信息处理装置及非法活动判定方法
【技术领域】
[0001] 本发明涉及一种管理连接到网络的终端的技术。
【背景技术】
[0002] -直以来,作为分析通信量的方法,提出了对网络上的主机间的流量分配告警指 标值,在累积的告警指标值超过阈值的情况下,发出警报的方法(参见专利文献1及2)。
[0003] 现有技术文献
[0004] 专利文献
[0005] 专利文献1:美国专利第7475426号说明书
[0006] 专利文献2:美国专利第7185368号说明书
【发明内容】
[0007] 发明所要解决的技术问题
[0008] -直以来,作为用于对恶意软件感染进行检测的技术,有在累积指标值且累积值 超过阈值的情况下,判定为感染了恶意软件的方法。但是,利用这种方法而不定期清除指标 值的话,即使由于微小值的累积,也有可能导致累积值超过阈值,从而将正常的终端误检测 为感染了恶意软件。又,在定期清除指标值的情况下,也有可能由于清除的时机而漏过恶意 软件。
[0009] 鉴于上述问题,本公开将降低恶意软件感染的误检测或漏检的可能性作为技术问 题。
[0010] 解决技术问题的手段
[0011] 本公开的一个实例是信息处理装置,包括:比较单元,其将连接到网络的终端的通 信与预先保持的模式进行比较;确定单元,其按照所述比较的结果,确定评价值和非法活动 的阶段,所述评价值表示被推测为所述终端进行非法活动的程度;保持单元,其针对每个所 述终端,保持所述评价值的每个所述阶段的最大值;和判定单元,其基于所述评价值的每个 所述阶段的最大值,判定所述终端是否进行非法活动。
[0012] 本公开可以被理解为信息处理装置、系统、由电子计算机执行的方法。
[0013] 发明效果
[0014] 根据本公开,可以降低恶意软件感染的误检测或漏检。
【附图说明】
[0015] 图1是示出实施方式所涉及到的系统的构成的概略图。
[0016] 图2是示出实施方式所涉及到的网络监视装置及管理服务器的硬件构成的图。
[0017] 图3是示出实施方式所涉及到的网络监视装置的功能构成概略的图。
[0018] 图4是示出由实施方式的恶意软件行为检测引擎使用的恶意软件的活动转换模 型的图。
[0019] 图5是示出实施方式所涉及到的每个数据包的检测处理的流程概要的流程图。
[0020] 图6是示出实施方式所涉及到的基于恶意软件行为检测引擎的检测处理的流程 的流程图(A)。
[0021] 图7是示出实施方式所涉及到的基于恶意软件行为检测引擎的检测处理的流程 的流程图(B)。
[0022] 图8是示出实施方式所涉及到的基于恶意软件行为检测引擎的检测处理的流程 的流程图(C)。
[0023] 图9是示出在实施方式中的第一相关性分析中作为监视对象的活动转换模型上 的阶段及其转换的图。
[0024] 图10是示出在实施方式中的第二相关性分析中作为监视对象的、向探索、感染阶 段转换的图。
[0025] 图11示出在实施方式中的第二相关性分析中作为监视对象的、向执行文件的下 载阶段转换的图。
[0026] 图12示出在实施方式中的第二相关性分析中作为监视对象的、向C&C检索阶段转 换的图。
[0027] 图13示出在实施方式中的第二相关性分析中作为监视对象的、向C&C通信阶段转 换的图。
[0028] 图14示出在实施方式中的第二相关性分析中作为监视对象的、向攻击阶段转换 的图。
[0029] 图15是示出实施方式中的系统构成的变化的概略图。
【具体实施方式】
[0030] 下面,基于附图,对公开所涉及到的信息处理装置及方法的实施方式进行说明。但 是,以下说明的实施方式为举例说明实施方式,并非将本公开所涉及到的信息处理装置及 方法限定于以下说明的具体构成。在实施时,适当采用与实施方式相应的具体构成,也可进 行各种改良、变形。
[0031] 本实施方式中,对用于在网络上发现进行非法活动的终端并进行通信阻断或警报 通知等应对的系统中实施本公开所涉及到的信息处理装置及方法的情况下的实施方式进 行说明。但是,本公开所涉及到的信息处理装置及方法可广泛应用到用于检测网络上的非 法活动的技术中,本公开的应用对象并不限定于本实施方式中示出的示例。
[0032] <系统构成>
[0033] 图1是示出本实施方式所涉及到的系统1的构成的概略图。本实施方式所涉及到 的系统1包括连接多个信息处理终端90(下面,称为"节点90")的网络分段2、用于监视 节点90所涉及到的通信的网络监视装置20。进一步地,将管理服务器50通过路由器10, 能进行通信地连接到网络分段2。本实施方式中,通过将网络监视装置20连接到开关或路 由器(图1所示的示例中为路由器)的监视端口(镜像端口),取得通过节点90收发的数 据包或数据帧。在这种情况下,网络监视装置20以不转送取得的数据包的被动方式进行动 作。
[0034] 管理服务器50从网络监视装置20收集信息并管理网络监视装置20。此外,在外 部网络中,可以进一步地设置检疫服务器并对连接到网络分段2的节点90提供检疫服务, 也可进一步地设置业务服务器并对节点90提供用于业务的服务(省略图示)。
[0035] 本实施方式所涉及到的系统1中,虽然由节点90连接的各种服务器是通过因特网 或广域网在远程地点被连接的服务器,例如由ASP(Application Service Provider)提供 的,但上述服务器并不一定要在远程地点被连接。例如,这些服务器也可以被连接到存在节 点90或网络监视装置20的本地网络上。
[0036] 图2是示出本实施方式所涉及到的网络监视装置20及管理服务器50的硬件构成 的图。此外,在图2中,对于网络监视装置20及管理服务器50以外的构成(路由器10、节点 90等)省略图示。网络监视装置20及管理服务器50是分别包括CPU (Central Processing Unit) I la> lib > RAM (Random Access Memory) 13a > 13b > ROM (Read Only Memory) 12a> 12b> EEPROM(Electrically Erasable Programmable Read Only Memory) 5? HDD(Hard Disk Drive)等存储装置 14a、14b、NIC (Network Interface Card) 15a、15b 等通信组件等的计算 机。
[0037] 图3是示出本实施方式所涉及到的网络监视装置20的功能构成概略的图。此外, 在图3中,对于网络监视装置20以外的构成(路由器10、节点90及管理服务器50等)省 略图示。通过记录于存储装置14a的程序在RAM13a被读出并被CPUlla执行,网络监视装置 20作为包括通信取得部21、通信阻断部22、应用程序检测引擎23、协议异常检测引擎24及 恶意软件行为检测引擎25的信息处理装置而发挥作用。又,恶意软件行为检测引擎25包 含比较部251、评价值取得部252、校正部253、确定部254、保持部255、合计部256及判定部 257。又,本实施方式中,网络监视装置20具备的各种功能虽然被作为通用处理器的CPUlla 执行,但上述功能的一部分或全部也可被一个或多个专用处理器执行。又,也可以利用云技 术等,由设置在远隔地点的装置或分散设置的多个装置来执行上述功能的一部分或全部。
[0038] 通信取得部21取得通过连接到网络的终端来进行收发的通信。此外,在本实施方 式中,在成为基于网络监视装置20的监视及检测的对象的"终端",除了网络分段2连接的 节点90以外,包含有通过节点90和路由器10来进行通信的其他装置(属于其他网络的节 点或外部服务器等)。
[0039] 根据应用程序检测引擎23、协议异常检测引擎24或恶意软件行为检测引擎25,在 通信阻断部22判定为终端在进行非法活动的情况下,阻断基于该终端的通信。此外,本实 施方式中,对于采用终端被判定为在进行非法活动的情况下阻断该终端的通信的应对的示 例进行了说明,但终端被判定为在进行非法活动的情况下的应对方法并不被限定为通信阻 断。网络监视装置20在终端被判定为进行非法活动的情况下,可以进行警报(警告)通知, 也可以对进行非法活动的终端实施治愈(例如,恶意软件去除或脆弱性去除)。
[0040] 应用程序检测引擎23是对恶意软件所利用的、业务上不需要的应用程序在网络 上所进行的通信进行检测的引擎,例如,通过对基于已知的RAT (Remote Access Trojan)、 P2P (Peer to Peer)应用程序,Tor (The Onion Router)、UltraSurf (P