JP2018169897A - 検知装置、検知方法及び検知プログラム - Google Patents
検知装置、検知方法及び検知プログラム Download PDFInfo
- Publication number
- JP2018169897A JP2018169897A JP2017067957A JP2017067957A JP2018169897A JP 2018169897 A JP2018169897 A JP 2018169897A JP 2017067957 A JP2017067957 A JP 2017067957A JP 2017067957 A JP2017067957 A JP 2017067957A JP 2018169897 A JP2018169897 A JP 2018169897A
- Authority
- JP
- Japan
- Prior art keywords
- tower server
- network communication
- command
- unit
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
まず、実施の形態に係る検知装置について、概略構成、検知処理の流れ及び具体例を説明する。図1は、実施の形態に係る検知装置の概略構成を示す模式図である。検知装置10は、ネットワーク内におけるフローデータを基に、ボットネットの司令塔サーバを検知し、検知した司令塔サーバを示す情報を外部の攻撃対処装置等へ出力する。検知装置10は、図1に示すように、入力部11、出力部12、通信部13、記憶部14及び制御部15を有する。
まず、候補抽出部152の処理について説明する。図2は、図1に示す候補抽出部152の処理を説明する図である。
次に、特徴生成部153の処理について説明する。特徴生成部153は、候補抽出部152が抽出した各々の司令塔サーバの候補について、ネットワーク通信情報を基にネットワーク通信特徴を生成する。特徴生成部153は、司令塔サーバの候補ごとに、発信或いは受信した通信の複数のネットワーク通信特徴を生成する。
続いて、分類部154の処理について説明する。図5は、図1に示す分類部154の処理を説明する図である。分類部154は、特徴生成部153が生成したネットワーク通信特徴が類似する司令塔サーバの候補を同じ集団に分類する。言い換えると、分類部154は、特徴生成部153が生成した隠れた特徴も含んだ有効なネットワーク通信特徴量を用いて、司令塔サーバの候補をそれぞれ類似する集団に分類する。具体的には、分類部154は、図5の表T1に示す複数の特徴量を用いて、特徴が類似する司令塔サーバの候補を同じ集団に分類する。
次に、検知部155の処理について説明する。検知部155は、分類部154が分類した各集合に対し、外部脅威情報141であるブラックリストを照合して、既知の悪意のある司令塔サーバのIPアドレスが、所定量以上である集団がある場合、この集団に属する全ての候補を司令塔サーバとして判断する。
次に、実施の形態に係る検知処理の処理手順について説明する。図7は、本実施の形態に係る検知処理の処理手順を示すフローチャートである。
このように、本実施の形態に係る検知装置10は、教師なし学習のアプローチを改良し、統計的な手法などにより、大量なデータから司令塔サーバの候補を効率的に絞り込むことができる。そして、検知装置10では、司令塔サーバの候補を絞り込んだ上で、これらの司令塔サーバの候補ごとに特徴量を生成し、その特徴量を用いて検査対象を分類する。続いて、検知装置10は、教師データを各集合に照合し、所定量以上の司令塔サーバを含む集団に属する全ての候補を、司令塔サーバとして検知する。
図1に示した検知装置10の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、検知装置10の機能の分散および統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散または統合して構成することができる。
図8は、プログラムが実行されることにより、検知装置10が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
11 入力部
12 出力部
13 通信部
14 記憶部
15 制御部
141 外部脅威情報
151 収集部
152 候補抽出部
153 特徴生成部
154 分類部
155 検知部
Claims (8)
- ネットワーク通信情報を収集する収集部と、
前記ネットワーク通信情報から、マルウェアに感染したボットと該ボットを制御する司令塔サーバとの間の通信プロトコルと接続構造との少なくとも一方が類似するホスト間通信を行うサーバを前記司令塔サーバの候補として抽出する候補抽出部と、
前記候補抽出部が抽出した各々の司令塔サーバの候補について、前記ネットワーク通信情報を基にネットワーク通信特徴を生成する特徴生成部と、
前記特徴生成部が生成した前記ネットワーク通信特徴が類似する前記司令塔サーバの候補を同じ集団に分類する分類部と、
前記司令塔サーバを示す脅威情報を、前記分類部が分類した各々の集団に照合し、所定量以上の司令塔サーバを含む集団に属する全ての候補を前記司令塔サーバとして検知する検知部と、
前記検知部が検知した前記司令塔サーバを示す情報を外部へ出力する出力部と、
を有することを特徴とする検知装置。 - 前記候補抽出部は、前記ホスト間通信に使われたポート番号と前記司令塔サーバにおける通信プロトコルのポート番号との一致性に基づいて前記ボットと前記司令塔サーバとの間の通信プロトコルに類似する通信を判断し、同一サーバに一定量以上のホストがアクセスした通信を、前記ボットと前記司令塔サーバとの間の接続構造に類似する通信として判断することを特徴とする請求項1に記載の検知装置。
- 前記特徴生成部は、前記司令塔サーバの候補ごとに発信或いは受信した通信の複数のネットワーク通信特徴を生成し、前記複数のネットワーク通信特徴として、観測されたタイムウィンド数を用いた活動時間の特徴と、全体期間において観測されたユニークなホストの数、タイムウィンド毎のユニークなホストの数からなる行列の平均値、標準偏差値、最大値及び最小値を用いたボット数の特徴と、タイムウィンド毎の通信フロー数、パケット数、バイト数からなるそれぞれの行列の、ユニークなホストあたりの平均値、標準偏差値、最大値、最小値を用いたネットワーク通信の特徴と、或いは、全てのTCPフラグの有無を表す行列の列毎の平均値を用いたネットワーク通信シーケンスの特徴と、を生成し、
前記特徴生成部は、与えられた条件に応じて、司令塔サーバの候補毎の発信と受信した通信のいずれかを用い、各々の特徴の中の任意の複数の項目を用いて、前記ネットワーク通信特徴を生成することを特徴とする請求項1または2に記載の検知装置。 - 前記特徴生成部は、複数の特徴量に対して、一つ或いは複数の次元変換、次元圧縮アルゴリズムを用いて、前記ネットワーク通信特徴から隠れた特徴を生成することを特徴とする請求項1〜3のいずれか一つに記載の検知装置。
- 前記分類部は、前記特徴生成部が生成した前記ネットワーク通信特徴を用いて司令塔サーバの候補間の距離を計算するアルゴリズムを用いて前記司令塔サーバを分類することを特徴とする請求項1〜4のいずれか一つに記載の検知装置。
- 前記検知部は、前記所定量は、事前に与えられた閾値、或いは、統計的な手法を用いて計算した閾値であることを特徴とする請求項1〜5のいずれか一つに記載の検知装置。
- 検知装置が実行する検知方法であって、
ネットワーク通信情報を収集する収集工程と、
前記ネットワーク通信情報から、マルウェアを感染したボットと該ボットを制御する司令塔サーバとの間の通信プロトコルと接続構造との少なくとも一方が類似するホスト間通信を行うサーバを前記司令塔サーバの候補として抽出する候補抽出工程と、
各々の前記司令塔サーバの候補について、ネットワーク通信情報を基にネットワーク通信特徴を生成する特徴生成工程と、
前記ネットワーク通信特徴が類似する前記司令塔サーバの候補を同じ集団に分類する分類工程と、
前記司令塔サーバを示す脅威情報を、分類した各々の前記集団に照合し、所定量以上の司令塔サーバを含む集団に属する全ての候補を前記司令塔サーバとして検知する検知工程と、
検知した前記司令塔サーバを示す情報を外部へ出力する出力工程と、
を含んだことを特徴とする検知方法。 - ネットワーク通信情報を収集する収集ステップと、
前記ネットワーク通信情報から、マルウェアを感染したボットと該ボットを制御する司令塔サーバとの間の通信プロトコルと接続構造との少なくとも一方が類似するホスト間通信を行うサーバを前記司令塔サーバの候補として抽出する候補抽出ステップと、
各々の前記司令塔サーバの候補について、ネットワーク通信情報を基にネットワーク通信特徴を生成する特徴生成ステップと、
前記ネットワーク通信特徴が類似する前記司令塔サーバの候補を同じ集団に分類する分類ステップと、
前記司令塔サーバを示す脅威情報を、分類した各々の前記集団に照合し、所定量以上の司令塔サーバを含む集団に属する全ての候補を前記司令塔サーバとして検知する検知ステップと、
検知した前記司令塔サーバを示す情報を外部へ出力する出力ステップと、
をコンピュータに実行させるための検知プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017067957A JP2018169897A (ja) | 2017-03-30 | 2017-03-30 | 検知装置、検知方法及び検知プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017067957A JP2018169897A (ja) | 2017-03-30 | 2017-03-30 | 検知装置、検知方法及び検知プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2018169897A true JP2018169897A (ja) | 2018-11-01 |
Family
ID=64018023
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017067957A Pending JP2018169897A (ja) | 2017-03-30 | 2017-03-30 | 検知装置、検知方法及び検知プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2018169897A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020245930A1 (ja) * | 2019-06-04 | 2020-12-10 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010092236A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
US9060018B1 (en) * | 2014-02-05 | 2015-06-16 | Pivotal Software, Inc. | Finding command and control center computers by communication link tracking |
-
2017
- 2017-03-30 JP JP2017067957A patent/JP2018169897A/ja active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010092236A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
US9060018B1 (en) * | 2014-02-05 | 2015-06-16 | Pivotal Software, Inc. | Finding command and control center computers by communication link tracking |
Non-Patent Citations (2)
Title |
---|
WUCHNER, T. ET AL.: "MalFlow: Identification of C&C Servers through Host-based Data Flow Profiling", PROCEEDINGS OF TH 31ST ANNUAL ACM SYMPOSIUM ON APPLIED COMPUTING, JPN7019001680, 2016, pages 2087 - 2094, XP058630949, ISSN: 0004044641, DOI: 10.1145/2851613.2851802 * |
中谷裕一 他: "ネットワークにおけるボットネット検出に係る一検討", 電子情報通信学会2016年通信ソサイエティ大会講演論文集, vol. 2巻, JPN6019019378, 6 September 2016 (2016-09-06), pages 110, ISSN: 0004189379 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020245930A1 (ja) * | 2019-06-04 | 2020-12-10 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Vinayakumar et al. | Scalable framework for cyber threat situational awareness based on domain name systems data analysis | |
CN107637041B (zh) | 识别恶意加密网络流量的方法与系统以及计算机程序元件 | |
CN107646190B (zh) | 恶意加密流量检测器、识别方法以及计算机程序元件 | |
US8260914B1 (en) | Detecting DNS fast-flux anomalies | |
US9094288B1 (en) | Automated discovery, attribution, analysis, and risk assessment of security threats | |
US11700269B2 (en) | Analyzing user behavior patterns to detect compromised nodes in an enterprise network | |
US20180034837A1 (en) | Identifying compromised computing devices in a network | |
US11258812B2 (en) | Automatic characterization of malicious data flows | |
WO2014138205A2 (en) | Methods, systems, and computer readable media for detecting a compromised computing host | |
US9479521B2 (en) | Software network behavior analysis and identification system | |
JP2019523584A (ja) | ネットワーク攻撃防御システムおよび方法 | |
CN112437062B (zh) | 一种icmp隧道的检测方法、装置、存储介质和电子设备 | |
Ahmed et al. | A novel sliding window based change detection algorithm for asymmetric traffic | |
JP6864610B2 (ja) | 特定システム、特定方法及び特定プログラム | |
White et al. | Unsupervised one-class learning for anomaly detection on home IoT network devices | |
WO2021018440A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
CN113688291B (zh) | 一种流媒体网络数据的异常行为检测方法和装置 | |
WO2017019103A1 (en) | Network traffic pattern based machine readable instruction identification | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
JP2007074339A (ja) | 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム | |
Patil et al. | A comparative performance evaluation of machine learning-based NIDS on benchmark datasets | |
JP2018169897A (ja) | 検知装置、検知方法及び検知プログラム | |
CN113726775B (zh) | 一种攻击检测方法、装置、设备及存储介质 | |
Chanthakoummane et al. | Improving intrusion detection on snort rules for botnets detection | |
Aljohani et al. | An intrusion detection system model in a local area network using different machine learning classifiers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180702 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190425 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190604 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190805 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200114 |