JP2019092106A - ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム - Google Patents
ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム Download PDFInfo
- Publication number
- JP2019092106A JP2019092106A JP2017220985A JP2017220985A JP2019092106A JP 2019092106 A JP2019092106 A JP 2019092106A JP 2017220985 A JP2017220985 A JP 2017220985A JP 2017220985 A JP2017220985 A JP 2017220985A JP 2019092106 A JP2019092106 A JP 2019092106A
- Authority
- JP
- Japan
- Prior art keywords
- remote operation
- command
- combination
- network monitoring
- command code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】暗号化されたリモート操作の成否を判定する【解決手段】リモート操作を実現する1以上のコマンドを実行させるための暗号化された実行要求パケットのヘッダから、前記コマンドを示すコマンドコードを取得する取得部と、リモート操作と、1以上のコマンドコードの組み合わせとが対応付けられた記憶部を参照して、前記取得部が取得したコマンドコードのリストに含まれる前記組み合わせが存在するか否かを判定する第1の判定部と、前記第1の判定部により前記組み合わせが存在すると判定された場合、該組み合わせに対応付けられているリモート操作が成功したと判定する第2の判定部と、を有することを特徴とするネットワーク監視装置が提供される。【選択図】図3
Description
本発明は、ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラムに関する。
サイバー攻撃の一形態として、マルウェアに感染したコンピュータが、標的であるコンピュータをリモート操作することがある。例えば、マルウェアに感染したコンピュータは、不正に窃取した正規のアカウントを用いて、標的であるコンピュータに対してリモート操作を行う。このようなサイバー攻撃を受けた際には、サイバー攻撃に対する対処内容や優先順位を決めるために、リモート操作の成否(成功又は失敗)を特定することが求められる。
これに対して、リモート操作の要求パケットに対する複数の応答パケットのうちの先頭のパケット又は最後のパケットの特定位置に格納されているステータス値を取得することで、リモート操作の成否を特定する技術が知られている。
ここで、あるコンピュータが他のコンピュータをリモート操作する場合には、操作元のコンピュータと、操作対象のコンピュータとの間で、通信方式や暗号化の有無等を取り決めるためのネゴシエーションが行われる。ネゴシエーションにより通信の暗号化が取り決められると、以降の通信では、要求パケットや応答パケットのデータ部が暗号化される。
したがって、この場合、応答パケットの特定位置に格納されているステータス値からリモート操作の成否を特定することができない。
1つの側面では、本発明は、暗号化されたリモート操作の成否を判定することを目的とする。
1つの態様では、リモート操作を実現する1以上のコマンドを実行させるための暗号化された実行要求パケットのヘッダから、前記コマンドを示すコマンドコードを取得する取得部と、リモート操作と、1以上のコマンドコードの組み合わせとが対応付けられた記憶部を参照して、前記取得部が取得したコマンドコードのリストに含まれる前記組み合わせが存在するか否かを判定する第1の判定部と、前記第1の判定部により前記組み合わせが存在すると判定された場合、該組み合わせに対応付けられているリモート操作が成功したと判定する第2の判定部と、を有することを特徴とする。
暗号化されたリモート操作の成否を判定することができる。
以下、本発明の実施形態について添付の図面を参照しながら説明する。
(全体構成)
まず、本実施形態に係るネットワーク監視装置30が含まれるシステムの全体構成について、図1を参照しながら説明する。図1は、本実施形態に係るネットワーク監視装置30が含まれるシステムの全体構成の一例を示す図である。
まず、本実施形態に係るネットワーク監視装置30が含まれるシステムの全体構成について、図1を参照しながら説明する。図1は、本実施形態に係るネットワーク監視装置30が含まれるシステムの全体構成の一例を示す図である。
図1に示すように、例えば会社や団体等の組織のイントラネット等であるシステム環境Eには、複数の情報処理装置10と、収集装置20と、ネットワーク監視装置30と、ファイアウォール40とが含まれる。また、複数の情報処理装置10と、収集装置20と、ネットワーク監視装置30と、ファイアウォール40とは、例えばLAN(Local Area Network)等のネットワークNを介して通信可能に接続されている。
システム環境EにおけるネットワークNは、ファイアウォール40を介してインターネットと接続している。
複数の情報処理装置10は、例えばサーバ装置やクライアント端末である。サーバ装置は、任意の機能を提供するサーバであり、例えば、ドメイン管理サーバ、Webサーバ、ファイルサーバ、Windows(登録商標)サーバ、Sambaサーバ等が挙げられる。クライアント端末は、任意の端末であり、例えばデスクトップPC、ノート型PC、タブレット端末等が挙げられる。
ここで、クライアント端末は、サーバ装置が提供する機能を利用することもあれば、クライアント端末同士で処理の連携やデータ共有、各種機能の提供等を行うこともあるものとする。また、サーバ装置が他のサーバ装置と処理の連携等を行うこともあるものとする。すなわち、情報処理装置10同士は、所定の条件の下で、任意にリモート操作を行うことがあるものとする。このようなリモート操作を行うために、複数の情報処理装置10の間では、例えばSMB(Server Message Block)やRPC(Remote Procedure Call)が用いられる。SMBやRPCは、リモート操作を行うためのアプリケーション層のプロトコルの一例である。
収集装置20は、パケットの複製(ミラーリング)機能を有するネットワーク・スイッチやタップ等である。収集装置20は、複数の情報処理装置10間のリモート操作に関するパケットを収集する。そして、収集装置20は、収集したパケットをネットワーク監視装置30に転送する。
ネットワーク監視装置30は、例えばRAT(Remote Administration Tool又はRemote Access Tool)等の標的型攻撃を行うマルウェアに感染した情報処理装置10が他の情報処理装置10に行ったリモート操作の成否を判定するコンピュータである。
RAT等の標的型攻撃を行うマルウェアは、例えば、標的型メールや不正サイト等を介して、システム環境E内の情報処理装置10に送り込まれる。このようなマルウェアに情報処理装置10が感染した場合、当該情報処理装置10は、例えば、システム環境Eの外にあるC&C(Command and Control)サーバ50の指示を受けて、他の情報処理装置10に対して不正なリモート操作を行う。以降では、RAT等の標的型攻撃を行うマルウェアに感染した情報処理装置10を「感染装置10」、感染装置10から不正なリモート操作が行われる情報処理装置10を「標的装置10」と表す。なお、マルウェアに感染した情報処理装置10の検知は従来技術を用いて行うことができる。
感染装置10による不正なリモート操作としては、例えば、標的装置10に対して様々なスキャンを行って、顧客情報等の機密情報を収集した上で、攻撃者のPC等に転送する操作が挙げられる。また、例えば、マルウェアの感染を拡大させるために、マルウェアの複製を標的装置10に送り込む操作が挙げられる。これら以外にも、例えば、標的装置10に格納されている情報を改ざんや削除する操作等も挙げられる。
ここで、リモート操作は、一般に、1以上のコマンドが実行されることにより実現される。例えば、マルウェアを標的装置10に送り込むための操作では、標的装置10の感染対象のファイルをオープンするためのコマンドと、マルウェアを所定のバイト単位でファイルに書き込むための1以上のコマンドと、ファイルをクローズするためのコマンドとが実行されることにより実現される。以降では、リモート操作を実現する1以上のコマンドそれぞれを「内部コマンド」と表す。
したがって、リモート操作は、1以上の内部コマンドの実行をそれぞれ要求するためのパケット(以降では、「内部コマンド要求パケット」と表す。)が感染装置10から標的装置10に送信されることで行われる。
ネットワーク監視装置30は、ネットワーク監視プログラム100と、リモート操作辞書DB200とを有する。ネットワーク監視プログラム100は、リモート操作が成功する場合における特徴的な内部コマンドの組み合わせに関する情報が格納されたリモート操作辞書DB200を参照して、暗号化されている内部コマンド要求パケットからリモート操作の成否を判定する。
特徴的な内部コマンドの組み合わせとは、リモート操作が成功する場合には少なくとも実行される内部コマンドの組み合わせのことである。例えば、リモート操作が「ファイルの書込み」操作である場合、当該操作は、ファイルをオープンするためのコマンドと、データを所定のバイト単位でファイルに書き込むための1以上のコマンドと、ファイルをクローズするためのコマンドとが実行される。このとき、「ファイルの書込み」操作が成功する場合、ファイルをオープンするためのコマンドと、データを所定のバイト単位でファイルに書き込むための1以上のコマンドとが少なくとも実行される。したがって、「ファイルの書込み」操作が成功する場合における特徴的な内部コマンドの組み合わせには、ファイルをオープンするためのコマンドと、データを所定のバイト単位でファイルに書き込むためのコマンドとの組み合わせが挙げられる。
感染装置10から標的装置10へのリモート操作の成否が判定されることで、例えばシステム環境Eのセキュリティ管理者等は、不正なリモート操作に対する対処内容やその優先順位を決める際の参考にすることができる。例えば、感染装置10から標的装置10へマルウェアを送り込むための操作が成功している場合、感染の拡大を防止するために、感染装置10をネットワークから隔離する等の対処を行うことができる。
なお、図1示すシステムの構成は一例であって、他の構成であっても良い。例えば、収集装置20とネットワーク監視装置30とが一体で構成されていても良い。
(ハードウェア構成)
次に、本実施形態に係るネットワーク監視装置30のハードウェア構成について、図2を参照しながら説明する。図2は、本実施形態に係るネットワーク監視装置30のハードウェア構成の一例を示す図である。
次に、本実施形態に係るネットワーク監視装置30のハードウェア構成について、図2を参照しながら説明する。図2は、本実施形態に係るネットワーク監視装置30のハードウェア構成の一例を示す図である。
図2に示すように、本実施形態に係るネットワーク監視装置30は、入力装置11と、表示装置12と、外部I/F13と、通信I/F14とを有する。また、本実施形態に係るネットワーク監視装置30は、ROM(Read Only Memory)15と、RAM(Random Access Memory)16と、CPU(Central Processing Unit)17と、補助記憶装置18とを有する。これら各ハードウェアは、それぞれがバス19で相互に接続されている。
入力装置11は、例えばキーボードやマウス、タッチパネル等であり、ネットワーク監視装置30に各種の操作信号を入力するのに用いられる。表示装置12は、例えばディスプレイ等であり、ネットワーク監視装置30による各種の処理結果を表示する。なお、ネットワーク監視装置30は、入力装置11及び表示装置12の少なくとも一方を有していなくても良い。
外部I/F13は、外部装置とのインタフェースである。外部装置には、記録媒体13a等がある。ネットワーク監視装置30は、外部I/F13を介して、記録媒体13aの読み取りや書き込みを行うことができる。
記録媒体13aには、例えば、SDメモリカード(SD memory card)やUSB(Universal Serial Bus)メモリ、CD(Compact Disk)、DVD(Digital Versatile Disk)等がある。
通信I/F14は、ネットワーク監視装置30がネットワークに接続するためのインタフェースである。ネットワーク監視装置30は、通信I/F14を介して、収集装置20から転送されたパケットを受信することができる。
ROM15は、電源を切ってもデータを保持することができる不揮発性の半導体メモリである。RAM16は、プログラムやデータを一時保持する揮発性の半導体メモリである。CPU17は、例えば補助記憶装置18やROM15等からプログラムやデータをRAM16上に読み出して、各種処理を実行する演算装置である。
補助記憶装置18は、例えばHDD(Hard Disk Drive)やSSD(Solid State Drive)等であり、プログラムやデータを格納している不揮発性のメモリである。補助記憶装置18には、例えば、基本ソフトウェアであるOS(Operating System)や各種アプリケーションプログラム、ネットワーク監視プログラム100等が格納される。
本実施形態に係るネットワーク監視装置30は、図2に示すハードウェア構成を有することにより、後述する各種処理が実現される。
(処理の概略)
次に、感染装置10から標的装置10へのリモート操作の結果をネットワーク監視装置30が判定する処理の概要について、図3を参照しながら説明する。図3は、リモート操作の結果を判定する処理の概略を説明する図である。なお、図3における各種パケット(例えば、ネゴシエーション要求パケット、ネゴシエーション応答パケット、内部コマンド要求パケット及び内部コマンド応答パケット等)は、収集装置20からネットワーク監視装置30へ転送される。
次に、感染装置10から標的装置10へのリモート操作の結果をネットワーク監視装置30が判定する処理の概要について、図3を参照しながら説明する。図3は、リモート操作の結果を判定する処理の概略を説明する図である。なお、図3における各種パケット(例えば、ネゴシエーション要求パケット、ネゴシエーション応答パケット、内部コマンド要求パケット及び内部コマンド応答パケット等)は、収集装置20からネットワーク監視装置30へ転送される。
S1)感染装置10と標的装置10との間では、リモート操作に先立ってネゴシエーションが行われる。すなわち、感染装置10は、操作対象である標的装置10に対してネゴシエーション要求パケットを送信する。一方で、標的装置10は、ネゴシエーション要求パケットを受信すると、操作元の感染装置10に対してネゴシエーション応答パケットを送信する。ネゴシエーション応答パケットには、感染装置10と標的装置10との間で用いられる通信方式や通信が暗号化される場合における暗号化方式等が含まれる。
そこで、ネットワーク監視装置30は、ネゴシエーション応答パケットから暗号化の有無を判定する。例えば、ネゴシエーション応答パケットに暗号化方式が含まれる場合には、通信が暗号化されると判定される。一方で、ネゴシエーション応答パケットに暗号化方式が含まれない場合は、通信が暗号化されないと判定される。なお、暗号化の有無は、例えば、OSやリモート操作の種類等に応じて決定される。
通信が暗号化されると判定された場合は、ネゴシエーション以降に送受信される内部コマンド要求パケット及び内部コマンド応答パケットのデータ部が所定の暗号化方式で暗号化される。以降では、通信が暗号化されると判定されたものとする。
S2)感染装置10と標的装置10との間では、リモート操作に応じた1以上の内部コマンド要求パケットと、当該内部コマンド要求に対する内部コマンド応答パケットとが送受信される。ここで、感染装置10から標的装置10に送信される内部コマンド要求パケットのヘッダ部は、暗号化されない。
そこで、ネットワーク監視装置30は、所定の時間幅における内部コマンド要求パケットのヘッダ部に含まれるコマンドコードを順に取得して、コマンドコードリストを作成する。コマンドコードとは、コマンドを識別する識別情報であり、例えば、コマンド名やコマンドID等が挙げられる。
例えば、「コマンドコード1」が含まれる内部コマンド要求パケットと、「コマンドコード2」が含まれる3つの内部コマンド要求パケットと、「コマンドコード3」が含まれる内部コマンド要求パケットとが感染装置10から標的装置10に送信されたものとする。この場合、コマンドコードリスト「コマンドコード1,コマンドコード2,コマンドコード2,コマンドコード2,コマンドコード3」が作成される。
なお、所定の時間幅は、例えば、1つのリモート操作に要すると想定される時間幅であり、セキュリティ管理者等により予め設定される。
S3)ネットワーク監視装置30は、リモート操作辞書DB200に格納されている内部コマンドの組み合わせのうち、上記のS2で作成されたコマンドコードリストに含まれる内部コマンドの組み合わせが存在するか否かを判定する。そして、ネットワーク監視装置30は、コマンドコードリストに含まれる内部コマンドの組み合わせが存在すると判定した場合、当該組み合わせに対応するリモート操作名のリモート操作が成功したものと判定する。
例えば、リモート操作名「リモート操作1」と、内部コマンドの組み合わせ「コマンドコード1,コマンドコード2」とが対応付けられてリモート操作辞書DB200に格納されているものとする。この場合、「コマンドコード1」及び「コマンドコード2」は、この順で、コマンドコードリスト「コマンドコード1,コマンドコード2,コマンドコード2,コマンドコード2,コマンドコード3」に含まれる。したがって、ネットワーク監視装置30は、当該内部コマンドの組み合わせに対応付けられているリモート操作名「リモート操作1」のリモート操作が成功したものと判定する。
以上のように、本実施形態に係るネットワーク監視装置30は、リモート操作を行うための内部コマンド要求パケットのヘッダ部からコマンドコードを取得することで、コマンドコードリストを作成する。そして、本実施形態に係るネットワーク監視装置30は、リモート操作に含まれる特徴的なコマンドのコマンドコードの組み合わせがコマンドコードリストの中に含まれる場合に、当該リモート操作を成功したものと判定する。これにより、本実施形態に係るネットワーク監視装置30は、感染装置10と標的装置10との間のリモート操作に関する通信が暗号化されている場合であっても、リモート操作の成否を特定することができるようになる。
なお、上記のS1で通信が暗号化されないと判定された場合、内部コマンド要求パケット及び内部コマンド応答パケットのデータ部は暗号化されない。したがって、この場合、従来技術を用いて、例えば、最初の内部コマンド応答パケット又は最後の内部コマンド応答パケットの特定位置に格納されているステータス値からリモート操作の成否を判定すれば良い。
(機能構成)
次に、本実施形態に係るネットワーク監視装置30の機能構成について、図4を参照しながら説明する。図4は、本実施形態に係るネットワーク監視装置30の機能構成の一例を示す図である。
次に、本実施形態に係るネットワーク監視装置30の機能構成について、図4を参照しながら説明する。図4は、本実施形態に係るネットワーク監視装置30の機能構成の一例を示す図である。
図4に示すように、本実施形態に係るネットワーク監視装置30は、受信部101と、パケット判定部102と、ネゴシエーション判定処理部103と、リモート操作判定処理部104とを有する。これら各機能部は、ネットワーク監視プログラム100がCPU17に実行させる処理により実現される。
また、本実施形態に係るネットワーク監視装置30は、リモート操作辞書DB200を有する。当該DBは、例えば補助記憶装置18を用いて実現可能である。なお、当該DBは、ネットワーク監視装置30とネットワークを介して接続される記憶装置等を用いて実現されていても良い。
受信部101は、収集装置20から転送された各種パケット(例えば、ネゴシエーション要求パケット、ネゴシエーション応答パケット、内部コマンド要求パケット及び内部コマンド応答パケット等)を受信する。
パケット判定部102は、受信部101が受信したパケットがネゴシエーション応答パケットであるか否かを判定する。また、パケット判定部102は、受信部101が受信したパケットが内部コマンド要求パケットであるか否かを判定する。
ネゴシエーション判定処理部103は、パケット判定部102がネゴシエーション応答パケットを受信したと判定した場合、リモート操作に関する通信の暗号化有無の判定や空のコマンドコードリストの作成等の処理を行う。ここで、ネゴシエーション判定処理部103は、取得部111と、暗号化判定部112と、判定用情報作成部113とを有する。
取得部111は、受信部101が受信したネゴシエーション応答パケットから所定の情報(例えば、時刻、送信元IP(Internet Protocol)アドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、暗号化方式等)を取得する。
第3の判定部の一例として、暗号化判定部112は、ネゴシエーション以降の通信(すなわち、内部コマンド要求パケット及び内部コマンド応答パケット)の暗号化有無を判定する。
判定用情報作成部113は、暗号化判定部112によりネゴシエーション以降の通信が暗号化されると判定された場合、空のコマンドコードリストが含まれるリモート操作判定用情報1000を作成する。リモート操作判定用情報1000の詳細については後述する。
リモート操作判定処理部104は、パケット判定部102が内部コマンド要求パケットを受信したと判定した場合、リモート操作の成否を判定するための処理を行う。ここで、リモート操作判定処理部104は、取得部121と、リスト追加部122と、時間判定部123と、結果判定部124と、結果作成部125とを有する。
取得部121は、受信部101が受信した内部コマンド要求パケットのヘッダ部から所定の情報(例えば、時刻、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、コマンドコード等)を取得する。
リスト追加部122は、取得部121が取得したコマンドコードを、リモート操作判定用情報1000のコマンドコードリストに追加する。
時間判定部123は、受信部101が受信した内部コマンド要求パケットが、ネゴシエーションから所定の時間幅以内であるか否かを判定する。
第1の判定部の一例として、結果判定部124は、時間判定部123が所定の時間幅以内であると判定した場合、リモート操作辞書DB200を参照して、コマンドコードリストに含まれる内部コマンドの組み合わせが存在するか否かを判定する。
第2の判定部の一例として、結果作成部125は、結果判定部124がコマンドコードリストに含まれる内部コマンドの組み合わせが存在すると判定した場合、当該内部コマンドの組み合わせに対応するリモート操作が成功したことを示すリモート操作結果情報2000を作成する。一方で、結果作成部125は、時間判定部123が所定の時間幅以内でないと判定した場合、リモート操作が失敗したことを示すリモート操作結果情報2000を作成する。
なお、結果作成部125により作成されたリモート操作結果情報2000は、例えば、補助記憶装置18等における所定の記憶領域に記憶される。
リモート操作辞書DB200は、リモート操作毎に、当該リモート操作が成功する場合における特徴的な内部コマンドの組み合わせに関する情報が格納されている。ここで、リモート操作辞書DB200について、図5を参照しながら説明する。図5は、リモート操作辞書DB200の一例を示す図である。
図5に示すように、リモート操作辞書DB200では、リモート操作名と、内部コマンドの組み合わせとが対応付けられている。
例えば、リモート操作名「リモート操作1」には、内部コマンドの組み合わせ「コマンドコード1,コマンドコード2」が対応付けられている。これは、リモート操作名「リモート操作1」のリモート操作が成功する場合には、少なくとも「コマンドコード1」の内部コマンドと、「コマンドコード2」の内部コマンドとが、この順に実行されることを示している。
同様に、例えば、リモート操作名「リモート操作2」には、内部コマンドの組み合わせ「コマンドコード6,コマンドコード8,コマンドコード10」が対応付けられている。これは、リモート操作名「リモート操作2」のリモート操作が成功する場合には、少なくとも「コマンドコード6」の内部コマンドと、「コマンドコード8」の内部コマンドと、「コマンドコード10」の内部コマンドとが、この順に実行されることを示している。
なお、図5に示す例では、リモート操作名と、内部コマンドの組み合わせとが対応付けられているが、例えば、リモート操作ID等のリモート操作を識別する識別情報と、内部コマンドの組み合わせとが対応付けられていても良い。
(全体処理)
次に、本実施形態に係るネットワーク監視装置30が実行する全体処理について、図6を参照しながら説明する。図6は、本実施形態に係るネットワーク監視装置30が実行する全体処理の一例を示すフローチャートである。以降で説明する全体処理は、収集装置20からパケットが転送される度に実行される。
次に、本実施形態に係るネットワーク監視装置30が実行する全体処理について、図6を参照しながら説明する。図6は、本実施形態に係るネットワーク監視装置30が実行する全体処理の一例を示すフローチャートである。以降で説明する全体処理は、収集装置20からパケットが転送される度に実行される。
まず、受信部101は、収集装置20から転送されたパケットを受信する(ステップS101)。
次に、パケット判定部102は、受信部101が受信したパケットがネゴシエーション応答パケットであるか否かを判定する(ステップS102)。
ステップS102において、受信部101により受信されたパケットがネゴシエーション応答パケットであると判定された場合、ネゴシエーション判定処理部103は、ネゴシエーション判定処理を行う(ステップS103)。ネゴシエーション判定処理では、リモート操作に関する通信の暗号化有無の判定やリモート操作判定用情報1000の作成等が行われる。ネゴシエーション判定処理の詳細については後述する。
ステップS102において、受信部101により受信されたパケットがネゴシエーション応答パケットでないと判定された場合、パケット判定部102は、当該パケットが内部コマンド要求パケットであるか否かを判定する(ステップS104)。
ステップS104において、受信部101により受信されたパケットが内部コマンド要求パケットであると判定された場合、リモート操作判定処理部104は、リモート操作の判定処理を行う(ステップS105)。リモート操作の判定処理では、リモート操作の成否が判定される。リモート操作の判定処理の詳細については後述する。
なお、ステップS104において、受信部101により受信されたパケットが内部コマンド要求パケットでないと判定された場合、ネットワーク監視装置30は、処理を終了する。
(ネゴシエーションの判定処理)
次に、図6のステップS103におけるネゴシエーションの判定処理の詳細について、図7を参照しながら説明する。図7は、ネゴシエーションの判定処理の一例を示すフローチャートである。
次に、図6のステップS103におけるネゴシエーションの判定処理の詳細について、図7を参照しながら説明する。図7は、ネゴシエーションの判定処理の一例を示すフローチャートである。
まず、ネゴシエーション判定処理部103の取得部111は、受信部101が受信したネゴシエーション応答パケットから所定の情報を取得する(ステップS201)。取得部111により取得される所定の情報としては、例えば、時刻、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、及び暗号化方式等が挙げられる。
次に、ネゴシエーション判定処理部103の暗号化判定部112は、ネゴシエーション以降の通信の暗号化有無を判定する(ステップS202)。暗号化判定部112は、例えば、取得部111により何等かの暗号化方式がネゴシエーション応答パケットから取得された場合に、ネゴシエーション以降の通信が暗号化されると判定すれば良い。一方で、暗号化判定部112は、例えば、取得部111により暗号化方式がネゴシエーション応答パケットから取得されなかった場合(又は暗号化方式としてNULL値等が取得された場合)に、ネゴシエーション以降の通信は暗号化されないと判定すれば良い。
ステップS202において、ネゴシエーション以降の通信が暗号化されると判定された場合、ネゴシエーション判定処理部103の判定用情報作成部113は、空のコマンドコードリストが含まれるリモート操作判定用情報1000を作成する(ステップS203)。
ここで、判定用情報作成部113により作成されるリモート操作判定用情報1000について、図8を参照しながら説明する。図8は、リモート操作判定用情報1000の一例を示す図である。
図8に示すように、リモート操作判定用情報1000には、時刻と、送信元IPアドレスと、宛先IPアドレスと、宛先ポート番号と、暗号化方式と、コマンドコードリストとが含まれる。
判定用情報作成部113により作成されたリモート操作判定用情報1000の時刻、送信元IPアドレス、宛先IPアドレス、宛先ポート番号及び暗号化方式には、上記のステップS201で取得部111により取得された情報が設定される。また、判定用情報作成部113により作成されたリモート操作判定用情報1000のコマンドコードリストには、例えばNULL値が設定される。すなわち、判定用情報作成部113により作成されたリモート操作判定用情報1000には、空のコマンドコードリストが含まれる。
このように、判定用情報作成部113は、空のコマンドコードリストが含まれるリモート操作判定用情報1000を作成する。判定用情報作成部113により作成されたリモート操作判定用情報1000は、例えば、RAM16や補助記憶装置18等における所定の記憶領域に記憶される。
なお、ステップS202において、ネゴシエーション以降の通信が暗号化されないと判定された場合、ネゴシエーション判定処理部103は、処理を終了する。この場合、内部コマンド応答パケットのデータ部は暗号化されないため、従来技術を用いて、例えば、最初の内部コマンド応答パケット又は最後の内部コマンド応答パケットの特定位置に格納されているステータス値からリモート操作の成否を判定すれば良い。
(リモート操作の判定処理)
次に、図6のステップS105におけるリモート操作の判定処理の詳細について、図9を参照しながら説明する。図9は、リモート操作の判定処理の一例を示すフローチャートである。
次に、図6のステップS105におけるリモート操作の判定処理の詳細について、図9を参照しながら説明する。図9は、リモート操作の判定処理の一例を示すフローチャートである。
まず、リモート操作判定処理部104の取得部121は、受信部101が受信した内部コマンド要求パケットのヘッダ部から所定の情報を取得する(ステップS301)。取得部121により取得される所定の情報としては、例えば、時刻、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、及びコマンドコード等が挙げられる。
次に、リモート操作判定処理部104のリスト追加部122は、該当のリモート操作判定用情報1000があるか否かを判定する(ステップS302)。すなわち、リスト追加部122は、取得部121により取得された送信元IPアドレスと、送信元ポート番号と、宛先IPアドレスと、宛先ポート番号とが含まれるリモート操作判定用情報1000が存在するか否かを判定する。
ステップS302において、該当のリモート操作判定用情報1000があると判定された場合、リスト追加部122は、当該リモート操作判定用情報1000のコマンドコードリストに対して、取得部121が取得したコマンドコードを追加する(ステップS303)。
ここで、コマンドコードリストにコマンドコードが追加されたリモート操作判定用情報1000を図10に示す。図10に示す例では、リモート操作判定用情報1000のコマンドコードリストに「コマンドコード1」、「コマンドコード2」、及び「コマンドコード2」等が追加されている。このように、リスト追加部122は、該当のリモート操作判定用情報1000のコマンドコードリストに、取得部121により取得されたコマンドコードを順に追加する。
次に、リモート操作判定処理部104の時間判定部123は、受信部101が受信した内部コマンド要求パケットが、ネゴシエーションから所定の時間幅以内であるか否かを判定する(ステップS304)。すなわち、時間判定部123は、取得部121により取得された時刻が、該当のリモート操作判定用情報1000に含まれる時刻から所定の時間幅以内であるか否かを判定する。
ステップS304において、所定の時間幅以内であると判定された場合、リモート操作判定処理部104の結果判定部124は、コマンドコードリストに含まれる内部コマンドの組み合わせがリモート操作辞書DB200に存在するか否かを判定する(ステップS305)。すなわち、結果判定部124は、リモート操作辞書DB200に格納されている内部コマンドの組み合わせの中に、順序を保ったまま、該当のリモート操作判定用情報1000のコマンドコードリストに含まれるものが存在するか否かを判定する。
例えば、当該リモート操作判定用情報1000のコマンドコードリストが「コマンドコード1」、「コマンドコード2」、「コマンドコード2」であったとする。この場合、図5に示すリモート操作辞書DB200に格納されている内部コマンドの組み合わせ「コマンドコード1,コマンドコード2」がこの順にコマンドコードリストに含まれる。したがって、この場合、結果判定部124は、コマンドコードリストに含まれる内部コマンドの組み合わせがリモート操作辞書DB200に存在すると判定する。
また、例えば、当該リモート操作判定用情報1000のコマンドコードリストが「コマンドコード6」、「コマンドコード7」、「コマンドコード8」、「コマンドコード9」、「コマンドコード10」であったとする。この場合、図5に示すリモート操作辞書DB200に格納されている内部コマンドの組み合わせ「コマンドコード6,コマンドコード8,コマンドコード10」がこの順にコマンドコードリストに含まれる。したがって、この場合、結果判定部124は、コマンドコードリストに含まれる内部コマンドの組み合わせがリモート操作辞書DB200に存在すると判定する。
ステップS305において、コマンドコードリストに含まれる内部コマンドの組み合わせが存在すると判定された場合、リモート操作判定処理部104の結果作成部125は、当該内部コマンドの組み合わせに対応するリモート操作が成功したことを示すリモート操作結果情報2000を作成する(ステップS306)。
例えば、内部コマンドの組み合わせ「コマンドコード1,コマンドコード2」がコマンドコードに含まれると判定されたものとする。この場合、結果作成部125は、当該内部コマンドの組み合わせに対応するリモート操作名「リモート操作1」のリモート操作が成功したことを示すリモート操作結果情報2000を作成する。
また、例えば、内部コマンドの組み合わせ「コマンドコード6,コマンドコード8,コマンドコード10」がコマンドコードに含まれると判定されたものとする。この場合、結果作成部125は、当該内部コマンドの組み合わせに対応するリモート操作名「リモート操作2」のリモート操作が成功したことを示すリモート操作結果情報2000を作成する。
ここで、リモート操作が成功したことを示すリモート操作結果情報2000を図11(a)に示す。図11(a)に示すように、リモート操作が成功したことを示すリモート操作結果情報2000には、時刻と、送信元IPアドレスと、宛先IPアドレスと、宛先ポート番号と、リモート操作名と、リモート操作結果とが含まれる。
リモート操作が成功したことを示すリモート操作結果情報2000の時刻、送信元IPアドレス、宛先IPアドレス、及び宛先ポート番号には、リモート操作判定用情報1000と同様の情報が設定される。また、リモート操作が成功したことを示すリモート操作結果情報2000のリモート操作名には、コマンドコードリストに含まれると判定された内部コマンドの組み合わせに対応するリモート操作名が設定される。当該リモート操作名は、リモート操作辞書DB200から取得される。更に、リモート操作が成功したことを示すリモート操作結果情報2000のリモート操作結果には、「成功」が設定される。
このように、結果作成部125は、リモート操作名と、当該リモート操作が成功したことを示す結果とが含まれるリモート操作結果情報2000を作成する。結果作成部125により作成されたリモート操作結果情報2000は、例えば、補助記憶装置18等における所定の記憶領域に記憶される。
一方で、ステップS304において、所定の時間幅以内でないと判定された場合、リモート操作判定処理部104の結果作成部125は、リモート操作が失敗したことを示すリモート操作結果情報2000を作成する(ステップS307)。
ここで、リモート操作が失敗したことを示すリモート操作結果情報2000を図11(b)に示す。図11(b)に示すように、リモート操作が失敗したことを示すリモート操作結果情報2000には、時刻と、送信元IPアドレスと、宛先IPアドレスと、宛先ポート番号と、リモート操作名と、リモート操作結果と、コマンドコードリストとが含まれる。なお、リモート操作名を特定できない場合、リモート操作が失敗したことを示すリモート操作結果情報2000には、リモート操作名は含まれない。一方で、リモート操作名を特定できた場合には、リモート操作名が含まれる。
リモート操作が失敗したことを示すリモート操作結果情報2000の時刻、送信元IPアドレス、宛先IPアドレス、及び宛先ポート番号には、リモート操作判定用情報1000と同様の情報が設定される。また、リモート操作が失敗したことを示すリモート操作結果情報2000のリモート操作結果には、「失敗」が設定される。
更に、リモート操作が失敗したことを示すリモート操作結果情報2000のコマンドコードリストには、リモート操作判定用情報1000と同様の情報が設定される。リモート操作が失敗したことを示すリモート操作結果情報2000にコマンドコードリストが含まれることで、例えばシステム環境Eのセキュリティ管理者等は、失敗したリモート操作について、どこまでのコマンドが実行されたのかを知ることができる。
このように、結果作成部125は、リモート操作が失敗したことを示す結果と、当該リモート操作で実行されるコマンドのリストとが含まれるリモート操作結果情報2000を作成する。結果作成部125により作成されたリモート操作結果情報2000は、例えば、補助記憶装置18等における所定の記憶領域に記憶される。
なお、ステップS302において、該当のリモート操作判定用情報1000がないと判定された場合、リモート操作判定処理部104は、処理を終了する。同様に、ステップS305において、コマンドコードリストに含まれる内部コマンドの組み合わせがリモート操作辞書DB200に存在しないと判定された場合、リモート操作判定処理部104は、処理を終了する。
(まとめ)
以上のように、本実施形態に係るネットワーク監視装置30は、感染装置10と標的装置10との間のネゴシエーションから通信の暗号化の有無を判定する。また、本実施形態に係るネットワーク監視装置30は、通信が暗号化されている場合、リモート操作で実行されるコマンドの要求パケットのヘッダ部から順にコマンドコードを取得する。そして、本実施形態に係るネットワーク監視装置30は、取得したコマンドコードの組み合わせがリモート操作辞書DB200に格納されている場合に、当該組み合わせに対応するリモート操作が成功したものと判定する。
以上のように、本実施形態に係るネットワーク監視装置30は、感染装置10と標的装置10との間のネゴシエーションから通信の暗号化の有無を判定する。また、本実施形態に係るネットワーク監視装置30は、通信が暗号化されている場合、リモート操作で実行されるコマンドの要求パケットのヘッダ部から順にコマンドコードを取得する。そして、本実施形態に係るネットワーク監視装置30は、取得したコマンドコードの組み合わせがリモート操作辞書DB200に格納されている場合に、当該組み合わせに対応するリモート操作が成功したものと判定する。
これにより、本実施形態に係るネットワーク監視装置30は、通信が暗号化されている場合であっても、感染装置10が標的装置10に行ったリモート操作の成否を特定することができる。
リモート操作の成否を知ることで、例えばシステム環境Eのセキュリティ管理者等は、感染装置10から標的装置10への不正なリモート操作に対する対処内容やその優先順位を決める際の参考にすることができる。
なお、図11(a)及び図11(b)に示すリモート操作結果情報2000には、例えば、標的装置10へのリモート操作に用いられたアカウント名や感染装置10が当該リモート操作に用いたサービス名、操作対象のファイル名等の情報が含まれていても良い。これにより、例えばシステム環境Eのセキュリティ管理者等は、これらのアカウント名やサービス名、ファイル名等の情報を参考して、不正なリモート操作に対する対処内容やその優先順位を決めることができるようになる。
以上、本発明の実施形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
以上の説明に関し、更に以下の項を開示する。
(付記1)
リモート操作を実現する1以上のコマンドを実行させるための暗号化された実行要求パケットのヘッダから、前記コマンドを示すコマンドコードを取得する取得部と、
リモート操作と、1以上のコマンドコードの組み合わせとが対応付けられた記憶部を参照して、前記取得部が取得したコマンドコードのリストに含まれる前記組み合わせが存在するか否かを判定する第1の判定部と、
前記第1の判定部により前記組み合わせが存在すると判定された場合、該組み合わせに対応付けられているリモート操作が成功したと判定する第2の判定部と、
を有することを特徴とするネットワーク監視装置。
(付記2)
前記取得部は、
前記リモート操作の操作元の装置と、操作対象の装置との間でネゴシエーションが行われてから所定の時間以内に送受信された前記実行要求パケットのヘッダから、前記コマンドコードを取得し、
前記第2の判定部は、
前記所定の時間以内に、前記第1の判定部により前記組み合わせが存在すると判定されなかった場合、リモート操作が失敗したと判定する、ことを特徴とする付記1に記載のネットワーク監視装置。
(付記3)
前記ネゴシエーションの応答を示す応答パケットから、前記実行要求パケットが暗号化されるか否かを判定する第3の判定部を有し、
前記取得部は、
前記第3の判定部により前記実行要求パケットが暗号化されると判定された場合、暗号化された前記実行要求パケットのヘッダから、前記コマンドコードを取得する、ことを特徴とする付記2に記載のネットワーク監視装置。
(付記4)
リモート操作を実現する1以上のコマンドを実行させるための暗号化された実行要求パケットのヘッダから、前記コマンドを示すコマンドコードを取得し、
リモート操作と、1以上のコマンドコードの組み合わせとが対応付けられた記憶部を参照して、取得したコマンドコードのリストに含まれる前記組み合わせが存在するか否かを判定し、
前記組み合わせが存在すると判定された場合、該組み合わせに対応付けられているリモート操作が成功したと判定する、
処理をコンピュータが実行することを特徴とするネットワーク監視方法。
(付記5)
前記リモート操作の操作元の装置と、操作対象の装置との間でネゴシエーションが行われてから所定の時間以内に送受信された前記実行要求パケットのヘッダから、前記コマンドコードを取得し、
前記所定の時間以内に、前記組み合わせが存在すると判定されなかった場合、リモート操作が失敗したと判定する、ことを特徴とする付記4に記載のネットワーク監視方法。
(付記6)
前記ネゴシエーションの応答を示す応答パケットから、前記実行要求パケットが暗号化されるか否かを判定し、
前記実行要求パケットが暗号化されると判定された場合、暗号化された前記実行要求パケットのヘッダから、前記コマンドコードを取得する、ことを特徴とする付記5に記載のネットワーク監視方法。
(付記7)
リモート操作を実現する1以上のコマンドを実行させるための暗号化された実行要求パケットのヘッダから、前記コマンドを示すコマンドコードを取得し、
リモート操作と、1以上のコマンドコードの組み合わせとが対応付けられた記憶部を参照して、取得したコマンドコードのリストに含まれる前記組み合わせが存在するか否かを判定し、
前記組み合わせが存在すると判定された場合、該組み合わせに対応付けられているリモート操作が成功したと判定する、
処理をコンピュータに実行させることを特徴とするネットワーク監視プログラム。
(付記8)
前記リモート操作の操作元の装置と、操作対象の装置との間でネゴシエーションが行われてから所定の時間以内に送受信された前記実行要求パケットのヘッダから、前記コマンドコードを取得し、
前記所定の時間以内に、前記組み合わせが存在すると判定されなかった場合、リモート操作が失敗したと判定する、ことを特徴とする付記7に記載のネットワーク監視プログラム。
(付記9)
前記ネゴシエーションの応答を示す応答パケットから、前記実行要求パケットが暗号化されるか否かを判定し、
前記実行要求パケットが暗号化されると判定された場合、暗号化された前記実行要求パケットのヘッダから、前記コマンドコードを取得する、ことを特徴とする付記8に記載のネットワーク監視プログラム。
(付記1)
リモート操作を実現する1以上のコマンドを実行させるための暗号化された実行要求パケットのヘッダから、前記コマンドを示すコマンドコードを取得する取得部と、
リモート操作と、1以上のコマンドコードの組み合わせとが対応付けられた記憶部を参照して、前記取得部が取得したコマンドコードのリストに含まれる前記組み合わせが存在するか否かを判定する第1の判定部と、
前記第1の判定部により前記組み合わせが存在すると判定された場合、該組み合わせに対応付けられているリモート操作が成功したと判定する第2の判定部と、
を有することを特徴とするネットワーク監視装置。
(付記2)
前記取得部は、
前記リモート操作の操作元の装置と、操作対象の装置との間でネゴシエーションが行われてから所定の時間以内に送受信された前記実行要求パケットのヘッダから、前記コマンドコードを取得し、
前記第2の判定部は、
前記所定の時間以内に、前記第1の判定部により前記組み合わせが存在すると判定されなかった場合、リモート操作が失敗したと判定する、ことを特徴とする付記1に記載のネットワーク監視装置。
(付記3)
前記ネゴシエーションの応答を示す応答パケットから、前記実行要求パケットが暗号化されるか否かを判定する第3の判定部を有し、
前記取得部は、
前記第3の判定部により前記実行要求パケットが暗号化されると判定された場合、暗号化された前記実行要求パケットのヘッダから、前記コマンドコードを取得する、ことを特徴とする付記2に記載のネットワーク監視装置。
(付記4)
リモート操作を実現する1以上のコマンドを実行させるための暗号化された実行要求パケットのヘッダから、前記コマンドを示すコマンドコードを取得し、
リモート操作と、1以上のコマンドコードの組み合わせとが対応付けられた記憶部を参照して、取得したコマンドコードのリストに含まれる前記組み合わせが存在するか否かを判定し、
前記組み合わせが存在すると判定された場合、該組み合わせに対応付けられているリモート操作が成功したと判定する、
処理をコンピュータが実行することを特徴とするネットワーク監視方法。
(付記5)
前記リモート操作の操作元の装置と、操作対象の装置との間でネゴシエーションが行われてから所定の時間以内に送受信された前記実行要求パケットのヘッダから、前記コマンドコードを取得し、
前記所定の時間以内に、前記組み合わせが存在すると判定されなかった場合、リモート操作が失敗したと判定する、ことを特徴とする付記4に記載のネットワーク監視方法。
(付記6)
前記ネゴシエーションの応答を示す応答パケットから、前記実行要求パケットが暗号化されるか否かを判定し、
前記実行要求パケットが暗号化されると判定された場合、暗号化された前記実行要求パケットのヘッダから、前記コマンドコードを取得する、ことを特徴とする付記5に記載のネットワーク監視方法。
(付記7)
リモート操作を実現する1以上のコマンドを実行させるための暗号化された実行要求パケットのヘッダから、前記コマンドを示すコマンドコードを取得し、
リモート操作と、1以上のコマンドコードの組み合わせとが対応付けられた記憶部を参照して、取得したコマンドコードのリストに含まれる前記組み合わせが存在するか否かを判定し、
前記組み合わせが存在すると判定された場合、該組み合わせに対応付けられているリモート操作が成功したと判定する、
処理をコンピュータに実行させることを特徴とするネットワーク監視プログラム。
(付記8)
前記リモート操作の操作元の装置と、操作対象の装置との間でネゴシエーションが行われてから所定の時間以内に送受信された前記実行要求パケットのヘッダから、前記コマンドコードを取得し、
前記所定の時間以内に、前記組み合わせが存在すると判定されなかった場合、リモート操作が失敗したと判定する、ことを特徴とする付記7に記載のネットワーク監視プログラム。
(付記9)
前記ネゴシエーションの応答を示す応答パケットから、前記実行要求パケットが暗号化されるか否かを判定し、
前記実行要求パケットが暗号化されると判定された場合、暗号化された前記実行要求パケットのヘッダから、前記コマンドコードを取得する、ことを特徴とする付記8に記載のネットワーク監視プログラム。
10 情報処理装置
20 収集装置
30 ネットワーク監視装置
40 ファイアウォール
50 C&Cサーバ
100 ネットワーク監視プログラム
101 受信部
102 パケット判定部
103 ネゴシエーション判定処理部
104 リモート操作判定処理部
111 取得部
112 暗号化判定部
113 判定用情報作成部
121 取得部
122 リスト追加部
123 時間判定部
124 結果判定部
125 結果作成部
200 リモート操作辞書DB
1000 リモート操作判定用情報
2000 リモート操作結果情報
20 収集装置
30 ネットワーク監視装置
40 ファイアウォール
50 C&Cサーバ
100 ネットワーク監視プログラム
101 受信部
102 パケット判定部
103 ネゴシエーション判定処理部
104 リモート操作判定処理部
111 取得部
112 暗号化判定部
113 判定用情報作成部
121 取得部
122 リスト追加部
123 時間判定部
124 結果判定部
125 結果作成部
200 リモート操作辞書DB
1000 リモート操作判定用情報
2000 リモート操作結果情報
Claims (5)
- リモート操作を実現する1以上のコマンドを実行させるための暗号化された実行要求パケットのヘッダから、前記コマンドを示すコマンドコードを取得する取得部と、
リモート操作と、1以上のコマンドコードの組み合わせとが対応付けられた記憶部を参照して、前記取得部が取得したコマンドコードのリストに含まれる前記組み合わせが存在するか否かを判定する第1の判定部と、
前記第1の判定部により前記組み合わせが存在すると判定された場合、該組み合わせに対応付けられているリモート操作が成功したと判定する第2の判定部と、
を有することを特徴とするネットワーク監視装置。 - 前記取得部は、
前記リモート操作の操作元の装置と、操作対象の装置との間でネゴシエーションが行われてから所定の時間以内に送受信された前記実行要求パケットのヘッダから、前記コマンドコードを取得し、
前記第2の判定部は、
前記所定の時間以内に、前記第1の判定部により前記組み合わせが存在すると判定されなかった場合、リモート操作が失敗したと判定する、ことを特徴とする請求項1に記載のネットワーク監視装置。 - 前記ネゴシエーションの応答を示す応答パケットから、前記実行要求パケットが暗号化されるか否かを判定する第3の判定部を有し、
前記取得部は、
前記第3の判定部により前記実行要求パケットが暗号化されると判定された場合、暗号化された前記実行要求パケットのヘッダから、前記コマンドコードを取得する、ことを特徴とする請求項2に記載のネットワーク監視装置。 - リモート操作を実現する1以上のコマンドを実行させるための暗号化された実行要求パケットのヘッダから、前記コマンドを示すコマンドコードを取得し、
リモート操作と、1以上のコマンドコードの組み合わせとが対応付けられた記憶部を参照して、取得したコマンドコードのリストに含まれる前記組み合わせが存在するか否かを判定し、
前記組み合わせが存在すると判定された場合、該組み合わせに対応付けられているリモート操作が成功したと判定する、
処理をコンピュータが実行することを特徴とするネットワーク監視方法。 - リモート操作を実現する1以上のコマンドを実行させるための暗号化された実行要求パケットのヘッダから、前記コマンドを示すコマンドコードを取得し、
リモート操作と、1以上のコマンドコードの組み合わせとが対応付けられた記憶部を参照して、取得したコマンドコードのリストに含まれる前記組み合わせが存在するか否かを判定し、
前記組み合わせが存在すると判定された場合、該組み合わせに対応付けられているリモート操作が成功したと判定する、
処理をコンピュータに実行させることを特徴とするネットワーク監視プログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017220985A JP6911723B2 (ja) | 2017-11-16 | 2017-11-16 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
| US16/180,907 US10819614B2 (en) | 2017-11-16 | 2018-11-05 | Network monitoring apparatus and network monitoring method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017220985A JP6911723B2 (ja) | 2017-11-16 | 2017-11-16 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019092106A true JP2019092106A (ja) | 2019-06-13 |
| JP6911723B2 JP6911723B2 (ja) | 2021-07-28 |
Family
ID=66433659
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017220985A Expired - Fee Related JP6911723B2 (ja) | 2017-11-16 | 2017-11-16 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US10819614B2 (ja) |
| JP (1) | JP6911723B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021117773A (ja) * | 2020-01-27 | 2021-08-10 | 富士通株式会社 | 情報処理装置、分析用データ生成プログラム及び方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014063349A (ja) * | 2012-09-21 | 2014-04-10 | Azbil Corp | マルウェア検出装置および方法 |
| JP2014086821A (ja) * | 2012-10-22 | 2014-05-12 | Fujitsu Ltd | 不正コネクション検出方法、ネットワーク監視装置及びプログラム |
| JP2017102508A (ja) * | 2015-11-30 | 2017-06-08 | 富士通株式会社 | ネットワーク監視プログラム、ネットワーク監視方法及びネットワーク監視装置 |
| JP2017130037A (ja) * | 2016-01-20 | 2017-07-27 | 西日本電信電話株式会社 | セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム |
| JP2018186428A (ja) * | 2017-04-27 | 2018-11-22 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視プログラム及びネットワーク監視方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4034436B2 (ja) | 1998-09-30 | 2008-01-16 | 株式会社東芝 | クライアント・サーバシステム及びクライアント稼働監視方法 |
| JP4030548B2 (ja) | 2005-01-07 | 2008-01-09 | 富士通株式会社 | 伝送装置のセキュリティシステム |
| US7650388B2 (en) | 2005-01-13 | 2010-01-19 | Xerox Corporation | Wireless identification protocol with confirmation of successful transmission |
| JP4997373B2 (ja) * | 2006-10-31 | 2012-08-08 | ティーティーアイ インベンションズ シー リミテッド ライアビリティ カンパニー | 暗号ハッシュを用いたウィルス位置決定法 |
| US8839431B2 (en) * | 2008-05-12 | 2014-09-16 | Enpulz, L.L.C. | Network browser based virus detection |
| JP5009244B2 (ja) | 2008-07-07 | 2012-08-22 | 日本電信電話株式会社 | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
| KR101042729B1 (ko) * | 2009-04-09 | 2011-06-20 | 삼성에스디에스 주식회사 | 휴대단말기에서의 시스템온칩 및 주문형반도체 기반의 악성코드 검출 장치 |
| US9088606B2 (en) * | 2012-07-05 | 2015-07-21 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| US9985980B1 (en) * | 2015-12-15 | 2018-05-29 | EMC IP Holding Company LLC | Entropy-based beaconing detection |
-
2017
- 2017-11-16 JP JP2017220985A patent/JP6911723B2/ja not_active Expired - Fee Related
-
2018
- 2018-11-05 US US16/180,907 patent/US10819614B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014063349A (ja) * | 2012-09-21 | 2014-04-10 | Azbil Corp | マルウェア検出装置および方法 |
| JP2014086821A (ja) * | 2012-10-22 | 2014-05-12 | Fujitsu Ltd | 不正コネクション検出方法、ネットワーク監視装置及びプログラム |
| JP2017102508A (ja) * | 2015-11-30 | 2017-06-08 | 富士通株式会社 | ネットワーク監視プログラム、ネットワーク監視方法及びネットワーク監視装置 |
| JP2017130037A (ja) * | 2016-01-20 | 2017-07-27 | 西日本電信電話株式会社 | セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム |
| JP2018186428A (ja) * | 2017-04-27 | 2018-11-22 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視プログラム及びネットワーク監視方法 |
Non-Patent Citations (3)
| Title |
|---|
| 山田 正弘 MASAHIRO YAMADA: "組織内ネットワークにおける標的型攻撃の検知方式 A Detection Method against Activities of Targeted At", 電子情報通信学会技術研究報告 VOL.113 NO.138 IEICE TECHNICAL REPORT, vol. 第113巻, JPN6021004458, 11 July 2013 (2013-07-11), JP, pages 359 - 364, ISSN: 0004524318 * |
| 海野 由紀 YUKI UNNNO: "研究開発最前線", FUJITSU VOL.68 NO.5, vol. 第68巻, JPN6021021095, 1 September 2017 (2017-09-01), pages 69 - 77, ISSN: 0004524316 * |
| 鳥居 悟 SATORU TORII: "研究開発最前線", FUJITSU VOL.64 NO.5, vol. 第64巻, JPN6021021097, 10 September 2013 (2013-09-10), pages 516 - 522, ISSN: 0004524317 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021117773A (ja) * | 2020-01-27 | 2021-08-10 | 富士通株式会社 | 情報処理装置、分析用データ生成プログラム及び方法 |
| JP7393642B2 (ja) | 2020-01-27 | 2023-12-07 | 富士通株式会社 | 情報処理装置、分析用データ生成プログラム及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10819614B2 (en) | 2020-10-27 |
| US20190149448A1 (en) | 2019-05-16 |
| JP6911723B2 (ja) | 2021-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2617631C2 (ru) | Способ обнаружения работы вредоносной программы, запущенной с клиента, на сервере | |
| JP5019869B2 (ja) | コンピュータ装置の暗号化データへのアクセスを提供する方法 | |
| JP5446860B2 (ja) | 仮想マシン運用システム、仮想マシン運用方法およびプログラム | |
| JP5920169B2 (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
| JP4938576B2 (ja) | 情報収集システムおよび情報収集方法 | |
| JP4546382B2 (ja) | 機器検疫方法、および、機器検疫システム | |
| JP5445262B2 (ja) | 検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム | |
| US11368472B2 (en) | Information processing device and program | |
| KR102379720B1 (ko) | 가상화 단말에서 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법 | |
| US20160036840A1 (en) | Information processing apparatus and program | |
| CN101771529B (zh) | 终端装置、中继装置和处理方法 | |
| JP6092759B2 (ja) | 通信制御装置、通信制御方法、および通信制御プログラム | |
| KR100985076B1 (ko) | Usb 디바이스 보안 장치 및 방법 | |
| JP6911723B2 (ja) | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム | |
| CN105791233A (zh) | 一种防病毒扫描方法及装置 | |
| RU2706894C1 (ru) | Система и способ анализа содержимого зашифрованного сетевого трафика | |
| JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
| US11146582B2 (en) | Information processing apparatus, recording medium recording network monitoring program, and network monitoring method | |
| JP5456636B2 (ja) | ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム | |
| GB2549586A (en) | Information processing device and program | |
| JP2016115037A (ja) | 端末分析装置、ふるまい検知装置、端末分析プログラムおよびふるまい検知プログラム | |
| JP2007299342A (ja) | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 | |
| KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
| EP3588900B1 (en) | System and method of analyzing the content of encrypted network traffic | |
| JP2005057522A (ja) | ネットワーク攻撃に関する影響分析システム、ネットワーク攻撃に関する影響分析方法およびネットワーク攻撃に関する影響分析プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200807 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210526 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210608 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210621 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6911723 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |