攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム
【課題】異なるハニーポットで収集した攻撃情報が混在する可能性が高い領域を抽出できる技術を提供する。
【解決手段】攻撃情報を受信し、攻撃情報とその攻撃情報を収集した囮システムの種別との組合せを攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを攻撃情報分析部に問合せ、攻撃情報をクラスタリングし、攻撃情報の所属するクラスタを示すクラスタ識別子を攻撃情報管理テーブルに記憶し、クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルにおいて、クラスタリングの結果、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、クラスタ管理テーブルを変更する。
【解決手段】攻撃情報を受信し、攻撃情報とその攻撃情報を収集した囮システムの種別との組合せを攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを攻撃情報分析部に問合せ、攻撃情報をクラスタリングし、攻撃情報の所属するクラスタを示すクラスタ識別子を攻撃情報管理テーブルに記憶し、クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルにおいて、クラスタリングの結果、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、クラスタ管理テーブルを変更する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、囮システムが収集した情報を管理する攻撃情報管理技術に関する。
【背景技術】
【0002】
従来は、オペレーションシステム(Operating System、以下「OS」という)の脆弱性を対象として攻撃するマルウェアが多かったが、近年では、Webブラウザの脆弱性を対象として攻撃するマルウェアや、Webアプリケーションの脆弱性を対象として攻撃するマルウェアが増加している。なお、マルウェアとは、悪意あるソフトウェアや悪質なコードの総称であり、例えばコンピュータウィルスやワームであり、他にクラックツール、スパイウェア、悪質なアドウェア等も含む。これらのマルウェアへの対策として、従来からハニーポットと呼ばれる囮システムが研究開発されている。ハニーポットはマルウェアに関する情報(以下「攻撃情報」という)を収集するものである。マルウェアは対象の脆弱性によって攻撃方法が異なるため複数種類のマルウェアが存在し、各マルウェアに対してハニーポットが研究開発され、複数種類のハニーポットが存在する。以下、3種類のマルウェア及びハニーポットについて説明する。
【0003】
(1)攻撃者は、例えばWindows(登録商標)OSのセキュリティホールを利用して、マルウェアを送信し、実行させる。OSへの攻撃を収集するハニーポット(以下「OS型ハニーポット」または「OS型囮システム」という)では、マルウェア自体に加え、OS型ハニーポットにアクセスしてきた攻撃者のIPアドレスを収集する(非特許文献1及び2参照)。
【0004】
(2)攻撃者は攻撃対象となるWebサーバにWebサーバ型マルウェアをダウンロードさせるためのマルウェアダウンロードサイト(以下「MDS」という)を予め用意しておく。攻撃者はWebサーバに対してMDSからマルウェアをダウンロードさせるための攻撃コードをHTTPリクエストメッセージとして送信する。HTTPリクエストメッセージを受信したWebサーバはMDSからマルウェアをダウンロードし実行する。Webアプリケーションへの攻撃を収集するWebサーバ型ハニーポット(以下「Webサーバ型ハニーポット」または「Webサーバ型囮システム」という)は、マルウェア自体に加え、HTTPリクエストメッセージを送信してきた攻撃者のIPアドレスと、MDSのIPアドレス及びURLを収集する(非特許文献3及び4参照)。
【0005】
(3)攻撃者はアクセスしてきたWebブラウザに対しマルウェアを送信し、実行させる悪性サイトを用意しておく。Webブラウザへの攻撃を収集するWebクライアント型ハニーポット(以下「Webクライアント型ハニーポット」または「Webクライアント型囮システム」という)は、Webサイトを巡回し、アクセスした際にリダイレクトさせられるWebサイトやマルウェアを送信するWebサイトのURL及びIPアドレス、マルウェア自体を収集する(非特許文献5参照)。
【0006】
各ハニーポットで収集した情報の内、マルウェア自体を検体(マルウェアのサンプル)と呼び、IPアドレスやURLを攻撃情報と呼ぶ。攻撃情報は、セキュリティアプライアンスにおいて、ブラックリスト情報として活用できる。なお、セキュリティアプライアンスとは、ユーザ環境とインターネット間に配置され、ウイルスや不正アクセスといったインターネット上の外部の脅威からユーザ環境を守るための装置であり、ファイアウオール、VPN(Virtual Private Network)、IDS(Intrusion Detection System)、IPS(Intrusion Prevention/Protection System)及びアンチウイルスの何れかの機能、またはこれらの機能を統合した機能を実現する装置である。
【0007】
例えば、Webクライアントを収容するセキュリティアプライアンスは、Webクライアント型ハニーポットで収集したURLやIPアドレスとの通信をフィルタリング(遮断)する。また、Webサーバを収容するセキュリティアプライアンスは、Webサーバ型ハニーポットで収集したURLやIPアドレスとの通信をフィルタリングする。
【0008】
さらに、マルウェア動的解析器を用いてWebサーバ型ハニーポットで収集した検体を解析することで、Command and Control(C&C)サーバのURLやIPアドレスをブラックリスト情報として利用できる技術が知られている(非特許文献4参照)。
【先行技術文献】
【非特許文献】
【0009】
【非特許文献1】"dionaea catches bugs", [online], Dionaea, [平成23年9月29日検索], インターネット<URL:http://dionaea.carnivore.it>
【非特許文献2】青木一史、川古谷裕平、岩村誠、伊藤光恭、“半透過性仮想インターネットによるマルウェアの動的解析”、マルウェア対策研究人材育成ワークショップ2009、2009年10月
【非特許文献3】"Web Application Honeypot", [online], The Honeynet Project, [平成23年9月29日検索], インターネット<URL:http://www.honeynet.org/gsoc/project8>
【非特許文献4】八木毅、谷本直人、針生剛男、伊藤光恭、“ハイブリッド型WebハニーポットWeb Phantomの設計”、信学技報、2010年11月、Vol.110、No.289、IN2010−85、pp.25−30
【非特許文献5】M.Akiyama, K.Aoki, Y.Kawakoya, M.Iwamura and M.Itoh, "Design and Implementation of High Interaction Client Honeypot for Drive-by-download Attacks", IEICE TRANS.COMMUN., May 2010, VOL.E93-B, NO5, pp1131-1139
【発明の概要】
【発明が解決しようとする課題】
【0010】
上述の通り、ハニーポットを用いることでマルウェアに関する情報を収集することができるが、設置可能なハニーポットの数はコスト的に制限されるため、ハニーポットから効率的に攻撃情報や検体を収集する技術が必要とされている。
【0011】
本発明は、異なるハニーポットで収集した攻撃情報が混在する可能性が高い領域を抽出できる技術を提供することを目的とする。
【課題を解決するための手段】
【0012】
上記の課題を解決するために、本発明の第一の態様に係る攻撃情報管理システムは、囮システムが収集したマルウェアに関する情報を管理する。攻撃情報管理システムは、複数の種別の囮システムと、攻撃情報を管理する攻撃情報管理装置とを含む。攻撃情報管理装置は、攻撃情報をクラスタリングする攻撃情報分析部と、攻撃情報と、その攻撃情報を収集した囮システムの種別と、クラスタリングされたその攻撃情報が所属するクラスタのクラスタ識別子との組合せが記憶される攻撃情報管理テーブルと、クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルと、攻撃情報を受信すると、その攻撃情報とその攻撃情報を収集した囮システムの種別との組合せを攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを攻撃情報分析部に問合せ、クラスタリングの結果として、その攻撃情報のクラスタ識別子を受け取り、攻撃情報管理テーブルに記憶し、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、クラスタ管理テーブルを変更する攻撃情報管理部とを含む。
【0013】
上記の課題を解決するために、本発明の第二の態様に係る攻撃情報管理装置は、囮システムが収集したマルウェアに関する情報(以下「攻撃情報」という)を管理する。攻撃情報管理装置は、攻撃情報をクラスタリングする攻撃情報分析部と、攻撃情報と、その攻撃情報を収集した囮システムの種別と、クラスタリングされたその攻撃情報が所属するクラスタのクラスタ識別子との組合せが記憶される攻撃情報管理テーブルと、クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルと、攻撃情報を受信すると、その攻撃情報とその攻撃情報を収集した囮システムの種別との組合せを攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを攻撃情報分析部に問合せ、クラスタリングの結果として、その攻撃情報のクラスタ識別子を受け取り、攻撃情報管理テーブルに記憶し、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、クラスタ管理テーブルを変更する攻撃情報管理部とを含む。
【0014】
上記の課題を解決するために、本発明の第三の態様に係る攻撃情報管理方法は、囮システムが収集したマルウェアに関する情報(以下「攻撃情報」という)を管理する。攻撃情報管理方法は、攻撃情報を受信し、攻撃情報とその攻撃情報を収集した囮システムの種別との組合せを攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを攻撃情報分析部に問合せ、攻撃情報をクラスタリングし、攻撃情報の所属するクラスタを示すクラスタ識別子を攻撃情報管理テーブルに記憶し、クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルにおいて、クラスタリングの結果、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、クラスタ管理テーブルを変更する。
【発明の効果】
【0015】
本発明に係る攻撃情報管理技術は、複数の種別の囮システムから得られた攻撃情報をクラスタリングすることで、異なる囮システムで収集した攻撃情報が混在する可能性が高い領域を抽出することができるという効果を奏する。
【図面の簡単な説明】
【0016】
【図1】分析対象の攻撃者IPアドレスの概要を示す図。
【図2】重複IPアドレス数を示す図。
【図3】ヒルベルト曲線の描画ルールを示す図。
【図4】IPアドレスのヒルベルト曲線上への配置例を示す図。
【図5】クラスタ形成過程の例を示す図。
【図6】各データセットのIPアドレス数を示す図。
【図7】重複するIPアドレス数を示す図。
【図8】評価実験1の結果を示す図。
【図9】評価実験2の結果を示す図。
【図10】攻撃情報管理システム10のネットワーク構成例を図。
【図11】攻撃情報管理装置100の機能構成例を示す図。
【図12】攻撃情報管理装置100の処理フローを示す図。
【図13】トラップにより攻撃情報を収集する場合に、囮システム管理部131が保有、管理するデータ例を示す図。
【図14】ポーリングにより攻撃情報を収集する場合に、囮システム管理部131が保有、管理するデータ例を示す図。
【図15】攻撃情報管理テーブル121のデータ例を示す図。
【図16】クラスタ管理テーブル122のデータ例を示す図。
【図17】IPアドレス間の距離でクラスタリングする際の動作例を示す図。
【図18】複数の攻撃で重複したIPアドレスを考慮する際の攻撃情報管理テーブル121のデータ例を示す図。
【図19】複数の攻撃で重複したIPアドレスを考慮する際のクラスタ管理テーブル122のデータ例を示す図。
【図20】複数の攻撃の種類で使用されたIPアドレスからの距離でクラスタリングする際の動作例を示す図。
【図21】クラスタ属性を拡張した際のクラスタ管理テーブル122のデータ例を示す図。
【発明を実施するための形態】
【0017】
<調査1>
あるハニーポットで収集した攻撃情報が、複数種類の攻撃に使用されていれば、一種類のハニーポットで収集した攻撃情報を複数種類の攻撃に共通したブラックリスト情報として効率的に活用できる。そこで、複数種類の攻撃で使用されるIPアドレスの有無を確認するために、Windows(登録商標)OS対応ハニーポットDen-DenHoney(以下「DDH」という、参考文献1参照)とWebクライアント型ハニーポットMarionette(以下「Mari」という、非特許文献5参照)とWebサーバ型ハニーポットWeb Phantom(以下「WP」という、非特許文献4及び参考文献2参照)で収集した攻撃元IPアドレス、悪性WebサイトのIPアドレス及びMDSのIPアドレスの一致性を調査した。
(参考文献1)青木一史, 川古谷裕平, 秋山満昭, 岩村誠,針生剛男, 伊藤光恭. "能動的攻撃と受動的攻撃に関する調査および考察", 情報処理学会論文誌, Sep 2009, Vol.50, No.9, pp.2147-2162
(参考文献2)T. Yagi, N. Tanimoto, T. Hariu and M. Itoh, "Design of Provider-Provisioned Website Protection Scheme against Malware Distribution", IEICE TRANS.COMMUN., May 2010, VOL.E93-B, NO5, pp1122-1130
【0018】
これらのIPアドレスの総称を「攻撃者IPアドレス」と定義する。各ハニーポットで収集した攻撃者IPアドレスの概要を図1に示す。さらに、各ハニーポット間で重複して観測された攻撃者IPアドレス数を図2に示す。図2に示すように、393のIPアドレスが複数種類のハニーポット間で重複して観測されていた。この結果、複数の攻撃に共通的に使用される攻撃者IPアドレスの存在を確認できた。しかし、複数種類の攻撃に対するブラックリストを一種類のハニーポットで効率的に生成するためには、あるハニーポットで収集した攻撃者IPアドレスが異なる種類のハニーポットで収集される可能性を推定する手法が必要となる。
【0019】
<調査2>
(概要)
IPアドレス間の構造的な距離に着目し、異なるハニーポットで収集したIPアドレスが密集する領域のIPアドレスは、複数のハニーポットで観測される可能性が高いと推測した。そこで、異なるハニーポットで収集した攻撃者IPアドレスの近接性と特徴を調査した。具体的には、各ハニーポットで収集したIPアドレスを、ヒルベルト曲線に基づく2次元グラフ上に配置した。さらに、2次元グラフ上のマンハッタン距離に応じて攻撃者IPアドレスをクラスタリングし、異なるハニーポットで収集した攻撃者IPアドレスが混在するクラスタの特徴を調査した。詳細を以下に示す。
【0020】
(攻撃者IPアドレスの2次元グラフ化)
ヒルベルト曲線は、再帰的に定義される空間充填曲線である。ヒルベルト曲線は、U字型の形状を基本図形として、図3に示すように、以下の式の再帰的な組み合わせで描画される。
DRU(n)=RDL(n-1)↓DRU(n-1)→DRU(n-1)↑LDR(n-1)
LUR(n)=ULD(n-1)←LUR(n-1)↑LUR(n-1)→DRU(n-1)
ULD(n)=LUR(n-1)↑ULD(n-1)←ULD(n-1)↓RDL(n-1)
RDL(n)=DRU(n-1)→RDL(n-1)↓RDL(n-1)↓ULD(n-1)
D:Down、L:Left、R:Right、U:Up
ここで、nはヒルベルト曲線の次数を示しており、式中の矢印は各方向への線分の描画を示している。
【0021】
ヒルベルト曲線上へのIPアドレスの配置に関しては、IPアドレスの隣接構造を保持しつつ近傍のIPアドレスを空間的に近い順に配置する手法(参考文献4参照)が検討されている。
(参考文献4)B. Irwin and N. Pilkington, "High Level Internet Scale Traffic Visualization Using Hilbert Curve Mapping", VizSEC, 2007, pp147-158
この調査では、IPv4アドレスの第1〜3オクテットの情報を12次のヒルベルト曲線上に配置することで2次元グラフを作成する。配置結果の一部を図4に示す。
【0022】
(攻撃者IPアドレスのクラスタリング)
2次元グラフ上にIPアドレスを配置することで、IPアドレス間の距離を座標によって定義できる。この調査では、ヒルベルト曲線を用いた格子上にIPアドレスを配置していることから、距離関数としてマンハッタン距離を適用する。k次元ベクトル点A(a1,a2,…,ak)、点B(b1,b2,…,bk)があるとき、AB間のマンハッタン距離dは次式で定義できる。
【0023】
【数1】
【0024】
但し、IPアドレスが距離的に隣接していたとしても、複数のAS(Autonomous System:インターネットなどの大規模IPネットワーク内にある、各組織が保有・運用する自立したネットワーク)に割り当てられた各IPアドレスの特徴はネットワーク構造的に異なる。そこで、点Aと点Bに相当するIPアドレスが異なるAS番号を持つ場合はd(A,B)=∞とすることで、ネットワーク構造を距離に反映させる。距離に基づいてIPアドレスをクラスタリングし、異なるハニーポットで収集したIPアドレスが混在するクラスタを調査する。本稿で適用した階層的クラスタリングの手順を以下に示す。ここでクラスタ間の距離は、最遠隣法を用いて定義する。最遠隣法とは、各クラスタから抽出したIPアドレスの最長距離をクラスタ間の距離とする方法である。
【0025】
1.IPアドレス間の距離dを計算する。
2.距離dが最小のIPアドレス間でクラスタを生成する。
3.生成したクラスタと他クラスタ及び他IPアドレスに対して、距離が最小の2つを結合してクラスタを生成する。
4.全てのクラスタ、IPアドレスが結合されるまで1〜3を繰り返す。
【0026】
上記のクラスタ形成過程の一部を図5に示す。図5では、縦軸がIPアドレス間の距離dを示しており、横軸にIPアドレスを配置し、距離3において縦軸で各IPアドレスを結合することで、デンドログラムを生成している。ここで、距離に応じて木構造を分割し、一定の距離以内のIPアドレス群をクラスタとして抽出する。各クラスタに異なるハニーポットで収集した攻撃者IPアドレスが混在する場合、このクラスタを混在クラスタと定義し、異なる種類の攻撃が近傍のIPアドレスを用いて実施されていると判断する。
【0027】
(攻撃者IPアドレスの分析)
提案の相関解析では、クラスタリングするIPアドレス間の距離に応じて、クラスタ内のIPアドレスの特性が変化する。そこで、距離に応じたクラスタ数とクラスタ内IPアドレス数の変化を調査した。なお、今回は、図1に示すデータを用いた評価実験1と、CCC DATAset 2010・2011とD3M 2010・2011(参考文献5参照)を用いた評価実験2を実施した。
(参考文献5)畑田充弘, 中津留勇, 秋山満昭, "マルウェア対策のための研究用データセット〜MWS2011 Datasets〜",MWS2011, 2011 年10月
【0028】
評価実験2で用いたIPアドレスの概要を図6に示す。さらに、Windows(登録商標)OSへの攻撃を収集した結果であるCCCDATAsetとWebクライアントへの攻撃を収集した結果であるD3Mにおいて重複したIPアドレス数を図7に示す。
【0029】
各評価実験において、クラスタリングする際の距離に対する、総クラスタ数や混在クラスタ数及び混在クラスタ内の総IPアドレス数を調査した結果を図8と図9に示す。一般的に、距離の増加に伴ってクラスタ内のIPアドレスは増加する。このため、距離に対して、総クラスタ数は単調減少し、混在クラスタの発生確率は単調増加する。図8では、距離6において混在クラスタ数が最大値を示している。これは、1つの混在クラスタ中に含まれるIPアドレス群の範囲が広がり、全体の混在クラスタ数が減少したためだと考えられる。さらに、図8では、混在クラスタ内の総IPアドレス数は距離に応じて増加している。総IPアドレス数の増加は、異種ハニーポット間で重複して観測される可能性が低いIPアドレスが混在する原因となる可能性もある。このため、距離6によってクラスタリングすることで、異種ハニーポット間で重複して観測される可能性が高いIPアドレスを効率的に抽出できると考えられる。なお、図9では図8のような現象を確認できない。これは、図1と図6に示すように、データ内に含まれるIPアドレス数が異なっているためだと考えられる。以上から、相関解析の対象となるIPアドレス数に応じて、適切な距離でIPアドレスをクラスタリングすることで、異種ハニーポット間で重複して観測される可能性が高いIPアドレスを効率的に抽出できると考えられる。本調査により、攻撃者が使用するIPアドレス空間において、複数のハニーポットで収集した攻撃者IPアドレスが密集する空間の存在が明らかになった。この現象は、特定のIPアドレス空間における、複数種類のマルウェア検体への多重感染や、攻撃者によるボットの有効活用に起因して発生しているものと考えられる。データセットのIPアドレス数が示すように、各ハニーポットで収集できる攻撃者IPアドレス数には大きな偏りがある。具体的には、近年脅威が増大しているWebブラウザやWebアプリケーションの脆弱性を対象とした攻撃と比較して、Windows(登録商標)OSの脆弱性を対象とした従来の機械的な攻撃件数が非常に多い。このため、Windows(登録商標)OSの脆弱性への攻撃を送信するIPアドレスに対して提案の相関解析を適用することで、悪性WebサイトやMDS及びマルウェア検体などの攻撃者情報を効率的かつ効果的に収集できる可能性が高いと考えられる。
【0030】
攻撃者IPアドレスをその距離に応じてクラスタリングすることで、異なるハニーポットで収集したIPアドレスが混在する可能性が高いIPアドレス空間を抽出できる。さらに、Windows(登録商標)OSの脆弱性への攻撃の情報を用いて、WebブラウザやWebアプリケーションに対する攻撃への対策を加速させることで、多種多様な攻撃からユーザを保護可能なネットワークを構築できると考えられる。
【0031】
本発明は、上述の調査結果に基づき、混在クラスタを発見する技術を実現するものである。以下、本発明の実施形態について説明する。なお、以下の説明に用いる図面では、同じ機能を持つ構成部や同じ処理を行うステップには同一の符号を記し、重複説明を省略する。
【0032】
<第一実施形態に係る攻撃情報管理システム10>
図10は、本実施形態に係る攻撃情報管理システム10のネットワーク構成例を示す。攻撃情報管理システム10は、攻撃情報管理装置100と、Webサーバ型囮システム22及び32と、Webクライアント型囮システム33及び42と、OS型囮システム52及び53とを含む。攻撃情報管理装置100とWebサーバ型囮システム22とはネットワーク21を介して接続され、攻撃情報管理装置100とWebサーバ型囮システム32及びWebクライアント型囮システム33とはネットワーク31を介して接続され、攻撃情報管理装置100とWebクライアント型囮システム42とはネットワーク41を介して接続され、攻撃情報管理装置100とOS型囮システム52及び53とはネットワーク51を介して接続される。言い換えると、各囮システム22、32、33、42、52及び53は、ネットワーク21、31、41及び51を経由して攻撃情報管理装置100との到達性が確保されている。インターネットに代表される広域ネットワーク61に対して、Webサーバ型囮システム22及び32と、Webクライアント型囮システム33及び42と、OS型囮システム52及び53とが配置される。
【0033】
各囮システム22、32、33、42、52及び53は、それぞれ既存の技術(例えば上述の従来技術)を用いて、マルウェアに関する情報を収集する。
【0034】
<攻撃情報管理装置100>
図11は攻撃情報管理装置100の機能構成例を、図12は攻撃情報管理装置100の処理フローを示す。攻撃情報管理装置100は、攻撃情報分析部110と、攻撃情報管理部120と、攻撃情報管理テーブル121と、クラスタ管理テーブル122と、囮システム管理部131と、囮システム情報収集部132と、囮システム通知部133とを含む。
【0035】
(囮システム管理部131)
囮システム管理部131は、攻撃情報管理装置100が収容する各囮システムに通知を送受信するために必要となる転送情報を保有する。転送情報とは、例えば、囮システムのIPアドレス等である。さらに、囮システム管理部131は、各囮システムの状態を管理する機能を有している。以下、後述する囮システム情報収集部132が攻撃情報の収集する方法としては、(1)各囮システムがトラップとして自律的に攻撃情報を送信する方法や(2)攻撃情報管理装置100がポーリングをして自律的に各囮システムが保有する攻撃情報を閲覧し収集する方法等が考えられる。各方法における各囮システムの状態を管理する方法を例示する。
【0036】
(トラップの場合)囮システム管理部131は、各囮システムからトラップを受信する際に必要となるメッセージの送受信の状態を管理する(図13参照)。さらに、トラップを受信した時間を記憶する機能を有してもよい。
【0037】
(ポーリングの場合)囮システム管理部131は、各囮システムにポーリングを行う際に必要となるメッセージの送受信の状態を管理する。さらに、タイマを保有し、各囮システムに対する次のポーリングまでの残り時間を管理する(図14参照)。
【0038】
(囮システム情報収集部132)
囮システム情報収集部132は、囮システム管理部131の情報に基づき、攻撃情報管理装置100が収容する各囮システムから攻撃情報を収集し、後述する攻撃情報管理部120に攻撃情報と囮システムの種別との組合せを送信する。
【0039】
例えば、(1)トラップを受信した場合には、その送信元IPアドレスが、囮システム管理部131に保有されている転送情報に存在するか否かを確認し、存在する場合には、その攻撃情報と囮システムの種別を受信する。存在しない場合には、そのトラップを破棄する。また、前回の受信時間から所定時間以上超えた場合には、囮システム情報収集部132が対応する囮システムに対して新たな攻撃情報がないかを問合せる構成としてもよい。
【0040】
(2)ポーリングの場合には、残り時間が0になったときに、対応する囮システムの転送情報を囮システム管理部131から取得し、その囮システムを閲覧し、新たな攻撃情報がある場合には、その攻撃情報と囮システムの種別を受信する。なお、各囮システムが所定時間を越えると、囮システム情報収集部132に全ての攻撃情報、または、新たな攻撃情報を送信する構成としてもよい。
【0041】
トラップやポーリングの送受信に関する技術は従来技術を応用でき、例えば、ルータやスイッチの故障を管理するサーバや、ルータやスイッチのトラヒック情報を管理するサーバにおいて用いる技術を応用することで、上述のトラップやポーリングの送信を実現できる。また、囮システムから攻撃情報を収集する方法としてトラップやポーリング以外の従来技術を用いてもよい。
【0042】
(囮システム通知部133)
囮システム通知部133は、囮システム管理部131の転送情報を用いて、各囮システムへの制御指示を送信する。具体的には、各囮システムと制御指示とのインターフェースを規定し、後に記述する攻撃情報管理部120が生成した制御指示をインターフェース規定に従った通知に変換して送信する。制御指示の内容については後述する。
【0043】
(攻撃情報管理テーブル121)
攻撃情報管理テーブル121には、攻撃情報と、その攻撃情報を収集した囮システムの種別と、クラスタ識別子との組合せが記憶される(図15参照)。
【0044】
攻撃情報は、マルウェアに関する情報であって、各囮システムが収集した情報である。各囮システムが収集した情報を記憶する機能を有している場合には、その記憶している情報と同じ情報を攻撃情報としてもよい。攻撃情報は、具体的には図15に示すように、攻撃に使用されたIPアドレスやURLが該当するが、観測時間や攻撃コードや収集した検体など、他の情報を含んでもよい。
【0045】
囮システムの種別は、対象とするマルウェアの攻撃経路によって区別される。本実施形態では、上述のOS型囮システム、Webクライアント型囮システム、Webサーバ型囮システム(図中それぞれ「OS」、「Webクライアント」、「Webサーバ」と示す)としているが、その他の種別の囮システムを用いてもよい。例えば、Android(登録商標)OSやAndroid(登録商標)用ブラウザの脆弱性を対象として攻撃するマルウェアの攻撃情報を収集する囮システム等が考えられる。
【0046】
クラスタ識別子は、後述する攻撃情報分析部110において、クラスタリングされた攻撃情報が所属するクラスタの識別子である。
【0047】
なお、攻撃情報管理装置100が収容する各囮システムに識別子(以下「囮システム識別子」という)を付与しておき、攻撃情報管理テーブル121の囮システムの種別には、囮システム識別子を記憶する構成としてもよい。この場合、囮システム識別子と囮システムの種別の対応関係を別のテーブルに記憶しておき、後述するクラスタ属性は、囮システムの種別に応じて変更する。例えば、Webサーバ型ハニーポットを複数収容する場合は、Webサーバ1やWebサーバ2と、囮システムを区別し、攻撃情報管理テーブル121の囮システム種別欄には、その囮システム識別子Webサーバ1やWebサーバ2を記憶する。さらに、別のテーブルに囮システム識別子Webサーバ1やWebサーバ2を、囮システムの種別「Webサーバ」に対応付けて記憶する。このような構成とすることで、攻撃情報に応じて、囮システムの種別毎ではなく、個々の囮システム毎に制御指示を通知することができる。
【0048】
(クラスタ管理テーブル122)
クラスタ管理テーブル122には、クラスタ識別子とクラスタ属性との組合せが記憶される(図16参照)。
【0049】
クラスタ属性とは、クラスタに所属する攻撃情報が一つの種別の囮システムから得られたものか、複数の種別の囮システムから得られたものかを示すものであって、一つの種別の囮システムから得られたものの場合には、その種別をクラスタ属性とし、複数の種別の囮システムから得られたものの場合には、「混在」をクラスタ属性とする。以下、クラスタ属性が「混在」であるクラスタを混在クラスタという。
【0050】
例えば、図15の例では、三つのエントリに対しクラスタ識別子201が付与されている。そして、その三つのエントリの囮システム種別は、「Webクライアント」、「OS」、「Webサーバ」であり、クラスタ識別子201に所属する攻撃情報は複数の種別の囮システムから得られたものである。よって、図16では、クラスタ属性を「混在」として記憶する。また、二つのエントリに対しクラスタ識別子102が付与されている。そして、その二つのエントリの囮システム種別は、「Webクライアント」であり、クラスタ識別子102に所属する攻撃情報は同一の種別の囮システムから得られたものである。よって、図16では、クラスタ属性を「Webクライアント」として記憶する。
【0051】
(攻撃情報管理部120)
攻撃情報管理部120は、囮システム情報収集部132から攻撃情報と、その攻撃情報を収集した囮システムの種別との組合せを受信し(s1、図12参照)、その組合せが既に攻撃情報管理テーブル121に存在するか否かを判定する。重複する組合せが存在する場合(s2)、重複する組合せを更新する(s3)。なお、既存のテーブル管理方式を用いて更新すればよい。例えば、過去の情報を削除する方式や、最新情報をアクティブな情報として登録するとともに過去の情報をアーカイブする方式や、過去の観測回数のカウンタを設置する方式等がある。
【0052】
重複する組合せが存在しない場合(s2)、攻撃情報管理テーブル121にその組合せを記憶(登録)するとともに、その攻撃情報が所属するクラスタを後に記述する攻撃情報分析部110に問合せる(s4)。
【0053】
後述する攻撃情報分析部110は、問合せを受けた攻撃情報を用いてクラスタリングを行い(s5)、その結果を攻撃情報管理部120に返す。なお、クラスタリングの手法としては既存の技術を用いることができる。例えば、(1)過去の攻撃情報とそのクラスタとの関係を維持したまま、問合せを受けた攻撃情報を何れかのクラスタ、または、新たなクラスタに所属させてもよい。この場合、クラスタリングの結果として、問合せを受けた攻撃情報のクラスタ識別子のみを攻撃情報管理部120に返す。また、(2)過去の攻撃情報とクラスタとの関係を維持せずに、問合せを受けた攻撃情報と過去の攻撃情報とをまとめてクラスタリングし、全ての攻撃情報を新たなクラスタに所属させてもよい。この場合、クラスタリングの結果として、全ての攻撃情報とそのクラスタ識別子の組合せを攻撃情報管理部120に返す。何れの場合であっても問合せを受けた攻撃情報のクラスタ識別子は少なくとも返す。
【0054】
攻撃情報管理部120は、クラスタリングの結果を受け取り、攻撃情報管理テーブル121の対応するエントリのクラスタ識別子欄に問合せ結果を記憶する(s6)。なお、(1)過去の攻撃情報とクラスタとの関係を維持したままクラスタリングを行った場合には、問合せを受けた攻撃情報に対するクラスタ識別子のみを受け取り、その攻撃情報のクラスタ識別子欄に記憶する。また(2)過去の攻撃情報とクラスタとの関係を維持せずに、問合せを受けた攻撃情報と過去の攻撃情報とをまとめてクラスタリングを行った場合、全ての攻撃情報と各攻撃情報に対応するクラスタ識別子の組合せを受け取り、問合せを受けた攻撃情報に対するクラスタ識別子をその攻撃情報のクラスタ識別子欄に記憶し、さらに、各攻撃情報とそのクラスタ識別子の対応関係に変更があった場合には、変更があった攻撃情報のクラスタ識別子欄を更新する。
【0055】
さらに、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、攻撃情報管理部120はクラスタ管理テーブル122を変更する(s8)。例えば、(1)OS型囮システムで収集された攻撃情報が何れのクラスタにも属さず、新たなクラスタを設けた場合には、その新たなクラスタ識別子をクラスタ管理テーブル122のクラスタ属性「OS」に関連付けて記憶する。また、(2)Webサーバ型囮システムで収集された攻撃情報のみが存在していたクラスタに他の囮システムで収集された攻撃情報が割り当てられた場合、攻撃情報管理部120は、クラスタ管理テーブル122のクラスタ識別子に対するクラスタ属性を「Webサーバ」から「混在」に変更する。
【0056】
なお、囮システム情報収集部132から攻撃情報としてURL情報のみを通知された場合、攻撃情報管理部120は、インターネット上の情報を用いて当該URLに該当するIPアドレスを特定して攻撃情報として攻撃情報管理テーブル121に記憶する構成としてもよい。この際のインターネット上の情報としては、whois情報やDNS情報が該当するため、情報の収集は既存の技術で実現できる。
【0057】
また、Webサーバ型囮システムでは、一回の攻撃で攻撃元とMDSの攻撃情報が収集される場合がある。また、Webクライアント型囮システムでは、一回の攻撃で複数の改竄されたWebサイトや攻撃コードを送信するWebサイトの攻撃情報が収集される場合がある。この場合、攻撃情報管理部120は、攻撃情報の欄を追記し、攻撃元とMDSを識別する情報を記述したり、改竄されたWebサイトであるか攻撃コードを送信するWebサイトであるかを識別する情報を記述したりしてもよい。また、攻撃情報の欄を追記し、一回の攻撃に関する情報に一つの識別子を付与することで、一回の攻撃で収集した攻撃情報を特定できるようにしてもよい。
【0058】
(攻撃情報分析部110)
攻撃情報分析部110は、攻撃情報管理部120から攻撃情報に対するクラスタ識別子の問合せを受信した際に、受信した攻撃情報に基づきクラスタリングを行う。この際、攻撃情報分析部110は、過去の分析データを保有しておき、これを用いてクラスタリングを行ってもよいし、攻撃情報管理テーブル121を閲覧することで分析に必要な攻撃情報を収集しクラスタリングしてもよい。
【0059】
攻撃情報分析部110は、(1)新たに受信した攻撃情報が、既に過去の攻撃情報から作成したクラスタの何れかに所属するか否かを判定してもよいし、(2)新たに受信した攻撃情報と過去の攻撃情報を用いてクラスタリングをしなおしてもよい。(1)の場合はクラスタリングの結果として新たに受信した攻撃情報に対するクラスタ識別子のみを攻撃情報管理部120に送信し、(2)の場合はクラスタリングの結果として全ての攻撃情報と各攻撃情報に対応するクラスタ識別子の組合せを攻撃情報管理部120に送信する。
【0060】
クラスタリングする方式は、複数の方式が考えられる。例えば、調査2において説明した方式などがある。攻撃情報に記述されたIPアドレスの距離が一定値以下のIPアドレス群をクラスタリングする場合、例えば、ヒルベルト曲線上にIPアドレスを配置して二次元グラフを作成してIPアドレス間の距離を計算する手法や、IPアドレスをビット列に変換して距離を計測する手法や、IPアドレスのビット列を10進法に変換して距離を計測する手法がある。また、クラスタリングの際には、階層的クラスタリングなどの既存手法が適用できる。
【0061】
なお、クラスタリングする際の距離はオペレータが設定する。例えば、図8に示すように、混在クラスタ数が最大となる距離が存在する場合には、その距離をクラスタの距離として設定することで、異なる種別の囮システム間で重複して観測される可能性が高いIPアドレスを効率的に抽出できる。
【0062】
また、IPアドレスの距離に基づいてクラスタリングする場合、IPアドレスを保有するAS(autonomous system)を加味する必要がある。これは、ASによってネットワーク構造が大きく異なり、IPアドレスが隣接していたとしても、ASが異なればネットワーク構造的には隣接に存在するとはいえないためである。IPアドレスのAS情報は前述のwhois情報やDNS情報のようにインターネット上の情報から特定できる。このため、攻撃情報分析部110は、IPアドレスの距離でクラスタリングする場合は、AS情報を収集し、ASが異なるIPアドレス間の距離を無限大としてクラスタリングする。
【0063】
攻撃情報分析部110は、クラスタリングの計算結果を攻撃情報管理部120に送信する。
【0064】
図17は、ヒルベルト曲線上にIPアドレスを配置し、IPアドレスを距離でクラスタリングした際の概要を示している。図中、◎は複数の囮システムで収集されたIPアドレスを、○はWebサーバ型囮システムで収集されたIPアドレスを、破線の○はWebクライアント型囮システムで収集されたIPアドレスを、●はOS型囮システムで収集されたIPアドレスを、一点鎖線の○はクラスタを示す。ヒルベルト曲線上にIPアドレスを配置する場合、全IPアドレスは二次元グラフ上に配置される。このため、IPアドレス間の距離は、ユークリッド距離でも、マンハッタン距離でも表現できる。距離でクラスタリングした場合、例えば一点鎖線の○で示すIPアドレス群がクラスタリングされる。この際、異なる種類の囮システムで収集されたIPアドレスが混在するクラスタが発生する。なお、図中、左上に一点鎖線の○が重複する箇所が存在する。重複を許容する場合は一つのIPアドレスが複数のクラスタに属することになるため、当該エントリのクラスタ識別子に複数の番号が付与される。重複を許容するか否かはクラスタリング手法により異なる。クラスタは攻撃情報管理テーブル121における1エントリから構成される場合もある。
【0065】
<効果>
このような構成により、攻撃情報をクラスタリングすることで、異なる囮システムで収集した攻撃情報が混在する可能性が高い領域を抽出することができる。混在クラスタは、異なる種別の囮システムで収集したIPアドレスが混在する可能性が高いIPアドレス空間を示すことになる。
【0066】
よって、混在クラスタに所属するIPアドレス領域をブラックリストとし、セキュリティアプライアンスにおけるフィルタリングに利用することができる。
【0067】
さらに、このIPアドレス空間に対して囮システムを仕掛けることでより効率的にさらなる攻撃情報を収集することができる。このため、複数種類の囮システムを用いた攻撃情報の収集を効率化できる。以下、混在クラスタのIPアドレス空間に対して囮システムを仕掛ける方法を説明する。
【0068】
<混在クラスタを利用した攻撃情報の収集方法>
攻撃情報管理部120は、新たな攻撃情報のクラスタ識別子がクラスタ属性「混在」に関連付けられた際に、各囮システムに制御指示を送信するよう囮システム通知部133に通知する。
【0069】
攻撃情報管理部120は、混在クラスタに関する情報に基づき、混在クラスタ内を各囮システムが検査するように制御指示を作成する。
【0070】
例えば、Webサーバ型囮システムやOS型囮システムにおいて新たに収集した攻撃情報が、Webクライアント型囮システムで収集した攻撃情報と同一のクラスタに属した場合、攻撃情報管理部120は、混在クラスタに所属するIPアドレスやURLに対して、前述のwhois情報やDNS情報などインターネット上の情報を参照することで、対応するホスト情報を特定し、ホスト情報が含まれるURLを検索エンジンで検索することで、当該IPアドレスやURLを保有するホストに対応するURLリストを抽出する。抽出したURLリストを各Webクライアント型囮システムが巡回検査するように制御指示を作成する。囮システム通知部133は、上述の通知を受け取ると、制御指示を各Webクライアント型囮システムのインターフェース規定に従った形式に変換して送信する。
【0071】
なお、上述の場合、各囮システムが、ホスト情報の特定、URL抽出を行う構成としてもよい。その場合、攻撃情報管理部120は、混在クラスタのIPアドレス空間を制御指示の一部とし、各Webクライアント型囮システムがそれに基づきホスト情報の特定、URL抽出し、抽出したURLリストを巡回検査するように制御指示を作成すればよい。
【0072】
また、Webクライアント型囮システムやOS型囮システムにおいて新たに収集した攻撃情報が、Webサーバ型囮システムで収集した攻撃情報と同一のクラスタに属した場合、攻撃情報管理部120は、混在クラスタに所属するIPアドレスやURLに対して、前述のwhois情報やDNS情報等インターネット上の情報を参照することで、対応するホスト情報を特定し、ホスト情報が含まれるURLを検索エンジンで検索することで、当該IPアドレスやURLを保有するホストに対応するURLリストを抽出する。抽出したURLリストを各Webサーバ型囮システムで検査するように制御指示を作成する。囮システム通知部133は、上述の通知を受け取ると、制御指示を各Webサーバ型囮システムのインターフェース規定に従った形式に変換して送信する。この際、Webサーバ型囮システムにおいては、攻撃者の役割を攻撃情報管理装置100が担う場合や攻撃者の役割を保有する機能をWebサーバ型囮システムに保有させる場合等がある。前者の場合、攻撃情報管理装置100は、Webサーバ型囮システムに対し、自身が抽出したURLリストに記載された各URLへのファイル取得命令を送信する。この場合、命令を受けたWebサーバ型囮システムは、攻撃者から命令を受けた際と同じく、URLからファイルをダウンロードして実行するため、マルウェアが配置されたURLを特定できる。一方、後者の場合、攻撃情報管理装置100は、URLをWebサーバ型囮システムに通知し、通知を受信したWebサーバ型囮システムが、自身の内部で当該URLに対するファイル取得を、攻撃者からのアクセスを当該URLを用いる形で再現することで、実施する。この結果、Webサーバ型囮システムは、攻撃者からの命令を受けたサイトと同じく、URLからファイルをダウンロードして実行するため、マルウェアが配置されたURLを特定できる。
【0073】
なお、上述の場合、各囮システムが、ホスト情報の特定、URL抽出を行う構成としてもよい。その場合、攻撃情報管理部120は、混在クラスタのIPアドレス空間を制御指示の一部とし、各Webサーバ型囮システムがそれに基づきホスト情報の特定、URL抽出し、抽出したURLリストを検査するように制御指示を作成すればよい。
【0074】
このような構成とすることで、無作為に検査するよりも効率的に攻撃情報を収集できる。
【0075】
<その他の変形例>
第一実施形態では、攻撃情報のうち、IPアドレスを用いてクラスタリングを行っているが、URL等他の情報を用いてクラスタリングを行ってもよい。例えば、URLの場合はドメイン名やパス名でクラスタリングを行う。
【0076】
ネットワーク21、31、41及び51は、管理用ネットワークとして他のネットワークと独立させ専用回線としてもよい。また、本実施形態では、ネットワークが複数のネットワーク21、31、41及び51によって構成されているが一つのネットワークで構成してもよい。
【0077】
なお、攻撃情報管理テーブル121は、囮システムの種別、攻撃情報、クラスタ識別子に加えて、他の攻撃と重複する攻撃情報を保有するエントリにフラグを立てるための欄を追加してもよい(図18参照)。この場合、攻撃情報管理部120は、囮システム情報収集部132から攻撃情報と囮システムの種別を受け取り、攻撃情報が同一の場合には、重複欄にフラグを立てる。この場合、攻撃情報分析部110は、囮システムの種別が異なり、攻撃情報が重複するエントリが混在するクラスタ(以下「重複混在クラスタ」という)に対して、そのことを示すクラスタ属性を付与してもよい(図19参照)。攻撃情報管理部120は、攻撃情報分析部110からクラスタ識別子と攻撃情報を受け取ると、そのクラスタ識別子をクラスタ属性「重複混在」に関連付けてクラスタ管理テーブルに記憶(登録)する。図18及び図19の例では、クラスタ識別子「201」は、囮システム種別「Webクライアント」と「OS」の間で攻撃情報が同一である。よって、クラスタ識別子「201」をクラスタ属性「重複混在」に関連付けて記憶する。
【0078】
重複IPアドレスからの距離が一定値以内のIPアドレス空間は、異なる種別の囮システムで収集したIPアドレスが混在する可能性が高いと考えられるので、攻撃情報分析部110は、重複IPアドレスからの距離が一定値以内のIPアドレスをクラスタリングする構成とする。図20は、ヒルベルト曲線上にIPアドレスを配置し、複数の囮システムで観測されたIPアドレスに近接したIPアドレスをクラスタリングした際の概要を示している。この場合、図17の結果とクラスタリングの結果が異なる。このため重複混在クラスタを特別なクラスタとして個別に管理してもよい。
【0079】
さらに、混在クラスタや重複混在クラスタに関して、どの囮システム種別の情報が混在するかを管理してもよい。具体的には、図21に示すクラスタ管理テーブル122を保有する。この際、重複混在クラスタを管理しない場合は、それ以外のクラスタ属性から構成されるテーブルとすればよい。このような構成とすることで、特定の種別の囮システムから攻撃情報を集中的に収集することができる。例えば、Webブラウザの脆弱性を対象として攻撃するマルウェアに関する攻撃情報を集中的に収集したい場合には、「Webクライアント」と他の囮システム(「OS」や「Webサーバ」)との混在クラスタに対して囮システムを仕掛ければよい。
【0080】
本発明は上記の実施形態及び変形例に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
【0081】
<プログラム及び記録媒体>
上述した攻撃情報管理装置100及び各囮システムは、コンピュータにより機能させることもできる。この場合はコンピュータに、目的とする装置(各種実施例で図に示した機能構成をもつ装置)として機能させるためのプログラム、またはその処理手順(各実施例で示したもの)の各過程をコンピュータに実行させるためのプログラムを、CD−ROM、磁気ディスク、半導体記憶装置などの記録媒体から、あるいは通信回線を介してそのコンピュータ内にダウンロードし、そのプログラムを実行させればよい。
【技術分野】
【0001】
本発明は、囮システムが収集した情報を管理する攻撃情報管理技術に関する。
【背景技術】
【0002】
従来は、オペレーションシステム(Operating System、以下「OS」という)の脆弱性を対象として攻撃するマルウェアが多かったが、近年では、Webブラウザの脆弱性を対象として攻撃するマルウェアや、Webアプリケーションの脆弱性を対象として攻撃するマルウェアが増加している。なお、マルウェアとは、悪意あるソフトウェアや悪質なコードの総称であり、例えばコンピュータウィルスやワームであり、他にクラックツール、スパイウェア、悪質なアドウェア等も含む。これらのマルウェアへの対策として、従来からハニーポットと呼ばれる囮システムが研究開発されている。ハニーポットはマルウェアに関する情報(以下「攻撃情報」という)を収集するものである。マルウェアは対象の脆弱性によって攻撃方法が異なるため複数種類のマルウェアが存在し、各マルウェアに対してハニーポットが研究開発され、複数種類のハニーポットが存在する。以下、3種類のマルウェア及びハニーポットについて説明する。
【0003】
(1)攻撃者は、例えばWindows(登録商標)OSのセキュリティホールを利用して、マルウェアを送信し、実行させる。OSへの攻撃を収集するハニーポット(以下「OS型ハニーポット」または「OS型囮システム」という)では、マルウェア自体に加え、OS型ハニーポットにアクセスしてきた攻撃者のIPアドレスを収集する(非特許文献1及び2参照)。
【0004】
(2)攻撃者は攻撃対象となるWebサーバにWebサーバ型マルウェアをダウンロードさせるためのマルウェアダウンロードサイト(以下「MDS」という)を予め用意しておく。攻撃者はWebサーバに対してMDSからマルウェアをダウンロードさせるための攻撃コードをHTTPリクエストメッセージとして送信する。HTTPリクエストメッセージを受信したWebサーバはMDSからマルウェアをダウンロードし実行する。Webアプリケーションへの攻撃を収集するWebサーバ型ハニーポット(以下「Webサーバ型ハニーポット」または「Webサーバ型囮システム」という)は、マルウェア自体に加え、HTTPリクエストメッセージを送信してきた攻撃者のIPアドレスと、MDSのIPアドレス及びURLを収集する(非特許文献3及び4参照)。
【0005】
(3)攻撃者はアクセスしてきたWebブラウザに対しマルウェアを送信し、実行させる悪性サイトを用意しておく。Webブラウザへの攻撃を収集するWebクライアント型ハニーポット(以下「Webクライアント型ハニーポット」または「Webクライアント型囮システム」という)は、Webサイトを巡回し、アクセスした際にリダイレクトさせられるWebサイトやマルウェアを送信するWebサイトのURL及びIPアドレス、マルウェア自体を収集する(非特許文献5参照)。
【0006】
各ハニーポットで収集した情報の内、マルウェア自体を検体(マルウェアのサンプル)と呼び、IPアドレスやURLを攻撃情報と呼ぶ。攻撃情報は、セキュリティアプライアンスにおいて、ブラックリスト情報として活用できる。なお、セキュリティアプライアンスとは、ユーザ環境とインターネット間に配置され、ウイルスや不正アクセスといったインターネット上の外部の脅威からユーザ環境を守るための装置であり、ファイアウオール、VPN(Virtual Private Network)、IDS(Intrusion Detection System)、IPS(Intrusion Prevention/Protection System)及びアンチウイルスの何れかの機能、またはこれらの機能を統合した機能を実現する装置である。
【0007】
例えば、Webクライアントを収容するセキュリティアプライアンスは、Webクライアント型ハニーポットで収集したURLやIPアドレスとの通信をフィルタリング(遮断)する。また、Webサーバを収容するセキュリティアプライアンスは、Webサーバ型ハニーポットで収集したURLやIPアドレスとの通信をフィルタリングする。
【0008】
さらに、マルウェア動的解析器を用いてWebサーバ型ハニーポットで収集した検体を解析することで、Command and Control(C&C)サーバのURLやIPアドレスをブラックリスト情報として利用できる技術が知られている(非特許文献4参照)。
【先行技術文献】
【非特許文献】
【0009】
【非特許文献1】"dionaea catches bugs", [online], Dionaea, [平成23年9月29日検索], インターネット<URL:http://dionaea.carnivore.it>
【非特許文献2】青木一史、川古谷裕平、岩村誠、伊藤光恭、“半透過性仮想インターネットによるマルウェアの動的解析”、マルウェア対策研究人材育成ワークショップ2009、2009年10月
【非特許文献3】"Web Application Honeypot", [online], The Honeynet Project, [平成23年9月29日検索], インターネット<URL:http://www.honeynet.org/gsoc/project8>
【非特許文献4】八木毅、谷本直人、針生剛男、伊藤光恭、“ハイブリッド型WebハニーポットWeb Phantomの設計”、信学技報、2010年11月、Vol.110、No.289、IN2010−85、pp.25−30
【非特許文献5】M.Akiyama, K.Aoki, Y.Kawakoya, M.Iwamura and M.Itoh, "Design and Implementation of High Interaction Client Honeypot for Drive-by-download Attacks", IEICE TRANS.COMMUN., May 2010, VOL.E93-B, NO5, pp1131-1139
【発明の概要】
【発明が解決しようとする課題】
【0010】
上述の通り、ハニーポットを用いることでマルウェアに関する情報を収集することができるが、設置可能なハニーポットの数はコスト的に制限されるため、ハニーポットから効率的に攻撃情報や検体を収集する技術が必要とされている。
【0011】
本発明は、異なるハニーポットで収集した攻撃情報が混在する可能性が高い領域を抽出できる技術を提供することを目的とする。
【課題を解決するための手段】
【0012】
上記の課題を解決するために、本発明の第一の態様に係る攻撃情報管理システムは、囮システムが収集したマルウェアに関する情報を管理する。攻撃情報管理システムは、複数の種別の囮システムと、攻撃情報を管理する攻撃情報管理装置とを含む。攻撃情報管理装置は、攻撃情報をクラスタリングする攻撃情報分析部と、攻撃情報と、その攻撃情報を収集した囮システムの種別と、クラスタリングされたその攻撃情報が所属するクラスタのクラスタ識別子との組合せが記憶される攻撃情報管理テーブルと、クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルと、攻撃情報を受信すると、その攻撃情報とその攻撃情報を収集した囮システムの種別との組合せを攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを攻撃情報分析部に問合せ、クラスタリングの結果として、その攻撃情報のクラスタ識別子を受け取り、攻撃情報管理テーブルに記憶し、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、クラスタ管理テーブルを変更する攻撃情報管理部とを含む。
【0013】
上記の課題を解決するために、本発明の第二の態様に係る攻撃情報管理装置は、囮システムが収集したマルウェアに関する情報(以下「攻撃情報」という)を管理する。攻撃情報管理装置は、攻撃情報をクラスタリングする攻撃情報分析部と、攻撃情報と、その攻撃情報を収集した囮システムの種別と、クラスタリングされたその攻撃情報が所属するクラスタのクラスタ識別子との組合せが記憶される攻撃情報管理テーブルと、クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルと、攻撃情報を受信すると、その攻撃情報とその攻撃情報を収集した囮システムの種別との組合せを攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを攻撃情報分析部に問合せ、クラスタリングの結果として、その攻撃情報のクラスタ識別子を受け取り、攻撃情報管理テーブルに記憶し、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、クラスタ管理テーブルを変更する攻撃情報管理部とを含む。
【0014】
上記の課題を解決するために、本発明の第三の態様に係る攻撃情報管理方法は、囮システムが収集したマルウェアに関する情報(以下「攻撃情報」という)を管理する。攻撃情報管理方法は、攻撃情報を受信し、攻撃情報とその攻撃情報を収集した囮システムの種別との組合せを攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを攻撃情報分析部に問合せ、攻撃情報をクラスタリングし、攻撃情報の所属するクラスタを示すクラスタ識別子を攻撃情報管理テーブルに記憶し、クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルにおいて、クラスタリングの結果、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、クラスタ管理テーブルを変更する。
【発明の効果】
【0015】
本発明に係る攻撃情報管理技術は、複数の種別の囮システムから得られた攻撃情報をクラスタリングすることで、異なる囮システムで収集した攻撃情報が混在する可能性が高い領域を抽出することができるという効果を奏する。
【図面の簡単な説明】
【0016】
【図1】分析対象の攻撃者IPアドレスの概要を示す図。
【図2】重複IPアドレス数を示す図。
【図3】ヒルベルト曲線の描画ルールを示す図。
【図4】IPアドレスのヒルベルト曲線上への配置例を示す図。
【図5】クラスタ形成過程の例を示す図。
【図6】各データセットのIPアドレス数を示す図。
【図7】重複するIPアドレス数を示す図。
【図8】評価実験1の結果を示す図。
【図9】評価実験2の結果を示す図。
【図10】攻撃情報管理システム10のネットワーク構成例を図。
【図11】攻撃情報管理装置100の機能構成例を示す図。
【図12】攻撃情報管理装置100の処理フローを示す図。
【図13】トラップにより攻撃情報を収集する場合に、囮システム管理部131が保有、管理するデータ例を示す図。
【図14】ポーリングにより攻撃情報を収集する場合に、囮システム管理部131が保有、管理するデータ例を示す図。
【図15】攻撃情報管理テーブル121のデータ例を示す図。
【図16】クラスタ管理テーブル122のデータ例を示す図。
【図17】IPアドレス間の距離でクラスタリングする際の動作例を示す図。
【図18】複数の攻撃で重複したIPアドレスを考慮する際の攻撃情報管理テーブル121のデータ例を示す図。
【図19】複数の攻撃で重複したIPアドレスを考慮する際のクラスタ管理テーブル122のデータ例を示す図。
【図20】複数の攻撃の種類で使用されたIPアドレスからの距離でクラスタリングする際の動作例を示す図。
【図21】クラスタ属性を拡張した際のクラスタ管理テーブル122のデータ例を示す図。
【発明を実施するための形態】
【0017】
<調査1>
あるハニーポットで収集した攻撃情報が、複数種類の攻撃に使用されていれば、一種類のハニーポットで収集した攻撃情報を複数種類の攻撃に共通したブラックリスト情報として効率的に活用できる。そこで、複数種類の攻撃で使用されるIPアドレスの有無を確認するために、Windows(登録商標)OS対応ハニーポットDen-DenHoney(以下「DDH」という、参考文献1参照)とWebクライアント型ハニーポットMarionette(以下「Mari」という、非特許文献5参照)とWebサーバ型ハニーポットWeb Phantom(以下「WP」という、非特許文献4及び参考文献2参照)で収集した攻撃元IPアドレス、悪性WebサイトのIPアドレス及びMDSのIPアドレスの一致性を調査した。
(参考文献1)青木一史, 川古谷裕平, 秋山満昭, 岩村誠,針生剛男, 伊藤光恭. "能動的攻撃と受動的攻撃に関する調査および考察", 情報処理学会論文誌, Sep 2009, Vol.50, No.9, pp.2147-2162
(参考文献2)T. Yagi, N. Tanimoto, T. Hariu and M. Itoh, "Design of Provider-Provisioned Website Protection Scheme against Malware Distribution", IEICE TRANS.COMMUN., May 2010, VOL.E93-B, NO5, pp1122-1130
【0018】
これらのIPアドレスの総称を「攻撃者IPアドレス」と定義する。各ハニーポットで収集した攻撃者IPアドレスの概要を図1に示す。さらに、各ハニーポット間で重複して観測された攻撃者IPアドレス数を図2に示す。図2に示すように、393のIPアドレスが複数種類のハニーポット間で重複して観測されていた。この結果、複数の攻撃に共通的に使用される攻撃者IPアドレスの存在を確認できた。しかし、複数種類の攻撃に対するブラックリストを一種類のハニーポットで効率的に生成するためには、あるハニーポットで収集した攻撃者IPアドレスが異なる種類のハニーポットで収集される可能性を推定する手法が必要となる。
【0019】
<調査2>
(概要)
IPアドレス間の構造的な距離に着目し、異なるハニーポットで収集したIPアドレスが密集する領域のIPアドレスは、複数のハニーポットで観測される可能性が高いと推測した。そこで、異なるハニーポットで収集した攻撃者IPアドレスの近接性と特徴を調査した。具体的には、各ハニーポットで収集したIPアドレスを、ヒルベルト曲線に基づく2次元グラフ上に配置した。さらに、2次元グラフ上のマンハッタン距離に応じて攻撃者IPアドレスをクラスタリングし、異なるハニーポットで収集した攻撃者IPアドレスが混在するクラスタの特徴を調査した。詳細を以下に示す。
【0020】
(攻撃者IPアドレスの2次元グラフ化)
ヒルベルト曲線は、再帰的に定義される空間充填曲線である。ヒルベルト曲線は、U字型の形状を基本図形として、図3に示すように、以下の式の再帰的な組み合わせで描画される。
DRU(n)=RDL(n-1)↓DRU(n-1)→DRU(n-1)↑LDR(n-1)
LUR(n)=ULD(n-1)←LUR(n-1)↑LUR(n-1)→DRU(n-1)
ULD(n)=LUR(n-1)↑ULD(n-1)←ULD(n-1)↓RDL(n-1)
RDL(n)=DRU(n-1)→RDL(n-1)↓RDL(n-1)↓ULD(n-1)
D:Down、L:Left、R:Right、U:Up
ここで、nはヒルベルト曲線の次数を示しており、式中の矢印は各方向への線分の描画を示している。
【0021】
ヒルベルト曲線上へのIPアドレスの配置に関しては、IPアドレスの隣接構造を保持しつつ近傍のIPアドレスを空間的に近い順に配置する手法(参考文献4参照)が検討されている。
(参考文献4)B. Irwin and N. Pilkington, "High Level Internet Scale Traffic Visualization Using Hilbert Curve Mapping", VizSEC, 2007, pp147-158
この調査では、IPv4アドレスの第1〜3オクテットの情報を12次のヒルベルト曲線上に配置することで2次元グラフを作成する。配置結果の一部を図4に示す。
【0022】
(攻撃者IPアドレスのクラスタリング)
2次元グラフ上にIPアドレスを配置することで、IPアドレス間の距離を座標によって定義できる。この調査では、ヒルベルト曲線を用いた格子上にIPアドレスを配置していることから、距離関数としてマンハッタン距離を適用する。k次元ベクトル点A(a1,a2,…,ak)、点B(b1,b2,…,bk)があるとき、AB間のマンハッタン距離dは次式で定義できる。
【0023】
【数1】
【0024】
但し、IPアドレスが距離的に隣接していたとしても、複数のAS(Autonomous System:インターネットなどの大規模IPネットワーク内にある、各組織が保有・運用する自立したネットワーク)に割り当てられた各IPアドレスの特徴はネットワーク構造的に異なる。そこで、点Aと点Bに相当するIPアドレスが異なるAS番号を持つ場合はd(A,B)=∞とすることで、ネットワーク構造を距離に反映させる。距離に基づいてIPアドレスをクラスタリングし、異なるハニーポットで収集したIPアドレスが混在するクラスタを調査する。本稿で適用した階層的クラスタリングの手順を以下に示す。ここでクラスタ間の距離は、最遠隣法を用いて定義する。最遠隣法とは、各クラスタから抽出したIPアドレスの最長距離をクラスタ間の距離とする方法である。
【0025】
1.IPアドレス間の距離dを計算する。
2.距離dが最小のIPアドレス間でクラスタを生成する。
3.生成したクラスタと他クラスタ及び他IPアドレスに対して、距離が最小の2つを結合してクラスタを生成する。
4.全てのクラスタ、IPアドレスが結合されるまで1〜3を繰り返す。
【0026】
上記のクラスタ形成過程の一部を図5に示す。図5では、縦軸がIPアドレス間の距離dを示しており、横軸にIPアドレスを配置し、距離3において縦軸で各IPアドレスを結合することで、デンドログラムを生成している。ここで、距離に応じて木構造を分割し、一定の距離以内のIPアドレス群をクラスタとして抽出する。各クラスタに異なるハニーポットで収集した攻撃者IPアドレスが混在する場合、このクラスタを混在クラスタと定義し、異なる種類の攻撃が近傍のIPアドレスを用いて実施されていると判断する。
【0027】
(攻撃者IPアドレスの分析)
提案の相関解析では、クラスタリングするIPアドレス間の距離に応じて、クラスタ内のIPアドレスの特性が変化する。そこで、距離に応じたクラスタ数とクラスタ内IPアドレス数の変化を調査した。なお、今回は、図1に示すデータを用いた評価実験1と、CCC DATAset 2010・2011とD3M 2010・2011(参考文献5参照)を用いた評価実験2を実施した。
(参考文献5)畑田充弘, 中津留勇, 秋山満昭, "マルウェア対策のための研究用データセット〜MWS2011 Datasets〜",MWS2011, 2011 年10月
【0028】
評価実験2で用いたIPアドレスの概要を図6に示す。さらに、Windows(登録商標)OSへの攻撃を収集した結果であるCCCDATAsetとWebクライアントへの攻撃を収集した結果であるD3Mにおいて重複したIPアドレス数を図7に示す。
【0029】
各評価実験において、クラスタリングする際の距離に対する、総クラスタ数や混在クラスタ数及び混在クラスタ内の総IPアドレス数を調査した結果を図8と図9に示す。一般的に、距離の増加に伴ってクラスタ内のIPアドレスは増加する。このため、距離に対して、総クラスタ数は単調減少し、混在クラスタの発生確率は単調増加する。図8では、距離6において混在クラスタ数が最大値を示している。これは、1つの混在クラスタ中に含まれるIPアドレス群の範囲が広がり、全体の混在クラスタ数が減少したためだと考えられる。さらに、図8では、混在クラスタ内の総IPアドレス数は距離に応じて増加している。総IPアドレス数の増加は、異種ハニーポット間で重複して観測される可能性が低いIPアドレスが混在する原因となる可能性もある。このため、距離6によってクラスタリングすることで、異種ハニーポット間で重複して観測される可能性が高いIPアドレスを効率的に抽出できると考えられる。なお、図9では図8のような現象を確認できない。これは、図1と図6に示すように、データ内に含まれるIPアドレス数が異なっているためだと考えられる。以上から、相関解析の対象となるIPアドレス数に応じて、適切な距離でIPアドレスをクラスタリングすることで、異種ハニーポット間で重複して観測される可能性が高いIPアドレスを効率的に抽出できると考えられる。本調査により、攻撃者が使用するIPアドレス空間において、複数のハニーポットで収集した攻撃者IPアドレスが密集する空間の存在が明らかになった。この現象は、特定のIPアドレス空間における、複数種類のマルウェア検体への多重感染や、攻撃者によるボットの有効活用に起因して発生しているものと考えられる。データセットのIPアドレス数が示すように、各ハニーポットで収集できる攻撃者IPアドレス数には大きな偏りがある。具体的には、近年脅威が増大しているWebブラウザやWebアプリケーションの脆弱性を対象とした攻撃と比較して、Windows(登録商標)OSの脆弱性を対象とした従来の機械的な攻撃件数が非常に多い。このため、Windows(登録商標)OSの脆弱性への攻撃を送信するIPアドレスに対して提案の相関解析を適用することで、悪性WebサイトやMDS及びマルウェア検体などの攻撃者情報を効率的かつ効果的に収集できる可能性が高いと考えられる。
【0030】
攻撃者IPアドレスをその距離に応じてクラスタリングすることで、異なるハニーポットで収集したIPアドレスが混在する可能性が高いIPアドレス空間を抽出できる。さらに、Windows(登録商標)OSの脆弱性への攻撃の情報を用いて、WebブラウザやWebアプリケーションに対する攻撃への対策を加速させることで、多種多様な攻撃からユーザを保護可能なネットワークを構築できると考えられる。
【0031】
本発明は、上述の調査結果に基づき、混在クラスタを発見する技術を実現するものである。以下、本発明の実施形態について説明する。なお、以下の説明に用いる図面では、同じ機能を持つ構成部や同じ処理を行うステップには同一の符号を記し、重複説明を省略する。
【0032】
<第一実施形態に係る攻撃情報管理システム10>
図10は、本実施形態に係る攻撃情報管理システム10のネットワーク構成例を示す。攻撃情報管理システム10は、攻撃情報管理装置100と、Webサーバ型囮システム22及び32と、Webクライアント型囮システム33及び42と、OS型囮システム52及び53とを含む。攻撃情報管理装置100とWebサーバ型囮システム22とはネットワーク21を介して接続され、攻撃情報管理装置100とWebサーバ型囮システム32及びWebクライアント型囮システム33とはネットワーク31を介して接続され、攻撃情報管理装置100とWebクライアント型囮システム42とはネットワーク41を介して接続され、攻撃情報管理装置100とOS型囮システム52及び53とはネットワーク51を介して接続される。言い換えると、各囮システム22、32、33、42、52及び53は、ネットワーク21、31、41及び51を経由して攻撃情報管理装置100との到達性が確保されている。インターネットに代表される広域ネットワーク61に対して、Webサーバ型囮システム22及び32と、Webクライアント型囮システム33及び42と、OS型囮システム52及び53とが配置される。
【0033】
各囮システム22、32、33、42、52及び53は、それぞれ既存の技術(例えば上述の従来技術)を用いて、マルウェアに関する情報を収集する。
【0034】
<攻撃情報管理装置100>
図11は攻撃情報管理装置100の機能構成例を、図12は攻撃情報管理装置100の処理フローを示す。攻撃情報管理装置100は、攻撃情報分析部110と、攻撃情報管理部120と、攻撃情報管理テーブル121と、クラスタ管理テーブル122と、囮システム管理部131と、囮システム情報収集部132と、囮システム通知部133とを含む。
【0035】
(囮システム管理部131)
囮システム管理部131は、攻撃情報管理装置100が収容する各囮システムに通知を送受信するために必要となる転送情報を保有する。転送情報とは、例えば、囮システムのIPアドレス等である。さらに、囮システム管理部131は、各囮システムの状態を管理する機能を有している。以下、後述する囮システム情報収集部132が攻撃情報の収集する方法としては、(1)各囮システムがトラップとして自律的に攻撃情報を送信する方法や(2)攻撃情報管理装置100がポーリングをして自律的に各囮システムが保有する攻撃情報を閲覧し収集する方法等が考えられる。各方法における各囮システムの状態を管理する方法を例示する。
【0036】
(トラップの場合)囮システム管理部131は、各囮システムからトラップを受信する際に必要となるメッセージの送受信の状態を管理する(図13参照)。さらに、トラップを受信した時間を記憶する機能を有してもよい。
【0037】
(ポーリングの場合)囮システム管理部131は、各囮システムにポーリングを行う際に必要となるメッセージの送受信の状態を管理する。さらに、タイマを保有し、各囮システムに対する次のポーリングまでの残り時間を管理する(図14参照)。
【0038】
(囮システム情報収集部132)
囮システム情報収集部132は、囮システム管理部131の情報に基づき、攻撃情報管理装置100が収容する各囮システムから攻撃情報を収集し、後述する攻撃情報管理部120に攻撃情報と囮システムの種別との組合せを送信する。
【0039】
例えば、(1)トラップを受信した場合には、その送信元IPアドレスが、囮システム管理部131に保有されている転送情報に存在するか否かを確認し、存在する場合には、その攻撃情報と囮システムの種別を受信する。存在しない場合には、そのトラップを破棄する。また、前回の受信時間から所定時間以上超えた場合には、囮システム情報収集部132が対応する囮システムに対して新たな攻撃情報がないかを問合せる構成としてもよい。
【0040】
(2)ポーリングの場合には、残り時間が0になったときに、対応する囮システムの転送情報を囮システム管理部131から取得し、その囮システムを閲覧し、新たな攻撃情報がある場合には、その攻撃情報と囮システムの種別を受信する。なお、各囮システムが所定時間を越えると、囮システム情報収集部132に全ての攻撃情報、または、新たな攻撃情報を送信する構成としてもよい。
【0041】
トラップやポーリングの送受信に関する技術は従来技術を応用でき、例えば、ルータやスイッチの故障を管理するサーバや、ルータやスイッチのトラヒック情報を管理するサーバにおいて用いる技術を応用することで、上述のトラップやポーリングの送信を実現できる。また、囮システムから攻撃情報を収集する方法としてトラップやポーリング以外の従来技術を用いてもよい。
【0042】
(囮システム通知部133)
囮システム通知部133は、囮システム管理部131の転送情報を用いて、各囮システムへの制御指示を送信する。具体的には、各囮システムと制御指示とのインターフェースを規定し、後に記述する攻撃情報管理部120が生成した制御指示をインターフェース規定に従った通知に変換して送信する。制御指示の内容については後述する。
【0043】
(攻撃情報管理テーブル121)
攻撃情報管理テーブル121には、攻撃情報と、その攻撃情報を収集した囮システムの種別と、クラスタ識別子との組合せが記憶される(図15参照)。
【0044】
攻撃情報は、マルウェアに関する情報であって、各囮システムが収集した情報である。各囮システムが収集した情報を記憶する機能を有している場合には、その記憶している情報と同じ情報を攻撃情報としてもよい。攻撃情報は、具体的には図15に示すように、攻撃に使用されたIPアドレスやURLが該当するが、観測時間や攻撃コードや収集した検体など、他の情報を含んでもよい。
【0045】
囮システムの種別は、対象とするマルウェアの攻撃経路によって区別される。本実施形態では、上述のOS型囮システム、Webクライアント型囮システム、Webサーバ型囮システム(図中それぞれ「OS」、「Webクライアント」、「Webサーバ」と示す)としているが、その他の種別の囮システムを用いてもよい。例えば、Android(登録商標)OSやAndroid(登録商標)用ブラウザの脆弱性を対象として攻撃するマルウェアの攻撃情報を収集する囮システム等が考えられる。
【0046】
クラスタ識別子は、後述する攻撃情報分析部110において、クラスタリングされた攻撃情報が所属するクラスタの識別子である。
【0047】
なお、攻撃情報管理装置100が収容する各囮システムに識別子(以下「囮システム識別子」という)を付与しておき、攻撃情報管理テーブル121の囮システムの種別には、囮システム識別子を記憶する構成としてもよい。この場合、囮システム識別子と囮システムの種別の対応関係を別のテーブルに記憶しておき、後述するクラスタ属性は、囮システムの種別に応じて変更する。例えば、Webサーバ型ハニーポットを複数収容する場合は、Webサーバ1やWebサーバ2と、囮システムを区別し、攻撃情報管理テーブル121の囮システム種別欄には、その囮システム識別子Webサーバ1やWebサーバ2を記憶する。さらに、別のテーブルに囮システム識別子Webサーバ1やWebサーバ2を、囮システムの種別「Webサーバ」に対応付けて記憶する。このような構成とすることで、攻撃情報に応じて、囮システムの種別毎ではなく、個々の囮システム毎に制御指示を通知することができる。
【0048】
(クラスタ管理テーブル122)
クラスタ管理テーブル122には、クラスタ識別子とクラスタ属性との組合せが記憶される(図16参照)。
【0049】
クラスタ属性とは、クラスタに所属する攻撃情報が一つの種別の囮システムから得られたものか、複数の種別の囮システムから得られたものかを示すものであって、一つの種別の囮システムから得られたものの場合には、その種別をクラスタ属性とし、複数の種別の囮システムから得られたものの場合には、「混在」をクラスタ属性とする。以下、クラスタ属性が「混在」であるクラスタを混在クラスタという。
【0050】
例えば、図15の例では、三つのエントリに対しクラスタ識別子201が付与されている。そして、その三つのエントリの囮システム種別は、「Webクライアント」、「OS」、「Webサーバ」であり、クラスタ識別子201に所属する攻撃情報は複数の種別の囮システムから得られたものである。よって、図16では、クラスタ属性を「混在」として記憶する。また、二つのエントリに対しクラスタ識別子102が付与されている。そして、その二つのエントリの囮システム種別は、「Webクライアント」であり、クラスタ識別子102に所属する攻撃情報は同一の種別の囮システムから得られたものである。よって、図16では、クラスタ属性を「Webクライアント」として記憶する。
【0051】
(攻撃情報管理部120)
攻撃情報管理部120は、囮システム情報収集部132から攻撃情報と、その攻撃情報を収集した囮システムの種別との組合せを受信し(s1、図12参照)、その組合せが既に攻撃情報管理テーブル121に存在するか否かを判定する。重複する組合せが存在する場合(s2)、重複する組合せを更新する(s3)。なお、既存のテーブル管理方式を用いて更新すればよい。例えば、過去の情報を削除する方式や、最新情報をアクティブな情報として登録するとともに過去の情報をアーカイブする方式や、過去の観測回数のカウンタを設置する方式等がある。
【0052】
重複する組合せが存在しない場合(s2)、攻撃情報管理テーブル121にその組合せを記憶(登録)するとともに、その攻撃情報が所属するクラスタを後に記述する攻撃情報分析部110に問合せる(s4)。
【0053】
後述する攻撃情報分析部110は、問合せを受けた攻撃情報を用いてクラスタリングを行い(s5)、その結果を攻撃情報管理部120に返す。なお、クラスタリングの手法としては既存の技術を用いることができる。例えば、(1)過去の攻撃情報とそのクラスタとの関係を維持したまま、問合せを受けた攻撃情報を何れかのクラスタ、または、新たなクラスタに所属させてもよい。この場合、クラスタリングの結果として、問合せを受けた攻撃情報のクラスタ識別子のみを攻撃情報管理部120に返す。また、(2)過去の攻撃情報とクラスタとの関係を維持せずに、問合せを受けた攻撃情報と過去の攻撃情報とをまとめてクラスタリングし、全ての攻撃情報を新たなクラスタに所属させてもよい。この場合、クラスタリングの結果として、全ての攻撃情報とそのクラスタ識別子の組合せを攻撃情報管理部120に返す。何れの場合であっても問合せを受けた攻撃情報のクラスタ識別子は少なくとも返す。
【0054】
攻撃情報管理部120は、クラスタリングの結果を受け取り、攻撃情報管理テーブル121の対応するエントリのクラスタ識別子欄に問合せ結果を記憶する(s6)。なお、(1)過去の攻撃情報とクラスタとの関係を維持したままクラスタリングを行った場合には、問合せを受けた攻撃情報に対するクラスタ識別子のみを受け取り、その攻撃情報のクラスタ識別子欄に記憶する。また(2)過去の攻撃情報とクラスタとの関係を維持せずに、問合せを受けた攻撃情報と過去の攻撃情報とをまとめてクラスタリングを行った場合、全ての攻撃情報と各攻撃情報に対応するクラスタ識別子の組合せを受け取り、問合せを受けた攻撃情報に対するクラスタ識別子をその攻撃情報のクラスタ識別子欄に記憶し、さらに、各攻撃情報とそのクラスタ識別子の対応関係に変更があった場合には、変更があった攻撃情報のクラスタ識別子欄を更新する。
【0055】
さらに、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、攻撃情報管理部120はクラスタ管理テーブル122を変更する(s8)。例えば、(1)OS型囮システムで収集された攻撃情報が何れのクラスタにも属さず、新たなクラスタを設けた場合には、その新たなクラスタ識別子をクラスタ管理テーブル122のクラスタ属性「OS」に関連付けて記憶する。また、(2)Webサーバ型囮システムで収集された攻撃情報のみが存在していたクラスタに他の囮システムで収集された攻撃情報が割り当てられた場合、攻撃情報管理部120は、クラスタ管理テーブル122のクラスタ識別子に対するクラスタ属性を「Webサーバ」から「混在」に変更する。
【0056】
なお、囮システム情報収集部132から攻撃情報としてURL情報のみを通知された場合、攻撃情報管理部120は、インターネット上の情報を用いて当該URLに該当するIPアドレスを特定して攻撃情報として攻撃情報管理テーブル121に記憶する構成としてもよい。この際のインターネット上の情報としては、whois情報やDNS情報が該当するため、情報の収集は既存の技術で実現できる。
【0057】
また、Webサーバ型囮システムでは、一回の攻撃で攻撃元とMDSの攻撃情報が収集される場合がある。また、Webクライアント型囮システムでは、一回の攻撃で複数の改竄されたWebサイトや攻撃コードを送信するWebサイトの攻撃情報が収集される場合がある。この場合、攻撃情報管理部120は、攻撃情報の欄を追記し、攻撃元とMDSを識別する情報を記述したり、改竄されたWebサイトであるか攻撃コードを送信するWebサイトであるかを識別する情報を記述したりしてもよい。また、攻撃情報の欄を追記し、一回の攻撃に関する情報に一つの識別子を付与することで、一回の攻撃で収集した攻撃情報を特定できるようにしてもよい。
【0058】
(攻撃情報分析部110)
攻撃情報分析部110は、攻撃情報管理部120から攻撃情報に対するクラスタ識別子の問合せを受信した際に、受信した攻撃情報に基づきクラスタリングを行う。この際、攻撃情報分析部110は、過去の分析データを保有しておき、これを用いてクラスタリングを行ってもよいし、攻撃情報管理テーブル121を閲覧することで分析に必要な攻撃情報を収集しクラスタリングしてもよい。
【0059】
攻撃情報分析部110は、(1)新たに受信した攻撃情報が、既に過去の攻撃情報から作成したクラスタの何れかに所属するか否かを判定してもよいし、(2)新たに受信した攻撃情報と過去の攻撃情報を用いてクラスタリングをしなおしてもよい。(1)の場合はクラスタリングの結果として新たに受信した攻撃情報に対するクラスタ識別子のみを攻撃情報管理部120に送信し、(2)の場合はクラスタリングの結果として全ての攻撃情報と各攻撃情報に対応するクラスタ識別子の組合せを攻撃情報管理部120に送信する。
【0060】
クラスタリングする方式は、複数の方式が考えられる。例えば、調査2において説明した方式などがある。攻撃情報に記述されたIPアドレスの距離が一定値以下のIPアドレス群をクラスタリングする場合、例えば、ヒルベルト曲線上にIPアドレスを配置して二次元グラフを作成してIPアドレス間の距離を計算する手法や、IPアドレスをビット列に変換して距離を計測する手法や、IPアドレスのビット列を10進法に変換して距離を計測する手法がある。また、クラスタリングの際には、階層的クラスタリングなどの既存手法が適用できる。
【0061】
なお、クラスタリングする際の距離はオペレータが設定する。例えば、図8に示すように、混在クラスタ数が最大となる距離が存在する場合には、その距離をクラスタの距離として設定することで、異なる種別の囮システム間で重複して観測される可能性が高いIPアドレスを効率的に抽出できる。
【0062】
また、IPアドレスの距離に基づいてクラスタリングする場合、IPアドレスを保有するAS(autonomous system)を加味する必要がある。これは、ASによってネットワーク構造が大きく異なり、IPアドレスが隣接していたとしても、ASが異なればネットワーク構造的には隣接に存在するとはいえないためである。IPアドレスのAS情報は前述のwhois情報やDNS情報のようにインターネット上の情報から特定できる。このため、攻撃情報分析部110は、IPアドレスの距離でクラスタリングする場合は、AS情報を収集し、ASが異なるIPアドレス間の距離を無限大としてクラスタリングする。
【0063】
攻撃情報分析部110は、クラスタリングの計算結果を攻撃情報管理部120に送信する。
【0064】
図17は、ヒルベルト曲線上にIPアドレスを配置し、IPアドレスを距離でクラスタリングした際の概要を示している。図中、◎は複数の囮システムで収集されたIPアドレスを、○はWebサーバ型囮システムで収集されたIPアドレスを、破線の○はWebクライアント型囮システムで収集されたIPアドレスを、●はOS型囮システムで収集されたIPアドレスを、一点鎖線の○はクラスタを示す。ヒルベルト曲線上にIPアドレスを配置する場合、全IPアドレスは二次元グラフ上に配置される。このため、IPアドレス間の距離は、ユークリッド距離でも、マンハッタン距離でも表現できる。距離でクラスタリングした場合、例えば一点鎖線の○で示すIPアドレス群がクラスタリングされる。この際、異なる種類の囮システムで収集されたIPアドレスが混在するクラスタが発生する。なお、図中、左上に一点鎖線の○が重複する箇所が存在する。重複を許容する場合は一つのIPアドレスが複数のクラスタに属することになるため、当該エントリのクラスタ識別子に複数の番号が付与される。重複を許容するか否かはクラスタリング手法により異なる。クラスタは攻撃情報管理テーブル121における1エントリから構成される場合もある。
【0065】
<効果>
このような構成により、攻撃情報をクラスタリングすることで、異なる囮システムで収集した攻撃情報が混在する可能性が高い領域を抽出することができる。混在クラスタは、異なる種別の囮システムで収集したIPアドレスが混在する可能性が高いIPアドレス空間を示すことになる。
【0066】
よって、混在クラスタに所属するIPアドレス領域をブラックリストとし、セキュリティアプライアンスにおけるフィルタリングに利用することができる。
【0067】
さらに、このIPアドレス空間に対して囮システムを仕掛けることでより効率的にさらなる攻撃情報を収集することができる。このため、複数種類の囮システムを用いた攻撃情報の収集を効率化できる。以下、混在クラスタのIPアドレス空間に対して囮システムを仕掛ける方法を説明する。
【0068】
<混在クラスタを利用した攻撃情報の収集方法>
攻撃情報管理部120は、新たな攻撃情報のクラスタ識別子がクラスタ属性「混在」に関連付けられた際に、各囮システムに制御指示を送信するよう囮システム通知部133に通知する。
【0069】
攻撃情報管理部120は、混在クラスタに関する情報に基づき、混在クラスタ内を各囮システムが検査するように制御指示を作成する。
【0070】
例えば、Webサーバ型囮システムやOS型囮システムにおいて新たに収集した攻撃情報が、Webクライアント型囮システムで収集した攻撃情報と同一のクラスタに属した場合、攻撃情報管理部120は、混在クラスタに所属するIPアドレスやURLに対して、前述のwhois情報やDNS情報などインターネット上の情報を参照することで、対応するホスト情報を特定し、ホスト情報が含まれるURLを検索エンジンで検索することで、当該IPアドレスやURLを保有するホストに対応するURLリストを抽出する。抽出したURLリストを各Webクライアント型囮システムが巡回検査するように制御指示を作成する。囮システム通知部133は、上述の通知を受け取ると、制御指示を各Webクライアント型囮システムのインターフェース規定に従った形式に変換して送信する。
【0071】
なお、上述の場合、各囮システムが、ホスト情報の特定、URL抽出を行う構成としてもよい。その場合、攻撃情報管理部120は、混在クラスタのIPアドレス空間を制御指示の一部とし、各Webクライアント型囮システムがそれに基づきホスト情報の特定、URL抽出し、抽出したURLリストを巡回検査するように制御指示を作成すればよい。
【0072】
また、Webクライアント型囮システムやOS型囮システムにおいて新たに収集した攻撃情報が、Webサーバ型囮システムで収集した攻撃情報と同一のクラスタに属した場合、攻撃情報管理部120は、混在クラスタに所属するIPアドレスやURLに対して、前述のwhois情報やDNS情報等インターネット上の情報を参照することで、対応するホスト情報を特定し、ホスト情報が含まれるURLを検索エンジンで検索することで、当該IPアドレスやURLを保有するホストに対応するURLリストを抽出する。抽出したURLリストを各Webサーバ型囮システムで検査するように制御指示を作成する。囮システム通知部133は、上述の通知を受け取ると、制御指示を各Webサーバ型囮システムのインターフェース規定に従った形式に変換して送信する。この際、Webサーバ型囮システムにおいては、攻撃者の役割を攻撃情報管理装置100が担う場合や攻撃者の役割を保有する機能をWebサーバ型囮システムに保有させる場合等がある。前者の場合、攻撃情報管理装置100は、Webサーバ型囮システムに対し、自身が抽出したURLリストに記載された各URLへのファイル取得命令を送信する。この場合、命令を受けたWebサーバ型囮システムは、攻撃者から命令を受けた際と同じく、URLからファイルをダウンロードして実行するため、マルウェアが配置されたURLを特定できる。一方、後者の場合、攻撃情報管理装置100は、URLをWebサーバ型囮システムに通知し、通知を受信したWebサーバ型囮システムが、自身の内部で当該URLに対するファイル取得を、攻撃者からのアクセスを当該URLを用いる形で再現することで、実施する。この結果、Webサーバ型囮システムは、攻撃者からの命令を受けたサイトと同じく、URLからファイルをダウンロードして実行するため、マルウェアが配置されたURLを特定できる。
【0073】
なお、上述の場合、各囮システムが、ホスト情報の特定、URL抽出を行う構成としてもよい。その場合、攻撃情報管理部120は、混在クラスタのIPアドレス空間を制御指示の一部とし、各Webサーバ型囮システムがそれに基づきホスト情報の特定、URL抽出し、抽出したURLリストを検査するように制御指示を作成すればよい。
【0074】
このような構成とすることで、無作為に検査するよりも効率的に攻撃情報を収集できる。
【0075】
<その他の変形例>
第一実施形態では、攻撃情報のうち、IPアドレスを用いてクラスタリングを行っているが、URL等他の情報を用いてクラスタリングを行ってもよい。例えば、URLの場合はドメイン名やパス名でクラスタリングを行う。
【0076】
ネットワーク21、31、41及び51は、管理用ネットワークとして他のネットワークと独立させ専用回線としてもよい。また、本実施形態では、ネットワークが複数のネットワーク21、31、41及び51によって構成されているが一つのネットワークで構成してもよい。
【0077】
なお、攻撃情報管理テーブル121は、囮システムの種別、攻撃情報、クラスタ識別子に加えて、他の攻撃と重複する攻撃情報を保有するエントリにフラグを立てるための欄を追加してもよい(図18参照)。この場合、攻撃情報管理部120は、囮システム情報収集部132から攻撃情報と囮システムの種別を受け取り、攻撃情報が同一の場合には、重複欄にフラグを立てる。この場合、攻撃情報分析部110は、囮システムの種別が異なり、攻撃情報が重複するエントリが混在するクラスタ(以下「重複混在クラスタ」という)に対して、そのことを示すクラスタ属性を付与してもよい(図19参照)。攻撃情報管理部120は、攻撃情報分析部110からクラスタ識別子と攻撃情報を受け取ると、そのクラスタ識別子をクラスタ属性「重複混在」に関連付けてクラスタ管理テーブルに記憶(登録)する。図18及び図19の例では、クラスタ識別子「201」は、囮システム種別「Webクライアント」と「OS」の間で攻撃情報が同一である。よって、クラスタ識別子「201」をクラスタ属性「重複混在」に関連付けて記憶する。
【0078】
重複IPアドレスからの距離が一定値以内のIPアドレス空間は、異なる種別の囮システムで収集したIPアドレスが混在する可能性が高いと考えられるので、攻撃情報分析部110は、重複IPアドレスからの距離が一定値以内のIPアドレスをクラスタリングする構成とする。図20は、ヒルベルト曲線上にIPアドレスを配置し、複数の囮システムで観測されたIPアドレスに近接したIPアドレスをクラスタリングした際の概要を示している。この場合、図17の結果とクラスタリングの結果が異なる。このため重複混在クラスタを特別なクラスタとして個別に管理してもよい。
【0079】
さらに、混在クラスタや重複混在クラスタに関して、どの囮システム種別の情報が混在するかを管理してもよい。具体的には、図21に示すクラスタ管理テーブル122を保有する。この際、重複混在クラスタを管理しない場合は、それ以外のクラスタ属性から構成されるテーブルとすればよい。このような構成とすることで、特定の種別の囮システムから攻撃情報を集中的に収集することができる。例えば、Webブラウザの脆弱性を対象として攻撃するマルウェアに関する攻撃情報を集中的に収集したい場合には、「Webクライアント」と他の囮システム(「OS」や「Webサーバ」)との混在クラスタに対して囮システムを仕掛ければよい。
【0080】
本発明は上記の実施形態及び変形例に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
【0081】
<プログラム及び記録媒体>
上述した攻撃情報管理装置100及び各囮システムは、コンピュータにより機能させることもできる。この場合はコンピュータに、目的とする装置(各種実施例で図に示した機能構成をもつ装置)として機能させるためのプログラム、またはその処理手順(各実施例で示したもの)の各過程をコンピュータに実行させるためのプログラムを、CD−ROM、磁気ディスク、半導体記憶装置などの記録媒体から、あるいは通信回線を介してそのコンピュータ内にダウンロードし、そのプログラムを実行させればよい。
【特許請求の範囲】
【請求項1】
囮システムが収集したマルウェアに関する情報(以下「攻撃情報」という)を管理する攻撃情報管理システムであって、
複数の種別の前記囮システムと、前記攻撃情報を管理する攻撃情報管理装置とを含み、
前記攻撃情報管理装置は、
前記攻撃情報をクラスタリングする攻撃情報分析部と、
前記攻撃情報と、その攻撃情報を収集した前記囮システムの種別と、クラスタリングされたその攻撃情報が所属するクラスタのクラスタ識別子との組合せが記憶される攻撃情報管理テーブルと、
クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルと、
前記攻撃情報を受信すると、その攻撃情報とその攻撃情報を収集した前記囮システムの種別との組合せを前記攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを前記攻撃情報分析部に問合せ、クラスタリングの結果として、その攻撃情報のクラスタ識別子を受け取り、前記攻撃情報管理テーブルに記憶し、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、前記クラスタ管理テーブルを変更する攻撃情報管理部とを含む、
攻撃情報管理システム。
【請求項2】
囮システムが収集したマルウェアに関する情報(以下「攻撃情報」という)を管理する攻撃情報管理装置であって、
前記攻撃情報をクラスタリングする攻撃情報分析部と、
前記攻撃情報と、その攻撃情報を収集した前記囮システムの種別と、クラスタリングされたその攻撃情報が所属するクラスタのクラスタ識別子との組合せが記憶される攻撃情報管理テーブルと、
クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルと、
前記攻撃情報を受信すると、その攻撃情報とその攻撃情報を収集した前記囮システムの種別との組合せを前記攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを前記攻撃情報分析部に問合せ、クラスタリングの結果として、その攻撃情報のクラスタ識別子を受け取り、前記攻撃情報管理テーブルに記憶し、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、前記クラスタ管理テーブルを変更する攻撃情報管理部とを含む、
攻撃情報管理装置。
【請求項3】
請求項2記載の攻撃情報管理装置であって、
前記攻撃情報はIPアドレスであり、
前記攻撃情報分析部は、IPアドレス間の距離が一定値以下のIPアドレス群を同一のクラスタとする、
攻撃情報管理装置。
【請求項4】
請求項3記載の攻撃情報管理装置であって、
前記攻撃情報分析部は、複数の種別の囮システムから同一のIPアドレスが得られた場合には、そのIPアドレスからの距離が一定値以内のIPアドレスを同一のクラスタとしてクラスタリングする、
攻撃情報管理装置。
【請求項5】
請求項3または4記載の攻撃情報管理装置であって、
前記攻撃情報分析部は、IPアドレスに対応するAS番号を用いて、異なるASに所属するIPアドレス間の距離を無限大としてクラスタリングする、
攻撃情報管理装置。
【請求項6】
請求項2〜5の何れかに記載の攻撃情報管理装置であって、
前記攻撃情報管理部は、複数の種別の囮システムから得られた攻撃情報が存在するクラスタに関する情報に基づき、そのクラスタ内を各囮システムが検査するように制御指示を作成する、
攻撃情報管理装置。
【請求項7】
囮システムが収集したマルウェアに関する情報(以下「攻撃情報」という)を管理する攻撃情報管理方法であって、
前記攻撃情報を受信するステップと、
前記攻撃情報とその攻撃情報を収集した前記囮システムの種別との組合せを攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを前記攻撃情報分析部に問合せるステップと、
前記攻撃情報をクラスタリングする攻撃情報分析ステップと、
前記攻撃情報の所属するクラスタを示すクラスタ識別子を前記攻撃情報管理テーブルに記憶するステップと、
前記クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルにおいて、前記クラスタリングの結果、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、クラスタ管理テーブルを変更するステップとを含む、
攻撃情報管理方法。
【請求項8】
請求項2〜6の何れかに記載の攻撃情報管理装置としてコンピュータを機能させるためのプログラム。
【請求項1】
囮システムが収集したマルウェアに関する情報(以下「攻撃情報」という)を管理する攻撃情報管理システムであって、
複数の種別の前記囮システムと、前記攻撃情報を管理する攻撃情報管理装置とを含み、
前記攻撃情報管理装置は、
前記攻撃情報をクラスタリングする攻撃情報分析部と、
前記攻撃情報と、その攻撃情報を収集した前記囮システムの種別と、クラスタリングされたその攻撃情報が所属するクラスタのクラスタ識別子との組合せが記憶される攻撃情報管理テーブルと、
クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルと、
前記攻撃情報を受信すると、その攻撃情報とその攻撃情報を収集した前記囮システムの種別との組合せを前記攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを前記攻撃情報分析部に問合せ、クラスタリングの結果として、その攻撃情報のクラスタ識別子を受け取り、前記攻撃情報管理テーブルに記憶し、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、前記クラスタ管理テーブルを変更する攻撃情報管理部とを含む、
攻撃情報管理システム。
【請求項2】
囮システムが収集したマルウェアに関する情報(以下「攻撃情報」という)を管理する攻撃情報管理装置であって、
前記攻撃情報をクラスタリングする攻撃情報分析部と、
前記攻撃情報と、その攻撃情報を収集した前記囮システムの種別と、クラスタリングされたその攻撃情報が所属するクラスタのクラスタ識別子との組合せが記憶される攻撃情報管理テーブルと、
クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルと、
前記攻撃情報を受信すると、その攻撃情報とその攻撃情報を収集した前記囮システムの種別との組合せを前記攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを前記攻撃情報分析部に問合せ、クラスタリングの結果として、その攻撃情報のクラスタ識別子を受け取り、前記攻撃情報管理テーブルに記憶し、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、前記クラスタ管理テーブルを変更する攻撃情報管理部とを含む、
攻撃情報管理装置。
【請求項3】
請求項2記載の攻撃情報管理装置であって、
前記攻撃情報はIPアドレスであり、
前記攻撃情報分析部は、IPアドレス間の距離が一定値以下のIPアドレス群を同一のクラスタとする、
攻撃情報管理装置。
【請求項4】
請求項3記載の攻撃情報管理装置であって、
前記攻撃情報分析部は、複数の種別の囮システムから同一のIPアドレスが得られた場合には、そのIPアドレスからの距離が一定値以内のIPアドレスを同一のクラスタとしてクラスタリングする、
攻撃情報管理装置。
【請求項5】
請求項3または4記載の攻撃情報管理装置であって、
前記攻撃情報分析部は、IPアドレスに対応するAS番号を用いて、異なるASに所属するIPアドレス間の距離を無限大としてクラスタリングする、
攻撃情報管理装置。
【請求項6】
請求項2〜5の何れかに記載の攻撃情報管理装置であって、
前記攻撃情報管理部は、複数の種別の囮システムから得られた攻撃情報が存在するクラスタに関する情報に基づき、そのクラスタ内を各囮システムが検査するように制御指示を作成する、
攻撃情報管理装置。
【請求項7】
囮システムが収集したマルウェアに関する情報(以下「攻撃情報」という)を管理する攻撃情報管理方法であって、
前記攻撃情報を受信するステップと、
前記攻撃情報とその攻撃情報を収集した前記囮システムの種別との組合せを攻撃情報管理テーブルに記憶し、その攻撃情報が所属するクラスタを前記攻撃情報分析部に問合せるステップと、
前記攻撃情報をクラスタリングする攻撃情報分析ステップと、
前記攻撃情報の所属するクラスタを示すクラスタ識別子を前記攻撃情報管理テーブルに記憶するステップと、
前記クラスタ識別子と、そのクラスタに所属する攻撃情報が複数の種別の囮システムから得られたものか否かを示すクラスタ属性との組合せが記憶されるクラスタ管理テーブルにおいて、前記クラスタリングの結果、クラスタ識別子とクラスタ属性の対応関係に変更があった場合、クラスタ管理テーブルを変更するステップとを含む、
攻撃情報管理方法。
【請求項8】
請求項2〜6の何れかに記載の攻撃情報管理装置としてコンピュータを機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【公開番号】特開2013−85124(P2013−85124A)
【公開日】平成25年5月9日(2013.5.9)
【国際特許分類】
【出願番号】特願2011−223722(P2011−223722)
【出願日】平成23年10月11日(2011.10.11)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成25年5月9日(2013.5.9)
【国際特許分類】
【出願日】平成23年10月11日(2011.10.11)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]