[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP7074187B2 - 監視装置、監視方法及びプログラム - Google Patents

監視装置、監視方法及びプログラム Download PDF

Info

Publication number
JP7074187B2
JP7074187B2 JP2020519212A JP2020519212A JP7074187B2 JP 7074187 B2 JP7074187 B2 JP 7074187B2 JP 2020519212 A JP2020519212 A JP 2020519212A JP 2020519212 A JP2020519212 A JP 2020519212A JP 7074187 B2 JP7074187 B2 JP 7074187B2
Authority
JP
Japan
Prior art keywords
access source
environment
activity
changes
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020519212A
Other languages
English (en)
Other versions
JPWO2019220480A1 (ja
Inventor
佑典 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2019220480A1 publication Critical patent/JPWO2019220480A1/ja
Application granted granted Critical
Publication of JP7074187B2 publication Critical patent/JP7074187B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Bioethics (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、監視装置、監視方法及びプログラムに関する。
現実のサイバー攻撃の脅威を観測する方法として、意図的に脆弱な環境にしたマシン(サーバ)をインターネットに公開することで、あえてサイバー攻撃を受ける手法がある。当該マシンは、ハニーポットと呼ばれ、観測したいサイバー攻撃に特化した様々なハニーポットが研究・開発されている。
ハニーポットは、低対話型と高対話型の2種類に分類できる。低対話型ハニーポットは、サイバー攻撃を観測したいプロトコルやアプリケーションをエミュレートすることでサイバー攻撃を受けるハニーポットである。高対話型ハニーポットは、実際のOS(Operating System)やアプリケーションを使って観測したいサイバー攻撃を受けるハニーポットである。
低対話型ハニーポットは、予め設定された環境でサイバー攻撃を受ける。ここで、公開されているハニーポットは、継続的な攻撃を考慮しているものが少ない。そのため、サイバー攻撃の度に予め設定された環境でサイバー攻撃を受けるため、継続的に攻撃をしてくる攻撃者にはハニーポットと看破されることがある。
また、高対話型ハニーポットは、自身がサイバー攻撃に加担しないように定期的にクリーンな状態に戻す運用が求められることが多い。そのため、高対話型ハニーポットの場合にも、継続的に攻撃をしてくる攻撃者にハニーポットと看破されることがある。
高対話型ハニーポットにおいて、サイバー攻撃に加担しないように適切なアクセス制御を行なうことで、クリーンアップを不要とする運用が考えられる。この場合、サイバー攻撃の痕跡がすべてハニーポットの内部に残るため、攻撃者Aの攻撃結果が攻撃者Aと無関係の攻撃者Bの攻撃に影響を与えてしまう可能性が考えられる。
非特許文献1には、サイバー攻撃を観測するためのハニーポットが記載されている。非特許文献1は、アクセス元の操作をサンドボックス上のLinux(登録商標、以下同じ)で実行した結果を蓄積し、同様の操作に対しては蓄積した結果を返す実装を開示している。
Yin Minn Pa Pa, S. Suzuki, K. Yoshioka, T. Matsumoto, T. Kasama, and C. Rossow, "IoTPOT: analysing the rise of IoT compromises" in 9th USENIX Workshop on Offensive Technologies (WOOT 15), 2015
なお、上記先行技術文献の開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明者らによってなされたものである。
上述のように、非特許文献1には、アクセス元の操作結果を蓄積し同様の操作に対しては蓄積した結果を返すハニーポットが開示されている。しかし、同一のコマンド(Linuxコマンド)でも実行したタイミングによって結果が異なる場合がある。例えば、あるファイルAがハニーポットにダウンロードされる前と後では、lsコマンド(ファイル、ディレクトリの内容表示コマンド)の結果が異なる。具体的には、ダウンロード前の結果にはファイルAが含まれないが、ダウンロード後の結果にはファイルAが含まれる。
非特許文献1では、同一の操作に対しては毎回同じ結果を返してしまうため、ファイルのダウンロードによるファイルシステムの変化が結果に反映されず、攻撃者にハニーポットであると看破される可能性がある。つまり、攻撃者は、ハニーポットのファイルシステムに変化がない不自然な状況を手がかりに攻撃対象がハニーポットであると看破する可能性がある。
本発明は、継続的に攻撃をしてくる攻撃者によりハニーポットであると看破されることを防止することに寄与する、監視装置、監視方法及びプログラムを提供することを主たる目的とする。
本発明乃至開示の第1の視点によれば、アクセス元を判定する、判定部と、前記アクセス元の活動により生じた環境の変更点を保存する、保存部と、前記アクセス元の操作に応答する際に参照する環境を前記保存部により保存された環境の変更点に基づき復元する、復元部と、を備える、監視装置が提供される。
本発明乃至開示の第2の視点によれば、監視装置において、アクセス元を判定するステップと、前記アクセス元の活動により生じた環境の変更点を保存するステップと、前記アクセス元の操作に応答する際に参照する環境を前記保存された環境の変更点に基づき復元するステップと、を実行する監視方法が提供される。
本発明乃至開示の第3の視点によれば、監視装置に搭載されたコンピュータに、アクセス元を判定する処理と、前記アクセス元の活動により生じた環境の変更点を保存する処理と、前記アクセス元の操作に応答する際に参照する環境を前記保存された環境の変更点に基づき復元する処理と、を実行させるプログラムが提供される。
なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
本発明乃至開示の各視点によれば、継続的に攻撃をしてくる攻撃者によりハニーポットであると看破されることを防止することに寄与する、監視装置、監視方法及びプログラムが、提供される。
一実施形態の概要を説明するための図である。 第1の実施形態に係る監視装置の内部構成の一例を示す図である。 変更履歴をディスクイメージで保存する場合の環境DBの持つテーブルの例である。 第1の実施形態に係る監視装置のハードウェア構成の一例を示す図である。 第1の実施形態に係る監視装置の動作の一例を示すシーケンス図である。 第2の実施形態に係る監視装置の内部構成の一例を示す図である。 変更履歴をディスクイメージで保存する場合の環境DBの持つテーブルの例である。
初めに、一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、各図におけるブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。さらに、本願開示に示す回路図、ブロック図、内部構成図、接続図などにおいて、明示は省略するが、入力ポート及び出力ポートが各接続線の入力端及び出力端のそれぞれに存在する。入出力インターフェイスも同様である。
一実施形態に係る監視装置100は、判定部101と、保存部102と、復元部103と、を備える(図1参照)。判定部101は、アクセス元を判定する。保存部102は、アクセス元の活動により生じた環境の変更点を保存する。復元部103は、アクセス元の操作に応答する際に参照する環境を保存部102により保存された環境の変更点に基づき復元する。
上記監視装置100は、アクセス元の活動によって生じた環境(ファイルシステム)の変更点をアクセス元ごとに記録しておき、アクセス元が同一の場合に過去の変更点を反映したファイルシステムをアクセス元へ提供する。その結果、継続的に攻撃してくる攻撃者にハニーポットと看破されないようにし、攻撃者による多くの活動を観測できる。
以下に具体的な実施の形態について、図面を参照してさらに詳しく説明する。なお、各実施形態において同一構成要素には同一の符号を付し、その説明を省略する。
[第1の実施形態]
第1の実施形態について、図面を用いてより詳細に説明する。
[構成の説明]
図2は、第1の実施形態に係る監視装置10の内部構成(処理構成)の一例を示す図である。監視装置10は、パケット送信部11と、パケット受信部12と、挙動監視部13と、挙動ログデータベース(DB;Data Base)14と、アクセス元判定部15と、環境復元部16と、環境保存部17と、環境データベース(DB)18と、を備える。
パケット送信部11は、挙動監視部13と接続されており、外部から接続のあったアクセス元に対して通信パケットを送信する手段(モジュール)である。
パケット受信部12は、挙動監視部13と接続されており、外部から受け取った通信パケットを挙動監視部13に引き渡す。
挙動監視部13は、アクセス元からの操作を受け付け、応答すると共に、アクセス元の活動を監視する。具体的には、挙動監視部13は、監視装置10が監視対象とするOSやサービスが動作し、受信した通信パケットを処理する。その際、挙動監視部13は、環境復元部16により提供された環境(ファイルシステム)に基づき、アクセス元からの操作に応答する。また、挙動監視部13は、受信した通信パケットの内容や処理結果をログとして記録する機能を備える。
挙動監視部13で通信パケットを処理した結果、ファイルシステムに影響を与える挙動であると判断した場合には、挙動監視部13は、環境保存部17へファイルシステムに影響を与える挙動に関する情報を引き渡す。
なお、ファイルシステムに影響を与える挙動とは、ファイル生成、ファイルダウンロード、ファイル削除、ファイル修正、ディレクトリ生成、ディレクトリ削除、ソフトウェアの設定変更等である。上記動作は、例示であってファイルシステムに影響を与える動作を限定する趣旨ではないのは勿論である。
挙動監視部13は、OSやサービスをエミュレートする低対話型であってもよいし、高対話型であってもよい。つまり、挙動監視部13は、実際(既存)のOSやサービスなどで実現可能である。
低対話型の具体例として、DionaeaやCowrie等のハニーポットが挙げられる。高対話型の具体例として、Linux等の汎用OSに、リモートデスクトップやSSH(Secure SHell)のサービスを動作させておくことが挙げられる。
また、挙動監視部13のログ記録機能は、低対話型や高対話型のツールに付属している機能や、別途ログ記録用ツールを監視装置10にインストールすることで実現可能である。なお、上記具体例は例示であって、他の手段を用いてもよい。
挙動ログDB14は、挙動監視部13で処理した内容やその結果についてのログを記録する。ログのフォーマットは、挙動監視部13で使用するツールに依存する。
アクセス元判定部15は、アクセス元を判定(特定)する手段である。より具体的には、アクセス元判定部15は、パケット受信部12が受信したパケットの特徴からアクセス元を識別する値を生成し、環境復元部16に引き渡す。つまり、アクセス元判定部15は、アクセス元が接続時に使用する通信プロトコルから受動的に把握できる情報を使用してアクセス元の同一性を判定するための情報を生成し、環境復元部16に引き渡す。アクセス元を識別する特徴の例として、アクセス元のIP(Internet Protocol)アドレスやクライアントに使われているライブラリバージョンなどがある。
環境DB18は、ファイルシステム(アクセス元が動作している環境)の変更点をアクセス元ごとに格納する。具体的には、環境DB18は、アクセス元ごとにファイルシステムの変更履歴を保存する。変更履歴の保存形式は、ディスクイメージや、新たに生成されたファイルや削除されたファイルを記録したテーブルなどで実現可能である。
図3は、変更履歴をディスクイメージで保存する場合の環境DB18の持つテーブルの例である。図3を参照すると、環境DB18のテーブルは、少なくともアクセス元と、そのアクセス元が行なったファイルシステムの変更が反映されたディスクイメージに関する情報を持つ。
また、接続のないアクセス元に対するファイルシステムとして、ベースイメージの情報を記録しておくことが好ましい。図3に示す「newcomer」は対応するアクセス元の記録がないアクセス元、すなわち、初めてアクセスしてきたアクセス元を示し、当該アクセス元に対してはベースイメージのファイルシステムが用いられることを示す。なお、図3では、IPアドレスをアクセス元の識別情報として用いている。
図2に説明を戻す。環境保存部17は、アクセス元の活動により生じた環境の変更点を保存する手段である。より具体的には、環境保存部17は、挙動監視部13で観測した、ファイルシステムに影響を与える挙動をファイルシステムに反映する。環境保存部17は、アクセス元判定部15が判定したアクセス元に合わせて環境復元部16が環境を復元できるよう、アクセス元の識別情報とファイルシステムの変更点を対応付けて環境DB18に保存する。環境保存部17は、アクセス元の活動によるファイルシステムの変更点をアクセス元ごとに環境DB18に格納する。
環境保存部17の機能は、変更履歴をディスクイメージで保存する場合、ディスクイメージをそのまま保存する方法で実現できる。つまり、環境保存部17は、アクセス元の活動終了後に、アクセス元の活動が反映されたファイルシステムをディスクイメージとして環境DB18に保存してもよい。
あるいは、環境保存部17は、ベースイメージとの差分を保存する方法などで変更履歴の保存を行ってもよい。つまり、環境保存部17は、アクセス元の活動終了後にアクセス元の活動によって生じたベースイメージからのファイルシステムの変更点をディスクイメージとして環境DB18に保存してもよい。
あるいは、環境保存部17は、ディスクイメージではなく、例えば、変更履歴をファイルとして保存する場合、新たに作成されたファイル、変更されたファイル、削除されたファイルに関する情報を保存してもよい。つまり、環境保存部17は、アクセス元の活動終了後にアクセス元の活動によって変更のあったファイルシステム上のファイルの情報を環境DB18に保存してもよい。
また、ファイルシステムの変更点を保存するタイミングに関し、環境保存部17は、ファイルシステムの変更を逐次保存してもよいし、セッション切断後に開始時のファイルシステムと比較して差分を保存してもよい。
環境復元部16は、アクセス元の操作に応答する際に参照する環境(ファイルシステム)を環境保存部17により保存された変更点に基づき復元する。より具体的には、環境復元部16は、アクセス元判定部15から取得したアクセス元を識別する値に基づき、当該アクセス元が過去に自装置(監視装置10)に接続した履歴があるか否かを調査する。
アクセスの履歴がなかった場合、環境復元部16は、デフォルトのファイルシステム(例えば、図3に示すベースイメージ)を挙動監視部13に引き渡す。
アクセスの履歴があった場合、環境復元部16は、過去のファイルシステムの変更を反映したファイルシステムを復元し、挙動監視部13に引き渡す。例えば、環境復元部16は、ベースイメージにファイルシステムの変更履歴を反映して、挙動監視部13に引き渡す。
このように、環境復元部16は、アクセス元判定部15が判定したアクセス元に対応したファイルシステムを環境DB18に記録された情報から復元し、挙動監視部13に提供する。その際、環境復元部16は、アクセス元からの初めてのアクセスの場合は、初アクセス用の環境(ベースイメージ)を挙動監視部13に提供する。さらに、環境復元部16は、アクセス元からのアクセスが2回目以降のアクセスの場合は、保存された環境の変更点に基づく環境を挙動監視部13に提供する。
変更履歴の保存に関し、新たに生成されたファイルや削除されたファイルとして保存している場合、ファイルシステムの変更を遡る期間は、環境DB18に存在する履歴すべてでも実現可能であるし、過去1ヶ月のように範囲を指定することでも実現可能である。
[ハードウェア構成]
続いて、監視装置10のハードウェア構成を説明する。
図4は、監視装置10のハードウェア構成の一例を示す図である。監視装置10は、図4に例示する構成を備える。例えば、監視装置10は、内部バスにより相互に接続される、CPU(Central Processing Unit)31、メモリ32、入出力インターフェイス33及び通信手段であるNIC(Network Interface Card)34等を備える。なお、図4に示す構成は、監視装置10のハードウェア構成を限定する趣旨ではない。監視装置10には、図示しないハードウェアも含まれていてもよい。
メモリ32は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)等である。
入出力インターフェイス33は、図示しない入出力装置のインターフェイスとなる手段である。入出力装置には、例えば、表示装置、操作デバイス等が含まれる。表示装置は、例えば、液晶ディスプレイ等である。操作デバイスは、例えば、キーボードやマウス等である。
上述の監視装置10の各処理モジュールは、例えば、メモリ32に格納されたプログラムをCPU31が実行することで実現される。また、そのプログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。即ち、上記処理モジュールが行う機能を何らかのハードウェア、及び/又は、ソフトウェアで実行する手段があればよい。
[動作の説明]
図5は、第1の実施形態に係る監視装置10の動作の一例を示すシーケンス図である。図5には、挙動監視部13へのログインに認証が必要な場合を例として示している。図5を参照しつつ、監視装置10の動作例を説明する。
監視装置10は、アクセス元からの接続(アクセス)を受け付ける(ステップS1)。
アクセス元判定部15は、アクセス元の接続時に受動的に把握できる情報(例えば、IPアドレス)からアクセス元を判定する(ステップS2)。
環境復元部16は、当該判定結果に対応したファイルシステムイメージを用意する(ステップS3)。つまり、環境復元部16は、アクセス元に対応したファイルシステムイメージを用意し、挙動監視部13に提供する。
アクセス元は、監視装置10に対して認証リクエストを送信する(ステップS4)。
その後、監視装置10は、アクセス元に対して認証レスポンスを返送する(ステップS5)。
上記ステップS4における認証リクエストに含まれる情報が正しい認証情報だった場合、監視装置10は、アクセス元のログインを許可し、ログイン後の挙動をログに記録する(ステップS6~S8)。監視装置10は、上記ステップS6~S8の動作をセッションが持続する間繰り返す。つまり、挙動監視部13は、アクセス元判定部15により判定された結果に応じて環境復元部16から提供されたファイルシステムを用いてアクセス元の動作を監視(ログ取得)し、必要に応じて操作結果をアクセス元に返信する。
何らかの理由によりセッションが切れた場合、環境保存部17は、当該セッション内で行われたファイルシステムの変更を保存する(ステップS9)。
認証情報が間違っていた場合、監視装置10は、セッションを切断する(ステップS10)。
以上のように、第1の実施形態に係る監視装置10は、アクセス元の活動により生じるファイルシステムの変更を記録しておき、当該アクセス元が過去に行なったファイルシステムの変更を反映した環境を提供するハニーポットとして動作する。その結果、アクセス元に対応したファイルシステムが保持、提供されることになり、攻撃者により監視装置10がハニーポットであると看破されることを防止できる。監視装置10がハニーポットであることが看破されなければ、攻撃者が多くの活動を行い有益な情報を多数得ることが可能になる。このように、第1の実施形態では、ハニーポット(監視装置10)が接続のたびに設定されたファイルシステムを模擬、又は、提供することで、繰り返し接続を試みる攻撃者が対象であっても、容易にハニーポットであると看破できなくなる。
[第2の実施形態]
続いて、第2の実施形態について図面を参照して詳細に説明する。なお、第1の実施形態と同様の構成要素については、同一の符号を付し詳細な説明を省略する。
[構成の説明]
図6は、第2の実施形態に係る監視装置20の内部構成(処理構成)の一例を示す図である。図6に示されるように、第2の実施形態における監視装置20は、その内部に環境ログDB、環境DBを備えていない。
図2に示す挙動ログDB14、環境DB18に相当するデータベースは、記憶装置(データベースサーバ)21として分離されている。なお、図6に示すように、第2の実施形態では、複数の監視装置20がシステムに存在することを前提とする。
記憶装置21は、挙動ログDB214と環境DB218を備える。記憶装置21は、監視装置20と接続されている。
監視装置20の挙動監視部13は、第1の実施形態と同様に、挙動ログDB214に挙動ログを保存する。
また、環境保存部17と環境復元部は16のそれぞれは、ファイルシステムの変更を保存する際とアクセス元に対応したファイルシステムを復元する際に環境DB218にアクセスする。
環境DB218が持つテーブルには、第1の実施形態にて説明した要素に加えて、監視装置20を識別する情報が加わる。図7は、変更履歴をディスクイメージで保存する場合の環境DB218の持つテーブルの例である。図7を参照すると、図3に示すテーブル情報に、監視装置のID(Identifier)が追加されている。
以上のように、第2の実施形態では、データベース(挙動ログDB、環境DB)を一元管理する。その結果、各監視装置の内部にデータベースを構築する場合と比較し、管理コストの低減や、複数の監視装置によるログの分析が容易に行える。
[変形例]
なお、第1及び第2の実施形態にて説明した監視装置の構成は例示であって、監視装置の構成を限定する趣旨ではない。例えば、挙動監視部13により収集された挙動ログを分析し、攻撃者を特定するモジュールが監視装置に含まれていてもよい。
さらに、コンピュータの記憶部に、上述したコンピュータプログラムをインストールすることにより、コンピュータを監視装置として機能させることができる。さらにまた、上述したコンピュータプログラムをコンピュータに実行させることにより、コンピュータによりアクセス元の活動を監視する監視方法を実行することができる。
また、上述の説明で用いたシーケンス図では、複数の工程(処理)が順番に記載されているが、各実施形態で実行される工程の実行順序は、その記載の順番に制限されない。各実施形態では、例えば各処理を並行して実行する等、図示される工程の順番を内容的に支障のない範囲で変更することができる。また、上述の各実施形態は、内容が相反しない範囲で組み合わせることができる。
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
[付記1]
上述の第1の視点に係る監視装置のとおりである。
[付記2]
前記アクセス元からの操作を受け付け、応答すると共に、前記アクセス元の活動を監視する挙動監視部と、
前記環境の変更点を前記アクセス元ごとに格納する、環境データベースと、
をさらに備え、
前記保存部は、前記環境の変更点を前記アクセス元ごとに前記環境データベースに格納し、
前記復元部は、前記アクセス元ごとに独立した環境を前記挙動監視部に提供し、
前記挙動監視部は、前記復元部により提供された環境に基づき、前記アクセス元からの操作に応答する、好ましくは付記1に記載の監視装置。
[付記3]
前記復元部は、前記アクセス元からの初めてのアクセスの場合は、初アクセス用の環境を前記挙動監視部に提供し、前記アクセス元からのアクセスが2回目以降のアクセスの場合は、前記保存された環境の変更点に基づく環境を前記挙動監視部に提供する、好ましくは付記2に記載の監視装置。
[付記4]
前記保存部は、
前記アクセス元の活動終了後に、前記アクセス元の活動が反映されたファイルシステムをディスクイメージとして前記環境データベースに保存する、好ましくは付記2又は3に記載の監視装置。
[付記5]
前記保存部は、
前記アクセス元の活動終了後に前記アクセス元の活動によって生じたファイルシステムの変更点をディスクイメージとして前記環境データベースに保存する、好ましくは付記2又は3に記載の監視装置。
[付記6]
前記保存部は、
前記アクセス元の活動終了後に前記アクセス元の活動によって変更のあったファイルシステム上のファイルの情報を前記環境データベースに保存する、好ましくは付記2又は3に記載の監視装置。
[付記7]
前記復元部は、
前記判定部が判定したアクセス元に対応したファイルシステムを前記環境データベースに記録された情報から復元し前記挙動監視部に提供する、好ましくは付記4乃至6のいずれか一に記載の監視装置。
[付記8]
前記判定部は、
前記アクセス元が接続時に使用する通信プロトコルから把握できる情報を使用してアクセス元の同一性を判定するための情報を生成する、好ましくは付記1乃至7のいずれか一に記載の監視装置。
[付記9]
挙動監視部で処理した内容及び処理結果に関するログを記憶する、挙動ログデータベースをさらに備える、好ましくは付記2乃至8のいずれか一に記載の監視装置。
[付記10]
前記挙動ログデータベース及び前記環境データベースは、外部の装置に構築されている、好ましくは付記9に記載の監視装置。
[付記11]
上述の第2の視点に係る監視方法のとおりである。
[付記12]
上述の第3の視点に係るプログラムのとおりである。
なお、付記11の形態及び付記12の形態は、付記1の形態と同様に、付記2の形態~付記10の形態に展開することが可能である。
なお、引用した上記の特許文献の開示は、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択(部分的削除を含む)が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
10、20、100 監視装置
11 パケット送信部
12 パケット受信部
13 挙動監視部
14、214 挙動ログデータベース(DB)
15 アクセス元判定部
16 環境復元部
17 環境保存部
18、218 環境データベース(DB)
21 記憶装置
31 CPU(Central Processing Unit)
32 メモリ
33 入出力インターフェイス
34 NIC(Network Interface Card)
101、判定部
102 保存部
103 復元部

Claims (10)

  1. アクセス元を判定する、判定部と、
    前記アクセス元の活動により生じた環境の変更点を保存する、保存部と、
    前記アクセス元の操作に応答する際に参照する前記アクセス元に対応した環境を前記保存部により保存された環境の変更点に基づき復元する、復元部と、
    前記アクセス元からの操作を受け付け、応答すると共に、前記アクセス元の活動を監視する挙動監視部と、
    前記環境の変更点を前記アクセス元ごとに格納する、環境データベースと、
    を備え、
    前記保存部は、前記環境の変更点を前記アクセス元ごとに前記環境データベースに格納し、
    前記アクセス元の活動終了後に、前記アクセス元の活動が反映されたファイルシステムをディスクイメージとして前記環境データベースに保存し、
    前記復元部は、前記アクセス元ごとに独立した環境を前記挙動監視部に提供し、
    前記挙動監視部は、前記復元部により提供された環境に基づき、前記アクセス元からの操作に応答する、監視装置。
  2. アクセス元を判定する、判定部と、
    前記アクセス元の活動により生じた環境の変更点を保存する、保存部と、
    前記アクセス元の操作に応答する際に参照する前記アクセス元に対応した環境を前記保存部により保存された環境の変更点に基づき復元する、復元部と、
    前記アクセス元からの操作を受け付け、応答すると共に、前記アクセス元の活動を監視する挙動監視部と、
    前記環境の変更点を前記アクセス元ごとに格納する、環境データベースと、
    を備え、
    前記保存部は、前記環境の変更点を前記アクセス元ごとに前記環境データベースに格納し、
    前記アクセス元の活動終了後に前記アクセス元の活動によって生じたファイルシステムの変更点をディスクイメージとして前記環境データベースに保存し、
    前記復元部は、前記アクセス元ごとに独立した環境を前記挙動監視部に提供し、
    前記挙動監視部は、前記復元部により提供された環境に基づき、前記アクセス元からの操作に応答する、監視装置。
  3. 前記復元部は、前記アクセス元からの初めてのアクセスの場合は、初アクセス用の環境を前記挙動監視部に提供し、前記アクセス元からのアクセスが2回目以降のアクセスの場合は、前記保存された環境の変更点に基づく環境を前記挙動監視部に提供する、請求項1又は2に記載の監視装置。
  4. 前記保存部は、
    前記アクセス元の活動終了後に前記アクセス元の活動によって変更のあったファイルシステム上のファイルの情報を前記環境データベースに保存する、請求項1乃至のいずれか一項に記載の監視装置。
  5. 前記復元部は、
    前記判定部が判定したアクセス元に対応したファイルシステムを前記環境データベースに記録された情報から復元し前記挙動監視部に提供する、請求項乃至のいずれか一項に記載の監視装置。
  6. 前記判定部は、
    前記アクセス元が接続時に使用する通信プロトコルから把握できる情報を使用してアクセス元の同一性を判定するための情報を生成する、請求項1乃至のいずれか一項に記載の監視装置。
  7. アクセス元の活動により生じた環境の変更点を前記アクセス元ごとに格納する、環境データベースを有する監視装置において、
    アクセス元を判定するステップと、
    前記アクセス元の活動により生じた環境の変更点を保存するステップと、
    前記アクセス元の操作に応答する際に参照する前記アクセス元に対応した環境を前記保存された環境の変更点に基づき復元するステップと、
    前記アクセス元からの操作を受け付け、応答すると共に、前記アクセス元の活動を監視するステップと、
    前記保存するステップでは、前記環境の変更点を前記アクセス元ごとに前記環境データベースに格納し、
    前記アクセス元の活動終了後に、前記アクセス元の活動が反映されたファイルシステムをディスクイメージとして前記環境データベースに保存し、
    前記復元するステップでは、前記アクセス元ごとに独立した環境を提供し、
    前記監視するステップでは、前記復元するステップにより提供された環境に基づき、前記アクセス元からの操作に応答する、
    監視方法。
  8. アクセス元の活動により生じた環境の変更点を前記アクセス元ごとに格納する、環境データベースを有する監視装置において、
    アクセス元を判定するステップと、
    前記アクセス元の活動により生じた環境の変更点を保存するステップと、
    前記アクセス元の操作に応答する際に参照する前記アクセス元に対応した環境を前記保存された環境の変更点に基づき復元するステップと、
    前記アクセス元からの操作を受け付け、応答すると共に、前記アクセス元の活動を監視するステップと、
    を実行し、
    前記保存するステップでは、前記環境の変更点を前記アクセス元ごとに前記環境データベースに格納し、
    前記アクセス元の活動終了後に前記アクセス元の活動によって生じたファイルシステムの変更点をディスクイメージとして前記環境データベースに保存し、
    前記復元するステップでは、前記アクセス元ごとに独立した環境を提供し、
    前記監視するステップでは、前記復元するステップにより提供された環境に基づき、前記アクセス元からの操作に応答する、
    監視方法。
  9. アクセス元の活動により生じた環境の変更点を前記アクセス元ごとに格納する、環境データベースを有する監視装置に搭載されたコンピュータに、
    アクセス元を判定する処理と、
    前記アクセス元の活動により生じた環境の変更点を保存する処理と、
    前記アクセス元の操作に応答する際に参照する前記アクセス元に対応した環境を前記保存された環境の変更点に基づき復元する処理と、
    前記アクセス元からの操作を受け付け、応答すると共に、前記アクセス元の活動を監視する処理と、
    を実行させ、
    前記保存する処理では、前記環境の変更点を前記アクセス元ごとに前記環境データベースに格納し、
    前記アクセス元の活動終了後に、前記アクセス元の活動が反映されたファイルシステムをディスクイメージとして前記環境データベースに保存し、
    前記復元する処理では、前記アクセス元ごとに独立した環境を提供し、
    前記監視する処理では、前記復元する処理により提供された環境に基づき、前記アクセス元からの操作に応答する、
    プログラム。
  10. アクセス元の活動により生じた環境の変更点を前記アクセス元ごとに格納する、環境データベースを有する監視装置に搭載されたコンピュータに、
    アクセス元を判定する処理と、
    前記アクセス元の活動により生じた環境の変更点を保存する処理と、
    前記アクセス元の操作に応答する際に参照する前記アクセス元に対応した環境を前記保存された環境の変更点に基づき復元する処理と、
    前記アクセス元からの操作を受け付け、応答すると共に、前記アクセス元の活動を監視する処理と、
    を実行させ、
    前記保存する処理では、前記環境の変更点を前記アクセス元ごとに前記環境データベースに格納し、
    前記アクセス元の活動終了後に前記アクセス元の活動によって生じたファイルシステムの変更点をディスクイメージとして前記環境データベースに保存し、
    前記復元する処理では、前記アクセス元ごとに独立した環境を提供し、
    前記監視する処理では、前記復元する処理により提供された環境に基づき、前記アクセス元からの操作に応答する、
    プログラム。
JP2020519212A 2018-05-14 2018-05-14 監視装置、監視方法及びプログラム Active JP7074187B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/018476 WO2019220480A1 (ja) 2018-05-14 2018-05-14 監視装置、監視方法及びプログラム

Publications (2)

Publication Number Publication Date
JPWO2019220480A1 JPWO2019220480A1 (ja) 2021-05-27
JP7074187B2 true JP7074187B2 (ja) 2022-05-24

Family

ID=68539701

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020519212A Active JP7074187B2 (ja) 2018-05-14 2018-05-14 監視装置、監視方法及びプログラム

Country Status (3)

Country Link
US (1) US12095815B2 (ja)
JP (1) JP7074187B2 (ja)
WO (1) WO2019220480A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112491817B (zh) * 2020-11-12 2023-04-18 中国联合网络通信集团有限公司 一种基于蜜罐技术的溯源方法、装置及蜜罐设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014238669A (ja) 2013-06-06 2014-12-18 富士通株式会社 シンクライアント端末装置及びデータバックアップ制御プログラム
WO2016042587A1 (ja) 2014-09-17 2016-03-24 三菱電機株式会社 攻撃観察装置、及び攻撃観察方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5534449A (en) * 1995-07-17 1996-07-09 Micron Technology, Inc. Methods of forming complementary metal oxide semiconductor (CMOS) integrated circuitry
JPH09146762A (ja) 1995-11-20 1997-06-06 Hitachi Ltd システムファイルのバックアップ方法及び復元方法
JP2008306610A (ja) 2007-06-11 2008-12-18 Hitachi Ltd 不正侵入・不正ソフトウェア調査システム、および通信振分装置
JP5269388B2 (ja) * 2007-10-25 2013-08-21 株式会社東芝 医用機器及び医用機器のセキュリティ管理方法
US7730248B2 (en) * 2007-12-13 2010-06-01 Texas Instruments Incorporated Interrupt morphing and configuration, circuits, systems and processes
JP5111340B2 (ja) * 2008-11-20 2013-01-09 株式会社日立製作所 情報処理システムを構成している装置の監視方法、情報処理装置、及び情報処理システム
US8479286B2 (en) 2009-12-15 2013-07-02 Mcafee, Inc. Systems and methods for behavioral sandboxing
JP2011248419A (ja) 2010-05-24 2011-12-08 Hitachi Ltd 業務計算機割当て方法及び装置
JP5713445B2 (ja) 2011-06-24 2015-05-07 日本電信電話株式会社 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム
JP2013210911A (ja) 2012-03-30 2013-10-10 Fuji Xerox Co Ltd 情報処理装置、情報処理システム及びプログラム
JP2015191344A (ja) * 2014-03-27 2015-11-02 沖電気工業株式会社 インストール装置及びインストール方法
US20170272466A1 (en) 2014-08-25 2017-09-21 Nec Corporation Security system, security method, and computer-readable medium
US10715533B2 (en) * 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
JP6869100B2 (ja) * 2017-05-12 2021-05-12 株式会社Pfu 情報処理装置、不正活動分類方法および不正活動分類用プログラム
US10318729B2 (en) * 2017-07-26 2019-06-11 Forcepoint, LLC Privacy protection during insider threat monitoring

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014238669A (ja) 2013-06-06 2014-12-18 富士通株式会社 シンクライアント端末装置及びデータバックアップ制御プログラム
WO2016042587A1 (ja) 2014-09-17 2016-03-24 三菱電機株式会社 攻撃観察装置、及び攻撃観察方法

Also Published As

Publication number Publication date
JPWO2019220480A1 (ja) 2021-05-27
WO2019220480A1 (ja) 2019-11-21
US20210120037A1 (en) 2021-04-22
US12095815B2 (en) 2024-09-17

Similar Documents

Publication Publication Date Title
US10958548B2 (en) Generating production server load activity for a test server
CN111651757B (zh) 攻击行为的监测方法、装置、设备及存储介质
JP2007334536A (ja) マルウェアの挙動解析システム
CN109586282B (zh) 一种电网未知威胁检测系统及方法
JP5106625B2 (ja) ファイアウォールを構成する方法、システム、およびコンピュータ・プログラム
CN112818307B (zh) 用户操作处理方法、系统、设备及计算机可读存储介质
US10091225B2 (en) Network monitoring method and network monitoring device
US9727394B2 (en) Establishing causality order of computer trace records
CN110737639A (zh) 审计日志方法、装置、计算机设备及存储介质
CN103152391A (zh) 一种日志输出方法和装置
CN110941632A (zh) 一种数据库审计方法、装置及设备
JP7074187B2 (ja) 監視装置、監視方法及びプログラム
JP5592303B2 (ja) 実行環境構築装置および実行環境構築システム
Bontchev et al. Analysis of the global attack landscape using data from a telnet honeypot
JP6098687B2 (ja) 通信先判定装置、通信先判定方法、及び、通信先判定プログラム
CN114978963B (zh) 一种网络系统监控分析方法、装置、电子设备及存储介质
Ahmed et al. Analysis of cloud digital evidence
JP2016192139A (ja) マルウェア解析装置およびマルウェア解析方法
JPWO2020065778A1 (ja) 情報処理装置、制御方法、及びプログラム
KR102156600B1 (ko) 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법
WO2022195737A1 (ja) 活動痕跡抽出装置、活動痕跡抽出方法及び活動痕跡抽出プログラム
WO2022195728A1 (ja) 活動痕跡抽出装置、活動痕跡抽出方法及び活動痕跡抽出プログラム
US8806046B1 (en) Application streaming and network file system optimization via integration with identity management solutions
CN118245698A (zh) web站点信息的获取方法、装置和存储介质及电子设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE

Effective date: 20201112

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220311

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220412

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220425

R151 Written notification of patent or utility model registration

Ref document number: 7074187

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151