JP7028559B2 - 攻撃検知システム、攻撃検知方法および攻撃検知プログラム - Google Patents
攻撃検知システム、攻撃検知方法および攻撃検知プログラム Download PDFInfo
- Publication number
- JP7028559B2 JP7028559B2 JP2017011522A JP2017011522A JP7028559B2 JP 7028559 B2 JP7028559 B2 JP 7028559B2 JP 2017011522 A JP2017011522 A JP 2017011522A JP 2017011522 A JP2017011522 A JP 2017011522A JP 7028559 B2 JP7028559 B2 JP 7028559B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- log information
- attack detection
- event
- degree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、攻撃検知システム、攻撃検知方法および攻撃検知プログラムに関する。
近年、ネットワークを通じて行われるサイバー攻撃の脅威はますます増しており、入口を防御する多層防御に加え、攻撃が成功することによって、企業網内の端末が感染してしまう場合を前提としたセキュリティ対策の重要性が増している。
このようなセキュリティ対策に関する技術として、例えば、セキュリティアプライアンス等からのログが集積されるSIEM(Security Information and Event Management)基盤を用いて、感染端末が行う通信を検知する技術が知られている。
しかしながら、従来のセキュリティ対策に関する技術では、二次感染や情報漏洩などの被害を迅速に防ぐことができず、被害の拡大を防ぐことができない場合があるという課題があった。例えば、従来のセキュリティ対策に関する技術では、感染端末の行う不正な通信を検知するのみで、端末への感染自体は成功しているため、不正な通信が検知されてから対処を行うまでに時間が掛かることにより、二次感染や情報漏洩などの被害を迅速に防ぐことができず、被害の拡大を防ぐことが難しいという問題があった。
上述した課題を解決し、目的を達成するために、本発明の攻撃検知システムは、セキュリティアプライアンスおよびネットワーク機器から各通信イベントに関するログ情報を取得する取得部と、前記取得部によって取得されたログ情報の相関分析を行い、前記ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントを抽出する抽出部と、前記抽出部によって抽出された通信イベントに関するログ情報に対して前記相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する計算部と、前記計算部によって計算されたリスクの度合いが所定の閾値以上である場合には、特定の端末の通信に対して所定の対処を行う旨を所定の装置に指示する指示部と、を備えることを特徴とする。
また、本発明の攻撃検知方法は、攻撃検知システムによって実行される攻撃検知方法であって、セキュリティアプライアンスおよびネットワーク機器から各通信イベントに関するログ情報を取得する取得工程と、前記取得工程によって取得されたログ情報の相関分析を行い、前記ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントを抽出する抽出工程と、前記抽出工程によって抽出された通信イベントに関するログ情報に対して前記相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する計算工程と、前記計算工程によって計算されたリスクの度合いが所定の閾値以上である場合には、特定の端末の通信に対して所定の対処を行う旨を所定の装置に指示する指示工程と、を含んだことを特徴とする。
また、本発明の攻撃検知プログラムは、セキュリティアプライアンスおよびネットワーク機器から各通信イベントに関するログ情報を取得する取得ステップと、前記取得ステップによって取得されたログ情報の相関分析を行い、前記ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントを抽出する抽出ステップと、前記抽出ステップによって抽出された通信イベントに関するログ情報に対して前記相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する計算ステップと、前記計算ステップによって計算されたリスクの度合いが所定の閾値以上である場合には、特定の端末の通信に対して所定の対処を行う旨を所定の装置に指示する指示ステップと、をコンピュータに実行させることを特徴とする。
本発明によれば、二次感染や情報漏洩などの被害を迅速に防ぐことで、被害の拡大を防ぐことができるという効果を奏する。
以下に、本願に係る攻撃検知システム、攻撃検知方法および攻撃検知プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る攻撃検知システム、攻撃検知方法および攻撃検知プログラムが限定されるものではない。
(第1の実施形態)
図1は、第1の実施形態に係る攻撃検知装置を含む通信システムの構成の一例を示す概略図である。図1に例示するように、第1の実施形態に係る通信システム100は、攻撃検知装置10と、クライアント拠点内におけるセキュリティアプライアンス20、ネットワーク機器30、クライアント端末40A、40B、コントローラ50、GW(Gateway)60および管理者端末70と、インターネット80上のサーバ90とで構成される。なお、図1に示す構成は一例にすぎず、具体的な構成や各装置の数は特に限定されない。また、クライアント端末40A、40Bについて、特に区別なく説明する場合には、適宜クライアント端末40と記載する。
図1は、第1の実施形態に係る攻撃検知装置を含む通信システムの構成の一例を示す概略図である。図1に例示するように、第1の実施形態に係る通信システム100は、攻撃検知装置10と、クライアント拠点内におけるセキュリティアプライアンス20、ネットワーク機器30、クライアント端末40A、40B、コントローラ50、GW(Gateway)60および管理者端末70と、インターネット80上のサーバ90とで構成される。なお、図1に示す構成は一例にすぎず、具体的な構成や各装置の数は特に限定されない。また、クライアント端末40A、40Bについて、特に区別なく説明する場合には、適宜クライアント端末40と記載する。
攻撃検知装置10は、SIEM分析エンジンが適用されたサーバ装置である。攻撃検知装置10は、例えば、SIEM分析エンジンにより通信のログ情報を分析して攻撃の痕跡を発見する等のログ分析サービスを提供する。
図1の例では、攻撃検知装置10は、防御対象であるクライアント拠点内のセキュリティアプライアンス20やネットワーク機器30からログ情報を収集してSIEM分析エンジンで分析し、クライアント拠点内のクライアント端末40に対するリスクを把握し、該リスクに応じて特定のクライアント端末40の通信を制御する。
例えば、攻撃検知装置10は、ログ情報を分析した結果、クライアント拠点内でマルウェアに感染したクライアント端末40を検出した場合には、該クライアント端末40の通信を、SDN(Software Defined Network)技術を用いて自動的に遮断する。また、攻撃検知装置10は、悪性な通信先を検出した場合には、該悪性な通信先に対するクライアント端末40の通信を遮断する。このように、攻撃検知装置10は、クライアント拠点内のリスクを把握し、真のリスクが検知された場合には迅速に通信を遮断し、被害の拡大を防ぐことができる。また、攻撃検知装置10は、リスクの真偽判定が難しい場合には、精密検査に回して追加で詳細なログを取得し、精密検査の結果を踏まえて再分析を行うようにしてもよい。
セキュリティアプライアンス20は、クライアント端末40に対する不正アクセスやウィルスによる攻撃を防ぐ機器であり、例えば、IPS(Intrusion Protection System)やIDS(Intrusion Detection System)、UTM(Unified Threat Management)等である。
ネットワーク機器30は、クライアント端末40の通信を中継する機器であり、例えば、ルータやファイアウォール、Proxyサーバ、SDN対応スイッチ等である。なお、以下の説明では、ネットワーク機器30の例として、SDN対応スイッチ30Aを用いて適宜説明する。
クライアント端末40A、40Bは、クライアント拠点に設置された端末装置であり、例えば、企業網における従業員等が使用するPC(Personal Computer)等の端末である。クライアント端末40A、40Bは、例えば、Webサイトにアクセスする等の際には、セキュリティアプライアンス20やネットワーク機器30、GW60を介してインターネット80上のサーバ90との間で通信を行う。
コントローラ50は、ネットワーク機器30を制御する装置である。例えば、コントローラ50は、特定のクライアント端末40Aの通信を遮断する旨の指示を攻撃検知装置10から受信すると、クライアント端末40Aと接続するネットワーク機器30に対して、クライアント端末40Aの通信を遮断するように制御する。なお、以下の説明では、コントローラ50の例として、SDN対応スイッチ30Aを制御するSDNコントローラ50Aを用いて適宜説明する。
GW60は、クライアント拠点において、インターネット80との境界に配置される中継装置である。管理者端末70は、クライアント拠点を管理する管理者の端末装置である。管理者端末70では、管理者の操作に応じて、攻撃検知装置10から通知された分析結果や遮断されたクライアント端末40の情報等を表示したり、クライアント端末40の遮断を解除する指示をコントローラ50に通知したりする。
サーバ90は、クライアント端末40と通信を行うインターネット80上のサーバ装置であって、例えば、WebサーバやC&C(Command and Control)サーバ等である。
このような通信システム100において、第1の実施形態に係る攻撃検知装置10は、防御対象であるクライアント拠点におけるセキュリティアプライアンス20およびネットワーク機器30から各通信イベントに関するログ情報を取得する。
そして、攻撃検知装置10は、取得したログ情報の相関分析を行い、ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントを抽出し、抽出した通信イベントに関するログ情報に対して相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する。続いて、攻撃検知装置10は、リスクの度合いが所定の閾値以上である場合には、クライアント端末40の通信を遮断する旨をコントローラ50に指示する。
つまり、攻撃検知装置10は、例えば、ログの相関分析の結果から、特に重大なインシデントにつながる可能性がある通信イベントを抽出し、通信イベントの脅威度を判別し、真に危険なイベントと判別された場合には感染したクライアント端末40をネットワークからSDN技術を用いて自動的に遮断したり、特定の宛先に対する通信を遮断したりする。
[攻撃検知装置の構成]
次に、図2を用いて、図1に示した攻撃検知装置10の構成を説明する。図2は、第1の実施形態に係る攻撃検知装置の構成例を示すブロック図である。図2に示すように、この攻撃検知装置10は、通信処理部11、入力部12、出力部13、制御部14および記憶部15を有する。以下に攻撃検知装置10が有する各部の処理を説明する。なお、攻撃検知装置10の各機能は、攻撃検知システムとして複数の装置が分散して保持してもよい。
次に、図2を用いて、図1に示した攻撃検知装置10の構成を説明する。図2は、第1の実施形態に係る攻撃検知装置の構成例を示すブロック図である。図2に示すように、この攻撃検知装置10は、通信処理部11、入力部12、出力部13、制御部14および記憶部15を有する。以下に攻撃検知装置10が有する各部の処理を説明する。なお、攻撃検知装置10の各機能は、攻撃検知システムとして複数の装置が分散して保持してもよい。
通信処理部11は、接続されるセキュリティアプライアンス20やネットワーク機器30、コントローラ50、管理者端末70との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部11は、セキュリティアプライアンス20およびネットワーク機器30から通信ログを受信する。また、例えば、通信処理部11は、コントローラ50に対して、特定のクライアント端末40Aの通信を遮断する旨の指示を送信する。また、通信処理部11は、管理者端末70に対して、攻撃検知装置10から通知された分析結果や遮断されたクライアント端末40の情報を送信する。
入力部12は、キーボードやマウスなどの入力デバイスであり、管理者から各種情報の入力操作を受付ける。出力部13は、ディスプレイなどの出力デバイスであり、各種情報を出力する。
また、記憶部15は、制御部14による各種処理に必要なデータおよびプログラムを格納するが、特に本発明に密接に関連するものとしては、ログ情報記憶部15aを有する。例えば、記憶部15は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
ログ情報記憶部15aは、後述する取得部14aによって取得されたログ情報を記憶する。ここで、図3および図4を用いて、ログ情報記憶部15aが記憶するログ情報の具体例について説明する。図3および図4は、ログ情報記憶部が記憶するテーブルの一例を示す図である。図3に例示するログ情報が、ネットワーク機器30から取得されたログ情報の一例であり、図4に例示するログ情報が、セキュリティアプライアンス20から取得されたログ情報の一例である。
図3に例示するように、ログ情報記憶部15aは、ネットワーク機器30から取得されたログ情報の項目として、通信に関するログが出力された日時を示す「日時」と、通信の送信元IPアドレスを示す「送信元IPアドレス」と、通信の宛先IPアドレスを示す「宛先IPアドレス」と、通信の送信元のポート番号を示す「送信元ポート」と、通信の宛先のポート番号を示す「宛先ポート」と、通信のプロトコル情報を示す「プロトコル」と、通信に対するネットワーク機器30の挙動を示す「判定」と、通信におけるアクセス先URLを示す「URL」と、通信で用いられるUserAgent名を示す「UserAgent」と、通信におけるHTTPプロトコルのメソッド名を示す「メソッド」と、通信における送信バイト数を示す「送信バイト数」と、通信における受信バイト数を示す「受信バイト数」とを記憶する。
また、図4に例示するように、ログ情報記憶部15aは、セキュリティアプライアンス20から取得されたログ情報の項目として、「日時」と、「送信元IPアドレス」と、「宛先IPアドレス」と、「送信元ポート」と、「宛先ポート」と、「プロトコル」と、「判定」と、ログの検知理由を示す「検知名」と、ログのリスクの高さを表す「脅威度」と、ログの検知の種類カテゴリを示す「カテゴリ」とを記憶する。このように、セキュリティアプライアンス20から取得されたログ情報には、セキュリティアプライアンス20側で不正通信を検知した検知結果等が含まれている。
制御部14は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、取得部14a、抽出部14b、計算部14cおよび指示部14dを有する。ここで、制御部14は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
取得部14aは、セキュリティアプライアンス20およびネットワーク機器30から各通信イベントに関するログ情報を取得する。具体的には、取得部14aは、防御対象のクライアント拠点におけるセキュリティアプライアンス20およびネットワーク機器30からクライアント端末40の通信に関するログ情報を取得し、取得したログ情報をログ情報記憶部15aに格納する。なお、取得部14aは、ログ情報の取得タイミングとして、所定の時間間隔でログ情報を取得してもよいし、所定のイベント等をトリガとして取得してもよいし、ユーザの指示に従って取得するようにしてもよい。また、取得部14aは、クライアント端末40に含まれるエンドポイントセキュリティ製品からのログ情報をさらに取得するようにしてもよい。
抽出部14bは、取得部14aによって取得されたログ情報の相関分析を行い、ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントを抽出する。ここで、抽出部14bは、相関分析の手法として、既存の手法のいずれを用いてもよい。
具体的には、抽出部14bは、ログ情報の相関分析を行い、相関分析の結果から重大なインシデントにつながる可能性があるイベントを抽出し、計算部14cに通知する。例えば、抽出部14bは、ログ情報から各クライアント端末40の通信に関する一連の挙動を分析し、クライアント端末40がマルウェアに感染する疑いがあるイベントとして、悪性な通信先または良性と判明していない通信先と通信を行ったり、不明なファイルのダウンロードを行ったりする等の特定のイベントを抽出する。
計算部14cは、抽出部14bによって抽出された通信イベントに関するログ情報に対して相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する。ここで、計算部14cは、高度分析として、例えば、ログの時系列を考慮した分析手法や、機械学習などの技術を用いて平常時とのログの出力傾向が違うものを検知する手法等、既存の手法のいずれを用いてもよい。なお、上述した相関分析や高度分析に関する処理の一部または全部を手動やAI(Artificial Intelligence)によって実行するようにしてもよい。
指示部14dは、計算部14cによって計算されたリスクの度合いが所定の閾値以上である場合には、特定のクライアント端末40の通信に対して所定の対処を行う旨をSDNコントローラ50Aに指示する。例えば、指示部14dは、計算部14cによって計算されたリスクの度合いが所定の閾値以上である場合には、特定のクライアント端末40の通信を遮断する旨をSDNコントローラ50Aに指示する。なお、指示部14dは、特定のクライアント端末40の通信の遮断を指示する以外にも、管理者へのメール通知や警報装置の鳴動等、あらかじめ決められたアクションを行うものであってもよく、通信の遮断を指示するアクションに限られるものではない。また、指示部14dは、計算部14cによって計算されたリスクの度合いが所定の閾値未満である場合には、特定のクライアント端末40の通信が精密検査センタを経由して行われるように経路変更を行う旨をSDNコントローラ50Aに指示する。
例えば、指示部14dは、計算部14cによって計算されたリスクの度合いが所定の閾値以上であるか否かを判定する。この結果、指示部14dは、リスクの度合いが所定の閾値以上であると判定した場合には、SDNコントローラ50Aを通じて、SDN対応スイッチ60Aに対して遮断対象となるクライアント端末40の通信を遮断する旨を指示する。なお、通信を遮断するクライアント端末40を特定する情報として、送信元IPアドレスやMACアドレス等を用いてもよい。また、悪性と判断された通信先を遮断対象とする場合には、宛先IPアドレスやURLの情報を基にSDN対応スイッチ60Aもしくはセキュリティアプライアンス20にルールを追加することで、悪性と判断された通信先とクライアント端末40との通信を遮断する。
一方、指示部14dは、リスクの度合いが所定の閾値未満であると判定した場合には、現時点の情報ではクライアント端末40がマルウェアに感染していること等が断定できないため、外部の精密検査センタ(図示せず)に対して精密検査を行う旨を指示する。具体的には、指示部14dは、SDNコントローラ50Aを通じて対象の被疑端末の通信のみを、あらかじめ構築してある精密検査センタを通すように経路変更を行うように指示する。
なお、精密検査センタを常時設定していると莫大なコストが掛かり、処理のボトルネックにもなりかねないため、詳細なログを取得できる機器を別途設置してもよい。このような詳細なログを取得できる機器が有する機能として、例えば、精密検査センタは、通信に含まれるファイルを検査するSandbox機能や、通信そのものをすべて保存しておくNetwork Forensic機能や、当該端末の通信の挙動を分析する振る舞い分析機能を有するものとする。
そして、精密検査センタで一定期間被疑端末の通信の検査が行われた場合には、計算部14cは、検査の結果を精密検査センタから取得し、再度高度分析を実施して、リスクの度合いを計算する。その後、指示部14dは、計算部14cによって計算されたリスクの度合いが所定の閾値以上である場合には、クライアント端末40の通信を遮断する旨をSDNコントローラ50Aに指示する。なお、上述した指示部14dの処理の一部または全部を手動やAIによって実行するようにしてもよい。
ここで、図5を用いて、第1の実施形態に係る攻撃検知装置10がクライアント端末40Aの通信を遮断する処理を説明する。図5は、第1の実施形態に係る攻撃検知装置がクライアント端末の通信を遮断する処理を説明する図である。なお、図5の例では、クライアント拠点内のクライアント端末40Aがマルウェアに感染した場合を例として説明する。
図5に例示するように、攻撃検知装置10は、セキュリティアプライアンス20等から送信されたログ情報を定期的に取得する(図5の(1)参照)。そして、攻撃検知装置10は、ログ情報の相関分析を行い、ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントを抽出する(図5の(2)参照)。
そして、攻撃検知装置10は、抽出された通信イベントに関するログ情報に対して相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する(図5の(3)参照)。この結果、攻撃検知装置10は、計算されたリスクの度合いが所定の閾値以上である場合には、クライアント端末40Aの通信を遮断する旨をSDNコントローラ50Aに指示する(図5の(4)参照)。
SDNコントローラ50Aは、攻撃検知装置10から通信遮断の指示を受信すると、SDN対応スイッチ30Aがクライアント端末40Aの通信を遮断するように制御し(図5の(5)参照)、クライアント端末40Aの通信を遮断した実行結果を攻撃検知装置10に通知する(図5の(6)参照)。
その後、攻撃検知装置10は、クライアント端末40Aの通信を遮断した旨を管理者端末70に通知する(図5の(7)参照)。管理者端末70は、管理者の操作に応じて、詳細な分析結果等を攻撃検知装置10から取得して、管理者が分析結果等を確認できるように表示する(図5の(8)参照)。そして、管理者端末70は、管理者が解析結果等を参考に遮断を解除すると判断した場合には、SDNコントローラ50Aに対してクライアント端末40Aの通信の遮断を解除する旨を指示する(図5の(9)参照)。
[攻撃検知装置の処理手順]
次に、図6を用いて、第1の実施形態に係る攻撃検知装置10による処理手順の例を説明する。図6は、第1の実施形態に係る攻撃検知装置における攻撃検知処理の流れの一例を示すフローチャートである。
次に、図6を用いて、第1の実施形態に係る攻撃検知装置10による処理手順の例を説明する。図6は、第1の実施形態に係る攻撃検知装置における攻撃検知処理の流れの一例を示すフローチャートである。
図6に示すように、攻撃検知装置10の抽出部14bは、所定の条件を満たした場合に(ステップS101肯定)、ログ情報の相関分析を実行する(ステップS102)。この所定の条件とは、ログ情報の相関分析の実行を開始する条件であり、例えば、所定の時間間隔で実行を開始する条件を設定してもよいし、ログ情報が更新される等のイベントをトリガとして条件を設定してもよいし、ユーザの指示に従って実行する開始する条件を設定してもよい。
そして、抽出部14bは、ログ情報の相関分析を行った結果から、ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントを抽出する(ステップS103)。続いて、計算部14cは、抽出部14bによって抽出された通信イベントに関するログ情報に対して高度分析を実行し(ステップS104)、通信イベントが発生したことによるリスクの度合いを計算する(ステップS105)。
続いて、指示部14dは、計算部14cによって計算されたリスクの度合いが所定の閾値以上であるか否かを判定する(ステップS106)。この結果、指示部14dは、リスクの度合いが所定の閾値以上であると判定した場合には(ステップS106肯定)、SDNコントローラ50Aを通じて、SDN対応スイッチ30Aに対して遮断対象となるクライアント端末40の通信を遮断する指示を通知する(ステップS107)。
一方、指示部14dは、リスクの度合いが所定の閾値以上でないと判定した場合には(ステップS106否定)、現時点の情報ではクライアント端末40がマルウェアに感染していること等が断定できないため、外部の精密検査センタに対して精密検査を行う指示を通知する(ステップS108)。
(第1の実施形態の効果)
第1の実施形態に係る攻撃検知装置10は、セキュリティアプライアンス20およびネットワーク機器30から各通信イベントに関するログ情報を取得する。そして、攻撃検知装置10は、取得されたログ情報の相関分析を行い、ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントを抽出する。続いて、攻撃検知装置10は、抽出された通信イベントに関するログ情報に対して相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する。その後、攻撃検知装置10は、計算されたリスクの度合いが所定の閾値以上である場合には、特定のクライアント端末40の通信に対して所定の対処を行う旨をSDNコントローラ50Aに指示する。このため、攻撃検知装置10は、二次感染や情報漏洩などの被害を迅速に防ぐことができ、被害の拡大を防ぐことが可能である。
第1の実施形態に係る攻撃検知装置10は、セキュリティアプライアンス20およびネットワーク機器30から各通信イベントに関するログ情報を取得する。そして、攻撃検知装置10は、取得されたログ情報の相関分析を行い、ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントを抽出する。続いて、攻撃検知装置10は、抽出された通信イベントに関するログ情報に対して相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する。その後、攻撃検知装置10は、計算されたリスクの度合いが所定の閾値以上である場合には、特定のクライアント端末40の通信に対して所定の対処を行う旨をSDNコントローラ50Aに指示する。このため、攻撃検知装置10は、二次感染や情報漏洩などの被害を迅速に防ぐことができ、被害の拡大を防ぐことが可能である。
また、攻撃検知装置10は、計算されたリスクの度合いが所定の閾値以上である場合には、特定のクライアント端末40の通信を遮断する旨をSDNコントローラ50Aに指示する。このため、例えば、攻撃検知装置10は、クライアント拠点内のリスクを把握し、真のリスクが検知された場合には迅速に通信を遮断し、被害の拡大を確実に防ぐことが可能である。
また、攻撃検知装置10は、計算されたリスクの度合いが所定の閾値未満である場合には、特定のクライアント端末40の通信が精密検査センタを経由して行われるように経路変更を行う旨をSDNコントローラ50Aに指示する。このため、リスクの真偽判定が難しい場合には、精密検査に回して追加で詳細なログを取得し、精密検査の結果を踏まえて再分析を行うことができ、もれなくリスクを検知することが可能である。
また、攻撃検知装置10は、計算されたリスクの度合いが所定の閾値以上である場合には、SDNコントローラ50Aを通じて、SDN対応スイッチ30Aに対して特定のクライアント端末40の通信を遮断する旨を指示する。このため、SDN技術を利用して、真のリスクが検知された場合の対処までの時間を短縮できるため、被害の拡大を防ぐことが可能である。
(システム構成等)
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
(プログラム)
また、上記実施形態において説明した攻撃検知装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る攻撃検知装置10が実行する処理をコンピュータが実行可能な言語で記述した攻撃検知プログラムを作成することもできる。この場合、コンピュータが攻撃検知プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる攻撃検知プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された攻撃検知プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
また、上記実施形態において説明した攻撃検知装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る攻撃検知装置10が実行する処理をコンピュータが実行可能な言語で記述した攻撃検知プログラムを作成することもできる。この場合、コンピュータが攻撃検知プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる攻撃検知プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された攻撃検知プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
図7は、攻撃検知プログラムを実行するコンピュータ1000を示す図である。図7に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図7に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図7に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図7に例示するように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図7に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図7に例示するように、例えばディスプレイ1130に接続される。
ここで、図7に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の攻撃検知プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。
なお、攻撃検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、攻撃検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
10 攻撃検知装置
11 通信処理部
12 入力部
13 出力部
14 制御部
14a 取得部
14b 抽出部
14c 計算部
14d 指示部
15 記憶部
15a ログ情報記憶部
20 セキュリティアプライアンス
30 ネットワーク機器
30A SDN対応スイッチ
40、40A、40B クライアント端末
50 コントローラ
50A SDNコントローラ
60 GW
70 管理者端末
80 インターネット
90 サーバ
100 通信システム
11 通信処理部
12 入力部
13 出力部
14 制御部
14a 取得部
14b 抽出部
14c 計算部
14d 指示部
15 記憶部
15a ログ情報記憶部
20 セキュリティアプライアンス
30 ネットワーク機器
30A SDN対応スイッチ
40、40A、40B クライアント端末
50 コントローラ
50A SDNコントローラ
60 GW
70 管理者端末
80 インターネット
90 サーバ
100 通信システム
Claims (4)
- セキュリティアプライアンスおよびネットワーク機器から各通信イベントに関するログ情報を取得する取得部と、
前記取得部によって取得されたログ情報の相関分析を行い、前記ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントのみを抽出する抽出部と、
前記抽出部によって抽出された通信イベントであって、不正な通信イベントである可能性がある通信イベントに関するログ情報のみに対して前記相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する計算部と、
前記計算部によって計算されたリスクの度合いが所定の閾値以上である場合に、マルウェアに感染した特定の端末が検出された際には、該特定の端末の通信を遮断し、悪性な通信先が検出された際には、該悪性な通信先に対する各端末の通信を遮断する旨を所定の装置に指示し、前記計算部によって計算されたリスクの度合いが所定の閾値未満である場合には、特定の端末の通信が精密検査センタを経由して行われるように経路変更を行う旨を前記所定の装置に指示する指示部と、
を備えることを特徴とする攻撃検知システム。 - 前記指示部は、前記計算部によって計算されたリスクの度合いが所定の閾値以上である場合には、SDNコントローラを通じて、SDN対応スイッチに対して特定の端末の通信を遮断する旨を指示することを特徴とする請求項1に記載の攻撃検知システム。
- 攻撃検知システムによって実行される攻撃検知方法であって、
セキュリティアプライアンスおよびネットワーク機器から各通信イベントに関するログ情報を取得する取得工程と、
前記取得工程によって取得されたログ情報の相関分析を行い、前記ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントのみを抽出する抽出工程と、
前記抽出工程によって抽出された通信イベントであって、不正な通信イベントである可能性がある通信イベントに関するログ情報のみに対して前記相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する計算工程と、
前記計算工程によって計算されたリスクの度合いが所定の閾値以上である場合に、マルウェアに感染した特定の端末が検出された際には、該特定の端末の通信を遮断し、悪性な通信先が検出された際には、該悪性な通信先に対する各端末の通信を遮断する旨を所定の装置に指示し、前記計算工程によって計算されたリスクの度合いが所定の閾値未満である場合には、特定の端末の通信が精密検査センタを経由して行われるように経路変更を行う旨を前記所定の装置に指示する指示工程と、
を含んだことを特徴とする攻撃検知方法。 - セキュリティアプライアンスおよびネットワーク機器から各通信イベントに関するログ情報を取得する取得ステップと、
前記取得ステップによって取得されたログ情報の相関分析を行い、前記ログ情報に関する各通信イベントのうち、不正な通信イベントである可能性がある通信イベントのみを抽出する抽出ステップと、
前記抽出ステップによって抽出された通信イベントであって、不正な通信イベントである可能性がある通信イベントに関するログ情報のみに対して前記相関分析よりも詳細な高度分析を行い、該通信イベントが発生したことによるリスクの度合いを計算する計算ステップと、
前記計算ステップによって計算されたリスクの度合いが所定の閾値以上である場合に、マルウェアに感染した特定の端末が検出された際には、該特定の端末の通信を遮断し、悪性な通信先が検出された際には、該悪性な通信先に対する各端末の通信を遮断する旨を所定の装置に指示し、前記計算ステップによって計算されたリスクの度合いが所定の閾値未満である場合には、特定の端末の通信が精密検査センタを経由して行われるように経路変更を行う旨を前記所定の装置に指示する指示ステップと、
をコンピュータに実行させることを特徴とする攻撃検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017011522A JP7028559B2 (ja) | 2017-01-25 | 2017-01-25 | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017011522A JP7028559B2 (ja) | 2017-01-25 | 2017-01-25 | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018121218A JP2018121218A (ja) | 2018-08-02 |
| JP7028559B2 true JP7028559B2 (ja) | 2022-03-02 |
Family
ID=63044422
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017011522A Active JP7028559B2 (ja) | 2017-01-25 | 2017-01-25 | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7028559B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6636474B2 (ja) * | 2017-03-16 | 2020-01-29 | 日本電信電話株式会社 | 対処指示装置、対処指示方法、対処指示プログラム |
| JP7198617B2 (ja) * | 2018-09-21 | 2023-01-04 | 株式会社日立ハイテクソリューションズ | セキュリティシステム |
| JP2020072427A (ja) * | 2018-11-01 | 2020-05-07 | 日本電気株式会社 | ネットワークへの脅威の感染拡大を防ぐ制御装置、制御方法、システム、およびプログラム |
| US20230103084A1 (en) * | 2019-10-09 | 2023-03-30 | Nippon Telegraph And Telephone Corporation | Level estimation device, level estimation method, and level estimation program |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006319633A (ja) | 2005-05-12 | 2006-11-24 | Hitachi Ltd | ログ分析システム、分析方法及びログ分析装置 |
| WO2014129587A1 (ja) | 2013-02-21 | 2014-08-28 | 日本電信電話株式会社 | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
| JP2014236461A (ja) | 2013-06-05 | 2014-12-15 | 日本電信電話株式会社 | 遮断システム、遮断サーバ、遮断方法、およびプログラム |
| JP2015179979A (ja) | 2014-03-19 | 2015-10-08 | 日本電信電話株式会社 | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
| JP2015198301A (ja) | 2014-03-31 | 2015-11-09 | 株式会社ラック | ログ分析システム |
-
2017
- 2017-01-25 JP JP2017011522A patent/JP7028559B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006319633A (ja) | 2005-05-12 | 2006-11-24 | Hitachi Ltd | ログ分析システム、分析方法及びログ分析装置 |
| WO2014129587A1 (ja) | 2013-02-21 | 2014-08-28 | 日本電信電話株式会社 | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム |
| JP2014236461A (ja) | 2013-06-05 | 2014-12-15 | 日本電信電話株式会社 | 遮断システム、遮断サーバ、遮断方法、およびプログラム |
| JP2015179979A (ja) | 2014-03-19 | 2015-10-08 | 日本電信電話株式会社 | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
| JP2015198301A (ja) | 2014-03-31 | 2015-11-09 | 株式会社ラック | ログ分析システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018121218A (ja) | 2018-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10095866B2 (en) | System and method for threat risk scoring of security threats | |
| Holm | Signature based intrusion detection for zero-day attacks:(not) a closed chapter? | |
| JP7028559B2 (ja) | 攻撃検知システム、攻撃検知方法および攻撃検知プログラム | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| US20140359708A1 (en) | Honeyport active network security | |
| US9058488B2 (en) | Malware detection and computer monitoring methods | |
| WO2014209459A1 (en) | Interception and policy application for malicious communications | |
| US20150143454A1 (en) | Security management apparatus and method | |
| EP3337106B1 (en) | Identification system, identification device and identification method | |
| TWI407328B (zh) | 網路病毒防護方法及系統 | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
| JP6502902B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| JP4739962B2 (ja) | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| EP3252648B1 (en) | Security measure invalidation prevention device, security measure invalidation prevention method, and security measure invalidation prevention program | |
| KR101499470B1 (ko) | 악성코드 전이 탐지를 이용한 apt 공격 방어 시스템 및 그 방어 방법 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| JP6092759B2 (ja) | 通信制御装置、通信制御方法、および通信制御プログラム | |
| Canzanese et al. | Multi-channel change-point malware detection | |
| JP2005284523A (ja) | 不正侵入検出システム及び方法並びに不正侵入検出用プログラム | |
| Tsochev et al. | Some security model based on multi agent systems | |
| JP7366320B1 (ja) | 情報処理システム、情報処理方法および情報処理プログラム | |
| KR20200053255A (ko) | 공격 탐지 장치 및 방법 | |
| Szczepanik et al. | Detecting New and Unknown Malwares Using Honeynet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190726 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200625 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200707 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200907 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210209 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210326 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210720 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210910 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220125 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220217 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7028559 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |