JP2019047335A - 検知装置、検知方法、および、検知プログラム - Google Patents
検知装置、検知方法、および、検知プログラム Download PDFInfo
- Publication number
- JP2019047335A JP2019047335A JP2017168607A JP2017168607A JP2019047335A JP 2019047335 A JP2019047335 A JP 2019047335A JP 2017168607 A JP2017168607 A JP 2017168607A JP 2017168607 A JP2017168607 A JP 2017168607A JP 2019047335 A JP2019047335 A JP 2019047335A
- Authority
- JP
- Japan
- Prior art keywords
- server
- malignant
- candidate
- client device
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
検知装置10は、サーバ1(例えば、悪性サーバ候補)と、クライアント(クライアント装置)2との通信情報を取得する。この通信情報は、例えば、フロー情報であり、フローの宛先の通信装置(例えば、サーバ1)のIPアドレス(DstIP)、フローの送信元の通信装置(例えば、クライアント2)のIPアドレス(SrcIP)、タイムスタンプ(世界標準時刻)の値等を含む。なお、検知装置10は、悪性サーバ候補のサーバ1が複数あれば、それぞれのサーバ1について通信情報を取得する。
次に、図3を用いて、検知装置10の構成を説明する。検知装置10は、入力部11と、特徴量生成部12と、学習部13と、モデル14と、判定部15と、出力部16とを備える。
ここで、図2に戻って、特徴量生成部12における、サーバ1に対する、各クライアント2の設置される物理空間の特徴量について詳細に説明する。
次に、図4を用いて、特徴量生成部12における、サーバ1に対する、各クライアント2との通信時間の特徴量について詳細に説明する。ここでは、特徴量生成部12が、通信情報(符号401)に示すように、サーバ1(DstIP「B.B.B.Y」)に対するクライアント2(SrcIP「A.A.A.X」、SrcIP「C.C.C.Z」)の通信時刻が、世界標準時刻である場合を例に説明する。
次に、図5を用いて、特徴量生成部12における、サーバ1に対する、各クライアント2のネットワーク空間の特徴量を詳細に説明する。例えば、特徴量生成部12は、通信情報(符号501)を参照して、サーバ1(DstIP「B.B.B.Y」)に対するクライアント2のSrcIPの属するネットワーク空間ごと、当該ネットワーク空間に属するクライアント2の数を示す行列を求める。
次に、図6および図7を用いて、検知装置10の処理手順を説明する。まず、図6を用いて、検知装置10がモデル14を生成(訓練)する手順について説明する。例えば、検知装置10の入力部11は、モデル14の学習用の通信情報を受信する(S1)。この学習用の通信情報は、悪性サーバと各クライアント2との通信情報と、非悪性サーバと各クライアント2との通信情報とを含む。また、各通信情報には、例えば、当該通信情報が、悪性サーバの通信情報か非悪性サーバの通信情報かを示すラベル値が付与されているものとする。
なお、特徴量生成部12が、サーバ1に対する、各クライアント2の設置される物理空間の特徴量を生成する際、サーバ1と各クライアント2と距離を用いてもよい。この場合、特徴量生成部12は、各クライアント2のSrcIPに対するGeolocation lookupにより、各クライアント2の設置場所を求め、各クライアント2の設置場所から、サーバ1との距離を求めればよい。このようにすることで、特徴量生成部12は、サーバ1に対する、各クライアント2の距離の分布を物理空間の特徴量として得ることができる。
また、上記の実施形態で述べた検知装置10の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等がその範疇に含まれる。また、検知装置10を、クラウドサーバに実装してもよい。
11 入力部
12 特徴量生成部
13 学習部
14 モデル
15 判定部
16 出力部
Claims (8)
- マルウェアに感染したクライアント装置を制御する悪性サーバを検知する検知装置であって、
悪性サーバおよび非悪性サーバそれぞれに対する各クライアント装置との通信の特徴を示したモデルを記憶する記憶部と、
悪性サーバの候補と各クライアント装置との通信情報の入力を受け付ける入力部と、
前記悪性サーバの候補と各クライアント装置との通信情報から、前記悪性サーバの候補に対する、各クライアント装置との通信時間の特徴量、前記各クライアント装置の設置される物理空間の特徴量、および、前記各クライアント装置の属するネットワーク空間の特徴量の少なくともいずれかを含む通信特徴量を生成する特徴量生成部と、
前記生成された前記悪性サーバの候補に対する前記通信特徴量と、前記モデルとを用いて、前記悪性サーバの候補が悪性サーバか否かを判定する判定部と、
を備えることを特徴とする検知装置。 - 前記特徴量生成部は、さらに、
悪性サーバと各クライアント装置との通信情報および非悪性サーバと各クライアント装置との通信情報を用いて、前記悪性サーバおよび前記非悪性サーバそれぞれに対する前記通信特徴量を生成し、
前記検知装置は、さらに、
前記生成された前記悪性サーバおよび前記非悪性サーバに対する前記通信特徴量を用いた機械学習により、前記モデルを生成する学習部を備えることを特徴とする請求項1に記載の検知装置。 - 前記特徴量生成部は、
前記悪性サーバの候補に対する各クライアント装置との通信時間の特徴量を求める際、前記悪性サーバの候補へアクセスする各クライアント装置におけるローカルタイムでのアクセス数の統計値であるアクセス時間特徴ベクトルを用いることを特徴とする請求項1に記載の検知装置。 - 前記特徴量生成部は、
前記悪性サーバの候補に対する各クライアント装置の設置される物理空間の特徴量を求める際、地理的な区分ごとに、当該地理的な区分に属し、前記悪性サーバの候補へアクセスするクライアント装置の数を用いることを特徴とする請求項1に記載の検知装置。 - 前記特徴量生成部は、
前記悪性サーバの候補に対する各クライアント装置の設置される物理空間の特徴量を求める際、前記悪性サーバの候補と当該悪性サーバの候補へアクセスするクライアント装置との距離を用いることを特徴とする請求項1に記載の検知装置。 - 前記特徴量生成部は、
前記悪性サーバの候補に対する各クライアント装置の属するネットワーク空間の特徴量を求める際、ネットワーク空間ごと、当該ネットワーク空間に属し、前記悪性サーバの候補へアクセスするクライアント装置の数を用いることを特徴とする請求項1に記載の検知装置。 - マルウェアに感染したクライアント装置を制御する悪性サーバを検知する検知装置が、
悪性サーバの候補と各クライアント装置との通信情報の入力を受け付けるステップと、
前記悪性サーバの候補と各クライアント装置との通信情報から、前記悪性サーバの候補に対する、各クライアント装置との通信時間の特徴量、前記各クライアント装置の設置される物理空間の特徴量、および、前記各クライアント装置の属するネットワーク空間の特徴量の少なくともいずれかを含む通信特徴量を生成するステップと、
悪性サーバおよび非悪性サーバそれぞれに対する各クライアント装置との通信の特徴を示したモデルと、前記生成された前記悪性サーバの候補に対する前記通信特徴量とを用いて、前記悪性サーバの候補が悪性サーバか否かを判定するステップと、
を含んだことを特徴とする検知方法。 - マルウェアに感染したクライアント装置を制御する悪性サーバを検知するための検知プログラムであって、
悪性サーバの候補と各クライアント装置との通信情報の入力を受け付けるステップと、
前記悪性サーバの候補と各クライアント装置との通信情報から、前記悪性サーバの候補に対する、各クライアント装置との通信時間の特徴量、前記各クライアント装置の設置される物理空間の特徴量、および、前記各クライアント装置の属するネットワーク空間の特徴量の少なくともいずれかを含む通信特徴量を生成するステップと、
悪性サーバおよび非悪性サーバそれぞれに対する各クライアント装置との通信の特徴を示したモデルと、前記生成された前記悪性サーバの候補に対する前記通信特徴量とを用いて、前記悪性サーバの候補が悪性サーバか否かを判定するステップと、
をコンピュータが実行することを特徴とする検知プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017168607A JP6749873B2 (ja) | 2017-09-01 | 2017-09-01 | 検知装置、検知方法、および、検知プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017168607A JP6749873B2 (ja) | 2017-09-01 | 2017-09-01 | 検知装置、検知方法、および、検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019047335A true JP2019047335A (ja) | 2019-03-22 |
JP6749873B2 JP6749873B2 (ja) | 2020-09-02 |
Family
ID=65813014
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017168607A Active JP6749873B2 (ja) | 2017-09-01 | 2017-09-01 | 検知装置、検知方法、および、検知プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6749873B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020261582A1 (ja) * | 2019-06-28 | 2020-12-30 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
KR20220022322A (ko) * | 2020-08-18 | 2022-02-25 | 세종대학교산학협력단 | 네트워크 공격 탐지 장치 및 방법 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014504399A (ja) * | 2010-12-01 | 2014-02-20 | ソースファイア インコーポレイテッド | 文脈上の確からしさ、ジェネリックシグネチャ、および機械学習法を用いて悪意のあるソフトウェアを検出する方法 |
JP2014057307A (ja) * | 2012-09-11 | 2014-03-27 | Boeing Co | 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出 |
WO2015114804A1 (ja) * | 2014-01-31 | 2015-08-06 | 株式会社日立製作所 | 不正アクセスの検知方法および検知システム |
US20160366171A1 (en) * | 2014-03-19 | 2016-12-15 | Nippon Telegraph And Telephone Corporation | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program |
-
2017
- 2017-09-01 JP JP2017168607A patent/JP6749873B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014504399A (ja) * | 2010-12-01 | 2014-02-20 | ソースファイア インコーポレイテッド | 文脈上の確からしさ、ジェネリックシグネチャ、および機械学習法を用いて悪意のあるソフトウェアを検出する方法 |
JP2014057307A (ja) * | 2012-09-11 | 2014-03-27 | Boeing Co | 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出 |
WO2015114804A1 (ja) * | 2014-01-31 | 2015-08-06 | 株式会社日立製作所 | 不正アクセスの検知方法および検知システム |
US20160366171A1 (en) * | 2014-03-19 | 2016-12-15 | Nippon Telegraph And Telephone Corporation | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program |
Non-Patent Citations (2)
Title |
---|
三村 守,大坪 雄平,田中 英彦: "プロキシのログからの機械学習によるRATの検知方式 Detecting RAT Activity in Proxy Server Logs with", CSS2015 コンピュータセキュリティシンポジウム2015 論文集 合同開催 マルウェア対策研究人, vol. 2015, no. 3, JPN6020009530, 14 October 2015 (2015-10-14), JP, pages 528 - 535, ISSN: 0004231763 * |
松尾 峻治,菊池 浩明,寺田 真敏,藤原 将志: "ボットネットの国別マルウェア活動時間 なぜインドからの攻撃は日本時間で行われるか? Time-Country Ana", 情報処理学会研究報告 平成22年度▲5▼ [CD−ROM], JPN6020009531, 15 February 2011 (2011-02-15), JP, ISSN: 0004231764 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020261582A1 (ja) * | 2019-06-28 | 2020-12-30 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
JPWO2020261582A1 (ja) * | 2019-06-28 | 2020-12-30 | ||
JP7176630B2 (ja) | 2019-06-28 | 2022-11-22 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
KR20220022322A (ko) * | 2020-08-18 | 2022-02-25 | 세종대학교산학협력단 | 네트워크 공격 탐지 장치 및 방법 |
KR102369240B1 (ko) * | 2020-08-18 | 2022-02-28 | 세종대학교산학협력단 | 네트워크 공격 탐지 장치 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
JP6749873B2 (ja) | 2020-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10924503B1 (en) | Identifying false positives in malicious domain data using network traffic data logs | |
CN110383278A (zh) | 用于检测恶意计算事件的系统和方法 | |
CN109327542B (zh) | 游戏业务访问响应方法、请求转发方法、连接方法、装置 | |
CN105512555B (zh) | 基于文件字符串聚类的划分同源家族和变种的方法及系统 | |
US20170139913A1 (en) | Method and system for data assignment in a distributed system | |
CN113312361B (zh) | 轨迹查询方法、装置、设备、存储介质及计算机程序产品 | |
US11368901B2 (en) | Method for identifying a type of a wireless hotspot and a network device thereof | |
US20170214716A1 (en) | Violation information management module forming violation information intelligence analysis system | |
JP6749873B2 (ja) | 検知装置、検知方法、および、検知プログラム | |
CN108009205A (zh) | 基于位置的搜索结果缓存方法、搜索方法、客户端及系统 | |
CN112148305A (zh) | 一种应用检测方法、装置、计算机设备和可读存储介质 | |
TW201822045A (zh) | 實體資訊驗證方法及裝置 | |
Nuojua et al. | DNS tunneling detection techniques–classification, and theoretical comparison in case of a real APT campaign | |
CN110392032B (zh) | 检测异常url的方法、装置及存储介质 | |
US10778802B2 (en) | Mobile device identification | |
CN107657474B (zh) | 一种商圈边界的确定方法及服务端 | |
JP6749866B2 (ja) | トレンド評価装置、および、トレンド評価方法 | |
KR101774242B1 (ko) | 네트워크 스캔 탐지 방법 및 장치 | |
CN105684343A (zh) | 一种信息处理方法及设备 | |
CN113723090A (zh) | 位置数据获取方法、装置、电子设备和存储介质 | |
CN110197066B (zh) | 一种云计算环境下的虚拟机监控方法及监控系统 | |
JP2019057016A (ja) | 分類装置 | |
CN107948989A (zh) | 一种移动终端联网时长的计算方法及装置 | |
US9344990B1 (en) | Device location accuracy metrics for applications on wireless communication devices | |
EP3848822A1 (en) | Data classification device, data classification method, and data classification program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190522 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200305 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200317 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200518 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200811 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200812 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6749873 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |