JP2021175095A - 情報処理装置及び情報処理プログラム - Google Patents
情報処理装置及び情報処理プログラム Download PDFInfo
- Publication number
- JP2021175095A JP2021175095A JP2020077997A JP2020077997A JP2021175095A JP 2021175095 A JP2021175095 A JP 2021175095A JP 2020077997 A JP2020077997 A JP 2020077997A JP 2020077997 A JP2020077997 A JP 2020077997A JP 2021175095 A JP2021175095 A JP 2021175095A
- Authority
- JP
- Japan
- Prior art keywords
- connection destination
- destination host
- domain name
- address
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims description 21
- 238000012549 training Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 abstract description 57
- 238000004891 communication Methods 0.000 abstract description 46
- 238000000034 method Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 6
- 238000007781 pre-processing Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 4
- 230000002411 adverse Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 206010028980 Neoplasm Diseases 0.000 description 2
- 201000011510 cancer Diseases 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000036210 malignancy Effects 0.000 description 2
- 230000003211 malignant effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/149—Network analysis or design for prediction of maintenance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】未知の接続先ホストの脅威の有無を検出する。【解決手段】ネットワーク装置16は、通信経路において接続元端末12と接続先ホスト14との間に設けられる。セキュリティサーバ24の学習処理部38は、ネットワーク装置16から受信した通信ログ16aに基づいて、接続先ホスト14を示すドメイン名及びIPアドレス、当該ドメイン名を管理するネームサーバ20を示す情報、並びに、当該接続先ホスト14の脅威の有無を学習データとして学習器34を学習させる。接続先判定部40は、新たに接続元端末12が通信しようとしている接続先ホスト14を示す新規のドメイン名及びIPアドレス、並びに当該新規のドメイン名を管理するネームサーバ20を示す情報を学習済みの学習器34に入力し、学習器34の出力に基づいて、当該接続先ホスト14の脅威の有無を判定する。【選択図】図2
Description
本発明は、情報処理装置及び情報処理プログラムに関する。
従来、インターネットなどの通信回線を介して接続元端末から接続先ホストにアクセスする際に、当該接続先ホストの脅威の有無を判定することが提案されている。脅威が有る接続先ホストとは、例えば、マルウェアなどの悪意のあるソフトウェアを接続元端末に送り付けるなど、接続元端末に対して不当に悪影響を及ぼす(あるいはその可能性がある)ホストを意味する。
例えば、特許文献1には、対象通信先の脅威度(悪性度)を算出する装置であって、悪性又は良性であることが既知の既知通信先及び対象通信先についての、良性通信先リスト及び悪性通信先リストへの掲載の有無の時間変化に基づいて、既知通信先及び対象通信先の特徴情報を抽出し、当該特徴情報に基づいて対象通信先の悪性度を算出する装置が開示されている。
ところで、従来における接続先ホストの脅威の有無を判定する装置においては、脅威の有無を判定する装置にとって既知の接続先ホストに関する脅威の有無を判定していた。換言すれば、従来、脅威の有無を判定する装置がドメイン名やIPアドレスを把握している接続先ホストの脅威の有無を判定していた。一方、脅威を検出する装置にとって未知の接続先ホストの脅威の有無を検出することは、従来困難であった。
本発明の目的は、未知の接続先ホストの脅威の有無を検出することにある。
請求項1に係る発明は、プロセッサを備え、前記プロセッサは、接続先ホストを示すドメイン名及びIPアドレス、当該ドメイン名を管理するネームサーバを示す情報、並びに、当該接続先ホストの脅威の有無を学習データとし、ドメイン名、IPアドレス、及び、当該ドメイン名を管理するネームサーバを示す情報が入力されたときに、当該ドメイン名及び当該IPアドレスが示す接続先ホストの脅威の有無を出力するように学習された学習器に、新規のドメイン名及びIPアドレス、並びに当該新規のドメイン名を管理するネームサーバを示す情報を入力することで、当該新規のドメイン名及びIPアドレスが示す接続先ホストの脅威の有無を判定する、ことを特徴とする情報処理装置である。
請求項2に係る発明は、前記学習器は、さらに、前記接続先ホストのIPアドレスの保有国を示す情報を含む前記学習データを用いて学習され、前記プロセッサは、さらに、新規のIPアドレスの保有国を示す情報を前記学習器に入力する、ことを特徴とする請求項1に記載の情報処理装置である。
請求項3に係る発明は、前記学習器は、さらに、前記接続先ホストのIPアドレスのネットワーク名を含む前記学習データを用いて学習され、前記プロセッサは、さらに、新規のIPアドレスのネットワーク名を前記学習器に入力する、ことを特徴とする請求項1又は2に記載の情報処理装置である。
請求項4に係る発明は、前記学習器は、前記接続先ホストのIPアドレスのホストを表す部分がN進数表現(Nは任意)に変換され、当該N進数表現が複数の部分に区分けされ、各部分が辞書化された前記接続先ホストのIPアドレスを含む前記学習データを用いて学習され、前記プロセッサは、前記新規のIPアドレスのホストを表す部分をN進数表現に変換し、当該N進数表現を複数の部分に区分けし、各部分を辞書化した前記新規のIPアドレスを学習済みの前記学習器に入力させる、ことを特徴とする請求項1から3のいずれか1項に記載の情報処理装置である。
請求項5に係る発明は、プロセッサを備え、前記プロセッサは、接続先ホストを示すドメイン名、及び、当該接続先ホストの脅威の有無を学習データとし、前記ドメイン名におけるラベルの位置、及び、前記ラベルの前又は後に位置する他のラベルの少なくとも一つを考慮しつつドメイン名が入力されたときに当該ドメイン名が示す接続先ホストの脅威の有無を出力するように学習された学習器に、新規のドメイン名を入力することで、新規のドメイン名が示す接続先ホストの脅威の有無を判定する、ことを特徴とする情報処理装置である。
請求項6に係る発明は、コンピュータに、接続先ホストを示すドメイン名及びIPアドレス、当該ドメイン名を管理するネームサーバを示す情報、並びに、当該接続先ホストの脅威の有無を学習データとし、ドメイン名、IPアドレス、及び、当該ドメイン名を管理するネームサーバを示す情報が入力されたときに、当該ドメイン名及び当該IPアドレスが示す接続先ホストの脅威の有無を出力するように学習された学習器に、新規のドメイン名及びIPアドレス、並びに当該新規のドメイン名を管理するネームサーバを示す情報を入力させることで、当該新規のドメイン名及びIPアドレスが示す接続先ホストの脅威の有無を判定させる、ことを特徴とする情報処理プログラムである。
請求項7に係る発明は、コンピュータに、接続先ホストを示すドメイン名、及び、当該接続先ホストの脅威の有無を学習データとし、前記ドメイン名におけるラベルの位置、及び、前記ラベルの前又は後に位置する他のラベルの少なくとも一つを考慮しつつドメイン名が入力されたときに当該ドメイン名が示す接続先ホストの脅威の有無を出力するように学習された学習器に、新規のドメイン名を入力することで、新規のドメイン名が示す接続先ホストの脅威の有無を判定させる、ことを特徴とする情報処理プログラムである。
請求項2に係る発明は、前記学習器は、さらに、前記接続先ホストのIPアドレスの保有国を示す情報を含む前記学習データを用いて学習され、前記プロセッサは、さらに、新規のIPアドレスの保有国を示す情報を前記学習器に入力する、ことを特徴とする請求項1に記載の情報処理装置である。
請求項3に係る発明は、前記学習器は、さらに、前記接続先ホストのIPアドレスのネットワーク名を含む前記学習データを用いて学習され、前記プロセッサは、さらに、新規のIPアドレスのネットワーク名を前記学習器に入力する、ことを特徴とする請求項1又は2に記載の情報処理装置である。
請求項4に係る発明は、前記学習器は、前記接続先ホストのIPアドレスのホストを表す部分がN進数表現(Nは任意)に変換され、当該N進数表現が複数の部分に区分けされ、各部分が辞書化された前記接続先ホストのIPアドレスを含む前記学習データを用いて学習され、前記プロセッサは、前記新規のIPアドレスのホストを表す部分をN進数表現に変換し、当該N進数表現を複数の部分に区分けし、各部分を辞書化した前記新規のIPアドレスを学習済みの前記学習器に入力させる、ことを特徴とする請求項1から3のいずれか1項に記載の情報処理装置である。
請求項5に係る発明は、プロセッサを備え、前記プロセッサは、接続先ホストを示すドメイン名、及び、当該接続先ホストの脅威の有無を学習データとし、前記ドメイン名におけるラベルの位置、及び、前記ラベルの前又は後に位置する他のラベルの少なくとも一つを考慮しつつドメイン名が入力されたときに当該ドメイン名が示す接続先ホストの脅威の有無を出力するように学習された学習器に、新規のドメイン名を入力することで、新規のドメイン名が示す接続先ホストの脅威の有無を判定する、ことを特徴とする情報処理装置である。
請求項6に係る発明は、コンピュータに、接続先ホストを示すドメイン名及びIPアドレス、当該ドメイン名を管理するネームサーバを示す情報、並びに、当該接続先ホストの脅威の有無を学習データとし、ドメイン名、IPアドレス、及び、当該ドメイン名を管理するネームサーバを示す情報が入力されたときに、当該ドメイン名及び当該IPアドレスが示す接続先ホストの脅威の有無を出力するように学習された学習器に、新規のドメイン名及びIPアドレス、並びに当該新規のドメイン名を管理するネームサーバを示す情報を入力させることで、当該新規のドメイン名及びIPアドレスが示す接続先ホストの脅威の有無を判定させる、ことを特徴とする情報処理プログラムである。
請求項7に係る発明は、コンピュータに、接続先ホストを示すドメイン名、及び、当該接続先ホストの脅威の有無を学習データとし、前記ドメイン名におけるラベルの位置、及び、前記ラベルの前又は後に位置する他のラベルの少なくとも一つを考慮しつつドメイン名が入力されたときに当該ドメイン名が示す接続先ホストの脅威の有無を出力するように学習された学習器に、新規のドメイン名を入力することで、新規のドメイン名が示す接続先ホストの脅威の有無を判定させる、ことを特徴とする情報処理プログラムである。
請求項1又は6に係る発明によれば、未知の接続先ホストの脅威の有無を検出することができる。
請求項2に係る発明によれば、接続先ホストを示すドメイン名及びIPアドレス、並びに当該ドメイン名を管理するネームサーバのIPアドレスに加え、接続先ホストのIPアドレスの保有国を考慮して、接続先ホストの脅威の有無を検出することができる。
請求項3に係る発明によれば、さらに、接続先ホストのIPアドレスのネットワーク名を考慮して、接続先ホストの脅威の有無を検出することができる。
請求項4に係る発明によれば、IPアドレスの近似性を考慮して接続先ホストの脅威の有無を検出することができる。
請求項5又は7に係る発明によれば、脅威無しの接続先ホストのドメイン名に使用されているラベルと同一のラベルが脅威有りの接続先ホストに用いられていた場合であっても、当該接続先ホストの脅威を検出することができる。
請求項2に係る発明によれば、接続先ホストを示すドメイン名及びIPアドレス、並びに当該ドメイン名を管理するネームサーバのIPアドレスに加え、接続先ホストのIPアドレスの保有国を考慮して、接続先ホストの脅威の有無を検出することができる。
請求項3に係る発明によれば、さらに、接続先ホストのIPアドレスのネットワーク名を考慮して、接続先ホストの脅威の有無を検出することができる。
請求項4に係る発明によれば、IPアドレスの近似性を考慮して接続先ホストの脅威の有無を検出することができる。
請求項5又は7に係る発明によれば、脅威無しの接続先ホストのドメイン名に使用されているラベルと同一のラベルが脅威有りの接続先ホストに用いられていた場合であっても、当該接続先ホストの脅威を検出することができる。
図1は、本実施形態に係るネットワークシステム10の構成概略図である。ネットワークシステム10は、1又は複数の接続元端末12、複数の接続先ホスト14、ネットワーク装置16、DNS(Domain Name System)サーバ18、複数のネームサーバ20、所有者情報サーバ22、及び、本発明に係る情報処理装置としてのセキュリティサーバ24を含んで構成されている。接続元端末12とネットワーク装置16は、LAN(Local Area Network)などのイントラネットにより通信可能に接続されている。また、接続先ホスト14、ネットワーク装置16、DNSサーバ18、ネームサーバ20、所有者情報サーバ22、及びセキュリティサーバ24は、インターネット及びLANなどを含む通信回線26により互いに通信可能に接続されている。
接続元端末12は、利用者(ユーザ)が使用する端末であり、例えばパーソナルコンピュータである。また、接続元端末12としては、タブレット端末などの携帯端末であってもよい。接続元端末12は、ネットワーク装置16と通信するため、あるいは、ネットワーク装置16を介して接続先ホスト14と通信するための通信インターフェース、ハードディスクやRAMなどから構成されるメモリ、液晶表示器などから構成されるディスプレイ、マウスやキーボードあるいはタッチパネルなどから構成される入力インターフェース、及び、CPUやマイクロコンピュータなどから構成されるプロセッサを含む。
接続先ホスト14は、例えば、1つのサーバ(例えばウェブサーバ)であってよく、通信回線26を介してアクセスしてきた装置に対して各種データ(例えばウェブページデータなど)を提供するものである。また、バーチャルホストと呼ばれる技術により、1つのサーバにおいて、仮想的に複数の接続先ホスト14が定義される場合もある。複数の接続先ホスト14の中には、接続元端末12に不当に悪影響を与える(例えばマルウェアなどを送り付ける)ような、脅威の有る接続先ホスト14が存在する。また、複数の接続先ホスト14の中には、接続元端末12がアクセスしたことのない接続先ホスト14も存在し得る。そのような接続先ホスト14の中にも脅威を有する接続先ホスト14が存在し得る。
ネットワーク装置16は、通信経路において接続元端末12と接続先ホスト14との間に介在する装置である。ネットワーク装置16は、接続元端末12が通信回線26を介して接続先ホスト14と通信する際におけるセキュリティの担保に関する処理を実行する。換言すれば、ネットワーク装置16は、脅威の有る接続先ホスト14から接続元端末12を守る働きをする。例えば、ネットワーク装置16は、接続先ホスト14から送られてくるデータ(例えばパケット)を検証し、当該データが不正データであると判断した際に、接続元端末12と接続先ホスト14との間の通信を遮断するファイアウォールあるいはIDS(Intrusion Prevention System;侵入検知システム)を備えている。ここで、不正データとは、接続元端末12に不当な悪影響を生じさせる(あるいはその可能性がある)データである。
特に、本実施形態では、ネットワーク装置16は、接続元端末12においてユーザが接続先ホスト14のURL(Uniform Resource Locator)を指定した場合における、当該URLに基づく接続元端末12と接続先ホスト14との間の通信を監視して、接続先ホスト14から送信されてくる不正データを検出する。URLは、主に通信プロトコル(例えばハイパーテキスト・トランスファー・プロトコルなど)を表すスキーム名(例えば「http://」など)、及び、接続先ホスト14を示すドメイン名としてのFQDN(Fully Qualified Domain Name;例えば「www.fujixerox.co.jp」など)を含んで構成される。FQDNは文字列から構成される。なお、本明細書においては「文字」には「数字」が含まれるものとする。
本実施形態では、ネットワーク装置16は、複数の接続元端末12に接続され、当該各接続元端末12が通信回線26を介して接続先ホスト14と通信を行う際におけるセキュリティの担保に関する処理を実行する。
ユーザが接続元端末12において接続先ホスト14のURLを指定すると、接続元端末12は当該URLをネットワーク装置16に送信する。ネットワーク装置16は、当該URLに含まれるFQDNに基づいて当該接続先ホスト14のIPアドレスを取得(すなわち名前解決)すべく、当該FQDNをDNSサーバ18に送信する。
DNSサーバ18は、ドメイン名とIPアドレスの相互変換処理を行う装置である。DNSサーバ18は、ネットワーク装置16から受信したFQDNについて名前解決処理を行い、当該FQDNが示す接続先ホスト14のIPアドレスを特定する。本実施形態におけるDNSサーバ18は、いわゆるフルサービスリゾルバであり、複数のネームサーバ20との協働により名前解決処理を実行する。
各ネームサーバ20は、いわゆる権威サーバであり、それぞれ特定の範囲のドメイン名を管理する装置である。例えば、あるネームサーバ20は「xxx.net」というドメイン名を管理し、また、他のネームサーバ20は「xxx.org」というドメイン名を管理する、の如くである。具体的には、各ネームサーバ20は、自装置が管理する範囲のドメイン名に関する情報を含むゾーンファイルと呼ばれるファイルを有しており、当該ゾーンファイルを参照することで、自装置が管理しているドメイン名の範囲を把握する。
DNSサーバ18は、ネットワーク装置16から受信したFQDNを複数のネームサーバ20に送信する。FQDNを受信した複数のネームサーバ20のうち、当該FQDNを管理しているネームサーバ20は、自装置のゾーンファイルを参照して当該FQDNに対応するIPアドレスを特定し、特定したIPアドレスをDNSサーバ18に送信する。そして、DNSサーバ18は、ネームサーバ20から受信したIPアドレス(すなわち接続先ホスト14のIPアドレス)、及び、当該FQDNを管理している(すなわち当該IPアドレスをDNSサーバ18に送信した)ネームサーバ20のIPアドレスをネットワーク装置16に送信する。
なお、DNSサーバ18と、少なくとも一部のネームサーバ20とが一体となっていてもよい。その場合、DNSサーバ18自体が、ある範囲のドメイン名を管理することになり、すなわち、ある範囲のドメイン名の情報を含むゾーンファイルをDNSサーバ18が有することになる。
ネットワーク装置16は、接続先ホスト14のIPアドレスをDNSサーバ18から受信すると、当該IPアドレスに基づいて接続先ホスト14にアクセスする。換言すれば、接続先ホスト14への通信要求、あるいは、データの送信要求を送信する。ネットワーク装置16からアクセスを受けた接続先ホスト14は、当該アクセスに応じて所定のデータ(例えばウェブページデータ)をネットワーク装置16に送信する。
ネットワーク装置16は、接続先ホスト14から受信したデータ(例えばパケット)が不正データであるか否かをファイアウォールあるいはIPSなどによって判定する。当該データが不正データでないと判定した場合、ネットワーク装置16は当該データを接続元端末12に送信する。これにより、接続元端末12と接続先ホスト14との間の通信が許可される。一方、当該データが不正データであると判定した場合、ネットワーク装置16は当該データを遮断し、すなわち、接続元端末12と接続先ホスト14との間の通信を禁止し、接続先ホスト14との間の通信が禁止されたことを接続元端末12に通知する。
当該判定の結果が通信ログ16aとしてネットワーク装置16のメモリに記憶される。接続先ホスト14からのデータが不正データであるか否かに関わらず、接続元端末12と接続先ホスト14との間における通信が行われる度に、上記判定の結果が通信ログ16aとして蓄積記憶されていく。通信ログ16aには、これに限られるものではないが、例えば、判定時刻(通信時刻)、接続元端末12のIPアドレス、接続先ホスト14のFQDN及びIPアドレス、当該FQDNを管理するネームサーバ20の名前(ネームサーバ名)及びIPアドレス、並びに、当該接続先ホスト14の脅威の有無(不正データの検出有無)が含まれ、これらが互いに関連付けられている。また、接続先ホスト14から受信したデータが不正データであるとネットワーク装置16が判定した場合、当該通信に対応する通信ログ16aには、さらに、不正データと判定した理由(例えばマルウェア検出など)や、検出したコンピュータウィルスの名称などが含まれる。
所有者情報サーバ22は、複数の接続先ホスト14のドメイン名又はIPアドレスの所有者などを示す所有者情報を保持している装置である。所望のドメイン名又はIPアドレスをクエリとして所有者情報サーバ22に送信することで、誰でも、当該クエリに係るドメイン名又はIPアドレスの所有者に関する所有者情報を取得することができる。所有者情報サーバ22が提供するサービスは、Whoisと呼ばれる。
所有者情報サーバ22は、所有者情報として、ドメイン名又はIPアドレスの所有者の名前のみならず、当該IPアドレスの保有国、及び、当該IPアドレスのネットワーク名を示す情報を保持している。ネットワーク名とは、地域インターネットレジストリ(IPアドレスの管理を行う組織)が所有者に対してIPアドレスを付与する際に、当該IPアドレスに付与されるユニークな(すなわち一意に識別可能な)識別子である。所有者が複数のIPアドレスを所望した場合は、当該複数のIPアドレスには同一の(ただし当該複数のIPアドレス以外のIPアドレスに対してはユニークである)ネットワーク名が付される。
セキュリティサーバ24は、サーバコンピュータなどから構成される。セキュリティサーバ24は、接続元端末12において指定されたURLが示す接続先ホスト14の脅威の有無を判定する。特に、セキュリティサーバ24は、接続元端末12にとって未知の接続先ホスト14の脅威の有無を判定する。ここで、接続元端末12にとって未知の接続先ホスト14とは、接続元端末12が過去にアクセスしたことがなく、ネットワーク装置16が当該接続先ホスト14から送られてきたデータが不正データであるか否かを過去に判定したことがない接続先ホスト14を意味する。
図2は、セキュリティサーバ24の構成概略図である。以下、図2を参照しながら、セキュリティサーバ24の各部について説明する。
通信インターフェース30は、例えばネットワークアダプタなどを含んで構成される。通信インターフェース30は、通信回線26を介して他の装置(例えばネットワーク装置16など)と通信する機能を発揮する。
メモリ32は、例えばハードディスク、SSD(Solid State Drive)、ROM、あるいはRAMなどを含んで構成されている。メモリ32は、後述のプロセッサ36とは別に設けられてもよいし、少なくとも一部がプロセッサ36の内部に設けられていてもよい。メモリ32には、セキュリティサーバ24の各部を動作させるための情報処理プログラムが記憶される。また、図2に示す通り、メモリ32には学習器34が記憶される。
学習器34は、例えばディープニューラルネットワークなどのモデルによって構成される。学習器34の詳細については、後述の学習処理部38の処理と共に後述する。なお、学習器34の実体は、学習器34の構造を定義するプログラム、学習器34に関する各種パラメータ、及び、入力データに対して処理を行うための処理実行プログラムなどである。したがって、メモリ32に学習器34が記憶されるとは、上記プログラムや各種パラメータがメモリ32に記憶されることを意味する。
プロセッサ36は、広義的な処理装置を指し、汎用的な処理装置(例えばCPU(Central Processing Unit)など)、及び、専用の処理装置(例えばGPU(Graphics Processing Unit)、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)、あるいは、プログラマブル論理デバイスなど)の少なくとも1つを含んで構成される。プロセッサ36としては、1つの処理装置によるものではなく、物理的に離れた位置に存在する複数の処理装置の協働により構成されるものであってもよい。図2に示す通り、プロセッサ36は、メモリ32に記憶された情報処理プログラムにより、学習処理部38、接続先判定部40、及び通知処理部42としての機能を発揮する。
学習処理部38は、ネットワーク装置16から受信した通信ログ16aに基づくデータを学習データとして用いて、学習器34を学習させる学習処理を行う。詳しくは、学習処理部38は、少なくとも接続先ホスト14(過去に接続元端末12がアクセスした接続先ホスト14)を示すドメイン名(本実施形態ではFQDN)及び当該接続先ホスト14の脅威の有無を学習データとして用いて学習器34の学習処理を行う。
図3に、本実施形態における学習処理部38による学習器34の学習処理の概念図が示されている。本実施形態では、学習処理部38は、接続先ホスト14を示すドメイン名及びIPアドレス、当該ドメイン名を管理するネームサーバ20を示す情報、並びに、当該接続先ホスト14の脅威の有無を学習データとする。具体的には、学習処理部38は、接続先ホスト14を示すFQDN及びIPアドレスと、当該FQDNを管理するネームサーバ20を示す情報とを学習器34に入力し、学習器34に当該接続先ホスト14の脅威の有無の予測を出力させ、出力された当該接続先ホスト14の脅威の有無の予測と、教師データである当該接続先ホスト14の脅威の有無(実績)との差分に基づいて、学習器34を学習させる。
学習処理部38が上述の学習処理を繰り返すことで、学習済みの学習器34は、接続先ホスト14のドメイン名及びIPアドレス、並びに当該ドメイン名を管理するネームサーバ20を示す情報を入力として、当該接続先ホスト14の脅威の有無を精度良く出力することができるようになる。
ここで、接続先ホスト14の脅威の有無を出力させるように学習器34を学習させるに当たり、接続先ホスト14を特定するための情報として、接続先ホスト14のIPアドレスのみを学習データとして用いることも考えられる。しかしながら、接続先ホスト14をIPアドレスのみで特定する場合、接続先ホスト14が、1つのIPアドレスに複数のドメイン名が割り当てられる名前ベースバーチャルホストである場合、IPアドレスのみでは接続先ホスト14を一意に特定できなくなってしまう。また、同じIPアドレスでも所有者が変わることで、当該IPアドレスが示す接続先ホスト14の脅威の有無が変わる場合も考えられる。これらの理由により、学習処理部38は、接続先ホスト14を特定するための情報として接続先ホスト14のドメイン名を学習データに含めている。
DGA(Domain Generation Algorithm)を利用して接続元端末12への不正アクセスを試みる接続先ホスト14の存在が想定できる。DGAは、ドメイン名を自動生成するアルゴリズムである。脅威の有る接続先ホスト14は、DGAを利用することで、接続元端末12への不正アクセスを試みる度に自己のドメイン名を変更することが可能となる。しかしながら、本実施形態においては、蓄積された通信ログ16aに基づいて、膨大な数の学習データ(接続先ホスト14のドメイン名含む)を用いて学習器34を学習可能であり、すなわち、DGAによって生成された種々のドメイン名を含む膨大な数の学習データを用いて学習器34を学習可能である。したがって、学習処理によって、学習器34がDGAによるドメイン名の自動生成の特性(換言すればDGAによって自動生成されたドメイン名の特徴)も学習することが期待され、学習済みの学習器34が、入力されたドメイン名がDGAにより生成されたものであるか否かを判定可能となることが期待される。これにより、学習済みの学習器34は、入力されたドメイン名がDGAによって生成されたものであるか否かにも基づいて、当該接続先ホスト14の脅威の有無を出力可能となり得る。
一方、本実施形態においては、学習データに含まれる接続先ホスト14を特定するための情報として、接続先ホスト14のIPアドレスも学習データとして用いられている。例えば脅威の有る接続先ホスト14が上述のDGAを利用している場合、当該接続先ホスト14のドメイン名が変更されるが、そのIPアドレスは変更されないならば、学習器34は、当該IPアドレスによって脅威のある接続先ホスト14を特定した上で学習することができる。すなわち、接続先ホスト14のIPアドレスを学習データに含めることで、DGAによってドメイン名が偽装されても、適切に接続先ホスト14を特定した上で学習することができる。
また、接続先ホスト14が名前ベースバーチャルホストである場合、上述のように、1つのIPアドレスには複数の接続先ホスト14が割り当てられる。しかしながら、接続先ホスト14のIPアドレスと、当該接続先ホスト14のドメイン名を管理するネームサーバ20を示す情報との組み合わせによって、接続先ホスト14を一意に特定し得る。なぜならば、同一IPアドレスに割り当てられた複数の接続先ホスト14(名前ベースバーチャルホスト)は、互いにドメイン名が異なることから、各接続先ホスト14の各ドメイン名を管理するネームサーバ20が互いに異なる場合が多い。したがって、接続先ホスト14のIPアドレスと、当該接続先ホスト14のドメイン名を管理するネームサーバを示す情報との組み合わせによって、接続先ホスト14を一意に特定することができる。
なお、1つのネームサーバ20に複数のIPアドレスが割り当てられている場合があることから、本実施形態では、学習データのバリエーションを増やす観点から、ネームサーバを示す情報としてネームサーバ20のIPアドレスを用いている。しかしながら、学習データのバリエーションが豊富である場合には、ネームサーバ20を示す情報としてネームサーバ名を用いるようにしてもよい。
さらに、脅威が有る接続先ホスト14のIPアドレスに近いIPアドレスが示す他の接続先ホスト14も脅威が有る場合が多い。特に、脅威が有る接続先ホスト14と同一のネットワークに属している他の接続先ホスト14も脅威が有る場合が多く、その場合、当該両接続先ホスト14のIPアドレスのネットワークを示す部分(IPv4ならネットワークアドレス)は同一であり、ホストを示す部分(IPv4ならホストアドレス)のみが異なることになる。例えば、「xxx.yyy.zzz.0」と「xxx.yyy.zzz.1」の如くである。このように、接続先ホスト14のIPアドレスによれば、学習器34は、脅威がある接続先ホスト14のIPアドレスとの関係に基づいて、入力されたIPアドレスの脅威の有無を予測することが可能となる。具体的には、脅威がある接続先ホスト14のIPアドレスに近いIPアドレスが示す他の接続先ホスト14は脅威がある場合が多いと予測することが可能となる。一方、接続先ホスト14のドメイン名については、1文字異なれば全く関連しない接続先ホスト14を示す場合があり、このような予測は困難である。
上述のように、接続先ホスト14を特定する情報として、接続先ホスト14のドメイン名を用いる場合とIPアドレスを用いた場合とでは、学習器34の学習処理において一長一短の特徴を有している。したがって、本実施形態においては、接続先ホスト14を特定する情報として、接続先ホスト14のドメイン名とIPアドレスの両方を用いることで、より学習処理の学習効率を向上させると共に、学習済みの学習器34の予測精度をより向上させることを可能としている。
また、学習処理部38は、さらに、接続先ホスト14のIPアドレスの保有国を示す情報を含む学習データを用いて学習器34を学習させてもよい。具体的には、学習処理部38は、所有者情報サーバ22に対して、通信ログ16aに含まれる接続先ホスト14のFQDNをクエリとして送信することで、接続先ホスト14のIPアドレスの保有国を取得し、当該保有国を示す情報を学習データに含める。接続先ホスト14のIPアドレスの保有国毎に、脅威が有る接続先ホスト14の数に差異があるならば、学習器34は、接続先ホスト14のIPアドレスの保有国に基づいて、当該接続先ホスト14の脅威の有無を予測することができるようになる。
また、学習処理部38は、さらに、接続先ホスト14のIPアドレスのネットワーク名を含む学習データを用いて学習器34を学習させてもよい。具体的には、学習処理部38は、所有者情報サーバ22に対して、通信ログ16aに含まれる接続先ホスト14のFQDNをクエリとして送信することで、接続先ホスト14のIPアドレスのネットワーク名を取得し、当該ネットワーク名を学習データに含める。悪意のある者が、地域インターネットレジストリに対して複数のIPアドレスを申請した場合、当該複数のIPアドレスには同一のネットワーク名が付与されることとなる。そして、同一のネットワーク名が付された当該複数のIPアドレスが示す複数の接続先ホスト14は、当該悪意のある者が管理するものとなり、いずれも脅威の有るものとなる場合が多いと言える。したがって、学習器34は、接続先ホスト14のIPアドレスのネットワーク名に基づいて、当該接続先ホスト14の脅威の有無を予測することができるようになる。具体的には、既に脅威が有ると判定された接続先ホスト14のIPアドレスと同一のネットワーク名が付されたIPアドレスが示す他の接続先ホスト14の脅威の有る可能性をより高く予測することができる。
学習処理部38は、上述の学習データを学習器34に入力するに先立って、学習データに対して前処理を施す。例えば、学習処理部38は、前処理として、各学習データを辞書化する辞書化処理を行う。学習器34は、学習データとして数字のみを認識可能となっているので、辞書化処理によって、文字で表される学習データを数値に変換する(辞書化する)。なお、接続先ホスト14及びネームサーバ20の各IPアドレスにおいては、各オクテットが複数の数字で構成される場合がある(例えば「101.xxx.・・・」など)ところ、各オクテットの個々の数字、例えば「1」、「0」、「1」などに意味があるのではなく、オクテット毎に区別された数字、例えば「101」に意味があるため、辞書化処理においては、1つのオクテット内において複数の数字をまとめ、まとめられた数字(例えば「101」)が1つの数値に変換される。
また、FQDNの辞書化処理においては、FQDNに含まれる特定の文字列を辞書化する場合、特定の文字列が特定の位置にある場合と、そうでない場合とで異なる数値に変換するようにしてもよい。例えば、FQDNの末尾に付される「.com」という文字列は商業組織用のドメインを表す意味を有しており、その他の位置(例えばFQDNの中程)にある「.com」とは異なる意味を有している。したがって、学習処理部38は、FQDNの末尾に付される特定の文字列(例えば「.com」)と、その他の位置にある当該特定の文字列に対して異なる数値に変換して学習器34に入力することで、その意味の差を学習器34に把握させる。
また、各IPアドレスの各オクテットは、一般的に10進数で表現されているところ、学習処理部38は、前処理として、当該IPアドレスの各オクテットをN進数表現(Nは任意)に変換するようにしてもよい。特に、学習処理部38は、各IPアドレスのホストを表す部分(IPv4ならホストアドレス)をN進数表現に変換する。本実施形態では、学習処理部38は、各IPアドレスのホストを表す部分を8進数表現に変換する。例えば、ある接続先ホスト14のIPアドレスのホストアドレスが「104(10進数)」である場合、これを8進数表現にすると「150」となり、ホストアドレスが「105(10進数)」である場合、これを8進数表現にすると「151」となる。
そして、学習処理部38は、N進数表現されたオクテットを複数の部分に区分けし、各部分を上述の辞書化処理によって数値化する。本実施形態では、8進数表現されたオクテットを10で割った商と余りをそれぞれ数値に変換する。これは、8進数表現されたオクテットの下位1桁とその上位の桁とに分けて、それぞれ数値に変換することになる。例えば、8進数表現の「150」及び「151」を例に取ると、それぞれの下位1桁の数字「0」、「1」を例えば数値「1」、「2」に変換し、その上位の桁の数字「15」を例えば数値「3」に変換する。そうすると、8進数表現の「150」は「31」に変換され、8進数表現の「151」は「32」に変換される。
10進数の2つのホストアドレス「104」と「105」をそれぞれ数値化した場合、そのアドレスの近さが変換後の数値に表されない場合があるところ、本実施形態のように、N進数表現したオクテットを複数の部分に区分けし各部分を数値に変換することで、変換後の数値により、IPアドレスの近さ(近似性)を表現することができる。具体的には、8進数表現において共通する部分「15」が同一の数値に変換されるから、当該共通部分に基づいて、学習器34が両IPアドレスの近似性を把握することができる。このように近似性が表現された接続先ホスト14のIPアドレスを学習器34に入力することで、学習器34は、互いに近似するIPアドレスをより考慮して学習することが可能となる。
さらに、学習処理部38は、前処理として、FQDNに含まれる特定の文字列を学習データから除外する処理を実行する。例えば、FQDNに含まれる「www」という文字列は、脅威の有無に関わらず、多数の接続先ホスト14のFQDNに含まれる文字列である。学習器34を学習させるにあたり、このような文字列を考慮しても学習処理にあまり寄与しないばかりか、かえって学習効率が低下するおそれもある。したがって、前処理において、FQDNから「www」のような特定の文字列は除外される。このように、学習器34に入力されるドメイン名とは、FQDNの全てではなく、FQDNの一部であってもよい。
また、学習処理部38は、上述の学習データを用いて学習器34の学習処理を行うにあたり、接続先ホスト14のFQDNにおけるラベル(「.(ピリオド)」で区切られた部分の文字列)の位置、及び、ラベルの前又は後に位置する他のラベルの少なくとも一つを考慮しつつ、学習器34を学習させるようにしてもよい。
具体的には、学習処理部38は、学習処理時において、ラベルと、FQDNにおける特定の位置との組み合わせを条件として学習器34に与える。本実施形態では、学習処理部38は、さらに、ラベル、FQDNにおける特定の位置、当該ラベルの前後にある他のラベルとの組み合わせを条件として学習器34に与える。
例えば、ラベルとして「fujixerox」、特定の位置として「左から2番目及び右から3番目」、当該ラベルの前のラベルとして「www」、当該ラベルの後のラベルとして「co」が条件として規定されている場合であって、脅威が無いという教師データと共に、FQDN「www.fujixerox.co.jp」が学習データとして学習器34に入力された場合を考える。この場合、当該FQDNは上記条件に合致し、且つ、当該FQDNは脅威が無いことから、学習器34は上記条件に合致する場合には、脅威が無い可能性が高くなるように学習することができる。一方、上記の条件が規定されている場合であって、脅威が有るという教師データと共に、FQDN「www.fujixerox.net.xxx.yyy.org」が学習データとして学習器34に入力された場合を考える。この場合、当該FQDNは上記条件に合致せず、且つ、当該FQDNは脅威が有ることから、学習器34は上記条件に合致しない場合には、脅威が有る可能性が高くなるように学習することができる。
また、接続先ホスト14のFQDNにおけるラベルの位置、及び、当該ラベルの前又は後に位置する他のラベルの少なくとも一つを考慮しつつ学習器34を学習させるための方法として、学習処理部38は、上述の辞書化処理において、ラベルの位置、及び、当該ラベルの前又は後に位置する他のラベルの少なくとも一つに応じて、同一のラベルを異なる数値に変換するようにしてもよい。例えば、上述のFQDN「www.fujixerox.co.jp」における「fujixerox」と、FQDN「www.fujixerox.net.xxx.yyy.org」における「fujixerox」とを互いに異なる数値に変換するようにしてもよい。
上記例では、ラベル「fujixerox」について見たが、学習処理部38は、その他のラベル(例えば、「www」、「co」、「jp」)に関する条件を学習器34に与えてもよい。
学習器34が十分に学習されると、セキュリティサーバ24において、未知の接続先ホスト14の脅威の有無を判定する準備が完了する。
接続元端末12が新たに接続先ホスト14との通信を開始する場合、当該接続先ホスト14のURLが接続元端末12からネットワーク装置16に送信される。当該接続先ホスト14は、接続元端末12が過去にアクセスしたことない未知の接続先ホスト14であってよい。ネットワーク装置16は、当該URLに基づいて、上述の処理によって、接続先ホスト14の新規のドメイン名及びIPアドレス、並びに、当該新規のドメイン名を管理するネームサーバ20を示す情報を取得し、セキュリティサーバ24に送信する。
セキュリティサーバ24の接続先判定部40は、ネットワーク装置16が接続先ホスト14にアクセスするに先立って、ネットワーク装置16から送信されてくる、接続先ホスト14を示す新規のドメイン名及びIPアドレス、並びに当該新規のドメイン名を管理するネームサーバ20を示す情報を学習済みの学習器34に入力し、学習器34の出力に基づいて、当該接続先ホスト14の脅威の有無を判定する。接続先判定部40は、学習処理部38と同様に、上述の各入力データに対して辞書化処理を行った上で、各入力データを学習器34に入力する。
また、接続先ホスト14のIPアドレスの保有国を含む学習データを用いて学習器34が学習されている場合、接続先判定部40は、所有者情報サーバ22から取得した、新規のIPアドレスの保有国を示す情報をさらに学習器34に入力する。また、接続先ホスト14のIPアドレスのネットワーク名を含む学習データを用いて学習器34が学習されている場合、接続先判定部40は、所有者情報サーバ22から取得した、新規のIPアドレスのネットワーク名をさらに学習器34に入力する。
さらに、接続先ホスト14のIPアドレスがN進数表現され、N進数表現したオクテットを複数の部分に区分けされ、各部分がそれぞれ数値に変換された接続先ホスト14のIPアドレスを含む学習データを用いて学習器34が学習されている場合、接続先判定部40は、所有者情報サーバ22から取得した新規のIPアドレスをN進数表現し、N進数表現したオクテットを複数の部分に区分けし、各部分をそれぞれ数値に変換した(辞書化した)新規のIPアドレスを学習器34に入力する。
学習済みの学習器34を用いて接続先ホスト14の脅威の有無を判定することで、未知の接続先ホスト14の脅威の有無をも判定することができる。しかも、上述のように、学習器34の学習に用いる学習データの選別、学習データに対する前処理、あるいは、学習処理時における条件の付与などを行うことによって、学習器34の判定精度が高められるから、本実施形態によれば、未知の接続先ホスト14の脅威の有無を高精度に判定することができる。
接続先判定部40は、接続先ホスト14に脅威が無いと判定した場合には、ネットワーク装置16に対して、当該接続先ホスト14へのアクセスを許可し、すなわち、接続元端末12と当該接続先ホスト14との間の通信を許可する。一方、接続先判定部40は、接続先ホスト14に脅威が有ると判定した場合には、ネットワーク装置16に対して、当該接続先ホスト14へのアクセスを禁止し、すなわち、接続元端末12と当該接続先ホスト14との間の通信を禁止する。
通知処理部42は、接続先判定部40は、接続先ホスト14に脅威が有ると判定した場合には、ネットワーク装置16を介して、接続元端末12に対して、当該接続先ホスト14との間の通信が禁止されたこと、すなわち、接続先ホスト14に脅威があることを通知する。
以上、本発明に係る実施形態を説明したが、本発明は上記実施形態に限られるものではなく、本発明の趣旨を逸脱しない限りにおいて種々の変更が可能である。
例えば、本実施形態では、学習器34はセキュリティサーバ24の学習処理部38により学習されていたが、学習器34は別の装置において学習され、学習済みの学習器34がメモリ32に記憶されてもよい。
10 ネットワークシステム、12 接続元端末、14 接続先ホスト、16 ネットワーク装置、16a 通信ログ、18 DNSサーバ、20 ネームサーバ、22 所有者情報サーバ、24 セキュリティサーバ、26 通信回線、30 通信インターフェース、32 メモリ、34 学習器、36 プロセッサ、38 学習処理部、40 接続先判定部、42 通知処理部。
Claims (7)
- プロセッサを備え、
前記プロセッサは、
接続先ホストを示すドメイン名及びIPアドレス、当該ドメイン名を管理するネームサーバを示す情報、並びに、当該接続先ホストの脅威の有無を学習データとし、ドメイン名、IPアドレス、及び、当該ドメイン名を管理するネームサーバを示す情報が入力されたときに、当該ドメイン名及び当該IPアドレスが示す接続先ホストの脅威の有無を出力するように学習された学習器に、新規のドメイン名及びIPアドレス、並びに当該新規のドメイン名を管理するネームサーバを示す情報を入力することで、当該新規のドメイン名及びIPアドレスが示す接続先ホストの脅威の有無を判定する、
ことを特徴とする情報処理装置。 - 前記学習器は、さらに、前記接続先ホストのIPアドレスの保有国を示す情報を含む前記学習データを用いて学習され、
前記プロセッサは、さらに、新規のIPアドレスの保有国を示す情報を前記学習器に入力する、
ことを特徴とする請求項1に記載の情報処理装置。 - 前記学習器は、さらに、前記接続先ホストのIPアドレスのネットワーク名を含む前記学習データを用いて学習され、
前記プロセッサは、さらに、新規のIPアドレスのネットワーク名を前記学習器に入力する、
ことを特徴とする請求項1又は2に記載の情報処理装置。 - 前記学習器は、前記接続先ホストのIPアドレスのホストを表す部分がN進数表現(Nは任意)に変換され、当該N進数表現が複数の部分に区分けされ、各部分が辞書化された前記接続先ホストのIPアドレスを含む前記学習データを用いて学習され、
前記プロセッサは、前記新規のIPアドレスのホストを表す部分をN進数表現に変換し、当該N進数表現を複数の部分に区分けし、各部分を辞書化した前記新規のIPアドレスを学習済みの前記学習器に入力させる、
ことを特徴とする請求項1から3のいずれか1項に記載の情報処理装置。 - プロセッサを備え、
前記プロセッサは、
接続先ホストを示すドメイン名、及び、当該接続先ホストの脅威の有無を学習データとし、前記ドメイン名におけるラベルの位置、及び、前記ラベルの前又は後に位置する他のラベルの少なくとも一つを考慮しつつドメイン名が入力されたときに当該ドメイン名が示す接続先ホストの脅威の有無を出力するように学習された学習器に、新規のドメイン名を入力することで、新規のドメイン名が示す接続先ホストの脅威の有無を判定する、
ことを特徴とする情報処理装置。 - コンピュータに、
接続先ホストを示すドメイン名及びIPアドレス、当該ドメイン名を管理するネームサーバを示す情報、並びに、当該接続先ホストの脅威の有無を学習データとし、ドメイン名、IPアドレス、及び、当該ドメイン名を管理するネームサーバを示す情報が入力されたときに、当該ドメイン名及び当該IPアドレスが示す接続先ホストの脅威の有無を出力するように学習された学習器に、新規のドメイン名及びIPアドレス、並びに当該新規のドメイン名を管理するネームサーバを示す情報を入力させることで、当該新規のドメイン名及びIPアドレスが示す接続先ホストの脅威の有無を判定させる、
ことを特徴とする情報処理プログラム。 - コンピュータに、
接続先ホストを示すドメイン名、及び、当該接続先ホストの脅威の有無を学習データとし、前記ドメイン名におけるラベルの位置、及び、前記ラベルの前又は後に位置する他のラベルの少なくとも一つを考慮しつつドメイン名が入力されたときに当該ドメイン名が示す接続先ホストの脅威の有無を出力するように学習された学習器に、新規のドメイン名を入力することで、新規のドメイン名が示す接続先ホストの脅威の有無を判定させる、
ことを特徴とする情報処理プログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020077997A JP2021175095A (ja) | 2020-04-27 | 2020-04-27 | 情報処理装置及び情報処理プログラム |
US17/102,445 US20210336988A1 (en) | 2020-04-27 | 2020-11-24 | Information processing apparatus and non-transitory computer readable medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020077997A JP2021175095A (ja) | 2020-04-27 | 2020-04-27 | 情報処理装置及び情報処理プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2021175095A true JP2021175095A (ja) | 2021-11-01 |
Family
ID=78223062
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020077997A Pending JP2021175095A (ja) | 2020-04-27 | 2020-04-27 | 情報処理装置及び情報処理プログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US20210336988A1 (ja) |
JP (1) | JP2021175095A (ja) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8281397B2 (en) * | 2010-04-29 | 2012-10-02 | Telcordia Technologies, Inc. | Method and apparatus for detecting spoofed network traffic |
US8402543B1 (en) * | 2011-03-25 | 2013-03-19 | Narus, Inc. | Machine learning based botnet detection with dynamic adaptation |
US9183322B2 (en) * | 2012-12-04 | 2015-11-10 | Cisco Technology, Inc. | Increasing internet protocol version 6 host table scalability in top of rack switches for data center deployments |
US8881281B1 (en) * | 2014-05-29 | 2014-11-04 | Singularity Networks, Inc. | Application and network abuse detection with adaptive mitigation utilizing multi-modal intelligence data |
US20160236077A1 (en) * | 2015-02-17 | 2016-08-18 | Technische Universitaet Muenchen | Method and system for automatic distribution and solution of tasks |
US11379577B2 (en) * | 2019-09-26 | 2022-07-05 | Microsoft Technology Licensing, Llc | Uniform resource locator security analysis using malice patterns |
-
2020
- 2020-04-27 JP JP2020077997A patent/JP2021175095A/ja active Pending
- 2020-11-24 US US17/102,445 patent/US20210336988A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
US20210336988A1 (en) | 2021-10-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10212123B2 (en) | Trustworthiness-verifying DNS server for name resolution | |
US10097568B2 (en) | DNS tunneling prevention | |
US20060176822A1 (en) | Method, system, service, and computer program product for identifying incorrect domain name to internet protocol (IP) address mappings | |
WO2016140038A1 (ja) | 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム | |
WO2017049042A1 (en) | Identifying phishing websites using dom characteristics | |
US11997109B2 (en) | Malicious homoglyphic domain name detection and associated cyber security applications | |
WO2012024123A1 (en) | Method of and apparatus for identifying requestors of machine-generated requests to resolve a textual identifier | |
US11108794B2 (en) | Indicating malware generated domain names using n-grams | |
US10965697B2 (en) | Indicating malware generated domain names using digits | |
CN108156270A (zh) | 域名请求处理方法和装置 | |
EP3662626B1 (en) | Malicious host detection | |
CN111988447A (zh) | 网络安全防护方法及dns递归服务器 | |
TWI677209B (zh) | 網名過濾方法 | |
US11245720B2 (en) | Determining whether domain is benign or malicious | |
JP2021175095A (ja) | 情報処理装置及び情報処理プログラム | |
WO2023076090A1 (en) | Predictive dns cache to improve security and performance | |
JP5639535B2 (ja) | 良性ドメイン名除外装置、良性ドメイン名除外方法、及びプログラム | |
JP2011199507A (ja) | 攻撃検出装置、攻撃検出方法、及びプログラム | |
US20210377285A1 (en) | Information processing apparatus and non-transitory computer readable medium | |
Satoh et al. | A superficial analysis approach for identifying malicious domain names generated by DGA malware | |
US10462180B1 (en) | System and method for mitigating phishing attacks against a secured computing device | |
CN108769284B (zh) | 一种域名解析方法、服务器及系统 | |
JP7413924B2 (ja) | 情報処理装置及び情報処理プログラム | |
US20240187422A1 (en) | Malicious homoglyphic domain name detection and associated cyber security applications | |
EP4287044A1 (en) | Computer-readable recording medium storing domain detection program, domain detection method, and information processing device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230228 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20231117 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231128 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20240528 |