JP6258553B2 - ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム - Google Patents
ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム Download PDFInfo
- Publication number
- JP6258553B2 JP6258553B2 JP2017500633A JP2017500633A JP6258553B2 JP 6258553 B2 JP6258553 B2 JP 6258553B2 JP 2017500633 A JP2017500633 A JP 2017500633A JP 2017500633 A JP2017500633 A JP 2017500633A JP 6258553 B2 JP6258553 B2 JP 6258553B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- log
- blacklist
- function
- communication pattern
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
図面を参照しながら、本発明の第一の実施形態の構成について説明する。まず、図1を用いて本実施形態のブラックリスト生成システム1の構成を説明する。図1は、第一の実施形態に係るブラックリスト生成システムの構成の一例を示す図である。なお、本発明は本実施形態に限定されない。
発生回数=当該通信パターンの出現回数(マルウェアの重複可)
マルウェア数=当該通信パターンを発生させているマルウェア数(マルウェアの重複不可)
発生率=当該通信パターンを発生させているマルウェア数(マルウェアの重複不可)/悪性通信ログ302aに含まれるマルウェアの総検体数
発生回数=当該通信パターンの出現回数(端末の重複可)
端末数=当該通信パターンを発生させている端末数(端末の重複不可)
発生率=当該通信パターンを発生させている端末数(端末の重複不可)/正常通信ログ303aに含まれる端末の総数
図10を用いて、本発明の第一の実施形態の処理について説明する。図10は、第一の実施形態に係るブラックリスト生成システムの処理の一例を示す図である。
本実施形態に係るブラックリスト生成装置300においては、マルウェアによる通信から得られる悪性通信ログ301aと、防御対象ネットワークにおける通信から得られる正常通信ログ301bと、をログ取得機能301によって取得する。そして、悪性通信プロファイル抽出機能305は、悪性通信ログ301aに含まれるフィールド及び値の組である通信パターン毎の出現頻度についての統計値を算出し、統計値が所定の条件を満たす通信パターンをブラックリスト候補305aとして出力する。また、正常通信プロファイル抽出機能306は、正常通信ログ301bに含まれる通信パターン毎の出現頻度についての統計値を算出し、統計値が所定の条件を満たす通信パターンをホワイトリスト306aとして出力する。さらに、ブラックリスト作成機能307は、ブラックリスト候補305aの値を、ホワイトリスト306aの対応するフィールドの値で検索し、一致する通信パターンをブラックリスト候補305aから除くことでブラックリスト307aを作成する。
また、上記実施形態に係るブラックリスト生成装置300が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成し、実行することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、ブラックリスト生成装置300と同様の機能を実現する制御プログラムを実行するコンピュータの一例を説明する。
100、200 ログ収集・蓄積装置
101、201 収集機能
102、202 正規化機能
103、203 ログ管理ストレージ
300 ブラックリスト生成装置
301 ログ取得機能
301a、302a 悪性通信ログ
301b、303a 正常通信ログ
302 悪性通信ログ前処理機能
303 正常通信ログ前処理機能
303b 除外リスト
304 単語リスト生成機能
304a 単語リスト
305 悪性通信プロファイル抽出機能
305a ブラックリスト候補
306 正常通信プロファイル抽出機能
306a ホワイトリスト
307 ブラックリスト作成機能
307a ブラックリスト
Claims (8)
- マルウェアによる通信から得られる第一の通信ログと、所定のネットワークにおける通信から得られる第二の通信ログと、を取得するログ取得機能と、
前記第一の通信ログに含まれるフィールド及び値の組である通信パターン毎の、発生させた前記マルウェアの検体数の、前記マルウェアの総検体数に占める割合を第一の統計値として算出し、該第一の統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをブラックリストの候補として出力する第一の抽出機能と、
前記第二の通信ログに含まれる通信パターン毎の、発生させた端末数の、前記第二の通信ログを出力した端末の総数に占める割合を第二の統計値として算出し、該第二の統計値が、前記フィールドごとに定められた閾値以上である通信パターンを抽出し、該通信パターンをホワイトリストとして出力する第二の抽出機能と、
前記ブラックリストの候補の値を、前記ホワイトリストの対応するフィールドの値で検索し、一致する通信パターンを前記ブラックリストの候補から除くことでブラックリストを作成するブラックリスト作成機能と、
を有することを特徴とするブラックリスト生成装置。 - 前記第一の抽出機能は、前記第一の統計値が高い通信パターンから順に前記第一の通信ログを並べ替え、該第一の通信ログのうち、前記第一の統計値が高い所定数の通信パターンを前記ブラックリストの候補として出力し、
前記第二の抽出機能は、前記第二の統計値が高い通信パターンから順に前記第二の通信ログを並べ替え、該第二の通信ログのうち、前記第二の統計値が高い所定数の通信パターンを前記ホワイトリストとして出力することを特徴とする請求項1に記載のブラックリスト生成装置。 - 前記第二の通信ログから、前記所定のネットワークにおいて、アクセスしている端末数が所定の閾値以上である通信先を抽出し、前記第一の通信ログから、前記通信先に対する通信ログを除外する前処理機能をさらに有することを特徴とする請求項1に記載のブラックリスト生成装置。
- 前記第一の通信ログに一定以上の頻度で出現する文字列を抽出し、単語リストを生成する単語リスト生成機能をさらに有し、
前記第二の抽出機能は、前記ホワイトリストの値のうち、前記単語リストに含まれる文字列と一致する部分以外の部分を正規表現化することを特徴とする請求項1に記載のブラックリスト生成装置。 - 前記ブラックリスト作成機能は、前記ブラックリストの値を正規表現化して出力することを特徴とする請求項1に記載のブラックリスト生成装置。
- マルウェアによる通信から通信ログを収集し第一の通信ログとして蓄積する第一のログ収集蓄積装置と、
所定のネットワークにおける通信から通信ログを収集し第二の通信ログとして蓄積する第二のログ収集蓄積装置と、
ブラックリスト生成装置と、
を有するブラックリスト生成システムであって、
前記ブラックリスト生成装置は、
前記第一のログ収集蓄積装置に蓄積された第一の通信ログと、前記第二のログ収集蓄積装置に蓄積された第二の通信ログと、を取得するログ取得機能と、
前記第一の通信ログに含まれるフィールド及び値の組である通信パターン毎の、発生させた前記マルウェアの検体数の、前記マルウェアの総検体数に占める割合を第一の統計値として算出し、該第一の統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをブラックリストの候補として出力する第一の抽出機能と、
前記第二の通信ログに含まれる通信パターン毎の、発生させた端末数の、前記第二の通信ログを出力した端末の総数に占める割合を第二の統計値として算出し、該第二の統計値が、前記フィールドごとに定められた閾値以上である通信パターンを抽出し、該通信パターンをホワイトリストとして出力する第二の抽出機能と、
前記ブラックリストの候補の値を、前記ホワイトリストの対応するフィールドの値で検索し、一致する通信パターンを前記ブラックリストの候補から除くことでブラックリストを作成するブラックリスト作成機能と、
を有することを特徴とするブラックリスト生成システム。 - コンピュータによって実行されるブラックリスト生成方法であって、
マルウェアによる通信から通信ログを収集し第一の通信ログとして蓄積する第一のログ収集蓄積工程と、
所定のネットワークにおける通信から通信ログを収集し第二の通信ログとして蓄積する第二のログ収集蓄積工程と、
前記第一のログ収集蓄積工程において蓄積された第一の通信ログと、前記第二のログ収集蓄積工程において蓄積された第二の通信ログと、を取得するログ取得工程と、
前記第一の通信ログに含まれるフィールド及び値の組である通信パターン毎の、発生させた前記マルウェアの検体数の、前記マルウェアの総検体数に占める割合を第一の統計値として算出し、該第一の統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをブラックリストの候補として出力する第一の抽出工程と、
前記第二の通信ログに含まれる通信パターン毎の、発生させた端末数の、前記第二の通信ログを出力した端末の総数に占める割合を第二の統計値として算出し、該第二の統計値が、前記フィールドごとに定められた閾値以上である通信パターンを抽出し、該通信パターンをホワイトリストとして出力する第二の抽出工程と、
前記ブラックリストの候補の値を、前記ホワイトリストの対応するフィールドの値で検索し、一致する通信パターンを前記ブラックリストの候補から除くことでブラックリストを作成するブラックリスト作成工程と、
を含んだことを特徴とするブラックリスト生成方法。 - マルウェアによる通信から得られる第一の通信ログと、所定のネットワークにおける通信から得られる第二の通信ログと、を取得するログ取得ステップと、
前記第一の通信ログに含まれるフィールド及び値の組である通信パターン毎の、発生させた前記マルウェアの検体数の、前記マルウェアの総検体数に占める割合を第一の統計値として算出し、該第一の統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをブラックリストの候補として出力する第一の抽出ステップと、
前記第二の通信ログに含まれる通信パターン毎の、発生させた端末数の、前記第二の通信ログを出力した端末の総数に占める割合を第二の統計値として算出し、該第二の統計値が、前記フィールドごとに定められた閾値以上である通信パターンを抽出し、該通信パターンをホワイトリストとして出力する第二の抽出ステップと、
前記ブラックリストの候補の値を、前記ホワイトリストの対応するフィールドの値で検索し、一致する通信パターンを前記ブラックリストの候補から除くことでブラックリストを作成するブラックリスト作成ステップと、
をコンピュータに実行させることを特徴とするブラックリスト生成プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015031585 | 2015-02-20 | ||
JP2015031585 | 2015-02-20 | ||
PCT/JP2016/053982 WO2016132992A1 (ja) | 2015-02-20 | 2016-02-10 | ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2016132992A1 JPWO2016132992A1 (ja) | 2017-07-27 |
JP6258553B2 true JP6258553B2 (ja) | 2018-01-10 |
Family
ID=56689336
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017500633A Active JP6258553B2 (ja) | 2015-02-20 | 2016-02-10 | ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US10516671B2 (ja) |
EP (1) | EP3244335B1 (ja) |
JP (1) | JP6258553B2 (ja) |
CN (1) | CN107251037B (ja) |
WO (1) | WO2016132992A1 (ja) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10587621B2 (en) * | 2017-06-16 | 2020-03-10 | Cisco Technology, Inc. | System and method for migrating to and maintaining a white-list network security model |
US11556819B2 (en) | 2018-01-17 | 2023-01-17 | Nippon Telegraph And Telephone Corporation | Collection apparatus, collection method, and collection program |
JP6892005B2 (ja) * | 2018-03-01 | 2021-06-18 | 日本電気株式会社 | 情報処理装置、制御方法、及びプログラム |
US20210203677A1 (en) * | 2018-05-21 | 2021-07-01 | Nippon Telegraph And Telephone Corporation | Learning method, learning device, and learning program |
JP7247628B2 (ja) * | 2019-02-12 | 2023-03-29 | 日本電信電話株式会社 | 作成装置、作成システム、作成方法および作成プログラム |
US11494831B2 (en) * | 2019-06-11 | 2022-11-08 | Shopify Inc. | System and method of providing customer ID service with data skew removal |
TWI702510B (zh) * | 2019-07-09 | 2020-08-21 | 中華電信股份有限公司 | 找出惡意加密連線指紋的方法及裝置 |
CN110472409B (zh) * | 2019-08-06 | 2021-02-09 | 长沙学院 | 一种基于白名单机制的进程管理方法及系统 |
JP7297249B2 (ja) * | 2019-08-07 | 2023-06-26 | 株式会社日立製作所 | 計算機システム及び情報の共有方法 |
JP7069090B2 (ja) * | 2019-08-19 | 2022-05-17 | Kddi株式会社 | 解析装置、検出装置、システム及びプログラム |
US11882137B2 (en) * | 2019-10-21 | 2024-01-23 | Avast Software, S.R.O. | Network security blacklist derived from honeypot statistics |
CN111107083B (zh) * | 2019-12-18 | 2021-11-23 | 杭州迪普科技股份有限公司 | 一种白名单规格的测试方法及装置 |
CN111338969A (zh) * | 2020-03-23 | 2020-06-26 | 深圳开源互联网安全技术有限公司 | 基于正则动态匹配请求参数并修改的方法及系统 |
CN112350993A (zh) * | 2020-09-28 | 2021-02-09 | 广东电力信息科技有限公司 | Ip自动封堵方法、装置、监控终端及计算机存储介质 |
CN112202807B (zh) * | 2020-10-13 | 2023-05-12 | 北京明略昭辉科技有限公司 | Ip黑名单的灰度替换方法、装置、电子设备及存储介质 |
CN114155944B (zh) * | 2021-12-08 | 2022-07-26 | 纳里健康科技有限公司 | 一种预约挂号方法 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070095718A (ko) * | 2006-03-22 | 2007-10-01 | 한국전자통신연구원 | 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법 |
US9083712B2 (en) * | 2007-04-04 | 2015-07-14 | Sri International | Method and apparatus for generating highly predictive blacklists |
US20120090027A1 (en) * | 2010-10-12 | 2012-04-12 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting abnormal host based on session monitoring |
JP5465651B2 (ja) | 2010-11-30 | 2014-04-09 | 日本電信電話株式会社 | リスト生成方法、リスト生成装置及びリスト生成プログラム |
US8151341B1 (en) * | 2011-05-23 | 2012-04-03 | Kaspersky Lab Zao | System and method for reducing false positives during detection of network attacks |
US9531755B2 (en) | 2012-05-30 | 2016-12-27 | Hewlett Packard Enterprise Development Lp | Field selection for pattern discovery |
KR101391781B1 (ko) * | 2012-08-07 | 2014-05-07 | 한국전자통신연구원 | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 |
JP6086423B2 (ja) * | 2012-11-14 | 2017-03-01 | 国立研究開発法人情報通信研究機構 | 複数センサの観測情報の突合による不正通信検知方法 |
US8752178B2 (en) | 2013-07-31 | 2014-06-10 | Splunk Inc. | Blacklisting and whitelisting of security-related events |
-
2016
- 2016-02-10 EP EP16752378.6A patent/EP3244335B1/en active Active
- 2016-02-10 US US15/550,890 patent/US10516671B2/en active Active
- 2016-02-10 JP JP2017500633A patent/JP6258553B2/ja active Active
- 2016-02-10 WO PCT/JP2016/053982 patent/WO2016132992A1/ja active Application Filing
- 2016-02-10 CN CN201680010175.8A patent/CN107251037B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
JPWO2016132992A1 (ja) | 2017-07-27 |
EP3244335A4 (en) | 2018-03-21 |
US20180063146A1 (en) | 2018-03-01 |
US10516671B2 (en) | 2019-12-24 |
CN107251037B (zh) | 2021-02-12 |
CN107251037A (zh) | 2017-10-13 |
WO2016132992A1 (ja) | 2016-08-25 |
EP3244335B1 (en) | 2019-05-01 |
EP3244335A1 (en) | 2017-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6258553B2 (ja) | ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム | |
CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
Marchal et al. | PhishStorm: Detecting phishing with streaming analytics | |
US9509714B2 (en) | Web page and web browser protection against malicious injections | |
US9712560B2 (en) | Web page and web browser protection against malicious injections | |
Liu et al. | A novel approach for detecting browser-based silent miner | |
Niakanlahiji et al. | Phishmon: A machine learning framework for detecting phishing webpages | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
Huang et al. | Malicious URL detection by dynamically mining patterns without pre-defined elements | |
US8769692B1 (en) | System and method for detecting malware by transforming objects and analyzing different views of objects | |
Wu et al. | A phishing detection system based on machine learning | |
WO2016147944A1 (ja) | マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム | |
JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
CN111786966A (zh) | 浏览网页的方法和装置 | |
Kim et al. | Detecting fake anti-virus software distribution webpages | |
JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
Marchal et al. | PhishScore: Hacking phishers' minds | |
JPWO2018066221A1 (ja) | 分類装置、分類方法及び分類プログラム | |
Patel | Malware detection in android operating system | |
JP2015179979A (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
Abuadbba et al. | Towards web phishing detection limitations and mitigation | |
Fu et al. | Flowintent: Detecting privacy leakage from user intention to network traffic mapping | |
Roopak et al. | On effectiveness of source code and SSL based features for phishing website detection | |
Jo et al. | You're not who you claim to be: Website identity check for phishing detection | |
Almarshad et al. | Detecting zero-day polymorphic worms with jaccard similarity algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170406 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171003 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171117 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171206 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6258553 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |