信息处理装置以及活动判定方法制造方法及图纸

本发明专利技术将降低恶意软件感染的错误检测或漏检的可能性作为技术问题。在信息处理装置(20)中，具备：比较部(251)，其将连接到网络的终端的通信与预先保持的模式进行比较；确定部(254)，其按照比较的结果，确定评价值和非法活动的阶段，该评价值表示被推测为终端进行非法活动的程度；保持部(255)，其针对每个终端，保持评价值的各个阶段的最大值；和判定部(257)，其基于评价值的各个阶段的最大值，判定终端是否进行非法活动。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种管理连接到网络的终端的技术。
技术介绍
一直以来，作为分析通信量的方法，提出了对网络上的主机间的流量分配告警指标值，在累积的告警指标值超过阈值的情况下，发出警报的方法(参见专利文献1及2)。另外，提出了各种通过分析通信量来检测所谓路过式下载(Drive-by Download)攻击的方法(参照非专利文献1和2)。现有技术文献专利文献专利文献1：美国专利第7475426号说明书专利文献2：美国专利第7185368号说明书非专利文献非专利文献1：進藤康孝、外3名、“マルウェア感染ステップのファイルタイプ遷移基づたDrive－byDownload攻撃検知手法”、[online]、平成26年10月15日、情報処理学会、[平成26年12月15日检索]、因特网<URL:https://ipsj.ixsq.nii.ac.jp/ej/？action＝pages_view_main&active_action＝repository_view_main_item_detail&item_id＝106598&item_no＝1&page_id＝13&block_id＝8>非专利文献2：松中隆志、外2名、“Drive－byDownload攻撃対策フレームワークおるWebアクセスログを用たWebリンク構造の解析る悪性サイト検出手法の提案”、[online]、平成26年10月15日、情報処理学会、[平成26年12月15日检索]、因特网<URL:https://ipsj.ixsq.nii.ac.jp/ej/？action＝pages_view_main&active_action＝repository_view_main_item_detail&item_id＝106596&item_no＝1&page_id＝13&block_id＝8>
技术实现思路
专利技术要解决的技术问题一直以来，作为用于对恶意软件感染进行检测的技术，有在累积指标值且累积值超过阈值的情况下，判定为感染了恶意软件的方法。但是，利用这种方法而不定期清除指标值的话，即使由于微小值的累积，也有可能导致累积值超过阈值，从而将正常的终端错误检测为感染了恶意软件。另外，在定期清除指标值的情况下，也有可能由于清除的时机而漏过恶意软件。鉴于上述问题，本公开将降低恶意软件感染的错误检测或漏检作为技术问题。解决技术问题的技术手段本公开的一个实例是信息处理装置，包括：比较单元，其将连接到网络的终端的通信与预先保持的模式进行比较；确定单元，其按照所述比较的结果，确定评价值和非法活动的阶段，所述评价值表示被推测为所述终端进行非法活动的程度；保持单元，其针对每个所述终端，保持所述评价值的每个所述阶段的最大值；和判定单元，其基于所述评价值的每个所述阶段的最大值，判定所述终端是否进行非法活动。本公开能够作为信息处理装置、系统、通过计算机执行的方法或者使计算机执行的程序来把握。另外，本公开也能够作为将这样的程序记录到计算机以外的装置、机械等可读的记录介质而得到的专利技术来把握。此处，计算机等可读的记录介质是指能够通过电、磁、光学、机械或者化学作用来累积数据、程序等信息、并且从计算机等进行读取的记录介质。专利技术效果根据本公开，可以降低恶意软件感染的错误检测或漏检。附图说明图1是示出实施方式所涉及的系统的构成的概略图。图2是示出实施方式所涉及的网络监视装置及管理服务器的硬件构成的图。图3是示出实施方式所涉及的网络监视装置的功能构成概略的图。图4是示出由实施方式的恶意软件行为检测引擎使用的恶意软件的活动转换模型的图。图5是示出实施方式所涉及的每个数据包的检测处理的流程概要的流程图。图6是示出实施方式所涉及的基于恶意软件行为检测引擎的检测处理的流程的流程图(A)。图7是示出实施方式所涉及的基于恶意软件行为检测引擎的检测处理的流程的流程图(B)。图8是示出实施方式所涉及的基于恶意软件行为检测引擎的检测处理的流程的流程图(C)。图9是示出在实施方式中的第一相关分析中作为监视对象的活动转换模型上的阶段及其转换的图。图10是示出在实施方式中的第二相关分析中作为监视对象的、向探索阶段的转换的图。图11是示出在实施方式中的第二相关分析中作为监视对象的、向执行文件的下载阶段的转换的图。图12是示出实施方式中的、用于判定侵入阶段所涉及的通信与执行文件的下载阶段所涉及的通信的相关性的相关分析处理的流程的流程图。图13是示出在实施方式中的第二相关性分析中作为监视对象的、向C&C检索阶段的转换的图。图14是示出在实施方式中的第二相关性分析中作为监视对象的、向C&C通信阶段的转换的图。图15是示出在实施方式中的第二相关性分析中作为监视对象的、向攻击阶段的转换的图。图16是示出实施方式的、内容请求解析处理的流程的流程图。图17是示出实施方式的、内容响应解析处理的流程的流程图。图18是示出实施方式的、HTML内容响应解析处理的流程的流程图。图19是示出实施方式的、执行文件请求解析处理的流程的流程图。图20是示出实施方式的、执行文件响应解析处理的流程的流程图。图21是示出实施方式中的系统构成的变化的概略图。符号说明1 系统20 网络监视装置50 管理服务器90 节点。具体实施方式下面，基于附图，对公开所涉及的信息处理装置、方法及程序的实施方式进行说明。但是，以下说明的实施方式为举例说明实施方式，并非将本公开所涉及的信息处理装置、方法及程序限定于以下说明的具体构成。在实施时，适当采用与实施方式相应的具体构成，也可进行各种改良、变形。在本实施方式中，对用于在网络上发现进行非法活动的终端并进行通信阻断、警报通知等应对的系统中实施本公开所涉及的信息处理装置、方法及程序的情况下的实施方式进行说明。但是，本公开所涉及的信息处理装置、方法及程序可广泛应用到用于检测网络上的非法活动的技术中，本公开的应用对象并不限定于在本实施方式中示出的示例。<系统构成>图1是示出本实施方式所涉及的系统1的构成的概略图。本实施方式所涉及的系统1包括连接有多个信息处理终端90(下面，称为“节点90”)的网络分段2、用于监视节点90所涉及的通信的网络监视装置20。进一步地，将管理服务器50通过路由器10，能进行通信地连接到网络分段2。在本实施方式中，通过将网络监视装置20连接到开关或路由器(图1所示的示例中为路由器)的监视端口(镜像端口)，取得通过节点90收发的数据包、数据帧。在这种情况下，网络监视装置20以不转送取得的数据包的被动方式进行动作。管理服务器50从网络监视装置20收集信息并管理网络监视装置20。此外，在外部网络中，可以进一步地设置检疫服务器并对连接到网络分段2的节点90提供检疫服务，也可进一步地设置业务服务器并对节点90提供用于业务的服务(省略图示)。本实施方式所涉及的系统1中，虽然由节点90连接的各种服务器是通过因特网或广域网在远程地点被连接的服务器，例如由ASP(Application Service Provider)提供的，但上述服务器并不一定要在远程地点被连接。例如，这些服务器也可以本文档来自技高网...

【技术保护点】
一种信息处理装置，其特征在于，包括：比较单元，其将连接到网络的终端的通信与预先保持的模式进行比较；确定单元，其按照所述比较的结果，确定评价值和非法活动的阶段，所述评价值表示被推测为所述终端进行非法活动的程度；保持单元，其针对每个所述终端，保持所述评价值的各个所述阶段的最大值；和判定单元，其基于所述评价值的各个所述阶段的最大值，判定所述终端是否进行非法活动。

【技术特征摘要】
【国外来华专利技术】2014.01.14 JP 2014-0040551.一种信息处理装置，其特征在于，包括：比较单元，其将连接到网络的终端的通信与预先保持的模式进行比较；确定单元，其按照所述比较的结果，确定评价值和非法活动的阶段，所述评价值表示被推测为所述终端进行非法活动的程度；保持单元，其针对每个所述终端，保持所述评价值的各个所述阶段的最大值；和判定单元，其基于所述评价值的各个所述阶段的最大值，判定所述终端是否进行非法活动。2.根据权利要求1所述的信息处理装置，其特征在于，还包括：评价值取得单元，其取得预先设定的值作为所述评价值，该预先设定的值是针对作为所述比较的结果而与所述通信一致或近似的模式而预先设定的；校正单元，其校正取得的所述评价值，所述确定单元确定由所述校正单元校正过的值为所述评价值。3.根据权利要求2所述的信息处理装置，其特征在于，所述阶段表示所述终端的非法活动的转换状态，所述确定单元，其确定预先设定的阶段作为所述通信所涉及的阶段，该预先设定的阶段是针对作为所述比较的结果而与所述通信一致或近似的模式而预先设定的。4.根据权利要求3所述的信息处理装置，其特征在于，所述评价值取得单元按照相关分析结果，取得所述评价值，所述相关分析结果是对所述通信与通过所述终端在该通信之前或之后进行的其他通信的相关性进行分析的结果。5.根据权利要求4所述的信息处理装置，其特征在于，所述评价值取得单元在通过所述相关分析而被判定为针对所述通信所取得的阶段与针对关于所述终端在该通信之前或之后进行的其他通信所取得的阶段之间具有连续性的情况下，取得所述评价值。6.根据权利要求3所述的信息处理装置，其特征在于，所述校正单元按照相关分析结果，校正所述评价值，所述相关分析结果是对所述通信与通过所述终端在该通信之前或之后进行的其他通信的相关性进行分析的结果。7.根据权利要求6所述的信息处理装置，其特征在于，所述校正单元在通过所述相关分析而被判定为针对所述通信所取得的阶段与针对关于所述终端在该通信之前或之后进行的其他通信所取得的阶段之间具有连续性的情况下，将所述评价值校正为比没有被判定为具有连续性的情况更大。8.根据权利要求1～7中的任一项所述的信息处理装置，其特征在于，还包括：合计单元，其针对每个所述终端，对各所述阶段的所述评价值的最大值进行合计，所述判定单元基于通过所述合计单元得到的合计值，判定所述终端是否进行非法活动。9.根据权利要求8所述的信息处理装置，其特征在于，所述判定单元在所述合计值或基于所述合计值的值超过规定的阈值的情况下，判定为所述终端在进行非法活动。10.根据权利要求8所述的信息处理装置，其特征在于，所述判定单元在通过对所述合计值进行规定的加权而得到的值超过规定的阈值的情况下，判定为所述终端在进行非法活动。11.根据权利要求1～10中的任一项所述的信息处理装置，其特征在于，还包括：通信取得单元，其取得连接到所述网络的终端的通信，所述比较单元将取得的所述通信与预先保持的模式进行比较。12.根据权利要求1～11中的任一项所述的信息处理装置，其特征在于，还包括：通信阻断单元，其在被判定为所述终端在进行非法活动的情况下，对该终端的通信进行阻断。13.根据权利要求1～12中的任一项所述的信息处理装置，其特征在于，还包括：一个或多个的检测单元，其对连接到网络的终端的非法通信进行检测，所述判定单元基于没有被所述检测单元检测为非法通信的通信，判定所述终端是否进行非法活动。14.一种非法活动判定方法，其特征在于，计算机执行以下步骤：比较步骤，将连接到网络的终端的通信与预先保持的模式进行比较；确定步骤，按照所述比较的结果，确定评价值和非法活动的阶段，所述评价值表示被推测为所述终端进行非法活动的程度；保持步骤，针对每个所述终端，保持所述评价值的各个所述阶段的最大值；和判定步骤，基于所述评价值的各个所述阶段的最大值，判定所述终端是否进行非法活动。15.一种非法活动判定用程序，其特征在于，使计算机作为以下单元发挥功能：比较单元，其将连接到网络的终端的通信与预先保持的模式进行比较；确定单元，其按照所述比较的结果，确定评价值和非法活动的阶段，所述评价值表示被推测为所述终端进行非法活动的程度；保持单元，其针对每个所述终端，保持所述评价值的各个所述阶段的最大值；以及判定单元，其基于所述评价值的各个所述阶段的最大值，判定所述终端是否进行非法活动。16.一种信息处理装置，其特征在于，具备：比较单元，其将连接到网络的终端的通信与预先保持的模式进行比较；确定单元，其按照所述比较的结果，确定所述终端的活动的阶段；相关分析单元，其进行第一通信与第二通信的相关分析，从而判定基于该第一通信的内容的下载与基于该第二通信的执行文件的下载之间的相关性的有无或者程度，该第一通信是通过所述确定单元而被确定为是使所述终端下载内容的阶段的通信，该第二通信是通过所述确定单元而被确定为是使该终端下载执行文件的阶段的通信；以及判定单元，其基于所述相关分析的结果，判定所述终端是否进行规定的活动。17.根据权利要求16所述的信息处理装置，其特征在于，所述确定单元根据通过所述通信而下载的数据的文件种类，确定该通信所涉及的所述终端的活动的阶段。18.根据权利要求17所述的信息处理装置，其特征在于，所述确定单元在所述通信包含内容或者执行文件的请求的情况下，基于该请求中包含的信息来推测所述内容或者执行文件的文件种类，根据所推测出的文件种类来确定该通信所涉及的所述终端...

【专利技术属性】
技术研发人员：小出和弘，道根庆治，
申请(专利权)人：株式会社PFU，
类型：发明
国别省市：日本;JP