JP2019148882A - トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム - Google Patents
トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム Download PDFInfo
- Publication number
- JP2019148882A JP2019148882A JP2018031914A JP2018031914A JP2019148882A JP 2019148882 A JP2019148882 A JP 2019148882A JP 2018031914 A JP2018031914 A JP 2018031914A JP 2018031914 A JP2018031914 A JP 2018031914A JP 2019148882 A JP2019148882 A JP 2019148882A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- feature information
- information
- unit
- extraction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000605 extraction Methods 0.000 title claims abstract description 59
- 238000004458 analytical method Methods 0.000 claims abstract description 21
- 239000000284 extract Substances 0.000 claims abstract description 5
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000010801 machine learning Methods 0.000 claims description 2
- 238000000034 method Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000010365 information processing Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/906—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- Environmental & Geological Engineering (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】端末が被害を受けているか否かを正確に判定することである。【解決手段】受信トラヒック特徴抽出サーバ10は、入力部11と特徴情報抽出部12とクラスタリング部13とシグネチャ生成部14と出力部15とを有する。入力部11は、ネットワークトラヒックデータ11aから所定条件を満たすトラヒック情報を取得する。特徴情報抽出部12は、取得された上記トラヒック情報から特徴情報を抽出する。クラスタリング部13は、抽出された上記特徴情報に基づき、上記トラヒック情報を分類する。シグネチャ生成部14は、クラスタリング部13により得られた分類結果を分析し、シグネチャを生成する。出力部15は、生成された上記シグネチャの内、所定条件を満たすシグネチャを出力する。【選択図】図1
Description
本発明は、トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラムに関する。
近年、インターネットの普及に伴い、マルウェアと呼ばれる悪意あるソフトウェアを用いたサイバー攻撃が増加しつつある。マルウェアに感染した端末の検知に際し、端末が送信するトラヒックのヘッダ情報に基づいて特徴情報を抽出し、シグネチャを生成してブラックリストとのマッチングを行う方法がある。
しかしながら、上述した従来技術では、以下の様な問題点があった。例えば、攻撃者は検知回避のために司令塔となるサーバの設定を変えるため、マッチングにより感染が確認されたとしても、通信先サーバが存在しないまたは正常なサーバである場合がある。また、端末が攻撃者のサーバと通信しても、必ずしも攻撃が成功するとは限らない。このため、シグネチャがマッチしたとしても、その端末が真にマルウェアに感染し、被害(例えば、攻撃者による操作)を受けていると、確実に判定することはできない。
開示の技術は、上記に鑑みてなされたものであって、端末が被害を受けているか否かを正確に判定することができるトラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本願の開示するトラヒック特徴情報抽出装置は、一つの態様において、ネットワークトラヒックデータから所定条件を満たすトラヒック情報を取得する取得部と、取得された前記トラヒック情報から特徴情報を抽出する抽出部と、抽出された前記特徴情報に基づき、前記トラヒック情報を分類する分類部と、前記分類部により得られた分類結果を分析し、シグネチャを生成する生成部と、生成された前記シグネチャの内、所定条件を満たすシグネチャを出力する出力部とを有する。
また、本願の開示するトラヒック特徴情報抽出方法は、一つの態様において、トラヒック特徴情報抽出装置が、ネットワークトラヒックデータから所定条件を満たすトラヒック情報を取得する取得工程と、取得された前記トラヒック情報から特徴情報を抽出する抽出工程と、抽出された前記特徴情報に基づき、前記トラヒック情報を分類する分類工程と、前記分類工程にて得られた分類結果を分析し、シグネチャを生成する生成工程と、生成された前記シグネチャの内、所定条件を満たすシグネチャを出力する出力工程とを含む。
更に、本願の開示するトラヒック特徴情報抽出プログラムは、一つの態様において、ネットワークトラヒックデータから所定条件を満たすトラヒック情報を取得する取得ステップと、取得された前記トラヒック情報から特徴情報を抽出する抽出ステップと、抽出された前記特徴情報に基づき、前記トラヒック情報を分類する分類ステップと、前記分類ステップにて得られた分類結果を分析し、シグネチャを生成する生成ステップと、生成された前記シグネチャの内、所定条件を満たすシグネチャを出力する出力ステップとをコンピュータに実行させる。
本願の開示するトラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラムは、端末が被害を受けているか否かを正確に判定することができるという効果を奏する。
以下に、本願の開示するトラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラムの実施例を、図面を参照しながら詳細に説明する。なお、以下の実施例により本願の開示するトラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラムが限定されるものではない。
まず、本願の開示する一実施例に係るトラヒック特徴情報抽出装置の構成を説明する。図1は、受信トラヒック特徴抽出サーバ10の構成を示す図である。図1に示す様に、受信トラヒック特徴抽出サーバ10は、入力部11と特徴情報抽出部12とクラスタリング部13とシグネチャ生成部14と出力部15とを有する。これら各構成部分は、一方向又は双方向に、信号やデータの入出力が可能なように接続されている。
入力部11は、ネットワークトラヒックデータ11aから所定条件を満たすトラヒック情報を取得する。特徴情報抽出部12は、取得された上記トラヒック情報から特徴情報を抽出する。クラスタリング部13は、抽出された上記特徴情報に基づき、上記トラヒック情報を分類する。シグネチャ生成部14は、クラスタリング部13により得られた分類結果を分析し、シグネチャを生成する。出力部15は、生成された上記シグネチャの内、所定条件を満たす(マッチする)シグネチャを出力する。
次に、本願の開示する一実施例に係る受信トラヒック特徴抽出サーバ10の動作を説明する。図2は、受信トラヒック特徴抽出サーバ10の動作を説明するためのフローチャートである。
まずS1では、受信トラヒック特徴抽出サーバ10は、入力部11により、ネットワークトラヒックデータ11aから所定条件を満たすトラヒック情報を取得する。次のS2では、受信トラヒック特徴抽出サーバ10は、特徴情報抽出部12により、取得された上記トラヒック情報から特徴情報を抽出する。S3では、受信トラヒック特徴抽出サーバ10は、クラスタリング部13により、抽出された上記特徴情報に基づき、上記トラヒック情報を分類する。S4では、受信トラヒック特徴抽出サーバ10は、シグネチャ生成部14により、クラスタリング部13により得られた分類結果を分析し、シグネチャを生成する。S5では、受信トラヒック特徴抽出サーバ10は、出力部15により、生成された上記シグネチャの内、所定条件を満たすシグネチャを出力する。
受信トラヒック特徴抽出サーバ10において、特徴情報抽出部12は、上記ネットワークトラヒックデータのヘッダ部分に含まれる情報、送信データ部分に含まれる情報、及び受信データ部分に含まれる情報の内、少なくとも1つに基づき、上記特徴情報を抽出するものとしてもよい。また、クラスタリング部13は、教師情報となる学習データを使用しない教師無しの機械学習を用いて、上記トラヒック情報を分類するものとしてもよい。これにより、より高精度な分類結果に基づき、端末が被害を受けているか否かの判定を行うことができる。更に、シグネチャ生成部14は、上記分類結果を分析する際、頻出パターン分析または頻出文字列分析により、上記シグネチャを生成するものとしてもよい。
上記頻出パターン分析は、上記ネットワークトラヒックデータのヘッダ部分に含まれる情報の分析であってもよく、より好適には、頻出パターンマイニングを用いた分析であってもよい。これにより、より高精度な分析結果に基づき、端末が被害を受けているか否かの判定を行うことができる。あるいは、上記頻出パターン分析は、上記ネットワークトラヒックデータの送信データ部分に含まれる情報、及び受信データ部分に含まれる情報の分析であってもよい。更に、上記トラヒック情報は、端末が特定のサーバ(例えば、悪性サーバ)と通信する際に上記端末が受信する受信トラヒックのトラヒック情報であってもよい。
換言すれば、受信トラヒック特徴抽出サーバ10は、ネットワークトラヒックデータ11aを分析することにより、端末が受信するトラヒックをシグネチャ化し、通信先サーバ(例えば、悪性サーバ)との通信が行われていることを検知する。端末の送信するトラヒックから検知するだけでは、通信先サーバが悪性であるか否かは不明な場合があるが、受信トラヒック特徴抽出サーバ10は、端末が受信するトラヒックの特徴も抽出して、通信先サーバからの応答をシグネチャ化するので、端末がマルウェアに感染していること、または、攻撃が成功していることを確実に判定することができる。すなわち、通信先のサーバからの応答をみることにより、端末が被害を受けているか否かを正確に判定することができる。また、上記判定に際して、従来では用いられていなかったペイロードの情報等、より多くの情報を特徴とするために、検知率の向上及び誤検知率の低減を図ることも可能となる。
受信トラヒック特徴抽出サーバ10の適用例として、入力トラヒックデータとして、マルウェア感染端末のネットワークトラヒックを与えることにより、端末がマルウェアに感染した際に、悪性サーバから受信するトラヒックの特徴を抽出してシグネチャ化することができる。従って、受信トラヒック特徴抽出サーバ10は、上記所定条件を満たすシグネチャの出力の有無に基づき、端末がマルウェアに感染していること、または、攻撃が成功していることを判定することができる。例えば、受信トラヒック特徴抽出サーバ10は、上記所定条件を満たすシグネチャの出力が有る場合には、端末がマルウェアに感染している、または、攻撃が成功していると、確実に結論付けることができる。
別の適用例として、受信トラヒック特徴抽出サーバ10は、悪性トラヒックを再生し、攻撃者が使用するサーバからの応答とその他のサーバからの応答とを判別することにより、攻撃者が使用するサーバを発見することができる。
(トラヒック特徴情報抽出プログラム)
図3は、トラヒック特徴情報抽出プログラムによる情報処理がコンピュータ100を用いて具体的に実現されることを示す図である。図3に示す様に、コンピュータ100は、例えば、メモリ101と、CPU(Central Processing Unit)102と、ハードディスクドライブインタフェース103と、ディスクドライブインタフェース104と、シリアルポートインタフェース105と、ビデオアダプタ106と、ネットワークインタフェース107とを有し、これらの各部はバスCによって接続される。
図3は、トラヒック特徴情報抽出プログラムによる情報処理がコンピュータ100を用いて具体的に実現されることを示す図である。図3に示す様に、コンピュータ100は、例えば、メモリ101と、CPU(Central Processing Unit)102と、ハードディスクドライブインタフェース103と、ディスクドライブインタフェース104と、シリアルポートインタフェース105と、ビデオアダプタ106と、ネットワークインタフェース107とを有し、これらの各部はバスCによって接続される。
メモリ101は、図3に示す様に、ROM(Read Only Memory)101a及びRAM(Random Access Memory)101bを含む。ROM101aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース103は、図3に示す様に、ハードディスクドライブ108に接続される。ディスクドライブインタフェース104は、図3に示す様に、ディスクドライブ109に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ109に挿入される。シリアルポートインタフェース105は、図3に示す様に、例えばマウス110、キーボード111に接続される。ビデオアダプタ106は、図3に示す様に、例えばディスプレイ112に接続される。
ここで、図3に示す様に、ハードディスクドライブ108は、例えば、OS(Operating System)108a、アプリケーションプログラム108b、プログラムモジュール108c、プログラムデータ108d、ネットワークトラヒックデータ、トラヒック情報、特徴情報、シグネチャを記憶する。すなわち、開示の技術に係るトラヒック特徴情報抽出プログラムは、コンピュータ100によって実行される指令が記述されたプログラムモジュール108cとして、例えばハードディスクドライブ108に記憶される。具体的には、上記実施例で説明した入力部11、特徴情報抽出部12、クラスタリング部13、シグネチャ生成部14、出力部15の各々と同様の情報処理を実行する各種手順が記述されたプログラムモジュール108cが、ハードディスクドライブ108に記憶される。また、トラヒック特徴情報抽出プログラムによる情報処理に用いられるデータは、プログラムデータ108dとして、例えばハードディスクドライブ108に記憶される。そして、CPU102が、ハードディスクドライブ108に記憶されたプログラムモジュール108cやプログラムデータ108dを必要に応じてRAM101bに読み出し、上記各種手順を実行する。
なお、トラヒック特徴情報抽出プログラムに係るプログラムモジュール108cやプログラムデータ108dは、ハードディスクドライブ108に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ109等を介してCPU102によって読み出されてもよい。あるいは、トラヒック特徴情報抽出プログラムに係るプログラムモジュール108cやプログラムデータ108dは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース107を介してCPU102によって読み出されてもよい。
また、上述した受信トラヒック特徴抽出サーバ10の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的態様は、図示のものに限らず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することもできる。例えば、クラスタリング部13とシグネチャ生成部14、あるいは、頻出パターン分析部141と頻出文字列分析部142を1つの構成要素として統合してもよい。反対に、シグネチャ生成部14に関し、頻出パターン分析を行う部分と、頻出文字列分析を行う部分とに分散してもよい。更に、ネットワークトラヒックデータ、トラヒック情報、特徴情報、シグネチャを格納するハードディスクドライブ108を、受信トラヒック特徴抽出サーバ10の外部装置として、ネットワークやケーブル経由で接続する様にしてもよい。
10 受信トラヒック特徴抽出サーバ
11 入力部
11a ネットワークトラヒックデータ
12 特徴情報抽出部
13 クラスタリング部
14 シグネチャ生成部
15 出力部
15a シグネチャ
100 コンピュータ
101 メモリ
101a ROM
101b RAM
102 CPU
103 ハードディスクドライブインタフェース
104 ディスクドライブインタフェース
105 シリアルポートインタフェース
106 ビデオアダプタ
107 ネットワークインタフェース
108 ハードディスクドライブ
108a OS
108b アプリケーションプログラム
108c プログラムモジュール
108d プログラムデータ
109 ディスクドライブ
110 マウス
111 キーボード
112 ディスプレイ
141 頻出パターン分析部
142 頻出文字列分析部
11 入力部
11a ネットワークトラヒックデータ
12 特徴情報抽出部
13 クラスタリング部
14 シグネチャ生成部
15 出力部
15a シグネチャ
100 コンピュータ
101 メモリ
101a ROM
101b RAM
102 CPU
103 ハードディスクドライブインタフェース
104 ディスクドライブインタフェース
105 シリアルポートインタフェース
106 ビデオアダプタ
107 ネットワークインタフェース
108 ハードディスクドライブ
108a OS
108b アプリケーションプログラム
108c プログラムモジュール
108d プログラムデータ
109 ディスクドライブ
110 マウス
111 キーボード
112 ディスプレイ
141 頻出パターン分析部
142 頻出文字列分析部
Claims (8)
- ネットワークトラヒックデータから所定条件を満たすトラヒック情報を取得する取得部と、
取得された前記トラヒック情報から特徴情報を抽出する抽出部と、
抽出された前記特徴情報に基づき、前記トラヒック情報を分類する分類部と、
前記分類部により得られた分類結果を分析し、シグネチャを生成する生成部と、
生成された前記シグネチャの内、所定条件を満たすシグネチャを出力する出力部と
を有することを特徴とするトラヒック特徴情報抽出装置。 - 前記抽出部は、前記ネットワークトラヒックデータのヘッダ部分に含まれる情報、送信データ部分に含まれる情報、及び受信データ部分に含まれる情報の内、少なくとも1つに基づき、前記特徴情報を抽出することを特徴とする請求項1に記載のトラヒック特徴情報抽出装置。
- 前記分類部は、機械学習を用いて、前記トラヒック情報を分類することを特徴とする請求項1に記載のトラヒック特徴情報抽出装置。
- 前記生成部は、前記分類結果を分析する際、頻出パターン分析または頻出文字列分析により、前記シグネチャを生成することを特徴とする請求項1に記載のトラヒック特徴情報抽出装置。
- 前記頻出パターン分析は、前記ネットワークトラヒックデータのヘッダ部分に含まれる情報の分析であることを特徴とする請求項4に記載のトラヒック特徴情報抽出装置。
- 前記頻出パターン分析は、前記ネットワークトラヒックデータの送信データ部分に含まれる情報、及び受信データ部分に含まれる情報の分析であることを特徴とする請求項4に記載のトラヒック特徴情報抽出装置。
- トラヒック特徴情報抽出装置が、
ネットワークトラヒックデータから所定条件を満たすトラヒック情報を取得する取得工程と、
取得された前記トラヒック情報から特徴情報を抽出する抽出工程と、
抽出された前記特徴情報に基づき、前記トラヒック情報を分類する分類工程と、
前記分類工程にて得られた分類結果を分析し、シグネチャを生成する生成工程と、
生成された前記シグネチャの内、所定条件を満たすシグネチャを出力する出力工程と
を含むことを特徴とするトラヒック特徴情報抽出方法。 - ネットワークトラヒックデータから所定条件を満たすトラヒック情報を取得する取得ステップと、
取得された前記トラヒック情報から特徴情報を抽出する抽出ステップと、
抽出された前記特徴情報に基づき、前記トラヒック情報を分類する分類ステップと、
前記分類ステップにて得られた分類結果を分析し、シグネチャを生成する生成ステップと、
生成された前記シグネチャの内、所定条件を満たすシグネチャを出力する出力ステップと
をコンピュータに実行させるためのトラヒック特徴情報抽出プログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018031914A JP6749956B2 (ja) | 2018-02-26 | 2018-02-26 | トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム |
| US16/975,397 US11811800B2 (en) | 2018-02-26 | 2019-02-22 | Traffic feature information extraction device, traffic feature information extraction method, and traffic feature information extraction program |
| PCT/JP2019/006880 WO2019163963A1 (ja) | 2018-02-26 | 2019-02-22 | トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018031914A JP6749956B2 (ja) | 2018-02-26 | 2018-02-26 | トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019148882A true JP2019148882A (ja) | 2019-09-05 |
| JP6749956B2 JP6749956B2 (ja) | 2020-09-02 |
Family
ID=67687260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018031914A Active JP6749956B2 (ja) | 2018-02-26 | 2018-02-26 | トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11811800B2 (ja) |
| JP (1) | JP6749956B2 (ja) |
| WO (1) | WO2019163963A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017176934A1 (en) | 2016-04-05 | 2017-10-12 | Joinesty, Inc. | Apparatus and method for automated email and password creation and curation across multiple websites |
| US11129025B1 (en) | 2019-09-26 | 2021-09-21 | Joinesty, Inc. | Phone alert for unauthorized SMS |
| US11528285B2 (en) | 2019-12-16 | 2022-12-13 | Palo Alto Networks, Inc. | Label guided unsupervised learning based network-level application signature generation |
| US11895034B1 (en) | 2021-01-29 | 2024-02-06 | Joinesty, Inc. | Training and implementing a machine learning model to selectively restrict access to traffic |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016080232A1 (ja) * | 2014-11-18 | 2016-05-26 | 日本電信電話株式会社 | 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム |
| WO2017217301A1 (ja) * | 2016-06-13 | 2017-12-21 | 日本電信電話株式会社 | ログ分析装置、ログ分析方法およびログ分析プログラム |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100554566C (zh) * | 2006-08-04 | 2009-10-28 | 胡杰波 | 一种柜式干衣机 |
| US9300686B2 (en) * | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
| WO2015141560A1 (ja) | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム |
| WO2015149062A1 (en) * | 2014-03-28 | 2015-10-01 | Zitovault, Inc. | System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment |
| US9705914B2 (en) * | 2014-07-23 | 2017-07-11 | Cisco Technology, Inc. | Signature creation for unknown attacks |
| TW201728124A (zh) * | 2014-09-16 | 2017-08-01 | 科勞簡尼克斯股份有限公司 | 以彈性地定義之通信網路控制器為基礎之網路控制、操作及管理 |
| US11438294B2 (en) * | 2014-09-24 | 2022-09-06 | Yahoo Assets Llc | System and method for auto-formatting messages based on learned message templates |
| US10027689B1 (en) * | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
| US10338191B2 (en) * | 2014-10-30 | 2019-07-02 | Bastille Networks, Inc. | Sensor mesh and signal transmission architectures for electromagnetic signature analysis |
| EP3387517A4 (en) * | 2015-12-07 | 2019-05-15 | Prismo Systems Inc. | SYSTEMS AND METHODS FOR DETECTING AND RESPONDING TO SECURITY THREATS USING THE SCREENING OF APPLICATION AND CONNECTION EXECUTION LINES |
| US10832168B2 (en) * | 2017-01-10 | 2020-11-10 | Crowdstrike, Inc. | Computational modeling and classification of data streams |
| US10826934B2 (en) * | 2017-01-10 | 2020-11-03 | Crowdstrike, Inc. | Validation-based determination of computational models |
| US10984452B2 (en) * | 2017-07-13 | 2021-04-20 | International Business Machines Corporation | User/group servicing based on deep network analysis |
| US11663067B2 (en) * | 2017-12-15 | 2023-05-30 | International Business Machines Corporation | Computerized high-speed anomaly detection |
| US11347707B2 (en) * | 2019-01-22 | 2022-05-31 | Commvault Systems, Inc. | File indexing for virtual machine backups based on using live browse features |
| US11184378B2 (en) * | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Scanner probe detection |
-
2018
- 2018-02-26 JP JP2018031914A patent/JP6749956B2/ja active Active
-
2019
- 2019-02-22 US US16/975,397 patent/US11811800B2/en active Active
- 2019-02-22 WO PCT/JP2019/006880 patent/WO2019163963A1/ja active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016080232A1 (ja) * | 2014-11-18 | 2016-05-26 | 日本電信電話株式会社 | 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム |
| WO2017217301A1 (ja) * | 2016-06-13 | 2017-12-21 | 日本電信電話株式会社 | ログ分析装置、ログ分析方法およびログ分析プログラム |
Non-Patent Citations (1)
| Title |
|---|
| 重松邦彦他: "マルウェアが生成する不正パケットの分析によるシグネチャファイル自動生成機構の設計と実装", 第73回(平成23年)全国大会講演論文集(3) ネットワーク セキュリティ, JPN6020016246, 2 March 2011 (2011-03-02), pages 3 - 487, ISSN: 0004265870 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200404009A1 (en) | 2020-12-24 |
| JP6749956B2 (ja) | 2020-09-02 |
| US11811800B2 (en) | 2023-11-07 |
| WO2019163963A1 (ja) | 2019-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2019163963A1 (ja) | トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム | |
| CN109145600B (zh) | 使用静态分析元素检测恶意文件的系统和方法 | |
| US9349006B2 (en) | Method and device for program identification based on machine learning | |
| US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
| US8220048B2 (en) | Network intrusion detector with combined protocol analyses, normalization and matching | |
| US9253208B1 (en) | System and method for automated phishing detection rule evolution | |
| US8401982B1 (en) | Using sequencing and timing information of behavior events in machine learning to detect malware | |
| US11212297B2 (en) | Access classification device, access classification method, and recording medium | |
| US11470097B2 (en) | Profile generation device, attack detection device, profile generation method, and profile generation computer program | |
| EP3547121B1 (en) | Combining device, combining method and combining program | |
| US11797668B2 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
| WO2018159010A1 (ja) | 選択装置、選択方法及び選択プログラム | |
| EP3287909B1 (en) | Access classification device, access classification method, and access classification program | |
| US20160219068A1 (en) | Method and apparatus for automatically identifying signature of malicious traffic using latent dirichlet allocation | |
| JP6674036B2 (ja) | 分類装置、分類方法及び分類プログラム | |
| US11206277B1 (en) | Method and apparatus for detecting abnormal behavior in network | |
| CN113810342B (zh) | 一种入侵检测方法、装置、设备、介质 | |
| US20220237238A1 (en) | Training device, determination device, training method, determination method, training method, and determination program | |
| US8289854B1 (en) | System, method, and computer program product for analyzing a protocol utilizing a state machine based on a token determined utilizing another state machine | |
| JP7131704B2 (ja) | 抽出装置、抽出方法及び抽出プログラム | |
| CN115086068B (zh) | 一种网络入侵检测方法和装置 | |
| US20230315848A1 (en) | Forensic analysis on consistent system footprints |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200225 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200526 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200727 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200811 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200812 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6749956 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |