Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6432210B2 - セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム - Google Patents
[go: Go Back, main page]

JP6432210B2 - セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム - Google Patents

セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム Download PDF

Info

Publication number
JP6432210B2
JP6432210B2 JP2014168892A JP2014168892A JP6432210B2 JP 6432210 B2 JP6432210 B2 JP 6432210B2 JP 2014168892 A JP2014168892 A JP 2014168892A JP 2014168892 A JP2014168892 A JP 2014168892A JP 6432210 B2 JP6432210 B2 JP 6432210B2
Authority
JP
Japan
Prior art keywords
communication
attack
source
login authentication
devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014168892A
Other languages
English (en)
Other versions
JP2016046654A (ja
Inventor
聡美 本多
聡美 本多
武仲 正彦
正彦 武仲
悟 鳥居
悟 鳥居
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2014168892A priority Critical patent/JP6432210B2/ja
Priority to US14/803,503 priority patent/US9813451B2/en
Priority to EP15178031.9A priority patent/EP2988468B1/en
Publication of JP2016046654A publication Critical patent/JP2016046654A/ja
Application granted granted Critical
Publication of JP6432210B2 publication Critical patent/JP6432210B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラムに関する。
サイバー攻撃を監視するための侵入検知システム(IDS:Intrusion Detection System)と呼ばれるセキュリティ装置が知られている。この侵入検知システムは、監視対象となるシステムやネットワークに対する通信を監視し、通信ログを記録する。
そして、この通信ログが分析され、例えば、通信元が単位時間当たり何回ログイン認証を試しているか等に基づき、当該通信元が不正なアクセス元であるか否かが判定される。そして、当該通信元が不正なアクセス元であると判定されると、当該通信元からの通信を一定期間遮断する等といった防御対策が施される。
ところで、ネットワーク攻撃に先立って送信される攻撃前兆パケットのパターンを登録しておき、当該パターンが検知された場合には、当該パターンに関連付けられたネットワーク攻撃に対する対処レベルを上げる技術が知られている。
また、セキュリティレベルの低いコンピュータを探したり、コンピュータのセキュリティ上の欠陥を探したりするために、多数のコンピュータやコンピュータにある多数のアプリケーションに対して通信開始要求を送ってくるパケットが使用するTCPコネクションを検知し、このTCPコネクションへの応答時間を選択的に遅くすることで攻撃の進行を遅らせる技術が知られている。
特開2010−250607号公報 特開2008−187701号公報
サイバー攻撃を認識することができずに、このサイバー攻撃に対して防御対策を講じることができないと、攻撃対象となってしまったコンピュータから種々の情報が詐取されてしまう恐れがある。
本願は、サイバー攻撃に対してセキュリティ強度の高いセキュリティシステムを提供することを目的とする。
開示のセキュリティシステムは、複数の装置に対して通信の疎通確認をする通信元を特定する第1手段と、前記通信の疎通確認の試行後に前記通信元によって試行される複数の認証処理を不許可とする第2手段と、前記複数の認証処理の対象になった複数の装置を特定のサイバー攻撃による攻撃対象候補と特定する第3手段と、を有する。
開示のセキュリティシステムによれば、サイバー攻撃に対してセキュリティ強度を高めることができる。
セキュリティシステムの例。 セキュリティシステムの他の例。 通信ログの例。 図3に示される通信ログの一部の拡大図。 ブルートフォース攻撃の第2の側面における特徴。 ブルートフォース攻撃の第2の側面に関連した通信ログの他の例。 図6に示される通信ログから得た、ブルートフォース攻撃の第2の側面における他の特徴。 実施例のセキュリティシステム。 実施例のアクセス検知装置、アクセス分析装置、及びアクセス防止装置のハードウェア構成。 実施例のアクセス検知装置の機能ブロック。 実施例のアクセス防止装置の機能ブロック。 実施例のアクセス分析装置の機能ブロック。 実施例のアクセス検知装置によって実行される処理。 実施例のアクセス検知装置によって記録された、ホストスキャンを実行した通信元の記録例。 実施例のアクセス検知装置によって実行される他の処理。 実施例の転送履歴の例。 実施例のアクセス防止装置によって実行される処理。 実施例のダミー応答履歴の例。 実施例のアクセス分析装置によって実行される処理。 ログイン認証の試行履歴の例。 実施例のアクセス分析装置によって実行される他の処理。 最大クリーク法の概略を説明するための図。 実施例の攻撃対象群及び攻撃対象候補の例。 実施例のアクセス分析装置によって実行される他の処理。
図1に、セキュリティシステムの例が示される。アクセス監視システム1は、ネットワーク100を通じてサーバ装置110に対して行われる通信を監視し、特定の規則に合致する通信を検知するアクセス検知装置120を含む。また、アクセス監視システム1は、アクセス検知装置120によって検知された通信のログが記録されるストレージ130をさらに含む。
なお、アクセス検知装置120は、例えば、侵入検知システム(IDS:Intrusion Detection System)と一般に呼ばれているセキュリティ装置であり、特定のIPアドレスを有するコンピュータ(例えばサーバ装置や通信装置等)に向けてのアクセスを重点的に監視して、この監視の結果を通知する機能を有する。また、この侵入検知システムは、攻撃元IPアドレスを特定する機能を有し、特定された攻撃元IPアドレスからの通信を遮断する等して防御対策を施すことができる。
なお、アクセス検知装置120として、侵入防止システム(IPS:Intrusion Prevention System)が適用されても良い。侵入防止システムとは、侵入検知システムの機能に加えて、ファイアーウォールと連動して通信を遮断する等のネットワーク防御を自動で行う機能を有するセキュリティ装置である。
ところで、図1に示されるサーバ装置110に対するサイバー攻撃の1つに、サーバ装置110との通信を介して、サーバ装置110にログインするためのIDとパスワードを詐取しようとするサイバー攻撃がある。
このサイバー攻撃では、“root”や“admin”といったIDとして利用されがちなIDとパスワードの組み合わせや、あるシステムから漏洩したと考えられるIDとパスワードの組み合わせや、無作為に選んだIDとパスワードの組み合わせ等を使ったログイン認証が多数回試行される。そして、この多数回のログイン認証の試行を通して、ログイン認証が成功するIDとパスワードの組み合わせを見つけ出し、IDとパスワードを詐取しようとする。
ここで、本明細書では、このようなサイバー攻撃を、ブルートフォース攻撃と呼ぶ。なお、ブルートフォース攻撃とは、広義には、考えられる全ての鍵をリストアップすることで暗号文の復号を試みる攻撃も含み、この攻撃を効率的に実施するために、辞書に収集されている単語を候補として探す辞書攻撃や、システムに初期設定される値を使うといった攻撃も含む。
ところで、このブルートフォース攻撃に対して、サーバ装置110にログイン認証の試行をする通信を検知するように当該特定の規則を定め、これをアクセス検知装置120に設定する。加えて、アクセス検知装置120は、当該ログイン認証の試行をしてきた通信元を特定するために、ログイン認証の試行の記録と共に、当該通信元のInternet Protocolアドレス(以下IPアドレス)を通信ログとしてストレージ130に記録する。
仮に、この通信ログによって、ある閾値を上回るほど多数回のログイン認証が特定の通信元から試行されていることが認められる場合には、当該通信元を不正なアクセスをしようとしているブルートフォース攻撃元であると判定する。そして、当該通信元からの通信をある一定期間遮断する等の対策をとれば、当該ブルートフォース攻撃元からサーバ装置110を守ることができる。
図2に、セキュリティシステムの他の例が示される。アクセス監視システム2は、ネットワーク100を介してサーバ装置110に対して行われる通信を監視し、特定の規則に合致する通信を検知するアクセス検知装置120を含む。アクセス監視システム2は、ネットワーク100を介してサーバ装置140に対して行われる通信を監視し、特定の規則に合致する通信を検知するアクセス検知装置150を含む。アクセス監視システム2は、ネットワーク100を介してサーバ装置160に対して行われる通信を監視し、特定の規則に合致する通信を検知するアクセス検知装置170を含む。なお、アクセス検知装置150及びアクセス検知装置170は、図1に沿って上述したアクセス検知装置120と同様の機能の有する。
アクセス監視システム2は、さらに、アクセス検知装置120、アクセス検知装置150及びアクセス検知装置170によって検知された各通信ログを記録するストレージ130を含む。なお、アクセス監視システム2では、サーバ装置110、サーバ装置140及びサーバ装置160に対する通信を1台のアクセス検知装置120等でまとめて監視してもよい。
発明者らの検討によれば、アクセス監視システム2のようなシステムを利用し、複数のサーバ装置に対するログイン認証の試行を同時に監視することで、ブルートフォース攻撃について新たな知見を見出した。この知見を説明するために、発明者らが取得した通信ログを図3及び図4に示す。
図3に、通信ログの例が示される。図3には、複数のサーバ装置に対するログイン認証の試行を同時に監視することで発明者らが取得した通信ログが示される。ここでは、横軸によって、ログイン認証の試行が検知された検知時刻が示される。なお、図3に示される監視期間は約1か月間である。また、縦軸によって、ログイン認証の試行の対象となった装置を区別するために各々装置に対して便宜的に付与した番号が示される。また、図3内の各シンボルによって、ログイン認証の試行を仕掛けた装置が区別される。なお、本明細書では、ログイン認証を試みるブルートフォース攻撃を仕掛けてきた装置(例えば、サーバ装置、通信装置等)、及び当該装置を識別するための識別情報(例えばIPアドレス等)を「攻撃元」とよぶことがある。また、当該ブルートフォース攻撃が仕掛けられた装置(例えば、サーバ装置、通信装置等)、及び当該装置を識別するための識別情報(例えばIPアドレス等)を「攻撃対象」とよぶことがある。また、「検知時刻」とは、アクセス検知装置120、アクセス検知装置150又はアクセス検知装置170らが当該ブルートフォース攻撃を検知した時刻である。また、「ログイン認証の試行回数」とは、ある検知時刻を含むある連続的期間において、攻撃元から攻撃対象へログイン認証の試行が検知された回数である。例えば、ある時刻から5分間にわたり、ある攻撃対象がある攻撃元から攻撃を受けた場合、その5分間の攻撃の総数である。また、この「ログイン認証の試行回数」は、単位時間当たりのブルートフォース攻撃が検知された回数を意味することもある。例えば、1分間あたりのログイン認証の試行回数を意味することもある。例えば、ある時刻から5分間にわたり、ある攻撃対象がある攻撃元から攻撃を受けた場合、1分あたりの攻撃の回数の平均を「ログイン認証の試行回数」とすることもある。なお、「ログイン認証の試行回数」を「攻撃回数」と呼ぶこともある。
まず、A系列として示されたログイン認証の試行に注目して、ブルートフォース攻撃の第1の側面を説明する。A系列として示されたログイン認証の試行では、攻撃元から、57番で識別される装置と64番で識別される装置とが攻撃対象となっており、これらの装置が同じ攻撃元から長期間にわたってログイン認証が試行されている。この攻撃元は、無作為にIDとパスワードを変更し、正当な組み合わせを力任せで詐取しようとしていると考えられる。ただし、何れのログイン認証も成功せずに失敗し、その都度、IDとパスワードの組み合わせを変更してログイン認証を試行していると考えられる。
A系列に示されるようなブルートフォース攻撃の場合、例えば、特定の通信元から試行されるログイン認証の失敗回数がある回数以上に到達した場合に当該通信元を攻撃元であると特定する、といった規則を適用することで検知することが可能である。そして、当該通信元からの通信を遮断してしまうことで、この通信元からのブルートフォース攻撃を阻止することができる。
図4に、図3に示される通信ログの一部の拡大図が示される。ここでは図3に示されるウィンドウK内の通信に注目して、ブルートフォース攻撃の第2の側面を説明する。
図4には、時刻T1から1分間にわたり、装置番号が18、21、22、29、30、36、38−40で識別される装置が、攻撃元Aによって毎分15回のログイン認証が試行された例が示される。また、時刻T2から1分間にわたり、装置番号が18、21、22、28−30、36、38、40で識別される装置が、攻撃元Bによって毎分20回のログイン認証が試行された例が示される。また、時刻T3から5分間にわたり、装置番号が18、21、22、28−30、36、38−40の装置が、攻撃元Cによって毎分18回のログイン認証が試行された例が示される。
発明者らの検討によれば、ウィンドウK内に示されるブルートフォース攻撃は、次の特徴を有している。
第1の特徴は、攻撃元が時々刻々と変わることである。第2の特徴は、複数の攻撃対象がほぼ同時刻にほぼ同じ回数だけログイン認証が試行されていることである。第3の特徴は、ある攻撃元によるログイン認証の試行の回数が比較的少ないことである。
第1の特徴について補足すると、攻撃対象となっている装置群はほぼ同じであるものの、攻撃元のIPアドレスが変わっている。これは、攻撃者が変わった可能性も無くはないが、むしろ、攻撃者が、攻撃元が特定されないようにするために攻撃元のIPアドレスを変えながら攻撃していると想定される。
第2の特徴について補足すると、複数の攻撃対象に対する攻撃が、ほぼ同時刻に検知されている。そして、攻撃元を変えながらの断続的な攻撃によって、一旦攻撃対象となった攻撃対象群が比較的長期間にわたってねらわれている。なお、この攻撃対象群の中には、途中から攻撃を受けるようになり新たに攻撃対象群に加えられてしまう攻撃対象や、それとは逆に、途中から攻撃を受けなくなった攻撃対象もある。
第3の特徴について補足すると、ある一つの攻撃元が試行するログイン認証の回数が比較的少ない。例えば、1つの攻撃対象に対するログイン認証の試行回数について、図3に示される通信ログ全体では平均が72回程度であったのに対して、このブルートフォース攻撃の第2の側面については平均18回程度という分析結果であった。これは、ログイン認証の失敗回数がある回数以上となってしまうことで、侵入検知システムや侵入防止システムによって攻撃元であると特定されてしまうことを回避するために、ある一つの攻撃元についての攻撃回数を抑えていると考えられる。
以上に述べたように、図3及び図4に示されたブルートフォース攻撃の第2の側面(ウィンドウK)は、ブルートフォース攻撃の第1の側面(A系列)とは異なる特徴を有おり、攻撃元を断続的に変えつつ各攻撃元による単位時間当たりの攻撃回数を少なくすることでセキュリティシステムによってサイバー攻撃とは発見されにくいようにした狡猾なサイバー攻撃といえる。
図5に、ブルートフォース攻撃の第2の側面における特徴が示される。図3及び図4に示されたブルートフォース攻撃の第2の側面について、発明者らによって見出された特徴を図5にまとめる。
ブルートフォース攻撃の第2の側面の攻撃者500は、ログイン認証の試行によるブルートフォース攻撃を攻撃装置510に設定する。例えば、攻撃者500は、時刻T1に、第1のIPアドレスで識別される攻撃元520から攻撃対象530、532、534及び536へログイン認証を試行する攻撃を、監視システムに検知されないと想定される程度の回数だけ行うように攻撃装置510に設定する。この場合、攻撃対象530、532、534及び536が攻撃対象群540となっている。また、攻撃者500は、時刻T1の後の時刻T2に、第2のIPアドレスで識別される攻撃元522から攻撃対象532、534及び536へログイン認証を試行する攻撃を、監視システムに検知されないと想定される程度の回数だけ行うように攻撃装置510に設定する。この場合、攻撃対象532、534及び536が攻撃対象群542となっている。また、攻撃者500は、時刻T2の後の時刻T3に、第3のIPアドレスで識別される攻撃元524から攻撃対象532、534、536及び538へログイン認証を試行する攻撃を、監視システムに検知されないと想定される程度の回数だけ行うように攻撃装置510に設定する。この場合、攻撃対象532、534及び536が攻撃対象群542となっている。
このように、ブルートフォース攻撃の第2の側面を利用する攻撃者500は、複数のコンピュータを攻撃対象にすると共に、攻撃元のIPアドレスを変えながら攻撃することで、あるIPアドレスを利用した攻撃の回数を少なくしつつも、IDとパスワードの組み合わせを詐取することができるコンピュータをできる限り探していると考えられる。そして、あるIPアドレスについての「ログイン認証失敗」となる回数が、不正なアクセスをしているとみなす閾値以下(セキュリティ強度以下)となるようにすることで、攻撃元を特定させないようにしていると考えられる。
なお、図5に示されるように、異なる時刻の攻撃どうしを比較すると、上記の第2の特徴によって、攻撃対象群がある一定の割合で一致するといった相関が認められる。言い換えれば、ブルートフォース攻撃の第2の側面では、一度攻撃を受けた攻撃対象は繰り返し攻撃を受ける傾向がある。具体的には、時刻T1に攻撃される攻撃対象群540と、時刻T2に攻撃される攻撃対象群542と、時刻T3に攻撃される攻撃対象群544とが重複していることが見出される。なお、発明者らが取得した通信ログにおいては、異なる時刻における攻撃対象が完全に一致する場合もあった。
さらに、第2の特徴においては、ある攻撃元からのブルートフォース攻撃の攻撃対象群は、ほぼ同時刻にほぼ同じ回数だけログイン認証が試行されている。そのため、このログイン認証の傾向をつかむことで、当該ログイン認証を試行している攻撃元を早期に特定し、この攻撃元から通信を遮断する等の対策を講じることが考えられる。しかし、この傾向をつかむために、例えば、各コンピュータに対するログイン認証の試行どうしの相関を監視している期間は、不正なログイン認証の試行を受けざるをえない。
図6に、ブルートフォース攻撃の第2の側面に関連した通信ログの他の例が示される。図6には、横軸によって、ホストスキャン及びログイン認証の試行が検知された検知時刻が示される。なお、図6に示される監視期間は約6か月間である。また、縦軸によって、ログイン認証の試行を仕掛けてきた攻撃元の装置を区別するために便宜的に付与した番号が示される。そして、記号×によって、ホストスキャンが示され、記号○によってログイン認証の試行が示される。図6に示される通信ログは、発明者らが取得した通信ログであり、この通信ログに、ブルートフォース攻撃の第2の側面の他の重要な特徴が示されている。
その特徴とは、記号○によって示されるログイン認証の試行の前には、記号×によって示されるホストスキャンが実行されているということである。そして、発明者らの分析によれば、ホストスキャンが実行されてから3〜10分後に最初のログイン認証の試行が開始されていることが分かった。
なお、ホストスキャンとは、通信が可能なコンピュータを探すために通信先IPアドレスを変えながら通信の疎通確認をする行為である。実施例はこれに限定されないが、例えば、特定のサービスを定めるポート番号に対して通信が可能なコンピュータを探す行為であり、具体的には、IPアドレスをインクリメントする等して変更しながら、通信の疎通を確認するためのping等のコマンドによる問い合わせを複数のコンピュータに対して実行し、この問い合わせに対する応答が返ってくるか否かによって、通信の疎通確認がとれるコンピュータを探す行為である。
また、一般には、ping等のコマンドは単に通信の疎通確認のために利用されるコマンドであるため、このコマンドの実行だけであればコンピュータは認証を要求しない。そして、一般にアクセスが公開されているサーバ装置や、何らかのサービスを提供しているサーバ装置であれば、外部ユーザとの通信を想定しているため、一般には、ユーザによるコマンドの実行が許容されている。ブルートフォース攻撃を実行する攻撃者は、IDとパスワードを詐取するための攻撃の準備段階としてこのコマンドを悪用し、複数のコンピュータの中から外部ユーザとの通信を許容しているコンピュータをまず探している。
なお、侵入検知システムや侵入防止システム等のセキュリティ装置では、ping等のコマンドが特定の通信元から特定の期間内にある回数以上実行されているかどうか、又、それらの実行時に指定される通信先のIPアドレスが変更されているかどうか等、ホストスキャンであるか否かを判定するための、統計的に妥当性のある条件を設定する。そして、この条件に合致したコマンドの利用が認められるか否かを判定することで、ホストスキャンが実行されたかどうかを判定している。そして、ホストスキャンを実行したと判定された通信元を悪意のある通信元であると推定して通知したり、又は、当該通信元との通信を一定期間遮断する等の対策を講じたりする。
図7に、図6に示される通信ログから得た、ブルートフォース攻撃の第2の側面における他の特徴が示される。ブルートフォース攻撃の第2の側面では、攻撃者は複数の攻撃対象にログイン認証を試すために、その攻撃の準備段階として、ホストスキャンを利用することで通信が可能な複数のコンピュータをまず探している。なお、本明細書では、攻撃元となる通信元を識別するためのIPアドレス及びその通信元自体をsrcIP(sourceIP)と表し、攻撃対象となる通信先を識別するためのIPアドレス及びその通信先自体をdstIP(destinationIP)と表すことがある。
図7に示されるように、攻撃者は、時刻tにおいて、IPアドレスsrcIP1で識別される通信元から、dstIP1−Nで識別される複数の通信先に対してホストスキャンを実行する。そして、攻撃者は、その後の時刻tにおいて、通信の疎通が確認できた複数の装置の一部又は全部に対して、IDとパスワードの組み合わせを詐取するために、ログイン認証を試行してくる。さらに、上述したように、ブルートフォース攻撃の第2の側面では、通信の疎通確認が一旦取れた複数のコンピュータについては、通信元IPアドレスをsrcIP1から別のIPアドレスに変更した後も、それらの一部又は全部に対してログイン認証を試行してくる特徴を有している。なお、攻撃者によっては、極端には、2度目の攻撃ではホストスキャンをせずに、通信の疎通確認が一旦取れた攻撃対象に対して攻撃を繰り返すことも想定される。
そこで、後述の実施例によれば、通信の疎通確認の試行後にログイン認証の試行があると、このログイン認証の試行には悪意があると推定してログイン失敗を返すと共に、このログイン失敗を返している間に、ログイン認証の試行の対象となった複数の装置群を、悪意があると推定される通信元が興味を持っていると装置群として記録していく。これによって、サイバー攻撃を早期に止めつつ、攻撃対象を特定する事ができる。
そして、当該ログイン認証の試行をしてきた通信元のIPアドレスを、疑わしい通信元IPアドレスとして記録しておき、複数のログイン認証の試行のうち何れが当該通信元によるログイン認証の試行かどうかを特定するための情報として利用する。その後、当該通信元による複数のログイン認証の試行どうしに特定の相関が認められることによって当該通信元が悪意のある攻撃元だと判定された場合には、攻撃者が攻撃元のIPアドレスを変更しながら攻撃を断続的に繰り返す特徴を逆手に取り、一定期間経過後には当該攻撃元からは攻撃されなくなる特徴を利用して、記録しておいた当該IPアドレスを一定期間経過後にデータベースから削除する。これによって、データベースの使用量を攻撃の特徴に合わせて効率的に抑えることができる。図6に示されるように、ブルートフォース攻撃では、悪意があると推定される疑わしい通信元IPアドレスの記録が爆発的に増加する傾向があるので、データベースを効率的に使用することは格別の効果を奏する。
また、ログイン失敗を返している期間に記録された複数の装置群については、さらにその後、攻撃者が別の通信元IPアドレスによってログイン認証を試みてくる可能性のある攻撃対象候補であるとして、当該記録を利用する。つまり、実施例では、通信の疎通確認を契機にして特定した通信元に対してログイン失敗を返すことで最初の攻撃を止めて実害を出さないようにしている期間に、通信元IPアドレスが変更された場合の攻撃に対する防御対策に利用するための情報を入手している。
この情報を早期に入手しておくことによって、仮にホストスキャンを実行しなかった別の通信元からログイン認証の試行があった場合に、当該候補とされた複数の装置(過去にリスト化した攻撃対象群かつ攻撃対象候補)とログイン認証の要求先(現在の攻撃対象群)とが特定の割合以上で一致することが認められれば、攻撃者が別の通信元IPアドレスを利用して再攻撃してきたと判定して、この再攻撃に対する防御対策を講じる。つまり、実施例によれば、たとえ攻撃者が通信元IPアドレスを変えて再攻撃を仕掛けてきたとしても、リスト化された攻撃対象群に基づいて、不正なログイン認証の試行を特定し、これに対処することができる。
なお、通信の疎通確認は攻撃の準備段階であり、この疎通確認が実行されただけでは実害が発生しているとはいえないため、この疎通確認を契機にして、攻撃者が使用するIPアドレスの1つを入手している。そして、通信の疎通確認の試行後のログイン認証の試行に対しては実害が出ないように、まずは全ての要求に対してログイン認証を許可せず、ログイン認証が失敗したことを通知する。ブルートフォース攻撃の第2の側面を利用する攻撃者は、力任せに総当たり攻撃を仕掛けているので、ログイン認証が失敗した通知を受け取ったとしても気にせず、通信元IPアドレスを変え、そして時間をずらして次のログイン認証を試すだけである。
また、実施例では、ホストスキャンを実行した通信元からのログイン要求に対して、アクセス防止装置がログイン失敗を返している。アクセス検知装置にはホストスキャンを検知するための特定の規則が設定されており、ホストスキャンを実行した通信元を被疑攻撃元と推定している。つまり、アクセス検知装置が、設定された特定の規則に基づいて当該通信元を被疑攻撃元と推定した上で、アクセス防止装置がログイン失敗を返しているので、アクセス防止装置の処理がアクセス検知装置の検知結果に矛盾しないように処理が行われている。
図8に、実施例のセキュリティシステムが示される。図8に示されるセキュリティシステム800は、アクセス検知装置810、アクセス防止装置820、及びアクセス分析装置830を含む。アクセス検知装置810は、システム840とネットワーク850の間に接続される。アクセス検知装置810は、詳細は後述するが、システム840に含まれるサーバ装置842、サーバ装置844、ストレージ846等に対するネットワーク850からの通信を検知するセキュリティ装置である。なお、システム840は、特定のネットワークによってサーバ装置842、サーバ装置844、及びストレージ846等が互いに接続されたシステムであり、ローカルエリアネットワークによってそれらが互いに接続されたシステムや、データセンタ等の場合もある。また、図8に示されるシステム840に含まれる装置は例示であって、サーバ装置842、サーバ装置844、及びストレージ846の数量等に実施例が限定されないことをここで述べておく。
アクセス防止装置820は、システム840とアクセス検知装置810の間に接続される。アクセス防止装置820は、詳細は後述するが、アクセス検知装置810が検知した通信に対して防御対策を講じるためのセキュリティ装置である。
アクセス分析装置830は、アクセス検知装置810とアクセス防止装置820に接続される。アクセス分析装置830は、詳細は後述するが、アクセス検知装置810が検知した通信について分析を実行するセキュリティ装置である。
図9に、実施例のアクセス検知装置、アクセス分析装置、及びアクセス防止装置のハードウェア構成が示される。図8に示されるアクセス検知装置810、アクセス防止装置820、及びアクセス分析装置830は、図9に図示される一般的なコンピュータ900の構成を有する。なお、実施例では説明を簡略化するために、アクセス検知装置810、アクセス防止装置820、及びアクセス分析装置830の各々が別々に有しているコンピュータの構成要素であっても同じ符号(例えばCPU902など)を用いて説明する。
コンピュータ900は、Central Processing Unit(CPU)902、Read Only Memory(ROM)904、及びRandom Access Memory(RAM)906を含む。このコンピュータ900は、さらに、ハードディスク装置908、入力装置910、出力装置912、インタフェース装置914、及び記録媒体駆動装置916を含む。なお、これらの構成要素はバス920を介して互いに接続されており、CPU902の管理の下で各種のデータを相互に授受する。
CPU902は、このコンピュータ900全体の動作を制御する演算処理装置であり、コンピュータ900の制御処理部として機能する。
ROM904は、所定の基本制御プログラムが予め記録されている読み出し専用半導体メモリである。CPU902は、この基本制御プログラムをコンピュータ900の起動時に読み出して実行することにより、このコンピュータ900の各構成要素の動作制御が可能になる。
RAM906は、CPU902が各種の制御プログラムを実行する際に、必要に応じて作業用記憶領域として使用する、随時書き込み読み出し可能な半導体メモリである。
アクセス検知装置810の場合には、後述する図13及び図15に示される処理を実行するためのプログラムがRAM906に読み出され、CPU902がこのプログラムを実行することによって、アクセス検知装置810は、図10に示される機能を実現する。
アクセス防止装置820の場合には、後述する図17に示される処理を実行するためのプログラムがRAM906に読み出され、CPU902がこのプログラムを実行することによって、アクセス防止装置820は、図11に示される機能を実現する。
アクセス分析装置830の場合には、後述する図19、図21及び図23に示される処理を実行するためのプログラムがRAM906に読み出され、CPU902がこのプログラムを実行することによって、アクセス分析装置830は、図12に示される機能を実現する。
ハードディスク装置908は、CPU902によって実行される各種の制御プログラムや各種のデータを記憶しておく記憶装置である。CPU902は、ハードディスク装置908に記憶されている所定の制御プログラムを読み出して実行することにより、後述する各種の制御処理を行えるようになる。
入力装置910は、例えばマウス装置やキーボード装置であり、コンピュータ900のユーザにより操作されると、その操作内容に対応付けられている各種情報の入力を取得し、取得した入力情報をCPU902に送付する。
出力装置912は例えば液晶ディスプレイであり、CPU902から送付される表示データに応じて各種のテキストや画像を表示する。
インタフェース装置914は、このコンピュータ900に接続される各種機器との間での各種情報の授受の管理を行う。インタフェース装置914は、例えば、NIC(Network Interface Card)である。
記録媒体駆動装置916は、可搬型記録媒体918に記録されている各種の制御プログラムやデータの読み出しを行う装置である。CPU902は、可搬型記録媒体918に記録されている所定の制御プログラムを、記録媒体駆動装置916を介して読み出して実行することによって、後述する各種の制御処理を行うようにすることもできる。なお、可搬型記録媒体918としては、例えばUSB(Universal Serial Bus)規格のコネクタが備えられているフラッシュメモリ、CD−ROM(Compact Disc Read Only Memory)、DVD−ROM(Digital Versatile Disc Read Only Memory)等がある。
図10に、実施例のアクセス検知装置の機能ブロックが示される。図8に示されたアクセス検知装置810は、例えば、ワーキングメモリとして使用される、アクセス検知装置810のRAM906にロードされたプログラムが、アクセス検知装置810のCPU902によって実行されることにより、検知部1000、特定部1010、判定部1020、転送部1030、通知部1040、実行部1050、及び、削除部1060として機能する。なお、これらの機能部によって実行される処理については、図13及び図15に沿って後述する。
図11に、実施例のアクセス防止装置の機能ブロックが示される。図8に示されたアクセス防止装置820は、ワーキングメモリとして使用される、アクセス防止装置820のRAM906にロードされたプログラムが、アクセス防止装置820のCPU902によって実行されることにより、検知部1100、判定部1110、応答部1120、及び、通知部1130として機能する。なお、これらの機能部によって実行される処理については、図17に沿って後述する。
図12に、実施例のアクセス分析装置の機能ブロックが示される。図8に示されたアクセス分析装置830は、ワーキングメモリとして使用される、アクセス分析装置830のRAM906にロードされたプログラムが、アクセス分析装置830のCPU902によって実行されることにより、取得部1200、抽出部1210、計数部1220、生成部1230、判定部1240、特定部1250、及び、決定部1260として機能する。なお、これらの機能部によって実行される処理については、図19、図21及び図23に沿って後述する。
なお、アクセス検知装置810に含まれる機能部と、アクセス分析装置830に含まれる機能部と、アクセス防止装置820に含まれる機能部を、各々の装置にどのように割り当てるかについては、上述した割り当て方に限定されない。例えば、アクセス検知装置810やアクセス防止装置820に含まれる機能部の一部又は全てをアクセス分析装置830に適宜実装してもよいし、アクセス検知装置810やアクセス分析装置830に含まれる機能部の一部又は全てをアクセス防止装置820に適宜実装してもよいし、アクセス防止装置820やアクセス分析装置830に含まれる機能部の一部又は全てをアクセス検知装置810に適宜実装してもよい。
図13に、実施例のアクセス検知装置によって実行される処理が示される。図13に示される処理は、図8に示されるアクセス検知装置810によって実行される処理であって、ホストスキャンを実行した通信元は不正なログイン認証を試行する可能性があるためこの通信元を被疑攻撃元として記録しておくための処理である。
処理1300によって、図10に示される検知部1000が上述したホストスキャンを検知すると、図13に示される処理が開始される。なお、処理1300において、検知部1000は、システム840への通信を監視し、通信が可能な装置を探すために通信先IPアドレスを変えながら通信の疎通確認をしている通信を検知することで、上述のホストスキャンを検知する。より具体的には、特定のポート番号を指定したうえで通信先IPアドレスをインクリメント等することによって通信先を変更しながら、通信の疎通を確認するためにping等のコマンドによる問い合わせをしている通信を検知することによって、上述のホストスキャンを検知する。
処理1300に次いで、ホストスキャンを実行した通信元を被疑攻撃元として特定する処理1302が、特定部1010によって実行される。処理1302では、ホストスキャンを実行した通信元を被疑攻撃元として特定し、そして、これを記録しておくために、処理1300によって検知されたホストスキャンにおいて示されていた通信元IPアドレスを取得して、ホストスキャンを検知した時刻にこの通信元IPアドレスを関連付けてからアクセス検知装置810の記憶装置に記録する。処理1302によって記録される情報が図14に例示される。
なお、処理1302で特定される通信元は、今後、不正なアクセスをする可能性のある不正アクセス元候補である。そのため、実施例では、この通信元を被疑攻撃元とよび、この通信元のIPアドレスを被疑攻撃元IPアドレスとよぶ。
処理1302に次いで、処理1304によって、図13に示された処理が終了する。
図14に、実施例のアクセス検知装置によって記録された、ホストスキャンを実行した通信元の記録例が示される。図14には、図13に示される処理1302によって、アクセス検知装置810の記憶装置に記録される被疑攻撃元IPアドレスが例示される。ここでは、“11.22.33.44”のIPアドレスで識別される通信元よって実行されたホストスキャンが、処理1300によって“2012/3/31 23:00”に検知され、処理1302によってアクセス検知装置810の記憶装置に記録された場合が例示されている。
図15に、実施例のアクセス検知装置によって実行される他の処理が示される。図15に示される処理は、図8に示されるアクセス検知装置810によって実行される他の処理である。処理1500によって、図10に示される検知部1000が、ホストスキャンとは異なる通信を検知すると、図15に示される処理が開始される。なお、ホストスキャンとは異なる通信とは、例えば、ログイン認証を試行するための通信等である。
処理1500に次いで、処理1500で検知した通信の通信元が被疑攻撃元として記録されているか否かを判定する処理1502が、判定部1020によって実行される。処理1502では、処理1500で検知した通信の通信元のIPアドレスが、処理1302によって記録された通信元IPアドレスの何れかに該当するか否かを判定することによって、当該被疑攻撃元として記録されているか否かが判定される。この処理1502によって、処理1302により被疑攻撃元として記録された通信元がホストスキャンとは異なる通信をしたか否かが判定されることとなり、例えば、この通信元によるログイン認証の試行を検知する契機となる。処理1502の結果、通信元が被疑攻撃元として記録されていると判定された場合には処理1504に移り、通信元が被疑攻撃元として記録されていないと判定された場合には処理1508に移る。
処理1502において通信元が記録されていると判定された場合に、当該通信をアクセス防止装置820に転送する処理1504が、転送部1030によって実行される。処理1504によって、処理1500で検知された通信がアクセス防止装置820に転送される。
当該通信の転送履歴をアクセス分析装置830に通知する処理1506が、通知部1040によって実行される。処理1506では、アクセス防止装置820に転送された通信の、通信元のIPアドレス、通信先のIPアドレス、及び転送時刻を互いに関連付けて記録して、これらの情報をアクセス分析装置830に通知する。なお、この転送履歴の例が図16に示される。
処理1506に次いで、処理1514によって、図15に示された処理が終了する。なお、図15に示される処理のうち、処理1508、処理1510、及び処理1512については後述する。
図16に、実施例の転送履歴の例が示される。図16に示される転送履歴は、図15に示される処理1506によって、アクセス検知装置810からアクセス分析装置830に通知される情報の例である。そして、この転送履歴においては、アクセス検知装置810がアクセス防止装置820に転送した通信の、通信元のIPアドレス、通信先のIPアドレス、及び転送時刻が互いに関連付けられて記録されている。図16には、例えば、“11.22.33.44”のIPアドレスによって識別される通信元によって“1.1.1.2”のIPアドレスによって識別される通信先に対して行われた通信が、“2014/4/1 0:00”に、アクセス検知装置810からアクセス防止装置820へ転送されたことが転送履歴として記録されている。
図17に、実施例のアクセス防止装置によって実行される処理が示される。図17に示される処理は、図8に示されるアクセス防止装置820によって実行される処理である。処理1700によって、図11に示される検知部1100が、アクセス検知装置810から通信が転送されたことを検知すると、図17に示される処理が開始される。なお、処理1700において検知部1100が検知する通信は、アクセス検知装置810が処理1506によって転送した通信である。
処理1700に次いで、ログイン認証の試行に関連する通信か否かを判定する処理1702が、判定部1110によって実行される。処理1702では、処理1504によって転送された通信の内容を確認して、ログイン認証の試行に関連する通信か否かを判定する。ログイン認証の試行に関連する通信だと判定された場合には処理1704に移り、ログイン認証の試行に関する通信だと判定されなかった場合には処理1712に移り図17に示される処理を終了する。なお、処理1702におけるログイン認証の試行に関連する処理とは、IDとパスワードに基づくログイン認証処理そのものだけでなく、例えば、ログイン認証処理の前に通信セッションを確立するための処理など、ログイン認証を試行するために行われる種々の通信を意味する。
処理1702においてログイン認証の試行に関連する通信だと判定された場合に、ログイン認証が試行されたか否かを判定する処理1704が、判定部1110によって実行される。処理1704では、転送された通信が、IDとパスワードに基づいてログイン認証を試行する処理か否かを判定することによって、ログイン認証が試行されたか否かを判定する。なお、処理1704を処理1702と分けている理由は、転送された処理がログイン認証の試行に関連する処理であっても、IDとパスワードに基づくログイン認証処理そのものではなく、例えば、ログイン認証処理の前に通信セッションを確立するための処理などである場合もあり、このような前処理とログイン認証処理そのものとを区別するためである。処理1704において、ログイン認証が試行されたと判定された場合には処理1708に移り、ログイン認証が試行されたと判定されなかった場合には処理1706に移る。
処理1704においてログイン認証が試行されたと判定されなかった場合に、転送された通信に対する応答を模擬する処理1706が、応答部1120によって実行される。処理1706では、処理1704においてログイン認証だと判定されなかったものの、当該通信元が興味をもっているログイン認証先の情報を取得するためにも、当該通信元によるログイン認証の試行そのものの段階まで導くという理由で実行される。処理1706では、例えば、通信セッションを確立するための処理等を模擬して、当該通信元に応答する。なお、処理1706が終了すると、処理1712に移り、図17に示される処理を終了する。
処理1704においてログイン認証が試行されたと判定された場合に、ログイン認証を不許可にしてログイン認証が失敗したことを通信元に通知する処理1708が、応答部1120によって実行される。処理1708では、アクセス検知装置810から通知される通信は何れであっても、被疑攻撃元として記録された不正なアクセス元候補からの通信であるため、ログイン認証を不許可とする。そして、ログイン認証が失敗したこと通知するためのダミー応答を当該通信元に対して行う。
ダミー応答履歴をアクセス分析装置に通知する処理1710が、通知部1130によって実行される。処理1710では、アクセス検知装置810から転送された通信の、通信元のIPアドレス、及びログイン認証が試行された試行時刻を互いに関連付けて記録して、これらの情報をアクセス分析装置830に通知する。なお、ダミー応答履歴の例が、図18に例示される。
処理1710に次いで、処理1712によって図17に示された処理が終了する。
図18に、実施例のダミー応答履歴の例が示される。図18に示されるダミー応答履歴は、図17に示される処理1706によって、アクセス防止装置820からアクセス分析装置830に通知される情報の例である。このダミー応答履歴には、ホストスキャン後にログイン認証を試行したために処理1708によってダミー応答がされた通信元のIPアドレス、及びログイン認証が試行された試行時刻が互いに関連付けられて記録されている。図18には、例えば、“11.22.33.44”のIPアドレスによって識別される通信元が“2014/4/1 0:00”にログイン認証を試行したことが示されている。
図19に、実施例のアクセス分析装置によって実行される処理が示される。図19に示される処理は、図8に示されるアクセス分析装置830によって実行される処理であって、処理1900によって開始される。
転送履歴及びダミー応答履歴を取得する処理1902が、図12に示される取得部1200によって実行される。処理1902では、アクセス検知装置810が処理1506によって通知する転送記録を取得する。加えて、処理1902では、アクセス防止装置820が処理1710によって通知するダミー応答履歴を取得する。
処理1902に次いで、転送履歴に基づき通信元及び通信先の組み合わせを抽出する処理1904が、抽出部1210によって実行される。処理1904では、処理1902によって取得した転送履歴に基づき、特定の期間において連続して転送された通信の通信元及び通信先の組み合わせを選択する。図16に示された転送履歴の例に沿って処理1904を説明すると、“11.22.33.44”のIPアドレスによって識別される通信元から“1.1.1.2”のIPアドレスによって識別される通信先への通信が、“2014/4/1 0:00”及び“2014/4/1 0:01”に転送されており、処理1904では、この通信が、特定の期間において連続して転送された通信であるとして判定されて、この通信の通信元及び通信先の組み合わせが抽出される。
処理1904に次いで、抽出された組み合わせについて、ダミー応答履歴に基づきログイン認証の試行回数を計数する処理1906が、計数部1220によって実行される。処理1906では、処理1902によって取得したダミー応答履歴に基づき、当該特定の期間において試行されたログイン認証の試行回数が計数される。図18に示されたダミー応答履歴の例に沿って処理1906を説明すると、“2014/4/1 0:00”から“2014/4/1 0:01”までの期間において、“11.22.33.44”のIPアドレスによって識別される通信元によるログイン認証の試行が記録されており、その回数が1回であると計数される。このように、処理1904及び処理1906を通じて、図16に示される転送履歴と図18に示されるダミー応答履歴が突き合わされている。
処理1906に次いで、ログイン認証の試行履歴を生成する処理1908が、生成部1230によって実行される。処理1908では、処理1904及び処理1906の結果をうけて、ログイン認証の試行における、通信元、通信先、ログイン認証の試行時刻、及びログイン認証の試行回数を互いに関連付けることによって、ログイン認証の試行履歴を生成する。なお、ログイン認証の試行履歴の例が、図20に例示される。
図20に、ログイン認証の試行履歴の例が示される。図20に示される情報は、アクセス防止装置820が処理1908によって生成した情報であって、ログイン認証の試行における、通信元、通信先、ログイン認証の試行時刻、及びログイン認証の試行回数が互いに関連付けられている。例えば、“11.22.33.44”のIPアドレスによって識別される通信元が、“1.1.1.2”のIPアドレスによって識別される通信先に対して実行したログイン認証の試行回数が“10回”であることが例示されている。なお、図20には、ログイン認証の試行時刻としてログイン認証の試行が開始された時刻が代表して示されているが、実施例はこれに限定されず、例えば、ログイン認証が試行された時刻全てを記録しておいてもよい。
図21に、実施例のアクセス分析装置によって実行される他の処理が示される。図19に示される処理は、図8に示されるアクセス分析装置830によって実行される処理であって、処理2100によって開始される。
ログイン認証の試行履歴を取得する処理2102が、図12に示される取得部1200によって実行される。処理2102では、処理1908によって生成されたログイン認証の試行履歴を取得する。
処理2102に次いで、ログイン認証どうしに特定の相関があるか否かを判定する処理2104が、判定部1240によって実行される。処理2104では、ある通信元によって複数の通信先にログイン認証が試みられている場合に、異なる通信先に対するログイン認証であっても、それらのログイン認証どうしに特定の相関が認められるか否かを判定する。つまり、この処理2104においては、異なる通信先に対するログイン認証も判定対象にしている。これは、上述したように、ブルートフォース攻撃の第2の側面には、複数の攻撃先にほぼ同じ時間帯にほぼ同じ回数の攻撃を仕掛けてくるという特徴があるため、ログイン認証の試行回数、ログイン認証の試行時刻に相関が認められれば、当該通信元が、ブルートフォース攻撃(その第2の側面)の攻撃元である可能性が高いと推定できるからであり、この推定のために処理2104の判定を実行している。処理2104の具体例を、図20に沿って説明する。
図20に示されるように、“11.22.33.44”のIPアドレスによって識別される通信元が、“1.1.1.2”のIPアドレスによって識別される通信先に対して、“2012/4/1 0:00”から、ログイン認証を“10回”試行している。さらに、“11.22.33.44”のIPアドレスによって識別される通信元が、“1.1.1.3”のIPアドレスによって識別される通信先に対して、“2012/4/1 0:01”から、ログイン認証を“9回”試行している。さらに、“11.22.33.44”のIPアドレスによって識別される通信元が、“1.1.1.4”のIPアドレスによって識別される通信先に対して、“2012/4/1 0:00”から、ログイン認証を“10回”試行している。そして、これら3つの通信先に対するログイン認証は、ほぼ同時刻からほぼ同じ回数だけ試行されていることが分かる。なお、この傾向は、図3、図4、及び図5に沿って上述したブルートフォース攻撃の特徴である。このような相関が認められる場合には、処理2104では、ログイン認証どうしに特定の相関があると判定され、当該通信元がブルートフォース攻撃の攻撃元であると判定される。
なお、相関を判定する指標として、以下に説明する相関係数Rを利用してもよい。相関係数Rは、例えば、通信先vが受けたログイン認証の試行回数をX、ログイン認証の試行時刻をtとして、

と定義できる。ここで、Xavは試行回数Xの平均であり、tavは試行時刻tの平均である。なお、ログイン認証の試行回数は、単位時間あたりのログイン認証の試行回数であってもよい。
そして、上述したような、ほぼ同時刻にほぼ同じ回数だけログイン認証が試行されていることを判定するための特定の閾値を設定して、ある通信元によって複数の通信先にログイン認証が試みられている場合に、この相関係数Rが特定の閾値以上となるような通信先vの組み合わせを探すことで、ログイン認証どうしに特定の相関があるかどうかを判定して、ブルートフォース攻撃の攻撃対象となっている複数の通信先の組み合わせを抽出してもよい。
なお、ログイン認証の試行回数、ログイン認証の試行時刻について相関が高い攻撃対象群(複数の通信先の組み合わせ)を抽出する際には、最大クリーク法を用いてもよい。
ここで、最大クリーク法について説明する。最大クリーク問題とは、無向グラフ中の部分グラフの中の完全グラフでサイズが最大のものを選び出す組み合わせ最適化問題の一種である。まず用語をいくつか定義する。「クリーク」とは、完全グラフを誘導する頂点集合である。完全グラフとは任意の2つの頂点の間に辺が存在するグラフである。「最大クリーク」とは、グラフ中で頂点数が最大のクリークである。最大クリーク法は、グラフ中のクリークの中で最大のものをみつける方法である。アルゴリズムの一つは、まず、候補節点集合を探す。「候補節点集合」とは、ある時点で保持しているクリークに付け加えても、またクリークとなるような頂点の集合である。そして、候補節点集合中の頂点をクリークに追加し、頂点数が1つだけ増加したクリークを作る。この操作を可能な限り繰り返すことにより、最大クリークをみつける。
図22に、最大クリーク法の概略を説明するための図が示される。図22に示されているグラフは、1から6で指定される6つの頂点を含んでいる。頂点1は頂点2及び頂点5と辺によって結ばれており、頂点2は頂点1、頂点3及び頂点5と辺によって結ばれており、頂点3は頂点2及び頂点4と辺によって結ばれており、頂点4は頂点3、頂点5及び頂点6と辺によって結ばれており、頂点5は頂点1、頂点2及び頂点4と辺によって結ばれている。図22に示されている例は、頂点1、頂点2、及び頂点5によって構成されるクリークが最大クリークとなる例である。
最大クリーク法を、相関係数の高い攻撃対象を抽出し、攻撃先群として特定する問題に適用するには、グラフの各頂点に、ログイン認証が試行された通信先を割り当てる。さらに、グラフの各頂点には、該当する通信先に対するログイン認証の試行回数、試行時刻、及び通信元に関するデータを対応させる。
そして、グラフの頂点間を辺で結ぶか否かは、該当する通信先に対するログイン認証の試行回数及び試行時刻に関する相関を計算し、所定の閾値以上であれば2つの頂点を辺で結ぶ。ここで、通信先vが割り当てられた頂点1と通信先vが割り当てられた頂点2の相関係数Rを計算し、このRが閾値以上であるか否かによって頂点1と2を辺で結ぶか否かを決定する例を説明する。
相関係数Rは、例えば、通信装置v(i=1,2)受けたブルートフォース攻撃の回数をx、検知時刻をtとして、

により算出される。ここで、xavは試行回数xの平均であり、tavは試行時刻tの平均である。なお、ログイン認証の試行回数は、単位時間あたりのログイン認証の試行回数であってもよい。
なお、別の方法として、通信先vが受けたログイン認証の試行回数をx、ログイン認証の試行時刻をtとした場合に、2つの通信先について、xどうしの差分と、tどうしの差が共に特定の範囲内にある場合に、該当する頂点間を辺で結んでもよい。
上述のように、ある通信元からログイン認証の試行について、ログイン認証の試行回数及びログイン認証の試行時刻について相関の高い通信先のペアを作り、相関係数が特定の閾値よりも高い場合には、それらの通信先に対して割り当てた頂点を辺で結ぶ。そして、この処理を各通信先どうしについて実行することで、最大クリークとなる通信先の組み合わせを特定する。そして、このような通信先の組み合わせについては、ログイン認証どうしに特定の相関があるとして判定し、上述したような、ブルートフォース攻撃の特徴の一つである、ほぼ同時刻からほぼ同じ回数だけ試行されている通信先の組み合わせ(攻撃対象群)を特定してもよい。
ここで、図21に示される処理の説明に戻る。
処理2104においてログイン認証どうしに特定の相関があると判定された場合に、攻撃対象候補として特定する処理2106が、特定部1250によって実行される。処理2106では、処理2104によってログイン認証どうしに特定の相関が認められると判定された複数の通信先を、このログイン認証を試行してきた通信元からブルートフォース攻撃を受けた攻撃対象群とし、この後もブルートフォース攻撃を受ける可能性のある攻撃対象候補群として特定する。図20に沿って例を説明すると、“1.1.1.2”のIPアドレスによって識別される通信先と、“1.1.1.3”のIPアドレスによって識別される通信先と、“1.1.1.4”のIPアドレスによって識別される通信先とが、“11.22.33.44”のIPアドレスによって識別される通信元によってブルートフォース攻撃を受けた攻撃対象群であって、かつ攻撃対象候補群であると特定される。そして、これらの通信先が攻撃対象群及び攻撃対象候補であることを記録しておくために、図23に例示されるように、それらのIPアドレスが記録される。
図23に、実施例の攻撃対象群及び攻撃対象候補の例が示される。図23は、処理2106によって記録される情報であり、ブルートフォース攻撃を受けた攻撃対象群を示している。図23には、例えば、番号“1”で識別される攻撃対象群には、“1.1.1.2”のIPアドレスによって識別される通信先と、“1.1.1.3”のIPアドレスによって識別される通信先と、“1.1.1.4”のIPアドレスによって識別される通信先とが属していることが例示されている。
なお、上述したように、処理2106によって記録される通信元IPアドレスは、後述の処理2402において、別の通信元によってもログイン認証が試みられてしまう候補を特定するための情報としても利用される。その意味で、図23に示される攻撃対象群は、将来に不正なアクセスを繰り返し受けてしまう可能性のある攻撃対象候補(不正アクセス先候補)ともいえる。そして、実施例では、処理1708等によってブルートフォース攻撃を防いでいる間に、不正アクセス先候補群の情報を入手している。上述のように、ブルートフォース攻撃(その第2の側面)には、一度攻撃を仕掛けた攻撃先群の一部又は全部に断続的に攻撃を仕掛けてくる特徴があるため、繰り返し攻撃された際に攻撃対象をいち早く守るための基準を処理2106によって記録している。
ここで、図21に示される処理の説明に戻る。
通信元をブルートフォース攻撃の攻撃元と決定して被疑攻撃元としての記録を特定の期間経過後に削除するようアクセス検知装置に指示する処理2108が、決定部1260によって実行される。処理2108では、処理2104によってログイン認証どうしに特定の相関があると判定されたログイン認証の通信元を、被疑攻撃元としての記録から一定期間経過後に削除させるための処理である。なお、処理2108による指示を、アクセス検知装置810の削除部1060が受けて、削除部1060がデータベースから、被疑攻撃元IPアドレスを削除する。
ところで、この処理2108を実行する理由は、上述したように、ブルートフォース攻撃の第2の側面では、攻撃元のIPアドレスを変更しながら攻撃を仕掛けてくる特徴があり、言い換えれば、攻撃者は、特定の時間が経過すると被疑攻撃元IPアドレスとして記録しておいたIPアドレスを使用しなくなるといえ、もはやデータベースに記録しておく必要がないからである。
ブルートフォース攻撃の第2の側面では、攻撃元のIPアドレスを変更しながら繰り返し行われる攻撃であるため、全ての攻撃元IPアドレスを記録しておくと大きなデータベースが必要となってしまう。そこで、ブルートフォース攻撃の第2の側面の特徴を逆手に取り、処理2108によって、特定の時間が経過した場合に、記録しておいた被疑攻撃元IPアドレスをデータベースから削除して、データベースに利用されるメモリ使用量を抑えている。
処理2110によって、図21に示された処理を終了する。
ここで、図15に示される処理1508及び処理1510について説明する。
当該通信元がアクセス分析装置によって不正アクセス元であると判定された通信元か否かを判定する処理1508が、判定部1020によって実行される。当該通信元が不正なアクセス元であるとアクセス分析装置によって判定されている場合については後述する。
処理1508において当該通信元が不正なアクセス元であるとアクセス分析装置によって判定されていない場合には、当該通信元及び通信先をアクセス情報としてアクセス分析装置に通知する処理1510が、通知部1040によって実行される。処理1510では、当該通信元を識別するためのIPアドレスと、通信先を識別するためのIPアドレスとを、アクセス分析装置830に通知する。
図24に、実施例のアクセス分析装置によって実行される他の処理が示される。図24に示される処理は、アクセス分析装置830によって実行される処理であって、仮にホストスキャンを実行しなかった通信元であったとしても、ブルートフォース攻撃の攻撃者がこの通信元を利用して再攻撃してきたことを判定するための処理である。図24に示される処理は、アクセス検知装置810から通知されるアクセス情報を受信する処理2400ことによって開始される。
処理2400に次いで、アクセス情報によって通知された通信元によるログイン認証の試行先となった複数の通信先が攻撃対象候補と特定された複数の通信先と特定の割合以上で一致するか否かを判定する処理2402が、判定部1240によって実行される。処理2402では、通知された通信元によるログイン認証の試行先となった通信先のIPアドレスを、処理1508及び処理1510を介して繰り返し通知されるアクセス情報によって蓄積していき、ログイン認証の試行先となった通信先群が、処理2106により特定された攻撃先群に属する複数の通信先と特定の割合以上で一致するか否かを判定する。
上述したように、ブルートフォース攻撃の第2の側面では、通信元のIPアドレスを変更しながら攻撃を断続的に仕掛けてくる。攻撃者は、再攻撃の際には、一旦ホストスキャンを行い通信の疎通が確認できたコンピュータを特定できているため、通信元のIPアドレスを変更した際にホストスキャンを実行せずにログイン認証を試行してくる可能性がある。ただし、上述したように、ブルートフォース攻撃の第2の側面では、通信元のIPアドレスが変わったとしても攻撃対象群が一致する割合が高い。そこで、処理2402では、通信元のIPアドレスが被疑攻撃元として記録されていなくても、ログイン認証の試行先を監視し続けて、この試行先が、処理2106によって特定された攻撃対象候補に属する複数の通信元と特定の割合以上で一致することが認められた場合には、当該通信元を再攻撃の攻撃元であるとして不正アクセス元と判定する。なお、特定の割合については、ブルートフォース攻撃の特徴をふまえて適宜設定すればよい。
処理2402において特定の割合以上で一致すると判定された場合に、当該通信元をブルートフォース攻撃の攻撃元であるとしてアクセス検知装置に通知する処理2404が、決定部1260によって実行される。処理2404では、処理2402によって判定された通信元を、攻撃者が攻撃元を変えて再攻撃してきた攻撃元であるとして、この通信元からはホストスキャンが実行されなかったとしても、ブルートフォース攻撃の攻撃元(不正アクセス元)であると決定してアクセス検知装置810に通知する。
処理2406によって、図24に示される処理が終了する。
ここで、図15に示される処理1512について説明する。
処理1508において当該通信元が不正なアクセス元であるとアクセス分析装置によって判定されている場合に、当該通信元からの通信に対して防御対策を実施する処理1512が、実行部1050によって実行される。処理1512では、処理1500によって検知された通信の通信元が、アクセス分析装置830による処理2302及び処理2304によって不正アクセス元であると特定されているため、この通信元からの通信を一定期間遮断する等の防御対策を講じる。なお、処理1512における防御対策は、アクセス防止装置820によって実行してもよい。
なお、上述の実施例は、ブルートフォース攻撃として、コンピュータを識別するためのIDとパスワードとの組み合わせを、ログイン認証を試行することで詐取しようとしている例に沿って説明された。しかし、実施例はこの例示に限定されない。例えば、開示の技術思想は、当該コンピュータやシステムやネットワークに不正に侵入することで、当該コンピュータやシステムやネットワークからデータを詐取したり、当該データの破壊や改ざん等を行なったり、当該コンピュータやシステムやネットワークを機能不全に陥らせたりするサイバー攻撃にも適用可能である。
上述の実施形態に関し、更に以下の付記を開示する。
(付記1)
複数の装置に対して通信の疎通確認をする通信元を特定する第1手段と、
前記通信の疎通確認の試行後に前記通信元によって試行される複数の認証処理を不許可とする第2手段と、
前記複数の認証処理の対象になった複数の装置を特定のサイバー攻撃による攻撃対象候補と特定する第3手段と
を有することを特徴とするセキュリティシステム。
(付記2)
前記攻撃対象候補と特定された前記複数の装置毎の認証処理どうしに特定の相関があるか否かを判定する第4手段と、
前記特定の相関があると判定された場合に、前記通信元を前記特定のサイバー攻撃の攻撃元であると決定する第5手段と
を有することを特徴とする付記1に記載のセキュリティシステム。
(付記3)
要求された認証処理が前記通信元によって試行される認証処理か否かを判定するために、前記通信元による前記通信の疎通確認を検知した場合に前記通信元を識別するための識別情報を記憶装置に記録する第6手段と、
前記通信元が前記特定のサイバー攻撃の攻撃元であると決定された場合に、前記サイバー攻撃の特徴に応じて設定された期間の経過後に前記識別情報を前記記憶装置から削除する第7手段と
を有することを特徴とする付記2に記載のセキュリティシステム。
(付記4)
前記通信の疎通確認をすることが検知されなかった他の通信元によって試行される複数の認証処理の対象となる複数の装置が、前記攻撃対象候補と特定された前記複数の装置に、特定の割合以上で一致すると認められる場合に、前記他の通信元を前記特定のサイバー攻撃の攻撃元であると決定する第8手段
を有することを特徴とする付記1〜3の何れか1つに記載のセキュリティシステム。
(付記5)
前記第2手段は、前記通信元によって試行される前記複数の認証処理を不許可とすると共に、前記認証処理が不許可であることを前記第1通信元に通知する
ことを特徴とする付記1〜4の何れか1つに記載のセキュリティシステム。
(付記6)
前記特定のサイバー攻撃は、認証情報の詐取を試行するブルートフォース攻撃である
ことを特徴とする付記1〜5の何れか1つに記載のセキュリティシステム。
(付記7)
複数の装置に対して通信の疎通確認をする通信元を特定し、
前記通信の疎通確認の試行後に前記通信元によって試行される複数の認証処理を不許可とし、
前記複数の認証処理の対象になった複数の装置を特定のサイバー攻撃による攻撃対象候補と特定する
ことを特徴とするセキュリティ方法。
(付記8)
前記攻撃対象候補と特定された前記複数の装置毎の認証処理どうしに特定の相関があるか否かを判定し、
前記特定の相関があると判定された場合に、前記通信元を前記特定のサイバー攻撃の攻撃元であると決定する
ことを特徴とする付記7に記載のセキュリティ方法。
(付記9)
要求された認証処理が前記通信元によって試行される認証処理か否かを判定するために、前記通信元による前記通信の疎通確認を検知した場合に前記通信元を識別するための識別情報を記憶装置に記録し、
前記通信元が前記特定のサイバー攻撃の攻撃元であると決定された場合に、前記サイバー攻撃の特徴に応じて設定された期間の経過後に前記識別情報を前記記憶装置から削除する
ことを特徴とする付記8に記載のセキュリティ方法。
(付記10)
前記通信の疎通確認をすることが検知されなかった他の通信元によって試行される複数の認証処理の対象となる複数の装置が、前記攻撃対象候補と特定された前記複数の装置に、特定の割合以上で一致すると認められる場合に、前記他の通信元を前記特定のサイバー攻撃の攻撃元であると決定する
ことを特徴とする付記7〜9の何れか1つに記載のセキュリティ方法。
(付記11)
複数の装置に対して通信の疎通確認をした通信元によって試行される複数の認証処理の対象になった複数の装置を特定のサイバー攻撃による攻撃対象候補と特定する
ことを特徴とするセキュリティ装置。
(付記12)
前記攻撃対象候補と特定された前記複数の装置毎の認証処理どうしに特定の相関が認められると、前記通信元を前記特定のサイバー攻撃の攻撃元であると決定する
ことを特徴とする付記11に記載のセキュリティ装置。
(付記13)
前記通信の疎通確認をすることが検知されなかった他の通信元によって試行される複数の認証処理の対象となる複数の装置が、前記攻撃対象候補と特定された前記複数の装置に、特定の割合以上で一致すると認められる場合に、前記他の通信元を前記特定のサイバー攻撃の攻撃元であると決定する
ことを特徴とする付記11又は12に記載のセキュリティ装置。
(付記14)
前記通信元によって試行される前記複数の認証処理は不許可とされている
ことを特徴とする付記11〜13の何れか1つに記載のセキュリティ装置。
(付記15)
前記通信元には前記認証処理が不許可であることが通知されている
ことを特徴とする付記11〜14の何れか1つに記載のセキュリティ装置。
(付記16)
前記特定のサイバー攻撃は、認証情報の詐取を試行するブルートフォース攻撃である
ことを特徴とする付記11〜15の何れか1つに記載のセキュリティ装置。
(付記17)
コンピュータに、
複数の装置に対して通信の疎通確認をした通信元によって試行される複数の認証処理の対象になった複数の装置を特定のサイバー攻撃による攻撃対象候補と特定すること
を実行させることを特徴とするプログラム。
(付記18)
前記攻撃対象候補と特定された前記複数の装置毎の認証処理どうしに特定の相関が認められると、前記通信元を前記特定のサイバー攻撃の攻撃元であると決定すること
を実行させることを特徴とする付記17に記載のプログラム。
(付記19)
前記通信の疎通確認をすることが検知されなかった他の通信元によって試行される複数の認証処理の対象となる複数の装置が、前記攻撃対象候補と特定された前記複数の装置に、特定の割合以上で一致すると認められる場合に、前記他の通信元を前記特定のサイバー攻撃の攻撃元であると決定すること
を実行させることを特徴とする付記17又は18に記載のプログラム。
(付記20)
複数の装置に対して通信の疎通確認をする通信元を特定する第1手段と、
前記通信の疎通確認の対象になった前記複数の装置のうちの一部又は全部に対して試行される認証処理を不許可とする第2手段と、
前記複数の装置のうちの前記一部又は前記全部を特定のサイバー攻撃による攻撃対象候補と特定する第3手段と
を有することを特徴とするセキュリティシステム。
1、2 アクセス監視システム
100、850 ネットワーク
110、140、160、842、844 サーバ装置
120、150、170 アクセス検知装置
130、846 ストレージ
500 攻撃者
510 攻撃装置
520、522、524 攻撃元
530、532、534、536、538 攻撃対象
540、542、544 攻撃対象群
800 セキュリティシステム
810 アクセス検知装置
820 アクセス防止装置
830 アクセス分析装置
840 システム
900 コンピュータ
902 CPU
904 ROM
906 RAM
908 ハードディスク装置
910 入力装置
912 出力装置
914 インタフェース装置
916 記録媒体駆動装置
918 可搬型記録媒体
920 バス
1000、1100 検知部
1010、1250 特定部
1020、1110、1240 判定部
1030 転送部
1040、1130通知部
1050 実行部
1120 応答部
1200 取得部
1210 抽出部
1220 計数部
1230 生成部
1250 特定部
1260 決定部

Claims (10)

  1. 複数の装置に対して通信の疎通確認をする通信元を特定する第1手段と、
    前記通信の疎通確認の試行後に前記通信元によって試行される複数の認証処理を不許可とする第2手段と、
    前記複数の認証処理の対象になった複数の装置を特定のサイバー攻撃による攻撃対象候補と特定する第3手段と
    を有することを特徴とするセキュリティシステム。
  2. 前記攻撃対象候補と特定された前記複数の装置毎の認証処理どうしに特定の相関があるか否かを判定する第4手段と、
    前記特定の相関があると判定された場合に、前記通信元を前記特定のサイバー攻撃の攻撃元であると決定する第5手段と
    を有することを特徴とする請求項1に記載のセキュリティシステム。
  3. 要求された認証処理が前記通信元によって試行される認証処理か否かを判定するために、前記通信元による前記通信の疎通確認を検知した場合に前記通信元を識別するための識別情報を記憶装置に記録する第6手段と、
    前記通信元が前記特定のサイバー攻撃の攻撃元であると決定された場合に、前記サイバー攻撃の特徴に応じて設定された期間の経過後に前記識別情報を前記記憶装置から削除する第7手段と
    を有することを特徴とする請求項2に記載のセキュリティシステム。
  4. 前記通信の疎通確認をすることが検知されなかった他の通信元によって試行される複数の認証処理の対象となる複数の装置が、前記攻撃対象候補と特定された前記複数の装置に、特定の割合以上で一致すると認められる場合に、前記他の通信元を前記特定のサイバー攻撃の攻撃元であると決定する第8手段
    を有することを特徴とする請求項1〜3の何れか1項に記載のセキュリティシステム。
  5. 複数の装置に対して通信の疎通確認をする通信元を特定し、
    前記通信の疎通確認の試行後に前記通信元によって試行される複数の認証処理を不許可とし、
    前記複数の認証処理の対象になった複数の装置を特定のサイバー攻撃による攻撃対象候補と特定する
    ことを特徴とするセキュリティ方法。
  6. 複数の装置に対して通信の疎通確認をした通信元を特定し、前記通信の疎通確認の試行後に前記通信元によって試行される複数の認証処理を不許可とし、前記複数の認証処理の対象になった複数の装置を特定のサイバー攻撃による攻撃対象候補と特定する
    ことを特徴とするセキュリティ装置。
  7. 前記攻撃対象候補と特定された前記複数の装置毎の認証処理どうしに特定の相関が認められると、前記通信元を前記特定のサイバー攻撃の攻撃元であると決定する
    ことを特徴とする請求項6に記載のセキュリティ装置。
  8. 前記通信の疎通確認をすることが検知されなかった他の通信元によって試行される複数の認証処理の対象となる複数の装置が、前記攻撃対象候補と特定された前記複数の装置に、特定の割合以上で一致すると認められる場合に、前記他の通信元を前記特定のサイバー攻撃の攻撃元であると決定する
    ことを特徴とする請求項6又は7に記載のセキュリティ装置。
  9. 前記通信元によって試行される前記複数の認証処理は不許可とされている
    ことを特徴とする請求項6〜8の何れか1項に記載のセキュリティ装置。
  10. コンピュータに、
    複数の装置に対して通信の疎通確認をした通信元を特定し、前記通信の疎通確認の試行後に前記通信元によって試行される複数の認証処理を不許可とし、前記複数の認証処理の対象になった複数の装置を特定のサイバー攻撃による攻撃対象候補と特定すること
    を実行させることを特徴とするプログラム。
JP2014168892A 2014-08-22 2014-08-22 セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム Expired - Fee Related JP6432210B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2014168892A JP6432210B2 (ja) 2014-08-22 2014-08-22 セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム
US14/803,503 US9813451B2 (en) 2014-08-22 2015-07-20 Apparatus and method for detecting cyber attacks from communication sources
EP15178031.9A EP2988468B1 (en) 2014-08-22 2015-07-23 Apparatus, method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014168892A JP6432210B2 (ja) 2014-08-22 2014-08-22 セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム

Publications (2)

Publication Number Publication Date
JP2016046654A JP2016046654A (ja) 2016-04-04
JP6432210B2 true JP6432210B2 (ja) 2018-12-05

Family

ID=53765093

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014168892A Expired - Fee Related JP6432210B2 (ja) 2014-08-22 2014-08-22 セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム

Country Status (3)

Country Link
US (1) US9813451B2 (ja)
EP (1) EP2988468B1 (ja)
JP (1) JP6432210B2 (ja)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9710648B2 (en) 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US9787696B2 (en) * 2015-05-19 2017-10-10 Workday, Inc. Brute force attack prevention system
US10284371B2 (en) 2015-05-19 2019-05-07 Workday, Inc. Brute force attack prevention system
US10021118B2 (en) * 2015-09-01 2018-07-10 Paypal, Inc. Predicting account takeover tsunami using dump quakes
JP2017107450A (ja) * 2015-12-10 2017-06-15 富士通株式会社 アクセス監視プログラム、アクセス監視方法およびアクセス監視装置
US10542044B2 (en) * 2016-04-29 2020-01-21 Attivo Networks Inc. Authentication incident detection and management
US10148639B2 (en) 2016-05-24 2018-12-04 Microsoft Technology Licensing, Llc Distinguishing vertical brute force attacks from benign errors
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US10397249B2 (en) * 2017-01-18 2019-08-27 Salesforce.Com, Inc. Intrusion detection based on login attempts
US20180302418A1 (en) * 2017-04-12 2018-10-18 Cybersecurity Defense Solutions, Llc Method and system for detection and interference of network reconnaissance
JP6669138B2 (ja) * 2017-07-19 2020-03-18 トヨタ自動車株式会社 攻撃監視システムおよび攻撃監視方法
EP3643040A4 (en) 2017-08-08 2021-06-09 SentinelOne, Inc. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US10362055B2 (en) 2017-08-10 2019-07-23 Blue Jeans Network, Inc. System and methods for active brute force attack protection
WO2019032300A1 (en) * 2017-08-10 2019-02-14 Blue Jeans Network, Inc. SYSTEM AND METHODS FOR ACTIVE PREVENTION OF RAW FORCE ATTACKS
US11470115B2 (en) 2018-02-09 2022-10-11 Attivo Networks, Inc. Implementing decoys in a network environment
JP7081953B2 (ja) * 2018-03-28 2022-06-07 株式会社日立システムズ アラート通知装置およびアラート通知方法
JP7152657B2 (ja) * 2018-09-14 2022-10-13 富士通株式会社 監視装置、監視方法及び監視プログラム
WO2020236981A1 (en) 2019-05-20 2020-11-26 Sentinel Labs Israel Ltd. Systems and methods for executable code detection, automatic feature extraction and position independent code detection
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
JP7574668B2 (ja) * 2021-01-27 2024-10-29 セイコーエプソン株式会社 電子機器及び電子機器の制御方法
JP7505642B2 (ja) * 2021-04-16 2024-06-25 日本電信電話株式会社 判定装置、判定方法、および、判定プログラム
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks
US12452273B2 (en) 2022-03-30 2025-10-21 SentinelOne, Inc Systems, methods, and devices for preventing credential passing attacks
WO2024044559A1 (en) 2022-08-22 2024-02-29 SentinelOne, Inc. Systems and methods of data selection for iterative training using zero knowledge clustering
US12468810B2 (en) 2023-01-13 2025-11-11 SentinelOne, Inc. Classifying cybersecurity threats using machine learning on non-euclidean data

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030236995A1 (en) * 2002-06-21 2003-12-25 Fretwell Lyman Jefferson Method and apparatus for facilitating detection of network intrusion
JP2006033472A (ja) * 2004-07-16 2006-02-02 Kddi Corp 不正アクセス検知装置
JP4304249B2 (ja) 2007-01-04 2009-07-29 国立大学法人 大分大学 スキャン攻撃不正侵入防御装置
US8312540B1 (en) * 2008-06-13 2012-11-13 Juniper Networks, Inc. System for slowing password attacks
JP2010250607A (ja) * 2009-04-16 2010-11-04 Hitachi Ltd 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム
US8776226B2 (en) * 2010-01-26 2014-07-08 Bae Systems Information And Electronic Systems Integration Inc. Method and apparatus for detecting SSH login attacks
US9571508B2 (en) * 2011-07-29 2017-02-14 Hewlett Packard Enterprise Development Lp Systems and methods for distributed rule-based correlation of events
JP5987627B2 (ja) * 2012-10-22 2016-09-07 富士通株式会社 不正アクセス検出方法、ネットワーク監視装置及びプログラム
JP2013122784A (ja) * 2013-02-08 2013-06-20 Ricoh Co Ltd 情報処理方法、情報処理装置及びシステム

Also Published As

Publication number Publication date
US9813451B2 (en) 2017-11-07
EP2988468A1 (en) 2016-02-24
US20160057169A1 (en) 2016-02-25
EP2988468B1 (en) 2019-06-05
JP2016046654A (ja) 2016-04-04

Similar Documents

Publication Publication Date Title
JP6432210B2 (ja) セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム
JP6754468B2 (ja) セッションセキュリティ分割およびアプリケーションプロファイラ
CN107659583B (zh) 一种检测事中攻击的方法及系统
US10417420B2 (en) Malware detection and classification based on memory semantic analysis
JP6528448B2 (ja) ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
US20210152520A1 (en) Network Firewall for Mitigating Against Persistent Low Volume Attacks
CN105409164B (zh) 通过使用硬件资源来检测网络业务中的矛盾的根套件检测
US9648029B2 (en) System and method of active remediation and passive protection against cyber attacks
CN107612924B (zh) 基于无线网络入侵的攻击者定位方法及装置
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
US10601862B1 (en) Mitigating automated attacks in a computer network environment
CN104486320B (zh) 基于蜜网技术的内网敏感信息泄露取证系统及方法
KR20170024428A (ko) 네트워크 보안 시스템 및 보안 방법
CN111385270A (zh) 基于waf的网络攻击检测方法及装置
CN104883364B (zh) 一种判断用户访问服务器异常的方法及装置
US20150222648A1 (en) Apparatus for analyzing the attack feature dna and method thereof
CN108600145B (zh) 一种确定DDoS攻击设备的方法及装置
Onik et al. A novel approach for network attack classification based on sequential questions
Yamada et al. RAT-based malicious activities detection on enterprise internal networks
CN115913720A (zh) 网络防护方法、装置、电子设备及介质
CN115499236A (zh) 一种访问请求处理方法、装置、介质及计算设备
US12493696B2 (en) Method and system for detecting volumetric attacks using multi-phase analysis of application programming interface calls
KR101041997B1 (ko) 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법
CN110460559A (zh) 分布式撞库行为的检测方法、装置及计算机可读存储介质
KR101851680B1 (ko) 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20160401

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170511

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180411

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180424

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20180426

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180606

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181009

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181022

R150 Certificate of patent or registration of utility model

Ref document number: 6432210

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees