JP6174520B2 - 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム - Google Patents
悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム Download PDFInfo
- Publication number
- JP6174520B2 JP6174520B2 JP2014106027A JP2014106027A JP6174520B2 JP 6174520 B2 JP6174520 B2 JP 6174520B2 JP 2014106027 A JP2014106027 A JP 2014106027A JP 2014106027 A JP2014106027 A JP 2014106027A JP 6174520 B2 JP6174520 B2 JP 6174520B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- communication pattern
- pattern
- malware
- feature amount
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
以下、本発明を実施するための形態(実施形態)について説明する。本発明は本実施形態に限定されるものではない。まず、図1を用いて、本実施形態の悪性通信パターン検知装置10の概要を説明する。
次に、悪性通信パターン検知装置10を説明する。図2に示すように、悪性通信パターン検知装置10は、検知モデル生成部11と、検知部12とを備える。
以下、悪性通信パターン検知装置10の処理手順を説明する。
まず、図7を用いて検知モデル生成部11の通信パターン抽出部111の処理手順を説明する。通信パターン抽出部111は、マルウェア解析ログおよび監視対象NW通信ログに対し、以下の処理を行う。
次に、図8を用いて検知モデル生成部11のモデルデータ抽出部112の処理手順を説明する。まず、モデルデータ抽出部112は、マルウェア通信パターンから、マルウェア通信パターン特徴量の抽出を行う。
次に、図9を用いて、生起間隔類似度算出部122の処理手順を説明する。生起間隔類似度算出部122は、検知部12の通信パターン抽出部121から、検査対象となる監視対象NWログの通信パターン(通信ペアとその通信ペアの発生間隔)を検知対象通信パターンとして読み込む(S41)。また、生起間隔類似度算出部122は、検知モデルから、検知対象通信パターンに対応するマルウェア通信パターン発生間隔情報(μm、σm)と、監視対象NW通信パターン発生間隔情報(μl、σl)とを読み込む(S42)。
次に、図10を用いて、悪性度算出部123の処理手順を説明する。悪性度算出部123は、通信パターン抽出部121から、検査対象となる監視対象NWログの通信パターン(通信ペアとその通信ペアの発生間隔)を検知対象通信パターンとして読み込む(S51)。
前記した実施形態において、悪性通信パターン検知装置10はマルウェア通信パターン発生間隔情報(μm、σm)、監視対象NW通信パターン発生間隔情報(μl、σl)を用いずに悪性度を算出してもよい。つまり、検知部12が生起間隔類似度算出部122を含まず、悪性度算出部123は、検知対象通信パターンに対応するマルウェア繰り返しパターン特徴量(Mfreq)、NWログ頻出パターン特徴量(Lfreq)、および、パターン内関連性強度特徴量(Lredir)を用いて検知対象通信パターンの悪性度を算出するようにしてもよい。
また、上記実施形態に係る悪性通信パターン検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、悪性通信パターン検知装置10と同様の機能を実現する悪性通信パターン検知プログラムを実行するコンピュータの一例を説明する。
11 検知モデル生成部
12 検知部
111、121 通信パターン抽出部
112 モデルデータ抽出部
122 生起間隔類似度算出部
123 悪性度算出部
Claims (9)
- マルウェアに感染した端末および監視対象ネットワークの端末それぞれの通信ログから、前記それぞれの端末の一連の通信先のうち、前記端末の第一の通信先と、その後の通信先である第二の通信先とのペアを示す通信パターンの抽出を行う通信パターン抽出部と、
前記マルウェアに感染した端末の通信ログから抽出した通信パターンであるマルウェア通信パターンの特徴量、および、前記監視対象ネットワークの端末の通信ログから抽出した通信パターンである監視対象ネットワーク通信パターンの特徴量の取得を行い、前記取得した各通信パターンの特徴量を、悪性通信を検知するための検知モデルに登録する特徴量抽出部と、
検知対象となる通信の通信ログの入力を受け付ける入力部と、
前記検知対象となる通信の通信ログから抽出された通信パターンである検知対象通信パターンに対する、前記マルウェア通信パターンの特徴量、および、前記監視対象ネットワーク通信パターンの特徴量を前記検知モデルから取得し、前記取得したマルウェア通信パターンの特徴量が大きいほど、また、前記取得した監視対象ネットワーク通信パターンの特徴量が小さいほど、前記検知対象通信パターンの悪性度の値を高く算出する悪性度算出部とを備えることを特徴とする悪性通信パターン検知装置。 - 前記通信パターンは、前記第一の通信先と第二の通信先との通信の発生間隔に関する情報をさらに含み、
前記特徴量抽出部は、前記検知モデルにおけるマルウェア通信パターンの特徴量として、さらに、前記マルウェア通信パターンにおける通信の発生間隔の特徴量の取得を行い、また、前記監視対象ネットワーク通信パターンの特徴量として、さらに、監視対象ネットワーク通信パターンにおける通信の発生間隔の特徴量の取得を行い、
前記悪性通信パターン検知装置は、さらに、
前記検知モデルにおける各通信の発生間隔の特徴量を参照して、前記検知対象通信パターンの通信の発生間隔と前記マルウェア通信パターンの通信の発生間隔の類似度、および、前記監視対象ネットワーク通信パターンの通信の発生間隔の類似度を算出する生起間隔類似度算出部を備え、
前記悪性度算出部は、さらに、前記算出されたマルウェア通信パターンの通信の発生間隔の類似度が高いほど、また、前記算出された監視対象ネットワーク通信パターンの通信の発生間隔の類似度が低いほど、前記悪性度の値を高く算出することを特徴とする請求項1に記載の悪性通信パターン検知装置。 - 前記特徴量抽出部は、前記検知モデルにおけるマルウェア通信パターンの特徴量として、前記マルウェア通信パターンに含まれる通信パターンごとに、前記マルウェアに感染した端末の通信ログにおいて、当該通信パターンが所定時間以内に繰り返し登場する度合いを示した値であるマルウェア繰り返しパターン特徴量を取得することを特徴とする請求項1または2に記載の悪性通信パターン検知装置。
- 前記特徴量抽出部は、前記検知モデルにおける監視対象ネットワーク通信パターンの特徴量として、前記監視対象ネットワーク通信パターンに含まれる通信パターンごとに、前記監視対象ネットワークの端末の通信ログにおいて、当該通信パターンが登場する度合いを示した値であるネットワークログ頻出パターン特徴量を取得することを特徴とする請求項1〜3のいずれか1項に記載の悪性通信パターン検知装置。
- 前記特徴量抽出部は、前記検知モデルにおける監視対象ネットワーク通信パターンの特徴量として、前記監視対象ネットワーク通信パターンに含まれる通信パターンごとに、前記監視対象ネットワークの端末の通信ログにおいて、当該通信パターンに示される第一の通信先への通信の後、当該通信パターンに示される第二の通信先への通信の発生する割合を示した値であるパターン内関連性強度特徴量を取得することを特徴とする請求項1〜4のいずれか1項に記載の悪性通信パターン検知装置。
- 前記通信パターン抽出部は、前記監視対象ネットワーク通信パターンを抽出する際に、予め取得しておいた前記マルウェア通信パターンに出現する通信パターンを抽出することを特徴とする請求項1〜5のいずれか1項に記載の悪性通信パターン検知装置。
- 前記悪性度算出部は、前記通信ログから、URL(Uniform Resource Locator)を前記通信先として抽出した通信パターン、FQDN(Fully Qualified Domain Name)を前記通信先として抽出した通信パターン、および、URLのパスを前記通信先として抽出した通信パターンの少なくともいずれかについて悪性度を算出し、前記算出した通信パターンの悪性度を統合した値を算出することを特徴とする請求項1〜6のいずれか1項に記載の悪性通信パターン検知装置。
- 悪性通信パターン検知装置において実行される悪性通信パターン検知方法であって、
マルウェアに感染した端末および監視対象ネットワークの端末それぞれの通信ログから、前記それぞれの端末の一連の通信先のうち、前記端末の第一の通信先と、その後の通信先である第二の通信先とのペアを示す通信パターンの抽出を行うステップと、
前記マルウェアに感染した端末の通信ログから抽出した通信パターンであるマルウェア通信パターンの特徴量、および、前記監視対象ネットワークの端末の通信ログから抽出した通信パターンである監視対象ネットワーク通信パターンの特徴量の取得を行い、前記取得した各通信パターンの特徴量を、悪性通信を検知するための検知モデルに登録するステップと、
検知対象となる通信の通信ログの入力を受け付けるステップと、
前記検知対象となる通信の通信ログから抽出された通信パターンである検知対象通信パターンに対する、前記マルウェア通信パターンの特徴量、および、前記監視対象ネットワーク通信パターンの特徴量を前記検知モデルから取得し、前記取得したマルウェア通信パターンの特徴量が大きいほど、また、前記取得した監視対象ネットワーク通信パターンの特徴量が小さいほど前記検知対象通信パターンの悪性度の値を高く算出するステップとを含んだことを特徴とする悪性通信パターン検知方法。 - マルウェアに感染した端末および監視対象ネットワークの端末それぞれの通信ログから、前記それぞれの端末の一連の通信先のうち、前記端末の第一の通信先と、その後の通信先である第二の通信先とのペアを示す通信パターンの抽出を行うステップと、
前記マルウェアに感染した端末の通信ログから抽出した通信パターンであるマルウェア通信パターンの特徴量、および、前記監視対象ネットワークの端末の通信ログから抽出した通信パターンである監視対象ネットワーク通信パターンの特徴量の取得を行い、前記取得した各通信パターンの特徴量を、悪性通信を検知するための検知モデルに登録するステップと、
検知対象となる通信の通信ログの入力を受け付けるステップと、
前記検知対象となる通信の通信ログから抽出された通信パターンである検知対象通信パターンに対する、前記マルウェア通信パターンの特徴量、および、前記監視対象ネットワーク通信パターンの特徴量を前記検知モデルから取得し、前記取得したマルウェア通信パターンの特徴量が大きいほど、また、前記取得した監視対象ネットワーク通信パターンの特徴量が小さいほど前記検知対象通信パターンの悪性度の値を高く算出するステップとをコンピュータに実行させることを特徴とする悪性通信パターン検知プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014106027A JP6174520B2 (ja) | 2014-05-22 | 2014-05-22 | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014106027A JP6174520B2 (ja) | 2014-05-22 | 2014-05-22 | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015222471A JP2015222471A (ja) | 2015-12-10 |
JP6174520B2 true JP6174520B2 (ja) | 2017-08-02 |
Family
ID=54785447
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014106027A Active JP6174520B2 (ja) | 2014-05-22 | 2014-05-22 | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6174520B2 (ja) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9692789B2 (en) | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
JP5926413B1 (ja) * | 2015-02-16 | 2016-05-25 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
US10536478B2 (en) * | 2016-02-26 | 2020-01-14 | Oracle International Corporation | Techniques for discovering and managing security of applications |
JP5992643B2 (ja) * | 2016-04-21 | 2016-09-14 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP6088700B2 (ja) * | 2016-08-17 | 2017-03-01 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
JP2018109910A (ja) * | 2017-01-05 | 2018-07-12 | 富士通株式会社 | 類似度判定プログラム、類似度判定方法および情報処理装置 |
JP6145588B2 (ja) * | 2017-02-03 | 2017-06-14 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
EP3588897B1 (en) * | 2018-06-30 | 2020-04-22 | Ovh | Method and system for defending an infrastructure against a distributed denial of service attack |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4523480B2 (ja) * | 2005-05-12 | 2010-08-11 | 株式会社日立製作所 | ログ分析システム、分析方法及びログ分析装置 |
JP5179792B2 (ja) * | 2007-07-13 | 2013-04-10 | 株式会社日立システムズ | 操作検知システム |
JP5286018B2 (ja) * | 2008-10-07 | 2013-09-11 | Kddi株式会社 | 情報処理装置、プログラム、および記録媒体 |
-
2014
- 2014-05-22 JP JP2014106027A patent/JP6174520B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015222471A (ja) | 2015-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
US11030311B1 (en) | Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise | |
US10516671B2 (en) | Black list generating device, black list generating system, method of generating black list, and program of generating black list | |
US9813451B2 (en) | Apparatus and method for detecting cyber attacks from communication sources | |
JP6201614B2 (ja) | ログ分析装置、方法およびプログラム | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
JP6348656B2 (ja) | マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム | |
CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
US8769692B1 (en) | System and method for detecting malware by transforming objects and analyzing different views of objects | |
Niakanlahiji et al. | Phishmon: A machine learning framework for detecting phishing webpages | |
WO2015120752A1 (zh) | 网络威胁处理方法及设备 | |
US10757135B2 (en) | Bot characteristic detection method and apparatus | |
JP2016152594A (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
CN111245784A (zh) | 多维度检测恶意域名的方法 | |
KR102280845B1 (ko) | 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 | |
JP2015179416A (ja) | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム | |
CN116451215A (zh) | 关联分析方法及相关设备 | |
US20180020014A1 (en) | Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method, and malicious communication pattern extraction program | |
JPWO2018143097A1 (ja) | 判定装置、判定方法、および、判定プログラム | |
US11050771B2 (en) | Information processing apparatus, communication inspecting method and medium | |
CN110392032B (zh) | 检测异常url的方法、装置及存储介质 | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
Catalin et al. | An efficient method in pre-processing phase of mining suspicious web crawlers | |
CN111885034A (zh) | 物联网攻击事件追踪方法、装置和计算机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160720 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170524 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170530 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170622 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170704 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170706 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6174520 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |