JP6740379B2 - ボットマスター発見システムおよび方法 - Google Patents
ボットマスター発見システムおよび方法 Download PDFInfo
- Publication number
- JP6740379B2 JP6740379B2 JP2018562380A JP2018562380A JP6740379B2 JP 6740379 B2 JP6740379 B2 JP 6740379B2 JP 2018562380 A JP2018562380 A JP 2018562380A JP 2018562380 A JP2018562380 A JP 2018562380A JP 6740379 B2 JP6740379 B2 JP 6740379B2
- Authority
- JP
- Japan
- Prior art keywords
- known malicious
- addresses
- botmaster
- cluster
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Description
本開示は、一般にサイバー脅威の検知、特にサイバー脅威のボットマスターの発見に関する。
連携して機能する複数のコンピューターシステムで構成されるボットネットが知られている。ボットネットは、合法の目的のために存在することもあるが、不正な目的のために用いられることが多く、ボットネットの各コンピューター資源が悪質なコードに感染している可能性がある。ボットマスターは、ボットネットの一部である他の複数のコンピューターシステムを統制するコンピューターである。攻撃された複数のコンピューターシステム群およびボットマスターを発見できることが望ましい。
本開示は、実施態様のボットマスター発見システムおよび方法に特に適用可能であり、この状況において本開示について説明する。ただし、本システムおよび方法は本開示の範囲内において他の方法で実施可能であるため、より広範な有用性を有すると理解されるであろう。
図1は、以下に述べるように、本システムおよび方法が発見しうる高次の攻撃者グループ100の例を示す図である。攻撃者グループ100は、攻撃者グループの不正行為を実行するために、1つ以上の被害者コンピューター108を統制しうる1つ以上のコマンドアンドコントロール(Command and Control:C&C)コンピューター106が受信しうる通常のインターネットプロトコル(Internet Protocol:IP)トラフィック102を受信してもよい。各被害者コンピューター108は、コンピューターシステムのユーザー/所有者に知られずに、攻撃者グループが統制しているコンピューターシステムである。攻撃者グループは、1つ以上のC&C106に結合されうる1つ以上の関連づけられたC&Cコンピューターシステム110を有してもよい。1つ以上のC&C106および1つ以上の関連づけられたC&C110は、被害者コンピューター108を統制する/感染させるように機能してもよい。
さらに、攻撃者グループ100は、各C&C106,110に結合されたマスターコンピューター104(ボットマスターと呼ばれることもある)をさらに備えてもよく、マスターコンピューター104はC&C106,110のそれぞれを統制する。以下に述べる本システムおよび方法は、以下に述べるように、さまざまなエンティティーデータソースを使用してC&C106,110のそれぞれおよびマスターコンピューター104を発見するために用いてもよい。
図2は、1つ以上のホストコンピューター206、IPアドレスを持つ1つ以上のコマンドアンドコントロールコンピューター(Command and Control computers with IP addresses:C2 IP)208、および1つ以上のドメイン/URL(Uniform Resource Locator)210を備えうるネットワークから1つ以上のボットコンピューター202およびボットマスター204を示す、ボットマスター発見プロセス200を示す図である。各ボット202は、不正なコードをダウンロードしたユーザーでありうるが、以下に述べるネットフローデータが示唆するように、ボットマスターではない。これに対して、ボットマスター204は、ボット202とは異なる、ネットフローに基づいた挙動を行うことがあり、ボットマスターでありうる。
図2に示すように、ホスト206はそれぞれ、ボット202またはボットマスター204のホストとして機能してもよい。ホスト206はそれぞれ、少なくとも1つのC2コンピューター208によって統制され、各C2コンピューターは独自のIPアドレスを持つ。C2コンピューター208はそれぞれ、図示するように、1つ以上のドメイン/URL210を有してもよい。さまざまなコンピューターシステム間の前述の構造および関係に基づいて、本システムおよび方法は、C&Cおよびボットマスター204を特定するために、要素間のネットフローを部分的に利用する。本システムを用いて、図2に示すように、本システムは、以下に述べるネットフロー特徴を用いて、IP/ドメインクラスターによりボットマスター204および関連づけられたC2 IP 208を発見してもよい。本システムは、さらに詳しく以下に述べるように、ネットフローを通じて、C2クラスターの通信パターンおよびボットマスターの候補を抽出してもよい。また、本システムは、ブラックリストデータおよびパッシブドメインネームサービス(Domain Name Service:DNS)データにより、悪質なプロキシーIP/URL(ドメイン/IPフラックス)を集めてもよい。
本システムおよび方法において、本システムおよび方法の目的は、攻撃者グループおよびボットマスターを発見することである。システムへの入力データは、ブラックリストデータ、パッシブDNSデータ、およびネットフローデータであってもよい。本システムおよび方法は、ドメイン‐IPクラスターを集め、C2クラスターパターンおよびすべてのクラスターに接続されたホストを抽出し、ボットマスターを抽出してもよい。
図3は、ボットマスター発見システムおよび装置300の実施態様を示す図である。本実施態様において、ボットマスター発見構成要素308は、サービスとしてのソフトウェア(Software as a Service:SaaS)であってもよく、ユーザーは、通信経路306を通じてボットマスター発見構成要素308に結合し、ボットマスター発見構成要素308とデータをやりとりするために、1つ以上のコンピューター装置302を用いてもよい。あるいは、ボットマスター発見構成要素308は、ネットワークセキュリティシステムに組み込まれたり、ネットワークセキュリティシステムの一部であったり、独立型のコンピューターシステムに実装されたりしてもよい。ボットマスター発見構成要素308は、システムの記憶装置310にすでに格納されたデータ、コンピューター装置302を用いてユーザーが送信したデータ、またはボットマスター発見構成要素308からリモートで格納されたデータを用いて、ボットマスター発見プロセスを実行してもよく、ユーザーに基づいたボットマスター発見結果データを返してもよい。一部の実施形態において、ボットマスター発見構成要素308は、通信経路306を通じて1つ以上のエンティティーデータソース304からデータを受信してもよい。
各コンピューター装置302は、スタティックランダムアクセスメモリー(Static Random Access Memory:SRAM)やダイナミックランダムアクセスメモリー(Dynamic Random Access Memory:DRAM)などのメモリー、フラッシュメモリーやハードディスクドライブなどの永続記憶装置、ディスプレイ、およびコンピューター装置がボットマスター発見構成要素308に結合し、ボットマスター発見構成要素308とデータをやりとりすることを可能にする通信回路(有線または無線)を備えた、プロセッサーベースの装置であってもよい。例えば、各コンピューター装置302は、Apple社のiPhone(登録商標)やアンドロイドオペレーティングシステム(Operating System:OS)ベースのデバイスなどのスマートフォンデバイス、携帯電話、パーソナルコンピューター(Personal Computer:PC)、ラップトップ型コンピューター、タブレット型コンピューター、端末装置などであってもよい。一部の実施形態において、コンピューター装置は、ボットマスター発見構成要素308との通信を容易にしうるモバイルアプリケーションまたはブラウザーアプリケーションを備えてもよい。
通信経路306は、有線通信経路、無線通信経路、または有線通信経路と無線通信経路との組み合わせであってもよい。例えば、通信経路306は、インターネット、イーサネット(登録商標)、デジタルデータネットワーク、セルラーデジタルデータネットワーク、WiFi(Wireless Fidelity)ネットワーク、ローカルエリアネットワーク(Local Area Network:LAN)、ワイドエリアネットワーク(Wide Area Network:WAN)などであってもよい。通信経路306は、ボットマスター発見構成要素308、各コンピューター装置302、およびエンティティーデータソース304とのデータのやりとりを容易にするために、既知のプロトコルまたはこれから開発されるプロトコルを用いてもよい。例えば、通信経路は、コンピューター装置302がHTML(HyperText Markup Language)形式のウェブページを使用してデータをやりとりするためにブラウザーアプリケーションを用いる場合に、既知のTCP/IP(Transmission Control Protocol/Internet Protocol)およびハイパーテキスト転送プロトコル(HyperText Transfer Protocol:HTTP)/HTTPS(HyperText Transfer Protocol Secure)プロトコルを用いてもよい。
1つ以上のエンティティーデータソース304は、ボットマスター発見構成要素308のローカルもしくはボットマスター発見構成要素308のリモートにあるか、またはこれらの組み合わせであってもよい。一般に、1つ以上のエンティティーデータソース304は、IPアドレス、ネットフローデータ、ドメイン名など、特定のコンピューターネットワークについてのデータ(総称して「ボットマスター発見データ」)を格納してもよく、ボットマスター発見構成要素308は、以下に述べるように、ボットマスター発見プロセスを実行するために、そのデータを利用してもよい。
ボットマスター発見構成要素308は、ハードウェアまたはソフトウェアに実装してもよい。ボットマスター発見構成要素308をソフトウェアに実装する場合、ボットマスター発見構成要素308は、サーバーコンピューターやブレードサーバーなど、ボットマスター発見構成要素308のホストとして機能するコンピューティング資源の1つ以上のプロセッサーが実行しうる複数行のコンピューターコード/命令であってもよく、そのため、プロセッサーは、以下に述べるように、ボットマスター発見構成要素308の動作を行うように構成される。ボットマスター発見構成要素308をハードウェアに実装する場合、ボットマスター発見構成要素308は、以下に述べるように、ボットマスター発見構成要素308の動作を行うように操作される、集積回路、ゲートアレイ、マイクロコントローラー、マイクロプロセッサーなどのハードウェア装置であってもよい。
記憶装置310は、ボットマスター発見構成要素308をソフトウェアに実装する場合のコンピューターコードまたは命令、ボットマスター発見プロセスのエンティティーデータの一部または全部、分析対象の攻撃者グループについてのその他のデータ、ユーザーデータなど、ボットマスター発見構成要素308のさまざまなデータを格納してもよい。
図4は、ボットマスター発見システムおよび装置のボットマスター発見構成要素308のさらなる詳細を示す図である。前述のボットマスター発見構成要素308の下位構成要素は、前述のように、ハードウェアまたはソフトウェアに実装してもよい。ボットマスター発見構成要素308は、以下に述べるようにドメイン‐IPクラスターを集めうるクラスタリング構成要素308A、以下に述べるようにネットフローデータを用いてC2クラスターパターンおよびすべてのクラスターに接続されたホストを抽出しうるフロー整合構成要素308B、および以下に述べるようにクラスタリングおよびフロー整合分析に基づいてボットマスターを抽出するボットマスター検知構成要素308Cを備えてもよい。
図5は、ボットマスター発見プロセス500の別の実施態様を示す図である。プロセス500は、図3〜4のシステムを用いて実施してもよいが、以下に述べるプロセスを実行できる他のシステムおよび装置を用いて実施してもよい。本方法の実施態様において、エンティティーデータソース304は、より具体的には、C2ブラックリストデータ304A(例を図6Bに示す)、DNSデータ304B(例を図6Bに示す)、DNSキャッシュデータ304C(例を図6Bに示す)、およびネットフローデータ304D(例を図6Bに示す)を備えてもよい。
本方法は、C2クラスターインテリジェンスデータ記憶装置310Aに格納されうる(例えば、図3の記憶装置310に格納されうる)1つ以上のC2ドメイン‐IPクラスターを生成するドメイン‐IPクラスタリングプロセス502を実行してもよい。ドメイン‐IPクラスタリングプロセス502は、ブラックリストデータ304A、DNSデータ304B、およびDNSキャッシュデータ304C(パッシブDNSデータ)に基づいて実行されてもよい。ブラックリストデータは、既知の悪質なシステムを含んでもよく、既知の悪質なシステムの少なくとも1つのドメインおよびIPアドレスを含んでもよい。1つ以上のC2ドメイン‐IPクラスターはそれぞれ、次の代表的なデータを含んでもよい。
・クラスターサイズ(ドメイン当たりのIPアドレス数)
・1つ以上のクラスターメンバー(各クラスターメンバーはIP、ドメインにより識別される)
・クラスタータイプ(IPフラックス、ドメインフラックス、ハイブリッド)。ドメインフラックスとは、少数のIPアドレスに対して多数のドメインを持つクラスターを意味し、IPフラックスとは、少数のドメインに対して多数のIPアドレスを持つクラスターを意味し、ハイブリッドとは、前述の混合を意味する。
・コアC2メンバー(IPアドレスおよびドメインにより識別される)
・クラスターサイズ(ドメイン当たりのIPアドレス数)
・1つ以上のクラスターメンバー(各クラスターメンバーはIP、ドメインにより識別される)
・クラスタータイプ(IPフラックス、ドメインフラックス、ハイブリッド)。ドメインフラックスとは、少数のIPアドレスに対して多数のドメインを持つクラスターを意味し、IPフラックスとは、少数のドメインに対して多数のIPアドレスを持つクラスターを意味し、ハイブリッドとは、前述の混合を意味する。
・コアC2メンバー(IPアドレスおよびドメインにより識別される)
ドメイン‐IPクラスタリングプロセス502のさらなる詳細は、以下に述べる図6A〜図6Bに示す。ある実施形態において、本プロセス502は、図4のクラスタリング構成要素308Aによって実行されてもよい。
図5に戻り、本方法は、C2クラスターインテリジェンスデータ記憶装置310Aに格納されうる(例えば、図3の記憶装置310に格納されうる)1つ以上のC2ネットワーク活動および通信パターンを生成するフロー整合分析プロセス504を実行してもよい。フロー整合分析プロセス504は、C2ドメイン‐IPクラスターデータおよびネットフローデータ304Dに基づいて実行されてもよい。
1つ以上のC2ネットワーク活動および通信パターンはそれぞれ、次の代表的なデータを含んでもよい。
・クラスター活動:感染したホスト数に基づいた時系列
・クラスター通信パターン:スター型、マルチサーバー、階層型、またはハイブリッド。これらのパターンはそれぞれ、同じ名前のネットワーク通信パターンと同じである。
・クラスター活動:感染したホスト数に基づいた時系列
・クラスター通信パターン:スター型、マルチサーバー、階層型、またはハイブリッド。これらのパターンはそれぞれ、同じ名前のネットワーク通信パターンと同じである。
フロー整合分析プロセス504のさらなる詳細は、以下に述べる図7A〜図7Bに示す。ある実施形態において、本プロセス504は、図4のフロー整合構成要素308Bによって実行されてもよい。
図5に戻り、本方法は、C2クラスターインテリジェンスデータ記憶装置310Aに格納されうる(例えば、図3の記憶装置310に格納されうる)C2ボットマスターの1つ以上のデータを生成するボットマスター検知プロセス506を実行してもよい。ボットマスター検知プロセス506は任意のプロセスであり、特定の実施形態における本方法の実施態様で実行されてもされなくてもよい。ボットマスター検知プロセス506は、C2ドメイン‐IPクラスターデータ、ならびにC2ネットワーク活動および通信パターンに基づいて実行されてもよい。ボットマスターの各データは、ネットフローデータに基づいて、より深く関与しているホストと定義されるクラスターボットマスターIPであってもよい。
ボットマスター検知プロセス506のさらなる詳細は、以下に述べる図8A〜図8Bに示す。ある実施形態において、本プロセス506は、図4のボットマスター検知構成要素308Cによって実行されてもよい。
図6A〜図6Bは、ボットマスター発見プロセスの一部であるドメイン‐IPクラスタリングプロセス502のさらなる詳細を示す図である。本開示の簡略化のために、非常に少ないデータのセットを用いて、本方法のプロセスを説明する。ただし、当然のことながら、本方法は非常に大量のデータを用いて実行してもよく、それは本開示の範囲内であると言える。本プロセスにおいて、ブラックリストの集まりが取得される(602)。その例を図6Bに示す。ブラックリストの集まりは、図6Bに示すように、既知の悪質なシステムおよびサイトのリストである。ブラックリストの集まりは、悪質なシステムおよびドメインそれぞれ(図6Bの例におけるドメイン1、ドメイン2)についてIPアドレス(図6Bの例におけるIP1、IP2)を含む。
一部の実施形態において、ブラックリストの集まりのサイズは無制限であってもよい。一部の実施形態において、ブラックリストの集まりサイズは、IPアドレスの最大サイズ、ドメインの最大サイズ、またはドメインとIPアドレスの合計の最大サイズに制限されてもよい。あるいは、ブラックリストの集まりは、算出時間制限に基づいて制限されてもよい。これにより、本システムおよび方法が制限に達すると、クラスタリングを停止し、すでに算出された結果を格納することができる。
本方法は、ある特定のIPアドレスがある特定のドメインに対応づけられているブラックリストの集まりに基づいて、DNSルックアップ(604)を実行してもよい。DNSでは、複数のIPアドレスおよびドメインがIPアドレスのペアに関連づけられているからである。図6Bに示すように、DNSルックアップは、結果として、ドメイン1がIP3に結びつけられ、ドメイン2がIP4に結びつけられてもよい。
本方法は次に、ブラックリストおよびDNSルックアップからのデータを用いて、パッシブDNS(PDNS)検索(606)を実行してもよい。図6Bに示すように、代表的なデータに基づいたパッシブDNS検索は、IPアドレスとドメイン名とのさまざまな関連づけであってもよい(図6Bに示すように、IP1<ドメイン3、IP2<ドメイン3、…、ドメイン2>IP4など)。本方法は次に、ドメイン‐IPクラスターデータ610を生成するドメイン‐IPクラスタリング608を実行してもよい。図6Bに示すように、ドメイン‐IPクラスターデータは、ドメイン/IPペアの1つ以上のクラスターであってもよい。例えば、図6Bの代表的なデータに基づいて、クラスターは、[[IP1、IP2、IP3]、[ドメイン1、ドメイン3]]および[[IP4]、ドメイン2]]であってもよい。このクラスターを、パッシブDNSの結果データに基づいて図6Bに図示している。
図7A〜図7Bは、ボットマスター発見プロセスの一部であるフロー整合分析プロセス504のさらなる詳細を示す図である。本開示の簡略化のために、非常に少ないデータのセットを用いて、本方法のプロセスを説明する。ただし、当然のことながら、本方法は非常に大量のデータを用いて実行してもよく、それは本開示の範囲内であると言える。本プロセスにおいて、宛先IPによるフロー整合プロセス(702)は、未加工のネットフローデータ304Dおよびドメイン‐IPクラスターデータ610を用いて実行されてもよい。図7Bに示すように、図6Aに示すプロセスによって生成されたIPクラスターデータは、図7Bに示すように宛先アドレスによってフロー整合を生成するために、ネットフローデータ(IP10、IP1、IP11、IP5など)と組み合わされてもよい。フロー整合は、整合したフローのフロー特徴を割り出してもよい。結果として得られる宛先アドレスによるフロー整合は、送信元IPフロー選択プロセス(704)およびフロー属性分析プロセス(706)に入力されてもよい。これらのプロセスの結果例を図7Bに示している。送信元IPフロー選択プロセス(704)の結果は選択されたフロー708であり、フロー属性分析プロセス(706)の結果はクラスター属性(710)であり、その例を図7Bに示している。
図8A〜図8Bは、ボットマスター発見プロセスの一部であるボットマスター検知プロセス506のさらなる詳細を示す図である。本開示の簡略化のために、非常に少ないデータのセットを用いて、本方法のプロセスを説明する。ただし、当然のことながら、本方法は非常に大量のデータを用いて実行してもよく、それは本開示の範囲内であると言える。本方法において、選択されたフロー708は、図8Bの例で示すような、フローから特徴の1つを抽出する特徴抽出プロセス(802)へ入力されてもよい。本方法は次に、送信元IPフロークラスタリング(804)を実行してもよく、その例をクラスタリング結果として図8Bに示している。例として、IP10、IP12、IP13、IP14、およびIP15は、同じ悪質なドメイン‐IPクラスターに接続されたホストである。例示のクラスタリング結果において、IP10およびIP12は同様のフロー特徴を持つグループを表すサブクラスター0にあり、IP14およびIP15はサブクラスター1にあるが、IP13はどのサブクラスターにも存在せず外れ値であることに留意されたい。したがって、クラスタリング結果は、他のIPアドレスから外れたIPアドレス(外れ値と呼ばれる)を検知する外れ値検知プロセス806に入力されてもよい。図8Bに示す例において、IP13は外れ値であるため、ボットマスターであると特定され、ボットマスターデータベース310Aに格納される。図9は、検知されたボットマスターを示すPOCユーザーインターフェイスを示す図である。
図8Aおよび図8Bにおいて、フロー特徴は、時間当たりのフロー数、フロー当たりのパケット数、パケット当たりのバイト数、および所望の期間にホストが接続した、特異な数の悪質なIPアドレスのそれぞれの平均および標準偏差であってもよい。
前述の内容は、説明のために、具体的な実施形態を参照して記載している。しかし、前述の説明は、包括的であること、または本開示を開示した厳密な形式に限定することを意図するものではない。前述の教示を鑑みて、多くの変更および変形が可能である。本開示の原則とその実際の適用を最良に説明し、これによって、他の当業者が、考えられる特定の利用に適したさまざまな変形を加えて本開示およびさまざまな実施形態を最良に利用することができるように、実施形態を選択し、記載した。
本明細書に開示したシステムおよび方法は、1つ以上の構成要素、システム、サーバー、機器、その他の下位構成要素を介して実施したり、かかる要素間で分散させたりしてもよい。システムとして実施する場合、かかるシステムは、とりわけ、汎用コンピューターに見られる、ソフトウェアモジュール、汎用の中央処理装置(Central Processing Unit:CPU)、ランダムアクセスメモリー(Random Access Memory:RAM)などの構成要素を備えたり、含んだりしてもよい。サーバーに新技術が存在する実施態様において、かかるサーバーは、汎用コンピューターに見られるような、CPU、RAMなどの構成要素を備えたり、含んだりしてもよい。
加えて、本明細書のシステムおよび方法は、前述のもの以外の、異質な、またはまったく異なるソフトウェア、ハードウェア、またはファームウェア構成要素を備えた実施態様によって実現してもよい。例えば、かかる他の構成要素(例えば、ソフトウェア、処理構成要素など)や、本発明に関連する、または本発明を具体化するコンピューター可読媒体に関して、本明細書の新技術の態様は、数多くの汎用または特殊用途のコンピューターシステムまたは構成と合致して実施してもよい。本明細書の新技術との利用に適したコンピューターシステム、環境、または構成のさまざまな例としては、ルーティング/接続構成要素、携帯またはラップトップ型装置、マルチプロセッサーシステム、マイクロプロセッサーベースシステム、セットトップボックス、家庭用電子機器、ネットワークPC、その他の既存のコンピュータープラットフォーム、前述のシステムまたは装置の1つ以上を備える分散コンピューティング環境など、PC、サーバー、もしくはサーバーコンピューター装置内の、またはこれらに具体化されたソフトウェアやその他の構成要素が挙げられる(ただし、これらに限定されない)。
一部の例において、本システムおよび方法の態様は、例えば、かかる構成要素または回路機構に関連して実行される、プログラムモジュールを含む、論理や論理命令によって実現または実行してもよい。一般に、プログラムモジュールには、本明細書の特定のタスクを実行する、または特定の命令を実施するルーチン、プログラム、オブジェクト、構成要素、データ構造などが含まれる。本発明はまた、回路機構が通信バス、回路機構、もしくは回線を介して接続される、分散ソフトウェア、コンピューター、または回路環境において実施してもよい。分散環境において、統制/命令は、記憶装置を含む、ローカルおよびリモートのコンピューター記憶媒体から行われてもよい。
本明細書のソフトウェア、回路機構、および構成要素は、1種類以上のコンピューター可読媒体を備えたり、利用したりしてもよい。コンピューター可読媒体は、かかる回路やコンピューター構成要素に存在する、これらに関連づけられる、またはこれらがアクセスできる、利用可能などのような媒体であってもよい。限定ではなく例として、コンピューター可読媒体は、コンピューター記憶媒体および通信媒体を含んでもよい。コンピューター記憶媒体は、コンピューター可読命令、データ構造、プログラムモジュール、またはその他のデータといった情報の格納のための、あらゆる方法または技術において実装される、揮発性および不揮発性、取り外し可能および取り外し不可能な媒体を含んでもよい。コンピューター記憶媒体としては、RAM、読み出し専用メモリー(Read-Only Memory:ROM)、電気的消去可能書き込み可能読み出し専用メモリー(Electronically Erasable and Programmable Read-Only Memory:EEPROM)、フラッシュメモリー、もしくはその他のメモリー技術、コンパクトディスク読み出し専用メモリー(Compact-Disk Read-Only Memory:CD−ROM)、デジタル多用途ディスク(Digital Versatile Disk:DVD)、もしくはその他の光学的記憶装置、磁気テープ、磁気ディスク記憶装置、もしくはその他の磁気記憶装置、または所望の情報を格納するために用いることができ、コンピューター構成要素がアクセスできるその他のあらゆる媒体が挙げられる(ただし、これらに限定されない)。通信媒体は、コンピューター可読命令、データ構造、プログラムモジュール、またはその他の構成要素を含んでもよい。さらに、通信媒体としては、有線ネットワークや直接有線接続などの有線媒体が挙げられる。ただし、本明細書に記載のいかなる種類の媒体も、一時的な媒体を含まない。前述のすべてのものの組み合わせも、コンピューター可読媒体の範囲内に含まれる。
本明細書において、構成要素、モジュール、装置などの用語は、さまざまな方法で実装されうる、あらゆる種類の論理的または機能的ソフトウェア要素、回路、ブロック、またはプロセスを指してもよい。例えば、さまざまな回路やブロックの機能を互いに組み合わせて、任意の数のモジュールを成すことができる。各モジュールは、本明細書の新技術の機能を実施するためにCPUが読み取る有形のメモリー(例えば、RAM、ROM、CD−ROMメモリー、ハードディスクドライブなど)に格納されるソフトウェアプログラムとして実装されてもよい。あるいは、モジュールは、送信搬送波により汎用コンピューターまたは処理/グラフィックスハードウェアに送信されるプログラミング命令を含むことができる。モジュールはまた、本明細書の新技術に含まれる機能を実施するハードウェア論理回路機構として実装することもできる。最後に、モジュールは、専用命令(SIMD(Single Instruction/Multiple Data)命令)、現場でプログラム可能なロジックアレイ(Field Programmable Logic Array)、または所望のレベルの性能およびコストを提供するこれらの組み合わせを用いて実装することもできる。
本明細書に開示のとおり、本開示と合致する特徴は、コンピューターハードウェア、ソフトウェア、またはファームウェアによって実施されてもよい。例えば、本明細書に開示したシステムおよび方法は、例えば、データベース、デジタル電子回路機構、ファームウェア、ソフトウェア、またはこれらの組み合わせをも備えたコンピューターなどのデータプロセッサーを含む、さまざまな形式で具体化されてもよい。さらに、開示した実施態様の一部は、特定のハードウェア構成要素について記載するが、本明細書の新技術と合致するシステムおよび方法は、ハードウェア、ソフトウェア、またはファームウェアのあらゆる組み合わせによって実施されてもよい。加えて、前述の特徴、ならびに本明細書の新技術と合致するその他の態様および原則は、さまざまな環境で実施されてもよい。かかる環境および関連するアプリケーションは、本発明によるさまざまなルーチン、プロセス、または動作を行うために、特別に構成されてもよいし、必要な機能を提供するために、選択的に作動される、またはコードによって再設定される汎用コンピューターまたはコンピュータープラットフォームを含んでもよい。本明細書に開示したプロセスは、特定のコンピューター、ネットワーク、アーキテクチャー、環境、またはその他の装置に、本質的に関連しているわけではなく、ハードウェア、ソフトウェア、またはファームウェアの適切な組み合わせによって実施されてもよい。例えば、さまざまな汎用機械を、本発明の教示に従って書かれたプログラムとともに用いてもよいし、必要な方法および技術を実行するための専用の装置またはシステムを構成するほうが便利である場合もあるだろう。
本明細書に記載した方法およびシステムの態様(論理など)は、現場でプログラム可能なゲートアレイ(Field Programmable Gate Array:FPGA)、プログラム可能アレイ論理(Programmable Array Logic:PAL)素子、電気的にプログラム可能な論理記憶素子、および標準セル装置、ならびに特定用途向け集積回路(Application Specific Integrated Circuit:ASIC)など、プログラム可能論理素子(Programmable Logic Device:PLD)を含む、さまざまな回路機構にプログラミングした機能として実施してもよい。態様を実施するその他の可能性としては、記憶素子、メモリー付きマイクロコントローラー(EEPROMなど)、組み込みマイクロプロセッサー、ファームウェア、ソフトウェアなどが挙げられる。さらに、態様は、ソフトウェアベースの回線エミュレーション、個別論理(順序および組み合わせ)、カスタム素子、ファジー(ニューラル)論理、量子素子、および前述の素子の種類のあらゆるハイブリッドを有するマイクロプロセッサーにおいて具体化されてもよい。基本となる素子技術は、例えば、相補性金属酸化膜半導体(Complementary Metal-Oxide Semiconductor:CMOS)などの金属酸化膜半導体電界効果トランジスター(Metal-Oxide Semiconductor Field-Effect Transistor:MOSFET)技術、エミッター結合論理(Emitter-Coupled Logic:ECL)などのバイポーラー技術、高分子技術(例えば、シリコン共役高分子および金属共役高分子‐金属構造)、アナログとデジタルの混合など、さまざまな構成要素の種類で提供されてもよい。
本明細書に開示したさまざまな論理や機能は、挙動、レジスタ転送、論理構成要素、その他の特性の点で、ハードウェアやファームウェアの任意の数の組み合わせを用いて、またはさまざまな機械可読またはコンピューター可読媒体において具体化されたデータや命令として可能にしてもよいことに留意されたい。かかるフォーマット済みデータや命令が具体化されうるコンピューター可読媒体としては、さまざまな形式(例えば、光学、磁気、または半導体記憶媒体)の不揮発性記憶媒体が挙げられる(ただし、これらに限定されない、また、一時的な媒体は含まない)。文脈上、明らかに他の意味に解釈すべき場合を除いて、本明細書全体において、「備える」、「含む」などの言葉は、排他的すなわち網羅的な意味ではなく、包括的な意味、すなわち、「含むが、これらに限定されない」という意味で解釈されるものとする。単数または複数を用いた言葉はそれぞれ、複数または単数も含む。加えて、「本明細書の」、「本明細書に基づき」、「前述の」、「以下に」という言葉および同様の意味を持つ言葉は、本出願全体を指し、本出願の特定の部分を指すのではない。列挙された2つ以上の要素に関して「または」という言葉が使用される場合、この言葉は、列挙された要素のいずれか、列挙された要素のすべて、および列挙された要素のあらゆる組み合わせの3つの解釈すべてを含む。
本発明の現在好ましい実施態様を本明細書に記載したが、本発明の趣旨および範囲から逸脱することなく、本明細書に提示および記載したさまざまな実施態様を変更および変形してもよいことは、本発明が属する技術分野の当業者にとって明らかであろう。したがって、本発明は、適用される法規範で定められた範囲内にのみ制限されることが意図される。
前述のシステムおよび方法は、サイバー脅威の保護および検知の別の技術分野を改良する。より具体的には、本システムおよび方法は、典型的なサイバー脅威の保護検知システムおよび方法によってこれまで行われていなかった攻撃グループのボットマスターの発見/特定が可能である。詳細には、本システムおよび方法は、ブラックリストデータ、DNSデータ、パッシブDNSデータおよびキャッシュデータ、ならびにネットフローデータを用い、攻撃グループのボットマスターを発見/特定するために、このようなデータを分析する。さらに、本システムおよび方法は、既知の悪質なエンティティーの複数のクラスターを生成する。前記既知の悪質なエンティティーは、1つ以上の既知の悪質なIPアドレス、1つ以上の既知の悪質なドメイン、ならびに1つの既知の悪質なドメインおよび1つの既知の悪質なIPアドレスである。本システムおよび方法は、複数のホストフローを特定するために、複数の送信元IPアドレスと複数の宛先IPアドレスとの間で、既知の悪質なエンティティーの各クラスターにおける各IPアドレスのフロー整合を実行する。各ホストフローは、既知の悪質なエンティティーの1つのクラスターにおける特定のIPアドレスに整合する送信元IPアドレスまたは宛先IPアドレスを有する。本システムおよび方法はまた、ボットとボットマスターとのフロー特徴の違いを分析することで、既知の悪質なエンティティーの各クラスターに対応する前記複数のホストフローから、既知の悪質なエンティティーの各クラスターのボットマスターを検知する。このように、請求項に係るシステムおよび方法は、別の技術分野を改良する。
本システムおよび方法はまた、インターネットおよびコンピューターネットワークの出現以前に存在しなかった課題を解決する。具体的には、サイバー脅威は、インターネットおよびコンピューターネットワークの出現以前には存在しなかったため、本システムおよび方法は、単に古い思想をコンピューターで実施するものではない。したがって、請求項に係る解決策は、古い課題に対する解決策ではなく、単に既知の手動による解決策をコンピューターで実施するものでもない。
さらに、本システムおよび方法は、機械(プロセッサー)で実施されるが、機械は、単に汎用コンピューターの機能を実行するものではない。より具体的には、本機械は、請求項に係る、既知の悪質なエンティティーの複数のクラスターを生成する工程を実行する。前記既知の悪質なエンティティーは、1つ以上の既知の悪質なIPアドレス、1つ以上の既知の悪質なドメイン、ならびに1つの既知の悪質なドメインおよび1つの既知の悪質なIPアドレスである。この工程は、単なる汎用コンピューターの機能ではない。同様に、本機械は、複数のホストフローを特定するために、複数の送信元IPアドレスと複数の宛先IPアドレスとの間で、既知の悪質なエンティティーの各クラスターにおける各IPアドレスのフロー整合を実行する。各ホストフローは、既知の悪質なエンティティーの1つのクラスターにおける特定のIPアドレスに整合する送信元IPアドレスまたは宛先IPアドレスを有する。この工程もまた、汎用コンピューターの機能ではない。加えて、本機械は、ボットとボットマスターとのフロー特徴の違いを分析することで、既知の悪質なエンティティーの各クラスターに対応する前記複数のホストフローから、既知の悪質なエンティティーの各クラスターのボットマスターを検知する工程を実行する。これもまた、汎用コンピューターの機能ではない。
本システムおよび方法はまた、単に抽象的な思想を技術環境に一般的に結びつけるだけではない、意味のある要素を追加する。より具体的には、本システムおよび方法は、既知の悪質なエンティティーの複数のクラスターを生成する工程を記載する。前記既知の悪質なエンティティーは、1つ以上の既知の悪質なIPアドレス、1つ以上の既知の悪質なドメイン、ならびに1つの既知の悪質なドメインおよび1つの既知の悪質なIPアドレスである。この工程は、単に抽象的な思想を技術環境に一般的に結びつけるだけではない。さらに、特許請求の範囲は、複数のホストフローを特定するために、複数の送信元IPアドレスと複数の宛先IPアドレスとの間で、既知の悪質なエンティティーの各クラスターにおける各IPアドレスのフロー整合を実行する工程を記載する。各ホストフローは、既知の悪質なエンティティーの1つのクラスターにおける特定のIPアドレスに整合する送信元IPアドレスまたは宛先IPアドレスを有する。この工程は、単に抽象的な思想を技術環境に一般的に結びつけるだけではない。さらに、特許請求の範囲は、ボットとボットマスターとのフロー特徴の違いを分析することで、既知の悪質なエンティティーの各クラスターに対応する前記複数のホストフローから、既知の悪質なエンティティーの各クラスターのボットマスターを検知する工程を記載する。この工程は、単に抽象的な思想を技術環境に一般的に結びつけるだけではない。
前述の内容は本開示の特定の実施形態を参照しているが、添付した特許請求の範囲にその範囲を定める本開示の原則および趣旨から逸脱することなく、本実施形態に変更を加えてもよいと当業者によって理解されるであろう。
Claims (5)
- プロセッサーと、
メモリーと
を備える装置と、
複数のサーバーと、
複数のホストと、を備えるボットマスター発見システムであって、
前記プロセッサーは、複数行のコンピューターコードを実行し、前記複数行のコンピューターコードの実行により、前記プロセッサーは、複数の既知の悪質なドメインを持つネットワーク上で次のプロセスを実行するように構成され、前記複数のサーバーはそれぞれ、各サーバーが1つ以上の複数のドメインに関連づけられた既知の悪質なインターネットプロトコル(Internet Protocol:IP)アドレスを持ち、前記複数のホストは、前記複数のサーバーの1つ以上に関連づけられ、ホストは、感染したホストで、サイバー犯罪目的の資源の一部として関与するボットと、サイバー犯罪目的のボットを含むボットマスターのいずれか一方であり、前記プロセスは、
既知の悪質なエンティティーの複数のクラスターを生成する工程と、
複数のホストフローを特定するために、複数の送信元IPアドレスと複数の宛先IPアドレスとの間で、前記生成する工程にて生成された、前記既知の悪質なエンティティーの各クラスターにおける各IPアドレスのフロー整合を実行する工程と、
ボットとボットマスターとのフロー特徴の違いを分析することで、既知の悪質なエンティティーの各クラスターに対応する前記複数のホストフローから、既知の悪質なエンティティーの各クラスターの前記ボットマスターを検知する工程と
をさらに含み、
前記既知の悪質なエンティティーは、1つ以上の既知の悪質なIPアドレス、1つ以上の前記既知の悪質なドメイン、ならびに1つの既知の悪質なドメインおよび1つの既知の悪質なIPアドレスであり、
各ホストフローは、既知の悪質なエンティティーの1つのクラスターにおける特定のIPアドレスに整合する送信元IPアドレスまたは宛先IPアドレスを有し、
前記フロー整合を実行する工程は、同様のフロー特徴を持つボットであるホストを集め、他の同様のボットとは異なるフロー特徴を持つ少数ホストを検知するために、フロー特徴を割り出すように構成され、未加工のネットフローデータおよびドメイン−IPクラスターデータを用いて、生成された前記ドメイン−IPクラスターデータを、前記ネットフローデータと組み合わせ、宛先IPによるフロー整合を実行するものであり、
前記ボットマスターを検知する工程は、時間当たりのフロー数、フロー当たりのパケット数、パケット当たりのバイト数、および所望の期間にホストが接続した、特異な数の悪質なIPアドレスのそれぞれの平均と標準偏差を算出して、フロー特徴を割り出すように構成され、送信元IPフローのフロー特徴をクラスタリングし、他のIPアドレスから外れたIPアドレスをボットマスターであると特定するものである、ボットマスター発見システム。 - 前記プロセッサーは、既知の悪質なエンティティーの複数のクラスターを生成するように構成され、前記プロセッサーはさらに、複数の既知の悪質なIPアドレスおよび複数の既知の悪質なドメインを持つブラックリスト、ならびに特定のドメインを特定のIPアドレスに対応づけるドメインネームサービスのデータセットを用いて、前記既知の悪質なエンティティーの複数のクラスターを集めるように構成される、請求項1に記載のボットマスター発見システム。
- 前記プロセッサーに接続された1つ以上の記憶装置をさらに備え、前記1つ以上の記憶装置は、複数の既知の悪質なIPアドレスおよび複数の既知の悪質なドメインを持つブラックリスト、特定のドメインを特定のIPアドレスに対応づけるドメインネームサービスのデータセット、ならびにデジタルデータの通信に用いられる、宛先/送信元IPアドレスに結びつけられた送信元/宛先IPアドレスを含むネットフローのデータセットを格納する、請求項1に記載のボットマスター発見システム。
- 複数の既知の悪質なドメインを持つネットワーク上において、
既知の悪質なエンティティーの複数のクラスターを生成する工程と、
複数のホストフローを特定するために、複数の送信元IPアドレスと複数の宛先IPアドレスとの間で、前記生成する工程にて生成された、前記既知の悪質なエンティティーの各クラスターにおける各IPアドレスのフロー整合を実行する工程と、
ボットとボットマスターとのフロー特徴の違いを分析することで、既知の悪質なエンティティーの各クラスターに対応する前記複数のホストフローから、既知の悪質なエンティティーの各クラスターの前記ボットマスターを検知する工程と
を含み、
複数のサーバーはそれぞれ、各サーバーが複数のドメインの1つ以上に関連づけられた既知の悪質なインターネットプロトコル(Internet Protocol:IP)アドレスを持ち、複数のホストは、1つ以上の前記複数のサーバーに関連づけられ、ホストは、感染したホストで、サイバー犯罪目的の資源の一部として関与するボットと、サイバー犯罪目的のボットを含むボットマスターのいずれか一方であり、
前記既知の悪質なエンティティーは、1つ以上の既知の悪質なIPアドレス、1つ以上の前記既知の悪質なドメイン、ならびに1つの既知の悪質なドメインおよび1つの既知の悪質なIPアドレスであり、
各ホストフローは、既知の悪質なエンティティーの1つのクラスターにおいて特定のIPアドレスに整合する送信元IPアドレスまたは宛先IPアドレスを有し、
前記フロー整合を実行する工程は、同様のフロー特徴を持つボットであるホストを集め、他の同様のボットとは異なるフロー特徴を持つ少数ホストを検知するために、フロー特徴を割り出すように構成され、未加工のネットフローデータおよびドメイン−IPクラスターデータを用いて、生成された前記ドメイン−IPクラスターデータを、前記ネットフローデータと組み合わせ、宛先IPによるフロー整合を実行するものであり、
前記ボットマスターを検知する工程は、時間当たりのフロー数、フロー当たりのパケット数、パケット当たりのバイト数、および所望の期間にホストが接続した、特異な数の悪質なIPアドレスのそれぞれの平均と標準偏差を算出して、フロー特徴を割り出すように構成され、送信元IPフローのフロー特徴をクラスタリングし、他のIPアドレスから外れたIPアドレスをボットマスターであると特定するものである、方法。 - 前記複数のクラスターを生成する工程は、複数の既知の悪質なIPアドレスおよび複数の既知の悪質なドメインを持つブラックリスト、ならびに特定のドメインを特定のIPアドレスに対応づけるドメインネームサービスのデータセットを用いて、前記既知の悪質なエンティティーの複数のクラスターを集める工程をさらに含む、請求項4に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/191,330 | 2016-06-23 | ||
| US15/191,330 US10652270B1 (en) | 2016-06-23 | 2016-06-23 | Botmaster discovery system and method |
| PCT/JP2017/024062 WO2017222082A1 (en) | 2016-06-23 | 2017-06-23 | Botmaster discovery system and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019522920A JP2019522920A (ja) | 2019-08-15 |
| JP6740379B2 true JP6740379B2 (ja) | 2020-08-12 |
Family
ID=60784190
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018562380A Active JP6740379B2 (ja) | 2016-06-23 | 2017-06-23 | ボットマスター発見システムおよび方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10652270B1 (ja) |
| EP (1) | EP3453147B1 (ja) |
| JP (1) | JP6740379B2 (ja) |
| CN (1) | CN109314664B (ja) |
| WO (1) | WO2017222082A1 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018053511A1 (en) | 2016-09-19 | 2018-03-22 | Ntt Innovation Institute, Inc. | Threat scoring system and method |
| US11757857B2 (en) | 2017-01-23 | 2023-09-12 | Ntt Research, Inc. | Digital credential issuing system and method |
| CN109510808A (zh) * | 2017-12-29 | 2019-03-22 | 北京安天网络安全技术有限公司 | 自动化放马站点探测方法、系统及存储介质 |
| JP7120049B2 (ja) * | 2019-01-25 | 2022-08-17 | 富士通株式会社 | サイバー攻撃評価プログラム、サイバー攻撃評価方法および情報処理装置 |
| US11627147B2 (en) * | 2019-05-17 | 2023-04-11 | Charter Communications Operating, Llc | Botnet detection and mitigation |
| CN112583827B (zh) * | 2020-12-11 | 2023-06-13 | 北京天融信网络安全技术有限公司 | 一种数据泄露检测方法及装置 |
| CN114640508B (zh) * | 2022-02-28 | 2023-10-31 | 天翼安全科技有限公司 | 网络反欺诈的方法及装置 |
Family Cites Families (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020052858A1 (en) | 1999-10-31 | 2002-05-02 | Insyst Ltd. | Method and tool for data mining in automatic decision making systems |
| US20020138492A1 (en) | 2001-03-07 | 2002-09-26 | David Kil | Data mining application with improved data mining algorithm selection |
| US7487544B2 (en) | 2001-07-30 | 2009-02-03 | The Trustees Of Columbia University In The City Of New York | System and methods for detection of new malicious executables |
| US7441116B2 (en) | 2002-12-30 | 2008-10-21 | International Business Machines Corporation | Secure resource distribution through encrypted pointers |
| US8718057B1 (en) | 2004-01-20 | 2014-05-06 | Nortel Networks Limited | Ethernet LAN service enhancements |
| US8037535B2 (en) | 2004-08-13 | 2011-10-11 | Georgetown University | System and method for detecting malicious executable code |
| FR2876526A1 (fr) | 2004-10-08 | 2006-04-14 | France Telecom | Procede et dispositif de controle d'admission a un service a qualite de service garantie dans un reseau mpls |
| US7912698B2 (en) | 2005-08-26 | 2011-03-22 | Alexander Statnikov | Method and system for automated supervised data analysis |
| US7890612B2 (en) * | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
| US8135718B1 (en) | 2007-02-16 | 2012-03-13 | Google Inc. | Collaborative filtering |
| US8064882B2 (en) * | 2007-03-09 | 2011-11-22 | Cisco Technology, Inc. | Blacklisting of unlicensed mobile access (UMA) users via AAA policy database |
| US8452015B2 (en) | 2007-05-10 | 2013-05-28 | Computer Associates Think, Inc. | Propagating keys from servers to clients |
| US7884727B2 (en) | 2007-05-24 | 2011-02-08 | Bao Tran | Wireless occupancy and day-light sensing |
| WO2008155718A2 (en) | 2007-06-20 | 2008-12-24 | Koninklijke Philips Electronics N.V. | Detecting haemorrhagic stroke in ct image data |
| US8014316B2 (en) | 2007-10-17 | 2011-09-06 | Verizon Patent And Licensing Inc. | System, method and computer-readable storage medium for calculating addressing and bandwidth requirements of a network |
| US20100007489A1 (en) | 2008-07-10 | 2010-01-14 | Janardan Misra | Adaptive learning for enterprise threat managment |
| US8242892B2 (en) | 2009-02-12 | 2012-08-14 | International Business Machines Corporation | System, method and program product for communicating a privacy policy associated with a radio frequency identification tag and associated object |
| CN101800746B (zh) * | 2010-02-04 | 2013-12-04 | 成都市华为赛门铁克科技有限公司 | 检测僵尸网络中控制主机域名的方法、装置和系统 |
| US8762298B1 (en) * | 2011-01-05 | 2014-06-24 | Narus, Inc. | Machine learning based botnet detection using real-time connectivity graph based traffic features |
| US8578493B1 (en) * | 2011-05-10 | 2013-11-05 | Narus, Inc. | Botnet beacon detection |
| US8555388B1 (en) * | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
| US10742591B2 (en) * | 2011-07-06 | 2020-08-11 | Akamai Technologies Inc. | System for domain reputation scoring |
| US8726379B1 (en) * | 2011-07-15 | 2014-05-13 | Norse Corporation | Systems and methods for dynamic protection from electronic attacks |
| US9094288B1 (en) * | 2011-10-26 | 2015-07-28 | Narus, Inc. | Automated discovery, attribution, analysis, and risk assessment of security threats |
| JP5484427B2 (ja) | 2011-10-27 | 2014-05-07 | 株式会社日立製作所 | ネットワークシステムの管理方法、ネットワークシステム及び管理サーバ |
| US8418249B1 (en) * | 2011-11-10 | 2013-04-09 | Narus, Inc. | Class discovery for automated discovery, attribution, analysis, and risk assessment of security threats |
| US8745737B2 (en) | 2011-12-29 | 2014-06-03 | Verisign, Inc | Systems and methods for detecting similarities in network traffic |
| US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
| US20140122370A1 (en) | 2012-10-30 | 2014-05-01 | Hewlett-Packard Development Company, L.P. | Systems and methods for model selection |
| US8898471B2 (en) | 2012-11-13 | 2014-11-25 | Unsene, Inc. | Method and system for generating a secure message as a URL message |
| US20140157405A1 (en) * | 2012-12-04 | 2014-06-05 | Bill Joll | Cyber Behavior Analysis and Detection Method, System and Architecture |
| US9847915B2 (en) | 2013-01-11 | 2017-12-19 | Huawei Technologies Co., Ltd. | Network function virtualization for a network device |
| US9973375B2 (en) | 2013-04-22 | 2018-05-15 | Cisco Technology, Inc. | App store portal providing point-and-click deployment of third-party virtualized network functions |
| US9195826B1 (en) * | 2013-05-30 | 2015-11-24 | Emc Corporation | Graph-based method to detect malware command-and-control infrastructure |
| EP2849064B1 (en) | 2013-09-13 | 2016-12-14 | NTT DOCOMO, Inc. | Method and apparatus for network virtualization |
| US20150227964A1 (en) | 2014-02-11 | 2015-08-13 | Adobe Systems Incorporated | Revenue Estimation through Ensemble Modeling |
| US9338181B1 (en) * | 2014-03-05 | 2016-05-10 | Netflix, Inc. | Network security system with remediation based on value of attacked assets |
| US9948493B2 (en) | 2014-04-03 | 2018-04-17 | Centurylink Intellectual Property Llc | Network functions virtualization interconnection gateway |
| US20150317169A1 (en) | 2014-05-04 | 2015-11-05 | Midfin Systems Inc. | Constructing and operating high-performance unified compute infrastructure across geo-distributed datacenters |
| US10348825B2 (en) | 2014-05-07 | 2019-07-09 | Verizon Patent And Licensing Inc. | Network platform-as-a-service for creating and inserting virtual network functions into a service provider network |
| US20150332351A1 (en) | 2014-05-16 | 2015-11-19 | Centurylink Intellectual Property Llc | System and Method for Service Provider Cloud Services - Cloud Marketplace |
| CN106464540B (zh) | 2014-06-26 | 2019-11-19 | 华为技术有限公司 | 虚拟网络功能策略管理的系统与方法 |
| US20160006642A1 (en) | 2014-07-07 | 2016-01-07 | National Tsing Hua University | Network-wide service controller |
| US9781055B2 (en) | 2014-08-18 | 2017-10-03 | Cisco Technology, Inc. | Dynamic cascaded clustering for dynamic VNF |
| US9800673B2 (en) | 2014-08-20 | 2017-10-24 | At&T Intellectual Property I, L.P. | Service compiler component and service controller for open systems interconnection layer 4 through layer 7 services in a cloud computing system |
| US10783254B2 (en) | 2014-10-02 | 2020-09-22 | Massachusetts Institute Of Technology | Systems and methods for risk rating framework for mobile applications |
| CN105681250B (zh) * | 2014-11-17 | 2019-04-02 | 中国信息安全测评中心 | 一种僵尸网络分布式实时检测方法和系统 |
| US20160364553A1 (en) | 2015-06-09 | 2016-12-15 | Intel Corporation | System, Apparatus And Method For Providing Protected Content In An Internet Of Things (IOT) Network |
-
2016
- 2016-06-23 US US15/191,330 patent/US10652270B1/en active Active
-
2017
- 2017-06-23 EP EP17815547.9A patent/EP3453147B1/en active Active
- 2017-06-23 JP JP2018562380A patent/JP6740379B2/ja active Active
- 2017-06-23 CN CN201780038407.5A patent/CN109314664B/zh active Active
- 2017-06-23 WO PCT/JP2017/024062 patent/WO2017222082A1/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| EP3453147B1 (en) | 2021-04-14 |
| EP3453147A4 (en) | 2019-10-30 |
| EP3453147A1 (en) | 2019-03-13 |
| CN109314664B (zh) | 2021-07-06 |
| CN109314664A (zh) | 2019-02-05 |
| WO2017222082A1 (en) | 2017-12-28 |
| JP2019522920A (ja) | 2019-08-15 |
| US10652270B1 (en) | 2020-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6740379B2 (ja) | ボットマスター発見システムおよび方法 | |
| Perdisci et al. | Iotfinder: Efficient large-scale identification of iot devices via passive dns traffic analysis | |
| Moustafa | A new distributed architecture for evaluating AI-based security systems at the edge: Network TON_IoT datasets | |
| KR102387725B1 (ko) | 멀웨어 호스트 넷플로우 분석 시스템 및 방법 | |
| Perumal et al. | Internet of Things (IoT) digital forensic investigation model: Top-down forensic approach methodology | |
| US10462159B2 (en) | Botnet detection system and method | |
| CN106489258B (zh) | 使用信息中心网络链接到内容 | |
| EP2823624B1 (en) | Method and apparatus for identifying an application associated with an ip flow using dns data | |
| WO2017107780A1 (zh) | 一种识别计费欺诈的非法代理的方法、设备及系统 | |
| US10666672B2 (en) | Collecting domain name system traffic | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| US10044736B1 (en) | Methods and apparatus for identifying and characterizing computer network infrastructure involved in malicious activity | |
| WO2016190868A1 (en) | Processing network data using a graph data structure | |
| JP7045050B2 (ja) | 通信監視システム及び通信監視方法 | |
| Papadogiannaki et al. | Otter: A scalable high-resolution encrypted traffic identification engine | |
| Al-kasassbeh et al. | Winning tactics with DNS tunnelling | |
| Sochor et al. | Attractiveness study of honeypots and honeynets in internet threat detection | |
| Anumol | Use of machine learning algorithms with SIEM for attack prediction | |
| US10374946B2 (en) | Centralized wireless network management system | |
| CN112887333A (zh) | 一种异常设备检测方法、装置、电子设备及可读存储介质 | |
| CN112839054A (zh) | 一种网络攻击检测方法、装置、设备及介质 | |
| Leita et al. | HARMUR: Storing and analyzing historic data on malicious domains | |
| Hamon | Android botnets for multi-targeted attacks | |
| TWI634769B (zh) | Method for detecting domain name transformation botnet through proxy server log | |
| Schales et al. | Scalable analytics to detect DNS misuse for establishing stealthy communication channels |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20181130 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181128 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200114 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200313 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200519 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200713 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200721 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200722 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6740379 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |