JP7070678B2 - 通信分析装置、通信分析方法、通信環境分析装置、通信環境分析方法、およびプログラム - Google Patents
通信分析装置、通信分析方法、通信環境分析装置、通信環境分析方法、およびプログラム Download PDFInfo
- Publication number
- JP7070678B2 JP7070678B2 JP2020525479A JP2020525479A JP7070678B2 JP 7070678 B2 JP7070678 B2 JP 7070678B2 JP 2020525479 A JP2020525479 A JP 2020525479A JP 2020525479 A JP2020525479 A JP 2020525479A JP 7070678 B2 JP7070678 B2 JP 7070678B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- information
- source
- sensor device
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
ネットワーク上のセンサー装置である発信源について観測された第1の通信と、当該第1の通信を観測してから所定時間内に観測された同一の発信源からの他の通信と、に基づいて通信の動作を示す動作情報を生成し、生成した動作情報と、当該発信源を示す発信源情報と、を含む通信情報を取得する取得手段と、
前記動作情報に基づいて、取得された前記通信情報を分類する分類手段と、
前記動作情報に基づく前記通信情報の分類結果を、前記発信源情報と共に出力する出力手段と、
を有する。
また、前記動作情報は、前記第1の通信および前記他の通信に関する宛先ポート番号の組み合わせ、前記第1の通信および前記他の通信に関する宛先ポートの通信順序、前記第1の通信および前記他の通信に関するTCP(Transmission Control Protocol)のコントロールフラグのパターン、並びに、前記第1の通信および前記他の通信に関する宛先の変化、の少なくとも1つに関する情報を含む。
コンピュータが、
ネットワーク上のセンサー装置である発信源について観測された第1の通信と、当該第1の通信を観測してから所定時間内に観測された同一の発信源からの他の通信と、に基づいて通信の動作を示す動作情報を生成し、生成した動作情報と、当該発信源を示す発信源情報と、を含む通信情報を取得し、
前記動作情報に基づいて、取得された前記通信情報を分類し、
前記動作情報に基づく前記通信情報の分類結果を、前記発信源情報と共に出力する、
ことを含む。
また、前記動作情報は、前記第1の通信および前記他の通信に関する宛先ポート番号の組み合わせ、前記第1の通信および前記他の通信に関する宛先ポートの通信順序、前記第1の通信および前記他の通信に関するTCP(Transmission Control Protocol)のコントロールフラグのパターン、並びに、前記第1の通信および前記他の通信に関する宛先の変化、の少なくとも1つに関する情報を含む。
ネットワーク上のセンサー装置で観測された通信に基づく、当該センサー装置のネットワーク環境の健全性を測る指標となる指標情報を取得する取得手段と、
取得された前記指標情報と、基準となる他のセンサー装置で観測された通信に基づくネットワーク環境の指標情報である基準指標情報との類似性を判断する判断手段と、
前記類似性の判断結果と、前記他のセンサー装置に対して付与された健全性を示す情報と、に基づいて、前記センサー装置の健全性を判定し、当該判定結果に応じた出力を行う出力手段と、
を備える。
コンピュータが、
ネットワーク上のセンサー装置で観測された通信に基づく、当該センサー装置のネットワーク環境の健全性を測る指標となる指標情報を取得し、
取得された前記指標情報と、基準となる他のセンサー装置で観測された通信に基づくネットワーク環境の指標情報である基準指標情報との類似性を判断し、
前記類似性の判断結果と、前記他のセンサー装置に対して付与された健全性を示す情報と、に基づいて、前記センサー装置の健全性を判定し、当該判定結果に応じた出力を行う、
ことを含む。
<概要>
図1は、第1実施形態の通信分析装置10が行う処理を概念的に示す図である。通信分析装置10は、センサー装置30における通信の観測(受信)結果に基づいて、通信リスクを判断する指標となる情報を出力する機能を有する。センサー装置30は、ネットワーク上の図示しない発信源(通信装置)からの通信を観測するための装置である。センサー装置30は、ネットワーク上の発信源からの通信について観測した結果を、例えば予め決められたタイミングで通信分析装置10または図示しない外部記憶装置に出力する。なお、図1では描かれていないが、複数のセンサー装置30がネットワーク上に存在し得る。
本実施形態の通信分析装置10では、動作情報を基に通信を分類した結果が、その通信の発信源を示す情報と共に出力される。この通信分析装置10から出力された情報は、ネットワークセキュリティの管理者にとって、未知のサイバー攻撃を見つけ出す手がかりとなり得る。例えば、動作情報に基づく通信の分類結果は、その通信で行われる動作がありふれた動作であるのか、或いは、通常ではあり得ない(今までにない)特殊な動作であるのかを示す指標となる。さらに、今までにない特殊な動作の通信が、サイバー攻撃と思しき通信を頻繁に行う発信源から行われたのであれば、その通信は未知のサイバー攻撃の可能性がある。ネットワークセキュリティの管理者は、例えばこのような分析を、通信分析装置10の出力結果を使って行うことができる。そして、ネットワークセキュリティの管理者は、未知のサイバー攻撃の被害が拡大しないように、早めの対策を講じることができる。
図2は、第1実施形態に係る通信分析装置10の機能構成例を示すブロック図である。図2に示されるように、通信分析装置10は、取得部110、分類部120、および出力部130を備える。
通信分析装置10の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、通信分析装置10の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
図4は、第1実施形態に係る通信分析装置10によって実行される処理の流れを例示するフローチャートである。以下、図4のフローチャートに沿って、通信分析装置10によって実行される処理について説明する。
<概要>
図10は、第2実施形態の通信環境分析装置20が行う処理を概念的に示す図である。通信環境分析装置20は、センサー装置30において観測(受信)された通信の内容を分析し、その分析結果からセンサー装置30のリスクを判断する機能を有する。センサー装置30は、第1実施形態と同様に、ネットワーク上の図示しない発信源(通信装置)からの通信を観測するための装置である。センサー装置30は、ネットワーク上の発信源からの通信について観測した結果を、例えば予め決められたタイミングで通信環境分析装置20または図示しない外部記憶装置に出力する。なお、図10では描かれていないが、複数のセンサー装置30がネットワーク上に存在し得る。
本実施形態の通信環境分析装置20によれば、センサー装置30のネットワーク環境の健全性を測る指標情報と、健全性の判断基準となる基準指標情報との類似性の判断結果が出力される。この通信環境分析装置20から出力された情報は、ネットワークセキュリティの管理者にとって、未知のサイバー攻撃を見つけ出す手がかりとなり得る。例えば、頻繁にサイバー攻撃の標的となっているセンサー装置30の指標情報を基準指標情報として用いた場合には、その基準指標情報に近い傾向を示すほど、未知のサイバー攻撃の標的となる可能性が高い。ネットワークセキュリティの管理者は、例えばこのような分析を、通信環境分析装置20の出力結果を使って行うことができる。そして、ネットワークセキュリティの管理者は、未知のサイバー攻撃の被害が拡大しないように、ネットワーク環境の健全性を高めるための対策を早期に講じることができる。
図11は、第2実施形態に係る通信環境分析装置20の機能構成を概念的に例示する図である。図11に示されるように、通信環境分析装置20は、取得部210、判断部220、および出力部230を有する。
通信環境分析装置20の各機能構成部は、各機能構成部を実現するハードウエア(例:ハードワイヤードされた電子回路など)で実現されてもよいし、ハードウエアとソフトウエアとの組み合わせ(例:電子回路とそれを制御するプログラムの組み合わせなど)で実現されてもよい。以下、通信環境分析装置20の各機能構成部がハードウエアとソフトウエアとの組み合わせで実現される場合について、さらに説明する。
図13は、第2実施形態に係る通信環境分析装置20によって実行される処理の流れを例示するフローチャートである。以下、図13のフローチャートに沿って、通信環境分析装置20によって実行される処理について説明する。
1.
ネットワーク上のセンサー装置で観測された通信について、当該通信の動作を示す動作情報と、当該通信の発信源を示す発信源情報と、を含む通信情報を取得する取得手段と、
前記動作情報に基づいて、取得された前記通信情報を分類する分類手段と、
前記動作情報に基づく前記通信情報の分類結果を、前記発信源情報と共に出力する出力手段と、
を有する通信分析装置。
2.
前記動作情報は、宛先ポート番号、TCP(Transmission Control Protocol)パケットのコントロールフラグ、および、宛先IP(Internet Protocol)アドレスの中の少なくとも1つに関する情報を含む、
1.に記載の通信分析装置。
3.
前記通信情報には、通信時刻の情報が更に含まれており、
前記出力手段は、前記通信時刻の情報を用いて、前記動作情報に基づく分類別に、通信が行われた時間の分布を示す通信時間分布情報を出力する、
1.または2.に記載の通信分析装置。
4.
前記出力手段は、時刻を示す軸を少なくとも有する多次元空間を使って、前記通信時間分布情報を出力する、
3.に記載の通信分析装置。
5.
前記出力手段は、前記通信時刻の情報を用いて、前記動作情報に基づいて決定される各分類の通信の出現間隔を示す情報を出力する、
3.に記載の通信分析装置。
6.
コンピュータが、
ネットワーク上のセンサー装置で観測された通信について、当該通信の動作を示す動作情報と、当該通信の発信源を示す発信源情報と、を含む通信情報を取得し、
前記動作情報に基づいて、取得された前記通信情報を分類し、
前記動作情報に基づく前記通信情報の分類結果を、前記発信源情報と共に出力する、
ことを含む通信分析方法。
7.
前記動作情報は、宛先ポート番号、TCP(Transmission Control Protocol)パケットのコントロールフラグ、および、宛先IP(Internet Protocol)アドレスの中の少なくとも1つに関する情報を含む、
6.に記載の通信分析方法。
8.
前記通信情報には、通信時刻の情報が更に含まれており、
前記コンピュータが、前記通信時刻の情報を用いて、前記動作情報に基づく分類別に、通信が行われた時間の分布を示す通信時間分布情報を出力する、
ことを含む6.または7.に記載の通信分析方法。
9.
前記コンピュータが、時刻を示す軸を少なくとも有する多次元空間を使って、前記通信時間分布情報を出力する、
ことを含む8.に記載の通信分析方法。
10.
前記コンピュータが、前記通信時刻の情報を用いて、前記動作情報に基づいて決定される各分類の通信の出現間隔を示す情報を出力する、
ことを含む8.に記載の通信分析方法。
11.
コンピュータに、6.から10.のいずれか1つに記載の通信分析方法を実行させるプログラム。
12.
ネットワーク上のセンサー装置で観測された通信に基づく、当該センサー装置のネットワーク環境の健全性を測る指標となる指標情報を取得する取得手段と、
取得された前記指標情報と、基準となるネットワーク環境の指標情報である基準指標情報との類似性を判断する判断手段と、
前記類似性の判断結果に基づく出力を行う出力手段と、
を備える通信環境分析装置。
13.
前記指標情報は、宛先ポート番号の情報および発信元IP(Internet Protocol)アドレスの情報の少なくとも一方を含む、
12.に記載の通信環境分析装置。
14.
前記判断手段は、
宛先ポート番号および発信元IPアドレスの少なくともいずれか一方について、前記指標情報および前記基準指標情報の双方に共通する情報の数を特定し、
前記基準指標情報に含まれる全ての情報数に対して前記特定した数の占める割合を、前記類似性を示す情報として算出する、
13.に記載の通信環境分析装置。
15.
コンピュータが、
ネットワーク上のセンサー装置で観測された通信に基づく、当該センサー装置のネットワーク環境の健全性を測る指標となる指標情報を取得し、
取得された前記指標情報と、基準となるネットワーク環境の指標情報である基準指標情報との類似性を判断し、
前記類似性の判断結果に基づく出力を行う、
ことを含む通信環境分析方法。
16.
前記コンピュータが、宛先ポート番号の情報および発信元IP(Internet Protocol)アドレスの情報の少なくとも一方を含む、
15.に記載の通信環境分析方法。
17.
前記コンピュータが、
宛先ポート番号および発信元IPアドレスの少なくともいずれか一方について、前記指標情報および前記基準指標情報の双方に共通する情報の数を特定し、
前記基準指標情報に含まれる全ての情報数に対して前記特定した数の占める割合を、前記類似性を示す情報として算出する、
ことを含む16.に記載の通信環境分析方法。
18.
コンピュータに、15.から17.のいずれか1つに記載の通信環境分析方法を実行させるプログラム。
Claims (16)
- ネットワーク上のセンサー装置である発信源について観測された第1の通信と、当該第1の通信を観測してから所定時間内に観測された同一の発信源からの他の通信と、に基づいて通信の動作を示す動作情報を生成し、生成した動作情報と、当該発信源を示す発信源情報と、を含む通信情報を取得する取得手段と、
前記動作情報に基づいて、取得された前記通信情報を分類する分類手段と、
前記動作情報に基づく前記通信情報の分類結果を、前記発信源情報と共に出力する出力手段と、
を有し、
前記動作情報は、前記第1の通信および前記他の通信に関する宛先ポート番号の組み合わせ、前記第1の通信および前記他の通信に関する宛先ポートの通信順序、前記第1の通信および前記他の通信に関するTCP(Transmission Control Protocol)のコントロールフラグのパターン、並びに、前記第1の通信および前記他の通信に関する宛先の変化、の少なくとも1つに関する情報を含む、
通信分析装置。 - 前記通信情報には、通信時刻の情報が更に含まれており、
前記出力手段は、前記通信時刻の情報を用いて、前記動作情報に基づく分類別に、通信が行われた時間の分布を示す通信時間分布情報を出力する、
請求項1に記載の通信分析装置。 - 前記出力手段は、時刻を示す軸を少なくとも有する多次元空間を使って、前記通信時間分布情報を出力する、
請求項2に記載の通信分析装置。 - 前記出力手段は、前記通信時刻の情報を用いて、前記動作情報に基づいて決定される各分類の通信の出現間隔を示す情報を出力する、
請求項2に記載の通信分析装置。 - コンピュータが、
ネットワーク上のセンサー装置である発信源について観測された第1の通信と、当該第1の通信を観測してから所定時間内に観測された同一の発信源からの他の通信と、に基づいて通信の動作を示す動作情報を生成し、生成した動作情報と、当該発信源を示す発信源情報と、を含む通信情報を取得し、
前記動作情報に基づいて、取得された前記通信情報を分類し、
前記動作情報に基づく前記通信情報の分類結果を、前記発信源情報と共に出力する、
ことを含み、
前記動作情報は、前記第1の通信および前記他の通信に関する宛先ポート番号の組み合わせ、前記第1の通信および前記他の通信に関する宛先ポートの通信順序、前記第1の通信および前記他の通信に関するTCP(Transmission Control Protocol)のコントロールフラグのパターン、並びに、前記第1の通信および前記他の通信に関する宛先の変化、の少なくとも1つに関する情報を含む、
通信分析方法。 - 前記通信情報には、通信時刻の情報が更に含まれており、
前記コンピュータが、前記通信時刻の情報を用いて、前記動作情報に基づく分類別に、通信が行われた時間の分布を示す通信時間分布情報を出力する、
ことを含む請求項5に記載の通信分析方法。 - 前記コンピュータが、時刻を示す軸を少なくとも有する多次元空間を使って、前記通信時間分布情報を出力する、
ことを含む請求項6に記載の通信分析方法。 - 前記コンピュータが、前記通信時刻の情報を用いて、前記動作情報に基づいて決定される各分類の通信の出現間隔を示す情報を出力する、
ことを含む請求項6に記載の通信分析方法。 - コンピュータに、請求項5から8のいずれか1項に記載の通信分析方法を実行させるプログラム。
- ネットワーク上のセンサー装置で観測された通信に基づく、当該センサー装置のネットワーク環境の健全性を測る指標となる指標情報を取得する取得手段と、
取得された前記指標情報と、基準となる他のセンサー装置で観測された通信に基づくネットワーク環境の指標情報である基準指標情報との類似性を判断する判断手段と、
前記類似性の判断結果と、前記他のセンサー装置に対して付与された健全性を示す情報と、に基づいて、前記センサー装置の健全性を判定し、当該判定結果に応じた出力を行う出力手段と、
を備える通信環境分析装置。 - 前記指標情報は、宛先ポート番号の情報および発信元IP(Internet Protocol)アドレスの情報の少なくとも一方を含む、
請求項10に記載の通信環境分析装置。 - 前記判断手段は、
宛先ポート番号および発信元IPアドレスの少なくともいずれか一方について、前記指標情報および前記基準指標情報の双方に共通する情報の数を特定し、
前記基準指標情報に含まれる全ての情報数に対して前記特定した数の占める割合を、前記類似性を示す情報として算出する、
請求項11に記載の通信環境分析装置。 - コンピュータが、
ネットワーク上のセンサー装置で観測された通信に基づく、当該センサー装置のネットワーク環境の健全性を測る指標となる指標情報を取得し、
取得された前記指標情報と、基準となる他のセンサー装置で観測された通信に基づくネットワーク環境の指標情報である基準指標情報との類似性を判断し、
前記類似性の判断結果と、前記他のセンサー装置に対して付与された健全性を示す情報と、に基づいて、前記センサー装置の健全性を判定し、当該判定結果に応じた出力を行う、
ことを含む通信環境分析方法。 - 前記コンピュータが、宛先ポート番号の情報および発信元IP(Internet Protocol)アドレスの情報の少なくとも一方を含む、
請求項13に記載の通信環境分析方法。 - 前記コンピュータが、
宛先ポート番号および発信元IPアドレスの少なくともいずれか一方について、前記指標情報および前記基準指標情報の双方に共通する情報の数を特定し、
前記基準指標情報に含まれる全ての情報数に対して前記特定した数の占める割合を、前記類似性を示す情報として算出する、
ことを含む請求項14に記載の通信環境分析方法。 - コンピュータに、請求項13から15のいずれか1項に記載の通信環境分析方法を実行させるプログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018118955 | 2018-06-22 | ||
JP2018118955 | 2018-06-22 | ||
PCT/JP2019/022295 WO2019244629A1 (ja) | 2018-06-22 | 2019-06-05 | 通信分析装置、通信分析方法、通信環境分析装置、通信環境分析方法、およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2019244629A1 JPWO2019244629A1 (ja) | 2021-06-24 |
JP7070678B2 true JP7070678B2 (ja) | 2022-05-18 |
Family
ID=68984032
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020525479A Active JP7070678B2 (ja) | 2018-06-22 | 2019-06-05 | 通信分析装置、通信分析方法、通信環境分析装置、通信環境分析方法、およびプログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US20210126933A1 (ja) |
JP (1) | JP7070678B2 (ja) |
DE (1) | DE112019003139T5 (ja) |
TW (1) | TW202001653A (ja) |
WO (1) | WO2019244629A1 (ja) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005236862A (ja) | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8578480B2 (en) * | 2002-03-08 | 2013-11-05 | Mcafee, Inc. | Systems and methods for identifying potentially malicious messages |
ATE374493T1 (de) * | 2002-03-29 | 2007-10-15 | Global Dataguard Inc | Adaptive verhaltensbezogene eindringdetektion |
US9235704B2 (en) * | 2008-10-21 | 2016-01-12 | Lookout, Inc. | System and method for a scanning API |
US20120137367A1 (en) * | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
WO2013015835A1 (en) * | 2011-07-22 | 2013-01-31 | Seven Networks, Inc. | Mobile application traffic optimization |
WO2012075099A2 (en) * | 2010-11-30 | 2012-06-07 | Google Inc. | Use of location tagging in data communications |
US8418249B1 (en) * | 2011-11-10 | 2013-04-09 | Narus, Inc. | Class discovery for automated discovery, attribution, analysis, and risk assessment of security threats |
US9747440B2 (en) * | 2012-08-15 | 2017-08-29 | Qualcomm Incorporated | On-line behavioral analysis engine in mobile device with multiple analyzer model providers |
US9491187B2 (en) * | 2013-02-15 | 2016-11-08 | Qualcomm Incorporated | APIs for obtaining device-specific behavior classifier models from the cloud |
US9509707B2 (en) * | 2014-06-24 | 2016-11-29 | Qualcomm Incorporated | Methods and systems for thwarting side channel attacks |
US10320813B1 (en) * | 2015-04-30 | 2019-06-11 | Amazon Technologies, Inc. | Threat detection and mitigation in a virtualized computing environment |
US9578049B2 (en) * | 2015-05-07 | 2017-02-21 | Qualcomm Incorporated | Methods and systems for using causal analysis for boosted decision stumps to identify and respond to non-benign behaviors |
US9729571B1 (en) * | 2015-07-31 | 2017-08-08 | Amdocs Software Systems Limited | System, method, and computer program for detecting and measuring changes in network behavior of communication networks utilizing real-time clustering algorithms |
US10673870B2 (en) * | 2017-01-27 | 2020-06-02 | Splunk Inc. | Security monitoring of network connections using metrics data |
EP3407235A1 (en) * | 2017-05-22 | 2018-11-28 | Leap in Value S.L. | A computer-implemented method, a system and a computer program for identifying malicious uri data items |
US10812509B2 (en) * | 2017-10-30 | 2020-10-20 | Micro Focus Llc | Detecting anomolous network activity based on scheduled dark network addresses |
EP3662370B1 (en) * | 2018-01-08 | 2023-12-27 | All Purpose Networks, Inc. | Internet of things system with efficient and secure communications network |
-
2019
- 2019-06-05 DE DE112019003139.2T patent/DE112019003139T5/de active Pending
- 2019-06-05 US US17/254,491 patent/US20210126933A1/en active Pending
- 2019-06-05 WO PCT/JP2019/022295 patent/WO2019244629A1/ja active Application Filing
- 2019-06-05 JP JP2020525479A patent/JP7070678B2/ja active Active
- 2019-06-12 TW TW108120219A patent/TW202001653A/zh unknown
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005236862A (ja) | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
Non-Patent Citations (2)
Title |
---|
沖野 浩二、ほか,「80/TCP ポートへの攻撃の時間的変化」,Computer Security Symposium 2015,2015年10月21日 |
鮫島 礼佳、ほか,「長期間の観測データを用いたサイバー攻撃と推定される通信を分析する手法の提案」,2018年 暗号と情報セキュリティシンポジウム(SCIS2018)予稿集 [USB] 2018年 暗号と情報セキュリティシンポジウム概要集 Abstracts of 2018 Symposium on Cryptography and Information Security,2018年01月23日 |
Also Published As
Publication number | Publication date |
---|---|
WO2019244629A1 (ja) | 2019-12-26 |
DE112019003139T5 (de) | 2021-03-11 |
TW202001653A (zh) | 2020-01-01 |
JPWO2019244629A1 (ja) | 2021-06-24 |
US20210126933A1 (en) | 2021-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6001689B2 (ja) | ログ分析装置、情報処理方法及びプログラム | |
CN108289088B (zh) | 基于业务模型的异常流量检测系统及方法 | |
US7752307B2 (en) | Technique of analyzing an information system state | |
US9386036B2 (en) | Method for detecting and preventing a DDoS attack using cloud computing, and server | |
JP2015076863A (ja) | ログ分析装置、方法およびプログラム | |
CN104734916B (zh) | 一种基于tcp协议的高效多级异常流量检测方法 | |
CN109194608B (zh) | 一种基于流的DDoS攻击与闪拥事件检测方法 | |
CN106878314B (zh) | 基于可信度的网络恶意行为检测方法 | |
JP2008176753A (ja) | データ類似性検査方法及び装置 | |
US11863584B2 (en) | Infection spread attack detection device, attack origin specification method, and program | |
US20220311793A1 (en) | Worm Detection Method and Network Device | |
US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
JP7070678B2 (ja) | 通信分析装置、通信分析方法、通信環境分析装置、通信環境分析方法、およびプログラム | |
Yu et al. | A visualization analysis tool for DNS amplification attack | |
KR20150091713A (ko) | 공격특성 dna 분석 장치 및 그 방법 | |
US9794274B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
EP3826242A1 (en) | Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device | |
KR20140014784A (ko) | 선형패턴과 명암 특징 기반 네트워크 트래픽의 이상현상 감지 방법 | |
CN109936551B (zh) | 域名系统攻击的防御方法、防御装置以及控制器 | |
JP5655049B2 (ja) | 判定装置、判定方法および判定プログラム | |
EP3964988B1 (en) | Sensing device, sensing method, and sensing program | |
KR20050030186A (ko) | NetFlow 정보를 이용한 네트워크 트래픽 어노멀리 검출 방법 | |
KR101447178B1 (ko) | 선형패턴과 명암 특징 기반 네트워크 트래픽의 이상현상 감지 방법 | |
CN118282749A (zh) | 网络安全数据动态交互方法、监测处理及防护系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201216 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201216 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211005 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211119 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220405 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220418 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7070678 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |