JP6962374B2 - Log analyzer, log analysis method and program - Google Patents
Log analyzer, log analysis method and program Download PDFInfo
- Publication number
- JP6962374B2 JP6962374B2 JP2019538803A JP2019538803A JP6962374B2 JP 6962374 B2 JP6962374 B2 JP 6962374B2 JP 2019538803 A JP2019538803 A JP 2019538803A JP 2019538803 A JP2019538803 A JP 2019538803A JP 6962374 B2 JP6962374 B2 JP 6962374B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- log
- type
- unit
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims description 40
- 238000004891 communication Methods 0.000 claims description 119
- 238000000605 extraction Methods 0.000 claims description 41
- 238000000034 method Methods 0.000 claims description 22
- 239000000284 extract Substances 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 10
- 238000013500 data storage Methods 0.000 description 21
- 230000010365 information processing Effects 0.000 description 8
- 230000004044 response Effects 0.000 description 6
- 238000003066 decision tree Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000007637 random forest analysis Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 201000009032 substance abuse Diseases 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、ログ分析装置、ログ分析方法及びプログラムに関する。 The present invention relates to a log analyzer, a log analysis method and a program .
遠隔地にあるコンピュータを操作するための手段を悪用して、不正アクセスやマルウェア感染等のサイバー攻撃が行われる場合がある。遠隔地にあるコンピュータを操作するための手段には、例えば、Telnet(Teletype Network)やSSH(Secure Shell)等のCUI(Character User Interface)の手法や、RDP(Remote Desktop Protocol)、VNC(Virtual Network Computing)等のGUI(Graphical User Interface)の手法が含まれる。このようなサイバー攻撃が行われる場合に、攻撃者の目的や攻撃手法を明らかにするために、攻撃者の行動パターンを分析することが行われている。 Cyber attacks such as unauthorized access and malware infection may be carried out by abusing the means for operating a computer in a remote location. Means for operating a computer in a remote location include, for example, CUI (Character User Interface) methods such as Telnet (Teletype Network) and SSH (Secure Shell), RDP (Remote Desktop Protocol), and VNC (Virtual Network). A GUI (Graphical User Interface) method such as Computing) is included. When such a cyber attack is carried out, the behavior pattern of the attacker is analyzed in order to clarify the purpose and attack method of the attacker.
非特許文献1は、SSH(Secure Shell)を用いた不正アクセスについて、サーバ侵入後に実行されたコマンドの種類を7つのグループに分類し、コマンドグループの遷移図として表すことで攻撃者の行動パターンを示す技術を開示する。 Non-Patent Document 1 classifies the types of commands executed after a server intrusion into seven groups for unauthorized access using SSH (Secure Shell), and represents the attacker's behavior pattern as a transition diagram of the command groups. Disclose the techniques shown.
非特許文献2は、IRC(Internet Relay Chat)を悪用するボットネットを、人間がIRCメッセージを使用する際に入力されるメッセージの特徴と比較して検知する手法を提案する。 Non-Patent Document 2 proposes a method for detecting a botnet that abuses IRC (Internet Relay Chat) by comparing it with the characteristics of a message input when a human uses an IRC message.
また、特許文献1には、不正アクセス検知システム等が記載されている。特許文献2には、データ処理システムにおける脅威検出のための装置等が記載されている。 Further, Patent Document 1 describes an unauthorized access detection system and the like. Patent Document 2 describes a device for detecting a threat in a data processing system and the like.
サイバー攻撃における攻撃者の行動パターンに関する分析の一例として、攻撃手順が自動化されているか、又は手動での攻撃であるかの判別が行われる場合がある。そして、上述した文献に対して、攻撃の種別を容易に判別するための技術が求められている。 As an example of analysis of an attacker's behavior pattern in a cyber attack, it may be determined whether the attack procedure is automated or a manual attack. Then, with respect to the above-mentioned documents, a technique for easily determining the type of attack is required.
本発明は、上記課題を解決するためになされたものであって、サイバー攻撃における攻撃種類の判別を容易にするログ分析装置を提供することを主たる目的とする。 The present invention has been made to solve the above problems, and an object of the present invention is to provide a log analysis device that facilitates determination of an attack type in a cyber attack.
本発明の一態様におけるログ分析装置は、攻撃に関連する通信のログから、攻撃の種別に関係のある情報を抽出する抽出手段と、攻撃の種別に関係のある情報と、攻撃の種別に応じた判定ルールとに基づいて、ログに関連する攻撃の種別を判定する判定手段と、を備える。 The log analyzer according to one aspect of the present invention is an extraction means for extracting information related to the type of attack from the communication log related to the attack, information related to the type of attack, and depending on the type of attack. It is provided with a determination means for determining the type of attack related to the log based on the determination rule.
また、本発明の一態様におけるログ分析方法は、攻撃に関連する通信のログから、攻撃の種別に関係のある情報を抽出し、攻撃の種別に関係のある情報と、攻撃の種別に応じた判定ルールとに基づいて、ログに関連する攻撃の種別を判定する。 Further, the log analysis method in one aspect of the present invention extracts information related to the type of attack from the communication log related to the attack, and corresponds to the information related to the type of attack and the type of attack. Determine the type of attack related to the log based on the determination rules.
また、本発明の一態様におけるプログラムは、コンピュータに、攻撃に関連する通信のログから、攻撃の種別に関係のある情報を抽出する処理と、攻撃の種別に関係のある情報と、攻撃の種別に応じた判定ルールとに基づいて、ログに関連する記攻撃の種別を判定する処理と、を実行させる。
Further, the program according to one aspect of the present invention is a process of extracting information related to an attack type from a communication log related to an attack to a computer, information related to the attack type, and an attack type. based on the determination rule in accordance with the process of determining the type of serial-related attacks log, Ru is running.
本発明によると、サイバー攻撃における攻撃種類の判別を容易にするログ分析装置を提供することができる。 According to the present invention, it is possible to provide a log analysis device that facilitates determination of an attack type in a cyber attack.
本発明の各実施形態について、添付の図面を参照して説明する。本発明の各実施形態において、各装置(システム)の各構成要素は、機能単位のブロックを示している。各装置(システム)の各構成要素の一部又は全部は、例えば図18に示すような情報処理装置1000とプログラムとの任意の組み合わせにより実現される。情報処理装置1000は、一例として、以下のような構成を含む。 Each embodiment of the present invention will be described with reference to the accompanying drawings. In each embodiment of the present invention, each component of each device (system) represents a block of functional units. A part or all of each component of each device (system) is realized by an arbitrary combination of the
・CPU(Central Processing Unit)1001
・ROM(Read Only Memory)1002
・RAM(Random Access Memory)1003
・RAM1003にロードされるプログラム1004
・プログラム1004を格納する記憶装置1005
・記録媒体1006の読み書きを行うドライブ装置1007
・通信ネットワーク1009と接続する通信インターフェース1008
・データの入出力を行う入出力インターフェース1010
・各構成要素を接続するバス1011
各実施形態における各装置の各構成要素は、これらの機能を実現するプログラム1004をCPU1001が取得して実行することで実現される。各装置の各構成要素の機能を実現するプログラム1004は、例えば、予め記憶装置1005やRAM1003に格納されており、必要に応じてCPU1001が読み出す。なお、プログラム1004は、通信ネットワーク1009を介してCPU1001に供給されてもよいし、予め記録媒体1006に格納されており、ドライブ装置1007が当該プログラムを読み出してCPU1001に供給してもよい。-CPU (Central Processing Unit) 1001
-ROM (Read Only Memory) 1002
・ RAM (Random Access Memory) 1003
-
A
A
-
-I /
-
Each component of each device in each embodiment is realized by the
各装置の実現方法には、様々な変形例がある。例えば、各装置は、構成要素毎にそれぞれ別個の情報処理装置1000とプログラムとの任意の組み合わせにより実現されてもよい。また、各装置が備える複数の構成要素が、一つの情報処理装置1000とプログラムとの任意の組み合わせにより実現されてもよい。 There are various modifications in the method of realizing each device. For example, each device may be realized by any combination of the
また、各装置の各構成要素の一部又は全部は、プロセッサ等を含む汎用または専用の回路や、これらの組み合わせによって実現される。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各装置の各構成要素の一部又は全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。 Further, a part or all of each component of each device is realized by a general-purpose or dedicated circuit including a processor or the like, or a combination thereof. These may be composed of a single chip or may be composed of a plurality of chips connected via a bus. A part or all of each component of each device may be realized by a combination of the above-mentioned circuit or the like and a program.
各装置の各構成要素の一部又は全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は、集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。 When a part or all of each component of each device is realized by a plurality of information processing devices and circuits, the plurality of information processing devices and circuits may be centrally arranged or distributed. May be good. For example, the information processing device, the circuit, and the like may be realized as a form in which each is connected via a communication network, such as a client-and-server system and a cloud computing system.
(第1の実施形態)
まず、本発明の第1の実施形態について説明する。図1は、本発明の第1の実施形態におけるログ分析装置100を示す図である。(First Embodiment)
First, the first embodiment of the present invention will be described. FIG. 1 is a diagram showing a
図1に示すとおり、本発明の第1の実施形態におけるログ分析装置100は、少なくとも、抽出部110と、判定部120とを備える。抽出部110は、攻撃に関連する通信のログから、攻撃の種別に関係のある情報を抽出する。判定部120は、攻撃の種別に関係のある情報と、攻撃の種別に応じた判定ルールとに基づいて、ログに関連する攻撃の種別を判定する。 As shown in FIG. 1, the
また、図2は、ログ分析装置100のより具体的な構成の一例を示す。図2に示す例では、ログ分析装置100は、抽出部110及び判定部120に加えて、ログ取得部101と、出力部102と、記憶部130とを備える。この構成では、全ての要素が一つの装置として実現されてもよいし、記憶部130とその他の要素とが、通信ネットワークを介して接続される別個の装置によって実現されてもよい。 Further, FIG. 2 shows an example of a more specific configuration of the
ログ取得部101は、攻撃種別の判定の対象となる通信のログを取得する。出力部102は、判定部120によって判定された攻撃種別の結果や、結果に関連する情報を出力する。記憶部130は、主に判定部120における攻撃の種別の判定に必要となる情報を記憶する。図2に示す例では、記憶部130は、判定ルール記憶部131と、自動操作定義記憶部132と、手動操作定義記憶部133とを有する。判定ルール記憶部131は、攻撃の種別を判定する際の条件を記憶する。自動操作定義記憶部132は、自動の操作によって行われる攻撃に関連する特徴を記憶する。手動操作定義記憶部133は、手動の操作によって行われる攻撃に関連する特徴を記憶する。 The
続いて、ログ分析装置100の各構成要素について説明する。 Subsequently, each component of the
ログ取得部101は、攻撃種別の判定の対象となる通信のログを取得する。ログ取得部101が取得するログは、主に、何らかの攻撃に関連する通信のログであることを想定する。ログ取得部101が取得するログの種類は特に限られず、pcap(packet capture)ファイルのようなバイナリファイルでもよいし、又はプロキシログのようなテキストファイルでもよい。また、攻撃の種類は特に制限されず、例えば、スキャン攻撃や不正アクセスを目的とした攻撃が、想定される攻撃に含まれる。 The
抽出部110は、攻撃に関連する通信のログから、攻撃の種別に関係のある情報を抽出する。通信のログは、例えばログ取得部101によって取得されたログである。抽出部110は、通信のセッションやその他の予め定められた期間を単位として、攻撃の種別に関係のある情報を抽出する。 The
セッションを単位として攻撃の種別に関係のある情報が抽出される場合には、セッションの区別には、送信元のIP(Internet Protocol)アドレス、送信元のポート番号、宛先のIPアドレス、宛先のポート番号、プロトコル及びその他の情報が用いられる。 When information related to the type of attack is extracted on a session-by-session basis, the session can be distinguished by the source IP (Internet Protocol) address, source port number, destination IP address, and destination port. Numbers, protocols and other information are used.
また、攻撃の種別に関係のある情報には、例えば、時間に関する情報や、データの大きさに関する情報、キーボードからの入力に関する情報が含まれる。抽出部110は、一例として、これらの情報をログから抽出する。なお、攻撃の種別に関係のある情報はこれらに限られず、抽出部110は、他の情報を攻撃の種別に関係のある情報として取得してもよい。 In addition, the information related to the type of attack includes, for example, information on time, information on the size of data, and information on input from the keyboard. The
時間に関する情報には、例えば、送信元からの応答時間や、パケットの到達間隔、あるパケットとその前のパケットとの到達時間差が含まれる。また、これらの平均や標準偏差等の統計的な値が時間に関する情報として求められてもよい。データの大きさに関する情報には、例えば、対象となるセッションにおいて受信したパケットサイズが含まれる。また、パケットサイズの平均や標準偏差等の統計的な値が時間に関する情報として求められてもよい。キーボードからの入力に関する情報には、例えば、特定のキーの入力の有無が含まれる。ただし、時間に関する情報、データの大きさに関する情報及びキーボードからの入力に関する情報の各々には、上述した情報以外の情報が含まれてもよい。 The time information includes, for example, the response time from the source, the packet arrival interval, and the arrival time difference between one packet and the previous packet. In addition, statistical values such as these averages and standard deviations may be obtained as information on time. Information about the size of the data includes, for example, the packet size received in the session of interest. Further, statistical values such as the average packet size and the standard deviation may be obtained as information on time. Information about keyboard input includes, for example, the presence or absence of a particular key input. However, each of the information regarding time, the information regarding the size of data, and the information regarding input from the keyboard may include information other than the above-mentioned information.
抽出部110は、ログを順次参照して、上述した情報を抽出する。また、抽出部110は、抽出した情報を用いて、更に上述した統計的な値を求めてもよい。
ログを参照する場合には、抽出部110は、ログの種類に応じた手段を適宜用いてログを参照する。The
When referring to the log, the
ログがpcapファイルである場合には、抽出部110は、ファイルの先頭から順に、pcapヘッダや各プロトコルレイヤーのヘッダに格納された値を取得する。抽出部110は、TCP(Transmission Control Protocol)ペイロードのサイズやキーボードからの入力等、ヘッダに記録されていない情報も併せて取得してもよい。抽出部110は、取得された値をセッション毎にまとめ、例えば後述する図3のような形式にて記憶部130やその他の要素に必要に応じて適宜格納する。pcapファイルの最後まで参照した場合には、抽出部110は、セッション毎に記録された情報から、パケット到達間隔やパケットサイズ等の平均や標準偏差を含む他の情報を更に求めてもよい。 When the log is a pcap file, the
図3は、攻撃の種別に関係のある情報がセッション毎に抽出された場合における、抽出部110によって抽出される情報の一例を示す。図3において、“id”は、セッション毎に割り当てられる識別番号を示す。“src_ip”は、送信元のIPアドレスを、“src_port”は、送信元のポート番号を示す。また、“dst_ip”は、宛先のIPアドレスを、“dst_port”は、宛先のポート番号を示す。“src_ip”、“src_port”、“dst_ip”及び“dst_port”の各々の項には、具体的なアドレスやポート番号が記載されてもよい。“type”は、当該セッションにおいて用いられたプロトコルの種類を示す。図3に示す例では、当該セッションにおいてはSSHが用いられたことを示している。また、“keyboard_input”は、指摘されたキーの入力の有無を示す。図3に示す例では、当該項目に対する値は「“backspace”:True」である。すなわち、キーボードのバックスペースキーの入力が含まれることが示されている。 FIG. 3 shows an example of the information extracted by the
なお、抽出部110によって抽出するセッションの数は、特に限られない。また、図3に示す例において、セッション等の抽出の単位毎に、攻撃の種別に関係のある情報の数は限られない。すなわち、図3に示す例においては、送信元からの応答時間の統計値やパケットサイズ等、その他の情報が更に含まれてもよい。判定部120による判定の手順等によっては、図3に挙げられている情報の各々の少なくとも一部は、抽出されなくてもよい。 The number of sessions extracted by the
判定部120は、抽出部110によって抽出される攻撃の種別に関係のある情報と、攻撃の種別に応じた判定ルールとに基づいて、ログに関連する攻撃の種別を判定する。判定部120は、上述した単位毎に、当該ログに関連する攻撃が、スクリプトやマルウェア等によって自動的に行われる自動攻撃であるか、又は、攻撃者が手順を逐次実行する手動攻撃であるかを判定する。 The
より詳しくは、判定部120は、抽出部110によって抽出される攻撃の種別に関係のある情報と、攻撃の種別に応じた判定ルールとを照合することで、当該ログに関連する攻撃が、自動攻撃であるか、又は手動攻撃であるかを判定する。判定部120による手順について、更に説明する。 More specifically, the
図4は、判定部120にて用いられる判定ルールの一例を示す。判定ルールは、例えば、判定ルール記憶部131に予め記憶される。なお、判定部120は、判定ルール記憶部131に予め記憶される判定ルールに限らず、例えば外部のサーバや他の外部の装置から適宜取得した判定ルールを用いて判定を行ってもよい。 FIG. 4 shows an example of the determination rule used by the
図4に示す例において、“ID”は、各々の判定ルール毎に割り当てられ、各々の判定ルールを識別する識別情報を示す。“プロトコル”は、各々の判定ルールによって対象とされるプロトコルの種類を示す。“攻撃種別”は、各々の判定ルールによって対象とされる攻撃の種別を示す。
そして、“ルール”は、項目“プロトコル”が合致するログが、“攻撃種別”に示される攻撃の種別に関連するものであると判断するために満たすべき条件を示す。In the example shown in FIG. 4, "ID" is assigned to each determination rule and indicates identification information for identifying each determination rule. “Protocol” indicates the type of protocol targeted by each determination rule. "Attack type" indicates the type of attack targeted by each judgment rule.
Then, the "rule" indicates a condition to be satisfied in order to determine that the log matching the item "protocol" is related to the type of attack shown in the "attack type".
すなわち、“ID”が“R1”の判定ルールは、プロトコルがTelnetである通信のログについて、条件A1及びA2が共に成り立つ場合に、当該ログは自動攻撃に関するログであると判断可能であることを示す。同様に、“ID”が“R2”の判定ルールは、プロトコルがSSHである通信のログについて、条件M2が成り立つ場合に、当該ログは手動攻撃に関するログであると判断可能であることを示す。 That is, the determination rule in which the "ID" is "R1" can determine that the log is a log related to an automatic attack when the conditions A1 and A2 are both satisfied for the communication log whose protocol is Telnet. show. Similarly, the determination rule in which the "ID" is "R2" indicates that, when the condition M2 is satisfied for the communication log whose protocol is SSH, it can be determined that the log is a log related to a manual attack.
また、図4に示すルールの詳細は、自動操作定義又は手動操作定義として規定される。図5は、自動操作定義の例を示す。また、図6は、手動操作定義の例を示す。 Further, the details of the rule shown in FIG. 4 are defined as an automatic operation definition or a manual operation definition. FIG. 5 shows an example of an automatic operation definition. Further, FIG. 6 shows an example of a manual operation definition.
自動操作定義又は手動操作定義の各々は、例えば、自動操作定義記憶部132又は手動操作定義記憶部133に予めそれぞれ記憶される。なお、判定部120は、自動操作定義記憶部132又は手動操作定義記憶部133に予め記憶される判定ルールに限らず、適宜外部のサーバ等から適宜取得した判定ルールを用いて判定を行ってもよい。 Each of the automatic operation definition and the manual operation definition is stored in advance in, for example, the automatic operation
図5及び図6に示す例において、“識別子”は、各々のルールを識別する識別子である。“特徴”は、ログにおいて攻撃の種別に関連する特徴を示す。“条件”は、当該ルールが満たされると判断されるための特徴に対する条件を示す。 In the examples shown in FIGS. 5 and 6, the "identifier" is an identifier that identifies each rule. “Characteristics” indicates the characteristics related to the type of attack in the log. “Condition” indicates a condition for a feature for determining that the rule is satisfied.
なお、図5及び図6の各々において、“特徴”欄の“response_time”は、送信元IPアドレスにて指定された相手からの応答時間を示す。また、“std”は標準偏差を示し、“mean”は平均を示す。また、図5及び図6の各々において、“条件”欄の“s”は秒を示し、“is_true”は、“特徴”欄において指定されたキーボードの入力が存在することを示す。すなわち、送信元IPアドレスにて指定された相手からの応答時間の標準偏差が5秒未満である場合に、図5に示すルールA1が満たされると判断できる。 In each of FIGS. 5 and 6, "response_time" in the "feature" column indicates the response time from the other party specified by the source IP address. Further, "std" indicates the standard deviation, and "mean" indicates the average. Further, in each of FIGS. 5 and 6, "s" in the "condition" column indicates seconds, and "is_true" indicates that the keyboard input specified in the "feature" column exists. That is, it can be determined that the rule A1 shown in FIG. 5 is satisfied when the standard deviation of the response time from the other party specified by the source IP address is less than 5 seconds.
なお、図4に示す例では、プロトコル毎に1つずつの判定ルールが設定されている。しかしながら、プロトコル毎に複数の判定ルールが設定されてもよい。プロトコルの種類はTelnet又はSSHに限られず、これ以外のプロトコルであってもよい。また、図4に示す例では、自動攻撃又は手動攻撃の各々について、1つずつの判定ルールが設定されている。しかしながら、自動攻撃又は手動攻撃の各々について、複数の判定ルールが設定されてもよい。 In the example shown in FIG. 4, one determination rule is set for each protocol. However, a plurality of determination rules may be set for each protocol. The type of protocol is not limited to Telnet or SSH, and other protocols may be used. Further, in the example shown in FIG. 4, one determination rule is set for each of the automatic attack and the manual attack. However, a plurality of determination rules may be set for each of the automatic attack and the manual attack.
また、図4に示す自動操作定義及び図6に示す手動操作定義の各々についても、条件の数は図示される数に限定されない。条件は、応答時間又はキーボードからの入力に限られない。例えば、パケットサイズに関する条件やその他の条件が、図4又は図6に示す条件として含まれてもよい。多くの判定ルール又はそのための条件が設定されることで、より多数の種類の攻撃に対する判定が可能となる。 Further, the number of conditions is not limited to the number shown in each of the automatic operation definition shown in FIG. 4 and the manual operation definition shown in FIG. The conditions are not limited to response time or keyboard input. For example, a condition relating to packet size and other conditions may be included as the conditions shown in FIG. 4 or FIG. By setting many judgment rules or conditions for them, it is possible to judge against a larger number of types of attacks.
図3から図6に示す例を用いて、抽出部110によって抽出された、攻撃の種別に関係のある情報に対して、判定部120が攻撃の種別を判定する場合の処理を説明する。 The process when the
図3に示す、抽出部110によって抽出された“id”が“00001”である情報を参照すると、“type”が“SSH”である。そのため、判定部120は、図4に示す判定ルールのうち、プロトコルが“SSH”であるルールを取得して判定を行う。つまり、判定部120は、図3に示す情報が、図4に示す判定ルールのうち、プロトコルが“SSH”であるルールR2を満たすか否かを判定する。すなわち、判定部120は、ルールM2を満たすか否かを判定する。図3に示す情報がルールM2を満たす場合には、判定部120は、当該情報の抽出元となったログに関連する攻撃は、手動攻撃であると判定する。 With reference to the information shown in FIG. 3 in which the “id” extracted by the
図6を参照すると、ルールM2は、特徴が“keyboard_input[“backspace”]”であり、条件が“is_true”である。すなわち、キーボードのバックスペースキーの入力がある場合に、当該ルールが成り立つことが示されている。一方、図3を参照すると、“keyboard_input”との項目があり、当該項目に対する値は、「“backspace”:True」である。これは、上述のように、キーボードのバックスペースキーの入力が含まれることが示している。すなわち、ルールM2は成り立つ。 Referring to FIG. 6, rule M2 has a feature of "keyboard_input [" backspace "]" and a condition of "is_true". That is, it is shown that the rule holds when the backspace key of the keyboard is input. On the other hand, referring to FIG. 3, there is an item of "keyboard_input", and the value for the item is "" backspace ": True". This indicates that, as mentioned above, the input of the backspace key on the keyboard is included. That is, the rule M2 holds.
したがって、この場合に、判定部120は、“id”が“00001”である情報の抽出元となるログに関連する攻撃は、手動攻撃であると判定する。 Therefore, in this case, the
出力部102は、判定部120によって判定された攻撃種別の結果や、結果に関連する情報を出力する。出力部102による出力の対象は特に限られず、例えば、任意の表示装置(不図示)において表示されるコンソールであってもよいし、ファイルであってもよい。また、出力部102によって出力される結果やその他の情報は、判定された全ての結果であってもよいし、自動攻撃又は手動攻撃と判定された結果のいずれか一方であってもよい。また、出力部102は、抽出部110によって情報を抽出した際の単位や、抽出の基準を含む他の情報を出力してもよい。通信のセッションを単位として攻撃種別の判定が行われた場合には、出力部102は、判定結果と併せて、送信元のIPアドレス、送信元のポート番号、宛先のIPアドレス、宛先のポート番号、プロトコル等を、判定された攻撃種別の結果に関連する情報として出力してもよい。 The
続いて、図7に示すフローチャートを参照して、本実施形態におけるログ分析装置100の動作を説明する。なお、この動作例は、ログ分析装置100が図2に示す構成を備えることを想定する。 Subsequently, the operation of the
まず、ログ取得部101は、攻撃種別の判定の対象となる通信のログを取得する(ステップS101)。このステップにおいて、ログ取得部101は、複数のログを取得してもよい。 First, the
次に、抽出部110は、ステップS101にて取得された通信のログから、予め定められた期間やセッション等を単位として攻撃の種別に関係のある情報を抽出する(ステップS102)。ステップS101において複数のログが取得されている場合には、ステップS102の動作は、適宜繰り返して行われる。 Next, the
次に、判定部120は、ステップS102において抽出された攻撃の種別に関係のある情報と、攻撃の種別に応じた判定ルールとに基づいて、攻撃の種別を判定する(ステップS103)。ステップS102において、複数の期間やセッション等を対象として情報の抽出が行われた場合には、ステップS103の処理は適宜繰り返して行われる。 Next, the
次に、出力部102は、ステップS103において判定された、攻撃種別の結果等の情報を出力する(ステップS104)。 Next, the
以上のとおり、本実施形態におけるログ分析装置100は、通信のログから、攻撃の種別に関係のある情報を抽出し、当該情報と攻撃の種別に応じた判定ルールとに基づいて、ログに関連する攻撃の種別を判定する。ログ分析装置100による分析では、攻撃の種別に関係のある情報として、種々の情報が利用可能であり、かつ、攻撃の種別に応じた複数の判定ルールが利用可能である。
そのため、ログ分析装置100は、様々なパターンの攻撃を含む通信のログに関して、攻撃の種別を判定することができる。したがって、ログ分析装置100は、サイバー攻撃における攻撃種類の判別を容易にする。As described above, the
Therefore, the
(第2の実施形態)
次に、本発明の第2の実施形態について説明する。図8は、本発明の第2の実施形態におけるログ分析装置200を示す図である。(Second Embodiment)
Next, a second embodiment of the present invention will be described. FIG. 8 is a diagram showing a
図8に示すとおり、本発明の第2の実施形態におけるログ分析装置200は、抽出部110と、判定部120と、判定ルール生成部240とを備える。抽出部110及び判定部120は、第1の実施形態におけるログ分析装置100が備える要素と同様の要素である。判定ルール生成部240は、攻撃の種別が判定された通信のログに基づいて、判定ルールを生成する。すなわち、ログ分析装置200は、判定ルール生成部240を備える点が、ログ分析装置100と異なる。 As shown in FIG. 8, the
また、図9は、ログ分析装置200のより具体的な構成の一例を示す。図9に示す例では、ログ分析装置200は、抽出部110、判定部120及び判定ルール生成部240に加えて、ログ取得部101と、出力部102と、記憶部130とを備える。ログ取得部101及び出力部102は、図2において同じ符号が付された要素と同様の要素である。また、図9に示す例では、記憶部130は、判定ルール記憶部131と、自動操作定義記憶部132と、手動操作定義記憶部133と、通信データ記憶部234とを有する。判定ルール記憶部131、自動操作定義記憶部132及び手動操作定義記憶部133の各々は、図2において同じ符号が付された要素と同様の要素である。通信データ記憶部234は、攻撃の種別が判定された攻撃に関連する通信のログを記憶する。すなわち、図9に示す例では、記憶部130が通信データ記憶部234を更に有する点が、図2に示すログ分析装置200の具体的な構成例と異なる。 Further, FIG. 9 shows an example of a more specific configuration of the
続いて、ログ分析装置200の各構成要素について説明する。なお、上述したログ分析装置100が備える要素と同様の要素については、説明を適宜省略する。 Subsequently, each component of the
判定ルール生成部240は、攻撃の種別が判定された通信のログに基づいて、判定ルールを生成する。生成される判定ルールは、例えば、上述した図4から図6のような形式にて表されるが、これには限られず、判定ルールの生成方法に応じて適宜定められればよい。判定部120は、予め用意された判定ルールに限らず、判定ルール生成部240にて生成された判定ルールに基づいて攻撃の種別を判定する。 The determination
判定ルール生成部240は、一例として、機械学習の手法を用いて判定ルールを生成する。この場合に、判定ルール生成部240は、例えばランダムフォレストと呼ばれる手法を用いて判定ルールを生成する。 The determination
判定ルール生成部240が、ランダムフォレストにより判定ルールを生成する場合の一例を説明する。この場合に、判定ルール生成部240は、予め自動攻撃又は手動攻撃に関連すると判定されたログの各々から、上述した攻撃の種別に関係のある情報を抽出する。すなわち、判定ルール生成部240は、これらのログの各々から、時間に関する情報、データの大きさに関する情報、又はキーボードからの入力に関する情報を含む各種の情報を抽出する。抽出された情報は、例えば上述した図3のように表される。 An example of the case where the judgment
そして、判定ルール生成部240は、上述した攻撃の種別に関係のある情報を自動攻撃と手動攻撃とに分類する複数の決定木を生成する。生成される決定木の数は特に制限されず、抽出された情報の量等に応じて適宜定められればよい。このように判定ルールが生成された場合に、判定部120は、生成された決定木に基づいて攻撃の種別を判定する。すなわち、判定部120は、生成された決定木の各々による自動攻撃又は手動攻撃の分類結果の多数決により、攻撃の種別を判定する。 Then, the determination
なお、判定ルール生成部240は、ランダムフォレスト以外の他の機械学習の手法に基づいて判定ルールを生成してもよい。また、生成された判定ルールは、記憶部130の判定ルール記憶部131、自動操作定義記憶部132又は手動操作定義記憶部133の各々に適宜格納される。判定部120は、記憶部130の各要素に記憶された判定ルールを参照して攻撃の種別を判定する。 The determination
判定ルール生成部240が判定ルールの生成に際して用いる通信のログは、例えば、予め通信データ記憶部234に格納される。通信データ記憶部234に記憶される通信のログは、自動攻撃又は手動攻撃のいずれかであることが判定されているログである。通信データ記憶部234に記憶される通信のログは、判定部120にて攻撃の種別が判定されたログであってもよい。このようにすることで、精度の高い判定ルールに基づいて判定部120にて攻撃の種別が判定された通信のログが、判定ルールの生成においても利用可能となる。 The communication log used by the determination
通信データ記憶部234においては、通信のログは、攻撃の種別に応じて別個のファイルとして格納される。そのため、通信データ記憶部234は、ファイルを管理する表を保持する。図10は、ファイルを管理する表の一例を示す。図10に示すような表には、記憶されるファイルの各々について、攻撃種別とファイルを識別する情報が記載される。ファイルを識別する情報には、ファイルパスやファイルのハッシュ値が用いられる。
図10に示す例では、自動攻撃に関するログのファイルは、<ファイルパス>にて指定されるファイルである。また、手動攻撃に関するログのファイルは、<ファイルのハッシュ値>によって特定されるファイルである。In the communication
In the example shown in FIG. 10, the log file related to the automatic attack is the file specified by <file path>. In addition, the log file related to manual attacks is a file specified by <file hash value>.
なお、判定ルール生成部240は、通信データ記憶部234に記憶される通信のログとは異なるログを用いて判定ルールを生成してもよい。例えば、判定ルール生成部240は、予め種別が判定された、攻撃に関連する通信のログを外部のサーバ等から適宜取得し、取得した判定ルールを用いて判定ルールを作成してもよい。 The determination
続いて、図11に示すフローチャートを参照して、本実施形態におけるログ分析装置200の判定ルールの生成に関する動作を説明する。この動作例は、ログ分析装置200が図9に示す構成を備えることを想定する。なお、ログ分析装置200は、ログ分析装置100と同様の動作にて情報の抽出や攻撃の種別の判定等を行う。 Subsequently, the operation related to the generation of the determination rule of the
まず、判定ルール生成部240は、判定ルールの生成に際して用いられる通信のログを取得する(ステップS201)。判定ルール生成部240は、記憶部130の通信データ記憶部234を適宜参照して、通信のログを取得する。 First, the determination
次に、判定ルール生成部240は、ステップS201にて取得された通信のログを用いて、判定ルールを生成する(ステップS202)。 Next, the determination
次に、判定ルール生成部240は、ステップS202において生成された判定ルールを記憶部130の各要素に記憶するように記憶部130の内容を更新する(ステップS203)。 Next, the determination
以上のとおり、本実施形態におけるログ分析装置200は、判定ルールを生成する判定ルール生成部240を更に備える。判定ルール生成部240が備えられることで、判定部120は、より多くの判定ルールを用いて攻撃の種別を判定することができる。また、判定ルール生成部240は、判定部120によって判定された通信のログを用いて判定ルールを生成することができる。すなわち、判定ルール生成部240において機械学習の手法が用いられる場合に、より多くのデータを学習データとして用いることができる。したがって、ログ分析装置200は、ログ分析装置100と同様の効果を奏し、かつ、より高い精度での攻撃種類の判別を可能にする。 As described above, the
(第3の実施形態)
次に、本発明の第3の実施形態について説明する。図12は、本発明の第3の実施形態におけるログ分析装置300を示す図である。(Third Embodiment)
Next, a third embodiment of the present invention will be described. FIG. 12 is a diagram showing a
図12に示すとおり、本発明の第3の実施形態におけるログ分析装置300は、抽出部110と、判定部120と、判定ルール生成部240と、受信部350と、第1の観測部360とを備える。抽出部110及び判定部120は、第1の実施形態におけるログ分析装置100が備える要素と同様の要素である。判定ルール生成部240は、第2の実施形態におけるログ分析装置200が備える要素と同様の要素である。受信部350は、攻撃に関連する通信を受信する。第1の観測部360は、受信部350が受信する通信を観測する。すなわち、ログ分析装置300は、受信部350及び第1の観測部360を備える点が、ログ分析装置200と異なる。 As shown in FIG. 12, the
また、図13は、ログ分析装置300のより具体的な構成の一例を示す。図13に示す例では、ログ分析装置300は、抽出部110、判定部120、判定ルール生成部240、受信部350及び第1の観測部360に加えて、ログ取得部101と、出力部102と、記憶部130とを備える。ログ取得部101及び出力部102は、図2において同じ符号が付された要素と同様の要素である。 Further, FIG. 13 shows an example of a more specific configuration of the
また、図13に示す例では、記憶部130は、判定ルール記憶部131と、自動操作定義記憶部132と、手動操作定義記憶部133と、通信データ記憶部234と、観測データ記憶部335とを有する。判定ルール記憶部131、自動操作定義記憶部132、手動操作定義記憶部133及び通信データ記憶部234の各々は、図2又は図9において同じ符号が付された要素と同様の要素である。観測データ記憶部335は、第1の観測部360が、受信部350の通信を観測することで得た通信のログを記憶する。 Further, in the example shown in FIG. 13, the
なお、図12及び図13に示す例では、判定ルール生成部240及び通信データ記憶部234を備える構成が示されている。しかしながら、ログ分析装置300は、これらの要素を備えなくてもよい。すなわち、ログ分析装置300は、第1の実施形態におけるログ分析装置100に対して、更に受信部350と、第1の観測部360とを少なくとも備える構成であってもよい。 In the examples shown in FIGS. 12 and 13, a configuration including a determination
続いて、ログ分析装置300の各構成要素について説明する。なお、上述したログ分析装置100又はログ分析装置200が備える要素と同様の要素については、説明を適宜省略する。 Subsequently, each component of the
受信部350は、攻撃に関連する通信を受信する。すなわち、受信部350は、少なくとも、攻撃に関連して外部から送信される通信を受信する。攻撃に関連する通信には、例えば、スキャン攻撃や、不正アクセスを目的とした通信が含まれるが、これ以外の通信が攻撃に関連する通信に含まれてもよい。また、受信部350は、その他の通信を受信可能であってもよい。受信部350は、更に、受信した通信に対して応答するような構成であってもよい。 The receiving
受信部350は、TelnetやSSH、又はその他のプロトコルをエミュレートするハニーポット等によって実現される。また、受信部350は、TelnetやSSH又はその他のサービスが動作する任意の種類のコンピュータによって実現されてもよい。受信部350は、攻撃に関連する通信が受信可能であれば、この他の手段によって実現されてもよい。 The
第1の観測部360は、受信部350が受信する通信を観測する。第1の観測部360は、例えば、tcpdumpやWireshark等により実現されるが、これらには限られない。第1の観測部360は、観測した通信を、上述したpcapファイルやテキストファイル、又はその他の種類のログファイルに記録する。 The
また、本実施形態において、受信部350は、外部からの通信に応じてデータを送信する場合がある。しかしながら、受信部350から送信されるデータは、一般に、外部からの攻撃には関係のないデータである。そのため、第1の観測部360は、受信部350から送信されるデータを除外してログに記録する。ただし、第1の観測部360は、受信部350から送信されるデータを含めてログに記録してもよい。 Further, in the present embodiment, the receiving
本実施形態においては、ログ取得部101は、第1の観測部360が、受信部350の通信を観測することで得た通信のログを取得する。ログ分析装置300が記憶部130を備える場合には、ログ取得部101は、第1の観測部360が観測し、観測データ記憶部335に記憶されたログを取得してもよい。このような構成とすることで、攻撃が行われた場合に、迅速な攻撃の種別の判定が可能となる。 In the present embodiment, the
続いて、図14に示すフローチャートを参照して、本実施形態におけるログ分析装置300の主に受信部350及び第1の観測部360に関する動作を説明する。なお、ログ分析装置300は、ログ分析装置100と同様の動作によって情報の抽出や攻撃の種別の判定等を行う。また、ログ分析装置300が判定ルール生成部240を備える場合には、判定ルール生成部240は、ログ分析装置200と同様の動作によって判定ルールの生成を行う。 Subsequently, with reference to the flowchart shown in FIG. 14, the operation mainly related to the receiving
最初に、第1の観測部360は、観測を開始する(ステップS301)。第1の観測部360による観測は、受信部350が受信する通信の観測に漏れが生じないよう、受信部350による受信の開始に先行して開始される。 First, the
次に、受信部350は、攻撃に関連する通信の受信を開始する(ステップS302)。 Next, the receiving
次に、受信部350による受信した通信の処理、及び、第1の観測部360による当該通信の観測が行われる(ステップS303)。すなわち、受信部350は、外部からパケットを受信すると、当該パケットの処理及び応答を必要に応じて行う。この場合に、第1の観測部360は、受信部350によって行われる通信を観測する。第1の観測部360は、ログファイルのローテートやその他の必要な処理を一定時間毎、通信量やその他の条件に応じて行ってもよい。 Next, the receiving
以上のとおり、本実施形態におけるログ分析装置300は、受信部350及び第1の観測部360を更に備える。受信部350及び第1の観測部360によって、攻撃に関する通信の受信及び観測が行われる。観測された攻撃に関する通信のログに対して、攻撃の種別の判定が行われる。したがって、ログ分析装置300は、少なくとも、第1の実施形態におけるログ分析装置100と同様の効果を奏する。また、ログ分析装置300は、迅速な攻撃種別の判定を可能とする。 As described above, the
(第4の実施形態)
次に、本発明の第4の実施形態について説明する。図15は、本発明の第4の実施形態におけるログ分析装置400を示す図である。(Fourth Embodiment)
Next, a fourth embodiment of the present invention will be described. FIG. 15 is a diagram showing a
図15に示すとおり、ログ分析装置400は、抽出部110と、判定部120と、判定ルール生成部240と、受信部350と、第1の観測部360と、マルウェア実行部470と、第2の観測部480と、制御部490とを備える。 As shown in FIG. 15, the
抽出部110及び判定部120は、第1の実施形態におけるログ分析装置100が備える要素と同様の要素である。判定ルール生成部240は、第2の実施形態におけるログ分析装置200が備える要素と同様の要素である。また、受信部350及び第1の観測部360は、第3の実施形態におけるログ分析装置300が備える要素と同様の要素である。 The
マルウェア実行部470は、取得されたマルウェアを実行する。第2の観測部480は、マルウェア実行部470において実行されるマルウェアによる通信を観測する。制御部490は、マルウェア実行部470及び第2の観測部480の動作を制御する。 The
また、図16は、ログ分析装置400のより具体的な構成の一例を示す。図16に示す例では、ログ分析装置400は、上述した要素に加えて、ログ取得部101と、出力部102と、記憶部130と、マルウェア取得部451とを備える。ログ取得部101、出力部102、及び記憶部130の各々は、第1から第3の実施形態までの各図において同じ符号が付された要素と同様の要素である。マルウェア取得部451は、受信部350が受信したマルウェアを取得する。 Further, FIG. 16 shows an example of a more specific configuration of the
なお、図15及び図16に示す例では、判定ルール生成部240及び通信データ記憶部234を備える構成が示されている。しかしながら、ログ分析装置300は、これらの要素を備えなくてもよい。 In the examples shown in FIGS. 15 and 16, a configuration including a determination
続いて、ログ分析装置400の各構成要素について説明する。なお、上述した各実施形態において説明した要素と同様の要素については、説明を適宜省略する。 Subsequently, each component of the
マルウェア取得部451は、受信部350が受信したマルウェアを取得する。より詳しくは、マルウェア取得部451は、受信部350が受信したデータから、マルウェアを検出して取得する。 The
マルウェア取得部451は、マルウェアの検出を、例えば、一般的なアンチウイルスソフトウェアと同様に行う。つまり、マルウェア取得部451は、受信したデータが予め定義された特徴に合致するか否か等によってマルウェアを検出して取得する。受信部350が能動的に外部への通信を行わない構成である場合には、マルウェア取得部451は、受信部350へ送信されるプログラムは全てマルウェアであるとして、送信されたプログラムを取得してもよい。取得されたマルウェアは、任意の記憶手段(不図示)に識別子と共に記憶されてもよい。 The
マルウェア実行部470は、例えばマルウェア取得部451によって取得されたマルウェアを実行する。マルウェア実行部470は、マルウェア取得部451以外の手段によって取得されたマルウェアを実行してもよい。 The
マルウェア実行部470は、マルウェアを実行するための一般的な環境にて実現される。すなわち、マルウェア実行部470は、OS(Operating System)の動作を模擬するエミュレータや仮想マシン等によって実現される。マルウェア実行部470を実現する手段はこれらに限られないが、マルウェアの動作に起因する問題が他の構成要素や別の装置に波及しないような態様であることが好ましい。また、マルウェアは、一般に外部への攻撃を行うことから、マルウェア実行部470において、外部への影響が生じないように通信のアクセス制御が行われてもよい。例えば、マルウェア実行部470においては、特定の外部のサーバのみへの通信が可能となるように制御が行われていてもよい。また、外部へのアクセスを制御する場合には、マルウェア実行部470には、外部のサーバに相当するダミーサーバが含まれてもよい。 The
第2の観測部480は、マルウェア実行部470において実行されるマルウェアによる通信を観測する。例えば、第2の観測部480は、エミュレータや仮想マシン等と、外部のサーバやダミーサーバ等との間の通信を観測する。第2の観測部480は、一例として、tcpdumpコマンド等によって実現される。第2の観測部480は、観測した通信を、上述したpcapファイルやテキストファイルやその他の種類のログファイルに記録する。観測された結果は、マルウェアを特定するための情報と併せて通信データ記憶部234に適宜記憶される。 The
制御部490は、マルウェア実行部470及び第2の観測部480の動作を制御する。制御部490は、マルウェアのマルウェア実行部470への転送、マルウェア実行部470によるマルウェアの実行又は停止、第2の観測部480による観測の開始や停止、又はその他の必要な制御を行う。制御部490は、マルウェア取得部451の各動作を制御してもよい。 The
制御部490は、例えば、SCP(Secure Copy)、SFTP(Secure File Transfer Protocol)又は共有フォルダ等の手段を用いてマルウェア実行部470へマルウェアを転送する。この場合には、セキュリティが確保された手順にて行われることが好ましい。 The
また、制御部490は、一例として、第2の観測部480による観測が、概ね、マルウェア実行部470によってマルウェアが実行されている間に限って行われるように制御する。つまり、この例では、制御部490は、マルウェア実行部470によるマルウェアの実行が開始される直前に第2の観測部480による観測を開始するように制御する。そして制御部490は、マルウェア実行部470によるマルウェアの実行が終了された直後に第2の観測部480による観測を停止するよう制御する。 Further, the
マルウェア実行部470によってマルウェアが実行され、第2の観測部480がマルウェアの通信を観測することで、通信のログが得られる。得られた通信のログは、自動攻撃に関するログとなる。このように得られた通信のログを用いて、判定ルール生成部240によって新たな判定ルールが生成される。そして、判定部120は、生成された判定ルールを更に用いて攻撃の種別を判定する。判定部120が生成された判定ルールを用いて攻撃の種別を判定することで、分析の精度の向上が可能となる。 The malware is executed by the
続いて、図17に示すフローチャートを参照して、本実施形態におけるログ分析装置400の主にマルウェア取得部451、マルウェア実行部470及び第2の観測部480に関する動作を説明する。 Subsequently, with reference to the flowchart shown in FIG. 17, the operations of the
最初に、マルウェア取得部451は、受信部350が受信したデータからマルウェア取得する(ステップS401)。ステップS401において、マルウェア取得部451は、未取得であるマルウェアのみを取得するように動作してもよい。 First, the
次に、制御部490は、第2の観測部480がマルウェアによる通信の観測を開始するように制御する(ステップS402)。制御に応じて、第2の観測部480は、通信の観測を開始する。 Next, the
次に、制御部490は、マルウェア実行部470がマルウェアを実行するように制御する(ステップS403)。制御に応じて、マルウェア実行部470は、マルウェアの実行を開始する。 Next, the
次に、制御部490は、マルウェア実行部470がマルウェアの実行を停止するように制御する(ステップS404)。制御に応じて、マルウェア実行部470は、マルウェアの実行を停止する。 Next, the
次に、制御部490は、第2の観測部480がマルウェアによる通信の観測を停止するように制御する(ステップS405)。制御に応じて、第2の観測部480は、通信の観測を停止する。 Next, the
最後に、制御部490は、第2の観測部480によって観測された通信のログを通信データ記憶部234に格納する(ステップS406)。 Finally, the
以上のとおり、本実施形態におけるログ分析装置400は、取得したマルウェアを実行し、マルウェアによる通信を観測するための構成を更に備える。このような構成とすることで、観測されたマルウェアによる通信のログに基づいて、自動攻撃に関する判定ルールが更に生成される。そして、生成された判定ルールを用いて、攻撃の種類の判定が行われる。 As described above, the
したがって、ログ分析装置400は、少なくとも、第1の実施形態におけるログ分析装置100と同様の効果を奏する。また、ログ分析装置400は、精度の高い攻撃種別の判定を可能とする。 Therefore, the
この発明の一部又は全部は、以下の付記のようにも記載されうるが、以下に限られない。
(付記1)
攻撃に関連する通信のログから、前記攻撃の種別に関係のある情報を抽出する抽出手段と、
前記攻撃の種別に関係のある情報と、前記攻撃の種別に応じた判定ルールとに基づいて、前記ログに関連する前記攻撃の種別を判定する判定手段と、
を備えるログ分析装置。
(付記2)
前記判定手段は、前記攻撃が自動攻撃であるか手動攻撃であるかを判定する、請求項1に記載のログ分析装置。
(付記3)
前記判定手段は、前記攻撃の種類に関係のある情報が、前記自動攻撃に関する前記判定ルール又は前記手動攻撃に関する前記判定ルールのいずれに合致するか否かに基づいて、前記攻撃が自動攻撃であるか手動攻撃であるかを判定する、付記2に記載のログ分析装置。
(付記4)
前記攻撃の種別に関係のある情報は、時間に関する情報、データの大きさに関する情報、又はキーボードからの入力に関する情報のうち一つ以上を含む、付記1から3のいずれか一項に記載のログ分析装置。
(付記5)
攻撃に関連する通信を受信する受信手段と、
前記受信手段が受信する通信を観測する第1の観測手段と、
を備える付記1から4のいずれか一項に記載のログ分析装置。
(付記6)
前記判定手段は、前記第1の観測手段が観測した前記通信のログから前記攻撃の種別に関係のある情報を抽出する、
付記5に記載のログ分析装置。
(付記7)
前記種別が判定された前記通信のログに基づいて、前記判定ルールを生成する判定ルール生成手段、
を備える付記1から6のいずれか一項に記載のログ分析装置。
(付記8)
マルウェアを実行するマルウェア実行手段と、
前記マルウェア実行手段において実行された前記マルウェアによる前記通信を観測する第2の観測手段と、
前記マルウェア実行手段及び前記第2の観測手段を制御する制御手段と、
を備える付記7に記載のログ分析装置。
(付記9)
前記判定ルール生成手段は、前記第2の観測手段によって観測された前記通信のログに基づいて、前記自動攻撃に関する前記判定ルールを生成する、
請求項8に記載のログ分析装置。
(付記10)
攻撃に関連する通信のログから、前記攻撃の種別に関係のある情報を抽出し、
前記攻撃の種別に関係のある情報と、前記攻撃の種別に応じた判定ルールとに基づいて、前記ログに関連する前記攻撃の種別を判定する、
ログ分析方法。
(付記11)
コンピュータに、
攻撃に関連する通信のログから、前記攻撃の種別に関係のある情報を抽出する処理と、
前記攻撃の種別に関係のある情報と、前記攻撃の種別に応じた判定ルールとに基づいて、前記ログに関連する前記攻撃の種別を判定する処理と、
を実行させるプログラム。A part or all of the present invention may be described as in the appendix below, but is not limited to the following.
(Appendix 1)
An extraction means for extracting information related to the type of attack from the communication log related to the attack, and
A determination means for determining the type of attack related to the log based on information related to the type of attack and a determination rule according to the type of attack.
A log analyzer equipped with.
(Appendix 2)
The log analysis device according to claim 1, wherein the determination means determines whether the attack is an automatic attack or a manual attack.
(Appendix 3)
The determination means is an automatic attack based on whether the information related to the type of attack matches the determination rule regarding the automatic attack or the determination rule regarding the manual attack. The log analyzer according to Appendix 2, which determines whether the attack is a manual attack or a manual attack.
(Appendix 4)
The log according to any one of Appendix 1 to 3, wherein the information related to the type of attack includes one or more of information on time, information on data size, or information on keyboard input. Analysis equipment.
(Appendix 5)
Receiving means to receive communication related to the attack,
A first observing means for observing the communication received by the receiving means,
The log analyzer according to any one of Supplementary Provisions 1 to 4, further comprising.
(Appendix 6)
The determination means extracts information related to the type of attack from the communication log observed by the first observation means.
The log analyzer according to Appendix 5.
(Appendix 7)
A determination rule generating means that generates the determination rule based on the communication log for which the type is determined.
The log analyzer according to any one of Appendix 1 to 6.
(Appendix 8)
Malware execution means to execute malware,
A second observation means for observing the communication by the malware executed by the malware execution means, and
A control means for controlling the malware execution means and the second observation means, and
7. The log analyzer according to Appendix 7.
(Appendix 9)
The determination rule generating means generates the determination rule regarding the automatic attack based on the communication log observed by the second observation means.
The log analyzer according to claim 8.
(Appendix 10)
Information related to the type of attack is extracted from the communication log related to the attack.
The type of the attack related to the log is determined based on the information related to the type of the attack and the determination rule according to the type of the attack.
Log analysis method.
(Appendix 11)
On the computer
The process of extracting information related to the type of attack from the communication log related to the attack, and
A process of determining the type of attack related to the log based on information related to the type of attack and a determination rule according to the type of attack.
A program that executes.
100 ログ分析装置
110 抽出部
120 判定部
101 ログ取得部
102 出力部
130 記憶部
131 判定ルール記憶部
132 自動操作定義記憶部
133 手動操作定義記憶部
234 通信データ記憶部
335 観測データ記憶部
240 判定ルール生成部
350 受信部
360 第1の観測部
451 マルウェア取得部
470 マルウェア実行部
480 第2の観測部
490 制御部100
Claims (11)
複数の判定ルールのうち、抽出された前記プロトコルの種類に対応付けられた判定ルールを取得し、前記攻撃の種別に関係のある情報と、取得した前記判定ルールとに基づいて、前記通信パケットログに関連する前記攻撃の種別を判定する判定手段と、
を備えるログ分析装置。 From the communication packet related logs attack, extraction means for extracting the type of protocol, and information relevant to the type of the attack,
Among the plurality of judgment rules, the judgment rule associated with the extracted protocol type is acquired, and the communication packet log is based on the information related to the attack type and the acquired judgment rule. Judgment means for determining the type of the attack related to
A log analyzer equipped with.
前記受信手段が受信する通信を観測する第1の観測手段と、
を備える請求項1から4のいずれか一項に記載のログ分析装置。 Receiving means to receive communication related to the attack,
A first observing means for observing the communication received by the receiving means,
The log analyzer according to any one of claims 1 to 4.
請求項5に記載のログ分析装置。 The extraction means extracts information related to the type of attack from the communication log observed by the first observation means.
The log analyzer according to claim 5.
を備える請求項1から6のいずれか一項に記載のログ分析装置。 A determination rule generating means that generates the determination rule based on the communication packet log for which the type has been determined.
The log analyzer according to any one of claims 1 to 6.
前記マルウェア実行手段において実行された前記マルウェアによる通信を観測する第2の観測手段と、
前記マルウェア実行手段及び前記第2の観測手段を制御する制御手段と、
を備える請求項7に記載のログ分析装置。 Malware execution means to execute malware,
A second observation means for observing the communication by the malware executed by the malware execution means, and
A control means for controlling the malware execution means and the second observation means, and
7. The log analyzer according to claim 7.
請求項8に記載のログ分析装置。 The determination rule generating means generates the determination rule regarding the automatic attack based on the communication log observed by the second observation means.
The log analyzer according to claim 8.
攻撃に関連する通信パケットログから、プロトコルの種類と、前記攻撃の種別に関係のある情報とを抽出し、
複数の判定ルールのうち、抽出された前記プロトコルの種類に対応付けられた判定ルールを取得し、
前記攻撃の種別に関係のある情報と、取得した前記判定ルールとに基づいて、前記通信パケットログに関連する前記攻撃の種別を判定する、
ログ分析方法。 The computer
From the communication packet related logs attack, extracts a type of protocol, and information relevant to the type of the attack,
Of the plurality of judgment rules, the judgment rule associated with the extracted protocol type is acquired, and the judgment rule is acquired.
Based on the information related to the attack type and the acquired determination rule, the attack type related to the communication packet log is determined.
Log analysis method.
攻撃に関連する通信パケットログから、プロトコルの種類と、前記攻撃の種別に関係のある情報とを抽出する処理と、
複数の判定ルールのうち、抽出された前記プロトコルの種類に対応付けられた判定ルールを取得し、前記攻撃の種別に関係のある情報と、取得した前記判定ルールとに基づいて、前記通信パケットログに関連する前記攻撃の種別を判定する処理と、
を実行させるプログラム。 On the computer
From the communication packet related logs attack, the process of extracting the type of protocol, and information relevant to the type of the attack,
Among the plurality of judgment rules, the judgment rule associated with the extracted protocol type is acquired, and the communication packet log is based on the information related to the attack type and the acquired judgment rule. And the process of determining the type of attack related to
A program that executes.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2017/031041 WO2019043804A1 (en) | 2017-08-30 | 2017-08-30 | Log analysis device, log analysis method, and computer-readable recording medium |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2019043804A1 JPWO2019043804A1 (en) | 2020-08-06 |
JP6962374B2 true JP6962374B2 (en) | 2021-11-05 |
Family
ID=65526406
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019538803A Active JP6962374B2 (en) | 2017-08-30 | 2017-08-30 | Log analyzer, log analysis method and program |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6962374B2 (en) |
WO (1) | WO2019043804A1 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU193101U1 (en) * | 2019-05-13 | 2019-10-14 | федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации | System for analytical processing of information security events |
WO2021090866A1 (en) * | 2019-11-08 | 2021-05-14 | 日本電気株式会社 | Data processing device, data processing method, and program |
CN112272186B (en) * | 2020-10-30 | 2023-07-18 | 深信服科技股份有限公司 | Network traffic detection device and method, electronic equipment and storage medium |
CN117220961B (en) * | 2023-09-20 | 2024-05-07 | 中国电子科技集团公司第十五研究所 | Intrusion detection method, device and storage medium based on association rule patterns |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4156540B2 (en) * | 2004-02-23 | 2008-09-24 | Kddi株式会社 | Log analysis device, log analysis program, and recording medium |
JP4755658B2 (en) * | 2008-01-30 | 2011-08-24 | 日本電信電話株式会社 | Analysis system, analysis method and analysis program |
CN105027510B (en) * | 2013-02-21 | 2018-06-12 | 日本电信电话株式会社 | Network monitoring device and network monitoring method |
JP6641819B2 (en) * | 2015-09-15 | 2020-02-05 | 富士通株式会社 | Network monitoring device, network monitoring method, and network monitoring program |
-
2017
- 2017-08-30 JP JP2019538803A patent/JP6962374B2/en active Active
- 2017-08-30 WO PCT/JP2017/031041 patent/WO2019043804A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2019043804A1 (en) | 2019-03-07 |
JPWO2019043804A1 (en) | 2020-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US12101347B2 (en) | Systems and methods for attack simulation on a production network | |
US10560434B2 (en) | Automated honeypot provisioning system | |
US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
JP6962374B2 (en) | Log analyzer, log analysis method and program | |
US9853988B2 (en) | Method and system for detecting threats using metadata vectors | |
JP5972401B2 (en) | Attack analysis system, linkage device, attack analysis linkage method, and program | |
JP4755658B2 (en) | Analysis system, analysis method and analysis program | |
CN109194680B (en) | Network attack identification method, device and equipment | |
JP7388613B2 (en) | Packet processing method and apparatus, device, and computer readable storage medium | |
US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
CN112073437B (en) | Multi-dimensional security threat event analysis method, device, equipment and storage medium | |
JP2020004009A (en) | Abnormality detection device, and abnormality detection method | |
JP2019097133A (en) | Communication monitoring system and communication monitoring method | |
JP6050162B2 (en) | Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program | |
KR102280845B1 (en) | Method and apparatus for detecting abnormal behavior in network | |
KR102044181B1 (en) | Apparatus and method for creating whitelist with network traffic | |
US9916225B1 (en) | Computer implemented system and method and computer program product for testing a software component by simulating a computing component using captured network packet information | |
CN112822146A (en) | Network connection monitoring method, device, system and computer readable storage medium | |
US11621908B2 (en) | Methods, systems and computer readable media for stateless service traffic generation | |
JP5531064B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM | |
KR100772177B1 (en) | Method and apparatus for generating intrusion detection event to test security function | |
CN114117408A (en) | Method and device for monitoring command of attack end and readable storage medium | |
JP2015225512A (en) | Malware feature extraction device, malware feature extraction system, malware feature method, and countermeasure instruction device | |
JP6676790B2 (en) | Request control device, request control method, and request control program | |
KR102156600B1 (en) | System and method for creating association between packets collected in network and processes in endpoint computing device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200207 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200207 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210420 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210615 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210914 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210927 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6962374 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |