JP2014021720A - 攻撃ホスト検知装置、方法及びプログラム - Google Patents
攻撃ホスト検知装置、方法及びプログラム Download PDFInfo
- Publication number
- JP2014021720A JP2014021720A JP2012159853A JP2012159853A JP2014021720A JP 2014021720 A JP2014021720 A JP 2014021720A JP 2012159853 A JP2012159853 A JP 2012159853A JP 2012159853 A JP2012159853 A JP 2012159853A JP 2014021720 A JP2014021720 A JP 2014021720A
- Authority
- JP
- Japan
- Prior art keywords
- host
- time
- detection device
- transmitted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【解決手段】ホスト検知装置1は、トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出部11と、抽出部11により抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶するホスト履歴データ21及び直近トラフィックデータ22と、第2の時間内にメールを送信したホストのうち、第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定部12と、を備える。
【選択図】図1
Description
また、局所的に、例えば特定の相手に迷惑メールを送信している迷惑メール送信ホストはブラックリストに登録され難いため、検知が難しかった。
また、攻撃ホスト検知装置は、特定されたホストをブラックリストとして記憶できるので、迷惑メールフィルタに用いられるブラックリストを動的に生成・更新して、迷惑メールの検知精度を向上できる。
また、攻撃ホスト検知装置は、特定されたホストのIPアドレスをブラックリストとして記憶できるので、サブドメイン又はサブネットをブラックリストとして利用する場合に比べて、処理負荷を低減できる。
本実施形態に係るホスト検知装置1は、新たに攻撃を開始した迷惑メール送信ホストを検知するサーバ装置である。
ホスト検知装置1は、制御部10と、記憶部20と、通信部30と、入力部40と、表示部50とを備える。
ここで、記憶部20のホスト履歴データ21は、過去一定の時間(第1の時間、例えば1週間)内にメールを送信したホストの識別情報を含む。また、記憶部20の直近トラフィックデータ22は、第1の時間に続く第2の時間(例えば、1時間)内にメールを送信したホストの識別情報毎のトラフィックデータを含む。
また、ホスト履歴データ21及び直近トラフィックデータ22は、特定部12によりブラックリストの候補となるホストを特定する際に、新たに作成されてもよい。
統計情報は、第2の時間内で同一ホストからのメール送信が断続的に継続した時間(第3の時間)と、この第3の時間内で単位時間当たりに送信されたパケット数又は単位時間当たりのビット数とを含む。また、統計情報は、第2の時間内に送信されたパケットサイズ又はバイトサイズ等を含んでもよい。
第1の時間(例えば、1週間)に続いて、第2の時間(例えば、1時間)が設けられる。そして、第2の時間内に、新たなホスト(IPアドレス)から複数のメール送信が確認された場合、これらのメール送信の継続時間として、第3の時間が求められる。
なお、いずれの条件を用いるかは、適宜設計可能である。
なお、ホスト履歴データ21及び直近トラフィックデータ22は作成済みであるものとする。
さらに、ホスト検知装置1は、特定されたホストをブラックリストとして記憶できるので、迷惑メールフィルタに用いられるブラックリストを動的に生成・更新して、迷惑メールの検知精度を向上できる。
さらに、ホスト検知装置1は、特定されたホストのIPアドレスをブラックリストとして記憶できるので、サブドメイン又はサブネットをブラックリストとして利用する場合に比べて、処理負荷を低減できる。
10 制御部
11 抽出部
12 特定部
20 記憶部
21 ホスト履歴データ
22 直近トラフィックデータ
23 ブラックリスト
30 通信部
Claims (9)
- トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出部と、
前記抽出部により抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶する記憶部と、
前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定部と、を備える攻撃ホスト検知装置。 - 前記特定部は、前記第1のホストのうち、前記第2の時間内でメール送信が断続的に継続した第3の時間が所定以上である第2のホストを、ブラックリストの候補として特定する請求項1に記載の攻撃ホスト検知装置。
- 前記特定部は、前記第2のホストのうち、前記第3の時間内で単位時間当たりに送信されたデータ量が所定以上である第3のホストを、ブラックリストの候補として特定する請求項2に記載の攻撃ホスト検知装置。
- 前記特定部は、前記第1のホストのうち、前記第2の時間内に送信されたデータ量が所定以上である第4のホストを、ブラックリストの候補として特定する請求項1に記載の攻撃ホスト検知装置。
- 前記特定部は、国内に割り当てられているIPアドレスを有するホストを、ブラックリストの候補として特定する請求項1から請求項4のいずれか1項に記載の攻撃ホスト検知装置。
- 前記特定部は、自装置の管理対象であるIPアドレスを有するホストを、ブラックリストの候補として特定する請求項1から請求項5のいずれか1項に記載の攻撃ホスト検知装置。
- 前記特定部は、IPアドレス又は当該IPアドレスから導出されるドメインの少なくとも一部が既存のブラックリストと共通するホストを、ブラックリストの候補として特定する請求項1から請求項6のいずれか1項に記載の攻撃ホスト検知装置。
- トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出ステップと、
前記抽出ステップにおいて抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶する記憶ステップと、
前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定ステップと、をコンピュータが実行する攻撃ホスト検知方法。 - トラフィックデータから、メールを送信したホストの識別情報を抽出する抽出ステップと、
前記抽出ステップにおいて抽出された、第1の時間内、及び当該第1の時間に続く第2の時間内にメールを送信したホストの識別情報をそれぞれ記憶する記憶ステップと、
前記第2の時間内にメールを送信したホストのうち、前記第1の時間内にメールを送信していない第1のホストを、ブラックリストの候補として特定する特定ステップと、をコンピュータに実行させるための攻撃ホスト検知プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012159853A JP5882852B2 (ja) | 2012-07-18 | 2012-07-18 | 攻撃ホスト検知装置、方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012159853A JP5882852B2 (ja) | 2012-07-18 | 2012-07-18 | 攻撃ホスト検知装置、方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014021720A true JP2014021720A (ja) | 2014-02-03 |
JP5882852B2 JP5882852B2 (ja) | 2016-03-09 |
Family
ID=50196527
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012159853A Active JP5882852B2 (ja) | 2012-07-18 | 2012-07-18 | 攻撃ホスト検知装置、方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5882852B2 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004172891A (ja) * | 2002-11-19 | 2004-06-17 | Nec Corp | 迷惑メール抑止装置、迷惑メール抑止方法、及び迷惑メール抑止プログラム |
JP2010004442A (ja) * | 2008-06-23 | 2010-01-07 | Nec System Technologies Ltd | 不正端末アクセス制御システム、管理端末、管理サーバ、不正端末アクセス制御方法、管理端末制御方法、管理サーバ制御方法、及びプログラム |
JP2012015684A (ja) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
JP2012114719A (ja) * | 2010-11-25 | 2012-06-14 | Kddi Corp | 検知装置、検知方法及び検知プログラム |
-
2012
- 2012-07-18 JP JP2012159853A patent/JP5882852B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004172891A (ja) * | 2002-11-19 | 2004-06-17 | Nec Corp | 迷惑メール抑止装置、迷惑メール抑止方法、及び迷惑メール抑止プログラム |
JP2010004442A (ja) * | 2008-06-23 | 2010-01-07 | Nec System Technologies Ltd | 不正端末アクセス制御システム、管理端末、管理サーバ、不正端末アクセス制御方法、管理端末制御方法、管理サーバ制御方法、及びプログラム |
JP2012015684A (ja) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
JP2012114719A (ja) * | 2010-11-25 | 2012-06-14 | Kddi Corp | 検知装置、検知方法及び検知プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP5882852B2 (ja) | 2016-03-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11005871B2 (en) | Cloud-based anomalous traffic detection and protection in a remote network via DNS properties | |
US10673874B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
US11882137B2 (en) | Network security blacklist derived from honeypot statistics | |
US8856928B1 (en) | Protecting electronic assets using false profiles in social networks | |
WO2017000439A1 (zh) | 一种恶意行为的检测方法、系统、设备及计算机存储介质 | |
JP2009054136A (ja) | メッセージの予測フィルターを生成する方法及び装置 | |
CN108234473B (zh) | 一种报文防攻击方法及装置 | |
WO2016140038A1 (ja) | 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム | |
US11411990B2 (en) | Early detection of potentially-compromised email accounts | |
US10397225B2 (en) | System and method for network access control | |
JPWO2018163464A1 (ja) | 攻撃対策決定装置、攻撃対策決定方法及び攻撃対策決定プログラム | |
JP5119059B2 (ja) | 情報処理装置、情報処理システム、プログラム、および記録媒体 | |
Zimba et al. | A dive into the deep: demystifying wannacry crypto ransomware network attacks via digital forensics | |
JP6032449B1 (ja) | サイバー攻撃メール対応訓練システム | |
JP5607513B2 (ja) | 検知装置、検知方法及び検知プログラム | |
CN109413015B (zh) | 一种dns劫持的防御方法和装置 | |
JP2011130358A (ja) | 電子メールシステム及び電子メールシステムの迷惑メール判別方法 | |
JP5882852B2 (ja) | 攻撃ホスト検知装置、方法及びプログラム | |
US20160337394A1 (en) | Newborn domain screening of electronic mail messages | |
JP2014063402A (ja) | スパムメール検知装置、方法及びプログラム | |
JP2014050057A (ja) | 電子メール監視装置、送信メールサーバ、電子メール監視方法およびプログラム | |
US9124472B1 (en) | Providing file information to a client responsive to a file download stability prediction | |
JP5639535B2 (ja) | 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム | |
JP2011199507A (ja) | 攻撃検出装置、攻撃検出方法、及びプログラム | |
JP6266487B2 (ja) | メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150122 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151020 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151021 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151217 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160126 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160204 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5882852 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |