信息處理裝置����、方法以及程序的制作方法
【專利摘要】本發(fā)明將發(fā)現(xiàn)在網(wǎng)絡(luò)內(nèi)協(xié)作地進(jìn)行活動(dòng)的終端作為技術(shù)問題。在信息處理裝置中具備:確定部����,其通過將終端間的通信與預(yù)先保持的模式進(jìn)行比較來確定終端的活動(dòng)的階段;以及相關(guān)分析部�,其在關(guān)于第一終端而在當(dāng)前或者過去確定的階段與關(guān)于第二終端而在當(dāng)前或者過去確定的階段為相同的情況下,進(jìn)行第一終端的通信與第二終端的通信的相關(guān)分析�����,從而判定這些終端是否協(xié)作地進(jìn)行活動(dòng)�。
【專利說明】
信息處理裝置�、方法以及程序
技術(shù)領(lǐng)域
[0001 ]本發(fā)明涉及一種管理連接到網(wǎng)絡(luò)的終端的技術(shù)���。
【背景技術(shù)】
[0002] -直以來����,作為分析通信量的方法�����,提出了對(duì)網(wǎng)絡(luò)上的主機(jī)間的流量分配告警指 標(biāo)值���,在累積的告警指標(biāo)值超過閾值的情況下�����,發(fā)出警報(bào)的方法(參見專利文獻(xiàn)1及2)��。
[0003] 另外����,報(bào)告了為了使對(duì)信息泄漏的發(fā)覺延遲�,將在組織內(nèi)榨取到的信息匯集到組 織內(nèi)的代表感染終端而向外部發(fā)送的攻擊方法(參照非專利文獻(xiàn)1)。進(jìn)一步地��,報(bào)告了如下 研究內(nèi)容:對(duì)組織內(nèi)的終端導(dǎo)入代理(agent),取得并解析通信內(nèi)容和過程信息等����,從而判 定該終端是否參加到僵尸網(wǎng)絡(luò)(Botnet)中,在該終端參加到僵尸網(wǎng)絡(luò)的情況下�,分析該終 端在該僵尸網(wǎng)絡(luò)中具有什么樣的職能(參照非專利文獻(xiàn)2)。
[0004] 現(xiàn)有技術(shù)文獻(xiàn)
[0005] 專利文獻(xiàn)
[0006]專利文獻(xiàn)1:美國專利第7475426號(hào)說明書 [0007]專利文獻(xiàn)2:美國專利第7185368號(hào)說明書
[0008] 非專利文獻(xiàn)
[0009] 非專利文獻(xiàn)1:獨(dú)立行政法人情報(bào)処理推進(jìn)機(jī)構(gòu)��、"標(biāo)的型-攻撃(7)事例分 析七対策P求一卜"����、[online]�、平成24年1月20日、獨(dú)立行政法人情報(bào)処理推進(jìn)機(jī)構(gòu)�、[平成2 6年12月19日檢索]、因特網(wǎng)〈11此:111^卩://\¥¥¥.1卩&.8〇.」卩/;1^;[168/000024536.卩(^>
[0010] 非專利文獻(xiàn)2:Hailong Wang���、外1 名����、"Role-based collaborative information collection model for botnet detection"�、[online]、平成22年5月17 日����、IEEE��、[平成2 6 年12月19日檢索]�、因特網(wǎng)〈11此:111^卩://1666叉卩1〇代.1666.0坪/8七&11^/8七&111卩.]_8卩����?七卩=& arnumber = 5478475&isnumber = 5478444>
【發(fā)明內(nèi)容】
[0011] 發(fā)明要解決的技術(shù)問題
[0012] 以往,為了使對(duì)攻擊的發(fā)覺延遲�����,存在通過對(duì)組織內(nèi)部的終端賦予職能并使其進(jìn) 行協(xié)作來減少感染終端與外部終端的通信量的攻擊方法�。對(duì)此,以往提出如下技術(shù):通過在 終端上工作的代理型監(jiān)視軟件來分析在該終端中工作的軟件的種類�����、在該終端進(jìn)行的處理 內(nèi)容����,從而檢測(cè)惡意軟件的活動(dòng)。但是�����,在以往的方法中,在感染終端的檢測(cè)后解析通信日 志����、通信捕獲信息、惡意軟件樣本等�,所以從感染終端的檢測(cè)至惡意軟件的活動(dòng)-職能的確 定為止有時(shí)需要較長時(shí)間。
[0013] 本公開鑒于上述問題�,將發(fā)現(xiàn)在網(wǎng)絡(luò)內(nèi)協(xié)作地進(jìn)行活動(dòng)的終端作為技術(shù)問題。
[0014] 解決技術(shù)問題的技術(shù)手段
[0015] 本公開的一個(gè)例子涉及一種信息處理裝置�����,具備:比較單元��,其將多個(gè)終端的通信 與預(yù)先保持的模式進(jìn)行比較;確定單元�����,其依照所述比較的結(jié)果��,確定所述終端的活動(dòng)的階 段����;以及相關(guān)分析單元�����,其在關(guān)于所述多個(gè)終端中包含的第一終端而在當(dāng)前或者過去確定 的階段與關(guān)于所述多個(gè)終端中包含的第二終端而在當(dāng)前或者過去確定的階段為相同的情 況下,進(jìn)行該第一終端的通信與該第二終端的通信的相關(guān)分析�����,從而判定所述第一終端與 所述第二終端是否協(xié)作地進(jìn)行活動(dòng)���。
[0016]本公開能夠作為信息處理裝置���、系統(tǒng)、通過計(jì)算機(jī)執(zhí)行的方法或者使計(jì)算機(jī)執(zhí)行 的程序來把握�。另外,本公開也能夠作為將這樣的程序記錄到計(jì)算機(jī)以外的裝置�、機(jī)械等可 讀的記錄介質(zhì)而得到的發(fā)明來把握。此處�����,計(jì)算機(jī)等可讀的記錄介質(zhì)是指能夠通過電�、磁、 光學(xué)����、機(jī)械或者化學(xué)作用來累積數(shù)據(jù)�����、程序等信息�、并且從計(jì)算機(jī)等進(jìn)行讀取的記錄介質(zhì)�。 [00 17]發(fā)明效果
[0018] 根據(jù)本公開,能夠發(fā)現(xiàn)在網(wǎng)絡(luò)內(nèi)協(xié)作地進(jìn)行活動(dòng)的終端��。
【附圖說明】
[0019] 圖1是示出實(shí)施方式所涉及的系統(tǒng)的構(gòu)成的大概圖�����。
[0020] 圖2是示出實(shí)施方式所涉及的網(wǎng)絡(luò)監(jiān)視裝置及管理服務(wù)器的硬件構(gòu)成的圖�����。
[0021] 圖3是示出實(shí)施方式所涉及的網(wǎng)絡(luò)監(jiān)視裝置的功能構(gòu)成概略的圖���。
[0022] 圖4是示出由實(shí)施方式的惡意軟件行為檢測(cè)引擎使用的惡意軟件的活動(dòng)轉(zhuǎn)換模型 的圖。
[0023] 圖5是示出實(shí)施方式所涉及的每個(gè)數(shù)據(jù)包的檢測(cè)處理的流程概要的流程圖�。
[0024] 圖6是示出實(shí)施方式所涉及的基于惡意軟件行為檢測(cè)引擎的檢測(cè)處理的流程的流 程圖(A)。
[0025] 圖7是示出實(shí)施方式所涉及的基于惡意軟件行為檢測(cè)引擎的檢測(cè)處理的流程的流 程圖(B)�����。
[0026] 圖8是示出實(shí)施方式所涉及的基于惡意軟件行為檢測(cè)引擎的檢測(cè)處理的流程的流 程圖(C)。
[0027] 圖9是示出在實(shí)施方式中的第一相關(guān)分析中作為監(jiān)視對(duì)象的活動(dòng)轉(zhuǎn)換模型上的階 段及其轉(zhuǎn)換的圖��。
[0028] 圖10是示出在實(shí)施方式中的第二相關(guān)分析中作為監(jiān)視對(duì)象的���、向探索��、感染階段 轉(zhuǎn)換的圖����。
[0029] 圖11示出在實(shí)施方式中的第二相關(guān)分析中作為監(jiān)視對(duì)象的��、向執(zhí)行文件的下載階 段轉(zhuǎn)換的圖��。
[0030] 圖12是示出實(shí)施方式中的��、用于判定侵入階段所涉及的通信與執(zhí)行文件的下載階 段所涉及的通信的相關(guān)性的相關(guān)分析處理的流程的流程圖��。
[0031] 圖13是示出在實(shí)施方式中的第二相關(guān)性分析中作為監(jiān)視對(duì)象的��、向C&C檢索階段 轉(zhuǎn)換的圖��。
[0032] 圖14是示出在實(shí)施方式中的第二相關(guān)性分析中作為監(jiān)視對(duì)象的�、向C&C通信階段 轉(zhuǎn)換的圖。
[0033] 圖15是示出在實(shí)施方式中的第二相關(guān)性分析中作為監(jiān)視對(duì)象的、向攻擊階段轉(zhuǎn)換 的圖�����。
[0034]圖16是示出實(shí)施方式的惡意軟件行為檢測(cè)引擎的第三相關(guān)分析處理的流程的流 程圖���。
[0035] 圖17是示出實(shí)施方式的感染�、浸潤階段的職能推定相關(guān)分析處理的流程的流程 圖���。
[0036] 圖18是示出在實(shí)施方式中通過感染���、浸潤階段的職能推定相關(guān)分析處理而被進(jìn)行 職能推定的終端進(jìn)行活動(dòng)的情形的圖。
[0037] 圖19是示出實(shí)施方式的執(zhí)行文件的下載階段的職能推定相關(guān)分析處理的流程的 流程圖��。
[0038]圖20是示出在實(shí)施方式中通過執(zhí)行文件的下載階段的職能推定相關(guān)分析處理而 被進(jìn)行職能推定的終端進(jìn)行活動(dòng)的情形的圖��。
[0039] 圖21是示出實(shí)施方式的C&C通信階段的職能推定相關(guān)分析處理的流程的流程圖����。
[0040] 圖22是示出在實(shí)施方式中通過C&C通信階段的職能推定相關(guān)分析處理而被進(jìn)行職 能推定的終端進(jìn)行活動(dòng)的情形的圖。
[0041] 圖23是示出實(shí)施方式的榨取信息的上傳階段的職能推定相關(guān)分析處理的流程的 流程圖�����。
[0042]圖24是示出在實(shí)施方式中通過榨取信息的上傳階段的職能推定相關(guān)分析處理而 被進(jìn)行職能推定的終端進(jìn)行活動(dòng)的情形的圖����。
[0043 ]圖25是示出實(shí)施方式的系統(tǒng)構(gòu)成的變化的概略圖。
[0044] 符號(hào)說明
[0045] 1 系統(tǒng)
[0046] 20網(wǎng)絡(luò)監(jiān)視裝置
[0047] 50管理服務(wù)器
[0048] 90 節(jié)點(diǎn)����。
【具體實(shí)施方式】
[0049] 下面,基于附圖��,對(duì)公開所涉及的信息處理裝置�、方法及程序的實(shí)施方式進(jìn)行說 明。但是���,以下說明的實(shí)施方式為舉例說明實(shí)施方式��,并非將本公開所涉及的信息處理裝 置��、方法及程序限定于以下說明的具體構(gòu)成����。在實(shí)施時(shí)�,適當(dāng)采用與實(shí)施方式相應(yīng)的具體構(gòu) 成,也可進(jìn)行各種改良����、變形�����。
[0050] 在本實(shí)施方式中��,對(duì)用于在網(wǎng)絡(luò)上發(fā)現(xiàn)進(jìn)行非法活動(dòng)的終端并進(jìn)行通信阻斷或警 報(bào)通知等應(yīng)對(duì)的系統(tǒng)中實(shí)施本公開所涉及的信息處理裝置��、方法及程序的情況下的實(shí)施方 式進(jìn)行說明�����。但是���,本公開所涉及的信息處理裝置、方法及程序可廣泛應(yīng)用到用于檢測(cè)網(wǎng)絡(luò) 上的非法活動(dòng)的技術(shù)中�����,本公開的應(yīng)用對(duì)象并不限定于在本實(shí)施方式中示出的示例��。
[0051 ]〈系統(tǒng)構(gòu)成〉
[0052]圖1是示出本實(shí)施方式所涉及的系統(tǒng)1的構(gòu)成的概略圖�����。本實(shí)施方式所涉及的系統(tǒng) 1包括連接多個(gè)信息處理終端90(下面,稱為"節(jié)點(diǎn)90")的網(wǎng)絡(luò)分段2��、用于監(jiān)視節(jié)點(diǎn)90所涉 及的通信的網(wǎng)絡(luò)監(jiān)視裝置20��。進(jìn)一步地���,將管理服務(wù)器50通過路由器10,能進(jìn)行通信地連接 到網(wǎng)絡(luò)分段2。在本實(shí)施方式中����,通過將網(wǎng)絡(luò)監(jiān)視裝置20連接到開關(guān)或路由器(圖1所示的示 例子中為路由器)的監(jiān)視端口(鏡像端口),取得通過節(jié)點(diǎn)90收發(fā)的數(shù)據(jù)包或數(shù)據(jù)幀�����。在這種 情況下�����,網(wǎng)絡(luò)監(jiān)視裝置20以不轉(zhuǎn)送取得的數(shù)據(jù)包的被動(dòng)方式進(jìn)行動(dòng)作����。
[0053]管理服務(wù)器50從網(wǎng)絡(luò)監(jiān)視裝置20收集信息并管理網(wǎng)絡(luò)監(jiān)視裝置20。此外��,在外部 網(wǎng)絡(luò)中,可以進(jìn)一步地設(shè)置檢疫服務(wù)器并對(duì)連接到網(wǎng)絡(luò)分段2的節(jié)點(diǎn)90提供檢疫服務(wù)���,也可 進(jìn)一步地設(shè)置業(yè)務(wù)服務(wù)器并對(duì)節(jié)點(diǎn)90提供用于業(yè)務(wù)的服務(wù)(省略圖示)���。
[0054]本實(shí)施方式所涉及的系統(tǒng)1中,雖然由節(jié)點(diǎn)90連接的各種服務(wù)器是通過因特網(wǎng)或 廣域網(wǎng)在遠(yuǎn)程地點(diǎn)被連接的服務(wù)器���,例如由ASP(Application Service Provider)提供的��, 但上述服務(wù)器并不一定要在遠(yuǎn)程地點(diǎn)被連接�。例如����,這些服務(wù)器也可以被連接到存在節(jié)點(diǎn) 90或網(wǎng)絡(luò)監(jiān)視裝置20的本地網(wǎng)絡(luò)上。
[0055]圖2是示出本實(shí)施方式所涉及的網(wǎng)絡(luò)監(jiān)視裝置20及管理服務(wù)器50的硬件構(gòu)成的 圖���。此外���,在圖2中,對(duì)于網(wǎng)絡(luò)監(jiān)視裝置20及管理服務(wù)器50以外的構(gòu)成(路由器10����、節(jié)點(diǎn)90等) 省略圖示��。網(wǎng)絡(luò)監(jiān)視裝置20及管理服務(wù)器50是分別包括CPU(Central Processing Unit) 1la�、llb���、RAM(Random Access Memory)13a����、13b�、R0M(Read Only Memory)12a�、12b、EEPR0M (Electrically Erasable Programmable Read Only Memory)或HDD(Hard Disk Drive)等 存儲(chǔ)裝置14a���、14b����、NIC(Network Interface Card) 15a����、15b等通信組件等的計(jì)算機(jī)。
[0056]圖3是示出本實(shí)施方式所涉及的網(wǎng)絡(luò)監(jiān)視裝置20的功能構(gòu)成概略的圖���。此外����,在圖 3中,對(duì)于網(wǎng)絡(luò)監(jiān)視裝置20以外的構(gòu)成(路由器10����、節(jié)點(diǎn)90及管理服務(wù)器50等)省略圖示。通 過記錄于存儲(chǔ)裝置14a的程序在RAM13a被讀出并被CPUlla執(zhí)行�����,網(wǎng)絡(luò)監(jiān)視裝置20作為包括 通信取得部21����、通信阻斷部22、應(yīng)用程序檢測(cè)引擎23�、協(xié)議異常檢測(cè)引擎24及惡意軟件行為 檢測(cè)引擎25的信息處理裝置而發(fā)揮作用。另外�,惡意軟件行為檢測(cè)引擎25包含比較部251、 評(píng)價(jià)值取得部252�����、校正部253����、確定部254����、保持部255��、合計(jì)部256�、判定部257、相關(guān)分析部 258和職能推定部259�����。另外����,在本實(shí)施方式中�����,網(wǎng)絡(luò)監(jiān)視裝置20具備的各種功能雖然被作為 通用處理器的CPUlla執(zhí)行�,但上述功能的一部分或全部也可被一個(gè)或多個(gè)專用處理器執(zhí) 行。另外�,也可以利用云技術(shù)等,由設(shè)置在遠(yuǎn)隔地點(diǎn)的裝置或分散設(shè)置的多個(gè)裝置來執(zhí)行上 述功能的一部分或全部���。
[0057]通信取得部21取得通過連接到網(wǎng)絡(luò)的終端來進(jìn)行收發(fā)的通信��。此外�,在本實(shí)施方 式中,在成為基于網(wǎng)絡(luò)監(jiān)視裝置20的監(jiān)視及檢測(cè)的對(duì)象的"終端"���,除了網(wǎng)絡(luò)分段2連接的節(jié) 點(diǎn)90以外���,包含有通過節(jié)點(diǎn)90和路由器10來進(jìn)行通信的其他裝置(屬于其他網(wǎng)絡(luò)的節(jié)點(diǎn)或 外部服務(wù)器等)。
[0058]根據(jù)應(yīng)用程序檢測(cè)引擎23�����、協(xié)議異常檢測(cè)引擎24或惡意軟件行為檢測(cè)引擎25,在 通信阻斷部22判定為終端在進(jìn)行非法活動(dòng)的情況下���,阻斷基于該終端的通信���。此外,在本實(shí) 施方式中���,對(duì)于采用終端被判定為在進(jìn)行非法活動(dòng)的情況下阻斷該終端的通信的應(yīng)對(duì)的示 例進(jìn)行了說明�����,但終端被判定為在進(jìn)行非法活動(dòng)的情況下的應(yīng)對(duì)方法并不被限定為通信阻 斷�。網(wǎng)絡(luò)監(jiān)視裝置20在終端被判定為進(jìn)行非法活動(dòng)的情況下,可以進(jìn)行警報(bào)(警告)通知��,也 可以對(duì)進(jìn)行非法活動(dòng)的終端實(shí)施治愈(例如���,惡意軟件去除或脆弱性去除)���。
[0059]應(yīng)用程序檢測(cè)引擎23是對(duì)惡意軟件所利用的、業(yè)務(wù)上不需要的應(yīng)用程序在網(wǎng)絡(luò)上 所進(jìn)行的通信進(jìn)行檢測(cè)的引擎��,例如�,通過對(duì)基于已知的RAT(Remote Access Trojan)、P2P (Peer to Peer)應(yīng)用程序�,Tor(The Onion Router)、UltraSurf(Proxy工具)及匿名代理等 的通信進(jìn)行檢測(cè)���,檢測(cè)出業(yè)務(wù)上不需要的應(yīng)用程序在節(jié)點(diǎn)90進(jìn)行的動(dòng)作。
[0060]協(xié)議異常檢測(cè)引擎24是檢測(cè)網(wǎng)絡(luò)上的不遵循協(xié)議的通信的引擎�����,例如���,包含HTTP 異常檢測(cè)引擎����、SSL/TLS異常檢測(cè)引擎及DNS異常檢測(cè)引擎等。協(xié)議異常檢測(cè)引擎24通過檢 測(cè)不遵循上述協(xié)議的通信��,檢測(cè)出在網(wǎng)絡(luò)上進(jìn)行不遵守協(xié)議的通信的節(jié)點(diǎn)90���。
[0061]惡意軟件行為檢測(cè)引擎25是針對(duì)被惡意軟件活動(dòng)轉(zhuǎn)換模型定義的��、惡意軟件的每 個(gè)非法活動(dòng)階段���,評(píng)價(jià)網(wǎng)絡(luò)上的通信與"惡意軟件特有的通信模式"的共通性,通過監(jiān)視惡 意軟件活動(dòng)階段的轉(zhuǎn)換狀況來分析惡意軟件的行為(舉動(dòng))��,檢測(cè)節(jié)點(diǎn)90中的惡意軟件感染 的引擎����。
[0062]圖4是示出根據(jù)本實(shí)施方式的惡意軟件行為檢測(cè)引擎25而被使用的惡意軟件活動(dòng) 轉(zhuǎn)換模型的圖。此外�����,在本實(shí)施方式中所示的惡意軟件活動(dòng)轉(zhuǎn)換模型中定義了階段P1到階 段P8,但這是在本實(shí)施方式中使用的一個(gè)示例��,根據(jù)實(shí)施方式也可以適當(dāng)變更惡意軟件活 動(dòng)轉(zhuǎn)換模型。下面����,對(duì)本實(shí)施方式所涉及的惡意軟件活動(dòng)轉(zhuǎn)換模型中的各階段進(jìn)行說明。 [0063]階段P1是侵入階段�,即以目標(biāo)型攻擊郵件的附件、郵件的URL的點(diǎn)擊��、Web站點(diǎn)(主 要是SNS站點(diǎn))上的URL的點(diǎn)擊等為契機(jī)��,投入利用0S或應(yīng)用程序的脆弱性而感染的惡性內(nèi) 容(也稱為惡性代碼�����、攻擊代碼��、開發(fā)(Exploit)等)的階段�����。在蠕蟲等自主型惡意軟件侵入 的情況下����,階段P1之后的轉(zhuǎn)移目的地是階段P2�����、階段P4或階段P8,在B0T系惡意軟件的情況 下,階段P1之后的轉(zhuǎn)移目的地是階段P2或階段P4�����。
[0064] 階段P2是探索階段����,即具有脆弱性的感染終端的探索階段。
[0065] 階段P3是感染�����、浸潤階段(擴(kuò)散階段)�����,即對(duì)脆弱的目標(biāo)送入攻擊代碼來使其感染 或從其他終端送入攻擊代碼來使其感染的階段���。在感染���、浸潤階段中,通過已經(jīng)感染的終端 將攻擊代碼送入目標(biāo)終端���,被送入攻擊代碼的終端感染上惡意軟件����。例如,利用Windows(注 冊(cè)商標(biāo))〇S的MS-RPC或文件共享的脆弱性來進(jìn)行擴(kuò)散活動(dòng)�。在B0T系的惡意軟件的情況下, 基于由攻擊者(首腦(日語:八一夕''一))發(fā)行的����、經(jīng)由了C&C(Command and Control)服務(wù)器 的指令(階段P6)來執(zhí)行感染活動(dòng)(惡意軟件的擴(kuò)散活動(dòng))。在蠕蟲等自主型惡意軟件的情況 下����,階段P3之后的轉(zhuǎn)移目的地是階段P4或階段P8,在B0T系惡意軟件的情況下,階段P3之后 的轉(zhuǎn)移目的地是階段P4���。感染���、浸潤階段具有兩個(gè)方面。一個(gè)是感染原終端執(zhí)行感染活動(dòng)的 階段����。另一個(gè)是作為損失者(感染目標(biāo))終端,攻擊代碼被送入使其被感染的階段。
[0066] 階段P4是執(zhí)行文件的下載階段����,即攻擊代碼被送入之后���,從惡意軟件的發(fā)布點(diǎn)或 已經(jīng)感染的終端下載作為惡意軟件主體的執(zhí)行文件并活性化���,或者以回避反病毒產(chǎn)品的惡 意軟件檢測(cè)或追加新功能等的目的,按照來自于攻擊者的指令(經(jīng)由C&C服務(wù)器)從指定的 站點(diǎn)下載新的惡意軟件的階段��。惡意軟件主體的下載主要使用HTTP�����、FTP�����、TFTP�。另外,也有 使用惡意軟件獨(dú)立的協(xié)議的情況��。在B0T等遠(yuǎn)距離操縱類型的惡意軟件的情況下���,階段P4之 后的轉(zhuǎn)移目的地是階段P5或階段P6���,在蠕蟲等自主型惡意軟件的情況下����,階段P4之后的轉(zhuǎn) 移目的地通常是階段P2或階段P8�����。
[0067]階段P5是C&C檢索階段�,即檢索用于接受來自于攻擊者的指令的C&C服務(wù)器的階 段。轉(zhuǎn)換到該階段的惡意軟件主要是B0T等遠(yuǎn)距離操縱類型的惡意軟件�����。惡意軟件中通常編 入多個(gè)C&C服務(wù)器的FQDN����,使用DNS詢問進(jìn)行地址解決。在P2P類型的B0T網(wǎng)絡(luò)的情況下�,使用 P2P協(xié)議(通用或獨(dú)立協(xié)議)檢索C&C節(jié)點(diǎn)。IP地址被硬件編碼的類型的惡意軟件在該階段不 活動(dòng)����。階段P5之后的轉(zhuǎn)移目的地是階段P6。
[0068]階段P6是C&C通信(包含的、互聯(lián)網(wǎng)連接確認(rèn))階段����,即為了進(jìn)行來自于攻擊者的指 令的接收與指令執(zhí)行結(jié)果的報(bào)告(應(yīng)答)等,連接到C&C服務(wù)器進(jìn)行數(shù)據(jù)收發(fā)的階段���。連接到 C&C服務(wù)前之前,存在進(jìn)行互聯(lián)網(wǎng)連接確認(rèn)的惡意軟件���。在與C&C服務(wù)器的連接中�����,使用階段 P5中地址解決成功了的IP地址中的任一個(gè)或惡意軟件中被硬件編碼了的IP地址中的任一 個(gè)����。當(dāng)從C&C服務(wù)器接收到指令時(shí)���,依照來自攻擊者的指令����,惡意軟件的活動(dòng)從階段P6轉(zhuǎn)移 到階段P2�、階段P4或者階段P8。通過經(jīng)由C&C服務(wù)器將執(zhí)行結(jié)果通知攻擊者。另一方面��,在惡 意軟件連接C&C服務(wù)器失敗的情況下用別的IP地址再度嘗試連接�,那樣也失敗的情況下,回 到階段P5檢索別的C&C服務(wù)器或停止自身活動(dòng)���。此外�����,直到連接成功不停地反復(fù)再連接的惡 意軟件的存在也被報(bào)告��。另外��,在C&C通信路徑中發(fā)生異常而不能恢復(fù)的情況下���,惡意軟件 的活動(dòng)轉(zhuǎn)移到階段P5。進(jìn)一步地����,也存在一定期間中進(jìn)行變更C&C服務(wù)器的動(dòng)作的惡意軟 件,在這種情況下�����,惡意軟件的活動(dòng)轉(zhuǎn)移到階段P5。另外��,階段P6包括等候來自于攻擊者的 指令的階段�����。惡意軟件定期訪問C&C服務(wù)器�����,維持通信路徑并等候來自于攻擊者的指令���。也 存在進(jìn)行變更一定期間中C&C服務(wù)器的動(dòng)作的惡意軟件,在這種情況下��,惡意軟件的活動(dòng)也 轉(zhuǎn)移到階段P5���。
[0069] 階段P7是榨取信息的上傳階段�,即�,將通過惡意軟件等進(jìn)行活動(dòng)而得到的信息上 傳到攻擊者側(cè)的服務(wù)器等的階段。
[0070] 階段P8是攻擊活動(dòng)階段����,即按照來自于攻擊者的指令(B0T系)或惡意軟件自身中 編入的攻擊代碼(蠕蟲系)進(jìn)行攻擊活動(dòng)的階段����。為了找出攻擊目標(biāo)�����,也存在進(jìn)行與階段P1 相當(dāng)?shù)幕顒?dòng)�。攻擊活動(dòng)中包含DoS攻擊、垃圾郵件攻擊�����、Web攻擊(Web竄改)����、跳板(日語:踏 臺(tái))等。
[0071] 惡意軟件行為檢測(cè)引擎25通過設(shè)有比較部251��、評(píng)價(jià)值取得部252���、校正部253��、確 定部254�、保持部255��、合計(jì)部256、判定部257����、相關(guān)分析部258和職能推定部259(參照?qǐng)D3), 監(jiān)視如上述那樣被定義的惡意軟件的活動(dòng)階段的轉(zhuǎn)換狀況�����,檢測(cè)節(jié)點(diǎn)90中的惡意軟件感 染��。下面���,對(duì)惡意軟件行為檢測(cè)引擎25設(shè)有的各功能部進(jìn)行說明。
[0072] 比較部251將通信取得部21所新取得的通信(在本實(shí)施方式中為新取得并成為處 理對(duì)象的數(shù)據(jù)包����。下面稱為"輸入數(shù)據(jù)包")與預(yù)先保持的通信模式進(jìn)行比較。通信模式中�, 作為惡意軟件各種活動(dòng)結(jié)果顯現(xiàn)的特異的通信模式被預(yù)先定義。在本實(shí)施方式中���,針對(duì)惡 意軟件活動(dòng)轉(zhuǎn)換模型的各個(gè)階段���,多個(gè)通信模式被預(yù)先定義����,并由網(wǎng)絡(luò)監(jiān)視裝置20或管理 服務(wù)器保持����,階段Pn(這里,n是從1到7的整數(shù))的通信模式像"Pn-m"(這里�,m是1以上的數(shù) 值)那樣被表示。但是���,也存在不依存于任一階段(換言之��,能夠在多個(gè)不同的階段中出現(xiàn)) 的通信模式����。在本實(shí)施方式中��,不依存于從階段P1到階段P8的任一階段的通信模式用"PO-rn "被表示����。
[0073]作為比較部251的比較的結(jié)果,對(duì)于與輸入數(shù)據(jù)包一致或近似(下面�,僅稱為"對(duì)應(yīng) 的")的通信模式,評(píng)價(jià)值取得部252取得預(yù)先設(shè)定的等級(jí)(評(píng)價(jià)值)作為輸入數(shù)據(jù)包的等級(jí)�����。 等級(jí)(Gr)是被分配到各個(gè)通信模式的示出"推定為終端在進(jìn)行非法活動(dòng)(惡意軟件的活動(dòng)) 的程度"的值。在本實(shí)施方式中�����,等級(jí)(Gr)被設(shè)定為0SGr〈1.0的范圍的值(小數(shù)點(diǎn)以下1 位)����。等級(jí)(Gr) = 0表示惡意軟件的活動(dòng)的結(jié)果產(chǎn)生的通信模式的可能性極低,越接近1的等 級(jí)表示惡意軟件的活動(dòng)的結(jié)果產(chǎn)生的通信模式的可能性越高����。基于作為正當(dāng)?shù)膽?yīng)用程序的 通信模式而出現(xiàn)的頻率�,針對(duì)每個(gè)通信模式,預(yù)先確定等級(jí)(Gr)����。即���,對(duì)作為正當(dāng)?shù)膽?yīng)用程 序的通信而出現(xiàn)的可能性較低的通信分配更高的等級(jí)�����,對(duì)作為正當(dāng)?shù)膽?yīng)用程序的通信而出 現(xiàn)的可能性較高的通信分配更低的等級(jí)�。在本實(shí)施方式中,對(duì)于通信模式Pn-m被預(yù)先設(shè)定 的等級(jí)是"Gr(Pn-m)"��,對(duì)進(jìn)行與通信模式Pn-m符合的通信的終端(h)分配的等級(jí)用"Gr(h��, Pn-m)"來表示���。
[0074] 此外�����,即使是同一通信模式�,基于條件����,也能夠被分配不同的等級(jí)(Gr)。例如�����,在通 信模式附帶設(shè)定有兩個(gè)條件"A:目的地與C&C服務(wù)器不一致"�����、"B:目的地與C&C服務(wù)器的一 個(gè)一致"的情況下,如下進(jìn)行條件判定���,根據(jù)目的地是否與已注冊(cè)的C&C服務(wù)器一致�,分配不 同的等級(jí)����。
[0075] IF(Pn-m = TRUE)AND(A)THEN Gr(Pn-m) =0? 1,ACTI0N =記錄于C&C服務(wù)器候選列 表
[0076] IF(Pn-m = TRUE)AND(B)THEN Gr(Pn-m) =0.6,ACTION=N〇
[0077] 進(jìn)一步地�,在本實(shí)施方式中,評(píng)價(jià)值取得部252按照相關(guān)分析結(jié)果��,取得等級(jí)�,該相 關(guān)分析結(jié)果是對(duì)輸入數(shù)據(jù)包和通過輸入數(shù)據(jù)包所涉及的終端在輸入數(shù)據(jù)包之前或之后發(fā) 送或接收的其他數(shù)據(jù)包(下面,稱為"先行數(shù)據(jù)包"�、"后續(xù)數(shù)據(jù)包")的相關(guān)性進(jìn)行分析的結(jié) 果。更具體地來說���,在本實(shí)施方式中�,評(píng)價(jià)值取得部252判定通過通信取得部21針對(duì)通信(輸 入數(shù)據(jù)包)所取得的階段與針對(duì)通過該通信所涉及的終端在該通信之前或之后進(jìn)行的其他 通信(先行數(shù)據(jù)包或后續(xù)數(shù)據(jù)包)所取得的階段之間是否具有連續(xù)性���,在判定為具有連續(xù)性 的情況下,取得等級(jí)�����。
[0078]校正部253按照輸入數(shù)據(jù)包與先行數(shù)據(jù)包或后續(xù)數(shù)據(jù)包的相關(guān)分析結(jié)果,校正通 過評(píng)價(jià)值取得部252取得的等級(jí)���。更具體地來說���,在本實(shí)施方式中,判定在針對(duì)通過通信取 得部21取得的通信(輸入數(shù)據(jù)包)所取得的階段與針對(duì)通過該通信所涉及的終端在該通信 的前或后進(jìn)行的其他通信(先行數(shù)據(jù)包或后續(xù)數(shù)據(jù)包)所取得的階段之間是否存在連續(xù)性����, 在判定為具有連續(xù)性的情況下,補(bǔ)正部253將通過評(píng)價(jià)值取得部252取得的等級(jí)校正為比沒 有被判定為具有連續(xù)性的情況的更大�。
[0079] 換句話說,在本實(shí)施方式中����,新取得的通信(輸入數(shù)據(jù)包)與基于該通信所涉及的 終端的過去或未來的通信(先行數(shù)據(jù)包或后續(xù)數(shù)據(jù)包)的相關(guān)分析,當(dāng)在輸入數(shù)據(jù)包與先行 數(shù)據(jù)包或后續(xù)數(shù)據(jù)包之間���,當(dāng)認(rèn)可"更加提高被推定為惡意軟件活動(dòng)的程度的連續(xù)性"的情 況下����,進(jìn)行對(duì)過去或未來的通信(先行數(shù)據(jù)包或后續(xù)數(shù)據(jù)包)的等級(jí)的取得,或進(jìn)行對(duì)新取 得的通信(輸入數(shù)據(jù)包)的等級(jí)的校正��。
[0080] 對(duì)于輸入數(shù)據(jù)包�����,確定部254確定該終端所涉及的階段及等級(jí)��。比較部251比較后�����, 確定部254將對(duì)于與輸入數(shù)據(jù)包對(duì)應(yīng)的通信模式Pn-m而被預(yù)先設(shè)定的階段Pn確定為該終端 所涉及的階段���。另外��,雖然也有確定部254將通過評(píng)價(jià)值取得部252取得的等級(jí)Gr(Pn-m)照 原樣確定為輸入數(shù)據(jù)包的等級(jí)的情況��,但在通過校正部253校正等級(jí)的情況下��,校正值被確 定為輸入數(shù)據(jù)包的等級(jí)���。
[0081 ]保持部255針對(duì)每個(gè)終端保持確定的等級(jí)的各個(gè)階段的最大值�。在本實(shí)施方式中����, 保持部255針對(duì)惡意軟件活動(dòng)轉(zhuǎn)換模型的各個(gè)階段Pn��,將對(duì)于該階段Pn檢測(cè)出的通信模式 Pn-m的等級(jí)Gr (Pn-m)的最大值作為階段Pn的等級(jí)來保持�,并用"PGr (Pn) "來表示����。終端(h) 的階段Pn的等級(jí)用"PGr(h,Pn)"被表示�����,并用下式取得��。
[0082] PGr(h�,Pn) =max{Gr(Pn-m) |Pn-mGh}
[0083] 在本實(shí)施方式中,保持部255針對(duì)每個(gè)終端���,利用保持各個(gè)階段的等級(jí)最大值的管 理表格��,對(duì)每個(gè)終端����、各個(gè)階段的等級(jí)進(jìn)行管理(省略圖示)。等級(jí)管理表格中�,針對(duì)網(wǎng)絡(luò)監(jiān) 視裝置20掌握的每個(gè)終端(h),保持各階段Pn的等級(jí)PGr(h�����,Pn)����。如前所述,各階段Pn的等級(jí) PGr (h��,Pn)是對(duì)于該階段Pn檢測(cè)出的通信模式Pn-m的等級(jí)Gr (Pn-m)的最大值����。因此,對(duì)于任 一個(gè)階段���,等級(jí)被新確定的話�����,將新確定的等級(jí)與等級(jí)管理表格中保持的等級(jí)PGr(h�,Pn)進(jìn) 行比較����,更新為最大值�。此外��,對(duì)于每個(gè)通信模式Pn-m的等級(jí)Gr (Pn-m)的最大值Gr(h��,Pn-m)�����,也被保持在存儲(chǔ)裝置14a中�。
[0084]合計(jì)部256針對(duì)每個(gè)終端���,取得從階段P1到階段P8的各個(gè)階段的等級(jí)的最大值PGr (h�����,Pn)�����,并合計(jì)上述最大值�����。
[0085]判定部257基于成為處理對(duì)象的終端(h)的�、各個(gè)階段的等級(jí)的最大值PGr(h,Pn)����, 判定終端是否進(jìn)行非法活動(dòng)。在本實(shí)施方式中�,判定部257基于通過合計(jì)部256得到的合計(jì) 值,判定終端是否進(jìn)行非法活動(dòng)���。更具體地來說�,判定部257通過對(duì)合計(jì)值進(jìn)行規(guī)定的加權(quán)���, 計(jì)算出"顯示惡意軟件進(jìn)行活動(dòng)的可能性的大小的值"(下面���,稱為"惡意軟件活動(dòng)可能 性"),在該值超過規(guī)定的閾值的情況下����,判定該終端在進(jìn)行非法活動(dòng)。終端(h)的惡意軟件 活動(dòng)可能性顯示終端(h)感染惡意軟件的可能性的程度����,用"IR(h)"來表示�����。終端(h)的惡意 軟件活動(dòng)可能性的取〇(沒有感染)~100(感染的可能性大)的值。即�,在本實(shí)施方式中,終端 (h)的惡意軟件活動(dòng)可能性如下地被定義��。這里4表示惡意軟件活動(dòng)系數(shù)���。
[0086][數(shù)1]
[0088] -般來說,因?yàn)榭梢耘袛嘣诨顒?dòng)轉(zhuǎn)換模型的大量(連續(xù)的)階段上檢測(cè)出通信模式 的終端����,比在更少的階段上檢測(cè)出通信模式的終端,感染惡意軟件的可能性較高�����,所以導(dǎo)入 惡意軟件活動(dòng)系數(shù)扒在本實(shí)施方式中���,作為具體的值0.5被設(shè)定)��。每當(dāng)與終端(h)關(guān)聯(lián)的通 信模式對(duì)應(yīng)的通信模式被檢測(cè)出�����,就計(jì)算并更新上述的惡意軟件活動(dòng)可能性IR(h)��。
[0089]在本實(shí)施方式中�����,將惡意軟件活動(dòng)可能性為0~49的終端定義為"干凈終端"�����,將惡 意軟件活動(dòng)可能性為50~89的終端定義為"灰色終端"�����,將惡意軟件活動(dòng)可能性為90~100 的終端定義為"黑色終端"終端���。針對(duì)每個(gè)終端��,惡意軟件活動(dòng)可能性及"干凈"����、"灰色"、"黑 色"被表示在管理者終端的管理屏幕(設(shè)備一覽畫面)上作為實(shí)時(shí)報(bào)告信息�。另外,針對(duì)每個(gè) 終端���,被檢測(cè)出的"通信模式"的概要和檢測(cè)次數(shù)的列表被表示作為詳細(xì)信息��。此外�,"干 凈"��、"灰色"�、"黑色"的惡意軟件活動(dòng)可能性的閾值也可以被管理者設(shè)定。
[0090]相關(guān)分析部258進(jìn)行輸入數(shù)據(jù)包與通過輸入數(shù)據(jù)包所涉及的終端而在輸入數(shù)據(jù)包 之前或者之后發(fā)送或者接收到的其他數(shù)據(jù)包(先行數(shù)據(jù)包或者后續(xù)數(shù)據(jù)包)的相關(guān)分析�。 即,在本實(shí)施方式中實(shí)施的相關(guān)分析是分析2個(gè)以上的通信間或者2個(gè)以上的階段間有沒有 連續(xù)性�、共同性等相關(guān)性或者相關(guān)性的程度的相關(guān)分析���,通過評(píng)價(jià)值取得部252��、校正部253 和判定部257等來使用相關(guān)分析的結(jié)果��。例如��,相關(guān)分析部258進(jìn)行通過確定部254而被確定 為是侵入階段P1的第一通信與被確定為是執(zhí)行文件的下載階段的第二通信的相關(guān)分析�����,從 而判定在基于第一通信的內(nèi)容的下載與基于第二通信的執(zhí)行文件的下載之間有沒有相關(guān) 性或者相關(guān)性的程度�。此外����,關(guān)于相關(guān)分析的具體方法,在后面敘述�。
[0091]另外,相關(guān)分析部258在關(guān)于被檢測(cè)出通信的第一終端而在當(dāng)前或者過去確定的 階段與關(guān)于第二終端而在當(dāng)前或者過去確定的階段相同(同一)的情況下�����,進(jìn)行第一終端的 通信和第二終端的通信的相關(guān)分析�����,從而判定第一終端和第二終端是否協(xié)作地進(jìn)行活動(dòng)�。 此時(shí),相關(guān)分析部258通過判定第一終端的通信和第二終端的通信的連續(xù)性或者關(guān)聯(lián)性的 有無或者程度���,從而判定第一終端和第二終端是否協(xié)作地進(jìn)行活動(dòng)���。關(guān)于不同的終端的通 信間的相關(guān)分析的詳細(xì)情況,后面在"(3)用于職能推定的相關(guān)分析"中進(jìn)行敘述。
[0092]職能推定部259推定被相關(guān)分析部258判定為進(jìn)行協(xié)作的第一終端或者第二終端 的��、該階段中的活動(dòng)的職能�����。
[0093]〈處理流程〉
[0094]然后�����,利用流程圖來對(duì)本實(shí)施方式所涉及的系統(tǒng)1所執(zhí)行的處理的流程進(jìn)行說明�����。 此外���,下面說明的流程圖所示的處理的具體內(nèi)容及處理順序是用于實(shí)施本發(fā)明的一個(gè)例 子����。也可以根據(jù)本發(fā)明的實(shí)施方式適當(dāng)選擇具體的處理內(nèi)容及處理順序����。
[0095]網(wǎng)絡(luò)監(jiān)視裝置20連接新的網(wǎng)絡(luò)的話�,在開始后述的各數(shù)據(jù)包d檢測(cè)處理之前,作為 準(zhǔn)備處理,執(zhí)行網(wǎng)絡(luò)構(gòu)成的解析/學(xué)習(xí)處理��。具體來說����,網(wǎng)絡(luò)監(jiān)視裝置20連接新的網(wǎng)絡(luò)的話, 取得規(guī)定時(shí)間數(shù)據(jù)包�,通過解析取得的數(shù)據(jù)包,對(duì)成為監(jiān)視對(duì)象的網(wǎng)絡(luò)構(gòu)成進(jìn)行解析��,學(xué)習(xí) 在惡意軟件檢測(cè)中必要的信息(設(shè)備一覽(設(shè)備類型��、0S種類�、MAC/IP地址等))、監(jiān)視對(duì)象網(wǎng) 絡(luò)的地址體系�、DNS服務(wù)器信息、郵件服務(wù)器信息�、代理(HTTP/S0CKS)信息�、Active Directory信息等)并將其保存于存儲(chǔ)裝置14a等。
[0096]此外�,網(wǎng)絡(luò)構(gòu)成的解析/學(xué)習(xí)處理在后述的檢測(cè)處理開始之后也由網(wǎng)絡(luò)監(jiān)視裝置 繼續(xù)執(zhí)行。即�,網(wǎng)絡(luò)監(jiān)視裝置20將解析取得的數(shù)據(jù)包而得到的信息與通過以前的解析/學(xué)習(xí) 處理被學(xué)習(xí)并被保持于網(wǎng)絡(luò)監(jiān)視裝置20的存儲(chǔ)裝置14a的信息進(jìn)行對(duì)照核查�����,對(duì)照核查的 結(jié)果,在新得到的信息與保持的信息不同的情況下�,網(wǎng)絡(luò)監(jiān)視裝置20判斷出網(wǎng)絡(luò)分段2中的 構(gòu)成被變更了�����,并使用新得到的信息來更新網(wǎng)絡(luò)監(jiān)視裝置20的存儲(chǔ)裝置14a中保持的信息��。
[0097]圖5是示出本實(shí)施方式所涉及的每個(gè)數(shù)據(jù)包的檢測(cè)處理的流程概要的流程圖��。通 過網(wǎng)絡(luò)監(jiān)視裝置20,在網(wǎng)絡(luò)上流通的數(shù)據(jù)包(或者����,由多個(gè)數(shù)據(jù)包構(gòu)成的數(shù)據(jù))被取得時(shí)執(zhí) 行本實(shí)施方式所涉及的檢測(cè)處理�。
[0098]步驟S001中,數(shù)據(jù)包解析的前處理被執(zhí)行�����。一旦通過通信取得部21新取得通信(輸 入數(shù)據(jù)包)�����,網(wǎng)絡(luò)監(jiān)視裝置20就進(jìn)行輸入數(shù)據(jù)包的整形、分類及與有效的已有流程的關(guān)聯(lián)�����。 另外����,網(wǎng)絡(luò)監(jiān)視裝置20將輸入數(shù)據(jù)包分類為終端單位(發(fā)送源/目的地地址(MAC地址)單 位)、協(xié)議 與已有流程的關(guān)聯(lián)����。之后,處理進(jìn)入步驟S002��。
[0099]從步驟S002到步驟S005中���,進(jìn)行基于應(yīng)用程序檢測(cè)引擎23及協(xié)議異常檢測(cè)引擎24 的處理����。本實(shí)施方式所涉及的網(wǎng)絡(luò)監(jiān)視裝置20利用上述三種檢測(cè)引擎(檢測(cè)程序)檢測(cè)連接 到網(wǎng)絡(luò)的終端的非法通信�����,在本實(shí)施方式中,網(wǎng)絡(luò)監(jiān)視裝置20-旦取得數(shù)據(jù)包�����,就在進(jìn)行了 基于應(yīng)用程序檢測(cè)引擎23及協(xié)議異常檢測(cè)引擎24的檢測(cè)之后��,進(jìn)行基于惡意軟件行為檢查 引擎25的檢測(cè)�。即,在本實(shí)施方式中�����,惡意軟件行為檢測(cè)引擎25基于沒有被其他的檢測(cè)手段 (應(yīng)用程序檢查引擎23及協(xié)議異常檢測(cè)引擎24)檢測(cè)為非法通信的通信����,判定節(jié)點(diǎn)90是否進(jìn) 行非法活動(dòng)。通過這樣做���,根據(jù)本實(shí)施方式�����,能夠減少被惡意軟件行為檢測(cè)引擎25處理的數(shù) 據(jù)包的數(shù)量�,并減少由于行為檢查引擎的動(dòng)作而產(chǎn)生的負(fù)荷����。但是����,惡意軟件行為檢測(cè)引擎 25既可單獨(dú)地進(jìn)行動(dòng)作�����,也可與其他的檢測(cè)引擎組合進(jìn)行動(dòng)作��。另外����,數(shù)據(jù)包被取得時(shí)的檢 測(cè)引擎的處理順序并不被限定為本實(shí)施方式所示的示例�。
[0100]在不需要的應(yīng)用程序被應(yīng)用程序檢測(cè)引擎23檢測(cè)到的情況下或在協(xié)議異常被協(xié) 議異常檢測(cè)引擎24檢測(cè)到的情況下,處理進(jìn)入步驟S012,進(jìn)行阻斷或發(fā)出警告��。另一方面��, 在沒有檢測(cè)到不需要的應(yīng)用程序或協(xié)議異常的情況下����,處理進(jìn)入步驟S006。此外�����,本流程圖 中,從步驟S006到步驟S011的處理與惡意軟件行為檢查引擎25的處理相當(dāng)����。
[0101] 步驟S006中,進(jìn)行通信模式的判定處理����。比較部251通過將輸入數(shù)據(jù)包與預(yù)先定義 的通信模式(Pn-m)進(jìn)行比較,判定輸入數(shù)據(jù)包與預(yù)先定義的通信模式(Pn-m)的共通性���。這 里����,在判定為與通信模式(Pn-m)具有共通性的情況下����,輸入數(shù)據(jù)包所涉及的終端(h)的活動(dòng) 轉(zhuǎn)換模型上的階段確定為階段Pn(h)。另外��,判定后��,評(píng)價(jià)值取得部252將判定為一致或近似 (對(duì)應(yīng))的通信模式的等級(jí)Gr(Pn-m)與終端(h)關(guān)聯(lián),并作為輸入數(shù)據(jù)包的等級(jí)Gr(h����,Pn-m) 而取得。進(jìn)一步地�����,網(wǎng)絡(luò)監(jiān)視裝置20基于檢測(cè)出的通信模式�,將對(duì)象通信的發(fā)送源終端或目 的地終端注冊(cè)為"惡意軟件發(fā)布服務(wù)器候選列表"���、或"C&C服務(wù)器候選列表"���。這里,考慮到 數(shù)據(jù)包丟失��,將所有的階段的通信模式作為對(duì)象來進(jìn)行判定及評(píng)價(jià)��。此外��,為了與已知的已 判定流程關(guān)聯(lián)����,對(duì)于追加的判定處理不需要的輸入數(shù)據(jù)包不進(jìn)行判定,僅進(jìn)行統(tǒng)計(jì)信息的 更新�����。其后����,處理進(jìn)入步驟S007。
[0102] 步驟S007中���,進(jìn)行第一相關(guān)分析�����。評(píng)價(jià)值取得部252拾取步驟S006中不能檢測(cè)出的 C&C通信���。在轉(zhuǎn)換到探索階段P2、感染�����、浸潤階段P3��、執(zhí)行文件的下載階段P4����、攻擊活動(dòng)階段 P8時(shí)����,評(píng)價(jià)值取得部252拾取成為該作為觸發(fā)的通信�,網(wǎng)絡(luò)監(jiān)視裝置20將對(duì)象通信的發(fā)送源 終端或目的地終端登記到C&C服務(wù)器候選列表。此外����,對(duì)于第一相關(guān)分析的處理內(nèi)容,將參 照?qǐng)D6到圖8及圖9在后面進(jìn)行敘述����。其后����,處理進(jìn)入步驟S008。
[0103]步驟S008中進(jìn)行第二相關(guān)分析���。校正部253分析步驟S006中被判定的終端(h)的活 動(dòng)階段Pn(h)與緊接在其之前活動(dòng)的階段的連續(xù)性即與其他(感染)終端的舉動(dòng)的相關(guān)性��。 分析之后���,當(dāng)發(fā)現(xiàn)是惡意軟件的動(dòng)作的可能性較高的通信模式時(shí),校正部253使用下式來校 正步驟S006中判定的終端(h)的通信模式(Pn-m)的等級(jí)Gr(h,Pn-m)����,并分配更高的等級(jí)。
[0104] Gr(h���,Pn_m) = 9 ? Gr(h��,Pn_m)
[0105] 但�����,惡意軟件舉動(dòng)類似系數(shù)0的范圍為1.0到2.0�����。這里����,1.0意味著"沒有類似性"�。 此外,對(duì)于第二相關(guān)分析的處理內(nèi)容及惡意軟件舉動(dòng)類似系數(shù)0��,將參照?qǐng)D6到圖8及圖10到 圖15�,在后面進(jìn)行敘述��。其后�����,處理進(jìn)入步驟S009��。
[0106] 步驟S009中���,活動(dòng)階段的等級(jí)(PGr)被確定。確定部254基于步驟S006到步驟S008 的處理結(jié)果�����,根據(jù)對(duì)應(yīng)的終端h的通信模式的等級(jí)Gr (h���,Pn-m),確定階段Pn的等級(jí)PGr (h����, ?11);[。此外����,這里?61'(11����,�?11);[-1表示到上次為止的階段?11的等級(jí)。
[0107] PGr(h����,Pn)i=max{PGr(h,Pn)i-l�����,Gr(h����,Pn_m)}
[0108] 其后,處理進(jìn)入步驟S010���。
[0109] 步驟S010中����,惡意軟件活動(dòng)可能性(IR(h))被計(jì)算出�。合計(jì)部256及判定部257計(jì)算 出終端h的惡意軟件活動(dòng)可能性IR(h)。關(guān)于具體的計(jì)算方法����,如之前在合計(jì)部256及判定部 257的說明中所敘述的���。其后,處理進(jìn)入步驟SOI 1��。
[0110] 步驟soil及步驟S012中�,惡意軟件活動(dòng)可能性IR(h)在規(guī)定的閾值以上的情況下, 進(jìn)行阻斷該終端或發(fā)出管理者警報(bào)等的應(yīng)對(duì)��。判定部257判定步驟S010中計(jì)算出的終端的 惡意軟件活動(dòng)可能性是否在表示"黑色"的規(guī)定的閾值以上(步驟S011)���。然后���,在惡意軟件 活動(dòng)可能性為"黑色"的情況下,通信阻斷部22進(jìn)行阻斷該終端的通信的�����、或向管理者發(fā)出 警報(bào)等的應(yīng)對(duì)(步驟S012)��。另外���,在惡意軟件活動(dòng)可能性為"灰色"的情況下���,網(wǎng)絡(luò)監(jiān)視裝置 20也可以向管理者發(fā)出警報(bào)。在惡意軟件活動(dòng)可能性為"干凈"的情況下�,不進(jìn)行阻斷或發(fā) 出警報(bào)等的應(yīng)對(duì)。其后�����,本流程圖所示的處理結(jié)束��。
[0111]圖6到圖8示出本實(shí)施方式所涉及的�����、基于惡意軟件行為檢查引擎25的檢測(cè)處理的 流程的流程圖�。本流程圖對(duì)使用圖5來進(jìn)行說明的檢測(cè)處理的步驟S006到步驟S012的處理 進(jìn)行更加詳細(xì)地說明。更具體地來說��,步驟S101到步驟S103對(duì)圖5的步驟S006中說明的通信 模式判定處理進(jìn)行更詳細(xì)地說明��,步驟S104到步驟S110對(duì)步驟S007中說明的第一相關(guān)分析 處理進(jìn)行更詳細(xì)地說明���,步驟S111到步驟S116對(duì)步驟S008中說明的第二相關(guān)分析處理進(jìn)行 更詳細(xì)地說明����,步驟S117到步驟S120對(duì)步驟S009中說明的活動(dòng)階段的等級(jí)確定處理進(jìn)行更 詳細(xì)地說明。另外���,步驟S121與圖5的步驟S010相當(dāng)�,步驟S122及步驟S123與步驟S011及步 驟S012相當(dāng)�。
[0112]步驟S101及步驟S102中,判定取得的數(shù)據(jù)包(輸入數(shù)據(jù)包)是否符合預(yù)先定義的通 信模式的任一個(gè)�。比較部251通過將輸入數(shù)據(jù)包與預(yù)先保持的通信模式進(jìn)行比較,判定輸入 數(shù)據(jù)包與預(yù)先定義的通信模式(Pn-m)的共通性�����。作為判定的結(jié)果�,在判定為與任一通信模 式都不符合的情況下,結(jié)束該數(shù)據(jù)包所涉及的處理�,并結(jié)束本流程圖中所示的處理。另一方 面����,在判斷為與某一通信模式符合的情況下,處理進(jìn)入步驟S103���。
[0113] 步驟S103中����,關(guān)于輸入數(shù)據(jù)包所涉及的終端��,對(duì)檢測(cè)出判定為符合的通信模式 (Pn-m)的情況進(jìn)行記錄�����。另外��,評(píng)價(jià)值取得部252將與輸入數(shù)據(jù)包對(duì)應(yīng)的通信模式(Pn-m)所 屬的階段Pn及對(duì)于通信模式(Pn-m)被預(yù)先設(shè)定的等級(jí)Gr(Pn-m)作為輸入數(shù)據(jù)包所涉及的 終端(h)的階段Pn(h)及該階段的等級(jí)Gr(h����,Pn-m)來取得。其后�����,處理進(jìn)入步驟S104�。
[0114] 步驟S104及步驟S105中,在與輸入數(shù)據(jù)包對(duì)應(yīng)的通信模式中設(shè)定有必須條件的情 況下��,判定是否在過去取得與必須條件對(duì)應(yīng)的通信���。在沒有設(shè)定必須條件的情況下�,處理進(jìn) 入步驟S107。這里�,必須條件是指,用于判定是否可以將對(duì)于判定為在步驟S101中與輸入數(shù) 據(jù)包對(duì)應(yīng)的通信模式(Pn-m)被預(yù)先設(shè)定的等級(jí)Gr(Pn-m)作為該輸入數(shù)據(jù)包所涉及的終端 (h)的階段Pn (h)的等級(jí)Gr (h���,Pn-m)來確定的條件�����。例如�����,"P6-4:將HTTP標(biāo)準(zhǔn)端口( 80)作為 目的地端口的HTTP通信(代理/非代理)"的通信模式是HTTP的一般性的通信���,對(duì)于該通信模 式,"P0-1~P0-15"中被定義的"HTTP惡意通信模式"中的任一個(gè)被檢測(cè)出是必須條件����。因 此,在滿足了上述的必須條件的情況下�����,對(duì)于該輸入數(shù)據(jù)包通信模式P6-4的等級(jí)Gr(h�����,P6-4)被確定,在沒有滿足必須條件的情況下��,對(duì)于該輸入數(shù)據(jù)包通信模式P6-4的等級(jí)Gr(h��, P6-4)沒有被確定��。
[0115] 即���,評(píng)價(jià)值取得部252通過判定在過去取得的通信是否滿足必須條件,判定在針對(duì) 輸入數(shù)據(jù)包所取得的階段與針對(duì)通過該通信所涉及的終端在該通信之前進(jìn)行的其他通信 (先行數(shù)據(jù)包)所取得的階段之間是否具有連續(xù)性�����。在判定為沒有滿足必須條件的情況下����, 處理進(jìn)入步驟S106,該輸入數(shù)據(jù)包的等級(jí)被設(shè)定為0(零)。另一方面���,在判定為滿足必須條 件的情況下�����,處理進(jìn)入步驟S107����。
[0116] 步驟S107中,等級(jí)被分配到輸入數(shù)據(jù)包所涉及的終端的階段中�。評(píng)價(jià)值取得部252 對(duì)于輸入數(shù)據(jù)包,取得被判定為符合的通信模式Pn-m中被預(yù)先定義的等級(jí)Gr (Pn-m )�����,并作 為終端(h)的階段Pn(h)的等級(jí)Gr(h����,Pn-m)。其后���,處理進(jìn)入步驟S108��。
[0117] 步驟S108中�,對(duì)輸入數(shù)據(jù)包是否與在過去檢測(cè)出的通信模式的必須條件符合進(jìn)行 判定����。換句話說,在步驟S108中��,從在過去取得的通信(先行數(shù)據(jù)包)來看,在相當(dāng)于未來的 當(dāng)前時(shí)刻����,對(duì)是否檢測(cè)出與必須條件符合的通信(輸入數(shù)據(jù)包)進(jìn)行判定。評(píng)價(jià)值取得部252 對(duì)在過去是否檢測(cè)出輸入數(shù)據(jù)包的通信模式被設(shè)定為必須條件的通信模式進(jìn)行判定����。作為 判定的結(jié)果,判定為在過去沒有檢測(cè)出將輸入數(shù)據(jù)包所涉及的通信模式作為必須條件的通 信模式的情況下����,處理進(jìn)入步驟sill�。另一方面,作為判定的結(jié)果���,判定為在過去檢測(cè)出將 輸入數(shù)據(jù)包所涉及的通信模式作為必須條件的通信模式的情況下����,處理進(jìn)入步驟S110�����。
[0118]步驟S110中���,對(duì)過去取得的通信(先行數(shù)據(jù)包)的階段分配等級(jí)���。評(píng)價(jià)值取得部 252,對(duì)于在過去檢測(cè)出的通信�,取得該通信模式(Pn-m)中被預(yù)先定義的等級(jí)Gr(Pn-m)并分 配�。其后,處理進(jìn)入步驟S111��。
[0119]步驟S111及步驟S112中���,在與輸入數(shù)據(jù)包對(duì)應(yīng)的通信模式中設(shè)定有等級(jí)校正條件 的情況下���,對(duì)在過去是否取得與等級(jí)校正條件符合的通信進(jìn)行判定。在設(shè)定有等級(jí)校正條 件的情況下�,處理進(jìn)入步驟S114。這里��,等級(jí)校正條件是用于判定是否應(yīng)該將對(duì)于判定為在 步驟S101中與輸入數(shù)據(jù)包對(duì)應(yīng)的通信模式(Pn-m)被預(yù)先設(shè)定的等級(jí)Gr(Pn-m)校正為更大 的值的條件���。校正部253判定與等級(jí)校正條件符合的通信對(duì)于輸入數(shù)據(jù)包所涉及的終端在 過去是否被檢測(cè)出��。在判定為沒有滿足等級(jí)校正條件的情況下��,不進(jìn)行等級(jí)的校正�����,處理進(jìn) 入步驟S114���。另一方面��,在判定為滿足必須條件的情況下����,處理進(jìn)入步驟S113��。
[0120] 步驟S113中�,進(jìn)行等級(jí)的校正����。校正部253對(duì)于步驟S112中判定為滿足的等級(jí)校正 條件,按照預(yù)先設(shè)定的校正值�����,對(duì)步驟S107中分配的等級(jí)Gr (h�,Pn-m)進(jìn)行校正。例如���,校正 值為1.5的情況下�,等級(jí)Gr(h,Pn-m)的值變?yōu)?.5倍��。其后�,處理進(jìn)入步驟S114。
[0121] 步驟S114中��,對(duì)輸入數(shù)據(jù)包是否與在過去檢測(cè)出的通信模式的等級(jí)校正條件符合 進(jìn)行判定�����。換句話說��,步驟S114中����,從在過去取得的通信(先行數(shù)據(jù)包)來看,在相當(dāng)于未來 的當(dāng)前時(shí)刻�,對(duì)與等級(jí)校正條件符合的通信(輸入數(shù)據(jù)包)是否被檢測(cè)出進(jìn)行判定。校正部 253對(duì)在過去是否檢測(cè)出輸入數(shù)據(jù)包的通信模式被設(shè)定為等級(jí)校正條件的通信模式進(jìn)行判 定����。作為判定的結(jié)果,判定為在過去沒有檢測(cè)出將輸入數(shù)據(jù)包所涉及的通信模式作為等級(jí) 校正條件的通信模式的情況下,處理進(jìn)入步驟S117����。另一方面,作為判定的結(jié)果�����,判定為在 過去檢測(cè)出將輸入數(shù)據(jù)包所涉及的通信模式作為等級(jí)校正條件的通信模式的情況下�����,處理 進(jìn)入步驟S116��。
[0122] 步驟S116中�,進(jìn)行過去的通信(先行數(shù)據(jù)包)所涉及的等級(jí)的校正。校正部253對(duì)被 分配到在過去被檢測(cè)出的通信模式所涉及的終端的等級(jí)�����,用對(duì)于該等級(jí)校正條件而被預(yù)先 定義的校正值來進(jìn)行校正��。例如�,在校正值為1.5的情況下�,等級(jí)變?yōu)?.5倍。其后,處理進(jìn)入 步驟S117�����。
[0123] 步驟S117到步驟S120中��,進(jìn)行各個(gè)階段的最大等級(jí)的更新處理���。首先���,網(wǎng)絡(luò)監(jiān)視裝 置20對(duì)于輸入數(shù)據(jù)包所涉及的終端,從等級(jí)管理表格取得(步驟S117)針對(duì)各檢測(cè)階段(P1 到P8)保持的最大等級(jí)(對(duì)于進(jìn)行校正的等級(jí)是校正后的值)并通過與步驟S101到步驟S116 的處理后由確定部254確定的等級(jí)進(jìn)行比較��,在各階段中���,判定最大等級(jí)是否被更新(步驟 S118)���。這里,在判定為最大等級(jí)沒有被更新的情況下�,處理進(jìn)入步驟S121。另一方面�����,在判 定為最大等級(jí)被更新的情況下,保持部255用新分配的等級(jí)來對(duì)等級(jí)管理表格中記錄的最 大等級(jí)進(jìn)行更新并對(duì)其進(jìn)行保持(步驟S120)���。此外�,在該過程中����,證跡日志被采集選取(步 驟S119)。其后�����,處理進(jìn)入步驟S121���。
[0124] 步驟S121中�,計(jì)算出終端中的惡意軟件活動(dòng)可能性����。合計(jì)部256對(duì)該終端h的各階 段中求出的最大等級(jí)進(jìn)行合算,判定部257通過對(duì)惡意軟件活動(dòng)系數(shù)進(jìn)行乘算�,計(jì)算出終端 h的惡意軟件活動(dòng)可能性IR(h)。詳細(xì)的計(jì)算方法是在合計(jì)部256及判定部257的說明中如前 上述那樣����。其后,處理進(jìn)入步驟S122����。
[0125] 步驟S122及步驟S123中,對(duì)象90的�、惡意軟件感染的有無被判定。判定部257對(duì)步 驟S121中計(jì)算出的惡意軟件活動(dòng)可能性IR(h)是否超過規(guī)定的閾值進(jìn)行判定(步驟S122)�����。 這里�����,在判定為惡意軟件活動(dòng)可能性IR(h)超過閾值的情況下���,網(wǎng)絡(luò)監(jiān)視裝置20進(jìn)行惡意軟 件感染被檢測(cè)出時(shí)的規(guī)定的應(yīng)對(duì)����。作為惡意軟件感染被檢測(cè)出時(shí)的應(yīng)對(duì)���,例如����,例舉有基于 通信阻斷部22的該節(jié)點(diǎn)90的通信阻斷開始、或該節(jié)點(diǎn)90感染惡意軟件的警報(bào)(警告)的通知 等����。另一方面,在判定為惡意軟件活動(dòng)可能性IR(h)沒有超過閾值的情況下�,不進(jìn)行通信阻 斷或警告等的、惡意軟件感染被檢測(cè)出時(shí)的對(duì)應(yīng)�。其后,本流程圖所示的處理結(jié)束����。
[0126] 此外,網(wǎng)絡(luò)監(jiān)視裝置20可以使用例如放棄從L2/L3開關(guān)取得的通信數(shù)據(jù)的方法�、阻 斷L2/L3開關(guān)的端口的方法、對(duì)于節(jié)點(diǎn)90進(jìn)行基于ARP偽裝的數(shù)據(jù)包發(fā)送目的地的誘導(dǎo)的方 法���、或者指示路由器10并使節(jié)點(diǎn)90所涉及的通信毀棄的方法��、或者變更并隔離節(jié)點(diǎn)90所屬 的VLAN的方法等�����,對(duì)基于節(jié)點(diǎn)90的通信進(jìn)行阻斷��。另外���,在網(wǎng)絡(luò)監(jiān)視裝置20被裝載(內(nèi)包)于 路由器10中的情況下,也可以直接對(duì)節(jié)點(diǎn)90接收或發(fā)送的通信進(jìn)行阻斷�。另外,網(wǎng)絡(luò)監(jiān)視裝 置20可以使用將通知數(shù)據(jù)包或郵件等發(fā)送到管理服務(wù)器或節(jié)點(diǎn)90��、預(yù)先設(shè)定的管理者終端 等的方法�����、或者通過被設(shè)置于網(wǎng)絡(luò)監(jiān)視裝置20自身的顯示裝置(顯示器或LED等)來進(jìn)行警 告顯示的方法等�����,通知警報(bào)�����。
[0127] 〈相關(guān)分析的具體例〉
[0128] 下面����,對(duì)相關(guān)分析的具體實(shí)例進(jìn)行說明。但是�,相關(guān)分析是根據(jù)伴隨惡意軟件活動(dòng) 的階段轉(zhuǎn)換的觀點(diǎn)來分析終端的多個(gè)通信是否具有相關(guān)性即可,其并不被限定為本實(shí)施方 式所示的示例���。
[0129] (1)第一相關(guān)分析
[0130]通信模式的判定處理(參見步驟S006)基于預(yù)先定義的"通信模式"���。因此�,僅在該 處理中���,不能檢測(cè)進(jìn)行與通信模式不一致的通信的惡意軟件�。因而��,在本實(shí)施方式中����,決定 為進(jìn)行第一相關(guān)分析(參見步驟S007)。
[0131] 圖9是示出在本實(shí)施方式中的第一相關(guān)分析中作為監(jiān)視對(duì)象的活動(dòng)轉(zhuǎn)換模型上的 階段及其轉(zhuǎn)換的圖�。一般來說,惡意軟件按照來自于C&C服務(wù)器的指令����,轉(zhuǎn)換到探索階段P2、 感染���、浸潤階段P3����、執(zhí)行文件的下載階段P4或攻擊活動(dòng)階段P8。另外�����,接收來自于C&C服務(wù)器 的指令之后���,轉(zhuǎn)換到探索階段P2、感染�、浸潤階段P3、執(zhí)行文件的下載階段P4或攻擊活動(dòng)階 段P8為止的時(shí)間通常非常的短(1秒以內(nèi))�。第一相關(guān)分析中,利用該特性����,在終端(h)轉(zhuǎn)換到 探索階段P2、感染�����、浸潤階段P3���、執(zhí)行文件的下載階段P4或攻擊活動(dòng)階段P8時(shí)����,暫時(shí)將成為 觸發(fā)的通信當(dāng)作C&C通信,并將該通信所涉及的終端注冊(cè)到C&C服務(wù)器候選列表��。注冊(cè)到C&C 服務(wù)器候選列表后���,對(duì)惡意軟件的感染進(jìn)行特定的處理遵從如上所示的惡意軟件的檢測(cè)方 法��。
[0132] (1.1)準(zhǔn)備(評(píng)價(jià)信息的收集)
[0133] 第一相關(guān)分析中����,活動(dòng)轉(zhuǎn)換模型上的探索階段P2���、感染��、浸潤階段P3�����、執(zhí)行文件的 下載階段P4或攻擊活動(dòng)階段P8中的活動(dòng)被觀測(cè)到(通信模式被檢測(cè)出)時(shí)�,分析成為該觸發(fā) 的通信���,在滿足一定條件的情況下����,將成為該觸發(fā)的通信的發(fā)送源(從終端(h)來看的話是 連接目的地)作為C&C服務(wù)器候選注冊(cè)到列表。下面�����,對(duì)第一相關(guān)分析中利用的信息的收集 方法與記錄內(nèi)容進(jìn)行說明�。此外,每當(dāng)對(duì)監(jiān)視對(duì)象終端發(fā)送的數(shù)據(jù)包進(jìn)行檢測(cè)時(shí)執(zhí)行下面 的處理��。另外���,在通信模式的判定處理(參照步驟S006)結(jié)束后執(zhí)行該準(zhǔn)備(評(píng)價(jià)信息的收 集)處理。
[0134] (1.1.1)分析
[0135] 分析數(shù)據(jù)包���,在滿足下面的條件的情況下進(jìn)入(1.1.2)的等待數(shù)據(jù)包��。在不滿足條 件的情況下什么也不做�����,等待數(shù)據(jù)包����。
[0136] ?數(shù)據(jù)包是終端(h)發(fā)送的HTTP GET、P0ST��、C0NNECT請(qǐng)求中的任一個(gè)���。并且
[0137] ? GET請(qǐng)求不是文件的下載要求���。并且
[0138] ? User-Agent頭部的值不以"Mozilla"開始,或者User-Agent頭部不存在����。
[0139] 此外,上述的User-Agent的條件意味著僅將網(wǎng)絡(luò)瀏覽器以外的應(yīng)用程序發(fā)送的 HTTP請(qǐng)求作為評(píng)價(jià)對(duì)象�。因?yàn)?偽裝)網(wǎng)絡(luò)瀏覽器通信在通信模式的判定處理中成為評(píng)價(jià)對(duì) 象,所以在第一相關(guān)分析中僅非網(wǎng)絡(luò)瀏覽器通行成為對(duì)象�����。然后��,不滿足上述條件的情況 下����,下面的信息被記錄在終端(h)的管理表格中。
[0140] ?方法類別(6£1'��、?051'����、卩1]1'、〇)順£(:1'中的任一個(gè))
[0141] ? User-Agent頭部的值(字符串hUser-Agent頭部不存在的話是"NULL"
[0142] ? Host頭部的值(FQDN或IP地址)
[0143] (1.1.2)等候數(shù)據(jù)包
[0144] 這里���,后續(xù)的數(shù)據(jù)包被等候����。一旦接收數(shù)據(jù)包���,就進(jìn)行下面的處理����。
[0145] ?數(shù)據(jù)包是滿足(1.1.1)的條件的終端(h)發(fā)送的新的HTTP請(qǐng)求的情況下����,處理返 回(1.1.1)的分析����。此外,作為HTTP請(qǐng)求及其響應(yīng)�,雖然僅最新的數(shù)據(jù)的時(shí)間標(biāo)識(shí)是必要的, 但是因?yàn)橛锌赡馨l(fā)生數(shù)據(jù)包丟失,所以也可以在接收所有的HTTP響應(yīng)時(shí)記錄時(shí)間標(biāo)識(shí)��,并 在接收到后續(xù)的響應(yīng)時(shí)進(jìn)行覆寫�����。
[0146] ?數(shù)據(jù)包是終端(h)在(1.1.1)中發(fā)送的HTTP請(qǐng)求的響應(yīng)且HTTP響應(yīng)的主體部分 的大小為〇的情況下����,處理轉(zhuǎn)移到(1.1.1)。這是因?yàn)樵贖TTP響應(yīng)的主力部分的大小為0的情 況下�����,意味著不包含來自C&C服務(wù)器的指令信息�。
[0147] ?數(shù)據(jù)包是終端(h)在(1.1.1)中發(fā)送的HTTP請(qǐng)求的響應(yīng)。并且在HTTP響應(yīng)的主體 部分的大小不為〇情況下�����,記錄在下面示出的內(nèi)容���,處理轉(zhuǎn)移到(1.1.3)�����。
[0148] ?記錄HTTP響應(yīng)數(shù)據(jù)包的檢測(cè)(接收)時(shí)刻(時(shí)間標(biāo)識(shí):毫秒)��。以后���,用"TimeStamp (C)"表示該時(shí)間標(biāo)識(shí)�。此外���,在這里��,雖然僅HTTP響應(yīng)的最終數(shù)據(jù)的時(shí)間標(biāo)識(shí)是必要的�����,但 因?yàn)橛锌赡馨l(fā)生數(shù)據(jù)包丟失����,所以在接收所有的HTTP響應(yīng)時(shí)記錄時(shí)間標(biāo)識(shí)�,并在接收到后 續(xù)的響應(yīng)時(shí)進(jìn)行覆寫�����。
[0149] (1.1.3)判定
[0150]在這里,進(jìn)行下面的判定及處理���。
[0151] ?在(1.1.2)中處理的數(shù)據(jù)包不是HTTP響應(yīng)的最終數(shù)據(jù)的情況下,惡意軟件行為 引擎25停留于(1.1.2),等候后續(xù)的響應(yīng)����。
[0152] ?在(1.1.2)中處理的數(shù)據(jù)包是HTTP響應(yīng)的最終數(shù)據(jù)的情況下,惡意軟件行為引 擎25移往(1.1.1)的分析���,等候新的HTTP請(qǐng)求�����。
[0153] (1.2)向探索階段P2轉(zhuǎn)換時(shí)的處理內(nèi)容
[0154]惡意軟件行為檢測(cè)引擎25依次進(jìn)行下面的處理�,在滿足條件的情況下��,將"準(zhǔn)備 (評(píng)價(jià)信息的收集)"中記錄的數(shù)據(jù)包所涉及的終端注冊(cè)到C&C服務(wù)器候選列表中���。
[0155] ?探索階段P2上的活動(dòng)與認(rèn)定(與"探索階段P2的通信模式"一致)并且
[0156] ?向探索階段P2轉(zhuǎn)換的時(shí)刻(時(shí)間標(biāo)識(shí):TimeStamp(P2))與記錄的TimeStamp(C) 滿足下面的條件。
[0157] TimeStamp(C)+500ms>TimeStamp(P2)
[0158] 惡意軟件行為檢測(cè)引擎25將等級(jí)(Gr) =0.3賦予到滿足上述條件的"準(zhǔn)備(評(píng)價(jià)信 息的收集)"中記錄的通信(輸入數(shù)據(jù)包)中。與記錄的C&C通信階段的等級(jí)(PGr)進(jìn)行比較��, 將較大的值的等級(jí)作為C&C通信階段的等級(jí)(PGr)進(jìn)行重新記錄�。此外�,在通信模式的判定 處理中��,在檢測(cè)出"探索階段P2的通信模式"時(shí)記錄TimeStamp(P2)����。TimeStamp(P2)的計(jì)測(cè) 對(duì)象僅是探索、感染階段上的符合于"可疑的連接嘗試"的通信模式���。另外���,通信模式的觀測(cè) 時(shí)刻作為檢測(cè)出符合于"可疑的連接嘗試"的通信模式的時(shí)刻。
[0159] (1.3)向執(zhí)行文件的下載階段P4轉(zhuǎn)換時(shí)的處理內(nèi)容
[0160]惡意軟件行為檢測(cè)引擎25依次進(jìn)行下面的處理����,在滿足條件的情況下,將"準(zhǔn)備 (評(píng)價(jià)信息的收集)"中記錄的數(shù)據(jù)包所涉及的終端登記到C&C服務(wù)器候選列表�。
[0161] ?執(zhí)行文件的下載階段P4上的活動(dòng)與認(rèn)定(與"執(zhí)行文件的下載階段P4的通信模 式" 一致)并且
[0162] ?向執(zhí)行文件的下載階段P4轉(zhuǎn)換的時(shí)刻(時(shí)間標(biāo)識(shí):TimeStamp (P4))與記錄的 TimeStamp(C)滿足下面的條件�。
[0163] TimeStamp(C)+500ms>TimeStamp(P4)
[0164] 惡意軟件行為檢測(cè)引擎25將等級(jí)(Gr) =0.3賦予到滿足上述條件的"準(zhǔn)備(評(píng)價(jià)信 息的收集)"中記錄的通信中���。與記錄的C&C通信階段的等級(jí)(PGr)進(jìn)行比較����,將較大的值的 等級(jí)作為C&C通信階段的等級(jí)(PGr)進(jìn)行重新記錄。此外�,在通信模式的判定處理中����,在檢測(cè) 出"執(zhí)行文件的下載階段P4的通信模式"時(shí)記錄TimeStamp(P4)����。TimeStamp(P4)不是HTTP GET請(qǐng)求�、FTP下載��、TFTP下載的開始時(shí)刻�,而是作為文件的下載結(jié)束的時(shí)刻(HTTP GET的情 況是響應(yīng)的最終數(shù)據(jù)包)。因?yàn)榘l(fā)生數(shù)據(jù)包丟失����,所以也可以在檢測(cè)HTTP GET響應(yīng)的各個(gè)數(shù) 據(jù)包、FTP/TFTP的下載數(shù)據(jù)包時(shí)更新TimeStamp (P4)�。
[0165] (1.4)向攻擊階段P8轉(zhuǎn)換時(shí)的處理內(nèi)容
[0166] 惡意軟件行為檢測(cè)引擎25依次進(jìn)行下面的處理���,在滿足條件的情況下,將"準(zhǔn)備 (評(píng)價(jià)信息的收集)"中記錄的數(shù)據(jù)包所涉及的終端注冊(cè)到C&C服務(wù)器候選列表����。
[0167] ?攻擊階段P8上的活動(dòng)與認(rèn)定(與"攻擊階段P8的通信模式"一致)并且
[0168] ?向攻擊階段P8轉(zhuǎn)換的時(shí)刻(時(shí)間標(biāo)識(shí):TimeStamp(P8))與記錄的TimeStamp(C) 滿足下面的條件。
[0169] TimeStamp(C)+500ms>TimeStamp(P8)
[0170] 惡意軟件行為檢測(cè)引擎25將等級(jí)(Gr) =0.3賦予到滿足上述條件的"準(zhǔn)備(評(píng)價(jià)信 息的收集)"中記錄的通信中��。與記錄的C&C通信階段的等級(jí)(PGr)進(jìn)行比較����,將較大的值的 等級(jí)作為C&C通信階段的等級(jí)(PGr)進(jìn)行重新記錄。此外��,在通信模式的判定處理中�����,在檢測(cè) 出"攻擊階段?8的通信模式"時(shí)記錄!';[11163七311^(?8)。1';[11163七311^(?8)不是(最終從多個(gè)數(shù)據(jù) 包)認(rèn)定攻擊活動(dòng)的時(shí)刻���,而是檢測(cè)出攻擊的通信模式的最初的數(shù)據(jù)包的時(shí)刻����。
[0171] (2)第二相關(guān)分析
[0172] 惡意軟件轉(zhuǎn)換惡意軟件活動(dòng)轉(zhuǎn)換模型的階段的同時(shí)使活動(dòng)深化���。因此,在剛轉(zhuǎn)換 之后的階段中的活動(dòng)(通信)將前一個(gè)的階段中的活動(dòng)(通信)作為觸發(fā)而發(fā)生的可能性較 高的情況下(換句話說����,前后的階段中具有相關(guān)性的情況),可以判斷為該終端感染惡意軟 件的概率較高�。雖然也考慮到根據(jù)包含于通信模式中的數(shù)據(jù)內(nèi)容(例如,來自于C&C服務(wù)器 的指令內(nèi)容)來判斷該觸發(fā)的方法�����,但是將數(shù)據(jù)部分加密化或難解化的惡意軟件也很多���,實(shí) 時(shí)地解析�����、判定較為困難���。因此���,在本實(shí)施方式中,基于階段的轉(zhuǎn)換所需要的時(shí)間(檢測(cè)出通 信模式Pr-s之后到檢測(cè)出通信模式Pm-n的為止的時(shí)間)�����、通信目的地(回叫通信)的終端 (h)�、惡意軟件感染的可能性較高的多個(gè)終端的舉動(dòng)的相關(guān)性及一致性、處理的文件的種類 等的信息來進(jìn)行相關(guān)分析(參照步驟S008)��。作為分析的結(jié)果�����,在判定為惡意軟件的舉動(dòng)的 懷疑較高的通信的情況下�,對(duì)與該通信對(duì)應(yīng)的通信模式Pn-m的等級(jí)Gr(Pm-n)進(jìn)行校正(惡 意軟件的舉動(dòng)類似系數(shù)9倍),并賦予更高的等級(jí)�。
[0173] 下面,對(duì)通信模式的相關(guān)分析的分析內(nèi)容進(jìn)行說明�。此外,階段的轉(zhuǎn)換順序不一致 的情況下��,或階段的轉(zhuǎn)換一致但過程中夾有其他的階段的情況下,作為分析對(duì)象之外而不 進(jìn)行相關(guān)分析���。另外��,惡意軟件行為檢測(cè)引擎25不將所有的階段轉(zhuǎn)換作為相關(guān)分析的對(duì)象��。 惡意軟件行為檢測(cè)引擎25將作為惡意軟件的舉動(dòng)而觀測(cè)到顯著的相關(guān)性的以下的階段轉(zhuǎn) 換作為相關(guān)分析的對(duì)象�����。圖10到圖15中�����,實(shí)線箭頭表示分析對(duì)象,虛線箭頭表示非分析對(duì) 象��。
[0174] (2.1)向探索階段P2轉(zhuǎn)換時(shí)的分析內(nèi)容
[0175]圖10是示出在本實(shí)施方式中的第二相關(guān)分析中作為監(jiān)視對(duì)象的�、向探索階段P2的 轉(zhuǎn)換的圖。在"惡意軟件的活動(dòng)階段判定"處理塊中����,在終端(h)向探索階段P2轉(zhuǎn)換時(shí),惡意 軟件行為檢測(cè)引擎25進(jìn)行下面的分析��,在符合的情況下,校正通信模式的等級(jí)���。
[0176] (2.1 ? 1)從C&C通信階段P6向探索階段P2轉(zhuǎn)換
[0177] if{條件 A = TRUE} then{Gr(h���,P2_m) = 9 ? Gr(h,P2_m)} (9 = 1 ? 2)
[0178] ?條件A:在被注冊(cè)到終端(h)的C&C服務(wù)器候選列表的C&C服務(wù)器中的任一個(gè)處觀 測(cè)數(shù)據(jù)通信(從C&C服務(wù)器接收一些數(shù)據(jù)(指令))之后����,在N(a)秒以內(nèi)在終端(h)觀測(cè)了探索 階段的通信模式P2_m。
[0179] 此外�����,在這里����,從C&C服務(wù)器接收到數(shù)據(jù)(指令)的時(shí)刻作為觀測(cè)到下面的數(shù)據(jù)包的 時(shí)刻。
[0180] ?在C&C是HTTP類型的情況下���,與HTTP GET/P0ST/PUT請(qǐng)求對(duì)應(yīng)的����、數(shù)據(jù)長度(主體 部分的大小)不為〇的HTTP響應(yīng)(最終)數(shù)據(jù)的接收時(shí)刻
[0181] ?在C&C為HTTPS(直接或⑶NNECT)或獨(dú)立協(xié)議類型的情況下�����,在該TCP連接上,與 終端(h)發(fā)送的數(shù)據(jù)包對(duì)應(yīng)的�����、數(shù)據(jù)長度不為0(最終)TCP數(shù)據(jù)的接收時(shí)刻
[0182] ?在C&C為IRC類型的情況下�����,來自C&C服務(wù)器數(shù)據(jù)長度不為0的IRC消息的最終數(shù) 據(jù)的接收時(shí)刻
[0183] 這里�����,探索階段的通信模式P2_m僅將符合于"可疑的連接嘗試"的通信模式作為對(duì) 象��。另外�,通信模式的觀測(cè)時(shí)刻作為檢測(cè)出符合"可疑的連接嘗試"的通信模式的時(shí)刻�����。
[0184] (2.2)向執(zhí)行文件的下載階段P4轉(zhuǎn)換時(shí)的分析內(nèi)容
[0185] 圖11是示出在本實(shí)施方式中的第二相關(guān)分析中作為監(jiān)視對(duì)象的����、向執(zhí)行文件的下 載階段P4轉(zhuǎn)換的圖�。在"惡意軟件活動(dòng)階段判定"處理塊中���,在終端(h)轉(zhuǎn)換到執(zhí)行文件的下 載階段P4時(shí)����,惡意軟件行為檢測(cè)引擎25進(jìn)行下面的分析�����,在符合的情況下�����,校正通信模式的 等級(jí)���。
[0186] (2.2.1)從探索階段P2向執(zhí)行文件的下載階段P4轉(zhuǎn)換
[0187] if{條件 A = TRUE} then{Gr(h��,P4_m) = 9 ? Gr(h����,P4_m)} (9 = 1 ? 5)
[0188] if{條件 B = TRUE} then{Gr(h���,P4_m) = 9 ? Gr(h����,P4_m)} (9 = 1 ? 2)
[0189] ?條件A:在終端(h)觀測(cè)執(zhí)行文件的下載的通信模式P4-m,且P4-m的連接目的地 (目的地IP/FQDN)與感染源終端(k)一致�����。
[0190] ?條件B:在終端(h)觀測(cè)執(zhí)行文件的下載的通信模式P4-m����,且P4-m的連接目的地 (目的地IP/FQDN)與被注冊(cè)到惡意軟件發(fā)布服務(wù)器候選列表的服務(wù)器中的某一個(gè)一致。
[0191] 此外��,因?yàn)榇嬖诓幌薅ㄓ诟腥緪阂廛浖笤谝欢〞r(shí)間內(nèi)下載執(zhí)行文件的情況 (有10秒后進(jìn)行下載的情況�,也有在3天后進(jìn)行下載的情況),所以在從階段P2向階段P3的轉(zhuǎn) 換中��,沒有加入與時(shí)間相關(guān)的條件�����。
[0192 ] (2.2.2)從C&C通信階段P6向執(zhí)行文件的下載階段P4轉(zhuǎn)換
[0193] if{條件 C = TRUE} then{Gr(h����,P4_m) = 9 ? Gr(h����,P4_m)} (9 = 1 ? 2)
[0194] if{條件 D = TRUE} then{Gr(h�,P4_m) = 9 ? Gr(h���,P4_m)} (9 = 1 ? 5)
[0195] ?條件C:在被注冊(cè)到終端(h)的C&C服務(wù)器候選列表的C&C服務(wù)器中的任一個(gè)處觀 測(cè)數(shù)據(jù)通信(從C&C服務(wù)器接收一些數(shù)據(jù))之后���,在N(b)秒之內(nèi)在終端(h)觀測(cè)了執(zhí)行文件的 下載階段的通信模式P4_m。
[0196] ?條件D:條件C����,且P4-m的連接目的地(目的地IP/FQDN)與被注冊(cè)到惡意軟件發(fā)布 服務(wù)器候選列表的服務(wù)器中的某一個(gè)一致。
[0197] 此外����,從C&C服務(wù)器接收到數(shù)據(jù)(指令)的時(shí)刻參照"(2.1)向探索階段P2轉(zhuǎn)換時(shí)的 分析內(nèi)容"。另外���,執(zhí)行文件的下載階段的通信模式P4-m的觀測(cè)時(shí)刻不是HTTP GET請(qǐng)求���、FTP 下載、TFTP下載的開始時(shí)刻����,而是作為文件的下載結(jié)束的時(shí)刻(HTTP GET的情況是響應(yīng)的最 終數(shù)據(jù)包)�����。因?yàn)榘l(fā)生數(shù)據(jù)包丟失���,所以也可以在每次檢測(cè)HTTP GET響應(yīng)的各個(gè)數(shù)據(jù)包、 FTP/TFTP的下載數(shù)據(jù)包時(shí)更新時(shí)刻�����。
[0198] (2.2.3)從侵入階段P1向執(zhí)行文件的下載階段P4轉(zhuǎn)換
[0199] 在"惡意軟件的活動(dòng)階段判定"處理框中�����,在終端(h)轉(zhuǎn)換到執(zhí)行文件的下載階段 P4時(shí)�����,進(jìn)行下面說明的相關(guān)分析�,在判定為存在相關(guān)性的情況下,校正活動(dòng)通信模式的等 級(jí)���,判定為感染上惡意軟件(受到路過式下載攻擊)(參照?qǐng)D5至圖8)���。基于映射到侵入階段 P1的通信Pl-n與映射到執(zhí)行文件的下載階段P4的通信P4-m的連續(xù)性和關(guān)聯(lián)性來判定有沒 有相關(guān)性�。此處,根據(jù)連接的同一性��、檢測(cè)時(shí)刻的接近度���、有沒有在2個(gè)通信模式Pl-n與P4-m 之間檢測(cè)到的其他數(shù)據(jù)包等來判定連續(xù)性��,根據(jù)目的地服務(wù)器的地址�、目的地服務(wù)器的信 息的共同性等來判定關(guān)聯(lián)性���。
[0200] 圖12是示出在本實(shí)施方式中的�、用于判定侵入階段P1所涉及的通信與執(zhí)行文件的 下載階段P4所涉及的通信的相關(guān)性的相關(guān)分析處理的流程的流程圖�����。本流程圖所示的處理 相當(dāng)于使用圖6和圖7來說明了的惡意軟件行為檢測(cè)引擎的步驟S111至步驟S116的處理��,在 檢測(cè)到映射到侵入階段P1的"惡性內(nèi)容的下載"通信和映射到執(zhí)行文件的下載階段P4的通 信的情況下����,為了檢測(cè)在該終端中進(jìn)行了路過式下載攻擊的情況而被執(zhí)行�����。
[0201]在步驟S701至步驟S703中�,判定是否滿足相關(guān)條件1至3�。在不滿足相關(guān)條件1至3 中的任一個(gè)的情況下,本流程圖所示的處理結(jié)束��。另一方面���,在滿足相關(guān)條件1至3中的某一 個(gè)的情況下�����,處理前進(jìn)到步驟S704��。相關(guān)條件1至3如下所述���。
[0202] 相關(guān)條件1:在終端(h)中檢測(cè)到通信模式Pl_m(m=l~5)后,在與所檢測(cè)到的Pl-m 相同的TCP連接上�,檢測(cè)到通信模式P4-n(n = l~4)。
[0203] if(條件= TRUE)then PGr(h��,Pl)=0.3
[0204] if(條件= TRUE)then Gr(h���,P4_l~P4-4) = 9 ? Gr(h�,P4_l~P4-4)(9 = 2? 0)
[0205] 相關(guān)條件2:緊接著在終端(h)中檢測(cè)到Pl_m(m=l~5)之后,檢測(cè)到具有與所檢測(cè) 到的Pl-m相同的FQDN/IP地址的通信模式P4-n(n = l~4)����。其中�,Pl-m與P4-n的TCP連接不 同。
[0206] if(條件= TRUE)then PGr(h��,Pl)=0.3
[0207] if(條件= TRUE)then Gr(h�����,P4_l~P4-4) = 9 ? Gr(h�,P4_l~P4-4)(9 = 2? 0)
[0208] 相關(guān)條件3:緊接著在終端(h)中檢測(cè)到Pl_m(m=l~5)之后,檢測(cè)具有與所檢測(cè)到 的Pl-m相同的FQDN/IP地址的���、被設(shè)定了 IE或者Java (注冊(cè)商標(biāo))的User-Agent頭部值的正 常的GET請(qǐng)求���,該GET請(qǐng)求是唯--個(gè)的GET請(qǐng)求,并且緊接著上述正常的GET請(qǐng)求(&響應(yīng))之 后�,檢測(cè)到具有與所檢測(cè)到的P1 -m (m = 1~5)相同的FQDN/1P地址的通信模式P4-n (n = 1~ 4)。其中����,Pl-m與P4-n的TCP連接不同�。
[0209] if(條件= TRUE)then PGr(h����,Pl)=0.3
[0210] if(條件= TRUE)then Gr(h,P4_l~P4-4) = 9 ? Gr(h���,P4_l~P4-4)(9 = 2? 0)
[0211] 在步驟S704中��,校正階段PI和階段P4-m的等級(jí)��。校正部253例如進(jìn)行將階段PI的等 級(jí)設(shè)定為0.3��、并且使階段P4-m的等級(jí)變成2.0倍等的校正��。其后��,本流程圖所示的處理結(jié) 束�����,最后����,通過與閾值進(jìn)行比較來判定有沒有惡意軟件感染(路過式下載攻擊)(參照?qǐng)D8所 示的處理)。
[0212] (2.3)向C&C檢索階段P5轉(zhuǎn)換時(shí)的分析內(nèi)容
[0213] 圖13是示出在本實(shí)施方式中的第二相關(guān)分析中作為監(jiān)視對(duì)象的���、向C&C檢索階段 P5轉(zhuǎn)換的圖���。在"惡意軟件的活動(dòng)階段判定"處理塊中,在終端(h)向C&C檢索階段P5轉(zhuǎn)換時(shí)�, 惡意軟件行為檢測(cè)引擎25進(jìn)行下面的分析,在符合的情況下�����,校正通信模式的等級(jí)���。
[0214] (2 ? 3 ? 1)從探索階段P2向C&C檢索階段P5轉(zhuǎn)換
[0215] if{條件 A = TRUE} then{Gr(h,P5_m) = 9 ? Gr(h��,P5_m)} (9 = 1 ? 2)
[0216] ?條件A:在(被感染一側(cè)的)終端(h)觀測(cè)(通信模式P2-9或P2-10的連接目的地終 端一側(cè))感染活動(dòng)之后�,在N(c)秒以內(nèi)在終端(h)觀測(cè)了 C&C檢索階段的通信模式P5-m。
[0217] (2.3.2)從C&C通信階段P6向C&C檢索階段P5轉(zhuǎn)換
[0218] if{條件 B = TRUE} then{Gr(h����,P5_m) = 9 ? Gr(h,P5_m)} (9 = 1 ? 3)
[0219] ?條件B:終端(h)從C&C通信階段P6以一定的周期(時(shí)間)重復(fù)了向C&C檢索階段P5 轉(zhuǎn)換(檢測(cè)出C&C檢索階段P5的通信模式P5-m)�。
[0220]此外�,在本實(shí)施方式中�,在過去3次的轉(zhuǎn)換是大致相同的周期(時(shí)間)的情況下,判 斷為以一定的周期重復(fù)了向C&C檢索階段P5的轉(zhuǎn)換�����。
[0221] (2.4)向C&C通信階段P6轉(zhuǎn)換時(shí)的分析內(nèi)容
[0222]圖14是示出在本實(shí)施方式中的第二相關(guān)分析中作為監(jiān)視對(duì)象的�、向C&C通信階段 P6轉(zhuǎn)換的圖。在"惡意軟件的活動(dòng)階段判定"處理塊中��,終端(h)向C&C通信階段P6轉(zhuǎn)換時(shí)��,惡 意軟件行為檢測(cè)引擎25進(jìn)行下面的分析�,在符合的情況下,校正通信模式的等級(jí)��。
[0223] (2.4.1)從探索階段P2向C&C通信階段P6轉(zhuǎn)換
[0224] if{條件 A = TURE} then{Gr(h�,P6_m) = 9 ? Gr(h,P6_m)} (9 = 1 ? 1)
[0225] if{條件 B = TURE} then{Gr(h����,P6_m) = 9 ? Gr(h,P6_m)} (9 = 1 ? 2)
[0226] if{條件 C = TURE} then{Gr(h���,P6_m) = 9 ? Gr(h��,P6_m)} (9 = 1 ? 5)
[0227] ?條件A:在終端(h)觀測(cè)(通信模式P2-9或P2-10的感染目的地終端一側(cè))感染活 動(dòng)之后�,在N( d)秒以內(nèi)在終端(h)觀測(cè)了 C&C通信階段P6的通信模式P6-m。
[0228] ?條件B:條件A�,且P6-m的連接目的地(目的地IP/FQDN)與被注冊(cè)到(任意的監(jiān)視 對(duì)象終端的)C&C服務(wù)器候選列表的C&C服務(wù)器中的任一個(gè)一致。
[0229] ?條件C:條件A���,且P6-m的連接目的地(目的地IP/FQDN)與被注冊(cè)到感染源終端 (k)的C&C服務(wù)器候選列表的C&C服務(wù)器中的任一個(gè)一致����。
[0230] (2.4.2)從執(zhí)行文件的下載階段?4向0&(:通信階段?6轉(zhuǎn)換
[0231 ] if{條件D = TRUE}then{Gr(h����,P6_m) = 9 ? Gr(h����,P6_m)} (9 = 1 ? 1)
[0232] if{條件 E = TRUE} then{Gr(h,P6_m) = 9 ? Gr(h����,P6_m)} (9 = 1 ? 2)
[0233] if{條件 F = TRUE} then{Gr(h,P6_m) = 9 ? Gr(h��,P6_m)} (9 = 1 ? 3)
[0234] ?條件D:在終端(h)觀測(cè)執(zhí)行文件的下載的通信模式P4-m之后,在N( e)秒以內(nèi)在 終端(h)觀測(cè)了 C&C通信階段的通信模式P6-m��。
[0235] ?條件E:條件D���,且P6-m的連接目的地(目的地IP/FQDN)與被注冊(cè)到(任意的監(jiān)視 對(duì)象終端的)C&C服務(wù)器候選列表的C&C服務(wù)器中的某一個(gè)一致�。
[0236] ?條件F:條件D����,且P6-m的連接目的地(目的地IP/FQDN)與已經(jīng)被注冊(cè)到終端(h) 的C&C服務(wù)器候選列表的C&C服務(wù)器中的某一個(gè)一致。
[0237] (2.4.3)從0&(:檢索階段?5向0&(:通信階段?6轉(zhuǎn)換
[0238] if{條件 G = TRUE} then{Gr(h�,P6_m) = 9 ? Gr(h,P6_m)} (9 = 1 ? 2)
[0239] ?條件G:在終端(h)觀測(cè)C&C檢索階段的通信模式P5_m之后�����,在N( f)秒以內(nèi)在終端 (h)觀測(cè)C&C通信階段的通信模式P6-m���,且P6-m的連接目的地(目的地IP/FQDN)與被注冊(cè)到 (任意的監(jiān)視對(duì)象終端的)C&C服務(wù)器候選列表的C&C服務(wù)器中的某一個(gè)一致�。
[0240] (2.5)向攻擊階段P8轉(zhuǎn)換時(shí)的分析內(nèi)容
[0241 ]圖15是示出在本實(shí)施方式中的第二相關(guān)分析中作為監(jiān)視對(duì)象的�、向攻擊階段P8轉(zhuǎn) 換的圖。在"惡意軟件的活動(dòng)階段判定"處理塊中��,在終端(h)向C&C通信階段P6轉(zhuǎn)換時(shí)���,惡意 軟件行為檢測(cè)引擎25進(jìn)行下面的分析��,在符合的情況下�,校正通信模式的等級(jí)。
[0242] (2.5.1)從執(zhí)行文件的下載階段P4向攻擊階段P8轉(zhuǎn)換
[0243] if{條件 A = TRUE} then{Gr(h�����,P8_m) = 9 ? Gr(h�,P8_m)} (9 = 1 ? 2)
[0244] ?條件A:在終端(h)觀測(cè)執(zhí)行文件的下載的通信模式P4-m之后,在N( g)秒以內(nèi)在 終端(h)觀測(cè)了攻擊階段的通信模式P8-m��。
[0245] (2.5.2)從C&C通信階段P6向攻擊階段P8轉(zhuǎn)換
[0246] if{條件 B = TRUE} then{Gr(h����,P8_m) = 9 ? Gr(h,P8_m)} (9 = 1 ? 2)
[0247] if{條件 C = TRUE} then{Gr(h�����,P8_m) = 9 ? Gr(h�,P8_m)} (9 = 1 ? 5)
[0248] ?條件B:在被注冊(cè)到終端(h)的C&C服務(wù)器候選列表的C&C服務(wù)器中的任一個(gè)處觀 測(cè)數(shù)據(jù)通信(從C&C服務(wù)器接收一些數(shù)據(jù)(指令))之后�����,在N(h)秒之內(nèi)在終端(h)觀測(cè)了攻擊 階段的通信模式P8-m。
[0249] ?條件C:檢測(cè)出了滿足條件B的兩臺(tái)以上的終端��。(沒有必要同時(shí)發(fā)生)
[0250] (3)用于職能推定的相關(guān)分析
[0251] 在目標(biāo)型攻擊中使用的攻擊方法中�,為了使對(duì)在組織內(nèi)的攻擊活動(dòng)的發(fā)覺延遲, 存在使從組織內(nèi)的感染終端向攻擊者所管理的外部終端的通信量盡可能減少的傾向����。此 處,為了使與外部終端的通信量減少�����,存在限定與外部終端進(jìn)行通信的組織內(nèi)部的感染終 端的數(shù)量�、對(duì)感染終端賦予職能并管理感染終端這樣的方法。例如���,作為感染終端具有的職 能����,有以下4個(gè)��。此外����,有時(shí)在1個(gè)感染終端中具有多種職能�。
[0252] 1.以向惡意軟件的組織內(nèi)的感染擴(kuò)大作為目的而進(jìn)行探索��、感染�����、諜報(bào)活動(dòng)的職 能
[0253] 2.從攻擊者所管理的外部終端將文件下載到組織內(nèi)���、配置于本終端內(nèi)并進(jìn)行再發(fā) 布的職能
[0254] 3.對(duì)來自攻擊者所管理的外部終端的C&C通信進(jìn)行中繼的職能
[0255] 4.匯集在組織內(nèi)的諜報(bào)活動(dòng)的結(jié)果信息��、并將該信息上傳到攻擊者所管理的外部 終端的職能
[0256] 為了調(diào)查這樣的感染終端的舉動(dòng)�,以往�,提出了如下技術(shù):通過在終端上工作的代 理型監(jiān)視軟件,分析在該終端工作的軟件的種類��、在該終端進(jìn)行的處理內(nèi)容����,從而檢測(cè)惡意 軟件的活動(dòng)。但是���,在以往的方法中,在感染終端的檢測(cè)后解析通信日志���、通信捕獲信息����、惡 意軟件樣本等,所以從感染終端的檢測(cè)至惡意軟件的活動(dòng)���、職能的確定為止有時(shí)需要較長 時(shí)間����。
[0257] 如上所述��,攻擊者為了使對(duì)攻擊的發(fā)覺延遲�,想要減少感染終端與外部終端的通 信量,為此����,有時(shí)在組織內(nèi)部設(shè)置代替其他感染終端來進(jìn)行與攻擊者所管理的外部終端的 通信的代行感染終端。在該情況下�����,外部終端-代行感染終端間通信和代行感染終端-感染 終端間通信是同一階段的通信����。
[0258] 在此���,在本實(shí)施方式中,通過對(duì)不同的終端的同一階段的通信彼此進(jìn)行相關(guān)分析�����, 發(fā)現(xiàn)具有代行組織內(nèi)部的感染終端與攻擊者所管理的外部終端的通信的職能的感染終端 等����,并推定終端的職能。
[0259] 下面���,說明不同的終端的通信間的相關(guān)分析的內(nèi)容�����。此外��,在階段的轉(zhuǎn)換順序不一 致的情況��、階段的轉(zhuǎn)換一致但在途中夾著其他階段的情況下��,也可以排除在分析對(duì)象之外�����。 另外����,惡意軟件行為檢測(cè)引擎25將作為惡意軟件的舉動(dòng)而被觀測(cè)相關(guān)性的階段轉(zhuǎn)換設(shè)為相 關(guān)分析的對(duì)象�。
[0260]圖16是示出本實(shí)施方式的由惡意軟件行為檢測(cè)引擎25實(shí)施的第三相關(guān)分析處理 的流程的流程圖。在通過網(wǎng)絡(luò)監(jiān)視裝置20取得在網(wǎng)絡(luò)上流過的數(shù)據(jù)包(或者由多個(gè)數(shù)據(jù)包 構(gòu)成的數(shù)據(jù))之后�,在通過上述說明的通信模式的判定處理(相當(dāng)于圖5的步驟S006和圖6的 步驟S101至步驟S103)檢測(cè)到規(guī)定的通信模式的情況下,執(zhí)行本實(shí)施方式的第三相關(guān)分析 處理�����。
[0261] 此處���,本實(shí)施方式中的規(guī)定的通信模式是下面例示的4種通信模式����。
[0262] 1.有可能進(jìn)行了感染���、浸潤行為的通信模式P3_m�����、
[0263] 2.有可能送入了執(zhí)行文件的通信模式P4_m���、
[0264] 3.有可能進(jìn)行C&C通信的通信模式P6_m����、以及
[0265] 4.有可能上傳了榨取信息的通信模式P7_m����。
[0266] 此外,惡意軟件的通信有可能被加密�����,但本實(shí)施方式的惡意軟件行為檢測(cè)引擎基 于通信模式來檢測(cè)用于信息的上傳的通信�,所以,即使是被加密了的通信���,也能夠檢測(cè)該通 信是屬于哪個(gè)階段的通信���。
[0267] 在步驟S201中,執(zhí)行與所檢測(cè)到的通信模式對(duì)應(yīng)的職能推定相關(guān)分析處理�。惡意 軟件行為檢測(cè)引擎根據(jù)在上述說明的通信模式的判定處理(相當(dāng)于圖5的步驟S006和圖6的 步驟S101至步驟S103)中檢測(cè)到的通信模式,執(zhí)行對(duì)應(yīng)的職能推定相關(guān)分析處理�。具體來 說,
[0268] 1.在檢測(cè)到有可能進(jìn)行了感染、浸潤行為的通信模式P3_m的情況下����,執(zhí)行感染、浸 潤階段P3的職能推定相關(guān)分析處理�,
[0269] 2.在檢測(cè)到有可能送入了執(zhí)行文件的通信模式P4_m的情況下,執(zhí)行執(zhí)行文件的下 載階段P4的職能推定相關(guān)分析處理��,
[0270] 3.在檢測(cè)到有可能進(jìn)行C&C通信的通信模式P6-m的情況下�,執(zhí)行C&C通信階段P6的 職能推定相關(guān)分析處理��,
[0271] 4.在檢測(cè)到有可能上傳了榨取信息的通信模式P7_m的情況下�,執(zhí)行榨取信息的上 傳階段P7的職能推定相關(guān)分析處理。
[0272]關(guān)于各個(gè)終端間相關(guān)分析處理的詳細(xì)情況����,在后面敘述。其后�����,處理前進(jìn)到步驟 S202〇
[0273]在步驟S202中��,根據(jù)職能推定相關(guān)分析的結(jié)果����,進(jìn)行相符合的終端的阻斷����、發(fā)出管 理者警報(bào)等應(yīng)對(duì)措施����。在上述各職能推定相關(guān)分析中,在某一個(gè)節(jié)點(diǎn)90被推定為具有惡意 軟件活動(dòng)中的某種職能的情況下���,網(wǎng)絡(luò)監(jiān)視裝置20進(jìn)行在檢測(cè)到惡意軟件感染時(shí)的規(guī)定的 應(yīng)對(duì)��。作為檢測(cè)到惡意軟件感染時(shí)的應(yīng)對(duì)���,例如可列舉由通信阻斷部22實(shí)施的該節(jié)點(diǎn)90的 通信阻斷開始、關(guān)于該節(jié)點(diǎn)90感染了惡意軟件這一的情況的警報(bào)(警告)的通知等���。通過使 能夠由管理者把握這樣的信息����,能夠使管理者把握在組織內(nèi)網(wǎng)絡(luò)上存在具有什么樣的職能 的終端����,使管理者把握發(fā)生了惡意軟件的感染擴(kuò)大����、攻擊活動(dòng)這一狀況��,促使管理者進(jìn)行適 當(dāng)?shù)膽?yīng)對(duì)措施���。在上述各職能推定相關(guān)分析中�,在任一節(jié)點(diǎn)90都未被推定為具有惡意軟件 活動(dòng)中的職能的情況下�,不進(jìn)行阻斷、警報(bào)的發(fā)出等在檢測(cè)到惡意軟件感染時(shí)的應(yīng)對(duì)措施�。 此外�����,由網(wǎng)絡(luò)監(jiān)視裝置20實(shí)施的通信阻斷�、發(fā)出警報(bào)的具體方法是按照在步驟S123的說明 等中所例示的那樣。其后�,本流程圖所示的處理結(jié)束。
[0274]接下來�����,說明各個(gè)職能推定相關(guān)分析處理的具體內(nèi)容�����。
[0275] (3.1)感染、浸潤階段P3的職能推定相關(guān)分析處理
[0276] 圖17是示出本實(shí)施方式的感染���、浸潤階段P3的職能推定相關(guān)分析處理的流程的流 程圖�����。本流程圖更詳細(xì)說明由于檢測(cè)到有可能進(jìn)行了感染���、浸潤行為的通信模式而在使用 圖16說明了的第三相關(guān)分析處理的步驟S201中調(diào)出感染、浸潤階段P3的職能推定相關(guān)分析 處理的情況下的處理�����。另外�����,圖18是示出在本實(shí)施方式中通過感染����、浸潤階段P3的職能推定 相關(guān)分析處理而被進(jìn)行職能推定的終端進(jìn)行活動(dòng)的情形的圖。
[0277] 在步驟S301中���,記錄感染源終端信息和感染目的地終端信息�����。惡意軟件行為檢測(cè) 引擎25在檢測(cè)到有可能進(jìn)行了感染�����、浸潤行為的通信模式的情況下�,將該通信所涉及的終 端的終端信息、即感染源終端信息和感染目的地終端信息記錄到存儲(chǔ)裝置14a中��。例如��,在 檢測(cè)到有可能進(jìn)行了從節(jié)點(diǎn)90b對(duì)節(jié)點(diǎn)90c的感染���、浸潤行為的通信模式的情況下,惡意軟 件行為檢測(cè)引擎25記錄節(jié)點(diǎn)90b(感染源)和節(jié)點(diǎn)90c(感染目的地)的終端信息���。此處�,所記 錄的終端信息例如是終端的IP地址等���。其后��,處理前進(jìn)到步驟S302����。
[0278]在步驟S302中,判定感染源終端是否在過去從組織內(nèi)終端受到感染��、浸潤��。相關(guān)分 析部258進(jìn)行以下判定:此次檢測(cè)到的感染�、浸潤階段P3的通信所涉及的感染源終端(在上 述例子中,節(jié)點(diǎn)90b)是否在過去與其他某一個(gè)節(jié)點(diǎn)90(例如����,節(jié)點(diǎn)90a)進(jìn)行了有可能進(jìn)行了 同樣的感染、浸潤行為的感染�����、浸潤階段P3的通信��,當(dāng)時(shí)其為感染目的地終端����。通過在本流 程圖所涉及的處理在過去被執(zhí)行了時(shí),檢索在步驟S301中記錄了的信息來進(jìn)行該判定��。 [0279] 即,相關(guān)分析部258在關(guān)于被檢測(cè)出通信的感染源終端(節(jié)點(diǎn)90b)在當(dāng)前確定的階 段P3與關(guān)于其他某一個(gè)節(jié)點(diǎn)90在過去確定的階段是相同的情況下�����,進(jìn)行感染源終端(節(jié)點(diǎn) 90b)的通信與其他終端(例如��,節(jié)點(diǎn)90a)的通信的相關(guān)分析��,從而判定這些終端是否協(xié)作地 進(jìn)行活動(dòng)��。在判定為感染源終端在過去未從組織內(nèi)終端受到感染�����、浸潤的情況下��,本流程圖 所示的處理結(jié)束�����。另一方面�����,在判定為感染源終端在過去從組織內(nèi)終端受到感染���、浸潤的情 況下���,處理前進(jìn)到步驟S303。
[0280] 在步驟S303中��,推定為此次進(jìn)行了感染���、浸潤的終端和在過去進(jìn)行了感染�、浸潤的 終端是具有"感染����、浸潤的職能"的終端,并記錄推定結(jié)果��。職能推定部259在步驟S302中�����,在 判定為感染源終端在過去從組織內(nèi)終端受到感染�����、浸潤的情況下,推定為此次的感染源終 端(在上述例子中�����,節(jié)點(diǎn)90b)和過去的感染源終端(在上述例子中���,節(jié)點(diǎn)90a)作為具有惡意 軟件的"感染����、浸潤的職能"的終端而進(jìn)行動(dòng)作�,并記錄這些終端的終端信息。其后�����,本流程 圖所示的處理結(jié)束����。
[0281] (3.2)執(zhí)行文件的下載階段P4的職能推定相關(guān)分析處理
[0282] 圖19是示出本實(shí)施方式的執(zhí)行文件的下載階段P4的職能推定相關(guān)分析處理的流 程的流程圖。本流程圖更詳細(xì)說明了�,在由于檢測(cè)到有可能送入了執(zhí)行文件的通信模式而 在使用圖16說明了的第三相關(guān)分析處理的步驟S201中調(diào)出執(zhí)行文件的下載階段P4的職能 推定相關(guān)分析處理的情況下的處理。另外���,圖20是示出在本實(shí)施方式中通過執(zhí)行文件的下 載階段P4的職能推定相關(guān)分析處理而被進(jìn)行職能推定的終端進(jìn)行活動(dòng)的情形的圖���。
[0283] 在步驟S401中,對(duì)請(qǐng)求發(fā)送源終端和請(qǐng)求接收終端的檢測(cè)信息進(jìn)行記錄�。惡意軟 件行為檢測(cè)引擎25在檢測(cè)到有可能進(jìn)行了執(zhí)行文件的下載的通信模式的情況下,將該通信 的檢測(cè)信息記錄到存儲(chǔ)裝置14a中����。此處,在所記錄的檢測(cè)信息中�,包括被推測(cè)為發(fā)送了用 于下載執(zhí)行文件的請(qǐng)求的終端的終端信息(例如,節(jié)點(diǎn)90c的IP地址等)以及被推測(cè)為接收 到請(qǐng)求的終端的終端信息(例如�����,節(jié)點(diǎn)90b的IP地址等)����。其后,處理前進(jìn)到步驟S402����。
[0284] 在步驟S402和S403中,判定接收到請(qǐng)求的終端是否為組織內(nèi)部的終端�、并且是否 在過去從組織外部的終端下載執(zhí)行文件。相關(guān)分析部258判定在此次檢測(cè)到的執(zhí)行文件的 下載階段P4通信中接收到請(qǐng)求的終端(在上述例子中���,節(jié)點(diǎn)90b)是否為組織內(nèi)部的終端(步 驟S402)��。此外�����,判定的具體方法不受限定����,例如能夠通過參照在數(shù)據(jù)包中設(shè)定的IP地址等, 來判定接收到請(qǐng)求的終端是否為組織內(nèi)部的終端��。所接收到請(qǐng)求的終端不是組織內(nèi)部的終 端的情況下��,本流程圖所示的處理結(jié)束��。
[0285] 另一方面��,在接收到請(qǐng)求的終端是組織內(nèi)部的終端的情況下�,判定該終端在過去 是否進(jìn)行了有可能從組織外部的終端下載了執(zhí)行文件的執(zhí)行文件的下載階段P4的通信(步 驟S403)。此外��,在上述例子中�,請(qǐng)求接收終端是節(jié)點(diǎn)90b,是組織內(nèi)部的終端�����。通過在本流程 圖所涉及的處理在過去被執(zhí)行了時(shí),檢索在步驟S401中記錄了的信息來進(jìn)行該判定���。
[0286] 即,相關(guān)分析部258在關(guān)于被檢測(cè)出通信的請(qǐng)求接收終端(節(jié)點(diǎn)90b)在當(dāng)前確定的 階段P4與關(guān)于組織外部的終端在過去確定的階段是相同的情況下����,進(jìn)行請(qǐng)求接收終端(節(jié) 點(diǎn)90b)的通信與組織外部的終端的通信的相關(guān)分析,從而判定這些終端是否協(xié)作地進(jìn)行活 動(dòng)���。在判定為在過去未從組織外部的終端下載執(zhí)行文件的情況下����,本流程圖所示的處理結(jié) 束����。另一方面,在判定為在過去從組織外部的終端下載了執(zhí)行文件的情況下�����,處理前進(jìn)到步 驟S404����。例如����,在作為此次的請(qǐng)求接收終端的節(jié)點(diǎn)90b在過去從組織外部中的某一個(gè)終端下 載了執(zhí)行文件的情況下����,本步驟中的判定結(jié)果為"是",處理前進(jìn)到步驟S404�����。
[0287] 在步驟S404中��,判定是否還另外存在對(duì)請(qǐng)求接收終端進(jìn)行了執(zhí)行文件的下載的請(qǐng) 求的組織內(nèi)終端���。換言之��,在步驟S404中����,判定是否存在多個(gè)對(duì)請(qǐng)求接收終端進(jìn)行了執(zhí)行文 件的下載的請(qǐng)求的組織內(nèi)終端�。相關(guān)分析部258判定在此次檢測(cè)到的執(zhí)行文件的下載階段 P4的通信中接收到請(qǐng)求的終端(在上述例子中,節(jié)點(diǎn)90b)是否從與此次發(fā)送了請(qǐng)求的終端 (節(jié)點(diǎn)90c)不同的組織內(nèi)終端(例如����,節(jié)點(diǎn)90d)接收到執(zhí)行文件的下載的請(qǐng)求(執(zhí)行文件的 下載階段P4的通信)��。通過在本流程圖所涉及的處理在過去被執(zhí)行了時(shí)檢索在步驟S401中 記錄了的信息來進(jìn)行該判定��。
[0288] 即�,相關(guān)分析部258在關(guān)于被檢測(cè)出通信的請(qǐng)求接收終端(節(jié)點(diǎn)90b)在當(dāng)前確定的 階段P4與關(guān)于組織內(nèi)終端(節(jié)點(diǎn)90d)在過去確定的階段是相同的情況下�,進(jìn)行關(guān)于這些通 信的相關(guān)分析�����,從而判定這些終端是否協(xié)作地進(jìn)行活動(dòng)���。在判定為不存在另外的進(jìn)行了請(qǐng) 求的組織內(nèi)終端的情況下�����,本流程圖所示的處理結(jié)束����。另一方面����,在判定為還另外存在進(jìn)行 了請(qǐng)求的組織內(nèi)終端的情況下���,處理前進(jìn)到步驟S405。
[0289]在步驟S405中�����,推定為此次接收到請(qǐng)求的終端是具有"對(duì)執(zhí)行文件進(jìn)行再發(fā)布的 職能"的終端�,并記錄推定結(jié)果。職能推定部259在步驟S404中判定為還另外存在進(jìn)行了請(qǐng) 求的組織內(nèi)終端的情況下�,推定為請(qǐng)求接收終端(例如,節(jié)點(diǎn)90b)是為了通過抑制與組織外 部的通信量來使發(fā)現(xiàn)延遲而在組織內(nèi)部中被賦予發(fā)布執(zhí)行文件的職能的終端��,并記錄這些 終端的終端信息���。其后�����,本流程圖所示的處理結(jié)束����。
[0290] (3.3)C&C通信階段P6的職能推定相關(guān)分析處理
[0291]圖21是示出本實(shí)施方式的C&C通信階段P6的職能推定相關(guān)分析處理的流程的流程 圖����。本流程圖更詳細(xì)說明了�����,在由于檢測(cè)到有可能進(jìn)行C&C通信的通信模式而在使用圖16說 明了的第三相關(guān)分析處理的步驟S201中調(diào)出C&C通信階段P6的職能推定相關(guān)分析處理的情 況下的處理���。另外,圖22是示出在在本實(shí)施方式中通過C&C通信階段P6的職能推定相關(guān)分析 處理而被進(jìn)行職能推定的終端進(jìn)行活動(dòng)的情形的圖�����。
[0292] 在步驟S501中�,對(duì)命令發(fā)送源終端和命令接收終端的檢測(cè)信息進(jìn)行記錄�����。惡意軟 件行為檢測(cè)引擎25在檢測(cè)到有可能進(jìn)行了C&C通信的通信模式的情況下��,將該通信的檢測(cè) 信息記錄到存儲(chǔ)裝置14a中����。此處,在所記錄的檢測(cè)信息中��,包括被推測(cè)為發(fā)送了C&C通信的 命令的終端的終端信息(例如�����,節(jié)點(diǎn)90b的IP地址等)以及被推測(cè)為接收到命令的終端的終 端信息(例如,節(jié)點(diǎn)90c的IP地址等)����。其后,處理前進(jìn)到步驟S502��。
[0293] 在步驟S502和S503中����,判定命令發(fā)送源終端是否為組織內(nèi)部的終端,并且是否在 過去與組織外部的終端進(jìn)行了被推測(cè)為C&C通信的通信�����。相關(guān)分析部258判定在此次檢測(cè)到 的C&C通信階段P6的通信模式中發(fā)送了命令的終端(在上述例子中����,節(jié)點(diǎn)90b)是否為組織內(nèi) 部的終端(步驟S502)。此外����,判定的具體方法不受限定,例如能夠通過參照在數(shù)據(jù)包中設(shè)定 的IP地址等來判定命令發(fā)送源終端是否為組織內(nèi)部的終端。在發(fā)送了命令的終端不是組織 內(nèi)部的終端的情況下���,本流程圖所示的處理結(jié)束���。
[0294] 另一方面,在發(fā)送了命令的終端是組織內(nèi)部的終端的情況下���,判定該終端是否在 過去與組織外部的終端進(jìn)行了有可能是C&C通信的C&C通信階段P6的通信(步驟S503)�。此 外����,在上述例子中,命令發(fā)送終端是節(jié)點(diǎn)90b���,是組織內(nèi)部的終端���。通過在本流程圖所涉及的 處理在過去被執(zhí)行了時(shí)檢索在步驟S501中記錄了的信息來進(jìn)行該判定����。
[0295] 即,相關(guān)分析部258在關(guān)于被檢測(cè)出通信的命令發(fā)送源終端(節(jié)點(diǎn)90b)在當(dāng)前確定 的階段P6與關(guān)于組織外部的終端在過去確定的階段是相同的情況下��,進(jìn)行命令發(fā)送源終端 (節(jié)點(diǎn)90b)的通信與組織外部的終端的通信的相關(guān)分析,從而判定這些終端是否協(xié)作地進(jìn) 行活動(dòng)�����。在判定為在過去未與組織外部的終端進(jìn)行有可能是C&C通信的通信的情況下���,本流 程圖所示的處理結(jié)束��。另一方面��,在判定為在過去與組織外部的終端進(jìn)行了有可能是C&C通 信的通信的情況下�,處理前進(jìn)到步驟S504����。例如,在作為此次的命令發(fā)送終端的節(jié)點(diǎn)90b在 過去與組織外部中的某一個(gè)終端進(jìn)行了C&C通信的情況下��,本步驟中的判定結(jié)果為"是"���,處 理前進(jìn)到步驟S504���。
[0296] 在步驟S504中,判定是否還另外存在與命令發(fā)送終端進(jìn)行了C&C通信的組織內(nèi)終 端����。換言之�,在步驟S504中�����,判定是否存在多個(gè)與命令發(fā)送終端進(jìn)行了 C&C通信的組織內(nèi)終 端�����。相關(guān)分析部258判定在此次檢測(cè)到的C&C通信階段P6的通信中���,發(fā)送了命令的終端(在上 述例子中�����,節(jié)點(diǎn)90b)是否和與作為此次C&C通信的對(duì)象方的終端(節(jié)點(diǎn)90c)不同的組織內(nèi)終 端(例如��,節(jié)點(diǎn)90d)進(jìn)行了有可能是C&C通信的通信(C&C通信階段P6的通信)�。在本流程圖所 涉及的處理在過去被執(zhí)行了時(shí)檢索在步驟S501中記錄了的信息來進(jìn)行該判定�。
[0297] 即,相關(guān)分析部258在關(guān)于被檢測(cè)出通信的命令發(fā)送終端(節(jié)點(diǎn)90b)在當(dāng)前確定的 階段P6與關(guān)于組織內(nèi)終端(節(jié)點(diǎn)90d)在過去確定的階段是相同的情況下�,進(jìn)行關(guān)于這些通 信的相關(guān)分析�,從而判定這些終端是否協(xié)作地進(jìn)行活動(dòng)。在判定為不存在另外的進(jìn)行了 C&C 通信的組織內(nèi)終端的情況下,本流程圖所示的處理結(jié)束�����。另一方面��,在判定為還另外存在進(jìn) 行了 C&C通信的組織內(nèi)終端的情況下����,處理前進(jìn)到步驟S505。
[0298] 在步驟S505中���,推定為此次發(fā)送了命令的終端是具有"對(duì)C&C通信進(jìn)行中繼的職 能"的終端�����,并記錄推定結(jié)果��。職能推定部259當(dāng)在步驟S504中判定為還另外存在進(jìn)行了C&C 通信的組織內(nèi)終端的情況下�����,推定為命令發(fā)送終端(例如��,節(jié)點(diǎn)90b)是被賦予了對(duì)來自組織 外的C&C服務(wù)器的C&C通信進(jìn)行中繼的職能的終端�����,并記錄這些終端的終端信息���。其后�,本流 程圖所示的處理結(jié)束���。
[0299] (3.4)榨取信息的上傳階段P7的職能推定相關(guān)分析處理
[0300] 圖23是示出本實(shí)施方式的榨取信息的上傳階段P7的職能推定相關(guān)分析處理的流 程的流程圖���。本流程圖更詳細(xì)說明了,在由于檢測(cè)到有可能上傳了榨取信息的通信模式而 在使用圖16說明了的第三相關(guān)分析處理的步驟S201中調(diào)出榨取信息的上傳階段P7的職能 推定相關(guān)分析處理的情況下的處理����。另外,圖24是示出在本實(shí)施方式中通過榨取信息的上 傳階段P7的職能推定相關(guān)分析處理而被進(jìn)行職能推定的終端進(jìn)行活動(dòng)的情形的圖����。
[0301]在步驟S601中,記錄信息的上傳源終端和上傳目的地終端的檢測(cè)信息�。惡意軟件 行為檢測(cè)引擎25在檢測(cè)到有可能進(jìn)行了榨取信息的上傳的通信模式的情況下,將該通信的 檢測(cè)信息記錄到存儲(chǔ)裝置14a中����。此處��,在所記錄的檢測(cè)信息中,包括被推測(cè)為上傳了榨取 信息的終端的終端信息(例如����,節(jié)點(diǎn)90b的IP地址等)以及被推測(cè)為接受了榨取信息的上傳 的終端的終端信息(例如,組織外部的服務(wù)器的IP地址等)�����。其后�,處理前進(jìn)到步驟S602。 [0302]在步驟S602中��,判定上傳目的地終端是否為組織外部的終端��。相關(guān)分析部258判定 在此次檢測(cè)到的通信模式中接受了信息的上傳的終端(在上述例子中�����,組織外部的服務(wù)器) 是否為組織外部的終端����。此外,判定的具體的方法不受限定����,例如能夠通過參照在數(shù)據(jù)包中 設(shè)定的IP地址等來判定接受了信息的上傳的終端是否為組織外部的終端�。在接受了信息的 上傳的終端不是組織外部的終端的情況下�,本流程圖所示的處理結(jié)束。另一方面�,在接受了 信息的上傳的終端是組織外部的終端的情況下,處理前進(jìn)到步驟S603�。此外,在上述例子 中���,上傳目的地終端是組織外部的服務(wù)器(終端)���。
[0303]在步驟S603中,判定是否存在多個(gè)對(duì)上傳源終端進(jìn)行了信息的上傳的組織內(nèi)終 端����。相關(guān)分析部258判定在此次檢測(cè)到的榨取信息的上傳階段P7的通信中進(jìn)行了信息的上 傳的終端(在上述例子中,節(jié)點(diǎn)90b)是否在過去從多個(gè)組織內(nèi)終端(例如���,節(jié)點(diǎn)90a�����、90c�、 90d)接收到信息的上傳(榨取信息的上傳階段P7的通信)。通過在本流程圖所涉及的處理在 過去被執(zhí)行了時(shí)檢索在步驟S601中記錄了的信息來進(jìn)行該判定��。
[0304] 即�����,相關(guān)分析部258在關(guān)于被檢測(cè)出通信的上傳源終端(節(jié)點(diǎn)90b)在當(dāng)前確定的階 段P7與關(guān)于多個(gè)組織內(nèi)終端(例如�����,節(jié)點(diǎn)90a����、90c����、90d)在過去確定的階段是相同的情況下, 進(jìn)行關(guān)于這些通信的相關(guān)分析�����,從而判定這些終端是否協(xié)作地進(jìn)行活動(dòng)�����。在判定為不存在 多個(gè)進(jìn)行了信息的上傳的組織內(nèi)終端的情況下,本流程圖所示的處理結(jié)束���。另一方面����,在判 定為存在多個(gè)進(jìn)行了信息的上傳的組織內(nèi)終端的情況下����,處理前進(jìn)到步驟S604。
[0305] 在步驟S604中��,推定為此次進(jìn)行了上傳的終端是具有"匯集榨取信息并上傳的職 能"的終端�����,并記錄推定結(jié)果��。職能推定部259當(dāng)在步驟S603中判定為存在多個(gè)對(duì)上傳源終 端進(jìn)行了信息的上傳的組織內(nèi)終端的情況下�����,推定為上傳源終端(例如���,節(jié)點(diǎn)90b)是為了通 過抑制與組織外部的通信量來使發(fā)現(xiàn)延遲而被賦予從組織內(nèi)部收集信息并向組織外部的 服務(wù)器發(fā)送的職能的終端��,并對(duì)該終端的終端信息進(jìn)行記錄�。其后,本流程圖所示的處理結(jié) 束����。
[0306] 根據(jù)上述說明的用于職能推定的相關(guān)分析,能夠通過監(jiān)視組織內(nèi)的通信來推定感 染了惡意軟件的終端在組織內(nèi)的"職能"����,進(jìn)而�����,能夠進(jìn)行與所推定出的"職能"相應(yīng)的通信 控制�。例如,針對(duì)有可能具有上傳信息的職能的終端���,即使是惡意軟件活動(dòng)可能性低的階 段�����,也能夠選擇進(jìn)行通信阻斷等應(yīng)對(duì)�。另外,在檢測(cè)到多個(gè)感染終端的情況下��,也能夠設(shè)為 以感染終端的"職能"的威脅程度較大的終端為優(yōu)先地進(jìn)行解析等安全事件的應(yīng)對(duì)時(shí)的判 斷材料����。
[0307]〈通信的阻斷〉
[0308] 通信阻斷部22如上所述,阻斷被判定為進(jìn)行非法活動(dòng)的終端的通信��。此處���,關(guān)于組 織內(nèi)的終端����,通信阻斷部22,在通過惡意軟件行為檢測(cè)引擎檢測(cè)到感染了惡意軟件的情況 或者推定出終端在組織內(nèi)的職能的情況下���,也可以根據(jù)成為了惡意軟件檢測(cè)的通信模式的 組合確定與該終端的非法活動(dòng)相關(guān)的通信目的地�,并阻斷從組織內(nèi)終端向該通信目的地的 通信���。此處����,與終端的非法活動(dòng)相關(guān)的通信目的地是指例如惡意軟件的下載源����、向惡意軟件 發(fā)送指令的C&C服務(wù)器�����、傳送諜報(bào)活動(dòng)結(jié)果的上傳服務(wù)器等��。另外��,在阻斷從組織內(nèi)終端向 該通信目的地的通信的情況下���,也可以無論是否判定為該組織內(nèi)終端感染惡意軟件,都阻 斷通信���。具體來說,通信阻斷部22在進(jìn)行了惡意軟件感染的判定或者職能的推定的情況下�, 對(duì)針對(duì)惡意軟件進(jìn)行了通信的目的地(協(xié)議、端口編號(hào)���、URI等)的�����、來自組織內(nèi)終端(還包括 未感染惡意軟件的終端)的通信進(jìn)行訪問控制(阻斷����、毀棄或者目的地變更)。
[0309] 作為阻斷的對(duì)象的通信目的地是對(duì)被推定出職能的終端發(fā)送了用于履行該職能 的惡意軟件����、惡性內(nèi)容等的終端、或者被推定出職能的終端為了履行該職能而進(jìn)行通信的 外部服務(wù)器等�����。例如��,
[0310] 1.在檢測(cè)到侵入階段P1系的通信模式的情況下����,來自組織內(nèi)部終端的連接目的地 有可能是被施加了攻擊者所準(zhǔn)備的作為感染的契機(jī)的手腳的站點(diǎn),
[0311] 2.在檢測(cè)到執(zhí)行文件的下載階段P4系的通信模式的情況下��,來自組織內(nèi)部終端的 連接目的地有可能是儲(chǔ)存惡意軟件的設(shè)備��,
[0312] 3.在檢測(cè)到C&C服務(wù)器檢索階段P5或者C&C服務(wù)器通信階段P6系的通信模式的情 況下����,來自組織內(nèi)部終端的連接目的地有可能是對(duì)在組織內(nèi)終端中進(jìn)行動(dòng)作的惡意軟件進(jìn) 行指示的設(shè)備,
[0313] 4.在檢測(cè)到榨取信息的上傳階段P7系的通信模式的情況下��,來自組織內(nèi)部終端的 連接目的地有可能是惡意軟件儲(chǔ)存榨取信息的設(shè)備。
[0314] 因此�����,通信阻斷部22阻斷對(duì)這些連接目的地的通信�。
[0315] 根據(jù)本實(shí)施方式中公開的系統(tǒng),通過這樣���,依照預(yù)先按職能而確定的阻斷策略�����,按 與被判定為惡意軟件活動(dòng)的通信相關(guān)的職能����,包括來自未感染惡意軟件的設(shè)備的通信在內(nèi) 地阻斷向?qū)ο笤O(shè)備的通信���,從而能夠阻斷危險(xiǎn)的通信而將損失的擴(kuò)大防止于未然,早期地 使侵入到內(nèi)部的惡意軟件的活動(dòng)平息�。
[0316]另外,網(wǎng)絡(luò)監(jiān)視裝置20也可以將在上述處理中確定的���、與非法活動(dòng)相關(guān)的通信目 的地(例如�,惡意軟件的下載源、向惡意軟件發(fā)送指令的C&C服務(wù)器�����、發(fā)送諜報(bào)活動(dòng)結(jié)果的上 傳服務(wù)器等)通知給管理者��。
[0317] 〈變化〉
[0318] 上述實(shí)施方式中�,對(duì)網(wǎng)絡(luò)監(jiān)視裝置20連接到開關(guān)或路由器的監(jiān)視端口(鏡像端 口),從而通過節(jié)點(diǎn)90取得被收發(fā)的數(shù)據(jù)包或數(shù)據(jù)幀等����,以不轉(zhuǎn)送取得的數(shù)據(jù)包的被動(dòng)方式 來進(jìn)行動(dòng)作的例子進(jìn)行說明(參照?qǐng)D1)。但是�����,上述實(shí)施方式所示的網(wǎng)絡(luò)構(gòu)成是用于實(shí)施本 公開的一個(gè)例子�����,在實(shí)施時(shí)也可以采用其他的網(wǎng)絡(luò)構(gòu)成����。
[0319] 例如,即使在網(wǎng)絡(luò)監(jiān)視裝置20不連接到監(jiān)視端口(鏡像端口)而僅連接到網(wǎng)絡(luò)分段 2的情況下�����,也能夠利用取得網(wǎng)絡(luò)分段2上流通的包括不指向自身的MAC地址的所有的數(shù)據(jù) 幀,通過節(jié)點(diǎn)90取得被收發(fā)的數(shù)據(jù)包或數(shù)據(jù)幀等���。在這種情況下�,網(wǎng)絡(luò)監(jiān)視裝置20也以被動(dòng) 方式來進(jìn)行動(dòng)作��。另外���,例如���,也可以利用將網(wǎng)絡(luò)監(jiān)視裝置20連接到網(wǎng)絡(luò)分段2的開關(guān)或路 由器與位于其上位的其他的開關(guān)或路由器之間來取得通過的數(shù)據(jù)包或數(shù)據(jù)幀(參照?qǐng)D25)。 在這種情況下����,網(wǎng)絡(luò)監(jiān)視裝置20以對(duì)取得的數(shù)據(jù)包之中的不被阻斷也可以的數(shù)據(jù)包進(jìn)行轉(zhuǎn) 送的連線方式(日語壬一 K)來進(jìn)行動(dòng)作。另外��,網(wǎng)絡(luò)監(jiān)視裝置20也可以被內(nèi)含 在路由器或開關(guān)中����。
[0320]此外�,在本實(shí)施方式中����,說明取得在網(wǎng)絡(luò)流過的數(shù)據(jù)包來通過上述各種檢測(cè)引擎 實(shí)時(shí)地進(jìn)行檢測(cè)的實(shí)施方式��,但本公開的適用范圍不限定于實(shí)時(shí)檢測(cè)�����。例如�����,也可以預(yù)先累 積在網(wǎng)絡(luò)流過的通信所涉及的數(shù)據(jù)����,針對(duì)所累積的數(shù)據(jù)進(jìn)行基于上述各種檢測(cè)引擎的處 理。
【主權(quán)項(xiàng)】
1. 一種信息處理裝置�,其特征在于,具備: 比較單元��,其將多個(gè)終端的通信與預(yù)先保持的模式進(jìn)行比較���; 確定單元�����,其依照所述比較的結(jié)果����,確定所述終端的活動(dòng)的階段;以及 相關(guān)分析單元��,其在關(guān)于所述多個(gè)終端中包含的第一終端而在當(dāng)前或者過去確定的階 段與關(guān)于所述多個(gè)終端中包含的第二終端而在當(dāng)前或者過去確定的階段為相同的情況下��, 進(jìn)行該第一終端的通信與該第二終端的通信的相關(guān)分析��,從而判定所述第一終端與所述第 二終端是否協(xié)作地進(jìn)行活動(dòng)���。2. 根據(jù)權(quán)利要求1所述的信息處理裝置����,其特征在于����, 所述相關(guān)分析單元通過判定所述第一終端的通信與所述第二終端的通信的連續(xù)性或 者關(guān)聯(lián)性的有無或者程度,判定該第一終端與該第二終端是否協(xié)作地進(jìn)行活動(dòng)�。3. 根據(jù)權(quán)利要求1或者2所述的信息處理裝置,其特征在于��, 還具備職能推定單元,該職能推定單元推定被所述相關(guān)分析單元判定為進(jìn)行協(xié)作的所 述第一終端或者所述第二終端的��、所述階段中的活動(dòng)的職能�。4. 根據(jù)權(quán)利要求3所述的信息處理裝置���,其特征在于��, 還具備通信阻斷單元�,在推定出所述終端的職能的情況下����,該通信阻斷單元阻斷該終 端所涉及的通信。5. 根據(jù)權(quán)利要求4所述的信息處理裝置����,其特征在于, 在推定出所述終端的職能的情況下����,無論向與該終端的職能相關(guān)聯(lián)的規(guī)定的終端的通 信源是否感染惡意軟件,所述通信阻斷單元都阻斷向該規(guī)定的終端的通信��。6. 根據(jù)權(quán)利要求5所述的信息處理裝置����,其特征在于���, 所述規(guī)定的終端是對(duì)被推定出所述職能的終端發(fā)送了用于履行該職能的軟件的終端、 或者被推定出所述職能的終端為了履行該職能而進(jìn)行通信的終端��。7. 根據(jù)權(quán)利要求1至6中的任一項(xiàng)所述的信息處理裝置����,其特征在于, 所述階段表示所述終端的規(guī)定的活動(dòng)的轉(zhuǎn)換的狀態(tài)����, 所述確定單元將針對(duì)作為所述比較的結(jié)果的、與所述通信一致或者近似的模式而預(yù)先 設(shè)定的階段確定為所述通信所涉及的階段�����。8. 根據(jù)權(quán)利要求1至7中的任一項(xiàng)所述的信息處理裝置�,其特征在于, 還具備通信取得單元��,該通信取得單元取得連接到所述網(wǎng)絡(luò)的終端的通信�, 所述比較單元將所取得的所述通信與預(yù)先保持的模式進(jìn)行比較。9. 一種方法��,其特征在于,使計(jì)算機(jī)執(zhí)行以下步驟: 比較步驟����,將多個(gè)終端的通信與預(yù)先保持的模式進(jìn)行比較; 確定步驟�,依照所述比較的結(jié)果,確定所述終端的活動(dòng)的階段�����;以及 相關(guān)分析步驟����,在關(guān)于所述多個(gè)終端中包含的第一終端而在當(dāng)前或者過去確定的階段 與關(guān)于所述多個(gè)終端中包含的第二終端而在當(dāng)前或者過去確定的階段為相同的情況下��,進(jìn) 行該第一終端的通信與該第二終端的通信的相關(guān)分析����,從而判定所述第一終端與所述第二 終端是否協(xié)作地進(jìn)行活動(dòng)。10. -種程序�,其特征在于,其用于使計(jì)算機(jī)作為以下單元發(fā)揮功能��,BP : 比較單元���,將多個(gè)終端的通信與預(yù)先保持的模式進(jìn)行比較���; 確定單元�,依照所述比較的結(jié)果�����,確定所述終端的活動(dòng)的階段�;以及 相關(guān)分析單元,在關(guān)于所述多個(gè)終端中包含的第一終端而在當(dāng)前或者過去確定的階段 與關(guān)于所述多個(gè)終端中包含的第二終端而在當(dāng)前或者過去確定的階段為相同的情況下�,進(jìn) 行該第一終端的通信與該第二終端的通信的相關(guān)分析,從而判定所述第一終端與所述第二 終端是否協(xié)作地進(jìn)行活動(dòng)���。
【文檔編號(hào)】H04L12/70GK105934763SQ201480073238
【公開日】2016年9月7日
【申請(qǐng)日】2014年12月26日
【發(fā)明人】寺田成吾, 小出和弘, 小林峻, 道根慶治
【申請(qǐng)人】株式會(huì)社Pfu