JP7152657B2 - 監視装置、監視方法及び監視プログラム - Google Patents
監視装置、監視方法及び監視プログラム Download PDFInfo
- Publication number
- JP7152657B2 JP7152657B2 JP2018172125A JP2018172125A JP7152657B2 JP 7152657 B2 JP7152657 B2 JP 7152657B2 JP 2018172125 A JP2018172125 A JP 2018172125A JP 2018172125 A JP2018172125 A JP 2018172125A JP 7152657 B2 JP7152657 B2 JP 7152657B2
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- processing device
- information
- monitoring
- commands
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
初めに、情報処理システム10の構成について説明を行う。図1は、情報処理システム10の構成について説明する図である。
次に、情報処理システム10のハードウエア構成について説明する。図2は、監視装置1のハードウエア構成を説明する図である。
次に、情報処理システム10の機能について説明を行う。図3は、監視装置1の機能のブロック図である。
次に、第1の実施の形態の概略について説明する。図4は、第1の実施の形態における監視処理の概略を説明するフローチャート図である。また、図5から図7は、第1の実施の形態における監視処理の概略を説明する図である。なお、以下、図4から図7では、各公開サーバ2から取得したアクセス先情報131が予め情報格納領域130に記憶されているものとして説明を行う。
次に、第1の実施の形態の詳細について説明する。図8から図11は、第1の実施の形態における監視処理の詳細を説明するフローチャート図である。また、図12から図16は、第1の実施の形態における監視処理の詳細を説明する図である。
初めに、第1の実施の形態における監視処理のうち、各公開サーバ2からアクセス先情報131の取得を行う処理(以下、情報取得処理とも呼ぶ)について説明を行う。図8は、第1の実施の形態における情報取得処理について説明するフローチャート図である。
図12は、アクセス先情報131の具体例を説明する図である。具体的に、図12は、公開サーバ2のうちのいずれか1台(例えば、公開サーバ2a)から取得したアクセス先情報131の具体例を説明する図である。
次に、第1の実施の形態における監視処理の詳細について説明を行う。図9から図11は、第1の実施の形態における監視処理の詳細について説明するフローチャート図である。
図13は、コマンド情報132の具体例を説明する図である。具体的に、図13は、公開サーバ2のうちのいずれか1台(例えば、公開サーバ2a)から取得したコマンド情報132の具体例を説明する図である。
図14は、S31の処理で特定された情報の具体例を説明する図である。具体的に、図13で説明したコマンド情報132から特定された情報の具体例を説明する図である。
図15及び図16は、S32の処理で特定された情報の具体例を説明する図である。具体的に、図15は、図14で説明した情報から特定された情報の具体例を説明する図である。
次に、第2の実施の形態について説明する。図17から図19は、第2の実施の形態における監視処理を説明するフローチャート図である。また、図20から図22は、第2の実施の形態における監視処理を説明する図である。
図20は、コマンド情報132の具体例を説明する図である。具体的に、図20は、公開サーバ2のうちのいずれか1台(例えば、公開サーバ2a)から取得したコマンド情報132の具体例を説明する図である。
図21は、S61の処理で特定された情報の具体例を説明する図である。具体的に、図21は、図20で説明したコマンド情報132から特定された情報の具体例を説明する図である。
図22は、閾値情報133の具体例を説明する図である。
外部からのアクセスが許可されている情報処理装置を監視する監視装置であって、
前記情報処理装置によって実行された複数のコマンドを取得する取得部と、
取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定する判定部と、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する出力部と、を有する、
ことを特徴とする監視装置。
付記1において、
前記判定部は、
取得した前記複数のコマンドから、他の情報処理装置のIPアドレスが指定されている特定のコマンドを特定し、
特定した前記特定のコマンドが所定時間内に所定回数以上実行されていることを検知した場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視装置。
付記1において、さらに、
前記情報処理装置がアクセスする可能性がある他の情報処理装置の識別情報を記憶する記憶部を有し、
前記判定部は、
取得した前記複数のコマンドから、他の情報処理装置に対するアクセスを伴う特定のコマンドを特定し、
特定した前記特定のコマンドのうち、実行順序が連続する所定数のコマンドのそれぞれに対応する他の情報処理装置の第1識別情報の順序が、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の第2識別情報の順序と一致する場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視装置。
付記3において、
前記判定部は、
前記第1識別情報に、各識別情報が連続した状態で複数ずつ含まれている場合、前記第1識別情報の順序が前記第2識別情報の順序と一致するか否かの判定を行う前に、連続した状態で含まれる複数の同一の識別情報のうち、1つ以外の識別情報を前記第1識別情報から削除する、
ことを特徴とする監視装置。
付記1において、
前記出力部は、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置が外部から攻撃を受けている可能性があることを示す情報を出力する、
ことを特徴とする監視装置。
付記1において、
前記他の情報処理装置は、前記外部からのアクセスが許可されていない情報処理装置である、
ことを特徴とする監視装置。
外部からのアクセスが許可されている情報処理装置を監視する監視方法であって、
前記情報処理装置によって実行された複数のコマンドを取得し、
取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定し、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する、
ことを特徴とする監視方法。
付記7において、
前記判定する工程では、
取得した前記複数のコマンドから、他の情報処理装置のIPアドレスが指定されている特定のコマンドを特定し、
特定した前記特定のコマンドが所定時間内に所定回数以上実行されていることを検知した場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視方法。
付記7において、さらに、
前記情報処理装置がアクセスする可能性がある他の情報処理装置の識別情報を記憶部に記憶し、
前記判定する工程では、
取得した前記複数のコマンドから、他の情報処理装置に対するアクセスを伴う特定のコマンドを特定し、
特定した前記特定のコマンドのうち、実行順序が連続する所定数のコマンドのそれぞれに対応する他の情報処理装置の第1識別情報の順序が、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の第2識別情報の順序と一致する場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視方法。
外部からのアクセスが許可されている情報処理装置を監視する監視方法であって、
前記情報処理装置によって実行された複数のコマンドを取得し、
取得した前記複数のコマンドに含まれる内容の関連性から、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定し、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する、
処理をコンピュータに実行させることを特徴とする監視プログラム。
付記10において、
前記判定する処理では、
取得した前記複数のコマンドから、他の情報処理装置のIPアドレスが指定されている特定のコマンドを特定し、
特定した前記特定のコマンドが所定時間内に所定回数以上実行されていることを検知した場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視プログラム。
付記10において、さらに、
前記情報処理装置がアクセスする可能性がある他の情報処理装置の識別情報を記憶部に記憶する、
処理をコンピュータに実行させ、
前記判定する処理では、
取得した前記複数のコマンドから、他の情報処理装置に対するアクセスを伴う特定のコマンドを特定し、
特定した前記特定のコマンドのうち、実行順序が連続する所定数のコマンドのそれぞれに対応する他の情報処理装置の第1識別情報の順序が、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の第2識別情報の順序と一致する場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視プログラム。
2b:公開サーバ 2c:公開サーバ
3a:内部サーバ 3b:内部サーバ
3c:内部サーバ 5:ファイアーウォール装置
6:ファイアーウォール装置 10:情報処理システム
11:外部端末
Claims (8)
- 外部からのアクセスが許可されている情報処理装置を監視する監視装置であって、
前記情報処理装置がアクセスする可能性がある他の情報処理装置の識別情報を記憶する記憶部と、
前記情報処理装置によって実行された複数のコマンドを取得する取得部と、
取得した前記複数のコマンドから、他の情報処理装置に対するアクセスを伴う特定のコマンドを特定し、特定した前記特定のコマンドのうち、実行順序が連続する所定数のコマンドのそれぞれに対応する他の情報処理装置の第1識別情報の順序と、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の第2識別情報の順序との比較結果に基づいて、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定する判定部と、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する出力部と、を有する、
ことを特徴とする監視装置。 - 請求項1において、
前記判定部は、
取得した前記複数のコマンドから、他の情報処理装置のIPアドレスが指定されている特定のコマンドを特定し、
特定した前記特定のコマンドが所定時間内に所定回数以上実行されていることを検知した場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視装置。 - 請求項1において、
前記判定部は、
特定した前記特定のコマンドのうち、実行順序が連続する前記所定数のコマンドのそれぞれに対応する他の情報処理装置の前記第1識別情報の順序が、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の前記第2識別情報の順序と一致する場合、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定する、
ことを特徴とする監視装置。 - 請求項3において、
前記判定部は、
前記第1識別情報に、各識別情報が連続した状態で複数ずつ含まれている場合、前記第1識別情報の順序が前記第2識別情報の順序と一致するか否かの判定を行う前に、連続した状態で含まれる複数の同一の識別情報のうち、1つ以外の識別情報を前記第1識別情報から削除する、
ことを特徴とする監視装置。 - 請求項1において、
前記出力部は、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置が外部から攻撃を受けている可能性があることを示す情報を出力する、
ことを特徴とする監視装置。 - 請求項1において、
前記他の情報処理装置は、前記外部からのアクセスが許可されていない情報処理装置である、
ことを特徴とする監視装置。 - 外部からのアクセスが許可されている情報処理装置を監視する監視方法であって、
前記情報処理装置がアクセスする可能性がある他の情報処理装置の識別情報を記憶部に記憶し、
前記情報処理装置によって実行された複数のコマンドを取得し、
取得した前記複数のコマンドから、他の情報処理装置に対するアクセスを伴う特定のコマンドを特定し、
特定した前記特定のコマンドのうち、実行順序が連続する所定数のコマンドのそれぞれに対応する他の情報処理装置の第1識別情報の順序と、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の第2識別情報の順序との比較結果に基づいて 、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定し、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する、
処理をコンピュータが実行する ことを特徴とする監視方法。 - 外部からのアクセスが許可されている情報処理装置を監視する監視プログラムであって、
前記情報処理装置がアクセスする可能性がある他の情報処理装置の識別情報を記憶部に記憶し、
前記情報処理装置によって実行された複数のコマンドを取得し、
取得した前記複数のコマンドから、他の情報処理装置に対するアクセスを伴う特定のコマンドを特定し、
特定した前記特定のコマンドのうち、実行順序が連続する所定数のコマンドのそれぞれに対応する他の情報処理装置の第1識別情報の順序と、前記記憶部に記憶された識別情報のうち、記憶順序が連続する前記所定数の第2識別情報の順序との比較結果に基づいて 、前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があるか否かを判定し、
前記情報処理装置が他の情報処理装置に対して攻撃を行った可能性があると判定した場合、前記情報処理装置に関する警告を出力する、
処理をコンピュータに実行させることを特徴とする監視プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018172125A JP7152657B2 (ja) | 2018-09-14 | 2018-09-14 | 監視装置、監視方法及び監視プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018172125A JP7152657B2 (ja) | 2018-09-14 | 2018-09-14 | 監視装置、監視方法及び監視プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020046698A JP2020046698A (ja) | 2020-03-26 |
JP7152657B2 true JP7152657B2 (ja) | 2022-10-13 |
Family
ID=69901306
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018172125A Active JP7152657B2 (ja) | 2018-09-14 | 2018-09-14 | 監視装置、監視方法及び監視プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7152657B2 (ja) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007334759A (ja) | 2006-06-16 | 2007-12-27 | Oki Electric Ind Co Ltd | 情報漏洩防止装置、方法及びプログラム |
JP2009043020A (ja) | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | ログ解析支援装置 |
JP2011188071A (ja) | 2010-03-05 | 2011-09-22 | Nec Corp | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム |
US20150013005A1 (en) | 2013-07-04 | 2015-01-08 | Fujitsu Limited | Apparatus and method for detecting an attack in a computer network |
WO2015059791A1 (ja) | 2013-10-24 | 2015-04-30 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
JP2016046654A (ja) | 2014-08-22 | 2016-04-04 | 富士通株式会社 | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム |
JP2017076185A (ja) | 2015-10-13 | 2017-04-20 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
-
2018
- 2018-09-14 JP JP2018172125A patent/JP7152657B2/ja active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007334759A (ja) | 2006-06-16 | 2007-12-27 | Oki Electric Ind Co Ltd | 情報漏洩防止装置、方法及びプログラム |
JP2009043020A (ja) | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | ログ解析支援装置 |
JP2011188071A (ja) | 2010-03-05 | 2011-09-22 | Nec Corp | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム |
US20150013005A1 (en) | 2013-07-04 | 2015-01-08 | Fujitsu Limited | Apparatus and method for detecting an attack in a computer network |
JP2015015581A (ja) | 2013-07-04 | 2015-01-22 | 富士通株式会社 | 監視装置、監視方法及びプログラム |
WO2015059791A1 (ja) | 2013-10-24 | 2015-04-30 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
JP2016046654A (ja) | 2014-08-22 | 2016-04-04 | 富士通株式会社 | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム |
JP2017076185A (ja) | 2015-10-13 | 2017-04-20 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP2020046698A (ja) | 2020-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11936666B1 (en) | Risk analyzer for ascertaining a risk of harm to a network and generating alerts regarding the ascertained risk | |
US11240262B1 (en) | Malware detection verification and enhancement by coordinating endpoint and malware detection systems | |
CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
JP2018501591A (ja) | 悪意のあるコードの検出の精度保証のためのシステムおよび方法 | |
JP2014038596A (ja) | 悪意ある実行ファイルの識別方法 | |
JP2019516160A (ja) | セキュリティ脅威を検出するためのシステム及び方法 | |
JP2006119754A (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
US9479521B2 (en) | Software network behavior analysis and identification system | |
US10601847B2 (en) | Detecting user behavior activities of interest in a network | |
US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
US10757029B2 (en) | Network traffic pattern based machine readable instruction identification | |
WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
WO2019026310A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
CN108449349B (zh) | 防止恶意域名攻击的方法及装置 | |
KR102280845B1 (ko) | 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 | |
TWI610196B (zh) | 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品 | |
JP6233414B2 (ja) | 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム | |
CN110381090A (zh) | 终端异常检测方法、装置、检测设备及机器可读存储介质 | |
US11870693B2 (en) | Kernel space based capture using intelligent packet selection paradigm and event output storage determination methodology | |
US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
JP7152657B2 (ja) | 監視装置、監視方法及び監視プログラム | |
CN111970262A (zh) | 网站的第三方服务启用状态的检测方法、装置和电子装置 | |
JP7172104B2 (ja) | ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 | |
Chanthakoummane et al. | Improving intrusion detection on snort rules for botnets detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210610 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220316 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220405 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220511 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220830 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220912 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7152657 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |