために必要な部分とは、パケットの先頭からHTTPヘッダに含まれる接続先URLの情報を含む範囲までの長さとなる。なお、パケットの先頭からHTTPヘッダに含まれる接続先URLの情報を含む範囲を抽出することは、不正な通信の解析に、HTTPヘッダの情報のみ用いることを意味している訳ではない。具体的には、同じ通信パケットに含まれる下位のプロトコル情報、例えば、先頭からHTTPヘッダまでの間に含まれるIPヘッダおよびTCPヘッダの情報も不正通信の解析に用いることができる。同様に、TCPを使って通信するマルウェアの解析であれば、TCPヘッダの情報の他に、その下位のプロトコルであるIPヘッダの情報も解析に用いることができる。また、通信パケット受信部11は、解析に必要のない部分を削除する。さらに、通信パケット受信部11は、通信パケットから抽出した部分に基づいて、通信機器30の通信履歴に関する情報である通信履歴データを生成する。
The communication
通信履歴送信部12は、ネットワーク40を介して通信履歴データを不正通信監視装置20Aに送信する。
The communication
図3に示された不正通信監視装置20Aは、通信履歴受信部21と、不正通信検出部22と、不正通信認識部23とを備える。
The unauthorized
通信履歴受信部21は、通信履歴データを通信履歴送信部12から受ける。
The communication
不正通信検出部22は、通信履歴受信部21が受けた通信履歴データに基づいて、通信機器30を経由した不正な通信を検出する。不正通信検出部22は、通信履歴データには通信機器30が中継した通信履歴が含まれているので、ネットワークに接続された端末構成の把握と、マルウェアが発生させた不正な通信等のセキュリティインシデントの検出を同時に行うことができる。
The fraudulent
また、図3には示されていないが、不正通信検出部22は、ネットワークを構成する各通信機器から通信パケットの通信履歴を受けている。すなわち、不正通信検出部22は、ネットワークを構成する各通信機器の通信履歴に基づいて、マルウェアの活動の痕跡を読み取ることができる。これは、マルウェアは、自身が感染した端末では自らの痕跡を消すことができる(ログ改ざん、消去、マルウェア自身の偽装や消去など)。しかしながら、マルウェアは、通信機器30で収集された通信履歴までをも消すことができないので、不正通信検出部22は、より確実にマルウェアの活動を検出することができる。不正通信検出部22の具体的な動作については、第1の実施形態で説明したとおりなので、説明は省略する。
Further, although not shown in FIG. 3, the unauthorized
不正通信認識部23は、ユーザに対し、ネットワークにおける各通信機器間の通信の様子を示す。具体的には、不正通信認識部23は、ネットワークにおける不正な通信を視覚的に判断できるような情報を生成するとともに、生成した情報をユーザに対して表示することができる。このような不正通信認識部23は、例えば、ネットワーク図作成部231と、ネットワーク画面表示部232と、レポート作成部233と、レポート出力部234とを有する。
The unauthorized
ネットワーク図作成部231は、不正通信検出部22が検出したネットワークにおける各通信機器間の通信の検出結果に基づいて、通信機器30と各通信機器との通信の様子を表すネットワーク図を作成する。また、ネットワーク図作成部231は、生成したネットワーク図をネットワーク画面表示部232に表示させる。ネットワーク画面表示部232は、通常のディスプレイ等で構成することができる。なお、ネットワーク画面表示部232がディスプレイであるものとして説明するが、これは例示であり、本発明を限定するものではない。ネットワーク画面表示部232は、例えば、不正通信監視装置20Aとは別体の外部装置(図示しない)に設けられていてもよい。この場合、不正監視装置20Aは、ネットワーク図作成部231によって作成されたネットワーク図を外部装置に送信する。そして、外部装置は、ネットワーク図をユーザに対して表示する。なお、外部装置に特に制限はないが、例えば、パソコン、スマートフォン、タブレット端末で実現することができる。
The network
図4は、ネットワーク図作成部231が作成するネットワーク図の一例を示す図である。
FIG. 4 is a diagram showing an example of a network diagram created by the network
図4は、通信機器30と、通信機器30とは異なる通信機器である3台の外部機器との通信の様子を示している。具体的には、第1の通信41は、通信機器30と、第1の外部機器31との通信を示している。第2の通信42は、通信機器30と、第2の外部機器32との通信を示している。第3の通信43は、通信機器30と、第3の外部機器33との通信を示している。第1の通信41、第2の通信42、および第3の通信43において、矢印の向きは通信方向を示し、矢印の太さは通信量を示している。
FIG. 4 shows a state of communication between the
図4において、第1の通信41は、通信機器30から第1の外部機器31への一方向にのみ通信していることを示している。ここで、第1の外部機器31は、実際には存在しない端末(例えば、該当するアドレスが存在しない端末)であるとする。この場合、通信機器30から第1の外部機器31への通信は不正な通信、すなわち、第1の通信41はマルウェアによって引き起こされた通信であることを意味している。第2の通信42および第3の通信43は、双方向に矢印が向いているため、通常の通信である。また、図4には、第2の通信42よりも第3の通信43の方が太いので、通信機器30は第2の外部機器32よりも、第3の外部機器33との通信量の方が多いことも示されている。
In FIG. 4, the
不正通信監視システム100は、図4に示すように、ネットワークにおける各通信機器間の様子および各端末と各通信機器間の様子を視覚的に判断しやすい形で表示することができる。また、通常の通信を青、不正な通信を赤で表示するなど、通信の状況に応じて色を変えることによって、ユーザは、不正な通信を判断することが容易になる。また、色を変えることに限定されず、例えば、通信に応じて線を波線、破線など線の表現方法を変えてもよいし、通信に応じて線を点滅させるなど線の表示方法を変えてもよい。すなわち、表示方法は、通信に応じて視覚的に違いが判断することができるような方法であれば、特に制限はない。すなわち、ユーザは、ネットワーク構成に不正通信および正常通信等を重ね合わせて表示したネットワーク図を視認することによって、ネットワークにおける通信の様子を迅速かつ正確に把握することができる。
As shown in FIG. 4, the fraudulent
また、図3に示されたネットワーク図作成部231は、ネットワーク構成の図示とマルウェアの活動範囲(被害範囲)の図示において、通信元および通信先のそれぞれの、通信ポート番号、IPアドレス、MACアドレス、期間、ネットワークアドレス等の表示内容を自由に変更することができる。
In addition, the network
レポート作成部233は、マルウェアのネットワーク上での活動(例えば、ネットワーク探索、遠隔操作、感染拡大)の様子を時系列で示すレポートを生成する。具体的には、レポート作成部233は、通信履歴受信部21が通信機器30の通信パケットの通信履歴を受けているため、マルウェアの活動を時系列に沿って示すレポートを作成することができる。また、レポート作成部233は、作成したレポートをレポート出力部234に出力する。レポート出力部234は、通常のディスプレイ等で構成することができる。なお、レポート出力部234がディスプレイであるものとして説明するが、これは例示であり、本発明を限定するものではない。レポート出力部234は、例えば、不正通信監視装置20Aとは別体の外部装置(図示しない)に設けられていてもよい。この場合、不正監視装置20Aは、レポート作成部233によって作成されたネットワーク図を外部装置に送信する。そして、外部装置は、ネットワーク図をユーザに対して表示する。なお、外部装置に特に制限はないが、例えば、パソコン、スマートフォン、タブレット端末で実現することができる。
The
図5は、レポート作成部233が作成するレポートの一例を示す図である。
FIG. 5 is a diagram showing an example of a report created by the
図5に示すように、レポート作成部233は、任意の指定期間内に各通信機器で発生した通信を視覚的に示すレポートを作成することができる。図5に示すレポートには、送信元の端末のIPアドレス、送信先のIPアドレス、日付、通信プロトコル、およびポート番号等が含まれている。ここで、レポート作成部233が作成するレポートのファイル形式に制限はなく、例えば、CSV形式やPDF形式である。
As shown in FIG. 5, the
具体的には、レポート作成部233は、各通信機器で発生した通信について通信プロトコルごとに区別して表示することができる。図5においては、TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)、ICMP(Internet Control Message Protocol)、およびその他の通信プロトコルをユーザが区別できるように表示されている。また、それぞれの通信プロトコルには、その通信の際に使用したポート番号が併記されている。また、図5に示すレポートにおいては、セグメント内の通信を実線で表し、セグメント外の通信を破線で表すことで、その通信がセグメント内外の通信かユーザが一目で判断できるようになっている。なお、図5においては、セグメント外の通信を破線で表しているが、これは例示であり、本発明を限定するものではない。セグメント外の通信を表す表現は、セグメント内の通信と区別できる表現であればよく、セグメント内の通信を表す表現と線種や色等を変えればよい。図5には、セグメント外の通信として、1月20日に、端末「192.168.1.10」が送信先「10.11.244.80」に対し、ポート番号80を使用して通信したことが示されている。また、図5には、セグメント内の通信として、1月21日に、端末「192.168.1.11」が送信先「192.168.1.100」に対し、ポート番号80を使用して通信したことが示されている。すなわち、図5に示すレポートにおいては、ユーザは、プロトコル、ポート番号、IPアドレス等で送信先の絞込が可能となる。なお、レポート生成部233は、それぞれの送付先との通信に関して、ポート番号ごとに別行に分けたレポートを生成することも可能であり、1つの枠内に複数のポート番号を表示することも可能である。
Specifically, the
図5における不正通信について説明する。不正通信として、端末とサーバとの通信のような通常の通信ではなく、例えば、端末と端末との間を直接的に通信するような通常では発生しない通信をユーザに通知する。このような通信は、図5においては、送信先「192.168.1.59」を端末とした場合、1月21日および1月22日に発生した端末「192.168.1.10」と、送信先「192.168.1.59」との間の通信が不正通信となる。また、通常使用されることのないプロトコルによる通信や、通常使用されることのないポート番号を使用した通信も不正通信となる。図5においては、1月21日に発生した端末「192.168.1.13」と送信先「12.253.14.29」へのその他の通信(ARP(Address Resolution Protocol),DHCP(Dynamic Host Configuration Protocol)等)が不正通信となる。同様に、1月22日に発生した端末「192.168.1.13」と送信先「12.253.14.29」へのその他の通信(ARP,DHCP等)が不正通信となる。 The unauthorized communication in FIG. 5 will be described. As illegal communication, the user is notified of communication that does not normally occur, such as direct communication between terminals, instead of normal communication such as communication between terminals and servers. In FIG. 5, such communication occurs on January 21st and January 22nd, when the destination "192.168.1.59" is the terminal, the terminal "192.168.1.10". And the communication between the destination "192.168.1.59" is illegal communication. In addition, communication using a protocol that is not normally used and communication using a port number that is not normally used are also illegal communications. In FIG. 5, other communications (ARP (Address Resolution Protocol), DHCP (Dynamic)) to the terminal “192.168.1.13” and the destination “12.253.14.29” that occurred on January 21st. Host Configuration Protocol), etc.) is illegal communication. Similarly, other communications (ARP, DHCP, etc.) to the terminal "192.168.1.13" and the destination "12.253.14.29" that occurred on January 22 are illegal communications.
図6を参照し、不正通信をユーザに対して示す方法について説明する。図6はユーザに対しユーザに不正通信を示したレポートの一例である。 A method of showing unauthorized communication to the user will be described with reference to FIG. FIG. 6 is an example of a report showing the user unauthorized communication to the user.
レポート作成部233は、正常な通信と、不正通信とをユーザが判別できるように、例えば、不正通信を正常な通信とは異なる色や形状で表示したレポートを生成する。図6においては、不正な通信を塗りつぶして表示している。また、レポート作成部233は、不正通信を抽出し、抽出した不正通信のみからなるレポートを別途生成してもよい。
The
[不正通信監視システム100の動作]
次に、不正通信監視システム100の動作の流れについて説明する。図7は、不正通信監視システム100において、通信履歴収集装置10の動作の流れを示すフローチャートである。
[Operation of unauthorized communication monitoring system 100]
Next, the operation flow of the unauthorized
通信履歴収集装置10において、まず、通信パケット受信部11は、通信機器30から通信パケットの通信履歴を受ける(ステップS201)。次いで、通信パケット受信部11は、通信パケットのうち、マルウェアが発生させた不正な通信を解析するために必要な部分までを抽出し、抽出した部分に基づいて、通信履歴データを生成する(ステップS202)。次いで、通信履歴送信部12は、通信履歴データを不正通信監視装置20Aに送信する(ステップS203)。
In the communication
図8は、不正通信監視システム100において、不正通信監視装置20Aの動作の流れを示すフローチャートである。
FIG. 8 is a flowchart showing an operation flow of the unauthorized
不正通信監視装置20Aにおいて、まず、通信履歴受信部21は、通信履歴データを通信履歴送信部12から受ける(ステップS301)。次いで、不正通信検出部22は、通信履歴受信部21が受けた通信履歴データを解析する(ステップS302)。そして、不正通信検出部22は、解析結果に基づいて、マルウェアが発生させた不正な通信を検出する(ステップS303)。最後に、不正通信認識部23は、ネットワークにおける不正な通信を視覚的に判断できる情報をユーザに対して出力する(ステップS304)。
In the unauthorized
[その他の実施形態]
不正通信監視システムを構成する通信履歴収集装置および不正通信監視装置は、ハードウエアによって実現してもよいし、ソフトウエアによって実現してもよい。また、商通信履歴収集装置および不正通信監視装置は、ハードウエアとソフトウエアの組み合わせによって実現してもよい。
[Other Embodiments]
The communication history collecting device and the fraudulent communication monitoring device constituting the fraudulent communication monitoring system may be realized by hardware or software. Further, the commercial communication history collecting device and the unauthorized communication monitoring device may be realized by a combination of hardware and software.
図9は、通信履歴収集装置および不正通信監視装置を構成する情報処理装置(コンピュータ)の一例を示すブロック図である。 FIG. 9 is a block diagram showing an example of an information processing device (computer) constituting a communication history collecting device and an unauthorized communication monitoring device.
図9に示すように、情報処理装置200は、制御部(CPU:Central Processing Unit)210と、記憶部220と、ROM(Read Only Memory)230と、RAM(Random Access Memory)240と、通信インターフェース250と、ユーザインターフェース260とを備えている。
As shown in FIG. 9, the
制御部(CPU)210は、記憶部220またはROM230に格納されたプログラムをRAM240に展開して実行することで、通信履歴収集装置および不正通信監視装置の各種の機能を実現することができる。また、制御部(CPU)210は、データ等を一時的に格納できる内部バッファを備えていてもよい。
The control unit (CPU) 210 can realize various functions of the communication history collecting device and the unauthorized communication monitoring device by expanding the program stored in the
記憶部220は、各種のデータを保持できる大容量の記憶媒体であって、HDD(Hard Disk Drive)、およびSSD(Solid State Drive)等の記憶媒体で実現することができる。また、記憶部220は、情報処理装置200が通信インターフェース250を介して通信ネットワークと接続されている場合には、通信ネットワーク上に存在するクラウドストレージであってもよい。また、記憶部220は、制御部(CPU)210が読み取り可能なプログラムを保持していてもよい。
The
ROM230は、記憶部220と比べると小容量なフラッシュメモリ等で構成できる不揮発性の記憶装置である。また、ROM230は、制御部(CPU)210が読み取り可能なプログラムを保持していてもよい。なお、制御部(CPU)210が読み取り可能なプログラムは、記憶部220およびROM230の少なくとも一方が保持していればよい。
The
なお、制御部(CPU)210が読み取り可能なプログラムは、コンピュータが読み取り可能な様々な記憶媒体に非一時的に格納した状態で、情報処理装置200に供給してもよい。このような記憶媒体は、例えば、磁気テープ、磁気ディスク、光磁気ディスク、CD−ROM、CD−R、CD−R/W、半導体メモリである。
The program that can be read by the control unit (CPU) 210 may be supplied to the
RAM240は、DRAM(Dynamic Random Access Memory)およびSRAM(Static Random Access Memory)等の半導体メモリであり、データ等を一時的に格納する内部バッファとして用いることができる。
The
通信インターフェース250は、有線または無線を介して、情報処理装置200と、通信ネットワークとを接続するインターフェースである。
The
ユーザインターフェース260は、例えば、ディスプレイ等の表示部、およびキーボード、マウス、タッチパネル等の入力部である。
The
以上、本発明の実施の形態について説明したが、本発明は、上記した実施の形態に限られない。本発明は、実施の形態の一部または全部を適宜組み合わせた形態、その形態に適宜変更を加えた形態をも含む。 Although the embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments. The present invention also includes a form in which a part or all of the embodiments are appropriately combined, and a form in which the embodiment is appropriately modified.
上記の実施の形態の一部又は全部は、以下の付記のようにも記載され得るが以下には限られない。 Some or all of the above embodiments may also be described, but not limited to:
[付記1]
ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける通信履歴受信部と、
前記通信パケットの通信履歴に基づいて、前記端末−前記通信機器間および前記通信機器−前記通信機器間で生じたマルウェアが発生させた不正通信を検出する不正通信検出部と、を備える不正通信監視装置。
[Appendix 1]
A communication history receiver that receives the communication history of communication packets sent and received between terminals and communication devices and between communication devices and communication devices that make up the network.
Unauthorized communication monitoring including an unauthorized communication detection unit that detects unauthorized communication generated by malware generated between the terminal and the communication device and between the communication device and the communication device based on the communication history of the communication packet. apparatus.
[付記2]
前記不正通信検出部は、前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、前記マルウェアが発生させた不正な通信を解析するために必要な部分に基づいて、前記不正通信を検出する付記1に記載の不正通信監視装置。
[Appendix 2]
The fraudulent communication detection unit detects the fraudulent communication from the beginning of the communication packet in the communication history of the communication packet based on a part necessary for analyzing the fraudulent communication generated by the malware. The unauthorized communication monitoring device according to
[付記3]
前記不正通信検出部の検出結果に基づいて、前記ネットワークにおける通信の様子を視覚的に表示する不正通信認識部を備える付記1または2に記載の不正通信監視装置。
[Appendix 3]
The fraudulent communication monitoring device according to
[付記4]
前記不正通信認識部は、前記ネットワークで発生した通信の様子を示したネットワーク図を生成するネットワーク生成部を有する付記3に記載の不正通信監視装置。
[Appendix 4]
The unauthorized communication monitoring device according to Appendix 3, wherein the unauthorized communication recognition unit includes a network generation unit that generates a network diagram showing a state of communication generated in the network.
[付記5]
前記不正通信認識部は、前記マルウェアのネットワーク上での活動の様子を時系列で示すレポートを作成するレポート作成部を有する付記3または4に記載の不正通信監視装置。
[Appendix 5]
The unauthorized communication monitoring device according to Appendix 3 or 4, wherein the unauthorized communication recognition unit has a report creation unit that creates a report showing the state of activity of the malware on the network in chronological order.
[付記6]
ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受けて、
前記通信パケットの通信履歴に基づいて、前記端末−前記通信機器間および前記通信機器−前記通信機器間で生じたマルウェアが発生させた不正通信を検出する不正通信監視方法。
[Appendix 6]
Receives the communication history of communication packets sent and received between terminals and communication devices and between communication devices and communication devices that make up the network.
A fraudulent communication monitoring method for detecting fraudulent communication generated by malware generated between the terminal and the communication device and between the communication device and the communication device based on the communication history of the communication packet.
[付記7]
前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、前記マルウェアが発生させた不正な通信を解析するために必要な部分に基づいて、前記不正通信を検出する付記6に記載の不正通信監視方法。
[Appendix 7]
The unauthorized communication according to Appendix 6 that detects the unauthorized communication based on the portion of the communication history of the communication packet necessary for analyzing the unauthorized communication generated by the malware from the beginning of the communication packet. Monitoring method.
[付記8]
前記不正通信検出部の検出結果に基づいて、前記ネットワークにおける通信の様子を視覚的に表示する付記6または7に記載の不正通信監視方法。
[Appendix 8]
The unauthorized communication monitoring method according to
[付記9]
前記ネットワークで発生した通信の様子を示したネットワーク図を生成するネットワーク生成部を有する付記8に記載の不正通信監視方法。
[Appendix 9]
The method for monitoring unauthorized communication according to Appendix 8, which has a network generator that generates a network diagram showing the state of communication generated in the network.
[付記10]
前記マルウェアのネットワーク上での活動の様子を時系列で示すレポートを作成する付記8または9に記載の不正通信監視方法。
[Appendix 10]
The method for monitoring unauthorized communication according to Appendix 8 or 9, which creates a report showing the state of activity of the malware on the network in chronological order.
[付記11]
コンピュータに、
ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける処理と、
前記通信パケット通信履歴に基づいて、マルウェアが発生させた不正な通信を検出する処理と、を実行させる不正通信監視プログラム。
[付記12]
前記コンピュータに、
前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、前記マルウェアが発生させた不正な通信を解析するために必要な部分に基づいて、前記不正通信を検出する処理を実行させる付記11に記載の不正通信監視プログラム。
[Appendix 11]
On the computer
Processing to receive the communication history of communication packets sent and received between terminals and communication devices and between communication devices and communication devices that make up the network.
A fraudulent communication monitoring program that executes a process of detecting fraudulent communication generated by malware based on the communication packet communication history.
[Appendix 12]
On the computer
In
[付記13]
前記コンピュータに、
前記不正通信検出部の検出結果に基づいて、前記ネットワークにおける通信の様子を視覚的に表示する処理を実行させる付記11または12に記載の不正通信監視プログラム。
[Appendix 13]
On the computer
The unauthorized communication monitoring program according to
[付記14]
前記コンピュータに、
前記ネットワークで発生した通信の様子を示したネットワーク図を生成する処理を実行させる付記13に記載の不正通信監視プログラム。
[Appendix 14]
On the computer
The unauthorized communication monitoring program according to
[付記15]
前記コンピュータに、
前記マルウェアのネットワーク上での活動の様子を時系列で示すレポートを作成する処理を実行させる付記13または14に記載の不正通信監視プログラム。
[Appendix 15]
On the computer
The unauthorized communication monitoring program according to
[付記16]
通信履歴収集装置と、不正通信監視装置とを含み、
前記通信履歴収集装置は、
通信機器が送受信した通信パケットのうち、前記通信パケットの先頭から、前記マルウェアが発生させた不正な通信を解析するために必要な部分に関する情報に基づいて通信履歴を生成する通信パケット受信部と、
前記通信履歴を前記不正通信装置に送信する通信履歴送信部と、を備え、
前記不正通信監視装置は、
前記通信履歴を受ける通信履歴受信部と、
前記通信履歴を解析し、マルウェアが発生させた不正な通信を検出する不正通信検出部と、を備える不正通信監視システム。
[Appendix 16]
Including a communication history collection device and an unauthorized communication monitoring device,
The communication history collecting device is
A communication packet receiver that generates a communication history from the beginning of the communication packet sent / received by the communication device based on information about a part necessary for analyzing an unauthorized communication generated by the malware.
A communication history transmission unit that transmits the communication history to the unauthorized communication device is provided.
The unauthorized communication monitoring device is
The communication history receiving unit that receives the communication history and
An unauthorized communication monitoring system including an unauthorized communication detection unit that analyzes the communication history and detects unauthorized communication generated by malware.
10・・・通信履歴収集装置
11・・・通信パケット受信部
12・・・通信履歴送信部
20,20A・・・不正通信監視装置
21・・・通信履歴受信部
22・・・不正通信検出部
23・・・不正通信認識部
30・・・通信機器
31・・・第1の外部機器
32・・・第2の外部機器
33・・・第3の外部機器
41・・・第1の通信
42・・・第2の通信
43・・・第3の通信
231・・・ネットワーク図作成部
232・・・ネットワーク画面表示部
233・・・レポート作成部
234・・・レポート出力部
10 ... Communication
Claims (8)
前記通信パケットの通信履歴に基づいて、前記端末−前記通信機器間および前記通信機器−前記通信機器間で生じたマルウェアが発生させた不正通信を検出する不正通信検出部と、を備え、
前記不正通信検出部は、前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて、前記不正通信を検出する不正通信監視装置。 A communication history receiver that receives the communication history of communication packets sent and received between terminals and communication devices and between communication devices and communication devices that make up the network.
A fraudulent communication detection unit that detects malicious communication generated by malware generated between the terminal and the communication device and between the communication device and the communication device based on the communication history of the communication packet is provided .
The fraudulent communication detection unit is based on information in the range from the beginning of the communication packet to a portion determined according to the communication protocol used for communication of the communication packet in the communication history of the communication packet. Unauthorized communication monitoring device that detects communication.
前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて、前記端末−前記通信機器間および前記通信機器−前記通信機器間で生じたマルウェアが発生させた不正通信を検出する不正通信監視方法。 Receives the communication history of communication packets sent and received between terminals and communication devices and between communication devices and communication devices that make up the network.
Based on the information in the range from the beginning of the communication packet to the part determined according to the communication protocol used for the communication of the communication packet in the communication history of the communication packet, the terminal and the communication device and the communication device are described. Communication device-A method for monitoring unauthorized communication that detects unauthorized communication generated by malware generated between the communication devices.
ネットワークを構成する端末−通信機器間および通信機器−通信機器間で送受信された通信パケットの通信履歴を受ける処理と、
前記通信パケットの通信履歴のうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて、マルウェアが発生させた不正な通信を検出する処理と、を実行させる不正通信監視プログラム。 On the computer
Processing to receive the communication history of communication packets sent and received between terminals and communication devices and between communication devices and communication devices that make up the network.
Unauthorized communication generated by malware is performed based on the information in the communication history of the communication packet from the beginning of the communication packet to the part determined according to the communication protocol used for the communication of the communication packet. Unauthorized communication monitoring program that detects and executes unauthorized communication monitoring programs.
前記通信履歴収集装置は、
通信機器が送受信した通信パケットのうち、前記通信パケットの先頭から、当該通信パケットの通信に用いられた通信プロトコルに応じて定まる箇所までの範囲の情報に基づいて通信履歴を生成する通信パケット受信部と、
前記通信履歴を前記不正通信監視装置に送信する通信履歴送信部と、を備え、
前記不正通信監視装置は、
前記通信履歴を受ける通信履歴受信部と、
前記通信履歴を解析し、マルウェアが発生させた不正な通信を検出する不正通信検出部
と、を備える不正通信監視システム。 Including a communication history collection device and an unauthorized communication monitoring device,
The communication history collecting device is
A communication packet receiver that generates a communication history based on information in the range from the beginning of the communication packet sent / received by the communication device to a part determined according to the communication protocol used for the communication of the communication packet. When,
A communication history transmission unit that transmits the communication history to the unauthorized communication monitoring device is provided.
The unauthorized communication monitoring device is
The communication history receiving unit that receives the communication history and
An unauthorized communication monitoring system including an unauthorized communication detection unit that analyzes the communication history and detects unauthorized communication generated by malware.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017052563A JP6860161B2 (en) | 2017-03-17 | 2017-03-17 | Unauthorized communication monitoring device, unauthorized communication monitoring method, unauthorized communication monitoring program, and unauthorized communication monitoring system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017052563A JP6860161B2 (en) | 2017-03-17 | 2017-03-17 | Unauthorized communication monitoring device, unauthorized communication monitoring method, unauthorized communication monitoring program, and unauthorized communication monitoring system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018157373A JP2018157373A (en) | 2018-10-04 |
JP6860161B2 true JP6860161B2 (en) | 2021-04-14 |
Family
ID=63718314
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017052563A Active JP6860161B2 (en) | 2017-03-17 | 2017-03-17 | Unauthorized communication monitoring device, unauthorized communication monitoring method, unauthorized communication monitoring program, and unauthorized communication monitoring system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6860161B2 (en) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007013262A (en) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | Program, method and apparatus for worm determination |
JP4713524B2 (en) * | 2007-03-13 | 2011-06-29 | 株式会社Kddi研究所 | IP address visualization device, program, and recording medium |
JP5476578B2 (en) * | 2009-01-06 | 2014-04-23 | 独立行政法人情報通信研究機構 | Network monitoring system and method |
CN105027510B (en) * | 2013-02-21 | 2018-06-12 | 日本电信电话株式会社 | Network monitoring device and network monitoring method |
JP6441725B2 (en) * | 2015-03-26 | 2018-12-19 | 株式会社エヌ・ティ・ティ・データ | Network information output system and network information output method |
US9792169B2 (en) * | 2015-07-29 | 2017-10-17 | Quest Software Inc. | Managing alert profiles |
-
2017
- 2017-03-17 JP JP2017052563A patent/JP6860161B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018157373A (en) | 2018-10-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10440049B2 (en) | Network traffic analysis for malware detection and performance reporting | |
US9853988B2 (en) | Method and system for detecting threats using metadata vectors | |
US10135862B1 (en) | Testing security incident response through automated injection of known indicators of compromise | |
JP2006279930A (en) | Method and device for detecting and blocking unauthorized access | |
US9660833B2 (en) | Application identification in records of network flows | |
CN104601570A (en) | Network security monitoring method based on bypass monitoring and software packet capturing technology | |
CN101505247A (en) | Detection method and apparatus for number of shared access hosts | |
US11777971B2 (en) | Bind shell attack detection | |
EP3657371A1 (en) | Information processing device, information processing method, and information processing program | |
EP2854362A1 (en) | Software network behavior analysis and identification system | |
US10296746B2 (en) | Information processing device, filtering system, and filtering method | |
Kumar et al. | Integrating intrusion detection system with network monitoring | |
WO2019043804A1 (en) | Log analysis device, log analysis method, and computer-readable recording medium | |
JP6470201B2 (en) | Attack detection device, attack detection system, and attack detection method | |
JP4161989B2 (en) | Network monitoring system | |
US20230344846A1 (en) | Method for network traffic analysis | |
JP6860161B2 (en) | Unauthorized communication monitoring device, unauthorized communication monitoring method, unauthorized communication monitoring program, and unauthorized communication monitoring system | |
JP6067195B2 (en) | Information processing apparatus, information processing method, and program | |
KR100772177B1 (en) | Method and apparatus for generating intrusion detection event to test security function | |
CN112822204A (en) | NAT detection method, device, equipment and medium | |
JP7152657B2 (en) | Monitoring device, monitoring method and monitoring program | |
JP6228616B2 (en) | Communication monitoring apparatus and communication monitoring method | |
US9015300B2 (en) | Method, computer program product, and device for network reconnaissance flow identification | |
KR102156600B1 (en) | System and method for creating association between packets collected in network and processes in endpoint computing device | |
WO2019064580A1 (en) | Information processing device, information processing system, security assessment method, and security assessment program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200212 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20201120 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201202 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201214 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210224 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210318 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6860161 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |