JP7215571B2 - 検知装置、検知方法および検知プログラム - Google Patents
検知装置、検知方法および検知プログラム Download PDFInfo
- Publication number
- JP7215571B2 JP7215571B2 JP2021524556A JP2021524556A JP7215571B2 JP 7215571 B2 JP7215571 B2 JP 7215571B2 JP 2021524556 A JP2021524556 A JP 2021524556A JP 2021524556 A JP2021524556 A JP 2021524556A JP 7215571 B2 JP7215571 B2 JP 7215571B2
- Authority
- JP
- Japan
- Prior art keywords
- malicious
- server
- bot
- candidates
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
以下の実施の形態では、第1の実施形態に係る検知装置10の構成、検知装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
まず、図1を用いて、検知装置10の構成について説明する。図1は、第1の実施形態に係る検知装置10の構成の一例を示す図である。図1に示すように、この検知装置10は、入力部11、出力部12、制御部13および記憶部14を有する。以下に検知装置10が有する各部の処理を説明する。
次に、図6を用いて、第1の実施形態に係る検知装置10による処理手順の例を説明する。図6は、第1の実施形態に係る検知装置における処理の流れの一例を示すフローチャートである。
このように、第1の実施形態に係る検知装置10は、フローデータを用いて、ボットの候補を特定する。検知装置10は、フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する。検知装置10は、悪性サーバと通信を行ったボットの候補を悪性なボットと検知する。このため、検知装置10は、悪性なボットと悪性サーバの両方を高い精度で検知することが可能である。つまり、検知装置10では、フローデータを用いてボットの候補を抽出し、そのボットの情報とサーバの通信の関係性を活用することで、高い確度で悪性なボットとサーバの両方の検知を実現することが可能である。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
図7は、検知プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
11 入力部
12 出力部
13 制御部
13a 特定部
13b 判定部
13c 検知部
13d フィルタリング部
14 記憶部
14a フローデータ記憶部
14b 検知結果記憶部
Claims (8)
- フローデータを用いて、ボットの候補を特定する特定部と、
前記フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する判定部と、
前記判定部によって判定された悪性サーバと通信を行ったボットの候補を悪性なボットと検知する検知部と
を有し、
前記判定部によって悪性サーバと判定されたサーバのうち、過去に所定の閾値回数以上悪性サーバと判定されたサーバを悪性サーバとして出力するフィルタリング部をさらに有すること特徴とする検知装置。 - フローデータを用いて、ボットの候補を特定する特定部と、
前記フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する判定部と、
前記判定部によって判定された悪性サーバと通信を行ったボットの候補を悪性なボットと検知する検知部と
を有し、
前記検知部によって悪性なボットと検知されたボットのうち、スキャンに使用したポート番号と前記悪性サーバと通信に使用したポート番号とが異なるボットを悪性なボットとして出力するフィルタリング部をさらに有すること特徴とする検知装置。 - 前記特定部は、前記フローデータを用いて、IPアドレスごとに、所定時間当たりの全送信パケットに対するSYNパケットの割合を計算し、閾値以上の割合でSYNパケットを送信しているIPアドレスをボット候補として特定することを特徴とする請求項1または2に記載の検知装置。
- 前記判定部は、TCP通信においてACKフラグを立ててサーバと通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定することを特徴とする請求項1または2に記載の検知装置。
- 検知装置によって実行される検知方法であって、
フローデータを用いて、ボットの候補を特定する特定工程と、
前記フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する判定工程と、
前記判定工程によって判定された悪性サーバと通信を行ったボットの候補を悪性なボットと検知する検知工程と
を含み、
前記判定工程によって悪性サーバと判定されたサーバのうち、過去に所定の閾値回数以上悪性サーバと判定されたサーバを悪性サーバとして出力するフィルタリング工程をさらに含むこと特徴とする検知方法。 - 検知装置によって実行される検知方法であって、
フローデータを用いて、ボットの候補を特定する特定工程と、
前記フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する判定工程と、
前記判定工程によって判定された悪性サーバと通信を行ったボットの候補を悪性なボットと検知する検知工程と
を含み、
前記検知工程によって悪性なボットと検知されたボットのうち、スキャンに使用したポート番号と前記悪性サーバと通信に使用したポート番号とが異なるボットを悪性なボットとして出力するフィルタリング工程をさらに含むこと特徴とする検知方法。 - フローデータを用いて、ボットの候補を特定する特定ステップと、
前記フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する判定ステップと、
前記判定ステップによって判定された悪性サーバと通信を行ったボットの候補を悪性なボットと検知する検知ステップと
をコンピュータに実行させ、
前記判定ステップによって悪性サーバと判定されたサーバのうち、過去に所定の閾値回数以上悪性サーバと判定されたサーバを悪性サーバとして出力するフィルタリングステップをさらにコンピュータに実行させることを特徴とする検知プログラム。 - フローデータを用いて、ボットの候補を特定する特定ステップと、
前記フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する判定ステップと、
前記判定ステップによって判定された悪性サーバと通信を行ったボットの候補を悪性なボットと検知する検知ステップと
をコンピュータに実行させ、
前記検知ステップによって悪性なボットと検知されたボットのうち、スキャンに使用したポート番号と前記悪性サーバと通信に使用したポート番号とが異なるボットを悪性なボットとして出力するフィルタリングステップをさらにコンピュータに実行させることを特徴とする検知プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/022239 WO2020245930A1 (ja) | 2019-06-04 | 2019-06-04 | 検知装置、検知方法および検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2020245930A1 JPWO2020245930A1 (ja) | 2020-12-10 |
JP7215571B2 true JP7215571B2 (ja) | 2023-01-31 |
Family
ID=73652598
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021524556A Active JP7215571B2 (ja) | 2019-06-04 | 2019-06-04 | 検知装置、検知方法および検知プログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US11997121B2 (ja) |
EP (1) | EP3964988B1 (ja) |
JP (1) | JP7215571B2 (ja) |
WO (1) | WO2020245930A1 (ja) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080080518A1 (en) | 2006-09-29 | 2008-04-03 | Hoeflin David A | Method and apparatus for detecting compromised host computers |
JP2008187701A (ja) | 2007-01-04 | 2008-08-14 | Oita Univ | スキャン攻撃不正侵入防御装置 |
JP2010092236A (ja) | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
JP2015111770A (ja) | 2013-12-06 | 2015-06-18 | Kddi株式会社 | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 |
JP2015179416A (ja) | 2014-03-19 | 2015-10-08 | 日本電信電話株式会社 | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム |
WO2017110099A1 (ja) | 2015-12-25 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005244429A (ja) * | 2004-02-25 | 2005-09-08 | Intelligent Cosmos Research Institute | ネットワーク異常検出の特徴量抽出方法、その方法をコンピュータに実行させるプログラム、その特徴量抽出装置およびネットワーク異常検出システム |
US8955122B2 (en) * | 2007-04-04 | 2015-02-10 | Sri International | Method and apparatus for detecting malware infection |
US8904530B2 (en) * | 2008-12-22 | 2014-12-02 | At&T Intellectual Property I, L.P. | System and method for detecting remotely controlled E-mail spam hosts |
US8914878B2 (en) * | 2009-04-29 | 2014-12-16 | Juniper Networks, Inc. | Detecting malicious network software agents |
US8789173B2 (en) * | 2009-09-03 | 2014-07-22 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
US9219744B2 (en) * | 2010-12-08 | 2015-12-22 | At&T Intellectual Property I, L.P. | Mobile botnet mitigation |
US8627473B2 (en) * | 2011-06-08 | 2014-01-07 | At&T Intellectual Property I, L.P. | Peer-to-peer (P2P) botnet tracking at backbone level |
US10757136B2 (en) * | 2015-08-28 | 2020-08-25 | Verizon Patent And Licensing Inc. | Botnet beaconing detection and mitigation |
JP2018169897A (ja) * | 2017-03-30 | 2018-11-01 | 日本電信電話株式会社 | 検知装置、検知方法及び検知プログラム |
-
2019
- 2019-06-04 WO PCT/JP2019/022239 patent/WO2020245930A1/ja unknown
- 2019-06-04 JP JP2021524556A patent/JP7215571B2/ja active Active
- 2019-06-04 EP EP19932174.6A patent/EP3964988B1/en active Active
- 2019-06-04 US US17/615,107 patent/US11997121B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080080518A1 (en) | 2006-09-29 | 2008-04-03 | Hoeflin David A | Method and apparatus for detecting compromised host computers |
JP2008187701A (ja) | 2007-01-04 | 2008-08-14 | Oita Univ | スキャン攻撃不正侵入防御装置 |
JP2010092236A (ja) | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
JP2015111770A (ja) | 2013-12-06 | 2015-06-18 | Kddi株式会社 | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 |
JP2015179416A (ja) | 2014-03-19 | 2015-10-08 | 日本電信電話株式会社 | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム |
WO2017110099A1 (ja) | 2015-12-25 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
EP3964988A4 (en) | 2022-12-07 |
US11997121B2 (en) | 2024-05-28 |
EP3964988A1 (en) | 2022-03-09 |
WO2020245930A1 (ja) | 2020-12-10 |
US20220224705A1 (en) | 2022-07-14 |
JPWO2020245930A1 (ja) | 2020-12-10 |
EP3964988B1 (en) | 2023-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210152520A1 (en) | Network Firewall for Mitigating Against Persistent Low Volume Attacks | |
JP6714314B2 (ja) | 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出 | |
WO2019136953A1 (zh) | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 | |
JP6053091B2 (ja) | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム | |
Rafique et al. | Firma: Malware clustering and network signature generation with mixed network behaviors | |
JP5518594B2 (ja) | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム | |
EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
US8516573B1 (en) | Method and apparatus for port scan detection in a network | |
US20090126019A1 (en) | Network-based infection detection using host slowdown | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
Kondo et al. | Botnet traffic detection techniques by C&C session classification using SVM | |
JP6770454B2 (ja) | 異常検知システム及び異常検知方法 | |
US20230283631A1 (en) | Detecting patterns in network traffic responses for mitigating ddos attacks | |
Singh et al. | A honeypot system for efficient capture and analysis of network attack traffic | |
JP6864610B2 (ja) | 特定システム、特定方法及び特定プログラム | |
US10721148B2 (en) | System and method for botnet identification | |
US9306908B2 (en) | Anti-malware system, method of processing packet in the same, and computing device | |
JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
JP7215571B2 (ja) | 検知装置、検知方法および検知プログラム | |
US20230056101A1 (en) | Systems and methods for detecting anomalous behaviors based on temporal profile | |
JP2018005282A (ja) | 管理装置及び管理方法 | |
JP6708575B2 (ja) | 分類装置、分類方法および分類プログラム | |
KR20200092508A (ko) | IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211015 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221004 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221201 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221220 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230102 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7215571 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |