JP2010092235A - 情報処理装置、プログラム、および記録媒体 - Google Patents
情報処理装置、プログラム、および記録媒体 Download PDFInfo
- Publication number
- JP2010092235A JP2010092235A JP2008261026A JP2008261026A JP2010092235A JP 2010092235 A JP2010092235 A JP 2010092235A JP 2008261026 A JP2008261026 A JP 2008261026A JP 2008261026 A JP2008261026 A JP 2008261026A JP 2010092235 A JP2010092235 A JP 2010092235A
- Authority
- JP
- Japan
- Prior art keywords
- state
- address
- communication
- information processing
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】通信情報記憶部11は、ネットワーク上で実行された通信に係る通信結果を記憶する。カウンタ13は、IPアドレスを構成する各ブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る所定の状態の出現数をカウントする。エントロピー算出部14は、出現数に基づいて、各アドレス値に対応した出現数の分散の度合いを示すエントロピー値をブロック毎に算出する。アドレス選択部15は、各ブロックのエントロピー値に基づいてブロックを選択し、選択したブロックの各アドレス値に対応した出現数に基づいてアドレス値を選択する。通信情報抽出部16は、選択されたアドレス値を有するIPアドレスを含む通信結果を抽出する。
【選択図】図1
Description
須藤年章,富士原圭,"仮想インターネットを用いたボットネット挙動解析システムの評価",情処,CSS2006,PP.513-518,2006年10月 J. Goebel,"Rishi: Identify Bot Contaminated Hosts by IRC Nickname Evaluation",In Proceeding of the HotBots'07,USENIX,April,2007 G. Gu,P. Porras,V. Yegneswaran,M. Fong,and W. Lee,"BotHunter: Detecting Malware Infection Through IDS-Driven Dialog Correlataion",In Proceedings of the Security'07,USENIX,August 2007 重本倫宏,大河内一弥,寺田真敏,"コネクション解析によるP2P通信端末検知手法",情処研報,CSEC-42,PP.329-334,2008年7月
本発明は、上記の課題を解決するためになされたもので、ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する記憶手段と、前記通信結果に基づいて、IPアドレスを構成する各ブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る所定の状態の出現数をカウントするカウント手段と、前記出現数に基づいて、各アドレス値に対応した前記出現数の分散の度合いを示すエントロピー値をブロック毎に算出する算出手段と、各ブロックの前記エントロピー値に基づいてブロックを選択し、選択したブロックの各アドレス値に対応した前記出現数に基づいてアドレス値を選択する選択手段と、前記通信結果から、選択されたアドレス値を有するIPアドレスを含む通信結果を抽出する抽出手段と、を備えたことを特徴とする情報処理装置である。
また、本発明の情報処理装置において、前記カウント手段は、送受信関係の確立に失敗したという状態の出現数をカウントすることを特徴とする。
また、本発明の情報処理装置において、前記カウント手段は、送信先のPortとしてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたという状態の出現数をカウントすることを特徴とする。
また、本発明の情報処理装置において、前記カウント手段は、送信先のPortとしてTCPの1024以上(1433,1434を除く)のPortが使用されたという状態の出現数をカウントすることを特徴とする。
また、本発明の情報処理装置において、前記カウント手段は、DNSサーバに対してドメイン名の名前解決を要求したが、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答があったという状態の出現数をカウントすることを特徴とする。
また、本発明の情報処理装置において、前記カウント手段は、DNSサーバに対して、所定の国名以外の国名を有するドメイン名の名前解決を要求したという状態の出現数をカウントすることを特徴とする。
また、本発明の情報処理装置において、前記カウント手段は、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得したという状態の出現数をカウントすることを特徴とする。
また、本発明の情報処理装置において、前記カウント手段は、ユーザ名が不明であることを知らせるSMTP Responseがあったという状態の出現数をカウントすることを特徴とする。
また、本発明の情報処理装置において、前記カウント手段は、ボットに感染した装置が行う通信に見られる少なくとも2種類の状態の出現数を状態毎にカウントし、前記算出手段は、状態毎に前記エントロピー値を算出し、前記選択手段は、状態毎にアドレス値を選択し、前記抽出手段は、状態毎に選択されたアドレス値を有するIPアドレスのうち状態間で共通するIPアドレスを含む通信結果を抽出することを特徴とする。
また、本発明の情報処理装置において、前記カウント手段は、ボットに感染した装置が行う通信に見られる第1の状態と、ボットの指令サーバが行う通信に見られる第2の状態との出現数を状態毎にカウントし、前記算出手段は、状態毎に前記エントロピー値を算出し、前記選択手段は、状態毎にアドレス値を選択し、前記抽出手段は、前記第1の状態について選択されたアドレス値を有する送信元のIPアドレスと、前記第2の状態について選択されたアドレス値を有する送信先のIPアドレスとを含む通信結果を抽出することを特徴とする。
また、本発明は、上記の情報処理装置としてコンピュータを機能させるためのプログラムである。
また、本発明は、上記のプログラムを記録したコンピュータ読み取り可能な記録媒体である。
Claims (12)
- ネットワーク上で実行された通信に係るIPアドレスを含む通信結果を記憶する記憶手段と、
前記通信結果に基づいて、IPアドレスを構成する各ブロックのアドレス値毎に、各アドレス値を有するIPアドレスを送信元または送信先とする通信に係る所定の状態の出現数をカウントするカウント手段と、
前記出現数に基づいて、各アドレス値に対応した前記出現数の分散の度合いを示すエントロピー値をブロック毎に算出する算出手段と、
各ブロックの前記エントロピー値に基づいてブロックを選択し、選択したブロックの各アドレス値に対応した前記出現数に基づいてアドレス値を選択する選択手段と、
前記通信結果から、選択されたアドレス値を有するIPアドレスを含む通信結果を抽出する抽出手段と、
を備えたことを特徴とする情報処理装置。 - 前記カウント手段は、送受信関係の確立に失敗したという状態の出現数をカウントすることを特徴とする請求項1に記載の情報処理装置。
- 前記カウント手段は、送信先のPortとしてTCP/UDPの135から139まで、445、1433、1434のPortのいずれかが使用されたという状態の出現数をカウントすることを特徴とする請求項1に記載の情報処理装置。
- 前記カウント手段は、送信先のPortとしてTCPの1024以上(1433,1434を除く)のPortが使用されたという状態の出現数をカウントすることを特徴とする請求項1に記載の情報処理装置。
- 前記カウント手段は、DNSサーバに対してドメイン名の名前解決を要求したが、エラーが発生したという応答、または当該ドメイン名に対応するIPアドレスが存在しないという応答があったという状態の出現数をカウントすることを特徴とする請求項1に記載の情報処理装置。
- 前記カウント手段は、DNSサーバに対して、所定の国名以外の国名を有するドメイン名の名前解決を要求したという状態の出現数をカウントすることを特徴とする請求項1に記載の情報処理装置。
- 前記カウント手段は、HTTP GETコマンドを使用して拡張子が.exeであるファイルを取得したという状態の出現数をカウントすることを特徴とする請求項1に記載の情報処理装置。
- 前記カウント手段は、ユーザ名が不明であることを知らせるSMTP Responseがあったという状態の出現数をカウントすることを特徴とする請求項1に記載の情報処理装置。
- 前記カウント手段は、ボットに感染した装置が行う通信に見られる少なくとも2種類の状態の出現数を状態毎にカウントし、
前記算出手段は、状態毎に前記エントロピー値を算出し、
前記選択手段は、状態毎にアドレス値を選択し、
前記抽出手段は、状態毎に選択されたアドレス値を有するIPアドレスのうち状態間で共通するIPアドレスを含む通信結果を抽出する
ことを特徴とする請求項1〜請求項8のいずれかに記載の情報処理装置。 - 前記カウント手段は、ボットに感染した装置が行う通信に見られる第1の状態と、ボットの指令サーバが行う通信に見られる第2の状態との出現数を状態毎にカウントし、
前記算出手段は、状態毎に前記エントロピー値を算出し、
前記選択手段は、状態毎にアドレス値を選択し、
前記抽出手段は、前記第1の状態について選択されたアドレス値を有する送信元のIPアドレスと、前記第2の状態について選択されたアドレス値を有する送信先のIPアドレスとを含む通信結果を抽出する
ことを特徴とする請求項1〜請求項8のいずれかに記載の情報処理装置。 - 請求項1〜請求項10のいずれかに記載の情報処理装置としてコンピュータを機能させるためのプログラム。
- 請求項11に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008261026A JP5328283B2 (ja) | 2008-10-07 | 2008-10-07 | 情報処理装置、プログラム、および記録媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008261026A JP5328283B2 (ja) | 2008-10-07 | 2008-10-07 | 情報処理装置、プログラム、および記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010092235A true JP2010092235A (ja) | 2010-04-22 |
JP5328283B2 JP5328283B2 (ja) | 2013-10-30 |
Family
ID=42254890
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008261026A Expired - Fee Related JP5328283B2 (ja) | 2008-10-07 | 2008-10-07 | 情報処理装置、プログラム、および記録媒体 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5328283B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016514313A (ja) * | 2013-03-04 | 2016-05-19 | クラウドストライク インコーポレイテッド | セキュリティ攻撃への欺きに基づく応答 |
WO2020027250A1 (ja) * | 2018-08-03 | 2020-02-06 | 日本電信電話株式会社 | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005228230A (ja) * | 2004-02-16 | 2005-08-25 | Nippon Telegr & Teleph Corp <Ntt> | ワーム検出方法 |
JP2005244429A (ja) * | 2004-02-25 | 2005-09-08 | Intelligent Cosmos Research Institute | ネットワーク異常検出の特徴量抽出方法、その方法をコンピュータに実行させるプログラム、その特徴量抽出装置およびネットワーク異常検出システム |
JP2006121143A (ja) * | 2004-10-19 | 2006-05-11 | Yokogawa Electric Corp | パケット解析システム |
JP2006155251A (ja) * | 2004-11-30 | 2006-06-15 | Oki Electric Ind Co Ltd | ウイルス検出装置 |
JP2006211609A (ja) * | 2005-01-31 | 2006-08-10 | Japan Aerospace Exploration Agency | 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置 |
JP2007013262A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
JP2007157059A (ja) * | 2005-12-08 | 2007-06-21 | Securebrain Corp | プロアクティブな不正プログラム検出方法、検出装置及びコンピュータプログラム |
JP2007521149A (ja) * | 2003-08-15 | 2007-08-02 | マクネイラス・トラック・アンド・マニュファクチュアリング・インコーポレーテッド | 混合ドラム駆動リング |
JP2007208861A (ja) * | 2006-02-06 | 2007-08-16 | Alaxala Networks Corp | 不正アクセス監視装置及びパケット中継装置 |
JP2008131565A (ja) * | 2006-11-24 | 2008-06-05 | Hitachi Ltd | ログ可視化システム,可視化方法及びログ可視化装置 |
JP2008141398A (ja) * | 2006-11-30 | 2008-06-19 | Mitsubishi Electric Corp | 中継装置および中継装置の制御方法 |
JP2008176753A (ja) * | 2007-01-22 | 2008-07-31 | National Institute Of Information & Communication Technology | データ類似性検査方法及び装置 |
JP2008219525A (ja) * | 2007-03-05 | 2008-09-18 | Tohoku Univ | ネットワーク異常検知方法およびネットワーク異常検知システム |
JP2008227931A (ja) * | 2007-03-13 | 2008-09-25 | Kddi R & D Laboratories Inc | Ipアドレス視覚化装置、プログラム、および記録媒体 |
-
2008
- 2008-10-07 JP JP2008261026A patent/JP5328283B2/ja not_active Expired - Fee Related
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007521149A (ja) * | 2003-08-15 | 2007-08-02 | マクネイラス・トラック・アンド・マニュファクチュアリング・インコーポレーテッド | 混合ドラム駆動リング |
JP2005228230A (ja) * | 2004-02-16 | 2005-08-25 | Nippon Telegr & Teleph Corp <Ntt> | ワーム検出方法 |
JP2005244429A (ja) * | 2004-02-25 | 2005-09-08 | Intelligent Cosmos Research Institute | ネットワーク異常検出の特徴量抽出方法、その方法をコンピュータに実行させるプログラム、その特徴量抽出装置およびネットワーク異常検出システム |
JP2006121143A (ja) * | 2004-10-19 | 2006-05-11 | Yokogawa Electric Corp | パケット解析システム |
JP2006155251A (ja) * | 2004-11-30 | 2006-06-15 | Oki Electric Ind Co Ltd | ウイルス検出装置 |
JP2006211609A (ja) * | 2005-01-31 | 2006-08-10 | Japan Aerospace Exploration Agency | 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置 |
JP2007013262A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
JP2007157059A (ja) * | 2005-12-08 | 2007-06-21 | Securebrain Corp | プロアクティブな不正プログラム検出方法、検出装置及びコンピュータプログラム |
JP2007208861A (ja) * | 2006-02-06 | 2007-08-16 | Alaxala Networks Corp | 不正アクセス監視装置及びパケット中継装置 |
JP2008131565A (ja) * | 2006-11-24 | 2008-06-05 | Hitachi Ltd | ログ可視化システム,可視化方法及びログ可視化装置 |
JP2008141398A (ja) * | 2006-11-30 | 2008-06-19 | Mitsubishi Electric Corp | 中継装置および中継装置の制御方法 |
JP2008176753A (ja) * | 2007-01-22 | 2008-07-31 | National Institute Of Information & Communication Technology | データ類似性検査方法及び装置 |
JP2008219525A (ja) * | 2007-03-05 | 2008-09-18 | Tohoku Univ | ネットワーク異常検知方法およびネットワーク異常検知システム |
JP2008227931A (ja) * | 2007-03-13 | 2008-09-25 | Kddi R & D Laboratories Inc | Ipアドレス視覚化装置、プログラム、および記録媒体 |
Non-Patent Citations (2)
Title |
---|
CSND200800152026; 坂下 秀: '新人担当者が行く! セキュリティ奮闘記' 日経NETWORK 第96号, 20080328, 第151頁, 日経BP社 * |
JPN6013005793; 坂下 秀: '新人担当者が行く! セキュリティ奮闘記' 日経NETWORK 第96号, 20080328, 第151頁, 日経BP社 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016514313A (ja) * | 2013-03-04 | 2016-05-19 | クラウドストライク インコーポレイテッド | セキュリティ攻撃への欺きに基づく応答 |
US10713356B2 (en) | 2013-03-04 | 2020-07-14 | Crowdstrike, Inc. | Deception-based responses to security attacks |
US11809555B2 (en) | 2013-03-04 | 2023-11-07 | Crowdstrike, Inc. | Deception-based responses to security attacks |
WO2020027250A1 (ja) * | 2018-08-03 | 2020-02-06 | 日本電信電話株式会社 | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP5328283B2 (ja) | 2013-10-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220045990A1 (en) | Methods and systems for api deception environment and api traffic control and security | |
US8261351B1 (en) | DNS flood protection platform for a network | |
EP3507964B1 (en) | Malware detection for proxy server networks | |
CN107864156B (zh) | Syn攻击防御方法和装置、存储介质 | |
JP5286018B2 (ja) | 情報処理装置、プログラム、および記録媒体 | |
US8661544B2 (en) | Detecting botnets | |
Binkley et al. | An algorithm for anomaly-based botnet detection. | |
Hsu et al. | Fast-flux bot detection in real time | |
US7356689B2 (en) | Method and apparatus for tracing packets in a communications network | |
US20150033343A1 (en) | Method, Apparatus, and Device for Detecting E-Mail Attack | |
US20200137112A1 (en) | Detection and mitigation solution using honeypots | |
US20140298466A1 (en) | Data Detecting Method and Apparatus for Firewall | |
US20160036848A1 (en) | Intercloud security as a service | |
US9392019B2 (en) | Managing cyber attacks through change of network address | |
KR20150037940A (ko) | 네트워크 트래픽 처리 시스템 | |
US20210185083A1 (en) | Packet fingerprinting for enhanced distributed denial of service protection | |
CN110266668B (zh) | 一种端口扫描行为的检测方法及装置 | |
CN110677414A (zh) | 网络检测方法、装置、电子设备及计算机可读存储介质 | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
CN108737344B (zh) | 一种网络攻击防护方法和装置 | |
JP5607513B2 (ja) | 検知装置、検知方法及び検知プログラム | |
JP5328283B2 (ja) | 情報処理装置、プログラム、および記録媒体 | |
CN111131337B (zh) | UDP Flood攻击的检测方法及装置 | |
JP4825767B2 (ja) | 異常検知装置、プログラム、および記録媒体 | |
US20130247132A1 (en) | System, method, and computer program product for selecting a wireless network based on security information |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110819 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110823 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130121 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130219 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130415 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130415 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130507 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130617 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20130618 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130709 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130723 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5328283 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |