JP2014064216A - Attack host behavior analyzer, method, and program - Google Patents

Attack host behavior analyzer, method, and program Download PDF

Info

Publication number
JP2014064216A
JP2014064216A JP2012208951A JP2012208951A JP2014064216A JP 2014064216 A JP2014064216 A JP 2014064216A JP 2012208951 A JP2012208951 A JP 2012208951A JP 2012208951 A JP2012208951 A JP 2012208951A JP 2014064216 A JP2014064216 A JP 2014064216A
Authority
JP
Japan
Prior art keywords
data
time
distribution
host
distribution data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012208951A
Other languages
Japanese (ja)
Other versions
JP5885631B2 (en
Inventor
Yukiko Sawatani
雪子 澤谷
Ayumi Kubota
歩 窪田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Research Inc
Original Assignee
KDDI R&D Laboratories Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI R&D Laboratories Inc filed Critical KDDI R&D Laboratories Inc
Priority to JP2012208951A priority Critical patent/JP5885631B2/en
Publication of JP2014064216A publication Critical patent/JP2014064216A/en
Application granted granted Critical
Publication of JP5885631B2 publication Critical patent/JP5885631B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an attack host behavior analyzer, method, and program, capable of predicting future behavior of an attack host.SOLUTION: An analyzer 1 includes: an acquisition part 11 for acquiring transmission time for each of transmission data from an attack host; a generation part 12 for generating distribution data of transmission time with regard to the same attack host within a first hour from a specified time; a classification part 13 for generating one or more clusters by clustering first distribution data of a similar distribution characteristic; an association part 14 for associating the characteristic data to the cluster to store the association, the characteristic data being extracted from a group of second distribution data generated within a second hour after generation target time of the first distribution data with regard to the host corresponding to the cluster; and an output part 15 for outputting the characteristic data associated with the cluster as behavior prediction data on and after the corresponding time when new distribution data is generated that can be classified in any of the clusters within the first hour before a certain time.

Description

本発明は、攻撃ホストによるデータ送信の挙動を解析する装置、方法及びプログラムに関する。   The present invention relates to an apparatus, a method, and a program for analyzing data transmission behavior by an attacking host.

従来、迷惑メール(スパムメール)への対策として、メール本文の特徴から迷惑メールを判定する方式(例えば、非特許文献1又は2参照)と、ホスト若しくはメールアドレスの情報から迷惑メールを判定する方式(例えば、非特許文献3、4又は5参照)とが知られている。   Conventionally, as measures against spam mail (spam mail), a method for judging spam mail from the characteristics of the mail body (for example, refer to Non-Patent Document 1 or 2) and a method for judging spam mail from host or email address information (For example, see Non-Patent Documents 3, 4 or 5).

SpamAssassin、[online]、[平成24年6月20日検索]、インターネット<http://spamassassin.apache.org/index.html>SpamAssassin, [online], [Search June 20, 2012], Internet <http: // spamassin. apache. org / index. html> TransWARE、[online]、[平成24年6月20日検索]、インターネット<http://www.transware.co.jp/product/ah/svm.html>TransWare, [online], [Search June 20, 2012], Internet <http: // www. transware. co. jp / product / ah / svm. html> Spamhaus、[online]、[平成24年6月20日検索]、インターネット<http://www.spamhaus.org/>Spamhaus, [online], [Search June 20, 2012], Internet <http: // www. spamhaus. org /> SPF、[online]、[平成24年6月20日検索]、インターネット<http://www.ietf.org/rfc/rfc4408.txt>SPF, [online], [Search June 20, 2012], Internet <http: // www. ietf. org / rfc / rfc4408. txt> S25R、[online]、[平成24年6月20日検索]、インターネット<http://http://www.gabacho−net.jp/anti−spam/anti−spam−system.html>S25R, [online], [June 20, 2012 search], Internet <http: // http: // www. gabacho-net. jp / anti-spam / anti-spam-system. html>

ところで、上述の迷惑メールへの対策は、受信した迷惑メールを検知するものである。したがって、迷惑メールを検知した後、さらに攻撃が継続するのか否か、継続する場合には、ネットワーク及び設備がどの程度逼迫するのか等、今後の動向を把握することは難しかった。   By the way, the above-mentioned countermeasure against spam mail is to detect the received spam mail. Therefore, it has been difficult to grasp future trends such as whether or not the attack will continue after detecting spam and how much the network and equipment will be tight if it continues.

本発明は、攻撃ホストが今後どのような挙動を示すかを予測できる攻撃ホストの挙動解析装置、方法及びプログラムを提供することを目的とする。   It is an object of the present invention to provide an attack host behavior analysis apparatus, method, and program capable of predicting the behavior of an attack host in the future.

本発明では、以下のような解決手段を提供する。   The present invention provides the following solutions.

(1)既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得部と、指定された時刻から第1時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成部と、複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第1分布データをクラスタリングし、1以上のクラスタを生成する分類部と、前記クラスタに対応するホストに関して、前記第1分布データの生成対象時刻の後の第2時間内に対して生成された第2分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付け部と、ある時刻以前の第1時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力部と、を備える攻撃ホストの挙動解析装置。   (1) With respect to transmission data from a known attack host, an acquisition unit that acquires the transmission time of each transmission data and the distribution of the transmission time for the same attack host within a first time from the specified time are shown. A generating unit that generates distribution data, a clustering unit that clusters first distribution data having similar distribution characteristics from the plurality of distribution data corresponding to a plurality of hosts, and generates one or more clusters; For a host corresponding to a cluster, a distribution feature is extracted from a set of second distribution data generated within a second time after the generation target time of the first distribution data, and the feature data is associated with the cluster. And when the new distribution data classified into one of the clusters is generated within a first time before a certain time, Same attack host later as the estimation data behavior for data transmission, behavior analysis device attacks host and an output unit which outputs the feature data associated with the cluster.

このような構成によれば、攻撃ホストの挙動解析装置は、既知の攻撃ホストの過去の挙動を分類したクラスタと、未来の挙動を示す特徴データとを関連付けて記憶する。したがって、攻撃ホストの挙動解析装置は、あるホストについて、いずれかのクラスタに分類される挙動が確認できた場合、このクラスタに関連付けられている特徴データによって、このホストの未来の挙動を予測できる。   According to such a configuration, the attack host behavior analysis apparatus stores a cluster in which past behaviors of known attack hosts are classified and feature data indicating future behavior in association with each other. Therefore, when the behavior analysis apparatus of an attack host can confirm the behavior classified into any cluster for a certain host, it can predict the future behavior of this host from the feature data associated with this cluster.

この結果、攻撃ホストの挙動解析装置は、未来の挙動の予測に基づいて、例えば、今後も定常的に迷惑メールが送信されると予測されれば、対象の攻撃ホストとの通信を遮断する等、判断を下すことができる。
さらに、ネットワークの管理者は、ネットワークの構成変更又は設備増設等を行う際に、攻撃ホストの挙動を見積もり、トラフィック量の概算を計算できるので、無駄な設備投資を抑制できる。 As a result, based on the prediction of future behavior, the attack host behavior analysis device, for example, blocks communication with the target attack host if it is predicted that spam mail will be sent regularly in the future. Judgment can be made.
Furthermore, since the network administrator can estimate the behavior of the attacking host and calculate the traffic volume when changing the network configuration or adding equipment, it is possible to suppress unnecessary equipment investment.

(2)前記分布データは、前記第1時間を所定数に分割した時間帯毎の送信データの有無を示すデータである(1)に記載の攻撃ホストの挙動解析装置。   (2) The attack host behavior analysis device according to (1), wherein the distribution data is data indicating presence / absence of transmission data for each time period obtained by dividing the first time into a predetermined number.

このような構成によれば、攻撃ホストの挙動解析装置は、過去の挙動を示す分布データとして、時間帯毎の送信データの有無を示す数値データを用いて、容易にクラスタリング及び特徴データの関連付けを行うことができる。   According to such a configuration, the attack host behavior analysis device can easily perform clustering and association of feature data by using numerical data indicating the presence or absence of transmission data for each time zone as distribution data indicating past behavior. It can be carried out.

(3)前記分布データは、前記時間帯毎の送信データの有無を要素とするベクトルであり、前記特徴データは、前記分布データとしてのベクトルの集合の中心を示すベクトルである(2)に記載の攻撃ホストの挙動解析装置。   (3) The distribution data is a vector whose element is presence / absence of transmission data for each time period, and the feature data is a vector indicating a center of a set of vectors as the distribution data. Attack host behavior analysis device.

このような構成によれば、攻撃ホストの挙動解析装置は、過去の挙動を示す分布データとして、時間帯毎の送信データの有無を示すベクトルを用いて、容易にクラスタリング及び特徴データの関連付けを行うことができる。   According to such a configuration, the attack host behavior analysis device easily performs clustering and association of feature data using a vector indicating the presence or absence of transmission data for each time zone as distribution data indicating past behavior. be able to.

(4)前記関連付け部は、前記第2分布データの集合をクラスタリングし、要素数が最大のクラスタに対して、前記特徴データを生成する(1)から(3)のいずれかに記載の攻撃ホストの挙動解析装置。   (4) The attacking unit according to any one of (1) to (3), wherein the associating unit clusters the set of the second distribution data and generates the feature data for a cluster having the maximum number of elements. Behavior analysis device.

このような構成によれば、攻撃ホストの挙動解析装置は、過去の挙動を示すクラスタに対応する未来の挙動を示すベクトルの集合をクラスタリングし、最大要素のクラスタを選択することにより、ノイズを抑制して、予測精度を向上できる。   According to such a configuration, the behavior analysis device of the attacking host suppresses noise by clustering a set of vectors indicating future behavior corresponding to clusters indicating past behavior and selecting the cluster with the largest element. Thus, the prediction accuracy can be improved.

(5)前記第1時間、及び当該第1時間を分割する所定数を、指定入力に基づいて調整する調整部を備える(1)から(4)のいずれかに記載の攻撃ホストの挙動解析装置。   (5) The attack host behavior analysis device according to any one of (1) to (4), further including an adjustment unit that adjusts the first time and a predetermined number of times for dividing the first time based on a designated input. .

このような構成によれば、攻撃ホストの挙動解析装置は、分布データを生成する第1時間及び分割数を調整できる。したがって、管理者は、攻撃ホストの挙動解析装置を運用する上で、状況に応じて適切な期間及び分割数を設定し、予測精度を向上できる。   According to such a configuration, the attack host behavior analysis apparatus can adjust the first time and the number of divisions for generating distribution data. Therefore, the administrator can improve the prediction accuracy by setting an appropriate period and the number of divisions according to the situation when operating the behavior analysis apparatus of the attack host.

(6)前記送信データは、迷惑メールである(1)から(5)のいずれかに記載の攻撃ホストの挙動解析装置。   (6) The attack host behavior analysis device according to any one of (1) to (5), wherein the transmission data is a spam mail.

このような構成によれば、攻撃ホストの挙動解析装置は、迷惑メールの送信サーバの未来の挙動を予測できる。   According to such a configuration, the attack host behavior analysis apparatus can predict the future behavior of the spam mail transmission server.

(7)既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得ステップと、指定された時刻から第1時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成ステップと、複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第1分布データをクラスタリングし、1以上のクラスタを生成する分類ステップと、前記クラスタに対応するホストに関して、前記第1分布データの生成対象時刻の後の第2時間内に対して生成された第2分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付けステップと、ある時刻以前の第1時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力ステップと、をコンピュータが実行する攻撃ホストの挙動解析方法。   (7) With respect to transmission data from a known attack host, an acquisition step for acquiring the transmission time of each of the transmission data and the distribution of the transmission time for the same attack host within a first time from the specified time are shown. A generation step of generating distribution data, a clustering step of clustering first distribution data having similar distribution characteristics among a plurality of distribution data corresponding to a plurality of hosts, and generating one or more clusters; For a host corresponding to a cluster, a distribution feature is extracted from a set of second distribution data generated within a second time after the generation target time of the first distribution data, and the feature data is associated with the cluster. And storing the new distribution data classified into one of the clusters within a first time before a certain time. If it is configured, the behavior analysis of the attack host executed by the computer with the output step of outputting the feature data associated with the cluster as the estimation data of the behavior transmitted by the same attack host after the time Method.

このような構成によれば、攻撃ホストの挙動解析方法をコンピュータが実行することにより、(1)と同様の効果が期待できる。   According to such a configuration, the same effect as in (1) can be expected when the computer executes the attack host behavior analysis method.

(8)既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得ステップと、指定された時刻から第1時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成ステップと、複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第1分布データをクラスタリングし、1以上のクラスタを生成する分類ステップと、前記クラスタに対応するホストに関して、前記第1分布データの生成対象時刻の後の第2時間内に対して生成された第2分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付けステップと、ある時刻以前の第1時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力ステップと、をコンピュータに実行させるための攻撃ホストの挙動解析プログラム。   (8) With respect to transmission data from a known attack host, an acquisition step for acquiring the transmission time of each of the transmission data and the distribution of the transmission time for the same attack host within a first time from the specified time are shown. A generation step of generating distribution data, a clustering step of clustering first distribution data having similar distribution characteristics among a plurality of distribution data corresponding to a plurality of hosts, and generating one or more clusters; For a host corresponding to a cluster, a distribution feature is extracted from a set of second distribution data generated within a second time after the generation target time of the first distribution data, and the feature data is associated with the cluster. And storing the new distribution data classified into one of the clusters within a first time before a certain time. If it is configured, an attack host for causing the computer to execute an output step of outputting the feature data associated with the cluster as estimated data of behavior transmitted by the same attack host after the time. Behavior analysis program.

このような構成によれば、攻撃ホストの挙動解析プログラムをコンピュータに実行させることにより、(1)と同様の効果が期待できる。   According to such a configuration, the same effect as in (1) can be expected by causing the computer to execute the behavior analysis program of the attack host.

本発明によれば、攻撃ホストが今後どのような挙動を示すかを予測できる。   According to the present invention, it is possible to predict the behavior of the attacking host in the future.

実施形態に係る解析装置を含むシステムの概要図である。1 is a schematic diagram of a system including an analysis apparatus according to an embodiment. 実施形態に係る解析装置の機能構成を示す図である。It is a figure which shows the function structure of the analyzer which concerns on embodiment. 実施形態に係るベクトルの一例を示す図である。It is a figure which shows an example of the vector which concerns on embodiment. 実施形態に係る解析データの生成処理を示すフローチャートである。It is a flowchart which shows the production | generation process of the analysis data which concerns on embodiment. 実施形態に係る攻撃ホストの挙動の予測処理を示すフローチャートである。It is a flowchart which shows the prediction process of the action of the attack host which concerns on embodiment.

本発明の実施形態の一例について説明する。
本実施形態に係る解析装置1(攻撃ホストの挙動解析装置)は、ネットワーク上のトラフィックフローデータから、既知の攻撃ホストの挙動を解析することにより、今後の攻撃ホストの挙動を予測するサーバ装置である。なお、攻撃ホストとは、例えば、迷惑メール又は攻撃パケット等のデータを送信するサーバである。以下、送信データは、迷惑メールであるとして説明する。 An example of an embodiment of the present invention will be described.
The analysis device 1 (attack host behavior analysis device) according to the present embodiment is a server device that predicts the future behavior of an attack host by analyzing the behavior of a known attack host from traffic flow data on the network. is there. The attack host is, for example, a server that transmits data such as junk mail or attack packets. Hereinafter, the transmission data will be described as spam mail.

図1は、本実施形態に係る解析装置1を含むシステムの概要図である。
攻撃ホスト2(メールサーバ)から送信される迷惑メールは、バックボーンネットワークのルータ4を通過する。収集サーバ3は、このルータ4から、攻撃ホスト2のIPアドレスに関するトラフィック情報をして、トラフィックフローデータ又はパケットキャプチャデータ等を収集し、解析装置1へ提供する。 FIG. 1 is a schematic diagram of a system including an analysis apparatus 1 according to the present embodiment.
The spam mail transmitted from the attack host 2 (mail server) passes through the router 4 of the backbone network. The collection server 3 collects traffic flow data or packet capture data from the router 4 with respect to the IP address of the attacking host 2 and provides it to the analysis device 1.

図2は、本実施形態に係る解析装置1の機能構成を示す図である。
解析装置1は、制御部10と、記憶部20と、通信部30と、入力部40と、表示部50とを備える。 FIG. 2 is a diagram illustrating a functional configuration of the analysis apparatus 1 according to the present embodiment.
The analysis device 1 includes a control unit 10, a storage unit 20, a communication unit 30, an input unit 40, and a display unit 50.

制御部10は、解析装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、前述のハードウェアと協働し、本実施形態における各種機能を実現している。制御部10は、CPU(Central Processing Unit)であってよい。なお、制御部10が備える各部の機能は後述する。   The control unit 10 is a part that controls the entire analysis apparatus 1, and appropriately reads and executes various programs stored in the storage unit 20, thereby cooperating with the hardware described above and various functions in the present embodiment. Is realized. The control unit 10 may be a CPU (Central Processing Unit). In addition, the function of each part with which the control part 10 is provided is mentioned later.

記憶部20は、ハードウェア群を解析装置1として機能させるための各種プログラム、本実施形態の各種機能を制御部10に実行させるためのプログラム、及び各種データ等を記憶する。なお、記憶部20が記憶する各種データは後述する。   The storage unit 20 stores various programs for causing the hardware group to function as the analysis apparatus 1, programs for causing the control unit 10 to execute various functions of the present embodiment, various data, and the like. Various data stored in the storage unit 20 will be described later.

通信部30は、解析装置1が他の装置と情報を送受信する場合のネットワーク・アダプタであり、収集サーバ3又はネットワーク内のルータ4等に直接アクセスし、ネットワークフローデータ又はパケットキャプチャデータ等のトラフィック情報を取得して制御部10へ提供する。   The communication unit 30 is a network adapter when the analysis apparatus 1 transmits / receives information to / from another apparatus, and directly accesses the collection server 3 or the router 4 in the network, and traffic information such as network flow data or packet capture data. Is obtained and provided to the control unit 10.

入力部40は、解析装置1に対するユーザからの指示入力を受け付けるインタフェース装置である。入力部40は、例えばキー操作部又はタッチパネル等により構成される。   The input unit 40 is an interface device that receives an instruction input from the user to the analysis device 1. The input unit 40 is configured by, for example, a key operation unit or a touch panel.

表示部50は、ユーザにデータの入力を受け付ける画面を表示したり、解析装置1による処理結果の画面を表示したりするものである。表示部50は、液晶ディスプレイや有機ELディスプレイであってよい。   The display unit 50 displays a screen for accepting data input to the user, or displays a screen for processing results obtained by the analysis apparatus 1. The display unit 50 may be a liquid crystal display or an organic EL display.

前述の制御部10は、取得部11と、生成部12と、分類部13と、関連付け部14と、出力部15と、調整部16とを備える。また、記憶部20は、トラフィック情報21と、解析データ22とを記憶する。   The control unit 10 includes an acquisition unit 11, a generation unit 12, a classification unit 13, an association unit 14, an output unit 15, and an adjustment unit 16. Further, the storage unit 20 stores traffic information 21 and analysis data 22.

取得部11は、IPアドレスで特定される既知の攻撃ホスト2からの送信データに関して、この送信データそれぞれの送信時刻を含むトラフィック情報21を、通信部30を介して取得し、記憶部20に記憶する。
既知の攻撃ホスト2のIPアドレスは、例えば、既存のブラックリストやコンテンツフィルタによって迷惑メールと判定されたメールの送信ホストを抽出することにより取得される。 The acquisition unit 11 acquires the traffic information 21 including the transmission time of each transmission data regarding the transmission data from the known attack host 2 specified by the IP address via the communication unit 30 and stores it in the storage unit 20. To do.
The IP address of the known attack host 2 is acquired by, for example, extracting a mail transmission host determined to be junk mail by an existing black list or content filter.

生成部12は、トラフィック情報21に基づいて、指定された時刻(T)から第1時間(D)内における、同一の攻撃ホスト2に関する送信時刻の分布を示す分布データを生成する。
具体的には、分布データは、第1時間(D)を所定数に分割した時間帯(例えば、1時間)毎の送信データの有無を要素とするベクトルである。 The generation unit 12 generates distribution data indicating the distribution of transmission times related to the same attack host 2 within the first time (D) from the specified time (T) based on the traffic information 21.
Specifically, the distribution data is a vector whose element is the presence or absence of transmission data for each time zone (for example, one hour) obtained by dividing the first time (D) into a predetermined number.

図3は、本実施形態に係る分布データとしてのベクトルの一例を示す図である。
時刻Tから第1時間Dの間について、1時間毎に攻撃ホスト2から迷惑メールが送信されたか否かがトラフィック情報21に基づいて判定される。各時間帯がそれぞれベクトルの要素1つとなり、迷惑メールが送信された時間帯に対応する要素の値は「1」、迷惑メールが送信されなかった時間帯に対応する要素の値は「0」となる。 FIG. 3 is a diagram illustrating an example of a vector as distribution data according to the present embodiment.
Based on the traffic information 21, it is determined whether or not a spam mail is transmitted from the attacking host 2 every hour for a period between the time T and the first time D. Each time zone becomes one element of the vector, the value of the element corresponding to the time zone when the junk mail is transmitted is “1”, and the value of the element corresponding to the time zone when the junk mail is not sent is “0”. It becomes.

例えば、時刻Tから時刻T+1までは迷惑メールが送信されなかったので、ベクトルの第1項は「0」、時刻T+1から時刻T+2までは迷惑メールが送信されなかったので、ベクトルの第2項は「1」となる。
なお、解析装置1は、攻撃ホスト2から送信されたメールは全て迷惑メールとみなしてベクトルを生成することにより、処理負荷が低減される。 For example, since the junk mail was not transmitted from time T to time T + 1, the first term of the vector is “0”, and the junk mail was not transmitted from time T + 1 to time T + 2, so the second term of the vector is “1”.
The analysis apparatus 1 considers all mails transmitted from the attack host 2 as spam mails and generates vectors, thereby reducing the processing load.

分類部13は、複数のホストに対応する複数のベクトルの中から、分布の特徴が類似するベクトル(第1分布データ)をクラスタリングし、1以上のクラスタを生成する。
具体的には、分類部13は、例えば、k−means又はX−means等の教師なしのクラスタリングアルゴリズムを用いて、クラスタを生成する。これにより、攻撃ホスト2の過去の挙動が複数パターンに分類される。 The classification unit 13 clusters one or more vectors (first distribution data) having similar distribution characteristics from among a plurality of vectors corresponding to a plurality of hosts, and generates one or more clusters.
Specifically, the classification unit 13 generates a cluster using an unsupervised clustering algorithm such as k-means or X-means. Thereby, the past behavior of the attack host 2 is classified into a plurality of patterns.

また、分類部13は、各クラスタに含まれるベクトルの集合の中心を示すベクトル(例えば、重心ベクトル)によってクラスタの特徴を表す意味付け(例えば、メールを送り続ける、メールを送り続けた後に停止する、メールを一時的(バースト状)に送る等)を行う。   Further, the classification unit 13 assigns meanings indicating the characteristics of the cluster by a vector (for example, a centroid vector) indicating the center of a set of vectors included in each cluster (for example, keeps sending mail, and stops after sending mail). , Send e-mail temporarily (burst), etc.).

また、生成部12は、各クラスタに対応するホストに関して、ベクトル(第1分布データ)の生成対象時刻(時刻Tから時刻T+D)の後の第2時間内(例えば、時刻T+Dから時刻T+D+Dまで)に対して新たにベクトル(第2分布データ)を生成する。   Further, the generation unit 12 relates to the host corresponding to each cluster within the second time after the generation target time (from time T to time T + D) of the vector (first distribution data) (for example, from time T + D to time T + D + D). A new vector (second distribution data) is generated.

関連付け部14は、新たに生成されたベクトル(第2分布データ)の集合から分布の特徴を抽出し、特徴データをクラスタに関連付けて解析データ22として記憶する。   The associating unit 14 extracts distribution features from a set of newly generated vectors (second distribution data), and stores the feature data as analysis data 22 in association with the clusters.

ここで、特徴データは、ベクトル(第2分布データ)の集合の中心を示すベクトル(例えば、重心ベクトル)であってよい。このとき、関連付け部は、生成されたベクトル(第2分布データ)の集合をクラスタリングし、要素数が最大のクラスタに対して、特徴データを生成する。
これにより、過去の挙動(第1分布データの特徴)と、この過去の挙動の後に現れる未来の挙動(第2分布データの特徴)との関連付けが記憶される。 Here, the feature data may be a vector (for example, a centroid vector) indicating the center of a set of vectors (second distribution data). At this time, the associating unit clusters the set of generated vectors (second distribution data), and generates feature data for the cluster having the largest number of elements.
Thereby, the association between the past behavior (features of the first distribution data) and the future behavior (features of the second distribution data) appearing after the past behavior is stored.

出力部15は、解析データ22が記憶された後、ある時刻以前の第1時間(D)内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、この時刻以降に同一の攻撃ホスト2がデータ送信する挙動の推定データとして、分類されたクラスタに関連付けられている特徴データを出力する。
出力部15は、表示部50へ、又は通信部30を介して外部端末へ攻撃ホスト2の未来の挙動の推定データを出力する。 When new distribution data classified into one of the clusters is generated within the first time (D) before a certain time after the analysis data 22 is stored, the output unit 15 is the same after this time. Feature data associated with the classified cluster is output as behavior estimation data transmitted by the attacking host 2.
The output unit 15 outputs estimated data of the future behavior of the attack host 2 to the display unit 50 or to an external terminal via the communication unit 30.

調整部16は、第1時間(D)、及びこの第1時間を分割する所定数、すなわち迷惑メールの送信の有無を判断する時間間隔(例えば、1時間)を、通信部30又は入力部40等からの指定入力に基づいて調整する。   The adjustment unit 16 sets the first time (D) and a predetermined number for dividing the first time, that is, a time interval (for example, one hour) for determining whether or not spam mail is transmitted, to the communication unit 30 or the input unit 40. Adjust based on the specified input from etc.

図4は、本実施形態に係る解析データ22の生成処理を示すフローチャートである。
ステップS1において、取得部11は、既知の攻撃ホスト2からの送信データそれぞれのトラフィック情報21を、通信部30を介して取得し、記憶部20に記憶する。 FIG. 4 is a flowchart showing the generation process of the analysis data 22 according to this embodiment.
In step S <b> 1, the acquisition unit 11 acquires the traffic information 21 of each transmission data from the known attack host 2 via the communication unit 30 and stores it in the storage unit 20.

ステップS2において、生成部12は、ステップS1で記憶されたトラフィック情報21に基づいて、指定された時刻(T)から第1時間(D)内における、同一の攻撃ホストに関する送信時刻の分布を示すベクトル(第1分布データ)を生成する。   In step S2, the generation unit 12 shows the distribution of transmission times related to the same attack host within the first time (D) from the specified time (T) based on the traffic information 21 stored in step S1. A vector (first distribution data) is generated.

ステップS3において、分類部13は、ステップS2で生成されたベクトル(第1分布データ)を、所定のアルゴリズムによりクラスタリングし、1以上のクラスタを生成する。   In step S3, the classification unit 13 clusters the vectors (first distribution data) generated in step S2 using a predetermined algorithm to generate one or more clusters.

ステップS4において、生成部12は、ステップS3で生成されたクラスタそれぞれについて、ベクトル(第1分布データ)の生成対象時刻(時刻Tから時刻T+D)の後の第2時間内(例えば、時刻T+Dから時刻T+D+Dまで)に対して新たにベクトル(第2分布データ)を生成する。   In step S4, the generation unit 12 generates a vector (first distribution data) for each cluster generated in step S3 within a second time (for example, from time T + D) after the generation target time (from time T to time T + D). A new vector (second distribution data) is generated for time T + D + D).

ステップS5において、関連付け部14は、ステップS4で生成されたベクトル(第2分布データ)の集合から分布の特徴を抽出し、特徴データを対応するクラスタに関連付けて解析データ22として記憶する。   In step S <b> 5, the associating unit 14 extracts distribution features from the set of vectors (second distribution data) generated in step S <b> 4, and stores the feature data as analysis data 22 in association with the corresponding clusters.

図5は、本実施形態に係る攻撃ホスト2の挙動の予測処理を示すフローチャートである。
ステップS11において、取得部11は、解析対象の攻撃ホスト2に関するトラフィック情報21を、通信部30を介して取得し、記憶部20に記憶する。 FIG. 5 is a flowchart showing the behavior prediction process of the attack host 2 according to the present embodiment.
In step S <b> 11, the acquisition unit 11 acquires the traffic information 21 related to the attack target host 2 to be analyzed via the communication unit 30 and stores it in the storage unit 20.

ステップS12において、生成部12は、ステップS11で記憶されたトラフィック情報21に基づいて、ある時刻までの第1時間(D)内における、迷惑メールの送信時刻の分布を示すベクトルを生成する。   In step S <b> 12, the generation unit 12 generates a vector indicating the distribution of junk mail transmission times within the first time (D) up to a certain time, based on the traffic information 21 stored in step S <b> 11.

ステップS13において、出力部15は、ステップS12で生成されたベクトルに類似したクラスタ、すなわちベクトルが分類され得るクラスタが解析データ22にあるか否かを判定する。この判定がYESの場合、処理はステップS14に移り、判定がNOの場合、処理は終了する。   In step S13, the output unit 15 determines whether or not the analysis data 22 includes a cluster similar to the vector generated in step S12, that is, a cluster into which the vector can be classified. If this determination is YES, the process proceeds to step S14, and if the determination is NO, the process ends.

ステップS14において、出力部15は、ステップS13で判定されたクラスタに関連付けられている特徴データを、攻撃ホスト2の未来の挙動の推定データとして出力する。なお、ステップS13において、いずれのクラスタにも分類されなかった場合、出力部15は、推定データを出力しない。   In step S <b> 14, the output unit 15 outputs the feature data associated with the cluster determined in step S <b> 13 as estimated data of the future behavior of the attack host 2. In step S13, when it is not classified into any cluster, the output unit 15 does not output estimated data.

以上のように、本実施形態によれば、解析装置1は、既知の攻撃ホスト2の過去の挙動を分類したクラスタと、未来の挙動を示す特徴データとを関連付けて記憶する。したがって、解析装置1は、あるホストについて、いずれかのクラスタに分類される挙動が確認できた場合、このクラスタに関連付けられている特徴データによって、このホストの未来の挙動を予測できる。   As described above, according to the present embodiment, the analysis apparatus 1 stores a cluster in which past behaviors of known attack hosts 2 are classified and feature data indicating future behaviors in association with each other. Therefore, when the behavior classified into any cluster can be confirmed for a certain host, the analysis apparatus 1 can predict the future behavior of this host from the feature data associated with this cluster.

この結果、解析装置1は、未来の挙動の予測に基づいて、例えば、今後も定常的に迷惑メールが送信されると予測されれば、対象の攻撃ホスト2との通信を遮断する等、判断を下すことができる。
さらに、ネットワークの管理者は、ネットワークの構成変更又は設備増設等を行う際に、攻撃ホスト2の挙動を見積もり、トラフィック量の概算を計算できるので、無駄な設備投資を抑制できる。 As a result, based on the prediction of future behavior, the analysis apparatus 1 determines that, for example, if the junk mail is predicted to be constantly transmitted in the future, the communication with the target attack host 2 is blocked. Can be defeated.
Furthermore, since the network administrator can estimate the behavior of the attack host 2 and calculate the traffic amount when changing the network configuration or adding equipment, it is possible to suppress unnecessary equipment investment.

また、解析装置1は、過去の挙動を示す分布データとして、時間帯毎の送信データの有無を示す数値データ、具体的にはベクトルを用いて、容易にクラスタリング及び特徴データの関連付けを行うことができる。   Further, the analysis apparatus 1 can easily perform clustering and association of feature data by using numerical data indicating the presence or absence of transmission data for each time zone, specifically, a vector, as distribution data indicating past behavior. it can.

また、解析装置1は、過去の挙動を示すクラスタに対応する未来の挙動を示すベクトルの集合をクラスタリングし、最大要素のクラスタを選択することにより、ノイズを抑制して、予測精度を向上できる。   In addition, the analysis apparatus 1 can suppress noise and improve prediction accuracy by clustering a set of vectors indicating future behavior corresponding to clusters indicating past behavior and selecting a cluster with the largest element.

また、解析装置1は、分布データを生成する期間(第1時間=D)及び分割数を調整できる。したがって、管理者は、解析装置1を運用する上で、状況に応じて適切な期間及び分割数を設定し、予測精度を向上できる。   Moreover, the analysis apparatus 1 can adjust the period (first time = D) and the number of divisions for generating distribution data. Therefore, when operating the analysis apparatus 1, the administrator can set an appropriate period and the number of divisions according to the situation, and can improve prediction accuracy.

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。   As mentioned above, although embodiment of this invention was described, this invention is not restricted to embodiment mentioned above. Further, the effects described in the present embodiment are merely a list of the most preferable effects resulting from the present invention, and the effects of the present invention are not limited to those described in the present embodiment.

解析装置1は、ネットワークに接続可能な情報処理装置の一例であり、サーバ装置又はPC(Personal Computer)等、様々な情報処理装置(コンピュータ)であってよく、前述の各機能は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、上記情報処理装置にインストールされる。また、これらのプログラムは、CD−ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。   The analysis device 1 is an example of an information processing device that can be connected to a network, and may be various information processing devices (computers) such as a server device or a PC (Personal Computer), and each function described above is realized by software. Is done. When realized by software, a program constituting the software is installed in the information processing apparatus. These programs may be recorded on a removable medium such as a CD-ROM and distributed to the user, or may be distributed by being downloaded to the user's computer via a network.

1 解析装置(攻撃ホストの挙動解析装置)
10 制御部
11 取得部
12 生成部
13 分類部
14 関連付け部
15 出力部
16 調整部
20 記憶部
21 トラフィック情報
22 解析データ
30 通信部
40 入力部
50 表示部 1 Analysis device (attack host behavior analysis device)
DESCRIPTION OF SYMBOLS 10 Control part 11 Acquisition part 12 Generation part 13 Classification part 14 Association part 15 Output part 16 Adjustment part 20 Storage part 21 Traffic information 22 Analysis data 30 Communication part 40 Input part 50 Display part

Claims (8)

既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得部と、
指定された時刻から第1時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成部と、
複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第1分布データをクラスタリングし、1以上のクラスタを生成する分類部と、
前記クラスタに対応するホストに関して、前記第1分布データの生成対象時刻の後の第2時間内に対して生成された第2分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付け部と、
ある時刻以前の第1時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力部と、を備える攻撃ホストの挙動解析装置。 With respect to transmission data from a known attack host, an acquisition unit for acquiring the transmission time of each of the transmission data,
A generating unit that generates distribution data indicating a distribution of the transmission time for the same attack host within a first time from a specified time;
A clustering unit that clusters first distribution data having similar distribution characteristics among a plurality of distribution data corresponding to a plurality of hosts, and generates one or more clusters;
For a host corresponding to the cluster, a distribution feature is extracted from a set of second distribution data generated for a second time after the generation target time of the first distribution data, and the feature data is extracted into the cluster. An associating unit for associating and storing;
When new distribution data classified into one of the clusters is generated within a first time before a certain time, it is associated with the cluster as estimated data of behavior transmitted by the same attacking host after that time. An attack host behavior analysis device comprising: an output unit for outputting the feature data. 前記分布データは、前記第1時間を所定数に分割した時間帯毎の送信データの有無を示すデータである請求項1に記載の攻撃ホストの挙動解析装置。   The attack host behavior analysis device according to claim 1, wherein the distribution data is data indicating presence / absence of transmission data for each time period obtained by dividing the first time into a predetermined number. 前記分布データは、前記時間帯毎の送信データの有無を要素とするベクトルであり、
前記特徴データは、前記分布データとしてのベクトルの集合の中心を示すベクトルである請求項2に記載の攻撃ホストの挙動解析装置。 The distribution data is a vector whose element is the presence or absence of transmission data for each time period,
The attack host behavior analysis device according to claim 2, wherein the feature data is a vector indicating a center of a set of vectors as the distribution data. 前記関連付け部は、前記第2分布データの集合をクラスタリングし、要素数が最大のクラスタに対して、前記特徴データを生成する請求項1から請求項3のいずれかに記載の攻撃ホストの挙動解析装置。   4. The attack host behavior analysis according to claim 1, wherein the associating unit clusters the second distribution data set and generates the feature data for a cluster having the largest number of elements. 5. apparatus. 前記第1時間、及び当該第1時間を分割する所定数を、指定入力に基づいて調整する調整部を備える請求項1から請求項4のいずれかに記載の攻撃ホストの挙動解析装置。   5. The attack host behavior analysis apparatus according to claim 1, further comprising: an adjustment unit configured to adjust the first time and a predetermined number dividing the first time based on a designated input. 6. 前記送信データは、迷惑メールである請求項1から請求項5のいずれかに記載の攻撃ホストの挙動解析装置。   The attack host behavior analysis device according to claim 1, wherein the transmission data is a junk mail. 既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得ステップと、
指定された時刻から第1時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成ステップと、
複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第1分布データをクラスタリングし、1以上のクラスタを生成する分類ステップと、
前記クラスタに対応するホストに関して、前記第1分布データの生成対象時刻の後の第2時間内に対して生成された第2分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付けステップと、
ある時刻以前の第1時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力ステップと、をコンピュータが実行する攻撃ホストの挙動解析方法。 With respect to transmission data from a known attack host, an acquisition step of acquiring the transmission time of each of the transmission data;
A generation step of generating distribution data indicating a distribution of the transmission time for the same attack host within a first time from a specified time;
A clustering step of clustering first distribution data having similar distribution characteristics from among the plurality of distribution data corresponding to a plurality of hosts to generate one or more clusters;
For a host corresponding to the cluster, a distribution feature is extracted from a set of second distribution data generated for a second time after the generation target time of the first distribution data, and the feature data is extracted into the cluster. An association step to associate and store;
When new distribution data classified into one of the clusters is generated within a first time before a certain time, it is associated with the cluster as estimated data of behavior transmitted by the same attacking host after that time. An attacking host behavior analysis method in which a computer executes an output step of outputting the feature data. 既知の攻撃ホストからの送信データに関して、当該送信データそれぞれの送信時刻を取得する取得ステップと、
指定された時刻から第1時間内における、同一の攻撃ホストに関する前記送信時刻の分布を示す分布データを生成する生成ステップと、
複数のホストに対応する複数の前記分布データの中から、分布の特徴が類似する第1分布データをクラスタリングし、1以上のクラスタを生成する分類ステップと、
前記クラスタに対応するホストに関して、前記第1分布データの生成対象時刻の後の第2時間内に対して生成された第2分布データの集合から分布の特徴を抽出し、特徴データを当該クラスタに関連付けて記憶する関連付けステップと、
ある時刻以前の第1時間内に前記クラスタのいずれかに分類される新たな分布データが生成された場合、当該時刻以降に同一の攻撃ホストがデータ送信する挙動の推定データとして、前記クラスタに関連付けられている前記特徴データを出力する出力ステップと、をコンピュータに実行させるための攻撃ホストの挙動解析プログラム。 With respect to transmission data from a known attack host, an acquisition step of acquiring the transmission time of each of the transmission data;
A generation step of generating distribution data indicating a distribution of the transmission time for the same attack host within a first time from a specified time;
A clustering step of clustering first distribution data having similar distribution characteristics from among the plurality of distribution data corresponding to a plurality of hosts to generate one or more clusters;
For a host corresponding to the cluster, a distribution feature is extracted from a set of second distribution data generated for a second time after the generation target time of the first distribution data, and the feature data is extracted into the cluster. An association step to associate and store;
When new distribution data classified into one of the clusters is generated within a first time before a certain time, it is associated with the cluster as estimated data of behavior transmitted by the same attacking host after that time. An attack host behavior analysis program for causing a computer to execute the output step of outputting the feature data.
JP2012208951A 2012-09-21 2012-09-21 Attack host behavior analysis apparatus, method and program Active JP5885631B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012208951A JP5885631B2 (en) 2012-09-21 2012-09-21 Attack host behavior analysis apparatus, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012208951A JP5885631B2 (en) 2012-09-21 2012-09-21 Attack host behavior analysis apparatus, method and program

Publications (2)

Publication Number Publication Date
JP2014064216A true JP2014064216A (en) 2014-04-10
JP5885631B2 JP5885631B2 (en) 2016-03-15

Family

ID=50619060

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012208951A Active JP5885631B2 (en) 2012-09-21 2012-09-21 Attack host behavior analysis apparatus, method and program

Country Status (1)

Country Link
JP (1) JP5885631B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107743087A (en) * 2016-10-27 2018-02-27 腾讯科技(深圳)有限公司 The detection method and system of a kind of e-mail attack
JP2018098635A (en) * 2016-12-13 2018-06-21 Kddi株式会社 Communication prediction device, communication prediction method, and communication prediction program
JP2019004249A (en) * 2017-06-13 2019-01-10 日本電信電話株式会社 Black list setting apparatus, black list setting method, and black list setting program
CN110336784A (en) * 2019-05-22 2019-10-15 北京瀚海思创科技有限公司 Network attack identification prediction system, method and storage medium based on big data

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004186878A (en) * 2002-12-02 2004-07-02 Keyware Solutions Inc Intrusion detecting apparatus and intrusion detecting program
US20050138201A1 (en) * 2003-12-19 2005-06-23 Martin Soukup Technique for monitoring source addresses through statistical clustering of packets
JP2005341217A (en) * 2004-05-27 2005-12-08 Fujitsu Ltd Device, method, and program for unauthorized access detection and distributed detection device against unserviceable attack
JP2007243459A (en) * 2006-03-07 2007-09-20 Nippon Telegraph & Telephone East Corp Traffic state extracting apparatus and method, and computer program
JP2012114719A (en) * 2010-11-25 2012-06-14 Kddi Corp Detection device, detection method, and detection program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004186878A (en) * 2002-12-02 2004-07-02 Keyware Solutions Inc Intrusion detecting apparatus and intrusion detecting program
US20050138201A1 (en) * 2003-12-19 2005-06-23 Martin Soukup Technique for monitoring source addresses through statistical clustering of packets
JP2005341217A (en) * 2004-05-27 2005-12-08 Fujitsu Ltd Device, method, and program for unauthorized access detection and distributed detection device against unserviceable attack
JP2007243459A (en) * 2006-03-07 2007-09-20 Nippon Telegraph & Telephone East Corp Traffic state extracting apparatus and method, and computer program
JP2012114719A (en) * 2010-11-25 2012-06-14 Kddi Corp Detection device, detection method, and detection program

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JPN6015044790; 石田 千枝 CHIE ISHIDA: 'ベイズ推測を用いた不正侵入イベント増減予測 Forecast of Increasing or Decreasing Intrusion Event Cou' 情報処理学会論文誌 IPSJ Journal 第46巻 第11号, 20051115, p.2704-2713, 社団法人情報処理学会 Information Processing Socie *
JPN6015044791; 澤谷 雪子: 'トラフィックの統計解析によるDoS攻撃事例モデル化の検討' 電子情報通信学会2012年総合大会講演論文集 通信2 , 20120306, 206, 社団法人電子情報通信学会 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107743087A (en) * 2016-10-27 2018-02-27 腾讯科技(深圳)有限公司 The detection method and system of a kind of e-mail attack
CN107743087B (en) * 2016-10-27 2020-05-12 腾讯科技(深圳)有限公司 Detection method and system for mail attack
JP2018098635A (en) * 2016-12-13 2018-06-21 Kddi株式会社 Communication prediction device, communication prediction method, and communication prediction program
JP2019004249A (en) * 2017-06-13 2019-01-10 日本電信電話株式会社 Black list setting apparatus, black list setting method, and black list setting program
CN110336784A (en) * 2019-05-22 2019-10-15 北京瀚海思创科技有限公司 Network attack identification prediction system, method and storage medium based on big data

Also Published As

Publication number Publication date
JP5885631B2 (en) 2016-03-15

Similar Documents

Publication Publication Date Title
CN108429651B (en) Flow data detection method and device, electronic equipment and computer readable medium
EP3127301B1 (en) Using trust profiles for network breach detection
CN109313689B (en) Method and system for detecting capacity exhaustion attacks on a network
RU2768562C2 (en) Multi-signal analysis for identification of a compromised application area
JP5656136B2 (en) Behavior signature generation using clustering
US8312543B1 (en) Using URL reputation data to selectively block cookies
US9215209B2 (en) Source request monitoring
US20110252327A1 (en) Methods, systems, and user interfaces for graphical summaries of network activities
US20210120022A1 (en) Network security blacklist derived from honeypot statistics
US10972490B2 (en) Specifying system, specifying device, and specifying method
JP2015076863A (en) Log analyzing device, method and program
WO2018067293A1 (en) Detection of compromised devices via user states
US11995593B2 (en) Adaptive enterprise risk evaluation
JP5885631B2 (en) Attack host behavior analysis apparatus, method and program
Ippoliti et al. Online adaptive anomaly detection for augmented network flows
EP4278563A1 (en) Ordering security incidents using alert diversity
JP2014023144A (en) System and method for spammer host detection from network flow data profiles
JP5752020B2 (en) Attack countermeasure device, attack countermeasure method, and attack countermeasure program
Kati et al. Comprehensive Overview of DDOS Attack in Cloud Computing Environment using different Machine Learning Techniques
JP2018148270A (en) Classification device, classification method, and classification program
JP6712944B2 (en) Communication prediction device, communication prediction method, and communication prediction program
JP6866271B2 (en) Anomaly detection device, anomaly detection method, and program
US11671446B2 (en) Automatic detection and mitigation of denial-of-service attacks
JPWO2007091305A1 (en) Worm countermeasure program, worm countermeasure device, worm countermeasure method
Kati et al. A Comprehensive Overview of DDoS Attacks in Cloud Computing Environment and Different Machine Learning Techniques.

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150122

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151015

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151110

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160108

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160202

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160209

R150 Certificate of patent or registration of utility model

Ref document number: 5885631

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350