JP2014064216A - Attack host behavior analyzer, method, and program - Google Patents
Attack host behavior analyzer, method, and program Download PDFInfo
- Publication number
- JP2014064216A JP2014064216A JP2012208951A JP2012208951A JP2014064216A JP 2014064216 A JP2014064216 A JP 2014064216A JP 2012208951 A JP2012208951 A JP 2012208951A JP 2012208951 A JP2012208951 A JP 2012208951A JP 2014064216 A JP2014064216 A JP 2014064216A
- Authority
- JP
- Japan
- Prior art keywords
- data
- time
- distribution
- host
- distribution data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、攻撃ホストによるデータ送信の挙動を解析する装置、方法及びプログラムに関する。 The present invention relates to an apparatus, a method, and a program for analyzing data transmission behavior by an attacking host.
従来、迷惑メール(スパムメール)への対策として、メール本文の特徴から迷惑メールを判定する方式(例えば、非特許文献1又は2参照)と、ホスト若しくはメールアドレスの情報から迷惑メールを判定する方式(例えば、非特許文献3、4又は5参照)とが知られている。
Conventionally, as measures against spam mail (spam mail), a method for judging spam mail from the characteristics of the mail body (for example, refer to Non-Patent
ところで、上述の迷惑メールへの対策は、受信した迷惑メールを検知するものである。したがって、迷惑メールを検知した後、さらに攻撃が継続するのか否か、継続する場合には、ネットワーク及び設備がどの程度逼迫するのか等、今後の動向を把握することは難しかった。 By the way, the above-mentioned countermeasure against spam mail is to detect the received spam mail. Therefore, it has been difficult to grasp future trends such as whether or not the attack will continue after detecting spam and how much the network and equipment will be tight if it continues.
本発明は、攻撃ホストが今後どのような挙動を示すかを予測できる攻撃ホストの挙動解析装置、方法及びプログラムを提供することを目的とする。 It is an object of the present invention to provide an attack host behavior analysis apparatus, method, and program capable of predicting the behavior of an attack host in the future.
本発明では、以下のような解決手段を提供する。 The present invention provides the following solutions.
(1)既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得部と、指定された時刻から第1時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成部と、複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第1分布データをクラスタリングし、1以上のクラスタを生成する分類部と、前記クラスタに対応するホストに関して、前記第1分布データの生成対象時刻の後の第2時間内に対して生成された第2分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付け部と、ある時刻以前の第1時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力部と、を備える攻撃ホストの挙動解析装置。 (1) With respect to transmission data from a known attack host, an acquisition unit that acquires the transmission time of each transmission data and the distribution of the transmission time for the same attack host within a first time from the specified time are shown. A generating unit that generates distribution data, a clustering unit that clusters first distribution data having similar distribution characteristics from the plurality of distribution data corresponding to a plurality of hosts, and generates one or more clusters; For a host corresponding to a cluster, a distribution feature is extracted from a set of second distribution data generated within a second time after the generation target time of the first distribution data, and the feature data is associated with the cluster. And when the new distribution data classified into one of the clusters is generated within a first time before a certain time, Same attack host later as the estimation data behavior for data transmission, behavior analysis device attacks host and an output unit which outputs the feature data associated with the cluster.
このような構成によれば、攻撃ホストの挙動解析装置は、既知の攻撃ホストの過去の挙動を分類したクラスタと、未来の挙動を示す特徴データとを関連付けて記憶する。したがって、攻撃ホストの挙動解析装置は、あるホストについて、いずれかのクラスタに分類される挙動が確認できた場合、このクラスタに関連付けられている特徴データによって、このホストの未来の挙動を予測できる。 According to such a configuration, the attack host behavior analysis apparatus stores a cluster in which past behaviors of known attack hosts are classified and feature data indicating future behavior in association with each other. Therefore, when the behavior analysis apparatus of an attack host can confirm the behavior classified into any cluster for a certain host, it can predict the future behavior of this host from the feature data associated with this cluster.
この結果、攻撃ホストの挙動解析装置は、未来の挙動の予測に基づいて、例えば、今後も定常的に迷惑メールが送信されると予測されれば、対象の攻撃ホストとの通信を遮断する等、判断を下すことができる。
さらに、ネットワークの管理者は、ネットワークの構成変更又は設備増設等を行う際に、攻撃ホストの挙動を見積もり、トラフィック量の概算を計算できるので、無駄な設備投資を抑制できる。
As a result, based on the prediction of future behavior, the attack host behavior analysis device, for example, blocks communication with the target attack host if it is predicted that spam mail will be sent regularly in the future. Judgment can be made.
Furthermore, since the network administrator can estimate the behavior of the attacking host and calculate the traffic volume when changing the network configuration or adding equipment, it is possible to suppress unnecessary equipment investment.
(2)前記分布データは、前記第1時間を所定数に分割した時間帯毎の送信データの有無を示すデータである(1)に記載の攻撃ホストの挙動解析装置。 (2) The attack host behavior analysis device according to (1), wherein the distribution data is data indicating presence / absence of transmission data for each time period obtained by dividing the first time into a predetermined number.
このような構成によれば、攻撃ホストの挙動解析装置は、過去の挙動を示す分布データとして、時間帯毎の送信データの有無を示す数値データを用いて、容易にクラスタリング及び特徴データの関連付けを行うことができる。 According to such a configuration, the attack host behavior analysis device can easily perform clustering and association of feature data by using numerical data indicating the presence or absence of transmission data for each time zone as distribution data indicating past behavior. It can be carried out.
(3)前記分布データは、前記時間帯毎の送信データの有無を要素とするベクトルであり、前記特徴データは、前記分布データとしてのベクトルの集合の中心を示すベクトルである(2)に記載の攻撃ホストの挙動解析装置。 (3) The distribution data is a vector whose element is presence / absence of transmission data for each time period, and the feature data is a vector indicating a center of a set of vectors as the distribution data. Attack host behavior analysis device.
このような構成によれば、攻撃ホストの挙動解析装置は、過去の挙動を示す分布データとして、時間帯毎の送信データの有無を示すベクトルを用いて、容易にクラスタリング及び特徴データの関連付けを行うことができる。 According to such a configuration, the attack host behavior analysis device easily performs clustering and association of feature data using a vector indicating the presence or absence of transmission data for each time zone as distribution data indicating past behavior. be able to.
(4)前記関連付け部は、前記第2分布データの集合をクラスタリングし、要素数が最大のクラスタに対して、前記特徴データを生成する(1)から(3)のいずれかに記載の攻撃ホストの挙動解析装置。 (4) The attacking unit according to any one of (1) to (3), wherein the associating unit clusters the set of the second distribution data and generates the feature data for a cluster having the maximum number of elements. Behavior analysis device.
このような構成によれば、攻撃ホストの挙動解析装置は、過去の挙動を示すクラスタに対応する未来の挙動を示すベクトルの集合をクラスタリングし、最大要素のクラスタを選択することにより、ノイズを抑制して、予測精度を向上できる。 According to such a configuration, the behavior analysis device of the attacking host suppresses noise by clustering a set of vectors indicating future behavior corresponding to clusters indicating past behavior and selecting the cluster with the largest element. Thus, the prediction accuracy can be improved.
(5)前記第1時間、及び当該第1時間を分割する所定数を、指定入力に基づいて調整する調整部を備える(1)から(4)のいずれかに記載の攻撃ホストの挙動解析装置。 (5) The attack host behavior analysis device according to any one of (1) to (4), further including an adjustment unit that adjusts the first time and a predetermined number of times for dividing the first time based on a designated input. .
このような構成によれば、攻撃ホストの挙動解析装置は、分布データを生成する第1時間及び分割数を調整できる。したがって、管理者は、攻撃ホストの挙動解析装置を運用する上で、状況に応じて適切な期間及び分割数を設定し、予測精度を向上できる。 According to such a configuration, the attack host behavior analysis apparatus can adjust the first time and the number of divisions for generating distribution data. Therefore, the administrator can improve the prediction accuracy by setting an appropriate period and the number of divisions according to the situation when operating the behavior analysis apparatus of the attack host.
(6)前記送信データは、迷惑メールである(1)から(5)のいずれかに記載の攻撃ホストの挙動解析装置。 (6) The attack host behavior analysis device according to any one of (1) to (5), wherein the transmission data is a spam mail.
このような構成によれば、攻撃ホストの挙動解析装置は、迷惑メールの送信サーバの未来の挙動を予測できる。 According to such a configuration, the attack host behavior analysis apparatus can predict the future behavior of the spam mail transmission server.
(7)既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得ステップと、指定された時刻から第1時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成ステップと、複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第1分布データをクラスタリングし、1以上のクラスタを生成する分類ステップと、前記クラスタに対応するホストに関して、前記第1分布データの生成対象時刻の後の第2時間内に対して生成された第2分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付けステップと、ある時刻以前の第1時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力ステップと、をコンピュータが実行する攻撃ホストの挙動解析方法。 (7) With respect to transmission data from a known attack host, an acquisition step for acquiring the transmission time of each of the transmission data and the distribution of the transmission time for the same attack host within a first time from the specified time are shown. A generation step of generating distribution data, a clustering step of clustering first distribution data having similar distribution characteristics among a plurality of distribution data corresponding to a plurality of hosts, and generating one or more clusters; For a host corresponding to a cluster, a distribution feature is extracted from a set of second distribution data generated within a second time after the generation target time of the first distribution data, and the feature data is associated with the cluster. And storing the new distribution data classified into one of the clusters within a first time before a certain time. If it is configured, the behavior analysis of the attack host executed by the computer with the output step of outputting the feature data associated with the cluster as the estimation data of the behavior transmitted by the same attack host after the time Method.
このような構成によれば、攻撃ホストの挙動解析方法をコンピュータが実行することにより、(1)と同様の効果が期待できる。 According to such a configuration, the same effect as in (1) can be expected when the computer executes the attack host behavior analysis method.
(8)既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得ステップと、指定された時刻から第1時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成ステップと、複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第1分布データをクラスタリングし、1以上のクラスタを生成する分類ステップと、前記クラスタに対応するホストに関して、前記第1分布データの生成対象時刻の後の第2時間内に対して生成された第2分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付けステップと、ある時刻以前の第1時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力ステップと、をコンピュータに実行させるための攻撃ホストの挙動解析プログラム。 (8) With respect to transmission data from a known attack host, an acquisition step for acquiring the transmission time of each of the transmission data and the distribution of the transmission time for the same attack host within a first time from the specified time are shown. A generation step of generating distribution data, a clustering step of clustering first distribution data having similar distribution characteristics among a plurality of distribution data corresponding to a plurality of hosts, and generating one or more clusters; For a host corresponding to a cluster, a distribution feature is extracted from a set of second distribution data generated within a second time after the generation target time of the first distribution data, and the feature data is associated with the cluster. And storing the new distribution data classified into one of the clusters within a first time before a certain time. If it is configured, an attack host for causing the computer to execute an output step of outputting the feature data associated with the cluster as estimated data of behavior transmitted by the same attack host after the time. Behavior analysis program.
このような構成によれば、攻撃ホストの挙動解析プログラムをコンピュータに実行させることにより、(1)と同様の効果が期待できる。 According to such a configuration, the same effect as in (1) can be expected by causing the computer to execute the behavior analysis program of the attack host.
本発明によれば、攻撃ホストが今後どのような挙動を示すかを予測できる。 According to the present invention, it is possible to predict the behavior of the attacking host in the future.
本発明の実施形態の一例について説明する。
本実施形態に係る解析装置1(攻撃ホストの挙動解析装置)は、ネットワーク上のトラフィックフローデータから、既知の攻撃ホストの挙動を解析することにより、今後の攻撃ホストの挙動を予測するサーバ装置である。なお、攻撃ホストとは、例えば、迷惑メール又は攻撃パケット等のデータを送信するサーバである。以下、送信データは、迷惑メールであるとして説明する。
An example of an embodiment of the present invention will be described.
The analysis device 1 (attack host behavior analysis device) according to the present embodiment is a server device that predicts the future behavior of an attack host by analyzing the behavior of a known attack host from traffic flow data on the network. is there. The attack host is, for example, a server that transmits data such as junk mail or attack packets. Hereinafter, the transmission data will be described as spam mail.
図1は、本実施形態に係る解析装置1を含むシステムの概要図である。
攻撃ホスト2(メールサーバ)から送信される迷惑メールは、バックボーンネットワークのルータ4を通過する。収集サーバ3は、このルータ4から、攻撃ホスト2のIPアドレスに関するトラフィック情報をして、トラフィックフローデータ又はパケットキャプチャデータ等を収集し、解析装置1へ提供する。
FIG. 1 is a schematic diagram of a system including an
The spam mail transmitted from the attack host 2 (mail server) passes through the
図2は、本実施形態に係る解析装置1の機能構成を示す図である。
解析装置1は、制御部10と、記憶部20と、通信部30と、入力部40と、表示部50とを備える。
FIG. 2 is a diagram illustrating a functional configuration of the
The
制御部10は、解析装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、前述のハードウェアと協働し、本実施形態における各種機能を実現している。制御部10は、CPU(Central Processing Unit)であってよい。なお、制御部10が備える各部の機能は後述する。
The
記憶部20は、ハードウェア群を解析装置1として機能させるための各種プログラム、本実施形態の各種機能を制御部10に実行させるためのプログラム、及び各種データ等を記憶する。なお、記憶部20が記憶する各種データは後述する。
The
通信部30は、解析装置1が他の装置と情報を送受信する場合のネットワーク・アダプタであり、収集サーバ3又はネットワーク内のルータ4等に直接アクセスし、ネットワークフローデータ又はパケットキャプチャデータ等のトラフィック情報を取得して制御部10へ提供する。
The
入力部40は、解析装置1に対するユーザからの指示入力を受け付けるインタフェース装置である。入力部40は、例えばキー操作部又はタッチパネル等により構成される。
The
表示部50は、ユーザにデータの入力を受け付ける画面を表示したり、解析装置1による処理結果の画面を表示したりするものである。表示部50は、液晶ディスプレイや有機ELディスプレイであってよい。
The
前述の制御部10は、取得部11と、生成部12と、分類部13と、関連付け部14と、出力部15と、調整部16とを備える。また、記憶部20は、トラフィック情報21と、解析データ22とを記憶する。
The
取得部11は、IPアドレスで特定される既知の攻撃ホスト2からの送信データに関して、この送信データそれぞれの送信時刻を含むトラフィック情報21を、通信部30を介して取得し、記憶部20に記憶する。
既知の攻撃ホスト2のIPアドレスは、例えば、既存のブラックリストやコンテンツフィルタによって迷惑メールと判定されたメールの送信ホストを抽出することにより取得される。
The
The IP address of the known
生成部12は、トラフィック情報21に基づいて、指定された時刻(T)から第1時間(D)内における、同一の攻撃ホスト2に関する送信時刻の分布を示す分布データを生成する。
具体的には、分布データは、第1時間(D)を所定数に分割した時間帯(例えば、1時間)毎の送信データの有無を要素とするベクトルである。
The
Specifically, the distribution data is a vector whose element is the presence or absence of transmission data for each time zone (for example, one hour) obtained by dividing the first time (D) into a predetermined number.
図3は、本実施形態に係る分布データとしてのベクトルの一例を示す図である。
時刻Tから第1時間Dの間について、1時間毎に攻撃ホスト2から迷惑メールが送信されたか否かがトラフィック情報21に基づいて判定される。各時間帯がそれぞれベクトルの要素1つとなり、迷惑メールが送信された時間帯に対応する要素の値は「1」、迷惑メールが送信されなかった時間帯に対応する要素の値は「0」となる。
FIG. 3 is a diagram illustrating an example of a vector as distribution data according to the present embodiment.
Based on the
例えば、時刻Tから時刻T+1までは迷惑メールが送信されなかったので、ベクトルの第1項は「0」、時刻T+1から時刻T+2までは迷惑メールが送信されなかったので、ベクトルの第2項は「1」となる。
なお、解析装置1は、攻撃ホスト2から送信されたメールは全て迷惑メールとみなしてベクトルを生成することにより、処理負荷が低減される。
For example, since the junk mail was not transmitted from time T to
The
分類部13は、複数のホストに対応する複数のベクトルの中から、分布の特徴が類似するベクトル(第1分布データ)をクラスタリングし、1以上のクラスタを生成する。
具体的には、分類部13は、例えば、k−means又はX−means等の教師なしのクラスタリングアルゴリズムを用いて、クラスタを生成する。これにより、攻撃ホスト2の過去の挙動が複数パターンに分類される。
The
Specifically, the
また、分類部13は、各クラスタに含まれるベクトルの集合の中心を示すベクトル(例えば、重心ベクトル)によってクラスタの特徴を表す意味付け(例えば、メールを送り続ける、メールを送り続けた後に停止する、メールを一時的(バースト状)に送る等)を行う。
Further, the
また、生成部12は、各クラスタに対応するホストに関して、ベクトル(第1分布データ)の生成対象時刻(時刻Tから時刻T+D)の後の第2時間内(例えば、時刻T+Dから時刻T+D+Dまで)に対して新たにベクトル(第2分布データ)を生成する。
Further, the
関連付け部14は、新たに生成されたベクトル(第2分布データ)の集合から分布の特徴を抽出し、特徴データをクラスタに関連付けて解析データ22として記憶する。
The associating
ここで、特徴データは、ベクトル(第2分布データ)の集合の中心を示すベクトル(例えば、重心ベクトル)であってよい。このとき、関連付け部は、生成されたベクトル(第2分布データ)の集合をクラスタリングし、要素数が最大のクラスタに対して、特徴データを生成する。
これにより、過去の挙動(第1分布データの特徴)と、この過去の挙動の後に現れる未来の挙動(第2分布データの特徴)との関連付けが記憶される。
Here, the feature data may be a vector (for example, a centroid vector) indicating the center of a set of vectors (second distribution data). At this time, the associating unit clusters the set of generated vectors (second distribution data), and generates feature data for the cluster having the largest number of elements.
Thereby, the association between the past behavior (features of the first distribution data) and the future behavior (features of the second distribution data) appearing after the past behavior is stored.
出力部15は、解析データ22が記憶された後、ある時刻以前の第1時間(D)内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、この時刻以降に同一の攻撃ホスト2がデータ送信する挙動の推定データとして、分類されたクラスタに関連付けられている特徴データを出力する。
出力部15は、表示部50へ、又は通信部30を介して外部端末へ攻撃ホスト2の未来の挙動の推定データを出力する。
When new distribution data classified into one of the clusters is generated within the first time (D) before a certain time after the
The
調整部16は、第1時間(D)、及びこの第1時間を分割する所定数、すなわち迷惑メールの送信の有無を判断する時間間隔(例えば、1時間)を、通信部30又は入力部40等からの指定入力に基づいて調整する。
The
図4は、本実施形態に係る解析データ22の生成処理を示すフローチャートである。
ステップS1において、取得部11は、既知の攻撃ホスト2からの送信データそれぞれのトラフィック情報21を、通信部30を介して取得し、記憶部20に記憶する。
FIG. 4 is a flowchart showing the generation process of the
In step S <b> 1, the
ステップS2において、生成部12は、ステップS1で記憶されたトラフィック情報21に基づいて、指定された時刻(T)から第1時間(D)内における、同一の攻撃ホストに関する送信時刻の分布を示すベクトル(第1分布データ)を生成する。
In step S2, the
ステップS3において、分類部13は、ステップS2で生成されたベクトル(第1分布データ)を、所定のアルゴリズムによりクラスタリングし、1以上のクラスタを生成する。
In step S3, the
ステップS4において、生成部12は、ステップS3で生成されたクラスタそれぞれについて、ベクトル(第1分布データ)の生成対象時刻(時刻Tから時刻T+D)の後の第2時間内(例えば、時刻T+Dから時刻T+D+Dまで)に対して新たにベクトル(第2分布データ)を生成する。
In step S4, the
ステップS5において、関連付け部14は、ステップS4で生成されたベクトル(第2分布データ)の集合から分布の特徴を抽出し、特徴データを対応するクラスタに関連付けて解析データ22として記憶する。
In step S <b> 5, the associating
図5は、本実施形態に係る攻撃ホスト2の挙動の予測処理を示すフローチャートである。
ステップS11において、取得部11は、解析対象の攻撃ホスト2に関するトラフィック情報21を、通信部30を介して取得し、記憶部20に記憶する。
FIG. 5 is a flowchart showing the behavior prediction process of the
In step S <b> 11, the
ステップS12において、生成部12は、ステップS11で記憶されたトラフィック情報21に基づいて、ある時刻までの第1時間(D)内における、迷惑メールの送信時刻の分布を示すベクトルを生成する。
In step S <b> 12, the
ステップS13において、出力部15は、ステップS12で生成されたベクトルに類似したクラスタ、すなわちベクトルが分類され得るクラスタが解析データ22にあるか否かを判定する。この判定がYESの場合、処理はステップS14に移り、判定がNOの場合、処理は終了する。
In step S13, the
ステップS14において、出力部15は、ステップS13で判定されたクラスタに関連付けられている特徴データを、攻撃ホスト2の未来の挙動の推定データとして出力する。なお、ステップS13において、いずれのクラスタにも分類されなかった場合、出力部15は、推定データを出力しない。
In step S <b> 14, the
以上のように、本実施形態によれば、解析装置1は、既知の攻撃ホスト2の過去の挙動を分類したクラスタと、未来の挙動を示す特徴データとを関連付けて記憶する。したがって、解析装置1は、あるホストについて、いずれかのクラスタに分類される挙動が確認できた場合、このクラスタに関連付けられている特徴データによって、このホストの未来の挙動を予測できる。
As described above, according to the present embodiment, the
この結果、解析装置1は、未来の挙動の予測に基づいて、例えば、今後も定常的に迷惑メールが送信されると予測されれば、対象の攻撃ホスト2との通信を遮断する等、判断を下すことができる。
さらに、ネットワークの管理者は、ネットワークの構成変更又は設備増設等を行う際に、攻撃ホスト2の挙動を見積もり、トラフィック量の概算を計算できるので、無駄な設備投資を抑制できる。
As a result, based on the prediction of future behavior, the
Furthermore, since the network administrator can estimate the behavior of the
また、解析装置1は、過去の挙動を示す分布データとして、時間帯毎の送信データの有無を示す数値データ、具体的にはベクトルを用いて、容易にクラスタリング及び特徴データの関連付けを行うことができる。
Further, the
また、解析装置1は、過去の挙動を示すクラスタに対応する未来の挙動を示すベクトルの集合をクラスタリングし、最大要素のクラスタを選択することにより、ノイズを抑制して、予測精度を向上できる。
In addition, the
また、解析装置1は、分布データを生成する期間(第1時間=D)及び分割数を調整できる。したがって、管理者は、解析装置1を運用する上で、状況に応じて適切な期間及び分割数を設定し、予測精度を向上できる。
Moreover, the
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。 As mentioned above, although embodiment of this invention was described, this invention is not restricted to embodiment mentioned above. Further, the effects described in the present embodiment are merely a list of the most preferable effects resulting from the present invention, and the effects of the present invention are not limited to those described in the present embodiment.
解析装置1は、ネットワークに接続可能な情報処理装置の一例であり、サーバ装置又はPC(Personal Computer)等、様々な情報処理装置(コンピュータ)であってよく、前述の各機能は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、上記情報処理装置にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。
The
1 解析装置(攻撃ホストの挙動解析装置)
10 制御部
11 取得部
12 生成部
13 分類部
14 関連付け部
15 出力部
16 調整部
20 記憶部
21 トラフィック情報
22 解析データ
30 通信部
40 入力部
50 表示部
1 Analysis device (attack host behavior analysis device)
DESCRIPTION OF
Claims (8)
指定された時刻から第1時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成部と、
複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第1分布データをクラスタリングし、1以上のクラスタを生成する分類部と、
前記クラスタに対応するホストに関して、前記第1分布データの生成対象時刻の後の第2時間内に対して生成された第2分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付け部と、
ある時刻以前の第1時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力部と、を備える攻撃ホストの挙動解析装置。 With respect to transmission data from a known attack host, an acquisition unit for acquiring the transmission time of each of the transmission data,
A generating unit that generates distribution data indicating a distribution of the transmission time for the same attack host within a first time from a specified time;
A clustering unit that clusters first distribution data having similar distribution characteristics among a plurality of distribution data corresponding to a plurality of hosts, and generates one or more clusters;
For a host corresponding to the cluster, a distribution feature is extracted from a set of second distribution data generated for a second time after the generation target time of the first distribution data, and the feature data is extracted into the cluster. An associating unit for associating and storing;
When new distribution data classified into one of the clusters is generated within a first time before a certain time, it is associated with the cluster as estimated data of behavior transmitted by the same attacking host after that time. An attack host behavior analysis device comprising: an output unit for outputting the feature data.
前記特徴データは、前記分布データとしてのベクトルの集合の中心を示すベクトルである請求項2に記載の攻撃ホストの挙動解析装置。 The distribution data is a vector whose element is the presence or absence of transmission data for each time period,
The attack host behavior analysis device according to claim 2, wherein the feature data is a vector indicating a center of a set of vectors as the distribution data.
指定された時刻から第1時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成ステップと、
複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第1分布データをクラスタリングし、1以上のクラスタを生成する分類ステップと、
前記クラスタに対応するホストに関して、前記第1分布データの生成対象時刻の後の第2時間内に対して生成された第2分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付けステップと、
ある時刻以前の第1時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力ステップと、をコンピュータが実行する攻撃ホストの挙動解析方法。 With respect to transmission data from a known attack host, an acquisition step of acquiring the transmission time of each of the transmission data;
A generation step of generating distribution data indicating a distribution of the transmission time for the same attack host within a first time from a specified time;
A clustering step of clustering first distribution data having similar distribution characteristics from among the plurality of distribution data corresponding to a plurality of hosts to generate one or more clusters;
For a host corresponding to the cluster, a distribution feature is extracted from a set of second distribution data generated for a second time after the generation target time of the first distribution data, and the feature data is extracted into the cluster. An association step to associate and store;
When new distribution data classified into one of the clusters is generated within a first time before a certain time, it is associated with the cluster as estimated data of behavior transmitted by the same attacking host after that time. An attacking host behavior analysis method in which a computer executes an output step of outputting the feature data.
指定された時刻から第1時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成ステップと、
複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第1分布データをクラスタリングし、1以上のクラスタを生成する分類ステップと、
前記クラスタに対応するホストに関して、前記第1分布データの生成対象時刻の後の第2時間内に対して生成された第2分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付けステップと、
ある時刻以前の第1時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力ステップと、をコンピュータに実行させるための攻撃ホストの挙動解析プログラム。 With respect to transmission data from a known attack host, an acquisition step of acquiring the transmission time of each of the transmission data;
A generation step of generating distribution data indicating a distribution of the transmission time for the same attack host within a first time from a specified time;
A clustering step of clustering first distribution data having similar distribution characteristics from among the plurality of distribution data corresponding to a plurality of hosts to generate one or more clusters;
For a host corresponding to the cluster, a distribution feature is extracted from a set of second distribution data generated for a second time after the generation target time of the first distribution data, and the feature data is extracted into the cluster. An association step to associate and store;
When new distribution data classified into one of the clusters is generated within a first time before a certain time, it is associated with the cluster as estimated data of behavior transmitted by the same attacking host after that time. An attack host behavior analysis program for causing a computer to execute the output step of outputting the feature data.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012208951A JP5885631B2 (en) | 2012-09-21 | 2012-09-21 | Attack host behavior analysis apparatus, method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012208951A JP5885631B2 (en) | 2012-09-21 | 2012-09-21 | Attack host behavior analysis apparatus, method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014064216A true JP2014064216A (en) | 2014-04-10 |
JP5885631B2 JP5885631B2 (en) | 2016-03-15 |
Family
ID=50619060
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012208951A Active JP5885631B2 (en) | 2012-09-21 | 2012-09-21 | Attack host behavior analysis apparatus, method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5885631B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107743087A (en) * | 2016-10-27 | 2018-02-27 | 腾讯科技(深圳)有限公司 | The detection method and system of a kind of e-mail attack |
JP2018098635A (en) * | 2016-12-13 | 2018-06-21 | Kddi株式会社 | Communication prediction device, communication prediction method, and communication prediction program |
JP2019004249A (en) * | 2017-06-13 | 2019-01-10 | 日本電信電話株式会社 | Black list setting apparatus, black list setting method, and black list setting program |
CN110336784A (en) * | 2019-05-22 | 2019-10-15 | 北京瀚海思创科技有限公司 | Network attack identification prediction system, method and storage medium based on big data |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004186878A (en) * | 2002-12-02 | 2004-07-02 | Keyware Solutions Inc | Intrusion detecting apparatus and intrusion detecting program |
US20050138201A1 (en) * | 2003-12-19 | 2005-06-23 | Martin Soukup | Technique for monitoring source addresses through statistical clustering of packets |
JP2005341217A (en) * | 2004-05-27 | 2005-12-08 | Fujitsu Ltd | Device, method, and program for unauthorized access detection and distributed detection device against unserviceable attack |
JP2007243459A (en) * | 2006-03-07 | 2007-09-20 | Nippon Telegraph & Telephone East Corp | Traffic state extracting apparatus and method, and computer program |
JP2012114719A (en) * | 2010-11-25 | 2012-06-14 | Kddi Corp | Detection device, detection method, and detection program |
-
2012
- 2012-09-21 JP JP2012208951A patent/JP5885631B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004186878A (en) * | 2002-12-02 | 2004-07-02 | Keyware Solutions Inc | Intrusion detecting apparatus and intrusion detecting program |
US20050138201A1 (en) * | 2003-12-19 | 2005-06-23 | Martin Soukup | Technique for monitoring source addresses through statistical clustering of packets |
JP2005341217A (en) * | 2004-05-27 | 2005-12-08 | Fujitsu Ltd | Device, method, and program for unauthorized access detection and distributed detection device against unserviceable attack |
JP2007243459A (en) * | 2006-03-07 | 2007-09-20 | Nippon Telegraph & Telephone East Corp | Traffic state extracting apparatus and method, and computer program |
JP2012114719A (en) * | 2010-11-25 | 2012-06-14 | Kddi Corp | Detection device, detection method, and detection program |
Non-Patent Citations (2)
Title |
---|
JPN6015044790; 石田 千枝 CHIE ISHIDA: 'ベイズ推測を用いた不正侵入イベント増減予測 Forecast of Increasing or Decreasing Intrusion Event Cou' 情報処理学会論文誌 IPSJ Journal 第46巻 第11号, 20051115, p.2704-2713, 社団法人情報処理学会 Information Processing Socie * |
JPN6015044791; 澤谷 雪子: 'トラフィックの統計解析によるDoS攻撃事例モデル化の検討' 電子情報通信学会2012年総合大会講演論文集 通信2 , 20120306, 206, 社団法人電子情報通信学会 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107743087A (en) * | 2016-10-27 | 2018-02-27 | 腾讯科技(深圳)有限公司 | The detection method and system of a kind of e-mail attack |
CN107743087B (en) * | 2016-10-27 | 2020-05-12 | 腾讯科技(深圳)有限公司 | Detection method and system for mail attack |
JP2018098635A (en) * | 2016-12-13 | 2018-06-21 | Kddi株式会社 | Communication prediction device, communication prediction method, and communication prediction program |
JP2019004249A (en) * | 2017-06-13 | 2019-01-10 | 日本電信電話株式会社 | Black list setting apparatus, black list setting method, and black list setting program |
CN110336784A (en) * | 2019-05-22 | 2019-10-15 | 北京瀚海思创科技有限公司 | Network attack identification prediction system, method and storage medium based on big data |
Also Published As
Publication number | Publication date |
---|---|
JP5885631B2 (en) | 2016-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108429651B (en) | Flow data detection method and device, electronic equipment and computer readable medium | |
EP3127301B1 (en) | Using trust profiles for network breach detection | |
CN109313689B (en) | Method and system for detecting capacity exhaustion attacks on a network | |
RU2768562C2 (en) | Multi-signal analysis for identification of a compromised application area | |
JP5656136B2 (en) | Behavior signature generation using clustering | |
US8312543B1 (en) | Using URL reputation data to selectively block cookies | |
US9215209B2 (en) | Source request monitoring | |
US20110252327A1 (en) | Methods, systems, and user interfaces for graphical summaries of network activities | |
US20210120022A1 (en) | Network security blacklist derived from honeypot statistics | |
US10972490B2 (en) | Specifying system, specifying device, and specifying method | |
JP2015076863A (en) | Log analyzing device, method and program | |
WO2018067293A1 (en) | Detection of compromised devices via user states | |
US11995593B2 (en) | Adaptive enterprise risk evaluation | |
JP5885631B2 (en) | Attack host behavior analysis apparatus, method and program | |
Ippoliti et al. | Online adaptive anomaly detection for augmented network flows | |
EP4278563A1 (en) | Ordering security incidents using alert diversity | |
JP2014023144A (en) | System and method for spammer host detection from network flow data profiles | |
JP5752020B2 (en) | Attack countermeasure device, attack countermeasure method, and attack countermeasure program | |
Kati et al. | Comprehensive Overview of DDOS Attack in Cloud Computing Environment using different Machine Learning Techniques | |
JP2018148270A (en) | Classification device, classification method, and classification program | |
JP6712944B2 (en) | Communication prediction device, communication prediction method, and communication prediction program | |
JP6866271B2 (en) | Anomaly detection device, anomaly detection method, and program | |
US11671446B2 (en) | Automatic detection and mitigation of denial-of-service attacks | |
JPWO2007091305A1 (en) | Worm countermeasure program, worm countermeasure device, worm countermeasure method | |
Kati et al. | A Comprehensive Overview of DDoS Attacks in Cloud Computing Environment and Different Machine Learning Techniques. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150122 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151015 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151110 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160108 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160202 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160209 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5885631 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |