JP6749873B2 - 検知装置、検知方法、および、検知プログラム - Google Patents
検知装置、検知方法、および、検知プログラム Download PDFInfo
- Publication number
- JP6749873B2 JP6749873B2 JP2017168607A JP2017168607A JP6749873B2 JP 6749873 B2 JP6749873 B2 JP 6749873B2 JP 2017168607 A JP2017168607 A JP 2017168607A JP 2017168607 A JP2017168607 A JP 2017168607A JP 6749873 B2 JP6749873 B2 JP 6749873B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- server
- client device
- feature amount
- candidate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、検知装置、検知方法、および、検知プログラムに関する。
従来、ネットワークフロー情報に教師あり学習を適用し、マルウェアに感染したクライアント装置を制御する司令塔サーバ(悪性サーバ)の分類と検知を行う技術がある。
DISCLOSURE: Detecting Botnet Command and Control Servers Through Large-Scale NetFlow Analysis、[平成29年8月21日検索]、インターネット<URL:http://www.syssec-project.eu/m/page-media/3/bilge-acsac12.pdf>
しかし、上記の技術において、各サーバにアクセスするクライアントがマルウェア感染ボットか、正規な情報収集用クローラーかを区別できず、悪性サーバの検知精度が低いという問題があった。そこで、本発明は、前記した問題を解決し、マルウェアに感染したクライアント装置を制御する悪性サーバの検知精度を向上させることを課題とする。
前記した課題を解決するため、本発明は、マルウェアに感染したクライアント装置を制御する悪性サーバを検知する検知装置であって、悪性サーバおよび非悪性サーバそれぞれに対する各クライアント装置との通信の特徴を示したモデルを記憶する記憶部と、悪性サーバの候補と各クライアント装置との通信情報の入力を受け付ける入力部と、前記悪性サーバの候補と各クライアント装置との通信情報から、前記悪性サーバの候補に対する、各クライアント装置との通信時間の特徴量、前記各クライアント装置の設置される物理空間の特徴量、および、前記各クライアント装置の属するネットワーク空間の特徴量の少なくともいずれかを含む通信特徴量を生成する特徴量生成部と、前記生成された前記悪性サーバの候補に対する前記通信特徴量と、前記モデルとを用いて、前記悪性サーバの候補が悪性サーバか否かを判定する判定部と、を備えることを特徴とする。
本発明によれば、マルウェアに感染したクライアント装置を制御する悪性サーバの検知精度を向上させることできる。
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。本発明は、本実施形態に限定されない。まず、図1および図2を用いて、本実施形態の検知装置10(図3参照)の概要を説明する。なお、以下の説明において、悪性サーバとは、マルウェアに感染したクライアント群を制御するサーバ(司令塔サーバ)であるものとする。
[概要]
検知装置10は、サーバ1(例えば、悪性サーバ候補)と、クライアント(クライアント装置)2との通信情報を取得する。この通信情報は、例えば、フロー情報であり、フローの宛先の通信装置(例えば、サーバ1)のIPアドレス(DstIP)、フローの送信元の通信装置(例えば、クライアント2)のIPアドレス(SrcIP)、タイムスタンプ(世界標準時刻)の値等を含む。なお、検知装置10は、悪性サーバ候補のサーバ1が複数あれば、それぞれのサーバ1について通信情報を取得する。
検知装置10は、サーバ1(例えば、悪性サーバ候補)と、クライアント(クライアント装置)2との通信情報を取得する。この通信情報は、例えば、フロー情報であり、フローの宛先の通信装置(例えば、サーバ1)のIPアドレス(DstIP)、フローの送信元の通信装置(例えば、クライアント2)のIPアドレス(SrcIP)、タイムスタンプ(世界標準時刻)の値等を含む。なお、検知装置10は、悪性サーバ候補のサーバ1が複数あれば、それぞれのサーバ1について通信情報を取得する。
例えば、検知装置10が、悪性サーバ候補のサーバ1(DstIP「B.B.B.Y」)に対し、図2の左に示す通信情報を得た場合を考える。
この場合、検知装置10は、上記の通信情報に基づき、悪性サーバ候補のサーバ1(DstIP「B.B.B.Y」)に対する各クライアント2の通信特徴量として、(1)悪性サーバ候補のサーバ1(DstIP「B.B.B.Y」)との通信を行う各クライアント2の設置される物理空間(地理的分布)の特徴量を用いる。(2)各クライアント2の通信時間(通信時間の分布)の特徴量、(3)各クライアント2の属するネットワーク空間(ネットワーク空間の分布)の特徴量を求める。また、上記の各特徴量は、例えば、各値の平均、標準偏差、最大、最少等、各種統計を用いる。
なお、検知装置10は、(1)各クライアント2の設置される物理空間(地理的分布)の特徴量を求める際、各クライアント2の設置場所は、例えば、各クライアント2のSrcIPに対し、Geolocation lookupにより特定可能である。
また、検知装置10は、(2)各クライアント2の通信時間(通信時間の分布)の特徴量を求める際、各クライアント2の通信時刻として、例えば、各クライアント2におけるローカルタイムでの通信時刻を用いる。これにより、検知装置10は、悪性サーバからの制御を受けたクライアント2が、当該クライアント2におけるローカルタイムで何時ごろに当該悪性サーバとの通信を実行しているかを通信時間の特徴量として用いることができる。
さらに、検知装置10は、(3)各クライアント2の属するネットワーク空間の特徴量を求める際、各クライアント2の属するネットワーク空間として、例えば、各クライアント2に割り当てられたIPアドレスのネットワークアドレスを用いる。この場合、検知装置10は、例えば、ネットワークアドレスブロックごとに、当該ネットワークアドレスブロックに属し、悪性サーバ候補のサーバ1(DstIP「B.B.B.Y」)との通信を行うクライアント2の数(#of SrcIP)を算出する。これにより、検知装置10は、悪性サーバからの制御を受けた各クライアント2のネットワークアドレスブロックごとの数の分布を特徴量として用いることができる。
検知装置10は、上記の特徴量からなる、悪性サーバ候補のサーバ1に対する各クライアント2の通信特徴量と、事前に機械学習により作成したモデル14(詳細は後記)とを用いて、当該サーバ1が悪性サーバか否かを判定する。検知装置10が、このような判定処理を悪性サーバ候補のサーバ1それぞれに対し実行することにより、悪性サーバの検知を行うことができる。
上記のとおり、検知装置10は、悪性サーバ候補のサーバ1について、当該サーバ1との通信を行う(1)各クライアント2の設置される物理空間(地理的分布)の特徴量、(2)各クライアント2の通信時間(通信時間の分布)の特徴量、(3)各クライアント2のネットワーク空間(ネットワーク空間の分布)の特徴量を用いて、当該サーバ1が悪性サーバか否かを判定する。これにより、検知装置10は、当該サーバ1がマルウェアに感染したクライアント群を制御する悪性サーバか否かを精度よく判定することができる。
なお、検知装置10は、サーバ1に対する各クライアント2の通信特徴量を求める際、上記の(1)〜(3)の特徴量すべてを用いてもよいし、(1)〜(3)の特徴量のうちいずれかを用いてもよい。上記の(1)〜(3)の特徴量の詳細については後記する。
[構成]
次に、図3を用いて、検知装置10の構成を説明する。検知装置10は、入力部11と、特徴量生成部12と、学習部13と、モデル14と、判定部15と、出力部16とを備える。
次に、図3を用いて、検知装置10の構成を説明する。検知装置10は、入力部11と、特徴量生成部12と、学習部13と、モデル14と、判定部15と、出力部16とを備える。
入力部11は、ネットワークにおけるサーバ1と各クライアント2との通信情報の入力を受け付ける。
特徴量生成部12は、サーバ1と各クライアント2との通信情報から、サーバ1の通信特徴量を生成する。この通信特徴量は、当該サーバ1に対する、各クライアント2との通信時間の特徴量、各クライアント2の物理空間の特徴量、および、各クライアント2のネットワーク空間の特徴量の少なくともいずれかを含む。
例えば、特徴量生成部12は、悪性サーバと各クライアント2との通信情報から悪性サーバの通信特徴量を生成し、非悪性サーバと各クライアント2との通信情報から非悪性サーバのサーバ1の通信特徴量を生成する。そして、特徴量生成部12は、上記の通信特徴量に、当該通信特徴量が悪性サーバに関するものか非悪性サーバに関するものかを示すラベル値を付与して学習部13へ出力する。
学習部13は、特徴量生成部12から出力された、悪性サーバの通信特徴量と非悪性サーバの通信特徴量とを用いて機械学習を行う。そして、学習部13は、上記の機械学習の結果を用いて、悪性サーバおよび非悪性サーバそれぞれに対する通信特徴量を示したモデル14を生成する。生成されたモデル14は、検知装置10の記憶部(図示省略)の所定領域に記憶される。
また、特徴量生成部12は、悪性サーバ候補のサーバ1についても、当該サーバ1と各クライアント2との通信情報から、当該サーバ1の通信特徴量を生成し、判定部15に出力する。
判定部15は、モデル14と、特徴量生成部12から出力された悪性サーバ候補のサーバ1の通信特徴量とを参照して、当該サーバ1が悪性サーバか否かを判定する。
出力部16は、判定部15により悪性サーバと判定されたサーバ1の識別情報(例えば、IPアドレス)を出力する。
[物理空間の特徴量]
ここで、図2に戻って、特徴量生成部12における、サーバ1に対する、各クライアント2の設置される物理空間の特徴量について詳細に説明する。
ここで、図2に戻って、特徴量生成部12における、サーバ1に対する、各クライアント2の設置される物理空間の特徴量について詳細に説明する。
例えば、特徴量生成部12は、通信情報を参照して、サーバ1(DstIP「B.B.B.Y」)に対する各クライアント2のSrcIPに対し、Geolocation lookupを実行することにより、各クライアント2の設置場所を求める。そして、特徴量生成部12は、各クライアント2の設置場所から、各クライアント2の地理的な分布を求める。
例えば、特徴量生成部12は、図2の右上に示すように、サーバ1(DstIP「B.B.B.Y」)に対し、通信を行ったクライアント2を地図上にマッピングする。例えば、特徴量生成部12は、例えば、地図をいくつかの領域に区切り、領域ごとに、サーバ1(DstIP「B.B.B.Y」)に対し通信を行ったクライアント2の数をプロットする。ここでのプロット結果は、例えば、行列により表される。そして、特徴量生成部12は、当該行列を、サーバ1(DstIP「B.B.B.Y」)に対する、各クライアント2の物理空間の特徴量とする。
このようにすることで、特徴量生成部12は、サーバ1に対する、各クライアント2の地理的な分布を特徴量として得ることができる。
[通信時間の特徴量]
次に、図4を用いて、特徴量生成部12における、サーバ1に対する、各クライアント2との通信時間の特徴量について詳細に説明する。ここでは、特徴量生成部12が、通信情報(符号401)に示すように、サーバ1(DstIP「B.B.B.Y」)に対するクライアント2(SrcIP「A.A.A.X」、SrcIP「C.C.C.Z」)の通信時刻が、世界標準時刻である場合を例に説明する。
次に、図4を用いて、特徴量生成部12における、サーバ1に対する、各クライアント2との通信時間の特徴量について詳細に説明する。ここでは、特徴量生成部12が、通信情報(符号401)に示すように、サーバ1(DstIP「B.B.B.Y」)に対するクライアント2(SrcIP「A.A.A.X」、SrcIP「C.C.C.Z」)の通信時刻が、世界標準時刻である場合を例に説明する。
この場合、特徴量生成部12は、通信情報(符号401)に示される各クライアント2のSrcIP(SrcIP「A.A.A.X」、SrcIP「C.C.C.Z」)に対するGeolocation lookupにより、各クライアント2の設置場所を特定する。そして、特定した各クライアント2の設置場所に基づき、各クライアント2の通信時刻を世界標準時刻からローカルタイムに変換する。
つまり、特徴量生成部12は、符号402に示すように、SrcIP「A.A.A.X」のクライアント2の世界標準時刻での通信時刻「11:00:00」を、当該クライアント2のローカルタイムでの通信時刻「2:00:00」に変換し、SrcIP「C.C.C.Z」のクライアント2の世界標準時刻での通信時刻「15:00:00」を、当該クライアント2のローカルタイムでの通信時刻「22:00:00」に変換する。
そして、特徴量生成部12は、サーバ1(「B.B.B.Y」)に対する各クライアント2のローカルタイムでの通信時刻から、当該サーバ1(「B.B.B.Y」)の通信時間の特徴量を得る。
例えば、特徴量生成部12は、サーバ1(「B.B.B.Y」)に対するSrcIP「A.A.A.X」のクライアント2からのローカルタイムでの時刻ごとのアクセス数(符号403)と、SrcIP「C.C.C.Z」のクライアント2からのローカルタイムでの時刻ごとのアクセス数(符号404)とを合わせた情報(符号405)を、サーバ1に対する、各クライアント2との通信時間の特徴量とする。特徴量生成部12は、例えば、以下のようにして通信時間の特徴量を生成する。すなわち、特徴量生成部12は、所定の時間間隔、例えば、三時間単位で、ローカルタイムの時間ブロックを生成し、クライアント2ごとの該当時間ブロックにアクセスした数を集計し、時間ブロック行列を生成する。例えば、あるクライアント2は「00:00:00」-「02:59:59」の間のみにアクセスが1回あった場合、[1,0,0,0,0,0]として時間ブロック行列を生成する。そして、特徴量生成部12は、同一サーバにアクセスした複数のクライアント2の時間ブロック行列に対して、カラムごとの平均値を求めて、通信時間の特徴量とする。
このようにすることで、特徴量生成部12は、サーバ1に対する、各クライアント2のローカルタイムでの通信時間の分布を特徴量として得ることができる。
[ネットワーク空間の特徴量]
次に、図5を用いて、特徴量生成部12における、サーバ1に対する、各クライアント2のネットワーク空間の特徴量を詳細に説明する。例えば、特徴量生成部12は、通信情報(符号501)を参照して、サーバ1(DstIP「B.B.B.Y」)に対するクライアント2のSrcIPの属するネットワーク空間ごと、当該ネットワーク空間に属するクライアント2の数を示す行列を求める。
次に、図5を用いて、特徴量生成部12における、サーバ1に対する、各クライアント2のネットワーク空間の特徴量を詳細に説明する。例えば、特徴量生成部12は、通信情報(符号501)を参照して、サーバ1(DstIP「B.B.B.Y」)に対するクライアント2のSrcIPの属するネットワーク空間ごと、当該ネットワーク空間に属するクライアント2の数を示す行列を求める。
例えば、特徴量生成部12は、通信情報(符号501)に示すように、サーバ1(DstIP「B.B.B.Y」)との通信を行うクライアント2のSrcIPが、「A.A.A.X」と「C.C.C.Z」であった場合、ネットワークアドレスブロック「A.A.A.」に属するクライアント2の数(#of SrcIP)は「1」であり、ネットワークアドレスブロック「C.C.C.」に属するクライアント2の数(#of SrcIP)は「1」である。したがって、特徴量生成部12は、これらの情報を示した情報(符号502)を、サーバ1に対する、各クライアント2の属するネットワーク空間の特徴量とする。例えば、特徴量生成部12は、それぞれのネットワークアドレスブロックに属するクライアント2の数からなる、行列[1,1]の平均、標準偏差、最大、最小、中央値等の統計値を計算し、ネットワーク空間の特徴量とする。
このようにすることで、特徴量生成部12は、サーバ1に対する、各クライアント2の属するネットワーク空間上での分布を特徴量として得ることができる。
なお、上記の例では、各クライアント2のSrcIPをネットワークアドレスブロックで区切った場合を例に説明したが、各クライアント2の属するAS(Autonomous System)のAS番号で区切ってもよい。
[処理手順]
次に、図6および図7を用いて、検知装置10の処理手順を説明する。まず、図6を用いて、検知装置10がモデル14を生成(訓練)する手順について説明する。例えば、検知装置10の入力部11は、モデル14の学習用の通信情報を受信する(S1)。この学習用の通信情報は、悪性サーバと各クライアント2との通信情報と、非悪性サーバと各クライアント2との通信情報とを含む。また、各通信情報には、例えば、当該通信情報が、悪性サーバの通信情報か非悪性サーバの通信情報かを示すラベル値が付与されているものとする。
次に、図6および図7を用いて、検知装置10の処理手順を説明する。まず、図6を用いて、検知装置10がモデル14を生成(訓練)する手順について説明する。例えば、検知装置10の入力部11は、モデル14の学習用の通信情報を受信する(S1)。この学習用の通信情報は、悪性サーバと各クライアント2との通信情報と、非悪性サーバと各クライアント2との通信情報とを含む。また、各通信情報には、例えば、当該通信情報が、悪性サーバの通信情報か非悪性サーバの通信情報かを示すラベル値が付与されているものとする。
S1の後、入力部11は、S1で受信した学習用の通信情報を特徴量生成部12へ出力し、特徴量生成部12は、学習用の通信情報から、悪性サーバの通信特徴量および非悪性サーバの通信特徴量を生成する(S2)。
S2の後、学習部13は、S2で生成された悪性サーバの通信特徴量および非悪性サーバの通信特徴量を用いた機械学習により、悪性サーバの通信特徴量および非悪性サーバの通信特徴量を示したモデル14を生成する(S3)。
次に、図7を用いて、検知装置10が悪性サーバを検知する手順について説明する。入力部11は、悪性サーバ候補のサーバ1の通信情報を受信すると(S11)、入力部11は、S11で受信した悪性サーバ候補のサーバ1の通信情報を特徴量生成部12へ出力し、特徴量生成部12は、当該通信情報から、悪性サーバ候補のサーバ1の通信特徴量を生成する(S12)。
S12の後、判定部15は、モデル14と、特徴量生成部12から出力された悪性サーバ候補のサーバ1の通信特徴量とを参照して、当該サーバ1が悪性サーバか否かを判定する(S13)。その後、出力部16は、判定部15により悪性サーバと判定されたサーバ1のIPアドレスを出力する(S14)。
このようにすることで、検知装置10は、当該サーバ1がマルウェアに感染したクライアント群を制御する悪性サーバか否かを精度よく判定することができる。
なお、検知装置10は、図6に示したモデル14の生成(訓練)処理を実行してから、図7に示した悪性サーバの検知処理を実行してもよいし、これらの処理をそれぞれ独立に実行してもよい。
[その他の実施形態]
なお、特徴量生成部12が、サーバ1に対する、各クライアント2の設置される物理空間の特徴量を生成する際、サーバ1と各クライアント2と距離を用いてもよい。この場合、特徴量生成部12は、各クライアント2のSrcIPに対するGeolocation lookupにより、各クライアント2の設置場所を求め、各クライアント2の設置場所から、サーバ1との距離を求めればよい。このようにすることで、特徴量生成部12は、サーバ1に対する、各クライアント2の距離の分布を物理空間の特徴量として得ることができる。
なお、特徴量生成部12が、サーバ1に対する、各クライアント2の設置される物理空間の特徴量を生成する際、サーバ1と各クライアント2と距離を用いてもよい。この場合、特徴量生成部12は、各クライアント2のSrcIPに対するGeolocation lookupにより、各クライアント2の設置場所を求め、各クライアント2の設置場所から、サーバ1との距離を求めればよい。このようにすることで、特徴量生成部12は、サーバ1に対する、各クライアント2の距離の分布を物理空間の特徴量として得ることができる。
また、モデル14は、機械学習により生成されたものである場合を例に説明したが、これに限定されない。例えば、モデル14は、いわゆるルールベースで作成された、悪性サーバに対する各クライアント2との通信特徴量と、非悪性サーバに対する各クライアント2との通信特徴量とを示したものであってもよい。また、検知装置10は、学習部13を装備せず、外部装置により作成されたモデル14を用いて悪性サーバの検知を行ってもよい。
[プログラム]
また、上記の実施形態で述べた検知装置10の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等がその範疇に含まれる。また、検知装置10を、クラウドサーバに実装してもよい。
また、上記の実施形態で述べた検知装置10の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等がその範疇に含まれる。また、検知装置10を、クラウドサーバに実装してもよい。
図8を用いて、上記のプログラム(検知プログラム)を実行するコンピュータの一例を説明する。図8に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図8に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記の実施形態で説明した各種データや情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、上記の検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 検知装置
11 入力部
12 特徴量生成部
13 学習部
14 モデル
15 判定部
16 出力部
11 入力部
12 特徴量生成部
13 学習部
14 モデル
15 判定部
16 出力部
Claims (8)
- マルウェアに感染したクライアント装置群を制御する悪性サーバを検知する検知装置であって、
各クライアント装置との通信時間の分布を示す通信時間の特徴量、前記各クライアント装置の地理的な分布を示す物理空間の特徴量、および、前記各クライアント装置のネットワーク空間上の分布を示すネットワーク空間の特徴量を含む通信特徴量を入力として前記通信特徴量を持つ通信が悪性サーバとの通信に関するものか非悪性サーバとの通信に関するものかを示すラベルを出力するためのモデルを記憶する記憶部と、
悪性サーバの候補と各クライアント装置との通信情報の入力を受け付ける入力部と、
前記悪性サーバの候補と各クライアント装置との通信情報から、前記悪性サーバの候補に対する、各クライアント装置との通信に関する前記通信特徴量を生成する特徴量生成部と、
前記生成された前記悪性サーバの候補に対する前記通信特徴量と、前記モデルを用いて、前記悪性サーバの候補が悪性サーバか否かを判定する判定部と、
を備えることを特徴とする検知装置。 - 前記特徴量生成部は、さらに、
悪性サーバと各クライアント装置との通信情報および非悪性サーバと各クライアント装置との通信情報を用いて、前記悪性サーバおよび前記非悪性サーバそれぞれに対する前記通信特徴量を生成し、
前記検知装置は、さらに、
前記生成された前記悪性サーバおよび前記非悪性サーバに対する前記通信特徴量を用いた機械学習により、前記モデルを生成する学習部を備えることを特徴とする請求項1に記載の検知装置。 - 前記特徴量生成部は、
前記悪性サーバの候補に対する各クライアント装置との通信時間の分布を示す通信時間の特徴量を求める際、外部情報を参照して、観測された各クライアント装置との通信時間を各クライアント装置のローカルタイムに変換し、前記悪性サーバの候補へアクセスする各クライアント装置におけるローカルタイムでのアクセス数の統計値であるアクセス時間特徴ベクトルを用いることを特徴とする請求項1に記載の検知装置。 - 前記特徴量生成部は、
前記悪性サーバの候補に対する各クライアント装置の地理的な分布を示す物理空間の特徴量を求める際、地理的な区分ごとに、当該地理的な区分に属し、前記悪性サーバの候補へアクセスするクライアント装置の数を用いることを特徴とする請求項1に記載の検知装置。 - 前記特徴量生成部は、
前記悪性サーバの候補に対する各クライアント装置の地理的な分布を示す物理空間の特徴量を求める際、前記悪性サーバの候補と当該悪性サーバの候補へアクセスするクライアント装置との距離を用いることを特徴とする請求項1に記載の検知装置。 - 前記特徴量生成部は、
前記悪性サーバの候補に対する各クライアント装置のネットワーク空間上の分布を示すネットワーク空間の特徴量を求める際、ネットワーク空間ごと、当該ネットワーク空間に属し、前記悪性サーバの候補へアクセスするクライアント装置の数を用いることを特徴とする請求項1に記載の検知装置。 - マルウェアに感染したクライアント装置群を制御する悪性サーバを検知する検知装置は、
各クライアント装置との通信時間の分布を示す通信時間の特徴量、前記各クライアント装置の地理的な分布を示す物理空間の特徴量、および、前記各クライアント装置のネットワーク空間上の分布を示すネットワーク空間の特徴量を含む通信特徴量を入力として前記通信特徴量を持つ通信が悪性サーバとの通信に関するものか非悪性サーバとの通信に関するものかを示すラベルを出力するためのモデルを記憶する記憶部を備え、
悪性サーバの候補と各クライアント装置との通信情報の入力を受け付けるステップと、
前記悪性サーバの候補と各クライアント装置との通信情報から、前記悪性サーバの候補に対する、各クライアント装置との通信に関する前記通信時間の特徴量を生成するステップと、
前記モデルと、前記生成された前記悪性サーバの候補に対する前記通信特徴量とを用いて、前記悪性サーバの候補が悪性サーバか否かを判定するステップと、
を含んだことを特徴とする検知方法。 - マルウェアに感染したクライアント装置群を制御する悪性サーバを検知するための検知プログラムであって、
各クライアント装置との通信時間の分布を示す通信時間の特徴量、前記各クライアント装置の地理的な分布を示す物理空間の特徴量、および、前記各クライアント装置のネットワーク空間上の分布を示すネットワーク空間の特徴量を含む通信特徴量を入力として前記通信特徴量を持つ通信が悪性サーバとの通信に関するものか非悪性サーバとの通信に関するものかを示すラベルを出力するためのモデルを記憶する記憶部を備えるコンピュータが、
悪性サーバの候補と各クライアント装置との通信情報の入力を受け付けるステップと、
前記悪性サーバの候補と各クライアント装置との通信情報から、前記悪性サーバの候補に対する、各クライアント装置との通信に関する前記通信特徴量を生成するステップと、
前記モデルと、前記生成された前記悪性サーバの候補に対する前記通信特徴量とを用いて、前記悪性サーバの候補が悪性サーバか否かを判定するステップと、
をコンピュータが実行することを特徴とする検知プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017168607A JP6749873B2 (ja) | 2017-09-01 | 2017-09-01 | 検知装置、検知方法、および、検知プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017168607A JP6749873B2 (ja) | 2017-09-01 | 2017-09-01 | 検知装置、検知方法、および、検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019047335A JP2019047335A (ja) | 2019-03-22 |
| JP6749873B2 true JP6749873B2 (ja) | 2020-09-02 |
Family
ID=65813014
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017168607A Active JP6749873B2 (ja) | 2017-09-01 | 2017-09-01 | 検知装置、検知方法、および、検知プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6749873B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7176630B2 (ja) * | 2019-06-28 | 2022-11-22 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
| JP2021189721A (ja) * | 2020-05-29 | 2021-12-13 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
| KR102369240B1 (ko) * | 2020-08-18 | 2022-02-28 | 세종대학교산학협력단 | 네트워크 공격 탐지 장치 및 방법 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2011336466C1 (en) * | 2010-12-01 | 2017-01-19 | Cisco Technology, Inc. | Detecting malicious software through contextual convictions, generic signatures and machine learning techniques |
| US9191399B2 (en) * | 2012-09-11 | 2015-11-17 | The Boeing Company | Detection of infected network devices via analysis of responseless outgoing network traffic |
| WO2015114804A1 (ja) * | 2014-01-31 | 2015-08-06 | 株式会社日立製作所 | 不正アクセスの検知方法および検知システム |
| US10257213B2 (en) * | 2014-03-19 | 2019-04-09 | Nippon Telegraph And Telephone Corporation | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program |
-
2017
- 2017-09-01 JP JP2017168607A patent/JP6749873B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019047335A (ja) | 2019-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10924503B1 (en) | Identifying false positives in malicious domain data using network traffic data logs | |
| US20200007566A1 (en) | Network traffic anomaly detection method and apparatus | |
| JP6749873B2 (ja) | 検知装置、検知方法、および、検知プログラム | |
| JP6697123B2 (ja) | プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム | |
| CN105917632A (zh) | 用于电信中的可扩缩分布式网络业务分析的方法 | |
| D’hooge et al. | Classification hardness for supervised learners on 20 years of intrusion detection data | |
| CN113705699B (zh) | 基于机器学习的样本异常检测方法、装置、设备及介质 | |
| US10489720B2 (en) | System and method for vendor agnostic automatic supplementary intelligence propagation | |
| US11689550B2 (en) | Methods and apparatus to analyze network traffic for malicious activity | |
| CN104618304B (zh) | 数据处理方法及数据处理系统 | |
| US20170214716A1 (en) | Violation information management module forming violation information intelligence analysis system | |
| CN108270761A (zh) | 一种域名合法性检测方法及装置 | |
| Liu et al. | Using g features to improve the efficiency of function call graph based android malware detection | |
| TWI703846B (zh) | Url異常定位方法、裝置、伺服器及儲存媒體 | |
| CN116915442A (zh) | 漏洞测试方法、装置、设备和介质 | |
| Nuojua et al. | DNS tunneling detection techniques–classification, and theoretical comparison in case of a real APT campaign | |
| CN113794731B (zh) | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 | |
| JP6708575B2 (ja) | 分類装置、分類方法および分類プログラム | |
| US20230008765A1 (en) | Estimation apparatus, estimation method and program | |
| EP3848822A1 (en) | Data classification device, data classification method, and data classification program | |
| JP6787861B2 (ja) | 分類装置 | |
| KR102072288B1 (ko) | GANs을 이용한 보안 로그 데이터의 이상 탐지 방법 및 이를 수행하는 장치들 | |
| US20240291828A1 (en) | Searching device, search range determination method, and search range determination program | |
| CN101854341B (zh) | 用于数据流的模式匹配方法和装置 | |
| CN110197066B (zh) | 一种云计算环境下的虚拟机监控方法及监控系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190522 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200305 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200317 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200518 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200811 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200812 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6749873 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |