JP6159018B2 - 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム - Google Patents
抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム Download PDFInfo
- Publication number
- JP6159018B2 JP6159018B2 JP2016508722A JP2016508722A JP6159018B2 JP 6159018 B2 JP6159018 B2 JP 6159018B2 JP 2016508722 A JP2016508722 A JP 2016508722A JP 2016508722 A JP2016508722 A JP 2016508722A JP 6159018 B2 JP6159018 B2 JP 6159018B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- extraction
- extraction condition
- log information
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
Description
(情報収集配信サーバを適用するネットワーク構成)
図1は、第1の実施形態に係る情報収集配信サーバを適用するネットワーク構成の一例を示す図である。
図2は、第1の実施形態に係る情報収集配信サーバ10の構成を示すブロック図である。図2に示すように、この情報収集配信サーバ10は、通信制御I/F11、制御部12、記憶部13を有する。以下にこれらの各部の処理を説明する。
図7は、第1の実施形態に係る情報収集配信サーバ10の処理手順を説明するためのフローチャートである。
図8〜図10は、第1の実施形態に係る情報収集配信サーバ10の適用例を説明するための図である。ここでは、情報収集配信サーバ10が、図5に示した解析情報を用いて、図8〜図10に示した各抽出条件a〜cを採用するか否かを決定する場合の処理を説明する。なお、ここでは、抽出条件決定部124は、抽出された全てのトラヒックログに対する悪性トラヒックログの割合が95%以上である場合に、抽出に用いた抽出条件を採用することを決定する場合を説明する。
上述してきたように、情報収集配信サーバ10において、抽出条件記憶部133は、通信のログ情報から悪性の通信を抽出するための条件が定義された抽出条件を記憶する。また、ログ情報収集部121は、悪性の通信が既知であるログ情報を収集する。また、通信ログ抽出部123は、抽出条件記憶部133を参照し、収集されたログ情報からその条件に適合する通信を抽出する。また、抽出条件決定部124は、抽出された通信に対する悪性の通信の割合が閾値以上である場合に、抽出条件を採用することを決定する。また、出力制御部125は、決定された結果を出力する制御を行う。このため、第1の実施形態に係る情報収集配信サーバ10は、誤検知を抑制することができる。
上述した処理によって採用された抽出条件を用いることで、情報収集配信サーバ10は、悪性の通信が未知であるログ情報から悪性の通信を検出することができる。
さて、これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、種々の異なる形態にて実施されてよいものである。
例えば、上記の実施形態では、抽出された通信に対する悪性の通信の割合が閾値以上である場合に、抽出に用いた抽出条件を採用する場合を説明したが、実施形態はこれに限定されるものではない。例えば、実施形態は、抽出された通信に対する良性の通信の割合が閾値以上である場合に、抽出に用いた抽出条件を採用しない場合であっても良い。すなわち、抽出条件決定部124は、抽出された通信に対する特定種類の通信の割合が閾値以上であるか否かに応じて、抽出に用いた抽出条件を採用するか否かを決定する。
また、本実施形態において説明した各処理の内、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上述文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
上記実施形態で説明した情報収集配信サーバ10は、あらかじめ用意されたプログラムをコンピュータで実行することで実現することもできる。そこで、以下では、図2に示した情報収集配信サーバ10と同様の機能を実現する抽出条件決定プログラムを実行するコンピュータの一例を説明する。
12 制御部
13 記憶部
121 ログ情報収集部
123 通信ログ抽出部
124 抽出条件決定部
125 出力制御部
133 抽出条件記憶部
Claims (8)
- 抽出条件決定装置で実行される抽出条件決定方法であって、
所定の期間における悪性の通信と良性の通信とが混在する通信のログ情報であって、悪性の通信が既知であるログ情報を収集する収集工程と、
前記ログ情報における通信元ごとに解析し、該通信元ごとの所定の項目の統計値を含む解析情報を生成する解析工程と、
前記ログ情報から悪性の通信を抽出するための条件が定義された抽出条件を記憶する記憶部を参照し、前記解析情報から当該条件に適合する通信を抽出する抽出工程と、
抽出された全ての通信に対する前記悪性の通信の割合が閾値以上であるか否かを判定し、前記全ての通信に対する前記悪性の通信の割合が閾値以上である場合に、当該抽出条件を採用することを決定する決定工程と、
採用された抽出条件を出力する制御を行う出力制御工程と
を含んだことを特徴とする抽出条件決定方法。 - 前記記憶部は、前記条件が複数定義された抽出条件を記憶し、
前記抽出工程は、前記複数の条件に適合する通信を前記ログ情報から抽出することを特徴とする請求項1に記載の抽出条件決定方法。 - 前記記憶部は、前記複数の条件が所定の順序で定義された抽出条件を記憶し、
前記抽出工程は、前記複数の条件に所定の順序で適合する通信を前記ログ情報から抽出することを特徴とする請求項2に記載の抽出条件決定方法。 - 前記収集工程は、前記ログ情報として、前記悪性の通信が未知である未知ログ情報を収集し、
前記抽出工程は、前記未知ログ情報から前記条件に適合する通信を抽出し、
前記出力制御工程は、前記未知ログ情報から抽出された通信の特徴を示す特徴情報を、ネットワークにおける通信を監視する通信監視装置に出力することで、前記通信監視装置に前記特徴情報と一致する通信を検知させることを特徴とする請求項1〜3のいずれか一つに記載の抽出条件決定方法。 - 通信監視装置と、抽出条件決定装置とを備えた通信監視システムであって、
前記通信監視装置は、ネットワークにおける通信を監視し、
前記抽出条件決定装置は、
通信のログ情報から特定種類の通信を抽出するための条件が定義された抽出条件を記憶する記憶部と、
所定の期間における通信のログ情報であって、特定種類の通信が既知であるログ情報を前記通信監視装置から収集する収集部と、
前記記憶部を参照し、収集されたログ情報から前記条件に適合する通信を抽出する抽出部と、
抽出された通信に対する前記特定種類の通信の割合が閾値以上である場合に、当該抽出条件を採用することを決定する決定部と、
採用された抽出条件を出力する制御を行う出力制御部と
を備えたことを特徴とする通信監視システム。 - 前記収集部は、前記ログ情報として、前記特定種類の通信が未知である未知ログ情報を収集し、
前記抽出部は、前記未知ログ情報から前記条件に適合する通信を抽出し、
前記出力制御部は、前記未知ログ情報から抽出された通信の特徴を示す特徴情報を前記通信監視装置に出力し、
前記通信監視装置は、出力された特徴情報と一致する通信を前記ネットワークにおける通信から検知することを特徴とする請求項5に記載の通信監視システム。 - 通信のログ情報から特定種類の通信を抽出するための条件が定義された抽出条件を記憶する記憶部と、
所定の期間における悪性の通信と良性の通信とが混在する通信のログ情報であって、悪性の通信が既知であるログ情報を収集する収集部と、
前記ログ情報における通信元ごとに解析し、該通信元ごとの所定の項目の統計値を含む解析情報を生成する解析部と、
前記記憶部を参照し、前記解析情報から前記条件に適合する通信を抽出する抽出部と、
抽出された全ての通信に対する前記悪性の通信の割合が閾値以上であるか否かを判定し、前記全ての通信に対する前記悪性の通信の割合が閾値以上である場合に、当該抽出条件を採用することを決定する決定部と、
採用された抽出条件を出力する制御を行う出力制御部と
を備えたことを特徴とする抽出条件決定装置。 - 所定の期間における悪性の通信と良性の通信とが混在する通信のログ情報であって、悪性の通信が既知であるログ情報を収集する収集ステップと、
前記ログ情報における通信元ごとに解析し、該通信元ごとの所定の項目の統計値を含む解析情報を生成する解析ステップと、
前記ログ情報から特定種類の通信を抽出するための条件が定義された抽出条件を記憶する記憶部を参照し、前記解析情報から当該条件に適合する通信を抽出する抽出ステップと、
抽出された全ての通信に対する前記悪性の通信の割合が閾値以上であるか否かを判定し、前記全ての通信に対する前記悪性の通信の割合が閾値以上である場合に、当該抽出条件を採用することを決定する決定ステップと、
採用された抽出条件を出力する制御を行う出力制御ステップと
をコンピュータに実行させるための抽出条件決定プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014056664 | 2014-03-19 | ||
JP2014056664 | 2014-03-19 | ||
PCT/JP2015/057757 WO2015141640A1 (ja) | 2014-03-19 | 2015-03-16 | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2015141640A1 JPWO2015141640A1 (ja) | 2017-04-13 |
JP6159018B2 true JP6159018B2 (ja) | 2017-07-05 |
Family
ID=54144607
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016508722A Active JP6159018B2 (ja) | 2014-03-19 | 2015-03-16 | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US10257213B2 (ja) |
JP (1) | JP6159018B2 (ja) |
WO (1) | WO2015141640A1 (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10257213B2 (en) * | 2014-03-19 | 2019-04-09 | Nippon Telegraph And Telephone Corporation | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program |
JP5926413B1 (ja) * | 2015-02-16 | 2016-05-25 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP2017097625A (ja) * | 2015-11-24 | 2017-06-01 | 富士通株式会社 | 判定プログラム、判定方法、および判定装置 |
GB201603118D0 (en) * | 2016-02-23 | 2016-04-06 | Eitc Holdings Ltd | Reactive and pre-emptive security system based on choice theory |
JP5992643B2 (ja) * | 2016-04-21 | 2016-09-14 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP6088700B2 (ja) * | 2016-08-17 | 2017-03-01 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP6145588B2 (ja) * | 2017-02-03 | 2017-06-14 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP6749873B2 (ja) * | 2017-09-01 | 2020-09-02 | 日本電信電話株式会社 | 検知装置、検知方法、および、検知プログラム |
JP6787861B2 (ja) * | 2017-09-20 | 2020-11-18 | 日本電信電話株式会社 | 分類装置 |
US11470113B1 (en) * | 2018-02-15 | 2022-10-11 | Comodo Security Solutions, Inc. | Method to eliminate data theft through a phishing website |
JP6769664B1 (ja) * | 2019-07-03 | 2020-10-14 | Necプラットフォームズ株式会社 | 電話交換装置、電話交換システム、制御方法及びプログラム |
JP2022050219A (ja) * | 2020-09-17 | 2022-03-30 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4020912B2 (ja) | 2002-05-28 | 2007-12-12 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法 |
JP2005316779A (ja) * | 2004-04-28 | 2005-11-10 | Intelligent Cosmos Research Institute | 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム |
US7558796B1 (en) * | 2005-05-19 | 2009-07-07 | Symantec Corporation | Determining origins of queries for a database intrusion detection system |
JP2007094850A (ja) * | 2005-09-29 | 2007-04-12 | Fuji Xerox Co Ltd | コミュニケーション分析装置および方法 |
JP5451545B2 (ja) * | 2010-07-05 | 2014-03-26 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | ノイズ除去条件決定装置、ノイズ除去条件決定方法、及びプログラム |
JP5331774B2 (ja) * | 2010-10-22 | 2013-10-30 | 株式会社日立パワーソリューションズ | 設備状態監視方法およびその装置並びに設備状態監視用プログラム |
US8776207B2 (en) * | 2011-02-16 | 2014-07-08 | Fortinet, Inc. | Load balancing in a network with session information |
PL2702524T3 (pl) * | 2011-04-27 | 2018-02-28 | Seven Networks Llc | Wykrywanie i filtrowanie złośliwego oprogramowania, oparte na obserwacji ruchu wykonywanego w rozproszonym układzie zarządzania ruchem w sieciach mobilnych |
WO2013015995A1 (en) * | 2011-07-27 | 2013-01-31 | Seven Networks, Inc. | Automatic generation and distribution of policy information regarding malicious mobile traffic in a wireless network |
US9749338B2 (en) * | 2011-12-19 | 2017-08-29 | Verizon Patent And Licensing Inc. | System security monitoring |
US9043905B1 (en) * | 2012-01-23 | 2015-05-26 | Hrl Laboratories, Llc | System and method for insider threat detection |
WO2014111863A1 (en) * | 2013-01-16 | 2014-07-24 | Light Cyber Ltd. | Automated forensics of computer systems using behavioral intelligence |
WO2014117298A1 (en) * | 2013-01-31 | 2014-08-07 | Hewlett-Packard Development Company, L.P. | Event log system |
JP2016517597A (ja) * | 2013-03-15 | 2016-06-16 | パワー フィンガープリンティング インコーポレイテッド | コンピュータベースのシステムに電力指紋付けシステムを使用して保全性評価を強化するシステム、方法、及び装置 |
CN103399766B (zh) * | 2013-07-29 | 2016-05-11 | 百度在线网络技术(北京)有限公司 | 更新输入法系统的方法和设备 |
US9607146B2 (en) * | 2013-09-18 | 2017-03-28 | Qualcomm Incorporated | Data flow based behavioral analysis on mobile devices |
US10257213B2 (en) * | 2014-03-19 | 2019-04-09 | Nippon Telegraph And Telephone Corporation | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program |
JP5640167B1 (ja) * | 2014-03-31 | 2014-12-10 | 株式会社ラック | ログ分析システム |
JP6295857B2 (ja) * | 2014-06-27 | 2018-03-20 | 富士通株式会社 | 抽出方法、装置、及びプログラム |
US9680938B1 (en) * | 2014-10-06 | 2017-06-13 | Exabeam, Inc. | System, method, and computer program product for tracking user activity during a logon session |
-
2015
- 2015-03-16 US US15/120,970 patent/US10257213B2/en active Active
- 2015-03-16 JP JP2016508722A patent/JP6159018B2/ja active Active
- 2015-03-16 WO PCT/JP2015/057757 patent/WO2015141640A1/ja active Application Filing
Also Published As
Publication number | Publication date |
---|---|
US20160366171A1 (en) | 2016-12-15 |
US10257213B2 (en) | 2019-04-09 |
WO2015141640A1 (ja) | 2015-09-24 |
JPWO2015141640A1 (ja) | 2017-04-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6159018B2 (ja) | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム | |
JP6053091B2 (ja) | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム | |
US11075885B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
US9860278B2 (en) | Log analyzing device, information processing method, and program | |
US9544273B2 (en) | Network traffic processing system | |
JP5655191B2 (ja) | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム | |
TW201703465A (zh) | 網路異常偵測技術 | |
US20200304521A1 (en) | Bot Characteristic Detection Method and Apparatus | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
JP5832951B2 (ja) | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム | |
US20060272019A1 (en) | Intelligent database selection for intrusion detection & prevention systems | |
US10348751B2 (en) | Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs | |
WO2020027250A1 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
JP5986340B2 (ja) | Url選定方法、url選定システム、url選定装置及びurl選定プログラム | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
Prieto et al. | Botnet detection based on DNS records and active probing | |
JP5385867B2 (ja) | データ転送装置及びアクセス解析方法 | |
Kheir et al. | Peerviewer: Behavioral tracking and classification of P2P malware | |
JP2013255196A (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
Shekhawat | Analysis of Encrypted Malicious Traffic | |
Graham | A botnet needle in a virtual haystack. | |
Prasad et al. | Symptoms Based Detection and Removal of Bot Processes | |
WO2005119450A2 (en) | Intelligent database selection for intrusion detection & prevention systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161220 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170210 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170606 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170608 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6159018 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |