JP6306739B2 - 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム - Google Patents
悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム Download PDFInfo
- Publication number
- JP6306739B2 JP6306739B2 JP2016560153A JP2016560153A JP6306739B2 JP 6306739 B2 JP6306739 B2 JP 6306739B2 JP 2016560153 A JP2016560153 A JP 2016560153A JP 2016560153 A JP2016560153 A JP 2016560153A JP 6306739 B2 JP6306739 B2 JP 6306739B2
- Authority
- JP
- Japan
- Prior art keywords
- communication pattern
- malware
- traffic
- malignant
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2147—Locking files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Description
次に、悪性通信パターン抽出装置10の処理手順を説明する。まず、図7を用いて悪性通信パターン抽出装置10の処理の概要を説明する。
次に、図14を用いて、図8のS15における通信パターンのワイルドカード化の処理を詳細に説明する。雑音検知閾値は、悪性通信パターン抽出装置10の管理者等が適宜設定可能な値であり、ここでは例えば、「3」とする。まず、通信パターン抽出部132は、図8のS14で抽出したユニークトラヒックの通信パターンの入力を受け付けると(S71)、通信パターンの要素数(通信パターンの数)が雑音検知閾値未満か否かを判断し(S72)、通信パターンの要素数(通信パターンの数)が雑音検知閾値未満であれば(S72でYes)、そのユニークトラヒックの通信パターンをそのまま出力して処理を終了する。
次に、クラスタリング部133による各マルウェア間の類似度の計算において、当該マルウェアの通信パターンが部分一致またはワイルドカード(*)を含む場合の類似度の計算方法を説明する。ここでの類似度は、ジャッカルド係数を応用した以下の式(1)により計算される。以下のマルウェア1,2はそれぞれ、類似度計算の対象となるマルウェアを示す。
次に、通信パターンがワイルドカード(*)を含む場合の適合率の計算方法を説明する。適合率は、前記したとおり条件成立パターン数を悪性通信パターンに含まれる通信パターンの数で除算することにより得られる。ここで、当該通信パターンがワイルドカード(*)を含む場合、適合率計算の対象となるトラヒックに当該通信パターンが所定の雑音検知閾値(例えば、「3」)より多くの回数出現するときに、当該通信パターンに関する条件成立と判断する。
また、上記実施形態に係る悪性通信パターン抽出装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成し、実行することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、悪性通信パターン抽出装置10と同様の機能を実現する制御プログラムを実行するコンピュータの一例を説明する。
11 入出力部
12 記憶部
13 制御部
131 トラヒック入力受付部
132 通信パターン抽出部
133 クラスタリング部
134 クラスタ別通信パターン抽出部
135 正常通信パターン除去部
136 検知部
Claims (6)
- 1以上のマルウェアのトラヒック群の入力を受け付ける入力受付部と、
前記入力されたトラヒック群の通信パターンを抽出するとき、所定のフィールドの値に変動があるトラヒック群については前記変動があるフィールドの値をワイルドカードに置き換えた通信パターンを抽出する通信パターン抽出部と、
前記抽出した通信パターンが類似するマルウェア同士を同じクラスタに分類するクラスタリング部と、
前記クラスタごとに、当該クラスタに属するマルウェアそれぞれのトラヒックにおける出現率が所定値以上となる通信パターンの組み合わせを、悪性通信パターンとして抽出するクラスタ別通信パターン抽出部と、
前記抽出した悪性通信パターンに含まれる通信パターンの数に対する、マルウェアに感染していないトラヒック群とマッチする通信パターンの数の割合である適合率が所定値以上の悪性通信パターンを前記抽出した悪性通信パターンから除去する正常通信パターン除去部とを備え、
前記正常通信パターン除去部は、
前記悪性通信パターンが、前記所定のフィールドの値がワイルドカードに置き換えられた通信パターンを含む場合、当該通信パターンについては、当該通信パターンが前記マルウェアに感染していないトラヒック群に所定数以上存在するとき、当該通信パターンが前記マルウェアに感染していないトラヒック群とマッチすると判断し、前記適合率を算出する
ことを特徴とする悪性通信パターン抽出装置。 - 前記クラスタリング部は、
前記マルウェアの通信パターンまたは前記マルウェアのトラヒックのトラヒック情報が類似するマルウェア同士を同じクラスタに分類することを特徴とする請求項1に記載の悪性通信パターン抽出装置。 - 検知対象のトラヒック群に対し、前記悪性通信パターンとのマッチング処理を行い、前記抽出した悪性通信パターンに含まれる通信パターンの数に対する、前記検知対象のトラヒック群にマッチする通信パターンの数の割合が所定値以上のトラヒックを異常トラヒックとして検知する検知部をさらに備えることを特徴とする請求項1に記載の悪性通信パターン抽出装置。
- 前記検知部は、
前記悪性通信パターンが、前記所定のフィールドの値がワイルドカードに置き換えられた通信パターンを含む場合、当該通信パターンについては、当該通信パターンが前記検知対象のトラヒック群に所定数以上存在するときに、当該通信パターンがマッチすると判断することを特徴とする請求項3に記載の悪性通信パターン抽出装置。 - 1以上のマルウェアのトラヒック群の入力を受け付けるステップと、
前記入力されたトラヒック群の通信パターンを抽出するとき、所定のフィールドの値に変動があるトラヒック群については前記変動があるフィールドの値をワイルドカードに置き換えた通信パターンを抽出するステップと、
前記抽出した通信パターンが類似するマルウェア同士を同じクラスタに分類するステップと、
前記クラスタごとに、当該クラスタに属するマルウェアのトラヒックそれぞれにおける出現率が所定値以上となる通信パターンの組み合わせを、悪性通信パターンとして抽出するステップと、
前記抽出した悪性通信パターンに含まれる通信パターンの数に対する、マルウェアに感染していないトラヒック群とマッチする通信パターンの数の割合である適合率が所定値以上の悪性通信パターンを前記抽出した悪性通信パターンから除去するステップと、
を含み、
前記除去するステップにおいて、前記悪性通信パターンが、前記所定のフィールドの値がワイルドカードに置き換えられた通信パターンを含む場合、当該通信パターンについては、当該通信パターンが前記マルウェアに感染していないトラヒック群に所定数以上存在するとき、当該通信パターンが前記マルウェアに感染していないトラヒック群とマッチすると判断し、前記適合率を算出する
ことを特徴とする悪性通信パターン抽出方法。 - 1以上のマルウェアのトラヒック群の入力を受け付ける入力受付部と、
前記入力されたトラヒック群の通信パターンを抽出するとき、所定のフィールドの値に変動があるトラヒック群については前記変動があるフィールドの値をワイルドカードに置き換えた通信パターンを抽出する通信パターン抽出部と、
前記抽出した通信パターンが類似するマルウェア同士を同じクラスタに分類するクラスタリング部と、
前記クラスタごとに、当該クラスタに属するマルウェアそれぞれにおける出現率が所定値以上となる通信パターンの組み合わせを、悪性通信パターンとして抽出するクラスタ別通信パターン抽出部と、
前記抽出した悪性通信パターンに含まれる通信パターンの数に対する、マルウェアに感染していないトラヒック群とマッチする通信パターンの数の割合である適合率が所定値以上の悪性通信パターンを前記抽出した悪性通信パターンから除去する正常通信パターン除去部とを備え、
前記正常通信パターン除去部は、
前記悪性通信パターンが、前記所定のフィールドの値がワイルドカードに置き換えられた通信パターンを含む場合、当該通信パターンについては、当該通信パターンが前記マルウェアに感染していないトラヒック群に所定数以上存在するとき、当該通信パターンが前記マルウェアに感染していないトラヒック群とマッチすると判断し、前記適合率を算出する
悪性通信パターン抽出装置としてコンピュータを機能させるための悪性通信パターン抽出プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014233617 | 2014-11-18 | ||
JP2014233617 | 2014-11-18 | ||
PCT/JP2015/081498 WO2016080232A1 (ja) | 2014-11-18 | 2015-11-09 | 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2016080232A1 JPWO2016080232A1 (ja) | 2017-04-27 |
JP6306739B2 true JP6306739B2 (ja) | 2018-04-04 |
Family
ID=56013777
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016560153A Active JP6306739B2 (ja) | 2014-11-18 | 2015-11-09 | 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US10484408B2 (ja) |
JP (1) | JP6306739B2 (ja) |
WO (1) | WO2016080232A1 (ja) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109564613B (zh) * | 2016-07-27 | 2023-05-30 | 日本电气株式会社 | 签名创建设备、签名创建方法、记录签名创建程序的记录介质、以及软件确定系统 |
US11190530B2 (en) * | 2016-09-21 | 2021-11-30 | Aperio Systems (2020) Ltd. | Method and system for detecting attacks on monitored physical systems |
US10432647B2 (en) * | 2017-06-27 | 2019-10-01 | Honeywell International Inc. | Malicious industrial internet of things node activity detection for connected plants |
JP7017163B2 (ja) * | 2018-01-22 | 2022-02-08 | 日本電気株式会社 | ネットワーク制御装置およびネットワーク制御方法 |
JP6749956B2 (ja) * | 2018-02-26 | 2020-09-02 | 日本電信電話株式会社 | トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム |
US10764315B1 (en) * | 2019-05-08 | 2020-09-01 | Capital One Services, Llc | Virtual private cloud flow log event fingerprinting and aggregation |
US20210344690A1 (en) * | 2020-05-01 | 2021-11-04 | Amazon Technologies, Inc. | Distributed threat sensor analysis and correlation |
WO2022195732A1 (ja) * | 2021-03-16 | 2022-09-22 | 日本電信電話株式会社 | 判定装置、判定方法および判定プログラム |
US11868472B2 (en) * | 2021-03-30 | 2024-01-09 | Microsoft Technology Licensing, Llc | Malicious pattern identification in clusters of data items |
US11818148B1 (en) * | 2022-05-15 | 2023-11-14 | Uab 360 It | Optimized analysis for detecting harmful content |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7643496B1 (en) * | 2005-09-30 | 2010-01-05 | Nortel Networks Limited | Application specified steering policy implementation |
JP5009244B2 (ja) | 2008-07-07 | 2012-08-22 | 日本電信電話株式会社 | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
US8826438B2 (en) * | 2010-01-19 | 2014-09-02 | Damballa, Inc. | Method and system for network-based detecting of malware from behavioral clustering |
US9449175B2 (en) * | 2010-06-03 | 2016-09-20 | Nokia Technologies Oy | Method and apparatus for analyzing and detecting malicious software |
JP2012084994A (ja) * | 2010-10-07 | 2012-04-26 | Hitachi Ltd | マルウェア検出方法、およびマルウェア検出装置 |
US9684705B1 (en) * | 2014-03-14 | 2017-06-20 | Symantec Corporation | Systems and methods for clustering data |
-
2015
- 2015-11-09 WO PCT/JP2015/081498 patent/WO2016080232A1/ja active Application Filing
- 2015-11-09 JP JP2016560153A patent/JP6306739B2/ja active Active
- 2015-11-09 US US15/520,194 patent/US10484408B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
WO2016080232A1 (ja) | 2016-05-26 |
US20170310694A1 (en) | 2017-10-26 |
US10484408B2 (en) | 2019-11-19 |
JPWO2016080232A1 (ja) | 2017-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6306739B2 (ja) | 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム | |
US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
EP3221794B1 (en) | Method and system for detecting threats using metadata vectors | |
US9860278B2 (en) | Log analyzing device, information processing method, and program | |
JP6258553B2 (ja) | ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム | |
JP2015076863A (ja) | ログ分析装置、方法およびプログラム | |
US11057411B2 (en) | Log analysis device, log analysis method, and log analysis program | |
JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
KR101434388B1 (ko) | 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법 | |
CN107547490B (zh) | 一种扫描器识别方法、装置及系统 | |
JP6200101B2 (ja) | 分析装置、分析システム、分析方法、および、分析プログラム | |
US11888874B2 (en) | Label guided unsupervised learning based network-level application signature generation | |
JP6386593B2 (ja) | 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム | |
JP2015015581A (ja) | 監視装置、監視方法及びプログラム | |
CN114338064B (zh) | 识别网络流量类型的方法、装置、系统、设备和存储介质 | |
US10462158B2 (en) | URL selection method, URL selection system, URL selection device, and URL selection program | |
KR102040371B1 (ko) | 네트워크 공격 패턴 분석 및 방법 | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
KR20180101868A (ko) | 악성 행위 의심 정보 탐지 장치 및 방법 | |
Changguo et al. | The research on the application of association rules mining algorithm in network intrusion detection | |
WO2019180804A1 (ja) | 情報処理装置、通信種類判別方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161219 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170808 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171010 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180306 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180308 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6306739 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |