JP2015179416A - ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム - Google Patents
ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム Download PDFInfo
- Publication number
- JP2015179416A JP2015179416A JP2014056658A JP2014056658A JP2015179416A JP 2015179416 A JP2015179416 A JP 2015179416A JP 2014056658 A JP2014056658 A JP 2014056658A JP 2014056658 A JP2014056658 A JP 2014056658A JP 2015179416 A JP2015179416 A JP 2015179416A
- Authority
- JP
- Japan
- Prior art keywords
- log
- url
- blacklist
- unit
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
[第1の実施形態に係る通信システム1の構成の一例]
図1は、第1の実施形態に係る通信システム1の概要を示す図である。図1に示すように、通信システム1は、ログ収集蓄積装置10と、ブラックリスト拡充装置20と、ブラックリスト情報配信システム30と、Webサイト巡回システム40と、を備える。
ログ収集蓄積装置10は、防御対象ネットワークの通信のログを収集し蓄積する装置である。防御対象ネットワークは、たとえば所定の組織において利用する内部ネットワーク、たとえばローカルエリアネットワーク(LAN)等でもよいし、インターネット等でもよい。防御対象ネットワークは、IPパケット等の情報を転送するネットワークであれば特に限定されない。
ブラックリスト拡充装置20は、ブラックリスト情報配信システム30から取得したブラックリスト情報を、ログ収集蓄積装置10から取得したログから得られる情報に基づき、更新し拡充する。図1に示すように、ブラックリスト拡充装置20は、ログ収集蓄積装置10、ブラックリスト情報配信システム30およびWebサイト巡回システム40と相互に連携可能な状態で構築される。なお、連携の態様は特に限定されない。
図4は、第1の実施形態に係るブラックリスト拡充処理の流れの一例を示すフローチャートである。図4を参照して、第1の実施形態に係るブラックリスト拡充処理の流れの一例について説明する。
図5は、第1の実施形態に係るログ分析処理の流れの一例を示すフローチャートである。なお、図5に示すログ分析処理のフローは一例にすぎず、図5に示す以外の基準に基づいても悪性URL候補を抽出できる。
図6は、第1の実施形態に係る悪性URLリスト作成処理の流れの一例を示すフローチャートである。図6を参照して悪性URLリスト作成処理の流れの一例につき説明する。ただし、悪性URLリスト作成処理において悪性URL候補を除外する基準は図示するものに限られず、悪性URL候補を絞り込むことができるものであれば他の任意の基準を適用してもよい。
上記のように、第1の実施形態に係るブラックリスト拡充装置は、通信ログを取得するログ取得部と、ログ取得部が取得した通信ログに基づき、当該通信ログに含まれ、第1の基準を満たすURLである悪性URL候補を抽出するログ分析部と、ログ取得部が取得した通信ログに基づき、対象ネットワークの統計情報を抽出する前処理部と、ログ分析部が抽出した悪性URL候補を統合し、前処理部が抽出した統計情報を参照して第2の基準を満たす悪性URL候補を統合した悪性URL候補から除外して悪性URLリストを作成する悪性URLリスト作成部と、を備える。このため、通信ログの情報に基づいて悪性URL候補を抽出した上で、所定の基準に基づいて不適当な悪性URL候補を除外した悪性URLリストを作成することができ、効率的かつ精度よくブラックリストを拡充し、ブラックリストによる防御の効果を向上させることができるという効果を奏する。また、第1の実施形態のブラックリスト拡充装置は、対象ネットワークの統計情報をさらに参照して、悪性URL候補を絞り込んだ悪性URLリストを作成することができ、悪性か否かを確認する必要のあるURLを絞り込むことができる。このため、ブラックリストの拡充にかかる時間や手間を抑制し、効率的かつ精度よくブラックリストを拡充することができる。
これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、その他の実施形態にて実施されてもよい。以下に、その他の実施形態を説明する。
上記実施の形態に係るブラックリスト拡充装置において、フィードバック処理によって更新されたブラックリスト情報を、ブラックリスト情報配信システムに対して送信するように構成してもよい。ブラックリスト情報配信システム側が、複数のブラックリスト拡充装置から更新されたブラックリスト情報を受信してマージできるように構成すれば、さらにブラックリスト情報の精度を通信システム全体として向上させることができる。
本実施の形態に係るブラックリスト拡充装置20は、ログ収集蓄積装置10に蓄積された通信ログを取得して当該通信ログに基づき悪性URLリストを作成し、作成したリストに基づき既存のブラックリスト情報を拡充する。しかし、これに限らず、ブラックリスト拡充装置20は、既存のブラックリスト情報が存在しない場合に、一からブラックリストを作成するよう動作することもできる。この場合は、ブラックリスト拡充装置20が初めて動作する際に、悪性URLリストによってブラックリスト情報が作成され、その後の動作ごとにブラックリスト情報が拡充されるものとする。この場合、ブラックリスト取得部220は設けないものとしてもよい。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。たとえば、ログ分析部240と悪性URLリスト作成部250とを統合して、最終的な悪性URLリストを出力するように構成してもよい。また、ログ収集蓄積装置10とブラックリスト拡充装置20とを統合して一体的に構成してもよい。また、ブラックリスト拡充装置20をブラックリスト情報配信システム30に組み入れてもよい。
また、上記実施形態において説明したブラックリスト拡充装置20が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。たとえば、第1の実施形態に係るブラックリスト拡充装置20が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記第1の実施形態と同様の処理を実現してもよい。以下に、図1に示したブラックリスト拡充装置20と同様の機能を実現するプログラムを実行するコンピュータの一例を説明する。
10 ログ収集蓄積装置
20 ブラックリスト拡充装置
30 ブラックリスト情報配信システム
40 Webサイト巡回システム
110 ログ収集部
120 正規化部
130 ログ格納部
210 ログ取得部
220 ブラックリスト取得部
230 前処理部
240 ログ分析部
250 悪性URLリスト作成部
260 検査要求部
271 ブラックリスト情報記憶部
272 ネットワーク情報記憶部
273 ホワイトリスト情報記憶部
Claims (7)
- 通信ログを取得するログ取得部と、
前記ログ取得部が取得した通信ログに基づき、当該通信ログに含まれ、第1の基準を満たすURLである悪性URL候補を抽出するログ分析部と、
前記ログ取得部が取得した通信ログに基づき、対象ネットワークの統計情報を抽出する前処理部と、
前記ログ分析部が抽出した悪性URL候補を統合し、前記前処理部が抽出した統計情報を参照して第2の基準を満たす悪性URL候補を統合した悪性URL候補から除外して悪性URLリストを作成する悪性URLリスト作成部と、
を備えることを特徴とするブラックリスト拡充装置。 - 前記ログ分析部は、前記通信ログの中から、FQDNがIPアドレスであり、且つ、出現回数が所定の閾値以下のURLを悪性URL候補として抽出することを特徴とする請求項1に記載のブラックリスト拡充装置。
- 前記ログ分析部は、前記前処理部が抽出した統計情報に基づき、前記対象ネットワーク内のアクセス数が所定の閾値以下のFQDNを含むURLを悪性URL候補として抽出することを特徴とする請求項2に記載のブラックリスト拡充装置。
- 前記悪性URLリスト作成部は、フォーマット違反のURL、プライベートIPアドレスを含むURL、または広告系のURLを除外して悪性URLリストを作成することを特徴とする請求項1乃至3のいずれか1項に記載のブラックリスト拡充装置。
- 前記悪性URLリスト作成部は、前記統計情報に基づき、前記対象ネットワーク内のアクセス数が所定閾値以上のURLを除外して悪性URLリストを作成することを特徴とする請求項1乃至3のいずれか1項に記載のブラックリスト拡充装置。
- 通信ログを取得するログ取得工程と、
前記ログ取得工程において取得した通信ログに基づき、当該通信ログに含まれ、第1の基準を満たすURLである悪性URL候補を抽出するログ分析工程と、
前記ログ取得工程において取得した通信ログに基づき、対象ネットワークの統計情報を抽出する前処理工程と、
前記ログ分析工程において抽出した悪性URL候補を統合し、前記前処理工程において抽出した統計情報を参照して第2の基準を満たす悪性URL候補を統合した悪性URL候補から除外して悪性URLリストを作成する悪性URLリスト作成工程と、
を含むことを特徴とするブラックリスト拡充方法。 - ブラックリストを拡充するために、ブラックリスト拡充装置によって実行されるブラックリスト拡充プログラムであって、
通信ログを取得するログ取得手順と、
前記ログ取得手順において取得した通信ログに基づき、当該通信ログに含まれ、第1の基準を満たすURLである悪性URL候補を抽出するログ分析手順と、
前記ログ取得手順が取得した通信ログに基づき、対象ネットワークの統計情報を抽出する前処理手順と、
前記ログ分析手順において抽出した悪性URL候補を統合し、前記前処理手順において抽出した統計情報を参照して第2の基準を満たす悪性URL候補を統合した悪性URL候補から除外して悪性URLリストを作成する悪性URLリスト作成手順と、
を含むことを特徴とするブラックリスト拡充プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014056658A JP5813810B2 (ja) | 2014-03-19 | 2014-03-19 | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014056658A JP5813810B2 (ja) | 2014-03-19 | 2014-03-19 | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015179416A true JP2015179416A (ja) | 2015-10-08 |
JP5813810B2 JP5813810B2 (ja) | 2015-11-17 |
Family
ID=54263407
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014056658A Active JP5813810B2 (ja) | 2014-03-19 | 2014-03-19 | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5813810B2 (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017182520A (ja) * | 2016-03-31 | 2017-10-05 | 日本電気株式会社 | 制御装置、制御方法及びプログラム |
JP2018073140A (ja) * | 2016-10-31 | 2018-05-10 | 富士通株式会社 | ネットワーク監視装置、プログラム及び方法 |
JP2019528509A (ja) * | 2016-07-11 | 2019-10-10 | ビットディフェンダー アイピーアール マネジメント リミテッド | オンライン詐欺を検出するためのシステムおよび方法 |
JP2019185624A (ja) * | 2018-04-16 | 2019-10-24 | 株式会社構造計画研究所 | 悪性ウェブサイト検出装置、悪性ウェブサイト検出方法及び悪性ウェブサイト検出プログラム |
JP2020060978A (ja) * | 2018-10-10 | 2020-04-16 | 日本電信電話株式会社 | 探索装置、探索方法及び探索プログラム |
JPWO2020245930A1 (ja) * | 2019-06-04 | 2020-12-10 | ||
CN113965403A (zh) * | 2021-11-02 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种ip黑名单的处理方法及装置、存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003280945A (ja) * | 2002-03-19 | 2003-10-03 | Hitachi Information Systems Ltd | ログ解析システム,該ログ解析システムによる解析対象抽出方法および解析対象抽出プログラム |
JP2003281094A (ja) * | 2002-03-19 | 2003-10-03 | Hitachi Information Systems Ltd | 管理システム,該管理システムによる不正候補アクセスデータ抽出方法および不正候補アクセスデータ抽出プログラム |
JP2012015684A (ja) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
US8595829B1 (en) * | 2009-04-30 | 2013-11-26 | Symantec Corporation | Systems and methods for automatically blacklisting an internet domain based on the activities of an application |
-
2014
- 2014-03-19 JP JP2014056658A patent/JP5813810B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003280945A (ja) * | 2002-03-19 | 2003-10-03 | Hitachi Information Systems Ltd | ログ解析システム,該ログ解析システムによる解析対象抽出方法および解析対象抽出プログラム |
JP2003281094A (ja) * | 2002-03-19 | 2003-10-03 | Hitachi Information Systems Ltd | 管理システム,該管理システムによる不正候補アクセスデータ抽出方法および不正候補アクセスデータ抽出プログラム |
US8595829B1 (en) * | 2009-04-30 | 2013-11-26 | Symantec Corporation | Systems and methods for automatically blacklisting an internet domain based on the activities of an application |
JP2012015684A (ja) * | 2010-06-30 | 2012-01-19 | Mitsubishi Electric Corp | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
Non-Patent Citations (1)
Title |
---|
吉原大道他: "効率的なマルウェア収集環境の構築", 第74回(平成24年)全国大会講演論文集(3), JPN6015026430, 6 March 2012 (2012-03-06), pages 3 - 595, ISSN: 0003105985 * |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017182520A (ja) * | 2016-03-31 | 2017-10-05 | 日本電気株式会社 | 制御装置、制御方法及びプログラム |
JP2019528509A (ja) * | 2016-07-11 | 2019-10-10 | ビットディフェンダー アイピーアール マネジメント リミテッド | オンライン詐欺を検出するためのシステムおよび方法 |
JP2018073140A (ja) * | 2016-10-31 | 2018-05-10 | 富士通株式会社 | ネットワーク監視装置、プログラム及び方法 |
JP2019185624A (ja) * | 2018-04-16 | 2019-10-24 | 株式会社構造計画研究所 | 悪性ウェブサイト検出装置、悪性ウェブサイト検出方法及び悪性ウェブサイト検出プログラム |
JP7028699B2 (ja) | 2018-04-16 | 2022-03-02 | 株式会社構造計画研究所 | 悪性ウェブサイト検出装置、悪性ウェブサイト検出方法及び悪性ウェブサイト検出プログラム |
US20210392145A1 (en) * | 2018-10-10 | 2021-12-16 | Nippon Telegraph And Telephone Corporation | Search device, search method, and search program |
WO2020075518A1 (ja) * | 2018-10-10 | 2020-04-16 | 日本電信電話株式会社 | 探索装置、探索方法及び探索プログラム |
JP7020362B2 (ja) | 2018-10-10 | 2022-02-16 | 日本電信電話株式会社 | 探索装置、探索方法及び探索プログラム |
JP2020060978A (ja) * | 2018-10-10 | 2020-04-16 | 日本電信電話株式会社 | 探索装置、探索方法及び探索プログラム |
US11924243B2 (en) * | 2018-10-10 | 2024-03-05 | Nippon Telegraph And Telephone Corporation | Search device, search method, and search program |
JPWO2020245930A1 (ja) * | 2019-06-04 | 2020-12-10 | ||
WO2020245930A1 (ja) * | 2019-06-04 | 2020-12-10 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
JP7215571B2 (ja) | 2019-06-04 | 2023-01-31 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
US11997121B2 (en) | 2019-06-04 | 2024-05-28 | Nippon Telegraph And Telephone Corporation | Detection device, detection method, and detection program |
CN113965403A (zh) * | 2021-11-02 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种ip黑名单的处理方法及装置、存储介质 |
CN113965403B (zh) * | 2021-11-02 | 2023-11-14 | 北京天融信网络安全技术有限公司 | 一种ip黑名单的处理方法及装置、存储介质 |
Also Published As
Publication number | Publication date |
---|---|
JP5813810B2 (ja) | 2015-11-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11323469B2 (en) | Entity group behavior profiling | |
JP5813810B2 (ja) | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム | |
US10469514B2 (en) | Collaborative and adaptive threat intelligence for computer security | |
JP6315640B2 (ja) | 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム | |
US10511618B2 (en) | Website information extraction device, system website information extraction method, and website information extraction program | |
US20150326599A1 (en) | Evaluating URLS For Malicious Content | |
KR102079687B1 (ko) | 공격 그래프 기반의 사이버 위협 예측 시스템 및 그 방법 | |
TW201824047A (zh) | 攻擊請求的確定方法、裝置及伺服器 | |
JP2018513592A (ja) | ネットワークセキュリティのための行動解析ベースのdnsトンネリング検出・分類フレームワーク | |
RU2653241C1 (ru) | Обнаружение угрозы нулевого дня с использованием сопоставления ведущего приложения/программы с пользовательским агентом | |
US10250465B2 (en) | Network traffic monitoring and classification | |
Ko et al. | Management platform of threats information in IoT environment | |
CN105550593A (zh) | 一种基于局域网的云盘文件监控方法和装置 | |
CN107360198B (zh) | 可疑域名检测方法及系统 | |
JP5752642B2 (ja) | 監視装置および監視方法 | |
Tazaki et al. | MATATABI: multi-layer threat analysis platform with Hadoop | |
Nikolaev et al. | Exploit kit website detection using http proxy logs | |
JP6538618B2 (ja) | 管理装置及び管理方法 | |
US11159548B2 (en) | Analysis method, analysis device, and analysis program | |
JP6527111B2 (ja) | 解析装置、解析方法および解析プログラム | |
KR101542762B1 (ko) | 네트워크 기반 세이프 브라우징(Safe-Browsing) DB 생성 및 배포 방법, 세이프 브라우징 DB를 이용한 세이프 브라우징(Safe-Browsing) 강제화 방법 | |
White et al. | It's you on photo?: Automatic detection of Twitter accounts infected with the Blackhole Exploit Kit | |
Smits | Model Based Concept Mining Applied to Information Security Data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150630 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150826 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150915 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150916 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5813810 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |