JP5952220B2 - ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム - Google Patents
ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム Download PDFInfo
- Publication number
- JP5952220B2 JP5952220B2 JP2013109100A JP2013109100A JP5952220B2 JP 5952220 B2 JP5952220 B2 JP 5952220B2 JP 2013109100 A JP2013109100 A JP 2013109100A JP 2013109100 A JP2013109100 A JP 2013109100A JP 5952220 B2 JP5952220 B2 JP 5952220B2
- Authority
- JP
- Japan
- Prior art keywords
- monitoring
- file
- probability
- resource location
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000012544 monitoring process Methods 0.000 title claims description 306
- 238000004364 calculation method Methods 0.000 title claims description 173
- 238000001514 detection method Methods 0.000 claims description 32
- 230000007704 transition Effects 0.000 claims description 28
- 238000012806 monitoring device Methods 0.000 claims description 17
- 230000008859 change Effects 0.000 claims description 10
- 238000000034 method Methods 0.000 description 24
- 239000000523 sample Substances 0.000 description 20
- 238000010586 diagram Methods 0.000 description 18
- 230000006870 function Effects 0.000 description 16
- 230000005540 biological transmission Effects 0.000 description 12
- 230000008569 process Effects 0.000 description 10
- 230000000694 effects Effects 0.000 description 7
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 4
- 230000010365 information processing Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Description
図1は、実施形態に係るファイル監視周期算出システムを適用するネットワークモデルの一例を示す図である。図1のネットワークモデルにおいては、攻撃者A(端末装置1)が、ボットB1〜Bi(1≦i≦N、Nは1より大きい自然数)を利用して被攻撃者V(サーバ2)を攻撃する。
1.攻撃者Aは、一定の攻撃レートαで、被攻撃者Vに対する攻撃を実行する。
2.攻撃者Aは、一定の停止レートηで、攻撃に使用するボットBiの使用を停止する。
3.攻撃者Aは、一定の開始レートζで、攻撃に使用していないボットBiを用いた攻撃を開始する。
4.被攻撃者Vは、一定の検知レートβで、ブラックリストに登録されていないボットBiを利用した攻撃を検知する。
5.被攻撃者Vは、一定の送信レートγで、ブラックリストに登録されたボットBiにプローブを送信する。
7.ボットBiがブラックリストliに登録されているときは、li=1と表し、ボットBiがブラックリストliに登録されていないときは、li=0と表す。
図2は、実施形態に係るファイル監視周期算出装置10の構成の一例を示す図である。図2を参照して、ファイル監視周期算出装置10の構成の一例について説明する。ファイル監視周期算出装置10は、図1のサーバ2に相当する。
次に、図4を参照して、実施形態に係るネットワークモデル上でのボットB1とB2の状態遷移について説明する。図4は、実施形態における状態遷移モデルの一例を示す図である。図4は、ボットB1が攻撃に使用される場合にボットB1とB2の状態に注目した状態遷移図の一部である。
停止レートη、すなわち変動確率はたとえば、マルウェアダウンロードサイト監視部103が監視する統一資源位置指定子に配置されたファイルに変化がない時間の平均値を求めることで算出する。
また、検知レートβ、すなわち、出現確率はたとえば、サーバ2に対するアクセス中に同じアクセス元と統一資源位置指定子が出現する出現頻度の周期性に基づいて算出することができる。
次に、図7を参照して、ファイル監視周期算出装置10の動作の流れの一例について説明する。図7は、実施形態におけるファイル監視周期算出装置10の動作の一例を説明するための図である。
上述のように、実施形態に係るファイル監視周期算出装置およびファイル監視周期算出システムは、不正なファイルが配置される統一資源位置指定子を検出し、当該統一資源位置指定子に配置されるファイルを監視する監視部と、統一資源位置指定子を用いたアクセスの数を取得し、統一資源位置指定子を用いたアクセスが出現する確率である出現確率を算出する第1の算出部と、統一資源位置指定子のファイルが変動する確率である変動確率を算出する第2の算出部と、不正なファイルが配置される統一資源位置指定子に対する監視を検出する確率である発見確率を算出する第3の算出部と、出現確率、変動確率および発見確率に基づき、監視部がファイルの監視を実行する周期を決定する決定部と、を備える。このため、アクセス元の攻撃状況に応じた監視周期を設定して、アクセス元に監視を検知される可能性を抑制しつつ、不正なファイルの移動や変化を早期に検知することができる。
本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。例えば、攻撃元の情報は監視部101が検出し、ブラックリスト108に登録するものとしたが、サーバ20のログ等からオペレータが検出して手入力するものとしてもよい。この他、上述文書中や図面中に示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
図9は、ファイル監視周期算出システムによる一連の処理を実行するプログラムであるファイル監視周期算出プログラムによる情報処理が、コンピュータを用いて具体的に実現されることを示す図である。図9に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブ1080と、ネットワークインタフェース1070とを有する。コンピュータ1000の各部はバス1100によって接続される。
なお、本実施形態で説明したファイル監視周期算出プログラムは、インターネット等のネットワークを介して配布することができる。また、ファイル監視周期算出プログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読取可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
2 サーバ
10 ファイル監視周期算出装置
20 おとりサーバ
101 監視部
102 監視連携部
103 マルウェアダウンロードサイト監視部
104 出現確率算出部
105 変動確率算出部
106 発見確率算出部
107 監視周期算出部
108 ブラックリスト
1000 コンピュータ
1010 メモリ
1011 ROM
1012 RAM
1020 CPU
1070 ネットワークインタフェース
1080 ハードディスクドライブ
1081 OS
1082 アプリケーションプログラム
1083 プログラムモジュール
1084 プログラムデータ
1100 バス
Claims (9)
- 不正なファイルが配置される統一資源位置指定子を検出し、当該統一資源位置指定子に配置されるファイルを監視する監視部と、
前記統一資源位置指定子を用いたアクセスの数を取得し、前記統一資源位置指定子を用いたアクセスが出現する確率である出現確率を算出する第1の算出部と、
前記統一資源位置指定子のファイルが変動する確率である変動確率を算出する第2の算出部と、
不正なファイルが配置される統一資源位置指定子に対する監視を検出する確率である発見確率を算出する第3の算出部と、
前記出現確率、前記変動確率および前記発見確率に基づき、前記監視部がファイルの監視を実行する周期を決定する決定部と、
を備えるファイル監視周期算出装置。 - ネットワークを介して所定の統一資源位置指定子に配置されるファイルを取得するサーバと、
前記サーバに対する不正なアクセスを監視する監視装置と、
を備えるファイル監視周期算出システムであって、
前記監視装置は、
不正なファイルが配置される統一資源位置指定子を検出し、当該統一資源位置指定子に配置されるファイルを監視する監視部と、
前記統一資源位置指定子を用いたアクセスの数を取得し、前記統一資源位置指定子を用いたアクセスが出現する確率である出現確率を算出する第1の算出部と、
前記統一資源位置指定子のファイルが変動する確率である変動確率を算出する第2の算出部と、
不正なファイルが配置される統一資源位置指定子に対する監視を検出する確率である発見確率を算出する第3の算出部と、
前記出現確率、前記変動確率および前記発見確率に基づき、前記監視部がファイルの監視を実行する周期を決定する決定部と、
を備えるファイル監視周期算出システム。 - 前記第1の算出部は、前記サーバへのアクセスにおいて、所定のアクセス元と所定の統一資源位置指定子の出現頻度の周期性に基づいて、前記出現確率を算出することを特徴とする請求項2に記載のファイル監視周期算出システム。
- 前記監視装置は、前記所定の統一資源位置指定子を、前記サーバまたは前記ネットワーク上で検出する検出部をさらに備え、
前記第1の算出部は、前記検出部の検出結果に基づき、前記所定の統一資源位置指定子の出現頻度を算出することを特徴とする請求項3に記載のファイル監視周期算出システム。 - 前記監視部は、前記統一資源位置指定子に配置されるファイルの変化の有無を監視し、
前記第2の算出部は、前記監視部が前記ファイルに変化がないことを検出した時間の平均値に基づき、前記変動確率を算出することを特徴とする請求項2に記載のファイル監視周期算出システム。 - 前記監視装置はさらに、
不正なファイルが配置される可能性がある1以上の統一資源位置指定子を特定する特定部と、
前記1以上の統一資源位置指定子にファイルが配置されているか否か、および、前記1以上の統一資源位置指定子が前記監視部の監視対象であるか否かに基づき、前記1以上の統一資源位置指定子のファイルの状態を規定する規定部と、
を備え、
前記決定部は、前記出現確率、前記変動確率、前記発見確率および前記監視部によるファイルの監視周期にもとづいて、前記状態間の遷移確率を算出し、前記監視周期を変化させた場合の前記状態各々の定常分布確率を算出し、所定の状態および状態群のうち少なくとも一方について前記定常分布確率が最大となる監視周期を、前記周期として決定することを特徴とする請求項2に記載のファイル監視周期算出システム。 - ネットワークを介して所定の統一資源位置指定子に配置されるファイルを取得するサーバと、
前記サーバに対する不正なアクセスを監視する監視装置と、
を備えるファイル監視周期算出システムで実行されるファイル監視周期算出方法であって、
前記監視装置は、不正なファイルが配置される統一資源位置指定子を検出し、当該統一資源位置指定子に配置されるファイルを監視する監視工程と、
前記監視装置は、前記統一資源位置指定子を用いたアクセスの数を取得し、前記統一資源位置指定子を用いたアクセスが出現する確率である出現確率を算出する第1の算出工程と、
前記監視装置は、前記統一資源位置指定子のファイルが変動する確率である変動確率を算出する第2の算出工程と、
前記監視装置は、不正なファイルが配置される統一資源位置指定子に対する監視を検出する確率である発見確率を算出する第3の算出工程と、
前記監視装置は、前記出現確率、前記変動確率および前記発見確率に基づき、前記監視工程においてファイルの監視を実行する周期を決定する決定工程と、
を含んだことを特徴とするファイル監視周期算出方法。 - 不正なファイルが配置される統一資源位置指定子を検出し、当該統一資源位置指定子に配置されるファイルを監視する監視ステップと、
前記統一資源位置指定子を用いたアクセスの数を取得し、前記統一資源位置指定子を用いたアクセスが出現する確率である出現確率を算出する第1の算出ステップと、
前記統一資源位置指定子のファイルが変動する確率である変動確率を算出する第2の算出ステップと、
不正なファイルが配置される統一資源位置指定子に対する監視を検出する確率である発見確率を算出する第3の算出ステップと、
前記出現確率、前記変動確率および前記発見確率に基づき、前記統一資源位置指定子に配置されるファイルの監視を実行する周期を決定する決定ステップと、
をコンピュータに実行させるためのファイル監視周期算出プログラム。 - コンピュータを請求項1に記載のファイル監視周期算出装置として機能させるためのファイル監視周期算出プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013109100A JP5952220B2 (ja) | 2013-05-23 | 2013-05-23 | ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013109100A JP5952220B2 (ja) | 2013-05-23 | 2013-05-23 | ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014229127A JP2014229127A (ja) | 2014-12-08 |
JP5952220B2 true JP5952220B2 (ja) | 2016-07-13 |
Family
ID=52128912
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013109100A Expired - Fee Related JP5952220B2 (ja) | 2013-05-23 | 2013-05-23 | ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5952220B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11604879B2 (en) | 2017-07-12 | 2023-03-14 | Nec Corporation | Attestation system, attestation method, and attestation program |
JP7020362B2 (ja) * | 2018-10-10 | 2022-02-16 | 日本電信電話株式会社 | 探索装置、探索方法及び探索プログラム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005008457A1 (en) * | 2003-07-08 | 2005-01-27 | Seventh Knight | Automatic regeneration of computer files description |
JP5116447B2 (ja) * | 2007-11-16 | 2013-01-09 | Kddi株式会社 | ポリシ生成システム、プログラム、および記録媒体 |
JP5389740B2 (ja) * | 2010-06-08 | 2014-01-15 | 日本電信電話株式会社 | 更新方法、更新装置及び更新システム |
-
2013
- 2013-05-23 JP JP2013109100A patent/JP5952220B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2014229127A (ja) | 2014-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11843666B2 (en) | Sub-networks based security method, apparatus and product | |
US9774601B2 (en) | Security of computer resources | |
US10354072B2 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
US10095866B2 (en) | System and method for threat risk scoring of security threats | |
US8904529B2 (en) | Automated deployment of protection agents to devices connected to a computer network | |
US8256003B2 (en) | Real-time network malware protection | |
US9948667B2 (en) | Signature rule processing method, server, and intrusion prevention system | |
US8312537B1 (en) | Reputation based identification of false positive malware detections | |
US20080148381A1 (en) | Methods, systems, and computer program products for automatically configuring firewalls | |
JP5655191B2 (ja) | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム | |
EP3374870B1 (en) | Threat risk scoring of security threats | |
USRE48043E1 (en) | System, method and computer program product for sending unwanted activity information to a central system | |
JP5952220B2 (ja) | ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム | |
JP5389740B2 (ja) | 更新方法、更新装置及び更新システム | |
JP5952219B2 (ja) | ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム | |
JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
Tupakula et al. | Trust enhanced security architecture for detecting insider threats | |
JP2015082191A (ja) | 情報処理装置、情報処理方法 | |
JP2023177332A (ja) | コンピュータ又はコンピュータネットワークにおける脅威検出の構成及び方法 | |
CN114189360A (zh) | 态势感知的网络漏洞防御方法、装置及系统 | |
Yagi et al. | Life-cycle monitoring scheme of malware download sites for websites | |
TW202217617A (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
WO2013081521A1 (en) | Monitoring traffic in a communication network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150623 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160516 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160607 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160609 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5952220 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |