JP7045050B2 - 通信監視システム及び通信監視方法 - Google Patents
通信監視システム及び通信監視方法 Download PDFInfo
- Publication number
- JP7045050B2 JP7045050B2 JP2017227468A JP2017227468A JP7045050B2 JP 7045050 B2 JP7045050 B2 JP 7045050B2 JP 2017227468 A JP2017227468 A JP 2017227468A JP 2017227468 A JP2017227468 A JP 2017227468A JP 7045050 B2 JP7045050 B2 JP 7045050B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- behavior
- communication monitoring
- attacker
- parallel network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
以下、本発明の実施形態としての通信監視システム100について詳細に説明する。図1は、本実施形態における通信監視システム100の一例を示す模式図である。
通信監視装置1は、インターネット4を介して、攻撃者の保有する攻撃者端末3、及び実ネットワーク2と接続される。通信監視装置1は、解析者ネットワーク6を介して、解析者の保有する解析者端末5と接続される。
環境構築部11は、実ネットワーク2を模した並行ネットワーク21を形成する。環境構築部11は、解析者が指定するマルウェア31の特徴に基づき、並行ネットワーク21を形成する。環境構築部11は、例えば複数の並行ネットワーク21を有するハイパーバイザ群20を形成してもよい。
挙動解析部12は、並行ネットワーク21上でマルウェア31を実行する。挙動解析部12は、マルウェア31を経由して並行ネットワーク21に侵入した攻撃者の挙動履歴を取得する。
入出力部14は、解析者端末5との各種通信に用いられるUI(User Interface)を形成する。UIは、例えばRuby on Rails(登録商標)により実装される。UIを介して、並行ネットワーク21上の仮想マシン21aの操作や挙動履歴を確認することができる。また、入出力部14は、解析フローを自動化するためのAPI(Application Programming Interface)を有し、例えばREST(REpresentational State Transfer)ful APIが実装される。
実ネットワーク2は、政府や企業等の組織において利用される実際のネットワークを示し、マシン2a及びネットワーク2bを有する。実ネットワーク2は、例えばプライベート及びグローバルIPアドレス、デフォルトゲートウェイ、ホスト上のアプリケーション、並びに文書を含む。
攻撃者端末3は、並行ネットワーク21内で実行されたマルウェア31を経由して侵入する攻撃者が操作する端末を示す。そのため、攻撃者端末3からの信号に基づく挙動履歴が、通信監視システム100により取得される。
インターネット4は、通信監視装置1、実ネットワーク2、及び攻撃者端末3を接続するために用いられる。インターネット4の種類や特徴は任意である。
解析者端末5は、解析者が操作する端末を示し、例えばPC等の電子機器が用いられる。解析者端末5は、通信監視装置1と接続され、入出力部14で形成されたUI等を介して、環境構築部11又は挙動解析部12の操作、挙動履歴等の取得等を実行する。例えば、解析者端末5は、上述した通信監視装置1の構成を備えてもよい。
解析者ネットワーク6は、通信監視装置1及び解析者端末5を接続するために用いられる。解析者ネットワーク6として、例えばインターネット4と独立したネットワークが用いられるほか、インターネット4の一部が用いられてもよい。
次に、本実施形態における通信監視システム100の動作について詳細に説明する。図6は、本実施形態における通信監視システム100の動作の一例を示すフローチャートである。
先ず、並行ネットワーク21を形成するための初期情報を取得する(初期情報取得手段:ステップS110)。環境構築部11は、例えば解析者が作成したレシピ51を取得する。レシピ51は、サンドボックス機器やマルウェア共有サービス等で取得されたマルウェア31の特徴や、実ネットワーク2の特徴に基づき作成される。
次に、マルウェア31の特徴に基づき、実ネットワーク2を模した仮想マシン21a及び仮想ネットワーク21bを有する並行ネットワーク21を形成する(環境構築手段:ステップS120)。環境構築部11は、例えばレシピ51に記載されたマルウェア31の特徴に基づき、並行ネットワーク21を形成する。環境構築部11は、例えばクラスターリポジトリを参照して、並行ネットワーク21を形成する。
次に、例えば環境構築部11は、実ネットワーク2と、並行ネットワーク21とを接続するワームホール22を形成してもよい(ステップS121)。環境構築部11は、例えば実ネットワーク2上に形成されたプロキシ部22aと、並行ネットワーク21上に形成されたゲート部22bとを有するワームホール22を形成する。ゲート部22bは、例えばIDS又はIPSを有してもよい。なお、環境構築部11は、ワームホール22を形成するか否かは任意である。
次に、並行ネットワーク21上でマルウェア31を実行する(ステップS130)。挙動解析部12は、例えばレシピ51を作成する際に用いたマルウェア31を、並行ネットワーク21上で実行する。
次に、マルウェア31を経由して並行ネットワーク21に侵入した攻撃者の挙動履歴を取得する(ステップS140)。例えば、第1解析部12aは、仮想ネットワーク21bから攻撃者の挙動に対応するネットワークトラフィックを取得し(第1取得手段)、仮想マシン21aから攻撃者の挙動に対応するホスト情報を取得する(第2取得手段)。挙動解析部12は、ネットワークトラフィックと、ホスト情報とに基づき、履歴情報を取得してもよい。挙動解析部12は、例えば挙動履歴を解析結果データストア13に記憶させる。
2 :実ネットワーク
2a :マシン
2b :ネットワーク
3 :攻撃者端末
4 :インターネット
5 :解析者端末
6 :解析者ネットワーク
10 :筐体
11 :環境構築部
12 :挙動解析部
12a :第1解析部
12b :第2解析部
13 :解析結果データストア
14 :入出力部
20 :ハイパーバイザ群
21 :並行ネットワーク
21a :仮想マシン
21b :仮想ネットワーク
22 :ワームホール
22a :プロキシ部
22b :ゲート部
31 :マルウェア
51 :レシピ
100 :通信監視システム
101 :CPU
102 :ROM
103 :RAM
104 :記憶部
105 :I/F
105a :第1I/F
105b :第2I/F
106 :I/F
107 :I/F
108 :入力部分
109 :出力部分
110 :内部バス
Claims (5)
- サイバー攻撃への対策を支援する通信監視システムであって、
マルウェアの特徴に基づき、実ネットワークを模した仮想マシン及び仮想ネットワークを有する並行ネットワークを形成する環境構築手段と、
前記並行ネットワーク上で前記マルウェアを実行する実行手段と、
前記マルウェアを経由して前記並行ネットワークに侵入した攻撃者の挙動履歴を取得する挙動解析手段と、
を備え、
前記環境構築手段は、前記実ネットワークと、前記並行ネットワークとを接続するワームホールを形成し、
前記挙動解析手段は、前記実ネットワークから前記ワームホールを介して前記並行ネットワークに侵入した前記攻撃者の前記挙動履歴を取得すること
を特徴とする通信監視システム。 - 前記環境構築手段は、前記挙動履歴に基づき、前記並行ネットワークを更新すること
を特徴とする請求項1記載の通信監視システム。 - 前記挙動解析手段は、
前記仮想ネットワークから前記攻撃者の挙動に対応するネットワークトラフィックを取得する第1取得手段と、
前記仮想マシンから前記攻撃者の挙動に対応するホスト情報を取得する第2取得手段と、
に基づき、前記挙動履歴を取得すること
を特徴とする請求項1又は2記載の通信監視システム。 - 前記ワームホールは、
前記並行ネットワーク内に配置され、IDS(Intrusion Detection System)又はIPS(Intrusion Prevention System)を有するゲート部と、
前記実ネットワーク内に配置されたプロキシ部と、
を有すること
を特徴とする請求項1~3の何れか1項記載の通信監視システム。 - サイバー攻撃への対策を支援する通信監視方法であって、
マルウェアの特徴に基づき、実ネットワークを模した仮想マシン及び仮想ネットワークを有する並行ネットワークを形成する環境構築ステップと、
前記並行ネットワーク上で前記マルウェアを実行する実行ステップと、
前記マルウェアを経由して前記並行ネットワークに侵入した攻撃者の挙動履歴を取得する挙動解析ステップと、
を備え、
前記環境構築ステップは、前記実ネットワークと、前記並行ネットワークとを接続するワームホールを形成し、
前記挙動解析ステップは、前記実ネットワークから前記ワームホールを介して前記並行ネットワークに侵入した前記攻撃者の前記挙動履歴を取得すること
を特徴とする通信監視方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017227468A JP7045050B2 (ja) | 2017-11-28 | 2017-11-28 | 通信監視システム及び通信監視方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017227468A JP7045050B2 (ja) | 2017-11-28 | 2017-11-28 | 通信監視システム及び通信監視方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019097133A JP2019097133A (ja) | 2019-06-20 |
JP7045050B2 true JP7045050B2 (ja) | 2022-03-31 |
Family
ID=66972151
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017227468A Active JP7045050B2 (ja) | 2017-11-28 | 2017-11-28 | 通信監視システム及び通信監視方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7045050B2 (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11444980B2 (en) | 2020-04-15 | 2022-09-13 | T-Mobile Usa, Inc. | On-demand wireless device centric security for a 5G wireless network |
US11799878B2 (en) | 2020-04-15 | 2023-10-24 | T-Mobile Usa, Inc. | On-demand software-defined security service orchestration for a 5G wireless network |
US11824881B2 (en) | 2020-04-15 | 2023-11-21 | T-Mobile Usa, Inc. | On-demand security layer for a 5G wireless network |
US11070982B1 (en) | 2020-04-15 | 2021-07-20 | T-Mobile Usa, Inc. | Self-cleaning function for a network access node of a network |
US11057774B1 (en) | 2020-05-14 | 2021-07-06 | T-Mobile Usa, Inc. | Intelligent GNODEB cybersecurity protection system |
US11115824B1 (en) | 2020-05-14 | 2021-09-07 | T-Mobile Usa, Inc. | 5G cybersecurity protection system |
US11206542B2 (en) | 2020-05-14 | 2021-12-21 | T-Mobile Usa, Inc. | 5G cybersecurity protection system using personalized signatures |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009181335A (ja) | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法および解析プログラム |
WO2016203759A1 (ja) | 2015-06-16 | 2016-12-22 | 日本電気株式会社 | 分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体 |
-
2017
- 2017-11-28 JP JP2017227468A patent/JP7045050B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009181335A (ja) | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法および解析プログラム |
WO2016203759A1 (ja) | 2015-06-16 | 2016-12-22 | 日本電気株式会社 | 分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体 |
Also Published As
Publication number | Publication date |
---|---|
JP2019097133A (ja) | 2019-06-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7045050B2 (ja) | 通信監視システム及び通信監視方法 | |
US20230065321A1 (en) | Implementing decoys in a network environment | |
US10826872B2 (en) | Security policy for browser extensions | |
US9942270B2 (en) | Database deception in directory services | |
US10567431B2 (en) | Emulating shellcode attacks | |
US9609019B2 (en) | System and method for directing malicous activity to a monitoring system | |
US9356950B2 (en) | Evaluating URLS for malicious content | |
Kumar et al. | Early detection of Mirai-like IoT bots in large-scale networks through sub-sampled packet traffic analysis | |
US9516054B2 (en) | System and method for cyber threats detection | |
RU2495486C1 (ru) | Способ анализа и выявления вредоносных промежуточных узлов в сети | |
US20170026387A1 (en) | Monitoring access of network darkspace | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
Abbasi et al. | Experiences with a generation iii virtual honeynet | |
US11681804B2 (en) | System and method for automatic generation of malware detection traps | |
Arukonda et al. | The innocent perpetrators: reflectors and reflection attacks | |
WO2016081561A1 (en) | System and method for directing malicious activity to a monitoring system | |
KR101076683B1 (ko) | 호스트 기반의 망분리 장치 및 방법 | |
US11019083B2 (en) | System for coordinating distributed website analysis | |
Kumar et al. | A secure contained testbed for analyzing IoT botnets | |
Firoz et al. | Performance optimization of layered signature based intrusion detection system using snort | |
Al-Amin et al. | Development of Cyber Attack Model for Private Network | |
Sadasivam et al. | Detection of stealthy single-source SSH password guessing attacks | |
Li et al. | IPv6: a catalyst and evasion tool for botnets and malware delivery networks | |
Alassouli | Hacking of Computer Networks | |
Brezo et al. | C&C Techniques in Botnet Development |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A80 Effective date: 20171225 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201126 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210818 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210824 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211022 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220308 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220311 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7045050 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |