JP6258553B2 - ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム - Google Patents

ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム Download PDF

Info

Publication number
JP6258553B2
JP6258553B2 JP2017500633A JP2017500633A JP6258553B2 JP 6258553 B2 JP6258553 B2 JP 6258553B2 JP 2017500633 A JP2017500633 A JP 2017500633A JP 2017500633 A JP2017500633 A JP 2017500633A JP 6258553 B2 JP6258553 B2 JP 6258553B2
Authority
JP
Japan
Prior art keywords
communication
log
blacklist
function
communication pattern
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017500633A
Other languages
English (en)
Other versions
JPWO2016132992A1 (ja
Inventor
健介 中田
健介 中田
佐藤 徹
徹 佐藤
一史 青木
一史 青木
和憲 神谷
和憲 神谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2016132992A1 publication Critical patent/JPWO2016132992A1/ja
Application granted granted Critical
Publication of JP6258553B2 publication Critical patent/JP6258553B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラムに関する。
ネットワークを介して行われる攻撃は日々複雑さを増しており、入口対策だけでは通信端末のマルウェアへの感染を完全に防ぐことが難しい。近年では攻撃が成功した後にいかに早期発見することで被害の拡大を阻止するかと言う事後対策の重要性が増している。
そのような技術の一つとして、ブラックリストを作成する方法が知られている。ブラックリスト生成方法として、ある程度悪性の疑いのあるURLに実際にアクセスし、その後の通信の挙動を基にして悪性であるかどうかを判断した上でブラックリストに追加する技術がある。
また、図12に示すような、ハニーポットを含んだシステムを用いた方法も知られている。図12は、従来のブラックリスト生成システムを示す図である。図12に示すブラックリスト生成システムにおいては、ハニーポット技術により取得した情報を基に悪性URLのブラックリストを生成し、この時さらに取得できた悪性URLと類似性が見られるURLに対してもアラートを上げ、情報収集を試みブラックリストを拡充する(例えば、特許文献1参照)。
特開2012−118713号公報
しかし、従来の悪性の疑いのあるURLに実際にアクセスする方法では、高精度なブラックリストが作成可能であるが、確認することができる悪性URLの種類に制約があるため、効率よくブラックリストを生成することが難しいという問題がある。また、最近のマルウェアは多種多様な通信を行なうため、単純にマルウェアの通信先を全て悪性URLとみなし、その悪性URLと類似性が見られるURLと併せてブラックリストとして活用すると誤検知を生む可能性が高く、また検知できるマルウェアのカバレッジも広がらない。
そこで、本発明は、誤検知が少なく、マルウェアのカバレッジが広いブラックリストを効率良く生成することを目的とする。
本発明のブラックリスト生成装置は、マルウェアによる通信から得られる第一の通信ログと、所定のネットワークにおける通信から得られる第二の通信ログと、を取得するログ取得機能と、前記第一の通信ログに含まれるフィールド及び値の組である通信パターン毎の出現頻度についての第一の統計値を算出し、該第一の統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをブラックリストの候補として出力する第一の抽出機能と、前記第二の通信ログに含まれる通信パターン毎の出現頻度についての第二の統計値を算出し、該第二の統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをホワイトリストとして出力する第二の抽出機能と、前記ブラックリストの候補の値を、前記ホワイトリストの対応するフィールドの値で検索し、一致する通信パターンを前記ブラックリストの候補から除くことでブラックリストを作成するブラックリスト作成機能と、を有することを特徴とする。
また、本発明のブラックリスト生成システムは、マルウェアによる通信から通信ログを収集し第一の通信ログとして蓄積する第一のログ収集蓄積装置と、所定のネットワークにおける通信から通信ログを収集し第二の通信ログとして蓄積する第二のログ収集蓄積装置と、ブラックリスト生成装置と、を有するブラックリスト生成システムであって、前記ブラックリスト生成装置は、前記第一のログ収集蓄積装置に蓄積された第一の通信ログと、前記第二のログ収集蓄積装置に蓄積された第二の通信ログと、を取得するログ取得機能と、前記第一の通信ログに含まれるフィールド及び値の組である通信パターン毎の出現頻度についての第一の統計値を算出し、該第一の統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをブラックリストの候補として出力する第一の抽出機能と、前記第二の通信ログに含まれる通信パターン毎の出現頻度についての第二の統計値を算出し、該第二の統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをホワイトリストとして出力する第二の抽出機能と、前記ブラックリストの候補の値を、前記ホワイトリストの対応するフィールドの値で検索し、一致する通信パターンを前記ブラックリストの候補から除くことでブラックリストを作成するブラックリスト作成機能と、を有することを特徴とする。
また、本発明のブラックリスト生成方法は、マルウェアによる通信から通信ログを収集し第一の通信ログとして蓄積する第一のログ収集蓄積工程と、所定のネットワークにおける通信から通信ログを収集し第二の通信ログとして蓄積する第二のログ収集蓄積工程と、前記第一のログ収集蓄積工程において蓄積された第一の通信ログと、前記第二のログ収集蓄積工程において蓄積された第二の通信ログと、を取得するログ取得工程と、前記第一の通信ログに含まれるフィールド及び値の組である通信パターン毎の出現頻度についての第一の統計値を算出し、該第一の統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをブラックリストの候補として出力する第一の抽出工程と、前記第二の通信ログに含まれる通信パターン毎の出現頻度についての第二の統計値を算出し、該第二の統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをホワイトリストとして出力する第二の抽出工程と、前記ブラックリストの候補の値を、前記ホワイトリストの対応するフィールドの値で検索し、一致する通信パターンを前記ブラックリストの候補から除くことでブラックリストを作成するブラックリスト作成工程と、を含んだことを特徴とする。
また、本発明のブラックリスト生成プログラムは、マルウェアによる通信から得られる第一の通信ログと、所定のネットワークにおける通信から得られる第二の通信ログと、を取得するログ取得ステップと、前記第一の通信ログに含まれるフィールド及び値の組である通信パターン毎の出現頻度についての第一の統計値を算出し、該第一の統計値のうち、所定の条件を満たす通信パターンを抽出し、該通信パターンをブラックリストの候補として出力する第一の抽出ステップと、前記第二の通信ログに含まれる通信パターン毎の出現頻度についての第二の統計値を算出し、該第二の統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをホワイトリストとして出力する第二の抽出ステップと、前記ブラックリストの候補の値を、前記ホワイトリストの対応するフィールドの値で検索し、一致する通信パターンを前記ブラックリストの候補から除くことでブラックリストを作成するブラックリスト作成ステップと、をコンピュータに実行させることを特徴とする。
本発明によれば、誤検知が少なく、マルウェアのカバレッジが広いブラックリストを効率良く生成することができる。
図1は、第一の実施形態に係るブラックリスト生成システムの構成の一例を示す図である。 図2は、第一の実施形態に係るブラックリスト生成装置における通信ログのフィールドの例を示す図である。 図3は、第一の実施形態に係るブラックリスト生成装置における悪性通信ログのプロファイル情報の例を示す図である。 図4は、第一の実施形態に係るブラックリスト生成装置におけるブラックリスト候補の一例を示す図である。 図5は、第一の実施形態に係るブラックリスト生成装置における正常通信ログのプロファイル情報の例を示す図である。 図6は、第一の実施形態に係るブラックリスト生成装置におけるホワイトリストの一例を示す図である。 図7は、第一の実施形態に係るブラックリスト生成装置におけるブラックリストの一例を示す図である。 図8は、第一の実施形態に係るブラックリスト生成装置におけるブラックリストの一例を示す図である。 図9は、第一の実施形態に係るブラックリスト生成装置におけるプロファイル情報の例を示す図である。 図10は、第一の実施形態に係るブラックリスト生成システムの処理の一例を示す図である。 図11は、ブラックリスト生成プログラムを実行するコンピュータの一例を示す図である。 図12は、従来のブラックリスト生成システムを示す図である。
[第一の実施形態に係るブラックリスト生成システムの構成]
図面を参照しながら、本発明の第一の実施形態の構成について説明する。まず、図1を用いて本実施形態のブラックリスト生成システム1の構成を説明する。図1は、第一の実施形態に係るブラックリスト生成システムの構成の一例を示す図である。なお、本発明は本実施形態に限定されない。
ブラックリスト生成システム1は、ログ収集・蓄積装置100及び200、ブラックリスト生成装置300を含む。ログ収集・蓄積装置100はマルウェアの通信ログの収集及び蓄積を行う。ログ収集・蓄積装置200は防御対象ネットワークにおける通信ログの収集及び蓄積を行う。本実施形態においては、マルウェアの通信ログ及び防御対象ネットワークにおける通信ログの収集及び蓄積を別々の装置で行う構成となっているが、1つの装置で両方の通信ログの収集及び蓄積を行うようにしても良い。
なお、以降の説明において、マルウェアの通信ログを「悪性通信ログ」とし、防御対象ネットワークにおける通信ログを「正常通信ログ」とする。また、マルウェアの通信ログは、サンドボックス化されたマルウェアの通信環境においてマルウェアを実行させた際に出力される通信ログである。
ログ収集・蓄積装置100及び200は、例えばファイアウォール、Webプロキシ、DNSサーバのログを通信ログとして収集する。また、IDS(Intrusion Detection System)、IPS(Intrusion Prevention System)等の通信を監視するセキュリティアプライアンスのログを収集するようにしても良い。
図1に示すように、ログ収集・蓄積装置100は、収集機能101、正規化機能102及びログ管理ストレージ103を有する。収集機能101は、マルウェアの通信環境における前述の収集対象の機器及びシステム等から通信ログを収集する。正規化機能102は、収集した通信ログを図2に示すフィールドに従って正規化する。図2は、第一の実施形態に係るブラックリスト生成装置における通信ログのフィールドの例を示す図である。正規化された通信ログは、ログ管理ストレージ103に格納される。
図1に示すように、ログ収集・蓄積装置200は、ログ収集・蓄積装置100と同様の構成を有する。ログ収集・蓄積装置200は、収集機能201、正規化機能202及びログ管理ストレージ203を有する。収集機能201は、防御対象ネットワークにおける前述の収集対象の機器及びシステム等から通信ログを収集する。正規化機能202は、収集した通信ログを図2に示すフィールドに従って正規化する。正規化された通信ログは、ログ管理ストレージ203に格納される。
なお、図2に示すフィールドは一例であり、ログ収集・蓄積装置100及び200が収集し正規化する通信ログのフィールドは、図2に示すものに限定されない。また、ログ収集・蓄積装置100及び200は、図2に示すフィールドのうち、必ずしも全てのフィールドについて値を取得する必要はなく、一部のフィールドについての値を取得することとしても良い。
図1に示すように、ブラックリスト生成装置300は、ログ取得機能301、悪性通信ログ前処理機能302、正常通信ログ前処理機能303、単語リスト生成機能304、悪性通信プロファイル抽出機能305、正常通信プロファイル抽出機能306及びブラックリスト作成機能307を有する。
ログ取得機能301は、マルウェアによる通信から得られる悪性通信ログ301aと、所定のネットワークである防御対象ネットワークにおける通信から得られる正常通信ログ301bと、を取得する。
第一の抽出機能である悪性通信プロファイル抽出機能305は、悪性通信ログ302aに含まれるフィールド及び値の組である通信パターン毎の出現頻度についての統計値を算出し、統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをブラックリスト候補305aとして出力する。また、悪性通信プロファイル抽出機能305は、統計値の降順に悪性通信ログ302aを並べ替え、所定の順位以上となる通信パターンをブラックリスト候補305aとして出力しても良い。
第二の抽出機能である正常通信プロファイル抽出機能306は、正常通信ログ303aに含まれる通信パターン毎の出現頻度についての統計値を算出し、統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをホワイトリスト306aとして出力する。また、正常通信プロファイル抽出機能306は、前記統計値の降順に正常通信ログ303aを並べ替え、所定の順位以上となる通信パターンをホワイトリスト306aとして出力しても良い。
ブラックリスト作成機能307は、ブラックリスト候補305aの値を、ホワイトリスト306aの対応するフィールドの値で検索し、一致する通信パターンをブラックリスト候補305aから除いたものをブラックリスト307aとして出力する。また、前記ブラックリスト作成機能307は、ブラックリスト307aの値を正規表現化して出力しても良い。
正常通信ログ前処理機能303は、正常通信ログ301bから、所定のネットワークにおいて一定回数以上のアクセスが行われている通信先を抽出する。また、悪性通信ログ前処理機能302は、悪性通信ログ301aから、抽出した通信先に対する通信ログを除外する。
単語リスト生成機能304は、悪性通信ログ302aに一定以上の頻度で出現する文字列を抽出し、単語リスト304aを生成する。また、正常通信プロファイル抽出機能306は、ホワイトリスト306aの値のうち、単語リスト304aに含まれる文字列と一致する部分以外の部分を正規表現化する。
なお、上記の機能のうち、悪性通信ログ前処理機能302、正常通信ログ前処理機能303、単語リスト生成機能304は必須の構成ではないが、ブラックリスト生成装置300によって生成されるブラックリスト307aの精度をさらに向上させる効果を奏する。以降、各機能における具体的な処理について説明する。
ログ取得機能301は、ログ収集・蓄積装置100及び200に対し、通信ログ取得のための問い合わせを行う。ログ取得機能301は、ログ収集・蓄積装置100及び200に対し、特定の期間、フィールド及びフィールドの値等を検索条件として通信ログを検索し、検索結果を応答するように要求することもできる。ログ取得機能301からの問い合わせが行われると、ログ収集・蓄積装置100及び200は通信ログの検索を行い、検索結果をログ取得機能301に応答する。
ログ取得機能301は、ログ収集・蓄積装置100及び200から通信ログを取得すると、悪性通信ログ301aを悪性通信ログ前処理機能302へ、正常通信ログ301bを正常通信ログ前処理機能303へ転送する。
正常通信ログ前処理機能303は、正常通信ログ301bの対象である端末のうち、所定の閾値以上の端末がアクセスしているドメインを、防御対象ネットワークにおけるポピュラーな通信先とする。そして、正常通信ログ前処理機能303は、ポピュラーな通信先をリスト化し除外リスト303bとして出力する。除外リスト303bは悪性通信ログ前処理機能302へ送信され、正常通信ログ303aは正常通信プロファイル抽出機能306へ転送される。なお、除外リスト303bは、前述のドメインに加え、FQDN(Fully Qualified Domain Name)によって作成されるようにしても良い。なお、ポピュラーな通信先の例としては、利用者数が多い大手検索サイト(YAHOO!(登録商標)、google(登録商標)等)で用いられているドメインがある。
悪性通信ログ前処理機能302は、ログ取得機能301から悪性通信ログ301aを受け取り、正常通信ログ前処理機能303から除外リスト303bを受け取る。悪性通信ログ前処理機能302は、除外リスト303bに従って、悪性通信ログ301aのフィルタリングを行う。即ち、悪性通信ログ301aから、通信先が除外リスト303bに含まれている通信ログを除外し、悪性通信ログ302aとして出力する。そして、悪性通信ログ前処理機能302は、悪性通信ログ302aを単語リスト生成機能304及び悪性通信プロファイル抽出機能305に転送する。この時、悪性通信ログ前処理機能302は、除外リスト303bに含まれている通信先以外にも、広告サイトとして著名なドメインや、世間一般的によくアクセスされるドメインを通信先とする通信ログを除外するようにしても良い。
単語リスト生成機能304は、悪性通信ログ前処理機能302から悪性通信ログ302aを受け取る。単語リスト生成機能304は、悪性通信ログ302aから所定の条件を満たす文字列を抽出し、単語リスト304aを生成する。所定の条件としては、例えば文字列の長さや出現回数が一定の基準を超えていること、またはそれらを組み合わせた条件等が挙げられる。単語リスト304aは、正常通信プロファイル抽出機能306へ転送される。
悪性通信プロファイル抽出機能305は、悪性通信ログ前処理機能302から悪性通信ログ302aを受け取る。そして悪性通信プロファイル抽出機能305は、悪性通信ログ302aから、図2に示すようなフィールド毎に、各値の発生回数、マルウェア数、発生率等を図3に示すようなプロファイル情報として抽出する。図3は、第一の実施形態に係るブラックリスト生成装置における悪性通信ログのプロファイル情報の例を示す図である。
そして、悪性通信プロファイル抽出機能305は、図4に示すように、抽出した情報をリスト化し各フィールドにおけるブラックリスト候補305aとする。図4は、第一の実施形態に係るブラックリスト生成装置におけるブラックリスト候補の一例を示す図である。このとき、悪性通信プロファイル抽出機能305は、各値をフィールド毎にランキング形式で表し、所定の順位以上である値をブラックリスト候補305aとしても良い。
例えば、図3の例においては、発生回数の値が高い通信パターンから順に悪性通信ログ302aを並べ替え、悪性通信ログ302aのうち、発生回数の値が高い3つの通信パターンをブラックリスト候補305aとして出力している。ここで、発生回数の値が高い2つの通信パターンをブラックリスト候補305aとして出力するようにすれば、フィールドが「宛先IPアドレス」で、値が「10.0.0.3」である通信パターンはブラックリスト候補305aに含まれないこととなる。
なお、発生回数とは悪性通信ログ302aにおける当該値の出現回数であり、マルウェア数とは当該値を発生させているマルウェアの検体数であり、発生率とは悪性通信ログ302aに含まれるマルウェアの総検体数に占める前記マルウェア数の割合である。即ち、下記のように表すこともできる。
発生回数=当該通信パターンの出現回数(マルウェアの重複可)
マルウェア数=当該通信パターンを発生させているマルウェア数(マルウェアの重複不可)
発生率=当該通信パターンを発生させているマルウェア数(マルウェアの重複不可)/悪性通信ログ302aに含まれるマルウェアの総検体数
なお、図3の例において、重複を排除したマルウェア数は100とする。この場合、例えば「宛先IPアドレス」が「192.168.10.30」である通信パターンは、マルウェア数が80であるため、図3に示す通り、発生率は80/100=0.8となる。
正常通信プロファイル抽出機能306は、正常通信ログ前処理機能303から正常通信ログ303aを受け取り、単語リスト生成機能304から単語リスト304aを受け取る。そして、悪性通信プロファイル抽出機能305はマルウェアに関するプロファイル情報を抽出するのに対し、正常通信プロファイル抽出機能306は端末に関するプロファイル情報を抽出する。即ち、正常通信プロファイル抽出機能306は、正常通信ログ303aから、図2に示すようなフィールド毎に、各値の発生回数、端末数、発生率等を図5に示すようなプロファイル情報として抽出する。図5は、第一の実施形態に係るブラックリスト生成装置における正常通信ログのプロファイル情報の例を示す図である。
なお、発生回数とは正常通信ログ303aにおける当該値の出現回数であり、端末数とは当該値を発生させている端末数であり、発生率とは正常通信ログ303aに含まれる端末の総数に占める前記端末数の割合である。即ち、下記のように表すこともできる。
発生回数=当該通信パターンの出現回数(端末の重複可)
端末数=当該通信パターンを発生させている端末数(端末の重複不可)
発生率=当該通信パターンを発生させている端末数(端末の重複不可)/正常通信ログ303aに含まれる端末の総数
なお、図5の例において、重複を排除した端末数は100とする。この場合、例えば「宛先IPアドレス」が「10.0.0.3」である通信パターンは、端末数が40であるため、図5に示す通り、発生率は40/100=0.4となる。
そして、正常通信プロファイル抽出機能306は、図6に示すように、抽出した情報をリスト化し各フィールドにおけるホワイトリスト306aとする。図6は、第一の実施形態に係るブラックリスト生成装置におけるホワイトリストの一例を示す図である。正常通信プロファイル抽出機能306は、ホワイトリスト306aを抽出する際に、図5に示すプロファイル情報のうち、誤検知を引き起こす可能性を考慮し、例えば発生率が0.2以上のものをホワイトリスト306aとして抽出するといったような条件を定める。さらに、クエリキーは常にホワイトリスト306aに含めない、といったフィールド毎の条件を定めても良い。
具体例として、正常通信プロファイル抽出機能306が、発生率が0.2以上、ただしフィールドが「クエリキー」の場合は発生率が0.6以上であることを条件としてホワイトリスト306aを作成する場合の例を説明する。図5の例においては、例えば、フィールドが「宛先IPアドレス」、値が「10.0.0.3」である通信パターンは、発生率が0.2以上であり、フィールドが「クエリキー」でないため、条件を満たし、ホワイトリスト306aに含まれる。これに対して、フィールドが「クエリキー」、値が「adv,b,c,code1,code2,id,p」である通信パターンは、発生率が0.5であるが、フィールドが「クエリキー」であるため、発生率が0.6以上であるという条件を満たさず、ホワイトリスト306aには含まれない。
また、正常通信プロファイル抽出機能306は、悪性通信プロファイル抽出機能305と同様に、各値をフィールド毎にランキング形式で表し、所定の順位以上である値をホワイトリスト306aとしても良い。
例えば、図5の例においては、発生回数の値が高い通信パターンから順に正常通信ログ303aを並べ替え、正常通信ログ303aのうち、発生回数の値が高い2つの通信パターンをホワイトリスト306aとして出力しても良い。この場合、例えば、フィールドが「宛先IPアドレス」で、値が「192.168.10.30」である通信パターンがホワイトリスト306aに含まれることとなる。
ここで、例えば、ある値を正規表現化してホワイトリスト306aに出力した場合は、当該値と異なる値であっても、当該正規表現にマッチすれば同一の通信パターンとして発生回数がカウントされる。一方、ある値を正規表現化せずにホワイトリスト306aに出力した場合は、当該値と異なる値については、別の通信パターンとして発生回数がカウントされる。このため、同じ値であっても、正規表現化された場合の方が、正規表現化されなかった場合に比べて、前述のランキングで上位に入りやすくなる。
そこで、単語リスト304aに含まれる文字列で表された値については、正規表現化せずにホワイトリスト306aに出力するようにしても良い。これにより、単語リスト304aに含まれる文字列で表された値は前述のランキングで上位に入りにくくなるため、マルウェアの通信の特徴をより正確にとらえており、本来ブラックリスト307aに含めるのが適切である値が、ホワイトリスト306aによってブラックリスト307aから除外されてしまうことを防止することができる。
ブラックリスト作成機能307は、悪性通信プロファイル抽出機能305からブラックリスト候補305aを受け取り、正常通信プロファイル抽出機能306からホワイトリスト306aを受け取る。そして、ブラックリスト作成機能307は、ブラックリスト候補305aから、ホワイトリスト306aに記載されている値を除外し、ブラックリスト307aを作成する。
具体的な例を挙げて説明すると、例えば図6に示すホワイトリスト306aのフィールド「宛先IP」には「10.0.0.3」という値が記載されている。この「10.0.0.3」という値を用いて、図4に示すブラックリスト候補305aのフィールド「宛先IP」の値を検索すると、「10.0.0.3」に合致する値があるため、宛先IPが「10.0.0.3」という通信パターンが除外される。フィールド「UserAgent」、「URL」、「URLパス」についても同様の処理を行う。
この結果、ブラックリスト作成機能307は、図7及び図8に示すようなブラックリスト307aを作成する。図7及び図8は、第一の実施形態に係るブラックリスト生成装置におけるブラックリストの一例を示す図である。図7は、ブラックリスト307aを実値形式で作成したものであり、図8は正規表現化したパターン形式で作成したものである。
上記の説明においては、ブラックリスト候補305a及びホワイトリスト306aをそれぞれ出力し突き合わせることでブラックリスト307aを作成する方法を説明したが、ブラックリスト307aの作成方法は、この方法に限られない。例えば、図9に示すように、悪性通信のプロファイル情報と正常通信のプロファイル情報を直接突き合わせて比較し、ブラックリスト候補305aから除外すべき値を除外し、ブラックリスト307aを作成するようにしても良い。
具体的には、ホワイトリスト306aに含める条件を、発生率が0.2以上、ただしフィールドが「クエリキー」の場合は発生率が0.6以上であることとした場合、フィールドが「宛先IPアドレス」で、値が「10.0.0.3」である通信パターンは、ホワイトリスト306aにも含まれるため、ブラックリスト候補305aから除外され、ブラックリスト307aには含まれないこととなる。また、フィールドが「クエリキー」で、値が「adv,b,c,code1,code2,id,p」である通信パターンは、発生率が0.5であるが、フィールドが「クエリキー」であるため、発生率が0.6以上であるという条件を満たさず、ホワイトリスト306aには含まれないため、ブラックリスト候補305aからは除外されず、ブラックリスト307aに含まれることとなる。
[第一の実施形態に係るブラックリスト生成システムの処理]
図10を用いて、本発明の第一の実施形態の処理について説明する。図10は、第一の実施形態に係るブラックリスト生成システムの処理の一例を示す図である。
図10に示すように、まず、ログ収集・蓄積装置100は予め通信ログを収集し、正規化したうえで蓄積しておく(ステップS11)。ログ収集・蓄積装置200も同様に、予め通信ログを収集し、正規化したうえで蓄積しておく(ステップS12)。
ログ取得機能301は、ログ収集・蓄積装置100に対してログ取得のための問い合わせを行い(ステップS13)、ログ収集・蓄積装置100は蓄積した通信ログの検索を行い、検索結果をログ取得機能301に対して応答する(ステップS14)。また、ログ取得機能301は、ログ収集・蓄積装置200に対してもログ取得のための問い合わせを行い(ステップS15)、ログ収集・蓄積装置200は蓄積した通信ログの検索を行い、検索結果をログ取得機能301に対して応答する(ステップS16)。
ログ取得機能301は、ログ収集・蓄積装置100から受け取った通信ログを、悪性通信ログとして悪性通信ログ前処理機能302へ転送する(ステップS17)。また、ログ取得機能301は、ログ収集・蓄積装置200から受け取った通信ログを、正常通信ログとして正常通信ログ前処理機能303へ転送する(ステップS18)。
正常通信ログ前処理機能303は、正常通信ログを基に除外リストを作成する(ステップS19)。正常通信ログ前処理機能303は、作成した除外リストを、悪性通信ログ前処理機能302へ転送する(ステップS20)。
悪性通信ログ前処理機能302は、正常通信ログ前処理機能303から受け取った除外リストを用いて、悪性通信ログに対してフィルタリングを行う(ステップS21)。悪性通信ログ前処理機能302は、フィルタリングを行った前処理後の悪性通信ログを、悪性通信プロファイル抽出機能305に転送する(ステップS22)。また、悪性通信ログ前処理機能302は、フィルタリングを行った前処理後の悪性通信ログを、単語リスト生成機能304にも転送する(ステップS23)。正常通信ログ前処理機能303は、前処理後の正常通信ログを正常通信プロファイル抽出機能306に転送する(ステップS24)。
単語リスト生成機能304は、悪性通信ログを基に、単語リストを生成する(ステップS25)。単語リスト生成機能304は、生成した単語リストを、正常通信プロファイル抽出機能306へ転送する(ステップS26)。
悪性通信プロファイル抽出機能305は、悪性通信ログを基に悪性通信のプロファイル情報を作成する(ステップS27)。そして、悪性通信プロファイル抽出機能305は、作成したプロファイル情報を基に、ブラックリスト候補を作成する(ステップS28)。悪性通信プロファイル抽出機能305は、作成したブラックリスト候補をブラックリスト作成機能307に転送する(ステップS29)。
正常通信プロファイル抽出機能306は、正常通信ログを基に正常通信のプロファイル情報を作成する(ステップS30)。そして、正常通信プロファイル抽出機能306は、作成したプロファイル情報及び単語リストを基に、ホワイトリストを作成する(ステップS31)。正常通信プロファイル抽出機能306は、作成したホワイトリストをブラックリスト作成機能307に転送する(ステップS32)。
ブラックリスト作成機能307は、ブラックリスト候補及びホワイトリストを基にブラックリストを作成する(ステップS33)。
[第一の実施形態の効果]
本実施形態に係るブラックリスト生成装置300においては、マルウェアによる通信から得られる悪性通信ログ301aと、防御対象ネットワークにおける通信から得られる正常通信ログ301bと、をログ取得機能301によって取得する。そして、悪性通信プロファイル抽出機能305は、悪性通信ログ301aに含まれるフィールド及び値の組である通信パターン毎の出現頻度についての統計値を算出し、統計値が所定の条件を満たす通信パターンをブラックリスト候補305aとして出力する。また、正常通信プロファイル抽出機能306は、正常通信ログ301bに含まれる通信パターン毎の出現頻度についての統計値を算出し、統計値が所定の条件を満たす通信パターンをホワイトリスト306aとして出力する。さらに、ブラックリスト作成機能307は、ブラックリスト候補305aの値を、ホワイトリスト306aの対応するフィールドの値で検索し、一致する通信パターンをブラックリスト候補305aから除くことでブラックリスト307aを作成する。
ログ収集・蓄積装置100によって得られる悪性通信ログを正規化したデータから、図2に示すフィールド毎のブラックリストを生成することは可能である。しかし、そのようにして生成されたブラックリストは、誤検知率が非常に高いものとなってしまう。そこで、本実施形態においては、正常通信ログからホワイトリストを生成し、ブラックリストの候補と突き合せることでブラックリストを生成する。
これによって、誤検知が少なく、マルウェアのカバレッジが広いブラックリストを効率良く生成することができる。また、本実施形態に係るブラックリスト生成装置300で生成されたブラックリスト307aをマルウェアの検知に用いることにより、高精度な感染端末や不正通信の早期発見を実現できる。
また、本実施形態に係るブラックリスト生成装置300においては、悪性通信プロファイル抽出機能305は、統計値の降順に悪性通信ログ302aを並べ替え、所定の順位以上となる通信パターンをブラックリスト候補305aとして出力する。これにより、誤検知率を高くする通信パターンを処理から除外することができる。また、正常通信プロファイル抽出機能306は、統計値の降順に正常通信ログ303aを並べ替え、所定の順位以上となる通信パターンをホワイトリスト306aとして出力する。これにより、検知率を低くする通信パターンを処理から除外することができる。
また、本実施形態に係るブラックリスト生成装置300においては、正常通信ログ前処理機能303は、正常通信ログ301bから、防御対象ネットワークにおいて、アクセスしている端末数が所定の閾値以上である通信先を抽出し除外リスト303bとして出力する。そして、悪性通信ログ前処理機能302は、悪性通信ログ301aから、除外リスト303bに記載されている通信先に対する通信ログを除外する。これにより、正常通信ログを悪性通信ログとして検知する誤検知率を低くすることができ、さらに、ブラックリスト生成処理を効率的に行うことができるようになる。
本実施形態に係るブラックリスト生成装置300においては、単語リスト生成機能304は、悪性通信ログ302aに一定以上の頻度で出現する文字列を抽出し、単語リスト304aとして出力する。そして、正常通信プロファイル抽出機能306は、ホワイトリスト306aの値のうち、単語リスト304aに含まれる文字列と一致する部分以外の部分を正規表現化する。これにより、ブラックリスト作成機能307は、ホワイトリスト306aを用いて汎用的な検索を行うことができるようになる。
また、単語リスト304aに含まれる文字列を正規表現化しないことで、ホワイトリスト306aによる検索が限定的となり、ブラックリスト作成機能307において、本来悪性である通信パターンをホワイトリスト306aに含まれるものとして除外するケースの発生を低減することができる。
[プログラム]
また、上記実施形態に係るブラックリスト生成装置300が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成し、実行することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、ブラックリスト生成装置300と同様の機能を実現する制御プログラムを実行するコンピュータの一例を説明する。
図11は、ブラックリスト作成プログラムを実行するコンピュータの一例を示す図である。図11に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図11に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
また、ブラックリスト作成プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明したブラックリスト生成装置300が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
また、ブラックリスト作成プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、ブラックリスト作成プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、制御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。また、ネットワークインタフェース1070等によりリアルタイムにパケットを収集することでデータを収集してもよい。
1 ブラックリスト生成システム
100、200 ログ収集・蓄積装置
101、201 収集機能
102、202 正規化機能
103、203 ログ管理ストレージ
300 ブラックリスト生成装置
301 ログ取得機能
301a、302a 悪性通信ログ
301b、303a 正常通信ログ
302 悪性通信ログ前処理機能
303 正常通信ログ前処理機能
303b 除外リスト
304 単語リスト生成機能
304a 単語リスト
305 悪性通信プロファイル抽出機能
305a ブラックリスト候補
306 正常通信プロファイル抽出機能
306a ホワイトリスト
307 ブラックリスト作成機能
307a ブラックリスト

Claims (8)

  1. マルウェアによる通信から得られる第一の通信ログと、所定のネットワークにおける通信から得られる第二の通信ログと、を取得するログ取得機能と、
    前記第一の通信ログに含まれるフィールド及び値の組である通信パターン毎の、発生させた前記マルウェアの検体数の、前記マルウェアの総検体数に占める割合を第一の統計値として算出し、該第一の統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをブラックリストの候補として出力する第一の抽出機能と、
    前記第二の通信ログに含まれる通信パターン毎の、発生させた端末数の、前記第二の通信ログを出力した端末の総数に占める割合を第二の統計値として算出し、該第二の統計値が、前記フィールドごとに定められた閾値以上である通信パターンを抽出し、該通信パターンをホワイトリストとして出力する第二の抽出機能と、
    前記ブラックリストの候補の値を、前記ホワイトリストの対応するフィールドの値で検索し、一致する通信パターンを前記ブラックリストの候補から除くことでブラックリストを作成するブラックリスト作成機能と、
    を有することを特徴とするブラックリスト生成装置。
  2. 前記第一の抽出機能は、前記第一の統計値が高い通信パターンから順に前記第一の通信ログを並べ替え、該第一の通信ログのうち、前記第一の統計値が高い所定数の通信パターンを前記ブラックリストの候補として出力し、
    前記第二の抽出機能は、前記第二の統計値が高い通信パターンから順に前記第二の通信ログを並べ替え、該第二の通信ログのうち、前記第二の統計値が高い所定数の通信パターンを前記ホワイトリストとして出力することを特徴とする請求項1に記載のブラックリスト生成装置。
  3. 前記第二の通信ログから、前記所定のネットワークにおいて、アクセスしている端末数が所定の閾値以上である通信先を抽出し、前記第一の通信ログから、前記通信先に対する通信ログを除外する前処理機能をさらに有することを特徴とする請求項1に記載のブラックリスト生成装置。
  4. 前記第一の通信ログに一定以上の頻度で出現する文字列を抽出し、単語リストを生成する単語リスト生成機能をさらに有し、
    前記第二の抽出機能は、前記ホワイトリストの値のうち、前記単語リストに含まれる文字列と一致する部分以外の部分を正規表現化することを特徴とする請求項1に記載のブラックリスト生成装置。
  5. 前記ブラックリスト作成機能は、前記ブラックリストの値を正規表現化して出力することを特徴とする請求項1に記載のブラックリスト生成装置。
  6. マルウェアによる通信から通信ログを収集し第一の通信ログとして蓄積する第一のログ収集蓄積装置と、
    所定のネットワークにおける通信から通信ログを収集し第二の通信ログとして蓄積する第二のログ収集蓄積装置と、
    ブラックリスト生成装置と、
    を有するブラックリスト生成システムであって、
    前記ブラックリスト生成装置は、
    前記第一のログ収集蓄積装置に蓄積された第一の通信ログと、前記第二のログ収集蓄積装置に蓄積された第二の通信ログと、を取得するログ取得機能と、
    前記第一の通信ログに含まれるフィールド及び値の組である通信パターン毎の、発生させた前記マルウェアの検体数の、前記マルウェアの総検体数に占める割合を第一の統計値として算出し、該第一の統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをブラックリストの候補として出力する第一の抽出機能と、
    前記第二の通信ログに含まれる通信パターン毎の、発生させた端末数の、前記第二の通信ログを出力した端末の総数に占める割合を第二の統計値として算出し、該第二の統計値が、前記フィールドごとに定められた閾値以上である通信パターンを抽出し、該通信パターンをホワイトリストとして出力する第二の抽出機能と、
    前記ブラックリストの候補の値を、前記ホワイトリストの対応するフィールドの値で検索し、一致する通信パターンを前記ブラックリストの候補から除くことでブラックリストを作成するブラックリスト作成機能と、
    を有することを特徴とするブラックリスト生成システム。
  7. コンピュータによって実行されるブラックリスト生成方法であって、
    マルウェアによる通信から通信ログを収集し第一の通信ログとして蓄積する第一のログ収集蓄積工程と、
    所定のネットワークにおける通信から通信ログを収集し第二の通信ログとして蓄積する第二のログ収集蓄積工程と、
    前記第一のログ収集蓄積工程において蓄積された第一の通信ログと、前記第二のログ収集蓄積工程において蓄積された第二の通信ログと、を取得するログ取得工程と、
    前記第一の通信ログに含まれるフィールド及び値の組である通信パターン毎の、発生させた前記マルウェアの検体数の、前記マルウェアの総検体数に占める割合を第一の統計値として算出し、該第一の統計値が所定の条件を満たす通信パターンを抽出し、該通信パターンをブラックリストの候補として出力する第一の抽出工程と、
    前記第二の通信ログに含まれる通信パターン毎の、発生させた端末数の、前記第二の通信ログを出力した端末の総数に占める割合を第二の統計値として算出し、該第二の統計値が、前記フィールドごとに定められた閾値以上である通信パターンを抽出し、該通信パターンをホワイトリストとして出力する第二の抽出工程と、
    前記ブラックリストの候補の値を、前記ホワイトリストの対応するフィールドの値で検索し、一致する通信パターンを前記ブラックリストの候補から除くことでブラックリストを作成するブラックリスト作成工程と、
    を含んだことを特徴とするブラックリスト生成方法。
  8. マルウェアによる通信から得られる第一の通信ログと、所定のネットワークにおける通信から得られる第二の通信ログと、を取得するログ取得ステップと、
    前記第一の通信ログに含まれるフィールド及び値の組である通信パターン毎の、発生させた前記マルウェアの検体数の、前記マルウェアの総検体数に占める割合を第一の統計値として算出し、該第一の統計値所定の条件を満たす通信パターンを抽出し、該通信パターンをブラックリストの候補として出力する第一の抽出ステップと、
    前記第二の通信ログに含まれる通信パターン毎の、発生させた端末数の、前記第二の通信ログを出力した端末の総数に占める割合を第二の統計値として算出し、該第二の統計値が、前記フィールドごとに定められた閾値以上である通信パターンを抽出し、該通信パターンをホワイトリストとして出力する第二の抽出ステップと、
    前記ブラックリストの候補の値を、前記ホワイトリストの対応するフィールドの値で検索し、一致する通信パターンを前記ブラックリストの候補から除くことでブラックリストを作成するブラックリスト作成ステップと、
    をコンピュータに実行させることを特徴とするブラックリスト生成プログラム。
JP2017500633A 2015-02-20 2016-02-10 ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム Active JP6258553B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015031585 2015-02-20
JP2015031585 2015-02-20
PCT/JP2016/053982 WO2016132992A1 (ja) 2015-02-20 2016-02-10 ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム

Publications (2)

Publication Number Publication Date
JPWO2016132992A1 JPWO2016132992A1 (ja) 2017-07-27
JP6258553B2 true JP6258553B2 (ja) 2018-01-10

Family

ID=56689336

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017500633A Active JP6258553B2 (ja) 2015-02-20 2016-02-10 ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム

Country Status (5)

Country Link
US (1) US10516671B2 (ja)
EP (1) EP3244335B1 (ja)
JP (1) JP6258553B2 (ja)
CN (1) CN107251037B (ja)
WO (1) WO2016132992A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10587621B2 (en) * 2017-06-16 2020-03-10 Cisco Technology, Inc. System and method for migrating to and maintaining a white-list network security model
US11556819B2 (en) 2018-01-17 2023-01-17 Nippon Telegraph And Telephone Corporation Collection apparatus, collection method, and collection program
JP6892005B2 (ja) * 2018-03-01 2021-06-18 日本電気株式会社 情報処理装置、制御方法、及びプログラム
US20210203677A1 (en) * 2018-05-21 2021-07-01 Nippon Telegraph And Telephone Corporation Learning method, learning device, and learning program
JP7247628B2 (ja) * 2019-02-12 2023-03-29 日本電信電話株式会社 作成装置、作成システム、作成方法および作成プログラム
US11494831B2 (en) * 2019-06-11 2022-11-08 Shopify Inc. System and method of providing customer ID service with data skew removal
TWI702510B (zh) * 2019-07-09 2020-08-21 中華電信股份有限公司 找出惡意加密連線指紋的方法及裝置
CN110472409B (zh) * 2019-08-06 2021-02-09 长沙学院 一种基于白名单机制的进程管理方法及系统
JP7297249B2 (ja) * 2019-08-07 2023-06-26 株式会社日立製作所 計算機システム及び情報の共有方法
JP7069090B2 (ja) * 2019-08-19 2022-05-17 Kddi株式会社 解析装置、検出装置、システム及びプログラム
US11882137B2 (en) * 2019-10-21 2024-01-23 Avast Software, S.R.O. Network security blacklist derived from honeypot statistics
CN111107083B (zh) * 2019-12-18 2021-11-23 杭州迪普科技股份有限公司 一种白名单规格的测试方法及装置
CN111338969A (zh) * 2020-03-23 2020-06-26 深圳开源互联网安全技术有限公司 基于正则动态匹配请求参数并修改的方法及系统
CN112350993A (zh) * 2020-09-28 2021-02-09 广东电力信息科技有限公司 Ip自动封堵方法、装置、监控终端及计算机存储介质
CN112202807B (zh) * 2020-10-13 2023-05-12 北京明略昭辉科技有限公司 Ip黑名单的灰度替换方法、装置、电子设备及存储介质
CN114155944B (zh) * 2021-12-08 2022-07-26 纳里健康科技有限公司 一种预约挂号方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070095718A (ko) * 2006-03-22 2007-10-01 한국전자통신연구원 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법
US9083712B2 (en) * 2007-04-04 2015-07-14 Sri International Method and apparatus for generating highly predictive blacklists
US20120090027A1 (en) * 2010-10-12 2012-04-12 Electronics And Telecommunications Research Institute Apparatus and method for detecting abnormal host based on session monitoring
JP5465651B2 (ja) 2010-11-30 2014-04-09 日本電信電話株式会社 リスト生成方法、リスト生成装置及びリスト生成プログラム
US8151341B1 (en) * 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
US9531755B2 (en) 2012-05-30 2016-12-27 Hewlett Packard Enterprise Development Lp Field selection for pattern discovery
KR101391781B1 (ko) * 2012-08-07 2014-05-07 한국전자통신연구원 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
JP6086423B2 (ja) * 2012-11-14 2017-03-01 国立研究開発法人情報通信研究機構 複数センサの観測情報の突合による不正通信検知方法
US8752178B2 (en) 2013-07-31 2014-06-10 Splunk Inc. Blacklisting and whitelisting of security-related events

Also Published As

Publication number Publication date
JPWO2016132992A1 (ja) 2017-07-27
EP3244335A4 (en) 2018-03-21
US20180063146A1 (en) 2018-03-01
US10516671B2 (en) 2019-12-24
CN107251037B (zh) 2021-02-12
CN107251037A (zh) 2017-10-13
WO2016132992A1 (ja) 2016-08-25
EP3244335B1 (en) 2019-05-01
EP3244335A1 (en) 2017-11-15

Similar Documents

Publication Publication Date Title
JP6258553B2 (ja) ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム
CN111935192B (zh) 网络攻击事件溯源处理方法、装置、设备和存储介质
Marchal et al. PhishStorm: Detecting phishing with streaming analytics
US9509714B2 (en) Web page and web browser protection against malicious injections
US9712560B2 (en) Web page and web browser protection against malicious injections
Liu et al. A novel approach for detecting browser-based silent miner
Niakanlahiji et al. Phishmon: A machine learning framework for detecting phishing webpages
US9300682B2 (en) Composite analysis of executable content across enterprise network
Huang et al. Malicious URL detection by dynamically mining patterns without pre-defined elements
US8769692B1 (en) System and method for detecting malware by transforming objects and analyzing different views of objects
Wu et al. A phishing detection system based on machine learning
WO2016147944A1 (ja) マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム
JP6174520B2 (ja) 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム
CN111786966A (zh) 浏览网页的方法和装置
Kim et al. Detecting fake anti-virus software distribution webpages
JP6717206B2 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム
Marchal et al. PhishScore: Hacking phishers' minds
JPWO2018066221A1 (ja) 分類装置、分類方法及び分類プログラム
Patel Malware detection in android operating system
JP2015179979A (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
Abuadbba et al. Towards web phishing detection limitations and mitigation
Fu et al. Flowintent: Detecting privacy leakage from user intention to network traffic mapping
Roopak et al. On effectiveness of source code and SSL based features for phishing website detection
Jo et al. You're not who you claim to be: Website identity check for phishing detection
Almarshad et al. Detecting zero-day polymorphic worms with jaccard similarity algorithm

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170406

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171003

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171117

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171206

R150 Certificate of patent or registration of utility model

Ref document number: 6258553

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150