JP6162021B2 - 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム - Google Patents

解析装置、悪性通信先登録方法及び悪性通信先登録プログラム Download PDF

Info

Publication number
JP6162021B2
JP6162021B2 JP2013220515A JP2013220515A JP6162021B2 JP 6162021 B2 JP6162021 B2 JP 6162021B2 JP 2013220515 A JP2013220515 A JP 2013220515A JP 2013220515 A JP2013220515 A JP 2013220515A JP 6162021 B2 JP6162021 B2 JP 6162021B2
Authority
JP
Japan
Prior art keywords
communication
information
communication destination
unauthorized
predetermined
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013220515A
Other languages
English (en)
Other versions
JP2015082769A (ja
Inventor
裕一 首藤
裕一 首藤
邦夫 波戸
邦夫 波戸
秀雄 北爪
秀雄 北爪
村山 純一
純一 村山
五十嵐 弓将
弓将 五十嵐
祐一 村田
祐一 村田
上野 正巳
正巳 上野
貴広 濱田
貴広 濱田
博 胡
博 胡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013220515A priority Critical patent/JP6162021B2/ja
Publication of JP2015082769A publication Critical patent/JP2015082769A/ja
Application granted granted Critical
Publication of JP6162021B2 publication Critical patent/JP6162021B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、解析装置、悪性通信先登録方法及び悪性通信先登録プログラムに関する。
従来、情報漏洩や不正アクセス等の脅威をもたらす不正プログラム(以下、「マルウェア」と呼ぶ)による被害が増えている。例えば、ユーザ端末が悪性なサイトへのアクセスなどによりマルウェアに感染すると、該端末がC&C(Command and Control)サーバや、情報漏洩先のサーバ等の悪性な通信先と通信を行ってしまう。
そこで、このような悪性な通信先との通信を防止するために、予め悪性な通信先を登録したブラックリストを構築し、ブラックリストに含まれる悪性な通信先への通信を遮断することが行われている。
このようなブラックリストを拡張する技術として、DNSドメインの共起関係を用いたものが存在する。例えば、DNSクエリに基づいて端末の通信先ドメインを分析し、該端末の通信先ドメインxとブラックリストに登録されている悪性なドメインとの両方にアクセスしている端末が多数である場合には、通信先ドメインxをブラックリストに追加する技術が知られている(例えば、非特許文献1参照)。
上記の技術では、通信を行ったホストの数を見て不正通信と通信先の関連度である共起度を評価している。例えば、一度不正通信を行ったホストは感染ホストであるとし、そのホストが行った通信を「感染ホストの通信」としてひとまとめにする。そして、ある通信先a(ドメイン)と不正通信x(ブラックリストの悪性ドメイン)の関連度(共起度)について、ドメインaとドメインxに両方に通信したホスト数を、ドメインaとドメインxのいずれかに通信したホスト数で除算することで算出する。
Kazumichi SATO"Extending Black Domain Name List by Using Co-occurrence Relation between DNS Queries"、IEICE TRANS.COMMUN.,VOL.E95-B,NO.3 MARCH 2012
しかしながら、従来の技術では、悪性な通信先を高精度に検出できず、ブラックリストに悪性な通信先を適切に登録することができない場合があるという課題があった。例えば、従来の技術では、一度不正通信を行ったホストは感染ホストであるとし、そのホストが行った通信を「感染ホストの通信」としてひとまとめにしており、不正通信の発生時刻を考慮していないため、悪性な通信先を高精度に検出できず、ブラックリストに悪性な通信先を適切に登録することができない場合があった。
また、例えば、所定のドメインが悪性か否かを判断するにあたり、全悪性ドメインとの関連度の合計という、絶対的な尺度で評価するため、悪性な通信先を高精度に検出できす、ブラックリストに悪性な通信先を適切に登録することができない場合があった。
つまり、従来の技術では、所定のドメインが悪性か否かを判断するにあたり、すべての悪性ドメインについて足しあわせた値の高低で判断する。すなわち、全悪性ドメインとの関連度の合計という、絶対的な尺度で評価する。この評価には、例えば、ドメインaとドメインxとの関連度はドメインbとドメインxとの関連度よりもどれだけ高いかといった、相対的な評価は含まれないため、2つのドメインの関連度を評価するにあたり、ドメイン同士の関連度よりも、各ドメインの出現割合が大きく影響してしまい、悪性な通信先を高精度に検出できず、ブラックリストに悪性な通信先を適切に追加することができなくなる。
このため、2つのドメインの関連度を評価するにあたり、ドメイン同士の関連度よりも、各ドメインの出現割合が大きく影響してしまう。例えば、ドメインa、ドメインxの因果関係が全くない場合、すなわち、両ドメインのアクセスが完全に独立であった場合に、a、xの出現割合(全端末のうち当該ドメインにアクセスした端末の割合)がともに60%であるとすると、aとxの関連度の期待値は「0.6*0.6/(0.6+(1-0.6)*0.6)≒0.42」である。
同じ条件で、a、xの出現割合がともに5%であるとすると、aとxの関連度の期待値は「0.05*0.05/(0.05+(1-0.05)*0.05)≒0.026」である。すなわち、関連度が同じでも、評価式に16倍以上の差がついてしまう。このことは、通信先の悪性判断の正確性を損なう原因となり、悪性な通信先を高精度に検出できす、ブラックリストに悪性な通信先を適切に追加することができなくなる。
そこで、この発明は、悪性な通信先を高精度に検出し、ブラックリストに悪性な通信先を適切に登録することを目的とする。
上述した課題を解決し、目的を達成するため、開示の解析装置は、既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得部と、前記取得部によって取得された各通信先の情報が、前記不正通信および他の不正通信において出現する頻度に基づいて、各通信先の情報のなかから不正通信と関連する通信先の情報を検出する検出部と、前記検出部によって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録部と、を備えることを特徴とする。
また、開示の悪性通信先登録方法は、既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得工程と、前記取得工程によって取得された各通信先の情報が、前記不正通信および他の不正通信において出現する頻度に基づいて、各通信先の情報のなかから不正通信と関連する通信先の情報を検出する検出工程と、前記検出工程によって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録工程と、を含んだことを特徴とする。
また、開示の悪性通信先登録プログラムは、既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得ステップと、前記取得ステップによって取得された各通信先の情報が、前記不正通信および他の不正通信において出現する頻度に基づいて、各通信先の情報のなかから不正通信と関連する通信先の情報を検出する検出ステップと、前記検出ステップによって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録ステップと、をコンピュータに実行させることを特徴とする。
本願に開示する解析装置、悪性通信先登録方法及び悪性通信先登録プログラムによると、悪性な通信先を高精度に検出し、ブラックリストに悪性な通信先を適切に登録することが可能となる。
図1は、第一の実施形態に係る通信システムの構成の一例を示す図である。 図2は、ログ収集機器が解析装置に送信する、不正通信前後のアクセス先ログの例を説明する図である。 図3は、第一の実施形態に係る解析装置の構成を示すブロック図である。 図4は、第一の実施形態に係る不正通信先情報記憶部に記憶される情報の一例を示す図である。 図5は、第一の実施形態に係る不正通信内容記憶部に記憶される情報の一例を示す図である。 図6は、第一の実施形態に係るブラックリスト記憶部に記憶されるブラックリストの一例を示す図である。 図7は、第一の実施形態に係るホワイトリスト記憶部に記憶されるホワイトリストの一例を示す図である。 図8は、解析装置が取得した通信ログについて説明する図である。 図9は、第一の実施形態に係る解析装置におけるブラックリスト登録処理の流れを説明するためのフローチャートである。 図10は、第一の実施形態に係る解析装置における解析処理の流れを説明するためのフローチャートである。 図11は、マルウェアに感染した端末が内部感染拡大のためのアクションを指示する例を説明する図である。 図12は、ブラックリストを用いて、悪性な通信先との通信を遮断する例を説明する図である。 図13は、第二の実施形態に係る解析装置における解析処理の流れを説明するためのフローチャートである。 図14は、第三の実施形態に係る解析装置における解析処理の流れを説明するためのフローチャートである。 図15は、関連度の大きさに関して全てのURLを順位付けする処理を説明する図である。 図16は、同一端末かつ同一不正通信の不正通信が短期間に連続して発生したことを示す図である。 図17は、悪性通信先登録プログラムを実行するコンピュータを示す図である。
以下に図面を参照して、この発明に係る解析装置、悪性通信先登録方法及び悪性通信先登録プログラムの実施形態を詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。
[第一の実施形態]
以下の実施形態では、第一の実施形態に係る通信システムの構成、解析装置の構成及び解析装置による処理の流れを順に説明し、最後に第一の実施形態による効果を説明する。
[システムの構成]
まず、第一の実施形態に係る通信システムの構成の一例を説明する。図1は、第一の実施形態に係る通信システムの構成の一例を示す図である。図1に示すように、通信システムは、解析装置10、複数のログ収集機器20A〜20C、複数の端末30A〜30Iを有する。なお、ログ収集機器20A〜20C、端末30A〜30Iについて、特に区別することなく説明する場合には、「ログ収集機器20」、「端末30」と記載する場合がある。また、図1に例示したログ収集機器20および端末30の設置数は、あくまで一例であり、これに限定されるものではない。
図1に示すように、ログ収集機器20Aと複数の端末30A〜30Cは、同一のLAN内に設置されている。また、ログ収集機器20Bと複数の端末30D〜30Fは、同一のLAN内に設置され、ログ収集機器20Cと複数の端末30G〜30Iは、同一のLAN内に設置されている。
各ログ収集機器20は、同一LAN内のアクセスURLログを収集し、端末30ごとにログを記録する。例えば、ログ収集機器20は、LAN内の端末30の通信発生時にアクセス時刻およびアクセスURLをログとして記録する。
また、ログ収集機器20は、同一LAN内の端末30で既知の不正通信を検出すると、不正通信の発生時刻から所定範囲の時間帯に端末30が行った通信先の情報を解析装置10に送信する。例えば、ログ収集器機20は、図2に例示するように、「端末x」で不正通信を検出した場合に、不正通信時刻「yy/MM/dd/hh/mm/ss」のアクセス先「http://xxx.co.jp」を解析装置10に送信するとともに、該不正通信の発生時刻「yy/MM/dd/hh/mm/ss」から所定範囲の時間帯のアクセス先URLも解析装置10に送信する。ログ収集機器20は、不正通信を検出するために、不正通信の内容が規定された不正通信管理テーブル(図5参照)を有しており、不正通信管理テーブルを用いて、不正通信を検出する。
ここで、ログ収集機器20は、上記の「所定範囲の時間帯」が予め設定されており、例えば、不正通信の発生時刻から前後「5分」の間に行った通信のアクセス先を解析装置10に送信する。また、不正通信の内容に応じて、「所定範囲の時間帯」を設定してもよい。つまり、不正通信によって感染したと考えられるマルウェアの種類等に応じて、不正通信と因果関係の高いアクセスが発生する時間帯が異なる。このため、不正通信の内容に応じて、「所定範囲の時間帯」を長く設定したり、また、短く設定したりしてもよい。
解析装置10は、端末30が不正通信を行った場合に、不正通信の発生時刻から所定範囲の時間帯に端末30が行った通信先の情報を通信ログ情報として、ログ収集機器20から取得する。そして、解析装置10は、統計解析により、不正通信と因果関係の高い通信先をブラックリストに追加する。なお、本実施形態では、悪性なURLをブラックリストに追加する例を用いて説明を行うが、URLに限定されるものではなく、IPアドレスやドメインネーム等であってもよい。
[解析装置の構成]
次に、図3を用いて、図1に示した解析装置10の構成を説明する。図3は、第一の実施形態に係る解析装置の構成を示すブロック図である。図3に示すように、解析装置10は、通信処理部11、制御部12および記憶部13を有する。
通信処理部11は、接続されるログ収集機器20との間でやり取りする各種情報に関する通信を制御する。例えば、通信処理部11は、不正通信の発生時刻から所定範囲の時間帯に端末30が行った通信先の情報を通信ログ情報として、ログ収集機器20から受信する。
記憶部13は、図3に示すように、不正通信先情報記憶部13a、不正通信内容記憶部13b、ブラックリスト記憶部13cおよびホワイトリスト記憶部13dを有する。記憶部13は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
不正通信先情報記憶部13aは、不正通信の発生時刻から所定範囲の時間帯に端末30が行った通信先の情報である通信ログ情報を記憶する。具体的には、不正通信先情報記憶部13aは、不正通信を行った端末30を識別する情報と、不正通信を行った時刻と、不正通信の内容を識別する情報と、不正通信の発生時刻から所定範囲の時間帯に端末30が行った通信先の情報とを対応付けて記憶する。
ここで、図4を用いて、不正通信先情報記憶部13aに記憶される情報の例について説明する。図4は、第一の実施形態に係る不正通信先情報記憶部に記憶される情報の一例を示す図である。図4に例示するように、不正通信先情報記憶部13aは、不正通信を行った端末30のユーザを示す情報である「端末」と、不正通信を行った時刻を示す「不正通信時刻」と、不正通信の内容を識別するIDである「不正通信ID」と、不正通信の発生時刻から所定範囲の時間帯に端末30がアクセスしたアクセス先URLのリストである「アクセスURLリスト」とを対応付けて記憶する。
例えば、図4の例を挙げて説明すると、不正通信先情報記憶部13aは、端末「satou」、不正通信時刻「2013/9/2 19:08:32」、不正通信ID「23」、アクセスURLリスト「http://xxx.co.jp・・・」を対応付けて記憶する。これは、ユーザ「satou」さんの端末が「2013/9/2 19:08」の時刻において不正通信ID「23」に対応する不正通信を行い、不正通信の発生時刻から所定範囲の時間帯に端末30がアクセスしたアクセス先URLが「http://xxx.co.jp・・・」であることを意味する。ここで、不正通信IDに対応する不正通信の内容は、後述する不正通信内容記憶部13bに規定されているものとする。なお、図4では、アクセスURLリストとして、「http://xxx.co.jp・・・」と省略して記載しているが、実際には、複数のアクセスURLが記憶されている。
不正通信内容記憶部13bは、既知の不正通信の内容が規定された不正通信管理テーブルを記憶する。具体的には、不正通信内容記憶部13bは、図5に示すように、不正通信の種別を識別する「不正通信ID」と、不正通信の内容を示す「不正通信内容」とが対応付けて記憶されている。図5は、第一の実施形態に係る不正通信内容記憶部に記憶される情報の一例を示す図である。
例えば、不正通信内容記憶部13bは、図5の例を挙げて具体的に説明すると、不正通信ID「1」と、不正通信内容「ブラックリストのhttp://xxx.co.jpにアクセス」とを対応付けて記憶する。なお、不正通信内容記憶部13bは、ブラックリストに悪性URLが追加されるなどにより、新たな不正通信が増えた場合には、テーブルに新たな不正通信が追加される。また、不正通信内容記憶部13bに記憶される不正通信管理テーブルと同様のテーブルを各ログ収集機器20が有しているものとする。
ブラックリスト記憶部13cは、悪性な通信先を記憶する。具体的には、ブラックリスト記憶部13は、図6に示すように、悪性な通信先を一意に識別する「ブラックリストID」と、悪性な通信先である「悪性URL」とが対応付けて記憶されている。図6は、第一の実施形態に係るブラックリスト記憶部に記憶されるブラックリストの一例を示す図である。図6の例を挙げて具体的に説明すると、例えば、ブラックリスト記憶部13cは、ブラックリストID「1」と、悪性URL「http://xxx.co.jp」とを対応付けて記憶する。
ホワイトリスト記憶部13dは、あらかじめ悪性でないことが判明している通信先の情報を記憶する。具体的には、ホワイトリスト記憶部13dは、図7に示すように、悪性でないことが判明している通信先を一意に識別する「ホワイトリストID」と、良性な通信先である「良性URL」とが対応付けて記憶されている。図7は、第一の実施形態に係るホワイトリスト記憶部に記憶されるホワイトリストの一例を示す図である。図7の例を挙げて具体的に説明すると、例えば、ホワイトリスト記憶部13dは、ホワイトリストID「1」と、良性URL「http://aaa.co.jp」とを対応付けて記憶する。
図3に戻って、制御部12は、取得部12a、検出部12bおよび登録部12cを有する。ここで、制御部12は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
取得部12aは、既知の不正通信のうちいずれかの不正通信を端末30が不正通信を行った場合に、該不正通信の発生時刻から所定範囲の時間帯において端末30が通信に使用した通信先の情報を取得する。例えば、取得部12aは、端末30が既知の不正通信として、ブラックリストのhttp://xxx.co.jpに対してアクセスを行った場合に、該不正通信の発生時刻から前後5分の範囲で端末が通信に使用したアクセスURLを取得する。
検出部12bは、取得部12aによって取得された各通信先の情報が、不正通信および他の不正通信において出現する頻度に基づいて、各通信先の情報のなかから不正通信と関連する通信先の情報を検出する。具体的には、検出部12bは、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である出現比率「ρ1」と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である出現比率「ρ2」とを計算し、出現比率「ρ1」と出現比率「ρ2」との比率が所定の閾値以上に大きい場合には、所定の通信先の情報を不正通信と関連する通信先の情報として検出する。
ここで、不正通信と因果関係の高いアクセスURLを検出する処理例について詳しく説明する。まず、不正通信と因果関係の高いアクセスURLを検出する処理例を説明する前に、各表記の定義について説明する。図8に示すように、解析装置10で収集した全ログの集合をLとする。すなわち、これまで解析装置10が取得したアクセスURLログの集合「L={l、l、・・・l}」である。
「L(id=x)」は、Lのうち、不正通信IDがxであるログの集合を意味する。また、「L(id≠x)」は、Lのうち、不正通信IDがxでないログの集合を意味する。また、下記(1)式は、Lのうち、アクセスURLリストにURLaを含むログの集合を意味する。また、下記(2)式は、Lのうち、アクセスURLリストにURLaを含まないログの集合を意味する。また、「Uall」は、L中のいずれかのログのURLリストに出現するURLの集合を意味する。
Figure 0006162021
Figure 0006162021
例えば、検出部12bは、不正通信と因果関係の高いアクセスURLを検出する処理として、「不正通信ID=x」時のURLaの出現比率である「ρ1」を、下記(3)式を用いて計算する。また、検出部12bは、「不正通信ID≠x」時のURLaの出現比率である「ρ2」を、下記(4)式を用いて計算する。両者の比率(ρ1/ρ2)が所定の閾値(例えば、「10」)より高い場合には、URLaが不正通信xと有意な因果関係があるURLとして検出する。
Figure 0006162021
Figure 0006162021
具体的な処理の流れを説明すると、まず、検出部12bは、不正通信ID全体のなかから一つの不正通信IDを取得し、上記(3)式および(4)式における「x」に代入する。また、検出部12bは、収集した不正通信前後のアクセス先情報におけるURLリストに出現するURLを一つ取得し、上記(3)式および(4)式における「a」に代入する。
そして、検出部12bは、上記(3)式を用いて計算された「不正通信ID=x」時のURLaの出現比率「ρ1」と、上記(4)式を用いて計算された「不正通信ID≠x」時のURLaの出現比率「ρ2」とを比較する。そして、検出部12bは、両者の比率「ρ1/ρ2」が所定の閾値である「10」よりも高いかを判定する。検出部12bは、両者の比率「ρ1/ρ2」が所定の閾値である「10」よりも高い場合には、URLaが不正通信xと有意な因果関係があるURLとして検出する。
その後、検出部12bは、未だ解析処理を行っていないURLがアクセスURLリストにある場合には、アクセスURLリストからURLを一つ取得し「a」に代入して、上記の処理を繰り返す。また、検出部12bは、未だ解析処理を行っていない不正通信IDがある場合には、不正通信IDを一つ取得し「x」に代入して、上記の処理を繰り返す。
登録部12cは、検出部12bによって検出された通信先の情報を、悪性な通信先としてブラックリストに登録する。例えば、登録部12cは、検出部12bによってURLが検出されると、aに代入したURLがホワイトリストに登録されているかを判定し、登録されていると判定した場合には、ブラックリストへの登録を中止する。
また、登録部12cは、aに代入したURLがホワイトリストに登録されていないと判定した場合には、検出部12bによって検出されたURLを不正通信xと有意な因果関係があるURLとしてブラックリストに登録する。
[解析装置による処理]
次に、図9を用いて、第一の実施形態に係る解析装置10による処理を説明する。図9は、第一の実施形態に係る解析装置におけるブラックリスト登録処理の流れを説明するためのフローチャートである。
図9に示すように、解析装置10の取得部12aは、ログ収集機器20が端末30の不正通信を検出すると(ステップS101肯定)、ログ収集機器20から不正通信前後のアクセス先情報を取得する(ステップS102)。例えば、取得部12aは、端末30が既知の不正通信として、ブラックリストのhttp://xxx.co.jpに対してアクセスを行った場合に、該不正通信の発生時刻から5分前後の範囲で端末が通信に使用したアクセスURLを取得する。
そして、解析装置10の検出部12bは、不正通信前後のアクセスURLを解析する(ステップS103)。具体的には、検出部12bは、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である出現比率「ρ1」と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である出現比率「ρ2」とを計算し、出現比率「ρ1」と出現比率「ρ2」との比率が所定の閾値以上に大きい場合には、所定の通信先の情報を不正通信と関連する通信先の情報として検出する。
そして、解析装置10の登録部12cは、検出部12bによって検出された各種不正通信と因果関係の高いアクセス先情報をブラックリストに追加する(ステップS104)。例えば、登録部12cは、検出部12bによってURLが検出された場合でも、ホワイトリストに登録されている場合には、登録を中止する。また、検出部12bは、ホワイトリストに登録されていない場合には、不正通信xと有意な因果関係があるURLをブラックリストに登録する。
次に、上記の図9において説明したステップS103およびステップS104の処理について、より詳細な処理の流れを示した図10を用いて説明する。図10は、第一の実施形態に係る解析装置における解析処理の流れを説明するためのフローチャートである。図10に示すように、検出部12bは、不正通信ID全体のなかから一つの不正通信IDを取得し、上記(3)式および(4)式における「x」に代入する(ステップS201)。
次に、検出部12bは、収集した不正通信前後のアクセス先情報におけるアクセスURLリストに出現するURLを一つ取得し、上記(3)式および(4)式における「a」に代入する(ステップS202)。
そして、検出部12bは、上記(3)式を用いて計算された「不正通信ID=x」時のURLaの出現比率「ρ1」と、上記(4)式を用いて計算された「不正通信ID≠x」時のURLaの出現比率「ρ2」とを比較する(ステップS203)。
そして、検出部12bは、両者の比率「ρ1/ρ2」が所定の閾値である「10」よりも高いかを判定する(ステップS204)。この結果、検出部12bは、両者の比率「ρ1/ρ2」が所定の閾値「10」以下である場合には(ステップS204否定)、ステップS207の処理に進む。
また、検出部12bが両者の比率「ρ1/ρ2」が所定の閾値「10」よりも高いと判定した場合には(ステップS204肯定)、登録部12cは、aに代入したURLがホワイトリストに登録されているかを判定する(ステップS205)。この結果、登録部12cは、ホワイトリストに登録されている場合には(ステップS205肯定)、ブラックリストへの登録を中止し、ステップS207の処理に進む。
また、登録部12cは、aに代入したURLがホワイトリストに登録されていない場合には(ステップS205否定)、不正通信xと有意な因果関係があるURLとして検出されたURLをブラックリストに登録し(ステップS206)、ステップS207の処理に進む。
ステップS207では、検出部12bは、未だ解析処理を行っていないURLがアクセスURLリストにあるか否かを判定する(ステップS207)。この結果、検出部12bは、未だ解析処理を行っていないURLがアクセスURLリストにある場合には(ステップS207肯定)、ステップS202に戻って、上記の処理を繰り返す。
また、検出部12bは、未だ解析処理を行っていないURLがアクセスURLリストにない場合には(ステップS207否定)、未だ解析処理を行っていない不正通信IDがあるかを判定する(ステップS208)。この結果、検出部12bは、未だ解析処理を行っていない不正通信IDがある場合には(ステップS208肯定)、ステップS201に戻って、不正通信IDを一つ取得し「x」に代入して、上記の処理を繰り返す。
また、検出部12bは、未だ解析処理を行っていない不正通信IDがない場合には(ステップS208否定)、不正通信IDとURLとの組み合わせについて全て解析処理を行ったものとして、処理を終了する。
[第一の実施形態の効果]
上述してきたように、第一の実施形態にかかる解析装置10では、既知の不正通信のうちいずれかの不正通信を端末30が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において端末30が通信に使用した通信先のアクセスURLを取得する。そして、解析装置10は、取得された各通信先のアクセスURLが、不正通信および他の不正通信において出現する頻度に基づいて、各通信先のアクセスURLのなかから不正通信と関連する通信先のアクセスURLを検出する。そして、検出された通信先のアクセスURLを、悪性な通信先としてブラックリストに登録する。
これにより、悪性な通信先を高精度に検出し、ブラックリストに悪性な通信先を適切に登録することが可能となる。そして、ブラックリストに悪性な通信先を適切に登録することで、ブラックリストに登録された通信先との通信を遮断し、悪性サイトへのアクセスを防止できるとともに、マルウェアの感染を防止することが可能となる。
つまり、図11に例示するように、端末が悪性サイトへのアクセスなどにより、情報漏洩や不正アクセス等の脅威をもたらす不正プログラムであるマルウェアに感染した場合には、攻撃者はひとつないし複数のC&C(Command and Control)サーバを経由して感染端末へ指示を送り、機密情報の取得や、さらなる内部感染拡大のためのアクションを指示する。
このようなサイバー攻撃に対して、マルウェアが感染した際にユーザ端末が接続するC&C(Command and Control)サーバや、情報漏洩先のサーバ等の悪性な通信先の情報を予めブラックリストとして取得しておくことでマルウェアの被害を防ぐ。図12に例示するように、ブラックリストに含まれる悪性な通信先への通信を検知し、検知した通信先への通信を遮断する。これにより、悪性サイトへのアクセスができなくなるので、マルウェアに感染しない。また、感染した端末もC&Cサーバにアクセスできないので、攻撃者からの指示を受信したり、機密情報の送信が行えない。なお、悪性な通信先の情報には、例えば、URL(Uniform Resource Locator)、IP(Internet Protocol)アドレス、ドメイン等が含まれる。
また、第一の実施形態にかかる解析装置10では、検出された通信先の情報が、あらかじめ悪性でないことが判明している通信先の情報を記憶するホワイトリストに記憶されている場合には、該通信先をブラックリストに登録することを中止する。これにより、悪性ではないと考えられる通信先をホワイトリストに登録しておくことで、悪性でないことが判明している通信先がブラックリストに追加されることを防ぐことが可能となる。
例えば、マルウェアは悪性な通信を行う前に、インターネットとの疎通確認を行うために関係のない著名なWebサイトにアクセスすることがある。この場合、本マルウェアが引き起こす不正通信と当該WebサイトのURLの因果関係が高く計算され、当該URLがブラックリストに追加される恐れがある。このため、悪性ではないと考えられる通信先をホワイトリストに登録しておくことで、著名なWebサイトなどの通信先がブラックリストに追加されることを防ぐことが可能となる。
[第二の実施形態]
上記した第一の実施形態では、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である出現比率「ρ1」と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である出現比率「ρ2」とを計算し、出現比率「ρ1」と出現比率「ρ2」との比率が所定の閾値以上に大きい場合には、所定の通信先の情報を不正通信と関連する通信先の情報として検出し、ブラックリストに追加する場合を説明した。
しかし、本実施形態は、これに限定されるものではなく、例えば、両者の有意差を統計的に検定し、有意差があると判断されたときに、所定の通信先の情報を不正通信と関連する通信先の情報として検出し、ブラックリストに追加するようにしてもよい。例えば、「ρ」、「n1」、「n2」がそれぞれ下記(5)式に示すように定義されているものとし、下記(6)式を用いて計算されるZを統計量として、ρ1とρ2の両者の優位差を統計的に検定するZ検定を行う。具体的には、Zの値から有意確率(p値)を(7)式で算出し、p値が所定の閾値を下回る場合に有意差があると判断する。そして、有意差があると判断された場合には、ブラックリストに追加する。なお、(7)式における「N」は、標準正規分布に従う確率変数である。
Figure 0006162021
Figure 0006162021
Figure 0006162021
ここで、図13を用いて、第二の実施形態に係る解析装置における解析処理の流れを説明する。図13は、第二の実施形態に係る解析装置における解析処理の流れを説明するためのフローチャートである。図13に示すように、検出部12bは、第一の実施形態と同様に、不正通信ID全体のなかから一つの不正通信IDを取得して「x」に代入し(ステップS301)、不正通信前後のアクセス先情報におけるアクセスURLリストに出現するURLを一つ取得して「a」に代入する(ステップS302)。
検出部12bは、上記(3)式を用いて計算された「不正通信ID=x」時のURLaの出現比率「ρ1」と、上記(4)式を用いて計算された「不正通信ID≠x」時のURLaの出現比率「ρ2」よりも有意に大きいか否かを仮説検定する(ステップS303)。そして、検出部12bは、検定結果であるp値、つまり、上記(7)式から得られるp値が閾値以下であるか否かを判定する(ステップS304)。この結果、検出部12bは、検定結果であるp値が閾値を超えていると判定した場合には(ステップS304否定)、ステップS307の処理に進む。
また、検出部12bは、検定結果であるp値が閾値以下であると判定した場合には(ステップS304肯定)、ステップS305の処理に進む。ここで、検定結果p値が閾値以下のとき、ρ1がρ2よりも統計的に有意に大きいといえる。
ステップS305では、登録部12cは、aに代入したURLがホワイトリストに登録されているかを判定する(ステップS305)。この結果、登録部12cは、ホワイトリストに登録されている場合には(ステップS305肯定)、ブラックリストへの登録を中止し、ステップS307の処理に進む。
また、登録部12cは、aに代入したURLがホワイトリストに登録されていない場合には、不正通信xと有意な因果関係があるURLとして検出されたURLをブラックリストに登録し(ステップS306)、ステップS307の処理に進む。
ステップS307では、検出部12bは、未だ解析処理を行っていないURLがアクセスURLリストにあるか否かを判定する(ステップS307)。この結果、検出部12bは、未だ解析処理を行っていないURLがアクセスURLリストにある場合には(ステップS307肯定)、ステップS302に戻って、上記の処理を繰り返す。
また、検出部12bは、未だ解析処理を行っていないURLがアクセスURLリストにない場合には(ステップS307否定)、未だ解析処理を行っていない不正通信IDがあるかを判定する(ステップS308)。この結果、検出部12bは、未だ解析処理を行っていない不正通信IDがある場合には(ステップS308肯定)、ステップS301に戻って、不正通信IDを一つ取得し「x」に代入して、上記の処理を繰り返す。
また、検出部12bは、未だ解析処理を行っていない不正通信IDがない場合には(ステップS308否定)、不正通信IDとURLとの組み合わせについて全て解析処理を行ったものとして、処理を終了する。
このように、第二の実施形態に係る解析装置両者の有意差を統計的に検定し、有意差があると判断されたときに、所定の通信先の情報を不正通信と関連する通信先の情報として検出し、ブラックリストに追加することで、悪性な通信先を高精度に検出し、ブラックリストに追加することが可能となる。
[第三の実施形態]
ところで、不正通信と関連する通信先の情報を検出する方法として、各通信先の情報について、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である出現比率をそれぞれ計算し、各通信先情報の出現比率を比較し、全ての通信先の情報のなかから出現比率が高い通信先の情報を不正通信と関連する通信先の情報として検出するようにしてもよい。
具体的には、第三の実施形態にかかる解析装置の検出部12bは、Uall中の各URLについて、不正通信xとの関連度を計算する。そして、他のURLと比較して所定のURLaの関連度が大きい場合に、aとxとの因果関係が高いと判断する。
ここで、検出部12bは、例えば、下記(8)式を用いて、Uall中における「URLu」と不正通信xとの関連度を計算する。その後、他のURLと比べてURLaの関連度が著しく大きい場合には、xとaの因果関係が高いと判断する。
Figure 0006162021
ここで、図14を用いて、第三の実施形態に係る解析装置における解析処理の流れを説明する。図14は、第三の実施形態に係る解析装置における解析処理の流れを説明するためのフローチャートである。図14に示すように、検出部12bは、不正通信ID全体のなかから一つの不正通信IDを取得して「x」に代入する(ステップS401)。
そして、検出部12bは、収集した不正通信前後のアクセス先情報における各URLと不正通信xとの関連度を、上記(8)式を用いて計算する(ステップS402)。そして、検出部12bは、各URLを不正通信xとの関連度大きさに応じて順位付けし、各URLを関連度が大きい順に整列させる(ステップS403)。
そして、検出部12bは、不正通信xとの関連度が所定の閾値の所定倍以上のURLがあるかを判定する(ステップS404)。ここで、所定の閾値は、例えば、関連度の高さが上位5%に位置するURLの不正通信xとの関連度が用いられる。例えば、図15に例示するように、各URLが関連度の大きい順に整列させており、各URLのうち「URLb」が関連度の高さが全体の上位5%に位置するものとする。この場合に、「URLb」の関連度R(b、x)と「URLa」の関連度R(a、x)を比較する。そして、関連度R(a、x)が関連度R(b、x)の所定倍(例えば、5倍)以上のURLがあるかを判定する。
この結果、検出部12bは、不正通信xとの関連度が所定の閾値の所定倍以上のURLがないと判定した場合には(ステップS404否定)、ステップS406の処理に進む。また、登録部12cは、不正通信xとの関連度が所定の閾値の所定倍以上のURLがあると判定した場合には(ステップS404肯定)、不正通信xとの関連度が所定の閾値の所定倍以上のURLをブラックリストに登録する(ステップS405)。なお、図14では、省略したが、第一の実施形態と同様に、ホワイトリストに登録されているURLの場合には、ブラックリストへの登録を中止するようにしてもよい。
その後、ステップS406において、検出部12bは、未だ解析処理を行っていない不正通信IDがあるかを判定する(ステップS406)。この結果、検出部12bは、未だ解析処理を行っていない不正通信IDがある場合には(ステップS406肯定)、ステップS401に戻って、不正通信IDを一つ取得し「x」に代入して、上記の処理を繰り返す。また、検出部12bは、未だ解析処理を行っていない不正通信IDがない場合には(ステップS406否定)、解析処理を終了する。
このように、第三の実施形態にかかる解析装置は、各通信先の情報について、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である出現比率をそれぞれ計算し、各通信先情報の出現比率を比較し、全ての通信先の情報のなかから出現比率が高い通信先の情報を不正通信と関連する通信先の情報として検出する。これにより、悪性な通信先をより高精度に検出し、ブラックリストに悪性な通信先を適切に登録することが可能となる。
[第四の実施形態]
ところで、上記した第一の実施形態では、既知の不正通信のうちいずれかの不正通信を端末が不正通信を行った場合に、該不正通信の発生時刻から所定範囲の時間帯において端末が通信に使用した通信先の情報を取得することを説明した。ここで、同一の端末において同一種類の不正通信が短期間に連続して発生し、複数のアクセスURLのログが解析装置に送信されると、いくつかの通信が複数ログに重複してカウントとされて、解析装置の解析処理に誤差が生じる虞がある。
例えば、図16に例示するように、端末30が不正通信Xを行った場合に、該不正通信の発生時刻から前後所定範囲の時間帯において端末30が通信に使用した通信先URLの情報を取得する。続いて、不正通信Yが発生し、不正通信Yと同一種類の不正通信Zが、不正通信Yが発生してから所定期間内に発生したものとする。この期間のアクセスURLリストは、不正通信Yの後のものと、不正通信Zの前のものとで、解析装置10上でダブルカウントされてしまう場合がある。
そこで、第四の実施形態に係る解析装置の検出部12bでは、取得された通信先のアクセスURLのうち、同一端末かつ同一の不正通信に関する情報であって、不正通信発生時刻が所定の閾値よりも近い情報が複数の通信先のアクセスURLがある場合には、複数の通信先のアクセスURLからいずれか一つの通信先のアクセスURLのみを抽出し、抽出した通信先のアクセスURLを解析し、該通信先のアクセスURLのうち、不正通信と関連度の高い通信先の情報を検出する。
このように、第四の実施形態に係る解析装置では、同一端末かつ同一の不正通信に関する情報であって、不正通信発生時刻が所定の閾値よりも近い情報が複数の通信先の情報がある場合には、複数の通信先の情報からいずれか一つの通信先の情報のみを抽出し、抽出した通信先の情報を解析する。このため、解析装置10上でアクセスURLリストが、ダブルカウントされてしまうことを防止し、不正通信とアクセスURLとの因果関係の高さを正しく評価することが可能となる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、検出部12bと登録部12cとを統合してもよい。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
また、上記実施形態において説明した解析装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、第一の実施形態に係る解析装置10が実行する処理をコンピュータが実行可能な言語で記述した悪性通信先登録プログラムを作成することもできる。この場合、コンピュータが悪性通信先登録プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる悪性通信先登録プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録され悪性通信先登録プログラムをコンピュータに読み込ませて実行することにより上記第一の実施形態と同様の処理を実現してもよい。以下に、図3に示した解析装置10と同様の機能を実現する悪性通信先登録プログラムを実行するコンピュータの一例を説明する。
図17は、悪性通信先登録プログラムを実行するコンピュータ1000を示す図である。図17に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図17に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図17に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図17に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1041に挿入される。シリアルポートインタフェース1050は、図17に例示するように、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、図17に例示するように、例えばディスプレイ1061に接続される。
ここで、図17に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の悪性通信先登録プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。
なお、悪性通信先登録プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、悪性通信先登録プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 解析装置
11 通信処理部
12 制御部
12a 取得部
12b 検出部
12c 登録部
13 記憶部
13a 不正通信先情報記憶部
13b 不正通信内容記憶部
13c ブラックリスト記憶部
13d ホワイトリスト記憶部
20A〜20C ログ収集機器
30A〜30I 端末

Claims (11)

  1. 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得部と、
    前記取得部によって取得された各通信先の情報を用いて、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である第一の出現比率と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である第二の出現比率とを計算し、前記第一の出現比率と前記第二の出現比率との両者の比率が所定の閾値以上に大きい場合には、前記所定の通信先の情報を不正通信と関連する通信先の情報として検出する検出部と、
    前記検出部によって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録部と、
    を備えることを特徴とする解析装置。
  2. 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得部と、
    前記取得部によって取得された各通信先の情報を用いて、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である第一の出現比率と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である第二の出現比率とを計算し、前記第一の出現比率が前記第二の出現比率よりも統計上有意に大きい場合には、前記所定の通信先の情報を不正通信と関連する通信先の情報として検出する検出部と、
    前記検出部によって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録部と、
    を備えることを特徴とする解析装置。
  3. 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得部と、
    前記取得部によって取得された各通信先の情報と所定の不正通信との関連度を当該通信先に対する通信のうち所定の不正通信の発生前後で行われた通信の割合として計算し、該関連度が大きい順に各通信先情報を順位付けし、上位から所定の順位にある通信先の関連度の所定倍以上の関連度を有する通信先の情報を不正通信と関連する通信先の情報として検出する検出部と、
    前記検出部によって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録部と、
    を備えることを特徴とする解析装置。
  4. 前記登録部は、前記検出部によって検出された通信先の情報が、あらかじめ悪性でないことが判明している通信先の情報を記憶する良性通信先記憶部に記憶されている場合には、該通信先をブラックリスト記憶部に登録することを中止することを特徴とする請求項1乃至のいずれか一つに記載の解析装置。
  5. 前記検出部は、前記取得部によって取得された通信先の情報のうち、同一端末かつ同一の不正通信に関する情報であって、不正通信発生時刻が所定の閾値よりも近い情報が複数の通信先の情報がある場合には、複数の通信先の情報からいずれか一つの通信先の情報のみを抽出し、抽出した通信先の情報を解析し、該通信先の情報のうち、前記不正通信を含む既知の不正通信と関連度の高い通信先の情報を検出することを特徴とする請求項1乃至のいずれか一つに記載の解析装置。
  6. 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得工程と、
    前記取得工程によって取得された各通信先の情報を用いて、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である第一の出現比率と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である第二の出現比率とを計算し、前記第一の出現比率と前記第二の出現比率との両者の比率が所定の閾値以上に大きい場合には、前記所定の通信先の情報を不正通信と関連する通信先の情報として検出する検出工程と、
    前記検出工程によって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録工程と、
    を含んだことを特徴とする悪性通信先登録方法。
  7. 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得工程と、
    前記取得工程によって取得された各通信先の情報を用いて、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である第一の出現比率と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である第二の出現比率とを計算し、前記第一の出現比率が前記第二の出現比率よりも統計上有意に大きい場合には、前記所定の通信先の情報を不正通信と関連する通信先の情報として検出する検出工程と、
    前記検出工程によって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録工程と、
    を含んだことを特徴とする悪性通信先登録方法。
  8. 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得工程と、
    前記取得工程によって取得された各通信先の情報と所定の不正通信との関連度を当該通信先に対する通信のうち所定の不正通信の発生前後で行われた通信の割合として計算し、該関連度が大きい順に各通信先情報を順位付けし、上位から所定の順位にある通信先の関連度の所定倍以上の関連度を有する通信先の情報を不正通信と関連する通信先の情報として検出する検出工程と、
    前記検出工程によって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録工程と、
    を含んだことを特徴とする悪性通信先登録方法。
  9. 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得ステップと、
    前記取得ステップによって取得された各通信先の情報を用いて、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である第一の出現比率と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である第二の出現比率とを計算し、前記第一の出現比率と前記第二の出現比率との両者の比率が所定の閾値以上に大きい場合には、前記所定の通信先の情報を不正通信と関連する通信先の情報として検出する検出ステップと、
    前記検出ステップによって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録ステップと、
    をコンピュータに実行させるための悪性通信先登録プログラム。
  10. 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得ステップと、
    前記取得ステップによって取得された各通信先の情報を用いて、所定の不正通信が行われた際に所定の通信先の情報が出現する比率である第一の出現比率と、所定の不正通信以外の不正通信が行われた際に所定の通信先が出現する比率である第二の出現比率とを計算し、前記第一の出現比率が前記第二の出現比率よりも統計上有意に大きい場合には、前記所定の通信先の情報を不正通信と関連する通信先の情報として検出する検出ステップと、
    前記検出ステップによって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録ステップと、
    をコンピュータに実行させるための悪性通信先登録プログラム。
  11. 既知の不正通信のうちいずれかの不正通信を端末が行った場合に、該不正通信の発生時刻から所定範囲の時間帯において前記端末が通信に使用した通信先の情報を取得する取得ステップと、
    前記取得ステップによって取得された各通信先の情報と所定の不正通信との関連度を当該通信先に対する通信のうち所定の不正通信の発生前後で行われた通信の割合として計算し、該関連度が大きい順に各通信先情報を順位付けし、上位から所定の順位にある通信先の関連度の所定倍以上の関連度を有する通信先の情報を不正通信と関連する通信先の情報として検出する検出ステップと、
    前記検出ステップによって検出された通信先の情報を、悪性な通信先としてブラックリスト記憶部に登録する登録ステップと、
    をコンピュータに実行させるための悪性通信先登録プログラム。
JP2013220515A 2013-10-23 2013-10-23 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム Expired - Fee Related JP6162021B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013220515A JP6162021B2 (ja) 2013-10-23 2013-10-23 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013220515A JP6162021B2 (ja) 2013-10-23 2013-10-23 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム

Publications (2)

Publication Number Publication Date
JP2015082769A JP2015082769A (ja) 2015-04-27
JP6162021B2 true JP6162021B2 (ja) 2017-07-12

Family

ID=53013158

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013220515A Expired - Fee Related JP6162021B2 (ja) 2013-10-23 2013-10-23 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム

Country Status (1)

Country Link
JP (1) JP6162021B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6084278B1 (ja) 2015-11-27 2017-02-22 株式会社Pfu 情報処理装置、方法およびプログラム
JP6707952B2 (ja) * 2016-03-31 2020-06-10 日本電気株式会社 制御装置、制御方法及びプログラム
JP6063593B1 (ja) * 2016-05-17 2017-01-18 株式会社ラック 情報処理装置、情報処理方法及びプログラム
JP6105797B1 (ja) * 2016-08-08 2017-03-29 株式会社ラック 情報処理装置、情報処理方法及びプログラム
WO2019240020A1 (ja) * 2018-06-13 2019-12-19 パナソニックIpマネジメント株式会社 不正通信検知装置、不正通信検知方法及び製造システム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5518594B2 (ja) * 2010-06-30 2014-06-11 三菱電機株式会社 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム

Also Published As

Publication number Publication date
JP2015082769A (ja) 2015-04-27

Similar Documents

Publication Publication Date Title
US9584541B1 (en) Cyber threat identification and analytics apparatuses, methods and systems
JP6162021B2 (ja) 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム
WO2016132992A1 (ja) ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム
US11283820B2 (en) Context profiling for malware detection
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
JP6030272B2 (ja) ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム
US8713674B1 (en) Systems and methods for excluding undesirable network transactions
US9942252B1 (en) Graph-based techniques for detecting coordinated network attacks
CN104378255B (zh) web恶意用户的检测方法及装置
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
US11159538B2 (en) Context for malware forensics and detection
WO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体
Squarcina et al. Can i take your subdomain? exploring {Same-Site} attacks in the modern web
Zhang et al. An empirical study of web resource manipulation in real-world mobile applications
US11303670B1 (en) Pre-filtering detection of an injected script on a webpage accessed by a computing device
US11593502B2 (en) Detecting behavioral anomalies in user-data access logs
CN107612946B (zh) Ip地址的检测方法、检测装置和电子设备
US10645098B2 (en) Malware analysis system, malware analysis method, and malware analysis program
Hu et al. Dynamic android malware analysis with de-identification of personal identifiable information
JP2017224150A (ja) 解析装置、解析方法および解析プログラム
JP5386015B1 (ja) バグ検出装置およびバグ検出方法
US11503046B2 (en) Cyber attack evaluation method and information processing apparatus
JP6676790B2 (ja) リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム
US20210044568A1 (en) Specifying system and specifying method

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20151001

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20151005

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160224

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170613

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170614

R150 Certificate of patent or registration of utility model

Ref document number: 6162021

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees