WO2014103115A1

WO2014103115A1 - 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体

Info

Publication number: WO2014103115A1
Application number: PCT/JP2013/006230
Authority: WO
Inventors: 北澤　繁樹
Original assignee: 三菱電機株式会社
Priority date: 2012-12-26
Filing date: 2013-10-22
Publication date: 2014-07-03
Also published as: JP2016033690A

Abstract

　組織内部ネットワークへ攻撃者の侵入を許してしまった場合に、標的型攻撃が発生していることを検知する。　ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段とを備える。

Description

不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体

　本発明は、ネットワークへの不正な侵入を検知する不正侵入検知装置に関する。

　近年、標的とする組織や個人を絞り込み、ユーザを巧みに騙してプログラムをダウンロード・実行させたり、未知の脆弱性を悪用したりといった手口で標的固有のマルウェアを組織内部の端末へ感染させることにより、機密情報の窃取や社内システムの破壊などを行なうことを目的とした標的型攻撃が増えている。標的型攻撃で用いられるマルウェアは、ウイルス対策ソフトウェアによる検知を回避するように作られているため、ウイルス対策ソフトウェアによって防ぐことは難しい。

　従来の不正検知装置では、例えば、特許文献１に開示されているように、不正な攻撃や侵入を示す挙動を特定する挙動情報を予めデータベース化して保持しておき、端末上で動作するプロセスの挙動を監視中に、挙動情報と一致する挙動をプロセスが行なった場合に、不正な攻撃や侵入が行われたものとして検知する方式が提案されている。

　また、例えば、特許文献２では、ネットワークでのウイルス感染を検出することを目的に、ネットワークを介してアクセス可能なおとり手段として、サーバ、フォルダ、アプリケーション等を監視ネットワーク上に設置しておき、おとり手段へのアクセスを検出することによって、ウイルスの侵入を検出し、かつ、ウイルスの侵入を検出したとき、ウイルス侵入時に取得した通信情報から当該ウイルスの送信元となっているコンピュータを検出することよって、未知のウイルスを検出する方法も提案されている。

特開２０１０－０９２１７４ＷＯ２００４／０８４０６３

　従来の不正検知装置（例えば、特許文献１）では、監視対象となる全てのプロセスに関して、正常動作時にどんな挙動を示すのかを明らかにした上で、さらに、正常動作時には示されない挙動を全てデータベース化して保持しておかなければ、検知漏れが発生するという問題点があった。なお、そもそもコンピュータ上で動作する全てのプロセスに関して、正常動作時にどんな挙動を示すのかを明らかにすることは、事実上困難である。

　また、従来のおとり手段を用いたウイルスの検出方式（例えば、特許文献２）では、おとり手段にアクセスした発信元が、本当にウイルスに感染しているのか、または、設定ミスや操作ミスなどの人為的な要因によってアクセスが発生したのかについては、単におとり手段へアクセスしたという事象を観測しただけでは、判別することができないという問題があった。

　この発明は上記のような問題点を解決するためになされたもので、標的型攻撃によって、組織外部ネットワークから、組織内部ネットワークへ攻撃者の侵入を許してしまった場合に、攻撃者が組織内部ネットワーク内を探索する挙動を検出することによって、標的型攻撃が発生していることを検知することを目的とする。

　上記で述べた課題を解決するため、本発明の不正侵入検知装置は、ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段とを備えることとしたものである。

　また、本発明に係る不正侵入検知方法は、おとり生成手段が、ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成ステップと、ログ収集手段が、前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集ステップと、挙動パターンデータベースが、ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベース格納ステップと、ログ分析手段が、前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析ステップとを備えることとしたものである。

　また、本発明に係る不正侵入検知プログラムは、コンピュータを、ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段として機能させることとしたものである。

　また、本発明に係る不正侵入検知プログラムを記録したコンピュータ読み取り可能な記録媒体は、コンピュータを、ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段として機能させるための不正侵入検知プログラムを記録させることとしたものである。

　本発明によれば、おとりへのアクセスの有無により、内部ネットワークへ攻撃者が侵入した疑いのある事象を検出し、おとりへアクセスしたユーザ及び端末に関する挙動パターンから判別するようにしているので、標的型攻撃によって攻撃者が内部ネットワークへ侵入していることを検知することができるようになるという効果がある。

本発明の実施の形態１に係る不正侵入検知装置の一実施例を示す構成図である。不正侵入検知装置１の構成の一例を示す図である。ファイルサーバ２の構成の一例を示す図である。ログデータベース１９に格納されるログのデータ格納形式２８の一例を示す。不正侵入検知装置１のおとり生成手段１２の動作を示すフローチャートである。おとり情報データベース１５のデータ構造２９を示す図である。おとりデータベースのデータ構造３０を示す図である。不正侵入検知装置１のログ収集手段１７の動作を示すフローチャートである。不正侵入検知装置１のログ分析手段１８の動作を示すフローチャートである。挙動パターンデータベース２０のデータ構造３１を示す図である。おとりデータベース１６のデータ構造３０に重要度を付与した一例を示す図である。おとりファイルに付与された重要度を用いる場合の不正侵入検知装置１のログ分析手段１８の動作を示すフローチャートである。本発明の実施の形態２に係る不正侵入検知装置１の一実施例を示す構成図である。本発明の実施の形態２に係る不正侵入検知装置１において、アクセス履歴を利用しておとりファイルの名前を変更する一実施例を示す構成図である。アクセス履歴３４のデータ構造３５を示す図である。

実施の形態１．
　図１は、本発明の実施の形態１に係る不正侵入検知装置の一実施例を示す構成図である。
　図１において、不正侵入検知装置１、ファイルサーバ２、端末A３、端末B４、メールサーバ５、認証サーバ６が、組織内部のネットワーク７を介して接続されている。また、端末A３は、マルウェアに感染しており、攻撃者サーバ８からインターネット９、ファイアウォール１０、プロキシ１１を通じて、遠隔操作されているものとする。

　図２は、不正侵入検知装置１の構成の一例を示す図である。
　不正侵入検知装置１は、おとり生成手段１２、ログ収集分析手段１３を備えている。おとり生成手段１２は、さらに、おとり作成登録手段１４、おとり情報データベース１５、おとりデータベース１６を備えている。また、ログ収集分析手段１３は、ログ収集手段１７、ログ分析手段１８、ログデータベース１９、挙動パターンデータベース２０で構成されている。

　ログ収集分析手段１３の挙動パターンデータベース２０には、標的型攻撃によって、内部ネットワークに攻撃者が侵入した場合に観測される事象のパターンが挙動パターンとして格納されている。具体的には、「同じ端末から複数の異なるユーザでの認証が行われている」、「特定のユーザアカウントによるファイルやフォルダへのアクセス拒否が普段よりも多く発生している」、「特定端末から不審なＷｅｂサイトへ頻繁にアクセスしている」、「端末を利用しているユーザが不審なファイルが添付されたメールを受信していた」などが、事象のパターン（挙動パターン）の例である。

　また、ログ収集分析手段１３のログデータベース１９には、ファイアウォール１０、プロキシ１１、メールサーバ５、認証サーバ６、ファイルサーバ２、端末Ａ３、端末Ｂ４などの様々な機器から収集したログが格納されている。ログの格納では、収集した各ログの形式にあわせて作成したテーブルへログを格納するとしてもよいが、本発明では、一般に「統合ログ管理システム」と呼ばれるログ収集装置のように、形式の異なる各ログを単一の形式に変換し、一元管理することを想定する。

　図３は、ファイルサーバ２の構成の一例を示す図である。
　ファイルサーバ２では、データ記憶部２１に、フォルダ２２～２４やファイル２５～２７を電子データとして保管している。ここで、フォルダ２２は、おとりフォルダを表わし、ファイル２５は、おとりファイルを表している。これらのフォルダ２２とファイル２５は、本実施の形態を説明するために、便宜上、他のフォルダやファイルと区別して示しているが、実際は、他のフォルダやファイルとは区別がつかないものとする。保管している電子データ２２～２７は、組織内部のネットワーク７で接続された他の端末Ａ３、端末Ｂ４からアクセス可能であるものとする。

　また、ファイルサーバ２上の電子データ２２～２７は、認証サーバ６による適切なユーザ認証に基づいたアクセス制御の設定がなされているものとする。従って、アクセス権が無いユーザが、電子データ２２～２７のフォルダやファイルにアクセスした場合には、アクセスが拒否されたログがログデータベース１９に記録される。この他、アクセスが許可された場合にも、ログが記録される。

　図４は、ログデータベース１９に格納されるログのデータ格納形式２８の一例を示す。
　図４に示すように、ログには、日時、データ属性（ファイルアクセス、またはユーザ認証）、端末名、ユーザ名、アクセス制御対象名（フォルダパス、またはファイルパス）、アクセス制御結果（許可、または拒否）、ユーザ認証結果（許可、または拒否）が項目として記載されている。
　ファイルサーバ２上で記録されたフォルダやファイルへのアクセスに関するログは、ネットワーク７を介して不正侵入検知装置１へ収集され、ログ収集分析手段１３のログ収集手段１７によって、ログデータベース１９へ格納される。不正侵入検知装置１へ収集されたログは、ログデータベース１９からログ分析手段１８によって参照され、不正侵入を検知するために分析される。なお、図１では、ネットワーク７によって不正侵入検知装置１とその他の機器が接続されているが、不正侵入検知装置１には、ネットワーク上の各機器で発生するログが収集されれば良いため、図１の構成に限らず、各機器とログ収集用のネットワークを別途構成してもよい。

　次に、不正侵入検知装置１の動作について説明する。
　不正侵入検知装置１の動作は、（１）おとり作成、（２）ログ収集、（３）ログ分析による侵入検知、の３つの動作がある。それぞれの動作について、図５、図６、図７を用いて説明する。

　まず、図５を用いて（１）おとり作成時の動作について説明する。
　図５は、不正侵入検知装置１のおとり生成手段１２の動作を示すフローチャートである。
　以下、おとり生成手段１２によるおとり作成の動作は、定期的もしくはランダムな時間間隔で動作するものとする。

　図５において、まず、ステップＳ１０１において、おとり生成手段１２は、おとり作成登録手段１４により、おとり情報データベース１５を参照して、現在、ファイルサーバ２上に設置されているおとり情報を取得する。
　図６は、おとり情報データベース１５のデータ構造２９を示す図である。
　図６の１行目は、おとり情報の項目を示すカラム名を表している。２行目以降、おとりを設置したファイルサーバ名、おとりの属性（ファイル、またはフォルダの別）、おとりの分類（個人、客先、仕様など）、及びそのファイルサーバ上でおとりが設置されているパス（設置パス）が登録されている。

　次に、ステップＳ１０２において、おとり作成登録手段１４は、ステップＳ１０１で取得したおとりの設置パス上におとりがあった場合、Ｙｅｓの分岐に進み、ステップＳ１０３の処理を行なう。おとりが無かった場合、Ｎｏの分岐に進み、ステップＳ１０５の処理を行なう。

　次に、ステップＳ１０３において、おとり作成登録手段１４は、設置パス上に既に設置されていたおとりをファイルサーバ２から削除するとともに、ステップＳ１０４において、おとり情報データベース１５から、ファイルサーバ２から削除したおとりのおとり情報を削除する。

　次に、ステップＳ１０５において、おとり作成登録手段１４は、ファイルサーバ２へアクセスして、おとりを作成する任意のフォルダをランダムに選択する。

　その後、ステップＳ１０６において、おとり作成登録手段１４は、おとりデータベース１６を参照して、おとりとなるフォルダもしくはファイルをランダムに選択する。
　図７は、おとりデータベース１６のデータ構造３０を示す図である。
　図７の１行目は、おとりの項目を示すカラム名を表している。２行目以降、おとりファイルの属性（ファイル、またはフォルダの別）、おとりの分類（個人、客先、仕様など）、及びおとりの基となる電子データがおとりファイルとして登録されている。なお、フォルダは、フォルダ以下に複数のファイルをおとりとしておくため、フォルダを含め複数のファイルを１つのファイルに圧縮してまとめている。おとりのファイル名やフォルダ名は、攻撃者が興味を持ってアクセスしそうな名称にしておくことで、おとりによる侵入の検出率を上げることができる。

　次に、ステップＳ１０７において、おとり作成登録手段１４は、ステップＳ１０５により選択したフォルダへおとりを作成する。

　最後に、ステップＳ１０８において、おとり作成登録手段１４は、作成したおとりのおとり情報を、おとり情報データベース１５へ登録して、おとり生成の動作を終了する。

　次に、図８を用いて、不正侵入検知装置１の（２）ログ収集の動作について説明する。
　図８は、不正侵入検知装置１のログ収集手段１７の動作を示すフローチャートである。
　まず、ステップＳ２０１で、ログ収集手段１７は、監視しているネットワーク７上に接続された各機器からログを受信したか否かを判定する。ログを受信した場合、ステップＳ２０２の分岐に進み、ログを受信していない場合は、ログを受信するのを待機する。
　次に、ステップＳ２０２において、ログ収集手段１７は、受信したログを、ログデータベース１９へ逐次格納していく。

　次に、図９を用いて（３）ログ分析による侵入検知の動作について説明する。
　図９は、不正侵入検知装置１のログ分析手段１８の動作を示すフローチャートである。

　ログ分析による侵入検知は、ファイルサーバ２に設置したおとりへのアクセスが発生した場合の動作である。おとりへのアクセスの発生は、ファイルサーバ２から送られてくるアクセス制御のログを監視し、おとり情報データベース１５に格納されているおとり情報と一致するアクセス制御のログを不正侵入検知装置１が受信した場合に、おとりへのアクセスが発生したと判断する。

　図９において、まず、ステップＳ３０１において、ログ分析手段１８は、最初にカウンタＸの値を０に初期化する。

　次に、ステップＳ３０２において、ログ分析手段１８は、挙動パターンデータベース２０から、挙動パターンを１つ読み込む。
　図１０は、挙動パターンデータベース２０のデータ構造３１を示す図である。
　図１０の１行目は、挙動パターンを示すカラム名を表している。２行目以降、挙動パターンの一覧が格納されている。なお、挙動パターンは、図１０に記載のものだけに限らず、ユーザが独自に定義して登録及び削除することもできる。

　次に、ステップＳ３０３において、ログ分析手段１８は、挙動パターンの読み込みに成功した場合、Ｙｅｓの分岐に進み、ステップＳ３０４の処理を行なう。
　次に、ステップＳ３０４において、ログ分析手段１８は、アクセス制御のログから、おとりにアクセスしたユーザ及び端末を特定し、その情報を基に、ログデータベース１９を検索する。
　次に、ステップＳ３０５において、ログ分析手段１８は、ログデータベース１９を検索した結果、Ｓ３０２で読み込んだ挙動パターンと一致する事象が発生していた場合、Ｙｅｓの分岐に進み、ステップＳ３０６において、カウンタＸに１を加算し、ステップＳ３０２の処理に戻る。

　また、ステップＳ３０５において、挙動パターンに一致する事象が検出されなかった場合にも、ステップＳ３０２の処理に戻る。

　以上のようにして、ステップＳ３０２からステップＳ３０６の処理を繰り返し、ステップＳ３０３で挙動パターンの読み込みに失敗した場合は、挙動パターンデータベース２０の全ての項目について処理が完了したものと判断し、Ｎｏの分岐に進んで、ステップＳ３０７の処理を行なう。

　次に、ステップＳ３０７において、ログ分析手段１８は、その時のカウンタＸの値と予め与えられている閾値とを比較し、カウンタＸが閾値以上だった場合は、Ｙｅｓの分岐に進み、ステップＳ３０７において、挙動パターンへの一致度としておとりへのアクセス頻度（カウンタＸ）が多いため標的型攻撃発生と判断して、処理を終了する。
　また、カウンタＸの値が閾値未満だった場合は、そのまま処理を終了する。この場合、発生したおとりへのアクセスは、正規のユーザによる操作ミスや設定ミスなど無害なものであったと判断される。

　以上のように、おとりへのアクセスの有無により、組織内部のネットワークへ攻撃者が侵入した疑いのある事象を検出し、おとりへアクセスしたユーザ及び端末に関する挙動パターンから判別するようにしているので、標的型攻撃によって攻撃者が組織内部のネットワークへ侵入していることを検知することができるようになるという効果がある。

　更に、おとりへのアクセス頻度に基づいて標的型攻撃発生を判断することにより、おとりへのアクセスが、攻撃者によるものか、正規のユーザが誤ってアクセスしてしまったものであるのかを、適切に判定できるようになるという効果がある。

実施の形態２．
　実施の形態１では、おとりへのアクセス頻度に基づいて標的型攻撃発生を判断するようにしたが、挙動パターンへの一致度合いとしたおとりへのアクセス頻度に代えて、おとりに対して重要度を与え、この重要度を考慮して標的型攻撃発生を判断するようにしても良い。

　図１１は、おとりデータベース１６のデータ構造３０に重要度を付与した一例３２を示す図である。
　本実施の形態２では、おとりファイルに付与する重要度は、おとりファイルが含む情報の重要性に応じて、予め設定されているものとする。

　次に、図１２を用いて本実施の形態２における（３）ログ分析による侵入検知の動作について説明する。
　図１２は、おとりファイルに付与された重要度を用いる場合の不正侵入検知装置１のログ分析手段１８の動作を示すフローチャートである。

　図１２のステップＳ４０１からステップＳ４０５までの処理は、実施の形態１における図９のステップＳ３０１からステップＳ３０５までの処理と同様の処理であるため、説明を省略する。
　次に、ステップＳ４０６において、ログ分析手段１８は、アクセスされたおとりについて、おとりデータベース１６中でおとりに付与されている重要度を参照し、カウンタＸに重要度を加算して、ステップＳ４０２の処理に戻る。

　次に、ステップＳ４０７において、ログ分析手段１８は、その時のカウンタＸの値と予め与えられている閾値とを比較し、カウンタＸが閾値以上だった場合は、Ｙｅｓの分岐に進み、ステップＳ４０８において、挙動パターンへの一致度として重要度の積算値（カウンタＸ）が高いため標的型攻撃発生と判断して、処理を終了する。

　以上のように、おとりファイルに付与された重要度を利用して標的型攻撃発生を判断するようにしたことにより、重要な情報に対する標的型攻撃が発生したことを、より適切に判定できるようになるという効果がある。

　なお、重要度は、おとりファイルに付与する場合の他に、挙動パターンデータベース２０に格納された挙動パターン別に重要度を付与し、ステップＳ４０６において、検出された挙動パターンに付与された重要度をカウンタＸに加算しても良い。
　これにより、重要な挙動パターンに対する標的型攻撃が発生したことを、より適切に判定できるようになるという効果がある。

　さらに、挙動パターンへの一致度としては、不審なＷｅｂサイトへのアクセス数（カウンタＸ）を利用しても良い。この場合、不審なＷｅｂサイトのリストをブラックリストとして記憶しておき、特定の端末のアクセス制御のログに含まれるアクセス先に不審なＷｅｂサイトが所定数以上含まれる場合に、挙動パターンへの一致度として不審なＷｅｂサイトへのアクセス数（カウンタＸ）が高いため標的型攻撃発生と判断する。
　これにより、不審なＷｅｂサイトを利用する標的型攻撃が発生したことを、より適切に判定できるようになるという効果がある。

　さらにまた、挙動パターンへの一致度としては、ユーザが受信するメールの中に不審なメールが含まれている頻度を利用しても良い。不審なメールであるか否かの判定は、例えば、ユーザが受信するメールの件名、本文、添付ファイル名などの文字情報に、「重要情報」、「重要なお知らせ」、「顧客リスト」などの特定のキーワードを含んでいる場合に不審なメールであると判定する。ログ分析手段１８は、これらの特定のキーワードのリストを予め記憶しておき、挙動パターンと一致する事象を検出する処理の中で、特定のキーワードのリストを参照して、ユーザの受信メールの文字情報に含まれる特定のキーワードを抽出して、例えば、抽出した特定のキーワード数をカウンタＸに加算して、標的型攻撃発生を判断する。
　これにより、不審なメールを利用する標的型攻撃が発生したことを、より適切に判定できるようになるという効果がある。

実施の形態３．
　以上の実施の形態１では、ファイルサーバ２へおとりを作成する際に、ファイルサーバ２上のランダムに選択したフォルダへおとりデータベース１６から選択したおとりを設置するようにしたものであるが、次に、おとりを作成する場合に、攻撃者にとっておとりをより分かりにくくする実施形態を示す。

　実施の形態１では、ファイルサーバ２上で任意に選択したフォルダへ、おとりデータベース１６に登録されているフォルダやファイルをおとりとして作成していた。通常、ファイルサーバ２上のフォルダの中には、そのフォルダ名で関連付けられた類似のフォルダやファイルが格納される。例えば、「店舗一覧」という名前のフォルダには、「○○店」、「××店」といった類似した名前を持つフォルダやファイルが格納されている。このため、ファイルサーバ２上で任意に選択したフォルダ内に既に存在するフォルダやファイルと明らかに異なる名前のおとりを作成しても、攻撃者から見て、不審に感じられ、おとりであると見破られてしまう可能性が高まる。そこで、作成したおとりの名前を、おとりを作成する前に、フォルダ内に存在していたフォルダやファイルの名前を基に、類義語辞書を用いて得られた類義語を基に変更することを考える。

　図１３は、本発明の実施の形態２に係る不正侵入検知装置１の一実施例を示す構成図である。
　図１３では、図２の実施の形態１の構成に加え、類義語辞書３３が新たに追加されている。その他の構成は、実施の形態１と同様であるため、説明を省略する。

　実施の形態２のおとり作成登録手段１４は、ランダムに選択したフォルダにおとりを作成する際に、類義語辞書３３を参照して、作成しようとするフォルダやファイルの名前に含まれる単語を抽出し、この単語に対応付けられた類義語を検索し、得られた類義語を用いて、生成しようとしているフォルダやファイルの名前に含まれる単語を置換して、複数の別の名前のおとりフォルダやファイルを作成する。

　以上のように、類義語辞書を使っておとりの名前に、おとりを作成するフォルダ内のその他のフォルダやファイルの名前と類似する名前をつけることによって、攻撃者は、おとりかどうかを見分けにくくなるため、侵入の検知率を向上させることができるようになる。

　また、おとりファイルの名前だけを変更するのではなく、おとりファイルが内部に格納している文字情報、画像情報や数値データなどのコンテンツについても、おとりファイルの名前から類推できる代表的なコンテンツに変更するようにすることもできる。この場合は、おとり作成手段１２は、単語に対応付けられた代表コンテンツを格納する代表コンテンツ記憶部を新たに設けておき、おとりファイルの名前に含まれる単語に対応する代表コンテンツを代表コンテンツ記憶部から取得し、おとりファイルが内部に格納しているコンテンツを代表コンテンツに変更する。
　これにより、攻撃者に対して、おとりファイルがおとりかどうかをより見分けにくくすることができる。

　さらに、実際に攻撃者がアクセスしたと判定されたおとりファイルについて、アクセス履歴を保存しておき、アクセス履歴を利用して、攻撃者が標的にし易いおとりファイルを作成することもできる。

　図１４は、本発明の実施の形態２に係る不正侵入検知装置１において、アクセス履歴を利用しておとりファイルの名前を変更する一実施例を示す構成図である。
　図１４では、図２の実施の形態１の構成に加え、アクセス履歴３４が新たに追加されている。その他の構成は、実施の形態１と同様であるため、説明を省略する。

　ログ分析手段１８は、アクセス制御のログから、挙動パターンと一致する事象を検出した場合、検出されたおとりファイルへのアクセスがあったことをアクセス履歴３４に記録する。
　図１５は、アクセス履歴３４のデータ構造３５を示す図である。
　図１５に示すように、アクセス履歴３４には、おとりの属性（ファイル、またはフォルダ）、おとりの分類（個人、客先、仕様など）、及びおとりの基となる電子データ（おとりファイル）、及びアクセス頻度が項目として記録されている。

　おとり作成登録手段１４は、ランダムに選択したフォルダにおとりを作成する際に、アクセス履歴３４を参照し、アクセス頻度が高いおとりファイルを優先的に作成するようにする。
　これにより、実際に攻撃者が標的にし易いおとりファイルを作成することができ、侵入の検知率を向上させることができるようになる。

１　不正侵入検知装置、２　ファイルサーバ、３　端末Ａ、４　端末Ｂ、５　メールサーバ、６　認証サーバ、７　ネットワーク、８　攻撃者サーバ、９　インターネット、１０　ファイアウォール、１１　プロキシ、１２　おとり生成手段、１３　ログ収集分析手段、１４　おとり作成登録手段、１５　おとり情報データベース、１６　おとりデータベース、１７　ログ収集手段、１８　ログ分析手段、１９　ログデータベース、２０　挙動パターンデータベース、２１　データ記憶部、２２～２４　フォルダ、２５～２７　ファイル、２８　ログのデータ格納形式、２９　おとり情報データベース１５のデータ構造、３０　おとりデータベース１６のデータ構造、３１　挙動パターンデータベース２０のデータ構造、３２　おとりデータベース１６のデータ構造３０に重要度を付与した一例、３３　類義語辞書、３４　アクセス履歴。

Claims

ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、
　前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、
　ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、
　前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段と
を備えた不正侵入検知装置。
前記ログ分析手段は、前記おとりに対するアクセス制御の事象のパターンと前記挙動パターンデータベースに格納された挙動パターンとが一致する頻度により攻撃者の侵入を検知する請求項１記載の不正侵入検知装置。
前記ログ分析手段は、前記おとりに対するアクセス制御の事象のパターンと前記挙動パターンデータベースに格納された挙動パターンとが一致する場合、前記おとりに付与された重要度により攻撃者の侵入を検知する請求項１記載の不正侵入検知装置。
前記ログ分析手段は、前記おとりに対するアクセス制御の事象のパターンと前記挙動パターンデータベースに格納された挙動パターンとが一致する場合、前記挙動パターンに付与された重要度により攻撃者の侵入を検知する請求項１記載の不正侵入検知装置。
前記ログ分析手段は、予め記憶されたＷｅｂサイトのリストを参照し、前記おとりに対するアクセス制御の事象に含まれる前記Ｗｅｂサイトの数により攻撃者の侵入を検知する請求項１記載の不正侵入検知装置。
前記ログ分析手段は、予め記憶された特定キーワードのリストを参照し、ユーザが受信したメールに含まれる前記特定キーワードを抽出することにより攻撃者の侵入を検知する請求項１記載の不正侵入検知装置。
前記ログ分析手段が攻撃者のアクセスを検知したおとりへのアクセス頻度を記憶するアクセス履歴を備え、
　前記おとり生成手段は、前記アクセス履歴に記憶された前記アクセス頻度に基づいて前記おとりを生成する請求項１から請求項６のいずれかに記載の不正侵入検知装置。
単語に対応付けられた類義語を格納する類義語辞書を備え、
　前記おとり生成手段は、前記おとりの名前に含まれる単語を、この単語に対応する前記類義語辞書に格納された前記類義語により置換した名前のおとりを生成する請求項１から請求項７のいずれかに記載の不正侵入検知装置。
単語に対応付けられた代表コンテンツを格納する代表コンテンツ記憶部を備え、
　前記おとり生成手段は、前記おとりの名前に含まれる単語に対応する前記代表コンテンツを前記代表コンテンツ記憶部から取得し、前記おとり内部のコンテンツを前記代表コンテンツに変更する請求項１から請求項８のいずれかに記載の不正侵入検知装置。
おとり生成手段が、ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成ステップと、
　ログ収集手段が、前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集ステップと、
　挙動パターンデータベースが、ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベース格納ステップと、
　ログ分析手段が、前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析ステップと
を備えた不正侵入検知方法。
コンピュータを、
　ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、
　前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、
　ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、
　前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段として機能させるための不正侵入検知プログラム。
コンピュータを、
　ネットワーク経由でアクセス可能な機器におとりを生成するおとり生成手段と、
　前記おとり生成手段により生成された前記おとりに対するアクセス制御のログを収集するログ収集手段と、
　ネットワークに攻撃者が侵入した場合に観測されるアクセス制御の事象のパターンを示す挙動パターンを格納する挙動パターンデータベースと、
　前記ログ収集手段により収集されたログに含まれる前記おとりに対するアクセス制御の事象のパターンと、前記挙動パターンデータベースに格納された前記挙動パターンとの一致度に基づいて攻撃者の侵入を検知するログ分析手段として機能させるための不正侵入検知プログラムを記録したコンピュータ読み取り可能な記録媒体。