[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP6252254B2 - 監視プログラム、監視方法および監視装置 - Google Patents

監視プログラム、監視方法および監視装置 Download PDF

Info

Publication number
JP6252254B2
JP6252254B2 JP2014039339A JP2014039339A JP6252254B2 JP 6252254 B2 JP6252254 B2 JP 6252254B2 JP 2014039339 A JP2014039339 A JP 2014039339A JP 2014039339 A JP2014039339 A JP 2014039339A JP 6252254 B2 JP6252254 B2 JP 6252254B2
Authority
JP
Japan
Prior art keywords
communication
packet
feature
unit
propagation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014039339A
Other languages
English (en)
Other versions
JP2015164244A (ja
Inventor
佑介 小▲柳▼
佑介 小▲柳▼
小林 賢司
賢司 小林
松原 正純
正純 松原
喜則 坂本
喜則 坂本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2014039339A priority Critical patent/JP6252254B2/ja
Priority to US14/605,437 priority patent/US9516050B2/en
Publication of JP2015164244A publication Critical patent/JP2015164244A/ja
Application granted granted Critical
Publication of JP6252254B2 publication Critical patent/JP6252254B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、監視プログラム、監視方法および監視装置に関する。
近年、マルウェア(malware)に代表されるサイバー攻撃が増加している。このようなサイバー攻撃は、例えば、ゼロデイ攻撃、標的型攻撃など、巧妙化、多様化しており、未知のパターンが用いられる場合もある。例えば、セキュリティ製品に登録されていない未知のパターンがネットワーク内に侵入した場合、未知のパターンがネットワーク内部の機器を伝播することにより、システム内部に広がってシステムに影響を及ぼす場合がある。
このような未知のパターンを検出する技術がある。かかる技術では、例えば、プロトコルとデータ部分が同一であるパケットの数が閾値を超過した場合に、未知のワームが送信したパケットとみなす。
特開2005−175993号公報 特表2008−518323号公報
しかしながら、上記の技術は、未知のパターンの検出箇所がわかるのみで、未知のパターンの伝播状況を把握できない。
一側面では、未知のパターンの伝播状況を把握できる監視プログラム、監視方法および監視装置を提供することを目的とする。
本発明の一側面によれば、監視プログラムは、コンピュータに、所定の期間ごとに、システム内を伝送されたパケットのうち、所定の送信元と送信先の組み合わせとは異なる送信元と送信先の組み合わせが設定されたパケットを取得する処理を実行させる。監視プログラムは、コンピュータに、所定の期間ごとに、システム内を伝送されたパケットのうち、取得したパケットと関連する関連パケットを抽出する処理を実行させる。監視プログラムは、コンピュータに、抽出した関連パケットに基づいて、伝播度合いを示す情報を生成する処理を実行させる。監視プログラムは、コンピュータに、生成した情報を出力する処理を実行させる。
本発明の一側面によれば、未知のパターンの伝播状況を把握できる。
図1は、監視対象システムの概略構成の一例を示す図である。 図2は、実施例1に係る監視装置の機能的な構成の一例を示す図である。 図3は、既知通信情報のデータ構成の一例を示す図である。 図4は、ノード間特徴情報のデータ構成の一例を示す図である。 図5は、伝播グラフ情報のデータ構成の一例を示す図である。 図6は、パケットの一例を示す図である。 図7は、入力したパケットのパケットサイズのヒストグラムの一例を示す図である。 図8は、送信元と送信先の組み合わせが既知通信情報に記憶されていない場合の処理を模式的に示した図である。 図9は、送信元と送信先の組み合わせが既知通信情報に記憶されている場合の処理を模式的に示した図である。 図10は、伝播を検索する処理を模式的に示した図である。 図11は、伝播の検索の流れの一例をより詳細に示した図である。 図12は、伝播度合いを示す情報を生成する処理を模式的に示した図である。 図13は、伝播度合いを示す情報を生成する処理を模式的に示した図である。 図14は、伝播グラフ情報のデータを削除する処理を模式的に示した図である。 図15は、ノード数をカウントする処理を模式的に示した図である。 図16は、伝播状況を示した画面の一例を示す図である。 図17は、伝播状況を示した画面の一例を示す図である。 図18は、伝播状況を示した画面の一例を示す図である。 図19は、監視処理の手順の一例を示すフローチャートである。 図20は、実施例2に係る監視装置の機能的構成を示すブロック図である。 図21は、伝播グラフ情報のデータ構成の一例を示す図である。 図22は、未知通信情報のデータ構成の一例を示す図である。 図23は、送信元と送信先の組み合わせが既知通信情報に記憶されていない場合の処理を模式的に示した図である。 図24は、時刻が伝播監視時間Kよりも前なった場合の処理を模式的に示した図である。 図25は、監視プログラムを実行するコンピュータを示す図である。
以下に、本発明に係る監視プログラム、監視方法および監視装置の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。そして、各実施例は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。
[監視対象システムの構成]
最初に、実施例1に係る未知のパターンの伝播を監視する監視対象システム10の構成について説明する。図1は、監視対象システムの概略構成の一例を示す図である。図1に示すように、監視対象システム10は、ネットワーク11に各種の通信機器12が通信可能となるように接続されている。この監視対象システム10は、例えば、社内ネットワークなどである。図1の例では、ネットワーク11に、通信機器12として2台のサーバ12Aと、2台のノート型PC(Personal Computer)12Bとが接続されている。なお、通信機器12は、これに限定されるものではなく、例えば、ルータやゲートウェイなどパケットを通信する機器であれば何れであってもよい。また、図1の例では、通信機器12を4台とした場合を例示したが、開示のシステムはこれに限定されず、通信機器12を任意の数とすることができる。各種の通信機器12は、ネットワーク11を介して他の通信機器12とデータを送受信する。
ネットワーク11には、データを中継するスイッチ15が設けられている。なお、図1の例では、スイッチ15を1つ示したが、スイッチ15は、複数設けられている。本実施例では、スイッチ15に中継するデータのパケットをミラーリングして監視装置20へ送信する機能を設けている。スイッチ15は、接続された通信機器12の間で送受信されるデータのパケットをミラーリングして監視装置20へ送信する。例えば、スイッチ15は、通信機器12の間で送受信されるパケットをコピーし、コピーしたパケットのデータをデータ部に格納したパケットを監視装置20へ送信する。これにより、監視装置20には、ネットワーク11を流れるパケットが全て転送される。監視装置20は、ネットワーク11内に設けられていてもよく、ネットワーク11外に設けられていてもよい。図1の例では、監視装置20がネットワーク11内に設けられているものとする。
[監視装置の構成]
次に、実施例1に係る端末について説明する。図2は、実施例1に係る監視装置の機能的な構成の一例を示す図である。図2に示すように、監視装置20は、通信I/F(interface)部30と、表示部31と、入力部32と、記憶部33と、制御部34とを有する。
通信I/F部30は、通信制御を行うインタフェースである。通信I/F部30は、ネットワーク11を介して他の装置と各種情報を送受信する。例えば、通信I/F部30は、ネットワーク11を介して、送信されたパケットのデータをスイッチ15から受信する。通信I/F部30としては、LANカードなどのネットワークインタフェースカードを採用できる。
表示部31は、各種情報を表示する表示デバイスである。表示部31としては、LCD(Liquid Crystal Display)やCRT(Cathode Ray Tube)などの表示デバイスが挙げられる。表示部31は、各種情報を表示する。例えば、表示部31は、未知のパターンの伝播状況を示す情報を画面に表示する。
入力部32は、各種の情報を入力する入力デバイスである。例えば、入力部32としては、マウスやキーボードなどの入力デバイスが挙げられる。入力部32は、管理者などのユーザからの操作入力を受付け、受付けた操作内容を示す操作情報を制御部34に入力する。例えば、入力部32は、未知のパターンの伝播状況の表示指示の操作を受付ける。
記憶部33は、フラッシュメモリなどの半導体メモリ素子、ハードディスク、光ディスクなどの記憶装置である。なお、記憶部33は、RAM(Random Access Memory)、フラッシュメモリなどのデータを書き換え可能な半導体メモリであってもよい。
記憶部33は、制御部34で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部33は、制御部34で実行されるプログラムで用いられる各種データを記憶する。例えば、記憶部33は、既知通信情報40と、ノード間特徴情報41と、伝播グラフ情報42とを記憶する。
既知通信情報40は、監視対象システム10において、通信が行われる通信機器12に関する情報を記憶したデータである。例えば、既知通信情報40には、監視対象システム10において、通常、通信が行われる送信元と送信先に関する情報が記憶されている。
図3は、既知通信情報のデータ構成の一例を示す図である。既知通信情報40は、送信元IP、送信先IPなどの項目が対応付けられたテーブルを採用できる。送信元IPの項目は、送信元のIP(Internet Protocol)アドレスを記憶する領域である。送信先IPの項目は、パケットの送信先のIPアドレスを記憶する領域である。
ここで、システムでは、通常的に、通信が行われる通信機器12が定まっている。例えば、サーバとクライアントが処理を分散するシステムでは、システムが動作するサーバとクライアントの間で通信が発生する。既知通信情報40には、このように通常的に、通信が行われる送信元と送信先の通信機器12のIPアドレスが登録されている。
図3の例では、通信が行われる送信元と送信先の組み合わせとして、送信元IP「172.16.0.11」と送信先IP「172.16.0.15」、および、送信元IP「172.16.0.22」と送信先IP「172.16.0.11」が記憶されている。
本実施例では、管理者等によって、通信が行われる送信元と送信先の組み合わせが既知通信情報40に登録される。
図2に戻り、ノード間特徴情報41は、通信が行われる通信機器12間の通信の特徴に関する情報を記憶したデータである。例えば、ノード間特徴情報41には、通信が行われる通信機器12間ごとに、通信の特徴を示す情報が記憶されている。
図4は、ノード間特徴情報のデータ構成の一例を示す図である。ノード間特徴情報41は、送信元IP、送信先IP、通信特徴系列などの項目が対応付けられたテーブルを採用できる。送信元IPの項目は、データの送信元となる通信機器12のIPアドレスを記憶する領域である。送信先IPの項目は、データの送信先となる通信機器12のIPアドレスを記憶する領域である。通信特徴系列の項目は、送信元IPの通信機器12から送信先IPの通信機器12への通信の特徴を時系列に沿って記憶する領域である。ノード間特徴情報41のデータ例については、後述する。
図2に戻り、伝播グラフ情報42は、未知のパターンが伝播した伝播経路に関する情報を記憶したデータである。例えば、伝播グラフ情報42には、未知のパターンごとに、伝播した通信機器12を示す情報が記憶されている。
図5は、伝播グラフ情報のデータ構成の一例を示す図である。伝播グラフ情報42は、グラフID、未知通信特徴、伝播グラフ、最終更新時間などの項目が対応付けられたテーブルを採用できる。グラフIDの項目は、未知のパターンの伝播を識別する識別情報を記憶する領域である。本実施例では、未知のパターンについて通信の特徴ごとに、識別情報としてID(identification)番号が順に付与される。グラフIDの項目には、付与されたID番号が格納される。未知通信特徴の項目は、未知のパターンの通信の特徴を記憶する領域である。伝播グラフの項目は、未知のパターンが伝播した伝播経路を示す情報を記憶する領域である。本実施例では、未知のパターンが伝播した通信機器12をノードとしたグラフ構造で伝播経路を記憶する。最終更新時間の項目は、未知のパターンの伝播が最後に検出された時間に示す情報を記憶する領域である。伝播グラフ情報42のデータ例についても、後述する。
図2に戻り、制御部34は、監視装置20を制御するデバイスである。制御部34としては、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路を採用できる。制御部34は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。制御部34は、各種のプログラムが動作しており、各種の処理部として機能する。例えば、制御部34は、特定部50と、取得部51と、抽出部52と、生成部53と、出力部54とを有する。
特定部50は、各種の特定を行う処理部である。特定部50には、スイッチ15から送信されたパケットのデータ部分のデータが入力される。このデータ部分のデータは、スイッチ15においてミラーリングした通信機器12の間で送受信されるパケットのデータである。すなわち、データ部分のデータは、監視対象システム10内を伝送されたパケットのデータである。特定部50は、入力されるパケットのデータから、送信元と送信先が同一のパケットごとに通信の特徴を所定の期間ごとに特定する。例えば、特定部50は、通信の特徴として、頻度の特徴、組み合わせの特徴、系列の特徴の何れか1または複数を特定する。この所定の期間は、ワームなどのマルウェアが他の通信機器12への感染を試みるために通信を行う期間に対応して定める。例えば、マルウェアが他の通信機器12への感染を試みるために通信を3分間で行う場合、所定の期間は、3分とする。このように所定の期間を、感染を試みるため期間に対応させることにより、感染を試みる際の通信の特徴を特定できる。また、特定部50は、所定の期間を重複させつつ、所定の期間ごとに通信の特徴を特定する。例えば、特定部50は、所定の期間よりも短い周期で、所定の期間ごとに通信の特徴の特定を開始させる。一例として、特定部50は、1分の周期で3分間の通信の特徴の特定を開始する。このように、所定の期間を重複させることにより、何れかの期間でマルウェアからの通信の特徴を多く捉えることができる。なお、特定部50は、所定の期間と、所定の期間の開始の周期が一致していてもよい。
ここで、通信の特徴について説明する。例えば、所定の期間の間に、図6に示すようなパケットが順に入力したものとする。図6は、パケットの一例を示す図である。図6の例では、パケットのデータのうち、説明に必要な項目のみを示しており、パケットの送信元IP、送信先IP、送信先ポート(port)、パケットサイズが示されている。図6の例では、4つのパケットが入力した順に上から示されている。図6の例では、送信元IPがいずれも「172.16.0.15」とされ、送信先IPがいずれも「172.16.0.12」とされ、送信先ポートが「20」、「80」、「22」、「25」とされている。
例えば、特定部50は、入力されたパケットについてパケットサイズのヒストグラムを求める。すなわち、特定部50は、所定のサイズ幅ごとに、入力したパケットの個数をカウントする。図7は、入力したパケットのパケットサイズのヒストグラムの一例を示す図である。図7の横軸は、パケットサイズを示す。図7の縦軸は、パケットの個数を示す。図7の例では、パケットサイズの小さい方から順に、パケットの個数が、10、20、23、20、15、8であるヒストグラムが示されている。特定部50は、パケットサイズごとのパケット数を通信の特徴と特定する。例えば、特定部50は、パケットサイズごとのパケット数を要素としたベクトルを通信の特徴と特定する。図7の例では、通信の特徴として(0,10,20,23,20,15,8)が特定される。この通信の特徴は、頻度の特徴に該当する。
また、例えば、特定部50は、入力したパケットの送信先ポートのリストを求め、送信先ポートのリストを通信の特徴と特定する。例えば、特定部50は、送信先ポートをポート番号の小さい順に並べ、それぞれのポート番号を要素としたベクトルを通信の特徴と特定する。例えば、入力したパケットが図6に示すような場合、特定部50は、(22,25,80)を通信の特徴と特定する。この通信の特徴は、組み合わせの特徴に該当する。
また、例えば、特定部50は、入力したパケットの送信先ポートごとのパケット数を求め、送信先ポートごとのパケット数を通信の特徴と特定する。例えば、特定部50は、送信先ポートごとのパケット数を求め、送信先ポートと当該送信先ポートのパケット数とをそれぞれを要素としてベクトルを通信の特徴と特定する。例えば、入力したパケットが図6に示すような場合、特定部50は、((22,2),(25,1),(80,1))を通信の特徴と特定する。(22,2)は、ポート番号「22」のパケット数が「2」個であることを示す。この通信の特徴は、頻度の特徴に該当する。
また、例えば、特定部50は、入力したパケットの送信先ポートを入力順にリストし、送信先ポートのリストを通信の特徴と特定する。例えば、入力したパケットが図6に示すような場合、特定部50は、(22,80,22,25)を通信の特徴と特定する。この場合、送信先ポートを入力順にリストするため、通信の特徴に、同じポート番号が複数ある場合がある。この通信の特徴は、系列の特徴に該当する。
なお、通信の特徴は、これらに限定されるものではなく、通信されたデータの特徴を示すものであれば何れであってもよい。通信の特徴は、特徴とするものにより様々なデータ形式となる。以下では、通信の特徴をデータ形式に依存せずに示す場合、「特徴X」とも表記する。また、本実施例では、通信の特徴を、パケットサイズのヒストグラムとした場合を例に説明する。
特定部50は、送信元と送信先が同一のパケットごとに特定した通信の特徴を取得部51へ出力する。例えば、特定部50は、特定した通信の特徴を、送信元、送信先、現在の時刻を示す情報と共に取得部51へ出力する。
取得部51は、各種の取得を行う処理部である。取得部51は、所定の期間ごとに、監視対象システム10内を伝送されたパケットのうち、所定の送信元と送信先の組み合わせとは異なる送信元と送信先の組み合わせが設定されたパケットを取得する。例えば、取得部51は、特定部50から入力する、特定した通信の特徴のうち、送信元と送信先の組み合わせが既知通信情報40に記憶されていない送信元と送信先の通信の特徴を特定する。
ここで、未知のパターンの伝播について説明する。例えば、ワームなどのマルウェアは、自身を複製し、他の通信機器12に複製したデータを送信することによりネットワーク内で拡散する。このため、通常、通信が行われない通信機器12間に通信がある場合、マルウェアによる通信である可能性がある。そこで、本実施例では、通信が行われることが既知である送信元と送信先を既知通信情報40に記憶させる。そして、取得部51は、監視対象システム10内を伝送されたパケットのうち、既知通信情報40に記憶されていない送信元と送信先の通信をマルウェアなどの未知のパターンによる通信であるものとして、未知のパターンの通信の特徴を取得している。
取得部51は、未知のパターンの通信の特徴として、特定した通信の特徴を抽出部52へ出力する。例えば、取得部51は、特定した通信の特徴を、入力したデータの送信元、送信先、時刻を示す情報と共に抽出部52へ出力する。また、取得部51は、送信元と送信先の組み合わせが既知通信情報40に記憶されている送信元と送信先と通信の特徴とをノード間特徴情報41に登録する。また、取得部51は、送信元と送信先の組み合わせが既知通信情報40に記憶されている通信の特徴と、送信元と送信先とを生成部53へ出力する。
ここで、一例を説明する。図8は、送信元と送信先の組み合わせが既知通信情報に記憶されていない場合の処理を模式的に示した図である。図8に示すように、既知通信情報40には、送信元IP「172.16.0.11」と送信先IP「172.16.0.15」、および、送信元IP「172.16.0.22」と送信先IP「172.16.0.11」が記憶されているものとする。また、図8の例では、通信の特徴「X」、送信元IP「172.16.0.15」、送信先IP「172.16.0.12」、時間「18290」のデータが入力されたものとする。この場合、取得部51は、送信元IP「172.16.0.15」、送信先IP「172.16.0.12」の組み合わせが既知通信情報40に記憶されているかを判定する。この場合、既知通信情報40に記憶されていないため、取得部51は、入力したデータを抽出部52へ出力する。
一方、図9は、送信元と送信先の組み合わせが既知通信情報に記憶されている場合の処理を模式的に示した図である。例えば、送信元IP「172.16.0.15」、送信先IP「172.16.0.12」が既知通信情報40に記憶されている場合、取得部51は、送信元と送信先の通信の特徴をノード間特徴情報41に登録する。図9の例では、送信元IP「172.16.0.15」、送信先IP「172.16.0.12」に対応付けて通信特徴系列の項目に特徴Xを記憶させる。本実施例では、通信特徴系列の項目に、送信元IPと送信先IPが同一の特徴Xを時系列に沿って記憶させる。特徴X〜Xは、それぞれの時刻の特徴Xを示す。時刻は、それぞれの特徴Xと共に記憶させてもよい。また、通信特徴系列の項目には、所定の期間ごとの特徴Xを順に格納するものとしてもよい。例えば、取得部51は、特徴が特定されている場合、特定された特徴Xを格納し、特徴が特定されていない時刻については、特徴が未特定であることを示すデータ(例えば、ゼロなど)を格納してもよい。
図2に戻り、抽出部52は、各種の抽出を行う処理部である。抽出部52は、取得部51により取得されたパケットと関連する関連パケットを抽出する。例えば、抽出部52は、取得部51から入力されたデータの特徴を含み、当該特徴を特定されたパケットの送信元を宛先(送信先)とする関連パケットを抽出する。例えば、抽出部52は、ノード間特徴情報41から送信先IPの項目のIPアドレスが、取得部51から入力されたデータに含まれる送信元IPアドレスと一致するレコードの通信特徴系列の項目を読み出す。そして、抽出部52は、取得部51から入力されたデータに含まれる特徴Xを、通信特徴系列の項目に記憶された特徴X〜XとXから遡って一つずつ比較する。抽出部52は、比較の結果、特徴Xが特徴X〜Xの何れかに含まれる場合、読み出したレコードの送信元IPの通信機器12から送信先IPの通信機器12へ未知のパターンの伝播が発生したものと判定する。さらに、ノード間特徴情報41から送信先IPの項目のIPアドレスが、取得部51から入力されたデータに含まれる送信元IPアドレスと一致するレコードの通信特徴系列の項目を読み出し、同じ探索を続ける。
ここで、通信機器12は、マルウェアに感染している場合でも通常の通信が発生する。よって、マルウェアに感染して通信機器12の通信の特徴には、マルウェアによる通信の特徴が含まれる。通信の特徴にマルウェアによる通信の特徴が含まれる場合、送信元の通信機器12は、マルウェアに感染しているおそれがある。
例えば、特徴Xが、パケットサイズのヒストグラムであり、以下の特徴Xであるものとする。また、比較する対象の特徴が以下の対象A、対象Bであるものとする。
特徴X:(10,20,23,20,15,8)
対象A:(14,22,25,22,18,9)
対象B:(9,22,20,22,12,9)
対象Aは、全ての項目で特徴Xより値が大きい。すなわち、対象Aには、特徴Xの通信が含まれている。このように特徴Xの通信が含まれる場合、マルウェアが伝播している場合がある。一方、対象Bは、一部の項目で特徴Xより値が大きい。すなわち、対象Bには、特徴Xの通信が含まれない。このように特徴Xの通信が含まれない場合、マルウェアが伝播していないと考えられる。
また、例えば、特徴Xが、パケットの送信先ポートのリストであり、以下の特徴Xであるものとする。また、比較する対象の特徴が以下の対象A、対象Bであるものとする。
特徴X:(20,25,80)
対象A:(20,22,25,80,8080)
対象B:(22,25,80,8080)
対象Aは、特徴Xの全ての送信先ポートを含んでいる。すなわち、対象Aには、特徴Xの通信が含まれている。このように特徴Xの通信が含まれる場合、マルウェアが伝播している場合がある。一方、対象Bは、送信先ポート「20」が含まれていない。すなわち、対象Bには、特徴Xの通信が含まれない。このように特徴Xの通信が含まれない場合、マルウェアが伝播していないと考えられる。
また、例えば、特徴Xが、送信先ポートごとのパケット数であり、以下の特徴Xであるものとする。また、比較する対象の特徴が以下の対象A、対象Bであるものとする。
特徴X:((22,2),(25,1),(80,1))
対象A:((20,1),(22,3),(25,5),(80,2))
対象B:((20,1),(22,1),(25,2))
対象Aは、特徴Xの全ての送信先ポートを含み、かつ、全ての送信先ポートで特徴Xよりパケット数が大きい。すなわち、対象Aには、特徴Xの通信が含まれている。このように特徴Xの通信が含まれる場合、マルウェアが伝播している場合がある。一方、対象Bは、送信先ポート「80」が含まれておらず、また、送信先ポート「22」で特徴Xよりパケット数が下回っている。すなわち、対象Bには、特徴Xの通信が含まれない。このように特徴Xの通信が含まれない場合、マルウェアが伝播していないと考えられる。
また、例えば、特徴Xが、送信先ポートを入力順に並べたリストであり、以下の特徴Xであるものとする。また、比較する対象の特徴が以下の対象A、対象Bであるものとする。
特徴X:(22,80,22,25)
対象A:(14,22,25,80,22,18,25)
対象B:(9,22,22,25,12,80)
対象Aは、特徴Xの送信先ポートが、順序が入れ替わることなく含まれている。すなわち、対象Aには、特徴Xの通信が含まれている。このように特徴Xの通信が含まれる場合、マルウェアが伝播している場合がある。一方、対象Bは、特徴Xの送信先ポートが全て含まれるが、送信先ポート「22」、「80」、「25」の順番が異なる。すなわち、対象Bには、特徴Xの通信が含まれない。このように特徴Xの通信が含まれない場合、マルウェアが伝播していないと考えられる。
抽出部52は、未知のパターンの伝播が発生していた場合、さらに伝播が発生していた通信を行った区間を遡って探索する。例えば、抽出部52は、未知のパターンの伝播が発生していた場合、入力されたデータの特徴を含み、さらに伝播が発生していた送信元を宛先する関連パケットを抽出する。
抽出部52は、伝播が発生していた送信元IPと送信先IPを生成部53へ出力する。例えば、特定部50は、特定した通信の特徴、特徴の送信元と送信先、時刻、伝播が発生していた送信元IPと送信先IPを示す情報を生成部53へ出力する。
ここで、一例を説明する。図10は、伝播を検索する処理を模式的に示した図である。図10の例では、通信の特徴X「(10,20,23,20,15,8)」、送信元IP「172.16.0.15」、送信先IP「172.16.0.12」、時間「18290」のデータ入力したものとする。抽出部52は、送信元IP「172.16.0.15」を送信先とする「172.16.0.11」と「172.16.0.15」の間の通信の特徴「(10,22,30,25,15,8)」に、特徴Xが含まれるかを判定する。図10の例では、特徴Xが含まれる。この場合、抽出部52は、送信元IP「172.16.0.11」を送信先とする、「172.16.0.22」と「172.16.0.11」の間の通信に特徴「(9,8,9,25,15,8)」に特徴Xが含まれるかを判定する。図10の例では、特徴Xが含まれない。この場合、抽出部52は、伝播が発生していた送信元IPと送信先IPとして、「172.16.0.15」と「172.16.0.12」および「172.16.0.11」と「172.16.0.15」を生成部53へ出力する。これにより、未知のパターンがどのように伝播してきたかを把握できる。図10の例では、未知のパターンが、「172.16.0.15」から「172.16.0.12」へ伝播したことを示すことができる。
図11は、伝播の検索の流れの一例をより詳細に示した図である。例えば、ノードdとノードeは、通常、通信が行われておらず、時刻tにおいて特徴Xの未知のパターンが特定されたものとする。この場合、抽出部52は、送信元であるノードdと、ノードdを送信先として通信を行う送信元のノードcとの間の通信の各特徴を時刻tから遡って特徴Xと比較する。そして、抽出部52は、ノードdとノードcとの間の通信の何れかの特徴に特徴Xが含まれる場合、ノードdとノードcでも未知のパターンの伝播が発生してものと判定する。図11の例では、時刻tの特徴に特徴Xが含まれるものとする。抽出部52は、ノードcと、ノードcを送信先として通信を行う送信元のノードbとの間の通信の各特徴を時刻tから遡って特徴Xと比較する。そして、抽出部52は、ノードcとノードbとの間の通信の何れかの特徴に特徴Xが含まれる場合、ノードcとノードcでも未知のパターンの伝播が発生してものと判定する。図11の例では、時刻tの特徴に特徴Xが含まれるものとする。抽出部52は、ノードdとノードe、ノードcとノードd、ノードbとノードcについてそれぞれ送信元IPアドレスと送信先IPアドレスを求めて生成部53へ出力する。これにより、図11の例では、未知のパターンが、ノードbからノードc、ノードcとノードd、ノードdとノードeへ伝播したことを示すことができる。
生成部53は、各種の情報を生成する処理部である。生成部53は、伝播度合いを示す情報を生成する。例えば、生成部53は、伝播度合いを示す情報として、伝播が発生していた区間の送信元IPアドレスと送信先IPアドレスを伝播グラフ情報42に格納する。
ここで、一例を説明する。図12は、伝播度合いを示す情報を生成する処理を模式的に示した図である。図12の例では、伝播として、「172.16.0.15」と「172.16.0.12」および「172.16.0.11」と「172.16.0.15」のデータを入力したものとする。また、図12の例では、通信の特徴X「(10,20,23,20,15,8)」、送信元IP「172.16.0.15」、送信先IP「172.16.0.12」、時間「18290」のデータ入力したものとする。生成部53は、特徴Xが過去に記憶されていない新規である場合、新規のグラフIDを付与して、特徴X、伝播グラフ、時刻を、伝播グラフ情報42のグラフID、未知通信特徴、伝播グラフ、最終更新時間の各項目に格納する。
また、生成部53は、既知通信情報40に記憶されている送信元と送信先と通信の特徴とが取得部51から入力された場合、入力された特徴が伝播グラフ情報42の未知通信特徴の項目に記憶された何れかの特徴を含むかを判定する。入力した特徴が未知通信特徴の項目の何れかの特徴を含む場合、生成部53は、最終更新時間の項目に記憶された時刻から所定の伝播監視時間K以内であるかを判定する。伝播監視時間Kは、未知のパターンを検出するため、特徴を保持する期間である。伝播監視時間Kは、マルウェアが他の通信機器12への感染を試みる周期に応じて定める。例えば、マルウェアが他の通信機器12への感染を試みる周期が3か月である場合、伝播監視時間Kは、3か月分の値とする。生成部53は、最終更新時間の項目に記憶された時刻が伝播監視時間K以内である場合、未知通信特徴の項目の特徴が入力した特徴を含むレコードの伝播グラフの項目に、入力した送信元と送信先を追加する。
ここで、一例を説明する。図13は、伝播度合いを示す情報を生成する処理を模式的に示した図である。図13の例では、通信の特徴X「(12,20,23,20,15,9)」、送信元IP「172.16.0.12」、送信先IP「172.16.0.13」、時間「18292」のデータが入力されたものとする。また、説明をわかりやすくするため、伝播監視時間Kは、20とする。図13の例では、特徴Xが伝播グラフ情報42の未知通信特徴の項目に記憶された(10,20,23,20,15,8)を含み、時刻が伝播監視時間K以内である。このため、生成部53は、伝播グラフの項目に、送信元IP「172.16.0.12」、送信先IP「172.16.0.13」を追加する。また、生成部53は、最終更新時間の項目の時刻を更新する。
一方、生成部53は、最終更新時間の項目に記憶された時刻が伝播監視時間Kよりも前なったレコードを伝播グラフ情報42から削除する。これにより、通信の頻度が低くマルウェアなどによるものではないと推定される伝播のレコードが削除される。また、生成部53は、ノード間特徴情報41の通信特徴系列の項目に記憶された特徴について、時刻が伝播監視時間Kよりも前なった特徴を削除する。これにより、通信特徴系列の項目には、伝播監視時間K内の特徴のみが記憶される。
図14は、伝播グラフ情報のデータを削除する処理を模式的に示した図である。図14の例では、最終更新時間の項目に記憶された時刻が伝播監視時間Kよりも前なっている。このため、生成部53は、時刻が伝播監視時間Kよりも前となったレコードを伝播グラフ情報42から削除する。これにより、伝播監視時間Kを経過した未知のパターンは、削除される。
出力部54は、各種の情報を出力する処理部である。出力部54は、伝播グラフ情報42に記憶された情報に基づき、未知のパターンの伝播状況を示す情報を出力する。例えば、出力部54は、未知のパターンの伝播状況の表示指示の操作を入力部32で受付けると、伝播グラフ情報42のレコードごとに、伝播グラフの項目に記憶された伝播経路を示す情報から、未知のパターンの入力および出力があるノード数をカウントする。すなわち、出力部54は、伝播経路において同一のIPアドレスが送信先および送信元となっている数をカウントする。
図15は、ノード数をカウントする処理を模式的に示した図である。図15の例では、
「172.16.0.11」、「172.16.0.15」、「172.16.0.12」、「172.16.0.13」と順に未知のパターンの伝搬が発生している。この場合、未知のパターンの入力および出力があるノードは、「172.16.0.15」、「172.16.0.12」であるため、ノード数が2とカウントされる。この未知のパターンの入力および出力があるノードは、受信した未知のパターンを送信しているため、マルウェアに感染している恐れがある。一方、例えば、未知のパターンが入力されているが、未知のパターンを出力していないノードは、マルウェアの攻撃を受けているものの、マルウェアに感染していない場合もある。本実施例では、マルウェアによる感染の伝播状況を把握するため、未知のパターンの入力および出力があるノードをカウントする。
出力部54は、未知のパターンの伝播状況を示した画面を出力する。例えば、出力部54は、未知のパターンの入力および出力があるノード数に応じてレベル分けして伝播状況を示した画面を表示する。図16は、伝播状況を示した画面の一例を示す図である。図16の例では、通信機器12ごとのIPアドレスが表示されており、未知のパターンの伝播が発生したノードを矢印で繋いで伝搬経路を示している。また、図16の例では、未知のパターンの入力および出力があるノード数が多いほど高いものとレベルが高いものとして、矢印を太く強調して示している。これにより、管理者は、未知のパターンの伝播がどのような状況であるかを把握できる。
また、出力部54は、特定のノードについて伝播状況を示した画面を出力する。例えば、出力部54は、図16において、ノードが指定された場合、指定されたノードについて伝播状況を示した画面を出力する。図17は、伝播状況を示した画面の一例を示す図である。図17の例は、「172.16.0.13」が指定された状態を示している。図16の例では、「172.16.0.13」のノードを伝播する未知のパターンの伝搬経路が表示されている。また、図17の例では、「172.16.0.13」のノードを伝播する未知のパターンの通信の特徴が表示されている。
また、出力部54は、特定の経路について伝播状況を示した画面を出力する。例えば、出力部54は、図17において、経路が指定された場合、指定された経路について伝播状況を示した画面を出力する。図18は、伝播状況を示した画面の一例を示す図である。図18の例は、「172.16.0.13」から「172.16.0.19」の経路が指定された状態を示している。図18の例では、「172.16.0.13」から「172.16.0.19」へ伝播する経路での未知のパターンの通信の特徴が表示されている。
[処理の流れ]
次に、本実施例に係る監視装置20が、未知のパターンの伝播状況を監視する監視処理の流れについて説明する。図19は、監視処理の手順の一例を示すフローチャートである。この監視処理は、所定のタイミング、例えば、所定の期間ごとに実行される。
図19に示すように、特定部50は、入力されるパケットのデータから、送信元と送信先が同一のパケットごとに通信の特徴を所定の期間ごとに特定する(S10)。取得部51は、特定された特徴のうち、未選択の特徴を1つ選択する(S11)。取得部51は、選択した通信の特徴の送信元と送信先の組み合わせが既知通信情報40に記憶されているか否かを判定する(S12)。既知通信情報40に記憶されていない場合(S12否定)、抽出部52は、通信の特徴を未知のパターンの通信の特徴として、関連パケットを抽出する(S13)。例えば、抽出部52は、ノード間特徴情報41から送信元IPの項目のIPアドレスが、未知のパターンの送信元IPアドレスと一致するレコードの通信特徴系列の項目を読み出す。そして、抽出部52は、未知のパターンの特徴を、通信特徴系列の項目に記憶された特徴と、時間とは逆順に比較して、未知のパターンの特徴を含む未知のパターンの伝播が発生した通信を検索する。生成部53は、伝播が発生していた区間の送信元IPアドレスと送信先IPアドレスを伝播グラフ情報42に格納する(S14)。
既知通信情報40に記憶されている場合(S12肯定)と、既知通信情報40に記憶されていない場合(S12否定)の伝播グラフ情報42への格納(S14)後、取得部51は、送信元と送信先と通信の特徴とをノード間特徴情報41に登録する(S15)。生成部53は、通信の特徴が伝播グラフ情報42の未知通信特徴の項目に記憶された何れかの特徴を含むかを判定する(S16)。特徴を含む場合(S16肯定)、生成部53は、特徴を含むレコードの最終更新時間の項目に記憶された時刻から所定の伝播監視時間K以内であるかを判定する(S17)。特徴を含まない場合(S16否定)および伝播監視時間K以内ではない場合(S17否定)は、後述のS19へ移行する。
一方、伝播監視時間K以内である場合(S17肯定)、生成部53は、特徴を含むレコードの伝播グラフの項目に、送信元と送信先を追加する(S18)。生成部53は、最終更新時間の項目に記憶された時刻が伝播監視時間Kよりも前なったレコードを伝播グラフ情報42から削除する(S19)。
取得部51は、特定された特徴を全て選択したか否かを判定する(S20)。全て選択していない場合(S20否定)、上述のS11へ移行する。一方、全て選択した場合(S20肯定)、処理を終了する。
[効果]
上述してきたように、本実施例に係る監視装置20は、所定の期間ごとに、監視対象システム10内を伝送されたパケットのうち、所定の送信元と送信先の組み合わせとは異なる送信元と送信先の組み合わせが設定されたパケットを取得する。監視装置20は、所定の期間ごとに、監視対象システム10内を伝送されたパケットのうち、取得したパケットと関連する関連パケットを抽出する。監視装置20は、抽出した関連パケットに基づいて、伝播度合いを示す情報を生成する。監視装置20は、生成した情報を出力する。これにより、監視装置20は、未知のパターンの伝播状況を把握できる。
また、本実施例に係る監視装置20は、監視対象システム10内を伝送されたパケットから、送信元と送信先が同一のパケットごとに通信の特徴を所定の期間ごとに特定する。監視装置20は、取得されたパケットから特定された特徴を含み、当該特徴を特定したパケットの送信元を宛先とする関連パケットを抽出する。これにより、監視装置20は、マルウェアなどによる未知のパターンが伝播した伝播経路を抽出できる。
また、本実施例に係る監視装置20は、通信の特徴として、頻度の特徴、組み合わせの特徴、系列の特徴の何れか1または複数を特定する。これにより、監視装置20は、マルウェアなどによる未知のパターンの特徴を特定できる。
また、本実施例に係る監視装置20は、システム内で通信が行われる所定の送信元と送信先の組み合わせが記憶された記憶部33に記憶されていない送信元と送信先の組み合わせが設定されたパケットを取得する。これにより、監視装置20は、マルウェアなどが通信したパケットを取得できる。
次に、実施例2について説明する。
[監視装置の構成]
図20は、実施例2に係る監視装置の機能的構成を示すブロック図である。なお、図2に示した実施例1に係る監視装置20と同一部分については同一の符号を付し、主に異なる部分について説明する。図20に示すように、監視装置20の記憶部33は、未知通信情報43をさらに記憶する。また、監視装置20の制御部34は、登録部55をさらに有する。
また、実施例2に係る伝播グラフ情報42は、未知のパターンの通信が得られた送信元、送信先に関する情報をさらに記憶する。
図21は、伝播グラフ情報のデータ構成の一例を示す図である。伝播グラフ情報42は、通信特徴送信元、通信特徴送信先、通信特徴取得時間の項目をさらに有する。通信特徴送信元の項目は、未知のパターンの通信の特徴が得られた送信元のIPアドレスを記憶する領域である。通信特徴送信先の項目は、未知のパターンの通信の特徴が得られた送信先のIPアドレスを記憶する領域である。通信特徴取得時間は、未知のパターンの通信の特徴が得られた時刻を記憶する領域である。通信特徴送信元、通信特徴送信先、通信特徴取得時間の項目は、生成部53により登録される。
図20に戻り、未知通信情報43は、未知の通信に関する情報を記憶したデータである。例えば、未知通信情報43は、未知通信が行われる送信元と送信先と時刻が記憶されている。
図22は、未知通信情報のデータ構成の一例を示す図である。未知通信情報43は、送信元IP、送信先IP、未知時間リストなどの項目が対応付けられたテーブルを採用できる。送信元IPの項目は、未知の通信のデータの送信元となる通信機器12のIPアドレスを記憶する領域である。送信先IPの項目は、未知の通信のデータの送信先となる通信機器12のIPアドレスを記憶する領域である。未知時間リストの項目は、未知の通信が行われた時刻を記憶する領域である。この未知時間リストの項目は、送信元と送信先の間で未知の通信が複数発生している場合、それぞれの時刻が格納される。すなちわ、未知時間リストの項目には、複数の未知の通信が行われた時刻が複数、記憶される。未知通信情報43のデータ例については、後述する。
取得部51は、監視対象システム10内を伝送されたパケットのうち、既知通信情報40に記憶されていない送信元と送信先の通信を未知のパターンの通信として、特定した通信の特徴を、送信元、送信先、時刻を示す情報と共に取得部51へ出力する。さらに、取得部51は、未知のパターンの送信元と送信先と時刻を未知通信情報43に登録する。
ここで、一例を説明する。図23は、送信元と送信先の組み合わせが既知通信情報に記憶されていない場合の処理を模式的に示した図である。図23に示すように、既知通信情報40には、送信元IP「172.16.0.11」と送信先IP「172.16.0.15」が記憶されているものとする。また、図23の例では、通信の特徴「X」、送信元IP「172.16.0.15」、送信先IP「172.16.0.12」、時間「18260」のデータ入力したものとする。この場合、取得部51は、送信元IP「172.16.0.15」、送信先IP「172.16.0.12」の組み合わせが既知通信情報40に記憶されているかを判定する。この場合、既知通信情報40に記憶されていないため、取得部51は、未知のパターンの送信元と送信先と時刻を未知通信情報43に登録する。
生成部53は、最終更新時間の項目に記憶された時刻が伝播監視時間Kよりも前なったレコードを伝播グラフ情報42から削除する。
登録部55は、未知通信情報43の未知時間リストの項目から、時刻が伝播監視時間Kよりも前なって削除されたレコードの時刻を削除する。そして、登録部55は、削除の結果、未知時間リストの項目が空となった場合、未知時間リストの項目が空となったレコードの送信元と送信先の組み合わせを既知通信情報40に登録する。また、登録部55は、未知時間リストの項目が空となったレコードを削除する。すなわち、登録部55は、未知の通信が全て伝播監視時間Kを経過した送信元と送信先についてはマルウェアによる通信ではなく、既存のシステムの通信によるものとして既知通信情報40に登録する。
ここで、一例を説明する。図24は、時刻が伝播監視時間よりも前なった場合の処理を模式的に示した図である。図24の例では、通信特徴送信元「172.16.0.15」、通信特徴送信先「172.16.0.12」のレコードの最終更新時間「18290」が伝播監視時間Kよりも前なって削除されたものとする。この場合、登録部55は、未知通信情報43の送信元IP「172.16.0.15」、送信先IP「172.16.0.12」のレコードの未知時間リストの項目から「18260」を削除する。そして、登録部55は、削除の結果、送信元IP「172.16.0.15」、送信先IP「172.16.0.12」のレコードの未知時間リストの項目が空となった場合、送信元「172.16.0.15」、送信先「172.16.0.12」を既知通信情報40に追加で登録する。
これにより、監視装置20は、既存のシステムの通信を学習して既知通信情報40に登録できる。
[効果]
上述してきたように、本実施例に係る監視装置20は、パケットが取得される期間が所定の期間以上の送信元と送信先を記憶部33に登録する。これにより、監視装置20は、既存のシステムの通信を学習して既知通信情報40に登録できる。
さて、これまで開示の装置に関する実施例について説明したが、開示の技術は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施例を説明する。
例えば、上記の実施例では、通信の特徴を1つ特定する場合について説明したが、開示の装置はこれに限定されない。例えば、通信の特徴を複数特定して、それぞれの特徴が含まれるかによって、伝播しているかを判定してもよい。この場合、例えば、通信の特徴が多く含まれるほど伝播が発生している可能性が高いものとしてレベル分けし、レベルごと表示形態を異ならせてもよい。
また、上記の実施例では、スイッチ15が中継するデータのパケットをミラーリングして監視装置20へ送信する場合について説明したが、開示の装置はこれに限定されない。例えば、スイッチ15が中継するデータのパケットから、通信の特徴の特定に必要な情報を抽出して監視装置20へ送信してもよい。例えば、スイッチ15が中継するデータのパケットのデータサイズや送信元IP、送信先IP、送信先ポートを抽出して監視装置20へ送信してもよい。
また、上記の実施例では、伝播状況を表示部31に表示する場合について説明したが、開示の装置はこれに限定されない。例えば、他の端末装置から操作指示を受け付け、端末装置に伝播状況を表示させるものとしてよい。
また、上記の実施例では、未知のパターンの通信の特徴を、パケットが流れる上流側へ遡って同じ通信の特徴があるか検索する場合について説明したが、開示の装置はこれに限定されない。例えば、伝播が発生しているノードについては、そのノードから下流側への伝播の発生を検出ししてもよい。すなわち、伝播が発生しているノードについては、そのノードを送信元と検索された以外の他のノードについても通信の特徴が未知のパターンの通信の特徴を含むか否かにより伝播が発生しているかを判定してもよい。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的状態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、監視装置20の特定部50と、取得部51、抽出部52、生成部53、出力部54および登録部55の各処理部が適宜統合されてもよい。また、各処理部の処理が適宜複数の処理部の処理に分離されてもよい。また、各装置は各処理部の一部または全部を適宜統合してもよい。さらに、各処理部にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[監視プログラム]
また、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することもできる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータシステムの一例を説明する。図25は、監視プログラムを実行するコンピュータを示す図である。
図25に示すように、コンピュータ300は、CPU(Central Processing Unit)310、HDD(Hard Disk Drive)320、RAM(Random Access Memory)340を有する。これら300〜340の各部は、バス400を介して接続される。
HDD320には上記の監視装置20の各処理部と同様の機能を発揮する監視プログラム320aが予め記憶される。なお、監視プログラム320aについては、適宜分離しても良い。
また、HDD320は、各種情報を記憶する。例えば、HDD320は、OSや処理に用いる各種データを記憶する。
そして、CPU310が、監視プログラム320aをHDD320から読み出して実行することで、実施例の各処理部と同様の動作を実行する。すなわち、監視プログラム320aは、監視装置20の各処理部と同様の動作を実行する。
なお、上記した監視プログラム320aについては、必ずしも最初からHDD320に記憶させることを要しない。
例えば、コンピュータ300に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」にプログラムを記憶させておく。そして、コンピュータ300がこれらからプログラムを読み出して実行するようにしてもよい。
さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ300に接続される「他のコンピュータ(またはサーバ)」などにプログラムを記憶させておく。そして、コンピュータ300がこれらからプログラムを読み出して実行するようにしてもよい。
10 監視対象システム
12 通信機器
15 スイッチ
20 監視装置
31 表示部
32 入力部
33 記憶部
34 制御部
40 既知通信情報
41 ノード間特徴情報
42 伝播グラフ情報
43 未知通信情報
50 特定部
51 取得部
52 抽出部
53 生成部
54 出力部
55 登録部

Claims (5)

  1. コンピュータに、
    所定の期間ごとに、システム内を伝送されたパケットのうち、前記システム内で通信が行われる所定の送信元と送信先の組み合わせが記憶された記憶部に記憶されていない送信元と送信先の組み合わせが設定されたパケットを取得し、
    前記所定の期間ごとに、前記システム内を伝送されたパケットのうち、取得した前記パケットと関連する関連パケットを抽出し、
    抽出した前記関連パケットに基づいて、伝播度合いを示す情報を生成し、
    生成した情報を出力し、
    パケットが取得される期間が前記所定の期間よりも長い所定の第2の期間以上の送信元と送信先を前記記憶部に登録する
    処理を実行させることを特徴とする監視プログラム。
  2. コンピュータに、
    システム内を伝送されたパケットから、送信元と送信先が同一のパケットごとに通信の特徴を所定の期間ごとに特定する処理をさらに実行させ、
    前記抽出する処理は、取得されたパケットから特定された特徴を含み、当該特徴を特定したパケットの送信元を宛先とする関連パケットを抽出する
    ことを特徴とする請求項1に記載の監視プログラム。
  3. 前記特定する処理は、前記通信の特徴として、頻度の特徴、組み合わせの特徴、系列の特徴の何れか1または複数を特定する
    ことを特徴とする請求項に記載の監視プログラム。
  4. コンピュータが、
    所定の期間ごとに、システム内を伝送されたパケットのうち、前記システム内で通信が行われる所定の送信元と送信先の組み合わせが記憶された記憶部に記憶されていない送信元と送信先の組み合わせが設定されたパケットを取得し、
    前記所定の期間ごとに、前記システム内を伝送されたパケットのうち、取得した前記パケットと関連する関連パケットを抽出し、
    抽出した前記関連パケットに基づいて、伝播度合いを示す情報を生成し、
    生成した情報を出力し、
    パケットが取得される期間が前記所定の期間よりも長い所定の第2の期間以上の送信元と送信先を前記記憶部に登録する
    処理を実行することを特徴とする監視方法。
  5. 所定の期間ごとに、システム内を伝送されたパケットのうち、前記システム内で通信が行われる所定の送信元と送信先の組み合わせが記憶された記憶部に記憶されていない送信元と送信先の組み合わせが設定されたパケットを取得する取得部と、
    前記所定の期間ごとに、前記システム内を伝送されたパケットのうち、前記取得部により取得した前記パケットと関連する関連パケットを抽出する抽出部と、
    前記抽出部により抽出した前記関連パケットに基づいて、伝播度合いを示す情報を生成する生成部と、
    前記生成部により生成した情報を出力する出力部と、
    パケットが取得される期間が前記所定の期間よりも長い所定の第2の期間以上の送信元と送信先を前記記憶部に登録する登録部と、
    を有することを特徴とする監視装置。
JP2014039339A 2014-02-28 2014-02-28 監視プログラム、監視方法および監視装置 Expired - Fee Related JP6252254B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2014039339A JP6252254B2 (ja) 2014-02-28 2014-02-28 監視プログラム、監視方法および監視装置
US14/605,437 US9516050B2 (en) 2014-02-28 2015-01-26 Monitoring propagation in a network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014039339A JP6252254B2 (ja) 2014-02-28 2014-02-28 監視プログラム、監視方法および監視装置

Publications (2)

Publication Number Publication Date
JP2015164244A JP2015164244A (ja) 2015-09-10
JP6252254B2 true JP6252254B2 (ja) 2017-12-27

Family

ID=54007301

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014039339A Expired - Fee Related JP6252254B2 (ja) 2014-02-28 2014-02-28 監視プログラム、監視方法および監視装置

Country Status (2)

Country Link
US (1) US9516050B2 (ja)
JP (1) JP6252254B2 (ja)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9191327B2 (en) 2011-02-10 2015-11-17 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
US10091238B2 (en) 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
US10474680B2 (en) * 2014-10-09 2019-11-12 Splunk Inc. Automatic entity definitions
CN105791227A (zh) * 2014-12-22 2016-07-20 深圳市志友企业发展促进中心 一种资源传播方法及系统
JP5926413B1 (ja) * 2015-02-16 2016-05-25 株式会社ラック 情報処理装置、情報処理方法及びプログラム
US10193929B2 (en) 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
US9380027B1 (en) 2015-03-30 2016-06-28 Varmour Networks, Inc. Conditional declarative policies
US10135854B2 (en) * 2015-04-07 2018-11-20 Informatica Llc Method, apparatus, and computer-readable medium for generating a data proliferation graph
JP6819610B2 (ja) * 2015-12-09 2021-01-27 日本電気株式会社 診断装置、診断方法、及び、診断プログラム
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US9680852B1 (en) * 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US9521115B1 (en) 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata
US9961099B2 (en) * 2016-04-18 2018-05-01 Acalvio Technologies, Inc. Systems and methods for detecting and tracking adversary trajectory
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors
JP6904307B2 (ja) * 2018-05-25 2021-07-14 日本電信電話株式会社 特定装置、特定方法及び特定プログラム
US11269995B2 (en) * 2018-10-25 2022-03-08 Micro Focus Llc Chain of events representing an issue based on an enriched representation
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
US11310284B2 (en) 2019-05-31 2022-04-19 Varmour Networks, Inc. Validation of cloud security policies
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
US11290493B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Template-driven intent-based security
US11290494B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system
US12050693B2 (en) 2021-01-29 2024-07-30 Varmour Networks, Inc. System and method for attributing user behavior from multiple technical telemetry sources
US11777978B2 (en) 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1307999B1 (en) * 2000-08-11 2006-01-25 BRITISH TELECOMMUNICATIONS public limited company System and method of detecting events
GB2394382A (en) * 2002-10-19 2004-04-21 Hewlett Packard Co Monitoring the propagation of viruses through an Information Technology network
US7246156B2 (en) * 2003-06-09 2007-07-17 Industrial Defender, Inc. Method and computer program product for monitoring an industrial network
JP4235907B2 (ja) 2003-12-12 2009-03-11 横河電機株式会社 ワーム伝播監視システム
US7950059B2 (en) * 2003-12-30 2011-05-24 Check-Point Software Technologies Ltd. Universal worm catcher
CN100370757C (zh) * 2004-07-09 2008-02-20 国际商业机器公司 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统
US8032937B2 (en) * 2004-10-26 2011-10-04 The Mitre Corporation Method, apparatus, and computer program product for detecting computer worms in a network
KR100622670B1 (ko) * 2004-12-07 2006-09-19 한국전자통신연구원 알려지지 않은 네트워크 공격에 대한 실시간 공격 패턴 검출 시스템 및 그 방법
CN1848745A (zh) * 2005-04-13 2006-10-18 安氏互联网安全系统(中国)有限公司 基于网络流量特征的蠕虫病毒检测方法
US7490355B2 (en) * 2005-06-16 2009-02-10 Chung Shan Institute Of Science And Technology Method of detecting network worms
US7649886B2 (en) * 2005-11-21 2010-01-19 Motorola, Inc. Method and system for processing incoming packets in a communication network
US20070234424A1 (en) * 2006-03-31 2007-10-04 Lucent Technologies, Inc. Design and evaluation of a fast and robust worm detection algorithm
US20160197940A1 (en) * 2006-04-27 2016-07-07 Searete Llc Multi-network virus immunization
US7681132B2 (en) * 2006-07-13 2010-03-16 International Business Machines Corporation System, method and program product for visually presenting data describing network intrusions
KR100862187B1 (ko) * 2006-10-27 2008-10-09 한국전자통신연구원 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법
US20080137542A1 (en) * 2006-12-11 2008-06-12 Inventec Corporation Method for detecting abnormal network packets
US20080222729A1 (en) * 2007-03-05 2008-09-11 Songqing Chen Containment of Unknown and Polymorphic Fast Spreading Worms
IL183390A0 (en) * 2007-05-24 2007-09-20 Deutsche Telekom Ag Distributed system for the detection
US7933946B2 (en) * 2007-06-22 2011-04-26 Microsoft Corporation Detecting data propagation in a distributed system
JP2011101172A (ja) * 2009-11-05 2011-05-19 Nec Corp ワーム感染源特定システム、特定方法および特定プログラム、エージェント並びにマネージャコンピュータ
WO2012149443A1 (en) * 2011-04-27 2012-11-01 Seven Networks, Inc. Detection and filtering of malware based on traffic observations made in a distributed mobile traffic management system
US9467360B2 (en) * 2011-06-27 2016-10-11 Sk Telecom Co., Ltd. System, device and method for managing network traffic by using monitoring and filtering policies
US9256735B2 (en) * 2011-10-10 2016-02-09 Masergy Communications, Inc. Detecting emergent behavior in communications networks
US9661008B2 (en) * 2013-02-21 2017-05-23 Nippon Telegraph And Telephone Corporation Network monitoring apparatus, network monitoring method, and network monitoring program
US9183387B1 (en) * 2013-06-05 2015-11-10 Google Inc. Systems and methods for detecting online attacks
US9565204B2 (en) * 2014-07-18 2017-02-07 Empow Cyber Security Ltd. Cyber-security system and methods thereof

Also Published As

Publication number Publication date
US20150249676A1 (en) 2015-09-03
US9516050B2 (en) 2016-12-06
JP2015164244A (ja) 2015-09-10

Similar Documents

Publication Publication Date Title
JP6252254B2 (ja) 監視プログラム、監視方法および監視装置
US11936663B2 (en) System for monitoring and managing datacenters
US11700190B2 (en) Technologies for annotating process and user information for network flows
US11429625B2 (en) Query engine for remote endpoint information retrieval
JP6239215B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
CN107408181B (zh) 恶意软件感染终端的检测装置、恶意软件感染终端的检测系统、恶意软件感染终端的检测方法以及记录介质
CN109889547B (zh) 一种异常网络设备的检测方法及装置
US20220239630A1 (en) Graphical representation of security threats in a network
JP6680945B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
JP2016143299A (ja) リスク評価システムおよびリスク評価方法
JP7069399B2 (ja) コンピュータセキュリティインシデントを報告するためのシステムおよび方法
JP2020174257A (ja) 登録システム、登録方法及び登録プログラム
TW201800972A (zh) 侵入偵知裝置以及侵入偵知程式產品
Zhang et al. Cluster-based epidemic control through smartphone-based body area networks
CN112352402B (zh) 生成装置、生成方法和记录介质
US9794274B2 (en) Information processing apparatus, information processing method, and computer readable medium
JP7082884B2 (ja) 通信装置、通信システム、及び通信方法
JP2012198818A (ja) 分析装置、分析プログラム、分析方法およびシステム
Phad et al. Detecting compromised high-profile accounts on social networks
JP5488317B2 (ja) 監視システム、装置、監視方法及び監視プログラム
Tafazzoli et al. A stochastic model for the size of worm origin
US10754719B2 (en) Diagnosis device, diagnosis method, and non-volatile recording medium
JP2015185968A (ja) 障害メッセージ集約装置および障害メッセージ集約プログラム
Meirom et al. Detecting cascades from weak signatures
JP2015219859A (ja) ネットワーク制御システム及びネットワーク制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160804

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170613

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170804

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171031

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171113

R150 Certificate of patent or registration of utility model

Ref document number: 6252254

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees