WO2017217247A1 - 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム - Google Patents

悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム Download PDF

Info

Publication number
WO2017217247A1
WO2017217247A1 PCT/JP2017/020517 JP2017020517W WO2017217247A1 WO 2017217247 A1 WO2017217247 A1 WO 2017217247A1 JP 2017020517 W JP2017020517 W JP 2017020517W WO 2017217247 A1 WO2017217247 A1 WO 2017217247A1
Authority
WO
WIPO (PCT)
Prior art keywords
traffic
event
malignant
unit
file
Prior art date
Application number
PCT/JP2017/020517
Other languages
English (en)
French (fr)
Inventor
和憲 神谷
揚 鐘
佐藤 徹
健介 中田
Original Assignee
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電信電話株式会社 filed Critical 日本電信電話株式会社
Priority to US16/304,753 priority Critical patent/US10963562B2/en
Priority to JP2018523650A priority patent/JP6592196B2/ja
Publication of WO2017217247A1 publication Critical patent/WO2017217247A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

再生装置10は、悪性または良性のトラヒックが発生した際のトラヒックのダンプファイルであるトラヒックファイルを読み込み、トラヒックに応じたイベントを発生させるセキュリティ機器20を有するネットワーク上に、トラヒックファイルに基づくトラヒックを発生させる。また、判定装置30は、発生したトラヒックに対してセキュリティ機器20が発生させたイベントを収集し、収集したイベントから抽出した特徴を基に、判定対象のイベントが悪性のトラヒックに対するものであるか、または良性のトラヒックに対するものであるかを判定する。

Description

悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
 本発明は、悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラムに関する。
 インターネットの普及に伴い、DDoS攻撃、スパムメール送信等のサイバー攻撃が日常化している。これらの攻撃のほとんどは、マルウェアと呼ばれる悪意あるソフトウェアに起因している。攻撃者は一般ユーザの端末やサーバをマルウェアに感染させ、マルウェアを操作することで端末やサーバを不正に制御し、攻撃を実施している。これらの攻撃は近年社会問題化している。このため、マルウェア感染を中心としたサイバー攻撃への対策が急務となっている。
 サイバー攻撃対策のうち、感染を防ぐための入口対策として、アンチウイルスソフト等を用いて対策する手法があるが、完全に感染を防ぐことは難しい。そこで、マルウェア感染後の被害拡大を防ぐ出口対策の重要性が高まっている。出口対策としては、攻撃の痕跡を見つけ、マルウェア感染端末を発見することが重要である。出口対策によって感染端末を発見することで、感染端末のネットワークからの切り離しやフィルタリング等の対応を行うことができる。
 マルウェア感染端末を発見する手段として、ネットワークに存在する装置のログを分析する手法が有力な手段となっている(例えば特許文献1および非特許文献1を参照)。中でもIDS(Intrusion Detection System)、次世代ファイアウォール、サンドボックス等のセキュリティ機器によるイベントの検知ログは、セキュリティを専門とする業者のノウハウに基づくものであるため、マルウェア感染端末を発見する際の重要な情報源となっている。
特開2010-15513号公報
SANS Eighth Annual 2012 Log and Event Management Survey Results: Sorting Through the Noise
 しかしながら、セキュリティ機器によって検知されるイベントは多種多量であり、マルウェアによる通信に関係しないものも含まれる。そのため、従来の手法には、セキュリティ機器によって検知されるイベントを効率的に解析することが困難であるという問題があった。
 例えば、多種多量のイベントがそのままオペレータに提示される場合、オペレータによる手動解析が必要となるため、マルウェア感染端末特定までに要する時間およびオペレーションのコストが増大する。このような場合、セキュリティ機器によって検知されるイベントを効率的に解析することは困難である。
 また、例えば、影響のないイベントをホワイトリストに登録し、ホワイトリスト以外のイベントを抽出することで解析対象のイベントを減らす手法は、新規脅威が次々に現れイベントの種類が増大していく場合にスケールしない。このため、ホワイトリストを用いた手法では、セキュリティ機器によって検知されるイベントを効率的に解析することは困難である。
 また、イベントに付与される緊急度が所定以上のイベントのみを抽出し解析する手法では、マルウェアの感染を特徴づけるイベントのうち、付与される緊急度が所定以上でないイベントの見逃しが発生してしまう場合がある。このため、緊急度が所定以上のイベントのみを抽出し解析する手法では、セキュリティ機器によって検知されるイベントを効率的に解析することは困難である。
 本発明の悪性イベント検出装置は、悪性または良性のトラヒックが発生した際のトラヒックのダンプファイルであるトラヒックファイルを読み込む読込部と、トラヒックに応じたイベントを発生させるセキュリティ機器を有するネットワーク上に、前記トラヒックファイルに基づくトラヒックを発生させる発生部と、発生したトラヒックに対して前記セキュリティ機器が発生させたイベントを収集する収集部と、前記収集部によって収集された前記イベントから特徴を抽出する抽出部と、前記抽出部によって抽出された特徴を基に、判定対象のイベントが悪性のトラヒックに対するものであるか、または良性のトラヒックに対するものであるかを判定する判定部と、を有することを特徴とする。
 また、本発明の悪性イベント検出方法は、悪性イベント検出システムで実行される悪性イベント検出方法であって、悪性または良性のトラヒックが発生した際のトラヒックのダンプファイルであるトラヒックファイルを読み込む読込工程と、トラヒックに応じたイベントを発生させるセキュリティ機器を有するネットワーク上に、前記トラヒックファイルに基づくトラヒックを発生させる発生工程と、発生したトラヒックに対して前記セキュリティ機器が発生させたイベントを収集する収集工程と、前記収集工程によって収集された前記イベントから特徴を抽出する抽出工程と、前記抽出工程によって抽出された特徴を基に、判定対象のイベントが悪性のトラヒックに対するものであるか、または良性のトラヒックに対するものであるかを判定する判定工程と、を含んだことを特徴とする。
 また、本発明の悪性イベント検出プログラムは、コンピュータに、悪性または良性のトラヒックが発生した際のトラヒックのダンプファイルであるトラヒックファイルを読み込む読込ステップと、トラヒックに応じたイベントを発生させるセキュリティ機器を有するネットワーク上に、前記トラヒックファイルに基づくトラヒックを発生させる発生ステップと、発生したトラヒックに対して前記セキュリティ機器が発生させたイベントを収集する収集ステップと、前記収集ステップによって収集された前記イベントから特徴を抽出する抽出ステップと、前記抽出ステップによって抽出された特徴を基に、判定対象のイベントが悪性のトラヒックに対するものであるか、または良性のトラヒックに対するものであるかを判定する判定ステップと、を実行させることを特徴とする。
 本発明によれば、セキュリティ機器によって検知されるイベントを効率的に解析することができる。
図1は、第1の実施形態に係る悪性イベント検出システムの構成の一例を示す図である。 図2は、第1の実施形態に係る再生装置の構成の一例を示す図である。 図3は、悪性トラヒックファイルの一例を示す図である。 図4は、再生用トラヒックの一例を示す図である。 図5は、再生装置とセキュリティ機器の接続方法の一例を示す図である。 図6は、再生装置とセキュリティ機器の接続方法の一例を示す図である。 図7は、再生用トラヒックの再生方法について説明するための図である。 図8は、再生用トラヒックの再生方法について説明するための図である。 図9は、セキュリティ機器のイベントの項目の一例を示す図である。 図10は、悪性トラヒックに対するセキュリティ機器のイベントの一例を示す図である。 図11は、良性トラヒックに対するセキュリティ機器のイベントの一例を示す図である。 図12は、第1の実施形態に係る判定装置の構成の一例を示す図である。 図13は、悪性イベントから抽出された特徴の一例を示す図である。 図14は、悪性スコアの一例を示す図である。 図15は、悪性イベントシグネチャの一例を示す図である。 図16は、第1の実施形態に係る再生装置の読込部の処理の流れを示すフローチャートである。 図17は、第1の実施形態に係る再生装置の再生部の処理の流れを示すフローチャートである。 図18は、第1の実施形態に係る判定装置の収集部の処理の流れを示すフローチャートである。 図19は、第1の実施形態に係る判定装置の抽出部の処理の流れを示すフローチャートである。 図20は、第1の実施形態に係る判定装置の判定部の処理の流れを示すフローチャートである。 図21は、悪性イベント検出装置の構成の一例を示す図である。 図22は、プログラムが実行されることにより悪性イベント検出装置が実現されるコンピュータの一例を示す図である。
 以下に、本願に係る悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本発明が限定されるものではない。
[第1の実施形態の構成]
 まず、図1を用いて、第1の実施形態に係る悪性イベント検出システムの構成について説明する。図1は、第1の実施形態に係る悪性イベント検出システムの構成の一例を示す図である。図1に示すように、悪性イベント検出システム1は、再生装置10、セキュリティ機器20および判定装置30を有する。
 また、再生装置10、セキュリティ機器20および判定装置30は、例えば、有線または無線のLAN(Local Area Network)やVPN(Virtual Private Network)等の任意の種類の通信網によって接続されている。なお、悪性イベント検出システム1に含まれるセキュリティ機器20は、複数かつそれぞれの構成が異なるものであってもよい。
 再生装置10は、悪性トラヒックファイル、良性トラヒックファイルおよび実網トラヒックファイル等の入力を受け付ける。なお、悪性トラヒックファイルは、悪性のトラヒックが発生した際のトラヒックのダンプファイルである。また、良性トラヒックファイルは、良性のトラヒックが発生した際のトラヒックのダンプファイルである。また、実網トラヒックファイルは、悪性であるか良性であるかが未知のトラヒックが発生した際のトラヒックのダンプファイルである。
 悪性トラヒックファイルは、例えば、マルウェアを疑似環境で動作させ、動的解析を行うことによって取得される。また、良性トラヒックファイルは、例えば、マルウェアに感染していないことが明らかな端末のトラヒック情報から取得される。実網トラヒックファイルは、実際に利用されているネットワークのトラヒック情報から取得され、悪性であるか良性であるかの判定の対象となる。
 また、再生装置10は、悪性トラヒックファイル、良性トラヒックファイルおよび実網トラヒックファイル等を基に、トラヒックを発生させる。なお、以降の説明では、トラヒックファイルに基づいてトラヒックを発生させることを、トラヒックを再生するという場合がある。
 セキュリティ機器20は、発生したトラヒックに応じたイベントを発生させる。セキュリティ機器20は、例えば、悪性トラヒックに応じたイベントとして悪性イベントを発生させ、良性トラヒックに応じたイベントとして良性イベントを発生させ、実網トラヒックに応じたイベントとして実網イベントを発生させる。なお、セキュリティ機器20は、再生装置10の発生させたトラヒックからではなく、ネットワークの実網トラヒックから実網イベントを発生させてもよい。
 判定装置30は、例えば、悪性イベントおよび良性イベントを基に作成した悪性イベントシグネチャや悪性イベント識別器を用いて、実網イベントが悪性であるか良性であるかを判定し、判定結果を感染端末判定結果として出力する。
 図2を用いて、再生装置10の構成について説明する。図2は、第1の実施形態に係る再生装置の構成の一例を示す図である。図2に示すように、再生装置10は、入出力部11、制御部12および記憶部13を有する。
 入出力部11は、データの入出力を行う。入出力部11は、例えば、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、入出力部11はNIC(Network Interface Card)である。
 制御部12は、再生装置10全体を制御する。制御部12は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部12は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部12は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部12は、読込部121および再生部122を有する。なお、再生部122は、発生部の一例である。
 また、記憶部13は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部13は、再生装置10で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部13は、プログラムの実行で用いられる各種情報を記憶する。
 ここで、制御部12の読込部121および再生部122における処理について説明する。読込部121は、悪性トラヒックファイルおよび良性トラヒックファイルを読み込む。また、読込部121は、読み込んだトラヒックファイルに、トラヒックの方向や順序等に関する情報を付与し、再生用トラヒックを作成する。なお、読込部121によって読み込まれるファイルは、例えばpcap形式のファイルである。また、本実施形態におけるトラヒックとは、パケットの送受信であることとする。
 図3を用いて、読込部121によって読み込まれる悪性トラヒックファイルについて説明する。図3は、悪性トラヒックファイルの一例を示す図である。図3に示すように、悪性トラヒックファイルの項目には、送信元IPアドレス(送信元マルウェア識別子)、プロトコル、送信元ポート番号、宛先IPアドレス(宛先マルウェア識別子)、宛先ポート番号、および、送信バイト数がある。なお、図3に示す悪性トラヒックファイルの項目は一例である。
 項目「送信元IPアドレス(送信元マルウェア識別子)」および項目「宛先IPアドレス(宛先マルウェア識別子)」は、トラヒックの送信元もしくは宛先のマルウェアを一意に識別する識別子、または、トラヒックの送信元もしくは宛先のIPアドレスを記憶する領域である。なお、各マルウェア識別子は、マルウェアを疑似環境で動作させ、セキュリティ機器でダンプ(動的解析)した場合に付与される。
 送信元マルウェア識別子および宛先マルウェア識別子は、マルウェア検体のSha1Hash値であってもよい。また、送信元マルウェア識別子および宛先マルウェア識別子は、マルウェア検体を有する端末のIPアドレスであってもよい。
 例えば、図3の1行目は、送信元マルウェア識別子が「M1」、プロトコルが「UDP」、送信元ポート番号が「53」、宛先IPアドレスが「192.0.2.8」、宛先ポート番号が「1037」、送信バイト数が「20」である悪性トラヒックを示している。
 また、例えば、図3の2行目は、送信元IPアドレスが「192.0.2.8」、プロトコルが「UDP」、送信元ポート番号が「53」、宛先マルウェア識別子が「M1」、宛先ポート番号が「1038」、送信バイト数が「25」である悪性トラヒックを示している。
 なお、良性トラヒックファイルおよび実網トラヒックファイルも、悪性トラヒックファイルと同様の項目を有する。ただし、良性トラヒックファイルおよび実網トラヒックファイルにおける、項目「送信元IPアドレス(送信元マルウェア識別子)」および項目「宛先IPアドレス(宛先マルウェア識別子)」に対応する項目は、トラヒックの送信元または宛先のIPアドレスが記憶される項目である。
 また、双方向通信の場合、上記の通信に対して宛先と送信元を入れ替えた戻りの通信が行われるため、マルウェア識別子、良性トラヒックおよび実網トラヒックの送信元および宛先IPアドレスは、送信元および宛先の両方になり得る。
 図4を用いて、読込部121によって作成される再生用トラヒックについて説明する。図4は、再生用トラヒックの一例を示す図である。読込部121は、悪性トラヒックファイル、良性トラヒックファイルおよび実網トラヒックファイルを、再生部122で再生可能な形式に拡張する。なお、図4に示す再生用トラヒックの項目は一例である。
 読込部121は、悪性トラヒックファイルに基づくトラヒックのそれぞれに、項目「パケット識別子」を付与する。項目「パケット識別子」には、パケットである各トラヒックを識別するための識別子が記憶される。
 また、読込部121は、悪性トラヒックファイルに基づくトラヒックの、項目「送信元IPアドレス(送信元マルウェア識別子)」および項目「宛先IPアドレス(宛先マルウェア識別子)」を、それぞれ、項目「マルウェア識別IPアドレス/送信元IPアドレス」および項目「マルウェア識別IPアドレス/宛先IPアドレス」に変換する。このとき、読込部121は、悪性トラヒックファイルの送信元マルウェア識別子および宛先マルウェア識別子を、マルウェア識別IPアドレスに変換する。
 また、読込部121は、悪性トラヒックファイルに基づくトラヒックのそれぞれに、項目「送信NIC」を付与する。そして、読込部121は、トラヒックの向きを判定した結果を、項目「送信NIC」に記憶させる。図4の例では、読込部121は、マルウェアが送信元であるトラヒックの場合、送信NICを「NIC1」とし、マルウェアが宛先であるトラヒックの場合、送信NICを「NIC2」としている。
 また、読込部121は、悪性トラヒックファイルに基づくトラヒックのそれぞれに、項目「トリガパケット識別子」を付与し、発生順序が1つ前であるトラヒックをトリガとして、項目「トリガパケット識別子」に設定する。このとき、再生部122は、読込部121によってトリガとして設定されたトラヒックの発生が完了した後、当該発生したトラヒックがトリガとして設定されたトラヒックを発生させる。
 なお、図4の例では、悪性トラヒックファイルにおけるトラヒックの並び順が、トラヒックの発生順序に対応していることとする。また、悪性トラヒックファイルには、トラヒックの発生順序に対応した連番が付与されていてもよいし、発生順序を特定可能な発生時刻が付与されていてもよい。また、再生部122がトラヒックを発生順序に従って発生させる方法は、トリガを設定する方法に限られず、例えば再生用トラヒックにあらかじめ連番を付与しておく方法であってもよい。
 また、読込部121は、悪性トラヒックファイルに基づくトラヒックのそれぞれに、項目「開始パケット識別子」を付与し、項目「開始パケット識別子」には、当該パケットが送信される基となった開始パケットのパケット識別子を記憶させる。つまり、同一セッションのパケットに対しては、セッションの最初のパケットのパケット識別子が開始パケット識別子として記憶される。
 例えば、UDPでDNSの名前解決を行う際、同一のセッションである問い合わせと応答のパケットに対しては、問い合わせのパケットのパケット識別子が開始パケット識別子として記憶される。例えば、図4のパケット識別子が「P1」であるパケットは、問い合わせのパケットであることが考えられる。この場合、パケット識別子が「P2」であるパケットは応答のパケットであることが考えられる。また、例えば、TCPでコネクションを設定する際には、同一のセッションであるSYN、SYN+ACK、ACKのパケットに対して、SYNパケットのパケット識別子が開始パケット識別子として記憶される。
 なお、セキュリティ機器20でパケットが遮断された場合、または、トリガパケットを所定の時間受信せずタイムアウトした場合は、当該受信できなかったパケットと同じ開始パケット識別子を持つパケットは送信されず、次の開始パケット識別子のパケットから送信される。
 図4の1行目は、パケット識別子が「P1」、マルウェア識別IPアドレスまたは送信元IPアドレスが「192.168.1.1」、プロトコルが「UDP」、送信元ポート番号が「53」、マルウェア識別IPアドレスまたは宛先IPアドレスが「192.0.2.8」、宛先ポート番号が「1037」、送信バイト数が「20」、送信NICが「NIC1」、トリガパケット識別子が「None」、開始パケット識別子が「P1」である再生用トラヒックを示している。なお、図4の1行目は図3の1行目に対応しているため、図4の1行目のトラヒックは、マルウェアを送信元とするトラヒックである。また、パケット識別子P1より前のトラヒックは存在しないため、トリガパケット識別子は「None」である。
 図4の2行目は、パケット識別子が「P2」、マルウェア識別IPアドレスまたは送信元IPアドレスが「192.0.2.8」、プロトコルが「UDP」、送信元ポート番号が「53」、マルウェア識別IPアドレスまたは宛先IPアドレスが「192.168.1.1」、宛先ポート番号が「1038」、送信バイト数が「25」、送信NICが「NIC2」、トリガパケット識別子が「P1」、開始パケット識別子が「P1」である再生用トラヒックを示している。
 再生部122は、セキュリティ機器20を有するネットワーク上に、トラヒックファイルに基づくトラヒックを発生させる。なお、セキュリティ機器20は、トラヒックに応じたイベントを発生させる。また、再生部122は、読込部121によって作成された再生トラヒックに従ってトラヒックを発生させる。
 再生部122は、例えば、図5または6に示すような接続方法で、セキュリティ機器20と接続される。図5および6は、再生装置とセキュリティ機器の接続方法の一例を示す図である。
 図5に示すように、再生部122は、2つのNIC、およびスイッチやタップを経由してセキュリティ機器20と接続されてもよい。この場合、例えば、NIC1が送信側、NIC2が受信側として用いられる。また、図6に示すように、再生部122は、1つのセキュリティ機器20に対し、2つのNICを用いて、各セキュリティ機器20をインラインに挟み込むように接続してもよい。再生部122は、1つのトラヒックに対し、2つのNICを用いることになる。また、NIC、スイッチ、タップ等は、物理的な装置であってもよいし、仮想的な装置であってもよい。
 図7および8を用いて、再生用トラヒックの再生方法について説明する。図7および8は、再生用トラヒックの再生方法について説明するための図である。再生部122は、クライアント側の端末が送信元であるトラヒックを一方のNICから送信し、サーバ側の端末が送信元であるトラヒックを他方のNICから送信する。ここでは、例として、再生部122は、クライアント側の端末が送信元であるトラヒックをNIC1から送信し、サーバ側の端末が送信元であるトラヒックをNIC2から送信することとする。このとき、図7に示すように、再生部122は、クライアント側およびサーバ側の両方から再生用トラヒックのデータを参照する。
 例えば、図7に示す再生用トラヒックのデータのうち、{P1,None}は、パケット識別子が「P1」、トリガパケット識別子が「None」であるトラヒックを示している。また、例えば、{P2,P1}は、パケット識別子が「P2」、トリガパケット識別子が「P1」であるトラヒックを示している。
 なお、図7の各再生用トラヒックは、図4の再生用トラヒックと対応しているものとする。また、図4のIPアドレス「192.168.1.1」はクライアント側の端末のIPアドレスであり、IPアドレス「192.0.2.8」および「198.51.100.70」はサーバ側の端末のIPアドレスであることとする。また、以降の説明では、パケット識別子が「P1」である再生用トラヒックのことを、再生用トラヒック「P1」と呼ぶ場合がある。
 図8に示すように、再生部122は、まず、再生用トラヒック「P1」を参照する。このとき、再生用トラヒック「P1」の送信元IPアドレスは「192.168.1.1」、すなわちクライアント側の端末のIPアドレスである。そのため、再生部122は、再生用トラヒック「P1」をNIC1から送信する。一方、再生部122は、再生用トラヒック「P1」をサーバ側では無視する。
 次に、再生用トラヒック「P1」が送信されたため、再生部122は、再生用トラヒック「P1」をトリガとする再生用トラヒック「P2」を参照する。このとき、再生用トラヒック「P2」の送信元IPアドレスは「192.0.2.8」、すなわちサーバ側の端末のIPアドレスである。そのため、再生部122は、再生用トラヒック「P2」をNIC2から送信する。一方、再生部122は、再生用トラヒック「P2」をクライアント側では無視する。
 次に、再生用トラヒック「P2」が送信されたため、再生部122は、再生用トラヒック「P2」をトリガとする再生用トラヒック「P3」を参照する。このとき、再生用トラヒック「P3」の送信元IPアドレスは「192.168.1.1」、すなわちクライアント側の端末のIPアドレスである。そのため、再生部122は、再生用トラヒック「P3」をNIC1から送信する。一方、再生部122は、再生用トラヒック「P3」をサーバ側では無視する。
 次に、再生用トラヒック「P3」が送信されたため、再生部122は、再生用トラヒック「P3」をトリガとする再生用トラヒック「P4」を参照する。このとき、再生用トラヒック「P4」の送信元IPアドレスは「192.168.1.1」、すなわちクライアント側の端末のIPアドレスである。そのため、再生部122は、再生用トラヒック「P4」をNIC1から送信する。一方、再生部122は、再生用トラヒック「P4」をサーバ側では無視する。
 また、再生部122は、発生させたトラヒックが停止したことを検知した場合、発生済みのトラヒックおよび未発生のトラヒックに設定されたトリガを基に、発生させるトラヒックを特定し、当該特定したトラヒックを発生させる。
 ここで、NIC1から送信されたパケットが停止した場合、すなわちドロップした場合について説明する。図8に示すように、再生用トラヒック「P5」は、送信元IPアドレスがサーバ側の端末のIPアドレスであるため、再生部122は、再生用トラヒック「P5」をクライアント側では無視する。一方、再生部122は、再生用トラヒック「P5」を送信するためのトリガである再生用トラヒック「P4」の受信を待機している。
 ここで、タイムアウトとして設定された所定の時間が経過した場合、再生部122は、クライアント側およびサーバ側の再生用トラヒックの残数を参照し、残数が多い方の再生用トラヒックを送信する。この場合、サーバ側の残数が2であり、クライアント側の残数1より多いため、再生部122は、再生用トラヒック「P5」をNIC2から送信する。
 ここで、図9を用いて、セキュリティ機器20のイベントについて説明する。図9は、セキュリティ機器のイベントの項目の一例を示す図である。図9に示すように、セキュリティ機器20のイベントの項目には、「検知時刻」、「セキュリティ機器名」、「脅威のカテゴリ(カテゴリID)」、「緊急度」、「検知イベント名(イベントID)」、「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「アプリケーション」、「アクション」等がある。判定装置30は、セキュリティ機器20からイベントを収集する際に、図9のような定形フォーマットでないイベントを、適宜パースして整形するようにしてもよい。
 図10および11を用いて、セキュリティ機器20のイベントについて説明する。図10は、悪性トラヒックに対するセキュリティ機器のイベントの一例を示す図である。図11は、良性トラヒックに対するセキュリティ機器のイベントの一例を示す図である。
 セキュリティ機器20は、パケットを受信すると、機器独自の検知および防御ロジックを用いて、不正通信に対して検知や防御等の処理を行うとともに、イベントを生成する。セキュリティ機器20は、セキュリティに特化した専用の装置であってもよいし、フィルタ機能を有するネットワーク装置等であってもよい。セキュリティ機器20は、例えば、ファイアウォール、次世代ファイアウォール、IDS、IPS(Intrusion Prevention System)、UTM(Unified Threat Management)、サンドボックス、パケットフィルタ機能を有するルータおよびスイッチ等である。
 図10に示すように、悪性イベント、すなわち悪性トラヒックに対するセキュリティ機器20のイベントの項目には、「検知時刻」、「セキュリティ機器名」、「カテゴリ」、「緊急度」、「イベント名」、「送信元/宛先IPアドレス/マルウェア識別子」、「送信元ポート番号」、「宛先ポート番号」、「アプリケーション」、「アクション」等がある。なお、図10に示す悪性イベントの項目は一例である。
 例えば、図10の5行目は、検知時刻が「03/11 01:00:01」、セキュリティ機器名が「A社製品」、カテゴリが「不明サイト」、緊急度が「Info」、イベント名が「http://unknown.com/」、マルウェア識別子が「M1」、宛先IPアドレスが「10.0.0.4」、送信元ポート番号が「1027」、宛先ポート番号が「80」、アプリケーションが「Web-browsing」、アクションが「alert」であるイベントを示している。
 また、判定装置30は、関連する悪性イベントから特徴を抽出するようにしてもよい。例えば、図10の太枠で示されたイベントは、検知時刻が近く、宛先IPアドレスが同一であるイベントを関連イベントとしたものである。
 図11に示すように、良性イベント、すなわち良性トラヒックに対するセキュリティ機器20のイベントの項目には、「検知時刻」、「セキュリティ機器名」、「カテゴリ」、「緊急度」、「イベント名」、「送信元/宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「アプリケーション」、「アクション」等がある。なお、図11に示す良性イベントの項目は一例である。
 例えば、図11の4行目は、検知時刻が「03/11 01:00:01」、セキュリティ機器名が「A社製品」、カテゴリが「脆弱性」、緊急度が「Info」、イベント名が「HTTP OPTIONS Method」、送信元IPアドレスが「192.168.1.1」、宛先IPアドレスが「10.0.0.4」、送信元ポート番号が「1027」、宛先ポート番号が「80」、アプリケーションが「Web-browsing」、アクションが「alert」であるイベントを示している。
 また、判定装置30は、関連する良性イベントから特徴を抽出するようにしてもよい。例えば、図11の太枠で示されたイベントは、検知時刻が近く、宛先IPアドレスが同一であるイベントを関連イベントとしたものである。また、実網イベント、すなわち実網トラヒックに対するセキュリティ機器20のイベントの項目は、例えば良性イベントの項目と同様である。
 ここで、図12を用いて、判定装置30の構成について説明する。図12は、第1の実施形態に係る判定装置の構成の一例を示す図である。図12に示すように、判定装置30は、入出力部31、制御部32および記憶部33を有する。入出力部31、制御部32および記憶部33は、それぞれ、再生装置10の入出力部11、制御部12および記憶部13と同様の装置によって実現される。
 制御部32は、収集部321、抽出部322および判定部323を有する。収集部321は、発生したトラヒックに対してセキュリティ機器20が発生させたイベントを収集する。また、抽出部322は、収集部321によって収集されたイベントから特徴を抽出する。また、判定部323は、抽出部322によって抽出された特徴を基に、判定対象のイベントが悪性のトラヒックに対するものであるか、または良性のトラヒックに対するものであるかを判定する。なお、判定対象のイベントは実網イベントである。
 図13を用いて、抽出部322によって抽出された悪性イベントの特徴について説明する。図13は、悪性イベントから抽出された特徴の一例を示す図である。抽出部322は、図10に示すような悪性イベントから、図13に示すような特徴を抽出する。例えば、抽出部322は、セキュリティ機器20ごとの悪性イベントの任意のフィールドに対して、発生マルウェア数/端末数を計算し、計算した結果を発生率として抽出する。
 図13の例では、抽出部322は、セキュリティ機器名とイベント名を特徴とし、それぞれの発生マルウェア数および発生率を抽出している。例えば、図13の1行目は、セキュリティ機器名が「A社製品」、イベント名が「イベントEa1」である悪性イベントの発生マルウェア数が「80」、発生率が「0.8」であったことを示している。
 抽出部322は、判定対象のイベントが悪性イベントとして発生した頻度と、判定対象のイベントが良性イベントとして発生した頻度と、を基に、判定対象のイベントの悪性の度合いまたは良性の度合いを表すスコアを算出する。また、抽出部322は、判定対象のイベントおよび判定対象のイベントとの類似度が所定値以上であるイベントが悪性イベントとして発生した頻度と、判定対象のイベントおよび判定対象のイベントとの類似度が所定値以上であるイベントが良性イベントとして発生した頻度と、を基に、判定対象のイベントの悪性の度合いまたは良性の度合いを表すスコアを算出してもよい。
 図14を用いて、抽出部322によって算出される、各特徴の悪性度を表す悪性スコアについて説明する。図14は、悪性スコアの一例を示す図である。図14に示すように、悪性スコアは、当該特徴の悪性イベントにおける発生率を、当該特徴の良性イベントにおける発生率で割った発生比であってもよい。また、悪性スコアは、当該特徴の悪性イベントにおける発生率のΧ二乗値であってもよい。
 抽出部322は、悪性イベントとして関連イベントを用いる場合は、当該関連イベントに含まれるセキュリティ機器20の特性に応じて、悪性スコアに重みを加える。例えば、抽出部322は、関連イベントに含まれるイベントが、同一のセキュリティ機器20のイベントのみである場合、悪性スコアを1.5倍し、異なるセキュリティ機器20のイベントが含まれている場合、悪性スコアを2.0倍してもよい。
 例えば、抽出部322は、各特徴の悪性スコアを以下のように計算する。このとき、A社製品のイベントEa3およびA社製品のイベントEa4は、同一セキュリティ機器20のイベントを有する関連イベントである。また、A社製品のイベントEa5とB社製品のイベントEb5は、異なるセキュリティ機器20のイベントを有する関連イベントである。また、この場合、抽出部322は、発生率比を悪性スコアとすることとする。
 「B社製品_イベントEb1」の悪性スコア
  0.8/0.01=80
 「A社製品_イベントEa3」および「A社製品_イベントEa4」の悪性スコア
  0.6/0.01*1.5=90
 「A社製品_イベントEa5」および「B社製品_イベントEb5」の悪性スコア
  0.6/0.01*2.0=120
 さらに、図15に示すように、抽出部322は、悪性スコアを基に悪性イベントシグネチャを作成する。図15は、悪性イベントシグネチャの一例を示す図である。この場合、抽出部322は、悪性スコアが5以上である特徴を悪性イベントシグネチャとして抽出する。
 判定部323は、スコアに基づいて、判定対象のイベントが悪性のトラヒックに対するものであるか、または良性のトラヒックに対するものであるかを判定する。例えば、判定部323は、図15の悪性イベントシグネチャを参照し、B社製品のイベントEb1の悪性スコアが80以上であったトラヒックを悪性と判定する。さらに、抽出部322は、「悪性イベント」を正例、「良性イベント」を負例として各種機械学習アルゴリズムを適用することで、悪性イベント識別器を生成してもよい。この場合、判定部323は、悪性イベント識別器による判定を行うことができる。
[第1の実施形態の処理]
 ここで、図16を用いて、再生装置10の読込部121の処理について説明する。図16は、第1の実施形態に係る再生装置の読込部の処理の流れを示すフローチャートである。図16に示すように、まず、読込部121は、悪性トラヒックファイルおよび良性トラヒックファイルを読み込む(ステップS101)。次に、読込部121は、各トラヒックファイルにマルウェア識別子が含まれる場合は、当該マルウェア識別子をマルウェア識別IPアドレスに変換する(ステップS102)。
 次に、各トラヒックファイルに含まれる各パケットの送信元がクライアント側であるかサーバ側であるかによって、送信元とするNICを特定する(ステップS103)。そして、読込部121は、各パケットにトリガパケット識別子および開始パケット識別子を付与する(ステップS104、S105)。
 ここで、トラヒックファイルがない場合(ステップS106、No)、読込部121は、作成した再生トラヒックを出力する(ステップS107)。また、トラヒックファイルがある場合(ステップS106、Yes)、読込部121は、ステップS101に処理を戻す。
 次に、図17を用いて、再生部122の処理について説明する。図17は、第1の実施形態に係る再生装置の再生部の処理の流れを示すフローチャートである。図17に示すように、まず、再生部122は、再生用トラヒックの入力を受け付ける(ステップS201)。そして、再生部122は、再生用トラヒックから、クライアント側もしくはサーバ側のいずれかのNICから送信する送信パケットであって、遮断済みでない送信パケットを検索する(ステップS202)。
 なお、遮断済みの送信パケットとは、後述のトラヒック遮断イベントにおいて遮断された送信パケット、および、当該送信パケットの開始パケット識別子と同じ開始パケット識別子が設定された送信パケットである。例えば、図4の例において、パケット識別子が「P1」であるパケットが遮断されている場合、パケット識別子が「P1」であるパケットおよびパケット識別子が「P2」であるパケットの両方が遮断済みの送信パケットとなる。これは、パケット識別子が「P2」であるパケットが、パケット識別子が「P1」であるパケットと同じ開始パケット識別子を持つためである。
 また、前述の通り、トリガパケットを所定の時間受信せずタイムアウトした場合も同様に、当該受信できなかったパケットと同じ開始パケット識別子を持つパケットは送信パケットとして検索されない。
 送信パケットが検索された場合(ステップS203、Yes)、再生部122は、検索された送信パケットのトリガパケットがNoneであるか、または検索された送信パケットのトリガパケットが送受信済みである場合(ステップS204、Yes)、当該送信パケットを送信する(ステップS205)。また、検索された送信パケットのトリガパケットが未送受信である場合(ステップS204、No)、再生部122は、タイムアウトしたか否かを判定する(ステップS206)。タイムアウトしていない場合(ステップS206、No)、再生部122は、ステップS204に処理を戻す。一方、タイムアウトした場合(ステップS206、Yes)、再生部122は、当該送信パケットを送信せず、他の送信パケットを検索する(ステップS202)。
 また、送信パケットが検索されなかった場合(ステップS203、No)、未入力の再生用トラヒックがあれば(ステップS207、Yes)、再生部122はさらに再生用トラヒックの入力を受け付ける(ステップS201)。また、未入力の再生用トラヒックがない場合(ステップS207、No)、再生部122は処理を終了する。
 次に、図18を用いて、収集部321の処理について説明する。図18は、第1の実施形態に係る判定装置の収集部の処理の流れを示すフローチャートである。図18に示すように、まず、収集部321は、セキュリティ機器20から出力されたイベントの入力を受け付ける(ステップS301)。次に、収集部321は、イベントのパースや整形といった前処理を行う(ステップS302)。
 ここで、トラヒックが遮断されたことを検知したイベントであるトラヒック遮断イベントがある場合(ステップS303、Yes)、収集部321は、イベントに含まれるIPアドレス、ポート番号等を基に遮断されているパケットを特定し、再生部122にトラヒックが遮断されている旨および特定したパケットに関する情報を通知する(ステップS304)。
 トラヒック遮断イベントがない場合(ステップS303、No)、収集部321は、関連イベントを検索する(ステップS305)。そして、収集部321は、関連イベントに関する情報を抽出部322と共有する(ステップS306)。そして、未入力のイベントがある場合(ステップS307、Yes)、収集部321は、さらにイベントの入力を受け付ける(ステップS301)。また、未入力のイベントがない場合(ステップS307、No)、収集部321は処理を終了する。
 次に、図19を用いて、抽出部322の処理について説明する。図19は、第1の実施形態に係る判定装置の抽出部の処理の流れを示すフローチャートである。図19に示すように、まず、抽出部322は、収集部321によって収集されたイベントの入力を受け付ける(ステップS401)。次に、抽出部322は、イベントから特徴を抽出する(ステップS402)。そして、抽出部322は、イベントごとの悪性スコアを計算し(ステップS403)、悪性イベントシグネチャおよび悪性イベント識別器を生成する(ステップS404、S405)。
 次に、図20を用いて、判定部323の処理について説明する。図20は、第1の実施形態に係る判定装置の判定部の処理の流れを示すフローチャートである。図20に示すように、まず、判定部323は、実網イベントの入力を受け付ける(ステップS501)。次に、判定部323は、悪性イベントシグネチャとのマッチングによる判定(ステップS502)、悪性イベント識別器による判定(ステップS503)、および関連イベントによる判定(ステップS504)を行う。そして、判定部323は、判定結果を生成する(ステップS505)。
[第1の実施形態の効果]
 読込部121は、悪性または良性のトラヒックが発生した際のトラヒックのダンプファイルであるトラヒックファイルを読み込む。また、再生部122は、トラヒックに応じたイベントを発生させるセキュリティ機器20を有するネットワーク上に、トラヒックファイルに基づくトラヒックを発生させる。また、収集部321は、発生したトラヒックに対してセキュリティ機器20が発生させたイベントを収集する。また、抽出部322は、収集部321によって収集されたイベントから特徴を抽出する。また、判定部323は、抽出部322によって抽出された特徴を基に、判定対象のイベントが悪性のトラヒックに対するものであるか、または良性のトラヒックに対するものであるかを判定する。
 これにより、セキュリティ機器によって検知されるイベントが多種多量であり、マルウェアによる通信に関係しないものが含まれる場合であっても、悪性または良性についての判定が自動的に行われるため、効率的な解析が可能となる。
 読込部121は、トラヒックの発生順序を示す情報を含んだトラヒックファイルを読み込み、トラヒックファイルに基づくトラヒックのそれぞれに、発生順序が1つ前であるトラヒックをトリガとして設定してもよい。このとき、再生部122は、読込部121によってトリガとして設定されたトラヒックの発生が完了した後、当該発生したトラヒックがトリガとして設定されたトラヒックを発生させる。
 これにより、実際に発生した順序通りにトラヒックを再現することが可能となる。また、トリガに関する条件が満たされ次第、次のトラヒックを発生させることが可能となるため、実際に発生した間隔よりも短い間隔でトラヒックを発生させ、短時間で判定等を行うことが可能となる。
 また、再生部122は、発生させたトラヒックが停止したことを検知した場合、発生済みのトラヒックおよび未発生のトラヒックに設定されたトリガを基に、発生させるトラヒックを特定し、当該特定したトラヒックを発生させる。これにより、何らかの原因でトラヒックが停止した場合であっても、自動的に復旧し、処理を続けることが可能となる。
 読込部121は、悪性トラヒックが発生した際のトラヒックのダンプファイルである悪性トラヒックファイルと、良性トラヒックが発生した際のトラヒックのダンプファイルである良性トラヒックファイルと、を読み込む。また、再生部122は、悪性トラヒックファイルに基づくトラヒックである悪性トラヒックと、良性トラヒックファイルに基づくトラヒックである良性トラヒックと、を発生させる。また、収集部321は、悪性トラヒックに対するイベントである悪性イベントと、良性トラヒックに対するイベントである良性イベントと、を収集する。また、抽出部322は、悪性イベントの特徴と、良性イベントの特徴と、を抽出する。このように、悪性トラヒックファイルと良性トラヒックファイルの両方に基づいた特徴抽出を行うことで、より精度の高い判定を行うことが可能となる。
 抽出部322は、判定対象のイベントが悪性イベントとして発生した頻度と、判定対象のイベントが良性イベントとして発生した頻度と、を基に、判定対象のイベントの悪性の度合いまたは良性の度合いを表すスコアを算出してもよい。この場合、判定部323は、スコアに基づいて、判定対象のイベントが悪性のトラヒックに対するものであるか、または良性のトラヒックに対するものであるかを判定する。
 これにより、イベントの悪性イベントにおける発生頻度と、良性イベントにおける発生頻度の両方をスコアに反映させることができるため、検出率を大きくし、誤検出率を小さくすることが可能となる。
 抽出部322は、判定対象のイベントおよび判定対象のイベントとの類似度が所定値以上であるイベントが悪性イベントとして発生した頻度と、判定対象のイベントおよび判定対象のイベントとの類似度が所定値以上であるイベントが良性イベントとして発生した頻度と、を基に、判定対象のイベントの悪性の度合いまたは良性の度合いを表すスコアを算出してもよい。この場合、判定部323は、スコアに基づいて、判定対象のイベントが悪性のトラヒックに対するものであるか、または良性のトラヒックに対するものであるかを判定してもよい。
 複数の悪性イベントが、関連イベントの関係にある場合、当該複数の悪性イベントは、関連イベントを持たない悪性イベントよりも悪性の度合いがより大きい場合が考えられるため、関連イベントを考慮したスコアを算出することで、より検出精度を向上させることが可能となる。
[その他の実施形態]
 悪性イベント検出システム1の再生装置10および判定装置30の各処理部は、図21に示すように、1つの装置によって実現されてもよい。図21は、悪性イベント検出装置の構成の一例を示す図である。図21に示すように、悪性イベント検出装置50は、入出力部51、制御部52および記憶部53を有する。入出力部51、制御部52および記憶部53は、それぞれ、再生装置10の入出力部11、制御部12および記憶部13と同様の装置によって実現される。また、制御部52は、読込部521、再生部522、収集部523、抽出部524および判定部525を有する。読込部521、再生部522、収集部523、抽出部524および判定部525は、それぞれ、読込部121、再生部122、収集部321、抽出部322および判定部323と同様の処理を行う。
[システム構成等]
 また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
 また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
 一実施形態として、悪性イベント検出装置50は、パッケージソフトウェアやオンラインソフトウェアとして上記の悪性イベント検出を実行する悪性イベント検出プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の悪性イベント検出プログラムを情報処理装置に実行させることにより、情報処理装置を悪性イベント検出装置50として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
 また、悪性イベント検出装置50は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の悪性イベント検出に関するサービスを提供する悪性イベント検出サーバ装置として実装することもできる。例えば、悪性イベント検出サーバ装置は、実網トラヒックファイルを入力とし、判定結果を出力とする悪性イベント検出サービスを提供するサーバ装置として実装される。この場合、悪性イベント検出サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の悪性イベント検出に関するサービスを提供するクラウドとして実装することとしてもかまわない。
 図22は、プログラムが実行されることにより悪性イベント検出装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
 メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
 ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、悪性イベント検出装置50の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、悪性イベント検出装置50における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
 また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
 なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093およびプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093およびプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
 1 悪性イベント検出システム
 10 再生装置
 11、31、51 入出力部
 12、32、52 制御部
 13、33、53 記憶部
 20 セキュリティ機器
 30 判定装置
 50 悪性イベント検出装置
 121、521 読込部
 122、522 再生部
 321、523 収集部
 322、524 抽出部
 323、525 判定部

Claims (8)

  1.  悪性または良性のトラヒックが発生した際のトラヒックのダンプファイルであるトラヒックファイルを読み込む読込部と、
     トラヒックに応じたイベントを発生させるセキュリティ機器を有するネットワーク上に、前記トラヒックファイルに基づくトラヒックを発生させる発生部と、
     発生したトラヒックに対して前記セキュリティ機器が発生させたイベントを収集する収集部と、
     前記収集部によって収集された前記イベントから特徴を抽出する抽出部と、
     前記抽出部によって抽出された特徴を基に、判定対象のイベントが悪性のトラヒックに対するものであるか、または良性のトラヒックに対するものであるかを判定する判定部と、
     を有することを特徴とする悪性イベント検出装置。
  2.  前記読込部は、トラヒックの発生順序を示す情報を含んだトラヒックファイルを読み込み、前記トラヒックファイルに基づくトラヒックのそれぞれに、発生順序が1つ前であるトラヒックをトリガとして設定し、
     前記発生部は、前記読込部によってトリガとして設定されたトラヒックの発生が完了した後、当該発生したトラヒックがトリガとして設定されたトラヒックを発生させることを特徴とする請求項1に記載の悪性イベント検出装置。
  3.  前記発生部は、発生させたトラヒックが停止したことを検知した場合、発生済みのトラヒックおよび未発生のトラヒックに設定されたトリガを基に、発生させるトラヒックを特定し、当該特定したトラヒックを発生させることを特徴とする請求項2に記載の悪性イベント検出装置。
  4.  前記読込部は、悪性トラヒックが発生した際のトラヒックのダンプファイルである悪性トラヒックファイルと、良性トラヒックが発生した際のトラヒックのダンプファイルである良性トラヒックファイルと、を読み込み、
     前記発生部は、前記悪性トラヒックファイルに基づくトラヒックである悪性トラヒックと、前記良性トラヒックファイルに基づくトラヒックである良性トラヒックと、を発生させ、
     前記収集部は、前記悪性トラヒックに対するイベントである悪性イベントと、前記良性トラヒックに対するイベントである良性イベントと、を収集し、
     前記抽出部は、前記悪性イベントの特徴と、前記良性イベントの特徴と、を抽出することを特徴とする請求項1に記載の悪性イベント検出装置。
  5.  前記抽出部は、前記判定対象のイベントが前記悪性イベントとして発生した頻度と、前記判定対象のイベントが前記良性イベントとして発生した頻度と、を基に、前記判定対象のイベントの悪性の度合いまたは良性の度合いを表すスコアを算出し、
     前記判定部は、前記スコアに基づいて、前記判定対象のイベントが悪性のトラヒックに対するものであるか、または良性のトラヒックに対するものであるかを判定することを特徴とする請求項4に記載の悪性イベント検出装置。
  6.  前記抽出部は、前記判定対象のイベントおよび前記判定対象のイベントとの類似度が所定値以上であるイベントが前記悪性イベントとして発生した頻度と、前記判定対象のイベントおよび前記判定対象のイベントとの類似度が所定値以上であるイベントが前記良性イベントとして発生した頻度と、を基に、前記判定対象のイベントの悪性の度合いまたは良性の度合いを表すスコアを算出し、
     前記判定部は、前記スコアに基づいて、前記判定対象のイベントが悪性のトラヒックに対するものであるか、または良性のトラヒックに対するものであるかを判定することを特徴とする請求項4に記載の悪性イベント検出装置。
  7.  悪性イベント検出システムで実行される悪性イベント検出方法であって、
     悪性または良性のトラヒックが発生した際のトラヒックのダンプファイルであるトラヒックファイルを読み込む読込工程と、
     トラヒックに応じたイベントを発生させるセキュリティ機器を有するネットワーク上に、前記トラヒックファイルに基づくトラヒックを発生させる発生工程と、
     発生したトラヒックに対して前記セキュリティ機器が発生させたイベントを収集する収集工程と、
     前記収集工程によって収集された前記イベントから特徴を抽出する抽出工程と、
     前記抽出工程によって抽出された特徴を基に、判定対象のイベントが悪性のトラヒックに対するものであるか、または良性のトラヒックに対するものであるかを判定する判定工程と、
     を含んだことを特徴とする悪性イベント検出方法。
  8.  コンピュータに、
     悪性または良性のトラヒックが発生した際のトラヒックのダンプファイルであるトラヒックファイルを読み込む読込ステップと、
     トラヒックに応じたイベントを発生させるセキュリティ機器を有するネットワーク上に、前記トラヒックファイルに基づくトラヒックを発生させる発生ステップと、
     発生したトラヒックに対して前記セキュリティ機器が発生させたイベントを収集する収集ステップと、
     前記収集ステップによって収集された前記イベントから特徴を抽出する抽出ステップと、
     前記抽出ステップによって抽出された特徴を基に、判定対象のイベントが悪性のトラヒックに対するものであるか、または良性のトラヒックに対するものであるかを判定する判定ステップと、
     を実行させることを特徴とする悪性イベント検出プログラム。
PCT/JP2017/020517 2016-06-16 2017-06-01 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム WO2017217247A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US16/304,753 US10963562B2 (en) 2016-06-16 2017-06-01 Malicious event detection device, malicious event detection method, and malicious event detection program
JP2018523650A JP6592196B2 (ja) 2016-06-16 2017-06-01 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2016-120011 2016-06-16
JP2016120011 2016-06-16

Publications (1)

Publication Number Publication Date
WO2017217247A1 true WO2017217247A1 (ja) 2017-12-21

Family

ID=60664029

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2017/020517 WO2017217247A1 (ja) 2016-06-16 2017-06-01 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム

Country Status (3)

Country Link
US (1) US10963562B2 (ja)
JP (1) JP6592196B2 (ja)
WO (1) WO2017217247A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019225710A1 (ja) * 2018-05-25 2019-11-28 日本電信電話株式会社 特定装置、特定方法及び特定プログラム

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11477223B2 (en) * 2020-01-15 2022-10-18 IronNet Cybersecurity, Inc. Systems and methods for analyzing cybersecurity events
CN114465741B (zh) * 2020-11-09 2023-09-26 腾讯科技(深圳)有限公司 一种异常检测方法、装置、计算机设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004312083A (ja) * 2003-04-02 2004-11-04 Kddi Corp 学習データ作成装置、侵入検知システムおよびプログラム
JP2007096735A (ja) * 2005-09-29 2007-04-12 Fujitsu Ltd ネットワークセキュリティ装置
JP2014175699A (ja) * 2013-03-06 2014-09-22 Hitachi Ltd パケットリプレイ装置およびパケットリプレイ方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5009244B2 (ja) 2008-07-07 2012-08-22 日本電信電話株式会社 マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム
US8726382B2 (en) * 2008-08-20 2014-05-13 The Boeing Company Methods and systems for automated detection and tracking of network attacks
JP5345492B2 (ja) 2009-09-29 2013-11-20 日本電信電話株式会社 Dnsトラフィックデータを利用したボット感染者検知方法
AU2011293160B2 (en) * 2010-08-26 2015-04-09 Verisign, Inc. Method and system for automatic detection and analysis of malware
IL219597A0 (en) * 2012-05-03 2012-10-31 Syndrome X Ltd Malicious threat detection, malicious threat prevention, and a learning systems and methods for malicious threat detection and prevention
US9225734B1 (en) * 2014-09-10 2015-12-29 Fortinet, Inc. Data leak protection in upper layer protocols
US10320813B1 (en) * 2015-04-30 2019-06-11 Amazon Technologies, Inc. Threat detection and mitigation in a virtualized computing environment

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004312083A (ja) * 2003-04-02 2004-11-04 Kddi Corp 学習データ作成装置、侵入検知システムおよびプログラム
JP2007096735A (ja) * 2005-09-29 2007-04-12 Fujitsu Ltd ネットワークセキュリティ装置
JP2014175699A (ja) * 2013-03-06 2014-09-22 Hitachi Ltd パケットリプレイ装置およびパケットリプレイ方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019225710A1 (ja) * 2018-05-25 2019-11-28 日本電信電話株式会社 特定装置、特定方法及び特定プログラム

Also Published As

Publication number Publication date
JPWO2017217247A1 (ja) 2018-10-04
US10963562B2 (en) 2021-03-30
JP6592196B2 (ja) 2019-10-16
US20200089877A1 (en) 2020-03-19

Similar Documents

Publication Publication Date Title
US11757844B2 (en) Smart proxy for a large scale high-interaction honeypot farm
US20220141253A1 (en) Large scale high-interactive honeypot farm
US10095866B2 (en) System and method for threat risk scoring of security threats
US10225280B2 (en) System and method for verifying and detecting malware
US10354072B2 (en) System and method for detection of malicious hypertext transfer protocol chains
JP5886422B2 (ja) プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法
US11290484B2 (en) Bot characteristic detection method and apparatus
EP3414663A1 (en) Automated honeypot provisioning system
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
EP3374870B1 (en) Threat risk scoring of security threats
CN112073437B (zh) 多维度的安全威胁事件分析方法、装置、设备及存储介质
JPWO2015141640A1 (ja) 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
Kim et al. Agent-based honeynet framework for protecting servers in campus networks
JP2024023875A (ja) インラインマルウェア検出
Heenan et al. A survey of Intrusion Detection System technologies
Yang et al. Cyber threat detection and application analysis
Prajapati et al. Host-based forensic artefacts of botnet infection
US20230362176A1 (en) System and method for locating dga compromised ip addresses
Gheorghe et al. Attack evaluation and mitigation framework

Legal Events

Date Code Title Description
ENP Entry into the national phase

Ref document number: 2018523650

Country of ref document: JP

Kind code of ref document: A

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17813149

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17813149

Country of ref document: EP

Kind code of ref document: A1