JP6707952B2 - 制御装置、制御方法及びプログラム - Google Patents
制御装置、制御方法及びプログラム Download PDFInfo
- Publication number
- JP6707952B2 JP6707952B2 JP2016069924A JP2016069924A JP6707952B2 JP 6707952 B2 JP6707952 B2 JP 6707952B2 JP 2016069924 A JP2016069924 A JP 2016069924A JP 2016069924 A JP2016069924 A JP 2016069924A JP 6707952 B2 JP6707952 B2 JP 6707952B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- communication
- information
- definition information
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
[処理構成]
図1は、第1の実施形態にかかる制御装置100の構成を示す図である。制御装置100は、収集部101、格納部102、作成部103を備える。
図2は、制御装置100のハードウェア構成を示す図である。制御装置100は、プロセッサ100a、メモリ100b、ストレージ100c、入出力インタフェース(入出力I/F)100d及び通信インタフェース(通信I/F)100eを備える。プロセッサ100a、メモリ100b、ストレージ100c、入出力インタフェース100d及び通信インタフェース100eは、相互にデータを送受信するためのデータ伝送路100fで接続されている。
図3を用いて、制御装置100の動作を説明する。複数の端末から、通信履歴情報を収集する(ステップS1)。特定の通信対象を示す特定通信定義情報が登録されているリストを格納する(ステップS2)。一の端末の通信履歴情報に合致する特定通信定義情報と、他の端末の通信履歴情報に合致する特定通信定義情報と、に基づいて一以上の特定通信定義情報が登録される一の端末のためのリストを作成する(ステップS3)。
第1の実施形態にかかる制御装置100によれば、作成部103は、一の端末の通信履歴情報に合致する特定通信定義情報と、他の端末の通信履歴情報に合致する特定通信定義情報と、に基づいて一以上の特定通信定義情報が登録される一の端末のためのリストを作成する。これにより、サイバー攻撃への対策において、電子メールやウェブサイトのフィルタリングに用いるリストを最適化することができる。
[処理構成]
図4は、第2の実施形態にかかるアクセス制御装置21を含むシステム2000の全体構成を示すブロック図である。システム2000は、端末1乃至3及びアクセス制御装置21を含む。
1. データベース制御部12を介して、不正通信情報データベース16から抽出された一以上の不正通信情報を受け取る。
2. データベース制御部12を介して、ログ情報データベース13から不正通信情報の不正通信定義情報に一致する一以上のログ情報を抽出する。当該抽出は、ある一の端末と、当該一の端末と同じグループに属する一以上の他の端末について実施する。例えば、ある時刻に特定のIPアドレスから端末に対して大量の通信があった場合、F5攻撃の可能性がある。この場合、ログ情報からは、送信元IPアドレスの他、不正な通信パターンも抽出することができる。以降は、抽出後のログ情報を不正通信ログとも表記する。
3. 不正通信ログに不正通信情報に含まれる各不正通信定義情報のスコアを紐付けて、重み付け部18(後述)に対して出力する。
4. 重み付け部18から受け取った重み情報を基に、端末別にブラックリストを作成する。ブラックリストを作成する場合は、「スコア×自重み」と「スコア×他重み」のそれぞれで、値が大きい不正通信定義情報を所定数抽出して登録することでブラックリストを作成する。一例として、「スコア×自重み」を優先し、「スコア×自重み」の値が大きい不正通信定義情報を2つ、「スコア×他重み」の値が大きい不正通信定義情報を1つ抽出する。「スコア×自重み」の値が大きい不正通信定義情報と「スコア×他重み」の値が大きい不正通信定義情報とが同じになった場合は、例えば、「スコア×自重み」とは異なる値の「スコア×他重み」を有する不正通信定義情報のうち値が大きい不正通信定義情報を抽出する。また例えば、「スコア×自重み」の値が大きい不正通信定義情報を2つ、「スコア×他重み」の値が大きい不正通信定義情報を1つ抽出する場合であって、「スコア×自重み」の値が大きい不正通信定義情報がA、D、「スコア×他重み」の値が大きい不正通信定義情報がDである場合は、A、Dのみを抽出してもよい。
5. 作成したブラックリストをリスト配信部19に対して出力する。
6. データベース制御部12を介して、作成したブラックリストをブラックリストデータベース23に格納する。
自重み = N × T
他重み = N × M × T
変数N、T及びMについては以下の通りである。変数N、T及びMは、重み付けパラメータ対応表に基づいて導出する。
N: 端末における、不正通信定義情報で示される通信の観測数に関するパラメータである。自重みの計算では自端末での、不正通信定義情報で示される通信の観測数を用い、他重みの計算では他端末での、不正通信定義情報で示される通信の観測数の合計値を用いる。
T: 不正通信定義情報で示される通信の観測時刻に関するパラメータである。自重みの計算では自端末での、不正通信定義情報で示される通信の観測時刻を用い、他重みの計算では他端末での、不正通信定義情報で示される通信の観測時刻を用いる。複数の他端末で同じ不正通信定義情報で示される通信が観測された場合は、観測時刻が現在に近いものを計算に使用する。
M: 不正通信定義情報で示される通信が観測された端末の数に関するパラメータである。不正通信定義情報で示される通信が観測された端末の数には、不正通信定義情報で示される通信が観測された他端末の数を用いる。
図9乃至12は、アクセス制御装置21の動作を示すフローチャートであり、それぞれ独立した動作を示す。図9は、ログ送信部4乃至6から通信ログを受信した際に行われる処理の流れを示す。図10乃至12は、周期的に行われる処理の流れを示す。図9乃至12の処理を行うにあたり事前に行う処理として、業種、地域、OSなど様々な範囲で端末をグループに分け、各端末が属するグループをログ情報データベース13に登録する。図7は、各端末の属するグループを登録した際の管理対象端末情報(図5)を示す図である。
1. 観測数が多い不正通信定義情報ほど危険度が高いため、過去所定期間内の観測数が多い不正通信定義情報ほど、変数Nの値を大きくする。
2. 最近攻撃を行った不正ユーザは、再度同じ攻撃を行ってくる可能性が高いため、観測時刻が現在に近いものほど、変数Tの値を大きくする。
3. 多くの端末に対して行われている攻撃は、危険度の高い流行りの攻撃である可能性が高いため、観測端末数が多いものほど、変数Mの値を大きくする。
自端末の通信ログのみに基づいてブラックリストを作成すると、未知の攻撃に対応することができない。本実施形態にかかるアクセス制御装置21では、端末のグルーピングと重み付け方法の学習を用いる。これにより、一の端末を設定するためのブラックリストを作成する場合に、一の端末と同じグループに属する他の端末に対する攻撃も考慮することができる。すなわち、各端末に対し、各端末に対する未知の攻撃を防ぐことのできるブラックリストを作成し、配信することができる。
第3の実施形態では、ブラックリストを作成する際の構成及び動作について説明した。本実施形態では、ホワイトリストを作成する際の構成及び動作について説明する。第1及び第2の実施形態と同様の構成については、説明を省略する。
本実施形態では、端末のグルーピングと重み付け方法の学習を用いる。これにより、恣意的になりやすいホワイトリストに対して客観的なホワイトリストを作成することができる。また、例えば、一の端末と同一グループに属する他の端末においてアクセスが許可されているアプリケーションについては、当該一の端末においてもアクセスが許可される蓋然性が高い。この場合、同一グループ内の他の端末のログ情報を参考にして一の端末が保持するホワイトリストを作成することにより、流動的で利便性の高いホワイトリストを作成することができる。
4、5、6 ログ送信部
7、8、9 ブラックリスト受信部
10 ログ収集部
11 ログ解析部
12 データベース制御部
13 ログ情報データベース
14 公開ブラックリスト
15 ブラックリスト取得部
16 不正通信情報データベース
17 リスト作成部
18 重み付け部
19 リスト配信部
20 グループ
21 アクセス制御装置
22 パラメータ制御部
23 ブラックリストデータベース
24 重み付けデータベース
100 制御装置
100a プロセッサ
100b メモリ
100c ストレージ
100d 入出力インタフェース
100e 通信インタフェース
101 収集部
102 格納部
103 作成部
2000 システム
Claims (10)
- 複数の端末から、通信履歴情報を収集する収集部と、
特定の通信対象を示す特定通信定義情報が登録されている第1のリストを格納する格納部と、
前記通信履歴情報に合致する前記特定通信定義情報に、一の前記端末の通信履歴情報に基づいて導出される自重みと、他の前記端末の通信履歴情報に基づいて導出される他重みと、を設定する重み付け部と、
重み付けされた前記特定通信定義情報のうち、所定の条件を満たす一以上の特定通信定義情報が登録される前記一の端末のための前記第1のリストを作成する作成部と、
を備える制御装置。 - 前記特定通信定義情報が登録されている第2のリストを取得する取得部を備え、
前記作成部は、前記取得部が取得した前記第2のリストから、前記一の端末の通信履歴情報に合致する特定通信定義情報と、前記他の端末の通信履歴情報に合致する特定通信定義情報とを抽出して前記第1のリストを作成する、請求項1に記載の制御装置。 - 前記作成部は、前記通信履歴情報と合致する前記特定通信定義情報のうち、前記通信履歴情報との合致数が多い前記特定通信定義情報、該特定通信定義情報に合致する前記通信履歴情報が前記第2のリストの作成時刻から過去所定期間内に得られた前記特定通信定義情報、又は該特定通信定義情報に合致する前記通信履歴情報が得られた前記端末数の多い前記特定通信定義情報を優先的に抽出する、請求項2に記載の制御装置。
- 前記他の端末は、前記一の端末と同じグループに属する、請求項1乃至3のいずれか1項に記載の制御装置。
- 複数の端末から、通信履歴情報を収集する収集部と、
特定の通信対象を示す特定通信定義情報が登録されている第1のリストを格納する格納部と、
一の前記端末の通信履歴情報に合致する特定通信定義情報と、他の前記端末の通信履歴情報に合致する特定通信定義情報と、に基づいて一以上の特定通信定義情報が登録される前記一の端末のための前記第1のリストを作成する作成部と、
前記通信履歴情報に合致する前記特定通信定義情報に重み付けを設定する重み付け部と、を備え、
前記重み付け部は、前記一の端末の通信履歴情報に基づいて導出される自重みと、前記一の端末と同じグループに属する前記他の端末の前記通信履歴情報に基づいて導出される他重みと、を設定し、
前記作成部は、前記重み付けされた結果所定の条件を満たす前記特定通信定義情報に基づいて前記第1のリストを作成する、制御装置。 - 複数の端末から、通信履歴情報を収集する収集ステップと、
特定の通信対象を示す特定通信定義情報が登録されている第1のリストを格納する格納ステップと、
前記通信履歴情報に合致する前記特定通信定義情報に、一の前記端末の通信履歴情報に基づいて導出される自重みと、他の前記端末の通信履歴情報に基づいて導出される他重みと、を設定する重み付けステップと、
重み付けされた前記特定通信定義情報のうち、所定の条件を満たす一以上の特定通信定義情報が登録される前記一の端末のための前記第1のリストを作成する作成ステップと、を含む制御方法。 - 前記特定通信定義情報が登録されている第2のリストを取得する第1の取得ステップを含み、
前記作成ステップでは、前記第1の取得ステップにて取得した前記第2のリストから、前記一の端末の通信履歴情報に合致する特定通信定義情報と、前記他の端末の通信履歴情報に合致する特定通信定義情報とを抽出して前記第1のリストを作成する、請求項6に記載の制御方法。 - 前記他の端末は、前記一の端末と同じグループに属する、請求項6又は7に記載の制御方法。
- コンピュータに、
複数の端末から、通信履歴情報を収集する収集処理と、
特定の通信対象を示す特定通信定義情報が登録されている第1のリストを格納する格納処理と、
前記通信履歴情報に合致する前記特定通信定義情報に、一の前記端末の通信履歴情報に基づいて導出される自重みと、他の前記端末の通信履歴情報に基づいて導出される他重みと、を設定する重み付け処理と、
重み付けされた前記特定通信定義情報のうち、所定の条件を満たす一以上の特定通信定義情報が登録される前記一の端末のための前記第1のリストを作成する作成処理と、を実行させるプログラム。 - 前記特定通信定義情報が登録されている第2のリストを取得する第1の取得処理を実行させ、
前記作成処理では、前記第1の取得処理にて取得した前記第2のリストから、前記一の端末の通信履歴情報に合致する特定通信定義情報と、前記他の端末の通信履歴情報に合致する特定通信定義情報とを抽出して前記第1のリストを作成する、請求項9に記載のプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016069924A JP6707952B2 (ja) | 2016-03-31 | 2016-03-31 | 制御装置、制御方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016069924A JP6707952B2 (ja) | 2016-03-31 | 2016-03-31 | 制御装置、制御方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017182520A JP2017182520A (ja) | 2017-10-05 |
JP6707952B2 true JP6707952B2 (ja) | 2020-06-10 |
Family
ID=60006206
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016069924A Active JP6707952B2 (ja) | 2016-03-31 | 2016-03-31 | 制御装置、制御方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6707952B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6626039B2 (ja) * | 2017-06-13 | 2019-12-25 | 日本電信電話株式会社 | ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム |
US10904283B2 (en) * | 2018-06-19 | 2021-01-26 | AO Kaspersky Lab | System and method of countering an attack on computing devices of users |
JP7147337B2 (ja) * | 2018-07-31 | 2022-10-05 | 株式会社リコー | 通信制御システム、通信制御方法およびプログラム |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6162021B2 (ja) * | 2013-10-23 | 2017-07-12 | 日本電信電話株式会社 | 解析装置、悪性通信先登録方法及び悪性通信先登録プログラム |
CN104753862A (zh) * | 2013-12-27 | 2015-07-01 | 华为技术有限公司 | 一种提高网络安全性的方法及装置 |
JP5813810B2 (ja) * | 2014-03-19 | 2015-11-17 | 日本電信電話株式会社 | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム |
JP5719054B2 (ja) * | 2014-03-19 | 2015-05-13 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム |
-
2016
- 2016-03-31 JP JP2016069924A patent/JP6707952B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017182520A (ja) | 2017-10-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
US10581908B2 (en) | Identifying phishing websites using DOM characteristics | |
US10574695B2 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
JP6408395B2 (ja) | ブラックリストの管理方法 | |
US20230092522A1 (en) | Data packet processing method, apparatus, and electronic device, computer-readable storage medium, and computer program product | |
CN107645478B (zh) | 网络攻击防御系统、方法及装置 | |
EP3593508A1 (en) | Identifying malicious network devices | |
JP2017532649A (ja) | 機密情報処理方法、装置、及び、サーバ、ならびに、セキュリティ決定システム | |
WO2017049042A1 (en) | Identifying phishing websites using dom characteristics | |
US11316887B2 (en) | Threat mitigation system and method | |
JP6707952B2 (ja) | 制御装置、制御方法及びプログラム | |
CN113452780B (zh) | 针对客户端的访问请求处理方法、装置、设备及介质 | |
CN113676563B (zh) | 内容分发网络服务的调度方法、装置、设备及存储介质 | |
CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
CN109150848A (zh) | 一种基于Nginx的蜜罐的实现方法及系统 | |
EP3579523A1 (en) | System and method for detection of malicious interactions in a computer network | |
US20220166801A1 (en) | Threat mitigation system and method | |
CN114338064B (zh) | 识别网络流量类型的方法、装置、系统、设备和存储介质 | |
JP6294847B2 (ja) | ログ管理制御システムおよびログ管理制御方法 | |
JP2018196054A (ja) | 評価プログラム、評価方法および情報処理装置 | |
US10560473B2 (en) | Method of network monitoring and device | |
CN105468981A (zh) | 基于漏洞识别技术的插件安全扫描装置及扫描方法 | |
US20210377313A1 (en) | Threat Mitigation System and Method | |
CN104519069A (zh) | 一种拦截资源请求的方法和装置 | |
CN112702321B (zh) | 分布式交易限流方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190215 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191226 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200121 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200228 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200421 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200504 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6707952 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |