JP2017097625A - 判定プログラム、判定方法、および判定装置 - Google Patents
判定プログラム、判定方法、および判定装置 Download PDFInfo
- Publication number
- JP2017097625A JP2017097625A JP2015229172A JP2015229172A JP2017097625A JP 2017097625 A JP2017097625 A JP 2017097625A JP 2015229172 A JP2015229172 A JP 2015229172A JP 2015229172 A JP2015229172 A JP 2015229172A JP 2017097625 A JP2017097625 A JP 2017097625A
- Authority
- JP
- Japan
- Prior art keywords
- connection
- connection destination
- terminal device
- determination
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
【解決手段】判定装置100は、端末装置101と接続先102との間の通信における複数回の接続それぞれの接続タイミングを特定する接続情報を記憶部110に記憶する。判定装置100は、記憶部110に記憶された接続情報に基づいて、端末装置101と接続先102との間の通信における複数回の接続それぞれについて、前回の接続との接続タイミングの間隔を算出する。判定装置100は、算出した接続タイミングの間隔に基づいて、接続先102の正当性を判定する。
【選択図】図1
Description
図1は、実施の形態にかかる判定方法の一実施例を示す説明図である。図1において、判定装置100は、端末装置101と通信する接続先102の正当性を判定するコンピュータである。端末装置101は、接続先102と通信を行うコンピュータである。接続先102は、端末装置101と通信を行うコンピュータである。
つぎに、実施の形態にかかるシステム200について説明する。
図3は、判定装置100のハードウェア構成例を示すブロック図である。図3において、判定装置100は、CPU(Central Processing Unit)301と、メモリ302と、I/F(Interface)303と、ディスクドライブ304と、ディスク305と、を有する。また、各構成部は、バス300によってそれぞれ接続される。
つぎに、図2に示した端末装置201および管理端末装置202のハードウェア構成について説明する。ここでは、端末装置201および管理端末装置202を「端末装置201等」と表記する。
つぎに、プロキシサーバ204から判定装置100に送信される接続情報の具体例について説明する。
つぎに、判定装置100が有する判定結果DB240の記憶内容について説明する。判定結果DB240は、例えば、図3に示した判定装置100のメモリ302、ディスク305などの記憶装置により実現される。
図7は、判定装置100の機能的構成例を示すブロック図である。図7において、判定装置100は、取得部701と、算出部702と、判定部703と、出力部704と、を含む構成である。取得部701〜出力部704は制御部となる機能であり、具体的には、例えば、図3に示したメモリ302、ディスク305などの記憶装置に記憶されたプログラムをCPU301に実行させることにより、または、I/F303により、その機能を実現する。各機能部の処理結果は、例えば、メモリ302、ディスク305などの記憶装置に記憶される。
10≦CV≦100の場合 ⇒d=f(CV)=−CV/90+10/9 …(4)
CV>100の場合 ⇒ d=0.0 …(5)
つぎに、管理端末装置202のディスプレイ406に表示される、警告情報を含む警告画面の画面例について説明する。
つぎに、管理端末装置202のディスプレイ406に表示される、不審度リストを含むリスト画面の画面例について説明する。
つぎに、判定装置100の判定処理手順について説明する。まず、図10を用いて、プロキシサーバ204から接続情報を受信する度に実行される第1の判定処理手順について説明する。
端末装置と接続先との間の通信における複数回の接続それぞれの接続タイミングを特定する接続情報を記憶部に記憶し、
前記記憶部に記憶された前記接続情報に基づいて、前記複数回の接続それぞれについて、前回の接続との接続タイミングの間隔を算出し、
算出した前記接続タイミングの間隔に基づいて、前記接続先の正当性を判定する、
処理を実行させることを特徴とする判定プログラム。
前記接続タイミングの間隔のばらつきが所定の基準よりも小さい場合、前記接続先が正当でないと判定する、処理を実行させることを特徴とする付記1に記載の判定プログラム。
算出した前記接続タイミングの間隔に基づいて、前記接続タイミングの間隔のばらつき度合いを示す統計値を算出する、処理を実行させ、
前記判定する処理は、
算出した前記統計値に基づいて、前記接続先の正当性を判定する、ことを特徴とする付記1に記載の判定プログラム。
前記接続タイミングの間隔の平均値に対する前記統計値の比率が閾値未満の場合に、前記接続先が正当でないと判定する、ことを特徴とする付記3に記載の判定プログラム。
前記接続タイミングの間隔を算出する処理は、
前記組み合わせそれぞれについて、前記記憶部に記憶された前記接続情報に基づいて、前記接続タイミングの間隔を算出し、
前記判定する処理は、
前記組み合わせそれぞれについて、算出した前記接続タイミングの間隔に基づいて、前記接続先の正当性を判定する、ことを特徴とする付記1〜4のいずれか一つに記載の判定プログラム。
前記端末装置と前記接続先との間の通信における接続回数が所定回数より大きい場合に、前記接続先の正当性を判定する、ことを特徴とする付記1〜5のいずれか一つに記載の判定プログラム。
前記記憶部に記憶された、前記端末装置と前記接続先との間の所定期間内の通信における複数回の接続それぞれの接続タイミングを特定する接続情報に基づいて、前記接続タイミングの間隔を算出する、ことを特徴とする付記1〜6のいずれか一つに記載の判定プログラム。
前記接続先が正当でないと判定した場合、前記端末装置の識別情報と前記接続先の識別情報とを含む警告情報を出力する、処理を実行させることを特徴とする付記1〜7のいずれか一つに記載の判定プログラム。
前記接続先が不当な接続先である度合いと前記統計値との関係性を表す条件式を用いて、前記接続先が不当な接続先である度合いを示す値を算出し、
算出した前記接続先が不当な接続先である度合いを示す値を出力する、
処理を実行させることを特徴とする付記3または4に記載の判定プログラム。
端末装置と接続先との間の通信における複数回の接続それぞれの接続タイミングを特定する接続情報を記憶部に記憶し、
前記記憶部に記憶された前記接続情報に基づいて、前記複数回の接続それぞれについて、前回の接続との接続タイミングの間隔を算出し、
算出した前記接続タイミングの間隔に基づいて、前記接続先の正当性を判定する、
処理を実行することを特徴とする判定方法。
前記記憶部に記憶された前記接続情報に基づいて、前記複数回の接続それぞれについて、前回の接続との接続タイミングの間隔を算出し、算出した前記接続タイミングの間隔に基づいて、前記接続先の正当性を判定する制御部と、
を有することを特徴とする判定装置。
101,201 端末装置
102 接続先
110 記憶部
200 システム
202 管理端末装置
203 ファイアウォール
204 プロキシサーバ
205 C&Cサーバ
230 接続情報DB
240 判定結果DB
500 接続情報
701 取得部
702 算出部
703 判定部
704 出力部
800 警告画面
810 警告情報
900 リスト画面
910 不審度リスト
Claims (10)
- コンピュータに、
端末装置と接続先との間の通信における複数回の接続それぞれの接続タイミングを特定する接続情報を記憶部に記憶し、
前記記憶部に記憶された前記接続情報に基づいて、前記複数回の接続それぞれについて、前回の接続との接続タイミングの間隔を算出し、
算出した前記接続タイミングの間隔に基づいて、前記接続先の正当性を判定する、
処理を実行させることを特徴とする判定プログラム。 - 前記コンピュータに、
前記接続タイミングの間隔のばらつきが所定の基準よりも小さい場合、前記接続先が正当でないと判定する、処理を実行させることを特徴とする請求項1に記載の判定プログラム。 - 前記コンピュータに、
算出した前記接続タイミングの間隔に基づいて、前記接続タイミングの間隔のばらつき度合いを示す統計値を算出する、処理を実行させ、
前記判定する処理は、
算出した前記統計値に基づいて、前記接続先の正当性を判定する、ことを特徴とする請求項1に記載の判定プログラム。 - 前記判定する処理は、
前記接続タイミングの間隔の平均値に対する前記統計値の比率が閾値未満の場合に、前記接続先が正当でないと判定する、ことを特徴とする請求項3に記載の判定プログラム。 - 前記記憶部は、端末装置と接続先との組み合わせそれぞれについて、前記端末装置と前記接続先との間の通信における複数回の接続それぞれの接続タイミングを特定する接続情報を記憶し、
前記接続タイミングの間隔を算出する処理は、
前記組み合わせそれぞれについて、前記記憶部に記憶された前記接続情報に基づいて、前記接続タイミングの間隔を算出し、
前記判定する処理は、
前記組み合わせそれぞれについて、算出した前記接続タイミングの間隔に基づいて、前記接続先の正当性を判定する、ことを特徴とする請求項1〜4のいずれか一つに記載の判定プログラム。 - 前記判定する処理は、
前記端末装置と前記接続先との間の通信における接続回数が所定の回数より大きい場合に、前記接続先の正当性を判定する、ことを特徴とする請求項1〜5のいずれか一つに記載の判定プログラム。 - 前記接続タイミングの間隔を算出する処理は、
前記記憶部に記憶された、前記端末装置と前記接続先との間の所定期間内の通信における複数回の接続それぞれの接続タイミングを特定する接続情報に基づいて、前記接続タイミングの間隔を算出する、ことを特徴とする請求項1〜6のいずれか一つに記載の判定プログラム。 - 前記コンピュータに、
前記接続先が正当でないと判定した場合、前記端末装置の識別情報と前記接続先の識別情報とを含む警告情報を出力する、処理を実行させることを特徴とする請求項1〜7のいずれか一つに記載の判定プログラム。 - コンピュータが、
端末装置と接続先との間の通信における複数回の接続それぞれの接続タイミングを特定する接続情報を記憶部に記憶し、
前記記憶部に記憶された前記接続情報に基づいて、前記複数回の接続それぞれについて、前回の接続との接続タイミングの間隔を算出し、
算出した前記接続タイミングの間隔に基づいて、前記接続先の正当性を判定する、
処理を実行することを特徴とする判定方法。 - 端末装置と接続先との間の通信における複数回の接続それぞれの接続タイミングを特定する接続情報を記憶部と、
前記記憶部に記憶された前記接続情報に基づいて、前記複数回の接続それぞれについて、前回の接続との接続タイミングの間隔を算出し、算出した前記接続タイミングの間隔に基づいて、前記接続先の正当性を判定する制御部と、
を有することを特徴とする判定装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015229172A JP2017097625A (ja) | 2015-11-24 | 2015-11-24 | 判定プログラム、判定方法、および判定装置 |
US15/337,260 US20170149809A1 (en) | 2015-11-24 | 2016-10-28 | Recording medium, deciding method, and deciding apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015229172A JP2017097625A (ja) | 2015-11-24 | 2015-11-24 | 判定プログラム、判定方法、および判定装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017097625A true JP2017097625A (ja) | 2017-06-01 |
Family
ID=58721377
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015229172A Pending JP2017097625A (ja) | 2015-11-24 | 2015-11-24 | 判定プログラム、判定方法、および判定装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20170149809A1 (ja) |
JP (1) | JP2017097625A (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116488948B (zh) * | 2023-06-25 | 2023-09-01 | 上海观安信息技术股份有限公司 | 机器行为异常检测方法、装置、设备及介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005203992A (ja) * | 2004-01-14 | 2005-07-28 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
CN103685230A (zh) * | 2013-11-01 | 2014-03-26 | 上海交通大学 | 僵尸网络恶意域名的分布式协同检测系统和方法 |
WO2015141640A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6789203B1 (en) * | 2000-06-26 | 2004-09-07 | Sun Microsystems, Inc. | Method and apparatus for preventing a denial of service (DOS) attack by selectively throttling TCP/IP requests |
US20040193943A1 (en) * | 2003-02-13 | 2004-09-30 | Robert Angelino | Multiparameter network fault detection system using probabilistic and aggregation analysis |
-
2015
- 2015-11-24 JP JP2015229172A patent/JP2017097625A/ja active Pending
-
2016
- 2016-10-28 US US15/337,260 patent/US20170149809A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005203992A (ja) * | 2004-01-14 | 2005-07-28 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
CN103685230A (zh) * | 2013-11-01 | 2014-03-26 | 上海交通大学 | 僵尸网络恶意域名的分布式协同检测系统和方法 |
WO2015141640A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム |
Non-Patent Citations (1)
Title |
---|
角田 朋 ほか: "グレーリストを用いたホワイトリスト/ブラックリストの自動生成によるマルウェア感染検知方法の検討", 電子情報通信学会技術研究報告, vol. 114, no. 117, JPN6019028709, 26 June 2014 (2014-06-26), JP, pages 105 - 111, ISSN: 0004214097 * |
Also Published As
Publication number | Publication date |
---|---|
US20170149809A1 (en) | 2017-05-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110324311B (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
EP3349414B1 (en) | Malicious tunneling handling system | |
US9306964B2 (en) | Using trust profiles for network breach detection | |
US9712532B2 (en) | Optimizing security seals on web pages | |
US9081961B2 (en) | System and method for analyzing malicious code using a static analyzer | |
US20160036849A1 (en) | Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies | |
US20180034837A1 (en) | Identifying compromised computing devices in a network | |
US20160373262A1 (en) | Systems and methods for digital certificate security | |
US11861006B2 (en) | High-confidence malware severity classification of reference file set | |
US20160014148A1 (en) | Web anomaly detection apparatus and method | |
CN111783096B (zh) | 检测安全漏洞的方法和装置 | |
CA2545916A1 (en) | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data | |
US11336661B2 (en) | Detecting remote application profiling | |
CN109936475A (zh) | 一种异常检测方法及装置 | |
US11303670B1 (en) | Pre-filtering detection of an injected script on a webpage accessed by a computing device | |
JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
US20150163238A1 (en) | Systems and methods for testing and managing defensive network devices | |
CN106416178A (zh) | 用于识别自主的、自传播的软件的方法和设备 | |
JP2017097625A (ja) | 判定プログラム、判定方法、および判定装置 | |
US10484422B2 (en) | Prevention of rendezvous generation algorithm (RGA) and domain generation algorithm (DGA) malware over existing internet services | |
CN113904843B (zh) | 一种终端异常dns行为的分析方法和装置 | |
WO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
US9015300B2 (en) | Method, computer program product, and device for network reconnaissance flow identification | |
JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
CN113839957B (zh) | 未授权漏洞的检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180810 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190627 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190730 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190930 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200218 |