JP2013011949A - 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム - Google Patents
特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム Download PDFInfo
- Publication number
- JP2013011949A JP2013011949A JP2011142902A JP2011142902A JP2013011949A JP 2013011949 A JP2013011949 A JP 2013011949A JP 2011142902 A JP2011142902 A JP 2011142902A JP 2011142902 A JP2011142902 A JP 2011142902A JP 2013011949 A JP2013011949 A JP 2013011949A
- Authority
- JP
- Japan
- Prior art keywords
- feature information
- information
- new
- communication
- extracted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】情報収集配信サーバ10の別特徴情報抽出部12bは、オペレータからの特徴情報抽出処理の開始指示を受け付けると、URLリスト13aから特徴情報を含むURLを特定し、オペレータが設定したルールに基づいて、特徴情報と情報種別が異なる別の特徴情報を抽出する。そして、新特徴情報抽出部12cは、抽出した別の特徴情報を用いて、予め記憶しているURLリスト13aから新たな特徴情報を抽出する。続いて、新特徴情報抽出部12cは、新たな特徴情報を特徴情報管理テーブル13bに記憶されている既定の特徴情報に追加する。
【選択図】 図2
Description
まず、実施例1に係るファイル収集監視装置の構成について説明する。図1は、実施例1に係る情報収集配信サーバを適用するネットワーク構成の一例を示す図である。
次に、図2を用いて、図1に示した情報収集配信サーバ10の構成を説明する。図2は、実施例1に係る情報収集配信サーバ10の構成を示すブロック図である。図2に示すように、この情報収集配信サーバ10は通信制御I/F11、制御部12、記憶部13を有する。以下にこれらの各部の処理を説明する。
次に、図11を用いて、実施例1に係る情報収集配信サーバ10による処理を説明する。図11は、実施例1に係る情報収集配信サーバの処理動作を示すフローチャートである。
上述してきたように、情報収集配信サーバ10は、特徴情報を含む通信情報を特定し、特定された通信情報から、所定のルールに従って、特徴情報と情報種別が異なる別の特徴情報を抽出する。そして、情報収集配信サーバ10は、抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、特徴情報と同じ情報種別の情報を新たな特徴情報として抽出し、抽出された新たな特徴情報を特徴情報管理テーブル13bに登録する。このため、既知の特徴情報以外の新たな特徴情報を自動的に生成して登録することができるので、ユーザ端末やユーザサーバへの未知の攻撃を適切に検知することが可能である。
また、本実施例において説明した各処理の内、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上述文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
上記実施例で説明した情報収集配信サーバ10は、あらかじめ用意されたプログラムをコンピュータで実行することで実現することもできる。そこで、以下では、図2に示した情報収集配信サーバ10と同様の機能を実現する特徴情報抽出プログラムを実行するコンピュータの一例を説明する。
なお、本実施例で説明したアクセス制御プログラムは、インターネットなどのネットワークを介して配布することができる。また、制御プログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
11 通信制御I/F
12 制御部
12a 通信情報収集部
12b 別特徴情報抽出部
12c 新特徴情報抽出部
12d スコア算出部
12e 特徴情報配信部
13 記憶部
13a URLリスト
13b 特徴情報管理テーブル
21 囮サーバ
22 囮端末
23、24、33、34 ユーザサーバ
25、26、29、37、35、36、42、53 パケット転送部
27、28、37a 通信監視部
31、32 ユーザ端末
41 攻撃者端末
51 悪性サーバ
52 マルウェア配布サーバ
Claims (9)
- 特定種類の通信の特徴を示す特徴情報を記憶する特徴情報記憶部と、
前記特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報と情報種別が異なる別の特徴情報を抽出する別特徴情報抽出部と、
前記別特徴情報抽出部によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別の情報を新たな特徴情報として抽出する新特徴情報抽出部と、
前記新特徴情報抽出部によって抽出された新たな特徴情報を前記特徴情報記憶部に登録する登録部と、
を有することを特徴とする特徴情報抽出装置。 - 前記特徴情報記憶部は、前記特徴情報として、前記特定種類の通信において用いられる変数へ入力される入力値を記憶し、
前記別特徴情報抽出部は、前記特徴情報を含むハイパーテキスト転送プロトコルの宛先統一資源位置指定子を特定し、該特定された宛先統一資源位置指定子から、所定のルールに従って、前記特徴情報の情報種別である入力値と情報種別が異なる別の特徴情報を抽出し、
前記新特徴情報抽出部は、前記別特徴情報抽出部によって抽出された別の特徴情報を含む宛先統一資源位置指定子を特定し、該特定された宛先統一資源位置指定子から、前記特徴情報と同じ情報種別である入力値を新たな特徴情報として抽出することを特徴とする請求項1に記載の特徴情報抽出装置。 - 前記特徴情報記憶部は、前記特徴情報として、前記特定種類の通信において用いられるパスに関するパス情報を記憶し、
前記別特徴情報抽出部は、前記特徴情報を含むハイパーテキスト転送プロトコルの宛先統一資源位置指定子を特定し、該特定された宛先統一資源位置指定子から、所定のルールに従って、前記特徴情報の情報種別であるパス情報と情報種別が異なる別の特徴情報を抽出し、
前記新特徴情報抽出部は、前記別特徴情報抽出部によって抽出された別の特徴情報を含む宛先統一資源位置指定子を特定し、該特定された宛先統一資源位置指定子から、前記特徴情報と同じ情報種別であるパス情報を新たな特徴情報として抽出することを特徴とする請求項1に記載の特徴情報抽出装置。 - 前記別特徴情報抽出部は、前記登録部によって登録された新たな特徴情報を取得し、該新たな特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報と情報種別が異なる別の特徴情報を抽出し、
前記新特徴情報抽出部は、前記前記別特徴情報抽出部によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別の情報を新たな特徴情報として抽出し、
前記登録部は、前記新特徴情報抽出部によって抽出された新たな特徴情報を前記特徴情報記憶部に登録するものであって、
前記新特徴情報抽出部によって抽出された新たな特徴情報について、該新たな特徴情報が抽出されるまでに前記新特徴情報抽出部が繰り返した抽出処理の回数である多段回数に基づいて、前記新たな特徴情報の信頼度を示すスコアを算出するスコア算出部と、
前記スコア算出部によって算出されたスコアに基づいて、前記特徴情報記憶部に記憶された複数の特徴情報から一部の特徴情報を選定する特徴情報選定部と、
をさらに有することを特徴とする請求項1〜3のいずれか一つに記載の特徴情報抽出装置。 - 前記新特徴情報抽出部によって抽出された新たな特徴情報について、該新たな特徴情報によって前記特定種類の通信が検知された回数である検知回数に基づいて、前記新たな特徴情報が前記特定種類の信頼度を示すスコアを算出するスコア算出部と、
前記スコア算出部によって算出されたスコアに基づいて、前記特徴情報記憶部に記憶された複数の特徴情報から一部の特徴情報を選定する特徴情報選定部と、
をさらに有することを特徴とする請求項1〜3のいずれか一つに記載の特徴情報抽出装置。 - 前記別特徴情報抽出部は、前記登録部によって新たな特徴情報が前記特徴情報記憶部に登録されると、さらに異なる新たな特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記登録部によって登録された新たな特徴情報と情報種別が異なる別の特徴情報を抽出し、
前記新特徴情報抽出部は、前記別特徴情報抽出部によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別の情報を新たな特徴情報として抽出することを特徴とする請求項1〜5のいずれか一つに記載の特徴情報抽出装置。 - 前記登録部は、前記別特徴情報抽出部によって抽出された別の特徴情報を前記特徴情報記憶部に登録することを特徴とする請求項1〜6のいずれか一つに記載の特徴情報抽出装置。
- 特徴情報を含む通信情報を特定し、該特定された通信情報から、所定のルールに従って、前記特徴情報と情報種別が異なる別の特徴情報を抽出する別特徴情報抽出工程と、
前記別特徴情報抽出工程によって抽出された別の特徴情報を含む通信情報を特定し、該特定された通信情報から、前記特徴情報と同じ情報種別の情報を新たな特徴情報として抽出する新特徴情報抽出工程と、
前記新特徴情報抽出工程によって抽出された新たな特徴情報を特徴情報記憶部に登録する登録工程と、
を含んだことを特徴とする特徴情報抽出方法。 - コンピュータを請求項1〜7のいずれか一つに記載の特徴情報抽出装置として機能させるための特徴情報抽出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011142902A JP5655191B2 (ja) | 2011-06-28 | 2011-06-28 | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011142902A JP5655191B2 (ja) | 2011-06-28 | 2011-06-28 | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013011949A true JP2013011949A (ja) | 2013-01-17 |
JP5655191B2 JP5655191B2 (ja) | 2015-01-21 |
Family
ID=47685798
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011142902A Active JP5655191B2 (ja) | 2011-06-28 | 2011-06-28 | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5655191B2 (ja) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015050767A (ja) * | 2013-09-03 | 2015-03-16 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | ホワイトリスト基盤のネットワークスイッチ |
JP2016081348A (ja) * | 2014-10-17 | 2016-05-16 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム |
WO2016121621A1 (ja) * | 2015-01-27 | 2016-08-04 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP2017532916A (ja) * | 2014-10-31 | 2017-11-02 | 中国科学院声学研究所Institute Of Acoustics, Chinese Academy Of Sciences | Rdpデータ収集装置及び方法 |
JP2018007179A (ja) * | 2016-07-07 | 2018-01-11 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 監視装置、監視方法および監視プログラム |
JP2018073140A (ja) * | 2016-10-31 | 2018-05-10 | 富士通株式会社 | ネットワーク監視装置、プログラム及び方法 |
JP6375047B1 (ja) * | 2017-12-05 | 2018-08-15 | 株式会社サイバーセキュリティクラウド | ファイアウォール装置 |
WO2019026310A1 (ja) | 2017-08-02 | 2019-02-07 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
JP2019536158A (ja) * | 2016-11-23 | 2019-12-12 | Line株式会社 | 検知結果が有効であるかないかを検証する方法およびシステム |
JP2020005234A (ja) * | 2018-07-02 | 2020-01-09 | 日本電信電話株式会社 | 生成装置、生成方法及び生成プログラム |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017187999A1 (ja) | 2016-04-26 | 2017-11-02 | 日本電気株式会社 | プログラム分析システム、プログラム分析方法、及び、記録媒体 |
PL3588897T3 (pl) | 2018-06-30 | 2020-07-27 | Ovh | Sposób i system obrony infrastruktury przed rozproszonym atakiem odmowy usługi |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005011234A (ja) * | 2003-06-20 | 2005-01-13 | Toshiba Corp | 不正アクセス検出装置、不正アクセス検出方法およびプログラム |
JP2006133992A (ja) * | 2004-11-04 | 2006-05-25 | Toshiba Corp | 異常データ検出装置、異常データ検出方法及び異常データ検出プログラム |
US20110083180A1 (en) * | 2009-10-01 | 2011-04-07 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware |
JP2011076188A (ja) * | 2009-09-29 | 2011-04-14 | Nippon Telegr & Teleph Corp <Ntt> | Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム |
JP2011086192A (ja) * | 2009-10-16 | 2011-04-28 | Nippon Telegr & Teleph Corp <Ntt> | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム |
JP2011087189A (ja) * | 2009-10-16 | 2011-04-28 | Nippon Telegr & Teleph Corp <Ntt> | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム |
-
2011
- 2011-06-28 JP JP2011142902A patent/JP5655191B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005011234A (ja) * | 2003-06-20 | 2005-01-13 | Toshiba Corp | 不正アクセス検出装置、不正アクセス検出方法およびプログラム |
JP2006133992A (ja) * | 2004-11-04 | 2006-05-25 | Toshiba Corp | 異常データ検出装置、異常データ検出方法及び異常データ検出プログラム |
JP2011076188A (ja) * | 2009-09-29 | 2011-04-14 | Nippon Telegr & Teleph Corp <Ntt> | Dnsトラフィックデータを利用したボット感染者検知方法およびボット感染者検知システム |
US20110083180A1 (en) * | 2009-10-01 | 2011-04-07 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware |
JP2011086192A (ja) * | 2009-10-16 | 2011-04-28 | Nippon Telegr & Teleph Corp <Ntt> | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム |
JP2011087189A (ja) * | 2009-10-16 | 2011-04-28 | Nippon Telegr & Teleph Corp <Ntt> | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9369434B2 (en) | 2013-09-03 | 2016-06-14 | Electronics And Telecommunications Research Institute | Whitelist-based network switch |
JP2015050767A (ja) * | 2013-09-03 | 2015-03-16 | 韓國電子通信研究院Electronics and Telecommunications Research Institute | ホワイトリスト基盤のネットワークスイッチ |
JP2016081348A (ja) * | 2014-10-17 | 2016-05-16 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム |
JP2017532916A (ja) * | 2014-10-31 | 2017-11-02 | 中国科学院声学研究所Institute Of Acoustics, Chinese Academy Of Sciences | Rdpデータ収集装置及び方法 |
WO2016121621A1 (ja) * | 2015-01-27 | 2016-08-04 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP2016139935A (ja) * | 2015-01-27 | 2016-08-04 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP2018007179A (ja) * | 2016-07-07 | 2018-01-11 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 監視装置、監視方法および監視プログラム |
JP2018073140A (ja) * | 2016-10-31 | 2018-05-10 | 富士通株式会社 | ネットワーク監視装置、プログラム及び方法 |
JP2019536158A (ja) * | 2016-11-23 | 2019-12-12 | Line株式会社 | 検知結果が有効であるかないかを検証する方法およびシステム |
WO2019026310A1 (ja) | 2017-08-02 | 2019-02-07 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
JP6375047B1 (ja) * | 2017-12-05 | 2018-08-15 | 株式会社サイバーセキュリティクラウド | ファイアウォール装置 |
JP2019103039A (ja) * | 2017-12-05 | 2019-06-24 | 株式会社サイバーセキュリティクラウド | ファイアウォール装置 |
US11088991B2 (en) | 2017-12-05 | 2021-08-10 | Cyber Security Cloud, Inc. | Firewall device to automatically select a rule required for each individual web server |
JP2020005234A (ja) * | 2018-07-02 | 2020-01-09 | 日本電信電話株式会社 | 生成装置、生成方法及び生成プログラム |
WO2020009094A1 (ja) * | 2018-07-02 | 2020-01-09 | 日本電信電話株式会社 | 生成装置、生成方法及び生成プログラム |
JP7052602B2 (ja) | 2018-07-02 | 2022-04-12 | 日本電信電話株式会社 | 生成装置、生成方法及び生成プログラム |
US11985151B2 (en) | 2018-07-02 | 2024-05-14 | Nippon Telegraph And Telephone Corporation | Generation device, generation method, and generation program |
Also Published As
Publication number | Publication date |
---|---|
JP5655191B2 (ja) | 2015-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5655191B2 (ja) | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム | |
US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
JP6053091B2 (ja) | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム | |
JP6159018B2 (ja) | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム | |
US8347383B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
EP3591558A1 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
JP5832951B2 (ja) | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム | |
Affinito et al. | The evolution of Mirai botnet scans over a six-year period | |
JP5986340B2 (ja) | Url選定方法、url選定システム、url選定装置及びurl選定プログラム | |
WO2022166166A1 (zh) | 安全组件的功能验证方法及装置 | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
JP5345500B2 (ja) | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム | |
JP6538618B2 (ja) | 管理装置及び管理方法 | |
JP5313104B2 (ja) | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム | |
JP5385867B2 (ja) | データ転送装置及びアクセス解析方法 | |
JP5952219B2 (ja) | ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム | |
JP5952220B2 (ja) | ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム | |
JP2013255196A (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
KR101686472B1 (ko) | 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법 | |
Misbahuddin et al. | Dynamic IDP Signature processing by fast elimination using DFA | |
Singh | Intrusion detection system (IDS) and intrusion prevention system (IPS) for network security: a critical analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131004 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20131004 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140626 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140715 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140916 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141007 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141009 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5655191 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |