JP6890559B2 - アクセス分析システム及びアクセス分析方法 - Google Patents

アクセス分析システム及びアクセス分析方法 Download PDF

Info

Publication number
JP6890559B2
JP6890559B2 JP2018026324A JP2018026324A JP6890559B2 JP 6890559 B2 JP6890559 B2 JP 6890559B2 JP 2018026324 A JP2018026324 A JP 2018026324A JP 2018026324 A JP2018026324 A JP 2018026324A JP 6890559 B2 JP6890559 B2 JP 6890559B2
Authority
JP
Japan
Prior art keywords
analysis
access
unit
communication
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018026324A
Other languages
English (en)
Other versions
JP2019144693A (ja
Inventor
悠介 浦田
悠介 浦田
信也 白井
信也 白井
末田 欣子
欣子 末田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018026324A priority Critical patent/JP6890559B2/ja
Priority to US16/969,263 priority patent/US11722493B2/en
Priority to PCT/JP2019/004453 priority patent/WO2019159809A1/ja
Publication of JP2019144693A publication Critical patent/JP2019144693A/ja
Application granted granted Critical
Publication of JP6890559B2 publication Critical patent/JP6890559B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、アクセス分析システム及びアクセス分析方法に関する。
サイバー攻撃の一種である不正アクセスによる年間平均被害額は、不正アクセス以外のサイバー攻撃に比べて甚大な額となっている。不正アクセスの1つに不正アクセス者が第三者のID/パスワードなどのログイン情報を乗っ取り、重要情報へアクセスするなどの「なりすまし」があるが、このような、不正アクセス行為を行う目的で他人の識別符号を入手した者が不正アクセス行為に及ぶことを阻止することは極めて困難である。また、なりすまし以外にも、SQLインジェクションやOSインジェクションなど、「異常通信」により、Webサーバ等に対して攻撃を行う不正アクセス手法による被害も多い。
不正アクセスに対する既存の本人認証技術では、ID/パスワードや秘密の質問など本人しか知りえない情報による認証(知識認証)や、ICカードや電子証明書など本人しか所有していない情報による認証(所有物認証)があるが、第三者にそれらの情報を盗まれてしまった場合、容易になりすましが可能である。また、指紋認証や虹彩認証など身体的な特徴を元にした認証(生体認証)についても、機器等が読み取ったユーザの身体的特徴を数値化し、あらかじめ登録された数値と照合する方法であるため、その数値をあらかじめ盗聴し、サーバへ当該数値を送信することで登録ユーザになりすますことが可能である。第三者になりすまされた場合、これらの従来技術では、本人以外が認証しているにも関わらず常に正常であると判定されてしまうため、なりすましを発見することは困難である。
また、不正アクセスに対する既存の異常通信検知技術では、IDS(Intrusion Detection System)やIPS(Intrusion Prevention System)といった、ネットワークの振る舞いを監視し、通常とは異なる振る舞いを検知する技術がある。IDSやIPSでは、ネットワークを流れるパケット数やプロトコルの使用状況の統計データを正常状態としており、あらかじめ設定された正常状態から外れる通信は常に異常とみなすため、高い精度で異常通信を検知することが困難である。
一方、不正アクセスに対する最新の本人認証技術では、PC端末のマウス操作やキーボード操作、スマートフォンのスワイプ操作など、ユーザの振る舞い情報をもとに、ユーザ認証を行う技術(Behavioral Biometrics技術/Password Free技術)がある(非特許文献1)。これらの技術では「ユーザの振る舞い」といった第三者には正確に模擬することが困難な情報を認証要素として用いているため、上記の技術と比較して、第三者が本人になりすますことが困難である。また、本人以外がアクセスしている場合はその振る舞いの違いから本人以外であることを判別するため、従来技術よりもなりすましを発見しやすい。
また、不正アクセスに対する最新の異常通信検知技術では、ネットワークトラフィックを分析し、異常通信を検知する技術(UEBA(User and Entity Behavior Analytics)技術)がある。UEBA技術では、IDSやIPSなどの従来技術にマシンラーニングを加えることで、より高い精度で異常通信を検知することが可能である。
Yoshitomo Matsubara他, "Keyboard Dependency of Personal Identification Performance by Keystroke Dynamics in Free Text Typing", Journal of Information Security, 2015, 6, 229-240. 山内一将他, "C&Cトラフィック分類のための機械学習手法の評価", 情報処理学会論文誌, Vol.56, No.9, 1745-1753, 2015年9月.
しかしながら、Behavioral Biometrics技術/Password Free技術は、従来技術と比較して、なりすましを発見しやすいという利点があるが、端末を通常と異なる使い方などをすると、その端末を本人以外が使用していると誤認識してしまうことがあるなど、本人か本人以外かを正確に判別することは困難である。
また、UEBA技術は、従来技術と比較して、より高い精度で異常通信を検知することが可能であるが、正常通信であるにも関わらず、定常状態から外れた通信は異常通信と誤認識してしまう場合があるなど、正常通信か異常通信かを正確に判別することは困難である。
本発明は、上記の点に鑑みてなされたものであって、ネットワークを介したアクセスの正当性の判別精度を向上させることを目的とする。
そこで上記課題を解決するため、アクセス分析システムは、端末からネットワークを介したサーバへのアクセスに関するユーザによる前記端末の操作の特徴に基づいて、前記ユーザの正当性を前記アクセスごとに分析する第1の分析部と、前記アクセスに関する通信に基づいて、前記通信の正常性を前記アクセスごとに分析する第2の分析部と、前記第1の分析部による分析結果と、前記第2の分析部による分析結果とに基づいて、前記アクセスの正当性を前記アクセスごとに判別する判別部と、前記判別部によって不正であると判別された場合に、前記端末から前記サーバへの前記アクセスに係る通信の制御を行う制御部とを有し、前記第1の分析部による分析結果が、前記ユーザの正当性を判別できないことを示し、前記第2の分析部による分析結果が、前記通信が正常であることを示す場合に、前記ユーザの正当性について、前記第1の分析部よりも詳細な分析を実行し、前記第1の分析部による分析結果が、前記ユーザが正当であることを示し、前記第2の分析部による分析結果が、前記通信の正常性を判別できないことを示す場合に、前記アクセスに係る通信について、前記第2の分析部よりも詳細な分析を実行し、前記第1の分析部による分析結果が、前記ユーザの正当性を判別できないことを示し、前記第1の分析部による分析結果が、前記通信の正常性を判別できないことを示す場合に、前記第1の分析部よりも詳細な分析と、前記第2の分析部よりも詳細な分析とを実行することで、前記判別部によって正当であるか不正であるかを判別できないアクセスについての正当性を判別する第3の分析部と、を有する。
ネットワークを介したアクセスの正当性の判別精度を向上させることができる。
本発明の実施の形態におけるアクセス分析システムの構成例を示す図である。 マトリクステーブルの構成例を示す図である。 本発明の実施の形態におけるネットワーク制御装置10のハードウェア構成例を示す図 トラフィック詳細分析部71が実行する処理手順の一例を説明するためのフローチャートである。 アクセス分析システムにおいて実行される処理手順の一例を説明するための図である。
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるアクセス分析システムの構成例を示す図である。図1において、アクセス分析システムは、1以上のモバイル端末20a、1以上のPC端末20b、1以上のネットワーク装置30、サーバ40、ユーザ操作分析装置50、通信分析装置60、ネットワーク制御装置10及びトラフィック詳細分析装置70等を含む。
ネットワーク装置30は、モバイル端末20a、PC端末20b、サーバ40、通信分析装置60、トラフィック詳細分析装置70及びネットワーク制御装置10とネットワークを介して接続される。ユーザ操作分析装置50は、モバイル端末20a、サーバ40及びネットワーク制御装置10とネットワークを介して接続される。通信分析装置60及びトラフィック詳細分析装置70は、ネットワーク制御装置10とネットワークを介して接続される。
モバイル端末20a及びPC端末20bは、ユーザが利用する端末である。但し、ユーザの正当性は保証されない。なお、モバイル端末20aとは、例えば、スマートフォン又はタブレット端末等である。
モバイル端末20aは、PFスコア分析部21を有する。PFスコア分析部21は、サーバ40に対するアクセスごとに、当該アクセスに係るユーザの操作をPassword Free技術(以下、「PF技術」という。)に基づいて分析し、モバイル端末20aのユーザの正当性に関するスコア(PF技術に基づくスコア)を計算する。PFスコア分析部21は、当該スコアを、ユーザ操作分析装置50へ送信する。サーバ40に対するアクセスとは、例えば、サーバ40への要求単位での通信である。
なお、PF技術は、モバイル端末20aに対応した技術であるため、PC端末20bは、PFスコア分析部21を有さない。
ネットワーク装置30は、例えば、ルータである。すなわち、ネットワーク装置30は、ネットワーク上を流通する情報を宛先に応じた経路に転送する装置である。
サーバ40は、Webサーバ等、ユーザに対して何らかのサービスを提供する1以上のコンピュータである。サーバ40は、サービスを提供するための機能部の他に、BB情報収集部41を有する。BB情報収集部41は、サーバ40がPC端末20bに提供するWebページ等に関連して行われるPC端末20bに対するユーザの操作の特徴を示す情報(以下、「操作情報」という。)を収集する。操作情報は、Behavioral Biometrics技術(以下、「BB技術」という。)によって有効な入力情報であればよい。以下、当該操作情報を「BB情報」という。BB情報収集部41は、サーバ40に対するアクセスごとのBB情報を、ユーザ操作分析装置50へ送信する。なお、サーバ40は、不正アクセスの攻撃対象となりうる。
ユーザ操作分析装置50は、PFスコア受信部51及びBBスコア分析部52を有する1以上のコンピュータである。PFスコア受信部51は、モバイル端末20aからPFスコアを受信し、当該PFスコアをネットワーク制御装置10へ送信する。
BBスコア分析部52は、サーバ40のBB情報収集部41から送信されるBB情報を受信し、当該BB情報をBB技術を利用して分析することで、PC端末20bのユーザの正当性に関するスコア(BB技術に基づくスコア)を、サーバ40へのアクセスごとに算出する。BBスコア分析部52は、アクセスごとのスコアをネットワーク制御装置10へ送信する。
通信分析装置60は、通信情報収集部61及び通信分析部62等を有する1以上のコンピュータである。通信情報収集部61は、モバイル端末20a又はPC端末20bによるサーバ40へのアクセスに関する通信について、ネットワーク装置30によって転送される通信情報をネットワーク装置30から収集する。通信分析部62は、例えば、UEBA(User and Entity Behavior Analytics)技術を利用して、通信情報収集部61によって収集された通信情報を分析することで、モバイル端末20a又はPC端末20bによるサーバ40への各アクセスの通信の正常性を判定する。通信分析部62は、アクセスごとに分析した通信の正常性を示す情報(正常域、注意域又は異常域)を、ネットワーク制御装置10へ送信する。
ネットワーク制御装置10は、アクセス分類部11、詳細分析手法選定部12、ネットワーク制御部13、ユーザ操作分析結果記憶部111、通信分析結果記憶部112、マトリクステーブル記憶部113等を有する1以上のコンピュータである。
ユーザ操作分析結果記憶部111には、ユーザ操作分析装置50のPFスコア受信部51又はBBスコア分析部52から送信されるスコアが記憶される。すなわち、ユーザ操作分析結果記憶部111には、サーバ40に対するアクセスごとに、当該アクセスに関して算出された、ユーザの正当性に関するスコアが記憶される。
通信分析結果記憶部112には、通信分析装置60の通信分析部62から送信される分析結果が記憶される。すなわち、通信分析結果記憶部112には、サーバ40に対するアクセスごとに、当該アクセスに関する通信分析部62による分析結果(正常域、注意域又は異常域)が記憶される。
マトリクステーブル記憶部113には、ユーザの正当性のレベルと、通信の正常性のレベルとの組み合わせに応じて、サーバ40に対するアクセスについて、正当アクセスであるか不正アクセスであるかを判別できる範囲と、判別できない範囲とを明確化するテーブルであるマトリクステーブルが記憶されている。
図2は、マトリクステーブルの構成例を示す図である。図2において、マトリクステーブルは、列方向に通信の正常性のレベルが割り当てられ、行方向にユーザの正当性(ユーザが本人である可能性)のレベルが割り当てられている。
すなわち、列方向は、当該アクセスに係る通信の正常性について、正常域、注意域及び異常域の3つのレベル(3つの段階)に分類され、行方向は、当該アクセスに係るユーザの正当性について、正常域、注意域及び異常域の3つのレベル(3つの段階)に分類されている。マトリクステーブルの各要素の値は、通信の正常性のレベルと、ユーザの正当性のレベルとの組み合わせに応じて、(1)〜(9)の値である。(1)〜(9)のそれぞれは、以下の意味を有する。
(1)「本人」かつ「正常通信」
(2)「本人」かつ「正常又は異常通信」
(3)「本人」かつ「異常通信」
(4)「本人又は本人でない」かつ「正常通信」
(5)「本人又は本人でない」かつ「正常又は異常通信」
(6)「本人又は本人でない」かつ「異常通信」
(7)「本人でない」かつ「正常通信」
(8)「本人でない」かつ「正常又は異常通信」
(9)「本人でない」かつ「異常通信」
ここで、(1)は、正当アクセス、(9)は、不正アクセス、(2)〜(8)は、正当アクセスか不正アクセスかの判別がつかないアクセスの範囲である。
なお、分類学上「である」、「でない」の2×2マトリクスで分類(本実施の形態の例では「本人である」、「本人でない」/「正常通信である」、「正常通信でない」で分類)することが分析する上で最も効果的であるが、公知のセキュリティ技術では、それらの判別を行うことが困難であるため、判別のつかないアクセスの領域を設け、3×3マトリクスとした。
アクセス分類部11は、アクセスごとに、当該アクセスに関してユーザ操作分析結果記憶部111に記憶されたユーザの正当性に関する分析結果(スコア)と、当該アクセスに関して通信分析結果記憶部112に記憶された通信の正常性に関する分析結果とを、マトリクステーブル記憶部113に記憶されているマトリクステーブル(図2)に当てはめて、当該アクセスの正当性を(1)〜(9)に分類する(すなわち、当該アクセスの正当性を判別する。)。具体的には、アクセス分類部11は、ユーザの正当性に関するスコアに対する2つの閾値(正常域と注意域とを区分する第1の閾値と、注意域と異常域とを区分する第2の閾値)に基づいて、当該スコアを、正常域、注意域、異常域に分類する。アクセス分類部11は、また、通信の正常性に関する分析結果(正常域、注意域、異常域)を、そのまま、マトリクステーブルの正常域、注意域、異常域に当てはめる。
なお、各アクセスの異同は、アクセス元のモバイル端末20a又はPC端末20b(送信元)の識別情報(例えば、IPアドレス)と、アクセス先のサーバ40の識別情報(例えば、IPアドレス)との組によって区別される。又は、TCPの5tupleによって、各アクセスの異同が区別されてもよい。更に、アクセスの内容(例えば、要求の内容)の同一性も考慮して、各アクセスの異同が区別されてもよい。
詳細分析手法選定部12は、アクセス分類部11による分類結果が、(2)〜(8)のいずれかであるアクセス(すなわち、正当アクセスか不正アクセスかの判別がつかないアクセス)について、当該アクセスを(1)又は(9)へ分類するための詳細分析の手法を選定し、選定した手法の実施を、例えば、トラフィック詳細分析装置70等へ指示する。
ネットワーク制御部13は、アクセス分類部11によって(9)へ分類されたアクセス、又は詳細分析手法選定部12によって選定された手法の実施によって(9)に該当すると判定されたアクセスに係る通信の制御(遮断等)を行う。
トラフィック詳細分析装置70は、トラフィック詳細分析部71を有する1以上のコンピュータである。トラフィック詳細分析部71は、例えば、詳細分析手法選定部12から指示されたアクセスに係る通信について、詳細な分析を実行する。例えば、簡易分析UEBA技術では、パケットのヘッダ部分について分析が行われるところ、トラフィック詳細分析部71は、パケットのペイロード部分の分析等を行うことにより、当該アクセスにおける不正な情報の有無等を分析する。
図3は、本発明の実施の形態におけるネットワーク制御装置10のハードウェア構成例を示す図である。図3のネットワーク制御装置10は、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置102、メモリ装置103、CPU104、及びインタフェース装置105等を有する。
ネットワーク制御装置10での処理を実現するプログラムは、CD−ROM等の記録媒体101によって提供される。プログラムを記憶した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従ってネットワーク制御装置10に係る機能を実行する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。
なお、ネットワーク制御装置10以外の各装置も、図3に示されるようなハードウェア構成を有してもよい。
また、図1におけるネットワーク制御装置10のアクセス分類部11、詳細分析手法選定部12及びネットワーク制御部13は、ネットワーク制御装置10にインストールされた1以上のプログラムが、CPU104に実行させる処理により実現される。ユーザ操作分析結果記憶部111、通信分析結果記憶部112及びマトリクステーブル記憶部113は、例えば、補助記憶装置102、又はネットワーク制御装置10にネットワークを介して接続可能な記憶装置等を用いて実現可能である。
また、図1におけるPFスコア分析部21、BB情報収集部41、PFスコア受信部51、BBスコア分析部52、通信情報収集部61、通信分析部62及びトラフィック詳細分析部71等は、各部を有する装置にインストールされた1以上のプログラムが、当該装置のCPUに実行させる処理により実現される。
以下、アクセス分析システムにおいて実行される処理手順について説明する。図4は、トラフィック詳細分析部71が実行する処理手順の一例を説明するためのフローチャートである。図4においては、或る特定のアクセス(以下、「対象アクセス」という。)が処理対象であるとする。
ステップS101において、トラフィック詳細分析部71は、対象アクセスについてのアクセス分類部11による分類結果に基づいて、処理を分岐させる。なお、分類結果は、マトリクステーブル(図2)における(1)〜(9)のいずれかを示す情報である。
分類結果が(1)である場合、トラフィック詳細分析部71は、対象アクセスに対応する変数kに1を加算する(S102)。変数kは、アクセスごとに用意され、初期値が0の変数である。続いて、トラフィック詳細分析部71は、当該変数kの値が閾値n以上であるか否かを判定する(S103)。当該変数kの値が閾値n未満である場合(S103でNo)、ステップS101に戻る。すなわち、この場合、トラフィック詳細分析部71は、対象アクセスと同一の新たなアクセスの分類結果に基づいて処理を実行する。当該変数kの値が閾値n以上である場合(S103でYes)、トラフィック詳細分析部71は、対象アクセスが正当アクセスであることをネットワーク制御部13に通知する(S104)。
また、分類結果が(4)又は(7)である場合、トラフィック詳細分析部71は、「人(ユーザ)」の正当性に関する詳細分析を実施する(S105、S106)。当該詳細分析の内容は所定のものに限定されない。例えば、対象アクセスに関して、PFスコア分析部21又はBBスコア分析部52による分析が継続されてもよいし、他の方法によって分析が行われてもよい。斯かる詳細分析の結果、対象アクセスが正当アクセス又は不正アクセスのいずれかに判別される。
また、分類結果が、(2)又は(3)である場合、トラフィック詳細分析部71は、通信の正常性に関する詳細分析を実施する(S107、S108)。当該詳細分析の内容は所定のものに限定されない。例えば、トラフィック詳細分析部71に対して、対象アクセスに関するペイロード部分の分析が指示されてもよい。斯かる詳細分析の結果、対象アクセスが正当アクセス又は不正アクセスのいずれかに判別される。
また、分類結果が、(5)、(6)又は(8)である場合、トラフィック詳細分析部71は、「人(ユーザ)」の正当性に関する詳細分析、及び通信の正常性に関する詳細分析を実施する(S109、S110、S111)。当該詳細分析の内容は所定のものに限定されない。例えば、ステップS105又はS106と、ステップS107〜S109のいずれかとを組み合わせた分析が行われてもよい。斯かる詳細分析の結果、対象アクセスが正当アクセス又は不正アクセスのいずれかに判別される。
ステップS105〜S111に続いて、トラフィック詳細分析部71は、詳細分析の結果をネットワーク制御部13に通知する(S112)。
また、分類結果が(9)である場合、トラフィック詳細分析部71は、対象アクセスが不正アクセスであることをネットワーク制御部13に通知する(S113)。
なお、ネットワーク制御部13は、トラフィック詳細分析部71から不正アクセスであることを通知されたアクセスについて、例えば、ネットワーク装置30に対して遮断指示を送信する。
続いて、アクセス分析システムにおいて実行される処理手順について、一つの具体例を説明する。
図5は、アクセス分析システムにおいて実行される処理手順の一例を説明するための図である。図5では、PC端末20bが攻撃元であり、サーバ40を宛先とするパケットのペイロード部分にマルウェアを仕込んだアクセスを発生させているとする。したがって、サーバ40が攻撃対象である。
ステップS201において、PC端末20bが、パケットのペイロード部分にマルウェアを仕込んだアクセス(以下、「対象アクセス」という。)をサーバ40に対して行う。なお、この際、対象アクセスに関する操作情報が、サーバ40のBB情報収集部41によって収集され、収集された操作情報がユーザ操作分析装置50のBBスコア分析部52へ送信される。
ステップS202において、ユーザ操作分析装置50のBBスコア分析部52は、当該操作情報に基づいて、対象アクセスに関するユーザの正当性をBB技術を利用して分析して、スコアを算出する。BBスコア分析部52は、当該スコアを対象アクセスに関するスコアとして、ネットワーク制御装置10へ送信する(S203)。当該スコアは、対象アクセスの識別情報に関連付けられてユーザ操作分析結果記憶部111へ記憶される。
一方、ステップS202、S203等と並行して、通信分析装置60の通信情報収集部61は、対象アクセスに関する通信情報をネットワーク装置30から収集する(S204)。通信分析部62は、例えば、UEBA技術を利用して、通信情報収集部61によって収集された通信情報を分析することで、当該通信の正常性を分析し(S205)、分析結果をネットワーク制御装置10へ送信する(S206)。
続いて、ネットワーク制御装置10のアクセス分類部11は、対象アクセスに関するユーザの正当性の分析結果(スコア)と、対象アクセスに関する通信の正常性のスコアとの分析結果とをマトリクステーブル(図2)に当てはめて、対象アクセスを(1)〜(9)のいずれかへ分類する。ここでは、(7)へ分類されたこととする。
対象アクセスが(7)へ分類されたことに応じ、詳細分析手法選定部12は、対象アクセスをトラフィック詳細分析装置70へミラーリングするための設定をネットワーク装置30に対して実行する(S208)。その結果、対象アクセスに関するトラフィック(通信)が、トラフィック詳細分析装置70へミラーリングされる(S209)。
続いて、トラフィック詳細分析装置70のトラフィック詳細分析部71は、対象アクセスのパケットのペイロード部を分析等することで、当該ペイロード部にマルウェアが含まれていることを検出する(S210)。そこで、トラフィック詳細分析部71は、対象アクセスが不正アクセスであると判別し、当該判別結果をネットワーク制御装置10の詳細分析手法選定部12に送信する(S211)。ネットワーク制御装置10のネットワーク制御部13は、当該判別結果に基づいて、対象アクセスの遮断をネットワーク装置30へ指示する(S212)。
なお、上記では、ユーザの正当性を判別するための技術として、BB技術を利用する例について説明したが、他の技術(例えば、知識認証、所有物認証、生体認証等)が利用されてもよい。
また、上記では、通信の正常性を判別するための技術として、UEBA技術を利用する例について説明したが、他の技術(例えば、IDS(Intrusion Detection System)、IPS(Intrusion Prevention System)等)が利用されてもよい。
但し、BB技術及びUEBA技術を利用することで、高精度にアクセスの正当性を判別できることが期待できる。
上述したように、本実施の形態によれば、ネットワークを介したアクセスについて、当該アクセスに係るユーザの正当性と、当該アクセスに係る通信の正常性とに基づいて、正当アクセスであるか否か(正当性)が判定される。したがって、ユーザの正当性又は通信の正常性のみに基づいて当該アクセスの正当性を判別する場合に比べて、当該正当性の判別精度を向上させることができる。
なお、本実施の形態において、BBスコア分析部52及びPFスコア分析部21は、第1の分析部の一例である。通信分析部62は、第2の分析部の一例である。アクセス分類部11は、判別部の一例である。トラフィック詳細分析部71は、第3の分析部の一例である。
以上、本発明の実施の形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
10 ネットワーク制御装置
11 アクセス分類部
12 詳細分析手法選定部
13 ネットワーク制御部
20a モバイル端末
20b PC端末
21 PFスコア分析部
30 ネットワーク装置
40 サーバ
41 BB情報収集部
50 ユーザ操作分析装置
51 PFスコア受信部
52 BBスコア分析部
60 通信分析装置
61 通信情報収集部
62 通信分析部
70 トラフィック詳細分析装置
71 トラフィック詳細分析部
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
111 ユーザ操作分析結果記憶部
112 通信分析結果記憶部
113 マトリクステーブル記憶部
B バス

Claims (4)

  1. 端末からネットワークを介したサーバへのアクセスに関するユーザによる前記端末の操作の特徴に基づいて、前記ユーザの正当性を前記アクセスごとに分析する第1の分析部と、
    前記アクセスに関する通信に基づいて、前記通信の正常性を前記アクセスごとに分析する第2の分析部と、
    前記第1の分析部による分析結果と、前記第2の分析部による分析結果とに基づいて、前記アクセスの正当性を前記アクセスごとに判別する判別部と、
    前記判別部によって不正であると判別された場合に、前記端末から前記サーバへの前記アクセスに係る通信の制御を行う制御部とを有し、
    前記第1の分析部による分析結果が、前記ユーザの正当性を判別できないことを示し、前記第2の分析部による分析結果が、前記通信が正常であることを示す場合に、前記ユーザの正当性について、前記第1の分析部よりも詳細な分析を実行し、前記第1の分析部による分析結果が、前記ユーザが正当であることを示し、前記第2の分析部による分析結果が、前記通信の正常性を判別できないことを示す場合に、前記アクセスに係る通信について、前記第2の分析部よりも詳細な分析を実行し、前記第1の分析部による分析結果が、前記ユーザの正当性を判別できないことを示し、前記第1の分析部による分析結果が、前記通信の正常性を判別できないことを示す場合に、前記第1の分析部よりも詳細な分析と、前記第2の分析部よりも詳細な分析とを実行することで、前記判別部によって正当であるか不正であるかを判別できないアクセスについての正当性を判別する第3の分析部を有する
    ことを特徴とするアクセス分析システム。
  2. 前記判別部は、ユーザの正当性の分析結果において当該ユーザが正当であるレベルと、通信の正常性の分析結果において当該通信が正常であるレベルとの組み合わせに応じて、ネットワークを介したアクセスの正当性を示すマトリクステーブルに、前記第1の分析部による分析結果と、前記第2の分析部による分析結果とを当てはめて、前記アクセスの正当性を判別する、
    ことを特徴とする請求項1記載のアクセス分析システム。
  3. 1以上のコンピュータが、
    端末からネットワークを介したサーバへのアクセスに関するユーザによる前記端末の操作の特徴に基づいて、前記ユーザの正当性を前記アクセスごとに分析する第1の分析手順と、
    前記アクセスに関する通信に基づいて、前記通信の正常性を前記アクセスごとに分析する第2の分析手順と、
    前記第1の分析手順による分析結果と、前記第2の分析手順による分析結果とに基づいて、前記アクセスの正当性を前記アクセスごとに判別する判別手順と、
    前記判別手順において不正であると判別された場合に、前記端末から前記サーバへの前記アクセスに係る通信の制御を行う制御手順とを実行し、
    前記第1の分析手順における分析結果が、前記ユーザの正当性を判別できないことを示し、前記第2の分析手順における分析結果が、前記通信が正常であることを示す場合に、前記ユーザの正当性について、前記第1の分析手順よりも詳細な分析を実行し、前記第1の分析手順における分析結果が、前記ユーザが正当であることを示し、前記第2の分析手順における分析結果が、前記通信の正常性を判別できないことを示す場合に、前記アクセスに係る通信について、前記第2の分析手順よりも詳細な分析を実行し、前記第1の分析手順における分析結果が、前記ユーザの正当性を判別できないことを示し、前記第1の分析手順における分析結果が、前記通信の正常性を判別できないことを示す場合に、前記第1の分析手順よりも詳細な分析と、前記第2の分析手順よりも詳細な分析とを実行することで、前記判別手順において正当であるか不正であるかを判別できないアクセスについての正当性を判別する第3の分析手順を、前記1以上のコンピュータが実行する、
    ことを特徴とするアクセス分析方法。
  4. 前記判別手順は、ユーザの正当性の分析結果において当該ユーザが正当であるレベルと、通信の正常性の分析結果において当該通信が正常であるレベルとの組み合わせに応じて、ネットワークを介したアクセスの正当性を示すマトリクステーブルに、前記第1の分析手順による分析結果と、前記第2の分析手順による分析結果とを当てはめて、前記アクセスの正当性を判別する、
    ことを特徴とする請求項記載のアクセス分析方法。
JP2018026324A 2018-02-16 2018-02-16 アクセス分析システム及びアクセス分析方法 Active JP6890559B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018026324A JP6890559B2 (ja) 2018-02-16 2018-02-16 アクセス分析システム及びアクセス分析方法
US16/969,263 US11722493B2 (en) 2018-02-16 2019-02-07 Access analysis system and access analysis method
PCT/JP2019/004453 WO2019159809A1 (ja) 2018-02-16 2019-02-07 アクセス分析システム及びアクセス分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018026324A JP6890559B2 (ja) 2018-02-16 2018-02-16 アクセス分析システム及びアクセス分析方法

Publications (2)

Publication Number Publication Date
JP2019144693A JP2019144693A (ja) 2019-08-29
JP6890559B2 true JP6890559B2 (ja) 2021-06-18

Family

ID=67618957

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018026324A Active JP6890559B2 (ja) 2018-02-16 2018-02-16 アクセス分析システム及びアクセス分析方法

Country Status (3)

Country Link
US (1) US11722493B2 (ja)
JP (1) JP6890559B2 (ja)
WO (1) WO2019159809A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11552972B2 (en) * 2020-07-14 2023-01-10 Bank Of America Corporation Trusted travel devices equipped with on-the-fly monitoring

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8424072B2 (en) * 2010-03-09 2013-04-16 Microsoft Corporation Behavior-based security system
US9529777B2 (en) * 2011-10-28 2016-12-27 Electronic Arts Inc. User behavior analyzer
US9473437B1 (en) * 2012-02-13 2016-10-18 ZapFraud, Inc. Tertiary classification of communications
US20130239191A1 (en) * 2012-03-09 2013-09-12 James H. Bostick Biometric authentication
US20160078365A1 (en) * 2014-03-21 2016-03-17 Philippe Baumard Autonomous detection of incongruous behaviors
US10599501B2 (en) * 2015-03-17 2020-03-24 Nec Corporation Information processing device, information processing method, and recording medium
US10015182B1 (en) * 2016-06-30 2018-07-03 Symantec Corporation Systems and methods for protecting computing resources
US10326787B2 (en) * 2017-02-15 2019-06-18 Microsoft Technology Licensing, Llc System and method for detecting anomalies including detection and removal of outliers associated with network traffic to cloud applications
US11283821B2 (en) * 2017-09-13 2022-03-22 Informatica Llc Method, apparatus, and computer-readable medium for determining risk associated with anomalous behavior of a user on a computer network
US11042475B2 (en) * 2017-12-19 2021-06-22 Mastercard International Incorporated Systems and methods for use in certifying interactions with hosted services
US20190197549A1 (en) * 2017-12-21 2019-06-27 Paypal, Inc. Robust features generation architecture for fraud modeling

Also Published As

Publication number Publication date
US20210006565A1 (en) 2021-01-07
US11722493B2 (en) 2023-08-08
WO2019159809A1 (ja) 2019-08-22
JP2019144693A (ja) 2019-08-29

Similar Documents

Publication Publication Date Title
RU2571721C2 (ru) Система и способ обнаружения мошеннических онлайн-транзакций
CN105913257B (zh) 用于检测欺诈性在线交易的***和方法
CN112182519B (zh) 一种计算机存储***安全访问方法及访问***
EP3101865B1 (en) Detection of anomalous administrative actions
US8819803B1 (en) Validating association of client devices with authenticated clients
US10284580B2 (en) Multiple detector methods and systems for defeating low and slow application DDoS attacks
US10721245B2 (en) Method and device for automatically verifying security event
US10366217B2 (en) Continuous user authentication
Preuveneers et al. SmartAuth: dynamic context fingerprinting for continuous user authentication
US20110314558A1 (en) Method and apparatus for context-aware authentication
US20110314549A1 (en) Method and apparatus for periodic context-aware authentication
CN111786966A (zh) 浏览网页的方法和装置
KR101964148B1 (ko) 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법
CN111898124B (zh) 进程访问控制方法和装置、存储介质及电子设备
JP2015170219A (ja) アクセス管理方法およびアクセス管理システム
CN111274046A (zh) 服务调用的合法性检测方法、装置、计算机设备及计算机存储介质
CN112165488A (zh) 一种风险评估方法、装置、设备及可读存储介质
RU2767710C2 (ru) Система и способ обнаружения удаленного управления средством удаленного администрирования с использованием сигнатур
Olejnik et al. Towards web-based biometric systems using personal browsing interests
JP6890559B2 (ja) アクセス分析システム及びアクセス分析方法
JP7320462B2 (ja) アクセス権に基づいてコンピューティングデバイス上でタスクを実行するシステムおよび方法
WO2017068714A1 (ja) 不正通信制御装置および方法
CN109583177B (zh) 在用户与银行服务的交互期间识别新设备的***和方法
Eddermoug et al. Ppsa: Profiling and preventing security attacks in cloud computing
EP4068125B1 (en) Method of monitoring and protecting access to an online service

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200707

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200826

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20210112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210408

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20210408

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20210420

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20210423

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210519

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210525

R150 Certificate of patent or registration of utility model

Ref document number: 6890559

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150