JPWO2007091305A1 - ワーム対策プログラム、ワーム対策装置、ワーム対策方法 - Google Patents

ワーム対策プログラム、ワーム対策装置、ワーム対策方法 Download PDF

Info

Publication number
JPWO2007091305A1
JPWO2007091305A1 JP2007557697A JP2007557697A JPWO2007091305A1 JP WO2007091305 A1 JPWO2007091305 A1 JP WO2007091305A1 JP 2007557697 A JP2007557697 A JP 2007557697A JP 2007557697 A JP2007557697 A JP 2007557697A JP WO2007091305 A1 JPWO2007091305 A1 JP WO2007091305A1
Authority
JP
Japan
Prior art keywords
communication
worm
control amount
target
calculation formula
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007557697A
Other languages
English (en)
Other versions
JP4777366B2 (ja
Inventor
敏達 野田
敏達 野田
和成 面
和成 面
芳樹 東角
芳樹 東角
昌弘 小村
昌弘 小村
仁史 三友
仁史 三友
悟 鳥居
悟 鳥居
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2007091305A1 publication Critical patent/JPWO2007091305A1/ja
Application granted granted Critical
Publication of JP4777366B2 publication Critical patent/JP4777366B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

ワーム通信の可能性のある通信の制御をコンピュータに実行させるワーム対策プログラムであって、対象とする発信元からの通信に関する情報である通信情報の取得を行う通信情報取得ステップと、通信情報を用いて対象とする発信元からの通信の制御量を算出するための制御量算出式を有し、該制御量算出式により得られる通信の制御量に基づいて、対象とする発信元からの通信の制御を行う通信制御ステップとをコンピュータに実行させる。

Description

本発明は、ネットワークにおいてワームの対策を行うワーム対策プログラム、ワーム対策装置、ワーム対策方法に関するものである。
ワームとは、ネットワーク内の脆弱なホストコンピュータに対する感染行為を繰り返すことにより、ネットワークを麻痺させるプログラムの総称である。従来、ワームの通信か否かの判定は二値判定であり、その判定結果に対する対処も通信の許可と遮断の二種類であった。
なお、本発明の関連ある従来技術として、例えば、監視期間におけるパケットの宛先数の閾値に基づいてワームを検出することにより、未知のワームを早期に検出できる技術がある(例えば、特許文献1)。
特開2005−134974号公報
しかしながら、上述した判定において誤判定が発生すると、これに伴う誤対処が行われ、次のような問題が生じていた。例えば、ワームの通信であるにも関わらずワームの通信ではないと判断された場合、ワームはネットワーク上に蔓延していった。また、正規の通信であるにも関わらず、ワームの通信であると判定された場合、正規の通信を行うことができなくなり、業務に支障をきたしていた。
本発明は上述した問題点を解決するためになされたものであり、ワームの二値判定により生じる誤った対処を防ぐためのワーム対策プログラム、ワーム対策装置、ワーム対策方法を提供することを目的とする。
上述した課題を解決するため、本発明は、ワーム通信の可能性のある通信の制御をコンピュータに実行させるワーム対策プログラムであって、対象とする発信元からの通信に関する情報である通信情報の取得を行う通信情報取得ステップと、前記通信情報を用いて前記対象とする発信元からの通信の制御量を算出するための制御量算出式を有し、該制御量算出式により得られる前記通信の制御量に基づいて、前記対象とする発信元からの通信の制御を行う通信制御ステップとをコンピュータに実行させるものである。
また、本発明に係るワーム対策プログラムにおいて、前記制御量は、前記対象とする発信元からの通信の制限を表し、前記通信制御ステップは、前記制限量に基づいて前記対象とする発信元からの通信の制限を行うことを特徴とするものである。
また、本発明に係るワーム対策プログラムにおいて、更に、前記統計データ取得ステップの前に、予め取得された正常通信時の通信情報とワーム通信時の通信情報とを用いた統計データに基づいて、前記通信情報から前記対象とする発信元からの通信の制御量を算出するための制御量算出式を生成する制御量算出式生成ステップをコンピュータに実行させることを特徴とするものである。
また、本発明に係るワーム対策プログラムにおいて、前記統計データは、前記正常通信と前記ワーム通信における所定の発信元から単位時間に送信された宛先アドレスの数の分布であることを特徴とするものである。
また、本発明に係るワーム対策プログラムにおいて、前記制御量算出式は、通信情報の変化に対して制御量が段階的または連続的に変化することを特徴とするものである。
また、本発明に係るワーム対策プログラムにおいて、前記通信情報は、前記対象とする発信元から単位時間に送信された宛先アドレスの数であることを特徴とするものである。
また、本発明は、ワーム通信の可能性のある通信の制御を行うワーム対策装置であって、対象とする発信元からの通信に関する情報である通信情報の取得を行う通信情報取得部と、前記通信情報を用いて前記対象とする発信元からの通信の制御量を算出するための制御量算出式を有し、該制御量算出式により得られる前記通信の制御量に基づいて、前記対象とする発信元からの通信の制御を行う通信制御部とを備えたものである。
また、本発明に係るワーム対策装置において、前記制御量は、前記対象とする発信元からの通信の制限を表し、前記通信制御部は、前記制限量に基づいて前記対象とする発信元からの通信の制限を行うことを特徴とするものである。
また、本発明に係るワーム対策装置において、更に、予め取得された正常通信時の通信情報とワーム通信時の通信情報とを用いた統計データに基づいて、前記通信情報から前記対象とする発信元からの通信の制御量を算出するための制御量算出式を生成する制御量算出式生成ステップを備えることを特徴とするものである。
また、本発明に係るワーム対策装置において、前記統計データは、前記正常通信と前記ワーム通信における所定の発信元から単位時間に送信された宛先アドレスの数の分布であることを特徴とするものである。
また、本発明に係るワーム対策装置において、前記制御量算出式は、通信情報の変化に対して制御量が段階的または連続的に変化することを特徴とするものである。
また、本発明に係るワーム対策装置において、前記通信情報は、前記対象とする発信元から単位時間に送信された宛先アドレスの数であることを特徴とするものである。
また、本発明は、ワーム通信の可能性のある通信の制御を行うワーム対策方法であって、対象とする発信元からの通信に関する情報である通信情報の取得を行う通信情報取得ステップと、前記通信情報を用いて前記対象とする発信元からの通信の制御量を算出するための制御量算出式を有し、該制御量算出式により得られる前記通信の制御量に基づいて、前記対象とする発信元からの通信の制御を行う通信制御ステップとを実行するものである。
本実施の形態に係るワーム対策装置の構成の一例を示すブロック図である。 本実施の形態に係る通信制御処理の動作の一例を示すフローチャートである。
以下、本発明の実施の形態について図面を参照しつつ説明する。
まず、本実施の形態に係るワーム対策装置の構成について説明する。
図1は、本実施の形態に係るワーム対策装置の構成の一例を示すブロック図である。このワーム対策装置1は、制御部11、記憶部12、インタフェース部13、通信データキュー14を備える。ワーム対策装置1は、ネットワークセグメント2a、2bの出入口に設置され、ワーム通信の検出および通信の段階的遮断や復旧を行う。ネットワークセグメント2a,2bは、閉じたネットワーク環境であり、イントラネットや一台のコンピュータなどを表す。インタフェース部13は、ネットワークを介してネットワークセグメント2a、2bに接続されている。制御部11は、インタフェース部13を介してネットワークセグメント2a、2bの間の中継を行う。このとき、通信データは、一旦通信データキュー14に蓄えられる。また、制御部11は、記憶部12に格納された設定データに基づいて、後述する制御量算出処理や通信制御処理を行う。
次に、ワーム対策装置1の制御量算出式生成処理について説明する。
制御量算出式生成処理において、制御部11は、予め、通常通信の通信ログ、および実際にワームを動作させた(またはワームが動作した)ワーム通信の通信ログを採取し、通信ログから通信情報を算出し、収集した通信情報から統計データを算出する。通信情報の取得には、例えば、特許文献1の技術を用いる。
具体的には、検出対象となるネットワークについて、一定期間、通信ログを採取する。通信ログは、パケット毎のエントリを持つ。各エントリには、発信元/宛先アドレス、発信元/宛先ポート、プロトコル、等、通信に関わるデータが含まれている。
次に、制御部11は、通信ログの各エントリを通信内容に応じたカテゴリに分類する。カテゴリとは例えば、プロトコル(TCP,UDP,ICMP)、サービス(宛先ポート番号など)、パケットに含まれる各種フラグ(TCPの場合のSYNパケットのみなど)、その他のパケットの特徴などで分類することができる。分類は、ワームが種々の通信を無作為に行うわけではなく、同種のワームは同種のカテゴリに分類される通信を大量に行うことが多いという性質に基づいて行われる。
次に、制御部11は、カテゴリ分類されたエントリについて、所定の単位時間当たりのワーム検出パラメータの値を算出し、通信情報とする。ワーム検出パラメータは、通常時と比較してワームが蔓延した場合に大きく変化するデータとする。例えば、ワーム検出パラメータは、パケット数(通信ログのエントリ数)、通信量(単位時間あたりのデータ転送量)、宛先アドレス数、発信元アドレス数であり、このようなパラメータから1または複数が選択されて用いられる。なお、カテゴリ分類を行わず、全てのエントリを処理するようにしても良い。
ここで、制御部11は、所定のネットワークセグメント毎に、通信情報の値の範囲ごとの出現頻度を集計し、頻度分布を作成し、統計データとする。本実施の形態において、制御部11は、単位時間内のエントリのうち、発信元アドレスが同じエントリ毎に集計する。
ここで、特許文献1の技術は、上述した統計データに基づいて、二値判定を行うための閾値を求めているが、本実施の形態のワーム対策装置1は、上述した統計データに基づいて、対象がワームに感染している危険性を算出する危険性算出式、および通信制御を行うための制御量を算出する制御量算出式を求める。
本実施の形態では、危険性算出式の具体例として、単位時間当たりの通信相手IPアドレス数から、ワームに感染している危険性を求める式について述べる。ここで、対象のPC(Personal Computer)が1秒間に送信する宛先IPアドレスの数をN(Nは0以上の整数)、対象のPCがワームに感染している危険性をR(Rは0以上1以下の実数)とする。R=0は確実に感染していないことを表し、R=1は確実に感染していることを表す。
ワーム対策装置1は、予め正常通信とワーム通信を行わせることにより、正常通信とワーム通信におけるNの頻度分布を統計データとして取得し、この統計データに基づいてNからRを算出する危険性算出式を生成する。例えば、ワーム対策装置1は、Nの頻度分布からR=0となるNの値とR=1となるNの値を求め、0<R<1となるNの値の範囲では、Nに対するRの近似式を生成し、これらを危険性算出式とする。ここで、生成された危険性算出式の一例を以下に示す。ここで、生成された危険性算出式の一例を以下に示す。
・N<=100のとき R=0
・100<N<=150のとき R=(N−100)^2/5000
・150<N<=200のとき R=1−(200−N)^2/5000
・200<Nのとき R=1
ここでは対象をPCとしたが、対象をネットワークセグメントなど、複数のノードとし、通信ログにおける発信元IPアドレスが所定の範囲に含まれるものを対象としても良い。
更に、通信制御処理の制御量として、対象のコンピュータの通信許可率をP(Pは0以上1以下の実数)とする。P=0は完全に通信を遮断することを表し、P=1は完全に通信を許可することを表す。ワーム対策装置1は、危険性算出式を用いて、NからPを算出する制御量算出式を生成する。ここで、制御量算出式の一例を以下に示す。
P=1−R
ここで、制御量Pは、Nの変化に対して段階的に変化させても良いし、Nの変化に対して連続的に変化させても良い。
次に、ワーム対策装置1の通信制御処理について説明する。
図2は、本実施の形態に係るワーム対策装置の通信制御処理の動作の一例を示すフローチャートである。まず、制御部11は、現在の通信ログから上述した通信情報を取得する(S11)。本実施の形態における通信情報は、対象のPCから単位時間に送信された宛先アドレスの数Nである。次に、制御部11は、ワームに感染している危険性を計算する(S12)。ここで、制御部11は、上述した制御量算出式によりNから危険性Rと制御量Pを算出する。
次に、制御部11は、制御量に応じた通信制御を行う(S13)。ここで、制御部11は、上述した通信許可率Pに従って単位時間当たりの通信量の制限を行う。次に、制御部11は、危険性R>0であるか否かの判断を行う(S15)。危険性が全くない場合(S15,N)、このフローを終了する。一方、危険性が少しでもある場合(S15、Y)、制御部11は、危険性または通信制御の結果を管理者へ通知し(S16)、このフローを終了する。制御部11は、このフローを繰り返す。
ワーム対策装置1がこのフローを繰り返すことにより、ワームの危険性が増加すると通信量が減少し、ワームの危険性が減少すると通信量が増加することになる。また、本実施の形態において、ワーム対策装置1は通信制御として単位時間当たりの通信量を制限するとしたが、ワーム対策装置1は通信制御として発信元の制限、宛先の制限、通信可能ポートの制限を行っても良い。
ワーム対策装置1が、ワーム通信であるか否かを二値判定するのではなく、予め作成した統計データと現在の通信情報に基づいて、危険性や制御量を算出し、制御量に基づいて通信の制御を行うことにより、従来の誤った二値判定による誤った対処を防止することができる。また、ワーム対策装置1が単位時間当たりの宛先の数から制御量を求めることにより、容易に通信ログから取得することができる。
また、本実施の形態に係るワーム対策装置は、ネットワーク中継装置に容易に適用することができ、ネットワーク中継装置の性能をより高めることができる。ここで、ネットワーク中継装置には、例えばプロキシサーバ、ルータ、ブリッジ等が含まれ得る。
更に、ワーム対策装置を構成するコンピュータにおいて上述した各ステップを実行させるプログラムを、ワーム対策プログラムとして提供することができる。上述したプログラムは、コンピュータにより読取り可能な記録媒体に記憶させることによって、ワーム対策装置を構成するコンピュータに実行させることが可能となる。ここで、上記コンピュータにより読取り可能な記録媒体としては、ROMやRAM等のコンピュータに内部実装される内部記憶装置、CD−ROMやフレキシブルディスク、DVDディスク、光磁気ディスク、ICカード等の可搬型記憶媒体や、コンピュータプログラムを保持するデータベース、或いは、他のコンピュータ並びにそのデータベースや、更に回線上の伝送媒体をも含むものである。
なお、通信情報取得ステップは、実施の形態における通信制御処理中の処理S11に対応する。また、通信制御ステップは、実施の形態における通信制御処理中の処理S12〜S16に対応する。また、制御量算出式生成ステップは、実施の形態における制御量算出式生成処理に対応する。また、通信情報取得部、通信制御部、制御量算出式生成部は、実施の形態における制御部に対応する。
以上説明したように、本発明によれば、ワームの二値判定により生じる誤った対処を防ぐことができるとともに、危険性に応じた柔軟な通信制御を行うことができる。

Claims (18)

  1. ワーム通信の可能性のある通信の制御をコンピュータに実行させるワーム対策プログラムであって、
    対象とする発信元からの通信に関する情報である通信情報の取得を行う通信情報取得ステップと、
    前記通信情報を用いて前記対象とする発信元からの通信の制御量を算出するための制御量算出式を有し、該制御量算出式により得られる前記通信の制御量に基づいて、前記対象とする発信元からの通信の制御を行う通信制御ステップと
    をコンピュータに実行させるワーム対策プログラム。
  2. 請求項1に記載のワーム対策プログラムにおいて、
    前記制御量は、前記対象とする発信元からの通信の制限を表し、前記通信制御ステップは、前記制限量に基づいて前記対象とする発信元からの通信の制限を行うことを特徴とするワーム対策プログラム。
  3. 請求項1または請求項2に記載のワーム対策プログラムにおいて、
    更に、前記統計データ取得ステップの前に、予め取得された正常通信時の通信情報とワーム通信時の通信情報とを用いた統計データに基づいて、前記通信情報から前記対象とする発信元からの通信の制御量を算出するための制御量算出式を生成する制御量算出式生成ステップをコンピュータに実行させることを特徴とするワーム対策プログラム。
  4. 請求項3に記載のワーム対策プログラムにおいて、
    前記統計データは、前記正常通信と前記ワーム通信における所定の発信元から単位時間に送信された宛先アドレスの数の分布であることを特徴とするワーム対策プログラム。
  5. 請求項1乃至請求項4のいずれかに記載のワーム対策プログラムにおいて、
    前記制御量算出式は、通信情報の変化に対して制御量が段階的または連続的に変化することを特徴とするワーム対策プログラム。
  6. 請求項1乃至請求項5のいずれかに記載のワーム対策プログラムにおいて、
    前記通信情報は、前記対象とする発信元から単位時間に送信された宛先アドレスの数であることを特徴とするワーム対策プログラム。
  7. ワーム通信の可能性のある通信の制御を行うワーム対策装置であって、
    対象とする発信元からの通信に関する情報である通信情報の取得を行う通信情報取得部と、
    前記通信情報を用いて前記対象とする発信元からの通信の制御量を算出するための制御量算出式を有し、該制御量算出式により得られる前記通信の制御量に基づいて、前記対象とする発信元からの通信の制御を行う通信制御部と
    を備えるワーム対策装置。
  8. 請求項7に記載のワーム対策装置において、
    前記制御量は、前記対象とする発信元からの通信の制限を表し、前記通信制御部は、前記制限量に基づいて前記対象とする発信元からの通信の制限を行うことを特徴とするワーム対策装置。
  9. 請求項7または請求項8に記載のワーム対策装置において、
    更に、予め取得された正常通信時の通信情報とワーム通信時の通信情報とを用いた統計データに基づいて、前記通信情報から前記対象とする発信元からの通信の制御量を算出するための制御量算出式を生成する制御量算出式生成ステップを備えることを特徴とするワーム対策装置。
  10. 請求項9に記載のワーム対策装置において、
    前記統計データは、前記正常通信と前記ワーム通信における所定の発信元から単位時間に送信された宛先アドレスの数の分布であることを特徴とするワーム対策装置。
  11. 請求項7乃至請求項10のいずれかに記載のワーム対策装置において、
    前記制御量算出式は、通信情報の変化に対して制御量が段階的または連続的に変化することを特徴とするワーム対策装置。
  12. 請求項7乃至請求項11のいずれかに記載のワーム対策装置において、
    前記通信情報は、前記対象とする発信元から単位時間に送信された宛先アドレスの数であることを特徴とするワーム対策装置。
  13. ワーム通信の可能性のある通信の制御を行うワーム対策方法であって、
    対象とする発信元からの通信に関する情報である通信情報の取得を行う通信情報取得ステップと、
    前記通信情報を用いて前記対象とする発信元からの通信の制御量を算出するための制御量算出式を有し、該制御量算出式により得られる前記通信の制御量に基づいて、前記対象とする発信元からの通信の制御を行う通信制御ステップと
    を実行するワーム対策方法。
  14. 請求項13に記載のワーム対策方法において、
    前記制御量は、前記対象とする発信元からの通信の制限を表し、前記通信制御ステップは、前記制限量に基づいて前記対象とする発信元からの通信の制限を行うことを特徴とするワーム対策方法。
  15. 請求項13または請求項14に記載のワーム対策方法において、
    更に、前記統計データ取得ステップの前に、予め取得された正常通信時の通信情報とワーム通信時の通信情報とを用いた統計データに基づいて、前記通信情報から前記対象とする発信元からの通信の制御量を算出するための制御量算出式を生成する制御量算出式生成ステップを実行することを特徴とするワーム対策方法。
  16. 請求項15に記載のワーム対策方法において、
    前記統計データは、前記正常通信と前記ワーム通信における所定の発信元から単位時間に送信された宛先アドレスの数の分布であることを特徴とするワーム対策方法。
  17. 請求項13乃至請求項16のいずれかに記載のワーム対策方法において、
    前記制御量算出式は、通信情報の変化に対して制御量が段階的または連続的に変化することを特徴とするワーム対策方法。
  18. 請求項13乃至請求項17に記載のワーム対策方法において、
    前記通信情報は、前記対象とする発信元から単位時間に送信された宛先アドレスの数であることを特徴とするワーム対策方法。
JP2007557697A 2006-02-08 2006-02-08 ワーム対策プログラム、ワーム対策装置、ワーム対策方法 Expired - Fee Related JP4777366B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2006/302125 WO2007091305A1 (ja) 2006-02-08 2006-02-08 ワーム対策プログラム、ワーム対策装置、ワーム対策方法

Publications (2)

Publication Number Publication Date
JPWO2007091305A1 true JPWO2007091305A1 (ja) 2009-06-25
JP4777366B2 JP4777366B2 (ja) 2011-09-21

Family

ID=38344913

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007557697A Expired - Fee Related JP4777366B2 (ja) 2006-02-08 2006-02-08 ワーム対策プログラム、ワーム対策装置、ワーム対策方法

Country Status (3)

Country Link
US (1) US8307445B2 (ja)
JP (1) JP4777366B2 (ja)
WO (1) WO2007091305A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8220056B2 (en) * 2008-09-23 2012-07-10 Savvis, Inc. Threat management system and method
JP2016181191A (ja) * 2015-03-25 2016-10-13 富士通株式会社 管理プログラム、管理装置及び管理方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005005836A (ja) * 2003-06-10 2005-01-06 Fujitsu Ltd ネットワーク及びサーバの負荷低減ルータ

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7814542B1 (en) * 2003-06-30 2010-10-12 Cisco Technology, Inc. Network connection detection and throttling
JP4480422B2 (ja) * 2004-03-05 2010-06-16 富士通株式会社 不正アクセス阻止方法、装置及びシステム並びにプログラム
US20060230456A1 (en) * 2005-03-24 2006-10-12 Intel Corporation Methods and apparatus to maintain telecommunication system integrity

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005005836A (ja) * 2003-06-10 2005-01-06 Fujitsu Ltd ネットワーク及びサーバの負荷低減ルータ

Also Published As

Publication number Publication date
WO2007091305A1 (ja) 2007-08-16
US8307445B2 (en) 2012-11-06
US20080271148A1 (en) 2008-10-30
JP4777366B2 (ja) 2011-09-21

Similar Documents

Publication Publication Date Title
EP3127301B1 (en) Using trust profiles for network breach detection
EP2289221B1 (en) Network intrusion protection
CA2545916C (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
US8935773B2 (en) Malware detector
US20120317306A1 (en) Statistical Network Traffic Signature Analyzer
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
US20150033343A1 (en) Method, Apparatus, and Device for Detecting E-Mail Attack
CN106850637B (zh) 一种基于流量白名单的异常流量检测方法
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
TW202019127A (zh) 異常流量偵測裝置及其異常流量偵測方法
US20090126019A1 (en) Network-based infection detection using host slowdown
WO2020004315A1 (ja) 異常検知装置、および、異常検知方法
US10757029B2 (en) Network traffic pattern based machine readable instruction identification
CN110769007B (zh) 一种基于异常流量检测的网络安全态势感知方法及装置
JP4777366B2 (ja) ワーム対策プログラム、ワーム対策装置、ワーム対策方法
WO2020170802A1 (ja) 検知装置および検知方法
Siddabathula et al. YaraCapper–YARA rule-based automated system to detect and alert network attacks
JP6629174B2 (ja) 通信監視装置、通信監視方法及び通信監視プログラム
JP2009081736A (ja) パケット転送装置及びパケット転送プログラム
JP6698507B2 (ja) 通信監視装置、通信監視方法及び通信監視プログラム
KR102156600B1 (ko) 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법
Ohsita et al. Identification of attack nodes from traffic matrix estimation
GB2415578A (en) Restricting virus access to a network
Kumar et al. Botnet Detection using Obscured Substantial Stochastic Modeling
JP2016054346A (ja) アクセスポイント検出装置、アクセスポイント検出方法、及びアクセスポイント検出プログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100727

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100927

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110126

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20110131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110603

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110628

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110629

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140708

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees