JP6162021B2 - 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム - Google Patents
解析装置、悪性通信先登録方法及び悪性通信先登録プログラム Download PDFInfo
- Publication number
- JP6162021B2 JP6162021B2 JP2013220515A JP2013220515A JP6162021B2 JP 6162021 B2 JP6162021 B2 JP 6162021B2 JP 2013220515 A JP2013220515 A JP 2013220515A JP 2013220515 A JP2013220515 A JP 2013220515A JP 6162021 B2 JP6162021 B2 JP 6162021B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- information
- communication destination
- unauthorized
- predetermined
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 title claims description 560
- 238000000034 method Methods 0.000 title claims description 36
- 238000001514 detection method Methods 0.000 claims description 79
- 230000003211 malignant effect Effects 0.000 claims description 42
- 238000012545 processing Methods 0.000 description 37
- 238000010586 diagram Methods 0.000 description 20
- 230000001364 causal effect Effects 0.000 description 17
- 238000012360 testing method Methods 0.000 description 7
- 230000014509 gene expression Effects 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 5
- 208000015181 infectious disease Diseases 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000007796 conventional method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
以下の実施形態では、第一の実施形態に係る通信システムの構成、解析装置の構成及び解析装置による処理の流れを順に説明し、最後に第一の実施形態による効果を説明する。
まず、第一の実施形態に係る通信システムの構成の一例を説明する。図1は、第一の実施形態に係る通信システムの構成の一例を示す図である。図1に示すように、通信システムは、解析装置10、複数のログ収集機器20A〜20C、複数の端末30A〜30Iを有する。なお、ログ収集機器20A〜20C、端末30A〜30Iについて、特に区別することなく説明する場合には、「ログ収集機器20」、「端末30」と記載する場合がある。また、図1に例示したログ収集機器20および端末30の設置数は、あくまで一例であり、これに限定されるものではない。
次に、図3を用いて、図1に示した解析装置10の構成を説明する。図3は、第一の実施形態に係る解析装置の構成を示すブロック図である。図3に示すように、解析装置10は、通信処理部11、制御部12および記憶部13を有する。
次に、図9を用いて、第一の実施形態に係る解析装置10による処理を説明する。図9は、第一の実施形態に係る解析装置におけるブラックリスト登録処理の流れを説明するためのフローチャートである。
上述してきたように、第一の実施形態にかかる解析装置10では、既知の不正通信のうちいずれかの不正通信を端末30が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において端末30が通信に使用した通信先のアクセスURLを取得する。そして、解析装置10は、取得された各通信先のアクセスURLが、不正通信および他の不正通信において出現する頻度に基づいて、各通信先のアクセスURLのなかから不正通信と関連する通信先のアクセスURLを検出する。そして、検出された通信先のアクセスURLを、悪性な通信先としてブラックリストに登録する。
上記した第一の実施形態では、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である出現比率「ρ1」と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である出現比率「ρ2」とを計算し、出現比率「ρ1」と出現比率「ρ2」との比率が所定の閾値以上に大きい場合には、所定の通信先の情報を不正通信と関連する通信先の情報として検出し、ブラックリストに追加する場合を説明した。
ところで、不正通信と関連する通信先の情報を検出する方法として、各通信先の情報について、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である出現比率をそれぞれ計算し、各通信先情報の出現比率を比較し、全ての通信先の情報のなかから出現比率が高い通信先の情報を不正通信と関連する通信先の情報として検出するようにしてもよい。
ところで、上記した第一の実施形態では、既知の不正通信のうちいずれかの不正通信を端末が不正通信を行った場合に、該不正通信の発生時刻から所定範囲の時間帯において端末が通信に使用した通信先の情報を取得することを説明した。ここで、同一の端末において同一種類の不正通信が短期間に連続して発生し、複数のアクセスURLのログが解析装置に送信されると、いくつかの通信が複数ログに重複してカウントとされて、解析装置の解析処理に誤差が生じる虞がある。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、検出部12bと登録部12cとを統合してもよい。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、上記実施形態において説明した解析装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、第一の実施形態に係る解析装置10が実行する処理をコンピュータが実行可能な言語で記述した悪性通信先登録プログラムを作成することもできる。この場合、コンピュータが悪性通信先登録プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる悪性通信先登録プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録され悪性通信先登録プログラムをコンピュータに読み込ませて実行することにより上記第一の実施形態と同様の処理を実現してもよい。以下に、図3に示した解析装置10と同様の機能を実現する悪性通信先登録プログラムを実行するコンピュータの一例を説明する。
11 通信処理部
12 制御部
12a 取得部
12b 検出部
12c 登録部
13 記憶部
13a 不正通信先情報記憶部
13b 不正通信内容記憶部
13c ブラックリスト記憶部
13d ホワイトリスト記憶部
20A〜20C ログ収集機器
30A〜30I 端末
Claims (11)
- 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得部と、
前記取得部によって取得された各通信先の情報を用いて、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である第一の出現比率と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である第二の出現比率とを計算し、前記第一の出現比率と前記第二の出現比率との両者の比率が所定の閾値以上に大きい場合には、前記所定の通信先の情報を不正通信と関連する通信先の情報として検出する検出部と、
前記検出部によって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録部と、
を備えることを特徴とする解析装置。 - 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得部と、
前記取得部によって取得された各通信先の情報を用いて、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である第一の出現比率と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である第二の出現比率とを計算し、前記第一の出現比率が前記第二の出現比率よりも統計上有意に大きい場合には、前記所定の通信先の情報を不正通信と関連する通信先の情報として検出する検出部と、
前記検出部によって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録部と、
を備えることを特徴とする解析装置。 - 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得部と、
前記取得部によって取得された各通信先の情報と所定の不正通信との関連度を当該通信先に対する通信のうち所定の不正通信の発生前後で行われた通信の割合として計算し、該関連度が大きい順に各通信先情報を順位付けし、上位から所定の順位にある通信先の関連度の所定倍以上の関連度を有する通信先の情報を不正通信と関連する通信先の情報として検出する検出部と、
前記検出部によって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録部と、
を備えることを特徴とする解析装置。 - 前記登録部は、前記検出部によって検出された通信先の情報が、あらかじめ悪性でないことが判明している通信先の情報を記憶する良性通信先記憶部に記憶されている場合には、該通信先をブラックリスト記憶部に登録することを中止することを特徴とする請求項1乃至3のいずれか一つに記載の解析装置。
- 前記検出部は、前記取得部によって取得された通信先の情報のうち、同一端末かつ同一の不正通信に関する情報であって、不正通信発生時刻が所定の閾値よりも近い情報が複数の通信先の情報がある場合には、複数の通信先の情報からいずれか一つの通信先の情報のみを抽出し、抽出した通信先の情報を解析し、該通信先の情報のうち、前記不正通信を含む既知の不正通信と関連度の高い通信先の情報を検出することを特徴とする請求項1乃至4のいずれか一つに記載の解析装置。
- 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得工程と、
前記取得工程によって取得された各通信先の情報を用いて、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である第一の出現比率と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である第二の出現比率とを計算し、前記第一の出現比率と前記第二の出現比率との両者の比率が所定の閾値以上に大きい場合には、前記所定の通信先の情報を不正通信と関連する通信先の情報として検出する検出工程と、
前記検出工程によって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録工程と、
を含んだことを特徴とする悪性通信先登録方法。 - 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得工程と、
前記取得工程によって取得された各通信先の情報を用いて、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である第一の出現比率と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である第二の出現比率とを計算し、前記第一の出現比率が前記第二の出現比率よりも統計上有意に大きい場合には、前記所定の通信先の情報を不正通信と関連する通信先の情報として検出する検出工程と、
前記検出工程によって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録工程と、
を含んだことを特徴とする悪性通信先登録方法。 - 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得工程と、
前記取得工程によって取得された各通信先の情報と所定の不正通信との関連度を当該通信先に対する通信のうち所定の不正通信の発生前後で行われた通信の割合として計算し、該関連度が大きい順に各通信先情報を順位付けし、上位から所定の順位にある通信先の関連度の所定倍以上の関連度を有する通信先の情報を不正通信と関連する通信先の情報として検出する検出工程と、
前記検出工程によって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録工程と、
を含んだことを特徴とする悪性通信先登録方法。 - 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得ステップと、
前記取得ステップによって取得された各通信先の情報を用いて、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である第一の出現比率と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である第二の出現比率とを計算し、前記第一の出現比率と前記第二の出現比率との両者の比率が所定の閾値以上に大きい場合には、前記所定の通信先の情報を不正通信と関連する通信先の情報として検出する検出ステップと、
前記検出ステップによって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録ステップと、
をコンピュータに実行させるための悪性通信先登録プログラム。 - 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得ステップと、
前記取得ステップによって取得された各通信先の情報を用いて、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である第一の出現比率と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である第二の出現比率とを計算し、前記第一の出現比率が前記第二の出現比率よりも統計上有意に大きい場合には、前記所定の通信先の情報を不正通信と関連する通信先の情報として検出する検出ステップと、
前記検出ステップによって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録ステップと、
をコンピュータに実行させるための悪性通信先登録プログラム。 - 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得ステップと、
前記取得ステップによって取得された各通信先の情報と所定の不正通信との関連度を当該通信先に対する通信のうち所定の不正通信の発生前後で行われた通信の割合として計算し、該関連度が大きい順に各通信先情報を順位付けし、上位から所定の順位にある通信先の関連度の所定倍以上の関連度を有する通信先の情報を不正通信と関連する通信先の情報として検出する検出ステップと、
前記検出ステップによって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録ステップと、
をコンピュータに実行させるための悪性通信先登録プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013220515A JP6162021B2 (ja) | 2013-10-23 | 2013-10-23 | 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013220515A JP6162021B2 (ja) | 2013-10-23 | 2013-10-23 | 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015082769A JP2015082769A (ja) | 2015-04-27 |
JP6162021B2 true JP6162021B2 (ja) | 2017-07-12 |
Family
ID=53013158
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013220515A Expired - Fee Related JP6162021B2 (ja) | 2013-10-23 | 2013-10-23 | 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6162021B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6084278B1 (ja) | 2015-11-27 | 2017-02-22 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
JP6707952B2 (ja) * | 2016-03-31 | 2020-06-10 | 日本電気株式会社 | 制御装置、制御方法及びプログラム |
JP6063593B1 (ja) * | 2016-05-17 | 2017-01-18 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP6105797B1 (ja) * | 2016-08-08 | 2017-03-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
WO2019240020A1 (ja) * | 2018-06-13 | 2019-12-19 | パナソニックIpマネジメント株式会社 | 不正通信検知装置、不正通信検知方法及び製造システム |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5518594B2 (ja) * | 2010-06-30 | 2014-06-11 | 三菱電機株式会社 | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム |
-
2013
- 2013-10-23 JP JP2013220515A patent/JP6162021B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2015082769A (ja) | 2015-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9584541B1 (en) | Cyber threat identification and analytics apparatuses, methods and systems | |
JP6162021B2 (ja) | 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム | |
WO2016132992A1 (ja) | ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム | |
US11283820B2 (en) | Context profiling for malware detection | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
JP6030272B2 (ja) | ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム | |
US8713674B1 (en) | Systems and methods for excluding undesirable network transactions | |
US9942252B1 (en) | Graph-based techniques for detecting coordinated network attacks | |
CN104378255B (zh) | web恶意用户的检测方法及装置 | |
JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
US11159538B2 (en) | Context for malware forensics and detection | |
WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
Squarcina et al. | Can i take your subdomain? exploring {Same-Site} attacks in the modern web | |
Zhang et al. | An empirical study of web resource manipulation in real-world mobile applications | |
US11303670B1 (en) | Pre-filtering detection of an injected script on a webpage accessed by a computing device | |
US11593502B2 (en) | Detecting behavioral anomalies in user-data access logs | |
CN107612946B (zh) | Ip地址的检测方法、检测装置和电子设备 | |
US10645098B2 (en) | Malware analysis system, malware analysis method, and malware analysis program | |
Hu et al. | Dynamic android malware analysis with de-identification of personal identifiable information | |
JP2017224150A (ja) | 解析装置、解析方法および解析プログラム | |
JP5386015B1 (ja) | バグ検出装置およびバグ検出方法 | |
US11503046B2 (en) | Cyber attack evaluation method and information processing apparatus | |
JP6676790B2 (ja) | リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム | |
US20210044568A1 (en) | Specifying system and specifying method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160224 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161209 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161220 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170126 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170613 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170614 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6162021 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |