JP2014021720A - 攻撃ホスト検知装置、方法及びプログラム - Google Patents
攻撃ホスト検知装置、方法及びプログラム Download PDFInfo
- Publication number
- JP2014021720A JP2014021720A JP2012159853A JP2012159853A JP2014021720A JP 2014021720 A JP2014021720 A JP 2014021720A JP 2012159853 A JP2012159853 A JP 2012159853A JP 2012159853 A JP2012159853 A JP 2012159853A JP 2014021720 A JP2014021720 A JP 2014021720A
- Authority
- JP
- Japan
- Prior art keywords
- host
- time
- detection device
- transmitted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】迷惑メール送信ホストの検知精度を向上した攻撃ホスト検知装置、方法及びプログラムを提供すること。
【解決手段】ホスト検知装置1は、トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出部11と、抽出部11により抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶するホスト履歴データ21及び直近トラフィックデータ22と、第2の時間内にメールを送信したホストのうち、第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定部12と、を備える。
【選択図】図1
【解決手段】ホスト検知装置1は、トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出部11と、抽出部11により抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶するホスト履歴データ21及び直近トラフィックデータ22と、第2の時間内にメールを送信したホストのうち、第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定部12と、を備える。
【選択図】図1
Description
本発明は、迷惑メールを送信した攻撃ホストを検知する装置、方法及びプログラムに関する。
従来、迷惑メール(スパムメール)への対策として、メール本文の特徴から迷惑メールを判定する方式(例えば、非特許文献1又は2参照)と、ホスト若しくはメールアドレスの情報から迷惑メールを判定する方式(例えば、非特許文献3、4又は5参照)とが知られている。
また、メール本文の特徴から迷惑メールを判定する方式は、本文中に迷惑メールの特徴である文字列が含まれていることを検知するため検知精度が高いが、処理負荷が大きい。一方、ホスト又はメールアドレスの情報から迷惑メールを判定する方式は、検知精度が劣るものの、少ない情報から迷惑メール送信ホストを判断するため処理負荷が小さい。そこで、後者の方式は、メールサーバに一次フィルタとして導入されることが多い。
SpamAssassin、[online]、[平成24年6月20日検索]、インターネット<http://spamassassin.apache.org/index.html>
TransWARE、[online]、[平成24年6月20日検索]、インターネット<http://www.transware.co.jp/product/ah/svm.html>
Spamhaus、[online]、[平成24年6月20日検索]、インターネット<http://www.spamhaus.org/>
SPF、[online]、[平成24年6月20日検索]、インターネット<http://www.ietf.org/rfc/rfc4408.txt>
S25R、[online]、[平成24年6月20日検索]、インターネット<http://http://www.gabacho−net.jp/anti−spam/anti−spam−system.html>
ところで、ホスト又はメールアドレスの情報から迷惑メールを判定する方式は、既知の迷惑メール送信ホストのリスト、信頼できるメールサーバの判定、既知の迷惑メール送信ホストの文字列的特徴を用いている。
しかしながら、近年観測されている迷惑メール送信ホストの中には、IPアドレスを取得し、正規のサーバに近いドメインを取得し、さらにSPF(Sender Policy Framework)の設定を行っているホストが存在する。したがって、従来の方法では迷惑メール送信ホストの検知が難しくなっている。
また、局所的に、例えば特定の相手に迷惑メールを送信している迷惑メール送信ホストはブラックリストに登録され難いため、検知が難しかった。
また、局所的に、例えば特定の相手に迷惑メールを送信している迷惑メール送信ホストはブラックリストに登録され難いため、検知が難しかった。
本発明は、迷惑メール送信ホストの検知精度を向上した攻撃ホスト検知装置、方法及びプログラムを提供することを目的とする。
本発明では、以下のような解決手段を提供する。
(1)トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出部と、前記抽出部により抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶する記憶部と、前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定部と、を備える攻撃ホスト検知装置。
このような構成によれば、攻撃ホスト検知装置は、直近の第2の時間内に新たにメール送信を開始したホストを、ブラックリストの候補として特定できる。したがって、攻撃ホスト検知装置は、新たに迷惑メールの送信を開始したホストの候補を特定できるので、迷惑メールフィルタとしての精度を向上でき、組み合わせ可能な既存のブラックリスト又はコンテンツフィルタ等による処理負荷を低減できる。
また、攻撃ホスト検知装置は、特定されたホストをブラックリストとして記憶できるので、迷惑メールフィルタに用いられるブラックリストを動的に生成・更新して、迷惑メールの検知精度を向上できる。
また、攻撃ホスト検知装置は、特定されたホストをブラックリストとして記憶できるので、迷惑メールフィルタに用いられるブラックリストを動的に生成・更新して、迷惑メールの検知精度を向上できる。
(2)前記特定部は、前記第1のホストのうち、前記第2の時間内でメール送信が断続的に継続した第3の時間が所定以上である第2のホストを、ブラックリストの候補として特定する(1)に記載の攻撃ホスト検知装置。
このような構成によれば、攻撃ホスト検知装置は、第1の時間にはメールを送信しておらず、直近の第2の時間になって突然に所定以上に多量のメール送信を行ったホストを特定できる。したがって、攻撃ホスト検知装置は、迷惑メールの特徴である大量送信を検知することで、新たに迷惑メールの送信を開始した攻撃ホストの候補を精度良く特定できる。
(3)前記特定部は、前記第2のホストのうち、前記第3の時間内で単位時間当たりに送信されたデータ量が所定以上である第3のホストを、ブラックリストの候補として特定する(2)に記載の攻撃ホスト検知装置。
このような構成によれば、攻撃ホスト検知装置は、メール送信継続時間である第3の時間において送信されたメール数を推測できるので、第1の時間にはメールを送信しておらず、直近の第2の時間になって突然に所定以上に多量のメール送信を行ったホストを特定できる。したがって、ホスト検知装置は、迷惑メールの特徴である大量送信を検知することで、新たに迷惑メールの送信を開始した攻撃ホストの候補を精度良く特定できる。
(4)前記特定部は、前記第1のホストのうち、前記第2の時間内に送信されたデータ量が所定以上である第4のホストを、ブラックリストの候補として特定する(1)に記載の攻撃ホスト検知装置。
このような構成によれば、攻撃ホスト検知装置は、第2の時間において送信されたメール数を推測できるので、第1の時間にはメールを送信しておらず、直近の第2の時間になって突然に所定以上に多量のメール送信を行ったホストを特定できる。したがって、攻撃ホスト検知装置は、迷惑メールの特徴である大量送信を検知することで、新たに迷惑メールの送信を開始した攻撃ホストの候補を精度良く特定できる。
(5)前記特定部は、国内に割り当てられているIPアドレスを有するホストを、ブラックリストの候補として特定する(1)から(4)のいずれか1項に記載の攻撃ホスト検知装置。
このような構成によれば、攻撃ホスト検知装置は、国内に割り当てられているIPアドレスを有するホストを特定できるので、自身に関連深いエリアに限定して、局所的な迷惑メール送信ホストを効率的に特定できる。
(6)前記特定部は、自装置の管理対象であるIPアドレスを有するホストを、ブラックリストの候補として特定する(1)から(5)のいずれか1項に記載の攻撃ホスト検知装置。
このような構成によれば、攻撃ホスト検知装置は、自身の管理対象であるIPアドレスを有するホストを特定できるので、自身に関連深い対象ホストに限定して、局所的な迷惑メール送信ホストを効率的に特定できる。
(7)前記特定部は、IPアドレス又は当該IPアドレスから導出されるドメインの少なくとも一部が既存のブラックリストと共通するホストを、ブラックリストの候補として特定する(1)から(6)のいずれか1項に記載の攻撃ホスト検知装置。
このような構成によれば、攻撃ホスト検知装置は、IPアドレス又はその逆引きにより得られるドメインの一部に、既知の迷惑メールと類似する部分が存在するホストを特定できる。したがって、攻撃ホスト検知装置は、例えば、ドメインが同じでIPアドレスを変えた場合、又はドメインの一部を変えた場合等、迷惑メール送信ホストである可能性が高いホストを効率的に特定できる。
また、攻撃ホスト検知装置は、特定されたホストのIPアドレスをブラックリストとして記憶できるので、サブドメイン又はサブネットをブラックリストとして利用する場合に比べて、処理負荷を低減できる。
また、攻撃ホスト検知装置は、特定されたホストのIPアドレスをブラックリストとして記憶できるので、サブドメイン又はサブネットをブラックリストとして利用する場合に比べて、処理負荷を低減できる。
(8)トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出ステップと、前記抽出ステップにおいて抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶する記憶ステップと、前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定ステップと、をコンピュータが実行する攻撃ホスト検知方法。
このような構成によれば、攻撃ホスト検知方法をコンピュータが実行することにより、(1)と同様の効果が期待できる。
(9)トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出ステップと、前記抽出ステップにおいて抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶する記憶ステップと、前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定ステップと、をコンピュータに実行させるための攻撃ホスト検知プログラム。
このような構成によれば、攻撃ホスト検知プログラムをコンピュータに実行させることにより、(1)と同様の効果が期待できる。
本発明によれば、迷惑メール送信ホストの検知精度を向上できる。
以下、本発明の実施形態の一例について説明する。
本実施形態に係るホスト検知装置1は、新たに攻撃を開始した迷惑メール送信ホストを検知するサーバ装置である。
本実施形態に係るホスト検知装置1は、新たに攻撃を開始した迷惑メール送信ホストを検知するサーバ装置である。
図1は、本実施形態に係るホスト検知装置1の機能構成を示す図である。
ホスト検知装置1は、制御部10と、記憶部20と、通信部30と、入力部40と、表示部50とを備える。
ホスト検知装置1は、制御部10と、記憶部20と、通信部30と、入力部40と、表示部50とを備える。
制御部10は、ホスト検知装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、前述のハードウェアと協働し、本実施形態における各種機能を実現している。制御部10は、CPU(Central Processing Unit)であってよい。なお、制御部10が備える各部の機能は後述する。
記憶部20は、ハードウェア群をホスト検知装置1として機能させるための各種プログラム、本実施形態の各種機能を制御部10に実行させるためのプログラム、及び各種データ等を記憶する。なお、記憶部20が記憶する各種データは後述する。
通信部30は、ホスト検知装置1が他の装置と情報を送受信する場合のネットワーク・アダプタであり、ネットワーク内のコアルータ等にアクセスし、ネットワークフローデータ又はパケットキャプチャデータ等、トラフィックデータを取得して制御部10へ提供する。
入力部40は、ホスト検知装置1に対するユーザからの指示入力を受け付けるインタフェース装置である。入力部40は、例えばキー操作部又はタッチパネル等により構成される。
表示部50は、ユーザにデータの入力を受け付ける画面を表示したり、ホスト検知装置1による処理結果の画面を表示したりするものである。表示部50は、液晶ディスプレイや有機ELディスプレイであってよい。
前述の制御部10は、抽出部11と、特定部12とを備える。また、記憶部20は、ホスト履歴データ21と、直近トラフィックデータ22と、ブラックリスト23とを有する。
抽出部11は、通信部30を介して取得したトラフィックデータから、メールを送信したホストの識別情報を抽出し、記憶部20に記憶する。
ここで、記憶部20のホスト履歴データ21は、過去一定の時間(第1の時間、例えば1週間)内にメールを送信したホストの識別情報を含む。また、記憶部20の直近トラフィックデータ22は、第1の時間に続く第2の時間(例えば、1時間)内にメールを送信したホストの識別情報毎のトラフィックデータを含む。
ここで、記憶部20のホスト履歴データ21は、過去一定の時間(第1の時間、例えば1週間)内にメールを送信したホストの識別情報を含む。また、記憶部20の直近トラフィックデータ22は、第1の時間に続く第2の時間(例えば、1時間)内にメールを送信したホストの識別情報毎のトラフィックデータを含む。
なお、ホスト履歴データ21及び直近トラフィックデータ22は、所定のタイミングで又は周期的に更新されてよい。例えば、新たなトラフィックデータが取得された場合に、この新たなデータが直近トラフィックデータ22に追加され、古くなったトラフィックデータに関するホストの識別情報がホスト履歴データ21に移動される。そして、ホスト履歴データ21から、古いデータが削除される。
また、ホスト履歴データ21及び直近トラフィックデータ22は、特定部12によりブラックリストの候補となるホストを特定する際に、新たに作成されてもよい。
また、ホスト履歴データ21及び直近トラフィックデータ22は、特定部12によりブラックリストの候補となるホストを特定する際に、新たに作成されてもよい。
特定部12は、第2の時間内にメールを送信したホストのうち、第1の時間内にメールを送信していないホストを、ブラックリストの候補として特定する。
また、特定部12は、特定されたホスト毎の統計情報を直近トラフィックデータ22から取得する。
統計情報は、第2の時間内で同一ホストからのメール送信が断続的に継続した時間(第3の時間)と、この第3の時間内で単位時間当たりに送信されたパケット数又は単位時間当たりのビット数とを含む。また、統計情報は、第2の時間内に送信されたパケットサイズ又はバイトサイズ等を含んでもよい。
統計情報は、第2の時間内で同一ホストからのメール送信が断続的に継続した時間(第3の時間)と、この第3の時間内で単位時間当たりに送信されたパケット数又は単位時間当たりのビット数とを含む。また、統計情報は、第2の時間内に送信されたパケットサイズ又はバイトサイズ等を含んでもよい。
図2は、本実施形態に係る第1の時間、第2の時間及び第3の時間の関係を示す図である。
第1の時間(例えば、1週間)に続いて、第2の時間(例えば、1時間)が設けられる。そして、第2の時間内に、新たなホスト(IPアドレス)から複数のメール送信が確認された場合、これらのメール送信の継続時間として、第3の時間が求められる。
第1の時間(例えば、1週間)に続いて、第2の時間(例えば、1時間)が設けられる。そして、第2の時間内に、新たなホスト(IPアドレス)から複数のメール送信が確認された場合、これらのメール送信の継続時間として、第3の時間が求められる。
さらに、特定部12は、特定したホストから、さらに以下の条件を満たすホストに絞り込み、ブラックリストの候補とする。
(1)第2の時間内でメール送信が断続的に継続した第3の時間が所定以上(例えば、1秒以上)であるホスト(第2のホスト)。
(2)第3の時間内で単位時間(1秒)当たりに送信されたデータ量(例えば、パケット数又はビット数等)が所定以上であるホスト(第3のホスト)。例えば、メール1通当たり11パケットと想定し、単位時間当たり1つ以上のメールを送信したホスト、すなわち、11パケット×128バイト×8ビット=11264bps以上であるホスト。
(3)第2の時間内に送信されたデータ量(例えば、パケットサイズ又はバイトサイズ等)が所定以上であるホスト(第4のホスト)。
(4)国内(例えば、日本国内)に割り当てられているIPアドレスを有するホスト。国内に割り当てられているIPアドレスか否かは、所定の機関(例えば、日本国ではJPNIC)から提供される情報により判定される。
(5)ホスト検知装置1が含まれる所定のネットワークの管理対象であるIPアドレスを有するホスト。
(6)IPアドレス又はIPアドレスから導出されるドメインの少なくとも一部が既存のブラックリストと共通するホスト。具体的には、IPアドレスのうちサブネット(例えば、/24)が一致するホスト、又はサブドメインが一致するホスト等。
特定部12は、これらの条件のいずれか、又は所定の組み合わせ(例えば、(1,2)、(1,2,4)、(1,2,6)等)を満たすホストをブラックリスト23として記憶部20に記憶する。このブラックリスト23は、所定のサーバ(ホスト検知装置1が兼ねていてもよい。)において、新たに検知したメールが迷惑メールか否かを判定するための一次フィルタとして用いられる。
なお、いずれの条件を用いるかは、適宜設計可能である。
なお、いずれの条件を用いるかは、適宜設計可能である。
図3は、本実施形態に係るホスト検知装置1における制御部10の処理を示すフローチャートである。
なお、ホスト履歴データ21及び直近トラフィックデータ22は作成済みであるものとする。
なお、ホスト履歴データ21及び直近トラフィックデータ22は作成済みであるものとする。
ステップS1において、特定部12は、ホスト履歴データ21から、第1の時間内にメールを送信したホストの識別情報を取得する。
ステップS2において、特定部12は、直近トラフィックデータ22から、第2の時間内にメールを送信したホストの識別情報を取得する。
ステップS3において、特定部12は、直近トラフィックデータ22に存在し、ホスト履歴データ21に存在しないホストを、ブラックリストの候補として特定する。
ステップS4において、特定部12は、ステップS3で特定されたホストのうち、予め設定されている上述の条件を満たすホストを抽出する。
ステップS5において、特定部12は、ステップS4で抽出されたホストをブラックリスト23に登録する。
以上のように、本実施形態によれば、ホスト検知装置1は、直近の第2の時間内に新たにメール送信を開始したホストを、ブラックリストの候補として特定できる。したがって、ホスト検知装置1は、新たに迷惑メールの送信を開始したホストの候補を特定できるので、迷惑メールフィルタとしての精度を向上でき、組み合わせ可能な既存のブラックリスト又はコンテンツフィルタ等による処理負荷を低減できる。
さらに、ホスト検知装置1は、特定されたホストをブラックリストとして記憶できるので、迷惑メールフィルタに用いられるブラックリストを動的に生成・更新して、迷惑メールの検知精度を向上できる。
さらに、ホスト検知装置1は、特定されたホストをブラックリストとして記憶できるので、迷惑メールフィルタに用いられるブラックリストを動的に生成・更新して、迷惑メールの検知精度を向上できる。
また、ホスト検知装置1は、第1の時間にはメールを送信しておらず、直近の第2の時間になって突然に所定以上に多量のメール送信を行ったホストを、メール送信継続時間である第3の時間、又は送信データ量から推測されるメール数等に基づいて特定できる。したがって、ホスト検知装置1は、迷惑メールの特徴である大量送信を検知することで、新たに迷惑メールの送信を開始したホストの候補を精度良く特定できる。
また、ホスト検知装置1は、国内に割り当てられているIPアドレス、又は自身が含まれるネットワークの管理対象であるIPアドレスを有するホストを特定できるので、自身に関連深い対象ホストに限定して、局所的な迷惑メール送信ホストを効率的に特定できる。
また、ホスト検知装置1は、IPアドレス又はその逆引きにより得られるドメインの一部に、既知の迷惑メールと類似する部分が存在するホストを特定できる。したがって、ホスト検知装置1は、例えば、ドメインが同じでIPアドレスを変えた場合、又はドメインの一部を変えた場合等、迷惑メール送信ホストである可能性が高いホストを効率的に特定できる。
さらに、ホスト検知装置1は、特定されたホストのIPアドレスをブラックリストとして記憶できるので、サブドメイン又はサブネットをブラックリストとして利用する場合に比べて、処理負荷を低減できる。
さらに、ホスト検知装置1は、特定されたホストのIPアドレスをブラックリストとして記憶できるので、サブドメイン又はサブネットをブラックリストとして利用する場合に比べて、処理負荷を低減できる。
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。
ホスト検知装置1は、ネットワークに接続可能な情報処理装置の一例であり、サーバ装置又はPC(Personal Computer)等、様々な情報処理装置(コンピュータ)であってよく、前述の各機能は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、上記情報処理装置にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
1 ホスト検知装置
10 制御部
11 抽出部
12 特定部
20 記憶部
21 ホスト履歴データ
22 直近トラフィックデータ
23 ブラックリスト
30 通信部
10 制御部
11 抽出部
12 特定部
20 記憶部
21 ホスト履歴データ
22 直近トラフィックデータ
23 ブラックリスト
30 通信部
Claims (9)
- トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出部と、
前記抽出部により抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶する記憶部と、
前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定部と、を備える攻撃ホスト検知装置。 - 前記特定部は、前記第1のホストのうち、前記第2の時間内でメール送信が断続的に継続した第3の時間が所定以上である第2のホストを、ブラックリストの候補として特定する請求項1に記載の攻撃ホスト検知装置。
- 前記特定部は、前記第2のホストのうち、前記第3の時間内で単位時間当たりに送信されたデータ量が所定以上である第3のホストを、ブラックリストの候補として特定する請求項2に記載の攻撃ホスト検知装置。
- 前記特定部は、前記第1のホストのうち、前記第2の時間内に送信されたデータ量が所定以上である第4のホストを、ブラックリストの候補として特定する請求項1に記載の攻撃ホスト検知装置。
- 前記特定部は、国内に割り当てられているIPアドレスを有するホストを、ブラックリストの候補として特定する請求項1から請求項4のいずれか1項に記載の攻撃ホスト検知装置。
- 前記特定部は、自装置の管理対象であるIPアドレスを有するホストを、ブラックリストの候補として特定する請求項1から請求項5のいずれか1項に記載の攻撃ホスト検知装置。
- 前記特定部は、IPアドレス又は当該IPアドレスから導出されるドメインの少なくとも一部が既存のブラックリストと共通するホストを、ブラックリストの候補として特定する請求項1から請求項6のいずれか1項に記載の攻撃ホスト検知装置。
- トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出ステップと、
前記抽出ステップにおいて抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶する記憶ステップと、
前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定ステップと、をコンピュータが実行する攻撃ホスト検知方法。 - トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出ステップと、
前記抽出ステップにおいて抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶する記憶ステップと、
前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定ステップと、をコンピュータに実行させるための攻撃ホスト検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012159853A JP5882852B2 (ja) | 2012-07-18 | 2012-07-18 | 攻撃ホスト検知装置、方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012159853A JP5882852B2 (ja) | 2012-07-18 | 2012-07-18 | 攻撃ホスト検知装置、方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014021720A true JP2014021720A (ja) | 2014-02-03 |
| JP5882852B2 JP5882852B2 (ja) | 2016-03-09 |
Family
ID=50196527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012159853A Active JP5882852B2 (ja) | 2012-07-18 | 2012-07-18 | 攻撃ホスト検知装置、方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5882852B2 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004172891A (ja) * | 2002-11-19 | 2004-06-17 | Nec Corp | 迷惑メール抑止装置、迷惑メール抑止方法、及び迷惑メール抑止プログラム |
| JP2010004442A (ja) * | 2008-06-23 | 2010-01-07 | Nec System Technologies Ltd | 不正端末アクセス制御システム、管理端末、管理サーバ、不正端末アクセス制御方法、管理端末制御方法、管理サーバ制御方法、及びプログラム |
| JP2012015684A (ja) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
| JP2012114719A (ja) * | 2010-11-25 | 2012-06-14 | Kddi Corp | 検知装置、検知方法及び検知プログラム |
-
2012
- 2012-07-18 JP JP2012159853A patent/JP5882852B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004172891A (ja) * | 2002-11-19 | 2004-06-17 | Nec Corp | 迷惑メール抑止装置、迷惑メール抑止方法、及び迷惑メール抑止プログラム |
| JP2010004442A (ja) * | 2008-06-23 | 2010-01-07 | Nec System Technologies Ltd | 不正端末アクセス制御システム、管理端末、管理サーバ、不正端末アクセス制御方法、管理端末制御方法、管理サーバ制御方法、及びプログラム |
| JP2012015684A (ja) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
| JP2012114719A (ja) * | 2010-11-25 | 2012-06-14 | Kddi Corp | 検知装置、検知方法及び検知プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5882852B2 (ja) | 2016-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11005871B2 (en) | Cloud-based anomalous traffic detection and protection in a remote network via DNS properties | |
| US10673874B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
| US11882137B2 (en) | Network security blacklist derived from honeypot statistics | |
| US8856928B1 (en) | Protecting electronic assets using false profiles in social networks | |
| WO2017000439A1 (zh) | 一种恶意行为的检测方法、系统、设备及计算机存储介质 | |
| JP2009054136A (ja) | メッセージの予測フィルターを生成する方法及び装置 | |
| CN108234473B (zh) | 一种报文防攻击方法及装置 | |
| WO2016140038A1 (ja) | 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム | |
| US11411990B2 (en) | Early detection of potentially-compromised email accounts | |
| US10397225B2 (en) | System and method for network access control | |
| JPWO2018163464A1 (ja) | 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム | |
| JP5119059B2 (ja) | 情報処理装置、情報処理システム、プログラム、および記録媒体 | |
| Zimba et al. | A dive into the deep: demystifying wannacry crypto ransomware network attacks via digital forensics | |
| JP6032449B1 (ja) | サイバー攻撃メール対応訓練システム | |
| JP5607513B2 (ja) | 検知装置、検知方法及び検知プログラム | |
| CN109413015B (zh) | 一种dns劫持的防御方法和装置 | |
| JP2011130358A (ja) | 電子メールシステム及び電子メールシステムの迷惑メール判別方法 | |
| JP5882852B2 (ja) | 攻撃ホスト検知装置、方法及びプログラム | |
| US20160337394A1 (en) | Newborn domain screening of electronic mail messages | |
| JP2014063402A (ja) | スパムメール検知装置、方法及びプログラム | |
| JP2014050057A (ja) | 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム | |
| US9124472B1 (en) | Providing file information to a client responsive to a file download stability prediction | |
| JP5639535B2 (ja) | 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム | |
| JP2011199507A (ja) | 攻撃検出装置、攻撃検出方法、及びプログラム | |
| JP6266487B2 (ja) | メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150122 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151020 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151021 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151217 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160126 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160204 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5882852 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |