信息處理裝置及非法活動(dòng)判定方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種管理連接到網(wǎng)絡(luò)的終端的技術(shù)�����。
【背景技術(shù)】
[0002] -直以來�����,作為分析通信量的方法����,提出了對網(wǎng)絡(luò)上的主機(jī)間的流量分配告警指 標(biāo)值,在累積的告警指標(biāo)值超過閾值的情況下����,發(fā)出警報(bào)的方法(參見專利文獻(xiàn)1及2)。
[0003] 現(xiàn)有技術(shù)文獻(xiàn)
[0004] 專利文獻(xiàn)
[0005] 專利文獻(xiàn)1:美國專利第7475426號說明書
[0006] 專利文獻(xiàn)2:美國專利第7185368號說明書
【發(fā)明內(nèi)容】
[0007] 發(fā)明所要解決的技術(shù)問題
[0008] -直以來�����,作為用于對惡意軟件感染進(jìn)行檢測的技術(shù)����,有在累積指標(biāo)值且累積值 超過閾值的情況下,判定為感染了惡意軟件的方法����。但是,利用這種方法而不定期清除指標(biāo) 值的話���,即使由于微小值的累積�,也有可能導(dǎo)致累積值超過閾值�,從而將正常的終端誤檢測 為感染了惡意軟件����。又��,在定期清除指標(biāo)值的情況下���,也有可能由于清除的時(shí)機(jī)而漏過惡意 軟件�。
[0009] 鑒于上述問題�,本公開將降低惡意軟件感染的誤檢測或漏檢的可能性作為技術(shù)問 題。
[0010] 解決技術(shù)問題的手段
[0011] 本公開的一個(gè)實(shí)例是信息處理裝置�,包括:比較單元,其將連接到網(wǎng)絡(luò)的終端的通 信與預(yù)先保持的模式進(jìn)行比較����;確定單元,其按照所述比較的結(jié)果��,確定評價(jià)值和非法活動(dòng) 的階段���,所述評價(jià)值表示被推測為所述終端進(jìn)行非法活動(dòng)的程度����;保持單元�����,其針對每個(gè)所 述終端���,保持所述評價(jià)值的每個(gè)所述階段的最大值��;和判定單元����,其基于所述評價(jià)值的每個(gè) 所述階段的最大值�,判定所述終端是否進(jìn)行非法活動(dòng)。
[0012] 本公開可以被理解為信息處理裝置�、系統(tǒng)、由電子計(jì)算機(jī)執(zhí)行的方法�。
[0013] 發(fā)明效果
[0014] 根據(jù)本公開,可以降低惡意軟件感染的誤檢測或漏檢���。
【附圖說明】
[0015] 圖1是示出實(shí)施方式所涉及到的系統(tǒng)的構(gòu)成的概略圖��。
[0016] 圖2是示出實(shí)施方式所涉及到的網(wǎng)絡(luò)監(jiān)視裝置及管理服務(wù)器的硬件構(gòu)成的圖�����。
[0017] 圖3是示出實(shí)施方式所涉及到的網(wǎng)絡(luò)監(jiān)視裝置的功能構(gòu)成概略的圖�����。
[0018] 圖4是示出由實(shí)施方式的惡意軟件行為檢測引擎使用的惡意軟件的活動(dòng)轉(zhuǎn)換模 型的圖����。
[0019] 圖5是示出實(shí)施方式所涉及到的每個(gè)數(shù)據(jù)包的檢測處理的流程概要的流程圖。
[0020] 圖6是示出實(shí)施方式所涉及到的基于惡意軟件行為檢測引擎的檢測處理的流程 的流程圖(A)����。
[0021] 圖7是示出實(shí)施方式所涉及到的基于惡意軟件行為檢測引擎的檢測處理的流程 的流程圖(B)。
[0022] 圖8是示出實(shí)施方式所涉及到的基于惡意軟件行為檢測引擎的檢測處理的流程 的流程圖(C)���。
[0023] 圖9是示出在實(shí)施方式中的第一相關(guān)性分析中作為監(jiān)視對象的活動(dòng)轉(zhuǎn)換模型上 的階段及其轉(zhuǎn)換的圖��。
[0024] 圖10是示出在實(shí)施方式中的第二相關(guān)性分析中作為監(jiān)視對象的����、向探索���、感染階 段轉(zhuǎn)換的圖��。
[0025] 圖11示出在實(shí)施方式中的第二相關(guān)性分析中作為監(jiān)視對象的��、向執(zhí)行文件的下 載階段轉(zhuǎn)換的圖��。
[0026] 圖12示出在實(shí)施方式中的第二相關(guān)性分析中作為監(jiān)視對象的�����、向C&C檢索階段轉(zhuǎn) 換的圖��。
[0027] 圖13示出在實(shí)施方式中的第二相關(guān)性分析中作為監(jiān)視對象的���、向C&C通信階段轉(zhuǎn) 換的圖。
[0028] 圖14示出在實(shí)施方式中的第二相關(guān)性分析中作為監(jiān)視對象的��、向攻擊階段轉(zhuǎn)換 的圖����。
[0029] 圖15是示出實(shí)施方式中的系統(tǒng)構(gòu)成的變化的概略圖。
【具體實(shí)施方式】
[0030] 下面���,基于附圖����,對公開所涉及到的信息處理裝置及方法的實(shí)施方式進(jìn)行說明�。但 是,以下說明的實(shí)施方式為舉例說明實(shí)施方式�,并非將本公開所涉及到的信息處理裝置及 方法限定于以下說明的具體構(gòu)成����。在實(shí)施時(shí)�����,適當(dāng)采用與實(shí)施方式相應(yīng)的具體構(gòu)成�,也可進(jìn) 行各種改良、變形�����。
[0031] 本實(shí)施方式中����,對用于在網(wǎng)絡(luò)上發(fā)現(xiàn)進(jìn)行非法活動(dòng)的終端并進(jìn)行通信阻斷或警報(bào) 通知等應(yīng)對的系統(tǒng)中實(shí)施本公開所涉及到的信息處理裝置及方法的情況下的實(shí)施方式進(jìn) 行說明。但是�����,本公開所涉及到的信息處理裝置及方法可廣泛應(yīng)用到用于檢測網(wǎng)絡(luò)上的非 法活動(dòng)的技術(shù)中�,本公開的應(yīng)用對象并不限定于本實(shí)施方式中示出的示例。
[0032] <系統(tǒng)構(gòu)成>
[0033] 圖1是示出本實(shí)施方式所涉及到的系統(tǒng)1的構(gòu)成的概略圖����。本實(shí)施方式所涉及到 的系統(tǒng)1包括連接多個(gè)信息處理終端90(下面����,稱為"節(jié)點(diǎn)90")的網(wǎng)絡(luò)分段2��、用于監(jiān)視 節(jié)點(diǎn)90所涉及到的通信的網(wǎng)絡(luò)監(jiān)視裝置20����。進(jìn)一步地�,將管理服務(wù)器50通過路由器10, 能進(jìn)行通信地連接到網(wǎng)絡(luò)分段2�����。本實(shí)施方式中��,通過將網(wǎng)絡(luò)監(jiān)視裝置20連接到開關(guān)或路 由器(圖1所示的示例中為路由器)的監(jiān)視端口(鏡像端口)���,取得通過節(jié)點(diǎn)90收發(fā)的數(shù) 據(jù)包或數(shù)據(jù)幀���。在這種情況下,網(wǎng)絡(luò)監(jiān)視裝置20以不轉(zhuǎn)送取得的數(shù)據(jù)包的被動(dòng)方式進(jìn)行動(dòng) 作��。
[0034] 管理服務(wù)器50從網(wǎng)絡(luò)監(jiān)視裝置20收集信息并管理網(wǎng)絡(luò)監(jiān)視裝置20。此外����,在外 部網(wǎng)絡(luò)中,可以進(jìn)一步地設(shè)置檢疫服務(wù)器并對連接到網(wǎng)絡(luò)分段2的節(jié)點(diǎn)90提供檢疫服務(wù)��, 也可進(jìn)一步地設(shè)置業(yè)務(wù)服務(wù)器并對節(jié)點(diǎn)90提供用于業(yè)務(wù)的服務(wù)(省略圖示)�。
[0035] 本實(shí)施方式所涉及到的系統(tǒng)1中,雖然由節(jié)點(diǎn)90連接的各種服務(wù)器是通過因特網(wǎng) 或廣域網(wǎng)在遠(yuǎn)程地點(diǎn)被連接的服務(wù)器�,例如由ASP(Application Service Provider)提供 的,但上述服務(wù)器并不一定要在遠(yuǎn)程地點(diǎn)被連接����。例如,這些服務(wù)器也可以被連接到存在節(jié) 點(diǎn)90或網(wǎng)絡(luò)監(jiān)視裝置20的本地網(wǎng)絡(luò)上��。
[0036] 圖2是示出本實(shí)施方式所涉及到的網(wǎng)絡(luò)監(jiān)視裝置20及管理服務(wù)器50的硬件構(gòu)成 的圖�����。此外���,在圖2中����,對于網(wǎng)絡(luò)監(jiān)視裝置20及管理服務(wù)器50以外的構(gòu)成(路由器10、節(jié)點(diǎn) 90等)省略圖示�。網(wǎng)絡(luò)監(jiān)視裝置20及管理服務(wù)器50是分別包括CPU (Central Processing Unit) I la> lib > RAM (Random Access Memory) 13a > 13b > ROM (Read Only Memory) 12a> 12b> EEPROM(Electrically Erasable Programmable Read Only Memory) 5? HDD(Hard Disk Drive)等存儲裝置 14a、14b��、NIC (Network Interface Card) 15a�����、15b 等通信組件等的計(jì)算 機(jī)����。
[0037] 圖3是示出本實(shí)施方式所涉及到的網(wǎng)絡(luò)監(jiān)視裝置20的功能構(gòu)成概略的圖���。此外��, 在圖3中��,對于網(wǎng)絡(luò)監(jiān)視裝置20以外的構(gòu)成(路由器10���、節(jié)點(diǎn)90及管理服務(wù)器50等)省 略圖示。通過記錄于存儲裝置14a的程序在RAM13a被讀出并被CPUlla執(zhí)行����,網(wǎng)絡(luò)監(jiān)視裝置 20作為包括通信取得部21、通信阻斷部22、應(yīng)用程序檢測引擎23����、協(xié)議異常檢測引擎24及 惡意軟件行為檢測引擎25的信息處理裝置而發(fā)揮作用。又�,惡意軟件行為檢測引擎25包 含比較部251、評價(jià)值取得部252����、校正部253、確定部254����、保持部255、合計(jì)部256及判定部 257����。又,本實(shí)施方式中�����,網(wǎng)絡(luò)監(jiān)視裝置20具備的各種功能雖然被作為通用處理器的CPUlla 執(zhí)行��,但上述功能的一部分或全部也可被一個(gè)或多個(gè)專用處理器執(zhí)行�。又�,也可以利用云技 術(shù)等�,由設(shè)置在遠(yuǎn)隔地點(diǎn)的裝置或分散設(shè)置的多個(gè)裝置來執(zhí)行上述功能的一部分或全部。
[0038] 通信取得部21取得通過連接到網(wǎng)絡(luò)的終端來進(jìn)行收發(fā)的通信����。此外,在本實(shí)施方 式中���,在成為基于網(wǎng)絡(luò)監(jiān)視裝置20的監(jiān)視及檢測的對象的"終端"�����,除了網(wǎng)絡(luò)分段2連接的 節(jié)點(diǎn)90以外��,包含有通過節(jié)點(diǎn)90和路由器10來進(jìn)行通信的其他裝置(屬于其他網(wǎng)絡(luò)的節(jié) 點(diǎn)或外部服務(wù)器等)�����。
[0039] 根據(jù)應(yīng)用程序檢測引擎23、協(xié)議異常檢測引擎24或惡意軟件行為檢測引擎25,在 通信阻斷部22判定為終端在進(jìn)行非法活動(dòng)的情況下���,阻斷基于該終端的通信�。此外���,本實(shí) 施方式中���,對于采用終端被判定為在進(jìn)行非法活動(dòng)的情況下阻斷該終端的通信的應(yīng)對的示 例進(jìn)行了說明����,但終端被判定為在進(jìn)行非法活動(dòng)的情況下的應(yīng)對方法并不被限定為通信阻 斷�。網(wǎng)絡(luò)監(jiān)視裝置20在終端被判定為進(jìn)行非法活動(dòng)的情況下,可以進(jìn)行警報(bào)(警告)通知�, 也可以對進(jìn)行非法活動(dòng)的終端實(shí)施治愈(例如,惡意軟件去除或脆弱性去除)��。
[0040] 應(yīng)用程序檢測引擎23是對惡意軟件所利用的����、業(yè)務(wù)上不需要的應(yīng)用程序在網(wǎng)絡(luò) 上所進(jìn)行的通信進(jìn)行檢測的引擎,例如����,通過對基于已知的RAT (Remote Access Trojan)、 P2P (Peer to Peer)應(yīng)用程序�����,Tor (The Onion Router)�、UltraSurf (P