JP2019070995A - 検出方法、検出プログラムおよび検出装置 - Google Patents
検出方法、検出プログラムおよび検出装置 Download PDFInfo
- Publication number
- JP2019070995A JP2019070995A JP2017197520A JP2017197520A JP2019070995A JP 2019070995 A JP2019070995 A JP 2019070995A JP 2017197520 A JP2017197520 A JP 2017197520A JP 2017197520 A JP2017197520 A JP 2017197520A JP 2019070995 A JP2019070995 A JP 2019070995A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- time interval
- calculated
- identification information
- entropy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
Description
図1は、本開示の一実施形態に係る検出装置を含む全体システムの構成の一例である。全体システム1は、ネットワークNWと、クラウドネットワークCLと、ユーザのコンピュータA(2)と、ユーザのコンピュータB(3)と、ユーザのコンピュータC(4)攻撃者41のコンピュータ5とを含む。なお、コンピュータA(2)、コンピュータB(3)およびコンピュータC(4)のユーザは同じであってもよいし、異なっていてもよい。
図3は、実施形態1に係る検出装置100の機能ブロック図の一例を示す。検出装置100は、間隔算出部301と、検出部302とを備える。
以上のように、本実施形態においては、通信の時間間隔の規則性に基づいてマルウェアによる通信の有無を検出するので、未知マルウェアであっても検出することが可能である。また、通信の時間間隔の規則性に基づいてマルウェアによる通信の有無を検出するので、正常なサイトが攻撃者などにより乗っ取られてしまった場合でも、当該サイトにビーコンを送信するマルウェアを検出することができる。
図10は、実施形態2に係る検出装置の検出装置の機能ブロック図の別の例を示す。検出装置100は、間隔算出部301と、検出部302と、ホワイトリスト判定部1001とを備える。したがって、図10に機能ブロック図が示される検出装置は、実施形態1に係る検出装置がさらにホワイトリスト判定部1001を備える構成を有する。
本実施形態によれば、ホワイトリスト判定部1001により安全な通信による通信記録であると判定されれば、当該通信記録がスキップされるので、図4(A)などに示されるようなデータ構造に使用される記憶容量を小さくすることができる。また、安全な通信をマルウェアによる通信として誤検出する場合を少なくしたり、無くしたりすることができる。
図11は、実施形態3に係る検出装置の機能ブロック図のさらに別の例を示す。検出装置100は、間隔算出部301と、検出部302と、を備え、検出部302は、エントロピー算出部1101を有する。また、検出装置100は、実施形態2のように、ホワイトリスト判定部を備えていてもよい。したがって、実施形態3に係る検出装置は、実施形態1または実施形態2に係る検出装置の検出部が、エントロピー算出部を備えている形態である。
(3/101)×log(101/3)+(95/101)×log(101/95)
+(1/101)×log(101/1)+(2/101)×log(101/2)
となる。
図13は、実際にインターネットに接続されたコンピュータの通信ログを用いて、通信元の識別情報および通信先の識別情報の組ごとにエントロピーを算出し、算出されたエントロピーの区間ごとに、組の数を計数して作成したヒストグラムを示す。エントロピーが2以下の組は、2個存在し、エントロピーが2を超え、2.75以下の組は28個存在する。2.75を超え、3.5以下の組は405組存在し、3.5を超え4.25以下の組は、343個存在し、4.25を超え5以下の組は114個存在し、5を超える組は、17個存在したことが示されている。したがって、2.75の大きさを持つエントロピーの前後で分布が大きく異なっていることがわかる。
以上のように、本実施形態においては、時間間隔の規則性の程度を通信時間の間隔の個数の割合やエントロピーの値により算出するので、マルウェアによる通信の有無を検出するので、未知マルウェアであっても検出することが可能である。また、例えば、日中の営業時間に動作し、夜間や営業時間外は停止するパーソナルコンピュータにマルウェアが感染した場合であっても、あるいは、営業時間にビーコンを送信し営業時間外はビーコンを停止するマルウェアが常時動作するコンピュータに感染した場合であっても、マルウェアのビーコンの時間間隔の規則性によりマルウェアを検出することができる。
Claims (20)
- 通信記録に含まれる通信元の識別情報および通信先の識別情報の組ごとに通信が行われた時間間隔を算出し、
前記組ごとに算出した時間間隔の規則性に基づいて、マルウェアによる通信が行われたかどうかを検出することを含む、検出方法。 - 前記時間間隔の規則性を、前記組ごとに算出した時間間隔の分布のエントロピーの大きさに基づいて検出する、請求項1に記載の検出方法。
- 前記組ごとに時間間隔を算出する際に、組ごとに算出した各時間間隔の個数を計数し、
前記組ごとに、前記計数した各時間間隔の個数の総和に対する時間間隔tの個数の割合p(t)に基づいて、前記エントロピーを算出する、請求項2に記載の検出方法。 - 前記エントロピーの大きさとして−p(t)logbp(t)についてのすべての時間間隔tに関する和に基づく値を算出する(ただし、bは対数関数logの底である。)、請求項3に記載の検出方法。
- 前記時間間隔の規則性を、前記組ごとに算出した時間間隔が実質的に同一であるかどうかにより検出する、請求項1から請求項4のいずれか1項に記載の検出方法。
- 前記時間間隔の規則性を、前記組ごとに算出した時間間隔が実質的に一定の範囲内で変動するかどうかにより検出する、請求項1から請求項5のいずれか1項に記載の検出方法。
- コンピュータに、
通信記録に含まれる通信元の識別情報および通信先の識別情報の組ごとに通信が行われた時間間隔を算出し、
前記組ごとに算出した時間間隔の規則性に基づいて、マルウェアによる通信が行われたかどうかを検出させるための、検出プログラム。 - 前記時間間隔の規則性の有無を、前記組ごとに算出した時間間隔の分布のエントロピーの大きさに基づいて検出する、請求項7に記載の検出プログラム。
- 前記組ごとに時間間隔を算出する際に、組ごとに算出した各時間間隔の個数を計数し、
前記組ごとに、前記計数した各時間間隔の個数の総和に対する時間間隔tの個数の割合p(t)に基づいて、前記エントロピーを算出する、請求項8に記載の検出プログラム。 - 前記エントロピーの大きさとして−p(t)logbp(t)についてのすべての時間間隔tに関する和に基づく値を算出する(ただし、bは対数関数logの底である。)、請求項9に記載の検出プログラム。
- 前記時間間隔の規則性を、前記組ごとに算出した時間間隔が実質的に同一であるかどうかにより検出する、請求項7から請求項10のいずれか1項に記載の検出プログラム。
- 前記時間間隔の規則性を、前記組ごとに算出した時間間隔が実質的に一定の範囲内で変動するかどうかにより検出する、請求項7から請求項11のいずれか1項に記載の検出プログラム。
- 通信記録に含まれる通信元の識別情報および通信先の識別情報の組ごとに通信が行われた時間間隔を算出する間隔算出部と、
前記間隔算出部により組ごとに算出された時間間隔の規則性に基づいて、マルウェアによる通信が行われたかどうかを検出する検出部と、
を有する検出装置。 - 前記検出部は、
前記間隔算出部により前記組ごとに算出された時間間隔の分布のエントロピーの大きさを算出するエントロピー算出部を有し、
前記エントロピー算出部により前記組ごとに算出されたエントロピーの大きさに基づいて前記時間間隔の規則性を検出する、請求項13に記載の検出装置。 - 前記間隔算出部は、組ごとに算出した各時間間隔の個数を計数し、
前記エントロピー算出部は、前記組ごとに、前記計数した各時間間隔の個数の総和に対する時間間隔tの個数の割合p(t)に基づいて、前記エントロピーを算出する、請求項14に記載の検出装置。 - 前記エントロピー算出部は、前記エントロピーとして−p(t)logbp(t)についてのすべての時間間隔tに関する和に基づく値を算出する(ただし、bは対数関数logの底である。)、請求項15に記載の検出装置。
- 前記時間間隔の規則性を、前記間隔算出部が前記組ごとに算出した時間間隔が実質的に同一であるかどうかにより検出する、請求項13から請求項16のいずれか1項に記載の検出装置。
- 前記時間間隔の規則性を、前記間隔算出部が前記組ごとに算出した時間間隔が実質的に一定の範囲内で変動するかどうかにより検出する、請求項13から請求項17のいずれか1項に記載の検出装置。
- 前記間隔算出部は、ホワイトリストに含まれる識別情報を含む通信記録を除外し、前記時間間隔を算出する、請求項13から請求項18のいずれか1項に記載の検出装置。
- 前記間隔算出部は、通信元の識別情報および通信先の識別情報の組ごとに通信の時間間隔が所定の値以下の時間間隔を除外し、前記時間間隔を算出する、請求項13から請求項19のいずれか1項に記載の検出装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017197520A JP2019070995A (ja) | 2017-10-11 | 2017-10-11 | 検出方法、検出プログラムおよび検出装置 |
JP2022004041A JP7301181B2 (ja) | 2017-10-11 | 2022-01-14 | 検出方法、検出プログラムおよび検出装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017197520A JP2019070995A (ja) | 2017-10-11 | 2017-10-11 | 検出方法、検出プログラムおよび検出装置 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022004041A Division JP7301181B2 (ja) | 2017-10-11 | 2022-01-14 | 検出方法、検出プログラムおよび検出装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019070995A true JP2019070995A (ja) | 2019-05-09 |
Family
ID=66441855
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017197520A Pending JP2019070995A (ja) | 2017-10-11 | 2017-10-11 | 検出方法、検出プログラムおよび検出装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2019070995A (ja) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005151289A (ja) * | 2003-11-18 | 2005-06-09 | Kddi Corp | ログ分析装置およびログ分析プログラム |
JP2006319633A (ja) * | 2005-05-12 | 2006-11-24 | Hitachi Ltd | ログ分析システム、分析方法及びログ分析装置 |
JP2014057307A (ja) * | 2012-09-11 | 2014-03-27 | Boeing Co | 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出 |
US20150304350A1 (en) * | 2012-06-25 | 2015-10-22 | Emc Corporation | Detection of malware beaconing activities |
JP5926413B1 (ja) * | 2015-02-16 | 2016-05-25 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
-
2017
- 2017-10-11 JP JP2017197520A patent/JP2019070995A/ja active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005151289A (ja) * | 2003-11-18 | 2005-06-09 | Kddi Corp | ログ分析装置およびログ分析プログラム |
JP2006319633A (ja) * | 2005-05-12 | 2006-11-24 | Hitachi Ltd | ログ分析システム、分析方法及びログ分析装置 |
US20150304350A1 (en) * | 2012-06-25 | 2015-10-22 | Emc Corporation | Detection of malware beaconing activities |
JP2014057307A (ja) * | 2012-09-11 | 2014-03-27 | Boeing Co | 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出 |
JP5926413B1 (ja) * | 2015-02-16 | 2016-05-25 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230353592A1 (en) | Malware spread simulation and visualization for cloud security | |
US10789363B1 (en) | Identifying and protecting against computer security threats while preserving privacy of individual client devices using condensed local differential privacy (CLDP) | |
US11831658B2 (en) | Endpoint security architecture with programmable logic engine | |
US9756063B1 (en) | Identification of host names generated by a domain generation algorithm | |
US10740212B2 (en) | Content-level anomaly detector for systems with limited memory | |
US8965830B2 (en) | Systems and methods for self-adaptive episode mining under the threshold using delay estimation and temporal division | |
EP2284752B1 (en) | Intrusion detection systems and methods | |
US10992972B1 (en) | Automatic identification of impermissable account sharing | |
CN110519263B (zh) | 防刷量方法、装置、设备及计算机可读存储介质 | |
CN110287701A (zh) | 一种恶意文件检测方法、装置、系统及相关组件 | |
US8830714B2 (en) | High speed large scale dictionary matching | |
US10049113B2 (en) | File scanning method and apparatus | |
CN115580448A (zh) | 工控网络恶意代码检测方法、系统、设备及存储介质 | |
CN110392032B (zh) | 检测异常url的方法、装置及存储介质 | |
CN106155913A (zh) | 缓存命中率分析的方法及设备 | |
US11743284B2 (en) | Multi-factor illicit enumeration detection | |
US11403017B2 (en) | Data compression method, electronic device and computer program product | |
JP7301181B2 (ja) | 検出方法、検出プログラムおよび検出装置 | |
CN107251015B (zh) | 高效地检测用户证书 | |
CN112583827A (zh) | 一种数据泄露检测方法及装置 | |
JP2019070995A (ja) | 検出方法、検出プログラムおよび検出装置 | |
JP7031438B2 (ja) | 情報処理装置、制御方法、及びプログラム | |
JP7031667B2 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム | |
US10528403B2 (en) | Adaptive event aggregation | |
US20160147838A1 (en) | Receiving node, data management system, data management method and strage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20180801 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200804 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210422 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210421 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210618 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211118 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20220511 |