JP2019004249A - ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム - Google Patents
ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム Download PDFInfo
- Publication number
- JP2019004249A JP2019004249A JP2017115917A JP2017115917A JP2019004249A JP 2019004249 A JP2019004249 A JP 2019004249A JP 2017115917 A JP2017115917 A JP 2017115917A JP 2017115917 A JP2017115917 A JP 2017115917A JP 2019004249 A JP2019004249 A JP 2019004249A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- address
- frequency
- source
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】効率よくサイバー攻撃を検知する。【解決手段】ブラックリスト設定装置10は、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得し、取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する。そして、ブラックリスト設定装置10は、算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測し、予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する。【選択図】図1
Description
本発明は、ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラムに関する。
従来、インターネット上で観測したサイバー攻撃の情報をもとに生成したブラックリストをファイアウォール機器等のネットワーク機器に設定することで、ネットワーク機器器によるサイバー攻撃を検知する技術が知られている。
また、ファイアウォール機器等のネットワーク機器には、設定可能なルール数が予め決まっているが、サイバー攻撃は増加傾向にあるため、既知の攻撃元IPアドレスの数は一般的なファイアウォール機器に設定可能なルール数を超えている。このため、例えば、一定期間において攻撃頻度が高かったIPアドレスを選択してブラックリストに設定する方法が知られている。
小山高明他、「グローバルな脅威情報基盤を用いたセキュリティオーケストレーションの実現」、NTT技術ジャーナル 2015.10、pp.23-26.
しかしながら、従来の技術では、効率よくサイバー攻撃を検知することができない場合があるという課題があった。例えば、一定期間において攻撃頻度が高かったIPアドレスを選択してブラックリストに設定する方法では、サイバー攻撃の攻撃頻度が同一攻撃元IPアドレスであっても常に一定ではないため、防御効果に偏りが生じる場合があった。
上述した課題を解決し、目的を達成するために、本発明のブラックリスト設定装置は、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する取得部と、前記取得部によって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する算出部と、前記算出部によって算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する予測部と、前記予測部によって予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する選択部とを備えることを特徴とする。
また、本発明のブラックリスト設定方法は、ブラックリスト設定装置によって実行されるブラックリスト設定方法であって、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する取得工程と、前記取得工程によって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する算出工程と、前記算出工程によって算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する予測工程と、前記予測工程によって予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する選択工程とを含んだことを特徴とする。
また、本発明のブラックリスト設定プログラムは、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する取得ステップと、前記取得ステップによって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する算出ステップと、前記算出ステップによって算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する予測ステップと、前記予測ステップによって予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する選択ステップとをコンピュータに実行させることを特徴とする。
本発明によれば、効率よくサイバー攻撃を検知することができるという効果を奏する。
以下に、本願に係るブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係るブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラムが限定されるものではない。
[第一の実施の形態]
以下の実施の形態では、第一の実施の形態に係るブラックリスト設定装置の構成、通信システムにおける全体の処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
以下の実施の形態では、第一の実施の形態に係るブラックリスト設定装置の構成、通信システムにおける全体の処理の流れを順に説明し、最後に第一の実施の形態による効果を説明する。
[ブラックリスト設定装置の構成]
図1を用いて、第一の実施の形態に係るブラックリスト設定装置10の構成を説明する。図1は、第一の実施の形態に係るブラックリスト設定装置の構成を示すブロック図である。図1に示すように、このブラックリスト設定装置10は、通信処理部11、制御部12および記憶部13を有する。以下にこれらの各部の処理を説明する。
図1を用いて、第一の実施の形態に係るブラックリスト設定装置10の構成を説明する。図1は、第一の実施の形態に係るブラックリスト設定装置の構成を示すブロック図である。図1に示すように、このブラックリスト設定装置10は、通信処理部11、制御部12および記憶部13を有する。以下にこれらの各部の処理を説明する。
通信処理部11は、インターネット上におけるサイバー攻撃を観測する外部の観測装置や、ファイアウォール機器等のネットワーク機器との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部11は、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を観測装置から受信する。また、例えば、通信処理部11は、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスをファイアウォール機器に送信する。
また、記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納するが、特に本発明に密接に関連するものとしては、攻撃情報記憶部13aおよび予測情報記憶部13bを有する。例えば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
攻撃情報記憶部13aは、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を記憶する。例えば、攻撃情報記憶部13aは、図2に例示するように、サイバー攻撃が観測された「時刻」と、インターネット上で観測された「攻撃元IPアドレス」とを対応付けて記憶する。図2は、攻撃情報記憶部に記憶される情報の一例を示す図である。
予測情報記憶部13bは、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度をタイムスロット(TS)ごとに記憶する。なお、以下では、攻撃頻度として、単位時間当たりの攻撃回数を記憶する場合を説明するが、攻撃回数に代えて攻撃時間を記憶するようにしてもよい。なお、タイムスロットの時間幅として、例えば「1時間」と設定されている場合を例に以下では説明するが、これに限定されるものではなく、例えば、「1日」や「1週間」等と設定してもよい。
例えば、予測情報記憶部13bは、図3に例示するように、各攻撃元IPアドレス「IP1」、「IP2」、「IP3」、「IP4」・・・について、タイムスロット(TS1〜TS3)ごとに攻撃頻度を記憶する。図3は、予測情報記憶部に記憶される情報の一例を示す図である。図3の例を挙げて説明すると、予測情報記憶部13bは、タイムスロット「TS1」において、攻撃元IPアドレス「IP1」の攻撃頻度として「5」を記憶し、攻撃元IPアドレス「IP2」の攻撃頻度として「7」を記憶し、攻撃元IPアドレス「IP3」、「IP4」の攻撃頻度として「0」を記憶する。
制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、取得部12a、算出部12b、予測部12cおよび選択部12dを有する。
取得部12aは、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する。例えば、取得部12aは、インターネット上におけるサイバー攻撃を観測する外部の観測装置から、攻撃元IPアドレスからのサイバー攻撃の情報を取得し、攻撃情報記憶部13aに格納する。また、取得部12aは、サイバー攻撃の情報を取得するタイミングとして、例えば、所定時間間隔であってもよいし、ユーザの指示を受け付けた際であってもよいし、所定の条件を満たした際であってもよい。
算出部12bは、取得部12aによって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する。例えば、算出部12bは、攻撃情報記憶部13aからサイバー攻撃の情報を読み出して、攻撃元IPアドレスごとに、単位時間当たりの攻撃回数を集計することで、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する。
予測部12cは、算出部12bによって算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する。また、予測部12cは、予測した攻撃頻度を予測情報記憶部13bに格納する。
例えば、予測部12cは、攻撃元IPアドレス毎の時系列の攻撃頻度から、各攻撃元IPアドレスの攻撃頻度について、時間により攻撃頻度がほぼ変化しない「定常状態」、直近に攻撃頻度が大幅に増加して今後も攻撃が継続すると予測される「活動状態」、直近に攻撃頻度が減少して今後もその状態が継続されると予測される「休眠状態」、平日のみ休日のみ等特定の周期変動パターンで変化している「周期変動状態」、前述の4つの状態のいずれにも分類できない「不定形」のうち、いずれかの攻撃パターンに分類する。なお、攻撃パターンは上記の5つに限定されるものではない。
そして、予測部12cは、分類した攻撃パターンに応じて、攻撃頻度を予測する。例えば、予測部12cは、攻撃パターンが「定常状態」に分類された場合には、今後の攻撃頻度も変化がないものとして予測する。また、予測部12cは、攻撃パターンが「活動状態」に分類された場合には、増加した攻撃頻度が継続するものとして予測する。また、予測部12cは、攻撃パターンが「休眠状態」に分類された場合には、減少した攻撃頻度が継続するものとして予測する。また、予測部12cは、攻撃パターンが「周期変動状態」に分類された場合には、攻撃頻度が変動する周期を解析して未来の攻撃頻度を予測する。なお、予測部12cは、攻撃パターンが「不定形」に分類された場合には、例えば、手動により未来の攻撃頻度を予測するようにしてもよいし、既知の予測アルゴリズムを用いて予測するようにしてもよい。
ここで、図4を用いて、各攻撃元IPアドレスの攻撃頻度を予測する処理を説明する。図4は、各攻撃元IPアドレスの攻撃頻度を予測する処理例を説明する図である。図4の例では、攻撃元IPアドレス「IP1」〜「IP4」それぞれについて、単位時間当たりの攻撃回数が集計されることで、攻撃元IPアドレス毎の時系列の攻撃頻度を算出されているものとする。また、図4に示すように、攻撃元IPアドレス「IP1」の観測期間における攻撃数の総数が「100」であり、攻撃元IPアドレス「IP2」の観測期間における攻撃数の総数が「10」であり、攻撃元IPアドレス「IP3」の観測期間における攻撃数の総数が「150」であり、攻撃元IPアドレス「IP4」の観測期間における攻撃数の総数が「30」である。
そして、図4の例では、予測部12cは、攻撃元IPアドレス「IP1」の攻撃頻度について、攻撃パターンを「定常状態」に分類して、今後の攻撃頻度も直近のものと比べて変化がないものとして「TS1」〜「TS3」の予測期間の攻撃頻度を予測する。また、予測部12cは、攻撃元IPアドレス「IP2」の攻撃頻度について、攻撃パターンを「活動状態」に分類して、増加した攻撃頻度が継続するものとして「TS1」〜「TS3」の予測期間の攻撃頻度を予測する。
また、予測部12cは、攻撃元IPアドレス「IP3」の攻撃頻度について、攻撃パターンを「休眠状態」に分類して、減少した攻撃頻度が継続するものとして「TS1」〜「TS3」の予測期間の攻撃頻度を予測する。また、予測部12cは、攻撃元IPアドレス「IP4」の攻撃頻度について、攻撃パターンを「周期変動状態」に分類して、攻撃頻度が変動する周期を解析して「TS1」〜「TS3」の予測期間の攻撃頻度を予測する。
選択部12dは、予測部12cによって予測された攻撃頻度に応じて、ファイアウォール機器のブラックリストに設定する攻撃元IPアドレスを選択する。具体的には、選択部12dは、予測情報記憶部13bから予測部12cによって予測された各攻撃元IPアドレスの攻撃頻度を読み出す。そして、選択部12dは、複数の攻撃元IPアドレスのうち、予測部12cによって予測された攻撃頻度が多い攻撃元IPアドレスから順に、ファイアウォール機器のブラックリストに設定可能な数だけ選択する。
ここで、図5を用いて、攻撃頻度に応じて、ファイアウォール機器のブラックリストに設定する攻撃元IPアドレスを選択する処理を説明する。図5は、攻撃頻度に応じて、ファイアウォール機器のブラックリストに設定する攻撃元IPアドレスを選択する処理例を説明する図である。
図5の例では、ファイアウォール機器(FW機器)20のブラックリストに設定可能な攻撃元IPアドレスが「2」であるものとする。図5に示すように、「TS1」の予測期間において予測された攻撃頻度が、攻撃元IPアドレス「IP1」については「5」であり、攻撃元IPアドレス「IP2」については「7」であり、攻撃元IPアドレス「IP3」については「0」であり、攻撃元IPアドレス「IP4」については「0」である。この場合には、選択部12dは、攻撃頻度の多かった、攻撃元IPアドレス「IP2」および攻撃元IPアドレス「IP1」を選択し、実際にTS1の期間になった際にはFW機器20のブラックリストに設定する。
また、「TS2」の予測期間において予測された攻撃頻度が、攻撃元IPアドレス「IP1」については「5」であり、攻撃元IPアドレス「IP2」については「7」であり、攻撃元IPアドレス「IP3」については「0」であり、攻撃元IPアドレス「IP4」については「10」である。この場合には、選択部12dは、攻撃頻度の多かった、攻撃元IPアドレス「IP4」および攻撃元IPアドレス「IP2」を選択し、実際にTS2の期間になった際にはFW機器20のブラックリストに設定する。
また、「TS3」の予測期間において予測された攻撃頻度が、攻撃元IPアドレス「IP1」については「5」であり、攻撃元IPアドレス「IP2」については「7」であり、攻撃元IPアドレス「IP3」については「0」であり、攻撃元IPアドレス「IP4」については「0」である。この場合には、選択部12dは、攻撃頻度の多かった、攻撃元IPアドレス「IP2」および攻撃元IPアドレス「IP1」を選択し、実際にTS3の期間になった際にはFW機器20のブラックリストに設定する。
このように、ブラックリスト設定装置10は、定期的にブラックリストを書き換えることにより、ブラックリスト設定可能数が有限であるファイアウォール機器において検知率を最大化することが可能である。
[ブラックリスト設定装置の処理の流れ]
次に、図6を用いて、第一の実施の形態に係るブラックリスト設定装置10の処理の流れを説明する。図6は、第一の実施の形態に係るブラックリスト設定装置による処理を説明するフローチャートである。なお、下記の処理は、所定時間間隔で定期的に実行されてもよいし、ユーザの指示を受け付けたことをトリガとして実行してもよいし、所定の条件を満たしたことをトリガとして実行してもよい。
次に、図6を用いて、第一の実施の形態に係るブラックリスト設定装置10の処理の流れを説明する。図6は、第一の実施の形態に係るブラックリスト設定装置による処理を説明するフローチャートである。なお、下記の処理は、所定時間間隔で定期的に実行されてもよいし、ユーザの指示を受け付けたことをトリガとして実行してもよいし、所定の条件を満たしたことをトリガとして実行してもよい。
図6に示すように、ブラックリスト設定装置10の取得部12aは、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する(ステップS101)。例えば、取得部12aは、インターネット上におけるサイバー攻撃を観測する外部の観測装置から、攻撃元IPアドレスからのサイバー攻撃の情報を取得し、攻撃情報記憶部13aに格納する。
そして、算出部12bは、取得部12aによって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する(ステップS102)。例えば、算出部12bは、攻撃情報記憶部13aからサイバー攻撃の情報を読み出して、攻撃元IPアドレスごとに、単位時間当たりの攻撃回数を集計することで、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する。
続いて、予測部12cは、算出部12bによって算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する(ステップS103)。例えば、予測部12cは、攻撃元IPアドレス毎の時系列の攻撃頻度から、各攻撃元IPアドレスの攻撃頻度について、「定常状態」、「活動状態」、「休眠状態」、「周期変動状態」、「不定形」のうち、いずれかの攻撃パターンに分類し、分類した攻撃パターンに応じて、攻撃頻度を予測する。
そして、選択部12dは、予測部12cによって予測された攻撃頻度に応じて、ファイアウォール機器のブラックリストに設定する攻撃元IPアドレスを選択する(ステップS104)。具体的には、選択部12dは、予測情報記憶部13bから予測部12cによって予測された各攻撃元IPアドレスの攻撃頻度を読み出す。そして、選択部12dは、複数の攻撃元IPアドレスのうち、予測部12cによって予測された攻撃頻度が多い攻撃元IPアドレスから順に、ファイアウォール機器のブラックリストに設定可能な数だけ選択する。なお、選択部12dは、現在時刻が予測期間に相当する時刻になった際に、FW機器20のブラックリストに選択した攻撃元IPアドレスを設定する。
[第一の実施の形態の効果]
このように、第一の実施の形態に係るブラックリスト設定装置10は、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得し、取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する。そして、ブラックリスト設定装置10は、算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測し、予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する。このため、ブラックリスト設定装置10は、効率よくサイバー攻撃を検知することが可能である。
このように、第一の実施の形態に係るブラックリスト設定装置10は、インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得し、取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する。そして、ブラックリスト設定装置10は、算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測し、予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する。このため、ブラックリスト設定装置10は、効率よくサイバー攻撃を検知することが可能である。
つまり、ブラックリスト設定装置10は、攻撃元IPアドレスごとに、攻撃頻度を時系列に観察し、そこから将来の攻撃頻度を予測し、攻撃頻度の多い攻撃元IPアドレスから、ファイアウォール機器のブラックリストに登録し、優先的に攻撃元IPアドレスをブロックする。このため、ファイアウォール機器に設定可能な数まで攻撃元IPアドレスの設定数を減らしつつ、検知漏れを最小限に抑えることが可能である。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、複数の装置が、取得部12a、算出部12b、予測部12cおよび選択部12dの全部または一部を有していてもよい。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、複数の装置が、取得部12a、算出部12b、予測部12cおよび選択部12dの全部または一部を有していてもよい。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
図7は、ブラックリスト設定プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU(Central Processing Unit)1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
図7は、ブラックリスト設定プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU(Central Processing Unit)1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、例えばディスプレイ1061に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、ブラックリスト設定装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク、WANを介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 ブラックリスト設定装置
11 通信処理部
12 制御部
12a 取得部
12b 算出部
12c 予測部
12d 選択部
13 記憶部
13a 攻撃情報記憶部
13b 予測情報記憶部
20 FW機器
11 通信処理部
12 制御部
12a 取得部
12b 算出部
12c 予測部
12d 選択部
13 記憶部
13a 攻撃情報記憶部
13b 予測情報記憶部
20 FW機器
Claims (5)
- インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する取得部と、
前記取得部によって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する算出部と、
前記算出部によって算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する予測部と、
前記予測部によって予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する選択部と
を備えることを特徴とするブラックリスト設定装置。 - 前記予測部は、前記攻撃元IPアドレス毎の時系列の攻撃頻度から、各攻撃元IPアドレスの攻撃頻度について、定常状態、活動状態、休眠状態、周期変動状態、不定形のうち、いずれかの攻撃パターンに分類し、分類した攻撃パターンに応じて、前記攻撃頻度を予測することを特徴とする請求項1に記載のブラックリスト設定装置。
- 前記選択部は、複数の攻撃元IPアドレスのうち、前記予測部によって予測された攻撃頻度が多い攻撃元IPアドレスから順に、前記ネットワーク機器のブラックリストに設定可能な数だけ選択することを特徴とする請求項1に記載のブラックリスト設定装置。
- ブラックリスト設定装置によって実行されるブラックリスト設定方法であって、
インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する取得工程と、
前記取得工程によって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する算出工程と、
前記算出工程によって算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する予測工程と、
前記予測工程によって予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する選択工程と
を含んだことを特徴とするブラックリスト設定方法。 - インターネット上で観測された攻撃元IPアドレスからのサイバー攻撃の情報を取得する取得ステップと、
前記取得ステップによって取得されたサイバー攻撃の情報から、攻撃元IPアドレス毎の時系列の攻撃頻度を算出する算出ステップと、
前記算出ステップによって算出された攻撃頻度に基づいて、各攻撃元IPアドレスについて、現在から所定時間後の攻撃頻度を予測する予測ステップと、
前記予測ステップによって予測された攻撃頻度に応じて、ネットワーク機器のブラックリストに設定する攻撃元IPアドレスを選択する選択ステップと
をコンピュータに実行させるブラックリスト設定プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017115917A JP6626039B2 (ja) | 2017-06-13 | 2017-06-13 | ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017115917A JP6626039B2 (ja) | 2017-06-13 | 2017-06-13 | ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019004249A true JP2019004249A (ja) | 2019-01-10 |
| JP6626039B2 JP6626039B2 (ja) | 2019-12-25 |
Family
ID=65008166
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017115917A Active JP6626039B2 (ja) | 2017-06-13 | 2017-06-13 | ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6626039B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110784471A (zh) * | 2019-10-30 | 2020-02-11 | 深圳前海环融联易信息科技服务有限公司 | 黑名单采集管理方法、装置、计算机设备及存储介质 |
| WO2021059632A1 (ja) * | 2019-09-24 | 2021-04-01 | 株式会社日立製作所 | 通信制御装置およびシステム |
| CN114666101A (zh) * | 2022-03-01 | 2022-06-24 | 国网新疆电力有限公司信息通信公司 | 一种攻击溯源检测系统、方法、设备及介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004030286A (ja) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | 侵入検知システムおよび侵入検知プログラム |
| JP2005293509A (ja) * | 2004-04-05 | 2005-10-20 | Nippon Telegr & Teleph Corp <Ntt> | 不正通信の自動設定侵入検知装置、方法および記録媒体 |
| US20080115221A1 (en) * | 2006-11-13 | 2008-05-15 | Joo Beom Yun | System and method for predicting cyber threat |
| JP2008187229A (ja) * | 2007-01-26 | 2008-08-14 | Nec Corp | ネットワーク品質監視装置及びネットワーク品質監視方法 |
| JP2010141655A (ja) * | 2008-12-12 | 2010-06-24 | Yokogawa Electric Corp | ネットワーク監視装置 |
| JP2014064216A (ja) * | 2012-09-21 | 2014-04-10 | Kddi R & D Laboratories Inc | 攻撃ホストの挙動解析装置、方法及びプログラム |
| JP2014093027A (ja) * | 2012-11-06 | 2014-05-19 | Ntt Communications Corp | アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム |
| JP2015179979A (ja) * | 2014-03-19 | 2015-10-08 | 日本電信電話株式会社 | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
| JP2015207795A (ja) * | 2014-04-17 | 2015-11-19 | 日本電信電話株式会社 | 通信トラヒック予測装置及び方法及びプログラム |
| JP2017182520A (ja) * | 2016-03-31 | 2017-10-05 | 日本電気株式会社 | 制御装置、制御方法及びプログラム |
-
2017
- 2017-06-13 JP JP2017115917A patent/JP6626039B2/ja active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004030286A (ja) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | 侵入検知システムおよび侵入検知プログラム |
| JP2005293509A (ja) * | 2004-04-05 | 2005-10-20 | Nippon Telegr & Teleph Corp <Ntt> | 不正通信の自動設定侵入検知装置、方法および記録媒体 |
| US20080115221A1 (en) * | 2006-11-13 | 2008-05-15 | Joo Beom Yun | System and method for predicting cyber threat |
| JP2008187229A (ja) * | 2007-01-26 | 2008-08-14 | Nec Corp | ネットワーク品質監視装置及びネットワーク品質監視方法 |
| JP2010141655A (ja) * | 2008-12-12 | 2010-06-24 | Yokogawa Electric Corp | ネットワーク監視装置 |
| JP2014064216A (ja) * | 2012-09-21 | 2014-04-10 | Kddi R & D Laboratories Inc | 攻撃ホストの挙動解析装置、方法及びプログラム |
| JP2014093027A (ja) * | 2012-11-06 | 2014-05-19 | Ntt Communications Corp | アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム |
| JP2015179979A (ja) * | 2014-03-19 | 2015-10-08 | 日本電信電話株式会社 | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム |
| JP2015207795A (ja) * | 2014-04-17 | 2015-11-19 | 日本電信電話株式会社 | 通信トラヒック予測装置及び方法及びプログラム |
| JP2017182520A (ja) * | 2016-03-31 | 2017-10-05 | 日本電気株式会社 | 制御装置、制御方法及びプログラム |
Non-Patent Citations (1)
| Title |
|---|
| 石田 千枝 CHIE ISHIDA: "ベイズ推測を用いた不正侵入イベント増減予測 Forecast of Increasing or Decreasing Intrusion Event Cou", 情報処理学会論文誌 第46巻 第11号 IPSJ JOURNAL, vol. 第46巻, JPN6019027839, 17 November 2005 (2005-11-17), JP, pages 2704 - 2713, ISSN: 0004079887 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021059632A1 (ja) * | 2019-09-24 | 2021-04-01 | 株式会社日立製作所 | 通信制御装置およびシステム |
| CN110784471A (zh) * | 2019-10-30 | 2020-02-11 | 深圳前海环融联易信息科技服务有限公司 | 黑名单采集管理方法、装置、计算机设备及存储介质 |
| CN114666101A (zh) * | 2022-03-01 | 2022-06-24 | 国网新疆电力有限公司信息通信公司 | 一种攻击溯源检测系统、方法、设备及介质 |
| CN114666101B (zh) * | 2022-03-01 | 2024-03-22 | 国网新疆电力有限公司信息通信公司 | 一种攻击溯源检测系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6626039B2 (ja) | 2019-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2018122345A1 (en) | System and method for detecting malicious device by using a behavior analysis | |
| EP3019971B1 (en) | Methods and systems for performance monitoring for mobile applications | |
| JP6626039B2 (ja) | ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム | |
| US11115295B2 (en) | Methods and systems for online monitoring using a variable data | |
| US9933772B2 (en) | Analyzing SCADA systems | |
| JP6400255B2 (ja) | 侵入検知装置および侵入検知プログラム | |
| JP6509462B2 (ja) | 攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| EP3607484A1 (en) | Multilevel intrusion detection in automation and control systems | |
| CN113168347A (zh) | 容器化应用程序的编排 | |
| JP6611677B2 (ja) | 単変量時系列信号に対してリアルタイムで外れ値を検出するシステム及び方法 | |
| Du et al. | ATOM: efficient tracking, monitoring, and orchestration of cloud resources | |
| JP2009244999A (ja) | 仮想マシン管理プログラム及び管理サーバ装置 | |
| JP2016062598A (ja) | Plcログデータを利用した異常発生予測システム | |
| JP5885631B2 (ja) | 攻撃ホストの挙動解析装置、方法及びプログラム | |
| JP2012150668A (ja) | 情報処理装置、制御方法及びプログラム | |
| Du et al. | ATOM: Automated tracking, orchestration and monitoring of resource usage in infrastructure as a service systems | |
| JP6322122B2 (ja) | 中央監視制御システム、サーバ装置、検出情報作成方法、及び、検出情報作成プログラム | |
| US9372786B1 (en) | Constructing state-transition functions for mobile devices | |
| JP2013016041A (ja) | 振分制御装置、振分制御方法および振分制御プログラム | |
| WO2017169323A1 (ja) | 情報処理装置、情報処理方法、非一時的なコンピュータ可読媒体 | |
| KR102374329B1 (ko) | 전압의 변화를 이용한 전력분석 공격 방지 장치 및 방법 | |
| WO2023049017A1 (en) | Adversarial resilient malware detector randomization method and devices | |
| EP3910889A1 (en) | Communication terminal device, communication control method, and communication control program | |
| JP6349983B2 (ja) | 異常検知方法、異常検知プログラムおよび異常検知装置 | |
| JP4616903B2 (ja) | 負荷情報収集装置及び負荷情報収集方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181016 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190723 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190903 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191126 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191128 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6626039 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |