JP2018169897A - 検知装置、検知方法及び検知プログラム - Google Patents
検知装置、検知方法及び検知プログラム Download PDFInfo
- Publication number
- JP2018169897A JP2018169897A JP2017067957A JP2017067957A JP2018169897A JP 2018169897 A JP2018169897 A JP 2018169897A JP 2017067957 A JP2017067957 A JP 2017067957A JP 2017067957 A JP2017067957 A JP 2017067957A JP 2018169897 A JP2018169897 A JP 2018169897A
- Authority
- JP
- Japan
- Prior art keywords
- tower server
- network communication
- command
- unit
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】教師データが少量である場合であっても、教師あり学習を用いて、ボットネットの司令塔サーバを検知できる検知装置、検知方法及び検知プログラムを提供する。【解決手段】検知装置10は、ネットワーク通信情報を収集する収集部151と、ネットワーク通信情報から、マルウェアを感染したボットと該ボットを制御する司令塔サーバとの間の通信プロトコルと接続構造との少なくとも一方が類似するホスト間通信を行うサーバを司令塔サーバの候補として抽出する候補抽出部152と、各々の司令塔サーバの候補について、ネットワーク通信情報を基にネットワーク通信特徴を生成する特徴生成部153と、ネットワーク通信特徴が類似する司令塔サーバの候補を同じ集団に分類する分類部154と、外部脅威情報141を、分類した各々の集団に照合し、所定量以上の司令塔サーバを含む集団に属する全ての候補を司令塔サーバとして検知する検知部155と、を有する。【選択図】図1
Description
本発明は、検知装置、検知方法及び検知プログラムに関する。
ボットネットとは、マルウェアと呼ばれるコンピュータウィルスなどによって多くの端末やサーバに、遠隔操作可能である攻撃用プログラムを送り込み、外部からの指令で一斉に攻撃を行わせるネットワークである。このネットワークは、攻撃を司令するする司令塔サーバと、攻撃用プログラムに感染した端末やサーバ(ボット)群から構成される。従来、教師あり学習、または、教師なし学習の二つの手法を用いて、ボットネットの司令塔サーバを検知していた。
Leyla Bilge, Engin Kirda, Davide Balzarotti, Christopher Kruegel, William Robertson,"DISCLOSURE: Detecting Botnet Command and Control Servers Through Large-Scale NetFlow Analysis", 28th Annual Computer Security Applications Conference, December 3-7, 2012.
Guofei Gu, Roberto Perdisci, Junjie Zhang, and Wenke Lee,"BotMiner: Clustering Analysis of Network Traffic for Protocol- and Structure-Independent Botnet Detection", 17th USENIX Security Symposium p139−p154, USENIX Association, 2008
IoT(Internet of Things)などの短期間で大規模化したボットネットの場合、従来の教師あり学習では、教師データ(ブラックリスト)が不十分であるため、検知精度が低下してしまうことから、司令塔サーバの検知としては、教師なし学習を用いたアプローチが望ましい。しかしながら、従来の教師なし学習では、着目するデータ量が多いため、検知対象候補の効率的な絞り込みと特徴量の生成とができず、検知精度が不十分になるという問題があった。
本発明は、上記に鑑みてなされたものであって、教師データが少量である場合であっても、教師あり学習を用いて、ボットネットの司令塔サーバを検知できる検知装置、検知方法及び検知プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る検知装置は、ネットワーク通信情報を収集する収集部と、ネットワーク通信情報から、マルウェアを感染したボットと該ボットを制御する司令塔サーバとの間の通信プロトコルと接続構造との少なくとも一方が類似するホスト間通信を行うサーバを司令塔サーバの候補として抽出する候補抽出部と、候補抽出部が抽出した各々の司令塔サーバの候補について、ネットワーク通信情報を基にネットワーク通信特徴を生成する特徴生成部と、特徴生成部が生成したネットワーク通信特徴が類似する司令塔サーバの候補を同じ集団に分類する分類部と、司令塔サーバを示す脅威情報を、分類部が分類した各々の集団に照合し、所定量以上の司令塔サーバを含む集団に属する全ての候補を司令塔サーバとして検知する検知部と、検知部が検知した司令塔サーバを示す情報を外部へ出力する出力部と、を有することを特徴とする。
本発明によれば、教師データが少量である場合であっても、教師あり学習を用いて、ボットネットの司令塔サーバを検知できる。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[実施の形態]
まず、実施の形態に係る検知装置について、概略構成、検知処理の流れ及び具体例を説明する。図1は、実施の形態に係る検知装置の概略構成を示す模式図である。検知装置10は、ネットワーク内におけるフローデータを基に、ボットネットの司令塔サーバを検知し、検知した司令塔サーバを示す情報を外部の攻撃対処装置等へ出力する。検知装置10は、図1に示すように、入力部11、出力部12、通信部13、記憶部14及び制御部15を有する。
まず、実施の形態に係る検知装置について、概略構成、検知処理の流れ及び具体例を説明する。図1は、実施の形態に係る検知装置の概略構成を示す模式図である。検知装置10は、ネットワーク内におけるフローデータを基に、ボットネットの司令塔サーバを検知し、検知した司令塔サーバを示す情報を外部の攻撃対処装置等へ出力する。検知装置10は、図1に示すように、入力部11、出力部12、通信部13、記憶部14及び制御部15を有する。
入力部11は、検知装置10の操作者からの各種操作を受け付ける入力インタフェースである。例えば、入力部11は、タッチパネル、音声入力デバイス、キーボードやマウス等の入力デバイスによって構成される。出力部12は、例えば、液晶ディスプレイなどの表示装置、プリンタ等の印刷装置、情報通信装置等によって実現され、検知処理に関する情報を出力する。
通信部13は、ネットワーク等を介して接続された他の装置との間で、各種情報を送受信する通信インタフェースである。通信部13は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した他の装置と制御部15(後述)との間の通信を行う。例えば、通信部13は、ネットワーク内におけるフローデータを、インプットとして受信し、制御部15に出力する。また、通信部13は、制御部15が検知した司令塔サーバを示す情報を外部の攻撃対処装置等へ出力する。
記憶部14は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部14は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部14は、検知装置10で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部14は、プログラムの実行で用いられる各種情報を記憶する。
記憶部14は、外部脅威情報141を有する。外部脅威情報141は、外部から入手されたものであり、第三者によって検知された既知の司令塔サーバを示す情報(ブラックリスト)である。外部脅威情報141は、既知の司令塔サーバを識別するIP(Internet Protocol)アドレスやポート番号等の情報を含む。
制御部15は、検知装置10全体を制御する。制御部15は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部15は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部15は、各種のプログラムが動作することにより各種の処理部として機能する。制御部15は、収集部151、候補抽出部152、特徴生成部153、分類部154及び検知部155を有する。
収集部151は、ネットワーク通信情報を収集する。収集部151は、通信部から出力された、ネットワーク内におけるフローデータを用いて、ボットネットの司令塔サーバ検知のためのネットワーク通信情報を収集する。
候補抽出部152は、ネットワーク通信情報から、マルウェアを感染したボットと該ボットを制御する司令塔サーバとの間の通信プロトコルと接続構造との少なくとも一方が類似するホスト間通信を行うサーバを、司令塔サーバの候補として抽出する。候補抽出部152は、ホスト間通信に使われたポート番号と司令塔サーバにおける通信プロトコルのポート番号との一致性に基づいてボットと司令塔サーバとの間の通信プロトコルに類似する通信を判断する。そして、候補抽出部152は、同一サーバに一定量以上のホストがアクセスした通信を、ボットと司令塔サーバとの間の接続構造に類似する通信として判断する。
特徴生成部153は、候補抽出部152が抽出した各々の司令塔サーバの候補について、ネットワーク通信情報を基にネットワーク通信特徴を生成する。特徴生成部153は、司令塔サーバの候補ごとに発信或いは受信した通信の複数のネットワーク通信特徴を生成する。特徴生成部153は、与えられた条件に応じて、司令塔サーバの候補毎の発信と受信した通信のいずれかを用い、各々の特徴の中の任意の複数の項目を用いて、ネットワーク通信特徴を生成する。特徴生成部153は、複数の特徴量に対して、一つ或いは複数の次元変換・次元圧縮アルゴリズムを組み合わせることによって、ネットワーク通信特徴から隠れた特徴を生成する。
分類部154は、特徴生成部153が生成したネットワーク通信特徴が類似する司令塔サーバの候補を同じ集団に分類する。分類部154は、特徴生成部153が生成したネットワーク通信特徴を基に司令塔サーバの候補間の距離を計算するアルゴリズムを用いて司令塔サーバの候補を分類する。
検知部155は、外部脅威情報141を、分類部154で分類された各々の集団に照合し、所定量以上の司令塔サーバを含む集団に属する全ての候補を司令塔サーバとして検知する。検知部155は、所定量として、事前に与えられた閾値を用いる、或いは、統計的な手法を用いて計算した閾値を用いる。
このように、本実施の形態に係る検知装置10は、教師なし学習のアプローチを改良し、統計的な手法などにより、大量なデータから検査対象を絞り込み、一つ或いは複数の次元変換・次元圧縮アルゴリズムを組み合わせて有効な特徴量を生成し検査対象を分類した上、小量な教師データにより類似する未知の司令塔サーバを検知する。続いて、検知装置10における各構成部の処理について詳細に説明する。
[候補抽出部の処理]
まず、候補抽出部152の処理について説明する。図2は、図1に示す候補抽出部152の処理を説明する図である。
まず、候補抽出部152の処理について説明する。図2は、図1に示す候補抽出部152の処理を説明する図である。
まず、候補抽出部152は、この司令塔サーバにおける通信プロトコルのポート番号とホスト間通信に使われたポート番号との一致性に基づいてボットと司令塔サーバとの間の通信プロトコルに類似する通信を判断する。候補抽出部152は、外部脅威情報141で示された司令塔サーバのポート番号を基に、図2のように、この司令塔サーバのポート番号を利用するサーバSを司令塔サーバの候補として抽出する。
或いは、候補抽出部152は、多くのクライアント端末Cと接続している等の通常とは異なる振る舞いをする、悪性使用のための特定のポート番号を利用するサーバのIPアドレスを、司令塔サーバの候補のサーバSのIPアドレスとして抽出する。このような、多くのクライアント端末Cと接続している、そして、候補抽出部152は、この司令塔サーバのポート番号を利用するサーバSを司令塔サーバの候補として抽出する。
そして、候補抽出部152は、ポート番号を基に抽出した司令塔サーバの候補について、同一サーバに一定量以上のホストがアクセスした通信を、ボットと司令塔サーバとの間の接続構造に類似する通信として判断する。例えば、候補抽出部152は、アクセス数が、ユニークなクライアント端末Cの数の平均値に標準偏差を加えた数よりも大きいサーバ(図2の枠W1参照)を、信頼空間から外れた悪性使用のサーバ、すなわち、司令塔サーバの候補として抽出する。このように、候補抽出部152は、大量なフローデータから、統計的手法等を用いて、司令塔サーバの候補を絞り込んでいる。
[特徴生成部の処理]
次に、特徴生成部153の処理について説明する。特徴生成部153は、候補抽出部152が抽出した各々の司令塔サーバの候補について、ネットワーク通信情報を基にネットワーク通信特徴を生成する。特徴生成部153は、司令塔サーバの候補ごとに、発信或いは受信した通信の複数のネットワーク通信特徴を生成する。
次に、特徴生成部153の処理について説明する。特徴生成部153は、候補抽出部152が抽出した各々の司令塔サーバの候補について、ネットワーク通信情報を基にネットワーク通信特徴を生成する。特徴生成部153は、司令塔サーバの候補ごとに、発信或いは受信した通信の複数のネットワーク通信特徴を生成する。
図3は、図1に示す特徴生成部153の処理を説明する図である。図3に示すように、特徴生成部153は、候補抽出部152が抽出した各々の司令塔サーバの候補(図3の枠W1参照)について、複数のネットワーク通信特徴を生成する。
このとき、特徴生成部153は、生成した複数のネットワーク通信特徴(図3の表T1の「Feature1」の列の各値)を、ディープニューラルネットワークN1による特徴学習を選択的に適用して次元変換、次元圧縮する(図3の表T1の「Feature2」の列の各値)。これによって、特徴生成部153は、有効な特徴量の生成を可能としている。なお、特徴生成部153は、ディープニューラルネットワークN1を使用するオートエンコーダで特徴学習を行っている。特徴生成部153は、一以上のオートエンコーダを用いる。言い換えると、特徴生成部153は、一つ或いは複数の次元変換・次元圧縮アルゴリズムを組み合わせることによって、有効な特徴量を生成する。
そして、図4は、図1に示す特徴生成部153が生成する特徴の一例を示す図である。図4の表T2は、「カテゴリ(Category)」、「特徴(Feature)」、「フローの方向(Direction)」及び特徴量「Feature#」が項目として示されている。カテゴリとして、「Active time(活動時間)」、「Access host number(ホストの数)」、「Packet volume」、「Flow sequence」がある。
このうち、表T2の1行目に示す「Active time(活動時間)」は、観測されたタイムウィンド数を用いて、特徴生成部153によって生成されるネットワーク特徴量である。タイムウィンドとは、ルート解析等で利用されるものであり、ネットワークロケーションを訪れてよい時間帯のことある。特徴生成部153は、図4の例では、活動時間の特徴量として、送信元及び送信先が識別番号「2」のサーバについて、「in」、「out」のタイムウィンドをカウントした場合には、特徴量を1×2=2として計算する。
表T2の2行目に示す「Access host number(ホストの数)」は、全体期間において観測されたユニークなホストの数、タイムウィンド毎のユニークなホストの数からなる行列の平均値、標準偏差値、最大値及び最小値を用いて、特徴生成部153によって生成されるネットワーク特徴量である。表T2の2行目では、全体時間を5分としている。そして、特徴生成部153は、5分あたりの観測されたユニークなホストの数の、タイムウィンド毎のユニークなホストの数からなる行列の平均値、標準偏差値、最大値及び最小値と、フローの方向が「in」、「out」の2方向であることとを基に、このカテゴリの特徴量を5×2=10として計算する。
表T2の3行目に示す「Packet volume」は、タイムウィンド毎の通信フロー数、パケット数、バイト数からなるそれぞれの行列の、ユニークなホストあたりの平均値、標準偏差値、最大値、最小値を用いたネットワーク通信の特徴を用いて、特徴生成部153によって生成されるネットワーク特徴量である。特徴生成部153は、ホストあたりの5分間のフローの平均値、標準偏差値、最大値、最小値と、フローあたりのパケットの平均値、標準偏差値、最大値、最小値と、パケットあたりのバイトの平均値、標準偏差値、最大値、最小値と、フローの方向が「in」、「out」の2方向であることとに基づいて、このカテゴリの特徴量を12×2=24として計算する。
表T2の4行目示す「Flow sequence」は、TCPフラグの有無を表す行列の列毎の平均値を用いて、特徴生成部153によって生成されるネットワーク通信シーケンスの特徴量である。特徴生成部153は、TCPフラグである「URG、ACK、PSH、RST、SYN、FIN」のベクトルの平均と、フローの方向が「in」、「out」の2方向であることとに基づいて、このカテゴリの特徴量を6×2=12として計算する。
このように、特徴生成部153は、これらの項目に示す複数のネットワーク通信特徴を、司令塔サーバの候補ごとに生成する。また、特徴生成部153は、与えられた条件に応じて、司令塔サーバの候補ごとの発信と受信した通信とのいずれかのみを用いてネットワーク通信特徴を生成する。そして、特徴生成部153は、与えられた条件に応じて、各々の特徴の中の任意の複数の項目を自由に用いてネットワーク通信特徴を生成する。さらに、上述したように、特徴生成部153は、一つ或いは複数の次元変換・次元圧縮アルゴリズムを用いて、ネットワーク通信特徴から隠れた特徴を生成するため、隠れた特徴も含んだ有効なネットワーク通信特徴量を生成することができる。
[分類部の処理]
続いて、分類部154の処理について説明する。図5は、図1に示す分類部154の処理を説明する図である。分類部154は、特徴生成部153が生成したネットワーク通信特徴が類似する司令塔サーバの候補を同じ集団に分類する。言い換えると、分類部154は、特徴生成部153が生成した隠れた特徴も含んだ有効なネットワーク通信特徴量を用いて、司令塔サーバの候補をそれぞれ類似する集団に分類する。具体的には、分類部154は、図5の表T1に示す複数の特徴量を用いて、特徴が類似する司令塔サーバの候補を同じ集団に分類する。
続いて、分類部154の処理について説明する。図5は、図1に示す分類部154の処理を説明する図である。分類部154は、特徴生成部153が生成したネットワーク通信特徴が類似する司令塔サーバの候補を同じ集団に分類する。言い換えると、分類部154は、特徴生成部153が生成した隠れた特徴も含んだ有効なネットワーク通信特徴量を用いて、司令塔サーバの候補をそれぞれ類似する集団に分類する。具体的には、分類部154は、図5の表T1に示す複数の特徴量を用いて、特徴が類似する司令塔サーバの候補を同じ集団に分類する。
分類部154は、図5の例では、グラフG1に示すように、令塔サーバの候補を、3つの集団に分類する。このとき、分類部154は、複数の特徴量に対して、一つ或いは複数の次元変換・次元圧縮アルゴリズムを用いて抽出された隠れたネットワーク通信特徴を基に、司令塔サーバの候補間の距離を計算するアルゴリズムを用いて、司令塔サーバの候補を3つの集団に分類する。
[検知部の処理]
次に、検知部155の処理について説明する。検知部155は、分類部154が分類した各集合に対し、外部脅威情報141であるブラックリストを照合して、既知の悪意のある司令塔サーバのIPアドレスが、所定量以上である集団がある場合、この集団に属する全ての候補を司令塔サーバとして判断する。
次に、検知部155の処理について説明する。検知部155は、分類部154が分類した各集合に対し、外部脅威情報141であるブラックリストを照合して、既知の悪意のある司令塔サーバのIPアドレスが、所定量以上である集団がある場合、この集団に属する全ての候補を司令塔サーバとして判断する。
図6は、図1に示す検知部155の処理を説明する図である。例えば、図6に示すように、ブラックリストにIP「A」,IP「X」が既知の司令塔サーバのIPアドレスとして記載されている場合(図6の(1)参照)を例に説明する。この場合、検知部155は、分類部154が分類したcluster1〜3(図6の(2)参照)に対し、このブラックリストを照合する。例えば、所定値が「1」である場合について説明する。
cluster1について、cluster1に含まれる3台のサーバのうちブラックリスト内のIPアドレスである2台のサーバA,Xを含むため、検知部155は、cluster1に属する3台全てのサーバを司令塔サーバとして判断する(図6の(3)の1行目参照)。これに対し、検知部155は、cluster2,3では、ブラックリスト内のIPアドレスであるサーバが含まれないため、このcluster2,3に属するサーバは、司令塔サーバではないと判断する図6の(3)参照の3,5行目参照)。
なお、検知部155は、所定量として、事前に与えられた閾値を用いる。或いは、検知部155は、所定量として、統計的な手法を用いて計算した閾値を用いる。このように、検知部155が使用する閾値は、適切に設定されたものであるため、検知精度を高く保持することができる。また、検知部155は、既知の司令塔サーバのIPアドレスの割合が、所定値以上である集団がある場合、この集団に属する全ての候補を司令塔サーバとして判断してもよい。
[検知処理の処理手順]
次に、実施の形態に係る検知処理の処理手順について説明する。図7は、本実施の形態に係る検知処理の処理手順を示すフローチャートである。
次に、実施の形態に係る検知処理の処理手順について説明する。図7は、本実施の形態に係る検知処理の処理手順を示すフローチャートである。
図7に示すように、まず、収集部151が、通信部13を介して、検知対象のネットワーク通信情報を収集する(ステップS1)。そして、候補抽出部152は、このネットワーク通信情報から、マルウェアを感染したボットと該ボットを制御する司令塔サーバとの間の通信プロトコルと接続構造との少なくとも一方が類似するホスト間通信を行うサーバを司令塔サーバの候補として抽出する候補抽出処理を行う(ステップS2)。
続いて、特徴生成部153は、候補抽出部152が抽出した各々の司令塔サーバの候補について、ネットワーク通信情報を基にネットワーク通信特徴を生成する特徴生成処理を行う(ステップS3)。そして、分類部154は、特徴生成部153が生成したネットワーク通信特徴が類似する司令塔サーバの候補を同じ集団に分類する分類処理を行う(ステップS4)。
続いて、検知部155は、外部脅威情報141を、分類部154が分類した各々の集団に照合し、所定量以上の司令塔サーバを含む集団に属する全ての候補を、司令塔サーバとして検知する検知処理を行う(ステップS5)。そして、検知装置10は、検知部155が検知した司令塔サーバを示す情報を外部へ出力する出力処理を行い(ステップS6)、検知装置10は、検知処理を終了する。
[実施の形態の効果]
このように、本実施の形態に係る検知装置10は、教師なし学習のアプローチを改良し、統計的な手法などにより、大量なデータから司令塔サーバの候補を効率的に絞り込むことができる。そして、検知装置10では、司令塔サーバの候補を絞り込んだ上で、これらの司令塔サーバの候補ごとに特徴量を生成し、その特徴量を用いて検査対象を分類する。続いて、検知装置10は、教師データを各集合に照合し、所定量以上の司令塔サーバを含む集団に属する全ての候補を、司令塔サーバとして検知する。
このように、本実施の形態に係る検知装置10は、教師なし学習のアプローチを改良し、統計的な手法などにより、大量なデータから司令塔サーバの候補を効率的に絞り込むことができる。そして、検知装置10では、司令塔サーバの候補を絞り込んだ上で、これらの司令塔サーバの候補ごとに特徴量を生成し、その特徴量を用いて検査対象を分類する。続いて、検知装置10は、教師データを各集合に照合し、所定量以上の司令塔サーバを含む集団に属する全ての候補を、司令塔サーバとして検知する。
このため、検知装置10は、予め司令塔サーバの候補を絞り込み、これらの特徴量を用いて、類似する集団に分類してから、教師あり学習を用いて司令塔サーバを検知するため、少量の教師データしかない場合であっても、高い精度で司令塔サーバを検知することができる。また、検知装置10は、一つ或いは複数の次元変換・次元圧縮アルゴリズムを組み合わせることによって、有効な特徴量を生成できるため、各司令塔サーバの候補を、類似する集団に、高精度で分類できる。
[実施の形態のシステム構成について]
図1に示した検知装置10の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、検知装置10の機能の分散および統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。
図1に示した検知装置10の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、検知装置10の機能の分散および統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。
また、検知装置10において行われる各処理は、全部または任意の一部が、CPUおよびCPUにより解析実行されるプログラムにて実現されてもよい。また、検知装置10において行われる各処理は、ワイヤードロジックによるハードウェアとして実現されてもよい。
また、実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともできる。もしくは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上述および図示の処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて適宜変更することができる。
[プログラム]
図8は、プログラムが実行されることにより、検知装置10が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
図8は、プログラムが実行されることにより、検知装置10が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、検知装置10の各処理を規定するプログラムは、コンピュータ1000により実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、検知装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施の形態について説明したが、本実施の形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施の形態に基づいて当業者等によりなされる他の実施の形態、実施例及び運用技術等は全て本発明の範疇に含まれる。
10 検知装置
11 入力部
12 出力部
13 通信部
14 記憶部
15 制御部
141 外部脅威情報
151 収集部
152 候補抽出部
153 特徴生成部
154 分類部
155 検知部
11 入力部
12 出力部
13 通信部
14 記憶部
15 制御部
141 外部脅威情報
151 収集部
152 候補抽出部
153 特徴生成部
154 分類部
155 検知部
Claims (8)
- ネットワーク通信情報を収集する収集部と、
前記ネットワーク通信情報から、マルウェアに感染したボットと該ボットを制御する司令塔サーバとの間の通信プロトコルと接続構造との少なくとも一方が類似するホスト間通信を行うサーバを前記司令塔サーバの候補として抽出する候補抽出部と、
前記候補抽出部が抽出した各々の司令塔サーバの候補について、前記ネットワーク通信情報を基にネットワーク通信特徴を生成する特徴生成部と、
前記特徴生成部が生成した前記ネットワーク通信特徴が類似する前記司令塔サーバの候補を同じ集団に分類する分類部と、
前記司令塔サーバを示す脅威情報を、前記分類部が分類した各々の集団に照合し、所定量以上の司令塔サーバを含む集団に属する全ての候補を前記司令塔サーバとして検知する検知部と、
前記検知部が検知した前記司令塔サーバを示す情報を外部へ出力する出力部と、
を有することを特徴とする検知装置。 - 前記候補抽出部は、前記ホスト間通信に使われたポート番号と前記司令塔サーバにおける通信プロトコルのポート番号との一致性に基づいて前記ボットと前記司令塔サーバとの間の通信プロトコルに類似する通信を判断し、同一サーバに一定量以上のホストがアクセスした通信を、前記ボットと前記司令塔サーバとの間の接続構造に類似する通信として判断することを特徴とする請求項1に記載の検知装置。
- 前記特徴生成部は、前記司令塔サーバの候補ごとに発信或いは受信した通信の複数のネットワーク通信特徴を生成し、前記複数のネットワーク通信特徴として、観測されたタイムウィンド数を用いた活動時間の特徴と、全体期間において観測されたユニークなホストの数、タイムウィンド毎のユニークなホストの数からなる行列の平均値、標準偏差値、最大値及び最小値を用いたボット数の特徴と、タイムウィンド毎の通信フロー数、パケット数、バイト数からなるそれぞれの行列の、ユニークなホストあたりの平均値、標準偏差値、最大値、最小値を用いたネットワーク通信の特徴と、或いは、全てのTCPフラグの有無を表す行列の列毎の平均値を用いたネットワーク通信シーケンスの特徴と、を生成し、
前記特徴生成部は、与えられた条件に応じて、司令塔サーバの候補毎の発信と受信した通信のいずれかを用い、各々の特徴の中の任意の複数の項目を用いて、前記ネットワーク通信特徴を生成することを特徴とする請求項1または2に記載の検知装置。 - 前記特徴生成部は、複数の特徴量に対して、一つ或いは複数の次元変換、次元圧縮アルゴリズムを用いて、前記ネットワーク通信特徴から隠れた特徴を生成することを特徴とする請求項1〜3のいずれか一つに記載の検知装置。
- 前記分類部は、前記特徴生成部が生成した前記ネットワーク通信特徴を用いて司令塔サーバの候補間の距離を計算するアルゴリズムを用いて前記司令塔サーバを分類することを特徴とする請求項1〜4のいずれか一つに記載の検知装置。
- 前記検知部は、前記所定量は、事前に与えられた閾値、或いは、統計的な手法を用いて計算した閾値であることを特徴とする請求項1〜5のいずれか一つに記載の検知装置。
- 検知装置が実行する検知方法であって、
ネットワーク通信情報を収集する収集工程と、
前記ネットワーク通信情報から、マルウェアを感染したボットと該ボットを制御する司令塔サーバとの間の通信プロトコルと接続構造との少なくとも一方が類似するホスト間通信を行うサーバを前記司令塔サーバの候補として抽出する候補抽出工程と、
各々の前記司令塔サーバの候補について、ネットワーク通信情報を基にネットワーク通信特徴を生成する特徴生成工程と、
前記ネットワーク通信特徴が類似する前記司令塔サーバの候補を同じ集団に分類する分類工程と、
前記司令塔サーバを示す脅威情報を、分類した各々の前記集団に照合し、所定量以上の司令塔サーバを含む集団に属する全ての候補を前記司令塔サーバとして検知する検知工程と、
検知した前記司令塔サーバを示す情報を外部へ出力する出力工程と、
を含んだことを特徴とする検知方法。 - ネットワーク通信情報を収集する収集ステップと、
前記ネットワーク通信情報から、マルウェアを感染したボットと該ボットを制御する司令塔サーバとの間の通信プロトコルと接続構造との少なくとも一方が類似するホスト間通信を行うサーバを前記司令塔サーバの候補として抽出する候補抽出ステップと、
各々の前記司令塔サーバの候補について、ネットワーク通信情報を基にネットワーク通信特徴を生成する特徴生成ステップと、
前記ネットワーク通信特徴が類似する前記司令塔サーバの候補を同じ集団に分類する分類ステップと、
前記司令塔サーバを示す脅威情報を、分類した各々の前記集団に照合し、所定量以上の司令塔サーバを含む集団に属する全ての候補を前記司令塔サーバとして検知する検知ステップと、
検知した前記司令塔サーバを示す情報を外部へ出力する出力ステップと、
をコンピュータに実行させるための検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017067957A JP2018169897A (ja) | 2017-03-30 | 2017-03-30 | 検知装置、検知方法及び検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017067957A JP2018169897A (ja) | 2017-03-30 | 2017-03-30 | 検知装置、検知方法及び検知プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2018169897A true JP2018169897A (ja) | 2018-11-01 |
Family
ID=64018023
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017067957A Pending JP2018169897A (ja) | 2017-03-30 | 2017-03-30 | 検知装置、検知方法及び検知プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2018169897A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020245930A1 (ja) * | 2019-06-04 | 2020-12-10 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010092236A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| US9060018B1 (en) * | 2014-02-05 | 2015-06-16 | Pivotal Software, Inc. | Finding command and control center computers by communication link tracking |
-
2017
- 2017-03-30 JP JP2017067957A patent/JP2018169897A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010092236A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| US9060018B1 (en) * | 2014-02-05 | 2015-06-16 | Pivotal Software, Inc. | Finding command and control center computers by communication link tracking |
Non-Patent Citations (2)
| Title |
|---|
| WUCHNER, T. ET AL.: "MalFlow: Identification of C&C Servers through Host-based Data Flow Profiling", PROCEEDINGS OF TH 31ST ANNUAL ACM SYMPOSIUM ON APPLIED COMPUTING, JPN7019001680, 2016, pages 2087 - 2094, XP058630949, ISSN: 0004044641, DOI: 10.1145/2851613.2851802 * |
| 中谷裕一 他: "ネットワークにおけるボットネット検出に係る一検討", 電子情報通信学会2016年通信ソサイエティ大会講演論文集, vol. 2巻, JPN6019019378, 6 September 2016 (2016-09-06), pages 110, ISSN: 0004189379 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020245930A1 (ja) * | 2019-06-04 | 2020-12-10 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Vinayakumar et al. | Scalable framework for cyber threat situational awareness based on domain name systems data analysis | |
| CN107637041B (zh) | 识别恶意加密网络流量的方法与系统以及计算机程序元件 | |
| CN107646190B (zh) | 恶意加密流量检测器、识别方法以及计算机程序元件 | |
| US8260914B1 (en) | Detecting DNS fast-flux anomalies | |
| US9094288B1 (en) | Automated discovery, attribution, analysis, and risk assessment of security threats | |
| US11700269B2 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
| US20180034837A1 (en) | Identifying compromised computing devices in a network | |
| US11258812B2 (en) | Automatic characterization of malicious data flows | |
| WO2014138205A2 (en) | Methods, systems, and computer readable media for detecting a compromised computing host | |
| US9479521B2 (en) | Software network behavior analysis and identification system | |
| JP2019523584A (ja) | ネットワーク攻撃防御システムおよび方法 | |
| CN112437062B (zh) | 一种icmp隧道的检测方法、装置、存储介质和电子设备 | |
| Ahmed et al. | A novel sliding window based change detection algorithm for asymmetric traffic | |
| JP6864610B2 (ja) | 特定システム、特定方法及び特定プログラム | |
| White et al. | Unsupervised one-class learning for anomaly detection on home IoT network devices | |
| WO2021018440A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
| CN113688291B (zh) | 一种流媒体网络数据的异常行为检测方法和装置 | |
| WO2017019103A1 (en) | Network traffic pattern based machine readable instruction identification | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| JP2007074339A (ja) | 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム | |
| Patil et al. | A comparative performance evaluation of machine learning-based NIDS on benchmark datasets | |
| JP2018169897A (ja) | 検知装置、検知方法及び検知プログラム | |
| CN113726775B (zh) | 一种攻击检测方法、装置、设备及存储介质 | |
| Chanthakoummane et al. | Improving intrusion detection on snort rules for botnets detection | |
| Aljohani et al. | An intrusion detection system model in a local area network using different machine learning classifiers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180702 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190425 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190604 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190805 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200114 |