JP6174520B2 - 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム - Google Patents
悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム Download PDFInfo
- Publication number
- JP6174520B2 JP6174520B2 JP2014106027A JP2014106027A JP6174520B2 JP 6174520 B2 JP6174520 B2 JP 6174520B2 JP 2014106027 A JP2014106027 A JP 2014106027A JP 2014106027 A JP2014106027 A JP 2014106027A JP 6174520 B2 JP6174520 B2 JP 6174520B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication pattern
- pattern
- malware
- feature amount
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラムに関する。
近年、情報漏えいや不正アクセス等の脅威をもたらす不正プログラム(以下、「マルウェア」と呼ぶ)が猛威を振るっている。マルウェアは、感染後に攻撃者からサーバ等を介して指令を受け取り、攻撃や情報漏えい等の脅威をもたらす。その際、一般に使われているホスティングサービスやソーシャルネットワーキングサービスを介して、マルウェアに対して指令を送る攻撃者の存在が確認されている(非特許文献1参照)。
発見されるマルウェアの数の増加も著しく、数秒に1つの新たなマルウェアが出現しているということが報告されている(非特許文献2参照)。そのため、アンチウィルスソフト等のエンドポイントでの対策だけではマルウェアによる脅威を防ぎきれない。そこで、通信データを分析し、マルウェアに感染した端末を特定することでマルウェアの脅威を低減させる手法が注目されている(非特許文献3参照)。
マルウェアに感染した端末を検知する手法として、マルウェアが実行された際に通信する通信先の情報をブラックリストとして保有し、ブラックリストに掲載された通信先への通信か否かをもって、マルウェアに感染した端末を検知する手法が一般に行われている。また、マルウェア解析で確認された通信データの状態遷移に基づいてマルウェアに感染した端末を検知する手法もある(特許文献1参照)。
Chasing CnC Servers - False positives、[online]、[平成26年3月12日検索]、インターネット<URL:http://www.fireeye.com/blog/technical/botnet-activities-research/2010/09/chasing-cnc-servers-part-2.html>
McAfee脅威レポート:2013年第1四半期、[online]、[平成25年9月3日検索]、インターネット<URL:http://www.mcafee.com/japan/media/mcafeeb2b/international/japan/pdf/threatreport/threatreport13q1.pdf>
Sebastian Garcia他、Survey on network-based botnet detection methods、Security and communication networks 2013、[online]、[平成26年3月13日検索]、インターネット<URL:http://onlinelibrary.wiley.com/doi/10.1002/sec.800/full>
しかしながら、上記従来の技術には以下のような問題があった。すなわち、前述のマルウェアが実行された際の通信先には、無害かつ一般にアクセスされることが多い通信先が含まれる。このため、マルウェアの解析で得られた全ての通信先をブラックリストにすると誤検知が多発してしまう。一般にアクセスされることが多いサイトをホワイトリストとして利用し、ブラックリストへの掲載を抑制するという対処も考えられるが、その場合、一般にアクセスされるサイトを介してマルウェアに指令を送る攻撃者との通信を見逃してしまう。また、前述の特許文献1に記載の手法の場合、膨大な通信データそのものを分析対象としているため、分析に多大な時間を要してしまう。
そこで、本発明は、上述の問題を解決し、一般にアクセスされることが多いサイトを介して攻撃者がマルウェアに指令を送信しようとしている場合であっても、これを悪性度の高い通信として検知し、かつ、検知のための分析に要する時間を低減することを課題とする。
上述した課題を解決するため、本発明は、マルウェアに感染した端末および監視対象ネットワークの端末それぞれの通信ログから、前記それぞれの端末の一連の通信先のうち、前記端末の第一の通信先と、その後の通信先である第二の通信先とのペアを示す通信パターンの抽出を行う通信パターン抽出部と、前記マルウェアに感染した端末の通信ログから抽出した通信パターンであるマルウェア通信パターンの特徴量、および、前記監視対象ネットワークの端末の通信ログから抽出した通信パターンである監視対象ネットワーク通信パターンの特徴量の取得を行い、前記取得した各通信パターンの特徴量を、悪性通信を検知するための検知モデルに登録する特徴量抽出部と、検知対象となる通信の通信ログの入力を受け付ける入力部と、前記検知対象となる通信の通信ログから抽出された通信パターンである検知対象通信パターンに対する、前記マルウェア通信パターンの特徴量、および、前記監視対象ネットワーク通信パターンの特徴量を前記検知モデルから取得し、前記取得したマルウェア通信パターンの特徴量が大きいほど、また、前記取得した監視対象ネットワーク通信パターンの特徴量が小さいほど前記検知対象通信パターンの悪性度の値を高く算出する悪性度算出部とを備えることを特徴とする。
本発明によれば、一般にアクセスされることが多いサイトを介して攻撃者がマルウェアに指令を送信しようとしている場合であっても、これを悪性度の高い通信として検知し、かつ、検知のための分析に要する時間を低減することができる。
(概要)
以下、本発明を実施するための形態(実施形態)について説明する。本発明は本実施形態に限定されるものではない。まず、図1を用いて、本実施形態の悪性通信パターン検知装置10の概要を説明する。
以下、本発明を実施するための形態(実施形態)について説明する。本発明は本実施形態に限定されるものではない。まず、図1を用いて、本実施形態の悪性通信パターン検知装置10の概要を説明する。
悪性通信パターン検知装置10は、検知対象となる監視対象ネットワーク(NW)の端末の通信の悪性度を検知結果として出力する装置である。この悪性度は、マルウェアに感染した端末からの通信である可能性の高さを示す値である。悪性度の算出は、以下のようにして行われる。
まず、悪性通信パターン検知装置10は、マルウェアに感染した端末の通信ログであるマルウェア解析ログと、監視対象NWの端末の通信ログである監視対象NWログ(モデル用監視対象NWログ)とを取得する。通信ログは、例えば、監視対象NWの通信機器により得られる通信ログであり、通信元の端末からの一連の通信先、各通信先との通信が発生した時間等の情報を含む。そして、悪性通信パターン検知装置10は、マルウェア解析ログと監視対象NWログとを参照して、検知モデルを生成する。この検知モデルは、悪性通信パターンの検知に用いられるモデルであり、マルウェア通信(マルウェアに感染した端末からの通信)の通信パターンの特徴量(マルウェア通信パターン特徴量)と、監視対象NWの通信パターンの特徴量(監視対象NW通信パターン特徴量)と、それぞれの通信パターンの発生間隔の情報(通信パターン発生間隔情報)とを含む。
その後、悪性通信パターン検知装置10は、生成した検知モデルを用いて、検知対象の監視対象NWログ(つまり新たな監視対象NWログ)に登場する通信パターンの悪性度を算出する。具体的には、悪性通信パターン検知装置10は、検知モデルを参照して、検知対象の監視対象NWログに含まれる通信パターンが、マルウェア通信の通信パターンとどの程度似ているか、また、モデル用監視対象NWログに示される通信の通信パターンとどの程度似ているかをスコアリングすることで、当該通信パターンの悪性度を算出する。そして、算出した悪性度を検知結果として出力する。
ここで、悪性通信パターン検知装置10は、検知対象の監視対象NWログの通信パターンが、マルウェア通信の通信パターンと似ているほど悪性度を高くし、モデル用監視対象NWログに示される通信(正常通信)の通信パターンと似ているほど悪性度を低くする。これにより、悪性通信パターン検知装置10はマルウェア通信と似ており、かつ、正常通信と似ていない通信パターンを悪性度の高い通信パターンとして検知できる。
また、悪性通信パターン検知装置10は、検知対象の監視対象NWログが、マルウェア通信およびモデル用監視対象NWログに示される通信(正常通信)とどの程度似ているかを分析する際に、通信パターンを用いる。この通信パターンは、通信ログに示される通信元の端末からの一連の通信先について、当該端末がどの通信先への通信の後、どの通信先への通信を行ったか、またそれぞれの通信先への通信の時間間隔等を示す情報である。これにより、検知対象の通信が、マルウェア通信および正常通信それぞれとどの程度似ているかを、通信先の遷移や、その通信先への遷移に要する時間を考慮して分析できるので、通信の悪性度の算出精度を向上させることができる。その結果、例えば、攻撃者が一般にアクセスされることが多いサイトを介してマルウェアに指令を送信しようとしている場合であっても、これを悪性度の高い通信として検知することができる。さらに、悪性通信パターン検知装置10は、上記の分析において、通信ログを用いるので、通信データそのものを用いるよりも、分析に要する時間を低減できる。
(構成)
次に、悪性通信パターン検知装置10を説明する。図2に示すように、悪性通信パターン検知装置10は、検知モデル生成部11と、検知部12とを備える。
次に、悪性通信パターン検知装置10を説明する。図2に示すように、悪性通信パターン検知装置10は、検知モデル生成部11と、検知部12とを備える。
検知モデル生成部11は、マルウェア解析ログと監視対象NWログとを用いて検知モデルを生成する。
マルウェア解析ログは、マルウェア解析により得られたマルウェアに感染した端末の通信ログであり、例えば、ハニーポットで収集されたマルウェアを実際に動作させることにより得られる。なお、マルウェア解析ログに含まれる通信ログの各エントリには、例えば、マルウェア解析の実施ごとに設定される解析ID、マルウェアの通信先、通信の発生した時刻等が含まれており、通信の発生した順に並べられている。マルウェア解析IDは、例えば、Linux(登録商標)のuuidgenコマンドのような、乱数や時刻をベースにした文字列により構成される。このマルウェア解析ログは、通信ログの他に、マルウェア解析により得られるレジストリアクセスやファイルアクセスのログ等を含んでもよい。
また、監視対象NWログは、監視対象NWのFireWallやWebProxy等の通信機器によって監視対象NWから外部に対して通信を行った際に取得される通信ログで、通信元の端末のIP(Internet Protocol)アドレス、通信先、通信の発生した時刻等が含まれており、通信の発生した順に整列されている。この監視対象NWログは所定期間分を予め蓄積しておくものとする。このマルウェア解析ログおよび監視対象NWログは、悪性通信パターン検知装置10の記憶部(図示省略)の所定領域に記憶される。
なお、マルウェア解析ログおよび監視対象NWログにおける通信先は、例えば、通信先のIPアドレス、URL(Uniform Resource Locator)全体、クエリストリングを除くURL、FQDN(Fully Qualified Domain Name)、URLのパス部分等である。
この検知モデル生成部11は、通信パターン抽出部111とモデルデータ抽出部112とを備える。
通信パターン抽出部111は、マルウェア解析ログおよび監視対象NWログから通信パターンを抽出する。なお、マルウェア解析ログから抽出された通信パターンをマルウェア通信パターンと呼び、監視対象NWログから抽出された通信パターンを監視対象NW通信パターンと呼ぶ。
例えば、通信パターン抽出部111が、図3に示すように、通信元の端末からの通信先がA、B、Cであり、通信先がA→B→Cという順に出現した旨の通信ログを取得した場合、この通信ログについて、所定のタイムウィンドウ(T)内に登場する通信先のペア(トリガ通信先と関連通信先との通信ペア)を通信パターンとして抽出する。なお、このタイムウィンドウの起点は通信元の端末からトリガ通信先への通信が発生した時刻である。トリガ通信先とは、通信ペアを構成する最初の通信先(第一の通信先)であり、関連通信先とは、タイムウィンドウの中で出現するトリガ通信先を除く通信先(第二の通信先)である。例えば、通信パターン抽出部111は、図3に示す通信ログから、タイムウィンドウ(T)をずらしながら、このタイムウィンドウ(T)に含まれるA→B、A→C、B→Cという3つの通信ペアを通信パターンとして抽出する。また、ここでは図示を省略したが、通信パターン抽出部111は通信パターンに、それぞれの通信ペア(A→B、A→C、B→C)の時間間隔に関する情報も記録する。なお、上記の処理でタイムウィンドウをずらしていった結果、タイムウィンドウ内に1つしか通信先が含まれない場合、つまり、トリガ通信先の関連通信先がない場合、当該トリガ通信先の関連通信先がない状態の通信パターンを抽出するものとする。このタイムウィンドウ(T)の値は、悪性通信パターン検知装置10の管理者等が適宜設定可能である。
通信パターン抽出部111は、上記の処理をマルウェア解析ログと監視対象NWログの両方に対して行う。
モデルデータ抽出部112は、通信パターン抽出部111により得られたマルウェア通信パターンおよび監視対象NW通信パターンそれぞれの特徴量を取得し、取得した特徴量をモデルデータとして検知モデルに登録する。なお、マルウェア通信パターンの特徴量をマルウェア通信パターン特徴量と呼び、監視対象NW通信パターンの特徴量を監視対象NW通信パターン特徴量と呼ぶ。
検知モデルには、モデルデータとして、マルウェア通信パターン特徴量と、監視対象NW通信パターン特徴量と、通信パターン発生間隔情報とが登録される。図4に例示するように、マルウェア通信パターン特徴量は、例えば、マルウェア繰り返しパターン特徴量(Mfreq)を含み、監視対象NW通信パターン特徴量は、NWログ頻出パターン特徴量(Lfreq)、パターン内関連性強度特徴量(Lredir)を含む。通信パターン発生間隔情報は、マルウェア通信パターン発生間隔情報、監視対象NW通信パターン発生間隔情報を含む。マルウェア通信パターン発生間隔情報は、例えば、マルウェア通信の発生間隔の平均値(μm)および標準偏差(σm)で表され、監視対象NW通信パターン発生間隔情報は、例えば、監視対象NWの通信の発生間隔の平均値(μl)および標準偏差(σl)で表される。この検知モデルのモデルデータは悪性通信パターン検知装置10の記憶部(図示省略)の所定領域に記憶される。
図2の検知部12は、検知モデルを参照して、検知対象となる通信ログの通信パターンの悪性度を算出する。検知部12は、通信パターン抽出部121と、生起間隔類似度算出部122と、悪性度算出部123とを備える。
通信パターン抽出部121は、検知対象となる通信ログから通信パターンを抽出する。この検知対象となる通信ログは、悪性通信パターン検知装置10の入力部(図示省略)から入力される。この通信パターンの抽出方法は、検知モデル生成部11の通信パターン抽出部111と同様なので説明を省略する。
生起間隔類似度算出部122は、検知モデルの通信パターン発生間隔情報を参照して、検知対象となる通信ログの通信パターンが、マルウェア通信パターンの生起間隔とどの程度類似しているか、また監視対象NWの通信パターンの生起間隔とどの程度類似しているかを示す値(生起間隔類似度)を算出する。
悪性度算出部123は、検知モデルを参照して、検知対象となる通信ログの通信パターンの悪性度を算出する。具体的には、検知部12は、検知モデルを参照して、検知対象となる通信ログ(監視対象NWログの通信ログ)の通信パターンの、マルウェア通信パターン特徴量の大きさ、および、監視対象NW通信パターン特徴量の大きさを取得する。そして、検知部12は、取得したそれぞれの特徴量と、生起間隔類似度算出部122により算出された生起間隔類似度とを用いて検知対象となる通信ログの通信パターンの悪性度を算出する。そして、悪性度算出部123は算出した悪性度を検知結果として出力する。
検知モデル生成部11および検知部12の詳細はフローチャートを用いて後記する。
(処理手順)
以下、悪性通信パターン検知装置10の処理手順を説明する。
以下、悪性通信パターン検知装置10の処理手順を説明する。
(検知モデル生成部の通信パターン抽出部)
まず、図7を用いて検知モデル生成部11の通信パターン抽出部111の処理手順を説明する。通信パターン抽出部111は、マルウェア解析ログおよび監視対象NW通信ログに対し、以下の処理を行う。
まず、図7を用いて検知モデル生成部11の通信パターン抽出部111の処理手順を説明する。通信パターン抽出部111は、マルウェア解析ログおよび監視対象NW通信ログに対し、以下の処理を行う。
まず、通信パターン抽出部111は、処理対象が、マルウェア解析ログであるか、それとも監視対象NWログであるかを判定し(S1)、処理対象がマルウェア解析ログであった場合(S1でYes)、送信元識別子(通信元の端末の識別情報)としてマルウェア解析IDを設定する(S4)。一方、処理対象が監視対象NW通信ログであった場合(S1でNo→S2でYes)、通信パターン抽出部111は、送信元識別子として送信元IPアドレスを設定する(S3)。なお、処理対象が、マルウェア解析ログ、監視対象NW通信ログのいずれでもなかった場合(S2でNo)、処理を終了する。
通信パターン抽出部111は、まだ通信パターンの抽出を行っていない送信元識別子が存在するとき(S5でYes)、この通信パターンの抽出を行っていない送信元識別子の1つを読み込み対象の送信元識別子と設定し(S6)、当該送信元識別子の通信ログを読み込む(S7)。そして、通信パターン抽出部111は、通信ログを読み込んだ際、当該通信ログの最初のエントリに通信パターンを抽出する開始点であることを示すインデックスを設定する(S8)。一方、通信パターン抽出部111は、通信パターンの抽出を行っていない送信元識別子が存在しなければ(S5でNo)、処理を終了する。
S8の後、通信パターン抽出部111は、インデックスが設定されているエントリに掲載されている通信先と時刻を読み込み、インデックスが設定されているエントリに掲載されている通信先をトリガ通信先として設定する(S9)。次に、通信パターン抽出部111は、インデックスが設定してあるエントリの次のエントリ以降を読み込む。そして、通信パターン抽出部111は、トリガ通信先との通信が発生した時刻から、所定時間(例えば、タイムウィンドウ(T))以内に出現した全ての通信先を関連通信先として設定し、トリガ通信先と各関連通信先との通信ペアを通信パターンとして設定する(S10)。
このとき通信パターン抽出部111は、各通信パターンについて、当該通信パターンのトリガ通信先と各関連通信先との間の発生間隔(時間間隔)を取得し、各通信パターンと、取得したトリガ通信先と各関連通信先との発生間隔をモデルデータ抽出部112に転送する(S11)。
例えば、通信先Aとの通信が出現した後、タイムウィンドウ(T)以内に通信先B、Cとの通信が出現した場合、トリガ通信先は通信先Aとなり、A→B、A→Cの2つ通信ペアを通信パターンとして設定し、この2つの通信パターンそれぞれの通信ペアとその通信ペアの発生間隔とをモデルデータ抽出部112に転送する。
S11の後、通信パターン抽出部111は、通信ログにインデックスが設定されていないエントリが存在すれば(S12でYes)、インデックスを1インクリメントして(S13)、S9へ戻る。一方、通信ログにインデックスが設定されていないエントリが存在しなければ(S12でNo)、S5へ戻る。
このようして通信パターン抽出部111は、マルウェア解析ログおよび監視対象NW通信ログから通信パターンを抽出する。
なお、通信パターン抽出部111が監視対象NWログを読み込む際には、まず、マルウェア通信ログの通信パターンを取得しておき、その後、監視対象NWログから、当該通信パターンに登場する通信ペアからなる通信パターンを抽出してもよい。このように、監視対象NWログから抽出する通信パターンを限定することで、監視対象NWログからの通信パターンの抽出処理に要する時間を低減することができる。
また、説明を省略したが、検知部12の通信パターン抽出部121も、検知対象となる監視対象NWログを対象に、同様の手順で通信パターンの抽出を行う。そして、通信パターン抽出部121は、抽出した通信パターンを、生起間隔類似度算出部122および悪性度算出部123へ転送する。
(モデルデータ抽出部)
次に、図8を用いて検知モデル生成部11のモデルデータ抽出部112の処理手順を説明する。まず、モデルデータ抽出部112は、マルウェア通信パターンから、マルウェア通信パターン特徴量の抽出を行う。
次に、図8を用いて検知モデル生成部11のモデルデータ抽出部112の処理手順を説明する。まず、モデルデータ抽出部112は、マルウェア通信パターンから、マルウェア通信パターン特徴量の抽出を行う。
モデルデータ抽出部112は、通信パターン抽出部111により抽出されたマルウェア通信パターンを読み込み(S21)、マルウェア通信パターンに含まれる通信パターンごとに、マルウェア通信ログ中に、当該通信パターンが所定時間以内に所定回数以上存在することが確認された送信元識別子数を、当該通信パターンが確認された送信元識別子数で除算した結果を、マルウェア繰り返しパターン特徴量(Mfreq)として取得する(S22)。
例えば、モデルデータ抽出部112が図5に例示するマルウェア通信の通信ログからマルウェア繰り返しパターン特徴量(Mfreq)を抽出する場合を考える。図5において、T1は通信ペアを取得するためのタイムウィンドウであり、T2は通信ペアの登場回数をカウントするためのタイムウィンドウである。この場合、モデルデータ抽出部112は、マルウェア通信ログから、通信パターン(例えば、タイムウィンドウ(T1)以内に登場するA→Bの通信ペア)が所定時間(例えば、タイムウィンドウ(T2))以内に所定回数(例えば、3回)以上存在することが確認された送信元識別子数を取得する。また、モデルデータ抽出部112は、マルウェア通信ログから当該通信パターン(例えば、A→Bの通信ペア)が確認された送信元識別子数を取得する。そして、モデルデータ抽出部112は、マルウェア通信ログ中に、当該通信パターン(例えば、A→Bの通信ペア)が所定時間以内に所定回数以上存在することが確認された送信元識別子数を、当該通信パターンが確認された送信元識別子数で除算する。モデルデータ抽出部112は、このような処理をマルウェア通信パターンの通信ペアそれぞれに対し実行した結果をマルウェア繰り返しパターン特徴量(Mfreq)として取得する。なお、このタイムウィンドウ(T1、T2)の値、通信パターンの存在回数(例えば、3回)の値は、悪性通信パターン検知装置10の管理者等が適宜設定可能である。
このようにして取得されたマルウェア繰り返しパターン特徴量(Mfreq)は、マルウェアが攻撃者から指令を受け取るためのサーバに対して繰り返し通信を試みる動作を捉えたものであり、本特徴量が大きいことは、通信パターンがマルウェアに特徴的なものであることを意味する。
図8の説明に戻る。モデルデータ抽出部112は、S22の後、マルウェア通信パターンの通信パターンごとに当該通信パターンの発生間隔の平均値(μm)および標準偏差(σm)をマルウェア通信パターン発生間隔情報として取得する(S23)。そして、モデルデータ抽出部112は、S22で取得したマルウェア繰り返しパターン特徴量(Mfreq)とS23で取得したマルウェア通信パターン発生間隔情報(μm、σm)を検知モデルに登録する(S24)。S24の後、マルウェア通信パターンで未処理のものが存在しなければ(S25でNo)、S26へ進み、マルウェア通信パターンで未処理のものが存在すれば(S25でYes)、S22へ戻る。
S26において、モデルデータ抽出部112は、監視対象NW通信パターンを読み込む。そして、モデルデータ抽出部112は、読み込んだ監視対象NW通信パターンの通信パターンごとに当該通信パターンが確認された送信元識別子の数を、当該監視対象NWログに含まれる送信元識別子数で除算した結果を、NWログ頻出パターン特徴量(Lfreq)として取得する(S27)。
例えば、モデルデータ抽出部112は、監視対象NW通信パターンにおいて通信パターン(A→B)が確認された送信元識別子の数を取得する。そして、モデルデータ抽出部112は、通信パターン(A→B)が確認された送信元識別子の数を、当該監視対象NWログに含まれる送信元識別子数で除算する。モデルデータ抽出部112は、このような処理を、監視対象NW通信パターンの通信パターンそれぞれに対し実行した結果をNWログ頻出パターン特徴量(Lfreq)として取得する。
このようにして取得されたNWログ頻出パターン特徴量(Lfreq)は、監視対象NW通信パターンに登場する各通信パターンが監視対象NWにおいて一般的に発生する度合いを定量化したものである。本特徴量が大きいことは、監視対象NW内の多くの端末から当該通信パターンが確認されることを意味する。例えば、前記した例でいうと、通信パターン(A→B)に関するNWログ頻出パターン特徴量(Lfreq)が大きいということは、監視対象NWの多くの端末から通信パターン(A→B)が確認されることを意味する。つまり、監視対象NWにマルウェア感染端末が少ないという前提をおくと、本特徴量が大きいということは、当該通信パターンがマルウェアに感染した場合に発生する可能性が低いことを意味する。
図8の説明に戻る。モデルデータ抽出部112は、監視対象NW通信パターンの通信パターンごとに、当該通信パターンが確認された数をトリガ通信先が確認された数で除算した結果を、監視対象NWログにおけるパターン内関連性強度特徴量(Lredir)として取得する(S28)。
例えば、モデルデータ抽出部112は、監視対象NW通信パターンにおいて通信パターン(A→B)が確認された数を取得する。また、モデルデータ抽出部112は、監視対象NW通信パターンにおいて、当該通信パターン(A→B)のトリガ通信先(A)が通信先として確認された数を取得する。そして、モデルデータ抽出部112は、当該通信パターンが確認された数をトリガ通信先が確認された数で除算する。モデルデータ抽出部112は、このような処理を監視対象NW通信パターンの通信パターンそれぞれに対し実行した結果をパターン内関連性強度特徴量(Lredir)として取得する。本特徴量は、トリガ通信先(例えば、A)が確認された際に、どの程度の確率で関連通信先(例えば、B)との通信が確認されるのかを表しており、トリガ通信先(例えば、A)との通信が関連通信先(例えば、B)との通信を引き起こす確からしさを表す指標となる。換言すると、パターン内関連性強度特徴量(Lredir)は、例えば、監視対象NWにおけるHTTP(HyperText Transfer Protocol)でのリダイレクトや画像の読み込み等、ある通信先に行くと必ず発生する通信先との関係を数値化した指標となる。
監視対象NWにマルウェア感染端末が少ないという前提をおくと、本特徴量が大きいことは、正常通信で発生する可能性が高い通信パターンであり、当該通信パターンはマルウェアに感染した場合に発生する可能性が低いことを意味する。
モデルデータ抽出部112は、監視対象NW通信パターンの通信パターンごとに、当該通信パターンの発生間隔の平均値(μl)および標準偏差(σl)を算出し、これを監視対象NW通信パターン発生間隔情報として取得する(S29)。例えば、モデルデータ抽出部112は、通信パターン(例えば、A→B、A→C、B→C)ごとに、それぞれの通信パターンの発生間隔の平均値(μl)および標準偏差(μl)を算出し、これを監視対象NW通信パターン発生間隔情報として取得する。
モデルデータ抽出部112は、取得したNWログ頻出パターン特徴量(Lfreq)、パターン内関連性強度特徴量(Lredir)および監視対象NW通信パターン発生間隔情報(μl、σl)を、検知モデルに登録する(S30)。そして、モデルデータ抽出部112は、監視対象NW通信パターンで、未処理のものが存在すれば(S31でYes)、S27へ戻り、未処理のものが存在しなければ(S31No)、処理を終了する。
(生起間隔類似度算出部)
次に、図9を用いて、生起間隔類似度算出部122の処理手順を説明する。生起間隔類似度算出部122は、検知部12の通信パターン抽出部121から、検査対象となる監視対象NWログの通信パターン(通信ペアとその通信ペアの発生間隔)を検知対象通信パターンとして読み込む(S41)。また、生起間隔類似度算出部122は、検知モデルから、検知対象通信パターンに対応するマルウェア通信パターン発生間隔情報(μm、σm)と、監視対象NW通信パターン発生間隔情報(μl、σl)とを読み込む(S42)。
次に、図9を用いて、生起間隔類似度算出部122の処理手順を説明する。生起間隔類似度算出部122は、検知部12の通信パターン抽出部121から、検査対象となる監視対象NWログの通信パターン(通信ペアとその通信ペアの発生間隔)を検知対象通信パターンとして読み込む(S41)。また、生起間隔類似度算出部122は、検知モデルから、検知対象通信パターンに対応するマルウェア通信パターン発生間隔情報(μm、σm)と、監視対象NW通信パターン発生間隔情報(μl、σl)とを読み込む(S42)。
そして、生起間隔類似度算出部122は、読み込んだマルウェア通信パターン発生間隔情報(μm、σm)と、監視対象NW通信パターン発生間隔情報(μl、σl)とを用いて、検知対象通信パターンに対して、マルウェア通信パターン、監視対象NW通信パターンそれぞれの発生間隔の類似度を算出する(S43)。
具体的には、生起間隔類似度算出部122は、マルウェア通信パターン発生間隔情報(μm、σm)を用いて、検知対象通信パターンに対するマルウェア通信パターン発生間隔の類似度を算出する。また、生起間隔類似度算出部122は、監視対象NW通信パターン発生間隔情報(μl、σl)を用いて、検知対象通信パターンに対する監視対象NW通信パターン発生間隔の類似度を算出する。ここで各類似度の計算は、例えば、以下の式(1)により計算する。
ここで、Sim(d)はある通信パターンの発生間隔がdであったときの類似度であり、σはそれぞれの通信パターンの発生間隔の標準偏差、μはそれぞれの通信パターンの発生間隔の平均値である。ただし、Sim(d)の最大値は1とし、1を超える場合はSim(d)=1とする。また、d−μが0となる場合にはSim(d)=1とする。
このように生起間隔類似度算出部122は、通信パターンに登場する通信の発生間隔を考慮して、通信パターンの類似度を算出することができる。例えば、図6に例示するように、通信ログに出てくる通信ペア(A→B、A→C、B→C)は同じだが、通信の発生間隔が異なる場合、生起間隔類似度算出部122は、通信の発生間隔を考慮し、両者の通信パターンの類似度の値を低く算出する。
(悪性度算出部)
次に、図10を用いて、悪性度算出部123の処理手順を説明する。悪性度算出部123は、通信パターン抽出部121から、検査対象となる監視対象NWログの通信パターン(通信ペアとその通信ペアの発生間隔)を検知対象通信パターンとして読み込む(S51)。
次に、図10を用いて、悪性度算出部123の処理手順を説明する。悪性度算出部123は、通信パターン抽出部121から、検査対象となる監視対象NWログの通信パターン(通信ペアとその通信ペアの発生間隔)を検知対象通信パターンとして読み込む(S51)。
また、悪性度算出部123は、生起間隔類似度算出部122から検知対象通信パターンに対応する発生間隔の類似度(つまり、マルウェア通信パターン発生間隔および監視対象NW通信パターン発生間隔それぞれの類似度)を取得する(S52)。
さらに、悪性度算出部123は、検知モデルから当該通信パターンに対応するマルウェア繰り返しパターン特徴量(Mfreq)、NWログ頻出パターン特徴量(Lfreq)、および、パターン内関連性強度特徴量(Lredir)を読み込む(S53)。そして、悪性度算出部123は、読み込んだこれらの特徴量を元に、検知対象通信パターンの悪性度を算出する(S54)。悪性度は、マルウェア通信パターンの発生間隔類似度が大きい場合、監視対象NW通信パターンの発生間隔類似度が小さいほど、マルウェア繰り返しパターン特徴量(Mfreq)の値が大きいほど、NWログ頻出パターン特徴量(Lfreq)の値が小さいほど、またパターン内関連性強度特徴量(Lredir)の値が小さいほど、大きくなるように算出される。悪性度は、例えば、以下の式(2)により算出される。
式(2)のScoreは悪性度、Simmはマルウェア通信パターンに対する発生間隔の類似度、Simlは監視対象NW通信パターンに対する発生間隔の類似度、Mfreqはマルウェア繰り返しパターン特徴量、LfreqはNWログ頻出パターン特徴量、Lredirはパターン内関連性強度特徴量を示す。
つまり、悪性度算出部123は、検知対象通信パターンの悪性度を算出する際、マルウェア通信パターンに似ているほど悪性度を高く算出し、監視対象NW通信パターンに似ているほど悪性度を低く算出する。
なお、悪性度算出部123は、各特徴量の重み付けをして悪性度を算出してもよい。また、通信パターン抽出部121は通信ログに示されるURL、FQDN、パス等を通信先として通信パターンを抽出し、悪性度算出部123は、このURL、FQDN、パス等の通信パターンを用いて悪性度を算出してもよい。なお、ここで用いるURLはクエリストリングなしのURLであってもよい。
そして、悪性度算出部123は、URL、FQDN、パスの通信パターンそれぞれの悪性度を算出した後、算出したそれぞれの悪性度を足し合わせた値を検知対象通信パターンの悪性度として出力してもよい。ここでの悪性度は、例えば、以下の式(3)により算出される。
式(3)のScoremはURL、FQDN、Path(パス)の通信パターンそれぞれの悪性度である。なお、悪性度算出部123は、式(3)によりScore(悪性度)を算出するときScoremに対して重み付けをして算出してもよい。このようにすることで、URL、FQDN、Path(パス)等、様々な観点で抽出された通信パターンについて総合的に判断した悪性度を算出することができる。
(その他の実施形態)
前記した実施形態において、悪性通信パターン検知装置10はマルウェア通信パターン発生間隔情報(μm、σm)、監視対象NW通信パターン発生間隔情報(μl、σl)を用いずに悪性度を算出してもよい。つまり、検知部12が生起間隔類似度算出部122を含まず、悪性度算出部123は、検知対象通信パターンに対応するマルウェア繰り返しパターン特徴量(Mfreq)、NWログ頻出パターン特徴量(Lfreq)、および、パターン内関連性強度特徴量(Lredir)を用いて検知対象通信パターンの悪性度を算出するようにしてもよい。
前記した実施形態において、悪性通信パターン検知装置10はマルウェア通信パターン発生間隔情報(μm、σm)、監視対象NW通信パターン発生間隔情報(μl、σl)を用いずに悪性度を算出してもよい。つまり、検知部12が生起間隔類似度算出部122を含まず、悪性度算出部123は、検知対象通信パターンに対応するマルウェア繰り返しパターン特徴量(Mfreq)、NWログ頻出パターン特徴量(Lfreq)、および、パターン内関連性強度特徴量(Lredir)を用いて検知対象通信パターンの悪性度を算出するようにしてもよい。
さらに、検知モデル生成部11および検知部12は同じ装置内に装備されるものとして説明したが、それぞれ別個の装置により実現されてもよい。
(プログラム)
また、上記実施形態に係る悪性通信パターン検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、悪性通信パターン検知装置10と同様の機能を実現する悪性通信パターン検知プログラムを実行するコンピュータの一例を説明する。
また、上記実施形態に係る悪性通信パターン検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、悪性通信パターン検知装置10と同様の機能を実現する悪性通信パターン検知プログラムを実行するコンピュータの一例を説明する。
図11は、悪性通信パターン検知プログラムを実行するコンピュータを示す図である。図11に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図11に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1090やメモリ1010に記憶される。
また、悪性通信パターン検知プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明した悪性通信パターン検知装置10が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
また、悪性通信パターン検知プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、悪性通信パターン検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、悪性通信パターン検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 悪性通信パターン検知装置
11 検知モデル生成部
12 検知部
111、121 通信パターン抽出部
112 モデルデータ抽出部
122 生起間隔類似度算出部
123 悪性度算出部
11 検知モデル生成部
12 検知部
111、121 通信パターン抽出部
112 モデルデータ抽出部
122 生起間隔類似度算出部
123 悪性度算出部
Claims (9)
- マルウェアに感染した端末および監視対象ネットワークの端末それぞれの通信ログから、前記それぞれの端末の一連の通信先のうち、前記端末の第一の通信先と、その後の通信先である第二の通信先とのペアを示す通信パターンの抽出を行う通信パターン抽出部と、
前記マルウェアに感染した端末の通信ログから抽出した通信パターンであるマルウェア通信パターンの特徴量、および、前記監視対象ネットワークの端末の通信ログから抽出した通信パターンである監視対象ネットワーク通信パターンの特徴量の取得を行い、前記取得した各通信パターンの特徴量を、悪性通信を検知するための検知モデルに登録する特徴量抽出部と、
検知対象となる通信の通信ログの入力を受け付ける入力部と、
前記検知対象となる通信の通信ログから抽出された通信パターンである検知対象通信パターンに対する、前記マルウェア通信パターンの特徴量、および、前記監視対象ネットワーク通信パターンの特徴量を前記検知モデルから取得し、前記取得したマルウェア通信パターンの特徴量が大きいほど、また、前記取得した監視対象ネットワーク通信パターンの特徴量が小さいほど、前記検知対象通信パターンの悪性度の値を高く算出する悪性度算出部とを備えることを特徴とする悪性通信パターン検知装置。 - 前記通信パターンは、前記第一の通信先と第二の通信先との通信の発生間隔に関する情報をさらに含み、
前記特徴量抽出部は、前記検知モデルにおけるマルウェア通信パターンの特徴量として、さらに、前記マルウェア通信パターンにおける通信の発生間隔の特徴量の取得を行い、また、前記監視対象ネットワーク通信パターンの特徴量として、さらに、監視対象ネットワーク通信パターンにおける通信の発生間隔の特徴量の取得を行い、
前記悪性通信パターン検知装置は、さらに、
前記検知モデルにおける各通信の発生間隔の特徴量を参照して、前記検知対象通信パターンの通信の発生間隔と前記マルウェア通信パターンの通信の発生間隔の類似度、および、前記監視対象ネットワーク通信パターンの通信の発生間隔の類似度を算出する生起間隔類似度算出部を備え、
前記悪性度算出部は、さらに、前記算出されたマルウェア通信パターンの通信の発生間隔の類似度が高いほど、また、前記算出された監視対象ネットワーク通信パターンの通信の発生間隔の類似度が低いほど、前記悪性度の値を高く算出することを特徴とする請求項1に記載の悪性通信パターン検知装置。 - 前記特徴量抽出部は、前記検知モデルにおけるマルウェア通信パターンの特徴量として、前記マルウェア通信パターンに含まれる通信パターンごとに、前記マルウェアに感染した端末の通信ログにおいて、当該通信パターンが所定時間以内に繰り返し登場する度合いを示した値であるマルウェア繰り返しパターン特徴量を取得することを特徴とする請求項1または2に記載の悪性通信パターン検知装置。
- 前記特徴量抽出部は、前記検知モデルにおける監視対象ネットワーク通信パターンの特徴量として、前記監視対象ネットワーク通信パターンに含まれる通信パターンごとに、前記監視対象ネットワークの端末の通信ログにおいて、当該通信パターンが登場する度合いを示した値であるネットワークログ頻出パターン特徴量を取得することを特徴とする請求項1〜3のいずれか1項に記載の悪性通信パターン検知装置。
- 前記特徴量抽出部は、前記検知モデルにおける監視対象ネットワーク通信パターンの特徴量として、前記監視対象ネットワーク通信パターンに含まれる通信パターンごとに、前記監視対象ネットワークの端末の通信ログにおいて、当該通信パターンに示される第一の通信先への通信の後、当該通信パターンに示される第二の通信先への通信の発生する割合を示した値であるパターン内関連性強度特徴量を取得することを特徴とする請求項1〜4のいずれか1項に記載の悪性通信パターン検知装置。
- 前記通信パターン抽出部は、前記監視対象ネットワーク通信パターンを抽出する際に、予め取得しておいた前記マルウェア通信パターンに出現する通信パターンを抽出することを特徴とする請求項1〜5のいずれか1項に記載の悪性通信パターン検知装置。
- 前記悪性度算出部は、前記通信ログから、URL(Uniform Resource Locator)を前記通信先として抽出した通信パターン、FQDN(Fully Qualified Domain Name)を前記通信先として抽出した通信パターン、および、URLのパスを前記通信先として抽出した通信パターンの少なくともいずれかについて悪性度を算出し、前記算出した通信パターンの悪性度を統合した値を算出することを特徴とする請求項1〜6のいずれか1項に記載の悪性通信パターン検知装置。
- 悪性通信パターン検知装置において実行される悪性通信パターン検知方法であって、
マルウェアに感染した端末および監視対象ネットワークの端末それぞれの通信ログから、前記それぞれの端末の一連の通信先のうち、前記端末の第一の通信先と、その後の通信先である第二の通信先とのペアを示す通信パターンの抽出を行うステップと、
前記マルウェアに感染した端末の通信ログから抽出した通信パターンであるマルウェア通信パターンの特徴量、および、前記監視対象ネットワークの端末の通信ログから抽出した通信パターンである監視対象ネットワーク通信パターンの特徴量の取得を行い、前記取得した各通信パターンの特徴量を、悪性通信を検知するための検知モデルに登録するステップと、
検知対象となる通信の通信ログの入力を受け付けるステップと、
前記検知対象となる通信の通信ログから抽出された通信パターンである検知対象通信パターンに対する、前記マルウェア通信パターンの特徴量、および、前記監視対象ネットワーク通信パターンの特徴量を前記検知モデルから取得し、前記取得したマルウェア通信パターンの特徴量が大きいほど、また、前記取得した監視対象ネットワーク通信パターンの特徴量が小さいほど前記検知対象通信パターンの悪性度の値を高く算出するステップとを含んだことを特徴とする悪性通信パターン検知方法。 - マルウェアに感染した端末および監視対象ネットワークの端末それぞれの通信ログから、前記それぞれの端末の一連の通信先のうち、前記端末の第一の通信先と、その後の通信先である第二の通信先とのペアを示す通信パターンの抽出を行うステップと、
前記マルウェアに感染した端末の通信ログから抽出した通信パターンであるマルウェア通信パターンの特徴量、および、前記監視対象ネットワークの端末の通信ログから抽出した通信パターンである監視対象ネットワーク通信パターンの特徴量の取得を行い、前記取得した各通信パターンの特徴量を、悪性通信を検知するための検知モデルに登録するステップと、
検知対象となる通信の通信ログの入力を受け付けるステップと、
前記検知対象となる通信の通信ログから抽出された通信パターンである検知対象通信パターンに対する、前記マルウェア通信パターンの特徴量、および、前記監視対象ネットワーク通信パターンの特徴量を前記検知モデルから取得し、前記取得したマルウェア通信パターンの特徴量が大きいほど、また、前記取得した監視対象ネットワーク通信パターンの特徴量が小さいほど前記検知対象通信パターンの悪性度の値を高く算出するステップとをコンピュータに実行させることを特徴とする悪性通信パターン検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014106027A JP6174520B2 (ja) | 2014-05-22 | 2014-05-22 | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014106027A JP6174520B2 (ja) | 2014-05-22 | 2014-05-22 | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015222471A JP2015222471A (ja) | 2015-12-10 |
| JP6174520B2 true JP6174520B2 (ja) | 2017-08-02 |
Family
ID=54785447
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014106027A Active JP6174520B2 (ja) | 2014-05-22 | 2014-05-22 | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6174520B2 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9692789B2 (en) | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
| JP5926413B1 (ja) * | 2015-02-16 | 2016-05-25 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
| US10536478B2 (en) * | 2016-02-26 | 2020-01-14 | Oracle International Corporation | Techniques for discovering and managing security of applications |
| JP5992643B2 (ja) * | 2016-04-21 | 2016-09-14 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
| JP6088700B2 (ja) * | 2016-08-17 | 2017-03-01 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
| JP2018109910A (ja) * | 2017-01-05 | 2018-07-12 | 富士通株式会社 | 類似度判定プログラム、類似度判定方法および情報処理装置 |
| JP6145588B2 (ja) * | 2017-02-03 | 2017-06-14 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
| EP3588897B1 (en) * | 2018-06-30 | 2020-04-22 | Ovh | Method and system for defending an infrastructure against a distributed denial of service attack |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4523480B2 (ja) * | 2005-05-12 | 2010-08-11 | 株式会社日立製作所 | ログ分析システム、分析方法及びログ分析装置 |
| JP5179792B2 (ja) * | 2007-07-13 | 2013-04-10 | 株式会社日立システムズ | 操作検知システム |
| JP5286018B2 (ja) * | 2008-10-07 | 2013-09-11 | Kddi株式会社 | 情報処理装置、プログラム、および記録媒体 |
-
2014
- 2014-05-22 JP JP2014106027A patent/JP6174520B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015222471A (ja) | 2015-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| US11030311B1 (en) | Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise | |
| US10516671B2 (en) | Black list generating device, black list generating system, method of generating black list, and program of generating black list | |
| US9813451B2 (en) | Apparatus and method for detecting cyber attacks from communication sources | |
| JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| JP6348656B2 (ja) | マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| US8769692B1 (en) | System and method for detecting malware by transforming objects and analyzing different views of objects | |
| Niakanlahiji et al. | Phishmon: A machine learning framework for detecting phishing webpages | |
| WO2015120752A1 (zh) | 网络威胁处理方法及设备 | |
| US10757135B2 (en) | Bot characteristic detection method and apparatus | |
| JP2016152594A (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
| CN111245784A (zh) | 多维度检测恶意域名的方法 | |
| KR102280845B1 (ko) | 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 | |
| JP2015179416A (ja) | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム | |
| CN116451215A (zh) | 关联分析方法及相关设备 | |
| US20180020014A1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method, and malicious communication pattern extraction program | |
| JPWO2018143097A1 (ja) | 判定装置、判定方法、および、判定プログラム | |
| US11050771B2 (en) | Information processing apparatus, communication inspecting method and medium | |
| CN110392032B (zh) | 检测异常url的方法、装置及存储介质 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| Catalin et al. | An efficient method in pre-processing phase of mining suspicious web crawlers | |
| CN111885034A (zh) | 物联网攻击事件追踪方法、装置和计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160720 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170524 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170530 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170622 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170704 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170706 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6174520 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |