ホーム > 特許ランキング > 株式会社日立システムズ
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6290659
(24)【登録日】2018年2月16日
(45)【発行日】2018年3月7日
(54)【発明の名称】アクセス管理方法およびアクセス管理システム
(51)【国際特許分類】
G06F 21/44 20130101AFI20180226BHJP
G06F 13/00 20060101ALI20180226BHJP
G06F 21/56 20130101ALI20180226BHJP
【FI】
G06F21/44
G06F13/00 540A
G06F21/56
【請求項の数】8
【全頁数】17
(21)【出願番号】特願2014-45594(P2014-45594)
(22)【出願日】2014年3月7日
(65)【公開番号】特開2015-170219(P2015-170219A)
(43)【公開日】2015年9月28日
【審査請求日】2017年2月13日
(73)【特許権者】
【識別番号】000233491
【氏名又は名称】株式会社日立システムズ
(74)【代理人】
【識別番号】110001689
【氏名又は名称】青稜特許業務法人
(72)【発明者】
【氏名】藤井 康広
(72)【発明者】
【氏名】角田 朋
(72)【発明者】
【氏名】大鳥 朋哉
【審査官】
岸野 徹
(56)【参考文献】
【文献】
特開2004−030286(JP,A)
【文献】
特開2011−138334(JP,A)
【文献】
国際公開第2012/166440(WO,A1)
【文献】
特表2014−516183(JP,A)
【文献】
特開2013−191133(JP,A)
【文献】
特開2006−185382(JP,A)
【文献】
特開2013−092998(JP,A)
【文献】
特開2015−162225(JP,A)
【文献】
米国特許出願公開第2011/0072516(US,A1)
【文献】
北澤 繁樹 Shigeki Kitazawa,2012 第29回 暗号と情報セキュリティシンポジウム概要集 [CD−ROM] 2012年 暗号と情報セキュリティシンポジウム予稿集 Abstracts of the 29th Symposium on Cryptography and Information Security Proceedings of the 2012 Symposium on Cryptography and Information Security,2012年12月31日,pp.1-8
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/44
G06F 13/00
G06F 21/56
(57)【特許請求の範囲】
【請求項1】
端末からアクセスするWebサイトのアクセス情報をログとして記録し、Webサイトの属性を分析するアクセス管理システムにより実行されるアクセス管理方法であって、
該ログからWebサイトの悪性度を計算するステップと、
悪性度が第一のしきい値以下のとき該Webサイトに関する情報をホワイトリストに登録し、第二のしきい値以上のとき該Webサイトに関する情報をブラックリストに登録し、第一のしきい値より大きく第二のしきい値より小さいとき該Webサイトに関する情報をグレーリストに登録するステップと、
を有することを特徴とするアクセス管理方法。
該ログからWebサイトの悪性度を計算するステップと、
悪性度が第一のしきい値以下のとき該Webサイトに関する情報をホワイトリストに登録し、第二のしきい値以上のとき該Webサイトに関する情報をブラックリストに登録し、第一のしきい値より大きく第二のしきい値より小さいとき該Webサイトに関する情報をグレーリストに登録するステップと、
を有することを特徴とするアクセス管理方法。
【請求項2】
ある端末がグレーリストに登録されているWebサイトに接続するとき、一回目の接続認証後、該端末に対して追加認証を要求するステップと、
該追加認証に成功したとき、該Webサイトの情報を該グレーリストから削除して該ホワイトリストに登録し、一定期間一度も成功しなかったとき、該Webサイトの情報を該グレーリストから削除して該ブラックリストに登録するステップを有することを特徴とする請求項1に記載のアクセス管理方法。
該追加認証に成功したとき、該Webサイトの情報を該グレーリストから削除して該ホワイトリストに登録し、一定期間一度も成功しなかったとき、該Webサイトの情報を該グレーリストから削除して該ブラックリストに登録するステップを有することを特徴とする請求項1に記載のアクセス管理方法。
【請求項3】
前記悪性度は、複数の分析ルールを適用して求めたスコアに重み付けをした一次形式の総和で与えられ、
第一の分析ルールは、同一のWebサイトにアクセスした端末の数が多いほど小さいスコアを与えるものであり、その対応する重みは負であり、
第二の分析ルールは、アクセスの周期性強度が高いほど大きいスコアを与えるものであり、その対応する重みは正であることを特徴とする請求項1又は2に記載のアクセス管理方法。
第一の分析ルールは、同一のWebサイトにアクセスした端末の数が多いほど小さいスコアを与えるものであり、その対応する重みは負であり、
第二の分析ルールは、アクセスの周期性強度が高いほど大きいスコアを与えるものであり、その対応する重みは正であることを特徴とする請求項1又は2に記載のアクセス管理方法。
【請求項4】
前記追加認証は、画像認証により行なわれることを特徴とする請求項2に記載のアクセス管理方法。
【請求項5】
端末からアクセスするWebサイトのアクセス情報をログとして記録し、Webサイトの属性を分析するアクセス管理システムにおいて実行されるアクセス管理プログラムであって、
該ログからWebサイトの悪性度を計算するステップと、
ある端末がグレーリストに登録されているWebサイトに接続するとき、一回目の接続認証後、該端末に対して追加認証を要求するステップと、
該追加認証に成功したとき、該Webサイトの情報を該グレーリストから削除してホワイトリストに登録し、一定期間一度も成功しなかったとき、該Webサイトの情報を該グレーリストから削除してブラックリストに登録するステップと、を実行することを特徴するアクセス管理プログラム。
該ログからWebサイトの悪性度を計算するステップと、
ある端末がグレーリストに登録されているWebサイトに接続するとき、一回目の接続認証後、該端末に対して追加認証を要求するステップと、
該追加認証に成功したとき、該Webサイトの情報を該グレーリストから削除してホワイトリストに登録し、一定期間一度も成功しなかったとき、該Webサイトの情報を該グレーリストから削除してブラックリストに登録するステップと、を実行することを特徴するアクセス管理プログラム。
【請求項6】
端末からアクセスするWebサイトのアクセス情報をログとして記録し、Webサイトの属性を分析するアクセス管理システムにおいて実行されるアクセス管理プログラムであって、
該アクセス管理システムが、該ログからWebサイトの悪性度を計算するステップと、
該アクセス管理システムが、悪性度が第一のしきい値以下のとき該Webサイトに関する情報をホワイトリストに登録し、第二のしきい値以上のとき該Webサイトに関する情報をブラックリストに登録し、第一のしきい値より大きく第二のしきい値より小さいとき該Webサイトに関する情報をグレーリストに登録するステップと、
を有することを特徴とするアクセス管理プログラム。
該アクセス管理システムが、該ログからWebサイトの悪性度を計算するステップと、
該アクセス管理システムが、悪性度が第一のしきい値以下のとき該Webサイトに関する情報をホワイトリストに登録し、第二のしきい値以上のとき該Webサイトに関する情報をブラックリストに登録し、第一のしきい値より大きく第二のしきい値より小さいとき該Webサイトに関する情報をグレーリストに登録するステップと、
を有することを特徴とするアクセス管理プログラム。
【請求項7】
端末からアクセスするWebサイトのアクセス情報をログとして記録し、Webサイトの属性を分析するアクセス管理システムであって、
正規のWebサイトに関する情報が記載されたホワイトリストと、マルウェアに指令をおこなう悪性のWebサイトに関する情報が記載されたブラックリストと、さらに、そのいずれにも含まれていないWebサイトに関する情報を保持するグレーリストと有し、
該アクセス管理システムは、
プロキシサーバのログからWebサイトの悪性度を計算して、悪性度が第一のしきい値以下のとき該Webサイトに関する情報をホワイトリストに登録し、第二のしきい値以上のとき該Webサイトに関する情報をブラックリストに登録し、第一のしきい値より大きく第二のしきい値より小さいとき該Webサイトに関する情報をグレーリストに登録するリスト生成管理装置と、
ある端末がグレーリストに登録されているWebサイトに接続するとき、プロキシサーバによる認証後、該端末に対して追加認証を要求する追加認証サーバと、を有し、
該追加認証に成功したとき、該リスト生成管理装置は、該Webサイトの情報を該グレーリストから削除して該ホワイトリストに登録し、一定期間一度も成功しなかったとき、該Webサイトの情報を該グレーリストから削除して該ブラックリストに登録することを特徴とするアクセス管理システム。
正規のWebサイトに関する情報が記載されたホワイトリストと、マルウェアに指令をおこなう悪性のWebサイトに関する情報が記載されたブラックリストと、さらに、そのいずれにも含まれていないWebサイトに関する情報を保持するグレーリストと有し、
該アクセス管理システムは、
プロキシサーバのログからWebサイトの悪性度を計算して、悪性度が第一のしきい値以下のとき該Webサイトに関する情報をホワイトリストに登録し、第二のしきい値以上のとき該Webサイトに関する情報をブラックリストに登録し、第一のしきい値より大きく第二のしきい値より小さいとき該Webサイトに関する情報をグレーリストに登録するリスト生成管理装置と、
ある端末がグレーリストに登録されているWebサイトに接続するとき、プロキシサーバによる認証後、該端末に対して追加認証を要求する追加認証サーバと、を有し、
該追加認証に成功したとき、該リスト生成管理装置は、該Webサイトの情報を該グレーリストから削除して該ホワイトリストに登録し、一定期間一度も成功しなかったとき、該Webサイトの情報を該グレーリストから削除して該ブラックリストに登録することを特徴とするアクセス管理システム。
【請求項8】
前記アクセス管理システムは、
ファイアウォールまたは不正侵入検知装置を含み、
前記リスト生成管理装置は、プロキシサーバのログの代わりにファイアウォールまたは不正侵入検知装置のログからWebサイトの悪性度を計算することを特徴とする請求項7記載のアクセス管理システム。
ファイアウォールまたは不正侵入検知装置を含み、
前記リスト生成管理装置は、プロキシサーバのログの代わりにファイアウォールまたは不正侵入検知装置のログからWebサイトの悪性度を計算することを特徴とする請求項7記載のアクセス管理システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス管理方法およびアクセス管理システムに係り、特に、ネットワークを介してアクセスするWebサイトが正規のものであるか悪性のものであるか判別するのに好適なアクセス管理方法およびそのシステムに関する。
【背景技術】
【0002】
近年のインターネットの普及により、社会生活や産業化活動におけるネットワークの依存性がますます高まってきており、ネットワーク人口も増加の一途をたどっている。それに伴い、ネットワーク上の犯罪行為とされるサイバー攻撃手法も洗練され、マルウェア(malware:不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコード)などの侵入を防止することが困難になってきている。そこで、マルウェアに侵入されたとしても実被害が発生しないよう、プロキシサーバなどのログを分析して、できるだけ早くマルウェア感染を検知する技術が注目されてきている。
【0003】
例えば、一般に、マルウェアに攻撃指令等を行う悪性のWebサイト(C&Cサーバ:Commmand & Control Server)のURL(Uniform Resource Locator)情報を、マルウェア自体を分析することにより抽出してブラックリストとしてまとめておき、このブラックリストをプロキシサーバなどのログに含まれる接続先URLと照合することにより、マルウェアを検知する技術が知られている。
【0004】
また、特許文献1には、マルウェアとC&Cサーバ間で攻撃命令などの情報を授受する際、アクセスが周期的になりやすいといった特性に着目して、FW(Fire Wall:ファイアウォール)やIDS(Intrusion Detection System:不正侵入検知装置)などのログからWebサイトへのアクセス間隔の周期性の強度を算出してマルウェアを検知する技術が記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−319633号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
従来技術では、ブラックリストの載せられたものを悪性のWebサイトであるとして排除する。しかしながら、マルウェア作成者は頻繁にC&Cサーバを変えることが多く、ブラックリストは陳腐化しやすい。また、ブラックリスト作成にはマルウェア自体を分析する必要があり、時間がかかる。その結果、ブラックリストを用いる方法ではC&Cサーバの変更への追従が困難であるという問題点がある。
【0007】
また、基本的に、端末とWeb間のアクセスを記録するFWやIDSのログは膨大になりやすく、かつ周期性の強度の算出は計算量が大きいため、特許文献1のような方式で膨大なログを対象にしてマルウェアを検知するには処理時間がかかる。したがって、この方法でもC&Cサーバの頻繁な変更への追従は困難であるといえる。
【0008】
本発明は、上記課題を解決するためになされたものであり、その目的は、Webサイトの判定のためのログを効率的に分析し、システムにおけるマルウェア感染を確実に検出できるアクセス管理方法及びアクセス管理システムを提供することにある。
【課題を解決するための手段】
【0009】
本発明は、悪性度だけではC&Cサーバを特定するのは困難であるため、ホワイトリストでもブラックリストでもないグレーリストを準備しておき、その後、マルウェアの様なプログラムでは突破が困難となるような形式で追加認証を行い、その結果を基にグレーリストをホワイトリストかブラックリストに振り分けるようにしたものである。
【0010】
そのため、好ましい例によれば、本発明に係るアクセス管理システムは、プロキシサーバ等のログから計算したWebサイトの悪性度に基づいて、Webサイトのホワイトリスト、ブラックリスト、および、いずれにも属さないグレーリストを生成するリスト生成管理装置と、グレーリストに記載されたWebサイトに接続するとき追加認証を要求する追加認証サーバを有する。追加認証は、応答者が人間であれば突破できるが、マルウェアの様なプログラムでは突破が困難となる画像認証のような形式でおこなう。そして、該追加認証に成功したときグレーリストをホワイトリストに振り分け、一定期間一度も成功しなかったときブラックリストに振り分けることにより、ホワイトリスト等を自動的に生成する。本発明はまた、アクセス管理方法及びアクセス管理システムで実行されるプログラムとしても構成される。
【0011】
以上の構成により、C&CサーバのURL情報からなるブラックリストのみならず、正規のWebサイトからなるホワイトリストも自動で生成することができ、このホワイトリスト等を用いて分析対象となるログの分量を削減することで分析処理にかかる時間を短縮することができる。さらに、本発明に係るアクセス管理システムを利用し続けることで、ホワイトリスト等が拡充され、分析処理時間をより短縮することができる。その結果、たとえC&Cサーバを頻繁に変更させられたとしても効率的にログを分析できるようになり、マルウェア感染をより確実に検出できるようになる。また、疑義のあるWebサイトの情報を、いったん、グレーリストに振り分けて、追加認証を人でないと認証できない方法により、認証させることにより、判定の精度を向上させることができる。
【発明の効果】
【0012】
本発明によれば、Webサイトにおけるログを効率的に分析し、システムにおけるマルウェア感染を確実に検出できるアクセス管理を実現することができる。
【図面の簡単な説明】
【0013】
【図1】第一の実施形態に係るアクセス管理システムを示すブロック図である。
【図2】アクセス管理システムの構成要素のハードウェア構成図である。
【図3】システムの構成要素とデータフローを示した概念図である。
【図4】プロキシサーバがログを収集してからホワイトリスト等を生成する処理を示すフローチャートである。
【図5】プロキシサーバのログの一例を示す図である。
【図6】ブラックリスト、グレーリスト、ホワイトリストの一例を示す図である。
【図7】ログ分析結果の一例を示す図である。
【図8】ログ分析としてのヒストグラムの一例を示す図である。
【図9】アクセス管理システムにおける認証処理を説明するフローチャートである。
【図10】認証処理の際のユーザインターフェイスを示す図である。
【図11】アクセス管理システムにおけるグレーリストをホワイトリストやブラックリストに振り分ける処理を示すフローチャートである。
【図12】第二の実施形態に係るアクセス管理システムを示すブロック図である。
【図13】第二の実施形態のアクセス管理システムにおけるグレーリストをホワイトリストやブラックリストに振り分ける処理を示すフローチャートである。
【発明を実施するための形態】
【0016】
図1は、第一の実施形態に係るアクセス管理システムを示すブロック図である。図2は、アクセス管理システムの構成要素のハードウェア構成図である。図1に示されるように、アクセス管理システム1は、ログからホワイトリスト等を生成するリスト生成管理装置10と、一つ以上のクライアントシステム30が、ネットワーク20を介して接続して構成される。
【0017】
リスト生成管理装置10は、フィルタリング部102と、ログ分析部104と、ログDB(データベース)100と、ホワイトリストDB110と、グレーリストDB112と、ブラックリストDB114を有する。ここで、リスト生成管理装置10は、例えばサーバであり、ハードウェア構成として、プログラムを実行する処理装置(プロセッサともいう)と、プログラムやデータを格納するメモリやハードディスク装置等の記憶部を有して構成される。上記フィルタリング部102やログ分析部104は、プログラムの実行によって実現される機能である。
【0018】
フィルタリング部102は、ホワイトリスト等を用いてログから不要な情報を除去する装置である。ログ分析部104は、ログを分析する部分である。リスト管理部106は、ホワイトリスト等を管理し、更新する部分である。ログDB100は、ログを格納するデータベースである。ホワイトリストDB110、グレーリストDB112、ブラックリストDB114は、それぞれ、ホワイトリスト、グレーリスト、ブラックリストを格納するデータベースである。
【0019】
ここで、ホワイトリストは、システムが問題と判定したWebサイトのURLを格納するリストであり、ブラックリストは、システムがマルウェアをコントロールするC&Cサーバのように、排除するWebサイトのURLを格納するリストであり、グレーリストは、ホワイトリストにもブラックリストにも属しないWebサイトのURLを格納するリストである。なお、具体的なホワイトリスト、ブラックリスト、グレーリストの形式は、後に説明する。
【0020】
クライアントシステム30は、FW(ファイアウォール)302と、IDS(不正侵入検知システム)304と、プロキシサーバ306と、追加認証サーバ308と、一つ以上の端末310とがLAN(ローカルエリアネットワーク)を介して接続した構成をとる。
【0021】
FW302は、外部からのシステムに関する攻撃を防御するために設けられるソフトウェア、あるいは、そのソフトウェアを搭載するハードウェアである。IDS304は、ネットワークを流れるパケットやコンピュータ内部の挙動を監視して、不正な動きを検知するシステムである。
【0022】
プロキシサーバ306は、内部ネットワークと外部ネットワークの境にあって、直接、外部ネットワークに接続できない内部ネットワークのコンピュータに代わって、「代理」として外部ネットワークとの接続をおこなうコンピュータ、また、そのための機能を実現するソフトウェアである。
【0023】
追加認証サーバ308は、端末に対して追加の認証を要求するサーバである。端末310は、Webサイトにアクセスするコンピュータである。なお、ネットワーク20はインターネットでもよいし、インターネットから直接アクセスを受けない閉鎖網でもよい。また、クライアントシステム30においてFW302とIDS304は必須ではない。
【0024】
次に、図2を用いて、アクセス管理システムの構成要素のハードウェア構成について説明する。
【0025】
図1に示したFW302、IDS304、プロキシサーバ306、追加認証サーバ308、端末310は、それぞれ、図2に示されるような、演算装置322、メモリ324、記憶装置326、および、通信装置328、表示装置330、入力装置332、等のデバイスがバスに接続して構成される。なお、サーバ等の構成によっては、あるデバイスを有しない場合もある。
【0026】
演算装置322は、メモリ324に格納されたプログラムの命令を実行し、各部の制御をおこなう。メモリ324は、半導体装置で実現され、プログラムや一時的なデータを格納する。記憶装置326は、HDD(Hard Disk Drive)やSSD(Solid State Drive)などであり、大容量のデータを記憶する装置である。通信装置328は、ネットワーク20を介して外部機器と通信をおこなう装置である。表示装置330は、液晶ディスプレイ等の結果等を表示する装置である。入力装置332は、キーボードやマウスなどの入力を受け付ける装置である。
【0027】
フィルタリング部102、ログ分析部104、リスト管理部106については、同じハードウェア構成をとってもよいし、記憶装置326やメモリ324に格納され演算装置322で実行されるプログラムとして、ソフトウェアで構成されてもよい。また、ログDB100、ホワイトリストDB110、グレーリストDB112、ブラックリストDB114は、上記と同じハードウェア構成をとって、データベースサーバとして実現されてもよいし、単なるデータとして記憶装置326やメモリ324上に実現されてもよい。
【0029】
端末A、B、CがそれぞれWebサイトA、B、Cにネットワーク20を介してアクセスを試みる際、プロキシサーバ306が端末A、B、CにIDとパスワードによる認証を要求し、そのログ202がログDB100に記録されるとする。このとき、ログ202には、どの端末がどのWebサイトにアクセスしようとしたのか、その認証は成功したのかなどといった情報が記録されている。
【0030】
図3では、端末Aでは、ユーザがWebサイトにアクセスしようとしており、端末Cに、マルウェアが潜んで、WebサーバCがC&Cサーバであり、端末Cに潜むマルウェアに、コマンドを送っている様子が示されている。
【0031】
本実施形態では、このような前提のもと、WebサイトA、B、Cがホワイトリストまたはブラックリストどちらに含まれるかを判定して、ホワイトリスト等を自動的に生成する。
【0032】
先ず、リスト生成管理装置10のフィルタリング部102は、ログ202から不要な情報を除去して、ログ分析部104へ送る。具体的な除去方法については後に、図4を用いて説明する。
【0033】
次に、ログ分析部104は、所定のアルゴリズムでログを分析して、表204のようなWebサイトがC&Cサーバである確率(悪性度)の一覧を生成する。悪性度は、マルウェアとC&Cサーバ間の特有のアクセスパターンがあることなどに基づいて算出されるアクセスするWebサイトを排除するために用いられる指標である。アルゴリズムの詳細については後に、図6を用いて説明する。この図3の例では、分析の結果、WebサイトAの悪性度が0.01%、WebサイトBが80%、WebサイトCが90%と算出されている。
【0034】
この例では、WebサイトAは、正規のWebサイトと予測される反面、WebサイトB、Cは、C&Cサーバなのか、分析アルゴリズムの特性上誤って悪性度が高く算出されただけなのか不明である。例えば、マルウェアではない正規のプログラムが情報収集のためニュースサイトなどに周期的にアクセスした場合、それとマルウェアがC&Cサーバにアクセスする場合とを見分けることは困難である。そこで、リスト管理部106は、WebサイトAの情報をホワイトリスト206に格納し、WebサイトB、Cの情報を、ホワイトでもブラックでもないものとしてグレーリスト208に格納しておく。その後、追加認証サーバ308は、グレーリスト208に格納されたWebサイトB、Cへのアクセスに対しては、プロキシ認証を突破した端末に対して追加の認証を要求する。ここで、この追加認証は、単純なIDパスワードの方式ではなく、CAPTCHA(Completely Automated Public Turing Test to Tell Computers and Humans Apart、コンピュータと人間を区別する完全に自動化された公開チューリングテストの意味。日本では「画像認証」とも呼ばれる)やマトリクス認証(ユーザが予め設定した位置と順番を使って、アクセスするたびにランダムに表示が変わるマトリクス表からその位置と順番に当てはまる数字を抜き出してパスワードとして認識させる認証方式)のような、応答者が人間であれば突破できるがマルウェアの様なプログラムでは突破が困難となるような方式を用いる。そして、追加認証サーバ308は、追加認証に関する情報をログ202に記録しておく。詳細については、後に図7を用いて説明する。
【0035】
さて、図3に示したアクセス管理システムにおいて、一定期間経過後、WebサイトBへのアクセスに関しては追加認証を突破した端末がいくつか存在した反面、WebサイトCへはどの端末も追加認証を突破できなかったとする。このときリスト管理部106は、グレーリスト208からWebサイトBの情報をホワイトリスト206に移動し、さらにWebサイトCの情報をブラックリスト210に移動する。このようにして、ホワイトリストおよびブラックリストが、本システムにより自動的に生成される。
【0036】
生成されたホワイトリスト206およびブラックリスト210は、フィルタリング部102にてログ202から不要な情報を除去するために用いられる。すなわち、ホワイトリストに記載されたWebサイトは正規のサイトであり悪性度を算出する必要がないため、フィルタリング部102にて除去される。また、ブラックリストに記載されたWebサイトは、C&Cサーバそのものであってあえて分析する必要もないため、これも除去される。このようにホワイトリスト等を用いて分析対象となるログの分量を削減することにより、分析処理にかかる時間を短縮することができる。さらに、本実施形態のアクセス管理システムを使用し続けることでホワイトリスト等が拡充され、分析処理時間をより短縮することができる。その結果、たとえC&Cサーバを頻繁に変更させられたとしても効率的にログを分析できるようになり、マルウェア感染をより確実に検出できるようになる。
【0037】
以下、図4ないし図8を用いて、アクセス管理システムのホワイトリスト等を生成する処理の具体的な流れについて説明する。図4は、プロキシサーバがログを収集してからホワイトリスト等を生成する処理を示すフローチャートである。
図5は、プロキシサーバのログの一例を示す図である。
図6は、ブラックリスト、グレーリスト、ホワイトリストの一例を示す図である。
図7は、ログ分析結果の一例を示す図である。
図8は、ログ分析としてのヒストグラムの一例を示す図である。
【0038】
先ず、フィルタリング部102は、プロキシサーバなどのログを収集する(S402)。図5(a)には、プロキシサーバのログ502の一例が示されている。このプロキシサーバログ502は、UNIX時刻で記載されたアクセス時刻と、接続先URL、端末アドレスと、HTTPメソッドとHTTPステータスコードからなる。例えば。プロキシサーバログ502のID=1のログから、UNIX時刻「1326034811.816」すなわち「2012年1月9日0時0分11秒」に、IPアドレスが「151.125.109.231」の端末から、「www.google.com」へHTTPメソッド「GET」で接続しようとして、HTTPステータスコード「TCP_DENIED/407」が返ったこと、すなわち、プロキシサーバによる認証が失敗したことを読み取ることができる。
【0039】
次に、フィルタリング部102は、収集したログをブラックリスト504と照合して合致するログを除外し、さらに警告をおこなう(S404)。図5(a)には、ブラックリスト504の一例が示される。図6(a)には、ブラックリスト504には、「www.XXXbank.com/css/skin_small_window.css」のように具体的なURLと、登録日「2012/01/17 18:30」が記載されている。ブラックリスト504の照合においては、このようにURLが完全一致した場合にログを除去してもよいし、URLのドメイン名「www.XXXbank.com」が一致した場合にログを除去してもよい。このようにブラックリストと照合することにより、C&Cサーバの検知率が高まる反面、正規のWebサイトを誤ってC&Cサーバとみなす誤検知率も高まる。どちらを採用するかは入力装置332を介してユーザが決められるようにしてもよいし、予めいずれかに固定しておいてもよい。
【0040】
同様にフィルタリング部102は、収集したログをホワイトリストと照合し、合致するログを除外する(S406)。図6(c)には、ホワイトリスト506の一例が示されている。図6(c)のホワイトリスト506には、「www.google.com」のように具体的なURLと、登録日「2012/01/14 16:34」が記載されている。ホワイトリスト504の照合においても、URLではなくドメイン名の一致で照合することも可能である。しかしながら、この場合、C&Cサーバを誤って正規のWebサイトと誤認識する確率も高まる。これについてもどちらを採用するか入力装置332を介してユーザが決められるようにしてもよいし、予めいずれに固定しておいてもよい。
【0041】
なお、S404とS406の順番は逆でもよい。また、マルウェア作成者は頻繁にC&Cサーバを変えることが多く、ブラックリストは陳腐化しやすいため、ブラックリストまたはホワイトリストに登録されているURL情報について、リスト管理部106が登録日の古いものを順次削除してもよい。
【0042】
さて、一般に、プロキシサーバのログはプロキシサーバへのアクセス順に記録されるため、このままでは分析に向いていない。そこでフィルタリング部102は次に、ログの整形をおこなう(S408)。図5(b)には、整形されたログ508の一例が示されている。ログ508では同一の接続先URLおよび端末からのアクセスが連続するように順序が入れ替えられている。このような整形によりアクセス間隔が明らかとなり、特許文献1に記載されているような周期性の計算など高度な分析をおこなうことができるようになる。なお、このS408の処理は、ログの分析を容易にするためのステップであり、必須ではない。
【0043】
以上のようにフィルタリング部102がホワイトリスト等を用いてログから分析に不要な情報を除去した後、次にログ分析部104が、接続先URLがC&Cサーバである確率(悪性度)を算出する(S410)。図7には、ログ分析結果602が示されている。ログ分析結果602では悪性度の算出にアクセス端末割合、周期性強度など、R個の分析ルールを用いている。アクセス端末割合とは、1か月等一定期間に同じWebサイトにアクセスした端末の数をクライアントシステム30に属する全端末数で割った値のことである。正規のWebサイトであればさまざまな端末がアクセスする反面、C&Cサーバへのアクセスはマルウェアに感染した端末に限られ、それほど数が多くないことから、接続先の悪性度の算出に利用できる。値が大きいほど正規のWebサイトである可能性が高い。なお、当該期間は入力装置332を介してユーザが決められるようにしてもよいし、予め固定しておいてもよい。
【0044】
周期性強度とは、アクセス間隔が周期的であるほど大きくなるような値のことである。マルウェアとC&Cサーバの間で攻撃命令などの情報を授受するとき、人間と比較してアクセスが周期的になりやすいため、周期性強度が大きいほど悪性度が高まると考えられる。以下、周期性強度の具体的な算出方法について説明する。先ず、整形されたログ508から、同一端末が同一の接続先に、10分間隔等ある一定間隔ごとに何回アクセスしたかをカウントすることでヒストグラムを作成する。図6には、ヒストグラム604に一例が示されている。横軸がアクセス時刻、縦軸がアクセス数に対応している。ヒストグラム604では、N個のアクセス数a0,…,aN−1が得られている。10分間隔でカウントしたとすると、ヒストグラム604は10N分間のアクセスについて表現していることになる。周期性強度は、一般にフーリエ変換により求めることができる。すなわち、以下の(式1)によりヒストグラム604をフーリエ変換して周波数成分の集合{Ak}を求め、
【0045】
【数1】
【0046】
次に、以下の(式2)のように{Ak}から絶対値|Ak|が最大となるようなkを求め、これをKとしたとき、周期性強度Pは、以下の(式3)で求められる。ここで、A0は、周期的に変動しない直流成分である。
【0047】
【数2】
【0048】
【数3】
【0049】
【数4】
【0050】
このような複数の分析ルールによりR個のスコア{Xt}が求められたとする。このとき悪性度Sは、(式4)のように、R個の重み{rt}を掛け合わせた合計により与えられる。ここで重み{rt}は、Xtが大きいほど悪性度が高くすべき場合は正、そうでない場合は負となり、かつ、悪性度への寄与が高い分析ルールに対しては大きい値、そうでない場合は小さい値を取るように設定される。例えば、上記のアクセス端末数場合の重みは、負、周期性強度の重みは、正とする。図7に示した分析結果602の一例では、r0を−1、r1を1、r2からrRをすべて、0として悪性度を求めている。No=1,2,3のアクセス端末割合が0.0001でアクセス端末数が少なく、周期性強度も0.9以上あり比較的大きいため、悪性度が高く算出されている。一方、No=10000のようにアクセス端末数が多く、周期性強度も小さいような接続先URLに対しては、悪性度が低く算出されている。なお、重み{rt}や分析ルール適用における補助的な変数(ヒストグラム作成時におけるアクセス間隔など)は、入力装置332を介してユーザが決められるようにしてもよいし、予め固定しておいてもよい。
【0051】
以上のようなログ分析部104における分析処理が完了した後、リスト管理部106は、悪性度Sに基づき、接続先URLをブラックリスト504、グレーリスト505、ホワイトリスト506に分類する(S412)。具体的には、しきい値B、Wを用いて、SがB以上のとき接続先URLをブラックリスト504に(S414)、SがBより大きくWより小さいとき接続先URLをグレーリスト505に(S416)、SがW以下のとき接続先URLをホワイトリスト506に(S418)登録する。ここで、しきい値B、Wは入力装置332を介してユーザが決められるようにしてもよいし、予め固定しておいてもよい。なお、いずれの場合も必ずBはWよりも大きくなるように設定する。また、(式4)の重み{rt}に応じて悪性度Sの取りうる値の範囲は変動するため、それに応じてしきい値B、Wを設定する必要がある。以上、S402からS418までの処理ステップにより本発明のホワイトリスト等を生成する処理が完了する。
【0052】
本発明の特徴は、悪性度だけではC&Cサーバを特定するのは困難であるため、ホワイトリストでもブラックリストでもないグレーリストを準備しておき、その後、応答者が人間であれば突破できるがマルウェアの様なプログラムでは突破が困難となるような方式で追加認証を行って、その結果に基づいてグレーリストをホワイトリストかブラックリストに振り分けることにある。
【0053】
そこで、以下、図9を用いて、アクセス管理システムの追加認証を含めた認証処理の具体的な処理の流れについて説明する。図9は、アクセス管理システムの認証処理を説明するフローチャートである。図10は、認証処理の際のユーザインターフェイスを示す図である。
【0054】
先ず、端末310は、ネットワーク20を介してWebサイトにアクセスをおこなう際、端末のIPアドレス、接続先WebサイトのURLに関する情報をプロキシサーバ306に送信する(S702)。プロキシサーバ306は認証をおこなうため、図10(a)に示されるように、端末310に対してIDとパスワードを要求する(S704)。認証が成功した場合S704に飛ぶ。失敗した場合は、再度IDとパスワードを要求し、予め定めた回数連続して認証が失敗した場合接続不許可とする(S714)。
【0055】
プロキシサーバ306による認証を突破した場合、追加認証サーバ308が起動されて、接続先URLをリスト生成管理装置10のグレーリストDB112と照合する(S706)。照合の結果接続先URLがグレーリスト505に含まれていた場合、追加認証を要求する(S708)。そうでない場合はそのまま接続を許可する(S712)。
【0056】
追加認証には、図10(a)に示されるようなIDとパスワードによる認証ではなく、図10(b)に示されるようにCAPTCHA(画像認証)やマトリクス認証のような別方式を採用する。この追加認証が成功したとき接続を許可し(S712)、予め定めた回数連続して認証が失敗した場合接続不許可とする(S714)。
【0057】
接続許可(S712)または不許可(S714)の処理の後、プロキシサーバ306および必要があれば追加認証サーバ308がログ502をログDB100に出力して(S716)、認証処理が完了する。プロキシサーバのログ502については先に図5(a)に示した通りである。追加認証サーバのログ502も同様であり、アクセス時刻、接続先URL、端末アドレス、HTTPメソッド、HTTPステータスコードなどの情報が格納される。図5のID=3の例では、認証が失敗したことをステータスコード「TCP_DENIED/407」で示している。
【0058】
上記の追加認証処理により、グレーリストに含まれたWebサイトの情報をホワイトリストやブラックリストに振り分けることができる。
【0060】
先ず、管理装置106は、追加認証サーバ308の一定期間分のログ502をログDB100から収集する(S802)。ここで、一定期間とは、追加認証の成否によってホワイトリスト等への振り分けができる程度にWebサイトへのアクセス情報が収集できるような、1か月程度の期間を想定している。当該期間は入力装置332を介してユーザが決められるようにしてもよいし、予め固定しておいてもよい。
【0061】
次に、リスト管理部106は、収集した追加認証サーバ308のログ502を接続先URLごとにまとめ、図5(b)に示したような整形されたログ508にする(S804)。ここで、接続先URLの数をNとする。
【0062】
次に、リスト管理部106は、添え字iを0とおいて(S806)、i番目の接続先URL_iについて追加認証を成功した回数を集計する(S808)。もし1回以上追加認証に成功していたら、URL_iはマルウェアではなく人間によるアクセスでありC&Cサーバではなかったと判断してURL_iをグレーリストDB112から削除し、ホワイトリストDB110に登録する(S810)。逆に一度も追加認証に成功していなかったら、URL_iはマルウェアがアクセスを試みているC&Cサーバであると判断して、URL_iをグレーリストDB112から削除し、ブラックリストDB114に登録する(S812)。
【0063】
iがNより小さければiを1増やしてS808に戻り(S814、S816)、すべての接続先についてS808からS812の処理を施す。以上によりグレーリストのホワイトリスト等への振り分け処理が完了する。
【0064】
以上、本発明を実施するための形態について図1から図11を用いて説明した。なお、これまでプロキシサーバ306のログに限定して説明したが、FWやIDSのログも接続先、接続元のアドレスやアクセス時刻等の情報を含んでおり、図4に示したフローチャートと同様の処理で悪性度を計算できるため、上記と同様のシステムおよび処理手順で、FWまたはIDSのログからホワイトリスト等を生成することも可能である。すなわち、プロキシサーバ306、FW302、IDS304いずれか一つ以上の機器が存在し、いずれかの機器のログがあれば本発明を実施することができる。ただし、FWやIDSはプロキシサーバと異なりアクセス毎に認証するわけではないので、その場合には、図9のS704の処理は省略される。
【0065】
〔実施形態2〕以下、本発明に係る第二の実施形態を、図12および図13を用いて説明する。
図12は、第二の実施形態に係るアクセス管理システムを示すブロック図である。図13は、アクセス管理システムにおけるグレーリストをホワイトリストやブラックリストに振り分ける処理を示すフローチャートである。
【0066】
上記第一の実施形態では、ホワイトリストでもブラックリストでもないグレーリストを準備しておき、追加認証の結果を用いてグレーリストをホワイトリストかブラックリストに振り分けることによって、ホワイトリスト等を自動で生成した。しかしながら、リスト生成管理装置10とクライアントシステム30の管轄が異なっているなどの理由により、クライアントシステム30のLANに追加認証サーバ308を導入することが難しい場合がある。そこで、本実施形態では、追加認証サーバ308を用いずにホワイトリスト等を生成するシステムを提示する。
【0067】
第二の実施形態のアクセス管理システムは、図1に示したアクセス管理システムと比較して、クライアントシステム90には追加認証サーバ308が存在せず、代わりにマルウェア検知装置902が端末904に直接接続されている。他の構成は、第一の実施形態のアクセス管理システムと同様である。マルウェア検知装置902は、端末904のメモリや記憶装置をスキャンするなどしてマルウェアの検知をおこなう装置である。マルウェア検知装置902のハードウェア構成は、図2に示したものと同様である。
【0068】
ここで、本実施形態のアクセス管理システムが、図4と同様のログ分析処理をおこなって、グレーリストDB112にWebサイトに関する情報がN個蓄積されたとする。そのときに、図13を用いてグレーリストをホワイトリストまたはブラックリストに振り分ける処理の具体手順について説明する。
【0069】
先ず、リスト管理部106は、添え字iを0とおいて(S1002)、ログDB100に格納されているログ502を走査して、グレーリストDB112に含まれるi番目の接続先URL_iの端末904を特定する(S1004)。
【0070】
次に、マルウェア検知装置902は、端末904のメモリや記憶装置をスキャンするなどしてマルウェアの検知をおこなう(S1006、S1008)。もし、端末904がマルウェアに感染していた場合、URL_iをグレーリストDB112から削除し、ブラックリストDB114に登録する(S1110)。感染していなかった場合、URL_iをグレーリストDB112から削除し、ホワイトリストDB110に登録する(S1112)。
【0071】
iがNより小さければiを1増やしてS1004に戻り(S1014、S1016)、グレーリストDB112に格納されているすべての接続先についてS1004からS1012の処理を施す。以上によりグレーリストのホワイトリスト等への振り分け処理が完了する。
【0072】
なお、第一の実施形態と同様、プロキシサーバ306、FW302、IDS304いずれか一つ以上の機器のログがあれば、本実施形態を実施することができる。
【0073】
以上、本発明の実施形態について説明したが、本発明の上記実施形態に限定されることなく、種々変形、応用して実施できる。例えば、図1に示した、リスト生成管理装置10は1台のサーバで構成せずに、各機能部を分けて複数のサーバで構成されてもよい。
【0074】
また、上記実施形態で説明した、「以上」、「以下」、「より大きい」、「より小さい」等の表現は、しきい値を含むか否かと言うような、数学的な意味ほど厳格なものである必要はない。本発明の趣旨を逸脱しない範囲で、しきい値を含んでもよいし、含まなくてもよい。
【符号の説明】
【0075】
1…アクセス管理システム、10…リスト生成管理装置、100…ログDB、102…フィルタリング部、104…ログ分析部、106…リスト管理部、110…ホワイトリストDB、112…グレーリストDB、114…ブラックリストDB、20…ネットワーク、30…クライアントシステム、302…FW、304…IDS、306…プロキシサーバ、308…追加認証サーバ、310…端末、202…ログ、202…表、206…ホワイトリスト、208…グレーリスト、210…ブラックリスト、
322…演算装置、324…メモリ、326…記憶装置、328…通信装置、330…表示装置、332…入力装置、
502…プロキシサーバログ、504…ブラックリスト、505…グレーリスト、506…ホワイトリスト、508…整形されたログ、602…分析結果、604…ヒストグラム、
2…アクセス管理システム、90…クライアントシステム、902…マルウェア検知装置、904…端末。