CN104778404A - 信息处理装置及非法活动判定方法 - Google Patents
信息处理装置及非法活动判定方法 Download PDFInfo
- Publication number
- CN104778404A CN104778404A CN201410342602.5A CN201410342602A CN104778404A CN 104778404 A CN104778404 A CN 104778404A CN 201410342602 A CN201410342602 A CN 201410342602A CN 104778404 A CN104778404 A CN 104778404A
- Authority
- CN
- China
- Prior art keywords
- communication
- stage
- terminal
- malware
- institute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明以降低恶意软件感染的误检测或漏过为目的,提供一种信息处理装置及非法活动判定方法。信息处理装置(2)中包括:比较单元(251),其将连接到网络的终端的通信与预先保持的模式进行比较;确定单元(254),其按照比较的结果,确定评价值和非法活动的阶段,该评价值表示被推测为终端进行非法活动的程度;保持单元(255),其针对每个终端,保持评价值的各个阶段的最大值;和判定单元(257),其基于评价值的各个阶段的最大值,判定终端是否进行非法活动。
Description
技术领域
本发明涉及一种管理连接到网络的终端的技术。
背景技术
一直以来,作为分析通信量的方法,提出了对网络上的主机间的流量分配告警指标值,在累积的告警指标值超过阈值的情况下,发出警报的方法(参见专利文献1及2)。
现有技术文献
专利文献
专利文献1:美国专利第7475426号说明书
专利文献2:美国专利第7185368号说明书
发明内容
发明所要解决的技术问题
一直以来,作为用于对恶意软件感染进行检测的技术,有在累积指标值且累积值超过阈值的情况下,判定为感染了恶意软件的方法。但是,利用这种方法而不定期清除指标值的话,即使由于微小值的累积,也有可能导致累积值超过阈值,从而将正常的终端误检测为感染了恶意软件。又,在定期清除指标值的情况下,也有可能由于清除的时机而漏过恶意软件。
鉴于上述问题,本公开将降低恶意软件感染的误检测或漏检的可能性作为技术问题。
解决技术问题的手段
本公开的一个实例是信息处理装置,包括:比较单元,其将连接到网络的终端的通信与预先保持的模式进行比较;确定单元,其按照所述比较的结果,确定评价值和非法活动的阶段,所述评价值表示被推测为所述终端进行非法活动的程度;保持单元,其针对每个所述终端,保持所述评价值的每个所述阶段的最大值;和判定单元,其基于所述评价值的每个所述阶段的最大值,判定所述终端是否进行非法活动。
本公开可以被理解为信息处理装置、系统、由电子计算机执行的方法。
发明效果
根据本公开,可以降低恶意软件感染的误检测或漏检。
附图说明
图1是示出实施方式所涉及到的系统的构成的概略图。
图2是示出实施方式所涉及到的网络监视装置及管理服务器的硬件构成的图。
图3是示出实施方式所涉及到的网络监视装置的功能构成概略的图。
图4是示出由实施方式的恶意软件行为检测引擎使用的恶意软件的活动转换模型的图。
图5是示出实施方式所涉及到的每个数据包的检测处理的流程概要的流程图。
图6是示出实施方式所涉及到的基于恶意软件行为检测引擎的检测处理的流程的流程图(A)。
图7是示出实施方式所涉及到的基于恶意软件行为检测引擎的检测处理的流程的流程图(B)。
图8是示出实施方式所涉及到的基于恶意软件行为检测引擎的检测处理的流程的流程图(C)。
图9是示出在实施方式中的第一相关性分析中作为监视对象的活动转换模型上的阶段及其转换的图。
图10是示出在实施方式中的第二相关性分析中作为监视对象的、向探索、感染阶段转换的图。
图11示出在实施方式中的第二相关性分析中作为监视对象的、向执行文件的下载阶段转换的图。
图12示出在实施方式中的第二相关性分析中作为监视对象的、向C&C检索阶段转换的图。
图13示出在实施方式中的第二相关性分析中作为监视对象的、向C&C通信阶段转换的图。
图14示出在实施方式中的第二相关性分析中作为监视对象的、向攻击阶段转换的图。
图15是示出实施方式中的系统构成的变化的概略图。
具体实施方式
下面,基于附图,对公开所涉及到的信息处理装置及方法的实施方式进行说明。但是,以下说明的实施方式为举例说明实施方式,并非将本公开所涉及到的信息处理装置及方法限定于以下说明的具体构成。在实施时,适当采用与实施方式相应的具体构成,也可进行各种改良、变形。
本实施方式中,对用于在网络上发现进行非法活动的终端并进行通信阻断或警报通知等应对的系统中实施本公开所涉及到的信息处理装置及方法的情况下的实施方式进行说明。但是,本公开所涉及到的信息处理装置及方法可广泛应用到用于检测网络上的非法活动的技术中,本公开的应用对象并不限定于本实施方式中示出的示例。
<系统构成>
图1是示出本实施方式所涉及到的系统1的构成的概略图。本实施方式所涉及到的系统1包括连接多个信息处理终端90(下面,称为“节点90”)的网络分段2、用于监视节点90所涉及到的通信的网络监视装置20。进一步地,将管理服务器50通过路由器10,能进行通信地连接到网络分段2。本实施方式中,通过将网络监视装置20连接到开关或路由器(图1所示的示例中为路由器)的监视端口(镜像端口),取得通过节点90收发的数据包或数据帧。在这种情况下,网络监视装置20以不转送取得的数据包的被动方式进行动作。
管理服务器50从网络监视装置20收集信息并管理网络监视装置20。此外,在外部网络中,可以进一步地设置检疫服务器并对连接到网络分段2的节点90提供检疫服务,也可进一步地设置业务服务器并对节点90提供用于业务的服务(省略图示)。
本实施方式所涉及到的系统1中,虽然由节点90连接的各种服务器是通过因特网或广域网在远程地点被连接的服务器,例如由ASP(Application Service Provider)提供的,但上述服务器并不一定要在远程地点被连接。例如,这些服务器也可以被连接到存在节点90或网络监视装置20的本地网络上。
图2是示出本实施方式所涉及到的网络监视装置20及管理服务器50的硬件构成的图。此外,在图2中,对于网络监视装置20及管理服务器50以外的构成(路由器10、节点90等)省略图示。网络监视装置20及管理服务器50是分别包括CPU(Central ProcessingUnit)11a、11b、RAM(Random Access Memory)13a、13b、ROM(Read Only Memory)12a、12b、EEPROM(Electrically Erasable Programmable Read Only Memory)或HDD(HardDisk Drive)等存储装置14a、14b、NIC(Network Interface Card)15a、15b等通信组件等的计算机。
图3是示出本实施方式所涉及到的网络监视装置20的功能构成概略的图。此外,在图3中,对于网络监视装置20以外的构成(路由器10、节点90及管理服务器50等)省略图示。通过记录于存储装置14a的程序在RAM13a被读出并被CPU11a执行,网络监视装置20作为包括通信取得部21、通信阻断部22、应用程序检测引擎23、协议异常检测引擎24及恶意软件行为检测引擎25的信息处理装置而发挥作用。又,恶意软件行为检测引擎25包含比较部251、评价值取得部252、校正部253、确定部254、保持部255、合计部256及判定部257。又,本实施方式中,网络监视装置20具备的各种功能虽然被作为通用处理器的CPU11a执行,但上述功能的一部分或全部也可被一个或多个专用处理器执行。又,也可以利用云技术等,由设置在远隔地点的装置或分散设置的多个装置来执行上述功能的一部分或全部。
通信取得部21取得通过连接到网络的终端来进行收发的通信。此外,在本实施方式中,在成为基于网络监视装置20的监视及检测的对象的“终端”,除了网络分段2连接的节点90以外,包含有通过节点90和路由器10来进行通信的其他装置(属于其他网络的节点或外部服务器等)。
根据应用程序检测引擎23、协议异常检测引擎24或恶意软件行为检测引擎25,在通信阻断部22判定为终端在进行非法活动的情况下,阻断基于该终端的通信。此外,本实施方式中,对于采用终端被判定为在进行非法活动的情况下阻断该终端的通信的应对的示例进行了说明,但终端被判定为在进行非法活动的情况下的应对方法并不被限定为通信阻断。网络监视装置20在终端被判定为进行非法活动的情况下,可以进行警报(警告)通知,也可以对进行非法活动的终端实施治愈(例如,恶意软件去除或脆弱性去除)。
应用程序检测引擎23是对恶意软件所利用的、业务上不需要的应用程序在网络上所进行的通信进行检测的引擎,例如,通过对基于已知的RAT(Remote Access Trojan)、P2P(Peer to Peer)应用程序,Tor(The Onion Router)、UltraSurf(Proxy工具)及匿名代理等的通信进行检测,检测出业务上不需要的应用程序在节点90进行的动作。
协议异常检测引擎24是检测网络上的不遵循协议的通信的引擎,例如,包含HTTP异常检测引擎、SSL/TLS异常检测引擎及DNS异常检测引擎等。协议异常检测引擎24通过检测不遵循上述协议的通信,检测出在网络上进行不遵守协议的通信的节点90。
恶意软件行为检测引擎25是针对被恶意软件活动转换模型定义的、恶意软件的每个非法活动阶段,评价网络上的通信与“恶意软件特有的通信模式”的共通性,通过监视恶意软件活动阶段的转换状况来分析恶意软件的行为(举动),检测节点90中的恶意软件感染的引擎。
图4是示出根据本实施方式的恶意软件行为检测引擎25而被使用的恶意软件活动转换模型的图。此外,本实施方式中所示的恶意软件活动转换模型中定义了阶段P1到阶段P7,但这是本实施方式中使用的一个示例,根据实施方式也可以适当变更恶意软件活动转换模型。下面,对本实施方式所涉及到的恶意软件活动转换模型中的各阶段进行说明。
阶段P1是侵入阶段,即以目标型攻击邮件的附件、邮件的URL的点击、Web站点(主要是SNS站点)上的URL的点击等为契机,投入利用OS或应用程序的脆弱性而感染的恶性代码的阶段。在蠕虫等自主型恶意软件侵入的情况下,阶段P1之后的转移目的地是阶段P2、阶段P3或阶段P7,在BOT系恶意软件的情况下,阶段P1之后的转移目的地是阶段P2或阶段P3。
阶段P2是探索、感染阶段(扩散阶段),即具有脆弱性的感染终端的探索阶段,以及对脆弱的目标送入攻击代码来使其感染或从其他终端送入的攻击代码来使其被感染。探索、感染阶段中,通过已经感染的终端将攻击代码送入目标终端,被送入攻击代码的终端感染上恶意软件。例如,利用Windows(注册商标)OS的MS-RPC或文件共享的脆弱性来进行扩散活动。在BOT系的恶意软件的情况下,基于由攻击者(首脑(日语:ハーダー))发行的、经由了C&C(Command and Control)服务器的指令(阶段P5)来执行感染活动(恶意软件的扩散活动)。在蠕虫等自主型恶意软件的情况下,阶段P2之后的转移目的地是阶段P3或阶段P7,在BOT系恶意软件的情况下,阶段P2之后的转移目的地是阶段P3。探索、感染阶段具有两个方面。一个是感染原终端执行感染活动的阶段。另一个是作为被害者(感染目标)终端,攻击代码被送入使其被感染的阶段。
阶段P3是执行文件的下载阶段,即攻击代码被送入之后,从恶意软件的发布点或已经感染的终端下载恶意软件本体并活性化,或者以回避反病毒产品的恶意软件检测或追加新功能等的目的,按照来自于攻击者的指令(C&C服务器经由)从指定的站点下载新的恶意软件的阶段。恶意软件本体的下载主要使用HTTP协议、FTP协议、TFTP协议。又,也有使用恶意软件独立的协议的情况。在BOT等远距离操纵类型的恶意软件的情况下,阶段P3之后的转移目的地是阶段P4或阶段P5,在蠕虫等自主型恶意软件的情况下,阶段P3之后的转移目的地通常是阶段P2或阶段P7。
阶段P4是C&C检索阶段,即检索用于接受来自于攻击者的指令的C&C服务器的阶段。转换到该阶段的恶意软件主要是BOT等远距离操纵类型的恶意软件。恶意软件中通常编入多个C&C服务器的FQDN,使用DNS询问进行地址解决。在P2P类型的BOT网络的情况下,使用P2P协议(通用或独立协议)检索C&C节点。IP地址被硬件编码的类型的恶意软件在该阶段不活动。阶段P4之后的转移目的地是阶段P5。
阶段P5是C&C通信(包含的、互联网连接确认)阶段,即为了进行来自于攻击者的指令的接收与指令执行结果的报告(应答)等,连接到C&C服务器进行数据收发的阶段。连接到C&C服务前之前,存在进行互联网连接确认的恶意软件。在与C&C服务器的连接中,使用阶段P4中地址解决成功了的IP地址中的任一个或恶意软件中被硬件编码了的IP地址中的任一个。通过经由C&C服务器将执行结果通知攻击者。在没有来自于攻击者的指令的情况下,恶意软件的活动转移到阶段P6。另一方面,在恶意软件连接C&C服务器失败的情况下用别的IP地址再度尝试连接,那样也失败的情况下,回到阶段P4检索别的C&C服务器或停止自身活动。此外,直到连接成功不停地反复再连接的恶意软件的存在也被报告。又,在C&C通信路径中发生异常而不能恢复的情况下,恶意软件的活动转移到阶段P4。进一步地,也存在一定期间中进行变更C&C服务器的动作的恶意软件,在这种情况下,恶意软件的活动转移到阶段P4。
阶段P6是C&C休止(闲置状态)阶段,即等候来自于攻击者的指令的阶段。恶意软件定期访问C&C服务器,维持通信路径并等候来自于攻击者的指令。一旦恶意软件接收来自于攻击者的指令,恶意软件的活动就转移到阶段P5。又,也存在进行变更一定期间中C&C服务器的动作的恶意软件,在这种情况下,恶意软件的活动也转移到阶段P4。
阶段P7是攻击活动阶段,即按照来自于攻击者的指令(BOT系)或恶意软件自身中编入的攻击代码(蠕虫系)进行攻击活动的阶段。为了找出攻击目标,也存在进行与阶段P1相当的活动。攻击活动中包含DoS攻击、垃圾邮件攻击、Web攻击(Web窜改)、跳板(日语:踏み台)等。
恶意软件行为检测引擎25通过设有比较部251、评价值取得部252、校正部253、确定部254、保持部255、合计部256及判定部257,监视如上述那样被定义的恶意软件的活动阶段的转换状况,检测节点90中的恶意软件感染。下面,对恶意软件行为检测引擎25设有的各功能部进行说明。
比较部251将通信取得部21所新取得的通信(本实施方式中为新取得并成为处理对象的数据包。下面称为“输入数据包”)与预先保持的通信模式进行比较。通信模式中,作为恶意软件各种活动结果显现的特异的通信模式被预先定义。本实施方式中,针对恶意软件活动转换模型的各个阶段,多个通信模式被预先定义,并由网络监视装置20或管理服务器保持,阶段Pn(这里,n是从1到7的整数)的通信模式像“Pn-m”(这里,m是1以上的数值)那样被表示。但是,也存在不依存于任一阶段(换言之,能够在多个不同的阶段中出现)的通信模式。本实施方式中,不依存于从阶段P1到阶段P7的任一阶段的通信模式用“P0-m”被表示。
作为比较部251的比较的结果,对于与输入数据包一致或近似(下面,仅称为“对应的”)的通信模式,评价值取得部252取得预先设定的等级(评价值)作为输入数据包的等级。等级(Gr)是被分配到各个通信模式的示出“推测为终端在进行非法活动(恶意软件的活动)的程度”的值。本实施方式中,等级(Gr)被设定为0≦Gr<1.0的范围的值(小数点以下1位)。等级(Gr)=0表示恶意软件的活动的结果产生的通信模式的可能性极低,越接近1的等级表示恶意软件的活动的结果产生的通信模式的可能性越高。基于作为正当的应用程序的通信模式而出现的频率,针对每个通信模式,预先确定等级(Gr)。即,对作为正当的应用程序的通信而出现的可能性较低的通信分配更高的等级,对作为正当的应用程序的通信而出现的可能性较高的通信分配更低的等级。本实施方式中,对于通信模式Pn-m被预先设定的等级是“Gr(Pn-m)”,对进行与通信模式Pn-m符合的通信的终端(h)分配的等级用“Gr(h,Pn-m)”来表示。
此外,即使是同一通信模式,基于条件,也能够被分配不同的等级(Gr)。例如,在通信模式附带设定有两个条件“A:目的地与C&C服务器不一致”、“B:目的地与C&C服务器的一个一致”的情况下,如下进行条件判定,根据目的地是否与已注册的C&C服务器一致,分配不同的等级。
IF (Pn-m=TRUE) AND (A) THEN Gr(Pn-m)=0.1,ACTION=记录于C&C服务器候选列表
IF (Pn-m=TRUE) AND (B) THEN Gr(Pn-m)=0.6,ACTION=No
进一步地,在本实施方式中,评价值取得部252按照相关分析结果,取得等级,该相关分析结果是对输入数据包和通过输入数据包所涉及的终端在输入数据包之前或之后发送或接收的其他数据包(下面,称为“先行数据包”、“后续数据包”)的相关性进行分析的结果。更具体地来说,在本实施方式中,评价值取得部252判定通过通信取得部21针对通信(输入数据包)所取得的阶段与针对通过该通信所涉及的终端在该通信之前或之后进行的其他通信(先行数据包或后续数据包)所取得的阶段之间是否具有连续性,在判定为具有连续性的情况下,取得等级。
校正部253按照输入数据包与先行数据包或后续数据包的相关分析结果,校正通过评价值取得部252取得的等级。更具体地来说,在本实施方式中,判定在针对通过通信取得部21取得的通信(输入数据包)所取得的阶段与针对通过该通信所涉及的终端在该通信的前或后进行的其他通信(先行数据包或后续数据包)所取得的阶段之间是否存在连续性,在判定为具有连续性的情况下,补正部253将通过评价值取得部252取得的等级校正为比没有被判定为具有连续性的情况的更大。
换句话说,在本实施方式中,通过评价值取得部252及校正部253进行新取得的通信(输入数据包)与基于该通信所涉及的终端的过去或未来的通信(先行数据包或后续数据包)的相关分析,当在输入数据包与先行数据包或后续数据包之间,当认可“更加提高被推定为恶意软件活动的程度的连续性”的情况下,进行对过去或未来的通信(先行数据包或后续数据包)的等级的取得,或进行对新取得的通信(输入数据包)的等级的校正。
对于输入数据包,确定部254确定该终端所涉及的阶段及等级。比较部251比较后,确定部254将对于与输入数据包对应的通信模式Pn-m而被预先设定的阶段Pn确定为该终端所涉及的阶段。又,虽然也有确定部254将通过评价值取得部252取得的等级Gr(Pn-m)照原样确定为输入数据包的等级的情况,但在通过校正部253校正等级的情况下,校正值被确定为输入数据包的等级。
保持部255针对每个终端保持确定的等级的各个阶段的最大值。本实施方式中,保持部255针对恶意软件活动转换模型的各个阶段Pn,将对于该阶段Pn检测出的通信模式Pn-m的等级Gr(Pn-m)的最大值作为阶段Pn的等级来保持,并用“PGr(Pn)”来表示。终端(h)的阶段Pn的等级用“PGr(h,Pn)”被表示,并用下式取得。
PGr (h,Pn)=max{Gr (Pn-m) |Pn-m∈h}
在本实施方式中,保持部255针对每个终端,利用保持各个阶段的等级最大值的管理表格,对每个终端、各个阶段的等级进行管理(省略图示)。等级管理表格中,针对网络监视装置20掌握的每个终端(h),保持各阶段Pn的等级PGr(h,Pn)。如前所述,各阶段Pn的等级PGr(h,Pn)是对于该阶段Pn检测出的通信模式Pn-m的等级Gr(Pn-m)的最大值。因此,对于任一个阶段,等级被新确定的话,将新确定的等级与等级管理表格中保持的等级PGr(h,Pn)进行比较,更新为最大值。此外,对于每个通信模式Pn-m的等级Gr(Pn-m)的最大值Gr(h,Pn-m),也被保持在存储装置14a中。
合计部256针对每个终端,取得从阶段P1到阶段P7的各个阶段的等级的最大值PGr(h,Pn),并合计上述最大值。
判定部257基于成为处理对象的终端(h)的、各个阶段的等级的最大值PGr(h,Pn),判定终端是否进行非法活动。在本实施方式中,判定部257基于通过合计部256得到的合计值,判定终端是否进行非法活动。更具体地来说,判定部257通过对合计值进行规定的加权,计算出“显示恶意软件进行活动的可能性的大小的值”(下面,称为“恶意软件活动可能性”),在该值超过规定的阈值的情况下,判定该终端在进行非法活动。终端(h)的恶意软件活动可能性显示终端(h)感染恶意软件的可能性的程度,用“IR(h)”来表示。终端(h)的恶意软件活动可能性的取0(没有感染)~100(感染的可能性大)的值。即,在本实施方式中,终端(h)的恶意软件活动可能性如下地被定义。这里,ψ表示恶意软件活动系数。
【数1】
一般来说,因为可以判断在活动转换模型的大量(连续的)阶段上检测出通信模式的终端,比在更少的阶段上检测出通信模式的终端,感染恶意软件的可能性较高,所以导入恶意软件活动系数ψ(本实施方式中,作为具体的值0.5被设定)。每当与终端(h)关联的通信模式对应的通信模式被检测出,就计算并更新上述的恶意软件活动可能性IR(h)。
本实施方式中,将恶意软件活动可能性为0~49的终端定义为“干净终端”,将恶意软件活动可能性为50~89的终端定义为“灰色终端”,将恶意软件活动可能性为90~100的终端定义为“黑色终端”终端。针对每个终端,恶意软件活动可能性及“干净”、“灰色”、“黑色”被表示在管理者终端的管理屏幕(设备一览画面)上作为实时报告信息。又,针对每个终端,被检测出的“通信模式”的概要和检测次数的列表被表示作为详细信息。此外,“干净”、“灰色”、“黑色”的恶意软件活动可能性的阈值也可以被管理者设定。
<处理流程>
然后,利用流程图来对本实施方式所涉及到的系统1所执行的处理的流程进行说明。此外,下面说明的流程图所示的处理的具体内容及处理顺序是用于实施本发明的一个例子。也可以根据本发明的实施方式适当选择具体的处理内容及处理顺序。
网络监视装置20连接新的网络的话,在开始后述的各数据包d检测处理之前,作为准备处理,执行网络构成的解析/学习处理。具体来说,网络监视装置20连接新的网络的话,取得规定时间数据包,通过解析取得的数据包,对成为监视对象的网络构成进行解析,学习在恶意软件检测中必要的信息(设备一览(设备类型、OS种类、MAC/IP地址等))、监视对象网络的地址体系、DNS服务器信息、邮件服务器信息、代理(HTTP/SOCKS)信息、Active Directory信息等)并将其保存于存储装置14a等。
此外,网络构成的解析/学习处理在后述的检测处理开始之后也由网络监视装置继续执行。即,网络监视装置20将解析取得的数据包而得到的信息与通过以前的解析/学习处理被学习并被保持于网络监视装置20的存储装置14a的信息进行对照核查,对照核查的结果,在新得到的信息与保持的信息不同的情况下,网络监视装置20判断出网络分段2中的构成被变更了,并使用新得到的信息来更新网络监视装置20的存储装置14a中保持的信息。
图5是示出本实施方式所涉及到的每个数据包的检测处理的流程概要的流程图。通过网络监视装置20,在网络上流通的数据包被取得时执行本实施方式所涉及到的检测处理。
步骤S001中,数据包解析的前处理被执行。一旦通过通信取得部21新取得通信(输入数据包),网络监视装置20就进行输入数据包的整形、分类及与有效的已有流程的关联。又,网络监视装置20将输入数据包分类为终端单位(发送源/目的地地址(MAC地址)单位)、协议(TCP/UDP、ICMP、DNS、HTTP、HTTPS、IRC、FTP、TFTP、SOCKS、NetBIOS等)单位并进行与已有流程的关联。之后,处理进入步骤S002。
从步骤S002到步骤S005中,进行基于应用程序检测引擎23及协议异常检测引擎24的处理。本实施方式所涉及到的网络监视装置20利用上述三种检测引擎(检测程序)检测连接到网络的终端的非法通信,在本实施方式中,网络监视装置20一旦取得数据包,就在进行了基于应用程序检测引擎23及协议异常检测引擎24的检测之后,进行基于恶意软件行为检查引擎25的检测。即,在本实施方式中,恶意软件行为检测引擎25基于没有被其他的检测手段(应用程序检查引擎23及协议异常检测引擎24)检测为非法通信的通信,判定节点90是否进行非法活动。通过这样做,根据本实施方式,能够减少被恶意软件行为检测引擎25处理的数据包的数量,并减少由于行为检查引擎的动作而产生的负荷。但是,恶意软件行为检测引擎25既可单独地进行动作,也可与其他的检测引擎组合进行动作。又,数据包被取得时的检测引擎的处理顺序并不被限定为本实施方式所示的示例。
在不需要的应用程序被应用程序检测引擎23检测到的情况下或在协议异常被协议异常检测引擎24检测到的情况下,处理进入步骤S012,进行阻断或发出警告。另一方面,在没有检测到不需要的应用程序或协议异常的情况下,处理进入步骤S006。此外,本流程图中,从步骤S006到步骤S011的处理与恶意软件行为检查引擎25的处理相当。
步骤S006中,进行通信模式的判定处理。比较部251通过将输入数据包与预先定义的通信模式(Pn-m)进行比较,判定输入数据包与预先定义的通信模式(Pn-m)的共通性。这里,在判定为与通信模式(Pn-m)具有共通性的情况下,输入数据包所涉及到的终端(h)的活动转换模型上的阶段确定为阶段Pn(h)。又,判定后,评价值取得部252将判定为一致或近似(对应)的通信模式的等级Gr(Pn-m)与终端(h)关联,并作为输入数据包的等级Gr(h,Pn-m)而取得。进一步地,网络监视装置20基于检测出的通信模式,将对象通信的发送源终端或目的地终端注册为“恶意软件发布服务器候选列表”、或“C&C服务器候选列表”。这里,考虑到数据包丢失,将所有的阶段的通信模式作为对象来进行判定及评价。此外,为了与已知的已判定流程关联,对于追加的判定处理不需要的输入数据包不进行判定,仅进行统计信息的更新。其后,处理进入步骤S007。
步骤S007中,进行第一相关性分析。评价值取得部252拾取步骤S006中不能检测出的C&C通信。在转换到探索、感染阶段P2、执行文件的下载阶段P3、攻击活动阶段P7时,评价值取得部252拾取成为该作为触发的通信,网络监视装置20将对象通信的发送源终端或目的地终端登记到C&C服务器候选列表。此外,对于第一相关性分析的处理内容,将参照图6到图8及图9在后面进行叙述。其后,处理进入步骤S008。
步骤S008中进行第二相关性分析。校正部253分析步骤S006中被判定的终端(h)的活动阶段Pn(h)与紧接在其之前活动的阶段的连续性即与其他的(感染)终端的举动的相关性。分析之后,当发现是恶意软件的动作的可能性较高的通信模式时,校正部253使用下式来校正步骤S006中判定的终端(h)的通信模式(Pn-m)的等级Gr(h,Pn-m),并分配更高的等级。
Gr(h,Pn-m)=θ·Gr(h,Pn-m)
但,恶意软件举动类似系数θ的范围为1.0到2.0。这里,1.0意味着“没有类似性”。此外,对于第二相关性分析的处理内容及恶意软件举动类似系数θ,将参照图6到图8及图10到图14,在后面进行叙述。其后,处理进入步骤S009。
步骤S009中,活动阶段的等级(PGr)被确定。确定部254基于步骤S006到步骤S008的处理结果,根据对应的终端h的通信模式的等级Gr(h,Pn-m),确定阶段Pn的等级PGr(h,Pn)i。此外,这里PGr(h,Pn)i-1表示到上次为止的阶段Pn的等级。
PGr(h,Pn)i=max{PGr(h,Pn)i-1,Gr(h,Pn-m)}
其后,处理进入步骤S010。
步骤S010中,恶意软件活动可能性(IR(h))被计算出。合计部256及判定部257计算出终端h的恶意软件活动可能性IR(h)。关于具体的计算方法,如之前在合计部256及判定部257的说明中所叙述的。其后,处理进入步骤S011。
步骤S011及步骤S012中,恶意软件活动可能性IR(h)在规定的阈值以上的情况下,进行阻断该终端或发出管理者警报等的应对。判定部257判定步骤S010中计算出的终端的恶意软件活动可能性是否在表示“黑色”的规定的阈值以上(步骤S011)。然后,在恶意软件活动可能性为“黑色”的情况下,通信阻断部22进行阻断该终端的通信的、或向管理者发出警报等的应对(步骤S012)。又,在恶意软件活动可能性为“灰色”的情况下,网络监视装置20也可以向管理者发出警报。在恶意软件活动可能性为“干净”的情况下,不进行阻断或发出警报等的应对。其后,本流程图所示的处理结束。
图6到图8示出本实施方式所涉及到的、基于恶意软件行为检查引擎25的检测处理的流程的流程图。本流程图对使用图5来进行说明的检测处理的步骤S006到步骤S012的处理进行更加详细地说明。更具体地来说,步骤S101到步骤S103对图5的步骤S006中说明的通信模式判定处理进行更详细地说明,步骤S104到步骤S110对步骤S007中说明的第一相关性分析处理进行更详细地说明,步骤S111到步骤S116对步骤S008中说明的第二相关性分析处理进行更详细地说明,步骤S117到步骤S120对步骤S009中说明的活动阶段的等级确定处理进行更详细地说明。又,步骤S121与图5的步骤S010相当,步骤S122及步骤S123与步骤S011及步骤S012相当。
步骤S101及步骤S102中,判定取得的数据包(输入数据包)是否符合预先定义的通信模式的任一个。比较部251通过将输入数据包与预先保持的通信模式进行比较,判定输入数据包与预先定义的通信模式(Pn-m)的共通性。作为判定的结果,在判定为与任一通信模式都不符合的情况下,结束该数据包所涉及的处理,并结束本流程图中所示的处理。另一方面,在判断为与某一通信模式符合的情况下,处理进入步骤S103。
步骤S103中,关于输入数据包所涉及的终端,对检测出判定为符合的通信模式(Pn-m)的情况进行记录。又,评价值取得部252将与输入数据包对应的通信模式(Pn-m)所属的阶段Pn及对于通信模式(Pn-m)被预先设定的等级Gr(Pn-m)作为输入数据包所涉及的终端(h)的阶段Pn(h)及该阶段的等级Gr(h,Pn-m)来取得。其后,处理进入步骤S104。
步骤S104及步骤S105中,在与输入数据包对应的通信模式中设定有必须条件的情况下,判定是否在过去取得与必须条件对应的通信。在没有设定必须条件的情况下,处理进入步骤S107。这里,必须条件是指,用于判定是否可以将对于判定为在步骤S101中与输入数据包对应的通信模式(Pn-m)被预先设定的等级Gr(Pn-m)作为该输入数据包所涉及的终端(h)的阶段Pn(h)的等级Gr(h,Pn-m)来确定的条件。例如,“P5-4:将HTTP标准端口(80)作为目的地端口的HTTP通信(代理/非代理)”的通信模式是HTTP的一般性的通信,对于该通信模式,“P0-1~P0-15”中被定义的“HTTP恶意通信模式”中的任一个被检测出是必须条件。因此,在满足了上述的必须条件的情况下,对于该输入数据包通信模式P5-4的等级Gr(h,P5-4)被确定,在没有满足必须条件的情况下,对于该输入数据包通信模式P5-4的等级Gr(h,P5-4)没有被确定。
即,评价值取得部252通过判定在过去取得的通信是否满足必须条件,判定在针对输入数据包所取得的阶段与针对通过该通信所涉及的终端在该通信之前进行的其他通信(先行数据包)所取得的阶段之间是否具有连续性。在判定为没有满足必须条件的情况下,处理进入步骤S106,该输入数据包的等级被设定为0(零)。另一方面,在判定为满足必须条件的情况下,处理进入步骤S107。
步骤S107中,等级被分配到输入数据包所涉及的终端的阶段中。评价值取得部252对于输入数据包,取得被判定为符合的通信模式Pn-m中被预先定义的等级Gr(Pn-m),并作为终端(h)的阶段Pn(h)的等级Gr(h,Pn-m)。其后,处理进入步骤S108。
步骤S108中,对输入数据包是否与在过去检测出的通信模式的必须条件符合进行判定。换句话说,在步骤S108中,从在过去取得的通信(先行数据包)来看,在相当于未来的现在时刻,对是否检测出与必须条件符合的通信(输入数据包)进行判定。评价值取得部252对在过去是否检测出输入数据包的通信模式被设定为必须条件的通信模式进行判定。作为判定的结果,判定为在过去没有检测出将输入数据包所涉及的通信模式作为必须条件的通信模式的情况下,处理进入步骤S111。另一方面,作为判定的结果,判定为在过去检测出将输入数据包所涉及的通信模式作为必须条件的通信模式的情况下,处理进入步骤S110。
步骤S110中,对过去取得的通信(先行数据包)的阶段分配等级。评价值取得部252,对于在过去检测出的通信,取得该通信模式(Pn-m)中被预先定义的等级Gr(Pn-m)并分配。其后,处理进入步骤S111。
步骤S111及步骤S112中,在与输入数据包对应的通信模式中设定有等级校正条件的情况下,对在过去是否取得与等级校正条件符合的通信进行判定。在设定有等级校正条件的情况下,处理进入步骤S114。这里,等级校正条件是用于判定是否应该将对于判定为在步骤S101中与输入数据包对应的通信模式(Pn-m)被预先设定的等级Gr(Pn-m)校正为更大的值的条件。校正部253判定与等级校正条件符合的通信对于输入数据包所涉及的终端在过去是否被检测出。在判定为没有满足等级校正条件的情况下,不进行等级的校正,处理进入步骤S114。另一方面,在判定为满足必须条件的情况下,处理进入步骤S113。
步骤S113中,进行等级的校正。校正部253对于步骤S112中判定为满足的等级校正条件,按照预先设定的校正值,对步骤S107中分配的等级Gr(h,Pn-m)进行校正。例如,校正值为1.5的情况下,等级Gr(h,Pn-m)的值变为1.5倍。其后,处理进入步骤S114。
步骤S114中,对输入数据包是否与在过去检测出的通信模式的等级校正条件符合进行判定。换句话说,步骤S114中,从在过去取得的通信(先行数据包)来看,在相当于未来的现在时刻,对与等级校正条件符合的通信(输入数据包)是否被检测出进行判定。校正部253对在过去是否检测出输入数据包的通信模式被设定为等级校正条件的通信模式进行判定。作为判定的结果,判定为在过去没有检测出将输入数据包所涉及的通信模式作为等级校正条件的通信模式的情况下,处理进入步骤S117。另一方面,作为判定的结果,判定为在过去检测出将输入数据包所涉及的通信模式作为等级校正条件的通信模式的情况下,处理进入步骤S116。
步骤S116中,进行过去的通信(先行数据包)所涉及的等级的校正。校正部253对被分配到在过去被检测出的通信模式所涉及的终端的等级,用对于该等级校正条件而被预先定义的校正值来进行校正。例如,在校正值为1.5的情况下,等级变为1.5倍。其后,处理进入步骤S117。
步骤S117到步骤S120中,进行各个阶段的最大等级的更新处理。首先,网络监视装置20对于输入数据包所涉及的终端,从等级管理表格取得(步骤S117)针对各检测阶段(P0到P7)保持的最大等级(对于进行校正的等级是校正后的值)并通过与步骤S101到步骤S116的处理后由确定部254确定的等级进行比较,在各阶段中,判定最大等级是否被更新(步骤S118)。这里,在判定为最大等级没有被更新的情况下,处理进入步骤S121。另一方面,在在判定为最大等级被更新的情况下,保持部255用新分配的等级来对等级管理表格中记录的最大等级进行更新并对其进行保持(步骤S120)。此外,在该过程中,证迹日志被采集选取(步骤S119)。其后,处理进入步骤S121。
步骤S121中,计算出终端中的恶意软件活动可能性。合计部256对该终端h的各阶段中求出的最大等级进行合算,判定部257通过对恶意软件活动系数进行乘算,计算出终端h的恶意软件活动可能性IR(h)。详细的计算方法是在合计部256及判定部257的说明中如前所述的那样。其后,处理进入步骤S122。
步骤S122及步骤S123中,对象90的、恶意软件感染的有无被判定。判定部257对步骤S121中计算出的恶意软件活动可能性IR(h)是否超过规定的阈值进行判定(步骤S122)。这里,在判定为恶意软件活动可能性IR(h)超过阈值的情况下,网络监视装置20进行恶意软件感染被检测出时的规定的应对。作为恶意软件感染被检测出时的应对,例如,例举有基于通信阻断部22的该节点90的通信阻断开始、或该节点90感染恶意软件的警报(警告)的通知等。另一方面,在判定为恶意软件活动可能性IR(h)没有超过阈值的情况下,不进行通信阻断或警告等的、恶意软件感染被检测出时的对应。其后,本流程图所示的处理结束。
此外,网络监视装置20可以使用例如对于节点90进行基于ARP伪装的数据包发送目的地的诱导的方法、或者指示路由器10并使节点90所涉及的通信毁弃的方法、或者变更并隔离节点90所属的VLAN的方法等,对基于节点90的通信进行阻断。又,在网络监视装置20被装载(内包)于路由器10中的情况下,也可以直接对节点90接收或发送的通信进行阻断。又,网络监视装置20可以使用将通知数据包或邮件等发送到管理服务器或节点90、预先设定的管理者终端等的方法、或者通过被设置于网络监视装置20自身的显示装置(显示器或LED等)来进行警告显示的方法等,通知警报。
<相关性分析的具体实例>
下面,对相关性分析的具体实例进行说明。但是,相关性分析是根据伴随恶意软件活动的阶段转换的观点来分析终端的多个通信是否具有相关性即可,其并不被限定为本实施方式所示的示例。
(1)第一相关性分析
通信模式的判定处理(参见步骤S006)基于预先定义的“通信模式”。因此,仅在该处理中,不能检测进行与通信模式不一致的通信的恶意软件。因而,本实施方式中,决定为进行第一相关性分析(参见步骤S007)。
图9是示出在本实施方式中的第一相关性分析中作为监视对象的活动转换模型上的阶段及其转换的图。一般来说,恶意软件按照来自于C&C服务器的指令,转换到探索、感染阶段P2、执行文件的下载阶段P3或攻击活动阶段P7。又,接收来自于C&C服务器的指令之后,转换到探索、感染阶段P2、执行文件的下载阶段P3、攻击活动阶段P7为止的时间通常非常的短(1秒以内)。第一相关性分析中,利用该特性,在终端(h)转换到探索、感染阶段P2、执行文件的下载阶段P3或攻击活动阶段P7时,暂时将成为触发的通信当作C&C通信,并将该通信所涉及的终端注册到C&C服务器候选列表。注册到C&C服务器候选列表后,对恶意软件的感染进行特定的处理遵从如上所示的恶意软件的检测方法。
(1.1)准备(评价信息的收集)
第一相关性分析中,活动转换模型上的探索、感染阶段P2、执行文件的下载阶段P3或攻击活动阶段P7中的活动被观测到(通信模式被检测出)时,分析成为该触发的通信,在满足一定条件的情况下,将成为该触发的通信的发送源(从终端(h)来看的话是连接目的地)作为C&C服务器候选注册到列表。下面,对第一相关性分析中利用的信息的收集方法与记录内容进行说明。此外,每当对监视对象终端发送的数据包进行检测时执行下面的处理。又,在通信模式的判定处理(参照步骤S006)结束后执行该准备(评价信息的收集)处理。
(1.1.1)分析
分析数据包,在满足下面的条件的情况下进入(1.1.2)的等待数据包。在不满足条件的情况下什么也不做,等待数据包。
·数据包是终端(h)发送的HTTP GET、POST、CONNECT请求中的任一个。并且
·GET请求不是文件的下载要求。并且
·User-Agent头部的值不以“Mozilla”开始,或者User-Agent头部不存在。
此外,上述的User-Agent的条件意味着仅将网络浏览器以外的应用程序发送的HTTP请求作为评价对象。因为(伪装)网络浏览器通信在通信模式的判定处理中成为评价对象,所以在第一相关性分析中仅非网络浏览器通行成为对象。然后,不满足上述条件的情况下,下面的信息被记录在终端(h)的管理表格中。
·方法类别(GET、POST、PUT、CONNECT中的任一个)
·User-Agent头部的值(字符串)。User-Agent头部不存在的话是“NULL”
·Host头部的值(FQDN或IP地址)
(1.1.2)等候数据包
这里,后续的数据包被等候。一旦接收数据包,就进行下面的处理。
·数据包是满足(1.1.1)的条件的终端(h)发送的新的HTTP请求的情况下,处理返回(1.1.1)的分析。此外,作为HTTP请求及其响应,虽然仅最新的数据的时间标识是必要的,但是因为有可能发生数据包丢失,所以也可以在接收所有的HTTP响应时记录时间标识,并在接收到后续的响应时进行覆写。
·数据包是终端(h)在(1.1.1)中发送的HTTP请求的响应且HTTP响应的主体部分的大小为0的情况下,处理转移到(1.1.1)。这是因为在HTTP响应的主力部分的大小为0的情况下,意味着不包含来自C&C服务器的指令信息。
·数据包是终端(h)在(1.1.1)中发送的HTTP请求的响应。并且在HTTP响应的主体部分的大小不为0情况下,记录在下面示出的内容,处理转移到(1.1.3)。
·记录HTTP响应数据包的检测(接收)时刻(时间标识:毫秒)。以后,用“TimeStamp(C)”表示该时间标识。此外,在这里,虽然仅HTTP响应的最终数据的时间标识是必要的,但因为有可能发生数据包丢失,所以在接收所有的HTTP响应时记录时间标识,并在接收到后续的响应时进行覆写。
(1.1.3)判定
在这里,进行下面的判定及处理。
·在(1.1.2)中处理的数据包不是HTTP响应的最终数据的情况下,恶意软件行为引擎25停留于(1.1.2),等候后续的响应。
·在(1.1.2)中处理的数据包是HTTP响应的最终数据的情况下,恶意软件行为引擎25移往(1.1.1)的分析,等候新的HTTP请求。
(1.2)向探索、感染阶段P2转换时的处理内容
恶意软件行为检测引擎25依次进行下面的处理,在满足条件的情况下,将“准备(评价信息的收集)”中记录的数据包所涉及的终端注册到C&C服务器候选列表中。
·探索、感染阶段P2上的活动与认定(与“探索、感染阶段P2的通信模式”一致)并且
·向探索、感染阶段P2转换的时刻(时间标识:TimeStamp(P2))与记录的TimeStamp(C)满足下面的条件。
TimeStamp(C)+500ms>TimeStamp(P2)
恶意软件行为检测引擎25将等级(Gr)=0.3赋予到满足上述条件的“准备(评价信息的收集)”中记录的通信(输入数据包)中。与记录的C&C通信阶段的等级(PGr)进行比较,将较大的值的等级作为C&C通信阶段的等级(PGr)进行重新记录。此外,在通信模式的判定处理中,在检测出“探索、感染阶段P2的通信模式”时记录TimeStamp(P2)。TimeStamp(P2)的计测对象仅是探索、感染阶段上的符合于“可疑的连接尝试”的通信模式。又,通信模式的观测时刻作为检测出符合于“可疑的连接尝试”的通信模式的时刻。
(1.3)向执行文件的下载阶段P3转换时的处理内容
恶意软件行为检测引擎25依次进行下面的处理,在满足条件的情况下,将“准备(评价信息的收集)”中记录的数据包所涉及的终端登记到C&C服务器候选列表。
·执行文件的下载阶段P3上的活动与认定(与“执行文件的下载阶段P3的通信模式”一致)并且
·向执行文件的下载阶段P3转换的时刻(时间标识:TimeStamp(P3))与记录的TimeStamp(C)满足下面的条件。
TimeStamp(C)+500ms>TimeStamp(P3)
恶意软件行为检测引擎25将等级(Gr)=0.3赋予到满足上述条件的“准备(评价信息的收集)”中记录的通信中。与记录的C&C通信阶段的等级(PGr)进行比较,将较大的值的等级作为C&C通信阶段的等级(PGr)进行重新记录。此外,在通信模式的判定处理中,在检测出“执行文件的下载阶段P3的通信模式”时记录TimeStamp(P3)。TimeStamp(P3)不是HTTP GET请求、FTP下载、TFTP下载的开始时刻,而是作为文件的下载结束的时刻(HTTP GET的情况是响应的最终数据包)。因为发生数据包丢失,所以也可以在检测HTTP GET响应的各个数据包、FTP/TFTP的下载数据包时更新TimeStamp(P3)。
(1.4)向攻击阶段P7转换时的处理内容
恶意软件行为检测引擎25依次进行下面的处理,在满足条件的情况下,将“准备(评价信息的收集)”中记录的数据包所涉及的终端注册到C&C服务器候选列表。
·攻击阶段P7上的活动与认定(与“攻击阶段P7的通信模式”一致)并且
·向攻击阶段P7转换的时刻(时间标识:TimeStamp(P7))与记录的TimeStamp(C)满足下面的条件。
TimeStamp(C)+500ms>TimeStamp(P7)
恶意软件行为检测引擎25将等级(Gr)=0.3赋予到满足上述条件的“准备(评价信息的收集)”中记录的通信中。与记录的C&C通信阶段的等级(PGr)进行比较,将较大的值的等级作为C&C通信阶段的等级(PGr)进行重新记录。此外,在通信模式的判定处理中,在检测出“攻击阶段P7的通信模式”时记录TimeStamp(P7)。TimeStamp(P3)不是(最终从多个数据包)认定攻击活动的时刻,而是检测出攻击的通信模式的最初的数据包的时刻。
(2)第二相关性分析
恶意软件转换恶意软件活动转换模型的阶段的同时使活动深化。因此,在刚转换之后的阶段中的活动(通信)将前一个的阶段中的活动(通信)作为触发而发生的可能性较高的情况下(换句话说,前后的阶段中具有相关性的情况),可以判断为该终端感染恶意软件的概率较高。虽然也考虑到根据包含于通信模式中的数据内容(例如,来自于C&C服务器的指令内容)来判断该触发的方法,但是将数据部分加密化或难解化的恶意软件也很多,实时地解析、判定较为困难。因此,本实施方式中,基于阶段的转换所需要的时间(检测出通信模式Pr-s之后到检测出通信模式Pm-n的为止的时间)、通信目的地(回叫通信)的终端(h)、恶意软件感染的可能性较高的多个终端的举动的相关性及一致性、处理的文件的种类等的信息来进行相关性分析(参照步骤S008)。作为分析的结果,在判定为恶意软件的举动的怀疑较高的通信的情况下,对与该通信对应的通信模式Pn-m的等级Gr(Pm-n)进行校正(恶意软件的举动类似系数θ倍),并赋予更高的等级。
下面,对通信模式的相关性分析的分析内容进行说明。此外,阶段的转换顺序不一致的情况下,或阶段的转换一致但过程中夹有其他的阶段的情况下,作为分析对象之外而不进行相关性分析。又,恶意软件行为检测引擎25不将所有的阶段转换作为相关性分析的对象。恶意软件行为检测引擎25将作为恶意软件的举动而观测到显著的相关性的以下的阶段转换作为相关性分析的对象。图10到图14中,实线箭头表示分析对象,虚线箭头表示非分析对象。
(2.1)向探索、感染阶段P2转换时的分析内容
图10是示出在本实施方式中的第二相关性分析中作为监视对象的、向探索、感染阶段P2的转换的图。在“恶意软件的活动阶段判定”处理块中,在终端(h)向探索、感染阶段P2转换时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.1.1)从C&C通信阶段P5向探索、感染阶段P2转换
if {条件A=TRUE} then {Gr(h,P2-m)=θ·Gr(h,P2-m)} (θ=1.2)
·条件A:在被注册到终端(h)的C&C服务器候选列表的C&C服务器中的任一个处观测数据通信(从C&C服务器接收一些数据(指令))之后,在N(a)秒以内在终端(h)观测了探索、感染阶段的通信模式P2-m。此外,在这里,从C&C服务器接收到数据(指令)的时刻作为观测到下面的数据包的时刻。
·在C&C是HTTP类型的情况下,与HTTP GET/POST/PUT请求对应的、数据长度(主体部分的大小)不为0的HTTP响应的(最终)数据的接收时刻
·在C&C为HTTPS(直接或CONNECT)或独立协议类型的情况下,在该TCP连接上,与终端(h)发送的数据包对应的、数据长度不为0的(最终)TCP数据的接收时刻
·在C&C为IRC类型的情况下,来自C&C服务器数据长度不为0的IRC消息的最终数据的接收时刻
这里,探索、感染阶段的通信模式P2-m仅将符合于“可疑的连接尝试”的通信模式作为对象。又,通信模式的观测时刻作为检测出符合“可疑的连接尝试”的通信模式的时刻。
(2.2)向执行文件的下载阶段P3转换时的分析内容
图11是示出在本实施方式中的第二相关性分析中作为监视对象的、向执行文件的下载阶段P3转换的图。在“恶意软件活动阶段判定”处理块中,在终端(h)转换到执行文件的下载阶段P3时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.2.1)从探索、感染阶段P2向执行文件的下载阶段P3转换
if {条件A=TRUE} then {Gr(h,P3-m)=θ·Gr(h,P3-m)} (θ=1.5)
if {条件B=TRUE} then {Gr(h,P3-m)=θ·Gr(h,P3-m)} (θ=1.2)
·条件A:在终端(h)观测执行文件的下载的通信模式P3-m,且P3-m的连接目的地(目的地IP/FQDN)与感染源终端(k)一致。
·条件B:在终端(h)观测执行文件的下载的通信模式P3-m,,且P3-m的连接目的地(目的地IP/FQDN)与被注册到恶意软件发布服务器候选列表的服务器中的某一个一致。
此外,因为存在不限定于感染恶意软件之后在一定时间内下载执行文件的情况(有10秒后进行下载的情况,也有在3天后进行下载的情况),所以在从阶段P2向阶段P3的转换中,没有加入与时间相关的条件。
(2.2.2)从C&C通信阶段P5向执行文件的下载阶段P3转换
if {条件C=TRUE} then {Gr(h,P3-m)=θ·Gr(h,P3-m)} (θ=1.2)
if {条件D=TRUE} then {Gr(h,P3-m)=θ·Gr(h,P3-m)} (θ=1.5)
·条件C:在被注册到终端(h)的C&C服务器候选列表的C&C服务器中的任一个处观测数据通信(从C&C服务器接收一些数据)之后,在N(b)秒之内在终端(h)观测了执行文件的下载阶段的通信模式P3-m。
·条件D:条件C,且P3-m的连接目的地(目的地IP/FQDN)与被注册到恶意软件发布服务器候选列表的服务器中的某一个一致。
此外,从C&C服务器接收到数据(指令)的时刻参照“(2.1)向探索、感染阶段P2转换时的分析内容”。又,执行文件的下载阶段的通信模式P3-m的观测时刻不是HTTP GET请求、FTP下载、TFTP下载的开始时刻,而是作为文件的下载结束的时刻(HTTP GET的情况是响应的最终数据包)。因为发生数据包丢失,所以也可以在每次检测HTTP GET响应的各个数据包、FTP/TFTP的下载数据包时更新时刻。
(2.3)向C&C检索阶段P4转换时的分析内容
图12是示出在本实施方式中的第二相关性分析中作为监视对象的、向C&C检索阶段P4转换的图。在“恶意软件的活动阶段判定”处理块中,在终端(h)向C&C检索阶段P4转换时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.3.1)从探索、感染阶段P2向C&C检索阶段P4转换
if {条件A=TRUE} then {Gr(h,P4-m)=θ·Gr(h,P4-m)} (θ=1.2)
·条件A:在(被感染一侧的)终端(h)观测(通信模式P2-9或P2-10的连接目的地终端一侧)感染活动之后,在N(c)秒以内在终端(h)观测了C&C检索阶段的通信模式P4-m。
(2.3.2)从C&C通信阶段P5或C&C休止阶段P6向C&C检索阶段P4转换
if {条件B=TRUE} then {Gr(h,P4-m)=θ·Gr(h,P4-m)} (θ=1.3)
·条件B:终端(h)从C&C通信阶段P5或C&C休止阶段P6以一定的周期(时间)重复了向C&C检索阶段P4转换(检测出C&C检索阶段P4的通信模式P4-m)。
此外,本实施方式中,在过去3次的转换是大致相同的周期(时间)的情况下,判断为以一定的周期重复了向C&C检索阶段P4的转换。
(2.4)向C&C通信阶段P5转换时的分析内容
图13是示出在本实施方式中的第二相关性分析中作为监视对象的、向C&C检索阶段P5转换的图。在“恶意软件的活动阶段判定”处理块中,终端(h)向C&C通信阶段P5转换时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.4.1)从探索、感染阶段P2向C&C通信阶段P5转换
if {条件A=TURE} then {Gr(h,P5-m)=θ·Gr(h,P5-m)} (θ=1.1)
if {条件B=TURE} then {Gr(h,P5-m)=θ·Gr(h,P5-m)} (θ=1.2)
if {条件C=TURE} then {Gr(h,P5-m)=θ·Gr(h,P5-m)} (θ=1.5)
·条件A:在终端(h)观测(通信模式P2-9或P2-10的感染目的地终端一侧)感染活动之后,在N(d)秒以内在终端(h)观测了C&C通信阶段P5的通信模式P5-m。
·条件B:条件A,且P5-m的连接目的地(目的地IP/FQDN)与被注册到(任意的监视对象终端的)C&C服务器候选列表的C&C服务器中的任一个一致。
·条件C:条件A,且P5-m的连接目的地(目的地IP/FQDN)与被注册到感染源终端(k)的C&C服务器候选列表的C&C服务器中的任一个一致。
(2.4.2)从执行文件的下载阶段P3向C&C通信阶段P5转换
if {条件D=TURE} then {Gr(h,P5-m)=θ·Gr(h,P5-m)} (θ=1.1)
if {条件E=TURE} then {Gr(h,P5-m)=θ·Gr(h,P5-m)} (θ=1.2)
if {条件F=TURE} then {Gr(h,P5-m)=θ·Gr(h,P5-m)} (θ=1.3)
·条件D:在终端(h)观测执行文件的下载的通信模式P3-m之后,在N(e)秒以内在终端(h)观测了C&C通信阶段的通信模式P5-m。
·条件E:条件D,且P5-m的连接目的地(目的地IP/FQDN)与被注册到(任意的监视对象终端的)C&C服务器候选列表的C&C服务器中的某一个一致。
·条件F:条件D,且P5-m的连接目的地(目的地IP/FQDN)与已经被注册到终端(h)的C&C服务器候选列表的C&C服务器中的某一个一致。
(2.4.3)从C&C检索阶段P4向C&C通信阶段P5转换
if {条件G=TURE} then {Gr(h,P5-m)=θ·Gr(h,P5-m)} (θ=1.2)
·条件G:在终端(h)观测C&C检索阶段的通信模式P4-m之后,在N(f)秒以内在终端(h)观测C&C通信阶段的通信模式P5-m,且P5-m的连接目的地(目的地IP/FQDN)与被注册到(任意的监视对象终端的)C&C服务器候选列表的C&C服务器中的某一个一致。
(2.5)向攻击阶段P7转换时的分析内容
图14是示出在本实施方式中的第二相关性分析中作为监视对象的、向攻击阶段P7转换的图。在“恶意软件的活动阶段判定”处理块中,在终端(h)向C&C通信阶段P5转换时,恶意软件行为检测引擎25进行下面的分析,在符合的情况下,校正通信模式的等级。
(2.5.1)从执行文件的下载阶段P3向攻击阶段P7转换
if {条件A=TRUE} then {Gr(h,P7-m)=θ·Gr(h,P7-m)} (θ=1.2)
·条件A:在终端(h)观测执行文件的下载的通信模式P3-m之后,在N(g)秒以内在终端(h)观测了攻击阶段的通信模式P7-m。
(2.5.2)从C&C通信阶段P5向攻击阶段P7转换
if {条件B=TRUE} then {Gr(h,P7-m)=θ·Gr(h,P7-m)} (θ=1.2)
if {条件C=TRUE} then {Gr(h,P7-m)=θ·Gr(h,P7-m)} (θ=1.5)
·条件B:在被注册到终端(h)的C&C服务器候选列表的C&C服务器中的任一个处观测数据通信(从C&C服务器接收一些数据(指令))之后,在N(h)秒之内在终端(h)观测了攻击阶段的通信模式P7-m。
·条件C:检测出了满足条件B的两台以上的终端。(没有必要同时发生)
<变化>
上述实施方式中,对网络监视装置20连接到开关或路由器的监视端口(镜像端口),从而通过节点90取得被收发的数据包或数据帧等,以不转送取得的数据包的被动方式来进行动作的例子进行了说明(参照图1)。但是,上述实施方式所示的网络构成是用于实施本公开的一个例子,在实施时也可以采用其他的网络构成。
例如,即使在网络监视装置20不连接到监视端口(镜像端口)而仅连接到网络分段2的情况下,也能够利用取得网络分段2上流通的包括不指向自身的MAC地址的所有的数据帧,通过节点90取得被收发的数据包或数据帧等。在这种情况下,网络监视装置20也以被动方式来进行动作。又,例如,也可以利用将网络监视装置20连接到网络分段2的开关或路由器与位于其上位的其他的开关或路由器之间来取得通过的数据包或数据帧(参照图15)。在这种情况下,网络监视装置20以对取得的数据包之中的不被阻断也可以的数据包进行转送的连线方式(日语:インラインモード)来进行动作。又,网络监视装置20也可以被内含在路由器或开关中。
符号说明
1 系统
20 网络监视装置
50 管理服务器
90 节点。
Claims (14)
1.一种信息处理装置,其特征在于,包括:
比较单元,其将连接到网络的终端的通信与预先保持的模式进行比较;
确定单元,其按照所述比较的结果,确定评价值和非法活动的阶段,所述评价值表示被推测为所述终端进行非法活动的程度;
保持单元,其针对每个所述终端,保持所述评价值的各个所述阶段的最大值;和
判定单元,其基于所述评价值的各个所述阶段的最大值,判定所述终端是否进行非法活动。
2.如权利要求1所述的信息处理装置,其特征在于,还包括:
评价值取得单元,其针对作为所述比较的结果的、与所述通信一致或近似的模式,取得针对该一致或近似的模式而预先设定的值作为所述评价值;
校正单元,其校正取得到的所述评价值,
所述确定单元确定由所述校正单元校正过的值为所述评价值。
3.如权利要求2所述的信息处理装置,其特征在于,
所述阶段表示所述终端的非法活动的转换状态,
所述确定单元,针对作为所述比较的结果的、与所述通信一致或近似的模式,确定针对该一致或近似的模式而预先设定的阶段作为所述通信所涉及的阶段。
4.如权利要求3所述的信息处理装置,其特征在于,所述评价值取得单元按照相关分析结果,取得所述评价值,所述相关分析结果是对所述通信与通过所述终端在该通信之前或之后进行的其他通信的相关性进行分析的结果。
5.如权利要求4所述的信息处理装置,其特征在于,所述评价值取得单元根据所述相关分析,在判定针对所述通信所取得的阶段与针对通过所述终端在该通信之前或之后进行的其他通信所取得的阶段之间具有连续性的情况下,取得所述评价值。
6.如权利要求3所述的信息处理装置,其特征在于,所述校正单元按照相关分析结果,校正所述评价值,所述相关分析结果是对所述通信与通过所述终端在该通信之前或之后进行的其他通信的相关性进行分析的结果。
7.如权利要求6所述的信息处理装置,其特征在于,所述校正单元根据所述相关分析,在判定针对所述通信所取得的阶段与针对通过所述终端在该通信之前或之后进行的其他通信所取得的阶段之间具有连续性的情况下,将所述评价值校正为比没有被判定为具有连续性的情况更大。
8.如权利要求1~7中的任一项所述的信息处理装置,其特征在于,还包括:
合计单元,其针对每个所述终端,对各所述阶段的所述评价值的最大值进行合计,
所述判定单元基于通过所述合计单元得到的合计值,判定所述终端是否进行非法活动。
9.如权利要求8所述的信息处理装置,其特征在于,所述判定单元在所述合计值或基于所述合计值的值超过规定的阈值的情况下,判定为所述终端在进行非法活动。
10.如权利要求8所述的信息处理装置,其特征在于,所述判定单元在通过对所述合计值进行规定的加权而得到的值超过规定的阈值的情况下,判定所述终端在进行非法活动。
11.如权利要求1~10中的任一项所述的信息处理装置,其特征在于,还包括:
通信取得单元,其取得连接到所述网络的终端的通信,
所述比较单元将取得的所述通信与预先保持的模式进行比较。
12.如权利要求1~11中的任一项所述的信息处理装置,其特征在于,还包括:
通信阻断单元,其在判定为所述终端在进行非法活动的情况下,对该终端的通信进行阻断。
13.如权利要求1~12中的任一项所述的信息处理装置,其特征在于,还包括:
一个或多个的检测单元,其对连接到网络的终端的非法通信进行检测,
所述判定单元基于没有被所述检测单元检测为非法通信的通信,判定所述终端是否进行非法活动。
14.一种非法活动判定方法,其特征在于,计算机执行以下步骤:
比较步骤,其将连接到网络的终端的通信与预先保持的模式进行比较;
确定步骤,其按照所述比较的结果,确定评价值和非法活动的阶段,所述评价值表示被推测为所述终端进行非法活动的程度;
保持步骤,其针对每个所述终端,保持所述评价值的各个所述阶段的最大值;和
判定步骤,其基于所述评价值的各个所述阶段的最大值,判定所述终端是否进行非法活动。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014004055 | 2014-01-14 | ||
| JP2014-004055 | 2014-01-14 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104778404A true CN104778404A (zh) | 2015-07-15 |
| CN104778404B CN104778404B (zh) | 2018-03-06 |
Family
ID=53522354
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410342602.5A Expired - Fee Related CN104778404B (zh) | 2014-01-14 | 2014-07-18 | 信息处理装置及非法活动判定方法 |
| CN201480073238.5A Pending CN105934763A (zh) | 2014-01-14 | 2014-12-26 | 信息处理装置、方法以及程序 |
| CN201480073245.5A Expired - Fee Related CN105917348B (zh) | 2014-01-14 | 2014-12-26 | 信息处理装置以及活动判定方法 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480073238.5A Pending CN105934763A (zh) | 2014-01-14 | 2014-12-26 | 信息处理装置、方法以及程序 |
| CN201480073245.5A Expired - Fee Related CN105917348B (zh) | 2014-01-14 | 2014-12-26 | 信息处理装置以及活动判定方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US9288221B2 (zh) |
| JP (2) | JP6014280B2 (zh) |
| CN (3) | CN104778404B (zh) |
| WO (2) | WO2015107861A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106682517A (zh) * | 2017-01-16 | 2017-05-17 | 西安电子科技大学 | 安卓应用运行时的Activity推断方法 |
| CN112115468A (zh) * | 2020-09-07 | 2020-12-22 | 沈建锋 | 基于大数据和云计算的业务信息检测方法及云计算中心 |
| CN112219374A (zh) * | 2018-06-13 | 2021-01-12 | 松下知识产权经营株式会社 | 非法通信探测装置、非法通信探测方法以及制造系统 |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6421436B2 (ja) * | 2014-04-11 | 2018-11-14 | 富士ゼロックス株式会社 | 不正通信検知装置及びプログラム |
| US9965627B2 (en) * | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling objects on an endpoint for encryption management |
| US10122687B2 (en) | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
| US9537841B2 (en) | 2014-09-14 | 2017-01-03 | Sophos Limited | Key management for compromised enterprise endpoints |
| US9641543B2 (en) * | 2015-04-22 | 2017-05-02 | Aktiebolaget AKF | Systems and methods for securing remote configuration |
| US9781131B2 (en) * | 2015-04-22 | 2017-10-03 | Aktiebolaget Skf | Systems and methods for securing remote configuration |
| US9699202B2 (en) * | 2015-05-20 | 2017-07-04 | Cisco Technology, Inc. | Intrusion detection to prevent impersonation attacks in computer networks |
| US10826915B2 (en) * | 2015-06-02 | 2020-11-03 | Mitsubishi Electric Corporation | Relay apparatus, network monitoring system, and program |
| US20170155667A1 (en) * | 2015-11-30 | 2017-06-01 | Symantec Corporation | Systems and methods for detecting malware infections via domain name service traffic analysis |
| JP2017147575A (ja) | 2016-02-16 | 2017-08-24 | 富士通株式会社 | 制御プログラム、制御装置、および、制御方法 |
| US10075456B1 (en) * | 2016-03-04 | 2018-09-11 | Symantec Corporation | Systems and methods for detecting exploit-kit landing pages |
| US10826933B1 (en) * | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
| US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
| US10050982B1 (en) * | 2016-05-19 | 2018-08-14 | Symantec Corporation | Systems and methods for reverse-engineering malware protocols |
| JP6105792B1 (ja) * | 2016-07-04 | 2017-03-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
| JP6903901B2 (ja) * | 2016-11-28 | 2021-07-14 | 富士通株式会社 | 攻撃検知装置、攻撃検知プログラム及び攻撃検知方法 |
| JP6207784B1 (ja) * | 2017-03-27 | 2017-10-04 | 株式会社ラック | 中継装置、中継方法およびプログラム |
| IL251683B (en) | 2017-04-09 | 2019-08-29 | Yoseph Koren | A system and method for dynamic management of private data |
| JP6869100B2 (ja) | 2017-05-12 | 2021-05-12 | 株式会社Pfu | 情報処理装置、不正活動分類方法および不正活動分類用プログラム |
| US10174302B1 (en) | 2017-06-21 | 2019-01-08 | Xl-Protein Gmbh | Modified L-asparaginase |
| JP7033467B2 (ja) * | 2018-03-01 | 2022-03-10 | 株式会社日立製作所 | 不正通信検知装置および不正通信検知プログラム |
| CN108429746B (zh) * | 2018-03-06 | 2020-01-03 | 华中科技大学 | 一种面向云租户的隐私数据保护方法及系统 |
| CN108632087B (zh) * | 2018-04-26 | 2021-12-28 | 深圳市华迅光通信有限公司 | 一种基于路由器的上网管理方法及系统 |
| JP7109391B2 (ja) | 2019-02-26 | 2022-07-29 | 株式会社日立製作所 | 不正通信検知装置および不正通信検知プログラム |
| CN110995525A (zh) * | 2019-10-31 | 2020-04-10 | 北京直真科技股份有限公司 | 一种基于维护矩阵的路由器检测方法 |
| DE102020213893A1 (de) * | 2020-11-04 | 2022-05-05 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren zur Erkennung eines unerlaubten physischen Zugriffs auf ein Bussystem |
| US11792209B2 (en) * | 2020-12-31 | 2023-10-17 | Imperva, Inc. | Robust learning of web traffic |
| CN114422495B (zh) * | 2022-01-25 | 2023-10-24 | 北京浩瀚深度信息技术股份有限公司 | 一种针对DNS over HTTP协议的安全监管方法 |
| WO2023233580A1 (ja) * | 2022-06-01 | 2023-12-07 | 日本電信電話株式会社 | 検知対処制御システム、検知対処制御方法、ハードウェアアクセラレータ、コントローラ、および、プログラム |
| US20240028494A1 (en) * | 2022-07-20 | 2024-01-25 | Zscaler, Inc. | Dynamic Applicative Session Grouping |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060117386A1 (en) * | 2001-06-13 | 2006-06-01 | Gupta Ramesh M | Method and apparatus for detecting intrusions on a computer system |
| JP2006350543A (ja) * | 2005-06-14 | 2006-12-28 | Mitsubishi Electric Corp | ログ分析装置 |
| US20070180526A1 (en) * | 2001-11-30 | 2007-08-02 | Lancope, Inc. | Flow-based detection of network intrusions |
| US20090172815A1 (en) * | 2007-04-04 | 2009-07-02 | Guofei Gu | Method and apparatus for detecting malware infection |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7185368B2 (en) | 2000-11-30 | 2007-02-27 | Lancope, Inc. | Flow-based detection of network intrusions |
| US8117659B2 (en) * | 2005-12-28 | 2012-02-14 | Microsoft Corporation | Malicious code infection cause-and-effect analysis |
| EP1877904B1 (en) * | 2005-05-05 | 2015-12-30 | Cisco IronPort Systems LLC | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources |
| JP2006352543A (ja) * | 2005-06-16 | 2006-12-28 | Iwatsu Electric Co Ltd | Sip電話交換システム |
| CN101414939B (zh) * | 2008-11-28 | 2011-12-28 | 武汉虹旭信息技术有限责任公司 | 一种基于动态深度包检测的互联网应用识别方法 |
| CN103581155B (zh) * | 2012-08-08 | 2016-04-27 | 贵州电网公司信息通信分公司 | 信息安全态势分析方法与系统 |
| US9311479B1 (en) * | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
-
2014
- 2014-04-17 US US14/254,928 patent/US9288221B2/en active Active
- 2014-07-18 CN CN201410342602.5A patent/CN104778404B/zh not_active Expired - Fee Related
- 2014-12-26 JP JP2015557759A patent/JP6014280B2/ja not_active Expired - Fee Related
- 2014-12-26 CN CN201480073238.5A patent/CN105934763A/zh active Pending
- 2014-12-26 WO PCT/JP2014/084690 patent/WO2015107861A1/ja active Application Filing
- 2014-12-26 JP JP2015557758A patent/JP6097849B2/ja active Active
- 2014-12-26 CN CN201480073245.5A patent/CN105917348B/zh not_active Expired - Fee Related
- 2014-12-26 WO PCT/JP2014/084691 patent/WO2015107862A1/ja active Application Filing
-
2016
- 2016-07-13 US US15/208,937 patent/US10277614B2/en not_active Expired - Fee Related
- 2016-07-13 US US15/208,905 patent/US20160323304A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060117386A1 (en) * | 2001-06-13 | 2006-06-01 | Gupta Ramesh M | Method and apparatus for detecting intrusions on a computer system |
| US20070180526A1 (en) * | 2001-11-30 | 2007-08-02 | Lancope, Inc. | Flow-based detection of network intrusions |
| JP2006350543A (ja) * | 2005-06-14 | 2006-12-28 | Mitsubishi Electric Corp | ログ分析装置 |
| US20090172815A1 (en) * | 2007-04-04 | 2009-07-02 | Guofei Gu | Method and apparatus for detecting malware infection |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106682517A (zh) * | 2017-01-16 | 2017-05-17 | 西安电子科技大学 | 安卓应用运行时的Activity推断方法 |
| CN106682517B (zh) * | 2017-01-16 | 2019-04-23 | 西安电子科技大学 | 安卓应用运行时的Activity推断方法 |
| CN112219374A (zh) * | 2018-06-13 | 2021-01-12 | 松下知识产权经营株式会社 | 非法通信探测装置、非法通信探测方法以及制造系统 |
| CN112115468A (zh) * | 2020-09-07 | 2020-12-22 | 沈建锋 | 基于大数据和云计算的业务信息检测方法及云计算中心 |
| CN112115468B (zh) * | 2020-09-07 | 2021-04-02 | 深圳市瑞冠信息科技有限公司 | 基于大数据和云计算的业务信息检测方法及云计算中心 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104778404B (zh) | 2018-03-06 |
| CN105917348A (zh) | 2016-08-31 |
| US20150200956A1 (en) | 2015-07-16 |
| JPWO2015107862A1 (ja) | 2017-03-23 |
| CN105934763A (zh) | 2016-09-07 |
| US20160323305A1 (en) | 2016-11-03 |
| US9288221B2 (en) | 2016-03-15 |
| JP6097849B2 (ja) | 2017-03-15 |
| US10277614B2 (en) | 2019-04-30 |
| US20160323304A1 (en) | 2016-11-03 |
| WO2015107861A1 (ja) | 2015-07-23 |
| WO2015107862A1 (ja) | 2015-07-23 |
| JP6014280B2 (ja) | 2016-10-25 |
| CN105917348B (zh) | 2019-04-05 |
| JPWO2015107861A1 (ja) | 2017-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104778404A (zh) | 信息处理装置及非法活动判定方法 | |
| JP7167240B6 (ja) | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム | |
| CN107454109B (zh) | 一种基于http流量分析的网络窃密行为检测方法 | |
| US11831609B2 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| JP6869100B2 (ja) | 情報処理装置、不正活動分類方法および不正活動分類用プログラム | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| KR101045331B1 (ko) | 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법 | |
| KR101045330B1 (ko) | 네트워크 기반의 http 봇넷 탐지 방법 | |
| Bastos et al. | Identifying and Characterizing bashlite and mirai C&C servers | |
| CN110417578B (zh) | 一种异常ftp连接告警处理方法 | |
| US20230344863A1 (en) | Enhancement of device security using machine learning and set of rules | |
| CN115499251B (zh) | 一种边缘IoT设备的异常流量及攻击检测方法及系统 | |
| Abimbola et al. | Investigating false positive reduction in http via procedure analysis | |
| CN115174197B (zh) | webshell文件的检测方法、系统、电子设备及计算机存储介质 | |
| CN118337540A (zh) | 一种基于物联网的网络入侵攻击识别系统及方法 | |
| CN116418554A (zh) | 一种基于蜜罐网络的物联网安全网关防护方法及系统 | |
| CN117313109A (zh) | 一种基于异常告警的系统动态安全评估方法及系统 | |
| CN117155614A (zh) | 一种僵尸网络发现方法、系统及存储介质 | |
| JP2004304516A (ja) | パケット送信元特定方法、パケット中継装置及びパケット受信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180306 Termination date: 20200718 |