JP6219621B2 - 通信照合装置 - Google Patents
通信照合装置 Download PDFInfo
- Publication number
- JP6219621B2 JP6219621B2 JP2013139312A JP2013139312A JP6219621B2 JP 6219621 B2 JP6219621 B2 JP 6219621B2 JP 2013139312 A JP2013139312 A JP 2013139312A JP 2013139312 A JP2013139312 A JP 2013139312A JP 6219621 B2 JP6219621 B2 JP 6219621B2
- Authority
- JP
- Japan
- Prior art keywords
- graph
- transmission
- information
- reception
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
そのため、従来技術では、新たに作成された情報収集モジュールおよびリトライが発生したときの情報収集モジュールを検出することが困難であった。
なお、端末装置2は上述したスマートフォン等をエミュレートして検査対象アプリケーション211、情報収集モジュール及びアプリケーション検査プログラムを実行可能なパーソナルコンピュータやサーバであってもよい。
また本実施形態のアプリケーション検査装置は情報収集モジュールのうち特に広告配信を目的とした情報収集モジュールが検査対象アプリケーション211に組み込まれているか否かを検査する。広告配信を目的とした情報収集モジュールはその通信において特有の画像サイズを有した広告バナー画像(以降、広告画像と称する)を受信する。そこでアプリケーション検査装置は受信信号の中から広告画像が検出されることを検査対象アプリケーション211に情報収集モジュールが組み込まれていると判定する際の条件とする。
図3は、図2のグラフに対応するグラフ情報である。グラフ情報はテーブル形式の頂点情報とテーブル形式の辺情報の2つのテーブルで構成される。各グラフ情報には一意なグラフ識別子が付与され、各頂点にはグラフ情報内で一意な頂点識別子が付与される。そして、頂点情報を構成する各頂点のデータは、グラフ識別子と頂点識別子と頂点ラベルが対応づけて記憶される。頂点ラベルは頂点と対応する送受信信号の送受信内容を表し、URL、データ型(テキスト、画像など)、画像サイズが頂点ラベルとなる。また、辺情報を構成する各辺データは、グラフ識別子と辺識別子と接続頂点対と辺ラベルが対応づけされる。各辺データの接続頂点対は当該辺が接続する2つの頂点の頂点識別子である。辺ラベルはつながりの種類を表し、リンクによるつながり、リダイレクトによるつながり、クッキーによるつながり、セッションによるつながりが辺ラベルとなる。接続頂点対である2つの頂点は順不同であり、本発明のグラフ情報は無向性グラフである。
具体的には、グラフ生成手段222は、登録モードにて動作する場合、参照通信ログ215からグラフ情報を生成して記憶部21に参照グラフ216として記憶させる(登録する)。また、グラフ生成手段222は、検査モードにて動作する場合、検査対象通信ログ213からグラフ情報を生成して記憶部21に検査対象グラフ214として記憶させる。このとき特に、グラフ生成手段222は、少なくとも送受信内容が共通する複数の送受信信号をひとつの頂点情報にまとめてグラフ情報を生成する。これによって、リトライに係る複数の送受信信号はひとつの頂点情報にまとめられ、送受信信号の順序に違いがある2つの通信であっても当該送受信信号が共通すれば同じグラフ情報が生成されるので、リトライの発生有無または送受信信号の順序違いの有無にかかわらず通信同士が類似するか否かを正しく判定できる。グラフ生成処理については、図5〜図7を参照して後述する。
グラフ照合手段223は、グラフ情報間にて頂点情報及び辺情報の組み合わせが一致する数が多いほど高く、一致する数が少ないほど低い類似度を算出する。このような、2つのグラフ情報の類似度は、公知である種々のグラフマッチング法により算出することができる。
まず、グラフ生成手段222は、記憶部21から参照通信ログ215を読み出す(ステップS111)。
重複頂点が存在する場合(ステップS115−Yes)、グラフ生成手段222は重複頂点を同化させた仮グラフ情報を生成する(ステップS116)。仮グラフ情報は、ステップS114までの処理で生成されたグラフ情報をコピーし、当該コピーにおいて重複頂点の頂点識別子を同じ頂点識別子に書き換えることで生成する。例えば、頂点v1と頂点v3が重複頂点である場合、頂点識別子v3をv1に書き換える。
重複辺が存在する場合(ステップS117−Yes)、グラフ生成手段222はグラフ情報に重複辺の重複頂点を統合する変更を加え(ステップS118)、グラフ情報に対し重複辺を統合する変更を加える(ステップS119)。具体的にはグラフ生成手段222は、仮グラフ情報にて重複辺とされた辺データを元のグラフ情報と対比して、仮グラフ情報の当該辺データにおいて書き換えられた頂点識別子を特定する。そして、グラフ生成手段222は元のグラフ情報の頂点情報からこの頂点識別子が付与された頂点データを削除し(重複辺の重複頂点を統合)、元のグラフ情報の辺情報に対してこの書き換えを行うとともに重複辺の辺データのうち1つだけ残してその他を削除する(重複辺の統合)。
グラフ501は、ステップS114までの処理にて生成されるグラフ情報を図化した例である。グラフ501は時系列に送受信された5つの送受信信号に対応して5つの頂点v1、v2、v3、v4、v5を有している。またグラフ501は、頂点v1とv2のつながりを表す辺e1、頂点v2とv3のつながりを表す辺e2、頂点v3とv4のつながりを表す辺e3、頂点v4とv5のつながりを表す辺e4を有している。頂点v1、v2、v3、v4、v5が表す送受信信号の送受信内容はそれぞれA、B、A、B、Cであり、4つの辺e1、e2、e3、e4が表すつながりの種類(図中の「関係」)はそれぞれy、y、z、zである。
このグラフ501に対し、グラフ生成手段222はステップS125にて頂点v1と頂点v3、及び頂点v2と頂点v4がそれぞれ重複頂点であると判定する。そしてグラフ生成手段222はステップS127にて、頂点v3とのつながり及びつながりの種類yが共通する辺e1と辺e2を重複辺であると判定する。
グラフ生成手段222は、ステップS128にて重複辺の重複頂点である頂点v1と頂点v2のうち頂点v2を削除して頂点v1に統合し、ステップS129にて重複辺である辺e1と辺e2のうち辺e2を削除して辺e1に統合する。
その結果、グラフ501はグラフ502に修正され、グラフ502が参照グラフ216として登録される。
この参照グラフ216はリトライが発生したときもこれを吸収できる。例えば送受信信号v1とv2のリトライが発生し、これらと送受信内容、つながり及びつながりの種類が同一な送受信信号v6とv7が加わってグラフ503のごとき通信が行われても、グラフ503からはグラフ502と同一のグラフが生成されるので、グラフ501の通信とグラフ503の通信は類似すると判定できる。
また、この参照グラフ216は送受信信号の順序入れ換えが行われてもこれを吸収できる。例えば送受信信号v1とv2の順序を入れ替えたグラフ504のごとき通信が行われても、グラフ504からはグラフ502と同一のグラフが生成されるので、グラフ501の通信とグラフ504の通信は類似すると判定できる。
このようにグラフ生成手段222は、送受信内容、つながりおよびつながりの種類が共通する複数の送受信信号をひとつの頂点情報にまとめてグラフ情報を生成することによって、送受信信号間の時間順序に影響を受けにくく、リトライの発生や送受信信号の順序入れ換えに対して類似判定結果に影響を受けにくいグラフ情報を生成できる。また頂点間に方向性を持たせないことも送受信信号間の時間順序に影響を受けにくい効果に寄与している。
検査対象アプリケーションに複数の情報収集モジュールが組み込まれている可能性が低い場合などには、条件を緩和し、グラフ生成手段222は、送受信内容、つながりが共通する複数の送受信信号をひとつの頂点情報にまとめてグラフ情報を生成することもできる。この構成によってもリトライの発生や送受信信号の順序入れ換えに対して類似判定結果に影響を受けにくいグラフ情報を生成できる効果が得られる。
これらの送受信信号を切り分けた通信ログなどが用意できる場合などには、さらに条件を緩和し、グラフ生成手段222は、送受信内容が共通する複数の送受信信号をひとつの頂点情報にまとめてグラフ情報を生成することもできる。この構成によれば、例えば、図6(b)に示すグラフ505の通信からグラフ506の参照グラフが生成される。この構成によってもリトライの発生や送受信信号の順序入れ換えに対して類似判定結果に影響を受けにくいグラフ情報を生成できる効果が得られる。
重複頂点が存在する場合(ステップS125−Yes)、グラフ生成手段222は重複頂点を同化させた仮グラフ情報を生成する(ステップS126)。
重複辺が存在する場合(ステップS127−Yes)、グラフ生成手段222はグラフ情報に重複辺の重複頂点を統合する変更を加え(ステップS128)、グラフ情報に対し重複辺を統合する変更を加える(ステップS129)。
このようにして生成される検査対象グラフ214も参照グラフ216と同様、送受信信号の時間順序の影響を受けにくいグラフ情報となる。
グラフ照合手段223は、記憶部21から参照グラフ216と検査対象グラフ214を読み出して処理を開始する。
そして、検査対象グラフ214と参照グラフ216の各参照グラフについて、ステップS23〜ステップS24の処理を繰り返し行う。参照グラフ216中のすべてのグラフとの比較照合処理を行うと、情報収集モジュール検出結果を出力して、処理を終了する。
以上述べたように、参照通信及び検査対象通信のそれぞれから送受信信号の時間順序の影響を受けにくいグラフ情報を生成して、グラフ情報同士を照合するので、リトライの発生や送受信信号の順序入れ換えがあってもその影響を軽減して参照通信と検査対象通信の類似性を精度よく判定できる。
頂点間のつながりは抽出した複数のHTTPセッションの集合の中から選んだ2つのHTTPセッションのつながりから作成される。そこで、まず、HTTPセッションの集合から1つのHTTPセッションに着目し、着目HTTPセッションにおいて、時間順序に関係ないHTTPセッションのHTTPリクエストのデータ部分とHTTPレスポンスのデータ部分を連結したデータに対してハッシュ値h1を求める(ステップS31)。
次に、つながりを確認するもう一方のHTTPセッションを集合の残りからを1つ選び、選択HTTPセッションにおいて、時間順序に関係ないHTTPセッションのHTTPリクエストのデータ部分とHTTPレスポンスのデータ部分を連結したデータに対してハッシュ値h2を求める(ステップS32)。
ステップS33において、ハッシュ値h1とハッシュ値h2を比較する。ハッシュ値が一致している場合(ステップS33−Yes)、更に、ハッシュ値h1にてつながりを解析済みか、作業領域上のリストを参照して判定する(ステップS34)。ハッシュ値が一致すると、その他のHTTPセッションに対しては同じ頂点と辺を有していることになるため、既につながりの解析が終了していれば、つながり(辺)をマージし、新たに辺として登録する処理は行わず(ステップS35)、ループを抜ける。一方、ハッシュ値が一致しない場合(ステップS33−No)、まだ処理していない集合の残りのHTTPセッションについて順次選択HTTPセッションとして処理するループに戻る。
そして、まだ処理していない集合の残りのHTTPセッションについて順次選択HTTPセッションとして、ステップS32〜ステップS34を繰り返し、全てが終わると、着目HTTPセッションとその他のHTTPセッションの間でつながりの解析を行い、つながりを有するときは、ハッシュ値を頂点の頂点識別子として辺データを作業領域上のリストに新規追加する(ステップS36)。そして、着目HTTPセッションを変えて同じ処理を行い、全てのHTTPセッションの組み合わせへのつながり(辺)の検出を行う。
2・・・端末装置
21・・・記憶部
211・・・検査対象アプリケーション
212・・・固有情報
213・・・検査対象通信ログ
214・・・検査対象グラフ
215・・・参照通信ログ
216・・・参照グラフ
217・・・特定情報パラメータ
22・・・制御部
221・・・通信ログ取得手段
222・・・グラフ生成手段
223・・・グラフ照合手段
224・・・特定情報検出手段
23・・・通信部
24・・・表示操作部
3・・・ネットワーク
4・・・外部サーバ
Claims (5)
- それぞれが複数の送受信信号にて構成される2つの通信が類似するか否かを判定する通信照合装置であって、
前記送受信信号を分析して当該送受信信号のそれぞれにて送受信された送受信内容および当該送受信信号同士のつながりを検出し、前記つながりが連鎖する前記複数の送受信信号について、前記送受信信号と対応する頂点情報および前記つながりと対応して前記頂点情報同士の関係を表す辺情報からなるグラフ情報を通信ごとに生成するグラフ生成手段と、
前記グラフ生成手段が前記2つの通信それぞれから生成した前記グラフ情報同士の類似度を算出し、前記類似度が予め定めたしきい値以上であるときに前記2つの通信が類似すると判定する類似判定手段と、
を備え、
前記グラフ生成手段は、少なくとも前記送受信内容が共通する複数の送受信信号をひとつの前記頂点情報にまとめて前記グラフ情報を生成することを特徴とする通信照合装置。 - 請求項1に記載の通信照合装置であって、
前記グラフ生成手段は、前記送受信内容および前記つながりが共通する複数の送受信信号をひとつの前記頂点情報にまとめて前記グラフ情報を生成することを特徴とする通信照合装置。 - 請求項2に記載の通信照合装置であって、
前記グラフ生成手段は、前記送受信信号から前記つながりの種類をさらに検出し、前記送受信内容、前記つながりおよび前記つながりの種類が共通する複数の送受信信号をひとつの前記頂点情報にまとめて前記グラフ情報を生成することを特徴とした通信照合装置。 - 請求項1から請求項3のいずれかひとつに記載の通信照合装置であって、
前記送受信内容が予め設定したサイズの画像であるときに当該送受信内容に当該サイズを含ませる特定情報検出手段をさらに備えることを特徴とした通信照合装置。 - 請求項1から請求項4のいずれかひとつに記載の通信照合装置であって、
前記グラフ生成手段は、前記通信に含まれる要求信号と当該要求信号に対する応答信号の対をひとつの前記送受信信号にまとめて前記つながりを検出することを特徴とした通信照合装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013139312A JP6219621B2 (ja) | 2013-07-02 | 2013-07-02 | 通信照合装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013139312A JP6219621B2 (ja) | 2013-07-02 | 2013-07-02 | 通信照合装置 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017168162A Division JP6467473B2 (ja) | 2017-09-01 | 2017-09-01 | アプリケーション検査装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015011695A JP2015011695A (ja) | 2015-01-19 |
JP6219621B2 true JP6219621B2 (ja) | 2017-10-25 |
Family
ID=52304752
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013139312A Active JP6219621B2 (ja) | 2013-07-02 | 2013-07-02 | 通信照合装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6219621B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10430721B2 (en) | 2015-07-27 | 2019-10-01 | Pivotal Software, Inc. | Classifying user behavior as anomalous |
RU2697958C1 (ru) * | 2018-06-29 | 2019-08-21 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносной активности на компьютерной системе |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3773194B2 (ja) * | 2002-09-30 | 2006-05-10 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 通信監視システム及びその方法、情報処理方法並びにプログラム |
US20080102947A1 (en) * | 2004-03-08 | 2008-05-01 | Katherine Hays | Delivery Of Advertising Into Multiple Video Games |
US7624448B2 (en) * | 2006-03-04 | 2009-11-24 | 21St Century Technologies, Inc. | Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data |
JP2010055483A (ja) * | 2008-08-29 | 2010-03-11 | Fujitsu Ltd | 情報再取得手順生成プログラム及び情報再取得手順生成装置 |
JP2013054602A (ja) * | 2011-09-05 | 2013-03-21 | Nippon Telegr & Teleph Corp <Ntt> | グラフパターンマッチングシステムおよびグラフパターンマッチング方法 |
-
2013
- 2013-07-02 JP JP2013139312A patent/JP6219621B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015011695A (ja) | 2015-01-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20160241589A1 (en) | Method and apparatus for identifying malicious website | |
CN106209759B (zh) | 检测驻留在网络上的可疑文件 | |
CN109669795B (zh) | 崩溃信息处理方法及装置 | |
CN106878108B (zh) | 网络流量回放测试方法及装置 | |
CN110298662B (zh) | 交易重复提交的自动化检测方法及装置 | |
US20170094698A1 (en) | Generating Sequenced Instructions For Connecting Through Captive Portals | |
CN107085549B (zh) | 故障信息生成的方法和装置 | |
CN109982293B (zh) | 流量产品推送方法、系统、电子设备及存储介质 | |
CN104010035A (zh) | 一种应用程序分发的方法及系统 | |
CN106529291A (zh) | 恶意软件检测方法 | |
CN108768934A (zh) | 恶意程序发布检测方法、装置以及介质 | |
CN105515909A (zh) | 一种数据采集测试方法和装置 | |
JP6219621B2 (ja) | 通信照合装置 | |
CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 | |
JP6467473B2 (ja) | アプリケーション検査装置 | |
CN107483294B (zh) | 监控网络请求的方法及装置 | |
CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
CN108737350B (zh) | 一种信息处理方法及客户端 | |
CN106803830B (zh) | 识别上网终端的方法、装置和系统、及uim卡 | |
CN111143650B (zh) | 获取页面数据的方法、装置、介质及电子设备 | |
CN110266746B (zh) | 一种信息推送方法及装置 | |
US9049170B2 (en) | Building filter through utilization of automated generation of regular expression | |
JP6787845B2 (ja) | 被疑箇所推定装置、及び被疑箇所推定方法 | |
KR20160063234A (ko) | 스트리밍 uri를 이용한 컨텐츠의 유해성 판정 방법 및 이를 이용한 장치 | |
CN114070819B (zh) | 恶意域名检测方法、设备、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160531 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170529 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170704 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170901 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170926 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170928 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6219621 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |