JP6674036B2 - 分類装置、分類方法及び分類プログラム - Google Patents
分類装置、分類方法及び分類プログラム Download PDFInfo
- Publication number
- JP6674036B2 JP6674036B2 JP2018543756A JP2018543756A JP6674036B2 JP 6674036 B2 JP6674036 B2 JP 6674036B2 JP 2018543756 A JP2018543756 A JP 2018543756A JP 2018543756 A JP2018543756 A JP 2018543756A JP 6674036 B2 JP6674036 B2 JP 6674036B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- numerical
- classification
- vectors
- vector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/906—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
まず、実施の形態に係る分類装置について、概略構成、分類処理の流れ及び具体例を説明する。攻撃によってマルウェアに感染した端末の通信ログには、この攻撃に関係するURLへの一連のアクセスがアクセスした順番で含まれている。そこで、本実施の形態では、通信ログについて、通信先の系列データに含まれる複数の通信先の関係性に基づいて通信先系列を分類することによって、通信ログからドライブバイダウンロード攻撃を実行する悪性サイトへの通信が含まれているか分類している。
図2は、図1に示す分類装置1に入力される対象通信ログの例を示す図である。図2に示すように、識別対象の通信ログは、通番と通信先の情報とを含む。通番については、同一の通信ログに含まれる通信先には同一の番号が与えられる。また、通信先の情報として、URLが考えられるが、これに限るものではなく、FQDN、ドメイン、ホスト名等でもよい。通信ログは、通信が発生した時刻、送信元等の情報を含んでいてもよい。通信先の情報は、アクセスされた順番に記録されているか、順番が分かる情報が付加されている必要がある。
図3は、図1に示す分類装置1に入力される既知通信ログの例を示す図である。既知通信ログは、通番、ラベル、通信先の情報を含む。通番については、同一の通信ログに含まれる通信先には同一の番号が与えられる。また、通信先の情報として、URLが考えられるが、これに限るものではなく、FQDN、ドメイン、ホスト名等でもよい。ラベルは、図3で示した「良性」や「悪性」に限るものではなく、「広告」、「Drive-by-Download」、「Phishing」等でもよい。通信ログは、通信が発生した時刻、送信元等の情報を含んでいてもよい。通信先は、アクセスされた順番に記録されているか、順番が分かる情報が付加されている必要がある。
次に、通信先系列抽出部13の処理について説明する。図4は、図1に示す通信先系列抽出部13の処理を説明する図である。通信先系列抽出部13は、通信ログ(図4の(a)参照)の同一の通番に含まれる通信先から、複数の通信先を抽出して通信先系列(図4の(b)参照)を作成する。このとき、通信先系列抽出部13は、通信先をそのまま抽出してもよいが、通信先の一部のみを抽出してもよい。ただし、通信先系列抽出部13が抽出する通信先の形式は同一である必要がある。
次に、数値ベクトル算出部14の処理について説明する。図5は、図1に示す数値ベクトル算出部14の処理を説明する図である。図6は、数値ベクトルの内容を示す図である。
図7及び図8は、図1に示す分類部15による数値ベクトルの統合および作成の仕方の一例を示す図である。図7では、第1層から第5層に対応する数値ベクトルを丸印で示し、統合に用いる数値ベクトルの結合を示す矢印を破線で示し、作成に用いる数値ベクトルとの結合を示す矢印を実線で示す。
次に、図14及び図15を参照しながら、分類装置1の動作について、より詳細に説明する。分類部15が分類のために用いる分類モデルの作成処理について説明する。なお、分類モデルとは、入力データ(各系列データの数値ベクトル)を入力したときに、識別結果(良性の識別、悪性の識別等)を出力するものである。図14は、本実施の形態に係る分類モデル作成処理の処理手順を示すフローチャートである。
次に、図15を参照して、分類装置1による分類処理について説明する。図15は、実施の形態に係る分類モデルを用いた分類の処理手順を示すフローチャートである。
ドライブバイダウンロード攻撃によって、マルウェアに感染した端末の通信ログには、この攻撃に関するURLへの一連のアクセスがアクセスした順で含まれている。ここで、本実施の形態では、複数の通信における通信先が通信の発生順に記録されている系列データに基づいて、通信先ごとに通信先の特性を表す数値ベクトルを算出し、数値ベクトルの通信先の順序関係に基づいて、系列データを、特徴が類似する集合へ分類する。このため、本実施の形態を適用することによって、通信ログに含まれる通信先の系列データからドライブバイダウンロード攻撃によってマルウェアに感染した際の通信が含まれているか分類することが可能である。したがって、本実施の形態によれば、マルウェア感染時の通信を検知することによって、マルウェアによる被害が発生する前に、通信ログから、攻撃を精度よく検知することができる。
[システム構成等]
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
図16は、プログラムが実行されることにより、分類装置1が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
11 対象通信ログ入力部
12 既知通信ログ入力部
13 通信先系列抽出部
14 数値ベクトル算出部
15 分類部
Claims (6)
- 複数の通信における通信先が通信の発生順に記録されている系列データに基づいて、前記通信先ごとに通信先の特性を表す数値ベクトルを算出する数値ベクトル算出部と、
前記数値ベクトルの通信先の順序関係に基づいて、前記系列データを、特徴が類似する集合へ分類する分類部と、
を有し、
前記分類部は、前記数値ベクトル算出部が計算した複数の数値ベクトルを結合して少数の新たな数値ベクトルを算出してから分類を行うことを特徴とする分類装置。 - 前記通信先と該通信先の順序関係とが記録されたログから、連続する複数の通信の前記通信先を前記系列データとして抽出する通信先系列抽出部をさらに有することを特徴とする請求項1に記載の分類装置。
- 前記分類部は、前記系列データの複数の数値ベクトルを統合して新たな数値ベクトルを算出することと、新たに算出された複数の数値ベクトルから前記数値ベクトルの次元ごとに新たな値を算出して少数の数値ベクトルを作成することと、を繰り返すことを特徴とする請求項1または2に記載の分類装置。
- 前記分類部は、前記系列データの一定範囲内に含まれる複数の数値ベクトルから2つの数値ベクトルを選択し、選択した前記2つの数値ベクトルを統合して新たな数値ベクトルを算出することを特徴とする請求項3に記載の分類装置。
- 入力された複数の通信における通信先が通信の発生順に記録されている系列データを、特徴が類似する集合に分類する分類装置が実行する分類方法であって、
前記系列データに基づいて、前記通信先ごとに通信先の特性を表す数値ベクトルを算出する数値ベクトル算出工程と、
前記数値ベクトルの通信先の順序関係に基づいて、前記系列データを、特徴が類似する集合へ分類する分類工程と、
を含み、
前記分類工程は、前記数値ベクトル算出工程において計算された複数の数値ベクトルを結合して少数の新たな数値ベクトルを算出してから分類を行うことを特徴とする分類方法。 - 複数の通信における通信先が通信の発生順に記録されている系列データに基づいて、前記通信先ごとに通信先の特性を表す数値ベクトルを算出する数値ベクトル算出ステップと、
前記数値ベクトルの通信先の順序関係に基づいて、前記系列データを、特徴が類似する集合へ分類する分類ステップと、
をコンピュータに実行させ、
前記分類ステップは、前記数値ベクトル算出ステップにおいて計算された複数の数値ベクトルを結合して少数の新たな数値ベクトルを算出してから分類を行う分類プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016196019 | 2016-10-03 | ||
JP2016196019 | 2016-10-03 | ||
PCT/JP2017/028596 WO2018066221A1 (ja) | 2016-10-03 | 2017-08-07 | 分類装置、分類方法及び分類プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2018066221A1 JPWO2018066221A1 (ja) | 2019-01-31 |
JP6674036B2 true JP6674036B2 (ja) | 2020-04-01 |
Family
ID=61830854
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018543756A Active JP6674036B2 (ja) | 2016-10-03 | 2017-08-07 | 分類装置、分類方法及び分類プログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US11270001B2 (ja) |
EP (1) | EP3486809A4 (ja) |
JP (1) | JP6674036B2 (ja) |
WO (1) | WO2018066221A1 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3258661B1 (en) * | 2016-06-16 | 2020-11-18 | ABB Schweiz AG | Detection of abnormal configuration changes |
US20190141067A1 (en) * | 2017-11-09 | 2019-05-09 | Cisco Technology, Inc. | Deep recurrent neural network for cloud server profiling and anomaly detection through dns queries |
CN110363644A (zh) * | 2019-06-17 | 2019-10-22 | 深圳壹账通智能科技有限公司 | 异常信息识别方法、装置、计算机设备及存储介质 |
JP2021015421A (ja) * | 2019-07-11 | 2021-02-12 | 富士通株式会社 | 情報処理プログラム、情報処理方法および情報処理装置 |
US20220019673A1 (en) * | 2020-07-16 | 2022-01-20 | Bank Of America Corporation | System and Method for Associating a Common Vulnerability and Exposures (CVE) with a Computing Device and Applying a Security Patch |
CN113674115B (zh) * | 2021-08-24 | 2023-06-27 | 南京迪塔维数据技术有限公司 | 一种基于数据治理技术的高校数据管理辅助系统及方法 |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2495195C (en) * | 2002-08-14 | 2010-03-30 | Drs Technical Services, Inc. | Method and apparatus for monitoring and controlling the allocation of network bandwidth |
JP2007074339A (ja) * | 2005-09-07 | 2007-03-22 | Tohoku Univ | 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム |
US8286239B1 (en) * | 2008-07-24 | 2012-10-09 | Zscaler, Inc. | Identifying and managing web risks |
US20110185428A1 (en) * | 2010-01-27 | 2011-07-28 | Mcafee, Inc. | Method and system for protection against unknown malicious activities observed by applications downloaded from pre-classified domains |
US9547766B2 (en) * | 2010-11-29 | 2017-01-17 | Biocatch Ltd. | Device, system, and method of detecting malicious automatic script and code injection |
US9690915B2 (en) * | 2010-11-29 | 2017-06-27 | Biocatch Ltd. | Device, method, and system of detecting remote access users and differentiating among users |
US9838373B2 (en) * | 2010-11-29 | 2017-12-05 | Biocatch Ltd. | System, device, and method of detecting a remote access user |
US8832836B2 (en) * | 2010-12-30 | 2014-09-09 | Verisign, Inc. | Systems and methods for malware detection and scanning |
US9965937B2 (en) * | 2013-03-15 | 2018-05-08 | Palantir Technologies Inc. | External malware data item clustering and analysis |
CN106464577B (zh) * | 2014-06-18 | 2019-10-29 | 日本电信电话株式会社 | 网络系统、控制装置、通信装置以及通信控制方法 |
US9641542B2 (en) * | 2014-07-21 | 2017-05-02 | Cisco Technology, Inc. | Dynamic tuning of attack detector performance |
US9942250B2 (en) * | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
US9723016B2 (en) * | 2015-05-14 | 2017-08-01 | International Business Machines Corporation | Detecting web exploit kits by tree-based structural similarity search |
US9992217B2 (en) * | 2015-12-31 | 2018-06-05 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for detecting malicious network traffic |
WO2017131975A1 (en) * | 2016-01-25 | 2017-08-03 | Acalvio Technologies, Inc. | Detecting security threats by combining deception mechanisms and data science |
US11212297B2 (en) * | 2016-06-17 | 2021-12-28 | Nippon Telegraph And Telephone Corporation | Access classification device, access classification method, and recording medium |
US10230744B1 (en) * | 2016-06-24 | 2019-03-12 | EMC IP Holding Company LLC | Detecting periodic behavior in a communication session using clustering |
JP6793524B2 (ja) * | 2016-11-01 | 2020-12-02 | 株式会社日立製作所 | ログ解析システムおよびその方法 |
US11146578B2 (en) * | 2016-12-16 | 2021-10-12 | Patternex, Inc. | Method and system for employing graph analysis for detecting malicious activity in time evolving networks |
US10924503B1 (en) * | 2018-05-30 | 2021-02-16 | Amazon Technologies, Inc. | Identifying false positives in malicious domain data using network traffic data logs |
US10970188B1 (en) * | 2020-02-11 | 2021-04-06 | HoxHunt Oy | System for improving cybersecurity and a method therefor |
-
2017
- 2017-08-07 US US16/322,972 patent/US11270001B2/en active Active
- 2017-08-07 WO PCT/JP2017/028596 patent/WO2018066221A1/ja active Application Filing
- 2017-08-07 JP JP2018543756A patent/JP6674036B2/ja active Active
- 2017-08-07 EP EP17858061.9A patent/EP3486809A4/en active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2018066221A1 (ja) | 2018-04-12 |
JPWO2018066221A1 (ja) | 2019-01-31 |
US20190180032A1 (en) | 2019-06-13 |
US11270001B2 (en) | 2022-03-08 |
EP3486809A1 (en) | 2019-05-22 |
EP3486809A4 (en) | 2019-12-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6674036B2 (ja) | 分類装置、分類方法及び分類プログラム | |
AU2018217323B2 (en) | Methods and systems for identifying potential enterprise software threats based on visual and non-visual data | |
AU2012347793B2 (en) | Detecting malware using stored patterns | |
US8683585B1 (en) | Using file reputations to identify malicious file sources in real time | |
US8239948B1 (en) | Selecting malware signatures to reduce false-positive detections | |
US9213837B2 (en) | System and method for detecting malware in documents | |
JP6499380B2 (ja) | ログ分析装置、ログ分析方法およびログ分析プログラム | |
CN110414236B (zh) | 一种恶意进程的检测方法及装置 | |
JP6557334B2 (ja) | アクセス分類装置、アクセス分類方法、及びアクセス分類プログラム | |
Lovanshi et al. | Comparative study of digital forensic tools | |
KR20170122548A (ko) | 비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치 | |
JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
Alshamrani | Design and analysis of machine learning based technique for malware identification and classification of portable document format files | |
US10963562B2 (en) | Malicious event detection device, malicious event detection method, and malicious event detection program | |
Li et al. | A review on signature-based detection for network threats | |
JP6930667B2 (ja) | 検知装置および検知プログラム | |
Mukesh et al. | Real-time framework for malware detection using machine learning technique | |
CN112580038A (zh) | 反病毒数据的处理方法、装置及设备 | |
Maung et al. | HACKFOSICS: forensics tool for extract live remnant data and examine dead artifact | |
Javed et al. | Patterns in malware designed for data espionage and backdoor creation | |
Jophin et al. | Detecting forensically relevant information from PE executables | |
Fan et al. | Privacy Theft Malware Detection with Privacy Petri Net | |
CN115238270A (zh) | 检测方法及装置 | |
Swanson | Malware, viruses and log visualisation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180919 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190910 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191011 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200303 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200305 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6674036 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |