JP7215571B2 - 検知装置、検知方法および検知プログラム - Google Patents
検知装置、検知方法および検知プログラム Download PDFInfo
- Publication number
- JP7215571B2 JP7215571B2 JP2021524556A JP2021524556A JP7215571B2 JP 7215571 B2 JP7215571 B2 JP 7215571B2 JP 2021524556 A JP2021524556 A JP 2021524556A JP 2021524556 A JP2021524556 A JP 2021524556A JP 7215571 B2 JP7215571 B2 JP 7215571B2
- Authority
- JP
- Japan
- Prior art keywords
- malicious
- server
- bot
- candidates
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、検知装置、検知方法および検知プログラムに関する。
従来、攻撃者はボットネットと呼ばれるボットや悪性サーバから構成される攻撃基盤を作成し、サイバー攻撃活動を行う。例えば、ボットネットは、攻撃者がDoS攻撃のようなサイバー攻撃を行うために構築する攻撃の基盤である。IoTが普及した近年では乗っとったボットでスキャンを行い、多数存在するIoTデバイスに効率的に感染を広げて、大規模なボットネットを構築することが知られている。このようなボットネットに対する対策として、フローデータやダークネットからボットや悪性サーバを個々に検知する技術が存在する。
"Analysis of a "/0" Stealth Scan From a Botnet"、[online]、[2019年5月23日検索]、インターネット<https://ieeexplore.ieee.org/document/6717049>
"DISCLOSURE: Detecting Botnet Command and Control Servers Through Large-scale NetFlow Analysis"、[online]、[2019年5月23日検索]、インターネット<https://dl.acm.org/citation.cfm?id=2420969>
しかしながら、従来の技術では、悪性な特徴からボットや悪性サーバを個々に検知するので、それぞれの関係性を知ることができず、ボットと悪性サーバの両方を高い精度で検知することができないという課題があった。例えば、単純なSYNパケット数や割合のみを用いたボット検知手法では、webクローラや研究者の調査ボットのような悪性ではないボットも検知してしまうため、検知結果の精度に課題があった。
上述した課題を解決し、目的を達成するために、本発明の検知装置は、フローデータを用いて、ボットの候補を特定する特定部と、前記フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する判定部と、前記判定部によって判定された悪性サーバと通信を行ったボットの候補を悪性なボットと検知する検知部とを有すること特徴とする。
本発明によれば、ボットと悪性サーバの両方を高い精度で検知することができるという効果を奏する。
以下に、本願に係る検知装置、検知方法および検知プログラムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る検知装置、検知方法および検知プログラムが限定されるものではない。
[第1の実施形態]
以下の実施の形態では、第1の実施形態に係る検知装置10の構成、検知装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
以下の実施の形態では、第1の実施形態に係る検知装置10の構成、検知装置10の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
[検知装置の構成]
まず、図1を用いて、検知装置10の構成について説明する。図1は、第1の実施形態に係る検知装置10の構成の一例を示す図である。図1に示すように、この検知装置10は、入力部11、出力部12、制御部13および記憶部14を有する。以下に検知装置10が有する各部の処理を説明する。
まず、図1を用いて、検知装置10の構成について説明する。図1は、第1の実施形態に係る検知装置10の構成の一例を示す図である。図1に示すように、この検知装置10は、入力部11、出力部12、制御部13および記憶部14を有する。以下に検知装置10が有する各部の処理を説明する。
入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部13に対して各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置、情報通信装置、スピーカ等によって実現され、例えば、後述する悪性サーバのIPアドレスや悪性ボットのIPアドレス等を出力する。
また、記憶部14は、制御部13による各種処理に必要なデータおよびプログラムを格納する。記憶部14は、フローデータ記憶部14aおよび検知結果記憶部14bを有する。例えば、記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
フローデータ記憶部14aは、入力部11から入力されたフローデータを記憶する。例えば、フローデータは、netflow、sflow、packet captureなどの通信情報であり、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル、フラグ等を含む。
ここで、図2を用いて、フローデータ記憶部14aに記憶される情報の一例を説明する。図2は、フローデータ記憶部に記憶されるフローデータの一例を示す図である。例えば、フローデータ記憶部14aは、図2に例示するように、トラフィックデータについて、送信元のIPアドレスを示す「送信元IPアドレス」、宛先のIPアドレスを示す「宛先IPアドレス」、送信元のポート番号を示す「送信元ポート番号」、宛先のポート番号を示す「宛先ポート番号」、通信プロトコルを示す「プロトコル」およびTCPヘッダのコントロールフラグを示す「フラグ」を記憶する。
検知結果記憶部14bは、後述する検知処理により検知された悪性サーバのIPアドレスと悪性ボットのIPアドレスとを記憶する。例えば、検知結果記憶部14bは、図3に例示するように、悪性サーバのIPアドレスごとに、通信したボットの数、ボットがサーバとの通信に使用したポート番号、ボットがスキャンしているポート番号を記憶する。さらに、検知結果記憶部14bは、図4に例示するように、悪性ボットのIPアドレスと、悪性ボットと通信した悪性サーバのIPアドレスとを対応付けて記憶する。図3および図4は、検知結果記憶部に記憶される情報の一例を示す図である。
ここで、悪性サーバとは、悪性な実行ファイル(マルウェア)を配布したりボットに対して命令を行ったりするC&C(Command and Control)サーバや、通信先を撹乱するためのproxyサーバ等を指す。また、ボットとは、機械的に活動を行うホストのことをいう。IoTマルウェアの多くは新たな感染先を探すためにインターネット上のスキャンをボットにさせる。ボットの中にはWebクローラや研究者の調査のようなホストも含まれ、必ずしも悪性なホストであるとは限らない。また、悪性なボットとは、悪性なサーバと通信を行ったボットのことをいう。
制御部13は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する。例えば、制御部13は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。また、制御部13は、特定部13a、判定部13b、検知部13cおよびフィルタリング部13dを有する。
特定部13aは、フローデータを用いて、ボットの候補を特定する。具体的には、特定部13aは、フローデータ記憶部14aに記憶されたフローデータを取得し、フローデータから統計的な特徴を用いてボットの候補を特定する。例えば、特定部13aは、IPアドレスごとに、所定時間当たりの全送信パケットに対するSYNパケットの割合を計算し、閾値以上の割合でSYNパケットを送信しているIPアドレスをボット候補として特定する。なお、特定部13aは、ボットのブラックリストを活用したパターンマッチングでフローデータからボット候補のIPアドレスを特定するようにしてもよい。
判定部13bは、フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する。つまり、判定部13bは、フローの中からサーバごとに何台のボットと通信したかカウントし、ボットのスキャン活動だけでは起こりえない数のボットと通信しているサーバを悪性サーバとして検知する。
例えば、判定部13bは、TCP通信においてACKフラグを立ててサーバと通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する。つまり、判定部13bは、TCP通信において実際にパケットのやり取りを行うのに必要なACKフラグを立ててサーバと通信を行ったボット候補の数をカウントし、閾値以上の数のボットと通信を行っているIPアドレスを悪性サーバとして検知する。このように悪性が疑われるボットからサーバに対して実際に通信があったもののみをカウントすることで、検知したサーバはボットと何らかのデータを実際にやり取りしており、かつ、ボットのスキャン活動という偶然では起こりえない数のボットと通信をしていたため、悪性なサーバであると判断できる。
検知部13cは、判定部13bによって判定された悪性サーバと通信を行ったボットの候補を悪性なボットと検知する。つまり、悪性サーバと通信をしていたボットは、スキャンではなく何らかの目的を持って悪性なサーバと通信をしていたと考えられるので、悪性なボットであると判断できる。
このように、検知装置10では、ボットネットを構成する悪性なボットと悪性なサーバの両方の検知を実現する。また、検知装置10では、より悪性なもののみを求める場合は、フィルタリングによってさらに精度を高くするようにしてもよい。以下にフィルタリング部13dがより悪性なもののみ検出するフィルタリング処理を説明するが、フィルタリング処理は省略してもよい、また、検知装置10は、フィルタリング部13dを有していなくてもよい。
フィルタリング部13dは、判定部13bによって悪性サーバと判定されたサーバのうち、過去に所定の閾値回数以上悪性サーバと判定されたサーバを出力するようにしてもよい。つまり、サーバが過去にも閾値回数以上検知されていた場合は、検知されたサーバは偶然ボットからのスキャンが集中したのではなく、何度もボットとやり取りを行っていると判断できる。このため、フィルタリング部13dは、過去に所定の閾値回数以上悪性サーバと判定されたサーバのみを悪性サーバとして検知するようにしてもよい。
また、フィルタリング部13dは、悪性なボットと検知されたボットのうち、スキャンに使用したポート番号と悪性サーバと通信に使用したポート番号とが異なるボットを悪性なボットとして出力するようにしてもよい。つまり、ボットがスキャンしていたポート番号とボットがサーバとの通信に使用していたポート番号が異なる場合、ボットがスキャン以外の用途でサーバと通信を行ったことがわかるため、その通信はスキャンではないことがわかり、悪性な通信であったと判断できる。
このように、検知装置10では、入力データとして、フローデータの入力を受け付けると、図5に例示するように、複数のボットと通信をしていた悪性サーバのIPアドレスとそのサーバと通信をした悪性なボットのIPアドレスを検知結果として出力する。また、図5に例示するように、検知装置10が、ボットがスキャンしているポート番号、ボットが悪性サーバとの通信に使用したポート番号、サーバと通信したボットの数の情報についても検知結果として出力することで、サーバの悪性度やボットネットの規模の判断ができるようにすることが可能である。また、検知装置10は、検知結果として、ボット候補のアドレス数や、悪性サーバの合計数、悪性ボットの合計数を出力するようにしてもよい。図5は、出力結果の一例を示す図である。
[検知装置の処理手順]
次に、図6を用いて、第1の実施形態に係る検知装置10による処理手順の例を説明する。図6は、第1の実施形態に係る検知装置における処理の流れの一例を示すフローチャートである。
次に、図6を用いて、第1の実施形態に係る検知装置10による処理手順の例を説明する。図6は、第1の実施形態に係る検知装置における処理の流れの一例を示すフローチャートである。
図6に例示するように、検知装置10がフローデータの入力を受け付けると(ステップS101,Yes)、特定部13aは、フローデータを用いて、ボットの候補を特定する(ステップS102)。例えば、特定部13aは、IPアドレスごとに、所定時間当たりの全送信パケットに対するSYNパケットの割合を計算し、閾値以上の割合でSYNパケットを送信しているIPアドレスをボット候補として特定する。
そして、判定部13bは、フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし(ステップS103)、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する(ステップS104)。例えば、判定部13bは、TCP通信においてACKフラグを立ててサーバと通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する。
続いて、検知部13cは、判定部13bによって判定された悪性サーバと通信を行っているボットを悪性なボットと検知する(ステップS105)。その後、検知装置10は、判定部13bが判定した悪性サーバと、検知部13cが検知した悪性なボットとをそのまま検知結果として出力してもよいし、前述したフィルタリング部13dがより悪性なもののみ検出するフィルタリング処理を行った後、特定の条件を満たす悪性サーバおよび悪性なボットのみを出力するようにしてもよい。
[第1の実施形態の効果]
このように、第1の実施形態に係る検知装置10は、フローデータを用いて、ボットの候補を特定する。検知装置10は、フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する。検知装置10は、悪性サーバと通信を行ったボットの候補を悪性なボットと検知する。このため、検知装置10は、悪性なボットと悪性サーバの両方を高い精度で検知することが可能である。つまり、検知装置10では、フローデータを用いてボットの候補を抽出し、そのボットの情報とサーバの通信の関係性を活用することで、高い確度で悪性なボットとサーバの両方の検知を実現することが可能である。
このように、第1の実施形態に係る検知装置10は、フローデータを用いて、ボットの候補を特定する。検知装置10は、フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する。検知装置10は、悪性サーバと通信を行ったボットの候補を悪性なボットと検知する。このため、検知装置10は、悪性なボットと悪性サーバの両方を高い精度で検知することが可能である。つまり、検知装置10では、フローデータを用いてボットの候補を抽出し、そのボットの情報とサーバの通信の関係性を活用することで、高い確度で悪性なボットとサーバの両方の検知を実現することが可能である。
例えば、従来技術では、悪性な特徴からボットや悪性サーバを検知しているが、第1の実施形態に係る検知装置10では、悪性の特徴とボットとサーバが通信したという事実を用いて検知を行っているため、検知した結果はより悪性なボットやサーバであるという確度を高めることができる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
図7は、検知プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
図7は、検知プログラムを実行するコンピュータを示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、例えばディスプレイ1061に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、検知装置10の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施の形態の処理で用いられるデータは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク、WANを介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 検知装置
11 入力部
12 出力部
13 制御部
13a 特定部
13b 判定部
13c 検知部
13d フィルタリング部
14 記憶部
14a フローデータ記憶部
14b 検知結果記憶部
11 入力部
12 出力部
13 制御部
13a 特定部
13b 判定部
13c 検知部
13d フィルタリング部
14 記憶部
14a フローデータ記憶部
14b 検知結果記憶部
Claims (8)
- フローデータを用いて、ボットの候補を特定する特定部と、
前記フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する判定部と、
前記判定部によって判定された悪性サーバと通信を行ったボットの候補を悪性なボットと検知する検知部と
を有し、
前記判定部によって悪性サーバと判定されたサーバのうち、過去に所定の閾値回数以上悪性サーバと判定されたサーバを悪性サーバとして出力するフィルタリング部をさらに有すること特徴とする検知装置。 - フローデータを用いて、ボットの候補を特定する特定部と、
前記フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する判定部と、
前記判定部によって判定された悪性サーバと通信を行ったボットの候補を悪性なボットと検知する検知部と
を有し、
前記検知部によって悪性なボットと検知されたボットのうち、スキャンに使用したポート番号と前記悪性サーバと通信に使用したポート番号とが異なるボットを悪性なボットとして出力するフィルタリング部をさらに有すること特徴とする検知装置。 - 前記特定部は、前記フローデータを用いて、IPアドレスごとに、所定時間当たりの全送信パケットに対するSYNパケットの割合を計算し、閾値以上の割合でSYNパケットを送信しているIPアドレスをボット候補として特定することを特徴とする請求項1または2に記載の検知装置。
- 前記判定部は、TCP通信においてACKフラグを立ててサーバと通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定することを特徴とする請求項1または2に記載の検知装置。
- 検知装置によって実行される検知方法であって、
フローデータを用いて、ボットの候補を特定する特定工程と、
前記フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する判定工程と、
前記判定工程によって判定された悪性サーバと通信を行ったボットの候補を悪性なボットと検知する検知工程と
を含み、
前記判定工程によって悪性サーバと判定されたサーバのうち、過去に所定の閾値回数以上悪性サーバと判定されたサーバを悪性サーバとして出力するフィルタリング工程をさらに含むこと特徴とする検知方法。 - 検知装置によって実行される検知方法であって、
フローデータを用いて、ボットの候補を特定する特定工程と、
前記フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する判定工程と、
前記判定工程によって判定された悪性サーバと通信を行ったボットの候補を悪性なボットと検知する検知工程と
を含み、
前記検知工程によって悪性なボットと検知されたボットのうち、スキャンに使用したポート番号と前記悪性サーバと通信に使用したポート番号とが異なるボットを悪性なボットとして出力するフィルタリング工程をさらに含むこと特徴とする検知方法。 - フローデータを用いて、ボットの候補を特定する特定ステップと、
前記フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する判定ステップと、
前記判定ステップによって判定された悪性サーバと通信を行ったボットの候補を悪性なボットと検知する検知ステップと
をコンピュータに実行させ、
前記判定ステップによって悪性サーバと判定されたサーバのうち、過去に所定の閾値回数以上悪性サーバと判定されたサーバを悪性サーバとして出力するフィルタリングステップをさらにコンピュータに実行させることを特徴とする検知プログラム。 - フローデータを用いて、ボットの候補を特定する特定ステップと、
前記フローデータを用いて、各サーバについて、通信を行ったボットの候補の数をカウントし、所定数以上のボットの候補と通信を行っているサーバを悪性サーバと判定する判定ステップと、
前記判定ステップによって判定された悪性サーバと通信を行ったボットの候補を悪性なボットと検知する検知ステップと
をコンピュータに実行させ、
前記検知ステップによって悪性なボットと検知されたボットのうち、スキャンに使用したポート番号と前記悪性サーバと通信に使用したポート番号とが異なるボットを悪性なボットとして出力するフィルタリングステップをさらにコンピュータに実行させることを特徴とする検知プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/022239 WO2020245930A1 (ja) | 2019-06-04 | 2019-06-04 | 検知装置、検知方法および検知プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2020245930A1 JPWO2020245930A1 (ja) | 2020-12-10 |
| JP7215571B2 true JP7215571B2 (ja) | 2023-01-31 |
Family
ID=73652598
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021524556A Active JP7215571B2 (ja) | 2019-06-04 | 2019-06-04 | 検知装置、検知方法および検知プログラム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11997121B2 (ja) |
| EP (1) | EP3964988B1 (ja) |
| JP (1) | JP7215571B2 (ja) |
| WO (1) | WO2020245930A1 (ja) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080080518A1 (en) | 2006-09-29 | 2008-04-03 | Hoeflin David A | Method and apparatus for detecting compromised host computers |
| JP2008187701A (ja) | 2007-01-04 | 2008-08-14 | Oita Univ | スキャン攻撃不正侵入防御装置 |
| JP2010092236A (ja) | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| JP2015111770A (ja) | 2013-12-06 | 2015-06-18 | Kddi株式会社 | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 |
| JP2015179416A (ja) | 2014-03-19 | 2015-10-08 | 日本電信電話株式会社 | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム |
| WO2017110099A1 (ja) | 2015-12-25 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005244429A (ja) * | 2004-02-25 | 2005-09-08 | Intelligent Cosmos Research Institute | ネットワーク異常検出の特徴量抽出方法、その方法をコンピュータに実行させるプログラム、その特徴量抽出装置およびネットワーク異常検出システム |
| US8955122B2 (en) * | 2007-04-04 | 2015-02-10 | Sri International | Method and apparatus for detecting malware infection |
| US8904530B2 (en) * | 2008-12-22 | 2014-12-02 | At&T Intellectual Property I, L.P. | System and method for detecting remotely controlled E-mail spam hosts |
| US8914878B2 (en) * | 2009-04-29 | 2014-12-16 | Juniper Networks, Inc. | Detecting malicious network software agents |
| US8789173B2 (en) * | 2009-09-03 | 2014-07-22 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
| US9219744B2 (en) * | 2010-12-08 | 2015-12-22 | At&T Intellectual Property I, L.P. | Mobile botnet mitigation |
| US8627473B2 (en) * | 2011-06-08 | 2014-01-07 | At&T Intellectual Property I, L.P. | Peer-to-peer (P2P) botnet tracking at backbone level |
| US10757136B2 (en) * | 2015-08-28 | 2020-08-25 | Verizon Patent And Licensing Inc. | Botnet beaconing detection and mitigation |
| JP2018169897A (ja) * | 2017-03-30 | 2018-11-01 | 日本電信電話株式会社 | 検知装置、検知方法及び検知プログラム |
-
2019
- 2019-06-04 WO PCT/JP2019/022239 patent/WO2020245930A1/ja unknown
- 2019-06-04 JP JP2021524556A patent/JP7215571B2/ja active Active
- 2019-06-04 EP EP19932174.6A patent/EP3964988B1/en active Active
- 2019-06-04 US US17/615,107 patent/US11997121B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080080518A1 (en) | 2006-09-29 | 2008-04-03 | Hoeflin David A | Method and apparatus for detecting compromised host computers |
| JP2008187701A (ja) | 2007-01-04 | 2008-08-14 | Oita Univ | スキャン攻撃不正侵入防御装置 |
| JP2010092236A (ja) | 2008-10-07 | 2010-04-22 | Kddi Corp | 情報処理装置、プログラム、および記録媒体 |
| JP2015111770A (ja) | 2013-12-06 | 2015-06-18 | Kddi株式会社 | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 |
| JP2015179416A (ja) | 2014-03-19 | 2015-10-08 | 日本電信電話株式会社 | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム |
| WO2017110099A1 (ja) | 2015-12-25 | 2017-06-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3964988A4 (en) | 2022-12-07 |
| US11997121B2 (en) | 2024-05-28 |
| EP3964988A1 (en) | 2022-03-09 |
| WO2020245930A1 (ja) | 2020-12-10 |
| US20220224705A1 (en) | 2022-07-14 |
| JPWO2020245930A1 (ja) | 2020-12-10 |
| EP3964988B1 (en) | 2023-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210152520A1 (en) | Network Firewall for Mitigating Against Persistent Low Volume Attacks | |
| JP6714314B2 (ja) | 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出 | |
| WO2019136953A1 (zh) | 基于c&c域名分析的僵尸网络检测方法、装置、设备及介质 | |
| JP6053091B2 (ja) | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム | |
| Rafique et al. | Firma: Malware clustering and network signature generation with mixed network behaviors | |
| JP5518594B2 (ja) | 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| US8516573B1 (en) | Method and apparatus for port scan detection in a network | |
| US20090126019A1 (en) | Network-based infection detection using host slowdown | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| Kondo et al. | Botnet traffic detection techniques by C&C session classification using SVM | |
| JP6770454B2 (ja) | 異常検知システム及び異常検知方法 | |
| US20230283631A1 (en) | Detecting patterns in network traffic responses for mitigating ddos attacks | |
| Singh et al. | A honeypot system for efficient capture and analysis of network attack traffic | |
| JP6864610B2 (ja) | 特定システム、特定方法及び特定プログラム | |
| US10721148B2 (en) | System and method for botnet identification | |
| US9306908B2 (en) | Anti-malware system, method of processing packet in the same, and computing device | |
| JP6470201B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
| JP7215571B2 (ja) | 検知装置、検知方法および検知プログラム | |
| US20230056101A1 (en) | Systems and methods for detecting anomalous behaviors based on temporal profile | |
| JP2018005282A (ja) | 管理装置及び管理方法 | |
| JP6708575B2 (ja) | 分類装置、分類方法および分類プログラム | |
| KR20200092508A (ko) | IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211015 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221004 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221201 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221220 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230102 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7215571 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |