JP2021189721A - 情報処理装置及び情報処理プログラム - Google Patents

情報処理装置及び情報処理プログラム Download PDF

Info

Publication number
JP2021189721A
JP2021189721A JP2020094038A JP2020094038A JP2021189721A JP 2021189721 A JP2021189721 A JP 2021189721A JP 2020094038 A JP2020094038 A JP 2020094038A JP 2020094038 A JP2020094038 A JP 2020094038A JP 2021189721 A JP2021189721 A JP 2021189721A
Authority
JP
Japan
Prior art keywords
source terminal
target
address
destination host
connection source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020094038A
Other languages
English (en)
Inventor
叶 孫
Ye Sun
竜生 鈴木
Tatsuo Suzuki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujifilm Business Innovation Corp filed Critical Fujifilm Business Innovation Corp
Priority to JP2020094038A priority Critical patent/JP2021189721A/ja
Priority to US17/106,165 priority patent/US11729135B2/en
Publication of JP2021189721A publication Critical patent/JP2021189721A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/088Non-supervised learning, e.g. competitive learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/69Types of network addresses using geographic information, e.g. room number
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】接続元端末からの不正通信を検出するための情報処理装置及び情報処理プログラムを提供する。【解決手段】接続先ホスト、ネットワーク装置及びセキュリティサーバが、通信回線により互いに通信可能に接続されているネットワークシステムにおいて、セキュリティサーバは、接続元端末と接続先ホストとの間で通信が行われる度に、接続元端末及び接続先ホストのIPアドレスを含む通信ログが蓄積記憶される。学習処理部38は、通信ログに基づいて、接続元端末及び接続先ホストのIPアドレスを含む学習データを用いて、入力された当該学習データを復元して出力するように自己符号化器34を学習させる。異常検出部40は、対象接続元端末及び対象接続先ホストのIPアドレスを含む対象入力データを学習済みの自己符号化器34に入力し、対象入力データと自己符号化器34の出力である対象出力データを比較することで、接続元端末からの不正通信を検出する。【選択図】図3

Description

本発明は、情報処理装置及び情報処理プログラムに関する。
従来、悪意のあるソフトウェアであるマルウェアが知られている。マルウェアに感染した接続元端末は、当該接続元端末の利用者の意に反して種々の接続先ホストとの間で通信(本明細書ではこのような通信を「不正通信」と呼ぶ)を行う場合がある。
従来、接続元端末がマルウェアに感染しているか否かを検出する技術が提案されている。例えば、特許文献1には、接続元端末であるIoT端末と接続先ホストとの間の通信に関する通信発生の頻度、あるいは接続先ホストの種類数などの特徴量に基づいて、当該IoT端末がマルウェアに感染しているか否かを検出する異常検知システムが開示されている。また、特許文献2には、ネットワークを流れるセキュリティ攻撃パケット(悪意のあるパケット)のヘッダ情報から、セキュリティ攻撃通信の通信パターンを学習器に学習させることで、セキュリティ攻撃パケットを検出するセキュリティ脅威システムが開示されている。
特開2018−133004号公報 特許第6078179号公報
ところで、マルウェアに感染した接続元端末は、多種多様の接続先ホストに多種多様の通信態様にて接続し得る。したがって、マルウェアに感染した接続元端末の接続先ホストや通信態様を予め定義してくことが困難であり、あるいは、学習器を用いたとしてもそのような通信態様を学習させることが困難であり、マルウェアによる通信態様に基づいて不正通信を検出することが困難となる場合があった。具体的には、接続元端末からの通信が有った場合に、それがマルウェアによる通信、すなわち不正通信であるか否かを判定することが困難となる場合があった。
本発明の目的は、接続元端末からの不正通信を検出することにある。
請求項1に係る発明は、プロセッサを備え、前記プロセッサは、接続元端末のIPアドレス、及び、前記接続元端末が接続した接続先ホストのIPアドレスを学習データとして学習された自己符号化器に、対象接続元端末のIPアドレス、及び、前記対象接続元端末の接続先である対象接続先ホストのIPアドレスを含む対象入力データを入力することで、前記対象接続元端末からの不正通信を検出する、ことを特徴とする情報処理装置である。
請求項2に係る発明は、前記自己符号化器は、前記接続元端末が前記接続先ホストに接続した時間帯を示す情報を含む前記学習データに基づいて学習され、前記プロセッサは、前記対象接続元端末が前記対象接続先ホストに接続する時間帯を示す情報をさらに前記自己符号化器に入力する、ことを特徴とする請求項1に記載の情報処理装置である。
請求項3に係る発明は、前記自己符号化器は、前記接続先ホストのIPアドレスの保有国を示す情報を含む前記学習データに基づいて学習され、前記プロセッサは、前記対象接続先ホストのIPアドレスの保有国を示す情報をさらに前記自己符号化器に入力する、ことを特徴とする請求項1又は2に記載の情報処理装置である。
請求項4に係る発明は、前記プロセッサは、前記対象入力データと、前記対象入力データに対する前記自己符号化器の出力である対象出力データとの差異から算出される誤差スコアに基づいて前記対象接続元端末からの不正通信を検出し、前記自己符号化器の入力である前記対象接続元端末のIPアドレスと、前記自己符号化器の出力である前記対象接続元端末のIPアドレスとの間、又は、前記自己符号化器の入力である前記対象接続先ホストのIPアドレスと、前記自己符号化器の出力である前記対象接続先ホストのIPアドレスとの間において、上位セグメントに差異があった場合、前記上位セグメントの下位にある下位セグメントに同じ差異があった場合に比して、前記対象入力データと前記対象出力データとの間の差異が大きくなるように前記誤差スコアを算出する、ことを特徴とする請求項1から3のいずれか1項に記載の情報処理装置である。
請求項5に係る発明は、コンピュータに、接続元端末のIPアドレス、及び、前記接続元端末が接続した接続先ホストのIPアドレスを学習データとして学習された自己符号化器に、対象接続元端末のIPアドレス、及び、前記対象接続元端末の接続先である対象接続先ホストのIPアドレスを含む対象入力データを入力させることで、前記対象接続元端末からの不正通信を検出される、ことを特徴とする情報処理プログラムである。
請求項1又は5に係る発明によれば、接続元端末からの不正通信を検出することができる。
請求項2に係る発明によれば、接続元端末のIPアドレス及び接続先ホストのIPアドレスに加え、接続元端末が接続先ホストへ接続した時間帯をさらに考慮して学習された自己符号化器を用いて、接続元端末からの不正通信を検出することができる。
請求項3に係る発明によれば、接続元端末のIPアドレス及び接続先ホストのIPアドレスに加え、接続先ホストのIPアドレスの保有国をさらに考慮して学習された自己符号化器を用いて、接続元端末からの不正通信を検出することができる。
請求項4に係る発明によれば、自己符号化器への入力と自己符号化器の出力との間において、差異が有ったIPアドレスのセグメントをさらに考慮して、前記対象接続元端末からの不正通信を検出することができる。
本実施形態に係るネットワークシステムの構成概略図である。 通信ログの例を示す図である。 本実施形態に係るセキュリティサーバの構成概略図である。 自己符号化器の構造を示す図である。 対象入力データと対象出力データとの比較に基づく誤差スコアの例を示す図である。 評価スコアのグラフの例を示す図である。
図1は、本実施形態に係るネットワークシステム10の構成概略図である。ネットワークシステム10は、1又は複数の接続元端末12、1又は複数の接続先ホスト14、ネットワーク装置16、及び、本発明に係る情報処理装置としてのセキュリティサーバ18を含んで構成されている。接続元端末12とネットワーク装置16は、LAN(Local Area Network)などのイントラネットにより通信可能に接続されている。また、接続先ホスト14、ネットワーク装置16、及びセキュリティサーバ18は、インターネット及びLANなどを含む通信回線20により互いに通信可能に接続されている。
接続元端末12は、利用者(ユーザ)が使用する端末であり、例えばパーソナルコンピュータである。また、接続元端末12としては、タブレット端末などの携帯端末、あるいはIoT端末などであってもよい。接続元端末12は、ネットワーク装置16と通信するため、あるいは、ネットワーク装置16を介して接続先ホスト14と通信するための通信インターフェースと、ハードディスク、ROM(Read Only Memory)、あるいはRAM(Random Access Memory)などから構成されるメモリと、液晶表示器などから構成されるディスプレイと、マウスやキーボードあるいはタッチパネルなどから構成される入力インターフェースと、CPU(Central Processing Unit)やマイクロコンピュータなどから構成されるプロセッサと、を含む。
接続元端末12は、マルウェアに感染するおそれがある。マルウェアとは、不正且つ有害に接続元端末12を動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。マルウェアは様々な感染経路で接続元端末12内に侵入し得る。例えば、脅威の有る接続先ホスト14からマルウェアが接続元端末12に送り付けられることで接続元端末12がマルウェアに感染する。あるいは、マルウェアに感染した外部記憶媒体(例えばUSBメモリなど)が接続元端末12に接続されることで、接続元端末12がマルウェアに感染する。
接続先ホスト14は、例えば、1つのサーバ(例えばウェブサーバ)であってよく、通信回線20を介してアクセスしてきた装置に対して各種データ(例えばウェブページデータなど)を提供するものである。また、バーチャルホストと呼ばれる技術により、1つのサーバにおいて、仮想的に複数の接続先ホスト14が定義される場合もある。
ネットワーク装置16は、通信経路において接続元端末12と接続先ホスト14との間に介在する装置である。ネットワーク装置16は、接続元端末12が接続先ホスト14と通信する際に種々の処理を実行する。例えば、ネットワーク装置16は、接続元端末12においてユーザが接続先ホスト14のURL(Uniform Resource Locator)を指定した場合(つまり、接続元端末12から接続先ホスト14への通信を試みる場合)、当該URLに含まれる、接続先ホスト14を示すドメイン名としてのFQDN(Fully Qualified Domain Name;例えば「www.fujixerox.co.jp」など)の名前解決をすべく、当該FQDNをDNSサーバ(不図示)に送信する。
DNSサーバは、ネットワーク装置16からFQDNを受信すると、当該FQDNについて名前解決処理を行い、当該FQDNが示す接続先ホスト14のIPアドレスを特定する。DNSサーバは、いわゆるフルサービスリゾルバであり、1又は複数の権威サーバであるネームサーバ(不図示)との協働により名前解決処理を実行してもよいし、DNSサーバ単体で名前解決処理が可能であってもよい。DNSサーバは、特定したIPアドレス(すなわち接続先ホスト14のIPアドレス)をネットワーク装置16に送信する。これにより、ネットワーク装置16は、当該IPアドレスに基づいて接続先ホスト14にアクセス可能となる。
なお、接続元端末12のユーザは、接続元端末12において、接続先ホスト14のURLに代えて、接続先ホスト14のIPアドレスを直接入力することもできる。その場合、上述の名前解決処理は必要なく、ネットワーク装置16は接続元端末12から受信したIPアドレスに基づいて、接続先ホスト14にアクセスする。
なお、ネットワーク装置16は、接続元端末12が通信回線20を介して接続先ホスト14と通信する際におけるセキュリティの担保に関する処理も実行する。例えば、ネットワーク装置16は、接続先ホスト14から送られてくるデータ(例えばパケット)を検証し、当該データが不正データ(接続元端末12に不当な悪影響を生じさせる、あるいはその可能性があるデータ)であると判断した際に、接続元端末12と接続先ホスト14との間の通信を遮断するファイアウォールあるいはIDS(Intrusion Prevention System;侵入検知システム)を備えている。
接続元端末12と接続先ホスト14とが通信する度に、当該通信の履歴を示す通信ログ16aがネットワーク装置16に蓄積記憶される。本実施形態では、1セッションの通信毎に、通信ログ16aとして、ICMP(Internet Control Message Protocol)セッション情報を含む情報が記憶される。ICMPセッション情報とは、イーサネットフレームのペイロード内のIPヘッダ及びICMPメッセージに含まれる情報である。
図2に、1回のセッションに対応する通信ログ16aの例が示されている。通信ログ16aには、通信日時、時間帯、接続元端末12のIPアドレス、接続先ホスト14のIPアドレス、及び、接続先ホスト14のIPアドレスの保有国を示す情報が含まれる。通信日時は、接続元端末12が接続先ホスト14に接続した時刻、換言すれば、接続元端末12と接続先ホスト14との間の通信が開始された時刻である。時間帯は、接続元端末12が接続先ホスト14に接続した時間帯を示す情報であり、本実施形態では、0〜23までの値を取り得る。例えば、時間帯が「1」である場合、当該通信ログ16aが示す通信は、午前1:00〜午前2:00までの間に行われたことを示す。なお、時間帯としては、「朝夜時間帯」、「勤務時間帯」なども定義可能である。また、接続先ホスト14のIPアドレスの保有国を示す情報は、例えば、ネットワーク装置16が、各IPアドレスの所有者に関する情報を保有しているサービスであるWhoisに問い合わせることなどで取得することができる。
本実施形態では、ネットワーク装置16は、複数の接続元端末12に接続され、各接続元端末12と接続先ホスト14との間における通信に関する通信ログ16aの取得、及び、各接続元端末12と接続先ホスト14との間の通信におけるセキュリティの担保に関する処理を実行する。
セキュリティサーバ18は、サーバコンピュータなどから構成される。セキュリティサーバ18は、接続元端末12からの不正通信を検出する。すなわち、セキュリティサーバ18は、マルウェアに感染した接続元端末12からの、当該接続元端末12の利用者の意に反する接続先ホスト14への通信を検出する。セキュリティサーバ18が不正通信を検出した場合、当該不正通信を行おうとした接続元端末12はマルウェアに感染しているということができる。したがって、セキュリティサーバ18は、接続元端末12がマルウェアに感染しているか否かを検出するということもできる。
図3は、セキュリティサーバ18の構成概略図である。以下、図3を参照しながら、セキュリティサーバ18の各部について説明する。
通信インターフェース30は、例えばネットワークアダプタなどを含んで構成される。通信インターフェース30は、通信回線20を介して他の装置(例えばネットワーク装置16など)と通信する機能を発揮する。
メモリ32は、例えばハードディスク、SSD(Solid State Drive)、ROM、あるいはRAMなどを含んで構成されている。メモリ32は、後述のプロセッサ36とは別に設けられてもよいし、少なくとも一部がプロセッサ36の内部に設けられていてもよい。メモリ32には、セキュリティサーバ18の各部を動作させるための情報処理プログラムが記憶される。また、図3に示す通り、メモリ32には自己符号化器34が記憶される。
自己符号化器34は、オートエンコーダとも呼ばれる学習器である。図4に、自己符号化器34のモデルが示されている。自己符号化器34は、それぞれが複数のニューロン34aを含む複数の層34bから構成される。自己符号化器34は、入力データの次元数を縮小して(すなわち入力データの特徴を圧縮して)、入力データの特徴を表す圧縮された特徴ベクトル34cを抽出するエンコーダ34dと、圧縮された特徴ベクトル34cから次元数を拡大して、元の入力データに戻して出力するデコーダ34eとを含んで構成される。エンコーダ34d及びデコーダ34eは、それぞれ複数の層34bを含んで構成される。エンコーダ34dにおいては、入力側から深い層34b側に向かうにつれ、層34bが有するニューロン34aの数(すなわちデータの次元数)が徐々に減っていく。デコーダ34eにおいては、出力側に向かうにつれ、層34bが有するニューロン34aの数が徐々に増えていく。エンコーダ34d及びデコーダ34eにおいて、ある層34bに含まれる複数のニューロン34aと、当該層34bに隣接する層34bに含まれる複数のニューロン34aは全結合されている。なお、自己符号化器34の実体は、自己符号化器34の構造を定義するプログラム、自己符号化器34に関する各種パラメータ、及び、入力データに対して処理を行うための処理実行プログラムなどである。したがって、メモリ32に自己符号化器34が記憶されるとは、上記プログラムや各種パラメータがメモリ32に記憶されることを意味する。自己符号化器34の学習処理の詳細については、後述の学習処理部38の処理と共に後述する。
プロセッサ36は、広義的な処理装置を指し、汎用的な処理装置(例えばCPUなど)、及び、専用の処理装置(例えばGPU(Graphics Processing Unit)、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)、あるいは、プログラマブル論理デバイスなど)の少なくとも1つを含んで構成される。プロセッサ36としては、1つの処理装置によるものではなく、物理的に離れた位置に存在する複数の処理装置の協働により構成されるものであってもよい。図3に示す通り、プロセッサ36は、メモリ32に記憶された情報処理プログラムにより、学習処理部38、異常検出部40、及び異常対応処理部42としての機能を発揮する。
学習処理部38は、ネットワーク装置16から受信した通信ログ16aに基づくデータを学習データとして用いて、自己符号化器34を学習させる学習処理を行う。
まず、学習処理部38は、通信ログ16aに含まれる情報を自己符号化器34の学習データとして適した形式に変更する。具体的には、学習処理部38は、通信ログ16aに含まれる、接続元端末12のIPアドレスが有する各セグメント(IPv4ではオクテットとも呼ばれる)の数値、及び、接続先ホスト14のIPアドレスが有する各セグメントの数値を連結したものを学習データとする。例えば、通信ログ16aの内容が図2に示す内容であるとすると、学習データは、接続元端末12のIPアドレスと接続先ホスト14のIPアドレスを並べて「192,168,183,190,192,168,180,22」となる。すなわち、学習データには、接続元端末12のIPアドレス、及び、接続先ホストのIPアドレスが含まれる。
望ましくは、学習データには、通信ログ16aに含まれる、時間帯を示す情報及び接続先ホスト14のIPアドレスの保有国を示す情報の少なくとも一方が含まれていてもよい。この場合、これらの情報がさらに連結されたものが学習データとなる。本実施形態では、学習データは、時間帯を示す情報、接続元端末12のIPアドレス、接続先ホストのIPアドレス、及び、接続先ホスト14のIPアドレスの保有国を示す情報を含む。例えば、通信ログ16aの内容が図2に示す内容であるとすると、学習データは、「1,192,168,183,190,192,168,180,22,jp」となる。
上述の処理にて、ネットワーク装置16に蓄積記憶された通信ログ16aの数と同じサンプル数の学習データが得られる。学習処理部38は、得られた学習データを用いて自己符号化器34を学習させる。
学習処理部38は、学習データを自己符号化器34に入力するに先立って、学習データを辞書化する辞書化処理を行う。予め、学習データに含まれ得る値に対応する数値を辞書としてメモリ32に記憶させておき、学習処理部38は、当該辞書に基づいて学習データを辞書化する。例えば、時間帯「1」を数値「1」に、時間帯「2」を数値の「2」に、接続先ホスト14のIPアドレスの保有国「jp」を数値「701」に変換する。また、IPアドレスの各セグメントについては、接続元端末12のIPアドレスと、接続先ホスト14のIPアドレスとを区別するため、同一の数値であっても、接続元端末12のIPアドレスと、接続先ホスト14のIPアドレスとでは異なる数値に変換する。例えば、接続元端末12のIPアドレスに含まれる数値「192」を数値「215」に、接続先ホスト14のIPアドレスに含まれる数値「192」を数値「471」に変換する。なお、本明細書においては、理解を容易にするため、自己符号化器34に、直接、時間帯を示す情報、IPアドレス、及び保有国を示す情報が入力されるように記載するが、実際には辞書化された数値が自己符号化器34に入力される。
学習処理部38が学習データを入力データとして自己符号化器34に入力すると、自己符号化器34のエンコーダ34dが当該入力データの特徴から圧縮された特徴ベクトル34cを抽出し、自己符号化器34のデコーダ34eが特徴ベクトル34cから入力データを復元して出力しようとする(図4参照)。学習処理部38は、自己符号化器34の出力データと入力データとの差分に基づいて、自己符号化器34を学習させる。
学習処理部38が上述の学習処理を繰り返すことで、学習済みの自己符号化器34は、入力データの特徴を学習し、入力データが学習済みの特徴を有しているならば、当該入力データから抽出された、圧縮された特徴ベクトル34cに基づいて、当該入力データを復元して出力データとして出力できるようになる。つまり、自己符号化器34は、入力データが学習済みの特徴を有しているならば、当該入力データをそのまま出力データとして出力できるようになる。換言すれば、自己符号化器34は、入力データがこれまでに学習していない特徴を有しているならば、当該入力データを復元して出力データとして出力することができない。その場合、入力データと出力データとが異なることとなる。
正常時、つまり、接続元端末12がマルウェアに感染していない場合においては、接続元端末12は、特定の複数の接続先ホスト14にアクセスする場合が多い。これは、接続元端末12を使用するユーザが特定の行動パターンで行動している場合が多いことなどに起因するものである。したがって、接続元端末12のIPアドレスと、接続先ホスト14のIPアドレスとの組み合わせが、接続元端末12からの通信の特徴を表すものとなり得る。さらに好適には、接続元端末12のIPアドレスと、接続先ホスト14のIPアドレスとに時間帯や接続先ホスト14のIPアドレスの保有国を含めたものが、接続元端末12からの通信の特徴を表すものとなり得る。したがって、上述の学習データを用いて学習される自己符号化器34は、接続元端末12からよく行われる通信の特徴を学習すると言える。
接続元端末12及び接続先ホスト14を識別するための識別情報としては種々の情報があることから、接続元端末12及び接続先ホスト14のIPアドレスに代えて、その他の識別情報を学習データに含めることが考えられる。しかしながら、自己符号化器34においては、学習データの学習要素の数が少なすぎると学習効率が低下し、学習要素の数が多すぎると学習処理の負担が大きくなる場合がある。ここで、IPアドレスは、4又は8のセグメントから構成されるため、1つのIPアドレスは4又は8個の学習要素で表現されるから、学習データの学習要素数としては適度な数であり、IPアドレスが自己符号化器34の学習データとしては適しているということができる。
また、IPアドレスは、接続元端末12又は接続先ホスト14の類似性を表す情報として捉えることもできる。例えば、IPv4形式のIPアドレスを考えると、第1〜第3セグメントが同一であり、第4セグメントのみがわずかに異なるIPアドレスを有する複数の端末は、互いに類似する特徴を有している場合がある。具体的には、脅威のある接続先ホスト14(マルウェアに感染した接続元端末12が通信する接続先ホスト14)のIPアドレスと、第1〜第3セグメントが同一であり第4セグメントのみがわずかに異なるIPアドレスを有する他の接続先ホスト14は、同様に脅威がある接続先ホスト14である可能性が高いと言える。また、第1〜第3セグメントが同一であり第4セグメントのみがわずかに異なるIPアドレスを有する複数の接続元端末12は、互いに類似する通信の特徴を有している場合も多いと考えられる。したがって、学習データにIPアドレスを用いることで、IPアドレスに基づく接続元端末12又は接続先ホスト14の類似性を考慮しながら、自己符号化器34は学習を行うことができる。
上述のように、自己符号化器34においては、入力データと出力データとの差分に基づいて学習が行われる。しかしながら、自己符号化器34の学習データとしての入力データには、それが不正通信によるものであるのか否かのラベルが付されていない。したがって、自己符号化器34は教師無し学習により学習されていると言える。
異常検出部40は、不正通信の検出処理の対象である接続元端末12(本明細書では「対象接続元端末12a」と呼ぶ)についての通信ログ16aに基づいて、学習処理部38と同様の処理により、対象接続元端末12aのIPアドレスが有する各セグメントの数値、及び、対象接続元端末12aが接続した接続先ホスト(本明細書では「対象接続先ホスト14a」と呼ぶ)のIPアドレスが有する各セグメントの数値を連結した対象入力データを取得する。自己符号化器34が、時間帯を示す情報を含んだ学習データで学習されている場合、異常検出部40は、通信ログ16aに基づいて、時間帯を示す情報、対象接続元端末12aのIPアドレスが有する各セグメントの数値、及び、対象接続先ホスト14aのIPアドレスが有する各セグメントの数値を連結した対象入力データを含む対象入力データを取得する。また、自己符号化器34が、対象接続先ホスト14aのIPアドレスの保有国を示す情報を含んだ学習データで学習されている場合、異常検出部40は、通信ログ16aに基づいて、対象接続元端末12aのIPアドレスが有する各セグメントの数値、対象接続先ホスト14aのIPアドレスが有する各セグメントの数値を一列に並べた対象入力データ、及び、対象接続先ホスト14aのIPアドレスの保有国を示す情報を連結した対象入力データを取得する。本実施形態では、異常検出部40は、時間帯を示す情報、対象接続元端末12aのIPアドレスが有する各セグメントの数値、対象接続先ホスト14aのIPアドレスが有する各セグメントの数値、及び、対象接続先ホスト14aのIPアドレスの保有国を示す情報を含む対象入力データを取得する。
異常検出部40は、取得した対象入力データを学習済みの自己符号化器34に入力し、当該対象入力データと、当該対象入力データに対する自己符号化器34の出力データ(本明細書では「対象出力データ」と呼ぶ)との比較に基づいて、対象接続元端末12aからの不正通信を検出する。
上述の通り、自己符号化器34は、接続元端末12からよく行われる通信の特徴を学習しているので、対象入力データを自己符号化器34に入力した場合、対象入力データが学習済みの特徴を有しているならば、対象出力データは対象入力データと同等となる。つまり、自己符号化器34は、対象入力データが示す接続元端末12からの通信の特徴が、学習済みの接続元端末12からの通信の特徴、いわば、「いつもの」接続元端末12からの通信の特徴と同じであれば、対象入力データと同じ対象出力データを出力することができる。一方、対象入力データが学習済みの特徴とは異なる特徴を有しているならば、対象出力データは対象入力データと同等とならない。
上述のように、本実施形態では、自己符号化器34は、接続元端末12及び接続先ホスト14のIPアドレスを含む学習データを用いて学習しており、且つ、対象入力データにも対象接続元端末12a及び対象接続先ホスト14aのIPアドレスが含まれているから、自己符号化器34は、IPアドレスに基づく接続元端末12又は接続先ホスト14の類似性も考慮しつつ、対象入力データが示す接続元端末12からの通信の特徴が、学習済みの接続元端末12からの通信の特徴と同じと判定される場合に、対象入力データと同等の対象出力データを出力することができる。
異常検出部40は、対象入力データと対象出力データとの比較に基づいて、対象入力データが示す通信の特徴が、対象接続元端末12aからの「いつもの」通信の特徴であるか否かを判定し、対象入力データが示す対象接続元端末12aの通信の特徴が、学習済みの対象接続元端末12aからの通信の特徴(いわば「いつもの」通信の特徴)と異なる場合に、対象接続元端末12aからの通信が不正通信であると擬制する。異常検出部40がこのような方法で対象接続元端末12aからの不正通信を検出することで、予め不正通信の通信態様を定義したり、不正通信の通信態様を学習したりする必要なく、対象接続元端末12aからの不正通信を検出することができる。
以下、異常検出部40による処理の詳細を説明する。なお、異常検出部40も、学習処理部38同様、対象入力データを自己符号化器34に入力するに先立って、対象入力データを辞書化する辞書化処理を行う。
図5には、学習済みの自己符号化器34に入力された対象入力データと、当該対象入力データに対する自己符号化器34の対象出力データとの例が示されている。異常検出部40は、対象入力データと対象出力データとを比較して、両者の差異を表す誤差スコアを算出する。
具体的には、異常検出部40は、対象入力データが有する各情報(すなわち時間帯を示す情報、接続元端末12のIPアドレスの各セグメント、接続先ホスト14のIPアドレスの各セグメント、接続先ホスト14のIPアドレスの保有国を示す情報)と、対象出力データが有する対応する情報とを比較して、各情報毎に個別誤差スコアを算出する。例えば、図5に示すように、対象入力データにおける時間帯「1」と、対象出力データにおける時間帯「1」とを比較し、両者の差異を表す個別誤差スコア「0.0001」を算出する。また、例えば、対象入力データにおける対象接続先ホスト14aのIPアドレスの第1セグメント「192」と、対象出力データにおける対象接続先ホスト14aのIPアドレスの第1セグメント「194」とを比較し、両者の差異を表す個別誤差スコア「0.1」を算出する。
個別誤差スコアの算出方法は種々の方法が考えられるため、任意の方法を採用することができる。本実施形態では、対象入力データと対象出力データとの差異が大きい程、個別誤差スコアが大きくなるように算出され、対象入力データと対象出力データとの差異が小さい程、個別誤差スコアが小さくなるように算出される。
個別誤差スコアの算出にあたり、異常検出部40は、対象入力データに含まれる対象接続元端末12aのIPアドレスと、対象出力データに含まれる対象接続元端末12aのIPアドレスとの間において、セグメントに応じて、異なる算出方法で各セグメントに対応する個別誤差スコアを算出するようにしてもよい。具体的には、対象入力データと対象出力データにおける対象接続元端末12aの両IPアドレスの間において、上位セグメント(例えば第1セグメント)の数値においてある差異(例えば「1」)があった場合と、上位セグメントよりも下位にある下位セグメント(例えば第4セグメント)の数値に同じ差異(例えば「1」)があった場合とでは、上位セグメントの数値に当該差異がある方が、対象入力データと対象出力データにおける対象接続元端末12aの両IPアドレスの類似性がより低いということができる。例えば、IPアドレス「192.168.183.190」と、IPアドレス「194.168.183.190」との類似性は、IPアドレス「192.168.183.190」と、IPアドレス「192.168.183.192」との類似性よりも低いと言える。換言すれば、上位セグメントの数値に当該差異がある方が、対象入力データと対象出力データとの間の差異はより大きいと言える。
したがって、異常検出部40は、上位セグメントの数値に差異がある場合、下位セグメントの数値に同じ差異があった場合に比して、個別誤差スコアがより大きくなるように算出する。例えば、下位セグメントにおける「1」の差異に対する個別誤差スコアが「0.1」である場合、上位セグメントにおいて同じ「1」の差異がある場合、当該上位セグメントの差異に対する個別誤差スコアを「0.1」よりも大きい「0.3」などとなるように、セグメントに応じて補正をかけた上で、あるいは、セグメントに応じて異なる算出方法で個別誤差スコアを算出する。
同様に、異常検出部40は、対象入力データに含まれる対象接続先ホスト14aのIPアドレスと、対象出力データに含まれる対象接続先ホスト14aのIPアドレスとの間において、上位セグメントの数値に差異がある場合、下位セグメントの数値に同じ差異があった場合に比して、個別誤差スコアがより大きくなるように算出するようにしてもよい。
対象入力データ及び対象出力データが有する情報毎に算出された、複数の個別誤差スコアに基づいて、対象入力データ全体と、対象出力データ全体との差異を表す誤差スコアが算出される。本実施形態では、対象入力データと対象出力データとの間で算出された複数の個別誤差スコアのうちの最大値を、対象入力データと対象出力データとの間の誤差スコアとする。図5の例では、対象入力データにおける対象接続先ホスト14aのIPアドレスの第2セグメント「168」と、対象出力データにおける対象接続先ホスト14aのIPアドレスの第2セグメント「190」との間の個別誤差スコア「0.5」が最大値であるため、対象入力データと対象出力データとの間の誤差スコアが「0.5」となる。なお、誤差スコアは、対象入力データと対象出力データとの差異が大きい程、誤差スコアが大きくなるように算出される限りにおいて、その他の方法(例えば複数の個別誤差スコアの平均値など)によって算出されてもよい。
上述のようにして、異常検出部40は、対象接続元端末12aに関する複数の対象入力データを学習済みの自己符号化器34に入力し、各対象入力データと各対象出力データとの間の複数の誤差スコアを算出する。そして、異常検出部40は、算出した複数の誤差スコアに基づいて、接続元端末12からの通信が不正通信であるか否か、換言すれば、当該接続元端末12がマルウェアに感染しているか否かを判定する。
複数の誤差スコアに基づく接続元端末12からの不正通信の検出方法としては、種々の方法が考えられるが、本実施形態では、異常検出部40は、以下の処理によって接続元端末12からの不正通信を検出する。
まず、異常検出部40は、対象入力データと対象出力データの複数の組のうち、予め定められた閾値(例えば0.2)以上の誤差スコアが算出された組を抽出する。そして、通信ログ16aを参照し、抽出された組の対象入力データに対応する、通信日時、時間帯、対象接続元端末12aのIPアドレス、対象接続先ホスト14aのIPアドレス、対象接続先ホスト14aのIPアドレスの保有国、及び、当該対象入力データについて算出された誤差スコアを含む異常ログを生成する。
次いで、異常検出部40は、一定時間(例えば10分間)の枠である時間ウィンドウ毎に、生成した異常ログに含まれる誤差スコアに基づく評価スコアを算出する。本実施形態では、異常検出部40は、パープレキシティ(Perplexity)という尺度に基づいて評価スコアを算出する。具体的には、異常検出部40は、時間ウィンドウをある期間に設定し、設定された時間ウィンドウ内に含まれる各異常ログ(異常ログに含まれる通信日時が当該時間ウィンドウ内であるもの)に含まれる各誤差スコアPの−logPを計算し、当該時間ウィンドウ内における各誤差スコアPの−logPの平均値を算出する。当該平均値が当該時間ウィンドウの評価スコアとなる。評価スコアが大きい程、対象入力データがより異常である(すなわち当該接続元端末12のいつもの通信の特徴とはより異なる)ことを示す。
異常検出部40は、時間ウィンドウの設定期間を少しずつ(例えば1分ずつ)ずらしながら、各時間ウィンドウについて上述の評価スコアを算出していく。そして、各時間ウィンドウの評価スコアに基づいて、接続元端末12からの不正通信を検出する。例えば、ある閾値以上の評価スコアを有する時間ウィンドウが所定回数連続して現れた場合に、接続元端末12からの通信が不正通信であると判断する。
図6に示すように、異常検出部40は、各時間ウィンドウ毎に算出された評価スコアをグラフにして出力するようにしてもよい。図6のグラフにおいて、横軸は各時間ウィンドウの開始時刻又は終了時刻を表し、縦軸が評価スコアを表す。当該グラフは、例えばネットワーク装置16の管理者、あるいは、複数の接続元端末12の管理者などによって閲覧される。これにより、管理者は、接続元端末12からの通信が不正通信であること、換言すれば、接続元端末12がマルウェアに感染していることを把握することができる。
図3に戻り、異常対応処理部42は、接続元端末12からの通信が不正通信であることを異常検出部40が検出したことに応じて、種々の処理を実行する。例えば、異常対応処理部42は、ネットワーク装置16を制御して、当該接続元端末12からの通信を遮断する。また、当該接続元端末12に警告を出力させるべく、警告出力指示を当該接続元端末12に送信する。また、ネットワーク装置16の管理者、あるいは、複数の接続元端末12の管理者が使用する管理者端末に対して通知を出力するようにしてもよい。
以上、本発明に係る実施形態を説明したが、本発明は上記実施形態に限られるものではなく、本発明の趣旨を逸脱しない限りにおいて種々の変更が可能である。
例えば、本実施形態では、自己符号化器34はセキュリティサーバ18の学習処理部38により学習されていたが、自己符号化器34は別の装置において学習され、学習済みの自己符号化器34がメモリ32に記憶されてもよい。また、本実施形態では、学習処理部38、異常検出部40、及び異常対応処理部42の機能はセキュリティサーバ18が有していたが、これらの機能をネットワーク装置16が有するようにしてもよい。
10 ネットワークシステム、12 接続元端末、12a 対象接続元端末、14 接続先ホスト、14a 対象接続先ホスト、16 ネットワーク装置、16a 通信ログ、18 セキュリティサーバ、20 通信回線、30 通信インターフェース、32 メモリ、34 自己符号化器、36 プロセッサ、38 学習処理部、40 異常検出部、42 異常対応処理部。

Claims (5)

  1. プロセッサを備え、
    前記プロセッサは、
    接続元端末のIPアドレス、及び、前記接続元端末が接続した接続先ホストのIPアドレスを学習データとして学習された自己符号化器に、対象接続元端末のIPアドレス、及び、前記対象接続元端末の接続先である対象接続先ホストのIPアドレスを含む対象入力データを入力することで、前記対象接続元端末からの不正通信を検出する、
    ことを特徴とする情報処理装置。
  2. 前記自己符号化器は、前記接続元端末が前記接続先ホストに接続した時間帯を示す情報を含む前記学習データに基づいて学習され、
    前記プロセッサは、前記対象接続元端末が前記対象接続先ホストに接続する時間帯を示す情報をさらに前記自己符号化器に入力する、
    ことを特徴とする請求項1に記載の情報処理装置。
  3. 前記自己符号化器は、前記接続先ホストのIPアドレスの保有国を示す情報を含む前記学習データに基づいて学習され、
    前記プロセッサは、前記対象接続先ホストのIPアドレスの保有国を示す情報をさらに前記自己符号化器に入力する、
    ことを特徴とする請求項1又は2に記載の情報処理装置。
  4. 前記プロセッサは、
    前記対象入力データと、前記対象入力データに対する前記自己符号化器の出力である対象出力データとの差異から算出される誤差スコアに基づいて前記対象接続元端末からの不正通信を検出し、
    前記自己符号化器の入力である前記対象接続元端末のIPアドレスと、前記自己符号化器の出力である前記対象接続元端末のIPアドレスとの間、又は、前記自己符号化器の入力である前記対象接続先ホストのIPアドレスと、前記自己符号化器の出力である前記対象接続先ホストのIPアドレスとの間において、上位セグメントに差異があった場合、前記上位セグメントの下位にある下位セグメントに同じ差異があった場合に比して、前記対象入力データと前記対象出力データとの間の差異が大きくなるように前記誤差スコアを算出する、
    ことを特徴とする請求項1から3のいずれか1項に記載の情報処理装置。
  5. コンピュータに、
    接続元端末のIPアドレス、及び、前記接続元端末が接続した接続先ホストのIPアドレスを学習データとして学習された自己符号化器に、対象接続元端末のIPアドレス、及び、前記対象接続元端末の接続先である対象接続先ホストのIPアドレスを含む対象入力データを入力させることで、前記対象接続元端末からの不正通信を検出される、
    ことを特徴とする情報処理プログラム。
JP2020094038A 2020-05-29 2020-05-29 情報処理装置及び情報処理プログラム Pending JP2021189721A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020094038A JP2021189721A (ja) 2020-05-29 2020-05-29 情報処理装置及び情報処理プログラム
US17/106,165 US11729135B2 (en) 2020-05-29 2020-11-29 Information processing apparatus and non-transitory computer readable medium for detecting unauthorized access

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020094038A JP2021189721A (ja) 2020-05-29 2020-05-29 情報処理装置及び情報処理プログラム

Publications (1)

Publication Number Publication Date
JP2021189721A true JP2021189721A (ja) 2021-12-13

Family

ID=78707058

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020094038A Pending JP2021189721A (ja) 2020-05-29 2020-05-29 情報処理装置及び情報処理プログラム

Country Status (2)

Country Link
US (1) US11729135B2 (ja)
JP (1) JP2021189721A (ja)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015197749A (ja) * 2014-03-31 2015-11-09 株式会社ラック ログ分析システム
WO2016140038A1 (ja) * 2015-03-05 2016-09-09 日本電信電話株式会社 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム
JP2016532381A (ja) * 2013-08-14 2016-10-13 ダニエル チエン 疑わしいネットワーク通信の評価
WO2018235252A1 (ja) * 2017-06-23 2018-12-27 日本電気株式会社 分析装置、ログの分析方法及び記録媒体
JP2019047335A (ja) * 2017-09-01 2019-03-22 日本電信電話株式会社 検知装置、検知方法、および、検知プログラム
JP2019153875A (ja) * 2018-03-01 2019-09-12 株式会社日立製作所 不正通信検知装置および不正通信検知プログラム
US20190327252A1 (en) * 2018-04-19 2019-10-24 Raytheon Bbn Technologies Corp. Network security system and methods for encoding network connectivity for activity classification
JP2020005234A (ja) * 2018-07-02 2020-01-09 日本電信電話株式会社 生成装置、生成方法及び生成プログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007106902A2 (en) * 2006-03-15 2007-09-20 Daniel Chien Identifying unauthorized access to a network resource
JP6078179B1 (ja) 2016-01-20 2017-02-08 西日本電信電話株式会社 セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム
JP6770454B2 (ja) 2017-02-16 2020-10-14 日本電信電話株式会社 異常検知システム及び異常検知方法
KR101880907B1 (ko) 2017-09-22 2018-08-16 펜타시큐리티시스템 주식회사 비정상 세션 감지 방법
US11716338B2 (en) * 2019-11-26 2023-08-01 Tweenznet Ltd. System and method for determining a file-access pattern and detecting ransomware attacks in at least one computer network

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016532381A (ja) * 2013-08-14 2016-10-13 ダニエル チエン 疑わしいネットワーク通信の評価
JP2015197749A (ja) * 2014-03-31 2015-11-09 株式会社ラック ログ分析システム
WO2016140038A1 (ja) * 2015-03-05 2016-09-09 日本電信電話株式会社 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム
WO2018235252A1 (ja) * 2017-06-23 2018-12-27 日本電気株式会社 分析装置、ログの分析方法及び記録媒体
JP2019047335A (ja) * 2017-09-01 2019-03-22 日本電信電話株式会社 検知装置、検知方法、および、検知プログラム
JP2019153875A (ja) * 2018-03-01 2019-09-12 株式会社日立製作所 不正通信検知装置および不正通信検知プログラム
US20190327252A1 (en) * 2018-04-19 2019-10-24 Raytheon Bbn Technologies Corp. Network security system and methods for encoding network connectivity for activity classification
JP2020005234A (ja) * 2018-07-02 2020-01-09 日本電信電話株式会社 生成装置、生成方法及び生成プログラム

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
中原 正隆: "Isolation Forestを用いたIoTデバイス向けマルウェア感染検知", 2020年 暗号と情報セキュリティシンポジウム予稿集, JPN6023047339, 21 January 2020 (2020-01-21), JP, pages 1 - 8, ISSN: 0005200543 *
山西 宏平: "畳み込みニューラルネットワークを用いたURL系列に基づくドライブバイダウンロード攻撃検知", CSS2016 コンピュータセキュリティシンポジウム2016 論文集 合同開催 マルウェア対策研究人, vol. 第2016巻,第2号, JPN6023047341, 4 October 2016 (2016-10-04), JP, pages 811 - 818, ISSN: 0005200541 *
石田 時大: "機械学習を利用した通信異常検知システムの提案", 第77回(平成27年)全国大会講演論文集(3) ネットワーク セキュリティ, JPN6023047340, 17 March 2015 (2015-03-17), JP, pages 3 - 485, ISSN: 0005200542 *
金澤 しほり: "未知の不正Webサイト判別のためのIPアドレスクラスの特徴分析", CSS2016 コンピュータセキュリティシンポジウム2016 論文集 合同開催 マルウェア対策研究人, vol. 第2016巻第2号, JPN6023047338, 4 October 2016 (2016-10-04), JP, pages 777 - 783, ISSN: 0005200544 *

Also Published As

Publication number Publication date
US11729135B2 (en) 2023-08-15
US20210377218A1 (en) 2021-12-02

Similar Documents

Publication Publication Date Title
JP4083747B2 (ja) DoS攻撃の検出及び追跡を行うシステム及び方法
CN109474575B (zh) 一种dns隧道的检测方法及装置
CN102656587B (zh) 在信誉系统中使用客户端装置的置信量度
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
US11606385B2 (en) Behavioral DNS tunneling identification
US20050091533A1 (en) Device and method for worm detection, and computer product
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
JP2017510894A (ja) エンドポイントからのネットワークリクエストに言語分析を適用するマルウェアに感染しているマシンを識別するためのシステム
JP2006262019A (ja) ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置
US11108794B2 (en) Indicating malware generated domain names using n-grams
TWI677209B (zh) 網名過濾方法
US7469418B1 (en) Deterring network incursion
US20190238573A1 (en) Indicating malware generated domain names using digits
JP2021189658A (ja) 情報処理装置及び情報処理プログラム
CN112437062A (zh) 一种icmp隧道的检测方法、装置、存储介质和电子设备
JP5568344B2 (ja) 攻撃検出装置、攻撃検出方法、及びプログラム
CN112583763B (zh) 入侵侦测装置以及入侵侦测方法
JP2021189721A (ja) 情報処理装置及び情報処理プログラム
CN113678419B (zh) 端口扫描检测
JP7413924B2 (ja) 情報処理装置及び情報処理プログラム
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备
CN111371917B (zh) 一种域名检测方法及系统
CN101548269B (zh) 用于网络侦查流识别的方法、计算机程序产品和设备
JP4777366B2 (ja) ワーム対策プログラム、ワーム対策装置、ワーム対策方法
JP2009081736A (ja) パケット転送装置及びパケット転送プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230228

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231121

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20240521