JP2009087208A - Fraudulence detection device, program, and recording medium - Google Patents

Fraudulence detection device, program, and recording medium Download PDF

Info

Publication number
JP2009087208A
JP2009087208A JP2007258619A JP2007258619A JP2009087208A JP 2009087208 A JP2009087208 A JP 2009087208A JP 2007258619 A JP2007258619 A JP 2007258619A JP 2007258619 A JP2007258619 A JP 2007258619A JP 2009087208 A JP2009087208 A JP 2009087208A
Authority
JP
Japan
Prior art keywords
address
value
block
communication
information entropy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007258619A
Other languages
Japanese (ja)
Other versions
JP5046836B2 (en
Inventor
Keisuke Takemori
敬祐 竹森
Masaru Miyake
優 三宅
Akira Baba
昭 馬場
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2007258619A priority Critical patent/JP5046836B2/en
Publication of JP2009087208A publication Critical patent/JP2009087208A/en
Application granted granted Critical
Publication of JP5046836B2 publication Critical patent/JP5046836B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a fraudulence detection device, program, and a recording medium capable of detecting fraudulent communication by computer virus. <P>SOLUTION: For each block constituting a first IP address and a second IP address indicating the relation of signal transmission and reception concerning an fraudulent communication by computer virus, an information entropy value calculation part 103 calculates the first value to represent the degree of dispersion of the address value having appeared. Another information entropy value calculation part 107 calculates the second value to represent the degree of dispersion of the address value having appeared for each block constituting a third IP address and a fourth IP address indicating the relation of signal transmission and reception concerning the communication of the object to be analyzed. An fraudulence detection part 109 determines the similarity of illegal communication and the communication of the object to be analyzed on the basis of the first and second values of each block, and if the similarity is high, determines that an fraudulence is committed. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、コンピュータウィルスによる不正な通信を検知する不正検知装置に関する。また、本発明は、不正検知装置としてコンピュータを機能させるためのプログラム、およびそのプログラムを記録した記録媒体にも関する。   The present invention relates to a fraud detection device that detects unauthorized communication due to a computer virus. The present invention also relates to a program for causing a computer to function as a fraud detector and a recording medium on which the program is recorded.

コンピュータウィルス(以下、ウィルスと記載)による攻撃がネットワーク上の各地で発生している。このような状況において、非特許文献1では、IPv4通信における受信側のIPアドレス(Destination IP)を分析してウィルスを分類する方法が記載されている。IPv4プロトコルでは、IPアドレスは例えば192.168.0.1(32ビット)と表現され、8ビットずつの4ブロックのアドレス値で構成される。そこで、非特許文献1では、ウィルスによる通信に係るDestination IPを4ブロックに分割し、それぞれのブロック毎にアドレス値の出現種類数を数値化している。この操作をウィルス毎に実施し、さらにウィルス間のアドレス種類数の類似性を分析することによって、ウィルスを分類している。
仲小路博史、寺田真敏、州崎誠一、“ワームのノード探索特性の定量化に関する提案”、情報処理学会、第38回CSEC研究会、情処研報、Vol. 2007, No. 71、2007年7月 Attacks by computer viruses (hereinafter referred to as viruses) are occurring in various places on the network. Under such circumstances, Non-Patent Document 1 describes a method of classifying viruses by analyzing the IP address (Destination IP) on the receiving side in IPv4 communication. In the IPv4 protocol, the IP address is expressed as, for example, 192.168.0.1 (32 bits), and is composed of four blocks of address values of 8 bits each. Therefore, in Non-Patent Document 1, Destination IP related to virus communication is divided into four blocks, and the number of appearance types of address values is quantified for each block. This operation is performed for each virus, and the viruses are classified by analyzing the similarity of the number of address types between the viruses.
Hiroshi Nakakoji, Masatoshi Terada, Seiichi Susaki, “Proposal for Quantifying Node Search Characteristics of Worm”, Information Processing Society of Japan, 38th CSEC Study Group, Information Processing Research Bulletin, Vol. 2007, No. 71, 2007 7 Moon

しかし、非特許文献1に記載された方法では、個々のウィルスの通信パターンを分類することしかできず、様々な通信パターンから、ウィルスによる不正な通信を検知することはできなかった。   However, the method described in Non-Patent Document 1 can only classify communication patterns of individual viruses, and cannot detect unauthorized communication due to viruses from various communication patterns.

本発明は、上述した課題に鑑みてなされたものであって、コンピュータウィルスによる不正な通信を検知することができる不正検知装置、プログラム、および記録媒体を提供することを目的とする。   The present invention has been made in view of the above-described problems, and an object thereof is to provide a fraud detection device, a program, and a recording medium that can detect unauthorized communication due to a computer virus.

本発明は、上記の課題を解決するためになされたもので、コンピュータウィルスによる不正な通信に係る送受信の関係を示す第1のIPアドレスおよび第2のIPアドレスのを構成する各ブロックのアドレス値と、分析対象の通信に係る送受信の関係を示す第3のIPアドレスおよび第4のIPアドレスを構成する各ブロックのアドレス値とを記憶する記憶手段と、前記第1のIPアドレスおよび前記第2のIPアドレスを構成する各ブロックについて、出現したアドレス値の分散度を示す第1の値を算出する第1の算出手段と、前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックについて、出現したアドレス値の分散度を示す第2の値を算出する第2の算出手段と、前記不正な通信と前記分析対象の通信の類似度を判定し、当該類似度が高い場合に不正が発生したと判定する不正検知手段とを備えたことを特徴とする不正検知装置である。   The present invention has been made to solve the above-described problem, and the address value of each block constituting the first IP address and the second IP address indicating the transmission / reception relationship relating to the unauthorized communication by the computer virus. Storage means for storing the third IP address and the address value of each block constituting the fourth IP address indicating the transmission / reception relationship relating to the communication to be analyzed, the first IP address and the second IP address A first calculation means for calculating a first value indicating the degree of dispersion of the address value that has appeared for each block constituting the IP address, and each of the third IP address and the fourth IP address. A second calculating means for calculating a second value indicating the degree of dispersion of the address value that has occurred for the block; and determining the similarity between the unauthorized communication and the communication to be analyzed, A fraud detection device comprising fraud detection means for determining that fraud has occurred when the cost is high.

また、本発明の不正検知装置は、前記第3のIPアドレスおよび前記第4のIPアドレスを構成するブロックのうち特定のブロックのアドレス値の出現頻度に基づいて、前記第1の記憶手段が記憶するアドレス値から一部を抽出する抽出手段をさらに備え、前記第2の算出手段は、前記抽出手段によって抽出された、前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックのアドレス値について、前記第2の値を算出することを特徴とする。   Further, in the fraud detection device of the present invention, the first storage unit stores the first IP address based on the appearance frequency of the address value of a specific block among the blocks constituting the third IP address and the fourth IP address. Extraction means for extracting a part from the address value to be performed, wherein the second calculation means is configured to extract each of the blocks constituting the third IP address and the fourth IP address extracted by the extraction means. The second value is calculated for the address value.

また、本発明の不正検知装置は、各ブロックの前記第2の値に基づいて、注目ブロックを決定する決定手段と、前記注目ブロックのアドレス値の出現頻度に基づいて、前記第1の記憶手段が記憶するアドレス値から一部を抽出する抽出手段とを備え、前記第2の算出手段は、前記抽出手段によって抽出された、前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックのアドレス値について、前記第2の値を再度算出することを特徴とする。   Further, the fraud detection device of the present invention includes a determination unit that determines a target block based on the second value of each block, and the first storage unit based on the appearance frequency of the address value of the target block. Extracting means for extracting a part from the address value stored in the memory, wherein the second calculating means comprises each of the third IP address and the fourth IP address extracted by the extracting means. The second value is calculated again for the address value of the block.

また、本発明の不正検知装置において、前記第1の値は、前記第1のIPアドレスおよび前記第2のIPアドレスを構成する各ブロックについてのアドレス値の出現頻度に基づいた第1のエントロピー値であり、前記第2の値は、前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックについてのアドレス値の出現頻度に基づいた第2のエントロピー値であることを特徴とする。   In the fraud detection apparatus according to the present invention, the first value is a first entropy value based on an appearance frequency of an address value for each block constituting the first IP address and the second IP address. The second value is a second entropy value based on the frequency of appearance of the address value for each block constituting the third IP address and the fourth IP address. .

また、本発明の不正検知装置において、前記第1の値は、前記第1のIPアドレスおよび前記第2のIPアドレスを構成する各ブロックについてのアドレス値の第1の出現種類数であり、前記第2の値は、前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックについてのアドレス値の第2の出現種類数であることを特徴とする。   In the fraud detection device of the present invention, the first value is a first appearance type number of address values for each block constituting the first IP address and the second IP address, The second value is a second appearance type number of address values for each block constituting the third IP address and the fourth IP address.

また、本発明の不正検知装置において、前記第2の値と前記コンピュータウィルスの識別情報とを関連付けて記憶する第2の記憶手段をさらに備えたことを特徴とする。   The fraud detection apparatus of the present invention is further characterized by further comprising second storage means for storing the second value and the computer virus identification information in association with each other.

また、本発明の不正検知装置において、前記不正検知手段は、各ブロックについての前記第1の値および前記第2の値の相関分析により、相関度を示す相関値を算出し、当該相関値と所定値を比較し、当該相関値が所定値以上である場合に不正が発生したと判定することを特徴とする。   Further, in the fraud detection apparatus of the present invention, the fraud detection means calculates a correlation value indicating a correlation degree by correlation analysis of the first value and the second value for each block, and the correlation value and A predetermined value is compared, and it is determined that fraud has occurred when the correlation value is equal to or greater than the predetermined value.

また、本発明は、上記の不正検知装置としてコンピュータを機能させるためのプログラムである。   Moreover, this invention is a program for functioning a computer as said fraud detection apparatus.

また、本発明は、上記のプログラムを記録したコンピュータ読み取り可能な記録媒体である。   The present invention is a computer-readable recording medium on which the above program is recorded.

本発明によれば、コンピュータウィルスによる通信に係るIPアドレスの各ブロックのアドレス値の分散度を示す第1の値と、分析対象の通信に係るIPアドレスの各ブロックのアドレス値の分散度を示す第2の値とに基づいて、不正な通信と分析対象の通信の類似度を判定し、類似度が高い場合に不正が発生したと判定することによって、コンピュータウィルスによる不正な通信を検知することができるという効果が得られる。   According to the present invention, the first value indicating the dispersion of the address value of each block of the IP address related to the communication by the computer virus and the dispersion of the address value of each block of the IP address related to the communication to be analyzed are shown. Detecting unauthorized communication due to a computer virus by determining the similarity between unauthorized communication and communication to be analyzed based on the second value, and determining that fraud has occurred when the similarity is high The effect that can be done.

以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態による不正検知装置の構成を示している。図1に示す各部の機能は以下の通りである。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows the configuration of a fraud detection device according to an embodiment of the present invention. The function of each part shown in FIG. 1 is as follows.

不正通信データ記憶部101は、既知のウィルスに感染していることが確認されているコンピュータを少なくとも含む1または複数のコンピュータが行った通信を監視して取得した通信データ(不正通信データ)を記憶する。本実施形態の通信データは、ネットワーク上で実行された通信の特徴を示すデータであり、時刻(Start Time,End Time)、通信プロトコル(ICMP,TCP,UDP)、送受信関係を示すIPアドレスの組合せ(Source IP,Destination IP)、およびPort番号(送信側・受信側のTCP Port,UDP Port)の各データを含んでいる。   The unauthorized communication data storage unit 101 stores communication data (illegal communication data) obtained by monitoring communication performed by one or more computers including at least a computer confirmed to be infected with a known virus. To do. The communication data of this embodiment is data indicating the characteristics of communication executed on the network, and is a combination of time (Start Time, End Time), communication protocol (ICMP, TCP, UDP), and IP address indicating transmission / reception relationships. (Source IP, Destination IP) and Port number (Transmission side / Reception side TCP Port, UDP Port) data are included.

IPアドレスに関して、本実施形態ではIPv4アドレスを用いて説明を行うが、IPv6アドレスについても同様である。以下では、IPv4アドレスをA.B.C.Dとしたときに、アドレス値Aを有するブロックを第1ブロック(最上位ブロック)、アドレス値Bを有するブロックを第2ブロック、アドレス値Cを有するブロックを第3ブロック、アドレス値Dを有するブロックを第4ブロック(最下位ブロック)と表現する。   The IP address will be described using an IPv4 address in the present embodiment, but the same applies to an IPv6 address. In the following, the IPv4 address is A.I. B. C. A block having an address value A is a first block (the most significant block), a block having an address value B is a second block, a block having an address value C is a third block, and a block having an address value D Is expressed as a fourth block (lowest block).

また、通信の種類には、ICMPやUDP等のステートレス通信と、TCP等のステートフル通信とがある。ステートフル通信であるTCPでは、2地点間で複数のパケットのやり取りが行われるが、それらのパケットの個々に注目して、個々のパケットから個別に通信データを生成することによって、ICMP,UDP,TCPの全てについて、ステートレスな通信パターンを得ることが可能となる。また、ステートフル通信の場合に、第1のIPアドレスから第2のIPアドレスへのパケットと、第2のIPアドレスから第1のIPアドレスへのパケットとの2種類のパケットが観測されるが、第1のIPアドレスと第2のIPアドレスの一方を本実施形態のSource IPに固定し、他方を本実施形態のDestination IPに固定してもよい。   The types of communication include stateless communication such as ICMP and UDP and stateful communication such as TCP. In TCP, which is stateful communication, multiple packets are exchanged between two points. By paying attention to each of these packets and generating communication data from each packet individually, ICMP, UDP, TCP It is possible to obtain a stateless communication pattern for all of the above. In the case of stateful communication, two types of packets are observed: a packet from the first IP address to the second IP address and a packet from the second IP address to the first IP address. One of the first IP address and the second IP address may be fixed to the source IP of the present embodiment, and the other may be fixed to the destination IP of the present embodiment.

データ抽出部102は、不正通信データ記憶部101が記憶している不正通信データから、所定の条件に従って一部の不正通信データを抽出する。情報エントロピー値算出部103は、データ抽出部102によって抽出された不正通信データに含まれるSource IPとDestination IPを構成する8つの各ブロックについて、出現したアドレス値の分散度を示す情報エントロピー値を算出する。情報エントロピー値記憶部104は、情報エントロピー値算出部103によって算出された情報エントロピー値を記憶する。   The data extraction unit 102 extracts some unauthorized communication data from the unauthorized communication data stored in the unauthorized communication data storage unit 101 according to a predetermined condition. The information entropy value calculation unit 103 calculates an information entropy value indicating the degree of dispersion of the address values that appear for each of the eight blocks constituting the Source IP and Destination IP included in the unauthorized communication data extracted by the data extraction unit 102 To do. The information entropy value storage unit 104 stores the information entropy value calculated by the information entropy value calculation unit 103.

通信データ記憶部105は、ウィルスによる不正な通信と類似する通信であるか否かを分析する対象となる通信に係る通信データを記憶する。データ抽出部106は、通信データ記憶部105が記憶している通信データから、所定の条件に従って一部の通信データを抽出する。情報エントロピー値算出部107は、データ抽出部106によって抽出された通信データに含まれるSource IPとDestination IPを構成する8つの各ブロックについて、出現したアドレス値の分散度を示す情報エントロピー値を算出する。情報エントロピー値記憶部108は、情報エントロピー値算出部107によって算出された情報エントロピー値を記憶する。   The communication data storage unit 105 stores communication data related to a communication to be analyzed as to whether or not the communication is similar to an unauthorized communication due to a virus. The data extraction unit 106 extracts some communication data from the communication data stored in the communication data storage unit 105 according to a predetermined condition. The information entropy value calculation unit 107 calculates an information entropy value indicating the degree of dispersion of the address values that appear for each of the eight blocks constituting the Source IP and Destination IP included in the communication data extracted by the data extraction unit 106. . The information entropy value storage unit 108 stores the information entropy value calculated by the information entropy value calculation unit 107.

不正検知部109は、情報エントロピー値記憶部104に格納された各ブロックの情報エントロピー値と、情報エントロピー値記憶部108に格納された各ブロックの情報エントロピー値とに基づいて、分析対象の通信が、ウィルスによる不正な通信と類似するか否かを判定することによって、不正な通信を検知する。表示部110は各種情報を表示する。操作部111は、ユーザが操作可能なキー、ボタン、スイッチ、マウス等を有しており、ユーザからの各種情報の入力を受け付ける。制御部112は、不正検知装置内の各部を制御する。   Based on the information entropy value of each block stored in the information entropy value storage unit 104 and the information entropy value of each block stored in the information entropy value storage unit 108, the fraud detection unit 109 performs communication of the analysis target. The unauthorized communication is detected by determining whether or not it is similar to the unauthorized communication due to the virus. The display unit 110 displays various information. The operation unit 111 includes keys, buttons, switches, a mouse, and the like that can be operated by the user, and receives input of various types of information from the user. The control unit 112 controls each unit in the fraud detection device.

本実施形態では、不正通信データ記憶部101、通信データ記憶部105、情報エントロピー値記憶部104、情報エントロピー値記憶部108の8つの記憶部が設けられているが、これらを適宜、統合または分割してもよい。   In the present embodiment, eight storage units are provided, that is, an unauthorized communication data storage unit 101, a communication data storage unit 105, an information entropy value storage unit 104, and an information entropy value storage unit 108. May be.

(第1の動作例)
次に、本実施形態による不正検知装置の動作を説明する。まず、第1の動作例を説明する。図2は、不正通信データに関する処理の手順を示している。不正通信データに関する処理が開始されると、通信プロトコルの選択が行われる(ステップS100)。多くの攻撃に関わる通信は、ICMP、TCP、UDP、またはそれら以外の単独の通信プロトコルを用いて行われる場合が多い。そこで、不正通信データが有する通信パターンの数値化を行うにあたり、これらの通信プロトコルを区別して通信パターンの数値化を行う。ただし、攻撃によってはICMPとUDP、またはICMPとTCP等、複数の通信プロトコルが組み合わされて攻撃が行われる場合もあるので、各通信プロトコルを区別しないで通信パターンの数値化を行う場合もある。 (First operation example)
Next, the operation of the fraud detection device according to the present embodiment will be described. First, a first operation example will be described. FIG. 2 shows a procedure of processing related to unauthorized communication data. When processing related to unauthorized communication data is started, a communication protocol is selected (step S100). Communication related to many attacks is often performed using ICMP, TCP, UDP, or another single communication protocol. Therefore, when quantifying the communication pattern included in the unauthorized communication data, the communication pattern is quantified by distinguishing these communication protocols. However, depending on the attack, an attack may be performed by combining a plurality of communication protocols such as ICMP and UDP, or ICMP and TCP. Therefore, the communication pattern may be digitized without distinguishing each communication protocol.

ステップS100では、ユーザによる通信プロトコルの選択の結果を示す信号が操作部111から制御部112へ出力される。制御部112は、その信号に基づいて通信プロトコルの選択結果を認識し、その選択結果をデータ抽出部102に通知する。あるいは、過去の選択結果を所定の記憶部に格納するようにしておき、ステップS100では制御部112が過去の選択結果を所定の記憶部から読み出し、その選択結果をデータ抽出部102に通知してもよい。   In step S <b> 100, a signal indicating the result of communication protocol selection by the user is output from the operation unit 111 to the control unit 112. The control unit 112 recognizes the communication protocol selection result based on the signal, and notifies the data extraction unit 102 of the selection result. Alternatively, the past selection result is stored in a predetermined storage unit, and in step S100, the control unit 112 reads the past selection result from the predetermined storage unit, and notifies the data extraction unit 102 of the selection result. Also good.

ステップS100に続いて、Destination Portの選択が行われる(ステップS101)。ウィルスは、特定のPortに攻撃を行うことが多いので、Destination Portを選択することによって、特定のウィルスを検出しやすくなる。ステップS101では、ステップS100と同様にして、Destination Portの選択結果が制御部112からデータ抽出部102に通知される。   Subsequent to step S100, Destination Port is selected (step S101). Since viruses often attack specific ports, selecting a Destination Port makes it easier to detect specific viruses. In step S101, as in step S100, the destination port selection result is notified from the control unit 112 to the data extraction unit 102.

ステップS101に続いて、データ抽出部102は、制御部112から通知された選択結果を条件にして、不正通信データ記憶部101が記憶している不正通信データの中から一部の不正通信データを抽出し、情報エントロピー値算出部103へ出力する。すなわち、データ抽出部102は、選択結果が示す通信プロトコルおよびDestination Portをデータ中に有する不正通信データを抽出し、情報エントロピー値算出部103へ出力する(ステップS102)。   Subsequent to step S101, the data extraction unit 102 extracts a part of the unauthorized communication data from the unauthorized communication data stored in the unauthorized communication data storage unit 101 on the condition of the selection result notified from the control unit 112. Extract and output to the information entropy value calculation unit 103. That is, the data extraction unit 102 extracts unauthorized communication data having the communication protocol and the Destination Port indicated by the selection result in the data, and outputs them to the information entropy value calculation unit 103 (step S102).

ステップS102に続いて、情報エントロピー値算出部103は、不正通信データに含まれるSource IPを構成する4つのブロックと、Destination IPを構成する4つのブロックとの8つのブロックそれぞれについて、出現したアドレス値に関する情報エントロピー値を算出する(ステップS103)。具体的には、情報エントロピー値算出部103は以下のようにして情報エントロピー値を算出する。   Subsequent to step S102, the information entropy value calculation unit 103 generates an address value that appears for each of the eight blocks including the four blocks constituting the Source IP and the four blocks constituting the Destination IP included in the unauthorized communication data. An information entropy value relating to is calculated (step S103). Specifically, the information entropy value calculation unit 103 calculates the information entropy value as follows.

まず、情報エントロピー値算出部103は、8つのブロックそれぞれについて、アドレス値の出現頻度を算出する。図3は、各ブロックのアドレス値の出現頻度の算出に用いるテーブルの内容を示している。図3に示すテーブル300は、通信A(Source IP:192.168.0.20、Destination IP:192.26.48.201)に係るデータを管理するためのテーブルであり、テーブル310は、通信B(Source IP:31.41.128.110、Destination IP:211.225.190.22)に係るデータを管理するためのテーブルである。以下、テーブル300を例としてテーブルの構造を説明する。   First, the information entropy value calculation unit 103 calculates the appearance frequency of address values for each of the eight blocks. FIG. 3 shows the contents of the table used for calculating the appearance frequency of the address value of each block. 3 is a table for managing data related to communication A (Source IP: 192.168.0.20, Destination IP: 192.26.48.201), and table 310 is communication B (Source IP: 31.41.128.110). , Destination IP: 211.225.190.22) is a table for managing data. Hereinafter, the structure of the table will be described using the table 300 as an example.

テーブル300は、隣接するブロックのアドレス値の対応関係と頻度を示す部分テーブル301〜306、Source IP307、およびDestination IP308で構成される。部分テーブル301は、Source IPの第1ブロックおよび第2ブロックのアドレス値と頻度を関連付けたものである。部分テーブル302は、Source IPの第2ブロックおよび第3ブロックのアドレス値と頻度を関連付けたものである。部分テーブル303は、Source IPの第3ブロックおよび第4ブロックのアドレス値と頻度を関連付けたものである。部分テーブル304,305,306は、Destination IPについての同様の部分テーブルである。   The table 300 is composed of partial tables 301 to 306, a source IP 307, and a destination IP 308 indicating the correspondence and frequency of address values of adjacent blocks. The partial table 301 associates address values and frequencies of the first block and the second block of the Source IP. The partial table 302 associates address values and frequencies of the second block and the third block of Source IP. The partial table 303 associates address values and frequencies of the third block and the fourth block of Source IP. The partial tables 304, 305, and 306 are similar partial tables for the Destination IP.

本実施形態では、複数の通信に係る通信データを扱うため、図3に示したテーブルを統合した、図4に示すテーブルを用いる。図4に示すテーブル400では、第3ブロックおよび第4ブロックのアドレス値と頻度の関係を示す部分テーブルが複数個ある。Source IPおよびDestination IPが複数個あるため、テーブル400のSource IP410およびDestination IP420には複数のIPアドレスが格納される。   In the present embodiment, in order to handle communication data related to a plurality of communications, the table shown in FIG. 4 is used, in which the tables shown in FIG. 3 are integrated. In the table 400 shown in FIG. 4, there are a plurality of partial tables showing the relationship between the address values of the third block and the fourth block and the frequency. Since there are a plurality of source IPs and destination IPs, a plurality of IP addresses are stored in the source IP 410 and the destination IP 420 of the table 400.

以下、1つの通信データ(Source IP:192.168.0.64、Destination IP:192.26.48.156)を処理対象とした例を用いて、情報エントロピー値算出部103の処理内容を説明する。情報エントロピー値算出部103は、Source IPの第1ブロックのアドレス値とテーブル400のSource IP410の第1ブロックのアドレス値(あるいは部分テーブル430の第1ブロックのアドレス値)を比較すると共に、通信データに含まれるDestination IPの第1ブロックのアドレス値とテーブル400のDestination IP420の第1ブロックのアドレス値(あるいは部分テーブル460の第1ブロックのアドレス値)を比較する。   Hereinafter, the processing content of the information entropy value calculation unit 103 will be described using an example in which one communication data (Source IP: 192.168.0.64, Destination IP: 192.26.48.156) is a processing target. The information entropy value calculation unit 103 compares the address value of the first block of the Source IP with the address value of the first block of the Source IP 410 of the table 400 (or the address value of the first block of the partial table 430), and communication data Is compared with the address value of the first block of the Destination IP included in the first block and the address value of the first block of the Destination IP 420 of the table 400 (or the address value of the first block of the partial table 460).

共にアドレス値が一致するので、情報エントロピー値算出部103は、処理対象の通信データに対応したテーブルがテーブル400であると認識する。もし、いずれかのアドレス値が一致しなかった場合には、他のテーブルについて同様の処理を行うことになる。また、全てのテーブルについて同様の処理を行っても、アドレス値が一致するテーブルが存在しなかった場合には、新たなテーブルの作成が必要となる。   Since both address values match, the information entropy value calculation unit 103 recognizes that the table corresponding to the communication data to be processed is the table 400. If any address value does not match, the same processing is performed for the other tables. Further, even if the same processing is performed for all the tables, if there is no table having the same address value, a new table needs to be created.

続いて、情報エントロピー値算出部103はSource IPの第1ブロックおよび第2ブロックのアドレス値の組合せと、部分テーブル430の第1ブロックおよび第2ブロックのアドレス値の組合せとを比較する。両者が一致するので、情報エントロピー値算出部103は部分テーブル430の頻度に1を加算する。もし、両者が一致しなかった場合には、新たな部分テーブルの追加が必要となる。   Subsequently, the information entropy value calculation unit 103 compares the combination of the address values of the first block and the second block of the Source IP with the combination of the address values of the first block and the second block of the partial table 430. Since both match, the information entropy value calculation unit 103 adds 1 to the frequency of the partial table 430. If they do not match, it is necessary to add a new partial table.

続いて、情報エントロピー値算出部103は同様にSource IPの第2ブロックおよび第3ブロックのアドレス値の組合せと、部分テーブル440の第2ブロックおよび第3ブロックのアドレス値の組合せとを比較する。両者が一致するので、情報エントロピー値算出部103は部分テーブル440の頻度に1を加算する。   Subsequently, the information entropy value calculation unit 103 similarly compares the combination of the address values of the second block and the third block of the Source IP with the combination of the address values of the second block and the third block of the partial table 440. Since both match, the information entropy value calculation unit 103 adds 1 to the frequency of the partial table 440.

続いて、情報エントロピー値算出部103はSource IPの第3ブロックおよび第4ブロックのアドレス値の組合せと、第3ブロックおよび第4ブロックに関する部分テーブル450の第3ブロックおよび第4ブロックのアドレス値の組合せとを比較する。第3ブロックおよび第4ブロックに関する部分テーブル450が複数個あるため、情報エントロピー値算出部103は各部分テーブルについて比較処理を実行する。その結果、情報エントロピー値算出部103は部分テーブル451の頻度に1を加算する。これ以降、同様にして部分テーブル460,470,481の頻度に1が加算される。   Subsequently, the information entropy value calculation unit 103 determines the combination of the address values of the third block and the fourth block of the Source IP and the address values of the third block and the fourth block of the partial table 450 related to the third block and the fourth block. Compare with the combination. Since there are a plurality of partial tables 450 related to the third block and the fourth block, the information entropy value calculation unit 103 executes a comparison process for each partial table. As a result, the information entropy value calculation unit 103 adds 1 to the frequency of the partial table 451. Thereafter, 1 is added to the frequencies of the partial tables 460, 470, 481 in the same manner.

上記のようにして、8つのブロックそれぞれについて、アドレス値の出現頻度を算出した後、情報エントロピー値算出部103は各ブロックの情報エントロピー値を算出する。情報エントロピー値の算出には以下の(1)式を用いる。   As described above, after calculating the appearance frequency of the address value for each of the eight blocks, the information entropy value calculation unit 103 calculates the information entropy value of each block. The following formula (1) is used to calculate the information entropy value.

Figure 2009087208
Figure 2009087208

上記の(1)式において、pはアドレス値iの出現確率を示す。各ブロックにおいて、アドレス値は0〜255の整数値をとりうるので、pは0の出現確率、pは1の出現確率、・・・、p255は255の出現確率となる。あるブロックでアドレス値が1種類の値に集中して出現した場合には、情報エントロピー値Hは0となり、反対にアドレス値が多種類の値に分散して出現した場合には、情報エントロピー値Hは0を超えた大きな値となる。 In the above equation (1), p i represents the appearance probability of the address value i. In each block, since the address value can take an integer value of 0 to 255, p 0 is an appearance probability of 0, p 1 is an appearance probability of 1,..., P 255 is an appearance probability of 255. When the address value appears concentrated on one type of value in a certain block, the information entropy value H becomes 0. On the other hand, when the address value appears scattered in various types of values, the information entropy value appears. H is a large value exceeding 0.

図5は各ブロックの情報エントロピー値の一例を示している。Source IPの4つのブロック(A,B,C,D)の情報エントロピー値が図5の左側に示され、Destination IPの4つのブロック(A,B,C,D)の情報エントロピー値が図5の右側に示されている。Source IPのブロックA,B,CやDestination IPのブロックA,B,Cの情報エントロピー値は小さな値となっており、これらのブロックでは特定のアドレス値の出現頻度が比較的高いことが分かる。一方、Source IPのブロックDやDestination IPのブロックDの情報エントロピー値は大きな値となっており、これらのブロックではアドレス値が比較的分散していることが分かる。   FIG. 5 shows an example of the information entropy value of each block. Information entropy values of four blocks (A, B, C, D) of Source IP are shown on the left side of FIG. 5, and information entropy values of four blocks (A, B, C, D) of Destination IP are shown in FIG. Is shown on the right side. The information entropy values of the blocks A, B, and C of the Source IP and the blocks A, B, and C of the Destination IP are small values, and it can be seen that the appearance frequency of specific address values is relatively high in these blocks. On the other hand, the information entropy values of the block D of the source IP and the block D of the destination IP are large values, and it can be seen that the address values are relatively dispersed in these blocks.

以上がステップS103における処理の内容である。ステップS103に続いて、情報エントロピー値算出部103は、ステップS103で算出した各ブロックの情報エントロピー値を情報エントロピー値記憶部104に格納する(ステップS104)。この際に、予めウィルスの名称等が分かっている場合には、ウィルスを識別するウィルス名等の情報と情報エントロピー値とが関連付けられて、情報エントロピー値記憶部104に格納される。   The above is the content of the processing in step S103. Subsequent to step S103, the information entropy value calculation unit 103 stores the information entropy value of each block calculated in step S103 in the information entropy value storage unit 104 (step S104). At this time, if the virus name or the like is known in advance, information such as a virus name for identifying the virus and the information entropy value are associated with each other and stored in the information entropy value storage unit 104.

以上の処理によって、不正通信データに関する処理が終了する。ウィルス毎に異なる不正通信データを用いた上記の処理を繰り返し行うことによって、各ウィルスに関する情報エントロピー値を算出することが可能である。   With the above processing, the processing related to unauthorized communication data is completed. It is possible to calculate an information entropy value for each virus by repeatedly performing the above-described processing using unauthorized communication data that differs for each virus.

次に、分析対象の通信に係る通信データに関する処理の内容を説明する。図6は、分析対象の通信に係る通信データに関する処理の手順を示している。通信データに関する処理が開始されると、通信プロトコルの選択が行われる(ステップS200)。ステップS200の処理は図2のステップS100の処理と同様であり、制御部112は通信プロトコルの選択結果をデータ抽出部106に通知する。ステップS200に続いて、Destination Portの選択が行われる(ステップS201)。ステップS201の処理は図2のステップS101の処理と同様であり、制御部112はDestination Portの選択結果をデータ抽出部106に通知する。   Next, the contents of the processing related to communication data related to the communication to be analyzed will be described. FIG. 6 shows a procedure of processing related to communication data related to communication to be analyzed. When processing related to communication data is started, a communication protocol is selected (step S200). The processing in step S200 is the same as the processing in step S100 in FIG. 2, and the control unit 112 notifies the data extraction unit 106 of the communication protocol selection result. Subsequent to step S200, Destination Port is selected (step S201). The process in step S201 is the same as the process in step S101 in FIG. 2, and the control unit 112 notifies the data extraction unit 106 of the destination port selection result.

ステップS201に続いて、データ抽出部106は、制御部112から通知された選択結果を条件にして、通信データ記憶部105が記憶している通信データの中から一部の通信データを抽出し、情報エントロピー値算出部107へ出力する。すなわち、データ抽出部106は、選択結果が示す通信プロトコルおよびDestination Portをデータ中に有する通信データを抽出し、情報エントロピー値算出部107へ出力する(ステップS202)。   Subsequent to step S201, the data extraction unit 106 extracts a part of communication data from the communication data stored in the communication data storage unit 105 on the condition of the selection result notified from the control unit 112, The information is output to the information entropy value calculation unit 107. That is, the data extraction unit 106 extracts communication data having the communication protocol and Destination Port indicated by the selection result in the data, and outputs the communication data to the information entropy value calculation unit 107 (step S202).

分析対象の通信に係る通信データは、過去の終了済みの通信に係る通信データであってもよいし、現在監視している継続中の通信に係る通信データであってもよい。いずれにしても、通信データは一旦通信データ記憶部105に格納され、適宜、データ抽出部106によって読み出される。   The communication data related to the analysis target communication may be communication data related to the communication that has been completed in the past, or may be communication data related to the ongoing communication that is currently being monitored. In any case, the communication data is temporarily stored in the communication data storage unit 105 and is read by the data extraction unit 106 as appropriate.

ステップS202に続いて、情報エントロピー値算出部107は、通信データに含まれるSource IPを構成する4つのブロックと、Destination IPを構成する4つのブロックとの8つのブロックそれぞれについて、出現したアドレス値に関する情報エントロピー値を算出する(ステップS203)。ステップS203の処理は図2のステップS103の処理と同様である。ステップS203に続いて、情報エントロピー値算出部107は、ステップS203で算出した各ブロックの情報エントロピー値を情報エントロピー値記憶部108に格納する(ステップS204)。   Subsequent to step S202, the information entropy value calculation unit 107 relates to the address value that appears for each of the eight blocks including the four blocks constituting the Source IP and the four blocks constituting the Destination IP included in the communication data. An information entropy value is calculated (step S203). The process in step S203 is the same as the process in step S103 in FIG. Subsequent to step S203, the information entropy value calculation unit 107 stores the information entropy value of each block calculated in step S203 in the information entropy value storage unit 108 (step S204).

ステップS204に続いて、不正検知部109は、情報エントロピー値記憶部104から不正な通信に係る情報エントロピー値を読み出すと共に、情報エントロピー値記憶部108から分析対象の通信に係る情報エントロピー値を読み出し、相関分析を行う(ステップS205)。このステップS205では、ウィルスによる不正な通信の通信パターンと、分析対象の通信の通信パターンとの相関性(類似性)を示す相関値を算出する処理が行われる。   Subsequent to step S204, the fraud detection unit 109 reads the information entropy value related to the unauthorized communication from the information entropy value storage unit 104 and reads the information entropy value related to the communication to be analyzed from the information entropy value storage unit 108. Correlation analysis is performed (step S205). In step S205, a process of calculating a correlation value indicating a correlation (similarity) between a communication pattern of an illegal communication due to a virus and a communication pattern of a communication to be analyzed is performed.

具体的には、不正検知部109は以下のようにして相関分析を行う。不正検知部109は、不正な通信に係るIPアドレスの8つのブロックについての情報エントロピー値(x,x,・・・,x)と、分析対象の通信に係るIPアドレスの8つのブロックについての情報エントロピー値(y,y,・・・,y)とを用いて、以下の(2)〜(4)式により相関値rを算出する。 Specifically, the fraud detection unit 109 performs correlation analysis as follows. The fraud detection unit 109 includes information entropy values (x 1 , x 2 ,..., X 8 ) regarding 8 blocks of IP addresses related to unauthorized communication and 8 blocks of IP addresses related to communication to be analyzed. Using the information entropy values (y 1 , y 2 ,..., Y 8 ) for, a correlation value r is calculated by the following equations (2) to (4).

Figure 2009087208
Figure 2009087208

,x,x,xはそれぞれ、不正な通信に係るSource IPの第1ブロック、第2ブロック、第3ブロック、第4ブロックの情報エントロピー値である。また、x,x,x,xはそれぞれ、不正な通信に係るDestination IPの第1ブロック、第2ブロック、第3ブロック、第4ブロックの情報エントロピー値である。同様に、y,y,y,yはそれぞれ、分析対象の通信に係るSource IPの第1ブロック、第2ブロック、第3ブロック、第4ブロックの情報エントロピー値である。また、y,y,y,yはそれぞれ、分析対象の通信に係るDestination IPの第1ブロック、第2ブロック、第3ブロック、第4ブロックの情報エントロピー値である。 x 1 , x 2 , x 3 , and x 4 are information entropy values of the first block, the second block, the third block, and the fourth block of Source IP related to unauthorized communication, respectively. Further, x 5 , x 6 , x 7 , and x 8 are information entropy values of the first block, the second block, the third block, and the fourth block of Destination IP related to unauthorized communication, respectively. Similarly, y 1 , y 2 , y 3 , and y 4 are information entropy values of the first block, the second block, the third block, and the fourth block of Source IP related to the communication to be analyzed. Y 5 , y 6 , y 7 , and y 8 are information entropy values of the first block, the second block, the third block, and the fourth block of the Destination IP related to the communication to be analyzed.

(2)式は、相関値rを算出する式である。(3)式は、不正な通信に係るIPアドレスの8つのブロックについての情報エントロピー値の平均値を算出する式である。(4)式は、分析対象の通信に係るIPアドレスの8つのブロックについての情報エントロピー値の平均値を算出する式である。(2)式によって算出される相関値rは-1.0〜0.0〜+1.0の範囲内の数値となる。相関値rが+1.0に近づくほど類似度が高い。   Expression (2) is an expression for calculating the correlation value r. Expression (3) is an expression for calculating an average value of information entropy values for eight blocks of an IP address related to unauthorized communication. Expression (4) is an expression for calculating an average value of information entropy values for the eight blocks of the IP address related to the communication to be analyzed. The correlation value r calculated by the equation (2) is a numerical value within the range of -1.0 to 0.0 to +1.0. The degree of similarity increases as the correlation value r approaches +1.0.

以上がステップS205の処理の内容である。ステップS205に続いて、不正検知部109は、ステップS205で算出した相関値rと所定の閾値を比較し、比較結果に基づいて、分析対象の通信が不正な通信と類似するか否かを判定する(ステップS206)。例えば、閾値を0.9とし、相関値rが0.9以上の場合には、分析対象の通信が不正な通信と類似すると判定され、相関値rが0.9未満の場合には、分析対象の通信が不正な通信と類似しないと判定される。不正検知部109は判定結果を制御部112に通知する。   The above is the content of the process of step S205. Subsequent to step S205, the fraud detection unit 109 compares the correlation value r calculated in step S205 with a predetermined threshold, and determines whether or not the communication to be analyzed is similar to the fraudulent communication based on the comparison result. (Step S206). For example, when the threshold value is 0.9 and the correlation value r is 0.9 or more, it is determined that the communication to be analyzed is similar to the unauthorized communication. When the correlation value r is less than 0.9, the communication to be analyzed is invalid. It is determined not to be similar to communication. The fraud detection unit 109 notifies the control unit 112 of the determination result.

分析対象の通信が不正な通信と類似すると判定された場合には、制御部112は、アラーム(警報)を発生する処理、またはフィルタリングルール(攻撃の防御を目的としてルータ等のネットワーク機器に設定するもの)を自動的に生成する処理を行う(ステップS207)。アラームの発生は、音を発生することにより行ってもよいし、表示部110にメッセージ等を表示することにより行ってもよい。また、フィルタリングルールを生成する場合には、ウィルスによる攻撃のみを排除するようなフィルタリングルールを生成する。   When it is determined that the communication to be analyzed is similar to the unauthorized communication, the control unit 112 sets an alarm (alarm) processing or a filtering rule (a network device such as a router for the purpose of attack protection). (Automatically) is generated (step S207). The generation of the alarm may be performed by generating a sound, or may be performed by displaying a message or the like on the display unit 110. In addition, when generating a filtering rule, a filtering rule that excludes only attacks by viruses is generated.

以上の処理によって、分析対象の通信に係る通信データに関する処理が終了する。また、分析対象の通信が不正な通信と類似しないと判定された場合には、ステップS207の処理を行うことなく、分析対象の通信に係る通信データに関する処理が終了する。複数のウィルスによる不正な通信の通信パターンと分析対象の通信の通信パターンとの相関分析を行う場合には、ステップS205において、不正な通信に係る情報エントロピー値をウィルス毎に変更しながら相関分析を行い、ステップS206において、ウィルス毎に類似性を判定すればよい。   With the above processing, the processing related to the communication data related to the communication to be analyzed is completed. When it is determined that the communication to be analyzed is not similar to the unauthorized communication, the process related to the communication data related to the communication to be analyzed is terminated without performing the process of step S207. When performing correlation analysis between communication patterns of unauthorized communications caused by a plurality of viruses and communication patterns of communications to be analyzed, in step S205, correlation analysis is performed while changing information entropy values related to unauthorized communications for each virus. In step S206, the similarity may be determined for each virus.

(第2の動作例)
次に、第2の動作例を説明する。第2の動作例では、分析対象の通信に係る通信データに関する処理において、ウィルスによる通信パターンと類似する通信パターンを見つけやすくするため、分析対象の通信に係る通信データの絞り込みを行う。不正通信データに関する処理は第1の動作例と同様である。以下、分析対象の通信に係る通信データに関する処理の内容を説明する。図7は、分析対象の通信に係る通信データに関する処理の手順を示している。 (Second operation example)
Next, a second operation example will be described. In the second operation example, in the process related to the communication data related to the analysis target communication, the communication data related to the analysis target communication is narrowed down in order to easily find a communication pattern similar to the communication pattern due to the virus. Processing related to unauthorized communication data is the same as in the first operation example. The contents of processing related to communication data related to the communication to be analyzed will be described below. FIG. 7 shows a procedure of processing related to communication data related to communication to be analyzed.

通信データに関する処理が開始された後のステップS300〜S302の処理は図6のステップS200〜S202の処理と同様である。ステップS302に続いて、情報エントロピー値算出部107は、通信データに含まれるSource IPおよびDestination IPを構成する8つのブロックのうちブロックi(iは1,2,・・・,8のいずれか)について、アドレス値の出現頻度を算出する(ステップS303)。アドレス値の出現頻度の算出方法は第1の動作例と同様である。   The processing in steps S300 to S302 after the processing related to communication data is started is the same as the processing in steps S200 to S202 in FIG. Subsequent to step S302, the information entropy value calculation unit 107 includes a block i (i is any one of 1, 2,..., 8) among eight blocks constituting the Source IP and Destination IP included in the communication data. The appearance frequency of the address value is calculated for (Step S303). The method for calculating the appearance frequency of the address value is the same as in the first operation example.

ステップS303におけるアドレス値の出現頻度の算出結果は情報エントロピー値算出部107から制御部112に通知される。制御部112は、ブロックiについての各アドレス値の出現頻度に基づいて、出現頻度が上位N件に入っているアドレス値をデータ抽出部106に通知する。データ抽出部106は、制御部112から通知されたアドレス値をブロックiのアドレス値として有するSource IPまたはDestination IPが含まれる通信データを、通信データ記憶部105が記憶している通信データの中から抽出し、情報エントロピー値算出部107へ出力する(ステップS304)。   The calculation result of the appearance frequency of the address value in step S303 is notified from the information entropy value calculation unit 107 to the control unit 112. Based on the appearance frequency of each address value for block i, the control unit 112 notifies the data extraction unit 106 of the address value whose appearance frequency is in the top N. The data extraction unit 106 selects communication data including Source IP or Destination IP having the address value notified from the control unit 112 as the address value of the block i from the communication data stored in the communication data storage unit 105. Extracted and output to the information entropy value calculator 107 (step S304).

ウィルスによる通信が行われると、検出された通信データでは特定のブロックのアドレス値が特定の値に集中する。そこで、そのようなアドレス値を有する通信データを分析対象とすることによって、ウィルスによる通信パターンと類似する通信パターンが見つけやすくなる。   When communication by a virus is performed, the address value of a specific block concentrates on a specific value in the detected communication data. Therefore, by making communication data having such an address value an analysis target, it becomes easier to find a communication pattern similar to a communication pattern caused by a virus.

ステップS304に続いて、情報エントロピー値算出部107は、データ抽出部106から出力された通信データに含まれるSource IPを構成する4つのブロックと、Destination IPを構成する4つのブロックとの8つのブロックそれぞれについて、出現したアドレス値に関する情報エントロピー値を算出する(ステップS305)。ステップS305の処理は図2のステップS103の処理と同様である。ステップS305に続いて、情報エントロピー値算出部107は、ステップS305で算出した各ブロックの情報エントロピー値を情報エントロピー値記憶部108に格納する(ステップS306)。   Subsequent to step S304, the information entropy value calculation unit 107 has eight blocks including four blocks constituting the Source IP included in the communication data output from the data extraction unit 106 and four blocks constituting the Destination IP. For each, an information entropy value relating to the appearing address value is calculated (step S305). The process in step S305 is the same as the process in step S103 in FIG. Subsequent to step S305, the information entropy value calculation unit 107 stores the information entropy value of each block calculated in step S305 in the information entropy value storage unit 108 (step S306).

ステップS306に続いて、不正検知部109は、情報エントロピー値記憶部104から不正な通信に係る情報エントロピー値を読み出すと共に、情報エントロピー値記憶部108から分析対象の通信に係る情報エントロピー値を読み出し、相関分析を行う(ステップS307)。ステップS307の処理は図6のステップS205の処理と同様である。   Subsequent to step S306, the fraud detection unit 109 reads the information entropy value related to the unauthorized communication from the information entropy value storage unit 104 and reads the information entropy value related to the communication to be analyzed from the information entropy value storage unit 108. Correlation analysis is performed (step S307). The processing in step S307 is the same as the processing in step S205 in FIG.

ステップS307に続くステップS308〜S309の処理は図6のステップS206〜S207の処理と同様である。続いて、制御部112は、8つの全ブロックについてステップS303からの処理を行ったか否かを判定する。8つの全ブロックについてステップS303からの処理が既に行われた場合には、分析対象の通信に係る通信データに関する処理が終了する。また、ステップS303からの処理がまだ行われていないブロックが存在する場合には、ステップS303からの処理が再度行われる。   Processes in steps S308 to S309 subsequent to step S307 are the same as the processes in steps S206 to S207 in FIG. Subsequently, the control unit 112 determines whether or not the processing from step S303 has been performed for all eight blocks. If the processing from step S303 has already been performed for all eight blocks, the processing related to the communication data related to the communication to be analyzed ends. If there is a block that has not been processed from step S303, the process from step S303 is performed again.

ただし、ステップS303では、アドレス値の出現頻度の算出をまだ行っていないブロックについてアドレス値の出現頻度の算出が行われる。また、ステップS303の実行回数がK回目(2≦K≦8)の場合、K−1回目のステップS304で抽出された通信データをK回目におけるステップS303の処理対象としてもよいし、通信データ記憶部105に格納されている全ての通信データを再度処理対象としてもよい。   However, in step S303, the appearance frequency of the address value is calculated for a block that has not yet been calculated. When the number of executions of step S303 is the Kth (2 ≦ K ≦ 8), the communication data extracted in step S304 of the (K−1) th time may be the processing target of step S303 in the Kth time, and communication data storage is performed. All communication data stored in the unit 105 may be processed again.

(第3の動作例)
次に、第3の動作例を説明する。第3の動作例でも第2の動作例と同様に、分析対象の通信に係る通信データに関する処理において、ウィルスによる通信パターンと類似する通信パターンを見つけやすくするため、分析対象の通信に係る通信データの絞り込みを行う。不正通信データに関する処理は第1の動作例と同様である。以下、分析対象の通信に係る通信データに関する処理の内容を説明する。図8は、分析対象の通信に係る通信データに関する処理の手順を示している。 (Third operation example)
Next, a third operation example will be described. In the third operation example, as in the second operation example, in the process related to the communication data related to the communication to be analyzed, the communication data related to the communication to be analyzed is made easier to find a communication pattern similar to the communication pattern due to the virus. Narrow down. Processing related to unauthorized communication data is the same as in the first operation example. The contents of processing related to communication data related to the communication to be analyzed will be described below. FIG. 8 shows a procedure of processing related to communication data related to communication to be analyzed.

通信データに関する処理が開始された後のステップS400〜S403の処理は図6のステップS200〜S203の処理と同様である。ステップS403に続いて、情報エントロピー値算出部107は、通信データに含まれるSource IPおよびDestination IPを構成する8つのブロックそれぞれについての情報エントロピー値を比較し、最小の情報エントロピー値が算出されたブロックj(jは1,2,・・・,8のいずれか)を決定する。さらに、情報エントロピー値算出部107は、ブロックj(注目ブロック)について、アドレス値の出現頻度を算出する(ステップS404)。アドレス値の出現頻度の算出方法は第1の動作例と同様である。   The processing in steps S400 to S403 after the processing related to communication data is started is the same as the processing in steps S200 to S203 in FIG. Subsequent to step S403, the information entropy value calculation unit 107 compares the information entropy values for each of the eight blocks constituting the source IP and destination IP included in the communication data, and the block in which the minimum information entropy value is calculated. j (j is one of 1, 2,..., 8) is determined. Further, the information entropy value calculation unit 107 calculates the appearance frequency of the address value for the block j (target block) (step S404). The method for calculating the appearance frequency of the address value is the same as in the first operation example.

ステップS404におけるアドレス値の出現頻度の算出結果は情報エントロピー値算出部107から制御部112に通知される。制御部112は、ブロックjについての各アドレス値の出現頻度に基づいて、出現頻度が上位N件に入っているアドレス値をデータ抽出部106に通知する。データ抽出部106は、制御部112から通知されたアドレス値をブロックjのアドレス値として有するSource IPまたはDestination IPが含まれる通信データを、通信データ記憶部105が記憶している通信データの中から抽出し、情報エントロピー値算出部107へ出力する(ステップS405)。   The calculation result of the appearance frequency of the address value in step S404 is notified from the information entropy value calculation unit 107 to the control unit 112. Based on the appearance frequency of each address value for the block j, the control unit 112 notifies the data extraction unit 106 of the address value whose appearance frequency is in the top N. The data extraction unit 106 includes communication data including Source IP or Destination IP having the address value notified from the control unit 112 as the address value of the block j from among the communication data stored in the communication data storage unit 105. Extracted and output to the information entropy value calculator 107 (step S405).

ウィルスによる通信が行われると、検出された通信データでは特定のブロックのアドレス値が特定の値に集中し、そのブロックについての情報エントロピー値が小さくなる。そこで、そのようなアドレス値を有する通信データを分析対象とすることによって、ウィルスによる通信パターンと類似する通信パターンが見つけやすくなる。   When communication by a virus is performed, the address value of a specific block concentrates on a specific value in the detected communication data, and the information entropy value for that block becomes small. Therefore, by making communication data having such an address value an analysis target, it becomes easier to find a communication pattern similar to a communication pattern caused by a virus.

ステップS405に続くステップS406〜S410の処理は図7のステップS305〜S309の処理と同様である。続いて、制御部112は、ステップS403からの処理の実行回数(ループ回数)が規定回数に達したか否かを判定する(ステップS411)。ステップS403からの処理の実行回数が既に規定回数に達した場合には、分析対象の通信に係る通信データに関する処理が終了する。また、ステップS403からの処理の実行回数がまだ規定回数に到達していない場合には、ステップS403からの処理が再度行われる。   The processing in steps S406 to S410 following step S405 is the same as the processing in steps S305 to S309 in FIG. Subsequently, the control unit 112 determines whether or not the number of executions of the process from step S403 (the number of loops) has reached a specified number (step S411). If the number of executions of the process from step S403 has already reached the specified number, the process related to the communication data related to the communication to be analyzed ends. If the number of executions of the process from step S403 has not yet reached the specified number, the process from step S403 is performed again.

ただし、ステップS404で情報エントロピー値の比較を行う際には、以前の同じステップS404で情報エントロピー値が最小であると判定されたブロックの情報エントロピー値は比較対象から除外される。また、ステップS403の実行回数がK回目(2≦K≦8)の場合、K−1回目のステップS404で抽出された通信データをK回目のステップS403における処理対象としてもよいし、通信データ記憶部105に格納されている全ての通信データを再度処理対象としてもよい。   However, when the information entropy value is compared in step S404, the information entropy value of the block whose information entropy value is determined to be the smallest in the same previous step S404 is excluded from the comparison target. When the number of executions of step S403 is the Kth (2 ≦ K ≦ 8), the communication data extracted in the (K−1) th step S404 may be the processing target in the Kth step S403, or the communication data storage. All communication data stored in the unit 105 may be processed again.

(変形例)
次に、本実施形態の変形例を説明する。上記ではIPアドレスを構成する各ブロックについて、出現したアドレス値の分散度を示す値として情報エントロピー値を算出しているが、情報エントロピー値の代わりにアドレス値の出現種類数を算出してもよい。アドレス値の出現種類数を用いる場合の処理は、上記の第1〜第3の動作例の説明における情報エントロピー値を全てアドレス値の出現種類数に置き換えた処理となる。 (Modification)
Next, a modification of this embodiment will be described. In the above, the information entropy value is calculated as a value indicating the degree of dispersion of the appearing address value for each block constituting the IP address. However, the number of appearance types of the address value may be calculated instead of the information entropy value. . The processing when the number of appearance types of address values is used is processing in which all the information entropy values in the description of the first to third operation examples are replaced with the number of appearance types of address values.

図9は各ブロックのアドレス値の出現種類数の一例を示している。Source IPの4つのブロック(A,B,C,D)のアドレス値の出現種類数が図9の左側に示され、Destination IPの4つのブロック(A,B,C,D)のアドレス値の出現種類数が図9の右側に示されている。Source IPのブロックA,B,CやDestination IPのブロックA,B,Cのアドレス値の出現種類数は小さな値となっており、これらのブロックではアドレス値が特定の値に比較的集中していることが分かる。一方、Source IPのブロックDやDestination IPのブロックDのアドレス種類数は大きな値となっており、これらのブロックではアドレス値が多数の値に比較的分散していることが分かる。   FIG. 9 shows an example of the number of appearance types of address values of each block. The number of appearance types of the address values of the four blocks (A, B, C, D) of the Source IP is shown on the left side of FIG. 9, and the address values of the four blocks (A, B, C, D) of the Destination IP are shown. The number of appearance types is shown on the right side of FIG. The number of types of address values in the source IP blocks A, B, C and Destination IP blocks A, B, C is small, and in these blocks the address values are relatively concentrated on specific values. I understand that. On the other hand, the number of address types in the Source IP block D and the Destination IP block D is a large value, and it can be seen that the address values are relatively dispersed among a number of values in these blocks.

上述したように、本実施形態によれば、ウィルスによる通信に係るIPアドレスの各ブロックの情報エントロピー値(またはアドレス値の出現種類数)と、分析対象の通信に係るIPアドレスの各ブロックの情報エントロピー値(またはアドレス値の出現種類数)とに基づいて、不正な通信と分析対象の通信の類似度を判定し、類似度が高い場合に不正が発生したと判定することによって、ウィルスによる不正な通信を検知することができる。特に、ウィルスによる通信では、IPアドレスを構成するブロックのアドレス値を単位として通信の偏りが生じやすいので、本実施形態は、ウィルスによる不正な通信の検知に適している。   As described above, according to the present embodiment, the information entropy value (or the number of appearance types of address values) of each block of the IP address related to communication by virus and the information of each block of the IP address related to the communication to be analyzed Based on the entropy value (or the number of types of address values that appear), the similarity between unauthorized communication and the communication to be analyzed is determined, and if the similarity is high, it is determined that fraud has occurred. Communication can be detected. In particular, in communication using a virus, a bias in communication tends to occur in units of address values of blocks constituting an IP address. Therefore, this embodiment is suitable for detecting unauthorized communication due to a virus.

また、第2および第3の動作例では、分析対象の通信に係る通信データに関する処理において、所定の条件を満たすアドレス値を有する通信データを分析対象とすることによって、第1の動作例と比較して、ウィルスによる不正な通信を検知しやすくすることができる。   Further, in the second and third operation examples, in the process related to the communication data related to the communication to be analyzed, communication data having an address value satisfying a predetermined condition is set as the analysis target, thereby comparing with the first operation example. Thus, it is possible to easily detect unauthorized communication due to a virus.

また、前述した非特許文献1では、アドレスの種類数にしか注目しておらず、攻撃に見られる重要な特徴の1つである通信密度(頻度)の数値化は実現されていない。これに対して本実施形態では、アドレス値の出現頻度に基づいた情報エントロピー値を算出することによって、通信密度の数値化が実現されている。   In the above-mentioned Non-Patent Document 1, attention is paid only to the number of types of addresses, and the communication density (frequency), which is one of important features found in attacks, is not realized. On the other hand, in this embodiment, the communication density is digitized by calculating an information entropy value based on the appearance frequency of the address value.

また、非特許文献1では、Destination IPのみが分析対象となっているため、多地点のSource IPから1地点のDestination IPへ通信が行われるDDos(Distributed Denial of Service)攻撃を扱うことができない。これに対して本実施形態では、Source IPとDestination IPの組合せを分析対象とすることによって、DDos攻撃による不正な通信も検知することができる。   In Non-Patent Document 1, since only Destination IP is an analysis target, a DDos (Distributed Denial of Service) attack in which communication is performed from a multipoint Source IP to a single Destination IP cannot be handled. On the other hand, in the present embodiment, illegal communication due to a DDos attack can be detected by using a combination of Source IP and Destination IP as an analysis target.

以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。例えば、上述した実施形態による不正検知装置の動作および機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行させてもよい。   As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the above-described embodiments, and includes design changes and the like without departing from the gist of the present invention. . For example, a program for realizing the operation and function of the fraud detection device according to the above-described embodiment may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read and executed by the computer. Good.

ここで、「コンピュータ」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。   Here, the “computer” includes a homepage providing environment (or display environment) if the WWW system is used. The “computer-readable recording medium” refers to a storage device such as a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a hard disk built in the computer. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.

また、上述したプログラムは、このプログラムを記憶装置等に格納したコンピュータから、伝送媒体を介して、あるいは伝送媒体中の伝送波により他のコンピュータに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように、情報を伝送する機能を有する媒体のことをいう。また、上述したプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能を、コンピュータに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。   The program described above may be transmitted from a computer storing the program in a storage device or the like to another computer via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. Further, the above-described program may be for realizing a part of the above-described function. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer, what is called a difference file (difference program) may be sufficient.

本発明の一実施形態による不正検知装置の構成を示すブロック図である。It is a block diagram which shows the structure of the fraud detection apparatus by one Embodiment of this invention. 本発明の一実施形態による不正検知装置の動作の手順を示すフローチャート(第1の動作例)である。It is a flowchart (1st operation example) which shows the procedure of operation | movement of the fraud detection apparatus by one Embodiment of this invention. 本発明の一実施形態において、情報エントロピー値算出部が処理に用いるテーブルの内容を示す参考図である。In one Embodiment of this invention, it is a reference figure which shows the content of the table which an information entropy value calculation part uses for a process. 本発明の一実施形態による不正検知装置が備える情報エントロピー値算出部が処理に用いるテーブルの内容を示す参考図である。It is a reference figure which shows the content of the table which the information entropy value calculation part with which the fraud detection apparatus by one Embodiment of this invention is provided uses for a process. 本発明の一実施形態において、各ブロックの情報エントロピー値を示す参考図である。In one Embodiment of this invention, it is a reference figure which shows the information entropy value of each block. 本発明の一実施形態による不正検知装置の動作の手順を示すフローチャート(第1の動作例)である。It is a flowchart (1st operation example) which shows the procedure of operation | movement of the fraud detection apparatus by one Embodiment of this invention. 本発明の一実施形態による不正検知装置の動作の手順を示すフローチャート(第2の動作例)である。It is a flowchart (2nd operation example) which shows the procedure of operation | movement of the fraud detection apparatus by one Embodiment of this invention. 本発明の一実施形態による不正検知装置の動作の手順を示すフローチャート(第3の動作例)である。It is a flowchart (3rd operation example) which shows the procedure of operation | movement of the fraud detection apparatus by one Embodiment of this invention. 本発明の一実施形態において、各ブロックのアドレス値の出現種類数を示す参考図である。In one Embodiment of this invention, it is a reference figure which shows the number of appearance types of the address value of each block.

符号の説明Explanation of symbols

101・・・不正通信データ記憶部(第1の記憶手段)、102,106・・・データ抽出部(抽出手段)、103,107・・・情報エントロピー値算出部(第1の算出手段、第2の算出手段)、104,108・・・情報エントロピー値記憶部(第2の記憶手段)、105・・・通信データ記憶部(第1の記憶手段)、109・・・不正検知部(不正検知手段)、110・・・表示部、111・・・操作部、112・・・制御部(決定手段)   101 ... Unauthorized communication data storage unit (first storage unit), 102, 106 ... Data extraction unit (extraction unit), 103, 107 ... Information entropy value calculation unit (first calculation unit, first calculation unit) 2), 104, 108... Information entropy value storage unit (second storage unit), 105... Communication data storage unit (first storage unit), 109. Detecting means), 110... Display part, 111... Operating part, 112.

Claims (9)

コンピュータウィルスによる不正な通信に係る送受信の関係を示す第1のIPアドレスおよび第2のIPアドレスを構成する各ブロックのアドレス値と、分析対象の通信に係る送受信の関係を示す第3のIPアドレスおよび第4のIPアドレスを構成する各ブロックのアドレス値とを記憶する第1の記憶手段と、
前記第1のIPアドレスおよび前記第2のIPアドレスを構成する各ブロックについて、出現したアドレス値の分散度を示す第1の値を算出する第1の算出手段と、
前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックについて、出現したアドレス値の分散度を示す第2の値を算出する第2の算出手段と、
各ブロックの前記第1の値および前記第2の値に基づいて、前記不正な通信と前記分析対象の通信の類似度を判定し、当該類似度が高い場合に不正が発生したと判定する不正検知手段と、
を備えたことを特徴とする不正検知装置。 The first IP address indicating the transmission / reception relationship related to the unauthorized communication due to the computer virus and the address value of each block constituting the second IP address, and the third IP address indicating the transmission / reception relationship related to the communication to be analyzed And first storage means for storing the address value of each block constituting the fourth IP address;
First calculation means for calculating a first value indicating a degree of dispersion of the address value that has appeared for each block constituting the first IP address and the second IP address;
Second calculation means for calculating a second value indicating a degree of dispersion of the address value that has appeared for each block constituting the third IP address and the fourth IP address;
An injustice that determines the similarity between the unauthorized communication and the communication to be analyzed based on the first value and the second value of each block, and determines that an injustice has occurred when the similarity is high Detection means;
A fraud detection device characterized by comprising: 前記第3のIPアドレスおよび前記第4のIPアドレスを構成するブロックのうち特定のブロックのアドレス値の出現頻度に基づいて、前記第1の記憶手段が記憶するアドレス値から一部を抽出する抽出手段をさらに備え、
前記第2の算出手段は、前記抽出手段によって抽出された、前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックのアドレス値について、前記第2の値を算出する
ことを特徴とする請求項1に記載の不正検知装置。 Extraction that extracts a part from the address value stored in the first storage means based on the appearance frequency of the address value of a specific block among the blocks constituting the third IP address and the fourth IP address Further comprising means,
The second calculating means calculates the second value for the address value of each block constituting the third IP address and the fourth IP address extracted by the extracting means. The fraud detection apparatus according to claim 1. 各ブロックの前記第2の値に基づいて、注目ブロックを決定する決定手段と、
前記注目ブロックのアドレス値の出現頻度に基づいて、前記第1の記憶手段が記憶するアドレス値から一部を抽出する抽出手段とを備え、
前記第2の算出手段は、前記抽出手段によって抽出された、前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックのアドレス値について、前記第2の値を再度算出する
ことを特徴とする請求項1に記載の不正検知装置。 Determining means for determining a block of interest based on the second value of each block;
Extracting means for extracting a part from the address value stored in the first storage means based on the appearance frequency of the address value of the block of interest;
The second calculating means recalculates the second value for the address value of each block constituting the third IP address and the fourth IP address extracted by the extracting means. The fraud detection apparatus according to claim 1. 前記第1の値は、前記第1のIPアドレスおよび前記第2のIPアドレスを構成する各ブロックについてのアドレス値の出現頻度に基づいた第1のエントロピー値であり、前記第2の値は、前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックについてのアドレス値の出現頻度に基づいた第2のエントロピー値であることを特徴とする請求項1〜請求項3のいずれかに記載の不正検知装置。   The first value is a first entropy value based on an appearance frequency of an address value for each block constituting the first IP address and the second IP address, and the second value is 4. The second entropy value based on an appearance frequency of an address value for each block constituting the third IP address and the fourth IP address. The fraud detector described in 1. 前記第1の値は、前記第1のIPアドレスおよび前記第2のIPアドレスを構成する各ブロックについてのアドレス値の第1の出現種類数であり、前記第2の値は、前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックについてのアドレス値の第2の出現種類数であることを特徴とする請求項1〜請求項4のいずれかに記載の不正検知装置。   The first value is a first appearance type number of address values for each block constituting the first IP address and the second IP address, and the second value is the third value. The fraud detection device according to any one of claims 1 to 4, wherein the fraud detection device is a second appearance type number of an address value for each block constituting the IP address and the fourth IP address. 前記第2の値と前記コンピュータウィルスの識別情報とを関連付けて記憶する第2の記憶手段をさらに備えたことを特徴とする請求項1〜請求項5のいずれかに記載の不正検知装置。   6. The fraud detection apparatus according to claim 1, further comprising second storage means for storing the second value and the identification information of the computer virus in association with each other. 前記不正検知手段は、各ブロックについての前記第1の値および前記第2の値の相関分析により、相関度を示す相関値を算出し、当該相関値と所定値を比較し、当該相関値が所定値以上である場合に不正が発生したと判定することを特徴とする請求項1〜請求項6のいずれかに記載の不正検知装置。   The fraud detection means calculates a correlation value indicating a degree of correlation by correlation analysis of the first value and the second value for each block, compares the correlation value with a predetermined value, and the correlation value is The fraud detection apparatus according to claim 1, wherein fraud is determined to occur when the value is equal to or greater than a predetermined value. 請求項1〜請求項7のいずれかに記載の不正検知装置としてコンピュータを機能させるためのプログラム。   The program for functioning a computer as a fraud detection apparatus in any one of Claims 1-7. 請求項8に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。   A computer-readable recording medium on which the program according to claim 8 is recorded.
JP2007258619A 2007-10-02 2007-10-02 Fraud detection device, program, and recording medium Expired - Fee Related JP5046836B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007258619A JP5046836B2 (en) 2007-10-02 2007-10-02 Fraud detection device, program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007258619A JP5046836B2 (en) 2007-10-02 2007-10-02 Fraud detection device, program, and recording medium

Publications (2)

Publication Number Publication Date
JP2009087208A true JP2009087208A (en) 2009-04-23
JP5046836B2 JP5046836B2 (en) 2012-10-10

Family

ID=40660523

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007258619A Expired - Fee Related JP5046836B2 (en) 2007-10-02 2007-10-02 Fraud detection device, program, and recording medium

Country Status (1)

Country Link
JP (1) JP5046836B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009089224A (en) * 2007-10-02 2009-04-23 Kddi Corp Abnormality detection apparatus, program, and recording medium
JP2014524169A (en) * 2011-06-27 2014-09-18 マカフィー, インコーポレイテッド System and method for protocol fingerprint acquisition and evaluation correlation
US9516062B2 (en) 2012-04-10 2016-12-06 Mcafee, Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment
US9661017B2 (en) 2011-03-21 2017-05-23 Mcafee, Inc. System and method for malware and network reputation correlation
JP2020509478A (en) * 2017-02-13 2020-03-26 マイクロソフト テクノロジー ライセンシング,エルエルシー Multi-signal analysis for unauthorized access area identification

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006077666A1 (en) * 2004-12-28 2006-07-27 Kyoto University Observation data display device, observation data display method, observation data display program, and computer-readable recording medium containing the program
JP2007109247A (en) * 2006-11-20 2007-04-26 Seiko Epson Corp System for preventing infection of worm

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006077666A1 (en) * 2004-12-28 2006-07-27 Kyoto University Observation data display device, observation data display method, observation data display program, and computer-readable recording medium containing the program
JP2007109247A (en) * 2006-11-20 2007-04-26 Seiko Epson Corp System for preventing infection of worm

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009089224A (en) * 2007-10-02 2009-04-23 Kddi Corp Abnormality detection apparatus, program, and recording medium
US9661017B2 (en) 2011-03-21 2017-05-23 Mcafee, Inc. System and method for malware and network reputation correlation
JP2014524169A (en) * 2011-06-27 2014-09-18 マカフィー, インコーポレイテッド System and method for protocol fingerprint acquisition and evaluation correlation
US9516062B2 (en) 2012-04-10 2016-12-06 Mcafee, Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment
JP2020509478A (en) * 2017-02-13 2020-03-26 マイクロソフト テクノロジー ライセンシング,エルエルシー Multi-signal analysis for unauthorized access area identification
JP7108365B2 (en) 2017-02-13 2022-07-28 マイクロソフト テクノロジー ライセンシング,エルエルシー Multi-signal analysis for unauthorized access range identification

Also Published As

Publication number Publication date
JP5046836B2 (en) 2012-10-10

Similar Documents

Publication Publication Date Title
JP6201614B2 (en) Log analysis apparatus, method and program
US20160366159A1 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
JP5050781B2 (en) Malware detection device, monitoring device, malware detection program, and malware detection method
US8516573B1 (en) Method and apparatus for port scan detection in a network
TWI674777B (en) Abnormal flow detection device and abnormal flow detection method thereof
US20060161986A1 (en) Method and apparatus for content classification
JP6306739B2 (en) Malignant communication pattern extraction apparatus, malignant communication pattern extraction method, and malignant communication pattern extraction program
JP6174520B2 (en) Malignant communication pattern detection device, malignant communication pattern detection method, and malignant communication pattern detection program
JP5345492B2 (en) Bot infected person detection method using DNS traffic data
JP5046836B2 (en) Fraud detection device, program, and recording medium
JP2008176753A (en) Data similarity inspection method and device
JP4823813B2 (en) Abnormality detection device, abnormality detection program, and recording medium
Wang et al. Alert correlation system with automatic extraction of attack strategies by using dynamic feature weights
JP4825767B2 (en) Abnormality detection device, program, and recording medium
JP5286018B2 (en) Information processing apparatus, program, and recording medium
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
US10963562B2 (en) Malicious event detection device, malicious event detection method, and malicious event detection program
Yilmaz et al. Early detection of botnet activities using grammatical evolution
JP2007019981A (en) Network monitoring system
JP2007165990A (en) Ip address conversion method, and information processor
US20150222648A1 (en) Apparatus for analyzing the attack feature dna and method thereof
CN108347447B (en) P2P botnet detection method and system based on periodic communication behavior analysis
JP4188203B2 (en) Log analysis apparatus, log analysis method, and log analysis program
JP6712944B2 (en) Communication prediction device, communication prediction method, and communication prediction program
CN114760216B (en) Method and device for determining scanning detection event and electronic equipment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100716

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100720

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120315

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20120316

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120619

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120717

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150727

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5046836

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees