JP5046836B2 - 不正検知装置、プログラム、および記録媒体 - Google Patents
不正検知装置、プログラム、および記録媒体 Download PDFInfo
- Publication number
- JP5046836B2 JP5046836B2 JP2007258619A JP2007258619A JP5046836B2 JP 5046836 B2 JP5046836 B2 JP 5046836B2 JP 2007258619 A JP2007258619 A JP 2007258619A JP 2007258619 A JP2007258619 A JP 2007258619A JP 5046836 B2 JP5046836 B2 JP 5046836B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- value
- block
- communication
- fraud detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
仲小路博史、寺田真敏、州崎誠一、"ワームのノード探索特性の定量化に関する提案"、情報処理学会、第38回CSEC研究会、情処研報、Vol. 2007, No. 71、2007年7月
次に、本実施形態による不正検知装置の動作を説明する。まず、第1の動作例を説明する。図2は、不正通信データに関する処理の手順を示している。不正通信データに関する処理が開始されると、通信プロトコルの選択が行われる(ステップS100)。多くの攻撃に関わる通信は、ICMP、TCP、UDP、またはそれら以外の単独の通信プロトコルを用いて行われる場合が多い。そこで、不正通信データが有する通信パターンの数値化を行うにあたり、これらの通信プロトコルを区別して通信パターンの数値化を行う。ただし、攻撃によってはICMPとUDP、またはICMPとTCP等、複数の通信プロトコルが組み合わされて攻撃が行われる場合もあるので、各通信プロトコルを区別しないで通信パターンの数値化を行う場合もある。
次に、第2の動作例を説明する。第2の動作例では、分析対象の通信に係る通信データに関する処理において、ウィルスによる通信パターンと類似する通信パターンを見つけやすくするため、分析対象の通信に係る通信データの絞り込みを行う。不正通信データに関する処理は第1の動作例と同様である。以下、分析対象の通信に係る通信データに関する処理の内容を説明する。図7は、分析対象の通信に係る通信データに関する処理の手順を示している。
次に、第3の動作例を説明する。第3の動作例でも第2の動作例と同様に、分析対象の通信に係る通信データに関する処理において、ウィルスによる通信パターンと類似する通信パターンを見つけやすくするため、分析対象の通信に係る通信データの絞り込みを行う。不正通信データに関する処理は第1の動作例と同様である。以下、分析対象の通信に係る通信データに関する処理の内容を説明する。図8は、分析対象の通信に係る通信データに関する処理の手順を示している。
次に、本実施形態の変形例を説明する。上記ではIPアドレスを構成する各ブロックについて、出現したアドレス値の分散度を示す値として情報エントロピー値を算出しているが、情報エントロピー値の代わりにアドレス値の出現種類数を算出してもよい。アドレス値の出現種類数を用いる場合の処理は、上記の第1〜第3の動作例の説明における情報エントロピー値を全てアドレス値の出現種類数に置き換えた処理となる。
Claims (9)
- コンピュータウィルスによる不正な通信に係る送受信の関係を示す第1のIPアドレスおよび第2のIPアドレスを構成する各ブロックのアドレス値と、分析対象の通信に係る送受信の関係を示す第3のIPアドレスおよび第4のIPアドレスを構成する各ブロックのアドレス値とを記憶する第1の記憶手段と、
前記第1のIPアドレスおよび前記第2のIPアドレスを構成する各ブロックについて、出現したアドレス値の分散度を示す第1の値を算出する第1の算出手段と、
前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックについて、出現したアドレス値の分散度を示す第2の値を算出する第2の算出手段と、
各ブロックの前記第1の値および前記第2の値に基づいて、前記不正な通信と前記分析対象の通信の類似度を判定し、当該類似度が高い場合に不正が発生したと判定する不正検知手段と、
を備えたことを特徴とする不正検知装置。 - 前記第3のIPアドレスおよび前記第4のIPアドレスを構成するブロックのうち特定のブロックのアドレス値の出現頻度に基づいて、前記第1の記憶手段が記憶するアドレス値から一部を抽出する抽出手段をさらに備え、
前記第2の算出手段は、前記抽出手段によって抽出された、前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックのアドレス値について、前記第2の値を算出する
ことを特徴とする請求項1に記載の不正検知装置。 - 各ブロックの前記第2の値に基づいて、注目ブロックを決定する決定手段と、
前記注目ブロックのアドレス値の出現頻度に基づいて、前記第1の記憶手段が記憶するアドレス値から一部を抽出する抽出手段とを備え、
前記第2の算出手段は、前記抽出手段によって抽出された、前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックのアドレス値について、前記第2の値を再度算出する
ことを特徴とする請求項1に記載の不正検知装置。 - 前記第1の値は、前記第1のIPアドレスおよび前記第2のIPアドレスを構成する各ブロックについてのアドレス値の出現頻度に基づいた第1のエントロピー値であり、前記第2の値は、前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックについてのアドレス値の出現頻度に基づいた第2のエントロピー値であることを特徴とする請求項1〜請求項3のいずれかに記載の不正検知装置。
- 前記第1の値は、前記第1のIPアドレスおよび前記第2のIPアドレスを構成する各ブロックについてのアドレス値の第1の出現種類数であり、前記第2の値は、前記第3のIPアドレスおよび前記第4のIPアドレスを構成する各ブロックについてのアドレス値の第2の出現種類数であることを特徴とする請求項1〜請求項4のいずれかに記載の不正検知装置。
- 前記第1の値と前記コンピュータウィルスの識別情報とを関連付けて記憶する第2の記憶手段をさらに備えたことを特徴とする請求項1〜請求項5のいずれかに記載の不正検知装置。
- 前記不正検知手段は、各ブロックについての前記第1の値および前記第2の値の相関分析により、相関度を示す相関値を算出し、当該相関値と所定値を比較し、当該相関値が所定値以上である場合に不正が発生したと判定することを特徴とする請求項1〜請求項6のいずれかに記載の不正検知装置。
- 請求項1〜請求項7のいずれかに記載の不正検知装置としてコンピュータを機能させるためのプログラム。
- 請求項8に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007258619A JP5046836B2 (ja) | 2007-10-02 | 2007-10-02 | 不正検知装置、プログラム、および記録媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007258619A JP5046836B2 (ja) | 2007-10-02 | 2007-10-02 | 不正検知装置、プログラム、および記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009087208A JP2009087208A (ja) | 2009-04-23 |
JP5046836B2 true JP5046836B2 (ja) | 2012-10-10 |
Family
ID=40660523
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007258619A Expired - Fee Related JP5046836B2 (ja) | 2007-10-02 | 2007-10-02 | 不正検知装置、プログラム、および記録媒体 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5046836B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4825767B2 (ja) * | 2007-10-02 | 2011-11-30 | Kddi株式会社 | 異常検知装置、プログラム、および記録媒体 |
US9122877B2 (en) | 2011-03-21 | 2015-09-01 | Mcafee, Inc. | System and method for malware and network reputation correlation |
US9106680B2 (en) * | 2011-06-27 | 2015-08-11 | Mcafee, Inc. | System and method for protocol fingerprinting and reputation correlation |
US8931043B2 (en) | 2012-04-10 | 2015-01-06 | Mcafee Inc. | System and method for determining and using local reputations of users and hosts to protect information in a network environment |
US10491616B2 (en) * | 2017-02-13 | 2019-11-26 | Microsoft Technology Licensing, Llc | Multi-signal analysis for compromised scope identification |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006077666A1 (ja) * | 2004-12-28 | 2006-07-27 | Kyoto University | 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体 |
JP4655028B2 (ja) * | 2006-11-20 | 2011-03-23 | セイコーエプソン株式会社 | ワームの感染防止システム |
-
2007
- 2007-10-02 JP JP2007258619A patent/JP5046836B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2009087208A (ja) | 2009-04-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
US8516573B1 (en) | Method and apparatus for port scan detection in a network | |
TWI674777B (zh) | 異常流量偵測裝置及其異常流量偵測方法 | |
US20060161986A1 (en) | Method and apparatus for content classification | |
JP2015076863A (ja) | ログ分析装置、方法およびプログラム | |
JP6306739B2 (ja) | 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム | |
JP5046836B2 (ja) | 不正検知装置、プログラム、および記録媒体 | |
JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
JP5345492B2 (ja) | Dnsトラフィックデータを利用したボット感染者検知方法 | |
US20100251364A1 (en) | Method and apparatus for classifying harmful packet | |
JP2008176753A (ja) | データ類似性検査方法及び装置 | |
JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
JP5286018B2 (ja) | 情報処理装置、プログラム、および記録媒体 | |
JP4825767B2 (ja) | 異常検知装置、プログラム、および記録媒体 | |
Wang et al. | Alert correlation system with automatic extraction of attack strategies by using dynamic feature weights | |
EP3242240B1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program | |
JP4161989B2 (ja) | ネットワーク監視システム | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
Yilmaz et al. | Early detection of botnet activities using grammatical evolution | |
CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
JP2007165990A (ja) | Ipアドレス変換方法及び情報処理装置 | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
Raheja et al. | Rule‐Based Approach for Botnet Behavior Analysis | |
CN108347447B (zh) | 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100716 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100720 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111111 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120214 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120315 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20120316 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120619 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120717 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150727 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5046836 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |