JP2019145879A - 脅威情報抽出装置及び脅威情報抽出システム - Google Patents
脅威情報抽出装置及び脅威情報抽出システム Download PDFInfo
- Publication number
- JP2019145879A JP2019145879A JP2018025426A JP2018025426A JP2019145879A JP 2019145879 A JP2019145879 A JP 2019145879A JP 2018025426 A JP2018025426 A JP 2018025426A JP 2018025426 A JP2018025426 A JP 2018025426A JP 2019145879 A JP2019145879 A JP 2019145879A
- Authority
- JP
- Japan
- Prior art keywords
- information
- address
- threat information
- threat
- information extraction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
100 脅威情報DB
200 外部知識DB
300 DNS
400 転送装置
500 脅威情報抽出装置
501 脅威情報交換部
510 脅威情報抽出部
511 ワークフロー管理機能
512 脅威情報整形機能
513 類似ホスト抽出機能
514 ホスト状態監視機能
515 ホスト特性抽出機能
516 トラフィック集計機能
520 網情報DB
521 クエリログTB
522 フローTB
Claims (8)
- フロー情報を格納する網情報DBと、
前記フロー情報を用いて、取得した脅威情報から新たな脅威情報を抽出する脅威情報抽出部と、
を有する脅威情報抽出装置であって、
前記脅威情報抽出部は、
前記取得した脅威情報から第1のIPアドレスを抽出し、
前記フロー情報から前記第1のIPアドレスについて集計情報を作成し、
前記集計情報から前記第1のIPアドレスに係る通信の特徴量を推定し、
前記推定された特徴量に基づき、前記第1のIPアドレスに類似する通信が行われている0または1以上の他のIPアドレスを抽出し、脅威情報として生成する脅威情報抽出装置。 - クエリログ及びフロー情報を格納する網情報DBと、
前記クエリログ及び前記フロー情報を用いて、取得した脅威情報から新たな脅威情報を抽出する脅威情報抽出部と、
を有する脅威情報抽出装置であって、
前記脅威情報抽出部は、
前記取得した脅威情報からC2サーバの第1のIPアドレス及びFQDNを抽出し、
前記クエリログから前記抽出したFQDNに対して返送された第2のIPアドレスを抽出し、
前記フロー情報から前記第1のIPアドレス及び前記第2のIPアドレスについて集計情報を作成し、
前記集計情報から前記第1のIPアドレス及び前記第2のIPアドレスに係る通信の特徴量を推定し、
前記推定された特徴量に基づき、前記第1のIPアドレス及び前記第2のIPアドレスに類似する通信が行われている0または1以上の他のIPアドレスを抽出し、脅威情報として生成する脅威情報抽出装置。 - フロー情報は、各フローのプロトコル、ソースIPアドレス、ソースポート、デスティネーションIPアドレス、デスティネーションポート及び通信量を少なくとも含む、請求項1又は2記載の脅威情報抽出装置。
- クエリログは、要求元のIPアドレス、FQDN及び返送先のIPアドレスを少なくとも含む、請求項1乃至3何れか一項記載の脅威情報抽出装置。
- 集計情報は、第1のIPアドレス又は第2のIPアドレスの通信先数を少なくとも含む、請求項1乃至4何れか一項記載の脅威情報抽出装置。
- 特徴量は、第1のIPアドレス又は第2のIPアドレスに係る通信の平均ビットレート及び平均通信時間を含む、請求項1乃至5何れか一項記載の脅威情報抽出装置。
- 第1のIPアドレス、第2のIPアドレス及び他のIPアドレスのうち、所定の閾値以上のボットネットを有するIPアドレスの通信が監視され、前記監視されているIPアドレスのフロー情報に基づき異常が検知される、請求項1乃至6何れか一項記載の脅威情報抽出装置。
- 請求項1乃至7何れか一項記載の脅威情報抽出装置と、
前記脅威情報抽出装置によって抽出された脅威情報を格納する脅威情報DBと、
を有する脅威情報抽出システム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018025426A JP6783261B2 (ja) | 2018-02-15 | 2018-02-15 | 脅威情報抽出装置及び脅威情報抽出システム |
PCT/JP2019/004586 WO2019159833A1 (ja) | 2018-02-15 | 2019-02-08 | 脅威情報抽出装置及び脅威情報抽出システム |
US16/968,974 US11546356B2 (en) | 2018-02-15 | 2019-02-08 | Threat information extraction apparatus and threat information extraction system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018025426A JP6783261B2 (ja) | 2018-02-15 | 2018-02-15 | 脅威情報抽出装置及び脅威情報抽出システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019145879A true JP2019145879A (ja) | 2019-08-29 |
JP6783261B2 JP6783261B2 (ja) | 2020-11-11 |
Family
ID=67619291
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018025426A Active JP6783261B2 (ja) | 2018-02-15 | 2018-02-15 | 脅威情報抽出装置及び脅威情報抽出システム |
Country Status (3)
Country | Link |
---|---|
US (1) | US11546356B2 (ja) |
JP (1) | JP6783261B2 (ja) |
WO (1) | WO2019159833A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2023054506A (ja) * | 2021-10-04 | 2023-04-14 | 株式会社ラック | 情報検索システム、情報検索方法およびプログラム |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3588897B1 (en) * | 2018-06-30 | 2020-04-22 | Ovh | Method and system for defending an infrastructure against a distributed denial of service attack |
KR102661261B1 (ko) * | 2022-10-20 | 2024-04-29 | 한국과학기술정보연구원 | 봇넷 탐지 시스템 및 방법 |
CN116192490A (zh) * | 2023-02-14 | 2023-05-30 | 北京中睿天下信息技术有限公司 | 一种基于流量行为的网络威胁检测方法和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010092236A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
US20160226902A1 (en) * | 2014-09-14 | 2016-08-04 | Cisco Technology, Inc. | Detection of malicious network connections |
JP2017059964A (ja) * | 2015-09-15 | 2017-03-23 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7500266B1 (en) * | 2002-12-03 | 2009-03-03 | Bbn Technologies Corp. | Systems and methods for detecting network intrusions |
US7624447B1 (en) * | 2005-09-08 | 2009-11-24 | Cisco Technology, Inc. | Using threshold lists for worm detection |
US7661136B1 (en) * | 2005-12-13 | 2010-02-09 | At&T Intellectual Property Ii, L.P. | Detecting anomalous web proxy activity |
US7917957B2 (en) * | 2007-05-29 | 2011-03-29 | Alcatel Lucent | Method and system for counting new destination addresses |
US7823202B1 (en) * | 2007-03-21 | 2010-10-26 | Narus, Inc. | Method for detecting internet border gateway protocol prefix hijacking attacks |
JP4755658B2 (ja) | 2008-01-30 | 2011-08-24 | 日本電信電話株式会社 | 解析システム、解析方法および解析プログラム |
US9413721B2 (en) * | 2011-02-15 | 2016-08-09 | Webroot Inc. | Methods and apparatus for dealing with malware |
US9118702B2 (en) * | 2011-05-31 | 2015-08-25 | Bce Inc. | System and method for generating and refining cyber threat intelligence data |
US9661003B2 (en) * | 2012-05-11 | 2017-05-23 | Thomas W. Parker | System and method for forensic cyber adversary profiling, attribution and attack identification |
CN103078752B (zh) * | 2012-12-27 | 2016-03-30 | 华为技术有限公司 | 一种检测邮件攻击的方法、装置及设备 |
US10721244B2 (en) * | 2014-03-19 | 2020-07-21 | Nippon Telegraph And Telephone Corporation | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program |
US20160164886A1 (en) * | 2014-10-17 | 2016-06-09 | Computer Sciences Corporation | Systems and methods for threat analysis of computer data |
US10681060B2 (en) * | 2015-05-05 | 2020-06-09 | Balabit S.A. | Computer-implemented method for determining computer system security threats, security operations center system and computer program product |
KR101689298B1 (ko) * | 2015-10-19 | 2016-12-23 | 한국과학기술정보연구원 | 보안이벤트 자동 검증 방법 및 장치 |
US10673870B2 (en) * | 2017-01-27 | 2020-06-02 | Splunk Inc. | Security monitoring of network connections using metrics data |
TWI648650B (zh) * | 2017-07-20 | 2019-01-21 | 中華電信股份有限公司 | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 |
-
2018
- 2018-02-15 JP JP2018025426A patent/JP6783261B2/ja active Active
-
2019
- 2019-02-08 US US16/968,974 patent/US11546356B2/en active Active
- 2019-02-08 WO PCT/JP2019/004586 patent/WO2019159833A1/ja active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010092236A (ja) * | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
US20160226902A1 (en) * | 2014-09-14 | 2016-08-04 | Cisco Technology, Inc. | Detection of malicious network connections |
JP2017059964A (ja) * | 2015-09-15 | 2017-03-23 | 富士通株式会社 | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
Non-Patent Citations (1)
Title |
---|
足立 大地, 面 和成: "ホストベースによるRemote Access Trojan(RAT)の早期検知手法 Early Detective", CSS2015 コンピュータセキュリティシンポジウム2015 論文集 合同開催 マルウェア対策研究人, vol. 第2015巻, JPN6020034504, 4 February 2016 (2016-02-04), JP, ISSN: 0004345149 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2023054506A (ja) * | 2021-10-04 | 2023-04-14 | 株式会社ラック | 情報検索システム、情報検索方法およびプログラム |
Also Published As
Publication number | Publication date |
---|---|
US11546356B2 (en) | 2023-01-03 |
JP6783261B2 (ja) | 2020-11-11 |
WO2019159833A1 (ja) | 2019-08-22 |
US20210058411A1 (en) | 2021-02-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2019159833A1 (ja) | 脅威情報抽出装置及び脅威情報抽出システム | |
Kumar et al. | Early detection of Mirai-like IoT bots in large-scale networks through sub-sampled packet traffic analysis | |
EP2612488B1 (en) | Detecting botnets | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
US20170230396A1 (en) | Network system | |
US20180077110A1 (en) | Augmenting network flow with passive dns information | |
US8904524B1 (en) | Detection of fast flux networks | |
US7706267B2 (en) | Network service monitoring | |
JP2018513592A (ja) | ネットワークセキュリティのための行動解析ベースのdnsトンネリング検出・分類フレームワーク | |
WO2014052756A2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
US11777960B2 (en) | Detection of DNS (domain name system) tunneling and exfiltration through DNS query analysis | |
Xu et al. | Secure the Internet, one home at a time | |
US20240146753A1 (en) | Automated identification of false positives in dns tunneling detectors | |
Wang et al. | Behavior‐based botnet detection in parallel | |
EP3465986B1 (en) | Method and system for augmenting network traffic flow reports | |
Garg et al. | Scalable P2P bot detection system based on network data stream | |
US10187414B2 (en) | Differential malware detection using network and endpoint sensors | |
WO2013189723A1 (en) | Method and system for malware detection and mitigation | |
CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
Gad et al. | Hierarchical events for efficient distributed network analysis and surveillance | |
Sourour et al. | Network security alerts management architecture for signature-based intrusions detection systems within a NAT environment | |
Goparaju et al. | Distributed Denial of Service Attack Classification Using Artificial Neural Networks. | |
US20230370492A1 (en) | Identify and block domains used for nxns-based ddos attack | |
JP5582499B2 (ja) | ネットワーク監視方法及びシステム及び装置及びプログラム | |
Čermák et al. | Stream-Based IP Flow Analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191216 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200915 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201012 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201020 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201021 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6783261 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |