JP5242775B2 - 低速および/または分散型のスキャニングマルウェアに感染した企業ネットワークホストを識別するための方法およびシステム - Google Patents
低速および/または分散型のスキャニングマルウェアに感染した企業ネットワークホストを識別するための方法およびシステム Download PDFInfo
- Publication number
- JP5242775B2 JP5242775B2 JP2011510084A JP2011510084A JP5242775B2 JP 5242775 B2 JP5242775 B2 JP 5242775B2 JP 2011510084 A JP2011510084 A JP 2011510084A JP 2011510084 A JP2011510084 A JP 2011510084A JP 5242775 B2 JP5242775 B2 JP 5242775B2
- Authority
- JP
- Japan
- Prior art keywords
- hosts
- host
- list
- monitored
- given
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
Claims (10)
- 低速および/または分散型のスキャニングマルウェアに感染していることが疑われる企業ネットワークホストを識別する方法であって、
ある測定期間内にそれぞれの所与のホストがパケットを送信または受信した企業ホストの測定期間リストを構築し、
測定期間リストからカウント値を導き出し、各カウント値が、測定期間内にそれぞれの所与の監視されるホストがパケットを送信または受信した他のホストの数を示すこと、
2つ以上の測定期間リストに基づいてそれぞれの所与の監視されるホストのカウント値を蓄積して累積カウント値を得ること、および
累積カウント値が閾値を超えた、監視される1つまたは複数のホストを、低速および/または分散型のスキャニングマルウェアに感染していることが疑われるとして選択的に識別することを含む、方法。 - 測定期間リストを構築することが、それぞれの所与のホストに関して、その所与のホストが測定期間内にパケットを送信した他のホストを示すファンアウトリストを作成することを含む、請求項1に記載の方法。
- 測定期間リストを構築することが、それぞれの所与のホストに関して、それぞれの所与のホストが測定期間内に受信したパケットの送信元の他のホストを示すファンインリストを作成することを含む、請求項1に記載の方法。
- 監視されるホストに関するカウント値の平均に少なくとも部分的に基づいて、閾値を計算することをさらに含む、請求項1に記載の方法。
- 監視されるホストから1つまたは複数の企業ホストを選択的に除外することをさらに含む、請求項1に記載の方法。
- 監視されるホストから1つまたは複数の企業ホストを選択的に除外することが、電子メールサーバ、ウェブプロキシ、またはNTPサーバの役割をする1つまたは複数のホストを除外することを含む、請求項5に記載の方法。
- 低速および/または分散型のスキャニングマルウェアに感染していることが疑われる企業ネットワークホストを識別するためのシステムであって、
企業ネットワークに動作可能に結合され、ある測定期間内にそれぞれの所与のホストがパケットを送信または受信した企業ホストの測定期間リストを構築するように動作するネットワーク要素と、
ネットワーク要素からの測定期間リストからカウント値を導き出し、各カウント値が測定期間内にそれぞれの所与の監視されるホストがパケットを送信または受信した他のホストの数を示し、2つ以上の測定期間リストに基づいてそれぞれの所与の監視されるホストのカウント値を蓄積して累積カウント値を得るように動作するマルウェア検出構成要素とを備え、
マルウェア検出構成要素が、累積カウント値が閾値を超えた、監視される1つまたは複数のホストを、低速および/または分散型のスキャニングマルウェアに感染していることが疑われるとして選択的に識別するように動作する分析構成要素を備える、システム。 - ネットワーク要素が企業スイッチである、請求項7に記載のシステム。
- マルウェア検出構成要素が、ネットワーク要素に動作可能に結合された企業管理ステーションにおいて実施される、請求項7に記載のシステム。
- 低速および/または分散型のスキャニングマルウェアに感染していることが疑われる企業ネットワークホストを識別する方法であって、
ある測定期間内にそれぞれの所与のホストがパケットを送信または受信した企業ホストの測定期間リストを構築し、
測定期間リストからカウント値を導き出し、各カウント値が測定期間内にそれぞれの所与の監視されるホストがパケットを送信または受信した他のホストの数を示すこと、
2つ以上の測定期間リストに基づいてそれぞれの所与の監視されるホストのカウント値を比較してカウント変化値を得ること、および
カウント変化値が変化閾値を超えた、監視される1つまたは複数のホストを、低速および/または分散型のスキャニングマルウェアに感染していることが疑われるとして選択的に識別することを含む、方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/124,431 | 2008-05-21 | ||
US12/124,431 US8341740B2 (en) | 2008-05-21 | 2008-05-21 | Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware |
PCT/IB2009/053478 WO2009141812A2 (en) | 2008-05-21 | 2009-05-14 | Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011522473A JP2011522473A (ja) | 2011-07-28 |
JP5242775B2 true JP5242775B2 (ja) | 2013-07-24 |
Family
ID=41254607
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011510084A Expired - Fee Related JP5242775B2 (ja) | 2008-05-21 | 2009-05-14 | 低速および/または分散型のスキャニングマルウェアに感染した企業ネットワークホストを識別するための方法およびシステム |
Country Status (6)
Country | Link |
---|---|
US (1) | US8341740B2 (ja) |
EP (1) | EP2294785A2 (ja) |
JP (1) | JP5242775B2 (ja) |
KR (1) | KR101286791B1 (ja) |
CN (1) | CN102037705A (ja) |
WO (1) | WO2009141812A2 (ja) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8955122B2 (en) | 2007-04-04 | 2015-02-10 | Sri International | Method and apparatus for detecting malware infection |
US8220054B1 (en) * | 2008-10-31 | 2012-07-10 | Trend Micro, Inc. | Process exception list updating in a malware behavior monitoring program |
US10187353B2 (en) * | 2010-06-02 | 2019-01-22 | Symantec Corporation | Behavioral classification of network data flows |
US20120066759A1 (en) * | 2010-09-10 | 2012-03-15 | Cisco Technology, Inc. | System and method for providing endpoint management for security threats in a network environment |
US20120090027A1 (en) * | 2010-10-12 | 2012-04-12 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting abnormal host based on session monitoring |
KR20120060655A (ko) * | 2010-12-02 | 2012-06-12 | 한국전자통신연구원 | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 |
US10574630B2 (en) * | 2011-02-15 | 2020-02-25 | Webroot Inc. | Methods and apparatus for malware threat research |
US8990938B2 (en) * | 2011-08-29 | 2015-03-24 | Arbor Networks, Inc. | Analyzing response traffic to detect a malicious source |
US20130333041A1 (en) * | 2012-06-12 | 2013-12-12 | International Business Machines Corporation | Method and Apparatus for Automatic Identification of Affected Network Resources After a Computer Intrusion |
WO2014195890A1 (en) | 2013-06-06 | 2014-12-11 | Topspin Security Ltd. | Methods and devices for identifying the presence of malware in a network |
US20150150079A1 (en) * | 2013-11-26 | 2015-05-28 | Bluecat Networks Inc. | Methods, systems and devices for network security |
US9781131B2 (en) * | 2015-04-22 | 2017-10-03 | Aktiebolaget Skf | Systems and methods for securing remote configuration |
US9571513B2 (en) * | 2015-04-23 | 2017-02-14 | International Business Machines Corporation | Monitoring device monitoring network |
US10219306B2 (en) * | 2015-05-08 | 2019-02-26 | Federated Wireless, Inc. | Cloud based access solution for enterprise deployment |
US9894036B2 (en) | 2015-11-17 | 2018-02-13 | Cyber Adapt, Inc. | Cyber threat attenuation using multi-source threat data analysis |
US11122039B2 (en) | 2015-12-23 | 2021-09-14 | Comptel Oy | Network management |
US10218733B1 (en) * | 2016-02-11 | 2019-02-26 | Awake Security, Inc. | System and method for detecting a malicious activity in a computing environment |
US10237287B1 (en) * | 2016-02-11 | 2019-03-19 | Awake Security, Inc. | System and method for detecting a malicious activity in a computing environment |
KR101951730B1 (ko) * | 2016-11-02 | 2019-02-25 | 주식회사 아이티스테이션 | 지능형 지속위협 환경에서의 통합 보안 시스템 |
US10931685B2 (en) * | 2016-12-12 | 2021-02-23 | Ut-Battelle, Llc | Malware analysis and recovery |
US11310249B2 (en) * | 2018-03-26 | 2022-04-19 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for defending computing systems from attack |
US10986116B1 (en) * | 2020-07-16 | 2021-04-20 | SOURCE Ltd. | System and method for analyzing and correcting an anomaly in split computer networks |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1483725A4 (en) * | 2002-01-22 | 2008-10-29 | Yeda Res & Dev | METHOD FOR ANALYZING DATA FOR IDENTIFYING NETWORK MOTIVES |
US20050033989A1 (en) * | 2002-11-04 | 2005-02-10 | Poletto Massimiliano Antonio | Detection of scanning attacks |
US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
US20050050337A1 (en) * | 2003-08-29 | 2005-03-03 | Trend Micro Incorporated, A Japanese Corporation | Anti-virus security policy enforcement |
US7725934B2 (en) * | 2004-12-07 | 2010-05-25 | Cisco Technology, Inc. | Network and application attack protection based on application layer message inspection |
US7607170B2 (en) * | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
US7587761B2 (en) * | 2005-06-10 | 2009-09-08 | At&T Corp. | Adaptive defense against various network attacks |
US20060294588A1 (en) * | 2005-06-24 | 2006-12-28 | International Business Machines Corporation | System, method and program for identifying and preventing malicious intrusions |
JP2007013263A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
US7979368B2 (en) * | 2005-07-01 | 2011-07-12 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
US7757283B2 (en) * | 2005-07-08 | 2010-07-13 | Alcatel Lucent | System and method for detecting abnormal traffic based on early notification |
US7584507B1 (en) * | 2005-07-29 | 2009-09-01 | Narus, Inc. | Architecture, systems and methods to detect efficiently DoS and DDoS attacks for large scale internet |
US8438643B2 (en) * | 2005-09-22 | 2013-05-07 | Alcatel Lucent | Information system service-level security risk analysis |
US8544098B2 (en) * | 2005-09-22 | 2013-09-24 | Alcatel Lucent | Security vulnerability information aggregation |
US20070067845A1 (en) * | 2005-09-22 | 2007-03-22 | Alcatel | Application of cut-sets to network interdependency security risk assessment |
US7712134B1 (en) * | 2006-01-06 | 2010-05-04 | Narus, Inc. | Method and apparatus for worm detection and containment in the internet core |
US20070226799A1 (en) * | 2006-03-21 | 2007-09-27 | Prem Gopalan | Email-based worm propagation properties |
US8510834B2 (en) * | 2006-10-09 | 2013-08-13 | Radware, Ltd. | Automatic signature propagation network |
US7768921B2 (en) * | 2006-10-30 | 2010-08-03 | Juniper Networks, Inc. | Identification of potential network threats using a distributed threshold random walk |
US7792779B2 (en) * | 2007-06-05 | 2010-09-07 | Intel Corporation | Detection of epidemic outbreaks with Persistent Causal-Chain Dynamic Bayesian Networks |
US20090276852A1 (en) * | 2008-05-01 | 2009-11-05 | International Business Machines Corporation | Statistical worm discovery within a security information management architecture |
-
2008
- 2008-05-21 US US12/124,431 patent/US8341740B2/en active Active
-
2009
- 2009-05-14 EP EP09750265A patent/EP2294785A2/en not_active Withdrawn
- 2009-05-14 JP JP2011510084A patent/JP5242775B2/ja not_active Expired - Fee Related
- 2009-05-14 WO PCT/IB2009/053478 patent/WO2009141812A2/en active Application Filing
- 2009-05-14 KR KR1020107026022A patent/KR101286791B1/ko not_active IP Right Cessation
- 2009-05-14 CN CN200980118182XA patent/CN102037705A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
JP2011522473A (ja) | 2011-07-28 |
WO2009141812A2 (en) | 2009-11-26 |
KR20100135926A (ko) | 2010-12-27 |
KR101286791B1 (ko) | 2013-07-17 |
WO2009141812A3 (en) | 2010-01-14 |
US20090293122A1 (en) | 2009-11-26 |
EP2294785A2 (en) | 2011-03-16 |
US8341740B2 (en) | 2012-12-25 |
CN102037705A (zh) | 2011-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5242775B2 (ja) | 低速および/または分散型のスキャニングマルウェアに感染した企業ネットワークホストを識別するための方法およびシステム | |
AU2019216687B2 (en) | Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness | |
US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
Fachkha et al. | Internet-scale Probing of CPS: Inference, Characterization and Orchestration Analysis. | |
Oprea et al. | Detection of early-stage enterprise infection by mining large-scale log data | |
Bhuyan et al. | E‐LDAT: a lightweight system for DDoS flooding attack detection and IP traceback using extended entropy metric | |
JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
Elejla et al. | Intrusion detection systems of ICMPv6-based DDoS attacks | |
Bouyeddou et al. | Detection of smurf flooding attacks using Kullback-Leibler-based scheme | |
Haddadi et al. | DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment | |
Bou-Harb et al. | A systematic approach for detecting and clustering distributed cyber scanning | |
CN110581850A (zh) | 一种基于网络流量基因检测方法 | |
CN112261052A (zh) | 基于流规则分析的sdn数据平面异常行为检测方法及系统 | |
CN108322454B (zh) | 一种网络安全检测方法及装置 | |
KR101124615B1 (ko) | 집단행동 악성코드 검색 방법 및 장치 | |
Yong et al. | Understanding botnet: From mathematical modelling to integrated detection and mitigation framework | |
Kongshavn et al. | Mitigating DDoS using weight‐based geographical clustering | |
Shaikh et al. | Effective network security monitoring: from attribution to target-centric monitoring | |
KR20100084488A (ko) | 집단행동 악성코드 검색 방법 및 장치 | |
Zhou et al. | Limiting self-propagating malware based on connection failure behavior | |
Ibrahim | A comprehensive study of distributed denial of service attack with the detection techniques | |
Bou-Harb et al. | On detecting and clustering distributed cyber scanning | |
Hsin et al. | A study of alert-based collaborative defense | |
Xu et al. | Defense of scapegoating attack in network tomography | |
Zhang et al. | Hybrid spreading of the internet worm conficker |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110118 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120725 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120821 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121116 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130306 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130403 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160412 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |