JP2018194880A - 情報処理装置、不正活動分類方法および不正活動分類用プログラム - Google Patents
情報処理装置、不正活動分類方法および不正活動分類用プログラム Download PDFInfo
- Publication number
- JP2018194880A JP2018194880A JP2017095339A JP2017095339A JP2018194880A JP 2018194880 A JP2018194880 A JP 2018194880A JP 2017095339 A JP2017095339 A JP 2017095339A JP 2017095339 A JP2017095339 A JP 2017095339A JP 2018194880 A JP2018194880 A JP 2018194880A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- communication
- phase
- activity
- malware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
【解決手段】ネットワーク監視装置20は、ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段251と、前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段254と、前記端末が不正な活動を行っているか否かを判定する判定手段257と、該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、振る舞いの種類を決定する相関分析手段258と、前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段259と、を備える。
【選択図】図3
Description
図1は、本実施形態に係るシステム1の構成を示す概略図である。本実施形態に係るシステム1は、複数の情報処理端末90(以下、「ノード90」と称する)が接続されるネットワークセグメント2と、ノード90に係る通信を監視するためのネットワーク監視装置20と、を備える。更に、管理サーバー50が、ルータ10を介してネットワークセグ
メント2と通信可能に接続されている。本実施形態において、ネットワーク監視装置20は、スイッチまたはルータ(図1に示した例では、ルータ)のモニタリングポート(ミラーポート)に接続されることで、ノード90によって送受信されるパケットやフレーム等を取得する。この場合、ネットワーク監視装置20は、取得したパケットを転送しないパッシブモードで動作する。
サーバー等)を含む。
Peer)アプリケーション、Tor(The Onion Router)、UltraSurf(Proxyツール)および匿名プロキシ等による通信を検知することで、ノード90において業務に不要なアプリケーションが動作していることを検知する。
撃コードを送り込んで感染させるかまたは他の端末から攻撃コードが送り込まれて感染させられるフェーズである。感染・浸潤フェーズでは、既に感染している端末を介して攻撃コードが標的の端末に送り込まれ、攻撃コードが送り込まれた端末がマルウェアに感染する。例えば、Windows OSのMS−RPCやファイル共有の脆弱性を利用して拡散活動が行われる。ボット系のマルウェアの場合は、攻撃者(ハーダー)から発行される、C&C(Command and Control)サーバーを経由した指令(フェーズP6)に基づいて感染活動(マルウェアの拡散活動)が実行される。フェーズP3からの移行先は、ワーム等の自律型のマルウェアの場合、フェーズP4またはフェーズP9であり、ボット系のマルウェアの場合、フェーズP4である。感染・浸潤フェーズは、2つの側面を持つ。1つは、感染元端末が感染活動を実行するフェーズである。もう1つは、被害者(感染先)端末として、攻撃コードが送り込まれ感染させられるフェーズである。
Gr < 1.0の範囲の値(小数点以下1桁)が設定されている。グレード(Gr)=0は、マルウェアの活動の結果発生した通信パターンである可能性が極めて低いことを示し、1に近いグレードほどマルウェアの活動の結果発生した通信パターンである可能性が高いことを示す。グレード(Gr)は、正当なアプリケーションの通信パターンとして出現する頻度に基づいて、通信パターン毎に予め決定されている。即ち、正当なアプリケーションによる通信として現れる可能性が低い通信にはより高い値のグレードが割り当てられ、正当なアプリケーションによる通信として現れる可能性が高い通信にはより低いグレードが割り当てられる。本実施形態では、通信パターンPn−mに予め設定されたグレードが「Gr(Pn−m)」、通信パターンPn−mに該当する通信を行った端末(h)
に割り当てられたグレードが「Gr(h, Pn−m)」で表される。
IF (Pn−m = TRUE) AND (A) THEN Gr(Pn−m)=0.1、ACTION= C&Cサーバー候補リストに記録
IF (Pn−m = TRUE) AND (B) THEN Gr(Pn−m)=0.6、ACTION=No
る。
PGr(h, Pn) = max {Gr(Pn−m) | Pn−m∈h}
よりも前または後に送信または受信された他のパケット(先行パケットまたは後続パケット)と、の相関分析を行う。即ち、本実施形態において実施される相関分析は、2つ以上の通信間または2つ以上のフェーズ間に連続性や共通性等の相関性の有無または程度を分析するものであり、相関分析の結果は、評価値取得部252、補正部253、判定部257および分類部259等によって用いられる。
次に、本実施形態に係るシステム1によって実行される処理の流れを、フローチャートを用いて説明する。なお、以下に説明するフローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
NSサーバー情報、メールサーバー情報、プロキシ(HTTP/SOCKS)情報、Active Directory情報等)を学習し、記憶装置14a等に保存する。
予め定義された通信パターン(Pn−m)との共通性を判定する。ここで、通信パターン(Pn−m)と共通性があると判定された場合、入力パケットに係る端末(h)の活動遷移モデル上のフェーズはフェーズPn(h)に決定される。また、評価値取得部252は、判定の結果、一致または近似する(対応する)と判定された通信パターンのグレードGr(Pn−m)を、端末(h)に関連づけて、入力パケットのグレードGr(h, Pn−m)として取得する。更に、ネットワーク監視装置20は、検出した通信パターンに基づいて、対象通信の送信元端末または宛先端末を「マルウェア配布サーバー候補リスト」、または「C&Cサーバー候補リスト」に登録する。ここでは、パケットロストを考慮して、すべてのフェーズの通信パターンを対象に判定および評価が行われる。なお、既知の判定済みフローと関連付いているために、追加の判定処理が不要な入力パケットについては、判定は行われず、統計情報の更新のみが行われる。その後、処理はステップS007へ進む。
Gr(h, Pn−m) = θ・Gr(h, Pn−m)
但し、マルウェア挙動類似係数θの範囲は1.0から2.0。ここで1.0は「類似性なし」を意味する。なお、第二の相関分析の処理内容、およびマルウェア挙動類似係数θについては、図6から図8を参照して後述する。その後、処理はステップS009へ進む。
PGr(h, Pn)i = max {PGr(h, Pn)i−1 , Gr(h,
Pn−m)}
その後、処理はステップS010へ進む。
パターン(Pn−m)が検出されたことが記録される。また、評価値取得部252は、入力パケットに対応する通信パターン(Pn−m)が属するフェーズPnおよび通信パターン(Pn−m)に予め設定されているグレードGr(Pn−m)を、入力パケットに係る端末(h)のフェーズPn(h)、および当該フェーズのグレードGr(h, Pn−m)として取得する。その後、処理はステップS104へ進む。
にグレード補正条件が設定されている場合に、グレード補正条件に該当する通信が過去に取得されているか否かが判定される。グレード補正条件が設定されていない場合、処理はステップS114へ進む。ここで、グレード補正条件とは、ステップS101において入力パケットに対応すると判定された通信パターン(Pn−m)に予め設定されているグレードGr(Pn−m)をより大きな値に補正すべきか否かを判定するための条件である。補正部253は、グレード補正条件に該当する通信が、入力パケットに係る端末について過去に検知されているか否かを判定する。グレード補正条件が満たされないと判定された場合、グレードの補正は行われず、処理はステップS114へ進む。一方、必須条件が満たされると判定された場合、処理はステップS113へ進む。
ある。その後、処理はステップS122へ進む。
マルウェアには、高度標的型攻撃に代表される、標的とした組織や企業の機密情報の窃取やシステムの破壊を目的とするもの、オンラインバンキングから金銭の窃取を目的とするもの、パソコン内のファイルの暗号化やパソコンをロックして身代金を要求するもの、利用者が望まない広告を表示して最終的に金銭的な利益を得ようとするもの、単に、嫌がらせの目的で恐怖を煽る画面を表示するものなど、致命的な被害を与えるものから軽微な被害で済むものまで、様々な脅威を有するマルウェアが存在する。
かの新たな相関条件に合致したか否かを判定する(ステップS801)。新たな相関条件に合致した場合、相関分析部258は、当該相関条件に対応する振る舞いの種類を、当該端末による振る舞いの種類として決定し、RAM13a上のテーブル等に、端末(h)の識別情報と関連づけて蓄積する(ステップS802)。
・CA(1−4−m)(m=1〜11):Exploit KitによるDrive−by Download攻撃
・CA(2−6−m)(m=2,3):ネットワーク環境探索後のC&C通信の検出
・CA(3−3−1):感染拡大
・CA(3−6−m)(m=1〜3):感染拡大後のC&C通信の検出
・CA(4−2−2):マルウェアのアクティベート直後のネットワーク環境の探索
・CA(4−4−3):複数の攻撃用ツールまたは別のマルウェアのダウンロード
・CA(4−4−5):メールに添付されたファイル操作によるダウンロード
・CA(4−6−m)(m=1〜4):マルウェア侵入後のC&C通信の検出
・CA(5−5−1):有効なC&Cサーバーの探索
・CA(5−6−1):有効なC&Cサーバーの探索後のC&C通信の検出
・CA(6−3−m)(m=1〜3):感染拡大
・CA(6−4−m)(m=1〜5):攻撃用ツールまたは別のマルウェアのダウンロード
・CA(6−6−m)(m=1,2):有効なC&Cサーバーの探索
・CA(6−6−m)(m=3〜6):C&Cビーコン
・CA(6−6−8):セキュリティ装置を攪乱する疑わしい挙動の通信の検出
・CA(6−6−10):C&Cビーコン
・CA(6−6−11):セキュリティ装置(プロキシ)がアクセスを禁止した疑わしい通信
・CA(6−6−m)(m=12〜14):攻撃者によるリモートコントロール操作
・CA(6−6−15):C&Cビーコン
・CA(6−7−m)(m=1,2):窃取情報のアップロード
・CA(7−6−1):窃取情報のアップロード
・CA(8−6−m)(m=1,2):MITB(Man in the Browser)、MITM(Man in the Middle)
なお、遷移元のフェーズと遷移先のフェーズが同じであっても(例えば、フェーズP1からフェーズP4へのフェーズ遷移)、フェーズ遷移に伴うその他の付帯的条件に基づいて異なる振る舞いと扱われる場合がある。相関条件CA(m−n−x)の符号xは、それらの付帯的条件に付される符号である。例えば、相関条件CA(1−4−1)は、入力パケットに係る端末(h)がフェーズP1からフェーズP4へ遷移する振る舞い相関条件CA(1−4−x)のうち、「フェーズP1の通信パターンP1−mを検出」、且つ「P1−m検出後、検出したP1−mと同一のTCPコネクション上で、フェーズP4の通信パターンP4−nを検出」という相関条件を満たした振る舞いである。
9は、ステップS801からステップS802の処理が繰り返されることで蓄積された、端末(h)について記録されている振る舞いの種類(相関条件)を読み出す(ステップS803)。そして、分類部259は、不正な活動の分類と、当該不正な活動に関連する1または複数の振る舞いの種類(相関条件)と、の対応関係を示す情報を参照することで、当該端末の不正な活動を分類する(ステップS804からステップS810)。
RA(C−1):継続的な攻撃に起因した複数の高リスクな活動を検出した。
条件:RL(h)=高の条件RA(H−m)(m=1〜14)のうち、異なる2つ以上のRA(H−m)(m=1〜14)を検出した。
RA(H−1):ドライブバイダウンロード攻撃に起因した侵入活動を検出した。
条件:相関条件CA(1−4−m)(m=1〜11)のいずれかを検出し、
上記の相関条件を検出後、
CA(4−6−n)(n=1〜4)のいずれか、
CA(6−6−n)(n=3〜6)のいずれか、または
CA(6−6−10)またはCA(6−6−11)の何れかを検出し、かつ
IR値がRed(80%)以上である、または、上記の条件を検出後にRed(80%)まで上昇した。
RA(H−2):電子メールに添付された疑わしいファイルやURLリンクの操作に起因した侵入活動を検出した。
条件:相関条件CA(4−4−5)を検出し、
上記の相関条件を検出後、
CA(4−6−n)(n=1〜4)のいずれか、
CA(6−6−n)(n=3〜6)のいずれか、または
CA(6−6−10)またはCA(6−6−11)の何れかを検出し、かつ
IR値がRed(80%)以上である、または、上記の条件を検出後にRed(80%)まで上昇した。
RA(M−3):ドライブバイダウンロード攻撃によってダウンロードされた不審なファイルを検出した。
条件:相関条件CA(1−4−m)(m=1〜11)のいずれかを検出した。
RA(M−4):怪しいファイルを操作することによってダウンロードされた不審なファイルを検出した。
条件:相関条件CA(4−4−5)を検出した。
RA(L−1):
条件:上記のRA(H−m)、RA(M−n)のいずれにも一致しない。
[機能カテゴリA:機密情報の窃取とアップロード(Data Exfiltration)]
・CA(6−7−n)n=1,2:窃取情報のアップロード
・CA(7−6−1):窃取情報のアップロード
・CA(8−6−n)n=1,2:MITB、MITM
[機能カテゴリB:疑わしいファイル(バイナリ、構成定義など)のダウンロード(Download of Malicious File)]
・CA(1−4−n)n=1〜11:Exploit KitによるDrive−by Download攻撃
・CA(4−4−5):メールに添付されたファイル操作によるダウンロード
・CA(6−4−n)n=1〜5:攻撃用ツールまたは別のマルウェアのダウンロード
・CA(4−4−4):別サイトからのダウンロード
[機能カテゴリC:ネットワーク環境の調査(Network Environment
Check)]
・CA(4−2−2):マルウェアのアクティベート直後のネットワーク環境の探索
[機能カテゴリD:C&Cサーバーの検索(Network Environment Check)]
・CA(6−6−1):有効なC&Cサーバーの探索
・CA(6−6−2):有効なC&Cサーバーの探索
[機能カテゴリE:C&Cサーバー通信]
・CA(6−6−3〜6):C&Cビーコン
・CA(6−6−10):C&Cビーコン
・CA(6−6−15):C&Cビーコン
[機能カテゴリF:リモートコントロール]
・CA(6−6−12):攻撃者によるリモートコントロール操作
・CA(6−6−13):攻撃者によるリモートコントロール操作
・CA(6−6−14):攻撃者によるリモートコントロール操作
[機能カテゴリG:C&Cサーバーの切り換え]
・CA(6−6−9):C&Cサーバーの切り換え
[機能カテゴリH:感染拡大(Infiltration/Spread of Infection)]
・CA(3−3−1):感染拡大
・CA(6−3−n)n=1,2,3:感染拡大
[機能カテゴリI:マルウェア侵入に起因したC&C通信]
・CA(4−6−n)n=1〜4:マルウェア侵入後のC&C通信の検出
なお、図9の説明でも述べた通り、遷移元のフェーズと遷移先のフェーズが同じであっても、フェーズ遷移に伴うその他の付帯的条件に基づいて異なる振る舞いと扱われる場合があり、相関条件CA(m−n−x)の符号xは、それらの付帯的条件に付される符号である。
Downloader(Exploit Kit):
条件:CA(1−4−n)n=1〜11のいずれかを検出している。
Downloader(Macro/Script):
条件:CA(4−4−5)を検出している。
一方、端末(h)において活動しているマルウェアのマルウェア種別が、カテゴリA(侵入ステージのマルウェア群)に属するマルウェア種別でない場合、処理はステップS907へ進む。
類(相関条件)を読み出す(ステップS908)。そして、分類部259は、不正な活動の分類と、当該不正な活動に関連する1または複数の振る舞いの種類(相関条件)と、の対応関係を示す情報(ここでは、マップ)を参照することで、当該端末の不正な活動を分類する(ステップS909からステップS919)。
Spyware:
条件:CA(6−7−n)n=1,2、CA(7−6−1)、CA(8−6−n)n=1,2のいずれかを検出しており、
CA(6−6−n)n=12,13,14のいずれも検出しておらず、かつ
CA(6−6−15)を検出していない。
Generic Trojan/Worm:
条件:カテゴリBに属するその他のマルウェア種別であると決定するための条件の何れにも該当しない。
上記実施形態では、ネットワーク監視装置20が、スイッチまたはルータのモニタリングポート(ミラーポート)に接続されることでノード90によって送受信されるパケットやフレーム等を取得し、取得したパケットを転送しないパッシブモードで動作する例について説明した(図1を参照)。但し、上記実施形態に示したネットワーク構成は、本開示
を実施するための一例であり、実施にあたってはその他のネットワーク構成が採用されてもよい。
20 ネットワーク監視装置
50 管理サーバー
90 ノード
Claims (17)
- ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、
前記端末が不正な活動を行っているか否かを判定する判定手段と、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、
前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段と、
を備える情報処理装置。 - 前記決定手段は、前記比較の結果に従って、前記端末が不正な活動をしていると推測される程度を示す評価値を更に決定し、
前記判定手段は、前記評価値に基づいて、前記端末が不正な活動を行っているか否かを判定する、
請求項1に記載の情報処理装置。 - 前記端末毎に、前記評価値の前記フェーズ毎の最大値を保持する保持手段を更に備え、
前記判定手段は、前記評価値の前記フェーズ毎の最大値に基づいて、前記端末が不正な活動を行っているか否かを判定する、
請求項2に記載の情報処理装置。 - 前記相関分析手段は、前記端末の第一の通信について決定された第一のフェーズと、該端末の第二の通信について決定された第二のフェーズとが、予め設定された相関条件を満たす場合に、該相関条件に対応する振る舞いの種類を、該端末による振る舞いの種類として決定する、
請求項1から3の何れか一項に記載の情報処理装置。 - 前記分類手段は、前記端末について決定された1または複数の振る舞いの種類に基づいて、該端末の不正な活動を分類する、
請求項1から4の何れか一項に記載の情報処理装置。 - 前記分類手段は、不正な活動の分類と、該不正な活動に関連する1または複数の振る舞いの種類と、の対応関係を示す情報を参照することで、該端末の不正な活動を分類する、
請求項5に記載の情報処理装置。 - 前記分類は、不正な活動の危険度を示す分類であり、
前記分類手段は、前記端末について決定された1または複数の振る舞いの種類に基づいて、該端末の不正な活動の危険度を決定する、
請求項1から6の何れか一項に記載の情報処理装置。 - 前記分類手段は、高い危険度に係る振る舞いから順に検討していき、最初に一致した危険度を設定する、
請求項7に記載の情報処理装置。 - 前記分類は、不正な活動に係るマルウェア種別を示す分類であり、
前記分類手段は、前記端末について決定された1または複数の振る舞いの種類に基づいて、該端末の不正な活動に係るマルウェア種別を決定する、
請求項1から6の何れか一項に記載の情報処理装置。 - 前記フェーズは、前記端末による不正な活動の遷移の状態を示し、
前記決定手段は、前記比較の結果、前記通信と一致または近似したパターンについて予め設定されているフェーズを、前記通信に係るフェーズとして決定する、
請求項1から9の何れか一項に記載の情報処理装置。 - 前記端末毎に、前記フェーズ毎の前記評価値の最大値を合計する合計手段を更に備え、
前記判定手段は、前記合計手段によって得られた合計値に基づいて、前記端末が不正な活動を行っているか否かを判定する、
請求項1から10の何れか一項に記載の情報処理装置。 - 前記判定手段は、前記合計値または前記合計値に基づく値が所定の閾値を超えた場合に、前記端末が不正な活動を行っていると判定する、
請求項11に記載の情報処理装置。 - 前記分類手段は、前記合計値または前記合計値に基づく値が所定値未満の場合には、前記不正な活動の分類を行わない、
請求項12に記載の情報処理装置。 - 前記ネットワークに接続された端末による通信を取得する通信取得手段を更に備え、
前記比較手段は、取得された前記通信と予め保持されたパターンとを比較する、
請求項1から13の何れか一項に記載の情報処理装置。 - 前記端末が不正な活動を行っていると判定された場合に該端末による通信を遮断する通信遮断手段を更に備える、
請求項1から14の何れか一項に記載の情報処理装置。 - コンピューターが、
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較ステップと、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定ステップと、
前記端末が不正な活動を行っているか否かを判定する判定ステップと、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析ステップと、
前記判定ステップで前記端末が不正な活動を行っていると判定された場合に、前記相関分析ステップで決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類ステップと、
を実行する不正活動分類方法。 - コンピューターを、
ネットワークに接続された端末による通信と予め保持されたパターンとを比較する比較手段と、
前記比較の結果に従って、前記端末の活動のフェーズを決定する決定手段と、
前記端末が不正な活動を行っているか否かを判定する判定手段と、
該端末の第一の通信に基づいて決定された第一のフェーズと、該第一の通信の前または
後に行われた第二の通信に基づいて決定された第二のフェーズとの相関分析を行うことで、該第一の通信及び該第二の通信に係る該端末の振る舞いの種類を決定する相関分析手段と、
前記判定手段によって前記端末が不正な活動を行っていると判定された場合に、前記相関分析手段によって決定された振る舞いの種類に基づいて、該端末による不正な活動を分類する分類手段と、
として機能させる、不正活動分類用プログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017095339A JP6869100B2 (ja) | 2017-05-12 | 2017-05-12 | 情報処理装置、不正活動分類方法および不正活動分類用プログラム |
US15/689,327 US10652259B2 (en) | 2017-05-12 | 2017-08-29 | Information processing apparatus, method and medium for classifying unauthorized activity |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017095339A JP6869100B2 (ja) | 2017-05-12 | 2017-05-12 | 情報処理装置、不正活動分類方法および不正活動分類用プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018194880A true JP2018194880A (ja) | 2018-12-06 |
JP6869100B2 JP6869100B2 (ja) | 2021-05-12 |
Family
ID=64096794
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017095339A Active JP6869100B2 (ja) | 2017-05-12 | 2017-05-12 | 情報処理装置、不正活動分類方法および不正活動分類用プログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US10652259B2 (ja) |
JP (1) | JP6869100B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023233580A1 (ja) * | 2022-06-01 | 2023-12-07 | 日本電信電話株式会社 | 検知対処制御システム、検知対処制御方法、ハードウェアアクセラレータ、コントローラ、および、プログラム |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019220480A1 (ja) * | 2018-05-14 | 2019-11-21 | 日本電気株式会社 | 監視装置、監視方法及びプログラム |
IL263956A (en) * | 2018-12-24 | 2020-06-30 | Amzel Moshe | Systems and methods for early detection, warning and prevention of cyber threats |
CN111918280B (zh) * | 2019-05-07 | 2022-07-22 | 华为技术有限公司 | 一种终端信息的处理方法、装置及系统 |
US11700178B2 (en) | 2020-10-30 | 2023-07-11 | Nutanix, Inc. | System and method for managing clusters in an edge network |
US11153163B1 (en) | 2020-10-30 | 2021-10-19 | Nutanix, Inc. | Cloud-controlled configuration of edge processing units |
US11765065B1 (en) * | 2022-03-23 | 2023-09-19 | Nutanix, Inc. | System and method for scalable telemetry |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005136526A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
JP2005134972A (ja) * | 2003-10-28 | 2005-05-26 | Pfu Ltd | ファイアウォール装置 |
Family Cites Families (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7917647B2 (en) * | 2000-06-16 | 2011-03-29 | Mcafee, Inc. | Method and apparatus for rate limiting |
JP4341517B2 (ja) * | 2004-06-21 | 2009-10-07 | 日本電気株式会社 | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム |
WO2006071985A2 (en) * | 2004-12-29 | 2006-07-06 | Alert Logic, Inc. | Threat scoring system and method for intrusion detection security networks |
WO2007019583A2 (en) * | 2005-08-09 | 2007-02-15 | Sipera Systems, Inc. | System and method for providing network level and nodal level vulnerability protection in voip networks |
JP2008066903A (ja) * | 2006-09-06 | 2008-03-21 | Nec Corp | 不正侵入検知システム及びその方法並びにそれを用いた通信装置 |
US7562816B2 (en) | 2006-12-18 | 2009-07-21 | International Business Machines Corporation | Integrating touch, taste, and/or scent with a visual interface of an automated system for an enhanced user experience |
US8468606B2 (en) * | 2009-12-08 | 2013-06-18 | Verizon Patent And Licensing Inc. | Security handling based on risk management |
US20120011590A1 (en) * | 2010-07-12 | 2012-01-12 | John Joseph Donovan | Systems, methods and devices for providing situational awareness, mitigation, risk analysis of assets, applications and infrastructure in the internet and cloud |
US9686293B2 (en) * | 2011-11-03 | 2017-06-20 | Cyphort Inc. | Systems and methods for malware detection and mitigation |
JP2014084691A (ja) * | 2012-10-26 | 2014-05-12 | Nisshin Kokan Kk | ロックボルト |
US8991399B2 (en) * | 2013-08-02 | 2015-03-31 | Andre Michalak | Sleep apnea prevention mask |
US9288221B2 (en) | 2014-01-14 | 2016-03-15 | Pfu Limited | Information processing apparatus, method for determining unauthorized activity and computer-readable medium |
WO2015138513A1 (en) | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | Detecting network intrusions using layered host scoring |
GB2529150B (en) * | 2014-08-04 | 2022-03-30 | Darktrace Ltd | Cyber security |
US9794274B2 (en) | 2014-09-08 | 2017-10-17 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
US9800605B2 (en) * | 2015-01-30 | 2017-10-24 | Securonix, Inc. | Risk scoring for threat assessment |
US10298607B2 (en) * | 2015-04-16 | 2019-05-21 | Nec Corporation | Constructing graph models of event correlation in enterprise security systems |
US10289841B2 (en) * | 2015-04-16 | 2019-05-14 | Nec Corporation | Graph-based attack chain discovery in enterprise security systems |
US9836598B2 (en) * | 2015-04-20 | 2017-12-05 | Splunk Inc. | User activity monitoring |
US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
US10609079B2 (en) * | 2015-10-28 | 2020-03-31 | Qomplx, Inc. | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management |
US10594714B2 (en) * | 2015-10-28 | 2020-03-17 | Qomplx, Inc. | User and entity behavioral analysis using an advanced cyber decision platform |
US9680852B1 (en) * | 2016-01-29 | 2017-06-13 | Varmour Networks, Inc. | Recursive multi-layer examination for computer network security remediation |
US10015189B2 (en) * | 2016-02-09 | 2018-07-03 | International Business Machine Corporation | Detecting and predicting cyber-attack phases in adjacent data processing environment regions |
US10382491B2 (en) * | 2016-02-11 | 2019-08-13 | CYBRIC, Inc. | Continuous security delivery fabric |
US9912686B2 (en) * | 2016-02-18 | 2018-03-06 | Tracker Networks Inc. | Methods and systems for enhancing data security in a computer network |
US10521590B2 (en) * | 2016-09-01 | 2019-12-31 | Microsoft Technology Licensing Llc | Detection dictionary system supporting anomaly detection across multiple operating environments |
US10353965B2 (en) * | 2016-09-26 | 2019-07-16 | Splunk Inc. | Data fabric service system architecture |
US10855706B2 (en) * | 2016-10-11 | 2020-12-01 | Battelle Memorial Institute | System and methods for automated detection, reasoning and recommendations for resilient cyber systems |
US10474674B2 (en) * | 2017-01-31 | 2019-11-12 | Splunk Inc. | Using an inverted index in a pipelined search query to determine a set of event data that is further limited by filtering and/or processing of subsequent query pipestages |
US10715552B2 (en) * | 2017-04-30 | 2020-07-14 | Splunk Inc. | Enabling user definition of anomaly action rules in a network security system |
-
2017
- 2017-05-12 JP JP2017095339A patent/JP6869100B2/ja active Active
- 2017-08-29 US US15/689,327 patent/US10652259B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005136526A (ja) * | 2003-10-28 | 2005-05-26 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
JP2005134972A (ja) * | 2003-10-28 | 2005-05-26 | Pfu Ltd | ファイアウォール装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023233580A1 (ja) * | 2022-06-01 | 2023-12-07 | 日本電信電話株式会社 | 検知対処制御システム、検知対処制御方法、ハードウェアアクセラレータ、コントローラ、および、プログラム |
Also Published As
Publication number | Publication date |
---|---|
US20180332061A1 (en) | 2018-11-15 |
JP6869100B2 (ja) | 2021-05-12 |
US10652259B2 (en) | 2020-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6097849B2 (ja) | 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム | |
US10505953B2 (en) | Proactive prediction and mitigation of cyber-threats | |
JP6869100B2 (ja) | 情報処理装置、不正活動分類方法および不正活動分類用プログラム | |
US10601853B2 (en) | Generation of cyber-attacks investigation policies | |
Hoque et al. | Network attacks: Taxonomy, tools and systems | |
JP6086968B2 (ja) | 悪意のあるソフトウェアに対するローカル保護をするシステム及び方法 | |
US10326778B2 (en) | System and method for detecting lateral movement and data exfiltration | |
US9762596B2 (en) | Heuristic botnet detection | |
US20220224716A1 (en) | User agent inference and active endpoint fingerprinting for encrypted connections | |
US20230030659A1 (en) | System and method for detecting lateral movement and data exfiltration | |
US8561177B1 (en) | Systems and methods for detecting communication channels of bots | |
US7873998B1 (en) | Rapidly propagating threat detection | |
JP2020515962A (ja) | Apt攻撃に対する防御 | |
Zarras et al. | Automated generation of models for fast and precise detection of HTTP-based malware | |
Ghafir et al. | A survey on botnet command and control traffic detection | |
US11388188B2 (en) | Systems and methods for automated intrusion detection | |
EP3374871B1 (en) | System and method for detecting lateral movement and data exfiltration | |
KR102501372B1 (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
Bdair et al. | Brief of intrusion detection systems in detecting ICMPv6 attacks | |
Hindy et al. | A taxonomy of malicious traffic for intrusion detection systems | |
Abaid et al. | Early detection of in-the-wild botnet attacks by exploiting network communication uniformity: An empirical study | |
Shafee | Botnets and their detection techniques | |
Mishra et al. | Anomaly-based detection of system-level threats and statistical analysis | |
Mohammed | Automatic Port Scanner | |
Lan et al. | A Quantitative Logarithmic Transformation-Based Intrusion Detection System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20190702 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191004 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200722 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200818 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201015 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210406 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210413 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6869100 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |