JPWO2015097889A1 - 情報処理装置及び情報処理方法及びプログラム - Google Patents
情報処理装置及び情報処理方法及びプログラム Download PDFInfo
- Publication number
- JPWO2015097889A1 JPWO2015097889A1 JP2015554467A JP2015554467A JPWO2015097889A1 JP WO2015097889 A1 JPWO2015097889 A1 JP WO2015097889A1 JP 2015554467 A JP2015554467 A JP 2015554467A JP 2015554467 A JP2015554467 A JP 2015554467A JP WO2015097889 A1 JPWO2015097889 A1 JP WO2015097889A1
- Authority
- JP
- Japan
- Prior art keywords
- log information
- attack
- communication
- terminal
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims description 22
- 238000003672 processing method Methods 0.000 title claims description 3
- 238000004891 communication Methods 0.000 claims abstract description 155
- 238000012545 processing Methods 0.000 claims abstract description 113
- 238000000034 method Methods 0.000 claims abstract description 71
- 230000008569 process Effects 0.000 claims abstract description 68
- 238000001514 detection method Methods 0.000 claims abstract description 59
- 208000015181 infectious disease Diseases 0.000 claims description 143
- 230000000694 effects Effects 0.000 claims description 75
- 230000002458 infectious effect Effects 0.000 claims description 5
- 230000004075 alteration Effects 0.000 description 15
- 238000012806 monitoring device Methods 0.000 description 11
- 238000012546 transfer Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000006399 behavior Effects 0.000 description 5
- 230000008520 organization Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000006378 damage Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000008595 infiltration Effects 0.000 description 2
- 238000001764 infiltration Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000009440 infrastructure construction Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003340 mental effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
受信部(111)は、データ処理システム(106)で発生したデータ通信のログ情報を通信ログ情報として受信する。攻撃端末ログ情報特定部(113)は、データ処理システム(106)で行われたデータ処理のログ情報である複数の処理ログ情報の中から、通信ログ情報に基づき、前記データ通信に関係するデータ処理の処理ログ情報を検索する。端末ログ情報改ざん検出部(114)は、攻撃端末ログ情報特定部(113)により該当する処理ログ情報が検索されない場合に、複数の処理ログ情報のうちの少なくとも一部の処理ログ情報が改ざんされていると判定する。
Description
本発明は、情報セキュリティ技術に関する。
特許文献1は、マルウェアに感染した感染範囲を特定する感染範囲特定装置を開示している。
特許文献1の感染範囲特定装置は、アンチウイルスソフトを用いて、マルウェアに感染したファイルを特定し、特定したファイルにアクセスした端末を特定することによって、感染範囲の特定を行っている(特許文献1)。
また、特許文献2では、パケットのシグネチャを用いて、マルウェアを特定するとともに、パケットの送り元/送り先から、感染経路を特定する感染経路特定装置が開示されている。
また、特許文献3では、潜伏タイプのマルウェアを検出するマルウェア検出装置が開示されている。
特許文献3のマルウェア検出装置は、マルウェアの通信の特徴を捉えることによって、感染端末に指令を出すサーバ装置や感染端末を特定する。
また、特許文献4では、マルウェアの特徴的な動作であるレジストリやプログラムの書きかえ動作を監視し、マルウェアの感染を検知するファイルアクセス監視装置が開示されている(特許文献4)。
特許文献1の感染範囲特定装置は、アンチウイルスソフトを用いて、マルウェアに感染したファイルを特定し、特定したファイルにアクセスした端末を特定することによって、感染範囲の特定を行っている(特許文献1)。
また、特許文献2では、パケットのシグネチャを用いて、マルウェアを特定するとともに、パケットの送り元/送り先から、感染経路を特定する感染経路特定装置が開示されている。
また、特許文献3では、潜伏タイプのマルウェアを検出するマルウェア検出装置が開示されている。
特許文献3のマルウェア検出装置は、マルウェアの通信の特徴を捉えることによって、感染端末に指令を出すサーバ装置や感染端末を特定する。
また、特許文献4では、マルウェアの特徴的な動作であるレジストリやプログラムの書きかえ動作を監視し、マルウェアの感染を検知するファイルアクセス監視装置が開示されている(特許文献4)。
しかしながら、特許文献1〜4は、標的型攻撃に対処できないという課題がある。
標的型攻撃では、攻撃者がデータ処理システム内の端末に侵入し、侵入した端末に攻撃者がマルウェアをダウンロードする。
そして、攻撃者は、マルウェアがダウンロードされた端末を用いてデータ処理システム内でマルウェアの感染範囲を拡大させていく。
このような標的型攻撃によるマルウェアの感染範囲を特定するためには、端末のログ情報を解析して攻撃者が端末に侵入した後の行動を追跡することが必要である。
しかしながら、攻撃者の行動を隠ぺいするために攻撃者が端末のログ情報を改ざんする場合がある。
攻撃者が端末のログ情報を改ざんしている場合には、改ざん後のログ情報を解析しても攻撃者の行動は追跡することはできない。
しかし、端末ログが改ざんされていることを特定することができれば、端末が感染していることを特定することができる。
このように、マルウェアの感染範囲を特定するにあたり、ログ情報が改ざんされているかどうかを見極めることは非常に重要である。
標的型攻撃では、攻撃者がデータ処理システム内の端末に侵入し、侵入した端末に攻撃者がマルウェアをダウンロードする。
そして、攻撃者は、マルウェアがダウンロードされた端末を用いてデータ処理システム内でマルウェアの感染範囲を拡大させていく。
このような標的型攻撃によるマルウェアの感染範囲を特定するためには、端末のログ情報を解析して攻撃者が端末に侵入した後の行動を追跡することが必要である。
しかしながら、攻撃者の行動を隠ぺいするために攻撃者が端末のログ情報を改ざんする場合がある。
攻撃者が端末のログ情報を改ざんしている場合には、改ざん後のログ情報を解析しても攻撃者の行動は追跡することはできない。
しかし、端末ログが改ざんされていることを特定することができれば、端末が感染していることを特定することができる。
このように、マルウェアの感染範囲を特定するにあたり、ログ情報が改ざんされているかどうかを見極めることは非常に重要である。
本発明は、このような事情に鑑みたものであり、ログ情報が改ざんされているかどうかを判定する構成を得ることを主な目的とする。
本発明に係る情報処理装置は、
データ処理システムで発生したデータ通信のログ情報を通信ログ情報として受信する受信部と、
前記データ処理システムで行われたデータ処理のログ情報である複数の処理ログ情報の中から、前記通信ログ情報に基づき、前記データ通信に関係するデータ処理の処理ログ情報を検索するログ情報検索部と、
前記ログ情報検索部により該当する処理ログ情報が検索されない場合に、前記複数の処理ログ情報のうちの少なくとも一部の処理ログ情報が改ざんされていると判定する改ざん判定部とを有することを特徴とする。
データ処理システムで発生したデータ通信のログ情報を通信ログ情報として受信する受信部と、
前記データ処理システムで行われたデータ処理のログ情報である複数の処理ログ情報の中から、前記通信ログ情報に基づき、前記データ通信に関係するデータ処理の処理ログ情報を検索するログ情報検索部と、
前記ログ情報検索部により該当する処理ログ情報が検索されない場合に、前記複数の処理ログ情報のうちの少なくとも一部の処理ログ情報が改ざんされていると判定する改ざん判定部とを有することを特徴とする。
本発明によれば、複数の処理ログ情報のうちの少なくとも一部の処理ログ情報が改ざんされていることを判定することができる。
実施の形態1.
図1は、本実施の形態に係る感染範囲特定装置101を含むシステム構成例を示す。
図1は、本実施の形態に係る感染範囲特定装置101を含むシステム構成例を示す。
感染範囲特定装置101は、データ処理システム106で記録されているログ情報に改ざんがあるかどうかを調査する。
また、感染範囲特定装置101は、マルウェアの感染範囲を特定する。
感染範囲特定装置101は、情報処理装置の例である。
また、感染範囲特定装置101は、マルウェアの感染範囲を特定する。
感染範囲特定装置101は、情報処理装置の例である。
セキュリティ機器103は、通信ログ情報を通信ログ記録装置104に記録する。
通信ログ記録装置104は、例えば、図9に示す形式で、通信ログ情報を記録する。
通信ログ情報には、日付、時刻、状態、サービス、アクセス元ホスト、アクセス先ホスト、プロトコル、アクセス元ポート、アクセス先ポートといった、データ通信の属性を表す通信属性値が記述されている。
セキュリティ機器103は、例えば、FW(ファイアウォール)やIDS/IPS(Intrusion Detection System/Intrusion Prevention System)、プロキシサーバが考えられる。
通信ログ記録装置104は、例えば、図9に示す形式で、通信ログ情報を記録する。
通信ログ情報には、日付、時刻、状態、サービス、アクセス元ホスト、アクセス先ホスト、プロトコル、アクセス元ポート、アクセス先ポートといった、データ通信の属性を表す通信属性値が記述されている。
セキュリティ機器103は、例えば、FW(ファイアウォール)やIDS/IPS(Intrusion Detection System/Intrusion Prevention System)、プロキシサーバが考えられる。
攻撃検知装置102は、通信ログ記録装置104に記録された通信ログ情報を分析し、攻撃を検知する。
また、攻撃検知装置102は、検知した攻撃に関係するデータ通信(以下、攻撃データ通信という)の通信ログ情報を、攻撃通信ログ情報として感染範囲特定装置101に送信する。
例えば、攻撃検知装置102は、図10に示す攻撃通信ログ情報を感染範囲特定装置101に送信する。
また、攻撃検知装置102は、通信ログ情報を分析した結果、例えば、図4に示す攻撃シナリオ検知情報に、クライアント端末121ごと、サーバ端末122ごとに攻撃の進展度合いを記録する。
図4において、「1.攻撃準備」は、攻撃者が標的とする組織のWebページを閲覧したり、組織が刊行している冊子等から標的型メールを作成したり、組織に適したマルウェアを作成する段階である。
「2.初期潜入」は、攻撃者が標的型メール等によって、標的となる組織に接触しマルウェアを送り込む段階である。
「3.攻撃基盤構築」は、マルウェアが起動し、情報収集に必要な攻撃基盤を構築する段階であり、一つの端末において標的型攻撃に添付されたマルウェアやURL等がクリックされ、マルウェアが組織に感染する段階を含んでいる。
「4.システム調査段階」は、攻撃者が、マルウェアに感染した端末から社内システムの調査を行う段階であり、より重要な情報を取得するために、次々と他端末を感染させる段階である。
「5.最終目的遂行段階」は、情報の漏洩や、システム破壊が発生する段階である。
図4において、「攻撃あり」とは、通信ログ情報から攻撃が検出されたことを示し、「攻撃なし」とは、通信ログ情報から攻撃が検出されなかったことを示し、「兆候あり」とは、通信ログ情報から攻撃の兆候が検出されたことを示す。
図4では、例えば、通信ログ情報から、クライアント端末121aに対して攻撃ステップ1〜3の攻撃の兆候が検出され、攻撃ステップ4の攻撃が検出されたが、攻撃ステップ5の攻撃は検出されなかったことが示されている。
また、攻撃検知装置102は、検知した攻撃に関係するデータ通信(以下、攻撃データ通信という)の通信ログ情報を、攻撃通信ログ情報として感染範囲特定装置101に送信する。
例えば、攻撃検知装置102は、図10に示す攻撃通信ログ情報を感染範囲特定装置101に送信する。
また、攻撃検知装置102は、通信ログ情報を分析した結果、例えば、図4に示す攻撃シナリオ検知情報に、クライアント端末121ごと、サーバ端末122ごとに攻撃の進展度合いを記録する。
図4において、「1.攻撃準備」は、攻撃者が標的とする組織のWebページを閲覧したり、組織が刊行している冊子等から標的型メールを作成したり、組織に適したマルウェアを作成する段階である。
「2.初期潜入」は、攻撃者が標的型メール等によって、標的となる組織に接触しマルウェアを送り込む段階である。
「3.攻撃基盤構築」は、マルウェアが起動し、情報収集に必要な攻撃基盤を構築する段階であり、一つの端末において標的型攻撃に添付されたマルウェアやURL等がクリックされ、マルウェアが組織に感染する段階を含んでいる。
「4.システム調査段階」は、攻撃者が、マルウェアに感染した端末から社内システムの調査を行う段階であり、より重要な情報を取得するために、次々と他端末を感染させる段階である。
「5.最終目的遂行段階」は、情報の漏洩や、システム破壊が発生する段階である。
図4において、「攻撃あり」とは、通信ログ情報から攻撃が検出されたことを示し、「攻撃なし」とは、通信ログ情報から攻撃が検出されなかったことを示し、「兆候あり」とは、通信ログ情報から攻撃の兆候が検出されたことを示す。
図4では、例えば、通信ログ情報から、クライアント端末121aに対して攻撃ステップ1〜3の攻撃の兆候が検出され、攻撃ステップ4の攻撃が検出されたが、攻撃ステップ5の攻撃は検出されなかったことが示されている。
監視装置107は、感染範囲特定装置101で得られたマルウェアの感染範囲を表示する。
攻撃検知装置102により攻撃が検知された際に、ネットワークセキュリティ管理者は被害範囲の特定結果を監視装置107から確認することができる。
攻撃検知装置102により攻撃が検知された際に、ネットワークセキュリティ管理者は被害範囲の特定結果を監視装置107から確認することができる。
データ処理システム106は、複数のクライアント端末121と複数のサーバ端末122で構成される。
クライアント端末121とサーバ端末122を区別する必要がないときは、両者をまとめて端末という。
データ処理システム106では、クライアント端末121ごとにクライアント端末ログ記録装置131が設けられ、また、サーバ端末122ごとにサーバ端末ログ記録装置132が設けられている。
クライアント端末121は、クライアント端末121で行われたデータ処理のログ情報である端末ログ情報をクライアント端末ログ記録装置131に格納する。
また、サーバ端末122は、サーバ端末122で行われたデータ処理のログ情報である端末ログ情報をサーバ端末ログ記録装置132に格納する。
クライアント端末ログ記録装置131及びサーバ端末ログ記録装置132は、処理ログ情報データベースの例に相当する。
端末ログ情報は、図5に示すプロセスログ情報と図7に示すアクセスログ情報がある。
プロセスログ情報及びアクセスログ情報には、それぞれ、クライアント端末121又はサーバ端末122でのデータ処理の属性を表す処理属性値が記述されている。
つまり、プロセスログ情報では、図5に示すように、日付、時刻、ホスト名、ユーザ(アカウント)、プロセス(実行ファイル)という処理属性値が記述されている。
また、アクセスログ情報では、図7に示すように、日付、時刻、アクセス元ホスト、アクセス先ホスト、アクセス元ユーザ、アクセス先ユーザ、アクセスファイル、イベントという処理属性値が記述されている。
以下では、プロセスログ情報は、端末ログ情報(プロセスログ情報)とも表記し、アクセスログ情報は、端末ログ情報(アクセスログ情報)とも表記する。
また、端末ログ情報(プロセスログ情報)と端末ログ情報(アクセスログ情報)を区別する必要がないときは、両者をまとめて端末ログ情報という。
端末ログ情報(プロセスログ情報)及び端末ログ情報(アクセスログ情報)は、処理ログ情報の例に相当する。
クライアント端末121とサーバ端末122を区別する必要がないときは、両者をまとめて端末という。
データ処理システム106では、クライアント端末121ごとにクライアント端末ログ記録装置131が設けられ、また、サーバ端末122ごとにサーバ端末ログ記録装置132が設けられている。
クライアント端末121は、クライアント端末121で行われたデータ処理のログ情報である端末ログ情報をクライアント端末ログ記録装置131に格納する。
また、サーバ端末122は、サーバ端末122で行われたデータ処理のログ情報である端末ログ情報をサーバ端末ログ記録装置132に格納する。
クライアント端末ログ記録装置131及びサーバ端末ログ記録装置132は、処理ログ情報データベースの例に相当する。
端末ログ情報は、図5に示すプロセスログ情報と図7に示すアクセスログ情報がある。
プロセスログ情報及びアクセスログ情報には、それぞれ、クライアント端末121又はサーバ端末122でのデータ処理の属性を表す処理属性値が記述されている。
つまり、プロセスログ情報では、図5に示すように、日付、時刻、ホスト名、ユーザ(アカウント)、プロセス(実行ファイル)という処理属性値が記述されている。
また、アクセスログ情報では、図7に示すように、日付、時刻、アクセス元ホスト、アクセス先ホスト、アクセス元ユーザ、アクセス先ユーザ、アクセスファイル、イベントという処理属性値が記述されている。
以下では、プロセスログ情報は、端末ログ情報(プロセスログ情報)とも表記し、アクセスログ情報は、端末ログ情報(アクセスログ情報)とも表記する。
また、端末ログ情報(プロセスログ情報)と端末ログ情報(アクセスログ情報)を区別する必要がないときは、両者をまとめて端末ログ情報という。
端末ログ情報(プロセスログ情報)及び端末ログ情報(アクセスログ情報)は、処理ログ情報の例に相当する。
図1に示す各要素は、例えば、図3に示すように接続されている。
図3において、スイッチ108は、データ処理システム106内のクライアント端末121及びサーバ端末122と、感染範囲特定装置101と、攻撃検知装置102と、セキュリティ機器103を接続する。
セキュリティ機器103は、インターネット109と接続されており、データ処理システム106内のクライアント端末121及びサーバ端末122とインターネット109との間のデータ通信を中継する。
そして、セキュリティ機器103は、クライアント端末121及びサーバ端末122とインターネット109との間のデータ通信について通信ログ情報を通信ログ記録装置104に格納する。
図3において、スイッチ108は、データ処理システム106内のクライアント端末121及びサーバ端末122と、感染範囲特定装置101と、攻撃検知装置102と、セキュリティ機器103を接続する。
セキュリティ機器103は、インターネット109と接続されており、データ処理システム106内のクライアント端末121及びサーバ端末122とインターネット109との間のデータ通信を中継する。
そして、セキュリティ機器103は、クライアント端末121及びサーバ端末122とインターネット109との間のデータ通信について通信ログ情報を通信ログ記録装置104に格納する。
次に、図1に示す感染範囲特定装置101の内部構成を説明する。
受信部111は、攻撃検知装置102から攻撃通信ログ情報を受信する。
送信部112は、マルウェアの感染範囲を示す端末感染情報を監視装置107に送信する。
端末感染情報は、例えば、図13に示す情報である。
端末感染情報では、クライアント端末121ごと、サーバ端末122ごとに、マルウェアの感染又はログの改ざんが検知された日、時刻、マルウェアの感染有無、ログの改ざん有無、攻撃ユーザ、検知されたマルウェア、攻撃ステップ(図4の攻撃ステップ)が示される。
端末感染情報は、例えば、図13に示す情報である。
端末感染情報では、クライアント端末121ごと、サーバ端末122ごとに、マルウェアの感染又はログの改ざんが検知された日、時刻、マルウェアの感染有無、ログの改ざん有無、攻撃ユーザ、検知されたマルウェア、攻撃ステップ(図4の攻撃ステップ)が示される。
攻撃端末ログ情報特定部113は、受信部111が受信した攻撃通信ログ情報に基づき、クライアント端末ログ記録装置131及びサーバ端末ログ記録装置132の端末ログ情報(プロセスログ情報)及び端末ログ情報(アクセスログ情報)の中から、攻撃データ通信に関係するデータ処理の端末ログ情報を検索する。
攻撃データ通信に関係する端末ログ情報として、攻撃端末ログ情報特定部113が検索した端末ログ情報(プロセスログ情報)を攻撃端末ログ情報(プロセスログ情報)という。
また、攻撃データ通信に関係する端末ログ情報として、攻撃端末ログ情報特定部113が検索した端末ログ情報(アクセスログ情報)を攻撃端末ログ情報(アクセスログ情報)という。
例えば、攻撃端末ログ情報特定部113は、図6に示す攻撃端末ログ情報(プロセスログ情報)を検索し、また、図8に示す攻撃端末ログ情報(アクセスログ情報)を検索する。
なお、攻撃端末ログ情報(プロセスログ情報)と攻撃端末ログ情報(アクセスログ情報)を区別する必要がないときは、両者をまとめて攻撃端末ログ情報という。
攻撃端末ログ情報特定部113は、ログ情報検索部の例に相当する。
攻撃データ通信に関係する端末ログ情報として、攻撃端末ログ情報特定部113が検索した端末ログ情報(プロセスログ情報)を攻撃端末ログ情報(プロセスログ情報)という。
また、攻撃データ通信に関係する端末ログ情報として、攻撃端末ログ情報特定部113が検索した端末ログ情報(アクセスログ情報)を攻撃端末ログ情報(アクセスログ情報)という。
例えば、攻撃端末ログ情報特定部113は、図6に示す攻撃端末ログ情報(プロセスログ情報)を検索し、また、図8に示す攻撃端末ログ情報(アクセスログ情報)を検索する。
なお、攻撃端末ログ情報(プロセスログ情報)と攻撃端末ログ情報(アクセスログ情報)を区別する必要がないときは、両者をまとめて攻撃端末ログ情報という。
攻撃端末ログ情報特定部113は、ログ情報検索部の例に相当する。
端末ログ情報改ざん検出部114は、攻撃端末ログ情報特定部113により攻撃端末ログ情報が検索されない場合に、端末ログ情報が改ざんされていると判定する。
より具体的には、端末ログ情報改ざん検出部114は、攻撃通信ログ情報で通知されているクライアント端末121又はサーバ端末122の端末ログ情報が改ざんされていると判定する。
攻撃データ通信によって攻撃者が端末に侵入した場合は、マルウェアのダウンロード等のデータ処理が端末で行われるので、通常であれば、このようなデータ処理の履歴が端末ログ情報に残っている。
従って、端末ログ情報の改ざんがなければ、攻撃データ通信から生じたデータ処理が記述された端末ログ情報が攻撃端末ログ情報として検索されるはずである。
攻撃端末ログ情報が検索されない場合は、攻撃者が行動を隠ぺいするために端末ログ情報を改ざんしたと推測できる。
このため、端末ログ情報改ざん検出部114は、攻撃端末ログ情報特定部113により攻撃端末ログ情報が検索されない場合は、端末ログ情報が改ざんされたと判定する。
また、端末ログ情報改ざん検出部114は、攻撃端末ログ情報特定部113により攻撃端末ログ情報が検索されない場合は、攻撃通信ログ情報で通知されているクライアント端末121又はサーバ端末122がマルウェアに感染していると判定する。
例えば、受信部111が図10の攻撃通信ログ情報を受信した場合に、攻撃端末ログ情報特定部113が図10の攻撃通信ログ情報に基づいて端末ログ情報を検索しても、該当する攻撃ログ情報を検索できなかった場合を想定する。
この場合は、端末ログ情報改ざん検出部114は、攻撃通信ログ情報で通知されているクライアント端末121aの端末ログ情報が改ざんされていると判定し、また、クライアント端末121aがマルウェアに感染されていると判定する。
なお、端末ログ情報改ざん検出部114は、改ざん判定部の例に相当する。
より具体的には、端末ログ情報改ざん検出部114は、攻撃通信ログ情報で通知されているクライアント端末121又はサーバ端末122の端末ログ情報が改ざんされていると判定する。
攻撃データ通信によって攻撃者が端末に侵入した場合は、マルウェアのダウンロード等のデータ処理が端末で行われるので、通常であれば、このようなデータ処理の履歴が端末ログ情報に残っている。
従って、端末ログ情報の改ざんがなければ、攻撃データ通信から生じたデータ処理が記述された端末ログ情報が攻撃端末ログ情報として検索されるはずである。
攻撃端末ログ情報が検索されない場合は、攻撃者が行動を隠ぺいするために端末ログ情報を改ざんしたと推測できる。
このため、端末ログ情報改ざん検出部114は、攻撃端末ログ情報特定部113により攻撃端末ログ情報が検索されない場合は、端末ログ情報が改ざんされたと判定する。
また、端末ログ情報改ざん検出部114は、攻撃端末ログ情報特定部113により攻撃端末ログ情報が検索されない場合は、攻撃通信ログ情報で通知されているクライアント端末121又はサーバ端末122がマルウェアに感染していると判定する。
例えば、受信部111が図10の攻撃通信ログ情報を受信した場合に、攻撃端末ログ情報特定部113が図10の攻撃通信ログ情報に基づいて端末ログ情報を検索しても、該当する攻撃ログ情報を検索できなかった場合を想定する。
この場合は、端末ログ情報改ざん検出部114は、攻撃通信ログ情報で通知されているクライアント端末121aの端末ログ情報が改ざんされていると判定し、また、クライアント端末121aがマルウェアに感染されていると判定する。
なお、端末ログ情報改ざん検出部114は、改ざん判定部の例に相当する。
攻撃ユーザ特定部115は、端末ログ情報改ざん検出部114により端末ログ情報が改ざんされていないと判定された場合に、全ての攻撃フェーズに関与したユーザ(攻撃ユーザ)を特定し、攻撃ユーザが記述される攻撃ユーザ情報を感染活動特定部116に送信する。
例えば、図6の攻撃端末ログ情報D221及び図8の攻撃端末ログ情報D321において、クライアント端末121aのユーザであるuser121a1は攻撃ステップ2、3、4の全ての攻撃ステップに関与しており(攻撃ステップ1はログに残らないため左記に含まない)、一連の標的型攻撃に関与したユーザである。
このため、攻撃ユーザ特定部115は、user121a1を攻撃ユーザと見なす。
例えば、図6の攻撃端末ログ情報D221及び図8の攻撃端末ログ情報D321において、クライアント端末121aのユーザであるuser121a1は攻撃ステップ2、3、4の全ての攻撃ステップに関与しており(攻撃ステップ1はログに残らないため左記に含まない)、一連の標的型攻撃に関与したユーザである。
このため、攻撃ユーザ特定部115は、user121a1を攻撃ユーザと見なす。
感染活動特定部116は、攻撃ユーザ特定部115から攻撃ユーザ情報を受信し、攻撃ユーザが感染活動を行った範囲を特定する。
具体的には、感染活動特定部116は、図16の感染活動端末ログ情報(プロセスログ情報)D241(ftp.exeはファイル転送に利用されるプロセス)や図17の感染活動端末ログ情報(アクセスログ情報)D341のように、攻撃ユーザの他端末へのファイル転送を検出する。
さらに、感染活動特定部116は、図5の端末ログ情報(プロセスログ情報)のレコードD216のように転送されたファイルが転送先で実行された場合や、図17の感染活動端末ログ情報(アクセスログ情報)のレコードD352のように転送されたファイルが転送先で端末ファイルアクセスされた場合は、感染したと判断することができる。
感染活動特定部116は、機器特定部の例に相当する。
具体的には、感染活動特定部116は、図16の感染活動端末ログ情報(プロセスログ情報)D241(ftp.exeはファイル転送に利用されるプロセス)や図17の感染活動端末ログ情報(アクセスログ情報)D341のように、攻撃ユーザの他端末へのファイル転送を検出する。
さらに、感染活動特定部116は、図5の端末ログ情報(プロセスログ情報)のレコードD216のように転送されたファイルが転送先で実行された場合や、図17の感染活動端末ログ情報(アクセスログ情報)のレコードD352のように転送されたファイルが転送先で端末ファイルアクセスされた場合は、感染したと判断することができる。
感染活動特定部116は、機器特定部の例に相当する。
次に、本実施の形態に係る感染範囲特定装置101の動作例を図2、図14及び図15を参照して説明する。
なお、図2は、感染範囲特定装置101の動作例を示すフローチャート図である。
また、図14及び図15は、感染範囲特定装置101におけるデータフローを示す。
なお、図2は、感染範囲特定装置101の動作例を示すフローチャート図である。
また、図14及び図15は、感染範囲特定装置101におけるデータフローを示す。
まず、感染範囲を特定する前に、攻撃検知装置102が、通信ログ情報から攻撃検知を行う。
攻撃検知装置102は、セキュリティ機器103が管理する通信ログ記録装置104から解析に必要な通信ログ情報D401を抽出し、抽出した通信ログ情報D401の解析を行う。
解析の結果、攻撃検知装置102は攻撃通信ログ情報D421を特定し、攻撃通信ログ情報D421を感染範囲特定装置101に送信する(F101)。
なお、攻撃検知装置102の攻撃検知の手法はどのようなものでもよい。
攻撃検知装置102は、セキュリティ機器103が管理する通信ログ記録装置104から解析に必要な通信ログ情報D401を抽出し、抽出した通信ログ情報D401の解析を行う。
解析の結果、攻撃検知装置102は攻撃通信ログ情報D421を特定し、攻撃通信ログ情報D421を感染範囲特定装置101に送信する(F101)。
なお、攻撃検知装置102の攻撃検知の手法はどのようなものでもよい。
S101では、感染範囲特定装置101の受信部111が、攻撃検知装置102から送信された攻撃通信ログ情報D421を受信する(F101)。
また、受信部111は、攻撃端末ログ情報特定部113に攻撃通信ログ情報D421を送信する(F102)。
以下では、受信部111が、図10の攻撃通信ログレコードD431〜433を攻撃通信ログ情報D421として受信したと仮定して説明を進める。
ここで、攻撃通信ログレコードD431は、攻撃ステップ:2が記載され、アクセス先ホスト:クライアント端末121aが記載されており、攻撃シナリオ検知情報D101のレコードD111から攻撃検知装置102により「兆候あり」と判定されたレコードである。
また、攻撃通信ログレコードD432は、攻撃ステップ:3が記載され、アクセス元ホスト:クライアント端末121aが記載されており、同様に攻撃シナリオ検知情報D101のレコードD111から攻撃検知装置102により「兆候あり」と判定されたレコードである。
また、攻撃通信ログレコードD433は、攻撃ステップ:4が記載され、アクセス元ホスト:クライアント端末121aが記載されており、同様に攻撃シナリオ検知情報D101のレコードD111から攻撃検知装置102により「攻撃あり」と判定されたレコードである。
また、受信部111は、攻撃端末ログ情報特定部113に攻撃通信ログ情報D421を送信する(F102)。
以下では、受信部111が、図10の攻撃通信ログレコードD431〜433を攻撃通信ログ情報D421として受信したと仮定して説明を進める。
ここで、攻撃通信ログレコードD431は、攻撃ステップ:2が記載され、アクセス先ホスト:クライアント端末121aが記載されており、攻撃シナリオ検知情報D101のレコードD111から攻撃検知装置102により「兆候あり」と判定されたレコードである。
また、攻撃通信ログレコードD432は、攻撃ステップ:3が記載され、アクセス元ホスト:クライアント端末121aが記載されており、同様に攻撃シナリオ検知情報D101のレコードD111から攻撃検知装置102により「兆候あり」と判定されたレコードである。
また、攻撃通信ログレコードD433は、攻撃ステップ:4が記載され、アクセス元ホスト:クライアント端末121aが記載されており、同様に攻撃シナリオ検知情報D101のレコードD111から攻撃検知装置102により「攻撃あり」と判定されたレコードである。
S102では、攻撃端末ログ情報特定部113が、攻撃通信ログ情報D421に対応する攻撃端末ログ情報を検索する。
まず、攻撃端末ログ情報特定部113は受信部111から攻撃通信ログ情報D421を受信する(F102)。
そして、攻撃端末ログ情報特定部113は、攻撃通信ログ情報D421に関係のある攻撃端末ログ情報を取得するために、受信部111に攻撃端末ログ(プロセスログ)特定用リクエストR101(以下、単にリクエストR101ともいう)と攻撃端末ログ(アクセスログ)特定用リクエストR111(以下、単にリクエストR111ともいう)を送信する(F103)。
攻撃端末ログ情報特定部113は、攻撃通信ログ情報D421から、例えば、図11に示すリクエストR101と図12に示すリクエストR111を生成する。
ここで、図5の端末ログ情報(プロセスログ情報)D201(以下、端末ログD201ともいう)、図7の端末ログ情報(アクセスログ情報)D301(以下、単に端末ログD301ともいう)に通信ポート情報が記載されている場合には、攻撃端末ログ情報特定部113は、ポート番号に対応したリクエストR101及びリクエストR111を生成すればよい。
しかしながら、端末ログ情報(プロセスログ情報)D201及び端末ログ情報(アクセスログ情報)D301からポート番号を取得できない場合は、攻撃端末ログ情報特定部113は、ポート番号に対応したアプリケーションによってリクエストR101及びリクエストR111を作成する。
ポート番号とアプリケーションは、例えば図19のポート番号一覧L101に対応付けられている。
攻撃通信ログレコードD433(図10)のアクセス先ポートは20であり、20番を用いてアクセスするプロセスはポート番号一覧L101(図19)より「プロセス=ftp.exe」であるので、攻撃通信ログレコードD433に対応した攻撃端末ログ(プロセスログ)レコードはD233(図6)である。
また、通信ポートが利用されているということは、ファイルの移動があったと考えられるため、「イベント=move」より、攻撃通信ログレコードD433に対応した攻撃端末ログ(アクセスログ)レコードはD333(図8)である。
また、端末ログD201、D301にサービスが記載されている場合には、攻撃端末ログ情報特定部113は、攻撃通信ログD421(図10)に記載のサービスに対応したリクエストを生成すればよい。
リクエストR101、R111は、攻撃通信ログ情報D421に関係のある攻撃端末ログ情報を検索するための検索条件が記述された検索コマンドである。
なお、リクエストR101、R111の詳細は、後述する。
受信部111は攻撃端末ログ情報特定部113からリクエストR101、R111を受信し(F103)、受信部111はデータ処理システム106にリクエストR101、R111を送信する(F104)。
データ処理システム106は、受信部111からリクエストR101、R111を受信し(F104)、端末ログ情報(プロセスログ情報)D201、端末ログ情報(アクセスログ情報)D301からリクエストR101、R111に適合した端末ログ情報を検索する。
データ処理システム106は、リクエストR101、R111に適合した端末ログ情報を検索できた場合は、検索結果である攻撃端末ログ情報D221、D321(図6、図8)を受信部111に送信する(F105)。
受信部111はデータ処理システム106から攻撃端末ログ情報D221、D321を受信すると、攻撃端末ログ情報特定部113に攻撃端末ログ情報D221、D321を送信する(F106)。
攻撃端末ログ情報特定部113は、受信部111から攻撃端末ログ情報D221、D321を受信すると、攻撃通信ログ情報D421と攻撃端末ログ情報D221、D321を端末ログ情報改ざん検出部114に送信する(F107)。
なお、データ処理システム106においてリクエストR101、R111に適合した端末ログ情報が検索されない場合は、「検索ミスヒット」とのメッセージがデータ処理システム106から受信部111に送信され、受信部111から攻撃端末ログ情報特定部113に転送される。
まず、攻撃端末ログ情報特定部113は受信部111から攻撃通信ログ情報D421を受信する(F102)。
そして、攻撃端末ログ情報特定部113は、攻撃通信ログ情報D421に関係のある攻撃端末ログ情報を取得するために、受信部111に攻撃端末ログ(プロセスログ)特定用リクエストR101(以下、単にリクエストR101ともいう)と攻撃端末ログ(アクセスログ)特定用リクエストR111(以下、単にリクエストR111ともいう)を送信する(F103)。
攻撃端末ログ情報特定部113は、攻撃通信ログ情報D421から、例えば、図11に示すリクエストR101と図12に示すリクエストR111を生成する。
ここで、図5の端末ログ情報(プロセスログ情報)D201(以下、端末ログD201ともいう)、図7の端末ログ情報(アクセスログ情報)D301(以下、単に端末ログD301ともいう)に通信ポート情報が記載されている場合には、攻撃端末ログ情報特定部113は、ポート番号に対応したリクエストR101及びリクエストR111を生成すればよい。
しかしながら、端末ログ情報(プロセスログ情報)D201及び端末ログ情報(アクセスログ情報)D301からポート番号を取得できない場合は、攻撃端末ログ情報特定部113は、ポート番号に対応したアプリケーションによってリクエストR101及びリクエストR111を作成する。
ポート番号とアプリケーションは、例えば図19のポート番号一覧L101に対応付けられている。
攻撃通信ログレコードD433(図10)のアクセス先ポートは20であり、20番を用いてアクセスするプロセスはポート番号一覧L101(図19)より「プロセス=ftp.exe」であるので、攻撃通信ログレコードD433に対応した攻撃端末ログ(プロセスログ)レコードはD233(図6)である。
また、通信ポートが利用されているということは、ファイルの移動があったと考えられるため、「イベント=move」より、攻撃通信ログレコードD433に対応した攻撃端末ログ(アクセスログ)レコードはD333(図8)である。
また、端末ログD201、D301にサービスが記載されている場合には、攻撃端末ログ情報特定部113は、攻撃通信ログD421(図10)に記載のサービスに対応したリクエストを生成すればよい。
リクエストR101、R111は、攻撃通信ログ情報D421に関係のある攻撃端末ログ情報を検索するための検索条件が記述された検索コマンドである。
なお、リクエストR101、R111の詳細は、後述する。
受信部111は攻撃端末ログ情報特定部113からリクエストR101、R111を受信し(F103)、受信部111はデータ処理システム106にリクエストR101、R111を送信する(F104)。
データ処理システム106は、受信部111からリクエストR101、R111を受信し(F104)、端末ログ情報(プロセスログ情報)D201、端末ログ情報(アクセスログ情報)D301からリクエストR101、R111に適合した端末ログ情報を検索する。
データ処理システム106は、リクエストR101、R111に適合した端末ログ情報を検索できた場合は、検索結果である攻撃端末ログ情報D221、D321(図6、図8)を受信部111に送信する(F105)。
受信部111はデータ処理システム106から攻撃端末ログ情報D221、D321を受信すると、攻撃端末ログ情報特定部113に攻撃端末ログ情報D221、D321を送信する(F106)。
攻撃端末ログ情報特定部113は、受信部111から攻撃端末ログ情報D221、D321を受信すると、攻撃通信ログ情報D421と攻撃端末ログ情報D221、D321を端末ログ情報改ざん検出部114に送信する(F107)。
なお、データ処理システム106においてリクエストR101、R111に適合した端末ログ情報が検索されない場合は、「検索ミスヒット」とのメッセージがデータ処理システム106から受信部111に送信され、受信部111から攻撃端末ログ情報特定部113に転送される。
ここで、リクエストR101を説明する。
リクエストR101には、図11に示すように、日付、時刻、ホスト名、プロセス名(ポート番号)等についての検索条件を含ませる。
攻撃端末ログ情報特定部113は、攻撃通信ログレコードD433の日付、時刻である「2013/07/31 20:30:02」から、「日付=2013/07/31」と「時刻between 20:29:52 and 20:30:12」との検索条件をリクエストR101に含ませる。
通信ログ情報を取得する機器と端末ログ情報を取得する機器が異なるため、通信ログ情報の取得時刻と端末ログ情報の取得時刻の間に時間的なずれが生じる可能性がある。
そこで、攻撃端末ログ情報特定部113は、このような許容誤差(図11の例では、10秒)を吸収できるようにして日付および時刻の検索条件を決定する。
例えば、図6の攻撃端末ログレコードD213の時刻は許容誤差範囲内なので、攻撃端末ログレコードD213は攻撃端末ログ情報(プロセスログ情報)D221として抽出される。
同様に、図7の攻撃端末ログレコードD313の時刻も許容誤差範囲内なので、攻撃端末ログレコードD313は攻撃端末ログ情報(アクセスログ情報)D321として抽出される。
また、攻撃端末ログ情報特定部113は、攻撃通信ログレコードD433のアクセス元ホストのID(Identifier)である「クライアント端末121a」が特定される「ホスト名=クライアント端末121a」と、ポート番号「20」と、「プロセス=ftp.exe」とを検索条件としてリクエストR101に含ませる。
「プロセス=ftp.exe」は、ポート番号一覧L101(図19)に従い、ポート番号20に対応するプロセスである「FTP」から得られる。
また、リクエストR111を説明する。
リクエストR111には、図12に示すように、日付、時刻、アクセス元ホスト名、アクセス先ホスト名等についての検索条件を含ませる。
日付、時刻についてはリクエストR101と同様である。
アクセス元ホストについては、攻撃端末ログ情報特定部113は、通信ログレコードD433(図10)のアクセス元ホストのIDである「クライアント端末121a」を、アクセス先ホストについては、通信ログレコードD433(図10)のアクセス先ホストのIDである「サーバ122a」を、検索条件としてリクエストR101に含ませる。
リクエストR101には、図11に示すように、日付、時刻、ホスト名、プロセス名(ポート番号)等についての検索条件を含ませる。
攻撃端末ログ情報特定部113は、攻撃通信ログレコードD433の日付、時刻である「2013/07/31 20:30:02」から、「日付=2013/07/31」と「時刻between 20:29:52 and 20:30:12」との検索条件をリクエストR101に含ませる。
通信ログ情報を取得する機器と端末ログ情報を取得する機器が異なるため、通信ログ情報の取得時刻と端末ログ情報の取得時刻の間に時間的なずれが生じる可能性がある。
そこで、攻撃端末ログ情報特定部113は、このような許容誤差(図11の例では、10秒)を吸収できるようにして日付および時刻の検索条件を決定する。
例えば、図6の攻撃端末ログレコードD213の時刻は許容誤差範囲内なので、攻撃端末ログレコードD213は攻撃端末ログ情報(プロセスログ情報)D221として抽出される。
同様に、図7の攻撃端末ログレコードD313の時刻も許容誤差範囲内なので、攻撃端末ログレコードD313は攻撃端末ログ情報(アクセスログ情報)D321として抽出される。
また、攻撃端末ログ情報特定部113は、攻撃通信ログレコードD433のアクセス元ホストのID(Identifier)である「クライアント端末121a」が特定される「ホスト名=クライアント端末121a」と、ポート番号「20」と、「プロセス=ftp.exe」とを検索条件としてリクエストR101に含ませる。
「プロセス=ftp.exe」は、ポート番号一覧L101(図19)に従い、ポート番号20に対応するプロセスである「FTP」から得られる。
また、リクエストR111を説明する。
リクエストR111には、図12に示すように、日付、時刻、アクセス元ホスト名、アクセス先ホスト名等についての検索条件を含ませる。
日付、時刻についてはリクエストR101と同様である。
アクセス元ホストについては、攻撃端末ログ情報特定部113は、通信ログレコードD433(図10)のアクセス元ホストのIDである「クライアント端末121a」を、アクセス先ホストについては、通信ログレコードD433(図10)のアクセス先ホストのIDである「サーバ122a」を、検索条件としてリクエストR101に含ませる。
次に、S103では、端末ログ情報改ざん検出部114が、端末ログ情報が改ざんされているか否かを判定する。
つまり、端末ログ情報改ざん検出部114は、攻撃端末ログ情報特定部113から攻撃通信ログ情報D421と攻撃端末ログ情報D221、D321又は「検索ミスヒット」とのメッセージを受信する(F107)。
攻撃端末ログ情報D221、D321を受信した場合は、端末ログ情報改ざん検出部114は端末ログ情報に改ざんがないと判定する。
一方、「検索ミスヒット」とのメッセージを受信した場合は、端末ログ情報改ざん検出部114は端末ログ情報が改ざんされていると判定する。
より具体的には、端末ログ情報改ざん検出部114は、攻撃通信ログ情報D421に記述されている端末(図10の例では、クライアント端末121a)の端末ログ情報が改ざんされていると判定し、また、この端末がマルウェアに感染していると判定する。
ここでは、クライアント端末121aは攻撃通信ログに対応した攻撃端末ログが検出されているため、改ざんされてはいないとみなす。
端末ログ情報が改ざんされていなければ、端末ログ情報改ざん検出部114は、攻撃ユーザ特定部115に端末ログに改ざんがないことを伝える(F108)。
一方、端末ログ情報が改ざんされていれば、端末ログ情報改ざん検出部114は、感染活動特定部116に改ざんがあったことを伝える(F117)。
つまり、端末ログ情報改ざん検出部114は、攻撃端末ログ情報特定部113から攻撃通信ログ情報D421と攻撃端末ログ情報D221、D321又は「検索ミスヒット」とのメッセージを受信する(F107)。
攻撃端末ログ情報D221、D321を受信した場合は、端末ログ情報改ざん検出部114は端末ログ情報に改ざんがないと判定する。
一方、「検索ミスヒット」とのメッセージを受信した場合は、端末ログ情報改ざん検出部114は端末ログ情報が改ざんされていると判定する。
より具体的には、端末ログ情報改ざん検出部114は、攻撃通信ログ情報D421に記述されている端末(図10の例では、クライアント端末121a)の端末ログ情報が改ざんされていると判定し、また、この端末がマルウェアに感染していると判定する。
ここでは、クライアント端末121aは攻撃通信ログに対応した攻撃端末ログが検出されているため、改ざんされてはいないとみなす。
端末ログ情報が改ざんされていなければ、端末ログ情報改ざん検出部114は、攻撃ユーザ特定部115に端末ログに改ざんがないことを伝える(F108)。
一方、端末ログ情報が改ざんされていれば、端末ログ情報改ざん検出部114は、感染活動特定部116に改ざんがあったことを伝える(F117)。
端末ログ情報の改ざんがなければ(S103でNO)、S104において、攻撃ユーザ特定部115が、攻撃ユーザを特定する。
まず、攻撃ユーザ特定部115は、端末ログ情報改ざん検出部114から端末ログ情報が改ざんされていないことを通知するメッセージと攻撃端末ログ情報D221、D321を受信し(F108)、攻撃端末ログ情報D221、D321から攻撃ユーザを特定する。
そして、攻撃ユーザ特定部115は、全ての攻撃ステップに関与した攻撃ユーザを抽出して、攻撃検知装置102で検知された攻撃を行った攻撃ユーザを特定する。
また、攻撃ユーザ特定部115は、特定した攻撃ユーザが示される攻撃ユーザ情報を感染活動特定部116に送信する(F109)。
一方、端末ログ情報に改ざんがあれば(S103でYES)、攻撃ユーザは特定できないため、攻撃ユーザの特定(S104)は行われず、感染活動の特定が行われる(S105)。
攻撃通信ログレコードD433に関する攻撃端末ログレコードD233、D333が存在しない場合は、ログが改ざんされているため、攻撃ユーザを特定することができない。
そこで、感染活動特定部116は、攻撃ステップ3以降の通信ログ情報D401(図9)の中で、端末ログが改ざんされた端末から他端末へアクセスを検出し、アクセスされた端末はマルウェア感染の可能性のある端末とする。
この例では、感染活動特定部116は、図22のリクエストR221を受信部111から通信ログ記録装置104へ送信し、通信ログ記録装置104から必要な通信ログ401を取得することによって、他端末への感染活動を特定することができる。
まず、攻撃ユーザ特定部115は、端末ログ情報改ざん検出部114から端末ログ情報が改ざんされていないことを通知するメッセージと攻撃端末ログ情報D221、D321を受信し(F108)、攻撃端末ログ情報D221、D321から攻撃ユーザを特定する。
そして、攻撃ユーザ特定部115は、全ての攻撃ステップに関与した攻撃ユーザを抽出して、攻撃検知装置102で検知された攻撃を行った攻撃ユーザを特定する。
また、攻撃ユーザ特定部115は、特定した攻撃ユーザが示される攻撃ユーザ情報を感染活動特定部116に送信する(F109)。
一方、端末ログ情報に改ざんがあれば(S103でYES)、攻撃ユーザは特定できないため、攻撃ユーザの特定(S104)は行われず、感染活動の特定が行われる(S105)。
攻撃通信ログレコードD433に関する攻撃端末ログレコードD233、D333が存在しない場合は、ログが改ざんされているため、攻撃ユーザを特定することができない。
そこで、感染活動特定部116は、攻撃ステップ3以降の通信ログ情報D401(図9)の中で、端末ログが改ざんされた端末から他端末へアクセスを検出し、アクセスされた端末はマルウェア感染の可能性のある端末とする。
この例では、感染活動特定部116は、図22のリクエストR221を受信部111から通信ログ記録装置104へ送信し、通信ログ記録装置104から必要な通信ログ401を取得することによって、他端末への感染活動を特定することができる。
ログ改ざんがない場合でも、S105において、感染活動特定部116が、他の端末に対する感染活動を特定する。
ログ改ざんがない場合は、まず感染活動特定部116が、攻撃ユーザ特定部115から攻撃ユーザ情報を受信する(F109)。
感染活動特定部116は、攻撃ユーザの感染活動に関する感染活動端末ログ情報(マルウェア転送)を取得するため、受信部111にリクエストR201、R211(図20、図21)を送信する(F110)。
受信部111は、感染活動特定部116からリクエストR201、R211を受信し(F110)、データ処理システム106へリクエストR201、R211を送信する(F111)。
データ処理システム106はリクエストR201、R211を受信し(F111)、端末ログ情報からリクエストR201、R211に応じた感染活動端末ログ情報を受信部111に送信する(F112)。
受信部111はデータ処理システム106から攻撃端末ログ情報を受信し(F112)、受信した攻撃端末ログ情報を感染活動特定部116に送信する(F113)。
ここで、リクエストR201とリクエストR211を説明する。
リクエストR201とリクエストR211は感染端末から他端末への感染活動を端末ログ情報の中から特定するリクエストである。
リクエストR201は攻撃ユーザによる攻撃ステップ4の実行を端末ログ情報(プロセスログ情報)D201(図5)の中から特定するリクエストである。
攻撃ステップ4は、他端末への感染活動に関する攻撃ステップであるため、感染活動特定部116は、攻撃ユーザが攻撃ステップ4を行っているかを特定することによって感染活動を特定する。
リクエストR201により、端末ログ情報(プロセスログ情報)レコードD214(図5)が特定される。
特定された端末ログ情報(プロセスログ情報)レコードD214は感染活動端末ログ情報(プロセスログ情報)D241(図16)に登録される。
また、リクエストR211は攻撃ステップ3以降に感染端末が他端末へアクセスしたことを端末ログ情報(アクセスログ情報)D301(図7)の中から特定するリクエストである。
攻撃端末ログ(アクセスログ情報)D321(図8)において、攻撃ステップ3のログはレコードD332であるため、感染活動特定部116は、「2013/05/05 12:00:00」以降で、感染端末であるクライアント端末121aの攻撃ユーザであるuser122a1からファイル送信(move)されたデータ処理システム106内の端末を探索する。
リクエストR211により、端末ログ情報(アクセスログ情報)レコードD313、D314(図7)が特定される。
これにより、感染活動特定部116は、クライアント端末121aの攻撃ユーザであるuser122a1がサーバ端末122aへマルウェアを送信したことを特定する。
サーバ端末122aはマルウェアに感染している可能性が高い。
特定された端末ログ情報(アクセスログ情報)レコードD313、D314は感染活動端末ログ情報(アクセスログ情報)D341(図17)に登録される。
一方、ログが改ざんされた場合は、端末ログ情報を利用することができないため、感染活動特定部116は、通信ログ情報(図9)を利用して、感染範囲を特定する。
まず、感染活動特定部116が、端末ログ情報改ざん検出部114から改ざんありの情報を受信する(F117)。
感染活動特定部116は、感染活動通信ログ情報(マルウェア転送)を取得するため、受信部111にリクエストR221を送信する(F110)。
受信部111は、感染活動特定部116からリクエストR221を受信し(F110)、攻撃検知装置102へリクエストR221を送信する(F118)。
攻撃検知装置102はリクエストR221を受信し(F118)、通信ログ情報からリクエストR221に応じた感染活動通信ログ情報D441(図18)を通信ログ記録装置104から検索し、検索した感染活動通信ログ情報D441(図18)を受信部111に送信する(F119)。
受信部111は攻撃検知装置102から感染活動通信ログ情報D441(図18)を受信し(F119)、受信した感染活動通信ログ情報D441(図18)を感染活動特定部116に送信する(F113)。
ここで、リクエストR221を説明する。
リクエストR221は感染端末から他端末への感染活動を通信ログ情報(図9)の中から特定するリクエストである。
リクエストR221は、攻撃ステップ3以降に感染端末が他端末へアクセスしたことを特定するリクエストである。
攻撃通信ログ情報(図10)において、攻撃ステップ3のログはレコードD432であるため、感染活動特定部116は、「2013/05/05 12:00:00」以降で、感染端末であるクライアント端末121aからアクセスされたデータ処理システム106内の端末を探索する。
リクエストR221により、通信ログ情報(図9)のレコードD414が特定される。
これにより、感染活動特定部116は、クライアント端末121aからサーバ端末122aへマルウェアを送信された可能性があることを特定する。
サーバ端末122aはマルウェアに感染している可能性が高い。
特定された通信ログ情報のレコードD414は感染活動ログ情報D441(図18)に登録される。
ログ改ざんがない場合は、まず感染活動特定部116が、攻撃ユーザ特定部115から攻撃ユーザ情報を受信する(F109)。
感染活動特定部116は、攻撃ユーザの感染活動に関する感染活動端末ログ情報(マルウェア転送)を取得するため、受信部111にリクエストR201、R211(図20、図21)を送信する(F110)。
受信部111は、感染活動特定部116からリクエストR201、R211を受信し(F110)、データ処理システム106へリクエストR201、R211を送信する(F111)。
データ処理システム106はリクエストR201、R211を受信し(F111)、端末ログ情報からリクエストR201、R211に応じた感染活動端末ログ情報を受信部111に送信する(F112)。
受信部111はデータ処理システム106から攻撃端末ログ情報を受信し(F112)、受信した攻撃端末ログ情報を感染活動特定部116に送信する(F113)。
ここで、リクエストR201とリクエストR211を説明する。
リクエストR201とリクエストR211は感染端末から他端末への感染活動を端末ログ情報の中から特定するリクエストである。
リクエストR201は攻撃ユーザによる攻撃ステップ4の実行を端末ログ情報(プロセスログ情報)D201(図5)の中から特定するリクエストである。
攻撃ステップ4は、他端末への感染活動に関する攻撃ステップであるため、感染活動特定部116は、攻撃ユーザが攻撃ステップ4を行っているかを特定することによって感染活動を特定する。
リクエストR201により、端末ログ情報(プロセスログ情報)レコードD214(図5)が特定される。
特定された端末ログ情報(プロセスログ情報)レコードD214は感染活動端末ログ情報(プロセスログ情報)D241(図16)に登録される。
また、リクエストR211は攻撃ステップ3以降に感染端末が他端末へアクセスしたことを端末ログ情報(アクセスログ情報)D301(図7)の中から特定するリクエストである。
攻撃端末ログ(アクセスログ情報)D321(図8)において、攻撃ステップ3のログはレコードD332であるため、感染活動特定部116は、「2013/05/05 12:00:00」以降で、感染端末であるクライアント端末121aの攻撃ユーザであるuser122a1からファイル送信(move)されたデータ処理システム106内の端末を探索する。
リクエストR211により、端末ログ情報(アクセスログ情報)レコードD313、D314(図7)が特定される。
これにより、感染活動特定部116は、クライアント端末121aの攻撃ユーザであるuser122a1がサーバ端末122aへマルウェアを送信したことを特定する。
サーバ端末122aはマルウェアに感染している可能性が高い。
特定された端末ログ情報(アクセスログ情報)レコードD313、D314は感染活動端末ログ情報(アクセスログ情報)D341(図17)に登録される。
一方、ログが改ざんされた場合は、端末ログ情報を利用することができないため、感染活動特定部116は、通信ログ情報(図9)を利用して、感染範囲を特定する。
まず、感染活動特定部116が、端末ログ情報改ざん検出部114から改ざんありの情報を受信する(F117)。
感染活動特定部116は、感染活動通信ログ情報(マルウェア転送)を取得するため、受信部111にリクエストR221を送信する(F110)。
受信部111は、感染活動特定部116からリクエストR221を受信し(F110)、攻撃検知装置102へリクエストR221を送信する(F118)。
攻撃検知装置102はリクエストR221を受信し(F118)、通信ログ情報からリクエストR221に応じた感染活動通信ログ情報D441(図18)を通信ログ記録装置104から検索し、検索した感染活動通信ログ情報D441(図18)を受信部111に送信する(F119)。
受信部111は攻撃検知装置102から感染活動通信ログ情報D441(図18)を受信し(F119)、受信した感染活動通信ログ情報D441(図18)を感染活動特定部116に送信する(F113)。
ここで、リクエストR221を説明する。
リクエストR221は感染端末から他端末への感染活動を通信ログ情報(図9)の中から特定するリクエストである。
リクエストR221は、攻撃ステップ3以降に感染端末が他端末へアクセスしたことを特定するリクエストである。
攻撃通信ログ情報(図10)において、攻撃ステップ3のログはレコードD432であるため、感染活動特定部116は、「2013/05/05 12:00:00」以降で、感染端末であるクライアント端末121aからアクセスされたデータ処理システム106内の端末を探索する。
リクエストR221により、通信ログ情報(図9)のレコードD414が特定される。
これにより、感染活動特定部116は、クライアント端末121aからサーバ端末122aへマルウェアを送信された可能性があることを特定する。
サーバ端末122aはマルウェアに感染している可能性が高い。
特定された通信ログ情報のレコードD414は感染活動ログ情報D441(図18)に登録される。
感染活動特定部116が他の端末に対する感染活動を検知した場合(S106でYES)、感染活動特定部116は、ログが改ざんされなかった場合は、S105で受信した感染活動端末ログ情報D241、D341を、ログが改ざんされた場合は、S105で受信した感染活動通信ログ情報D441を攻撃端末ログ情報特定部113に送信する(F114)。
そして、攻撃端末ログ情報特定部113は、感染活動特定部116から感染活動端末ログ情報D241、D341または、感染活動通信ログ情報D441を受信すると(F114)、感染活動先の端末(感染活動端末ログ情報(アクセスログ情報)D351であれば、サーバ端末122a)に関する端末ログ情報に対して、S102以降の処理を繰り返す。
つまり、攻撃端末ログ情報特定部113による端末ログ情報の検索と、感染活動特定部16によるマルウェアに感染している可能性のある端末の特定とが繰り返される。
S102では、攻撃端末ログ情報特定部113が攻撃通信ログ情報D421から攻撃端末ログ情報D221、D321を特定するが、S106で特定された感染活動端末ログ情報D241、D341や感染活動通信ログ情報D441は、感染活動先の端末にとっては、初期潜入(マルウェアを送信された)段階の攻撃にあたる。
このため、攻撃端末ログ情報特定部113は、攻撃端末ログ情報D221、D321や攻撃通信ログ情報D421に攻撃ステップ2のラベルを付加し、攻撃端末ログ情報D221、D321や攻撃通信ログ情報D421に、上記ラベルを付加された感染活動端末ログ情報D241、D341や攻撃通信ログ情報D441のレコードを追加する。
一方、感染活動特定部116が他端末に対する感染活動を検知しない場合(S106でNO)は、これまでに発見された感染端末に関するレコードを、端末感染情報D501(図13)に登録する。
例えば、感染活動特定部116は、端末感染情報D501に端末感染レコードD511〜D516等を登録する。
そして、感染活動特定部116は、端末感染情報D501を送信部112に送信する(F115)。
送信部112は、感染活動特定部116から端末感染情報D501を受信すると(F115)、監視装置107に端末感染情報D501を送信する。
監視装置107は、送信部112から端末感染情報D501を受信すると、端末感染情報D501をディスプレイに表示する。
これにより、ネットワークセキュリティ管理者はクライアント端末121a、122b、121d、サーバ端末122aがマルウェアに感染していることを確認することができる。
そして、攻撃端末ログ情報特定部113は、感染活動特定部116から感染活動端末ログ情報D241、D341または、感染活動通信ログ情報D441を受信すると(F114)、感染活動先の端末(感染活動端末ログ情報(アクセスログ情報)D351であれば、サーバ端末122a)に関する端末ログ情報に対して、S102以降の処理を繰り返す。
つまり、攻撃端末ログ情報特定部113による端末ログ情報の検索と、感染活動特定部16によるマルウェアに感染している可能性のある端末の特定とが繰り返される。
S102では、攻撃端末ログ情報特定部113が攻撃通信ログ情報D421から攻撃端末ログ情報D221、D321を特定するが、S106で特定された感染活動端末ログ情報D241、D341や感染活動通信ログ情報D441は、感染活動先の端末にとっては、初期潜入(マルウェアを送信された)段階の攻撃にあたる。
このため、攻撃端末ログ情報特定部113は、攻撃端末ログ情報D221、D321や攻撃通信ログ情報D421に攻撃ステップ2のラベルを付加し、攻撃端末ログ情報D221、D321や攻撃通信ログ情報D421に、上記ラベルを付加された感染活動端末ログ情報D241、D341や攻撃通信ログ情報D441のレコードを追加する。
一方、感染活動特定部116が他端末に対する感染活動を検知しない場合(S106でNO)は、これまでに発見された感染端末に関するレコードを、端末感染情報D501(図13)に登録する。
例えば、感染活動特定部116は、端末感染情報D501に端末感染レコードD511〜D516等を登録する。
そして、感染活動特定部116は、端末感染情報D501を送信部112に送信する(F115)。
送信部112は、感染活動特定部116から端末感染情報D501を受信すると(F115)、監視装置107に端末感染情報D501を送信する。
監視装置107は、送信部112から端末感染情報D501を受信すると、端末感染情報D501をディスプレイに表示する。
これにより、ネットワークセキュリティ管理者はクライアント端末121a、122b、121d、サーバ端末122aがマルウェアに感染していることを確認することができる。
以上のように、本実施の形態では、端末ログ情報改ざん検出部114が、攻撃通信ログ情報を用いて端末ログ情報が不正に改ざんされたかどうかを判定するため、攻撃者の攻撃隠ぺい活動を検出することができる。
そして、端末ログ情報の改ざんを検出することで、ログ情報の解析以外の方法で早期にマルウェアの感染範囲を特定することが可能となる。
そして、端末ログ情報の改ざんを検出することで、ログ情報の解析以外の方法で早期にマルウェアの感染範囲を特定することが可能となる。
また、本実施の形態では、攻撃者が端末に侵入した後の行動をログから追跡しており、例えば、RAT(Remote Administration Tool)と呼ばれるマルウェアの感染範囲の特定に有用である。
また、本実施の形態では、端末ログ情報は、端末ごとに保持することができるため、端末からログ情報を定期的にログサーバにアップロードする必要がなく、データ処理システム内のトラフィックを抑制することができる。
また、ユーザにとっても端末内の操作を常時監視されることはないので、精神的なストレスを感じることがない。
さらに、攻撃ユーザを特定することで、攻撃ユーザの一連の攻撃内容を把握することができる。
また、攻撃ユーザでなければ、実行ファイル転送のような攻撃に似たログを特定したとしても、攻撃に無関係であるため、誤報を減らすことができる。
また、ユーザにとっても端末内の操作を常時監視されることはないので、精神的なストレスを感じることがない。
さらに、攻撃ユーザを特定することで、攻撃ユーザの一連の攻撃内容を把握することができる。
また、攻撃ユーザでなければ、実行ファイル転送のような攻撃に似たログを特定したとしても、攻撃に無関係であるため、誤報を減らすことができる。
攻撃端末ログ情報特定部113は、端末ログ情報(プロセスログ情報)と端末ログ情報(アクセスログ情報)にアクセスしたファイルの情報を追加して、端末ログ情報(プロセスログ情報)と端末ログ情報(アクセスログ情報)を対応付けるようにしてもよい。
また、攻撃端末ログ情報特定部113は、端末ログ情報(プロセスログ情報)と端末ログ情報(アクセスログ情報)にプロセスIDを追加して、端末ログ情報(プロセスログ情報)と端末ログ情報(アクセスログ情報)を対応付けるようにしてもよい。
また、端末ログ情報(プロセスログ情報)及び端末ログ情報(アクセスログ情報)に情報を追加できない場合でも、攻撃端末ログ情報特定部113は、端末ログ情報(プロセスログ情報)のプロセスと端末ログ情報(アクセスログ情報)のアクセスファイルとイベントから対応する端末ログ情報(プロセスログ情報)と端末ログ情報(アクセスログ情報)を推測するようにしてもよい。
上記、端末ログ情報(プロセスログ情報)と端末ログ情報(アクセスログ情報)の対応付けによって、端末ログ情報(プロセスログ情報)に関するリクエスト、または、端末ログ情報(アクセスログ情報)に関するリクエストのみで、攻撃端末ログ情報や感染端末ログ情報を取得することが可能になる。
また、攻撃端末ログ情報特定部113は、端末ログ情報(プロセスログ情報)と端末ログ情報(アクセスログ情報)にプロセスIDを追加して、端末ログ情報(プロセスログ情報)と端末ログ情報(アクセスログ情報)を対応付けるようにしてもよい。
また、端末ログ情報(プロセスログ情報)及び端末ログ情報(アクセスログ情報)に情報を追加できない場合でも、攻撃端末ログ情報特定部113は、端末ログ情報(プロセスログ情報)のプロセスと端末ログ情報(アクセスログ情報)のアクセスファイルとイベントから対応する端末ログ情報(プロセスログ情報)と端末ログ情報(アクセスログ情報)を推測するようにしてもよい。
上記、端末ログ情報(プロセスログ情報)と端末ログ情報(アクセスログ情報)の対応付けによって、端末ログ情報(プロセスログ情報)に関するリクエスト、または、端末ログ情報(アクセスログ情報)に関するリクエストのみで、攻撃端末ログ情報や感染端末ログ情報を取得することが可能になる。
また、攻撃通信ログ情報と端末ログ情報に記載されるアクセス元ホストとアクセス先ホストはそれぞれアクセス元IP(Internet Protocol)アドレスとアクセス先IPアドレスで定義されていてもよい。
通信ログ情報がホスト名を記録しており、端末ログ情報がIPアドレスを記録していても、攻撃端末ログ情報特定部113は、ホスト名とIPアドレスの対応表を利用することで、攻撃通信ログ情報と端末ログ情報を紐付けすることができる。
また、攻撃端末ログ情報特定部113は、DNS(Domain Name System)サーバや認証サーバ等に記録されている対応表を利用することで、攻撃通信ログ情報と端末ログ情報を紐付けすることができる。
また、DHCP(Dynamic Host Configuration Protocol)を利用しているネットワークでは、攻撃端末ログ情報特定部113は、MAC(Media Access Control)アドレスを通信ログ情報と端末ログ情報に追加することで、攻撃通信ログ情報と端末ログ情報を紐付けすることができる。
通信ログ情報がホスト名を記録しており、端末ログ情報がIPアドレスを記録していても、攻撃端末ログ情報特定部113は、ホスト名とIPアドレスの対応表を利用することで、攻撃通信ログ情報と端末ログ情報を紐付けすることができる。
また、攻撃端末ログ情報特定部113は、DNS(Domain Name System)サーバや認証サーバ等に記録されている対応表を利用することで、攻撃通信ログ情報と端末ログ情報を紐付けすることができる。
また、DHCP(Dynamic Host Configuration Protocol)を利用しているネットワークでは、攻撃端末ログ情報特定部113は、MAC(Media Access Control)アドレスを通信ログ情報と端末ログ情報に追加することで、攻撃通信ログ情報と端末ログ情報を紐付けすることができる。
また、攻撃ユーザ特定部115は、全ての攻撃ステップではなく、主要となる攻撃ステップに関与した攻撃ユーザを特定するとしてもよい。
例えば、攻撃ステップに重みをつけて、ある閾値以上の攻撃に関与した場合は攻撃ユーザと見なすという方法が考えられる。
例えば、攻撃ステップ2の重み=1、攻撃ステップ3の重み=3、攻撃ステップ4の重み=5とし、閾値を6以上とした場合、あるユーザが攻撃ステップ2と攻撃ステップ4に関与した場合は、重み6となり、当該ユーザは攻撃ユーザと判定される。
例えば、攻撃ステップに重みをつけて、ある閾値以上の攻撃に関与した場合は攻撃ユーザと見なすという方法が考えられる。
例えば、攻撃ステップ2の重み=1、攻撃ステップ3の重み=3、攻撃ステップ4の重み=5とし、閾値を6以上とした場合、あるユーザが攻撃ステップ2と攻撃ステップ4に関与した場合は、重み6となり、当該ユーザは攻撃ユーザと判定される。
また、攻撃ユーザ特定部115は、ユーザの他ユーザへのアカウント切り替え(ログイン中にsuコマンド等で別のアカウントでログインする等)を特定し、ユーザ間の利用アカウント関係を考慮した攻撃ユーザ群を特定するようにしてもよい。
また、攻撃ユーザ特定部115は、攻撃ステップ3および攻撃ステップ4にて、ブルートフォースによるパスワード搾取やパスワードハッシュの取得といった他のユーザアカウント取得行動を監視し、攻撃ユーザ群を特定するようにしてもよい。
また、攻撃ユーザ特定部115は、攻撃ステップ3および攻撃ステップ4にて、複数ファイルのダウンロードや他端末への頻繁なアクセスといった一般ユーザとは異なる活動を行うユーザを特定することで攻撃ユーザを特定するようにしてもよい。
また、感染活動特定部116は、攻撃ユーザ特定部115により特定された攻撃ユーザの他端末でのファイル実行、他端末へのリモートアクセスと他端末でのファイルダウンロード等の他端末への感染活動を特定するようにしてもよい。
実施の形態2.
以上の実施の形態1では、クライアント端末121とサーバ端末122でそれぞれクライアント端末ログ記録装置131とサーバ端末ログ記録装置132を保有していた。
これに代えて、データ処理システム106内でログサーバ(処理ログ情報サーバ装置)を用意し、各クライアント端末121と各サーバ端末122が、それぞれの端末ログ情報をログサーバにアップロードするようにしてもよい。
つまり、クライアント端末121とサーバ端末122がそれぞれ保有するクライアント端末ログ記録装置131とサーバ端末ログ記録装置132を、ログサーバに集約するようにしてもよい。
ログサーバを用意することで、端末ログ情報を一元管理することができ、端末ログ情報の保守・運用が容易になる。
また、感染範囲特定装置101は各端末のクライアント端末ログ記録装置131又はサーバ端末ログ記録装置132から端末ログ情報を取得する必要がなく、ログサーバのみから端末ログ情報を取得するだけでよい。
以上の実施の形態1では、クライアント端末121とサーバ端末122でそれぞれクライアント端末ログ記録装置131とサーバ端末ログ記録装置132を保有していた。
これに代えて、データ処理システム106内でログサーバ(処理ログ情報サーバ装置)を用意し、各クライアント端末121と各サーバ端末122が、それぞれの端末ログ情報をログサーバにアップロードするようにしてもよい。
つまり、クライアント端末121とサーバ端末122がそれぞれ保有するクライアント端末ログ記録装置131とサーバ端末ログ記録装置132を、ログサーバに集約するようにしてもよい。
ログサーバを用意することで、端末ログ情報を一元管理することができ、端末ログ情報の保守・運用が容易になる。
また、感染範囲特定装置101は各端末のクライアント端末ログ記録装置131又はサーバ端末ログ記録装置132から端末ログ情報を取得する必要がなく、ログサーバのみから端末ログ情報を取得するだけでよい。
実施の形態3.
以上の実施の形態2では、クライアント端末121とサーバ端末122がそれぞれ保有するクライアント端末ログ記録装置131とサーバ端末ログ記録装置132を、ログサーバに集約する構成を示した。
これに代えて、クライアント端末ログ記録装置131とサーバ端末ログ記録装置132を感染範囲特定装置101が保有してもよい。
つまり、感染範囲特定装置101に、クライアント端末121とサーバ端末122の端末ログ情報を記憶する記憶領域(処理ログ情報記憶部)を設けるようにしてもよい。
これにより、感染範囲特定装置101は、端末ログ情報の取得が容易になる。
以上の実施の形態2では、クライアント端末121とサーバ端末122がそれぞれ保有するクライアント端末ログ記録装置131とサーバ端末ログ記録装置132を、ログサーバに集約する構成を示した。
これに代えて、クライアント端末ログ記録装置131とサーバ端末ログ記録装置132を感染範囲特定装置101が保有してもよい。
つまり、感染範囲特定装置101に、クライアント端末121とサーバ端末122の端末ログ情報を記憶する記憶領域(処理ログ情報記憶部)を設けるようにしてもよい。
これにより、感染範囲特定装置101は、端末ログ情報の取得が容易になる。
実施の形態4.
また、図1では、感染範囲特定装置101と攻撃検知装置102と監視装置107を別々の装置に分けている。
これに代えて、攻撃検知装置102と監視装置107を感染範囲特定装置101に含めてよい。
つまり、感染範囲特定装置101に、攻撃検知装置102と同じ機能の攻撃検知部を設け、監視装置107と同じ機能の監視部を含めるようにしてもよい。
感染範囲特定装置101の機能と攻撃検知装置102の機能と監視装置107の機能を一つにすることで、データの受け渡しを簡単にすることができる。
また、図1では、感染範囲特定装置101と攻撃検知装置102と監視装置107を別々の装置に分けている。
これに代えて、攻撃検知装置102と監視装置107を感染範囲特定装置101に含めてよい。
つまり、感染範囲特定装置101に、攻撃検知装置102と同じ機能の攻撃検知部を設け、監視装置107と同じ機能の監視部を含めるようにしてもよい。
感染範囲特定装置101の機能と攻撃検知装置102の機能と監視装置107の機能を一つにすることで、データの受け渡しを簡単にすることができる。
最後に、実施の形態1〜4に示した感染範囲特定装置101のハードウェア構成例を図23を参照して説明する。
感染範囲特定装置101はコンピュータであり、感染範囲特定装置101の各要素をプログラムで実現することができる。
感染範囲特定装置101のハードウェア構成としては、バスに、演算装置901、外部記憶装置902、主記憶装置903、通信装置904、入出力装置905が接続されている。
感染範囲特定装置101はコンピュータであり、感染範囲特定装置101の各要素をプログラムで実現することができる。
感染範囲特定装置101のハードウェア構成としては、バスに、演算装置901、外部記憶装置902、主記憶装置903、通信装置904、入出力装置905が接続されている。
演算装置901は、プログラムを実行するCPU(Central Processing Unit)である。
外部記憶装置902は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置である。
主記憶装置903は、RAM(Random Access Memory)である。
通信装置904は、受信部111及び送信部112の物理層に対応する。
入出力装置905は、例えばマウス、キーボード、ディスプレイ装置等である。
外部記憶装置902は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置である。
主記憶装置903は、RAM(Random Access Memory)である。
通信装置904は、受信部111及び送信部112の物理層に対応する。
入出力装置905は、例えばマウス、キーボード、ディスプレイ装置等である。
プログラムは、通常は外部記憶装置902に記憶されており、主記憶装置903にロードされた状態で、順次演算装置901に読み込まれ、実行される。
プログラムは、図1に示す「〜部」として説明している機能を実現するプログラムである。
更に、外部記憶装置902にはオペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置903にロードされ、演算装置901はOSを実行しながら、図1に示す「〜部」の機能を実現するプログラムを実行する。
また、実施の形態1〜4の説明において、「〜の判断」、「〜の判定」、「〜の抽出」、「〜の検知」、「〜の検知」、「〜の設定」、「〜の登録」、「〜の選択」、「〜の検索」、「〜の生成」、「〜の受信」、「〜の送信」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置903にファイルとして記憶されている。
プログラムは、図1に示す「〜部」として説明している機能を実現するプログラムである。
更に、外部記憶装置902にはオペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置903にロードされ、演算装置901はOSを実行しながら、図1に示す「〜部」の機能を実現するプログラムを実行する。
また、実施の形態1〜4の説明において、「〜の判断」、「〜の判定」、「〜の抽出」、「〜の検知」、「〜の検知」、「〜の設定」、「〜の登録」、「〜の選択」、「〜の検索」、「〜の生成」、「〜の受信」、「〜の送信」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置903にファイルとして記憶されている。
なお、図23の構成は、あくまでも感染範囲特定装置101のハードウェア構成の一例を示すものであり、感染範囲特定装置101のハードウェア構成は図23に記載の構成に限らず、他の構成であってもよい。
また、実施の形態1〜4に示した攻撃検知装置102、セキュリティ機器103、クライアント端末121、サーバ端末122も、図23のハードウェア構成をしていてもよいし、他のハードウェア構成であってもよい。
また、実施の形態1〜4に示した攻撃検知装置102、セキュリティ機器103、クライアント端末121、サーバ端末122も、図23のハードウェア構成をしていてもよいし、他のハードウェア構成であってもよい。
また、実施の形態1〜4に示す手順により、本発明に係る情報処理方法を実現可能である。
101 感染範囲特定装置、102 攻撃検知装置、103 セキュリティ機器、104 通信ログ記録装置、106 データ処理システム、107 監視装置、108 スイッチ、109 インターネット、111 受信部、112 送信部、113 攻撃端末ログ情報特定部、114 端末ログ情報改ざん検出部、115 攻撃ユーザ特定部、116 感染活動特定部、121 クライアント端末、122 サーバ端末、131 クライアント端末ログ記録装置、132 サーバ端末ログ記録装置。
Claims (14)
- データ処理システムで発生したデータ通信のログ情報を通信ログ情報として受信する受信部と、
前記データ処理システムで行われたデータ処理のログ情報である複数の処理ログ情報の中から、前記通信ログ情報に基づき、前記データ通信に関係するデータ処理の処理ログ情報を検索するログ情報検索部と、
前記ログ情報検索部により該当する処理ログ情報が検索されない場合に、前記複数の処理ログ情報のうちの少なくとも一部の処理ログ情報が改ざんされていると判定する改ざん判定部とを有することを特徴とする情報処理装置。 - 前記受信部は、
前記データ処理システムに対する攻撃に関係するデータ通信のログ情報を、前記通信ログ情報として受信することを特徴とする請求項1に記載の情報処理装置。 - 前記受信部は、
前記データ通信の属性を表す通信属性値が記述されている通信ログ情報を受信し、
前記ログ情報検索部は、
前記データ処理システムで行われたデータ処理の属性を表す処理属性値が記述されている複数の処理ログ情報の中から、前記通信ログ情報の通信属性値に関係する処理属性値が記述されている処理ログ情報を検索することを特徴とする請求項1に記載の情報処理装置。 - 前記受信部は、
前記通信属性値として、前記データ通信が発生した時刻と前記データ通信を行った前記データ処理システム内の機器の機器ID(Identifier)とが記述されている通信ログ情報を受信し、
前記ログ情報検索部は、
前記処理属性値として、データ処理時刻とデータ処理を行った前記データ処理システム内の機器の機器IDとが記述される複数の処理ログ情報の中から、前記通信ログ情報に記述されている時刻から許容誤差範囲内のデータ処理時刻が記述され、前記通信ログ情報に記述されている機器IDが記述されている処理ログ情報を検索し、
前記改ざん判定部は、
前記ログ情報検索部により該当する処理ログ情報が検索されない場合に、前記通信ログ情報に記述されている機器IDに対応する機器が行ったデータ処理の処理ログ情報が改ざんされていると判定することを特徴とする請求項3に記載の情報処理装置。 - 前記改ざん判定部は、
前記ログ情報検索部により該当する処理ログ情報が検索されない場合に、前記通信ログ情報に記述されている機器IDに対応する機器が行ったデータ処理の処理ログ情報が改ざんされていると判定するとともに、前記通信ログ情報に記述されている機器IDに対応する機器がマルウェアに感染していると判定することを特徴とする請求項4に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記改ざん判定部によりマルウェアに感染していると判定された機器であるマルウェア感染機器から前記データ処理システム内の他の機器へのデータ通信のログ情報を、感染活動通信ログ情報として、前記受信部を介して、前記データ処理システムで発生したデータ通信のログ情報を記録している通信ログ記録装置から受信し、
受信した前記感染活動通信ログ情報を解析して、前記マルウェア感染機器からマルウェアに感染した可能性のある機器である感染可能性機器を特定する機器特定部を有することを特徴とする請求項5に記載の情報処理装置。 - 前記ログ情報検索部は、
前記機器特定部により特定された前記感染可能性機器の機器IDが記述されている処理ログ情報を検索し、
前記機器特定部は、
前記ログ情報検索部により検索された処理ログ情報を解析して、前記感染可能性機器からマルウェアに感染した可能性のある新たな感染可能性機器を特定し、
以降、前記ログ情報検索部による処理ログ情報の検索と、前記機器特定部による新たな感染可能性機器の特定とが繰り返されることを特徴とする請求項6に記載の情報処理装置。 - 前記受信部は、
前記データ処理システムに対する攻撃に関係するデータ通信のログ情報を前記通信ログ情報として受信し、
前記情報処理装置は、更に、
前記ログ情報検索部により該当する処理ログ情報が検索された場合に、検索された処理ログ情報を解析して、前記攻撃に関係する前記データ処理システム内の機器である攻撃関係機器を特定する機器特定部を有し、
前記ログ情報検索部は、
前記機器特定部により特定された前記攻撃関係機器が行ったデータ処理の処理ログ情報を検索し、
前記機器特定部は、
前記ログ情報検索部により検索された処理ログ情報を解析して、前記攻撃関係機器のデータ処理によって前記攻撃に関係することになった新たな攻撃関係機器を特定し、
以降、前記ログ情報検索部による処理ログ情報の検索と、前記機器特定部による新たな攻撃関係機器の特定とが繰り返されることを特徴とする請求項1に記載の情報処理装置。 - 前記ログ情報検索部は、
前記データ処理システムに含まれる機器ごとに設けられた複数の処理ログ情報データベースで記憶されている複数の処理ログ情報の中から、前記データ通信に関係するデータ処理の処理ログ情報を検索することを特徴とする請求項1に記載の情報処理装置。 - 前記ログ情報検索部は、
前記データ処理システムに設けられた処理ログ情報サーバ装置で記憶されている前記複数の処理ログ情報の中から、前記データ通信に関係するデータ処理の処理ログ情報を検索することを特徴とする請求項1に記載の情報処理装置。 - 前記情報処理装置は、更に、
複数の処理ログ情報を記憶する処理ログ情報記憶部を有し、
前記ログ情報検索部は、
前記処理ログ情報記憶部で記憶されている前記複数の処理ログ情報の中から、前記データ通信に関係するデータ処理の処理ログ情報を検索することを特徴とする請求項1に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記データ処理システムに対する攻撃を検知し、検知した攻撃に関係するデータ通信のログ情報を送信する攻撃検知部を有し、
前記受信部は、
前記攻撃検知部から送信されたログ情報を、前記通信ログ情報として受信することを特徴とする請求項1に記載の情報処理装置。 - コンピュータが、データ処理システムで発生したデータ通信のログ情報を通信ログ情報として受信し、
前記コンピュータが、前記データ処理システムで行われたデータ処理のログ情報である複数の処理ログ情報の中から、前記通信ログ情報に基づき、前記データ通信に関係するデータ処理の処理ログ情報を検索し、
該当する処理ログ情報が検索されない場合に、前記コンピュータが、前記複数の処理ログ情報のうちの少なくとも一部の処理ログ情報が改ざんされていると判定することを特徴とする情報処理方法。 - データ処理システムで発生したデータ通信のログ情報を通信ログ情報として受信する受信処理と、
前記データ処理システムで行われたデータ処理のログ情報である複数の処理ログ情報の中から、前記通信ログ情報に基づき、前記データ通信に関係するデータ処理の処理ログ情報を検索するログ情報検索処理と、
前記ログ情報検索処理により該当する処理ログ情報が検索されない場合に、前記複数の処理ログ情報のうちの少なくとも一処理の処理ログ情報が改ざんされていると判定する改ざん判定処理とをコンピュータに実行させることを特徴とするプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2013/085193 WO2015097889A1 (ja) | 2013-12-27 | 2013-12-27 | 情報処理装置及び情報処理方法及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPWO2015097889A1 true JPWO2015097889A1 (ja) | 2017-03-23 |
Family
ID=53477818
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015554467A Pending JPWO2015097889A1 (ja) | 2013-12-27 | 2013-12-27 | 情報処理装置及び情報処理方法及びプログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20170054742A1 (ja) |
| JP (1) | JPWO2015097889A1 (ja) |
| CN (1) | CN105849741A (ja) |
| GB (1) | GB2536384A (ja) |
| WO (1) | WO2015097889A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170096780A (ko) * | 2016-02-17 | 2017-08-25 | 한국전자통신연구원 | 침해사고 정보 연동 시스템 및 방법 |
| JPWO2018079439A1 (ja) * | 2016-10-27 | 2019-09-19 | 日本電気株式会社 | インシデント影響範囲推定装置、インシデント影響範囲推定方法、プログラム及びシステム |
| CN111669388A (zh) * | 2019-12-03 | 2020-09-15 | 丁奇娜 | 区块链节点验证方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004206564A (ja) * | 2002-12-26 | 2004-07-22 | Hitachi Information & Control Systems Inc | 不正アクセス検証装置及び方法 |
| JP2007028643A (ja) * | 2005-07-20 | 2007-02-01 | Avaya Technology Corp | 電話内線攻撃の検出、記録および知的防止 |
| JP2008135984A (ja) * | 2006-11-28 | 2008-06-12 | Toshiba Corp | ウィルス感染監視装置およびプログラム |
| JP2010257150A (ja) * | 2009-04-23 | 2010-11-11 | Ntt Docomo Inc | 不正処理検知装置、不正処理検知方法及びプログラム |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002344439A (ja) * | 2001-05-14 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | デジタルコンテンツ流通における利用履歴不正改竄検知システム |
| US7152242B2 (en) * | 2002-09-11 | 2006-12-19 | Enterasys Networks, Inc. | Modular system for detecting, filtering and providing notice about attack events associated with network security |
| US20080037791A1 (en) * | 2006-08-09 | 2008-02-14 | Jakobsson Bjorn M | Method and apparatus for evaluating actions performed on a client device |
| JP2010039878A (ja) * | 2008-08-07 | 2010-02-18 | Hitachi Ltd | ログ管理システムおよびログ表示システム |
| JP2011053893A (ja) * | 2009-09-01 | 2011-03-17 | Hitachi Ltd | 不正プロセス検知方法および不正プロセス検知システム |
| WO2011138852A1 (ja) * | 2010-05-07 | 2011-11-10 | パナソニック株式会社 | 情報処理装置、情報処理方法、及びプログラム配信システム |
-
2013
- 2013-12-27 GB GB1610816.9A patent/GB2536384A/en not_active Withdrawn
- 2013-12-27 JP JP2015554467A patent/JPWO2015097889A1/ja active Pending
- 2013-12-27 WO PCT/JP2013/085193 patent/WO2015097889A1/ja active Application Filing
- 2013-12-27 US US15/106,177 patent/US20170054742A1/en not_active Abandoned
- 2013-12-27 CN CN201380081864.4A patent/CN105849741A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004206564A (ja) * | 2002-12-26 | 2004-07-22 | Hitachi Information & Control Systems Inc | 不正アクセス検証装置及び方法 |
| JP2007028643A (ja) * | 2005-07-20 | 2007-02-01 | Avaya Technology Corp | 電話内線攻撃の検出、記録および知的防止 |
| JP2008135984A (ja) * | 2006-11-28 | 2008-06-12 | Toshiba Corp | ウィルス感染監視装置およびプログラム |
| JP2010257150A (ja) * | 2009-04-23 | 2010-11-11 | Ntt Docomo Inc | 不正処理検知装置、不正処理検知方法及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015097889A1 (ja) | 2015-07-02 |
| GB201610816D0 (en) | 2016-08-03 |
| GB2536384A (en) | 2016-09-14 |
| US20170054742A1 (en) | 2017-02-23 |
| CN105849741A (zh) | 2016-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| EP3430560B1 (en) | Using private threat intelligence in public cloud | |
| US10237283B2 (en) | Malware domain detection using passive DNS | |
| CN109992989B (zh) | 使用抽象语法树的用于查询注入检测的系统 | |
| EP2961111B1 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
| US9270690B2 (en) | Network protection system and method | |
| US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
| US20090144826A2 (en) | Systems and Methods for Identifying Malware Distribution | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| JP6408395B2 (ja) | ブラックリストの管理方法 | |
| CN105592017B (zh) | 跨站脚本攻击的防御方法及系统 | |
| CN114145004A (zh) | 用于使用dns消息以选择性地收集计算机取证数据的系统及方法 | |
| WO2014103115A1 (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
| Ganame et al. | Network behavioral analysis for zero-day malware detection–a case study | |
| JP2011193343A (ja) | 通信ネットワーク監視システム | |
| WO2015097889A1 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| US11582226B2 (en) | Malicious website discovery using legitimate third party identifiers | |
| JP2013152497A (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
| WO2019123757A1 (ja) | 分類装置、分類方法、および、分類プログラム | |
| CN113595981A (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
| KR101398740B1 (ko) | 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| EP3828745A1 (en) | Information processing device, information processing method, and information processing program | |
| JP6007308B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| US20240039939A1 (en) | Computer-readable recording medium storing attack situation output program, attack situation output device, and attack situation output system | |
| JP6105792B1 (ja) | 情報処理装置、情報処理方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161213 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20170627 |