JP2010039749A - アクセス先スコアリング方法およびそのプログラム - Google Patents
アクセス先スコアリング方法およびそのプログラム Download PDFInfo
- Publication number
- JP2010039749A JP2010039749A JP2008201729A JP2008201729A JP2010039749A JP 2010039749 A JP2010039749 A JP 2010039749A JP 2008201729 A JP2008201729 A JP 2008201729A JP 2008201729 A JP2008201729 A JP 2008201729A JP 2010039749 A JP2010039749 A JP 2010039749A
- Authority
- JP
- Japan
- Prior art keywords
- access destination
- access
- destination
- scoring method
- score
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】予め与えられた悪性リストに対して、アクセス先とアクセス元の関係を利用し、その悪性リストの擬陽性、擬陰性を排除する技術を提供する。
【解決手段】アクセス先初期スコア取得部101が、1つ以上のアクセス先の初期スコアを取得する。アクセス先−アクセス元間アクセスログ取得部102が、アクセス先に対するアクセス元のアクセスログを取得する。アクセス先間関連度計算部103が、得られたアクセスログからアクセス元に関するアクセス先間の関連度を計算する。アクセス先スコアリング部104が、アクセス先の初期スコアをアクセス先間関連度によって他のアクセス先に拡散させた拡散スコアを計算し、アクセス先の初期スコアを反転させたスコアをアクセス先間関連度によって他のアクセス先に拡散させた反転拡散スコアを計算し、拡散スコアと反転拡散スコアの比を用いた拡散スコア比を計算する。
【選択図】図1
【解決手段】アクセス先初期スコア取得部101が、1つ以上のアクセス先の初期スコアを取得する。アクセス先−アクセス元間アクセスログ取得部102が、アクセス先に対するアクセス元のアクセスログを取得する。アクセス先間関連度計算部103が、得られたアクセスログからアクセス元に関するアクセス先間の関連度を計算する。アクセス先スコアリング部104が、アクセス先の初期スコアをアクセス先間関連度によって他のアクセス先に拡散させた拡散スコアを計算し、アクセス先の初期スコアを反転させたスコアをアクセス先間関連度によって他のアクセス先に拡散させた反転拡散スコアを計算し、拡散スコアと反転拡散スコアの比を用いた拡散スコア比を計算する。
【選択図】図1
Description
本発明は通信網におけるアクセス先のスコアリング技術に関する。
ウイルス感染や有害情報を回避するために、Webサイト、ドメイン名などのインターネットのアクセス先に対して、感染の可能性や有害度合い(以降、悪性度と呼ぶ)に応じてスコアリングを行い、高スコアなアクセス先に対するアクセスを遮断するなどの対策が行われている。
しかしながら、膨大なアクセス先全てに対してスコアリングすることは困難であり、これらスコアリングが必ずしも信頼できるわけではない。従って、悪性でなくとも高スコアアクセス先と判定される場合(擬陽性)、悪性にもかかわらず低スコアとスコアリングされる場合(擬陰性)ともに発生しうる。
ここで、悪性アクセス先に対するアクセス元(ユーザ端末など)が他にアクセスしたアクセス先は悪性である可能性が高い。例えば、ウイルスが埋め込まれているWebサイトにアクセスした端末は、そのウイルスによる挙動として、攻撃指示受信などのために特定のサイトにアクセスするケースが多いことが知られている。
特許文献1では、このような考えの下、悪性と確定した少数アクセス先を元に、そのアクセス先に対するユーザ端末群に特徴的な他のアクセス先を元のアクセス先と関連度が高いとして悪性アクセス先と判定し、上記擬陰性を回避する手法を提案している。しかしながら特許文献1では、アクセス元−アクセス先の関係を一回のみ利用しており、新たに抽出された悪性アクセス先と関連度が高いアクセス先を悪性アクセス先として抽出することはしない、また、擬陽性の問題は回避できないという課題があった。
また、非特許文献1では、アクセス元とアクセス先の関係と同様に、単語と文脈の関係を用いて、単語間の関連度を求める手法が提案されている。本手法では、単語と文脈の関係を二部グラフととらえ、このグラフ上でスコアを繰り返し計算することによって、単語間の関連度を求めている。同手法をアクセス元−アクセス先に適用することにより、アクセス先間の関連度を計算でき、悪性アクセス先との関連度の高さに応じて共通のアクセス元を持っていないアクセス先であってもスコアリングすることが出来る。しかしながら擬陽性の課題は残る。また、非特許文献1に述べられているように多数のアクセス元を持つアクセス先のスコアが高くなってしまうという課題がある。
本発明は上記課題を鑑み、アクセス元−アクセス先の二部グラフ上に初期スコアを拡散させた拡散スコアのみならず、初期スコアを反転させたスコアを拡散させた反転拡散スコアをも用いて、アクセス先のスコアリングを行うものである。
本発明の目的は、予め与えられた悪性リストに対して、アクセス先とアクセス元の関係を利用し、その悪性リストの擬陽性、擬陰性を排除する技術を提供することである。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
本発明は、アクセス先スコアリング装置におけるアクセス先スコアリング方法であって、前記アクセス先スコアリング装置は、アクセス先初期スコア取得部とアクセス先−アクセス元間アクセスログ取得部とアクセス先間関連度計算部とアクセス先スコアリング部とを備え、前記アクセス先初期スコア取得部が、1つ以上のアクセス先の初期スコアを取得する第1のステップと、前記アクセス先−アクセス元間アクセスログ取得部が、アクセス先に対するアクセス元のアクセスログを取得する第2のステップと、前記アクセス先間関連度計算部が、前記第2のステップで得られたアクセスログから、アクセス元に関するアクセス先間の関連度を計算する第3のステップと、前記アクセス先スコアリング部が、前記第1のステップで得られたアクセス先の初期スコアを前記第3のステップで得られたアクセス先間関連度によって、他のアクセス先に拡散させた拡散スコアを計算する第4のステップと、前記アクセス先スコアリング部が、前記第1のステップで得られたアクセス先の初期スコアを反転させたスコアを、前記第3のステップで得られたアクセス先間関連度によって、他のアクセス先に拡散させた反転拡散スコアを計算する第5のステップと、前記アクセス先スコアリング部が、前記第4のステップで得られた拡散スコアと、前記第5のステップで得られた反転拡散スコアの比を用いた拡散スコア比を計算する第6のステップと、を含むことを特徴とする。
本発明によればWebサイト、ドメイン名などのインターネットのアクセス先に関して予め与えられた悪性リストに対して、アクセス先とアクセス元の関係を利用し、その悪性リストの擬陽性、擬陰性を排除することができる。
以下、図面を用いて本発明の実施例を説明する。
図1は、本発明の実施例におけるアクセス先スコアリング装置の構成例を示すブロック図である。101はアクセス先初期スコア取得部、102はアクセス先−アクセス元間アクセスログ取得部、103はアクセス先間関連度計算部、104はアクセス先スコアリング部である。
図2は本発明の実施例のアクセス先スコアリング装置の動作を示すフローチャートである。201は、アクセス先初期スコア取得部101が1つ以上のアクセス先の初期スコアを取得する第1のステップである。202は、アクセス先−アクセス元間アクセスログ取得部102がアクセス先に対するアクセス元のアクセスログを取得する第2のステップである。203は、アクセス先間関連度計算部103が、第2のステップで得られたアクセスログから、アクセス元に関するアクセス先間の関連度を計算する第3のステップである。204は、アクセス先スコアリング部104が第1のステップ201で得られたアクセス先の初期スコアを第3のステップ203で得られたアクセス先間関連度によって、他のアクセス先に拡散させた拡散スコアを計算する第4のステップである。205は、アクセス先スコアリング部104が第1のステップ201で得られたアクセス先の初期スコアを反転させたスコアを、第3のステップ203で得られたアクセス先間関連度によって、他のアクセス先に拡散させた反転拡散スコアを計算する第5のステップである。206は、アクセス先スコアリング部104が第4のステップ204で得られた拡散スコアと、第5のステップ205で得られた反転拡散スコアの比を用いた拡散スコア比を計算する第6のステップである。
以下、第1〜第6のステップについて詳細に説明する。
第1のステップ201では、アクセス先初期スコア取得部101がアクセス先の初期スコアを取得する。
図3は、アクセス先とアクセス元の関係の一例を示す図である。ここではアクセス先としてドメイン名、アクセス元としてユーザホストを例に挙げている。ここで、ユーザホストが当該ドメイン名に対して、例えばWebアクセスを行う、名前解決を行うなどの行為をドメイン名に対するアクセスとみなすことが出来る。背景が黒となっているドメイン名が、初期スコアを悪性度高としてスコアリングされたドメイン名である。その内、ドメイン名“white.domain.labeled.black”は、誤って悪性ドメインとして判定されたドメイン(擬陽性)とする。また、背景が白となっているドメイン名が、初期スコアを悪性度低としてスコアリングされたドメイン名である。その内、ドメイン名“black.domain.labeled.white”は、誤って悪性度低として判定されたドメイン(擬陰性)とする。
第1のステップ201では、アクセス先初期スコア取得部101はこの7つのドメイン名に対して初期スコアを取得する。ここで7ドメイン名の初期スコアを上から順に(1,1,1,1,0,0,0)とする。
このとき、第2のステップ202では、アクセス先−アクセス元間アクセスログ取得部102がアクセス先に対するアクセス元のアクセスログを取得する。ここで、アクセスログはサーバ側のアクセスログによって取得してもよいし、ネットワークトラヒックを観測することによって取得してもよい。
第3のステップでは、アクセス先間関連度計算部103がドメイン名とユーザホスト間の関係を利用して、ドメイン名間の関連度を計算する。以下、第3のステップにおける関連度計算方法の実施例について説明する。
(1)関連度計算方法1(請求項2に対応)では、アクセス先の集合をO、その要素数を|O|、アクセス元の集合をD、その要素数を|D|とし、アクセス元−アクセス先の接続関係を表した二部グラフに関する、数式1で示されるサイズ(|D|+|O|)×(|D|+|O|)の数式1で示される隣接行列をA={aij}、Aと同一サイズの単位行列をIとしたときに、数式2で示される行列KN(β)の(i,j)成分(1≦i,j≦|D|)をアクセス先iとアクセス先j間の関連度とする。
例えば、7ドメイン名と6ユーザホスト間の関係を示す7×6の行列Rを、
とする。数式12はドメイン名とホストの接続グラフの隣接行列表現である。列方向がドメイン名、行方向がホストとなり、ドメイン名iがホストjからアクセスされている場合は要素(i,j)が1、そうでなければ0である。このとき、ドメイン名、ユーザホスト間の隣接行列Aは
となるが(ここでRtはRの転置行列、07は7×7の、06は6×6の零行列)、Aと同一サイズの13×13の単位行列をI、パラメータをβとしたときに、数式2で示される行列KN(β)の(i,j)成分(1≦i,j≦7)をドメインiとドメインj間の関連度とすることを特徴とする。これは非特許文献1で記載されているノイマンカーネルによる関連度となる。例えばβ=0.01のとき、KN(β)のドメイン名部分(左上7×7部分行列)KN(β)’は、
と計算され、例えばドメイン名xxx.xxx.xxxとyyy.yyy.yyyの関連度は0.03であるが、xxx.xxx.xxxとwhite.domain.labeled.blackの間の関連度は0となる。数式14は7個のドメイン名の相互関連度を示す7×7の行列となり,要素(i,j)がドメイン名iとドメイン名j間の関連度を示す。xxx.xxx.xxxは1番目のドメイン名、yyy.yyy.yyyは2番目のドメイン名、white.domain.labeled.blackは4番目のドメイン名となるので、数式14の要素(1,2),(1,4)の値を見ることによって上記関連度がわかる。
(2)関連度計算方法2(請求項3に対応)では、予め定められたパラメータβ、関連計算方法1(請求項2に対応)の隣接行列A={aij}を用いて数式3で示される行列L={lij}に対して、数式4で表される行列KD(β)の(i,j)成分(1≦i,j≦|D|)をアクセス先iとアクセス先j間の関連度とする。
この関連度計算方法では、数式4で示される行列KD(β)の(i,j)成分(1≦i,j≦7)をドメインiとドメインj間の関連度とすることを特徴とする。これは非特許文献1で記載されている拡散カーネルによる関連度となる。
(3)関連度計算方法3(請求項4に対応)では、予め定められたパラメータβ、関連度計算方法2(請求項3に対応)の行列L={lij}に対して、数式5で示される行列KL(β)の(i,j)成分(1≦i,j≦|D|)をアクセス先iとアクセス先j間の関連度とする。
この関連度計算方法では、数式5で示される行列KL(β)の(i,j)成分(1≦i,j≦7)をドメインiとドメインj間の関連度とすることを特徴とする。これは非特許文献1で記載されている正則ラプラシアンカーネルによる関連度となる。
上記の関連度計算においては、数式1で示される隣接行列Aのべき乗を用いて関連度の計算をしている。隣接行列Aのべき乗、Akの(i,j)成分は、アクセス先iからjまでkステップで行くパスが何通りあるかを示している。たとえば数式13で計算される隣接行列Aにおいて、A2の(1,2)成分は3であり、これはアクセス先xxx.xxx.xxxとyyy.yyy.yyyを2ステップで結ぶパスが、Host1,Host2,Host3経由の3通りあることを示している。従って隣接行列Aを用いた関連度計算においては、アクセス先iからアクセス先jへのパス数が多いと関連度が高くなる。
一方で、アクセス先iを始点するkステップの全パスのうち、アクセス先jを終点とするパス数の割合を関連度計算に用いる方法も考えられる。この場合は、隣接行列の値を正規化した行列を用いて関連度を計算する必要がある。次に示す関連度計算方法4、5(請求項5、6に対応)では正規化した隣接行列Tを用いて関連度計算を行う。
(4)関連度計算方法4(請求項5に対応)では、関連度計算方法1(請求項2に対応)において、前記行列Aの代わりに、数式6で表される行列T={tij}を用いる。
(5)関連度計算方法5(請求項6に対応)では、関連度計算方法2また3(請求項3または4に対応)において、前記行列Lの計算時に、行列Aの代わりに数式6で表される行列T={tij}を用いる。
上記のように行列を用いて上記の方法でアクセス先間の関連度を計算できるが、アクセス先数が膨大な場合、大規模行列の計算は不可能な場合が発生しうる。以下に示す関連度計算方法では、そのような場合に、アクセス先を始点とし、図3に示されるようなアクセス先−アクセス元の二部グラフ上のランダムウォークを生成し、ランダムウォーク中に出現した他のアクセス先に対して、その出現数、出現場所、出現場所までの異なるパス数の情報を用いて、始点アクセス先との関連度を計算する。
(6)関連度計算方法6(請求項7に対応)では、あるアクセス先iを始点とし、アクセス元−アクセス先の二部グラフ上のランダムウォークを生成し、ランダムウォーク中に出現したアクセス先に対して、その出現数、出現場所、出現場所までの異なるパス数の情報を用いて、始点アクセス先との関連度を計算する。
以下、ランダムウォークを用いた関連度計算方法のより具体的な実施例を説明する。
(6−1)関連度計算方法6−1(請求項8に対応)では、アクセス先iを始点とし、予め定められた長さlのランダムウォークをn個生成し、ランダムウォーク中の出現場所を、始点アクセス先のlから1ずつ増える値としたときに、出現場所kのアクセス先jの出現回数がnk、異なるパス数がpkであった場合に、アクセス先iとアクセス先jの関連度を、予め定められたパラメータβを用いて、
で計算される値とする。
この関連度計算方法では、出現場所kのアクセス先jの出現回数がnk、異なるパス数がqkであった場合に、アクセス先iとアクセス先jの関連度を、予め定められたパラメータβを用いて、数式7によって計算する。アクセス先iとアクセス先j間のステップkのパス数pkは隣接行列のk乗Akの(i,j)成分と一致するため、Pkをランダムウォーク中のアクセス先jの出現回数nkと出現パス数qkを用いてエラー!参照元が見つかりません。を用いて最尤推定した^Pk(実際には「^」は「Pk」の上に記載される)によって関連度を計算する。
(6−2)関連度計算方法6−2(請求項9に対応)では、アクセス先iを始点とし、予め定められた確率pで終了するランダムウォークをn個生成したときに、出現アクセス先数m、ランダムウォーク中の出現場所kのアクセス先jの出現回数がnk、異なるパス数がpkであった場合に、アクセス先iとアクセス先jの関連度を、
とする。
この関連度計算方法では、固定長のランダムウォークではなく、一定確率pでランダムウォークを終了させる。一定確率で終了させることにより、ステップ数が長いパスの出現確率が減るため、関連度計算時にβ乗の必要が無くなる。
(6−3)関連度計算方法6−3(請求項10に対応)では、アクセス先iを始点とし、予め定められた長さlのランダムウォークをn個生成し、ランダムウォーク中の出現場所を、始点アクセス先のlから1ずつ増える値としたときに、出現場所kのアクセス先jの出現回数がnk、であった場合に、アクセス先iとアクセス先jの関連度を、予め定められたパラメータβを用いて、
とする。
(6−4)関連度計算方法6−4(請求項11に対応)では、アクセス先iを始点とし予め定められた確率pで終了するランダムウォークをn個生成したときに、ランダムウォーク中の出現場所を、始点アクセス先のlから1ずつ増える値としたときに、出現場所kのアクセス先jの出現回数がnk、であった場合に、アクセス先iとアクセス先jの関連度を、予め定められたパラメータβを用いて、
とする。
関連度計算方法6−3、6−3では、出現パス数ではなく、出現回数を用いる。これは関連度計算方法4、5(請求項5、6に対応)に記載の、アクセス先iを始点するkステップの全パスのうち、アクセス先jを終点とするパス数の割合を関連度計算に用いる方法をランダムウォークシミュレーションで実施していることになる。
第4のステップ204では、アクセス先スコアリング部104が第1のステップ201で得られたアクセス先の初期スコアを第2のステップ202で得られたアクセス先間関連度によって、他のアクセス先に拡散させた拡散スコアを計算する。図3において、初期スコアベクトル
(1,1,1,1,0,0,0)t
とした場合、例えば関連度計算方法1(請求項2に対応)で計算した、数式2で示される関連度を用いて計算した拡散スコアは、
(0.09,0.09,0.09,0.02,0.09,0.02,0.02)t
となる。
(1,1,1,1,0,0,0)t
とした場合、例えば関連度計算方法1(請求項2に対応)で計算した、数式2で示される関連度を用いて計算した拡散スコアは、
(0.09,0.09,0.09,0.02,0.09,0.02,0.02)t
となる。
第5のステップ205では、アクセス先スコアリング部104が第1のステップ201で得られたアクセス先の初期スコアを反転させたスコアを、第2のステップ202で得られたアクセス先間関連度によって、他のアクセス先に拡散させた反転拡散スコアを計算する。図1において、初期スコアベクトル
(1,1,1,1,0,0,0)t
とした場合、反転スコアベクトルは
(0,0,0,0,1,1,1)t
となる。例えば関連度計算方法1(請求項2に対応)で計算した、数式2で示される関連度を用いて計算した反転拡散スコアは、
(0.03,0.03,0.03,0.04,0.03,0.06,0.06)t
となる。
(1,1,1,1,0,0,0)t
とした場合、反転スコアベクトルは
(0,0,0,0,1,1,1)t
となる。例えば関連度計算方法1(請求項2に対応)で計算した、数式2で示される関連度を用いて計算した反転拡散スコアは、
(0.03,0.03,0.03,0.04,0.03,0.06,0.06)t
となる。
第6のステップ206では、第4のステップ204で得られた拡散スコアと、第5のステップ205で得られた反転拡散スコアの比を用いた拡散スコア比を計算する。図1において、初期スコアベクトルを
(1,1,1,1,0,0,0)t
とし、関連度計算方法1(請求項2に対応)で計算した、拡散スコア、反転拡散スコアを関連度計算方法4−1(請求項8に対応)で計算した拡散スコア比は、
(0.75,0.75,0.75,0.33,0.75,0.25,0.25)t
となる。したがって、ドメイン名、“xxx.xxx.xxx”は拡散スコア比が高いままである一方、ドメイン名“white.domain.labeled.black”は初期スコアが1であったにもかかわらず、拡散スコア比は0.33と低くなっている。また、ドメイン名“aaa.aaa.aaa”は拡散スコア比が低いままである一方、ドメイン名“black.domain.labeled.white”は初期スコアが0であったにもかかわらず、拡散スコア比は0.75と高くなっている。
(1,1,1,1,0,0,0)t
とし、関連度計算方法1(請求項2に対応)で計算した、拡散スコア、反転拡散スコアを関連度計算方法4−1(請求項8に対応)で計算した拡散スコア比は、
(0.75,0.75,0.75,0.33,0.75,0.25,0.25)t
となる。したがって、ドメイン名、“xxx.xxx.xxx”は拡散スコア比が高いままである一方、ドメイン名“white.domain.labeled.black”は初期スコアが1であったにもかかわらず、拡散スコア比は0.33と低くなっている。また、ドメイン名“aaa.aaa.aaa”は拡散スコア比が低いままである一方、ドメイン名“black.domain.labeled.white”は初期スコアが0であったにもかかわらず、拡散スコア比は0.75と高くなっている。
すなわち、擬陽性であったドメイン名“white.domain.labeled.black”の拡散スコア比は低いから、陰性であると推定することができ、擬陰性であったドメイン名“black.domain.labeled.white”の拡散スコア比は高いから、陽性であると推定することができる。このようにして、Webサイト、ドメイン名などのインターネットのアクセス先に関して予め与えられた悪性リストに対して、アクセス先とアクセス元の関係を利用し、拡散スコア比を得ることにより、その悪性リストの擬陽性、擬陰性を排除することができる。
以上説明したアクセス先スコアリング装置は、コンピュータとプログラムで構成することができる。また、そのプログラムの一部または全部をハードウェアで構成してもよい。
以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
101…アクセス先初期スコア取得部、102…アクセス先−アクセス元間アクセスログ取得部、103…アクセス先間関連度計算部、104…アクセス先スコアリング部、201…第1のステップ、202…第2のステップ、203…第3のステップ、204…第4のステップ、205…第5のステップ、206…第6のステップ
Claims (13)
- アクセス先スコアリング装置におけるアクセス先スコアリング方法であって、
前記アクセス先スコアリング装置は、アクセス先初期スコア取得部とアクセス先−アクセス元間アクセスログ取得部とアクセス先間関連度計算部とアクセス先スコアリング部とを備え、
前記アクセス先初期スコア取得部が、1つ以上のアクセス先の初期スコアを取得する第1のステップと、
前記アクセス先−アクセス元間アクセスログ取得部が、アクセス先に対するアクセス元のアクセスログを取得する第2のステップと、
前記アクセス先間関連度計算部が、前記第2のステップで得られたアクセスログから、アクセス元に関するアクセス先間の関連度を計算する第3のステップと、
前記アクセス先スコアリング部が、前記第1のステップで得られたアクセス先の初期スコアを前記第3のステップで得られたアクセス先間関連度によって、他のアクセス先に拡散させた拡散スコアを計算する第4のステップと、
前記アクセス先スコアリング部が、前記第1のステップで得られたアクセス先の初期スコアを反転させたスコアを、前記第3のステップで得られたアクセス先間関連度によって、他のアクセス先に拡散させた反転拡散スコアを計算する第5のステップと、
前記アクセス先スコアリング部が、前記第4のステップで得られた拡散スコアと、前記第5のステップで得られた反転拡散スコアの比を用いた拡散スコア比を計算する第6のステップと、
を含むことを特徴とするアクセス先スコアリング方法。 - 請求項1記載のアクセス先スコアリング方法であって、
前記第3のステップにおいて、アクセス先の集合をO、その要素数を|O|、アクセス元の集合をD、その要素数を|D|とし、アクセス元−アクセス先の接続関係を表した二部グラフに関する、数式1で示されるサイズ(|D|+|O|)×(|D|+|O|)の数式1で示される隣接行列をA={aij}、Aと同一サイズの単位行列をIとしたときに、数式2で示される行列KN(β)の(i,j)成分(1≦i,j≦|D|)をアクセス先iとアクセス先j間の関連度とすることを特徴とするアクセス先スコアリング方法。
- 請求項1記載のアクセス先スコアリング方法であって、
前記第3のステップにおいて、予め定められたパラメータβ、請求項2記載の隣接行列A={aij}を用いて数式3で示される行列L={lij}に対して、数式4で表される行列KD(β)の(i,j)成分(1≦i,j≦|D|)をアクセス先iとアクセス先j間の関連度とすることを特徴とするアクセス先スコアリング方法。
- 請求項1記載のアクセス先スコアリング方法であって、
前記第3のステップにおいて、予め定められたパラメータβ、請求項3記載の行列L={lij}に対して、数式5で示される行列KL(β)の(i,j)成分(1≦i,j≦|D|)をアクセス先iとアクセス先j間の関連度とすることを特徴とするアクセス先スコアリング方法。
- 請求項2記載のアクセス先スコアリング方法であって、
前記行列Aの代わりに、数式6で表される行列T={tij}を用いることを特徴とするアクセス先スコアリング方法。
- 請求項3または4記載のアクセス先スコアリング方法であって、
前記行列Lの計算時に、行列Aの代わりに請求項5記載の行列T={tij}を用いることを特徴とするアクセス先スコアリング方法。 - 請求項1記載のアクセス先スコアリング方法であって、
前記第3のステップにおいて、あるアクセス先iを始点とし、アクセス元−アクセス先の二部グラフ上のランダムウォークを生成し、ランダムウォーク中に出現したアクセス先に対して、その出現数、出現場所、出現場所までの異なるパス数の情報を用いて、始点アクセス先との関連度を計算することを特徴とするアクセス先スコアリング方法。 - 請求項7記載のアクセス先スコアリング方法であって、
アクセス先iを始点とし、予め定められた長さlのランダムウォークをn個生成し、ランダムウォーク中の出現場所を、始点アクセス先のlから1ずつ増える値としたときに、出現場所kのアクセス先jの出現回数がnk、異なるパス数がpkであった場合に、アクセス先iとアクセス先jの関連度を、予め定められたパラメータβを用いて、
- 請求項7記載のアクセス先スコアリング方法であって、
アクセス先iを始点とし、予め定められた確率pで終了するランダムウォークをn個生成したときに、出現アクセス先数m、ランダムウォーク中の出現場所kのアクセス先jの出現回数がnk、異なるパス数がpkであった場合に、アクセス先iとアクセス先jの関連度を、
- 請求項7記載のアクセス先スコアリング方法であって、
アクセス先iを始点とし、予め定められた長さlのランダムウォークをn個生成し、ランダムウォーク中の出現場所を、始点アクセス先のlから1ずつ増える値としたときに、出現場所kのアクセス先jの出現回数がnk、であった場合に、アクセス先iとアクセス先jの関連度を、予め定められたパラメータβを用いて、
- 請求項7記載のアクセス先スコアリング方法であって、
アクセス先iを始点とし予め定められた確率pで終了するランダムウォークをn個生成したときに、ランダムウォーク中の出現場所を、始点アクセス先のlから1ずつ増える値としたときに、出現場所kのアクセス先jの出現回数がnk、であった場合に、アクセス先iとアクセス先jの関連度を、予め定められたパラメータβを用いて、
- 請求項1記載のアクセス先スコアリング方法であって、
前記第6のステップにおいて、拡散スコアをb、反転拡散スコアをwとしたときに、拡散スコア比を
- 請求項1ないし12のうちいずれか1項に記載のアクセス先スコアリング方法をコンピュータに実行さえるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008201729A JP5121622B2 (ja) | 2008-08-05 | 2008-08-05 | アクセス先スコアリング方法およびそのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008201729A JP5121622B2 (ja) | 2008-08-05 | 2008-08-05 | アクセス先スコアリング方法およびそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010039749A true JP2010039749A (ja) | 2010-02-18 |
| JP5121622B2 JP5121622B2 (ja) | 2013-01-16 |
Family
ID=42012235
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008201729A Expired - Fee Related JP5121622B2 (ja) | 2008-08-05 | 2008-08-05 | アクセス先スコアリング方法およびそのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5121622B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012059141A (ja) * | 2010-09-10 | 2012-03-22 | Nippon Telegr & Teleph Corp <Ntt> | 推定値高精度化システム、推定値高精度化方法および推定値高精度化プログラム |
| JP2018526728A (ja) * | 2015-07-24 | 2018-09-13 | エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. | プロセストレースを用いたグラフベースの侵入検知 |
| US10234839B2 (en) | 2016-08-22 | 2019-03-19 | Denso Wave Incorporated | I/O module |
| CN116433922A (zh) * | 2023-03-01 | 2023-07-14 | 北京乾图科技有限公司 | 图表示学习系统的训练方法、图数据节点分类方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003524925A (ja) * | 1998-12-09 | 2003-08-19 | ネットワーク アイス コーポレイション | ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 |
| JP2005189996A (ja) * | 2003-12-24 | 2005-07-14 | Fuji Electric Holdings Co Ltd | ネットワーク侵入検知システム |
| JP2009117929A (ja) * | 2007-11-02 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視装置およびその方法 |
-
2008
- 2008-08-05 JP JP2008201729A patent/JP5121622B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003524925A (ja) * | 1998-12-09 | 2003-08-19 | ネットワーク アイス コーポレイション | ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 |
| JP2005189996A (ja) * | 2003-12-24 | 2005-07-14 | Fuji Electric Holdings Co Ltd | ネットワーク侵入検知システム |
| JP2009117929A (ja) * | 2007-11-02 | 2009-05-28 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視装置およびその方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012059141A (ja) * | 2010-09-10 | 2012-03-22 | Nippon Telegr & Teleph Corp <Ntt> | 推定値高精度化システム、推定値高精度化方法および推定値高精度化プログラム |
| JP2018526728A (ja) * | 2015-07-24 | 2018-09-13 | エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. | プロセストレースを用いたグラフベースの侵入検知 |
| US10234839B2 (en) | 2016-08-22 | 2019-03-19 | Denso Wave Incorporated | I/O module |
| CN116433922A (zh) * | 2023-03-01 | 2023-07-14 | 北京乾图科技有限公司 | 图表示学习系统的训练方法、图数据节点分类方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5121622B2 (ja) | 2013-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103685258B (zh) | 一种快速扫描网站漏洞的方法和装置 | |
| WO2021017735A1 (zh) | 一种智能合约的形式化验证方法、电子装置及存储介质 | |
| WO2016201819A1 (zh) | 检测恶意文件的方法和装置 | |
| US20090287641A1 (en) | Method and system for crawling the world wide web | |
| JP6473234B2 (ja) | 分析方法、分析装置、および分析プログラム | |
| CN115562992B (zh) | 一种文件检测方法、装置、电子设备及存储介质 | |
| JP5121622B2 (ja) | アクセス先スコアリング方法およびそのプログラム | |
| WO2021031902A1 (zh) | Url提取方法、装置、设备及计算机可读存储介质 | |
| CN104767747A (zh) | 点击劫持安全检测方法和装置 | |
| WO2024234614A1 (zh) | 信息处理方法、装置、设备、计算机可读存储介质及计算机程序产品 | |
| CN104021154B (zh) | 一种在浏览器中进行搜索的方法和装置 | |
| JPWO2019013266A1 (ja) | 判定装置、判定方法、および、判定プログラム | |
| JP5752642B2 (ja) | 監視装置および監視方法 | |
| CN102436458B (zh) | 一种命令解析的方法及其系统 | |
| RU2603535C2 (ru) | СПОСОБ И СИСТЕМА ЭКСПЛУАТАЦИИ Web-БРАУЗЕРА | |
| CN109246069B (zh) | 网页登录方法、装置和可读存储介质 | |
| RU2697960C1 (ru) | Способ определения неизвестных атрибутов фрагментов веб-данных при запуске веб-страницы в браузере | |
| JP2019144823A (ja) | 情報取得プログラム、情報取得方法及び情報取得装置 | |
| CN110851840A (zh) | 基于网站漏洞的web后门检测方法及装置 | |
| CN115225328B (zh) | 页面访问数据的处理方法、装置、电子设备以及存储介质 | |
| CN115150130B (zh) | 攻击团伙的跟踪分析方法、装置、设备及存储介质 | |
| CN110855612B (zh) | web后门路径探测方法 | |
| WO2018149400A1 (zh) | 一种页面发布方法、可读存储介质、终端设备及装置 | |
| JP6930667B2 (ja) | 検知装置および検知プログラム | |
| Sharma et al. | Real-time detection of phishing Tweets |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100913 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120731 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120814 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121002 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121023 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121023 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151102 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5121622 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |