前記フィルタ管理制御部の制御に基づき、前記通信履歴に対して所定のフィルタリング処理を行い、フィルタリングされた前記通信履歴を出力する1又は2以上のフィルタ処理部をさらに有することを特徴とする請求項1に記載のフィルタ制御装置。
【背景技術】
【0002】
従来、サイバー攻撃監視の目的で、プロキシサーバなどの社内装置に記録されるログ情報を調査し、マルウェアのダウンロードや攻撃者サーバとの通信といった悪性通信を検出する取り組みが実施されている。
【0003】
一般にアクセス履歴などのログ情報は膨大であり、そのほとんどが悪性でない通信によるログ情報であることが多い。そのような前提で、すべてのログ情報の中から悪性通信を総当り的に見つけ出すというアプローチは、監視工数が大きく効率的でない。
【0004】
ところで、悪性通信を効率良く発見するための一つの手法として、ログ情報のフィルタリングが存在する。ログ情報のフィルタリングにより調査すべきログの総数を減少させることができるため、悪性通信の検出速度向上が期待できる。
【0005】
ただし、利用するフィルタによっては、削減効果が低いものもある。例えば、複数のフィルタを順番に適用する多段構成のフィルタリングシステムの場合、初めに削減効果が低いフィルタを適用すると、フィルタリング処理を実施するにも関わらず、次段のフィルタへの入力ログも減少せず、システム全体としてフィルタリング処理効率が悪くなるという問題を考慮しなければならない。
【0006】
上記問題を解決する方法として、例えば、特許文献1には、各フィルタがフィルタリングルールにマッチした回数をカウントし、マッチカウントが高いフィルタほど適用順序を前段に移動するように再配置する方法が開示されている。
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、特許文献1に記載の方法は、現在受信するパケットが、その後に受信するパケットの傾向と同様であるという前提の上でフィルタリング処理効率が向上するものである。例えば、社内から社外へのアクセスログから悪性通信を見つけ出すためのログのフィルタリングという観点では、平日・休日の違いや通常勤務時間内・外によるログの傾向に違いが存在する。
【0009】
そのため、通信履歴の傾向に応じてフィルタリングを効率化できるフィルタ制御装置、フィルタ制御プログラム及びフィルタ制御方法が望まれている。
【課題を解決するための手段】
【0010】
第1の本発明は、悪性通信を監視するための調査対象となる通信履歴のフィルタ処理を制御するフィルタ制御装置であって、入力された前記通信履歴の傾向に基づき、前記通信履歴に対するフィルタの適用の有無および適用順を制御するフィルタ管理制御部を有することを特徴とする。
【0011】
第2の本発明のフィルタ制御プログラムは、悪性通信を監視するための調査対象となる通信履歴のフィルタ処理を制御するフィルタ制御装置に搭載されるコンピュータを、入力された前記通信履歴の傾向に基づき、前記通信履歴に対するフィルタの適用の有無および適用順を制御するフィルタ管理制御部として機能させることを特徴とする。
【0012】
第3の本発明は、悪性通信を監視するための調査対象となる通信履歴のフィルタ処理を制御するフィルタ制御方法であって、フィルタ管理制御部を有し、前記フィルタ管理制御部は、入力された前記通信履歴の傾向に基づき、前記通信履歴に対するフィルタの適用の有無および適用順を制御することを特徴とする。
【発明の効果】
【0013】
本発明によれば、通信履歴の傾向に応じてフィルタリングを効率化できる。
【図面の簡単な説明】
【0014】
【図1】実施形態に係るフィルタ制御装置の機能的構成を示すブロック図である。
【図2】実施形態に係るフィルタリングシステムの構成例(その1)を示すブロック図である。
【図3】実施形態に係るフィルタ適用管理テーブルの一例を示す図(その1)である。
【図4】実施形態に係るフィルタリングシステムの構成例(その2)を示すブロック図である。
【図5】実施形態に係るフィルタ適用管理テーブルの一例を示す図(その2)である。
【図6】実施形態に係るフィルタ適用管理テーブルの一例を示す図(その3)である。
【図7】実施形態に係るフィルタリングシステムの構成例(その3)を示すブロック図である。
【発明を実施するための形態】
【0015】
(A)主たる実施形態
以下、本発明に係るフィルタ制御装置、フィルタ制御プログラム及びフィルタ制御方法の主たる実施形態を、図面を参照しながら詳述する。
【0016】
(A−1)実施形態の構成
図1は、実施形態に係るフィルタ制御装置の機能的構成を示すブロック図である。また、図2は、実施形態に係るフィルタリングシステムの構成を示すブロック図である。図2で示すフィルタリングシステム1は、図1で示すフィルタ制御装置が1又は複数備わることにより形成される。フィルタリングシステム1は、種々様々な装置に搭載することができるが、例えば、社内ネットワークと社外ネットワークの境界に設置される装置(ファイアウォール)、プロキシサーバ等に搭載しても良いし、また社内ネットワーク上のログを一元管理する装置に搭載しても良い。
【0017】
図1において、フィルタ制御装置10は、フィルタ管理制御部11及び複数のフィルタ処理部12(12−1〜12−n)を有する。実施施形態に係るフィルタ制御装置は、図1に示す各構成部を搭載した専用のICチップ等のハードウェアとして構成しても良いし、又は、CPUと、CPUが実行するプログラムを中心としてソフトウェア的に構成して良いが、機能的には、図1で表すことができる。
【0018】
フィルタ処理部12は、フィルタ管理制御部11から与えられたログ情報を規定のルールに従ってフィルタ処理(フィルタリング)し、フィルタ処理した結果(フィルタリング後のログ情報)を、フィルタ管理制御部11に出力するものである。フィルタ処理部12は、種々様々なフィルタ処理を適用することができるが、例えば、悪性でないとみなせるドメインへのアクセスログをフィルタする処理であったり、社外との通信ログで通信が成立していないものをフィルタする処理であったり、前日と比べてアクセス数が同等のドメインをフィルタリングする処理であったり等のフィルタ処理を適用しても良い。図1では、特徴の異なるフィルタ処理の数に応じて、フィルタ処理部12(12−1〜12−n)が形成される例が示されている。
【0019】
フィルタ管理制御部11は、入力されたログ(ログ情報)に適用し得る1以上のフィルタを管理するものであり、取得したログの傾向を加味して、フィルタの適用の有無、及び適用順を制御するものである。
【0020】
ログの傾向とは、ログの「取得場所」や「取得時間」に依存して得られる傾向である。例えば、社内から社外へのアクセスログ(例えば、社内のプロキシサーバで取得)に関して、グローバルIPアドレスや名前解決可能なドメイン名が宛先となるログが多数で、それ以外(例えば、社内ローカルアドレス宛や名前解決不可能なドメイン名)は存在しても検出対象ではない可能性が高いという傾向である。また例えば、企業のドメインアクセス傾向であり、当該企業で取得されるログに関して、平日の通常業務時間中は情報調査のために検索サイトへのアクセスが多く、通常業務時間外はニュースサイトへのアクセスが多いという傾向である。また例えば、ある部署(送信元IPアドレスで識別可能とする)では、休日明けにアップデート関係のアクセスが多数発生するという傾向である。これらログの傾向は、例えば、有限個のパラメータで定義できる。例えば、各パラメータは、社外ログか社内ログかのフラグや、勤務時間内か勤務時間外かのフラグ等である。
【0021】
ログの傾向の取得方法としては、事前に設定されても良いし、外部から適時与えられても良い。また、実際に任意数のログを教師データとして傾向をフィルタ管理制御部11が作成しても良い。
【0022】
フィルタ管理制御部11は、当該フィルタ管理制御部11で管理する1以上のフィルタ(フィルタ処理部12)に対して、ログの傾向(有限個のパラメータ)が定義された場合に、適用の有無や、適用順のパターンを予め定義しておく。この定義は、例えば、フィルタ管理制御部11が管理するフィルタ(フィルタ処理部12)を追加するときに、事前に実施される。
【0023】
フィルタ管理制御部11は、ログの傾向を加味して、フィルタ処理部12の適用やその適用順を制御する。例えば、社内から社外へのアクセスログにおいて、社内ローカルアドレス宛や名前解決不可能なドメイン名を取り除くフィルタは、削減効果が低いと考えられるため、フィルタ適用順としては後に設定する。また例えば、悪性でないとみなせるドメインへのアクセスログを取り除くフィルタは、平日の通常業務時間中のログに関しては、ニュースサイトのフィルタよりも検察サイトのフィルタを前に設定し、通常業務時間外のログに関しては、その逆に設定する。また例えば、前日と比べてアクセス数が同等のサイトを取り除くフィルタは、休日明けのログに適用してもフィルタ効果が期待できないため、休日明けのログには適用しないといった制御を行う。
【0024】
図3は、実施形態に係るフィルタ適用管理テーブルの一例を示す図である。
【0025】
図3では、フィルタとしてA、B、Cの3種類が存在し、各フィルタが、業務時間内/業務時間外/深夜早朝の時間帯において、社内ログ、/社外ログ、又は事務職系職場ログ/技術職系職場ログに対してどれくらいの削減効果が存在するかを段階毎に示している。削減効果は、例えば、「0」〜「5」の6段階で示し、数値が大きいほど削減効果が高いことを示し、数値が小さいほど削減効果が低いことを示す。また、数値の「0」は、フィルグ適用効果が低く、フィルタを適用する必要がないことを示している。ここで、A〜Cの種類のフィルタは、例えば、フィルタ処理部12−1〜12−3のフィルタが該当する。
【0026】
フィルタ管理制御部11は、入力されたログに対して、図3に示すようなフィルタ適用管理テーブル30を参照し、各フィルタの適用有無や適用順を決定する。例えば、フィルタ管理制御部11は、業務時間内における社内向けのログに対しては、A〜Cの全てのフィルタを適用し、最も数値が高い値(5)であるAのフィルタ、次に数値が高い値(3)であるBのフィルタ、数値が最も低い値(1)であるCのフィルタの順に適用するフィルタの順番を決定する。また例えば、フィルタ管理制御部11は、深夜早朝の時間帯における技術職系職場ログに対しては、B、Cの2種類のフィルタを適用し、数値の値に従い、Cのフィルタ、Bのフィルタの順に適用するフィルタの順番を決定する。
【0027】
また、フィルタ管理制御部11は、他のフィルタ制御装置10に対してログおよび当該ログの傾向を与え、他のフィルタ制御装置10より、フィルタ後のログを取得するようにしても良い。フィルタ制御装置10が他のフィルタ制御装置10と連係してログをフィルタリングする例については、動作の項で詳述する。
【0028】
(A−2)実施形態の動作
次に、以上のような構成を有する実施形態に係るフィルタリングシステム1の動作を、図面を参照しながら説明する。
【0029】
図4は、実施形態に係るフィルタリングシステムの構成例(その2)を示すブロック図である。図4において、フィルタリングシステム1は、2つのフィルタ制御装置10−1及びフィルタ制御装置10−2を備える。以下では、2つのフィルタ制御装置10−1及びフィルタ制御装置10−1が連係して外部から与えられたログ情報(ログ)をフィルタリングする動作例を示す。
【0030】
図4において、フィルタリングシステム1の処理は、大別すると、ログ情報を取得し、ログの傾向を把握するステップS101の処理と、フィルタの適用有無及び適用順を制御するステップS102の処理と、適用するフィルタにおいて、フィルタリングを行うステップS103〜S105の処理と、フィルタリングしたログを出力するSステップ106の処理に大別できる。以下では各処理の詳細について述べる。
【0031】
[S101]ログ情報の取得とログの傾向把握
フィルタ制御装置10−1のフィルタ管理制御部11−1は、任意期間のログ情報を取得する。例えば、フィルタ管理制御部11は、取得した通信ログからランダムサンプリングし、一般的な統計手法により、休日明けの平日の通常勤務時間に取得された社外への通信ログであるというログの傾向を得る。なお、このログの傾向の把握は、外部の装置が行い、フィルタ管理制御部11−1は、その結果を受け取る構成でも良い。
【0032】
[S102]フィルタの適用有無と適用順の制御
フィルタ管理制御部11−1は、例えば、休日明けの平日の通常勤務時間(業務時間)に取得された社外への通信ログであるという傾向を有するログに対して、フィルタ適用管理テーブル30−1を参照して、フィルタの適用有無及び適用順を制御する。なお、図4の例では、フィルタ管理制御部11−1が管理するフィルタは、フィルタ制御装置10−1のフィルタ処理部12(12−1〜12−3)に搭載されるフィルタA〜Cと、フィルタ制御装置10−2のフィルタ処理部12(12−4、12−5)に搭載されるフィルタD(D1、D2)である。
【0033】
フィルタAは、ニュース系サイトのドメインへのアクセスログをフィルタリングするものである。また、フィルタBは、検索系サイトのドメインへのアクセスログをフィルタリングするものである。さらに、フィルタCは、前日と比べてアクセス数が同等のドメインをフィルタリングするものである。そして、フィルタDは、社外とのアクセスログ以外をフィルタリングするものである。
【0034】
「休日明けの平日の通常勤務時間に取得された社外への通信ログである」というログの傾向は、図5のフィルタ適用管理テーブル30−1では、業務時間内(休日明け)及び社外向けの項目が交差するセルが対応するものである。つまり、対応するフィルタAのセルは「3」であり、フィルタBのセルは「4」であり、フィルタCのセルは「0」であり、フィルタDのセルは「1」である。
【0035】
従って、フィルタ管理制御部11−1は、取得したログに対して、A、B、Dのフィルタを、B→A→Dの順に適用することを決定する。なお、フィルタCに関しては、休日明けのログでは、その性質上フィルタ効果を期待できないため、フィルタの適用自体を行わない。
【0036】
[S103]フィルタ処理部(フィルタB)の適用
フィルタ管理制御部11−1は、ログをフィルタ処理部12−2(フィルタB)に与える。フィルタ処理部12−2(フィルタB)は、与えられたログに対して、フィルタリングを行い、フィルタリングしたログをフィルタ管理制御部11−1に返信する。
【0037】
[S104]フィルタ処理部(フィルタA)の適用
フィルタ管理制御部11−1は、ステップS103でフィルタリングしたログを、フィルタ処理部12−1(フィルタA)に与える。フィルタ処理部12−1(フィルタA)は、与えられたログに対して、フィルタリングを行い、フィルタリングしたログをフィルタ管理制御部11−1に返信する。
【0038】
[S105]フィルタ処理部(フィルタD)の適用
フィルタ管理制御部11−1は、ステップS104でフィルタリングしたログ及びログの傾向(休日明けの平日の通常勤務時間に取得された社外への通信ログであるという傾向)を、フィルタ制御装置10−2のフィルタ管理制御部11−2に与える。
【0039】
フィルタ管理制御部11−2では、フィルタ処理部12−4(フィルタD1)及びフィルタ処理部12−5(フィルタD2)を管理している。フィルタD1は、宛先が社内ローカルアドレスをフィルタリングするものである。また、フィルタBは、名前解決不可能なドメインをフィルタリングするものである。
【0040】
フィルタ管理制御部11−2は、例えば、ログの傾向から自身が保持するフィルタ適用管理テーブル30−2(図6)を参照しても、各セルの値が全て同じ値(1)のため、フィルタの適用順が処理効率にあまり影響しないと判断する。この場合、フィルタ管理制御部11−2は、順にフィルタの適用を実施する。
【0041】
つまり、フィルタ管理制御部11−1は、フィルタ処理部12−4(フィルタD1)、フィルタ処理部12−5(フィルタD1)の順に、与えられたログに対してフィルタリングを行わせる。
【0042】
そして、フィルタ管理制御部11−2は、フィルタリングしたログをフィルタ制御装置10−1のフィルタ管理制御部11−1に返信する。
【0043】
[S106]フィルタリング結果の出力
フィルタ管理制御部11−1は、種々のフィルタでフィルタリングした結果(ログ)を要求元に出力する。
【0044】
(A−2)実施形態の効果
上記実施形態によれば、フィルタ制御装置10(フィルタ管理制御部11)は、ログの取得場所や取得時間を加味してフィルタ適用順やフィルタの適用有無を制御する。例えば、複数のフィルタ(フィルタ処理部12)を順番に適用する多段構成のフィルタリングシステムにおいて、ログの取得場所や取得時間に応じてフィルタの適用順を制御できるため、削減効果が低いフィルタが含まれる場合でも、フィルタリング処理効率を向上させることができる(削減効果が低いフィルタは後回しにできる)。
【0045】
また、ログの取得場所や取得時間に応じてフィルタの効果が期待できない場合には、フィルタ管理制御部11は、フィルタの適用自体を無効に制御することで、無駄なフィルタ処理を省くことができ、フィルタリング処理効率を向上させることができる。
【0046】
(B)他の実施形態
本発明は、上記実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
【0047】
(B−1)上記実施形態では、フィルタ制御装置10がフィルタ処理部12とフィルタ管理制御部11とで構成される例を示したが、この構成に限定されるものではない。フィルタ制御装置10はフィルタ管理制御部11だけを備え、フィルタ処理部12は他の装置が備える構成としても良い。
【0048】
(B−2)上記実施形態の図4の動作例では、フィルタ制御装置10−1が取得したログに対するフィルタリング結果を応答する例を示したが、この動作に限定されるものではない。例えば、図7に示すフィルタリングシステム1のように、フィルタ制御装置10−3がログの傾向のみをフィルタ制御装置10−4と、フィルタ制御装置10−5にそれぞれ与え、フィルタ制御装置10−4及びフィルタ制御装置10−5がそれぞれ並列にログ情報のフィルタリング結果を返信する構成としても良い。
