高效地提取与通信的危险度对应的数据。控制部(11)决定伪会话数据(dp)以及分割会话数据(d3)的危险度等级,从伪会话数据(dp)以及分割会话数据(d3)中收集文件信息。在该情况下,在分割会话数据(d3)中不包含文件,在伪会话数据(dp)中包含文件,因此从伪会话数据(dp)中包含的文件收集文件信息。另外,在伪会话数据(dp)中包含a.exe文件,另外,a.exe文件与危险度等级为3的schtasks指令相关联。因此,控制部(11)从a.exe文件收集元信息、文件散列值以及文件主体作为文件信息。文件主体作为文件信息。文件主体作为文件信息。
【技术实现步骤摘要】
【国外来华专利技术】信息处理程序、信息处理方法和信息处理装置
[0001]本专利技术涉及信息处理程序、信息处理方法以及信息处理装置。
技术介绍
[0002]在由于以因特网为代表的网络的普及而使各种信息被电子化并通过网络进行通信的状况下,针对网络威胁的安全性的重要性提高。
[0003]作为安全相关的技术,例如提出了基于由能够记录通信日志的应用程序输出的分析对象日志文件来判断有无非法访问的技术。另外,提出了推导出表示访问的重要度的指标值以及表示访问不正当的可能性的高低的指标值来判定访问的危险度的技术。
[0004]现有技术文献
[0005]专利文献
[0006]专利文献1:日本特开2002
‑
318734号公报
[0007]专利文献2:日本特开2018
‑
041316号公报
技术实现思路
[0008]专利技术所要解决的问题
[0009]在网络安全中,例如在受到网络攻击的情况下,为了使损失为最小限度,迅速掌握攻击全貌是重要的。如果能够在早期阶段明确攻击者所使用的恶意软件(为了非法且有害地进行动作而生成的恶意软件),则能够迅速地应对攻击。因此,期望能够高效地提取与通信的危险度对应的、和恶意软件关联的数据的技术。
[0010]在一个方面,本专利技术的目的在于提供一种能够高效地提取与通信的危险度对应的数据的信息处理程序、信息处理方法以及信息处理装置。
[0011]用于解决问题的手段
[0012]为了解决上述问题,提供一种信息处理程序。信息处理程序使计算机执行如下处理:按每个会话将通信数据进行分割而生成分割数据组;从分割数据组中提取具有相同的识别信息且会话间隔为阈值以下的分割数据;将提取出的分割数据连结而生成连结数据;基于连结数据中包含的特定信息来决定通信的危险度;以及从连结数据中包含的文件收集基于危险度的文件信息。
[0013]另外,为了解决上述问题,提供一种计算机执行与上述信息处理程序同样的控制的信息处理方法。
[0014]进而,为了解决上述问题,提供一种执行与上述信息处理程序同样的控制的信息处理装置。
[0015]专利技术效果
[0016]根据一个方面,能够高效地提取与通信的危险度对应的数据。
[0017]通过与作为本专利技术的例子而表示优选的实施方式的附图相关联的以下的说明,本专利技术的上述以及其他目的、特征以及优点将变得明确。
附图说明
[0018]图1是用于说明第一实施方式的信息处理装置的一例的图。
[0019]图2是表示第二实施方式的信息处理系统的一例的图。
[0020]图3是表示服务器装置的功能块的一例的图。
[0021]图4是表示服务器装置的硬件结构的一例的图。
[0022]图5是表示表信息的一例的图,该表信息表示指令与危险度等级的对应关系。
[0023]图6是表示表信息的一例的图,该表表示危险度等级与文件信息的对应关系。
[0024]图7是用于说明从对通信日志进行会话分割到收集文件信息为止的动作的一例的图。
[0025]图8是用于说明从对通信日志进行会话分割到收集文件信息为止的动作的一例的图。
[0026]图9是表示通信日志的一例的图。
[0027]图10是表示分割会话数据的一例的图。
[0028]图11是用于说明会话间隔的一例的图。
[0029]图12是表示伪会话数据的生成的一例的图。
[0030]图13是表示指令
‑
危险度等级对应表的一例的图。
[0031]图14是表示危险度等级
‑
文件信息对应表的一例的图。
[0032]图15是表示危险度等级的决定的一例的图。
[0033]图16是表示文件信息的收集的一例的图。
[0034]图17是表示伪会话数据的生成动作的一例的流程图。
[0035]图18是表示基于危险度等级的文件信息收集的动作的一例的流程图。
[0036]图19是表示基于危险度等级的文件信息收集的动作的一例的流程图。
具体实施方式
[0037]以下,参照附图说明本实施方式。
[0038][第一实施方式][0039]使用图1对第一实施方式进行说明。图1是用于说明第一实施方式的信息处理装置的一例的图。信息处理装置1具备控制部1a以及存储部1b。
[0040]控制部1a按每个会话来分割通信数据而生成分割数据组,从分割数据组中提取具有相同的识别信息且会话间隔为阈值以下的分割数据。另外,控制部1a将提取出的分割数据连结而生成连结数据,基于连结数据所包含的特定信息来决定通信的危险度。然后,控制部1a从连结数据所包含的文件收集基于危险度的文件信息。
[0041]存储部1b存储通信数据、特定信息与危险度的对应关系、以及收集到的文件信息等。此外,控制部1a的功能通过由信息处理装置1所具备的未图示的处理器执行规定的程序来实现。
[0042]使用图1所示的例子对动作进行说明。
[0043]〔步骤S1〕控制部1a取得通信数据D0。通信数据D0具有会话ID(Identity)、指令、识别信息以及选项。识别信息相当于例如账户信息、用于用户认证的证书信息(用户ID、密码等)。
[0044]在通信数据D0中,基于指令cd1、cd2的会话的会话ID为1,基于指令cd3的会话的会话ID为2,基于指令cd4的会话的会话ID为3。另外,会话ID为1、2的会话的识别信息为A,表示通过指令cd2进行了1MB的文件写入。会话ID为3的会话的识别信息为B。
[0045]〔步骤S2〕控制部1a按每个会话来分割通信数据D0,生成包含分割数据D1、D2、D3的分割数据组Dg。
[0046]〔步骤S3〕控制部1a从分割数据组Dg中提取具有相同的识别信息且会话间隔为阈值以下的分割数据。分割数据D1、D2的识别信息为A且相同。另外,分割数据D1、D2的会话间隔为阈值以下(关于会话间隔在后面叙述)。在这种情况下,从分割数据组Dg中提取分割数据D1和D2。然后,控制部1a将提取出的分割数据D1、D2连结而生成连结数据DL。
[0047]〔步骤S4〕控制部1a基于连结数据DL所包含的特定信息来决定通信的危险度。特定信息是包含在连接数据DL中的指令和包含在连接数据DL中的文件的大小。
[0048]因此,控制部1a基于指令以及文件的大小来决定危险度。例如,若设在指令cd1、
···
、cd4中,基于指令cd3的操作的危险度最高,设文件大小的阈值为3MB,则在连结数据DL中包含指令cd3,另外,连结数据DL中包含的文件的大小1MB为阈值以下。因此,在该情况下,连结数据DL被决定为具有危险度最高的值。
[0049]〔步骤S5〕控制部1a基于在步骤S4中决定的危险度,从连结数据所包含的文件收集文件信息。作为文件信息,有文件的元信息、文件散列值以及文件主体。
[0050]控本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种信息处理程序,其中,所述信息处理程序使计算机执行如下处理:按每个会话将通信数据进行分割而生成分割数据组;从所述分割数据组中提取具有相同的识别信息且会话间隔为阈值以下的分割数据;将提取出的所述分割数据连结而生成连结数据;基于所述连结数据中包含的特定信息来决定通信的危险度;以及从所述连结数据中包含的文件收集基于所述危险度的文件信息。2.根据权利要求1所述的信息处理程序,其中,所述特定信息是所述连结数据中包含的指令和所述连结数据中包含的所述文件的文件大小。3.根据权利要求1所述的信息处理程序,其中,所述文件信息是所述文件的元信息、文件散列值以及文件主体中的至少一个。4.根据权利要求2所述的信息处理程序,其中,所述指令用于远程管理操作。5.根据权利要求2所述的信息处理程序,其中,在所述处理中,在所述指令是用于进行信息的参照的参照类指令的情况下,将所述连结数据的所述危险度决定为最低的第一危险度,在所述指令是用于连接到共享资源的连接类指令的情况下,将所述连结数据的所述危险度决定为比所述第一危险度高的第二危险度,在所述指令是用于进行数据处理的更新的更新类指令且所述文件的文件大小为阈值以上的情况下,将所述连结数据的所述危险度决定为所述第二危险度,在所述指令是所述更新类指令且所述文件的文件大小小于阈值的情况下,将所述连结数据的所述危险度决定为比所述第二危险度高的第三危险度。6.根据权利要求5所述的信息处理程序,其中,在所述处理中,从被决定为所述第一危险度的所述连结数据中包含的所述文件收集元信息作为所述文件信息,从被决定为所述第二危险度的所述连结数据中包含的所述文件收集所述元信息以及文件散列值作为所述文件信息,从被决定为所述第三危险度的所述连结数据中包含的所述文件收集所述元信息、所述文件散列值以及文件主体作为所述文件信息。7.根据权利要求2所述的信息处理程序,其中,在所述处理中,在所述指令是用于进行信息的参照的参照类指令的情况下,将所述连结数据的所述危险度决定为最低的第...
【专利技术属性】
技术研发人员:乾真季,藤嶌由纪,及川孝徳,
申请(专利权)人:富士通株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。