特許第6869100号(P6869100)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 株式会社PFU

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社PFUの特許一覧

特許6869100情報処理装置、不正活動分類方法および不正活動分類用プログラム
<>
  • 特許6869100-情報処理装置、不正活動分類方法および不正活動分類用プログラム 図000003
  • 特許6869100-情報処理装置、不正活動分類方法および不正活動分類用プログラム 図000004
  • 特許6869100-情報処理装置、不正活動分類方法および不正活動分類用プログラム 図000005
  • 特許6869100-情報処理装置、不正活動分類方法および不正活動分類用プログラム 図000006
  • 特許6869100-情報処理装置、不正活動分類方法および不正活動分類用プログラム 図000007
  • 特許6869100-情報処理装置、不正活動分類方法および不正活動分類用プログラム 図000008
  • 特許6869100-情報処理装置、不正活動分類方法および不正活動分類用プログラム 図000009
  • 特許6869100-情報処理装置、不正活動分類方法および不正活動分類用プログラム 図000010
  • 特許6869100-情報処理装置、不正活動分類方法および不正活動分類用プログラム 図000011
  • 特許6869100-情報処理装置、不正活動分類方法および不正活動分類用プログラム 図000012
  • 特許6869100-情報処理装置、不正活動分類方法および不正活動分類用プログラム 図000013
  • 特許6869100-情報処理装置、不正活動分類方法および不正活動分類用プログラム 図000014
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6869100
(24)【登録日】2021年4月15日
(45)【発行日】2021年5月12日
(54)【発明の名称】情報処理装置、不正活動分類方法および不正活動分類用プログラム
(51)【国際特許分類】
   G06F 21/56 20130101AFI20210426BHJP
【FI】
   G06F21/56 360
【請求項の数】21
【全頁数】32
(21)【出願番号】特願2017-95339(P2017-95339)
(22)【出願日】2017年5月12日
(65)【公開番号】特開2018-194880(P2018-194880A)
(43)【公開日】2018年12月6日
【審査請求日】2019年10月4日
(73)【特許権者】
【識別番号】000136136
【氏名又は名称】株式会社PFU
(74)【代理人】
【識別番号】100145838
【弁理士】
【氏名又は名称】畑添 隆人
(72)【発明者】
【氏名】寺田 成吾
(72)【発明者】
【氏名】道根 慶治
【審査官】 吉田 歩
(56)【参考文献】
【文献】 特開2005−136526(JP,A)
【文献】 特開2005−134972(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/56
(57)【特許請求の範囲】
【請求項1】
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、
前記端末が不正な活動を行っているか否かを判定する判定手段と、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、
前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段とを備え、
前記決定手段は、前記比較の結果に従って、前記端末が不正な活動をしていると推測される程度を示す評価値を更に決定し、
前記判定手段は、前記評価値に基づいて、前記端末が不正な活動を行っているか否かを判定する、
情報処理装置。
【請求項2】
前記端末毎に、前記評価値の前記フェーズ毎の最大値を保持する保持手段を更に備え、
前記判定手段は、前記評価値の前記フェーズ毎の最大値に基づいて、前記端末が不正な活動を行っているか否かを判定する、
請求項1に記載の情報処理装置。
【請求項3】
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、
前記端末が不正な活動を行っているか否かを判定する判定手段と、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、
前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段とを備え、
前記分類手段は、前記端末について決定された1または複数の振る舞いの種類に基づいて、不正な活動の分類と、該不正な活動に関連する1または複数の振る舞いの種類と、の対応関係を示す情報を参照することで、該端末の不正な活動を分類する、
報処理装置。
【請求項4】
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、
前記端末が不正な活動を行っているか否かを判定する判定手段と、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、
前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段とを備え、
前記分類は、不正な活動の危険度を示す分類であり、
前記分類手段は、前記端末について決定された1または複数の振る舞いの種類に基づいて、該端末の不正な活動の危険度を決定し、
前記分類手段は、高い危険度に係る振る舞いから順に検討していき、最初に一致した危険度を設定する、
報処理装置。
【請求項5】
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、
前記端末が不正な活動を行っているか否かを判定する判定手段と、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、
前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段とを備え、
前記分類は、不正な活動に係るマルウェア種別を示す分類であり、
前記分類手段は、前記端末について決定された1または複数の振る舞いの種類に基づいて、該端末の不正な活動に係るマルウェア種別を決定する、
報処理装置。
【請求項6】
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、
前記端末が不正な活動を行っているか否かを判定する判定手段と、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、
前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段と、
前記端末毎に、前記フェーズ毎の前記評価値の最大値を合計する合計手段とを備え
前記判定手段は、前記合計手段によって得られた合計値に基づいて、前記端末が不正な活動を行っているか否かを判定する、
報処理装置。
【請求項7】
前記判定手段は、前記合計値または前記合計値に基づく値が所定の閾値を超えた場合に、前記端末が不正な活動を行っていると判定する、
請求項6に記載の情報処理装置。
【請求項8】
前記分類手段は、前記合計値または前記合計値に基づく値が所定値未満の場合には、前記不正な活動の分類を行わない、
請求項7に記載の情報処理装置。
【請求項9】
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、
前記端末が不正な活動を行っているか否かを判定する判定手段と、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、
前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段と、
前記ネットワークに接続された端末による通信を取得する通信取得手段とを備え
前記比較手段は、取得された前記通信と予め保持されたパターンとを比較する、
報処理装置。
【請求項10】
コンピューターが、
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較ステップと、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定ステップと、
前記端末が不正な活動を行っているか否かを判定する判定ステップと、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析ステップと、
前記判定ステップで前記端末が不正な活動を行っていると判定された場合に、前記相関分析ステップで決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類ステップとを実行し、
前記決定ステップでは、前記比較の結果に従って、前記端末が不正な活動をしていると推測される程度を示す評価値を更に決定し、
前記判定ステップでは、前記評価値に基づいて、前記端末が不正な活動を行っているか否かを判定する、
不正活動分類方法。
【請求項11】
コンピューターが、
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較ステップと、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定ステップと、
前記端末が不正な活動を行っているか否かを判定する判定ステップと、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析ステップと、
前記判定ステップで前記端末が不正な活動を行っていると判定された場合に、前記相関分析ステップで決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類ステップとを実行し、
前記分類ステップでは、前記端末について決定された1または複数の振る舞いの種類に基づいて、不正な活動の分類と、該不正な活動に関連する1または複数の振る舞いの種類と、の対応関係を示す情報を参照することで、該端末の不正な活動を分類する、
不正活動分類方法。
【請求項12】
コンピューターが、
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較ステップと、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定ステップと、
前記端末が不正な活動を行っているか否かを判定する判定ステップと、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析ステップと、
前記判定ステップで前記端末が不正な活動を行っていると判定された場合に、前記相関分析ステップで決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類ステップとを実行し、
前記分類は、不正な活動の危険度を示す分類であり、
前記分類ステップでは、前記端末について決定された1または複数の振る舞いの種類に基づいて、該端末の不正な活動の危険度を決定し、
前記分類ステップでは、高い危険度に係る振る舞いから順に検討していき、最初に一致した危険度を設定する、
不正活動分類方法。
【請求項13】
コンピューターが、
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較ステップと、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定ステップと、
前記端末が不正な活動を行っているか否かを判定する判定ステップと、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析ステップと、
前記判定ステップで前記端末が不正な活動を行っていると判定された場合に、前記相関分析ステップで決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類ステップとを実行し、
前記分類は、不正な活動に係るマルウェア種別を示す分類であり、
前記分類ステップでは、前記端末について決定された1または複数の振る舞いの種類に基づいて、該端末の不正な活動に係るマルウェア種別を決定する、
不正活動分類方法。
【請求項14】
コンピューターが、
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較ステップと、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定ステップと、
前記端末が不正な活動を行っているか否かを判定する判定ステップと、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析ステップと、
前記判定ステップで前記端末が不正な活動を行っていると判定された場合に、前記相関分析ステップで決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類ステップと、
前記端末毎に、前記フェーズ毎の前記評価値の最大値を合計する合計ステップとを実行し、
前記判定ステップでは、前記合計ステップで得られた合計値に基づいて、前記端末が不正な活動を行っているか否かを判定する、
不正活動分類方法。
【請求項15】
コンピューターが、
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較ステップと、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定ステップと、
前記端末が不正な活動を行っているか否かを判定する判定ステップと、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析ステップと、
前記判定ステップで前記端末が不正な活動を行っていると判定された場合に、前記相関分析ステップで決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類ステップと、
前記ネットワークに接続された端末による通信を取得する通信取得ステップとを実行し、
前記比較ステップでは、取得された前記通信と予め保持されたパターンとを比較する、
不正活動分類方法。
【請求項16】
コンピューターを、
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、
前記端末が不正な活動を行っているか否かを判定する判定手段と、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、
前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段として機能させ、
前記決定手段は、前記比較の結果に従って、前記端末が不正な活動をしていると推測される程度を示す評価値を更に決定し、
前記判定手段は、前記評価値に基づいて、前記端末が不正な活動を行っているか否かを判定する、
不正活動分類用プログラム。
【請求項17】
コンピューターを、
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、
前記端末が不正な活動を行っているか否かを判定する判定手段と、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、
前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段として機能させ、
前記分類手段は、前記端末について決定された1または複数の振る舞いの種類に基づいて、不正な活動の分類と、該不正な活動に関連する1または複数の振る舞いの種類と、の対応関係を示す情報を参照することで、該端末の不正な活動を分類する、
不正活動分類用プログラム。
【請求項18】
コンピューターを、
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、
前記端末が不正な活動を行っているか否かを判定する判定手段と、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、
前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段として機能させ、
前記分類は、不正な活動の危険度を示す分類であり、
前記分類手段は、前記端末について決定された1または複数の振る舞いの種類に基づいて、該端末の不正な活動の危険度を決定し、
前記分類手段は、高い危険度に係る振る舞いから順に検討していき、最初に一致した危険度を設定する、
不正活動分類用プログラム。
【請求項19】
コンピューターを、
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、
前記端末が不正な活動を行っているか否かを判定する判定手段と、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、
前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段として機能させ、
前記分類は、不正な活動に係るマルウェア種別を示す分類であり、
前記分類手段は、前記端末について決定された1または複数の振る舞いの種類に基づいて、該端末の不正な活動に係るマルウェア種別を決定する、
不正活動分類用プログラム。
【請求項20】
コンピューターを、
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、
前記端末が不正な活動を行っているか否かを判定する判定手段と、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、
前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段と、
前記端末毎に、前記フェーズ毎の前記評価値の最大値を合計する合計手段として機能させ、
前記判定手段は、前記合計手段によって得られた合計値に基づいて、前記端末が不正な活動を行っているか否かを判定する、
不正活動分類用プログラム。
【請求項21】
コンピューターを、
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、
前記端末が不正な活動を行っているか否かを判定する判定手段と、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、
前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段と、
前記ネットワークに接続された端末による通信を取得する通信取得手段として機能させ、
前記比較手段は、取得された前記通信と予め保持されたパターンとを比較する、
不正活動分類用プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークに接続された端末を管理する技術に関する。
【背景技術】
【0002】
従来、ネットワークに接続された端末による通信と予め保持されたパターンとを比較し、比較の結果に従って、端末が不正な活動をしていると推測される程度を示す評価値と不正な活動のフェーズとを決定し、評価値のフェーズ毎の最大値に基づいて、端末が不正な活動を行っているか否かを判定する、不正活動判定方法が提案されている(特許文献1を参照)。
【0003】
また、システムへの攻撃を検知し、検知された攻撃を分類するための技術が種々提案されている(特許文献2から4を参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特許第6097849号公報
【特許文献2】米国特許第9565208号明細書
【特許文献3】特開2008−152773号公報
【特許文献4】国際公開第2016/038662号
【発明の概要】
【発明が解決しようとする課題】
【0005】
従来、組織内でマルウェア感染端末が検知された場合、対応の優先度付けの判断(トリアージ)を行うために、感染端末がどれだけ危険な状態にあるかの判断や、情報漏えいのリスクの判断を行う必要がある。しかし、通信内容だけでは、感染端末がどれだけ危険な状態にあるのかを判断することや、どのような機能を持ったマルウェアに感染しているかを判断することは難しく、正しくリスク判断することができない。
【0006】
このため、従来、各マルウェア種別固有の通信の特徴(シグネチャ)を利用した検査を行い、マルウェアを分類することが提案されているが、従来の方法では、未知のマルウェアに対応することができず、また、解析結果を元に分析官が感染したマルウェアを分類するには、分析技術と経験が必要となる。
【0007】
本開示は、上記した問題に鑑み、端末が行う通信の振る舞いに基づいて、当該端末がどれだけ危険な状態にあるかを判断するために役立つ情報を得ることを課題とする。
【課題を解決するための手段】
【0008】
本開示の一例は、ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、前記端末が不正な活動を行っているか否かを判定する判定手段と、該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段と、を備える情報処理装置である。
【0009】
本開示は、情報処理装置、システム、コンピューターによって実行される方法またはコンピューターに実行させるプログラムとして把握することが可能である。また、本開示は、そのようなプログラムをコンピューターその他の装置、機械等が読み取り可能な記録媒体に記録したものとしても把握できる。ここで、コンピューター等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的または化学的作用によって蓄積し、コンピューター等から読み取ることができる記録媒体をいう。
【発明の効果】
【0010】
本開示によれば、端末が行う通信の振る舞いに基づいて、当該端末がどれだけ危険な状態にあるかを判断するために役立つ情報を得ることが可能となる。
【図面の簡単な説明】
【0011】
図1】実施形態に係るシステムの構成を示す概略図である。
図2】実施形態に係るネットワーク監視装置および管理サーバーのハードウェア構成を示す図である。
図3】実施形態に係るネットワーク監視装置の機能構成の概略を示す図である。
図4】実施形態のマルウェア振る舞い検知エンジンによって用いられる、マルウェアの活動遷移モデルを示す図である。
図5】実施形態に係る、パケット毎の検知処理の流れの概要を示すフローチャートである。
図6】実施形態に係る、マルウェア振る舞い検知エンジンによる検知処理の流れを示すフローチャート(A)である。
図7】実施形態に係る、マルウェア振る舞い検知エンジンによる検知処理の流れを示すフローチャート(B)である。
図8】実施形態に係る、マルウェア振る舞い検知エンジンによる検知処理の流れを示すフローチャート(C)である。
図9】実施形態に係る危険度分類処理の流れを示す図である。
図10】実施形態に係るマルウェア種別分類処理の流れを示す図(1)である。
図11】実施形態に係るマルウェア種別分類処理の流れを示す図(2)である。
図12】実施形態に係るシステムの構成のバリエーションを示す概略図である。
【発明を実施するための形態】
【0012】
以下、本開示に係る情報処理装置、方法およびプログラムの実施の形態を、図面に基づいて説明する。但し、以下に説明する実施の形態は、実施形態を例示するものであって、本開示に係る情報処理装置、方法およびプログラムを以下に説明する具体的構成に限定するものではない。実施にあたっては、実施形態に応じた具体的構成が適宜採用され、また、種々の改良や変形が行われてよい。
【0013】
本実施形態では、本開示に係る情報処理装置、方法およびプログラムを、ネットワーク上で不正な活動を行っている端末を発見し、通信遮断やアラート通知等の対処を行うためのシステムにおいて実施した場合の実施の形態について説明する。但し、本開示に係る情報処理装置、方法およびプログラムは、ネットワーク上の不正な活動を分類するための技術について広く用いることが可能であり、本開示の適用対象は、本実施形態において示した例に限定されない。
【0014】
<システムの構成>
図1は、本実施形態に係るシステム1の構成を示す概略図である。本実施形態に係るシステム1は、複数の情報処理端末90(以下、「ノード90」と称する)が接続されるネットワークセグメント2と、ノード90に係る通信を監視するためのネットワーク監視装置20と、を備える。更に、管理サーバー50が、ルータ10を介してネットワークセグ
メント2と通信可能に接続されている。本実施形態において、ネットワーク監視装置20は、スイッチまたはルータ(図1に示した例では、ルータ)のモニタリングポート(ミラーポート)に接続されることで、ノード90によって送受信されるパケットやフレーム等を取得する。この場合、ネットワーク監視装置20は、取得したパケットを転送しないパッシブモードで動作する。
【0015】
管理サーバー50は、ネットワーク監視装置20から情報を収集し、ネットワーク監視装置20を管理する。なお、外部ネットワークには、更に検疫サーバーが設けられ、ネットワークセグメント2に接続されたノード90に対して検疫サービスを提供してもよいし、業務サーバーが設けられ、ノード90に対して業務のためのサービスを提供してもよい(図示は省略する)。
【0016】
本実施形態に係るシステム1では、ノード90から接続される各種サーバーは、インターネットや広域ネットワークを介して遠隔地において接続されたものであり、例えばASP(Application Service Provider)によって提供されるが、これらのサーバーは、必ずしも遠隔地に接続されたものである必要はない。例えば、これらのサーバーは、ノード90やネットワーク監視装置20が存在するローカルネットワーク上に接続されていてもよい。
【0017】
図2は、本実施形態に係るネットワーク監視装置20および管理サーバー50のハードウェア構成を示す図である。なお、図2においては、ネットワーク監視装置20および管理サーバー50以外の構成(ルータ10、ノード90等)については、図示を省略している。ネットワーク監視装置20および管理サーバー50は、それぞれ、CPU(Central Processing Unit)11a、11b、RAM(Random Access Memory)13a、13b、ROM(Read Only Memory)12a、12b、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14a、14b、NIC(Network Interface Card)15a、15b等の通信ユニット、等を備えるコンピューターである。
【0018】
図3は、本実施形態に係るネットワーク監視装置20の機能構成の概略を示す図である。なお、図3においては、ネットワーク監視装置20以外の構成(ルータ10、ノード90および管理サーバー50等)については、図示を省略している。ネットワーク監視装置20は、記憶装置14aに記録されているプログラムが、RAM13aに読み出され、CPU11aによって実行されることで、通信取得部21、通信遮断部22、アプリケーション検知エンジン23、プロトコルアノマリ検知エンジン24およびマルウェア振る舞い検知エンジン25を備える情報処理装置として機能する。また、マルウェア振る舞い検知エンジン25は、比較部251、評価値取得部252、補正部253、決定部254、保持部255、合計部256、判定部257、相関分析部258および分類部259を含む。なお、本実施形態では、ネットワーク監視装置20の備える各機能は、汎用プロセッサであるCPU11aによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。また、これらの機能の一部または全部は、クラウド技術等を用いて、遠隔値に設置された装置や、分散設置された複数の装置によって実行されてもよい。
【0019】
通信取得部21は、ネットワークに接続された端末によって送受信される通信を取得する。なお、本実施形態において、ネットワーク監視装置20による監視および検知の対象となる「端末」には、ネットワークセグメント2に接続されたノード90の他、ノード90とルータ10を介して通信するその他の装置(他のネットワークに属するノードや外部
サーバー等)を含む。
【0020】
通信遮断部22は、アプリケーション検知エンジン23、プロトコルアノマリ検知エンジン24またはマルウェア振る舞い検知エンジン25によって、端末が不正な活動を行っていると判定された場合に、当該端末による通信を遮断する。なお、本実施形態では、端末が不正な活動を行っていると判定された場合、当該端末の通信を遮断する対処が採られる例について説明しているが、端末が不正な活動を行っていると判定された場合の対処方法は、通信の遮断に限定されない。ネットワーク監視装置20は、端末が不正な活動を行っていると判定された場合に、アラート(警告)の通知を行ってもよいし、不正な活動を行っている端末の治癒(例えば、マルウェアの除去や脆弱性の除去)を行ってもよい。
【0021】
アプリケーション検知エンジン23は、マルウェアが利用する、業務に不要なアプリケーションがネットワーク上で通信を行っていることを検知するエンジンであり、例えば、既知のRAT(Remote Access Trojan)、P2P(Peer to
Peer)アプリケーション、Tor(The Onion Router)、UltraSurf(Proxyツール)および匿名プロキシ等による通信を検知することで、ノード90において業務に不要なアプリケーションが動作していることを検知する。
【0022】
プロトコルアノマリ検知エンジン24は、ネットワーク上における、プロトコルに沿っていない通信を検知するエンジンであり、例えば、HTTPアノマリ検知エンジン、SSL/TLSアノマリ検知エンジンおよびDNSアノマリ検知エンジン等が含まれる。プロトコルアノマリ検知エンジン24は、これらのプロトコルに沿っていない通信を検知することで、ネットワーク上でプロトコルを遵守していない通信を行うノード90を検知する。
【0023】
マルウェア振る舞い検知エンジン25は、マルウェアの活動遷移モデルに定義された、マルウェアによる不正な活動のフェーズごとに、ネットワーク上の通信と「マルウェア特有の通信パターン」との共通性を評価し、マルウェアの活動フェーズの遷移状況を監視することでマルウェアの振る舞い(挙動)を分析し、ノード90におけるマルウェア感染を検知するエンジンである。
【0024】
図4は、本実施形態のマルウェア振る舞い検知エンジン25によって用いられる、マルウェアの活動遷移モデルを示す図である。なお、本実施形態において示されるマルウェアの活動遷移モデルにはフェーズP1からフェーズP9が定義されているが、これは本実施形態において用いられる一例であり、マルウェアの活動遷移モデルは、実施の形態に応じて、適宜変更されてよい。以下、本実施形態に係るマルウェアの活動遷移モデルにおける各フェーズについて説明する。
【0025】
フェーズP1は、侵入フェーズ、即ち、標的型攻撃メールの添付ファイル、メールのURLのクリック、Webサイト(主に、SNSサイト)上のURLのクリック等を契機に、OSやアプリケーションの脆弱性を利用して感染する悪性コンテンツ(悪性コード、攻撃コード、エクスプロイト等とも称される)が投下されるフェーズである。フェーズP1からの移行先は、ワーム等の自律型のマルウェアが侵入した場合、フェーズP2、フェーズP4またはフェーズP9であり、ボット系のマルウェアの場合、フェーズP2またはフェーズP4である。
【0026】
フェーズP2は、探索フェーズ、即ち、脆弱性を持った感染端末の探索フェーズである。
【0027】
フェーズP3は、感染・浸潤フェーズ(拡散フェーズ)、即ち、脆弱な標的に対して攻
撃コードを送り込んで感染させるかまたは他の端末から攻撃コードが送り込まれて感染させられるフェーズである。感染・浸潤フェーズでは、既に感染している端末を介して攻撃コードが標的の端末に送り込まれ、攻撃コードが送り込まれた端末がマルウェアに感染する。例えば、Windows OSのMS−RPCやファイル共有の脆弱性を利用して拡散活動が行われる。ボット系のマルウェアの場合は、攻撃者(ハーダー)から発行される、C&C(Command and Control)サーバーを経由した指令(フェーズP6)に基づいて感染活動(マルウェアの拡散活動)が実行される。フェーズP3からの移行先は、ワーム等の自律型のマルウェアの場合、フェーズP4またはフェーズP9であり、ボット系のマルウェアの場合、フェーズP4である。感染・浸潤フェーズは、2つの側面を持つ。1つは、感染元端末が感染活動を実行するフェーズである。もう1つは、被害者(感染先)端末として、攻撃コードが送り込まれ感染させられるフェーズである。
【0028】
フェーズP4は、実行ファイルのダウンロードフェーズ、即ち、攻撃コードが送り込まれたのち、マルウェアの配布サイトや既に感染している端末から、マルウェア本体である実行ファイルをダウンロードして活性化、またはアンチウィルス製品によるマルウェアの検出の回避や新しい機能の追加等の目的で、攻撃者からの指令(C&Cサーバー経由)に従って、指定されたサイトから、新しいマルウェアがダウンロードされるフェーズである。マルウェア本体のダウンロードには、主に、HTTP、FTP、TFTPが使用される。また、マルウェア独自のプロトコルを利用する場合もある。フェーズP4からの移行先は、ボット等の遠隔操作タイプのマルウェアの場合、フェーズP5またはP6であり、ワーム等の自律型のマルウェアの場合、通常、フェーズP2またはフェーズP9である。
【0029】
フェーズP5は、C&C検索フェーズ、即ち、攻撃者からの指令を受け取るためのC&Cサーバーを検索するフェーズである。このフェーズに遷移するマルウェアは、主に、ボット等の遠隔操作タイプのマルウェアである。マルウェアには、通常、複数のC&CサーバーのFQDNが組み込まれており、DNSクエリを使用してアドレス解決を行う。P2Pタイプのボットネットの場合は、P2Pプロトコル(汎用または独自プロトコル)を使用してC&Cノードを検索する。IPアドレスがハードコーディングされているタイプのマルウェアは、このフェーズでは活動しない。フェーズP5からの移行先は、フェーズP6である。
【0030】
フェーズP6は、C&C通信(含む、インターネット接続確認)フェーズ、即ち、攻撃者からの指令の受信と指令の実行結果の報告(応答)等を行うために、C&Cサーバーに接続してデータの送受信を行うフェーズである。C&Cサーバーに接続する前に、インターネット接続確認を行うマルウェアが存在する。C&Cサーバーとの接続には、フェーズP5でアドレス解決が成功したIPアドレスの何れか、またはマルウェアにハードコーディングされたIPアドレスの何れかが使用される。マルウェアの活動は、C&Cサーバーから指令を受信すると、攻撃者からの指令に従って、フェーズP6から、フェーズP2、フェーズP4、フェーズP8またはフェーズP9に移行する。実行結果は、C&Cサーバー経由で攻撃者に通知される。一方、マルウェアは、C&Cサーバーへの接続に失敗した場合、別のIPアドレスで接続を再試行し、それでも失敗した場合には、フェーズP5に戻って別のC&Cサーバーを検索するか、活動自体を停止する。なお、接続が成功するまで延々と再接続を繰り返すマルウェアの存在も報告されている。また、C&C通信パスに異常が発生し、リカバリできない場合、マルウェアの活動はフェーズP5に移行する。更に、一定期間でC&Cサーバーを変更する動作を行うマルウェアも存在し、この場合も、マルウェアの活動はフェーズP5に移行する。また、フェーズP6は、攻撃者からの指令を待ち合わせているフェーズを含む。マルウェアは、定期的にC&Cサーバーにアクセスして、通信パスを維持するとともに、攻撃者からの指令を待ち受ける。一定期間でC&Cサーバーを変更する動作を行うマルウェアも存在し、この場合も、マルウェアの活動はフェーズP5に移行する。
【0031】
フェーズP7は、搾取情報のアップロードフェーズ、即ち、マルウェア等が活動することによって得られた情報が、攻撃者側のサーバー等にアップロードされるフェーズである。
【0032】
フェーズP8は、標的サイトへの通信フェーズ、即ち、マルウェアに侵入された端末が、標的のサイトに対して通信を行うフェーズである。例えば、MITB(Man in the Browser)攻撃や、MITM(Man in the Middle)攻撃等の、「端末と標的サイトとの間に立って不正な活動を行うマルウェア」に侵入された端末が、標的サイトとの通信を行うフェーズが、フェーズP8に相当する。このような攻撃では、端末と標的サイトとの間の通信は攻撃者による乗っ取りの対象となり、活動フェーズはフェーズP8からフェーズP6へ移行する。
【0033】
フェーズP9は、攻撃活動フェーズ、即ち、攻撃者からの指令(ボット系)やマルウェア自体に組み込まれた攻撃コード(ワーム系)に従って、各種攻撃活動を行うフェーズである。攻撃標的を見つけるために、フェーズP1相当の活動が行われることもある。攻撃活動には、DoS攻撃、スパムメール攻撃、Web攻撃(Web改ざん)、踏み台等が含まれる。
【0034】
マルウェア振る舞い検知エンジン25は、比較部251、評価値取得部252、補正部253、決定部254、保持部255、合計部256、判定部257、相関分析部258および分類部259を有することで(図3を参照)、上記のように定義されたマルウェアの活動フェーズの遷移状況を監視し、ノード90におけるマルウェア感染を検知する。以下、マルウェア振る舞い検知エンジン25が有する各機能部について説明する。
【0035】
比較部251は、通信取得部21によって新たに取得された通信(本実施形態では、新たに取得されて処理の対象となったパケット。以下「入力パケット」と称する)と、予め保持された通信パターンと、を比較する。通信パターンには、マルウェアの様々な活動の結果として現れる特異な通信パターンが、予め定義されている。本実施形態において、通信パターンは、マルウェアの活動遷移モデルのフェーズ毎に予め複数定義され、ネットワーク監視装置20または管理サーバーによって保持されており、フェーズPn(ここで、nは1から9までの整数)の通信パターンは、「Pn−m」(ここで、mは1以上の数値)のように表される。但し、何れのフェーズにも依存しない(換言すれば、複数の異なるフェーズにおいて出現し得る)通信パターンも存在する。本実施形態において、フェーズP1からフェーズP9の何れにも依存しない通信パターンは、「P0−m」で表される。
【0036】
評価値取得部252は、比較部251による比較の結果、入力パケットと一致または近似した(以下、単に「対応する」と称する)通信パターンについて予め設定されているグレード(評価値)を、入力パケットのグレードとして取得する。グレード(Gr)は、個々の通信パターンに割り当てられる「端末が不正な活動(マルウェアの活動)をしていると推測される程度」を示す値である。本実施形態において、グレード(Gr)は、0 ≦
Gr < 1.0の範囲の値(小数点以下1桁)が設定されている。グレード(Gr)=0は、マルウェアの活動の結果発生した通信パターンである可能性が極めて低いことを示し、1に近いグレードほどマルウェアの活動の結果発生した通信パターンである可能性が高いことを示す。グレード(Gr)は、正当なアプリケーションの通信パターンとして出現する頻度に基づいて、通信パターン毎に予め決定されている。即ち、正当なアプリケーションによる通信として現れる可能性が低い通信にはより高い値のグレードが割り当てられ、正当なアプリケーションによる通信として現れる可能性が高い通信にはより低いグレードが割り当てられる。本実施形態では、通信パターンPn−mに予め設定されたグレードが「Gr(Pn−m)」、通信パターンPn−mに該当する通信を行った端末(h)
に割り当てられたグレードが「Gr(h, Pn−m)」で表される。
【0037】
なお、同一の通信パターンであっても、条件に基づいて、異なるグレード(Gr)が割り当てられ得る。例えば、通信パターンに付随して2つの条件「A:宛先がC&Cサーバーに一致しない」、「B:宛先がC&Cサーバーの1つに一致」が設定されている場合、以下のように条件判定され、宛先が登録済みのC&Cサーバーに一致するか否かによって、異なるグレードが割り当てられる。
IF (Pn−m = TRUE) AND (A) THEN Gr(Pn−m)=0.1、ACTION= C&Cサーバー候補リストに記録
IF (Pn−m = TRUE) AND (B) THEN Gr(Pn−m)=0.6、ACTION=No
【0038】
更に、本実施形態において、評価値取得部252は、入力パケットと、入力パケットに係る端末によって入力パケットよりも前または後に送信または受信された他のパケット(以下、「先行パケット」「後続パケット」と称する)と、の相関分析の結果に従って、グレードを取得する。より具体的には、本実施形態において、評価値取得部252は、通信取得部21によって取得された通信(入力パケット)に関して取得されたフェーズと、当該通信に係る端末に関して当該通信の前または後に行われた他の通信(先行パケットまたは後続パケット)に関して取得されたフェーズと、の間に連続性があるか否かを判定し、連続性があると判定された場合に、グレードを取得する。
【0039】
補正部253は、入力パケットと先行パケットまたは後続パケットとの相関分析の結果に従って、評価値取得部252によって取得されたグレードを補正する。より具体的には、本実施形態において、補正部253は、通信取得部21によって取得された通信(入力パケット)に関して取得されたフェーズと、当該通信に係る端末に関して当該通信の前または後に行われた他の通信(先行パケットまたは後続パケット)に関して取得されたフェーズと、の間に連続性があるか否かを判定し、連続性があると判定された場合に、評価値取得部252によって取得されたグレードを、連続性があると判定されなかった場合に比べてより大きく補正する。
【0040】
換言すれば、本実施形態では、新たに取得された通信(入力パケット)と、当該通信に係る端末による過去または未来の通信(先行パケットまたは後続パケット)との相関分析が行われ、入力パケットと先行パケットまたは後続パケットとの間に、「マルウェア活動として推定される度合いをより高めるような連続性」が認められた場合に、過去または未来の通信(先行パケットまたは後続パケット)に対するグレードの取得や、新たに取得された通信(入力パケット)に対するグレードの補正が行われる。
【0041】
決定部254は、入力パケットについて、当該端末に係るフェーズおよびグレードを決定する。決定部254は、比較部251による比較の結果、入力パケットに対応する通信パターンPn−mについて予め設定されているフェーズPnを、当該端末に係るフェーズとして決定する。また、決定部254は、評価値取得部252によって取得されたグレードGr(Pn−m)をそのまま入力パケットのグレードとして決定することもあるが、補正部253によってグレードが補正された場合には、補正された値が、入力パケットのグレードとして決定される。
【0042】
保持部255は、端末毎に、決定されたグレードのフェーズ毎の最大値を保持する。本実施形態では、保持部255は、マルウェア活動遷移モデルのフェーズPn毎に、当該フェーズPnについて検出された通信パターンPn−mのグレードGr(Pn−m)の最大値をフェーズPnのグレードとして保持し、「PGr(Pn)」で表す。端末(h)のフェーズPnのグレードは「PGr(h, Pn)」で表され、以下の式を用いて取得され
る。
PGr(h, Pn) = max {Gr(Pn−m) | Pn−m∈h}
【0043】
本実施形態において、保持部255は、端末毎にフェーズ毎のグレード最大値を保持するグレード管理テーブルを用いて、端末毎、フェーズ毎のグレードを管理する(図示は省略する)。グレード管理テーブルには、ネットワーク監視装置20が把握している端末(h)毎に、各フェーズPnのグレードPGr(h, Pn)が保持される。各フェーズPnのグレードPGr(h, Pn)は、先述の通り、当該フェーズPnについて検出された通信パターンPn−mのグレードGr(Pn−m)の最大値である。このため、何れかのフェーズについて新たにグレードが決定されると、新たに決定されたグレードとグレード管理テーブルに保持されているグレードPGr(h, Pn)とが比較され、最大値に更新される。なお、通信パターンPn−m毎のグレードGr(Pn−m)の最大値Gr(h, Pn−m)についても、記憶装置14aに保持される。
【0044】
合計部256は、端末毎に、フェーズP1からフェーズP9までの夫々のフェーズのグレードの最大値PGr(h, Pn)を取得し、これらを合計する。
【0045】
判定部257は、処理対象となっている端末(h)の、フェーズ毎のグレードの最大値PGr(h, Pn)に基づいて、端末が不正な活動を行っているか否かを判定する。本実施形態では、判定部257は、合計部256によって得られた合計値に基づいて、端末が不正な活動を行っているか否かを判定する。より具体的には、判定部257は、合計値に所定の重み付けを行うことで、「マルウェアが活動している可能性の高さを示す値」(以下、「マルウェア活動可能性」と称する)を算出し、この値が所定の閾値を超えた場合に、当該端末が不正な活動を行っていると判定する。端末(h)のマルウェア活動可能性は、端末(h)がマルウェアに感染している可能性の度合いを示し、「IR(h)」で表される。端末(h)のマルウェア活動可能性は、0(感染なし)〜100(感染の可能性大)の値を取る。即ち、本実施形態において、端末(h)のマルウェア活動可能性は、以下のように定義される。ここで、ψはマルウェア活動係数を示す。
【0046】
【数1】
【0047】
一般に、活動遷移モデルの多くの(連続した)フェーズ上で通信パターンが検出された端末は、より少ないフェーズ上で通信パターンが検出された端末よりも、マルウェアに感染している可能性が高いと判断できるため、マルウェア活動係数ψ(本実施形態では、具体的な値として0.5が設定される)を導入する。上記のマルウェア活動可能性IR(h)は、端末(h)に関連する通信パターンに対応する通信パターンが検出される都度、計算および更新される。
【0048】
本実施形態では、マルウェア活動可能性が、0〜49の端末を「クリーン端末」、50〜89の端末を「グレー端末」、90〜100の端末を「ブラック端末」と定義する。管理者端末の管理画面(デバイス一覧画面)には、リアルタイムレポート情報として、端末ごとに、マルウェア活動可能性と「クリーン」、「グレー」、「ブラック」が表示される。また、詳細情報として、端末ごとに、検出された「通信パターン」の概要と検知回数のリストが表示される。なお、「クリーン」、「グレー」、「ブラック」のマルウェア活動可能性の閾値は、管理者によって設定可能であってもよい。
【0049】
相関分析部258は、入力パケットと、入力パケットに係る端末によって入力パケット
よりも前または後に送信または受信された他のパケット(先行パケットまたは後続パケット)と、の相関分析を行う。即ち、本実施形態において実施される相関分析は、2つ以上の通信間または2つ以上のフェーズ間に連続性や共通性等の相関性の有無または程度を分析するものであり、相関分析の結果は、評価値取得部252、補正部253、判定部257および分類部259等によって用いられる。
【0050】
より具体的には、本実施形態において、相関分析部258は、当該端末の第一の通信に基づいて決定された第一のフェーズと、当該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、当該第一の通信及び当該第二の通信に係る当該端末の振る舞いの種類を決定する。相関分析部258は、第一のフェーズと第二のフェーズとが、予め設定された相関条件を満たす場合に、当該相関条件に対応する振る舞いの種類を、当該端末による振る舞いの種類として決定する。例えば、相関分析部258は、決定部254によって、侵入フェーズP1であると決定された第一の通信と、実行ファイルのダウンロードフェーズであると決定された第二の通信との相関分析を行うことで、第一の通信によるコンテンツのダウンロードと、第二の通信による実行ファイルのダウンロードとの間の相関性の有無または程度を判定する。
【0051】
分類部259は、判定部257によって端末が不正な活動を行っていると判定された場合に、端末毎に決定された1または複数の振る舞いの種類に基づいて、当該端末による不正な活動を分類する。より具体的には、分類部259は、不正な活動の分類と、当該不正な活動に関連する1または複数の振る舞いの種類と、の対応関係を示す情報(例えば、マップ)を参照することで、当該端末の不正な活動を分類する。
【0052】
ここで、分類部259によって決定される分類は、不正な活動の危険度を示す分類であってもよいし、不正な活動に係るマルウェア種別を示す分類であってもよい。決定される分類が不正な活動の危険度である場合、分類部259は、端末について決定された1または複数の振る舞いの種類に基づいて、当該端末の不正な活動の危険度を決定する。一方、決定される分類が不正な活動に係るマルウェア種別である場合、分類部259は、端末について決定された1または複数の振る舞いの種類に基づいて、当該端末の不正な活動に係るマルウェア種別を決定する。なお、危険度を分類する場合、分類部259は、高い危険度に係る振る舞いから順に検討していき、最初に一致した危険度を設定することが好ましい。
【0053】
なお、分類部259は、合計部256によって算出されたマルウェア活動可能性が所定値(例えば、80)未満の場合には、分類を行わないこととしてもよい。この場合、分類を示す値が設定されるフィールドには、「未分類(Unclassified)」を示す値が設定される。
【0054】
<処理の流れ>
次に、本実施形態に係るシステム1によって実行される処理の流れを、フローチャートを用いて説明する。なお、以下に説明するフローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
【0055】
ネットワーク監視装置20は、新たなネットワークに接続されると、後述するパケット毎の検知処理を開始する前に、準備処理として、ネットワーク構成の解析/学習処理を実行する。具体的には、ネットワーク監視装置20は、新たなネットワークに接続されると、所定時間パケットを取得して、取得されたパケットを解析することで、監視対象となるネットワークの構成を解析し、マルウェア検知に必要な情報(デバイス一覧(デバイスタイプ、OS種別、MAC/IPアドレス等)、監視対象ネットワークのアドレス体系、D
NSサーバー情報、メールサーバー情報、プロキシ(HTTP/SOCKS)情報、Active Directory情報等)を学習し、記憶装置14a等に保存する。
【0056】
なお、ネットワーク構成の解析/学習処理は、後述する検知処理が開始された後も、ネットワーク監視装置20によって継続的に実行される。即ち、ネットワーク監視装置20は、取得されたパケットを解析して得られた情報と、以前の解析/学習処理によって学習され、ネットワーク監視装置20の記憶装置14aに保持されている情報とを照合し、照合の結果、新たに得られた情報が保持されている情報と異なる場合、ネットワーク監視装置20は、ネットワークセグメント2における構成が変更されたと判断し、新たに得られた情報を用いて、ネットワーク監視装置20の記憶装置14aに保持されている情報を更新する。
【0057】
図5は、本実施形態に係る、パケット毎の検知処理の流れの概要を示すフローチャートである。本実施形態に係る検知処理は、ネットワーク監視装置20によって、ネットワーク上を流れるパケット(または、複数パケットからなるデータ)が取得される度に実行される。
【0058】
ステップS001では、パケット解析の前処理が実行される。ネットワーク監視装置20は、通信取得部21によって新たに通信(入力パケット)が取得されると、入力パケットの整形、分類、および有効な既存フローへの関連付けを行う。また、ネットワーク監視装置20は、入力パケットを端末単位(送信元/宛先IPアドレス(MACアドレス)単位)、プロトコル(TCP/UDP、ICMP、DNS、HTTP、HTTPS、IRC、FTP、TFTP、SOCKS、NetBIOS等)単位に分類、および既存フローとの関連付けを行う。その後、処理はステップS002へ進む。
【0059】
ステップS002からステップS005では、アプリケーション検知エンジン23およびプロトコルアノマリ検知エンジン24による処理が行われる。本実施形態に係るネットワーク監視装置20は、上述した3種類の検知エンジン(検知プログラム)を用いて、ネットワークに接続された端末による不正な通信を検知するが、本実施形態において、ネットワーク監視装置20は、パケットを取得すると、アプリケーション検知エンジン23およびプロトコルアノマリ検知エンジン24による検知を行った後で、マルウェア振る舞い検知エンジン25による検知を行う。即ち、本実施形態において、マルウェア振る舞い検知エンジン25は、他の検知手段(アプリケーション検知エンジン23およびプロトコルアノマリ検知エンジン24)によって不正な通信として検知されなかった通信に基づいて、ノード90が不正な活動を行っているか否かを判定する。このようにすることで、本実施形態によれば、マルウェア振る舞い検知エンジン25によって処理されるパケットの数を減らし、振る舞い検知エンジンの動作によって生じる負荷を減らすことが出来る。但し、マルウェア振る舞い検知エンジン25は、単体で動作してもよいし、その他の検知エンジンと組み合わせて動作されてもよい。また、パケットが取得された際の検知エンジンの処理順序は、本実施形態に示した例に限定されない。
【0060】
アプリケーション検知エンジン23によって不要なアプリケーションが検知された場合や、プロトコルアノマリ検知エンジン24によってプロトコルアノマリが検知された場合、処理はステップS012へ進み、遮断またはアラート発行が行われる。一方、不要なアプリケーションやプロトコルアノマリが検知されなかった場合、処理はステップS006へ進む。なお、本フローチャートにおいて、ステップS006からステップS011までの処理は、マルウェア振る舞い検知エンジン25による処理に相当する。
【0061】
ステップS006では、通信パターンの判定処理が行われる。比較部251は、入力パケットと予め定義された通信パターン(Pn−m)とを比較することで、入力パケットと
予め定義された通信パターン(Pn−m)との共通性を判定する。ここで、通信パターン(Pn−m)と共通性があると判定された場合、入力パケットに係る端末(h)の活動遷移モデル上のフェーズはフェーズPn(h)に決定される。また、評価値取得部252は、判定の結果、一致または近似する(対応する)と判定された通信パターンのグレードGr(Pn−m)を、端末(h)に関連づけて、入力パケットのグレードGr(h, Pn−m)として取得する。更に、ネットワーク監視装置20は、検出した通信パターンに基づいて、対象通信の送信元端末または宛先端末を「マルウェア配布サーバー候補リスト」、または「C&Cサーバー候補リスト」に登録する。ここでは、パケットロストを考慮して、すべてのフェーズの通信パターンを対象に判定および評価が行われる。なお、既知の判定済みフローと関連付いているために、追加の判定処理が不要な入力パケットについては、判定は行われず、統計情報の更新のみが行われる。その後、処理はステップS007へ進む。
【0062】
ステップS007では、第一の相関分析が行われる。通信パターンの判定処理(ステップS006)は、予め定義された「通信パターン」に基づいている。従って、この処理のみでは、通信パターンに一致しない通信を行うマルウェアを検知できない。このため、本実施形態では、第一の相関分析を行うこととしている。評価値取得部252は、ステップS006で検出できなかったC&C通信をピックアップする。評価値取得部252は、探索フェーズP2、感染・浸潤フェーズP3、実行ファイルのダウンロードフェーズP4、攻撃活動フェーズP9に遷移する際に、そのトリガーとなった通信をピックアップし、ネットワーク監視装置20は、対象通信の送信元端末または宛先端末C&Cサーバー候補リストに登録する。なお、第一の相関分析の処理内容については、図6から図8を参照して後述する。その後、処理はステップS008へ進む。
【0063】
ステップS008では、第二の相関分析が行われる。マルウェアは、マルウェア活動遷移モデルのフェーズを遷移しながら活動を深化させていく。従って、遷移した直後のフェーズでの活動(通信)が、一つ前のフェーズでの活動(通信)をトリガーにして発生した可能性が高い場合(換言すれば、前後のフェーズに相関性がある場合)、当該端末はマルウェアに感染している確率が高いと判断できる。このトリガーを通信パターンに含まれるデータ内容(例えば、C&Cサーバーからの指令内容)から判断する方法も考えられるが、データ部を暗号化や難読化しているマルウェアも多く、リアルタイムに解析・判定することは困難である。このため、本実施形態では、フェーズの遷移に要した時間(通信パターンPr−sを検出してから通信パターンPm−nを検出するまでの時間)、通信先(コールバック通信)の端末(h)、マルウェア感染の可能性が高い複数端末の挙動の相関性および一致性、扱ったファイルの種類等の情報に基づいて第二の相関分析(ステップS008を参照)を行う。分析の結果、マルウェアの挙動の疑いが高い通信であると判定できた場合は、その通信に対応する通信パターンPm−nのグレードGr(Pm−n)を補正(マルウェアの挙動類似係数θ倍)し、より高いグレードを付与する。
【0064】
補正部253は、ステップS006で判定された端末(h)の活動フェーズPn(h)について、その直前に活動していたフェーズとの連続性や他の(感染)端末の挙動との相関性を分析する。分析の結果、マルウェアの挙動である疑いの高い通信パターンが発見された場合、補正部253は、ステップS006で判定した端末(h)の通信パターン(Pn−m)のグレードGr(h, Pn−m)を、以下の式を用いて補正し、より高いグレードを割り当てる。
Gr(h, Pn−m) = θ・Gr(h, Pn−m)
但し、マルウェア挙動類似係数θの範囲は1.0から2.0。ここで1.0は「類似性なし」を意味する。なお、第二の相関分析の処理内容、およびマルウェア挙動類似係数θについては、図6から図8を参照して後述する。その後、処理はステップS009へ進む。
【0065】
なお、相関分析は、端末による複数の通信が、マルウェアの活動に伴うフェーズの遷移の観点から相関性を有しているか否かを分析するものであればよく、本実施形態に示された例に限定されない。
【0066】
ステップS009では、活動フェーズのグレード(PGr)が決定される。決定部254は、ステップS006からステップS008の処理結果に基づいて、対応する端末hの通信パターンのグレードGr(h, Pn−m)から、フェーズPnのグレードPGr(h, Pn)iを決定する。なお、ここで、PGr(h, Pn)i−1は、前回までのフェーズPnのグレードを示す。
PGr(h, Pn)i = max {PGr(h, Pn)i−1 , Gr(h,
Pn−m)}
その後、処理はステップS010へ進む。
【0067】
ステップS010では、マルウェア活動可能性(IR(h))が算出される。合計部256および判定部257は、端末hのマルウェア活動可能性IR(h)を算出する。具体的な算出方法については、合計部256および判定部257の説明において上述した通りである。その後、処理はステップS011へ進む。
【0068】
ステップS011およびステップS012では、マルウェア活動可能性IR(h)が所定の閾値以上である場合に、該当端末の遮断や管理者アラート発行等の対処が行われる。判定部257は、ステップS010で算出された端末のマルウェア活動可能性が「ブラック」を示す所定の閾値以上であるか否かを判定する(ステップS011)。そして、マルウェア活動可能性が「ブラック」の場合、通信遮断部22は、該当端末による通信を遮断する、または管理者にアラートを発行する等の対処を行う(ステップS012)。また、マルウェア活動可能性が「グレー」の場合にも、ネットワーク監視装置20は、管理者にアラートを発行してよい。マルウェア活動可能性が「クリーン」の場合は、遮断やアラートの発行等の対処は行われない。その後、本フローチャートに示された処理は終了する。
【0069】
図6から図8は、本実施形態に係る、マルウェア振る舞い検知エンジン25による検知処理の流れを示すフローチャートである。本フローチャートは、図5を用いて説明した検知処理のステップS006からステップS012の処理をより詳細に説明するものである。より具体的には、ステップS101からステップS103は、図5のステップS006で説明した通信パターン判定処理をより詳細に説明するものであり、ステップS104からステップS110は、ステップS007で説明した第一の相関分析処理をより詳細に説明するものであり、ステップS111からステップS116は、ステップS008で説明した第二の相関分析処理をより詳細に説明するものであり、ステップS117からステップS120は、ステップS009で説明した活動フェーズのグレード決定処理をより詳細に説明するものである。また、ステップS121は、図5のステップS010に相当し、ステップS122およびステップS123は、ステップS011およびステップS012に相当する。
【0070】
ステップS101およびステップS102では、取得されたパケット(入力パケット)が、予め定義された通信パターンの何れに該当するかが判定される。比較部251は、入力パケットと予め保持された通信パターンとを比較することで、入力パケットと予め定義された通信パターン(Pn−m)との共通性を判定する。判定の結果、何れの通信パターンにも該当しないと判定された場合、当該パケットに係る処理は終了し、本フローチャートに示された処理は終了する。一方、何れかの通信パターンに該当すると判定された場合、処理はステップS103へ進む。
【0071】
ステップS103では、入力パケットに係る端末に関して、該当すると判定された通信
パターン(Pn−m)が検出されたことが記録される。また、評価値取得部252は、入力パケットに対応する通信パターン(Pn−m)が属するフェーズPnおよび通信パターン(Pn−m)に予め設定されているグレードGr(Pn−m)を、入力パケットに係る端末(h)のフェーズPn(h)、および当該フェーズのグレードGr(h, Pn−m)として取得する。その後、処理はステップS104へ進む。
【0072】
ステップS104およびステップS105では、入力パケットに対応する通信パターンに必須条件が設定されている場合に、必須条件に対応する通信が過去に取得されているか否かが判定される。必須条件が設定されていない場合、処理はステップS107へ進む。ここで、必須条件とは、ステップS101において入力パケットに対応すると判定された通信パターン(Pn−m)に予め設定されているグレードGr(Pn−m)を、当該入力パケットに係る端末(h)のフェーズPn(h)のグレードGr(h, Pn−m)として決定してよいか否かを判定するための条件である。例えば、「P6−4: HTTP標準ポート(80)を宛先ポートとしたHTTP通信(プロキシ/非プロキシ)」の通信パターンはHTTPの一般的な通信であるが、この通信パターンは、「P0−1〜P0−15」に定義されている「HTTP悪性通信パターン」の何れかが検知されていることが必須条件である。このため、これらの必須条件が満たされた場合に、当該入力パケットについて通信パターンP6−4のグレードGr(h, P6−4)が決定され、必須条件が満たされない場合は、当該入力パケットについて通信パターンP6−4のグレードGr(h, P6−4)は決定されない。
【0073】
即ち、評価値取得部252は、入力パケットに関して取得されたフェーズと、当該通信に係る端末に関して当該通信の前に行われた他の通信(先行パケット)に関して取得されたフェーズと、の間に連続性があるか否かを、過去に取得された通信が必須条件を満たしているか否かを判定することで判定する。必須条件が満たされないと判定された場合、処理はステップS106へ進み、当該入力パケットのグレードは0(ゼロ)に設定される。一方、必須条件が満たされると判定された場合、処理はステップS107へ進む。
【0074】
ステップS107では、入力パケットに係る端末のフェーズにグレードが割り当てられる。評価値取得部252は、入力パケットについて、該当すると判定された通信パターンPn−mに予め定義されたグレードGr(Pn−m)を取得し、端末(h)のフェーズPn(h)のグレードGr(h, Pn−m)とする。その後、処理はステップS108へ進む。
【0075】
ステップS108では、入力パケットが、過去に検知された通信パターンの必須条件に該当するか否かが判定される。換言すれば、ステップS108では、過去に取得された通信(先行パケット)から見て未来にあたる現時点において、必須条件に該当する通信(入力パケット)が検知されたか否かが判定される。評価値取得部252は、入力パケットの通信パターンが必須条件に設定されている通信パターンが、過去に検出されているか否かを判定する。判定の結果、入力パケットに係る通信パターンを必須条件とする通信パターンが過去に検出されていないと判定された場合、処理はステップS111へ進む。一方、判定の結果、入力パケットに係る通信パターンを必須条件とする通信パターンが過去に検出されていると判定された場合、処理はステップS110へ進む。
【0076】
ステップS110では、過去に取得された通信(先行パケット)のフェーズにグレードが割り当てられる。評価値取得部252は、過去に検出された通信に、当該通信パターン(Pn−m)に予め定義されたグレードGr(Pn−m)を取得し、割り当てる。その後、処理はステップS111へ進む。
【0077】
ステップS111およびステップS112では、入力パケットに対応する通信パターン
にグレード補正条件が設定されている場合に、グレード補正条件に該当する通信が過去に取得されているか否かが判定される。グレード補正条件が設定されていない場合、処理はステップS114へ進む。ここで、グレード補正条件とは、ステップS101において入力パケットに対応すると判定された通信パターン(Pn−m)に予め設定されているグレードGr(Pn−m)をより大きな値に補正すべきか否かを判定するための条件である。補正部253は、グレード補正条件に該当する通信が、入力パケットに係る端末について過去に検知されているか否かを判定する。グレード補正条件が満たされないと判定された場合、グレードの補正は行われず、処理はステップS114へ進む。一方、必須条件が満たされると判定された場合、処理はステップS113へ進む。
【0078】
ステップS113では、グレードの補正が行われる。補正部253は、ステップS112で満たされたと判定されたグレード補正条件について予め設定された補正値に従って、ステップS107で割り当てられたグレードGr(h, Pn−m)を補正する。例えば、補正値が1.5である場合、グレードGr(h, Pn−m)の値が1.5倍される。その後、処理はステップS114へ進む。
【0079】
ステップS114では、入力パケットが、過去に検知された通信パターンのグレード補正条件に該当するか否かが判定される。換言すれば、ステップS114では、過去に取得された通信(先行パケット)から見て未来にあたる現時点において、グレード補正条件に該当する通信(入力パケット)が検知されたか否かが判定される。補正部253は、入力パケットの通信パターンがグレード補正条件に設定されている通信パターンが、過去に検出されているか否かを判定する。判定の結果、入力パケットに係る通信パターンをグレード補正条件とする通信パターンが過去に検出されていないと判定された場合、処理はステップS117へ進む。一方、判定の結果、入力パケットに係る通信パターンをグレード補正条件とする通信パターンが過去に検出されていると判定された場合、処理はステップS116へ進む。
【0080】
ステップS116では、過去の通信(先行パケット)に係るグレードの補正が行われる。補正部253は、過去に検出された通信パターンに係る端末に割り当てられていたグレードを、当該グレード補正条件について予め定義された補正値で補正する。例えば、補正値が1.5である場合、グレードが1.5倍される。その後、処理はステップS117へ進む。
【0081】
ステップS117からステップS120では、フェーズ毎の最大グレードの更新処理が行われる。まず、ネットワーク監視装置20は、入力パケットに係る端末について、検知フェーズ(P1からP9)毎に保持されている最大グレード(補正されているグレードについては、補正後の値)を、グレード管理テーブルから取得し(ステップS117)、ステップS101からステップS116までの処理の結果決定部254によって決定されたグレードと比較することで、各フェーズにおいて、最大グレードが更新されたか否かを判定する(ステップS118)。ここで、最大グレードが更新されていないと判定された場合、処理はステップS121へ進む。一方、最大グレードが更新されたと判定された場合、保持部255は、新たに割り当てられたグレードをもって、グレード管理テーブルに記録された最大グレードを更新し、これを保持する(ステップS120)。なお、この過程で、証跡ログが採取される(ステップS119)。その後、処理はステップS121へ進む。
【0082】
ステップS121では、端末におけるマルウェア活動可能性が算出される。合計部256は、当該端末hの各フェーズで求められた最大グレードを合算し、判定部257は、マルウェア活動係数を乗算することで、端末hのマルウェア活動可能性IR(h)を算出する。詳細な算出方法は、合計部256および判定部257の説明において上述した通りで
ある。その後、処理はステップS122へ進む。
【0083】
ステップS122およびステップS123では、対象ノード90の、マルウェア感染の有無が判定される。判定部257は、ステップS121で算出されたマルウェア活動可能性IR(h)が所定の閾値を超えているか否かを判定する(ステップS122)。ここで、マルウェア活動可能性IR(h)が閾値を超えていると判定された場合、ネットワーク監視装置20は、マルウェア感染が検知された際の所定の対応を行う。マルウェア感染が検知された際の対応としては、例えば、通信遮断部22による当該ノード90の通信遮断開始や、当該ノード90がマルウェアに感染していることのアラート(警告)の通知等が挙げられる。一方、マルウェア活動可能性IR(h)が閾値を超えていないと判定された場合には、通信遮断や警告等の、マルウェア感染が検知された際の対応は行われない。その後、本フローチャートに示された処理は終了する。
【0084】
なお、ネットワーク監視装置20は、例えば、L2/L3スイッチから取得された通信データを破棄する方法、L2/L3スイッチのポートを遮断する方法、ノード90に対してARP偽装によるパケット送信先の誘導を行う方法、ルータ10に指示してノード90に係る通信を破棄させる方法、またはノード90が属するVLANを変更して隔離する方法、等を用いて、ノード90による通信を遮断することができる。また、ネットワーク監視装置20がルータ10に搭載(内包)されている場合には、ノード90が受信または送信する通信を直接遮断することもできる。また、ネットワーク監視装置20は、管理サーバーやノード90、予め設定された管理者端末等に通知パケットやメール等を送信する方法や、ネットワーク監視装置20自身に設けられた表示装置(ディスプレイやLED等)を介して警告表示する方法等を用いて、アラートを通知することが出来る。
【0085】
<端末による活動の分類>
マルウェアには、高度標的型攻撃に代表される、標的とした組織や企業の機密情報の窃取やシステムの破壊を目的とするもの、オンラインバンキングから金銭の窃取を目的とするもの、パソコン内のファイルの暗号化やパソコンをロックして身代金を要求するもの、利用者が望まない広告を表示して最終的に金銭的な利益を得ようとするもの、単に、嫌がらせの目的で恐怖を煽る画面を表示するものなど、致命的な被害を与えるものから軽微な被害で済むものまで、様々な脅威を有するマルウェアが存在する。
【0086】
しかし、図6から図8を参照して説明した検知処理では、何らかのマルウェアに感染していることは検知できるが、感染したマルウェアの脅威(危険度)やマルウェア種別が判らないため、同時期に複数発生するマルウェア検知事象に対して「対処の優先度付け」ができないという課題や、攻撃手法の把握と適切な対策の決定に時間がかかるという課題があった。
【0087】
このため、本実施形態では、相関分析部258が端末による振る舞いの種類を決定し、分類部259が振る舞いの種類に基づいて端末による不正な活動を分類することで、当該端末がどれだけ危険な状態にあるかを判断するために役立つ情報を得ることとした。
【0088】
図9は、本実施形態に係る危険度分類処理の流れを示す図である。本フローチャートに示された処理は、ネットワーク監視装置20が起動している間、図5から図8を用いて説明した、パケット毎の検知処理と平行して実行される。
【0089】
ステップS801及びステップS802では、端末(h)において、何れかの相関条件に合致する振る舞いが新たに検出された場合に、合致した相関条件CAが、当該端末(h)の振る舞いの種類CAとして蓄積される。相関分析部258は、図5から図8を用いて説明したパケット毎の検知処理において、入力パケットに係る端末(h)について、何ら
かの新たな相関条件に合致したか否かを判定する(ステップS801)。新たな相関条件に合致した場合、相関分析部258は、当該相関条件に対応する振る舞いの種類を、当該端末による振る舞いの種類として決定し、RAM13a上のテーブル等に、端末(h)の識別情報と関連づけて蓄積する(ステップS802)。
【0090】
以下に、相関分析部258が端末による振る舞いの種類を決定するために用いられる、危険度の判定に使用される相関条件と当該相関条件に対応するマルウェアの振る舞いとの関係を例示する。ここで、相関条件CA(m−n−x)は、端末(h)の活動フェーズがフェーズPmからフェーズPnに遷移した際に観測されるトラフィックの振る舞いに関する相関条件を示す。
・CA(1−4−m)(m=1〜11):Exploit KitによるDrive−by Download攻撃
・CA(2−6−m)(m=2,3):ネットワーク環境探索後のC&C通信の検出
・CA(3−3−1):感染拡大
・CA(3−6−m)(m=1〜3):感染拡大後のC&C通信の検出
・CA(4−2−2):マルウェアのアクティベート直後のネットワーク環境の探索
・CA(4−4−3):複数の攻撃用ツールまたは別のマルウェアのダウンロード
・CA(4−4−5):メールに添付されたファイル操作によるダウンロード
・CA(4−6−m)(m=1〜4):マルウェア侵入後のC&C通信の検出
・CA(5−5−1):有効なC&Cサーバーの探索
・CA(5−6−1):有効なC&Cサーバーの探索後のC&C通信の検出
・CA(6−3−m)(m=1〜3):感染拡大
・CA(6−4−m)(m=1〜5):攻撃用ツールまたは別のマルウェアのダウンロード
・CA(6−6−m)(m=1,2):有効なC&Cサーバーの探索
・CA(6−6−m)(m=3〜6):C&Cビーコン
・CA(6−6−8):セキュリティ装置を攪乱する疑わしい挙動の通信の検出
・CA(6−6−10):C&Cビーコン
・CA(6−6−11):セキュリティ装置(プロキシ)がアクセスを禁止した疑わしい通信
・CA(6−6−m)(m=12〜14):攻撃者によるリモートコントロール操作
・CA(6−6−15):C&Cビーコン
・CA(6−7−m)(m=1,2):窃取情報のアップロード
・CA(7−6−1):窃取情報のアップロード
・CA(8−6−m)(m=1,2):MITB(Man in the Browser)、MITM(Man in the Middle)
なお、遷移元のフェーズと遷移先のフェーズが同じであっても(例えば、フェーズP1からフェーズP4へのフェーズ遷移)、フェーズ遷移に伴うその他の付帯的条件に基づいて異なる振る舞いと扱われる場合がある。相関条件CA(m−n−x)の符号xは、それらの付帯的条件に付される符号である。例えば、相関条件CA(1−4−1)は、入力パケットに係る端末(h)がフェーズP1からフェーズP4へ遷移する振る舞い相関条件CA(1−4−x)のうち、「フェーズP1の通信パターンP1−mを検出」、且つ「P1−m検出後、検出したP1−mと同一のTCPコネクション上で、フェーズP4の通信パターンP4−nを検出」という相関条件を満たした振る舞いである。
【0091】
新たな相関条件が検出されていない場合、検出されるまで、ステップS801の処理は繰り返し実行される。一方、新たな相関条件が検出され、端末の振る舞いの種類が決定された場合、処理はステップS803へ進む。
【0092】
ステップS803からステップS810では、端末の危険度が決定される。分類部25
9は、ステップS801からステップS802の処理が繰り返されることで蓄積された、端末(h)について記録されている振る舞いの種類(相関条件)を読み出す(ステップS803)。そして、分類部259は、不正な活動の分類と、当該不正な活動に関連する1または複数の振る舞いの種類(相関条件)と、の対応関係を示す情報を参照することで、当該端末の不正な活動を分類する(ステップS804からステップS810)。
【0093】
以下に、分類部259が端末の危険度を決定するために用いられる、危険度と当該危険度に対応する1または複数の相関条件(振る舞いの種類)との関係を例示する。ここで、危険度RA(m−n)は、危険度の高さm(C:重大、H:高、M:中、L:低)と、同一レベルの危険度における危険の種類nを示す。以下、「相関条件を検出する」との記載は、「端末の挙動が相関条件に合致することで、当該相関条件に対応する振る舞いの種類が検出された」ことを意味する。
RA(C−1):継続的な攻撃に起因した複数の高リスクな活動を検出した。
条件:RL(h)=高の条件RA(H−m)(m=1〜14)のうち、異なる2つ以上のRA(H−m)(m=1〜14)を検出した。
RA(H−1):ドライブバイダウンロード攻撃に起因した侵入活動を検出した。
条件:相関条件CA(1−4−m)(m=1〜11)のいずれかを検出し、
上記の相関条件を検出後、
CA(4−6−n)(n=1〜4)のいずれか、
CA(6−6−n)(n=3〜6)のいずれか、または
CA(6−6−10)またはCA(6−6−11)の何れかを検出し、かつ
IR値がRed(80%)以上である、または、上記の条件を検出後にRed(80%)まで上昇した。
RA(H−2):電子メールに添付された疑わしいファイルやURLリンクの操作に起因した侵入活動を検出した。
条件:相関条件CA(4−4−5)を検出し、
上記の相関条件を検出後、
CA(4−6−n)(n=1〜4)のいずれか、
CA(6−6−n)(n=3〜6)のいずれか、または
CA(6−6−10)またはCA(6−6−11)の何れかを検出し、かつ
IR値がRed(80%)以上である、または、上記の条件を検出後にRed(80%)まで上昇した。
RA(M−3):ドライブバイダウンロード攻撃によってダウンロードされた不審なファイルを検出した。
条件:相関条件CA(1−4−m)(m=1〜11)のいずれかを検出した。
RA(M−4):怪しいファイルを操作することによってダウンロードされた不審なファイルを検出した。
条件:相関条件CA(4−4−5)を検出した。
RA(L−1):
条件:上記のRA(H−m)、RA(M−n)のいずれにも一致しない。
【0094】
分類の際、分類部259は、高い危険度に係る振る舞いから順に検討していき、最初に一致した危険度を設定することで、誤って低い危険度が設定されてしまうことを防ぐ(フローチャートを参照)。危険度の設定が完了すると、処理はステップS801へ戻る。
【0095】
上記説明した危険度分類処理によれば、攻撃者の行動が組織や企業に与える被害の重大度に基づいて、端末による不正な活動の危険度を付与することが出来、対処の優先度付けの指針として重要な情報とすることが出来る。このような指標は、同時期に数十台のデバイスでマルウェア感染が検知されることもある規模の大きなネットワークにおいて効果が大きい。
【0096】
また、感染マルウェアの危険度は、既知のマルウェアであれば、短時間で判明するが、昨今増加している亜種や未知のマルウェアに対しては、マルウェアが有する機能分析を通して明らかになるのが一般的であり、時間がかかる。しかし、本実施形態に係る危険度分類処理によれば、感染直後からの通信の振る舞いから危険度を推測することが可能であり、既知、未知(含む、亜種)マルウェアの機能分析を行うことなく危険度を判定でき、マルウェア感染に対する対処の優先度付けが可能になり、迅速な対応、対策を取ることができる。
【0097】
図10及び図11は、本実施形態に係るマルウェア種別分類処理の流れを示す図である。本フローチャートに示された処理は、ネットワーク監視装置20が起動している間、図5から図8を用いて説明した、パケット毎の検知処理と平行して実行される。
【0098】
ステップS901及びステップS902では、端末(h)のマルウェア活動可能性IR(h)が所定値以上となった場合に、この際新たに検出された振る舞いの種類CAが、当該端末(h)の振る舞いの種類CAとして蓄積される。相関分析部258は、図5から図8を用いて説明したパケット毎の検知処理において算出されたマルウェア活動可能性IR(h)が、所定値(例えば、80)以上となったか否かを判定する(ステップS901)。
【0099】
マルウェア活動可能性IR(h)が所定値未満である場合、正確なマルウェア種別の判定は困難であるため、端末(h)において活動するマルウェア種別を示す値が設定されるフィールドには、「未分類(Unclassified)」を示す値が設定される(図示は省略する)。
【0100】
一方、端末(h)のマルウェア活動可能性IR(h)が所定値以上となった場合、相関分析部258は、この際新たに検出された振る舞いの種類を、当該端末による振る舞いの種類として決定し、RAM13a上のテーブル等に、端末(h)の識別情報と関連づけて蓄積する(ステップS902)。
【0101】
以下に、ネットワーク上の振る舞いから推定できるマルウェアの代表的な機能と、その機能の有無を判定するために使用する相関条件を、昨日のカテゴリ毎に例示する。上記説明した危険度分類処理と同様、相関条件CA(m−n−x)は、端末(h)の活動フェーズがフェーズPmからフェーズPnに遷移した際に観測されるトラフィックの振る舞いに関する相関条件を示す。
[機能カテゴリA:機密情報の窃取とアップロード(Data Exfiltration)]
・CA(6−7−n)n=1,2:窃取情報のアップロード
・CA(7−6−1):窃取情報のアップロード
・CA(8−6−n)n=1,2:MITB、MITM
[機能カテゴリB:疑わしいファイル(バイナリ、構成定義など)のダウンロード(Download of Malicious File)]
・CA(1−4−n)n=1〜11:Exploit KitによるDrive−by Download攻撃
・CA(4−4−5):メールに添付されたファイル操作によるダウンロード
・CA(6−4−n)n=1〜5:攻撃用ツールまたは別のマルウェアのダウンロード
・CA(4−4−4):別サイトからのダウンロード
[機能カテゴリC:ネットワーク環境の調査(Network Environment
Check)]
・CA(4−2−2):マルウェアのアクティベート直後のネットワーク環境の探索
[機能カテゴリD:C&Cサーバーの検索(Network Environment Check)]
・CA(6−6−1):有効なC&Cサーバーの探索
・CA(6−6−2):有効なC&Cサーバーの探索
[機能カテゴリE:C&Cサーバー通信]
・CA(6−6−3〜6):C&Cビーコン
・CA(6−6−10):C&Cビーコン
・CA(6−6−15):C&Cビーコン
[機能カテゴリF:リモートコントロール]
・CA(6−6−12):攻撃者によるリモートコントロール操作
・CA(6−6−13):攻撃者によるリモートコントロール操作
・CA(6−6−14):攻撃者によるリモートコントロール操作
[機能カテゴリG:C&Cサーバーの切り換え]
・CA(6−6−9):C&Cサーバーの切り換え
[機能カテゴリH:感染拡大(Infiltration/Spread of Infection)]
・CA(3−3−1):感染拡大
・CA(6−3−n)n=1,2,3:感染拡大
[機能カテゴリI:マルウェア侵入に起因したC&C通信]
・CA(4−6−n)n=1〜4:マルウェア侵入後のC&C通信の検出
なお、図9の説明でも述べた通り、遷移元のフェーズと遷移先のフェーズが同じであっても、フェーズ遷移に伴うその他の付帯的条件に基づいて異なる振る舞いと扱われる場合があり、相関条件CA(m−n−x)の符号xは、それらの付帯的条件に付される符号である。
【0102】
新たな相関条件が検出されていない場合、検出されるまで、ステップS901の処理は繰り返し実行される。一方、新たな相関条件が検出され、端末の振る舞いの種類が決定された場合、処理はステップS903へ進む。
【0103】
ステップS903からステップS906では、カテゴリA(侵入ステージのマルウェア群)に属するマルウェア種別について、端末(h)において活動しているマルウェアのマルウェア種別が決定される。分類部259は、不正な活動の分類と、当該不正な活動に関連する振る舞いの種類(相関条件)と、の対応関係を示す情報を参照することで、当該端末の不正な活動を分類する。
【0104】
以下に、分類部259がカテゴリA(侵入ステージのマルウェア群)に属するマルウェア種別を決定するために用いられる、マルウェア種別と当該マルウェア種別に対応する相関条件(振る舞いの種類)との関係を例示する。
Downloader(Exploit Kit):
条件:CA(1−4−n)n=1〜11のいずれかを検出している。
Downloader(Macro/Script):
条件:CA(4−4−5)を検出している。
一方、端末(h)において活動しているマルウェアのマルウェア種別が、カテゴリA(侵入ステージのマルウェア群)に属するマルウェア種別でない場合、処理はステップS907へ進む。
【0105】
ステップS907からステップS919では、カテゴリB(攻撃ステージのマルウェア群)に属するマルウェア種別について、端末(h)において活動しているマルウェアのマルウェア種別が決定される。分類部259は、ステップS901からステップS902の処理が繰り返されることで蓄積された、端末(h)について記録されている振る舞いの種
類(相関条件)を読み出す(ステップS908)。そして、分類部259は、不正な活動の分類と、当該不正な活動に関連する1または複数の振る舞いの種類(相関条件)と、の対応関係を示す情報(ここでは、マップ)を参照することで、当該端末の不正な活動を分類する(ステップS909からステップS919)。
【0106】
以下に、分類部259がカテゴリB(攻撃ステージのマルウェア群)に属するマルウェア種別を決定するために用いられる、マルウェア種別と当該マルウェア種別に対応する1または複数の相関条件(振る舞いの種類)との関係を例示する。
Spyware:
条件:CA(6−7−n)n=1,2、CA(7−6−1)、CA(8−6−n)n=1,2のいずれかを検出しており、
CA(6−6−n)n=12,13,14のいずれも検出しておらず、かつ
CA(6−6−15)を検出していない。
Generic Trojan/Worm:
条件:カテゴリBに属するその他のマルウェア種別であると決定するための条件の何れにも該当しない。
【0107】
なお、カテゴリBに属するマルウェア種別には、上記で例示されたSpyware及びGeneric Trojan/Wormの他に、Backdoor/RAT、Bot、Ransomware、Adware/Riskware等が挙げられる。これらのマルウェア種別についても、対応する振る舞い種別(相関条件)が設定されることで、分類を行うことが可能である。マルウェア種別の設定が完了すると、処理はステップS901へ戻る。
【0108】
即ち、本実施形態に係るマルウェア種別分類処理では、「マルウェアが送受信するトラフィックの相関条件」と、「マルウェアが有する機能が動作した際に発生する特徴的なトラフィックの振る舞い」をマッピングすることで、検出された相関条件の組み合わせ条件から、マルウェアの種別を推定することとしている。
【0109】
一般に、感染マルウェアの種別は、感染被害調査を通して、マルウェアが有する機能を調査して推定、決定されるものであるが、亜種や未知のマルウェアの種別の推定は、マルウェアの内部構造解析を必要とし、非常に時間がかかる。本実施形態に係るマルウェア種別分類処理によれば、マルウェアに感染した直後からの通信の振る舞いを追跡することで、亜種、未知マルウェアの内部構造解析を行うことなくマルウェアの種別を推定することが可能であり、マルウェア感染に対する感染マルウェアの種別に応じた、適切な対応、対策を取る上での有効な情報を与えることが可能となる。また、マルウェア種別が判明することで、使われたマルウェア種別から、攻撃手法や被害状況を推定することも可能である。
【0110】
また、図9から図11に示された処理によって端末(h)における不正な活動の分類が決定されると、ネットワーク監視装置20は、決定された分類に対応する、予め設定された対応処理を実行する。例えば、ネットワーク監視装置20は、通信遮断部22による当該ノード90の通信遮断開始や、当該ノード90に感染したマルウェアの分類の通知等を行うことが可能である。
【0111】
<バリエーション>
上記実施形態では、ネットワーク監視装置20が、スイッチまたはルータのモニタリングポート(ミラーポート)に接続されることでノード90によって送受信されるパケットやフレーム等を取得し、取得したパケットを転送しないパッシブモードで動作する例について説明した(図1を参照)。但し、上記実施形態に示したネットワーク構成は、本開示
を実施するための一例であり、実施にあたってはその他のネットワーク構成が採用されてもよい。
【0112】
例えば、ネットワーク監視装置20は、モニタリングポート(ミラーポート)に接続されず、単にネットワークセグメント2に接続されている場合であっても、ネットワークセグメント2を流れるフレームを、自身のMACアドレス宛でないものも含めて全て取得することで、ノード90によって送受信されるパケットやフレーム等を取得することが出来る。この場合も、ネットワーク監視装置20は、パッシブモードで動作する。また、例えば、ネットワーク監視装置20は、ネットワークセグメント2のスイッチまたはルータと、その上位にある他のスイッチまたはルータと、の間に接続されることで、通過するパケットやフレーム等を取得してもよい(図12を参照)。この場合、ネットワーク監視装置20は、取得したパケットのうち、遮断しなくてもよいパケットについては転送するインラインモードで動作する。また、ネットワーク監視装置20は、ルータまたはスイッチに内包されてもよい。
【0113】
なお、本実施形態では、ネットワークを流れるパケットを取得して、上記した各種の検知エンジンによりリアルタイムで検知を行う実施形態について説明したが、本開示の適用範囲は、リアルタイム検知に限定されない。例えば、ネットワークを流れる通信に係るデータを蓄積しておいて、蓄積されたデータに対して上記した各種の検知エンジンによる処理を行うこととしてもよい。
【符号の説明】
【0114】
1 システム
20 ネットワーク監視装置
50 管理サーバー
90 ノード
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.