JP6306739B2 - 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム - Google Patents

悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム Download PDF

Info

Publication number
JP6306739B2
JP6306739B2 JP2016560153A JP2016560153A JP6306739B2 JP 6306739 B2 JP6306739 B2 JP 6306739B2 JP 2016560153 A JP2016560153 A JP 2016560153A JP 2016560153 A JP2016560153 A JP 2016560153A JP 6306739 B2 JP6306739 B2 JP 6306739B2
Authority
JP
Japan
Prior art keywords
communication pattern
malware
traffic
malignant
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016560153A
Other languages
English (en)
Other versions
JPWO2016080232A1 (ja
Inventor
和憲 神谷
和憲 神谷
一史 青木
一史 青木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2016080232A1 publication Critical patent/JPWO2016080232A1/ja
Application granted granted Critical
Publication of JP6306739B2 publication Critical patent/JP6306739B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2147Locking files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Description

本発明は、悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラムに関する。
従来のサイバー攻撃対策は、アンチウイルスソフト等による入口対策を行ってきたが、完全に感染を防ぐことはできず、マルウェア感染後の被害拡大を防ぐ出口対策の重要性が高まっている。
出口対策では感染端末を発見し、マルウェア感染端末をネットワークから切り離すことが行われる。マルウェア感染端末を特定する方法として、マルウェア特有の通信先のIPアドレスやURLなどに関するブラックリストを用いて、このブラックリストのIPアドレスやURLなどを宛先として通信を行う端末を特定する方法がある。
特許第5009244号公報
SANS Eighth Annual 2012 Log and Event Management Survey Results: Sorting Through the Noise、[online]、[平成26年10月31日検索]、インターネット<URL:http://www.sans.org/reading-room/whitepapers/analyst/eighth-annual-2012-log-event-management-survey-results-sorting-noise-35230> R.Perdisci他、「Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces」、NSDI、Apr.2010.
しかし、最近のマルウェアは多種多様な通信を行うために、通信の宛先IPアドレスやURLなどを用いるだけでは誤検知となる可能性がある。また、マルウェアとの通信を検知するため、個々のマルウェアの通信をそのまま通信パターンとして用いたマッチングを行う方法もあるが、マルウェアは日々増加しており、これに合わせて通信パターンを増加させたのではマッチングのための処理時間が増加し、効率的なマルウェア検知を行うことができない。そこで本発明は前記した問題を解決し、マルウェアの誤検知を低減し、かつ、効率的なマルウェア検知を行うことを課題とする。
前記した課題を解決するため、本発明は、1以上のマルウェアのトラヒック群の入力を受け付ける入力受付部と、前記入力されたトラヒック群の通信パターンを抽出するとき、所定のフィールドの値に変動があるトラヒック群については前記変動があるフィールドの値をワイルドカードに置き換えた通信パターンを抽出する通信パターン抽出部と、前記抽出した通信パターンが類似するマルウェア同士を同じクラスタに分類するクラスタリング部と、前記クラスタごとに、当該クラスタに属するマルウェアそれぞれのトラヒックにおける出現率が所定値以上となる通信パターン群を、悪性通信パターンとして抽出するクラスタ別通信パターン抽出部と、前記抽出した悪性通信パターンのうち、マルウェアに感染していないトラヒック群との適合率が所定値以上の悪性通信パターンを除去する正常通信パターン除去部と、を備えることを特徴とする。
本発明によれば、マルウェアの誤検知を低減し、かつ、効率的なマルウェア検知を行うことができる。
図1は、悪性通信パターン抽出装置の構成を示す図である。 図2は、図1の悪性通信パターン抽出装置で扱うトラヒックのログの一例を示す図である。 図3は、ユニークトラヒックの抽出の一例を示す図である。 図4は、通信パターンのワイルドカード化の一例を示す図である。 図5は、マルウェアの通信パターンのクラスタリングの一例を示す図である。 図6は、悪性通信パターンの抽出の一例を示す図である。 図7は、悪性通信パターン抽出装置の処理手順を示すフローチャートである。 図8は、図7のS1およびS2の処理の詳細を示すフローチャートである。 図9は、図7のS3の処理の詳細を示すフローチャートである。 図10は、図7のS4の処理の詳細を示すフローチャートである。 図11は、図7のS4の処理の詳細を示すフローチャートである。 図12は、図7のS5の処理の詳細を示すフローチャートである。 図13は、図7のS6の処理の詳細を示すフローチャートである。 図14は、図8のS15の処理の詳細を示すフローチャートである。 図15は、ユニークトラヒックの最頻値、出現数、種類数のカウント結果と、このカウント結果に基づく最頻値ログと残留ログとの分離の一例とを示す図である。 図16は、類似度の計算に用いられる悪性通信パターンの一例を示す図である。 図17は、類似度の計算に用いられる悪性通信パターンの一例を示す図である。 図18は、適合率の計算に用いられるトレーニング用トラヒックおよび悪性通信パターンの一例を示す図である。 図19は、悪性通信パターン抽出プログラムを実行するコンピュータを示す図である。
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。まず、図1を用いて本実施形態の悪性通信パターン抽出装置10の構成を説明する。なお、本発明は本実施形態に限定されない。
悪性通信パターン抽出装置10は、入出力部11、記憶部12、制御部13を備える。入出力部11は、例えば、悪性通信パターンの抽出対象となるマルウェアのトラヒックや、異常トラヒックの検知対象のトラヒック等の入力を受け付けたり、制御部13による異常トラヒックの検知結果を出力したりする。なお、以下、悪性通信パターン抽出装置10に入力されるトラヒックは、過去のトラヒックのログである場合を例に説明するが、これに限定されない。
入出力部11へ入力されるマルウェアのトラヒックのログの一例を図2に示す。例えば、トラヒックのログは、図2に示すように、当該トラヒックを発生させているマルウェアのマルウェア識別子、当該トラヒックのプロトコル、宛先ポート番号、宛先IPアドレス、宛先組織、送信元ポート番号、送信バイト数等の情報からなる。なお、宛先組織は、トラヒックには含まれていない可能性があるが、例えば、トラヒックの宛先IPアドレスとMaxMind社のGeoIP(登録商標)とにより特定可能である。トラヒックのログは、上記の情報の他に、トラヒックの宛先の国名、AS(Autonomous System)番号、IP Prefix、アプリケーション名、トラヒックに含まれるフローの数等の情報を含んでいてもよい。宛先の国名は、宛先IPアドレスとMaxMind社のGeoIP(登録商標)とにより特定可能である。またAS番号やIP Prefixは宛先IPアドレスと経路表から特定可能である。アプリケーション名は、宛先ポート番号から特定可能である。
記憶部12は、フィールド情報や悪性通信パターンを記憶する。フィールド情報は、制御部13において、通信パターンの抽出対象とするトラヒックのフィールド(例えば、プロトコル、宛先ポート番号、宛先IPアドレス、送信元ポート番号、送信バイト数等)を示した情報である。例えば、制御部13は、このフィールド情報を参照し、入力されたトラヒックのログから、プロトコル、宛先ポート番号、宛先IPアドレス、送信元ポート番号、送信バイト数のフィールドの値を通信パターンとして抽出する。悪性通信パターンは、制御部13が異常トラヒックの検知に用いる通信パターンであり、例えば、図6に示すように1以上の通信パターンを含む。例えば、図6に示す悪性通信パターン識別子=S1の悪性通信パターンは、符号601に示す3つの通信パターンを含み、悪性通信パターン識別子=S2の悪性通信パターンは、符号602に示す4つの通信パターンを含む。この悪性通信パターンは、制御部13がマルウェアのトラヒックから抽出する。
制御部13は、悪性通信パターン抽出装置10全体の制御を司り、トラヒック入力受付部131と、通信パターン抽出部132と、クラスタリング部133と、クラスタ別通信パターン抽出部134と、正常通信パターン除去部135と、検知部136とを備える。
トラヒック入力受付部131は、トラヒックのログ(図2参照)の入力を受け付ける。
通信パターン抽出部132は、入力されたトラヒックのログから通信パターンを抽出する。具体的には、まず、通信パターン抽出部132は、入力されたトラヒックのログのうち、所定のフィールドの値が同じトラヒックをまとめる。つまり、ユニークトラヒックを抽出する。例えば、通信パターン抽出部132は、図3の符号301に示すトラヒックから、マルウェア識別子、プロトコル、宛先ポート番号、宛先組織および宛先IPアドレスの値が同じトラヒックをまとめ、符号302に示すトラヒックをユニークトラヒックとして抽出する。なお、マルウェア識別子、トラヒックのプロトコル、宛先ポート番号、宛先組織、宛先IPアドレス以外のフィールド(送信元ポート番号、送信バイト数)の値は、値のセットとして記述する。また、ユニークトラヒックとしてまとめたトラヒックの数の合計を発生回数として記述する。
ここで、通信パターン抽出部132は、抽出したユニークトラヒックのフィールドの値に変動があるとき、当該トラヒックの部分変動があるフィールドの値を集約する。つまり、通信パターン抽出部132は、マルウェアのトラヒックから通信パターンを抽出するとき、雑音的な値をとるフィールドの値をワイルドカード(*)等に置き換えることにより集約する(以下、このような処理を「ワイルドカード化」と呼ぶ)。
例えば、通信パターン抽出部132は、図4に示す符号401に示すトラヒック群は、キー項目(例えば、マルウェア識別子、プロトコル、宛先ポート番号、宛先IPアドレス、宛先組織)のうち、マルウェア識別子=M1、プロトコル=UDP、宛先ポート番号=16471で共通するが、その他のフィールドの値は異なる。つまり、これらのフィールドの値には変動がある。そこで、通信パターン抽出部132は、符号401に示すトラヒック群のフィールドの値のうち、宛先IPアドレス、宛先組織、送信元ポート番号をワイルドカード(*)に置き換えることにより集約し、符号402に示す通信パターンを抽出する。この符号402に示す通信パターンは、マルウェアM1のトラヒックがプロトコル=UDP、宛先ポート番号=16471を共通フィールドとした雑音的トラヒックを含むことを示す。このような処理を行い、通信パターン抽出部132は、符号403に示すマルウェア識別子=M1のトラヒック群のログから、符号404に示す3つの通信パターンを抽出する。
クラスタリング部133は、トラヒックの通信パターンが類似するマルウェア同士を同じクラスタに分類する。例えば、通信パターン抽出部132により抽出された通信パターンが図5の符号501に示すマルウェア識別子=M1,M2,M3のマルウェアの通信パターンである場合を考える。なお、図5において、トラヒックの送信元ポート番号、送信バイト数、発生回数の情報は記載を省略している。この場合、クラスタリング部133は、各マルウェアのトラヒックのプロトコル、宛先IPアドレス、宛先ポート番号、宛先組織等をキー項目として、各マルウェアの通信パターン間の類似度を求め、類似度が高いマルウェア同士を同じクラスタに分類する。例えば、クラスタリング部133は、符号502に示すマルウェア識別子=M1,M2のクラスタと、符号503に示すマルウェア識別子=M3のクラスタに分類する。
また、クラスタリング部133は、マルウェアの通信パターンがワイルドカード(*)を含んでいたり、トラヒックのキー項目の値が部分一致したりする場合は、これを考慮してマルウェア間の類似度を求める。この場合の類似度の計算方法については後記する。なお、クラスタリング部133は、類似度の計算にあたり、マルウェアの通信パターンの各項目の情報ではなく、トラヒックのトラヒック情報(トラヒックに含まれる全項目の情報)を用いてもよい。
クラスタ別通信パターン抽出部134は、クラスタリング部133により分類されたクラスタごとに、当該クラスタ内の各マルウェアのトラヒックにおける出現率が所定値以上の通信パターンを、悪性通信パターンとして抽出する。なお、クラスタ内に所定数以上のマルウェアが存在しない場合、悪性通信パターンを抽出しないようにすることも選択可能である。
例えば、クラスタリング部133によるマルウェアのクラスタリングの結果(図6参照)、マルウェア識別子=M1,M2のマルウェアが同じクラスタ(符号502のクラスタ)に属している場合を考える。この場合、クラスタ別通信パターン抽出部134は、このクラスタ内から、マルウェア識別子=M1,M2の両方のマルウェアのトラヒックにおける出現率が所定値以上の通信パターンを抽出する。
例えば、マルウェア識別子=M1,M2の両方のマルウェアのトラヒックに出現する3つの通信パターンを抽出する。つまり、図6の符号502に示すクラスタ内の通信パターンのうち、(1)プロトコル=UDP、宛先ポート番号=53、宛先IPアドレス=192.0.2.0、宛先組織=Aという通信パターンと、(2)プロトコル=TCP、宛先ポート番号=80、宛先IPアドレス=192.0.2.1、宛先組織=Bという通信パターンと、(3)プロトコル=UDP、宛先ポート番号=16471、宛先IPアドレス=*、宛先組織=*という3つの通信パターンは、それぞれマルウェア識別子=M1,M2の両方のトラヒックに1以上出現しているので、クラスタ別通信パターン抽出部134は、これらの通信パターンを、悪性通信パターン(悪性通信パターン識別子=S1の通信パターン群)として抽出する。
一方、プロトコル=TCP、宛先ポート番号=80、宛先IPアドレス=203.0.113.0、宛先組織=Aという通信パターンはマルウェア識別子=M1のトラヒックのみにしか出現しないので、悪性通信パターンとして抽出しない。なお、符号503に示すクラスタ内には、マルウェア識別子=M3の通信パターンしかないので、この通信パターンをそのまま、悪性通信パターン(悪性通信パターン識別子=S2の通信パターン群)として抽出する。
正常通信パターン除去部135は、クラスタ別通信パターン抽出部134が抽出した悪性通信パターンに、マルウェアに感染していないトラヒック群との適合率が所定値以上の悪性通信パターンがあればこれを除去する。つまり、正常通信パターン除去部135は、抽出した悪性通信パターンが正常通信にも登場する度合いが高ければ、当該悪性通信パターンとして出力しない。例えば、正常通信パターン除去部135は、クラスタ別通信パターン抽出部134が抽出した悪性通信パターン識別子=S1,S2の悪性通信パターン(図6参照)のうち、マルウェアに感染していないトラヒック群との適合率が0.75以上の悪性通信パターンを除去して、記憶部12へ出力する。
検知部136は、検知対象のトラヒック群に対し、悪性通信パターンとのマッチング処理を行い、この悪性通信パターンとの適合率が所定値以上のトラヒックを異常トラヒックとして検知する。例えば、検知部136は、検知対象のトラヒック群に対し、記憶部12に記憶された悪性通信パターン(図6の符号601,602参照)とのマッチング処理を行い、いずれかの悪性通信パターンについて適合(マッチ)する通信パターンの数の割合が所定値以上のトラヒックがあったとき、当該トラヒックを異常トラヒックとして検知する。そして、検知部136は、入出力部11経由で異常トラヒックの検知結果を出力する。
なお、正常通信パターン除去部135および検知部136は悪性通信パターン抽出装置10内の構成として説明したがこれに限定されない。例えば、正常通信パターン除去部135および検知部136の機能を悪性通信パターン抽出装置10外の装置により実現してもよい。
(処理手順)
次に、悪性通信パターン抽出装置10の処理手順を説明する。まず、図7を用いて悪性通信パターン抽出装置10の処理の概要を説明する。
悪性通信パターン抽出装置10のトラヒック入力受付部131は、マルウェアのトラヒック(トラヒックのログ)の入力を受け付ける(S1)。そして、通信パターン抽出部132は、入力されたトラヒックから通信パターンを抽出し(S2)、クラスタリング部133はS1で抽出された通信パターンのうち、類似する通信パターンを持つマルウェア同士を同じクラスタに分ける(S3)。次に、クラスタ別通信パターン抽出部134は、クラスタごとに当該クラスタ内の各マルウェアのトラヒックにおける出現率が所定値以上の通信パターンを、悪性通信パターンとして抽出する(S4)。その後、正常通信パターン除去部135は、S4で抽出された悪性通信パターンから、マルウェアに感染していないトラヒック群との適合率が所定の閾値以上の悪性通信パターンを除去する(S5)。その後、検知部136は、S1〜S5の処理により得られた悪性通信パターンによる異常トラヒックの検知を行う(S6)。つまり、検知部136は、検知対象のトラヒックに対し、S1〜S5の処理により得られた悪性通信パターンとのマッチングを行い、適合率が所定値以上のトラヒックを異常トラヒックとして検知する。
次に、図8を用いて、図7のS1およびS2の処理を詳細に説明する。まず、トラヒック入力受付部131は、マルウェアのトラヒック(トラヒックのログ)の入力を受け付ける(S11)。例えば、様々な種類のマルウェアのトラヒックのログの入力を受け付ける。そして、通信パターン抽出部132は、当該入力されたトラヒックの情報抽出項目の選択を受け付ける(S12)。例えば、通信パターン抽出部132は、当該トラヒックの情報抽出項目(フィールド)として、プロトコル、宛先ポート番号、宛先IPアドレス、宛先組織、送信元ポート番号、送信バイト数等の選択を受け付ける。また、通信パターン抽出部132は、マルウェアのトラヒックの項目のうちワイルドカード化するキー項目の選択を受け付ける(S13)。例えば、通信パターン抽出部132は、ワイルドカード化するキー項目として、プロトコル、宛先ポート番号、宛先IPアドレス、宛先組織等の選択を受け付ける。
その後、通信パターン抽出部132は、入力されたトラヒックから、S12で選択された項目(フィールド)の値を抽出し、抽出した値をもとにユニークトラヒックの抽出を行う(S14)。例えば、通信パターン抽出部132は、S12で選択された項目のうち、プロトコル、宛先ポート番号、宛先IPアドレス、宛先組織の値の組み合わせがユニークとなるようなトラヒックを抽出する。例えば、通信パターン抽出部132は、図3の符号301に示すトラヒック群のうち、マルウェア識別子、プロトコル、宛先ポート番号、宛先IPアドレス、宛先組織が同じトラヒックをまとめ、符号302に示すユニークトラヒックを抽出する。
次に、通信パターン抽出部132は、S14で抽出したユニークトラヒックのうち、S13で選択されたキー項目の値について所定の変動があればワイルドカード(*)に置き換える(S15:ワイルドカード化の処理)。例えば、通信パターン抽出部132は、図4の符号401に示すトラヒック群に宛先IPアドレス、宛先組織、送信元ポート番号の値について所定の変動があれば、この変動がある項目の値をワイルドカード(*)に置き換え、符号402に示す通信パターンにまとめる。そして、通信パターン抽出部132は、S15までの処理で抽出された通信パターンを出力する(S16)。例えば、通信パターン抽出部132は、符号402に示すワイルドカード化された通信パターンを含む、符号404に示す通信パターン群を出力する。
次に、図9を用いて、図7のS3の処理を詳細に説明する。まず、クラスタリング部133は、通信パターン抽出部132により抽出された各マルウェアの通信パターンの入力を受け付ける(S21)。例えば、図5の符号501に示す通信パターン群の入力を受け付ける。次に、クラスタリング部133はクラスタリングに使用するキー項目の選択を受け付ける(S22)。例えば、クラスタリング部133は、キー項目として、プロトコル、宛先IPアドレス、宛先ポート番号、宛先組織、発生回数の選択入力を受け付ける。
次に、クラスタリング部133は、S21で入力された各マルウェアの通信パターン間の類似度をS22で選択されたキー項目の値をもとに計算する(S23)。
そして、クラスタリング部133は、S23で計算された各マルウェアの通信パターン間の類似度の高さに基づき各マルウェアの通信パターンのクラスタリングを実行し(S24)、クラスタリングの結果を出力する(S25)。つまり、クラスタリング部133は、S23で計算された各マルウェアの通信パターンの類似度の高いもの同士を同じクラスタに分ける。例えば、クラスタリング部133は、図5の符号501に示す各マルウェアの通信パターンについて類似度に基づき、符号502に示すクラスタと、符号503に示すクラスタとに分ける。そして、そのクラスタリングの結果を出力する。
なお、クラスタリング部133は、クラスタリングの対象となるマルウェアの通信パターンがワイルドカード(*)を含む場合には、これを考慮して類似度の計算を行うものとする。この場合の類似度の計算の詳細は後記する。
次に、図10および図11を用いて、図7のS4の処理を詳細に説明する。まず、クラスタ別通信パターン抽出部134は、クラスタリング部133によるクラスタリングの結果の入力を受け付けると(図10のS31)、クラスタごとに通信パターンを抽出し(S32)、クラスタ内で重複する通信パターンを除去し(S33)、各クラスタの通信パターンを出力する(S34)。
図10のS34の後、クラスタ別通信パターン抽出部134は、あるクラスタにおける各マルウェアの通信パターンの入力を受け付けると(図11のS41)、当該クラスタの各マルウェアにおける通信パターンごとの出現率を計算する(S42)。例えば、あるクラスタにマルウェアが10個含まれ、当該クラスタに含まれる通信パターンが通信パターンA,B,Cである場合を考える。この場合、この通信パターンA,B,Cそれぞれについて当該クラスタ内の何個のマルウェアに出現するかを計算する。例えば、上記の通信パターンAが当該クラスタ内の9個のマルウェアに出現する場合、通信パターンAの出現率は9/10=0.9となる。クラスタ別通信パターン抽出部134は、このような計算を通信パターンB,Cについても行い、各通信パターンの出現率を計算する。
次に、クラスタ別通信パターン抽出部134は、当該クラスタに出現率が所定の閾値以上の通信パターンが存在するか否かを判断し(S43)、出現率が所定の閾値以上の通信パターンがあれば(S43でYes)、当該通信パターンを悪性通信パターンとして出力する(S45)。一方、当該クラスタに出現率が所定の閾値以上の通信パターンが存在しなければ(S43でNo)、クラスタ別通信パターン抽出部134は、当該クラスタの通信パターンを対象にワイルドカード化の処理を実施し(S44)、ワイルドカード化された通信パターンを含む通信パターンを悪性通信パターンとして出力する(S45)。
次に、図12を用いて、図7のS5の処理を詳細に説明する。まず、正常通信パターン除去部135は、トレーニング用トラヒックと、クラスタ別通信パターン抽出部134で抽出した悪性通信パターンの入力を受け付ける(S51)。トレーニング用トラヒックには、例えば、マルウェアに感染していないことが確認されているトラヒックを用いる。
次に、正常通信パターン除去部135は、トレーニング用トラヒックに対して、悪性通信パターンとの適合率を計算する(S52)。ここでの適合率は、トレーニング用トラヒックにおける条件成立パターン数を、悪性通信パターンに含まれる通信パターンの数で除算することにより得られる。例えば、図6に示す悪性通信パターン識別子=S2の通信パターン(符号602に示す4個の通信パターン)のうち、トレーニング用トラヒックが3個の通信パターンにマッチするとき、条件成立パターン数は「3」、悪性通信パターンに含まれる通信パターンの数は「4」なので、適合率は3/4=0.75となる。正常通信パターン除去部135は、このようなトレーニング用トラヒックに対する悪性通信パターンの適合率の計算を、各悪性通信パターンについて行う。なお、トレーニング用トラヒックが悪性通信パターンに含まれる通信パターンの一部とマッチするときは、これを考慮して適合率を計算する。例えば、トレーニング用トラヒックが2個の通信パターンに完全一致するが、1個の通信パターンについては半分の項目が一致する場合、条件成立パターン数は「2.5」とする。
次に、正常通信パターン除去部135は、S52で計算した適合率が所定の閾値以上の悪性通信パターンがあれば(S53でYes)、S51で入力された悪性通信パターンから当該悪性通信パターンを削除し(S54)、当該悪性通信パターンを削除した悪性通信パターンを出力する(S55)。例えば、S52で計算した適合率の閾値が0.5であり、S52で計算した悪性通信パターン識別子=S2の悪性通信パターンの適合率が0.75である場合、正常通信パターン除去部135は、悪性通信パターン識別子=S2の悪性通信パターンを削除する。一方、S52で計算した悪性通信パターンとの適合率が所定の閾値以上のものがなければ(S53でNo)、S51で入力された悪性通信パターンをそのまま出力する(S55)。
なお、正常通信パターン除去部135は、S52において、悪性通信パターンがワイルドカード化された通信パターンを含む場合、これを考慮して上記の適合率を計算するものとする。この場合の適合率の計算の詳細については後記する。
次に、図13を用いて、図7のS6を詳細に説明する。まず、検知部136は、検知対象のトラヒックと、悪性通信パターン(図7のS1〜S5の処理により得られた悪性通信パターン)との入力を受け付ける(S61)。
次に、検知部136は、検知対象のトラヒックに対して、悪性通信パターンとの適合率を計算する(S62)。ここでの適合率は、図12のS52と同様に、検知対象のトラヒックにおける条件成立パターン数を、悪性通信パターンに含まれる通信パターンの数で除算することにより得られる。
次に、検知部136は、S62で計算した悪性通信パターンとの適合率が所定の閾値以上のトラヒックがあれば(S63でYes)、当該トラヒックを「異常トラヒック」として検知し(S65)、検知結果を出力する。一方、S62で計算した悪性通信パターンとの適合率が所定の閾値以上のトラヒックがなければ(S63でNo)、異常トラヒックの検知なしと判断し(S64)、その検知結果を出力する。なお、検知部136は、悪性通信パターンがワイルドカード化された通信パターンを含むとき、前記した図12のS52と同様に、これを考慮して上記の適合率を計算するものとする。
また、検知部136はS65において異常トラヒックとして検知したトラヒックについて、当該トラヒックの送信元IPアドレスをマルウェアに感染した端末として検知するようにしてもよい。
以上説明した悪性通信パターン抽出装置10によればマルウェアの検知に用いる通信パターンの数を低減し、かつ、マルウェアの検知を精度よく行うことができる。
(ワイルドカード化の処理)
次に、図14を用いて、図8のS15における通信パターンのワイルドカード化の処理を詳細に説明する。雑音検知閾値は、悪性通信パターン抽出装置10の管理者等が適宜設定可能な値であり、ここでは例えば、「3」とする。まず、通信パターン抽出部132は、図8のS14で抽出したユニークトラヒックの通信パターンの入力を受け付けると(S71)、通信パターンの要素数(通信パターンの数)が雑音検知閾値未満か否かを判断し(S72)、通信パターンの要素数(通信パターンの数)が雑音検知閾値未満であれば(S72でYes)、そのユニークトラヒックの通信パターンをそのまま出力して処理を終了する。
一方、通信パターンの要素数(通信パターンの数)が雑音検知閾値以上であれば(S72でNo)、通信パターン抽出部132は対象となるユニークトラヒックのキー項目(例えば、プロトコル、宛先ポート番号、宛先IPアドレス、宛先組織)ごとに最頻値、出現数、種類数をカウントする(S73)。最頻値はキー項目のなかで最も出現頻度の高い値であり、出現数は最頻値の出現回数であり、種類数はキー項目の種類数である。例えば、図15に示すユニークトラヒックのプロトコルの項目についてみると、プロトコルの種類は「2」であり、最頻値は「UDP」であり、出現数は「4」である。通信パターン抽出部132はこのようなカウントを各キー項目について行う。
次に、通信パターン抽出部132は、種類数=1のキー項目を除く全てのキー項目の種類数が、雑音検知閾値を超えているか否かを判断する(S74)。そして、種類数=1のキー項目を除く全てのキー項目の種類数が、雑音検知閾値を超えていれば(S74でYes)、通信パターン抽出部132は、種類数=1のキー項目の値は全てそのままとし、それ以外のキー項目の値はワイルドカード(*)を使用し、1つの通信パターンに集約する(S75)。なお、非キー項目の値は、例えば、適当なデリミタ等で結合する。そして、ワイルドカード化の処理を終了する。
一方、種類数=1のキー項目以外のキー項目に種類数が雑音検知閾値以下のキー項目があれば(S74でNo)、通信パターン抽出部132は、出現数が最大のキー項目(最頻値キー項目)を選択する(S76)。例えば、図15に示すユニークトラヒックの通信パターンには雑音検知閾値(例えば、「3」)を超えていないキー項目があるので、出現数が最大(「4」)のキー項目である「プロトコル」を選択する。
そして、通信パターン抽出部132は、最頻値キー項目(例えば、「プロトコル」)の値が最頻値(例えば、「UDP」)である通信パターン群(最頻値ログ)と、それ以外の通信パターン群(残留ログ)とに分離する(S77)。例えば、通信パターン抽出部132は、図15に示すように、プロトコル=UDPである通信パターン群を最頻値ログ、それ以外の通信パターン群を残留ログとして分離する。
次に、通信パターン抽出部132は、S77で分離した最頻値ログ(図15参照)に対してワイルドカード化処理を再帰的に実施する(S78)。つまり、最頻値ログ(図15参照)に対して、前記したS72以降の処理と同様の処理を再度実施する。また、通信パターン抽出部132は、S77で分離した残留ログ(図15参照)に対してワイルドカード化処理を再帰的に実施する(S79)。つまり、残留ログ(図15参照)に対して前記したS72以降の処理と同様の処理を再度実施する。そして、通信パターン抽出部132は、分離したログの要素数が所定の雑音検知閾値未満となった段階で、ワイルドカード化処理を終了し、処理の過程で分離したそれぞれのログを合体させて出力する。
このようにすることで、通信パターン抽出部132は、キー項目の値に所定の変動がある通信パターンを集約することができる。
(通信パターンが部分一致またはワイルドカード(*)を含む場合の類似度の計算方法)
次に、クラスタリング部133による各マルウェア間の類似度の計算において、当該マルウェアの通信パターンが部分一致またはワイルドカード(*)を含む場合の類似度の計算方法を説明する。ここでの類似度は、ジャッカルド係数を応用した以下の式(1)により計算される。以下のマルウェア1,2はそれぞれ、類似度計算の対象となるマルウェアを示す。
類似度=(マルウェア1の通信パターンとマルウェア2の通信パターンそれぞれのマッチ率の合計)/{(マルウェア1の通信パターンの数)+(マルウェア2の通信パターンの数)−(マルウェア1の通信パターンとマルウェア2の通信パターンそれぞれのマッチ率の合計)}…式(1)
なお、ワイルドカード化された通信パターンのマッチ率は、ワイルドカード化された通信パターン同士が完全一致した場合、マッチ率=所定の雑音検知閾値であり、ワイルドカード化された通信パターンと一致するものがなかった場合、マッチ率=0とする。また、ワイルドカード化された通信パターンに部分一致する場合は、マッチ率は0とする。
また、ワイルドカード化されていない通信パターンのマッチ率は、以下の式(4)のように定義される。
マッチ率=(一致した通信パターンのキー項目の数)/(通信パターンのキー項目の合計)…式(4)
また、各マルウェアの通信パターンがワイルドカード化された通信パターンを含む場合は、当該通信パターンの数については「雑音検知閾値」に置き換えて加算する。
図16および図17を用いて類似度の計算例を示す。ここでは、まず図16に示すマルウェア識別子=M1のマルウェアの通信パターンと、マルウェア識別子=M2の通信パターンとを用いて、通信パターンが部分一致する場合の類似度の計算例を説明する。
図16の個別識別子=M1-aの通信パターンと個別識別子=M2-aの通信パターンはキー項目が部分一致し、個別識別子=M1-bの通信パターンと個別識別子=M2-bの通信パターンはキー項目が完全一致している。個別識別子=M1-dの通信パターンと一致するキー項目はマルウェア識別子=M2のマルウェアの通信パターンには存在しない。ここで個別識別子=M1-aの通信パターンと個別識別子=M2-aの通信パターンとのマッチ率は、式(4)に基づき、3/4=0.75、個別識別子=M1-bの通信パターンと個別識別子=M2-bの通信パターンとのマッチ率は4/4=1.0と計算できる。よって、式(1)に基づき、類似度=(0.75+1.0)/{(3)+(2)−(0.75+1.0)}=0.538となる。
次に、図17に示すマルウェア識別子=M1のマルウェアの通信パターンと、マルウェア識別子=M2のマルウェアの通信パターンとを用いて、通信パターンがワイルドカード(*)を含む場合の類似度の計算例を説明する。図17の個別識別子=M1-aの通信パターンと個別識別子=M2-aの通信パターンはキー項目が部分一致し、個別識別子=M1-bの通信パターンと個別識別子=M2-bの通信パターンはキー項目が完全一致している。個別識別子=M1-cの通信パターンと個別識別子=M2-cの通信パターンはそれぞれワイルドカード(*)を含み、それぞれのキー項目が完全一致している。個別識別子=M1-dの通信パターンと一致するキー項目はマルウェア識別子=M2のマルウェアの通信パターンには存在しない。ここで個別識別子=M1-aの通信パターンと個別識別子=M2-aの通信パターンとのマッチ率は、上記と同様、式(4)に基づき、3/4=0.75と計算でき、個別識別子=M1-bの通信パターンと個別識別子=M2-bの通信パターンとのマッチ率は4/4=1.0と計算できる。また、個別識別子=M1-cの通信パターンと個別識別子=M2-cの通信パターンはそれぞれワイルドカード(*)を含むので、雑音検知閾値=3とするとマッチ率は3となる。よって、雑音検知閾値=3とした場合、式(1)に基づき、類似度=(3+0.75+1.0)/{(3+3)+(3+2)−(3+0.75+1.0)}=0.76となる。
このようにすることでクラスタリング部133は、マルウェアの通信パターンが部分一致またはワイルドカード(*)を含む場合でもこれを考慮して類似度を計算できる。
(通信パターンがワイルドカード(*)を含む場合の適合率の計算方法)
次に、通信パターンがワイルドカード(*)を含む場合の適合率の計算方法を説明する。適合率は、前記したとおり条件成立パターン数を悪性通信パターンに含まれる通信パターンの数で除算することにより得られる。ここで、当該通信パターンがワイルドカード(*)を含む場合、適合率計算の対象となるトラヒックに当該通信パターンが所定の雑音検知閾値(例えば、「3」)より多くの回数出現するときに、当該通信パターンに関する条件成立と判断する。
例えば、正常通信パターン除去部135が、図18の符号180に示すトレーニング用トラヒックに対し、通信パターン識別子=S1の悪性通信パターンの適合率を計算する場合について説明する。ここでの雑音検知閾値は「3」とする。図18に示す通信パターン識別子=S1の悪性通信パターンの通信パターンのうち、個別識別子=S1-aの通信パターンはトレーニング用トラヒックに含まれていないので、条件成立NGと判断するが、個別識別子=S1-bの通信パターンはトレーニング用トラヒックに含まれている(条件成立OK)。また、個別識別子=S1-cの通信パターンはワイルドカード化された通信パターンであるが、当該通信パターンはトレーニング用トラヒックに雑音検知閾値(「3」)より多くの回数出現するので、条件成立OKと判断する。よって正常通信パターン除去部135は、適合率を2/3=0.66と計算する。
また、検知部136も検知対象のトラヒックに対し、上記と同様の計算方法により悪性通信パターンの適合率を計算する。
このようにすることで、正常通信パターン除去部135および検知部136は、悪性通信パターンにワイルドカード化された通信パターンが含まれるときも、これを考慮して適合率を計算することができる。
(プログラム)
また、上記実施形態に係る悪性通信パターン抽出装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成し、実行することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、悪性通信パターン抽出装置10と同様の機能を実現する制御プログラムを実行するコンピュータの一例を説明する。
図19は、悪性通信パターン抽出プログラムを実行するコンピュータを示す図である。図19に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図19に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
また、悪性通信パターン抽出プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明した悪性通信パターン抽出装置10が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
また、悪性通信パターン抽出プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、悪性通信パターン抽出プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、制御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。また、ネットワークインタフェース1070等によりリアルタイムにパケットを収集することでデータを収集してもよい。
10 悪性通信パターン抽出装置
11 入出力部
12 記憶部
13 制御部
131 トラヒック入力受付部
132 通信パターン抽出部
133 クラスタリング部
134 クラスタ別通信パターン抽出部
135 正常通信パターン除去部
136 検知部

Claims (6)

  1. 1以上のマルウェアのトラヒック群の入力を受け付ける入力受付部と、
    前記入力されたトラヒック群の通信パターンを抽出するとき、所定のフィールドの値に変動があるトラヒック群については前記変動があるフィールドの値をワイルドカードに置き換えた通信パターンを抽出する通信パターン抽出部と、
    前記抽出した通信パターンが類似するマルウェア同士を同じクラスタに分類するクラスタリング部と、
    前記クラスタごとに、当該クラスタに属するマルウェアそれぞれのトラヒックにおける出現率が所定値以上となる通信パターンの組み合わせを、悪性通信パターンとして抽出するクラスタ別通信パターン抽出部と、
    前記抽出した悪性通信パターンに含まれる通信パターンの数に対する、マルウェアに感染していないトラヒック群とマッチする通信パターンの数の割合である適合率が所定値以上の悪性通信パターンを前記抽出した悪性通信パターンから除去する正常通信パターン除去部とを備え、
    前記正常通信パターン除去部は、
    前記悪性通信パターンが、前記所定のフィールドの値がワイルドカードに置き換えられた通信パターンを含む場合、当該通信パターンについては、当該通信パターンが前記マルウェアに感染していないトラヒック群に所定数以上存在するとき、当該通信パターンが前記マルウェアに感染していないトラヒック群とマッチすると判断し、前記適合率を算出する
    ことを特徴とする悪性通信パターン抽出装置。
  2. 前記クラスタリング部は、
    前記マルウェアの通信パターンまたは前記マルウェアのトラヒックのトラヒック情報が類似するマルウェア同士を同じクラスタに分類することを特徴とする請求項1に記載の悪性通信パターン抽出装置。
  3. 検知対象のトラヒック群に対し、前記悪性通信パターンとのマッチング処理を行い、前記抽出した悪性通信パターンに含まれる通信パターンの数に対する、前記検知対象のトラヒック群にマッチする通信パターンの数の割合が所定値以上のトラヒックを異常トラヒックとして検知する検知部をさらに備えることを特徴とする請求項1に記載の悪性通信パターン抽出装置。
  4. 前記検知部は、
    前記悪性通信パターンが、前記所定のフィールドの値がワイルドカードに置き換えられた通信パターンを含む場合、当該通信パターンについては、当該通信パターンが前記検知対象のトラヒック群に所定数以上存在するときに、当該通信パターンがマッチすると判断することを特徴とする請求項3に記載の悪性通信パターン抽出装置。
  5. 1以上のマルウェアのトラヒック群の入力を受け付けるステップと、
    前記入力されたトラヒック群の通信パターンを抽出するとき、所定のフィールドの値に変動があるトラヒック群については前記変動があるフィールドの値をワイルドカードに置き換えた通信パターンを抽出するステップと、
    前記抽出した通信パターンが類似するマルウェア同士を同じクラスタに分類するステップと、
    前記クラスタごとに、当該クラスタに属するマルウェアのトラヒックそれぞれにおける出現率が所定値以上となる通信パターンの組み合わせを、悪性通信パターンとして抽出するステップと、
    前記抽出した悪性通信パターンに含まれる通信パターンの数に対する、マルウェアに感染していないトラヒック群とマッチする通信パターンの数の割合である適合率が所定値以上の悪性通信パターンを前記抽出した悪性通信パターンから除去するステップと、
    を含み、
    前記除去するステップにおいて、前記悪性通信パターンが、前記所定のフィールドの値がワイルドカードに置き換えられた通信パターンを含む場合、当該通信パターンについては、当該通信パターンが前記マルウェアに感染していないトラヒック群に所定数以上存在するとき、当該通信パターンが前記マルウェアに感染していないトラヒック群とマッチすると判断し、前記適合率を算出する
    ことを特徴とする悪性通信パターン抽出方法。
  6. 1以上のマルウェアのトラヒック群の入力を受け付ける入力受付部と、
    前記入力されたトラヒック群の通信パターンを抽出するとき、所定のフィールドの値に変動があるトラヒック群については前記変動があるフィールドの値をワイルドカードに置き換えた通信パターンを抽出する通信パターン抽出部と、
    前記抽出した通信パターンが類似するマルウェア同士を同じクラスタに分類するクラスタリング部と、
    前記クラスタごとに、当該クラスタに属するマルウェアそれぞれにおける出現率が所定値以上となる通信パターンの組み合わせを、悪性通信パターンとして抽出するクラスタ別通信パターン抽出部と、
    前記抽出した悪性通信パターンに含まれる通信パターンの数に対する、マルウェアに感染していないトラヒック群とマッチする通信パターンの数の割合である適合率が所定値以上の悪性通信パターンを前記抽出した悪性通信パターンから除去する正常通信パターン除去部とを備え、
    前記正常通信パターン除去部は、
    前記悪性通信パターンが、前記所定のフィールドの値がワイルドカードに置き換えられた通信パターンを含む場合、当該通信パターンについては、当該通信パターンが前記マルウェアに感染していないトラヒック群に所定数以上存在するとき、当該通信パターンが前記マルウェアに感染していないトラヒック群とマッチすると判断し、前記適合率を算出する
    悪性通信パターン抽出装置としてコンピュータを機能させるための悪性通信パターン抽出プログラム。
JP2016560153A 2014-11-18 2015-11-09 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム Active JP6306739B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014233617 2014-11-18
JP2014233617 2014-11-18
PCT/JP2015/081498 WO2016080232A1 (ja) 2014-11-18 2015-11-09 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム

Publications (2)

Publication Number Publication Date
JPWO2016080232A1 JPWO2016080232A1 (ja) 2017-04-27
JP6306739B2 true JP6306739B2 (ja) 2018-04-04

Family

ID=56013777

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016560153A Active JP6306739B2 (ja) 2014-11-18 2015-11-09 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム

Country Status (3)

Country Link
US (1) US10484408B2 (ja)
JP (1) JP6306739B2 (ja)
WO (1) WO2016080232A1 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109564613B (zh) * 2016-07-27 2023-05-30 日本电气株式会社 签名创建设备、签名创建方法、记录签名创建程序的记录介质、以及软件确定系统
US11190530B2 (en) * 2016-09-21 2021-11-30 Aperio Systems (2020) Ltd. Method and system for detecting attacks on monitored physical systems
US10432647B2 (en) * 2017-06-27 2019-10-01 Honeywell International Inc. Malicious industrial internet of things node activity detection for connected plants
JP7017163B2 (ja) * 2018-01-22 2022-02-08 日本電気株式会社 ネットワーク制御装置およびネットワーク制御方法
JP6749956B2 (ja) * 2018-02-26 2020-09-02 日本電信電話株式会社 トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム
US10764315B1 (en) * 2019-05-08 2020-09-01 Capital One Services, Llc Virtual private cloud flow log event fingerprinting and aggregation
US20210344690A1 (en) * 2020-05-01 2021-11-04 Amazon Technologies, Inc. Distributed threat sensor analysis and correlation
WO2022195732A1 (ja) * 2021-03-16 2022-09-22 日本電信電話株式会社 判定装置、判定方法および判定プログラム
US11868472B2 (en) * 2021-03-30 2024-01-09 Microsoft Technology Licensing, Llc Malicious pattern identification in clusters of data items
US11818148B1 (en) * 2022-05-15 2023-11-14 Uab 360 It Optimized analysis for detecting harmful content

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7643496B1 (en) * 2005-09-30 2010-01-05 Nortel Networks Limited Application specified steering policy implementation
JP5009244B2 (ja) 2008-07-07 2012-08-22 日本電信電話株式会社 マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム
US8826438B2 (en) * 2010-01-19 2014-09-02 Damballa, Inc. Method and system for network-based detecting of malware from behavioral clustering
US9449175B2 (en) * 2010-06-03 2016-09-20 Nokia Technologies Oy Method and apparatus for analyzing and detecting malicious software
JP2012084994A (ja) * 2010-10-07 2012-04-26 Hitachi Ltd マルウェア検出方法、およびマルウェア検出装置
US9684705B1 (en) * 2014-03-14 2017-06-20 Symantec Corporation Systems and methods for clustering data

Also Published As

Publication number Publication date
WO2016080232A1 (ja) 2016-05-26
US20170310694A1 (en) 2017-10-26
US10484408B2 (en) 2019-11-19
JPWO2016080232A1 (ja) 2017-04-27

Similar Documents

Publication Publication Date Title
JP6306739B2 (ja) 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
EP3221794B1 (en) Method and system for detecting threats using metadata vectors
US9860278B2 (en) Log analyzing device, information processing method, and program
JP6258553B2 (ja) ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム
JP2015076863A (ja) ログ分析装置、方法およびプログラム
US11057411B2 (en) Log analysis device, log analysis method, and log analysis program
JP6174520B2 (ja) 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム
KR101434388B1 (ko) 네트워크 보안 장비의 패턴 매칭 시스템 및 그 패턴 매칭 방법
CN107547490B (zh) 一种扫描器识别方法、装置及系统
JP6200101B2 (ja) 分析装置、分析システム、分析方法、および、分析プログラム
US11888874B2 (en) Label guided unsupervised learning based network-level application signature generation
JP6386593B2 (ja) 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム
JP2015015581A (ja) 監視装置、監視方法及びプログラム
CN114338064B (zh) 识别网络流量类型的方法、装置、系统、设备和存储介质
US10462158B2 (en) URL selection method, URL selection system, URL selection device, and URL selection program
KR102040371B1 (ko) 네트워크 공격 패턴 분석 및 방법
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
KR20180101868A (ko) 악성 행위 의심 정보 탐지 장치 및 방법
Changguo et al. The research on the application of association rules mining algorithm in network intrusion detection
WO2019180804A1 (ja) 情報処理装置、通信種類判別方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170808

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171010

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180306

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180308

R150 Certificate of patent or registration of utility model

Ref document number: 6306739

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150