JP6749956B2 - トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム - Google Patents

トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム Download PDF

Info

Publication number
JP6749956B2
JP6749956B2 JP2018031914A JP2018031914A JP6749956B2 JP 6749956 B2 JP6749956 B2 JP 6749956B2 JP 2018031914 A JP2018031914 A JP 2018031914A JP 2018031914 A JP2018031914 A JP 2018031914A JP 6749956 B2 JP6749956 B2 JP 6749956B2
Authority
JP
Japan
Prior art keywords
traffic
information
characteristic information
signature
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018031914A
Other languages
English (en)
Other versions
JP2019148882A (ja
Inventor
一真 篠宮
一真 篠宮
和憲 神谷
和憲 神谷
博 胡
博 胡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018031914A priority Critical patent/JP6749956B2/ja
Priority to US16/975,397 priority patent/US11811800B2/en
Priority to PCT/JP2019/006880 priority patent/WO2019163963A1/ja
Publication of JP2019148882A publication Critical patent/JP2019148882A/ja
Application granted granted Critical
Publication of JP6749956B2 publication Critical patent/JP6749956B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/906Clustering; Classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Environmental & Geological Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラムに関する。
近年、インターネットの普及に伴い、マルウェアと呼ばれる悪意あるソフトウェアを用いたサイバー攻撃が増加しつつある。マルウェアに感染した端末の検知に際し、端末が送信するトラヒックのヘッダ情報に基づいて特徴情報を抽出し、シグネチャを生成してブラックリストとのマッチングを行う方法がある。
特許第6053091号公報
しかしながら、上述した従来技術では、以下の様な問題点があった。例えば、攻撃者は検知回避のために司令塔となるサーバの設定を変えるため、マッチングにより感染が確認されたとしても、通信先サーバが存在しないまたは正常なサーバである場合がある。また、端末が攻撃者のサーバと通信しても、必ずしも攻撃が成功するとは限らない。このため、シグネチャがマッチしたとしても、その端末が真にマルウェアに感染し、被害(例えば、攻撃者による操作)を受けていると、確実に判定することはできない。
開示の技術は、上記に鑑みてなされたものであって、端末が被害を受けているか否かを正確に判定することができるトラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本願の開示するトラヒック特徴情報抽出装置は、一つの態様において、ネットワークトラヒックデータから所定条件を満たすトラヒック情報を取得する取得部と、取得された前記トラヒック情報から特徴情報を抽出する抽出部と、抽出された前記特徴情報に基づき、前記トラヒック情報を分類する分類部と、前記分類部により得られた分類結果を分析し、シグネチャを生成する生成部と、生成された前記シグネチャの内、所定条件を満たすシグネチャを出力する出力部とを有する。
また、本願の開示するトラヒック特徴情報抽出方法は、一つの態様において、トラヒック特徴情報抽出装置が、ネットワークトラヒックデータから所定条件を満たすトラヒック情報を取得する取得工程と、取得された前記トラヒック情報から特徴情報を抽出する抽出工程と、抽出された前記特徴情報に基づき、前記トラヒック情報を分類する分類工程と、前記分類工程にて得られた分類結果を分析し、シグネチャを生成する生成工程と、生成された前記シグネチャの内、所定条件を満たすシグネチャを出力する出力工程とを含む。
更に、本願の開示するトラヒック特徴情報抽出プログラムは、一つの態様において、ネットワークトラヒックデータから所定条件を満たすトラヒック情報を取得する取得ステップと、取得された前記トラヒック情報から特徴情報を抽出する抽出ステップと、抽出された前記特徴情報に基づき、前記トラヒック情報を分類する分類ステップと、前記分類ステップにて得られた分類結果を分析し、シグネチャを生成する生成ステップと、生成された前記シグネチャの内、所定条件を満たすシグネチャを出力する出力ステップとをコンピュータに実行させる。
本願の開示するトラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラムは、端末が被害を受けているか否かを正確に判定することができるという効果を奏する。
図1は、受信トラヒック特徴抽出サーバの構成を示す図である。 図2は、受信トラヒック特徴抽出サーバの動作を説明するためのフローチャートである。 図3は、トラヒック特徴情報抽出プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。
以下に、本願の開示するトラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラムの実施例を、図面を参照しながら詳細に説明する。なお、以下の実施例により本願の開示するトラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラムが限定されるものではない。
まず、本願の開示する一実施例に係るトラヒック特徴情報抽出装置の構成を説明する。図1は、受信トラヒック特徴抽出サーバ10の構成を示す図である。図1に示す様に、受信トラヒック特徴抽出サーバ10は、入力部11と特徴情報抽出部12とクラスタリング部13とシグネチャ生成部14と出力部15とを有する。これら各構成部分は、一方向又は双方向に、信号やデータの入出力が可能なように接続されている。
入力部11は、ネットワークトラヒックデータ11aから所定条件を満たすトラヒック情報を取得する。特徴情報抽出部12は、取得された上記トラヒック情報から特徴情報を抽出する。クラスタリング部13は、抽出された上記特徴情報に基づき、上記トラヒック情報を分類する。シグネチャ生成部14は、クラスタリング部13により得られた分類結果を分析し、シグネチャを生成する。出力部15は、生成された上記シグネチャの内、所定条件を満たす(マッチする)シグネチャを出力する。
次に、本願の開示する一実施例に係る受信トラヒック特徴抽出サーバ10の動作を説明する。図2は、受信トラヒック特徴抽出サーバ10の動作を説明するためのフローチャートである。
まずS1では、受信トラヒック特徴抽出サーバ10は、入力部11により、ネットワークトラヒックデータ11aから所定条件を満たすトラヒック情報を取得する。次のS2では、受信トラヒック特徴抽出サーバ10は、特徴情報抽出部12により、取得された上記トラヒック情報から特徴情報を抽出する。S3では、受信トラヒック特徴抽出サーバ10は、クラスタリング部13により、抽出された上記特徴情報に基づき、上記トラヒック情報を分類する。S4では、受信トラヒック特徴抽出サーバ10は、シグネチャ生成部14により、クラスタリング部13により得られた分類結果を分析し、シグネチャを生成する。S5では、受信トラヒック特徴抽出サーバ10は、出力部15により、生成された上記シグネチャの内、所定条件を満たすシグネチャを出力する。
受信トラヒック特徴抽出サーバ10において、特徴情報抽出部12は、上記ネットワークトラヒックデータのヘッダ部分に含まれる情報、送信データ部分に含まれる情報、及び受信データ部分に含まれる情報の内、少なくとも1つに基づき、上記特徴情報を抽出するものとしてもよい。また、クラスタリング部13は、教師情報となる学習データを使用しない教師無しの機械学習を用いて、上記トラヒック情報を分類するものとしてもよい。これにより、より高精度な分類結果に基づき、端末が被害を受けているか否かの判定を行うことができる。更に、シグネチャ生成部14は、上記分類結果を分析する際、頻出パターン分析または頻出文字列分析により、上記シグネチャを生成するものとしてもよい。
上記頻出パターン分析は、上記ネットワークトラヒックデータのヘッダ部分に含まれる情報の分析であってもよく、より好適には、頻出パターンマイニングを用いた分析であってもよい。これにより、より高精度な分析結果に基づき、端末が被害を受けているか否かの判定を行うことができる。あるいは、上記頻出パターン分析は、上記ネットワークトラヒックデータの送信データ部分に含まれる情報、及び受信データ部分に含まれる情報の分析であってもよい。更に、上記トラヒック情報は、端末が特定のサーバ(例えば、悪性サーバ)と通信する際に上記端末が受信する受信トラヒックのトラヒック情報であってもよい。
換言すれば、受信トラヒック特徴抽出サーバ10は、ネットワークトラヒックデータ11aを分析することにより、端末が受信するトラヒックをシグネチャ化し、通信先サーバ(例えば、悪性サーバ)との通信が行われていることを検知する。端末の送信するトラヒックから検知するだけでは、通信先サーバが悪性であるか否かは不明な場合があるが、受信トラヒック特徴抽出サーバ10は、端末が受信するトラヒックの特徴も抽出して、通信先サーバからの応答をシグネチャ化するので、端末がマルウェアに感染していること、または、攻撃が成功していることを確実に判定することができる。すなわち、通信先のサーバからの応答をみることにより、端末が被害を受けているか否かを正確に判定することができる。また、上記判定に際して、従来では用いられていなかったペイロードの情報等、より多くの情報を特徴とするために、検知率の向上及び誤検知率の低減を図ることも可能となる。
受信トラヒック特徴抽出サーバ10の適用例として、入力トラヒックデータとして、マルウェア感染端末のネットワークトラヒックを与えることにより、端末がマルウェアに感染した際に、悪性サーバから受信するトラヒックの特徴を抽出してシグネチャ化することができる。従って、受信トラヒック特徴抽出サーバ10は、上記所定条件を満たすシグネチャの出力の有無に基づき、端末がマルウェアに感染していること、または、攻撃が成功していることを判定することができる。例えば、受信トラヒック特徴抽出サーバ10は、上記所定条件を満たすシグネチャの出力が有る場合には、端末がマルウェアに感染している、または、攻撃が成功していると、確実に結論付けることができる。
別の適用例として、受信トラヒック特徴抽出サーバ10は、悪性トラヒックを再生し、攻撃者が使用するサーバからの応答とその他のサーバからの応答とを判別することにより、攻撃者が使用するサーバを発見することができる。
(トラヒック特徴情報抽出プログラム)
図3は、トラヒック特徴情報抽出プログラムによる情報処理がコンピュータ100を用いて具体的に実現されることを示す図である。図3に示す様に、コンピュータ100は、例えば、メモリ101と、CPU(Central Processing Unit)102と、ハードディスクドライブインタフェース103と、ディスクドライブインタフェース104と、シリアルポートインタフェース105と、ビデオアダプタ106と、ネットワークインタフェース107とを有し、これらの各部はバスCによって接続される。
メモリ101は、図3に示す様に、ROM(Read Only Memory)101a及びRAM(Random Access Memory)101bを含む。ROM101aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース103は、図3に示す様に、ハードディスクドライブ108に接続される。ディスクドライブインタフェース104は、図3に示す様に、ディスクドライブ109に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ109に挿入される。シリアルポートインタフェース105は、図3に示す様に、例えばマウス110、キーボード111に接続される。ビデオアダプタ106は、図3に示す様に、例えばディスプレイ112に接続される。
ここで、図3に示す様に、ハードディスクドライブ108は、例えば、OS(Operating System)108a、アプリケーションプログラム108b、プログラムモジュール108c、プログラムデータ108d、ネットワークトラヒックデータ、トラヒック情報、特徴情報、シグネチャを記憶する。すなわち、開示の技術に係るトラヒック特徴情報抽出プログラムは、コンピュータ100によって実行される指令が記述されたプログラムモジュール108cとして、例えばハードディスクドライブ108に記憶される。具体的には、上記実施例で説明した入力部11、特徴情報抽出部12、クラスタリング部13、シグネチャ生成部14、出力部15の各々と同様の情報処理を実行する各種手順が記述されたプログラムモジュール108cが、ハードディスクドライブ108に記憶される。また、トラヒック特徴情報抽出プログラムによる情報処理に用いられるデータは、プログラムデータ108dとして、例えばハードディスクドライブ108に記憶される。そして、CPU102が、ハードディスクドライブ108に記憶されたプログラムモジュール108cやプログラムデータ108dを必要に応じてRAM101bに読み出し、上記各種手順を実行する。
なお、トラヒック特徴情報抽出プログラムに係るプログラムモジュール108cやプログラムデータ108dは、ハードディスクドライブ108に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ109等を介してCPU102によって読み出されてもよい。あるいは、トラヒック特徴情報抽出プログラムに係るプログラムモジュール108cやプログラムデータ108dは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース107を介してCPU102によって読み出されてもよい。
また、上述した受信トラヒック特徴抽出サーバ10の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的態様は、図示のものに限らず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することもできる。例えば、クラスタリング部13とシグネチャ生成部14、あるいは、頻出パターン分析部141と頻出文字列分析部142を1つの構成要素として統合してもよい。反対に、シグネチャ生成部14に関し、頻出パターン分析を行う部分と、頻出文字列分析を行う部分とに分散してもよい。更に、ネットワークトラヒックデータ、トラヒック情報、特徴情報、シグネチャを格納するハードディスクドライブ108を、受信トラヒック特徴抽出サーバ10の外部装置として、ネットワークやケーブル経由で接続する様にしてもよい。
10 受信トラヒック特徴抽出サーバ
11 入力部
11a ネットワークトラヒックデータ
12 特徴情報抽出部
13 クラスタリング部
14 シグネチャ生成部
15 出力部
15a シグネチャ
100 コンピュータ
101 メモリ
101a ROM
101b RAM
102 CPU
103 ハードディスクドライブインタフェース
104 ディスクドライブインタフェース
105 シリアルポートインタフェース
106 ビデオアダプタ
107 ネットワークインタフェース
108 ハードディスクドライブ
108a OS
108b アプリケーションプログラム
108c プログラムモジュール
108d プログラムデータ
109 ディスクドライブ
110 マウス
111 キーボード
112 ディスプレイ
141 頻出パターン分析部
142 頻出文字列分析部

Claims (9)

  1. ネットワークトラヒックデータから所定条件を満たすトラヒック情報を取得する取得部と、
    取得された前記トラヒック情報から特徴情報を抽出する抽出部と、
    抽出された前記特徴情報に基づき、前記トラヒック情報を分類する分類部と、
    前記分類部により得られた分類結果を分析し、シグネチャを生成する生成部と、
    生成された前記シグネチャの内、所定条件を満たすシグネチャを出力する出力部と
    通信先の悪性サーバからの応答に、前記所定条件を満たすシグネチャが含まれているか否かにより、端末が被害を受けているか否かを判定する判定部と
    を有することを特徴とするトラヒック特徴情報抽出装置。
  2. 前記抽出部は、前記ネットワークトラヒックデータのヘッダ部分に含まれる情報、送信データ部分に含まれる情報、及び受信データ部分に含まれる情報の内、少なくとも1つに基づき、前記特徴情報を抽出することを特徴とする請求項1に記載のトラヒック特徴情報抽出装置。
  3. 前記分類部は、機械学習を用いて、前記トラヒック情報を分類することを特徴とする請求項1に記載のトラヒック特徴情報抽出装置。
  4. 前記生成部は、前記分類結果を分析する際、頻出パターン分析または頻出文字列分析により、前記シグネチャを生成することを特徴とする請求項1に記載のトラヒック特徴情報抽出装置。
  5. 前記頻出パターン分析は、前記ネットワークトラヒックデータのヘッダ部分に含まれる情報の分析であることを特徴とする請求項4に記載のトラヒック特徴情報抽出装置。
  6. 前記頻出パターン分析は、前記ネットワークトラヒックデータの送信データ部分に含まれる情報、及び受信データ部分に含まれる情報の分析であることを特徴とする請求項4に記載のトラヒック特徴情報抽出装置。
  7. トラヒック特徴情報抽出装置が、
    ネットワークトラヒックデータから所定条件を満たすトラヒック情報を取得する取得工程と、
    取得された前記トラヒック情報から特徴情報を抽出する抽出工程と、
    抽出された前記特徴情報に基づき、前記トラヒック情報を分類する分類工程と、
    前記分類工程にて得られた分類結果を分析し、シグネチャを生成する生成工程と、
    生成された前記シグネチャの内、所定条件を満たすシグネチャを出力する出力工程と
    通信先の悪性サーバからの応答に、前記所定条件を満たすシグネチャが含まれているか否かにより、端末が被害を受けているか否かを判定する判定工程と
    を含むことを特徴とするトラヒック特徴情報抽出方法。
  8. ネットワークトラヒックデータから所定条件を満たすトラヒック情報を取得する取得ステップと、
    取得された前記トラヒック情報から特徴情報を抽出する抽出ステップと、
    抽出された前記特徴情報に基づき、前記トラヒック情報を分類する分類ステップと、
    前記分類ステップにて得られた分類結果を分析し、シグネチャを生成する生成ステップと、
    生成された前記シグネチャの内、所定条件を満たすシグネチャを出力する出力ステップと
    通信先の悪性サーバからの応答に、前記所定条件を満たすシグネチャが含まれているか否かにより、端末が被害を受けているか否かを判定する判定ステップと
    をコンピュータに実行させるためのトラヒック特徴情報抽出プログラム。
  9. 前記生成部は、前記端末が被害を受けていると前記判定部が判定した悪性トラヒックを再生し、サーバの応答から、前記悪性サーバとは異なる、攻撃者が使用するサーバを判別することを特徴とする請求項1に記載のトラヒック特徴情報抽出装置。
JP2018031914A 2018-02-26 2018-02-26 トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム Active JP6749956B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018031914A JP6749956B2 (ja) 2018-02-26 2018-02-26 トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム
US16/975,397 US11811800B2 (en) 2018-02-26 2019-02-22 Traffic feature information extraction device, traffic feature information extraction method, and traffic feature information extraction program
PCT/JP2019/006880 WO2019163963A1 (ja) 2018-02-26 2019-02-22 トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018031914A JP6749956B2 (ja) 2018-02-26 2018-02-26 トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム

Publications (2)

Publication Number Publication Date
JP2019148882A JP2019148882A (ja) 2019-09-05
JP6749956B2 true JP6749956B2 (ja) 2020-09-02

Family

ID=67687260

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018031914A Active JP6749956B2 (ja) 2018-02-26 2018-02-26 トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム

Country Status (3)

Country Link
US (1) US11811800B2 (ja)
JP (1) JP6749956B2 (ja)
WO (1) WO2019163963A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017176934A1 (en) 2016-04-05 2017-10-12 Joinesty, Inc. Apparatus and method for automated email and password creation and curation across multiple websites
US11354438B1 (en) 2019-09-26 2022-06-07 Joinesty, Inc. Phone number alias generation
US11528285B2 (en) * 2019-12-16 2022-12-13 Palo Alto Networks, Inc. Label guided unsupervised learning based network-level application signature generation
US12088559B1 (en) 2021-01-29 2024-09-10 Joinesty, Inc. Implementing a proxy server to selectively obfuscate traffic

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100554566C (zh) * 2006-08-04 2009-10-28 胡杰波 一种柜式干衣机
US9300686B2 (en) * 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
WO2015141560A1 (ja) 2014-03-19 2015-09-24 日本電信電話株式会社 トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
US9602530B2 (en) * 2014-03-28 2017-03-21 Zitovault, Inc. System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment
US9705914B2 (en) * 2014-07-23 2017-07-11 Cisco Technology, Inc. Signature creation for unknown attacks
TWI590617B (zh) * 2014-09-16 2017-07-01 科勞簡尼克斯股份有限公司 以彈性地定義之通信網路控制器為基礎之網路控制、操作及管理
US11438294B2 (en) * 2014-09-24 2022-09-06 Yahoo Assets Llc System and method for auto-formatting messages based on learned message templates
US10027689B1 (en) * 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9945928B2 (en) * 2014-10-30 2018-04-17 Bastille Networks, Inc. Computational signal processing architectures for electromagnetic signature analysis
JP6306739B2 (ja) * 2014-11-18 2018-04-04 日本電信電話株式会社 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム
WO2017100364A1 (en) * 2015-12-07 2017-06-15 Prismo Systems Inc. Systems and methods for detecting and responding to security threats using application execution and connection lineage tracing
JP6499380B2 (ja) * 2016-06-13 2019-04-10 日本電信電話株式会社 ログ分析装置、ログ分析方法およびログ分析プログラム
US10832168B2 (en) * 2017-01-10 2020-11-10 Crowdstrike, Inc. Computational modeling and classification of data streams
US10826934B2 (en) * 2017-01-10 2020-11-03 Crowdstrike, Inc. Validation-based determination of computational models
US10984452B2 (en) * 2017-07-13 2021-04-20 International Business Machines Corporation User/group servicing based on deep network analysis
US11663067B2 (en) * 2017-12-15 2023-05-30 International Business Machines Corporation Computerized high-speed anomaly detection
US11347707B2 (en) * 2019-01-22 2022-05-31 Commvault Systems, Inc. File indexing for virtual machine backups based on using live browse features
US11184378B2 (en) * 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Scanner probe detection

Also Published As

Publication number Publication date
JP2019148882A (ja) 2019-09-05
WO2019163963A1 (ja) 2019-08-29
US11811800B2 (en) 2023-11-07
US20200404009A1 (en) 2020-12-24

Similar Documents

Publication Publication Date Title
JP6749956B2 (ja) トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
US9349006B2 (en) Method and device for program identification based on machine learning
CN109145600B (zh) 使用静态分析元素检测恶意文件的系统和方法
US11797668B2 (en) Sample data generation apparatus, sample data generation method, and computer readable medium
US10462168B2 (en) Access classifying device, access classifying method, and access classifying program
WO2018159010A1 (ja) 選択装置、選択方法及び選択プログラム
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
CN107360145A (zh) 一种多节点蜜罐系统及其数据分析方法
US11206277B1 (en) Method and apparatus for detecting abnormal behavior in network
CN110572393A (zh) 一种基于卷积神经网络的恶意软件流量分类方法
EP3905084A1 (en) Method and device for detecting malware
CN112822204A (zh) 一种nat的检测方法、装置、设备及介质
CN106911665B (zh) 一种识别恶意代码弱口令入侵行为的方法及系统
JPWO2019043804A1 (ja) ログ分析装置、ログ分析方法及びプログラム
CN115086068B (zh) 一种网络入侵检测方法和装置
CN112235242A (zh) 一种c&c信道检测方法及系统
US20230315848A1 (en) Forensic analysis on consistent system footprints
EP2854065B1 (en) A system and method for evaluating malware detection rules
JP7131704B2 (ja) 抽出装置、抽出方法及び抽出プログラム
US12079285B2 (en) Training device, determination device, training method, determination method, training method, and determination program
JP4668092B2 (ja) 学習能力評価装置、学習能力評価方法及び学習能力評価プログラム
KR101480438B1 (ko) 아이피 공유기 검출 시스템
JP7215571B2 (ja) 検知装置、検知方法および検知プログラム
WO2020261582A1 (ja) 検知装置、検知方法および検知プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200526

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200727

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200811

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200812

R150 Certificate of patent or registration of utility model

Ref document number: 6749956

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150