JP2022050617A - 検出方法、検出プログラムおよび検出装置 - Google Patents
検出方法、検出プログラムおよび検出装置 Download PDFInfo
- Publication number
- JP2022050617A JP2022050617A JP2022004041A JP2022004041A JP2022050617A JP 2022050617 A JP2022050617 A JP 2022050617A JP 2022004041 A JP2022004041 A JP 2022004041A JP 2022004041 A JP2022004041 A JP 2022004041A JP 2022050617 A JP2022050617 A JP 2022050617A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- time interval
- calculated
- identification information
- entropy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 97
- 238000004891 communication Methods 0.000 claims abstract description 324
- 238000004364 calculation method Methods 0.000 claims abstract description 43
- 238000010586 diagram Methods 0.000 description 18
- 238000000034 method Methods 0.000 description 17
- 230000008569 process Effects 0.000 description 17
- 230000006870 function Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 230000001174 ascending effect Effects 0.000 description 2
- 229910003460 diamond Inorganic materials 0.000 description 2
- 239000010432 diamond Substances 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000015654 memory Effects 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
図1は、本開示の一実施形態に係る検出装置を含む全体システムの構成の一例である。全体システム1は、ネットワークNWと、クラウドネットワークCLと、ユーザのコンピュータA(2)と、ユーザのコンピュータB(3)と、ユーザのコンピュータC(4)攻撃者41のコンピュータ5とを含む。なお、コンピュータA(2)、コンピュータB(3)およびコンピュータC(4)のユーザは同じであってもよいし、異なっていてもよい。
図3は、実施形態1に係る検出装置100の機能ブロック図の一例を示す。検出装置100は、間隔算出部301と、検出部302とを備える。
以上のように、本実施形態においては、通信の時間間隔の規則性に基づいてマルウェアによる通信の有無を検出するので、未知マルウェアであっても検出することが可能である。また、通信の時間間隔の規則性に基づいてマルウェアによる通信の有無を検出するので、正常なサイトが攻撃者などにより乗っ取られてしまった場合でも、当該サイトにビーコンを送信するマルウェアを検出することができる。
図10は、実施形態2に係る検出装置の検出装置の機能ブロック図の別の例を示す。検出装置100は、間隔算出部301と、検出部302と、ホワイトリスト判定部1001とを備える。したがって、図10に機能ブロック図が示される検出装置は、実施形態1に係る検出装置がさらにホワイトリスト判定部1001を備える構成を有する。
本実施形態によれば、ホワイトリスト判定部1001により安全な通信による通信記録であると判定されれば、当該通信記録がスキップされるので、図4(A)などに示されるようなデータ構造に使用される記憶容量を小さくすることができる。また、安全な通信をマルウェアによる通信として誤検出する場合を少なくしたり、無くしたりすることができる。
図11は、実施形態3に係る検出装置の機能ブロック図のさらに別の例を示す。検出装置100は、間隔算出部301と、検出部302と、を備え、検出部302は、エントロピー算出部1101を有する。また、検出装置100は、実施形態2のように、ホワイトリスト判定部を備えていてもよい。したがって、実施形態3に係る検出装置は、実施形態1または実施形態2に係る検出装置の検出部が、エントロピー算出部を備えている形態である。
(3/101)×log(101/3)+(95/101)×log(101/95)
+(1/101)×log(101/1)+(2/101)×log(101/2)となる。
となる。
図13は、実際にインターネットに接続されたコンピュータの通信ログを用いて、通信元の識別情報および通信先の識別情報の組ごとにエントロピーを算出し、算出されたエントロピーの区間ごとに、組の数を計数して作成したヒストグラムを示す。エントロピーが2以下の組は、2個存在し、エントロピーが2を超え、2.75以下の組は28個存在する。2.75を超え、3.5以下の組は405組存在し、3.5を超え4.25以下の組は、343個存在し、4.25を超え5以下の組は114個存在し、5を超える組は、17個存在したことが示されている。したがって、2.75の大きさを持つエントロピーの前後で分布が大きく異なっていることがわかる。
以上のように、本実施形態においては、時間間隔の規則性の程度を通信時間の間隔の個数の割合やエントロピーの値により算出するので、マルウェアによる通信の有無を検出するので、未知マルウェアであっても検出することが可能である。また、例えば、日中の営業時間に動作し、夜間や営業時間外は停止するパーソナルコンピュータにマルウェアが感染した場合であっても、あるいは、営業時間にビーコンを送信し営業時間外はビーコンを停止するマルウェアが常時動作するコンピュータに感染した場合であっても、マルウェアのビーコンの時間間隔の規則性によりマルウェアを検出することができる。
Claims (20)
- 通信記録に含まれる通信元の識別情報および通信先の識別情報の組ごとに通信が行われた時間間隔を算出し、
前記組ごとに算出した時間間隔の規則性に基づいて、マルウェアによる通信が行われたかどうかを検出することを含む、検出方法。 - 前記時間間隔の規則性を、前記組ごとに算出した時間間隔の分布のエントロピーの大きさに基づいて検出する、請求項1に記載の検出方法。
- 前記組ごとに時間間隔を算出する際に、組ごとに算出した各時間間隔の個数を計数し、
前記組ごとに、前記計数した各時間間隔の個数の総和に対する時間間隔tの個数の割合p(t)に基づいて、前記エントロピーを算出する、請求項2に記載の検出方法。 - 前記エントロピーの大きさとして-p(t)logbp(t)についてのすべての時間間隔tに関する和に基づく値を算出する(ただし、bは対数関数logの底である。)、請求項3に記載の検出方法。
- 前記時間間隔の規則性を、前記組ごとに算出した時間間隔が実質的に同一であるかどうかにより検出する、請求項1から請求項4のいずれか1項に記載の検出方法。
- 前記時間間隔の規則性を、前記組ごとに算出した時間間隔が実質的に一定の範囲内で変動するかどうかにより検出する、請求項1から請求項5のいずれか1項に記載の検出方法。
- コンピュータに、
通信記録に含まれる通信元の識別情報および通信先の識別情報の組ごとに通信が行われた時間間隔を算出し、
前記組ごとに算出した時間間隔の規則性に基づいて、マルウェアによる通信が行われたかどうかを検出させるための、検出プログラム。 - 前記時間間隔の規則性の有無を、前記組ごとに算出した時間間隔の分布のエントロピーの大きさに基づいて検出する、請求項7に記載の検出プログラム。
- 前記組ごとに時間間隔を算出する際に、組ごとに算出した各時間間隔の個数を計数し、
前記組ごとに、前記計数した各時間間隔の個数の総和に対する時間間隔tの個数の割合p(t)に基づいて、前記エントロピーを算出する、請求項8に記載の検出プログラム。 - 前記エントロピーの大きさとして-p(t)logbp(t)についてのすべての時間間隔tに関する和に基づく値を算出する(ただし、bは対数関数logの底である。)、請求項9に記載の検出プログラム。
- 前記時間間隔の規則性を、前記組ごとに算出した時間間隔が実質的に同一であるかどうかにより検出する、請求項7から請求項10のいずれか1項に記載の検出プログラム。
- 前記時間間隔の規則性を、前記組ごとに算出した時間間隔が実質的に一定の範囲内で変動するかどうかにより検出する、請求項7から請求項11のいずれか1項に記載の検出プログラム。
- 通信記録に含まれる通信元の識別情報および通信先の識別情報の組ごとに通信が行われた時間間隔を算出する間隔算出部と、
前記間隔算出部により組ごとに算出された時間間隔の規則性に基づいて、マルウェアによる通信が行われたかどうかを検出する検出部と、
を有する検出装置。 - 前記検出部は、
前記間隔算出部により前記組ごとに算出された時間間隔の分布のエントロピーの大きさを算出するエントロピー算出部を有し、
前記エントロピー算出部により前記組ごとに算出されたエントロピーの大きさに基づいて前記時間間隔の規則性を検出する、請求項13に記載の検出装置。 - 前記間隔算出部は、組ごとに算出した各時間間隔の個数を計数し、
前記エントロピー算出部は、前記組ごとに、前記計数した各時間間隔の個数の総和に対する時間間隔tの個数の割合p(t)に基づいて、前記エントロピーを算出する、請求項14に記載の検出装置。 - 前記エントロピー算出部は、前記エントロピーとして-p(t)logbp(t)についてのすべての時間間隔tに関する和に基づく値を算出する(ただし、bは対数関数logの底である。)、請求項15に記載の検出装置。
- 前記時間間隔の規則性を、前記間隔算出部が前記組ごとに算出した時間間隔が実質的に同一であるかどうかにより検出する、請求項13から請求項16のいずれか1項に記載の検出装置。
- 前記時間間隔の規則性を、前記間隔算出部が前記組ごとに算出した時間間隔が実質的に一定の範囲内で変動するかどうかにより検出する、請求項13から請求項17のいずれか1項に記載の検出装置。
- 前記間隔算出部は、ホワイトリストに含まれる識別情報を含む通信記録を除外し、前記時間間隔を算出する、請求項13から請求項18のいずれか1項に記載の検出装置。
- 前記間隔算出部は、通信元の識別情報および通信先の識別情報の組ごとに通信の時間間隔が所定の値以下の時間間隔を除外し、前記時間間隔を算出する、請求項13から請求項19のいずれか1項に記載の検出装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022004041A JP7301181B2 (ja) | 2017-10-11 | 2022-01-14 | 検出方法、検出プログラムおよび検出装置 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017197520A JP2019070995A (ja) | 2017-10-11 | 2017-10-11 | 検出方法、検出プログラムおよび検出装置 |
JP2022004041A JP7301181B2 (ja) | 2017-10-11 | 2022-01-14 | 検出方法、検出プログラムおよび検出装置 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017197520A Division JP2019070995A (ja) | 2017-10-11 | 2017-10-11 | 検出方法、検出プログラムおよび検出装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022050617A true JP2022050617A (ja) | 2022-03-30 |
JP7301181B2 JP7301181B2 (ja) | 2023-06-30 |
Family
ID=86938383
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022004041A Active JP7301181B2 (ja) | 2017-10-11 | 2022-01-14 | 検出方法、検出プログラムおよび検出装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7301181B2 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005151289A (ja) * | 2003-11-18 | 2005-06-09 | Kddi Corp | ログ分析装置およびログ分析プログラム |
JP2006319633A (ja) * | 2005-05-12 | 2006-11-24 | Hitachi Ltd | ログ分析システム、分析方法及びログ分析装置 |
JP2014057307A (ja) * | 2012-09-11 | 2014-03-27 | Boeing Co | 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出 |
US20150304350A1 (en) * | 2012-06-25 | 2015-10-22 | Emc Corporation | Detection of malware beaconing activities |
-
2022
- 2022-01-14 JP JP2022004041A patent/JP7301181B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005151289A (ja) * | 2003-11-18 | 2005-06-09 | Kddi Corp | ログ分析装置およびログ分析プログラム |
JP2006319633A (ja) * | 2005-05-12 | 2006-11-24 | Hitachi Ltd | ログ分析システム、分析方法及びログ分析装置 |
US20150304350A1 (en) * | 2012-06-25 | 2015-10-22 | Emc Corporation | Detection of malware beaconing activities |
JP2014057307A (ja) * | 2012-09-11 | 2014-03-27 | Boeing Co | 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出 |
Also Published As
Publication number | Publication date |
---|---|
JP7301181B2 (ja) | 2023-06-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10404553B2 (en) | Method, system and computer program product for interception, quarantine and moderation of internal communications of uncontrolled systems | |
US8468606B2 (en) | Security handling based on risk management | |
US11831658B2 (en) | Endpoint security architecture with programmable logic engine | |
US20180234234A1 (en) | System for describing and tracking the creation and evolution of digital files | |
JP6058246B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
CA2710614C (en) | Intrusion detection systems and methods | |
JP2010026662A (ja) | 情報漏洩防止システム | |
JP2007047884A (ja) | 情報処理システム | |
WO2015114804A1 (ja) | 不正アクセスの検知方法および検知システム | |
US8255517B1 (en) | Method and apparatus to determine device mobility history | |
CN106796644B (zh) | 访问控制系统及访问控制方法 | |
TW201822053A (zh) | 攻擊節點偵測裝置、方法及其電腦程式產品 | |
US11321453B2 (en) | Method and system for detecting and classifying malware based on families | |
JP2022050617A (ja) | 検出方法、検出プログラムおよび検出装置 | |
KR20190010225A (ko) | 악성 트래픽 탐지 방법 및 그 장치 | |
JP6669679B2 (ja) | 分類装置、分類方法及び分類プログラム | |
JP6800744B2 (ja) | ホワイトリスト作成装置 | |
JP2020155986A (ja) | ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法 | |
CN114826727A (zh) | 流量数据采集方法、装置、计算机设备、存储介质 | |
JP2019175334A (ja) | 情報処理装置、制御方法、及びプログラム | |
US11971851B2 (en) | Hash code-based search apparatus and search method | |
JP2019070995A (ja) | 検出方法、検出プログラムおよび検出装置 | |
KR101999130B1 (ko) | 엔드포인트 dlp를 위한 2계층 기반의 기밀 정보 검출 시스템 및 방법 | |
RU2660643C1 (ru) | Система и способ выявления вредоносного CIL-файла | |
US20210385235A1 (en) | Security analysis assistance apparatus, security analysis assistance method, and computer-readable recording medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220207 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220207 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230414 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230613 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230616 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230620 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7301181 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |