JP5966076B1 - 情報処理装置、情報処理方法及びプログラム - Google Patents
情報処理装置、情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP5966076B1 JP5966076B1 JP2015252932A JP2015252932A JP5966076B1 JP 5966076 B1 JP5966076 B1 JP 5966076B1 JP 2015252932 A JP2015252932 A JP 2015252932A JP 2015252932 A JP2015252932 A JP 2015252932A JP 5966076 B1 JP5966076 B1 JP 5966076B1
- Authority
- JP
- Japan
- Prior art keywords
- communication
- log
- list
- unauthorized
- communication log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
また、出力手段は、相関を示す情報として、ログ抽出手段による各リストの抽出結果として示された通信ログの中で、いずれかのリストの抽出結果に含まれる一の通信ログの通信先と同じ通信先を有する通信ログを示す情報を出力するもの、であってよい。
さらに、出力手段は、相関を示す情報として、ログ抽出手段による各リストの抽出結果として示された通信ログの中で、いずれかのリストの抽出結果において抽出された数が予め定められた数以下の一の通信ログの通信先と同じ通信先を有する通信ログを示す情報を出力するもの、であってよい。
そして、リストのそれぞれには不正通信を検出するための重要度が予め設定されており、出力手段は、相関を示す情報として、ログ抽出手段による各リストの抽出結果として示された通信ログの中で、一定の重要度以下のいずれかのリストにおける抽出結果に含まれる一の通信ログの通信先と同じ通信先を有する通信ログを示す情報を出力するもの、であってよい。
また、本発明は、監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得する取得手段と、取得手段が取得した通信ログをもとに不正通信が検出された場合に、取得手段が取得した通信ログの中から、通信元が不正通信の通信元と同一の通信で、不正通信が対象期間内で最初に発生した時点より遡って予め定められた時間内に検知された通信の通信ログを、不正通信の発生要因を特定するのに用いる情報として抽出する抽出手段とを備える、情報処理装置も提供する。
さらに、本発明は、監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得するステップと、問題のある通信を検出するための予め定められた条件が設定された複数のリストを取得するステップと、取得された通信ログのうち、リストに設定された予め定められた条件を満たす通信ログをリストごとに抽出するステップと、リストごとに抽出された抽出結果の相関を示す情報を出力するステップとを含む、情報処理方法を提供する。
そして、本発明は、監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得するステップと、取得された通信ログをもとに不正通信が検出された場合に、取得された通信ログの中から、通信元が不正通信の通信元と同一の通信で、不正通信が対象期間内で最初に発生した時点より遡って予め定められた時間内に検知された通信の通信ログを、不正通信の発生要因を特定するのに用いる情報として抽出するステップとを含む、情報処理方法も提供する。
また、本発明は、コンピュータに、監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得する機能と、問題のある通信を検出するための予め定められた条件が設定された複数のリストを記憶部から読み出す機能と、取得された通信ログのうち、リストに設定された予め定められた条件を満たす通信ログをリストごとに抽出する機能と、リストごとに抽出された抽出結果の相関を示す情報を出力する機能とを実現させるための、プログラムも提供する。
さらに、本発明は、コンピュータに、監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得する機能と、取得された通信ログをもとに不正通信が検出された場合に、取得された通信ログの中から、通信元が不正通信の通信元と同一の通信で、不正通信が対象期間内で最初に発生した時点より遡って予め定められた時間内に検知された通信の通信ログを、不正通信の発生要因を特定するのに用いる情報として抽出する機能とを実現させるための、プログラムも提供する。
<システム構成>
まず、本実施の形態が適用されるコンピュータシステムについて説明する。図1は、本実施の形態が適用されるコンピュータシステムの全体構成例を示した図である。図示するように、このコンピュータシステムでは、クライアント端末10a、10b、10cが社内LAN(Local Area Network)50に接続されている。また、通信分析装置20及び通信データ保存装置30が、社内LAN50及びインターネット60の両方に接続されている。さらに、攻撃者サーバ40がインターネット60に接続されている。
次に、通信分析装置20の機能構成について説明する。図2は、本実施の形態に係る通信分析装置20の機能構成例を示したブロック図である。
さらに、詳細情報取得部26は、解析者により不正通信が特定された場合に、特定された不正通信の情報を収集し、不正通信の深堀り調査を行う。深堀り調査では、不正通信の通信元の情報や、発生期間、発生要因などに関する情報が収集される。
次に、本実施の形態に係る通信分析装置20のハードウェア構成について説明する。図3は、通信分析装置20を適用するのに好適なコンピュータのハードウェア構成の一例を示した図である。図示するように、通信分析装置20は、演算手段であるCPU(Central Processing Unit)20aと、主記憶手段であるメモリ20cを備える。また、外部デバイスとして、磁気ディスク装置(HDD:Hard Disk Drive)20g、ネットワークインターフェイス20f、ディスプレイ装置を含む表示機構20d、音声機構20h、キーボードやマウス等の入力デバイス20i等を備える。
次に、通信分析装置20を用いて不正通信を検出するための全体的な処理の手順について説明する。図4は、通信分析装置20を用いて不正通信を検出するための全体的な処理の手順の一例を示したフローチャートである。
以下では、図4に示す各ステップについて、より具体的に説明を行う。
図4のステップ1に示す事前設定について詳細に説明する。この事前設定では、解析者の入力により、分析対象とする通信ログの種類やログ形式の指定、分析処理で用いられる分類リストの指定などが行われる。
さらに、分析処理で用いられる分類リストには、適用可能な通信ログの種類がそのリストごとに決まっている。そのため、分析対象とする通信ログの種類に合わせて解析者が指定することにより、通信分析装置20は、複数の分類リストの中から、分析処理で用いる分類リストを指定する。
図4のステップ2に示す通信ログの整形について詳細に説明する。通信ログの整形処理に際し、まず、通信ログ取得部22は、全分析期間内に発生した通信ログのうち、事前設定により指定された種類の通信ログを、通信データ保存装置30から取得する。そして、通信ログ整形部23は、取得した通信ログに対して整形処理を行う。
図4のステップ3に示す分析処理について詳細に説明する。この分析処理では、ステップ2で整形された通信ログに対して分類リストが適用され、不正通信を検出するための情報が出力される。分析処理で適用される分類リストは、予め作成された複数の分類リストのうち、ステップ1の事前設定で指定されたものである。ここで、分類リストとしては、例えば、問題のある通信に関する情報が登録されており、登録されている情報と同じ情報を含む通信ログを抽出するという分類条件が定められたリスト(以下、ブラックリストと称する)が存在する。また、分類リストとしては、例えば、解析者がこれまでに不正通信として特定された通信の特徴を考慮し、不正通信の判定のために有用なものとして指定された項目(フィールド)を含む通信ログを抽出するという分類条件が定められたリスト(以下、フィールド抽出リストと称する)も存在する。
さらに、HTTP通信のPOSTメソッドやGETメソッドは、例えばWebサーバへ送るリクエストとして一般に用いられるものであるが、マルウェアに感染した場合に不正な処理として用いられる場合も多い。このようなことに基づいて、フィールド抽出リストの重要度が設定される。
図4のステップ4に示す不正通信を特定する処理について説明する。不正通信を特定する処理では、解析者が、ステップ3の出力内容を確認し、不正と判断される通信を特定する。ここで、ステップ3では、上述したように、分析対象の通信ログに適用された分類リストの分析結果が出力されるが、分析結果に示されている通信ログを解析者が選択すると、選択した通信ログに関して、複数の異なる分類リストの適用結果の相関を示す情報が出力される。付言すると、解析者が選択した通信ログについて、その通信ログの通信先と同じ通信先を有する通信ログが、各分類リストでどのように発生しているかを示す情報が出力される。解析者は、これらの出力内容を確認して不正通信を特定する。
また、不正通信か否か現時点では判断できないものについては、継続して監視する対象とされ、要経過観察リストに追加される。そして、今回の全分析期間とは異なる期間の通信ログを対象に分析が行われた場合に、要経過観察リストに記録された通信ログと同じ通信先への通信が発生しているか否か等が確認される。このように継続して監視されることにより、最終的に不正通信と判断されるか、または正常な通信と判断されることとなる。
さらに、正常な通信と判断されるものについては、その通信の情報をステップ2の整形で用いられるホワイトリストに追加しても良い。
まず、図5(a)に示すブラックリストの適用結果では、番号280の通信ログとして、ホスト名「malware.abcd4.jp」の通信ログが抽出されている。また、図5(b)に示すブラックリストの適用結果では、番号350の通信ログとして、URL「http://malware.abcd4.jp/」の通信ログが抽出されている。これらは共通の通信先を示しており、共に57件の出現回数で、図5(a)では280行目、図5(b)では350行目に存在が確認される。ただし、他の上位にある通信ログと比較すると、それほど出現回数が多い通信先とはいえない。またこれらのブラックリストの重要度は「中」であるため、抽出された段階で不正通信の通信ログと断定されるものではない。そのため、図5(a)、(b)に示すブラックリストの適用結果では、解析者は、この通信先(ホスト名:malware.abcd4.jp)が不正通信に関するものであるかの判断がまだ行えない。
即ち、図5に示すブラックリストの分析結果だけでは、その通信は個人がサイトを閲覧している通信である可能性もあり、不正通信に関するものであるかの判断が行えない。しかし、他の分類リストの出力結果から、個人によるサイト閲覧の通信である可能性は低く、不正通信である可能性が高いと判断される。
このように、分類リスト適用部24、詳細情報取得部26による出力内容をもとに、解析者は、分析対象の通信が不正通信であるか否かの最終判断を行う。
図4のステップ5に示す不正通信の深掘り調査について説明する。不正通信の深掘り調査では、ステップ4で不正通信と判断された通信ログに絞って詳細な情報が収集される。ステップ4で不正通信と判断されたものが複数あれば、それぞれの不正通信に対してステップ5の処理が行われる。
また、詳細情報取得部26は、不正通信の通信元を特定する。具体的には、詳細情報取得部26は、不正通信の通信ログにおいて、通信元のIPアドレスやホストの情報、即ち、通信元であるクライアント端末10の情報を収集する。通信元のクライアント端末10としては、1つの場合もあれば複数の場合もある。
図4のステップ6に示す別の不正通信の調査について説明する。別の不正通信の調査では、ステップ4で不正通信と判断されたもの(以下、元の不正通信と称する)をキーにして、別の不正通信の有無が調査される。
以上より、(1)〜(5)の全ての通信において、着目点および通信の発生状況が完全に一致した状態にはならなかったが、マルウェアの作成傾向に沿う情報としては元の不正通信と合致する点が多くあり、通信先となるホストに関する情報についても不審な部分が多いため、この場合全て不正通信であると判断が行われた。また元の不正通信以外にも不正通信が存在したという事実に加え、全体の不正通信の状況を把握できるため、特定期間内における全体の状況把握と影響確認を行うことができたといえる。
具体的には、不正通信調査部27は、クライアント端末10aを通信元とする不正通信Bの発生状況に基づいて、特定期間2を設定する。そして、不正通信調査部27は、特定期間2に検知された通信ログのうち、不正通信Bの通信元であるクライアント端末10aが通信元となっている通信ログに絞って、ステップ3の分析処理を実行する。
同様に、不正通信調査部27は、クライアント端末10bを通信元とする不正通信Bの発生状況に基づいて、特定期間3を設定する。そして、不正通信調査部27は、特定期間3に検知された通信ログのうち、不正通信Bの通信元であるクライアント端末10bが通信元となっている通信ログに絞って、ステップ3の分析処理を実行する。
また、通信分析装置20は、この不正通信Cについても、通信元を特定するとともに特定期間を定めて、さらに別の不正通信の有無を調査しても良い。
この調査方法は、特定の期間に絞り込みを行い、分析に必要な通信ログ量を減らして迅速な判断を行う方法に比べると時間を要するが、この調査結果は全通信ログを対象にして抜け漏れをなくす目的で判断を行う場合などに活用する。また、期間を絞らないことで、不正通信が影響する範囲の全貌が明らかになることもある。
Claims (5)
- 監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得する取得手段と、
問題のある通信を検出するための予め定められた条件が設定された複数のリストを記憶する記憶手段と、
前記取得手段が取得した通信ログのうち、前記リストに設定された前記予め定められた条件を満たす通信ログを当該リストごとに抽出するログ抽出手段と、
前記ログ抽出手段により前記リストごとに抽出された抽出結果の相関を示す情報を出力する出力手段とを備え、
前記リストのそれぞれには不正通信を検出するための重要度が予め設定されており、
前記出力手段は、前記相関を示す情報として、前記ログ抽出手段による各リストの抽出結果として示された通信ログの中で、重要度に基づいて特定されるいずれかのリストの抽出結果に含まれる一の通信ログの通信先と同じ通信先を有する通信ログを示す情報を出力すること
を特徴とする情報処理装置。 - 前記出力手段は、前記相関を示す情報として、前記ログ抽出手段による各リストの抽出結果として示された通信ログの中で、いずれかのリストの抽出結果において抽出された数が予め定められた数以下の一の通信ログの通信先と同じ通信先を有する通信ログを示す情報を出力すること
を特徴とする請求項1に記載の情報処理装置。 - 前記出力手段は、前記相関を示す情報として、前記ログ抽出手段による各リストの抽出結果として示された通信ログの中で、一定の重要度以下のいずれかのリストの抽出結果に含まれる一の通信ログの通信先と同じ通信先を有する通信ログを示す情報を出力すること
を特徴とする請求項1または2に記載の情報処理装置。 - 監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得するステップと、
問題のある通信を検出するための予め定められた条件が設定された複数のリストを取得するステップと、
取得された前記通信ログのうち、前記リストに設定された前記予め定められた条件を満たす通信ログを当該リストごとに抽出するステップと、
前記リストごとに抽出された抽出結果の相関を示す情報を出力するステップとを含み、
前記リストのそれぞれには不正通信を検出するための重要度が予め設定されており、
前記出力するステップは、前記相関を示す情報として、前記抽出するステップによる各リストの抽出結果として示された通信ログの中で、重要度に基づいて特定されるいずれかのリストの抽出結果に含まれる一の通信ログの通信先と同じ通信先を有する通信ログを示す情報を出力すること
を特徴とする情報処理方法。 - コンピュータに、
監視対象とするネットワーク上で対象期間内に検知された通信の通信ログを取得する機能と、
問題のある通信を検出するための予め定められた条件が設定された複数のリストを記憶部から読み出す機能と、
取得された前記通信ログのうち、前記リストに設定された前記予め定められた条件を満たす通信ログを当該リストごとに抽出する機能と、
前記リストごとに抽出された抽出結果の相関を示す情報を出力する機能とを実現させ、
前記リストのそれぞれには不正通信を検出するための重要度が予め設定されており、
前記出力する機能は、前記相関を示す情報として、前記抽出する機能による各リストの抽出結果として示された通信ログの中で、重要度に基づいて特定されるいずれかのリストの抽出結果に含まれる一の通信ログの通信先と同じ通信先を有する通信ログを示す情報を出力すること
を特徴とするプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015252932A JP5966076B1 (ja) | 2015-12-25 | 2015-12-25 | 情報処理装置、情報処理方法及びプログラム |
PCT/JP2016/058350 WO2017110100A1 (ja) | 2015-12-25 | 2016-03-16 | 情報処理装置、情報処理方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015252932A JP5966076B1 (ja) | 2015-12-25 | 2015-12-25 | 情報処理装置、情報処理方法及びプログラム |
Related Child Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016098557A Division JP6063593B1 (ja) | 2016-05-17 | 2016-05-17 | 情報処理装置、情報処理方法及びプログラム |
JP2016132697A Division JP6105792B1 (ja) | 2016-07-04 | 2016-07-04 | 情報処理装置、情報処理方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP5966076B1 true JP5966076B1 (ja) | 2016-08-10 |
JP2017117254A JP2017117254A (ja) | 2017-06-29 |
Family
ID=56689512
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015252932A Active JP5966076B1 (ja) | 2015-12-25 | 2015-12-25 | 情報処理装置、情報処理方法及びプログラム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP5966076B1 (ja) |
WO (1) | WO2017110100A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020038439A (ja) * | 2018-09-03 | 2020-03-12 | パナソニック株式会社 | ログ出力装置、ログ出力方法およびログ出力システム |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6563578B1 (ja) * | 2018-09-26 | 2019-08-21 | 株式会社ラック | 端末装置、ファイル分析装置、ファイル分析システム、ファイル分析方法およびプログラム |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015121968A (ja) * | 2013-12-24 | 2015-07-02 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
WO2015151668A1 (ja) * | 2014-03-31 | 2015-10-08 | 株式会社ラック | ログ分析システム |
JP2015198301A (ja) * | 2014-03-31 | 2015-11-09 | 株式会社ラック | ログ分析システム |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008079028A (ja) * | 2006-09-21 | 2008-04-03 | Oki Electric Ind Co Ltd | 不正アクセス情報記録システム及び方法 |
-
2015
- 2015-12-25 JP JP2015252932A patent/JP5966076B1/ja active Active
-
2016
- 2016-03-16 WO PCT/JP2016/058350 patent/WO2017110100A1/ja active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015121968A (ja) * | 2013-12-24 | 2015-07-02 | 三菱電機株式会社 | ログ分析装置及びログ分析方法及びログ分析プログラム |
WO2015151668A1 (ja) * | 2014-03-31 | 2015-10-08 | 株式会社ラック | ログ分析システム |
JP2015198301A (ja) * | 2014-03-31 | 2015-11-09 | 株式会社ラック | ログ分析システム |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020038439A (ja) * | 2018-09-03 | 2020-03-12 | パナソニック株式会社 | ログ出力装置、ログ出力方法およびログ出力システム |
EP3848831A4 (en) * | 2018-09-03 | 2021-10-13 | Panasonic Corporation | LOG OUTPUT DEVICE, LOG OUT METHOD AND LOG OUT SYSTEM |
US11394736B2 (en) | 2018-09-03 | 2022-07-19 | Panasonic Holdings Corporation | Log output device, log output method and log output system |
JP7156869B2 (ja) | 2018-09-03 | 2022-10-19 | パナソニックホールディングス株式会社 | ログ出力装置、ログ出力方法およびログ出力システム |
Also Published As
Publication number | Publication date |
---|---|
JP2017117254A (ja) | 2017-06-29 |
WO2017110100A1 (ja) | 2017-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10218740B1 (en) | Fuzzy hash of behavioral results | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
US20180219907A1 (en) | Method and apparatus for detecting website security | |
US10721245B2 (en) | Method and device for automatically verifying security event | |
US8375120B2 (en) | Domain name system security network | |
CN102571812B (zh) | 一种网络威胁的跟踪识别方法及装置 | |
EP3646218A1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
US20210297427A1 (en) | Facilitating security orchestration, automation and response (soar) threat investigation using a machine-learning driven mind map approach | |
WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
Dodiya et al. | Malicious Traffic analysis using Wireshark by collection of Indicators of Compromise | |
JP5966076B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP6007308B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
KR101398740B1 (ko) | 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
Ife et al. | Waves of malice: A longitudinal measurement of the malicious file delivery ecosystem on the web | |
CN112953896A (zh) | 日志报文的回放方法及装置 | |
JP6105797B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
EP3361405B1 (en) | Enhancement of intrusion detection systems | |
JP6105792B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP6063593B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP5926413B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
US9049170B2 (en) | Building filter through utilization of automated generation of regular expression | |
JP6145588B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP5992643B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
Xu et al. | Identifying malware with HTTP content type inconsistency via header-payload comparison | |
JP2012150658A (ja) | 情報処理装置、システム、通信監視方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160517 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160607 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160704 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5966076 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |