本发明专利技术以降低恶意软件感染的误检测或漏过为目的,提供一种信息处理装置及非法活动判定方法。信息处理装置(2)中包括:比较单元(251),其将连接到网络的终端的通信与预先保持的模式进行比较;确定单元(254),其按照比较的结果,确定评价值和非法活动的阶段,该评价值表示被推测为终端进行非法活动的程度;保持单元(255),其针对每个终端,保持评价值的各个阶段的最大值;和判定单元(257),其基于评价值的各个阶段的最大值,判定终端是否进行非法活动。
【技术实现步骤摘要】
本专利技术涉及一种管理连接到网络的终端的技术。
技术介绍
一直以来,作为分析通信量的方法,提出了对网络上的主机间的流量分配告警指标值,在累积的告警指标值超过阈值的情况下,发出警报的方法(参见专利文献1及2)。现有技术文献专利文献专利文献1:美国专利第7475426号说明书专利文献2:美国专利第7185368号说明书
技术实现思路
专利技术所要解决的技术问题一直以来,作为用于对恶意软件感染进行检测的技术,有在累积指标值且累积值超过阈值的情况下,判定为感染了恶意软件的方法。但是,利用这种方法而不定期清除指标值的话,即使由于微小值的累积,也有可能导致累积值超过阈值,从而将正常的终端误检测为感染了恶意软件。又,在定期清除指标值的情况下,也有可能由于清除的时机而漏过恶意软件。鉴于上述问题,本公开将降低恶意软件感染的误检测或漏检的可能性作为技术问题。解决技术问题的手段本公开的一个实例是信息处理装置,包括:比较单元,其将连接到网络的终端的通信与预先保持的模式进行比较;确定单元,其按照所述比较的结果,确定评价值和非法活动的阶段,所述评价值表示被推测为所述终端进行非法活动的程度;保持单元,其针对每个所述终端,保持所述评价值的每个所述阶段的最大值;和判定单元,其基于所述评价值的每个所述阶段的最大值,判定所述终端是否进行非法活动。本公开可以被理解为信息处理装置、系统、由电子计算机执行的方法。专利技术效果根据本公开,可以降低恶意软件感染的误检测或漏检。附图说明图1是示出实施方式所涉及到的系统的构成的概略图。图2是示出实施方式所涉及到的网络监视装置及管理服务器的硬件构成的图。图3是示出实施方式所涉及到的网络监视装置的功能构成概略的图。图4是示出由实施方式的恶意软件行为检测引擎使用的恶意软件的活动转换模型的图。图5是示出实施方式所涉及到的每个数据包的检测处理的流程概要的流程图。图6是示出实施方式所涉及到的基于恶意软件行为检测引擎的检测处理的流程的流程图(A)。图7是示出实施方式所涉及到的基于恶意软件行为检测引擎的检测处理的流程的流程图(B)。图8是示出实施方式所涉及到的基于恶意软件行为检测引擎的检测处理的流程的流程图(C)。图9是示出在实施方式中的第一相关性分析中作为监视对象的活动转换模型上的阶段及其转换的图。图10是示出在实施方式中的第二相关性分析中作为监视对象的、向探索、感染阶段转换的图。图11示出在实施方式中的第二相关性分析中作为监视对象的、向执行文件的下载阶段转换的图。图12示出在实施方式中的第二相关性分析中作为监视对象的、向C&C检索阶段转换的图。图13示出在实施方式中的第二相关性分析中作为监视对象的、向C&C通信阶段转换的图。图14示出在实施方式中的第二相关性分析中作为监视对象的、向攻击阶段转换的图。图15是示出实施方式中的系统构成的变化的概略图。具体实施方式下面,基于附图,对公开所涉及到的信息处理装置及方法的实施方式进行说明。但是,以下说明的实施方式为举例说明实施方式,并非将本公开所涉及到的信息处理装置及方法限定于以下说明的具体构成。在实施时,适当采用与实施方式相应的具体构成,也可进行各种改良、变形。本实施方式中,对用于在网络上发现进行非法活动的终端并进行通信阻断或警报通知等应对的系统中实施本公开所涉及到的信息处理装置及方法的情况下的实施方式进行说明。但是,本公开所涉及到的信息处理装置及方法可广泛应用到用于检测网络上的非法活动的技术中,本公开的应用对象并不限定于本实施方式中示出的示例。<系统构成>图1是示出本实施方式所涉及到的系统1的构成的概略图。本实施方式所涉及到的系统1包括连接多个信息处理终端90(下面,称为“节点90”)的网络分段2、用于监视节点90所涉及到的通信的网络监视装置20。进一步地,将管理服务器50通过路由器10,能进行通信地连接到网络分段2。本实施方式中,通过将网络监视装置20连接到开关或路由器(图1所示的示例中为路由器)的监视端口(镜像端口),取得通过节点90收发的数据包或数据帧。在这种情况下,网络监视装置20以不转送取得的数据包的被动方式进行动作。管理服务器50从网络监视装置20收集信息并管理网络监视装置20。此外,在外部网络中,可以进一步地设置检疫服务器并对连接到网络分段2的节点90提供检疫服务,也可进一步地设置业务服务器并对节点90提供用于业务的服务(省略图示)。本实施方式所涉及到的系统1中,虽然由节点90连接的各种服务器是通过因特网或广域网在远程地点被连接的服务器,例如由ASP(Application Service Provider)提供的,但上述服务器并不一定要在远程地点被连接。例如,这些服务器也可以被连接到存在节点90或网络监视装置20的本地网络上。图2是示出本实施方式所涉及到的网络监视装置20及管理服务器50的硬件构成的图。此外,在图2中,对于网络监视装置20及管理服务器50以外的构成(路由器10、节点90等)省略图示。网络监视装置20及管理服务器50是分别包括CPU(Central Processing Unit)11a、11b、RAM(Random Access Memory)13a、13b、ROM(Read Only Memory)12a、12b、EEPROM(Electrically Erasable Programmable Read Only Memory)或HDD(Hard Disk Drive)等存储装置14a、14b、NIC(Network Interface Card)15a、15b等通信组件等的计算机。图3是示出本实施方式所涉及到的网络监视装置20的功能构成概略的图。此外,在图3中,对于网络监视装置20以外的构成(路由器10、节点90及管理服务器50等)省略图示。通过记录于存储装置14a的程序在RAM13a被读出并被CPU11a执行,网络监视装置20作为包括通信取得部21、通信阻断部22、应用程序检测引擎23、协议异常检测引擎24及恶意软件行为检测引擎25的信息处理装置而发挥作用。又,恶意软件行为检测引擎25包含比较部251、评价值取得部252、校正部253、确定部254、保持部255、合计部256及判定部257。又,本实施方式中,网络监视装置20具备的各种功能虽然被作为通用处理器的CPU11a执行,但上述功能的一部分或全部也可被一个或本文档来自技高网...
【技术保护点】
一种信息处理装置,其特征在于,包括:比较单元,其将连接到网络的终端的通信与预先保持的模式进行比较;确定单元,其按照所述比较的结果,确定评价值和非法活动的阶段,所述评价值表示被推测为所述终端进行非法活动的程度;保持单元,其针对每个所述终端,保持所述评价值的各个所述阶段的最大值;和判定单元,其基于所述评价值的各个所述阶段的最大值,判定所述终端是否进行非法活动。
【技术特征摘要】
2014.01.14 JP 2014-0040551.一种信息处理装置,其特征在于,包括:
比较单元,其将连接到网络的终端的通信与预先保持的模式进行比较;
确定单元,其按照所述比较的结果,确定评价值和非法活动的阶段,所述评价值表示
被推测为所述终端进行非法活动的程度;
保持单元,其针对每个所述终端,保持所述评价值的各个所述阶段的最大值;和
判定单元,其基于所述评价值的各个所述阶段的最大值,判定所述终端是否进行非法
活动。
2.如权利要求1所述的信息处理装置,其特征在于,还包括:
评价值取得单元,其针对作为所述比较的结果的、与所述通信一致或近似的模式,取
得针对该一致或近似的模式而预先设定的值作为所述评价值;
校正单元,其校正取得到的所述评价值,
所述确定单元确定由所述校正单元校正过的值为所述评价值。
3.如权利要求2所述的信息处理装置,其特征在于,
所述阶段表示所述终端的非法活动的转换状态,
所述确定单元,针对作为所述比较的结果的、与所述通信一致或近似的模式,确定针
对该一致或近似的模式而预先设定的阶段作为所述通信所涉及的阶段。
4.如权利要求3所述的信息处理装置,其特征在于,所述评价值取得单元按照相关分
析结果,取得所述评价值,所述相关分析结果是对所述通信与通过所述终端在该通信之前
或之后进行的其他通信的相关性进行分析的结果。
5.如权利要求4所述的信息处理装置,其特征在于,所述评价值取得单元根据所述相
关分析,在判定针对所述通信所取得的阶段与针对通过所述终端在该通信之前或之后进行
的其他通信所取得的阶段之间具有连续性的情况下,取得所述评价值。
6.如权利要求3所述的信息处理装置,其特征在于,所述校正单元按照相关分析结果,
校正所述评价值,所述相关分析结果是对所述通信与通过所述终端在该通信之前或之后进
\t行的其他通信的相关性进行分析的结果。
7.如权利要求6所述的信息处理装置,其特征在于,所述校正单元根据所述相关分析...
【专利技术属性】
技术研发人员:小出和弘,道根庆治,
申请(专利权)人:株式会社PFU,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。