JP2016057767A - 解析装置、解析方法およびコンピュータプログラム - Google Patents
解析装置、解析方法およびコンピュータプログラム Download PDFInfo
- Publication number
- JP2016057767A JP2016057767A JP2014182471A JP2014182471A JP2016057767A JP 2016057767 A JP2016057767 A JP 2016057767A JP 2014182471 A JP2014182471 A JP 2014182471A JP 2014182471 A JP2014182471 A JP 2014182471A JP 2016057767 A JP2016057767 A JP 2016057767A
- Authority
- JP
- Japan
- Prior art keywords
- web page
- analysis
- reference destination
- sites
- site
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
特許文献1に記載される従来技術では、Webページが正規に変更された場合と不正に改ざんされた場合とを区別することが難しい。また、コンテンツの特徴量によってはコンテンツの変化を検出できないようにコンテンツが改ざんされると、その検出が難しい。
非特許文献1に記載される従来技術では、既知の悪性Webページには有効であるが、未知の悪性Webページには効果がない。
非特許文献2に記載される従来技術では、既知のマルウェア配布サイトのURLが豊富にないと、未知のマルウェア配布サイトを検出する効果が十分に得られない。
(2)本発明の一態様は、上記(1)の解析装置において、前記検出部は、悪性Webページであるか否かを判定する対象Webページについて、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が1である場合に、当該対象Webページを悪性であると判定する、解析装置である。
(3)本発明の一態様は、上記(1)の解析装置において、前記検出部は、悪性Webページであるか否かを判定する対象Webページについて、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が第1の閾値以下である場合に、当該対象Webページを悪性であると判定し、一方、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が前記第1の閾値よりも大きい第2の閾値以上である場合に、当該対象Webページを良性であると判定する、解析装置である。
(4)本発明の一態様は、上記(1)から(3)のいずれかの解析装置において、前記参照元及び参照先の情報は、URLのホスト部分の情報である解析装置である。
(5)本発明の一態様は、上記(1)から(3)のいずれかの解析装置において、前記参照元及び参照先の情報は、IPアドレスである解析装置である。
(6)本発明の一態様は、上記(1)から(5)のいずれかの解析装置において、前記解析部は、Webページの参照先が画像データであり且つ該画像データのサイズが所定値よりも小さいものを、前記解析結果において当該Webページの参照先としない解析装置である。
(7)本発明の一態様は、上記(1)から(6)のいずれかの解析装置において、前記解析部は、Webページの参照先の少なくとも2ホップは先の参照先も、前記解析結果において当該Webページの参照先とする解析装置である。
図1は、本発明の一実施形態に係る解析装置1の構成を示すブロック図である。図1において、解析装置1は解析部11と検出部12を備える。解析装置1には、Webアクセス情報が入力される。Webアクセス情報は、Webサイトへ行われたアクセスの参照元(Fan-In)及び参照先(Fan-Out)の情報である。Webアクセス情報として、例えば、HTTP(Hypertext Transfer Protocol)プロキシサーバで作成されたWebアクセスログや、ユーザ端末のWebブラウザにインストールされているプラグインソフトウェアで作成されたWebアクセスログなどが利用可能である。解析部11は、Webアクセス情報に基づいて、各Webページの参照元(Fan-In)及び参照先(Fan-Out)を解析する。検出部12は、解析部11の解析結果に基づいて悪性Webページを検出する。検出部12は、検出した悪性Webページを特定する情報(例えばURL)を有する検出結果情報を出力する。
解析部11は、Webアクセス情報に基づいて、各Webページの参照元(Fan-In)及び参照先(Fan-Out)を解析する。図4は、本実施形態に係る解析方法のフローチャートである。図4を参照して、本実施形態に係る解析方法を説明する。ここでは、Webアクセス情報として、Webアクセスログ(例えばHTTPプロキシサーバで作成されたWebアクセスログなど)に記録されたHTTPリクエストメッセージ及びHTTPレスポンスメッセージを使用する。
検出部12は、解析部11の解析結果に基づいて悪性Webページを検出する。この悪性Webページ検出方法について以下に例1,例2を挙げて説明する。
図5は、本実施形態に係る悪性Webページ検出方法の例1を説明するための概念図である。悪性Webページ検出方法の例1では、悪性Webページであるか否かを判定する対象のWebページ(対象Webページ)について、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が1である場合に、当該対象Webページを悪性であると判定する。悪性であると判定されなかった対象Webページについては良性であると判定する。
図6は、本実施形態に係る悪性Webページ検出方法の例2を説明するための概念図である。悪性Webページ検出方法の例2では、悪性であると判定する条件として、対象Webページへの参照元サイトの数が複数であり、対象Webページからの参照先サイトの数が1又は複数である。但し、参照先サイトの数に対しては、悪性であると判定するための上限値Th1と、悪性ではないと判定するための下限値Th2とを設ける(但し、Th2>Th1)。つまり、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数がTh1以下である場合に、当該対象Webページを悪性であると判定する。一方、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数がTh2以上である場合に、当該対象Webページを良性であると判定する。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Claims (9)
- Webサイトへ行われたアクセスの参照元及び参照先の情報に基づいて、各Webページの参照元及び参照先を解析する解析部と、
前記解析部の解析結果によるWebページの参照元の個数及び参照先の個数に基づいて悪性Webページの検出を行う検出部と、
を備えた解析装置。 - 前記検出部は、悪性Webページであるか否かを判定する対象Webページについて、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が1である場合に、当該対象Webページを悪性であると判定する、
請求項1に記載の解析装置。 - 前記検出部は、悪性Webページであるか否かを判定する対象Webページについて、
対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が第1の閾値以下である場合に、当該対象Webページを悪性であると判定し、
一方、対象Webページへの参照元サイトの数が2以上であり、且つ、対象Webページからの参照先サイトの数が前記第1の閾値よりも大きい第2の閾値以上である場合に、当該対象Webページを良性であると判定する、
請求項1に記載の解析装置。 - 前記参照元及び参照先の情報は、URLのホスト部分の情報である請求項1から3のいずれか1項に記載の解析装置。
- 前記参照元及び参照先の情報は、IPアドレスである請求項1から3のいずれか1項に記載の解析装置。
- 前記解析部は、Webページの参照先が画像データであり且つ該画像データのサイズが所定値よりも小さいものを、前記解析結果において当該Webページの参照先としない請求項1から5のいずれか1項に記載の解析装置。
- 前記解析部は、Webページの参照先の少なくとも2ホップは先の参照先も、前記解析結果において当該Webページの参照先とする請求項1から6のいずれか1項に記載の解析装置。
- 解析部が、Webサイトへ行われたアクセスの参照元及び参照先の情報に基づいて、各Webページの参照元及び参照先を解析し、
検出部が、前記解析部の解析結果によるWebページの参照元の個数及び参照先の個数に基づいて悪性Webページの検出を行う、
解析方法。 - コンピュータに、
Webサイトへ行われたアクセスの参照元及び参照先の情報に基づいて、各Webページの参照元及び参照先を解析する解析機能と、
前記解析機能の解析結果によるWebページの参照元の個数及び参照先の個数に基づいて悪性Webページの検出を行う検出機能と、
を実現させるためのコンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014182471A JP2016057767A (ja) | 2014-09-08 | 2014-09-08 | 解析装置、解析方法およびコンピュータプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014182471A JP2016057767A (ja) | 2014-09-08 | 2014-09-08 | 解析装置、解析方法およびコンピュータプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2016057767A true JP2016057767A (ja) | 2016-04-21 |
Family
ID=55758319
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014182471A Pending JP2016057767A (ja) | 2014-09-08 | 2014-09-08 | 解析装置、解析方法およびコンピュータプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2016057767A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017217163A1 (ja) * | 2016-06-17 | 2017-12-21 | 日本電信電話株式会社 | アクセス分類装置、アクセス分類方法及びアクセス分類プログラム |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001290843A (ja) * | 2000-02-04 | 2001-10-19 | Fujitsu Ltd | 文書検索装置及びその方法並びに文書検索プログラム及びそのプログラムを記録した記録媒体 |
JP2009169924A (ja) * | 2007-12-18 | 2009-07-30 | Nippon Telegr & Teleph Corp <Ntt> | 特徴的キーワード検出装置、特徴的キーワード検出方法、プログラムおよび記録媒体 |
JP2011257901A (ja) * | 2010-06-08 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析装置、解析方法及び解析プログラム |
JP2012221286A (ja) * | 2011-04-11 | 2012-11-12 | Kddi Corp | ユーザ分類装置、ユーザ分類方法、およびユーザ分類プログラム |
JP2013257773A (ja) * | 2012-06-13 | 2013-12-26 | Nippon Telegr & Teleph Corp <Ntt> | 監視装置および監視方法 |
-
2014
- 2014-09-08 JP JP2014182471A patent/JP2016057767A/ja active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001290843A (ja) * | 2000-02-04 | 2001-10-19 | Fujitsu Ltd | 文書検索装置及びその方法並びに文書検索プログラム及びそのプログラムを記録した記録媒体 |
JP2009169924A (ja) * | 2007-12-18 | 2009-07-30 | Nippon Telegr & Teleph Corp <Ntt> | 特徴的キーワード検出装置、特徴的キーワード検出方法、プログラムおよび記録媒体 |
JP2011257901A (ja) * | 2010-06-08 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析装置、解析方法及び解析プログラム |
JP2012221286A (ja) * | 2011-04-11 | 2012-11-12 | Kddi Corp | ユーザ分類装置、ユーザ分類方法、およびユーザ分類プログラム |
JP2013257773A (ja) * | 2012-06-13 | 2013-12-26 | Nippon Telegr & Teleph Corp <Ntt> | 監視装置および監視方法 |
Non-Patent Citations (3)
Title |
---|
伊藤光恭ほか: "ネットワークセキュリティ技術の動向", NTT技術ジャーナル, vol. 第22巻,第3号, JPN6017044897, 1 March 2010 (2010-03-01), JP, pages 40 - 44, ISSN: 0003687279 * |
安藤槙悟ほか: "通信の遷移に着目した不正リダイレクトの検出による悪性Webサイト検知システムの提案", 電子情報通信学会技術研究報告, vol. 第111巻,第123号, JPN6017044898, 5 July 2011 (2011-07-05), JP, pages 205 - 210, ISSN: 0003687280 * |
青木一史ほか: "検索エンジンによるマルウェア接続先評価手法の提案", 電子情報通信学会技術研究報告, vol. 第110巻,第113号, JPN6017044895, 24 June 2010 (2010-06-24), JP, pages 75 - 80, ISSN: 0003687278 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017217163A1 (ja) * | 2016-06-17 | 2017-12-21 | 日本電信電話株式会社 | アクセス分類装置、アクセス分類方法及びアクセス分類プログラム |
JPWO2017217163A1 (ja) * | 2016-06-17 | 2018-10-04 | 日本電信電話株式会社 | アクセス分類装置、アクセス分類方法及びアクセス分類プログラム |
US11212297B2 (en) | 2016-06-17 | 2021-12-28 | Nippon Telegraph And Telephone Corporation | Access classification device, access classification method, and recording medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8515918B2 (en) | Method, system and computer program product for comparing or measuring information content in at least one data stream | |
US9953162B2 (en) | Rapid malware inspection of mobile applications | |
Borders et al. | Quantifying information leaks in outbound web traffic | |
Chen et al. | WebPatrol: Automated collection and replay of web-based malware scenarios | |
WO2015001970A1 (ja) | 不正アクセス検知システム及び不正アクセス検知方法 | |
JP6687761B2 (ja) | 結合装置、結合方法および結合プログラム | |
US11792221B2 (en) | Rest API scanning for security testing | |
CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
Siby et al. | {WebGraph}: Capturing advertising and tracking information flows for robust blocking | |
Lamprakis et al. | Unsupervised detection of APT C&C channels using web request graphs | |
JP5752642B2 (ja) | 監視装置および監視方法 | |
KR101487476B1 (ko) | 악성도메인을 검출하기 위한 방법 및 장치 | |
JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
US10360379B2 (en) | Method and apparatus for detecting exploits | |
KR20140011518A (ko) | 악성코드를 차단하기 위한 방법 및 시스템 | |
Mun et al. | Secure short url generation method that recognizes risk of target url | |
US10484422B2 (en) | Prevention of rendezvous generation algorithm (RGA) and domain generation algorithm (DGA) malware over existing internet services | |
JP2016057767A (ja) | 解析装置、解析方法およびコンピュータプログラム | |
JP2019036830A (ja) | 端末識別装置、端末識別方法及びプログラム | |
US10805300B2 (en) | Computer network cross-boundary protection | |
US9003535B1 (en) | Systems and methods for certifying client-side security for internet sites | |
CN111767540A (zh) | Jart恶意软件自动化分析方法、装置和计算机可读存储介质 | |
WO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
KR101944809B1 (ko) | 도메인 네임 서버를 이용한 악성 코드 정보 조회 방법 | |
JP6055726B2 (ja) | ウェブページ監視装置、ウェブページ監視システム、ウェブページ監視方法およびコンピュータプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170127 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170130 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171117 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171128 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180529 |