JPWO2016125837A1 - 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム - Google Patents
悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム Download PDFInfo
- Publication number
- JPWO2016125837A1 JPWO2016125837A1 JP2016573407A JP2016573407A JPWO2016125837A1 JP WO2016125837 A1 JPWO2016125837 A1 JP WO2016125837A1 JP 2016573407 A JP2016573407 A JP 2016573407A JP 2016573407 A JP2016573407 A JP 2016573407A JP WO2016125837 A1 JPWO2016125837 A1 JP WO2016125837A1
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- communication pattern
- malware
- malignant
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
悪性通信パターン抽出装置(10)は、マルウェアによるトラヒックから得られるトラヒックログ(31)と、所定の通信環境におけるトラヒックから得られるトラヒックログ(21)とから、フィールドおよび値の組である通信パターン毎の出現頻度についての統計値を算出する統計値算出部(132)と、統計値算出部(132)によって算出された統計値をもとに、通信パターン毎に、トラヒックログ(21)の出現頻度とトラヒックログ(31)の出現頻度とを比較し、両者の出現頻度の差が所定の閾値以上である場合には、該通信パターンを、悪性通信パターンとして抽出する悪性リスト候補抽出部(134)と、マルウェアによるトラヒックを誤って検知する確率である誤検知率が一定値以下かつマルウェアによるトラヒックを検知する確率である検知率が一定値以上となるように、閾値を設定する閾値設定部(135)と、を有する。
Description
本発明は、悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラムに関する。
従来のサイバー攻撃対策は、アンチウイルスソフト等による入口対策を行ってきたが、完全に感染を防ぐことはできず、マルウェア感染後の被害拡大を防ぐ出口対策の重要性が高まっている。感染端末を発見する手段として、端末やネットワーク装置のログを分析するのが有力な手段となっており、近年ではSIEMを導入して出口対策をする企業も増えてきている。
出口対策では感染端末を発見し、マルウェア感染端末をネットワークから切り離すことが行われる。マルウェア感染端末を特定する方法として、マルウェアの挙動を解析することで特定のURLをブラックリストとして抽出し、ブラックリストをネットワークログとマッチングさせる方法がある。例えば、マルウェア特有の通信先のIPアドレスに関するブラックリストを用いて、このブラックリストのIPアドレスを宛先として通信を行う端末を特定する方法がある。
SANS Eighth Annual 2012 Log and Event Management Survey Results: Sorting Through the Noise、[online]、[平成26年10月31日検索]、インターネット<URL:http://www.sans.org/reading-room/whitepapers/analyst/eighth-annual-2012-log-event-management-survey-results-sorting-noise-35230>
R.Perdisci他、「Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces」、NSDI、Apr.2010.
しかし、近年のマルウェアは多種多様な通信を行うために、単に通信先のURLを抽出するだけでは誤検知の可能性が高く、また検知できるマルウェアの範囲が広がらないという問題がある。実際、あるマルウェアは外部疎通確認のために有名サイトへのアクセスを実施することがある。この通信は正常通信との見分けがつかない。また、あるマルウェアはWebアクセスを行わず、正常通信が使わないようなポート番号を使用して外部と通信を行なう。これは悪性URLとのマッチングでは検知することができない。
また、誤検知が発生すると、オペレータによる手動解析が必要となるために、マルウェア感染端末までに時間を要するうえ、オペレーションのコストも増大するため、誤検知を可能な限り低くおさえてマルウェア感染端末を検知できることが望ましい。そこで、本発明は、誤検知の少ない悪性通信パターンを抽出することを目的とする。
前記した課題を解決するため、本発明の悪性通信パターン抽出装置は、マルウェアによるトラヒックの検知を行うための悪性通信パターンを抽出する悪性通信パターン抽出装置であって、前記マルウェアによるトラヒックから得られる第一のトラヒックログと、所定の通信環境におけるトラヒックから得られる第二のトラヒックログとから、フィールドおよび値の組である通信パターン毎の出現頻度についての統計値を算出する統計値算出部と、前記統計値算出部によって算出された統計値をもとに、前記通信パターン毎に、前記第一のトラヒックログの出現頻度と前記第二のトラヒックログの出現頻度とを比較し、両者の出現頻度の差が所定の閾値以上である場合には、該通信パターンを、前記悪性通信パターンとして抽出する抽出部と、前記抽出部によって抽出された前記悪性通信パターンを適用した場合において、前記マルウェアによるトラヒックであるか否かを検知するために、少なくとも一種類の該悪性通信パターンに一致する回数、または、該悪性通信パターンに一致した場合の該悪性通信パターンの種類数の閾値として、前記マルウェアによるトラヒックを誤って検知する確率である誤検知率が一定値以下かつ前記マルウェアによるトラヒックを検知する確率である検知率が一定値以上となるように、前記閾値を設定する閾値設定部と、を有することを特徴とする。
また、本発明の悪性通信パターン抽出システムは、マルウェアによるトラヒックの検知を行うための悪性通信パターンを抽出する悪性通信パターン抽出装置と、前記マルウェアによるトラヒックから得られる第一のトラヒックログを発生させる第一のネットワークと、所定の通信環境におけるトラヒックから得られる第二のトラヒックログを発生させる第二のネットワークと、を有する悪性通信パターン抽出システムであって、前記悪性通信パターン抽出装置は、前記第一のトラヒックログと、前記第二のトラヒックログとから、フィールドおよび値の組である通信パターン毎の出現頻度についての統計値を算出する統計値算出部と、前記統計値算出部によって算出された統計値をもとに、前記通信パターン毎に、前記第一のトラヒックログの出現頻度と前記第二のトラヒックログの出現頻度とを比較し、両者の出現頻度の差が所定の閾値以上である場合には、該通信パターンを、前記悪性通信パターンとして抽出する抽出部と、前記抽出部によって抽出された前記悪性通信パターンを適用した場合において、前記マルウェアによるトラヒックであるか否かを検知するために、少なくとも一種類の該悪性通信パターンに一致する回数、または、該悪性通信パターンに一致した場合の該悪性通信パターンの種類数の閾値として、前記マルウェアによるトラヒックを誤って検知する確率である誤検知率が一定値以下かつ前記マルウェアによるトラヒックを検知する確率である検知率が一定値以上となるように、前記閾値を設定する閾値設定部と、を有することを特徴とする。
また、本発明の悪性通信パターン抽出方法は、マルウェアによるトラヒックの検知を行うための悪性通信パターンを抽出する悪性通信パターン抽出方法であって、前記マルウェアによるトラヒックから得られる第一のトラヒックログを発生させる第一のトラヒックログ発生工程と、所定の通信環境におけるトラヒックから得られる第二のトラヒックログを発生させる第二のトラヒックログ発生工程と、前記第一のトラヒックログと、前記第二のトラヒックログと、から、フィールドおよび値の組である通信パターン毎の出現頻度についての統計値を算出する統計値算出工程と、前記統計値算出工程によって算出された統計値をもとに、前記通信パターン毎に、前記第一のトラヒックログの出現頻度と前記第二のトラヒックログの出現頻度とを比較し、両者の出現頻度の差が所定の閾値以上である場合には、該通信パターンを、前記悪性通信パターンとして抽出する抽出工程と、前記抽出工程によって抽出された前記悪性通信パターンを適用した場合において、前記マルウェアによるトラヒックであるか否かを検知するために、少なくとも一種類の該悪性通信パターンに一致する回数、または、該悪性通信パターンに一致した場合の該悪性通信パターンの種類数の閾値として、前記マルウェアによるトラヒックを誤って検知する確率である誤検知率が一定値以下かつ前記マルウェアによるトラヒックを検知する確率である検知率が一定値以上となるように、前記閾値を設定する閾値設定工程と、を含んだことを特徴とする。
また、本発明の悪性通信パターン抽出プログラムは、マルウェアによるトラヒックの検知を行うための悪性通信パターンを抽出するための悪性通信パターン抽出プログラムであって、前記マルウェアによるトラヒックから得られる第一のトラヒックログと、所定の通信環境におけるトラヒックから得られる第二のトラヒックログとから、フィールドおよび値の組である通信パターン毎の出現頻度についての統計値を算出する統計値算出ステップと、前記統計値算出ステップによって算出された統計値をもとに、前記通信パターン毎に、前記第一のトラヒックログの出現頻度と前記第二のトラヒックログの出現頻度とを比較し、両者の出現頻度の差が所定の閾値以上である場合には、該通信パターンを、前記悪性通信パターンとして抽出する抽出ステップと、前記抽出ステップによって抽出された前記悪性通信パターンを適用した場合において、前記マルウェアによるトラヒックであるか否かを検知するために、少なくとも一種類の該悪性通信パターンに一致する回数、または、該悪性通信パターンに一致した場合の該悪性通信パターンの種類数の閾値として、前記マルウェアによるトラヒックを誤って検知する確率である誤検知率が一定値以下かつ前記マルウェアによるトラヒックを検知する確率である検知率が一定値以上となるように、前記閾値を設定する閾値設定ステップと、をコンピュータに実行させる。
本発明によれば、誤検知の少ない悪性通信パターンを抽出することができる。
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。まず、図1を用いて本実施形態の悪性通信パターン抽出装置10の構成を説明する。図1は、悪性通信パターン抽出装置の構成を示す図である。なお、本発明は本実施形態に限定されない。
悪性通信パターン抽出装置10は、入出力部11、記憶部12、制御部13を備える。入出力部11は、例えば、防御対象ネットワーク20のトラヒックログ21や、マルウェア実行環境30のトラヒックログ31等が入力される。なお、以下、悪性通信パターン抽出装置10に入力されるトラヒックログは、過去のトラヒックのログである場合を例に説明するが、これに限定されない。
また、マルウェアによるトラヒックから得られる第一のトラヒックログとしてトラヒックログ31を発生させる第一のネットワークであるマルウェア実行環境30と、所定の通信環境におけるトラヒックから得られる第二のトラヒックログとしてトラヒックログ21を発生させる第二のネットワークである防御対象ネットワークと、マルウェアによるトラヒックの検知を行うための悪性通信パターンを抽出する悪性通信パターン抽出装置10と、は悪性通信パターン抽出システムを構成する。
入出力部11へ入力されるトラヒックログのフィールドについて説明する。図3は、悪性通信パターン抽出装置で扱うトラヒックログのフィールドの一例を示す図である。図3に示すように、入出力部11へ入力され、悪性通信パターン抽出装置10で扱うトラヒックログには、送信元IPアドレス、宛先IPアドレス、プロトコル番号、送信元ポート番号、送信バイト数、URL等が含まれる。
実際に取得できるトラヒックログのフィールドは、ログを取得する機器やソフトウェアによって異なる。例えば、ルータやスイッチなどのネットワーク機器においては、IPアドレスやポート番号などのTCP/IPレイヤの情報に限定されることが多い。一方、PCAPを直接保存できる場合は、HTTPのヘッダ情報やアプリケーション情報など、よりリッチな情報を取得できる。
また、トラヒックログに対しては、トラヒックログの情報の統計的な情報や、外部情報との連携によって追加の情報を与えることができる。例えば、宛先の組織名は図3のフィールドには含まれていないが、宛先IPアドレスとMaxMind社のGeoIP(登録商標)とにより特定可能である。図4は、トラヒックログに付与可能なフィールドの一例を示す図である。図4に示すように付与可能なフィールドとして、トラヒックの宛先の組織名、AS(Autonomous System)番号、IP Prefix、国名、アプリケーション名、トラヒックに含まれるフローの数等が挙げられる。外部情報としては、MaxMind社のGeoIPによるIPアドレスと国・組織名のマッピングデータベース、BGP経路情報によるIPアドレスとAS番号、IP Prefixのマッピングデータベース、または独自に定義するデータベース等が挙げられる。
記憶部12は、フィールド情報121や悪性通信パターン122を記憶する。フィールド情報121は、制御部13において、図3に示すような通信パターンの抽出対象とするトラヒックのフィールド(例えば、プロトコル番号、宛先ポート番号、宛先IPアドレス、送信元ポート番号、送信バイト数等)を示した情報である。例えば、制御部13は、このフィールド情報を参照し、入力されたトラヒックログから、プロトコル番号、宛先ポート番号、宛先IPアドレス、送信元ポート番号、送信バイト数のフィールドの値を通信パターンとして抽出する。
悪性通信パターン122は、異常トラヒックの検知に用いる通信パターンであり、制御部13における処理によって抽出される。処理の詳細は後述する。なお、抽出された悪性通信パターン122は、図2に示すような異常トラヒック検知システムにおいて使用される。図2は、異常トラヒック検知システムの構成を示す図である。図2に示すように、異常トラヒック検知装置60には、インターネット50と接続されたネットワーク40のトラヒックログ41が入力される。また、異常トラヒック検知装置60は、悪性通信パターン抽出装置10で抽出された悪性通信パターン122を参照し、トラヒックログ41から異常トラヒックを検知する。
図1に示す制御部13は、悪性通信パターン抽出装置10全体の制御を司り、トラヒック入力受付部131と、統計値算出部132と、マージ部133と、悪性リスト候補抽出部134と、閾値設定部135と、識別子設定部136と、悪性リスト抽出部137と、を備える。
トラヒック入力受付部131は、入出力部11からトラヒックログの入力を受け付ける。ここで、受け付けるトラヒックログには、防御対象ネットワーク20のトラヒックログ21およびマルウェア実行環境30のトラヒックログ31が含まれる。
マルウェア実行環境30は、意図的に既知のマルウェアによる通信を実行させるための環境である。マルウェア実行環境30からはマルウェアによるトラヒックログ31を得ることができる。図5は、マルウェアが発生させるトラヒックの一例を示す図である。
マルウェアを一意に指定できるマルウェア識別子として、マルウェアファイルのSha1ハッシュ値をとったもの等を使用することが多い。図5のマルウェア識別子の「M1」は、Sha1ハッシュ値を示している。なお、図5に示すトラヒックログには、図4に示す追加のフィールドの情報が含まれているものとする。
また、防御対象ネットワーク20は、異常トラヒック検知の対象となるネットワークである。防御対象ネットワーク20は、正常な状態であればマルウェアによるトラヒックは発生しない。図6に示すように、防御対象ネットワーク20においては、端末を一意に識別できるものとして、送信元IPアドレスを使用することが多い。なお、図5の場合と同様に、図6に示すトラヒックログにも、図4に示す追加のフィールドの情報が含まれているものとする。
統計値算出部132は、トラヒック入力受付部131で受け付けられ、追加のフィールドの情報等が付与されたトラヒックログから、図7に示すような統計値情報を算出する。図7は、トラヒックのフィールド別の統計値の一例を示す図である。統計値算出部132は、マルウェアによるトラヒックから得られるトラヒックログ31と、所定の通信環境におけるトラヒックから得られるトラヒックログ21とから、フィールドおよび値の組である通信パターン毎の出現頻度についての統計値を算出する。
具体的には、図7に示すように、統計値は、トラフィックログのフィールドの値ごとに算出される。また、算出される統計値の例としては、発生率、マルウェア数または端末数、発生回数等が挙げられる。統計値の算出対象となる入力トラヒックログは、図1に示す防御対象ネットワーク20のトラヒックログ21およびマルウェア実行環境30のトラヒックログ31の両方である。ただし、送信元の数として、トラヒックログ21においては送信元IPアドレスをもとに端末数を算出し、トラヒックログ31においてはマルウェア識別子をもとにマルウェア数を算出する。
統計値の算出においては、まず、算出対象とするフィールドを指定する。図7の例ではここでは、トラヒックから収集可能な任意のフィールドを複数指定することができる。また、任意のフィールドの組み合わせも指定することができる。図7に示す例では、プロトコル、プロトコル+宛先ポート、宛先IPアドレス、宛先組織、送信元ポート、送信バイト、URL、DNS Query Nameを指定している。
フィールドが指定されると、指定したフィールドについて統計値を算出する。ここでは、発生率、端末数またはマルウェア数、発生回数の算出方法について説明する。なお、説明において、端末数またはマルウェア数を発生数として説明する。
まず、発生数とは、トラヒックログの中から、あるフィールドと値の組み合わせの出現回数を端末またはマルウェアの重複を許可せずにカウントした数である。次に、発生回数とは、トラヒックログから、あるフィールドと値の組み合わせの出現回数を端末またはマルウェアの重複を許可してカウントした数である。例えば、1つの端末でフィールドと値の組み合わせが同じトラヒックが複数回発生した場合、発生数は1であり、発生回数は複数となる。そして、発生率とは、発生数を全端末数または全マルウェア数で除した値である。図7の例においては、全端末数または全マルウェア数を100としている。
これより、各統計値の算出方法は下記のように表すことができる。
発生数=あるフィールドと値の組み合わせの出現回数(端末またはマルウェアの重複不可)
発生回数=あるフィールドと値の組み合わせの出現回数(端末またはマルウェアの重複可)
発生率=発生数/全端末数またはマルウェア数
発生数=あるフィールドと値の組み合わせの出現回数(端末またはマルウェアの重複不可)
発生回数=あるフィールドと値の組み合わせの出現回数(端末またはマルウェアの重複可)
発生率=発生数/全端末数またはマルウェア数
例えば、図7の例においては、トラヒックログにおける宛先IPアドレスというフィールドと「192.0.2.0」という値の組み合わせの出現回数が160であり、そのうち端末またはマルウェアの重複を除いた発生数が80であり、80を全端末数またはマルウェア数の100で除した結果、発生率が0.8となる。
マージ部133は、防御対象ネットワーク20のトラヒックログ21およびマルウェア実行環境30のトラヒックログ31の両方から統計値を算出した後、図8に示すように、算出結果のマージを行う。図8は、トラヒックのフィールド別のマージ後の統計値の一例を示す図である。図8では、左側の発生率、マルウェア数および発生回数の列がマルウェア実行環境30のトラヒックログ31から算出した統計値であり、右側の発生率、端末数および発生回数の列が防御対象ネットワーク20のトラヒックログ21から算出した統計値である。
マージ部133は、図8に示すように、左側の発生率、マルウェア数および発生回数の列を基準として、防御対象ネットワークのトラヒックフィールド別の値に、マルウェアのトラヒックフィールド別の値と同じ値が存在すれば、その値を右側の発生率、端末数および発生回数の列に追記する。また、マージ部133は、防御対象ネットワークのトラヒックフィールド別の値に、マルウェアのトラヒックフィールド別の値と同じ値が存在しない場合は、ハイフンを追記する。マージ部133は、以上の処理を各フィールドおよび値について繰り返し行うことでマージを行う。
次に、悪性リスト候補抽出部134は、マージを行った統計値をもとに、悪性リスト候補を抽出する。図9は、悪性リスト候補の一例を示す図である。悪性リスト候補抽出部134は、統計値算出部132によって算出された統計値をもとに、通信パターン毎に、トラヒックログ21の出現頻度とトラヒックログ31の出現頻度とを比較し、両者の出現頻度の差が所定の閾値以上である場合には、該通信パターンを、悪性通信パターンとして抽出する。例えば、悪性リスト候補抽出部134は、図8に示すマージ後の統計値のうち発生率を参照し、左側のマルウェア実行環境における値が十分大きく、右側の防御対象ネットワークにおける値が十分小さい場合、その値を抽出する。上記の「十分大きい」「十分小さい」の判断には、あらかじめ統計値に対する閾値を設定して判断する。そして、悪性リスト候補抽出部134は、各トラヒックフィールドに対して、1件でも値を抽出できた場合、「悪性リスト採用可否」をOKとする。また、悪性リスト候補抽出部134は、各トラヒックフィールドに対して、1件も値を抽出できなかった場合、「悪性リスト採用可否」をNGとする。悪性リスト候補抽出部134は、以上の処理を各フィールドおよび値について繰り返し行うことで悪性リスト候補を抽出する。
そして、閾値設定部135は、抽出した悪性リスト候補に対し閾値を設定する。図10は、悪性リスト候補の閾値の設定の一例を示す図である。閾値設定部135は、悪性リスト候補抽出部134によって抽出された悪性通信パターンを適用した場合において、マルウェアによるトラヒックであるか否かを検知するために、少なくとも一種類の該悪性通信パターンに一致する回数、または、該悪性通信パターンに一致した場合の該悪性通信パターンの種類数の閾値として、マルウェアによるトラヒックを誤って検知する確率である誤検知率が一定値以下かつマルウェアによるトラヒックを検知する確率である検知率が一定値以上となるように、閾値を設定する。
具体的には、閾値設定部135は、悪性リスト採用可否がOKである悪性リスト候補のうち、あらかじめ指定した複数の閾値を使用し、マルウェアのトラヒックに対する検知率が一定値以上、防御対象ネットワークのトラヒックに対する誤検知率が一定値以下となる閾値を抽出する。ここで、検知率・誤検知率は以下のように計算できる。
検知率=悪性リスト候補および閾値を用いて検知できたマルウェア数/全マルウェア数
誤検知率=悪性リスト候補および閾値を用いて検知した端末数/全端末数
検知率=悪性リスト候補および閾値を用いて検知できたマルウェア数/全マルウェア数
誤検知率=悪性リスト候補および閾値を用いて検知した端末数/全端末数
閾値設定部135は、以上の処理を各悪性リスト候補について繰り返し行うことで悪性リスト候補に閾値を設定する。図10の例では、例えば宛先組織が「C」であるトラヒックの発生回数閾値を5に設定しているため、宛先組織が「C」であるトラヒックの発生回数が5回以上である場合はマルウェアとして検知することを示している。図8によれば、マルウェアのトラヒックにおいて宛先組織が「C」である発生回数は20であり、防御対象ネットワークのトラヒックにおいては10である。そのため、宛先組織が「C」であるトラヒックログは、マルウェアのネットワークでは発生しやすく、防御対象ネットワークではあまり発生しないことが分かる。
また、閾値設定部135は、種類数閾値を設定するようにしてもよい。図10の例では、例えば宛先組織が「C」であるトラヒックの種類数閾値を1に設定しているため、宛先組織が「C」である通信パターンのトラヒックが1種類でも発生した場合は、マルウェアとして検知することを示している。図8によれば、マルウェアのトラヒックにおいて宛先組織が「C」であるマルウェア数は20であり、防御対象ネットワークのトラヒックにおける端末数は1である。そのため、マルウェア数および端末数からも、宛先組織が「C」であるトラヒックログは、マルウェアのネットワークでは発生しやすく、防御対象ネットワークではあまり発生しないことが分かる。
閾値の設定後、識別子設定部136は、図11に示すように、各悪性リスト候補および閾値によって検知可能なマルウェアの識別子を設定する。図11は、悪性リスト候補のマルウェア識別子の設定の一例を示す図である。識別子設定部136は、悪性通信パターンとして抽出された場合に検知可能なマルウェアを識別するためのマルウェア識別子を付与する。
例えば、図11は、宛先組織が「C」であるトラヒックの発生回数の閾値を5、または種類数の閾値を1として検知した場合、マルウェアM6およびM7が検知可能であることを示している。また、宛先IPアドレスが「192.0.2.2」であるトラヒックの発生回数の閾値を5、または種類数の閾値を1として検知した場合、マルウェアM6が検知可能である。識別子設定部136は、以上の処理を閾値設定済みの各悪性リスト候補について繰り返し行うことで検知可能なマルウェアの識別子を設定する。
悪性リスト抽出部137は、図12に示すように、識別子設定部136によってマルウェア識別子が付与された通信パターンのうち、付与されたマルウェア識別子が、他の通信パターンに付与されたマルウェア識別子に包含されない通信パターンを悪性通信パターンとして抽出する。図12は、悪性リストの一例を示す図である。
例えば、宛先組織についての検知により検知できるマルウェアM6およびM7は、宛先IPアドレスにより検知できるマルウェアM6を包含しているため、宛先IPアドレスによる検知を行う必要はないため、不要な検知パターンとして除去する。以上の処理を検知可能識別子が付与された悪性リストについて行うことで最終的な悪性リストが得られる。
なお、識別子設定部136による識別子の設定は必ずしも行う必要はなく、悪性リスト抽出部137は、閾値設定部135で閾値が設定された時点で、閾値設定部135により閾値が設定された通信パターンを悪性通信パターンとして抽出することとしても良い。
(処理手順)
次に、悪性通信パターン抽出装置10の処理手順を説明する。まず、図13を用いてトラヒック入力受付部131および統計値算出部132における処理について説明する。トラヒック入力受付部131は、トラヒックログが入力されると(ステップS11)、トラヒックフィールドを指定する(ステップS12)。そして、統計値算出部132は、指定されたトラヒックフィールド別に統計値を算出する(ステップS13)。統計値としては、発生率、端末数またはマルウェア数、発生回数等がある。
次に、悪性通信パターン抽出装置10の処理手順を説明する。まず、図13を用いてトラヒック入力受付部131および統計値算出部132における処理について説明する。トラヒック入力受付部131は、トラヒックログが入力されると(ステップS11)、トラヒックフィールドを指定する(ステップS12)。そして、統計値算出部132は、指定されたトラヒックフィールド別に統計値を算出する(ステップS13)。統計値としては、発生率、端末数またはマルウェア数、発生回数等がある。
図14を用いてマージ部133における処理について説明する。図14は、マージ処理を示すフローチャートである。まず、マージ部133には、統計値算出部132で処理されたマルウェア実行環境におけるトラヒックフィールドの値と、防御対象ネットワークにおけるトラヒックフィールドの値が入力される(ステップS21)。そして、各トラヒックフィールドに対し、マージ処理を繰り返し行う(ステップS22)。
マージ処理として、まず、マルウェア実行環境におけるトラヒックフィールドに対応する値が防御対象ネットワークにおけるトラヒックフィールドにも存在する場合、マルウェア実行環境におけるトラヒックフィールドの値に、防御対象ネットワークにおけるトラヒックフィールドの値を追記する。マルウェア実行環境におけるトラヒックフィールドに対応する値が防御対象ネットワークにおけるトラヒックフィールドにも存在しない場合は、マルウェア実行環境におけるトラヒックフィールドの値に、ハイフンを追記する(ステップS23)。
図15を用いて、悪性リスト候補抽出部134における処理について説明する。図15は、悪性リスト候補抽出処理を示すフローチャートである。まず、悪性リスト候補抽出部134には、マージ部133によってマージ処理が行われたトラヒックフィールド別の値の発生に関する統計値が入力される(ステップS31)。そして、各トラヒックフィールドに対し、悪性リスト候補抽出処理を繰り返し行う(ステップS32)。
悪性リスト候補抽出処理として、まず、トラヒックフィールドの値についてのパラメタ即ち統計値を指定し、防御対象ネットワークにおける統計値に対し、マルウェア実行環境における統計値が十分大きい場合、そのトラヒックフィールドおよび値を悪性リスト候補として抽出する。条件に該当する値が1件でも抽出できたトラヒックフィールドは、「悪性リスト採用可否」をOKとする(ステップS33)。
図16を用いて、閾値設定部135における処理について説明する。図16は、閾値設定処理を示すフローチャートである。まず、閾値設定部135には、悪性リスト候補抽出部134で抽出されたトラヒックフィールド別の悪性リスト候補が入力される(ステップS41)。そして、「悪性リスト採用可否」がOKであるトラヒックフィールドに対して、閾値設定処理を繰り返し行う(ステップS42)。
閾値設定処理として、まず、あらかじめ指定した複数の閾値を使用し、マルウェアの検知率が一定値以上である、防御対象ネットワークのトラヒックに対する誤検知率が一定値以下となる閾値を抽出する(ステップS43)。複数の閾値のうちいずれの閾値も抽出できなかった場合は、そのトラヒックフィールドの「悪性リスト採用可否」をNGとする(ステップS44)。
図17を用いて、識別子設定部136における処理について説明する。図17は、識別子設定処理を示すフローチャートである。まず、識別子設定部136には、閾値設定部135で閾値が設定されたトラヒックフィールド別の悪性リスト候補が入力される(ステップS51)。そして、「悪性リスト採用可否」がOKであるトラヒックフィールドに対して、識別子設定処理を繰り返し行う(ステップS52)。
識別子設定処理として、悪性リスト候補のトラヒックフィールドおよび閾値を使用して識別可能なマルウェアの識別子を抽出する(ステップS53)。
図18を用いて、悪性リスト抽出部137における処理について説明する。図18は、悪性リスト抽出処理を示すフローチャートである。まず、悪性リスト抽出部137には、識別子設定部136でマルウェア識別子が付与されたトラヒックフィールド別の悪性リスト候補が入力される(ステップS61)。そして、各トラヒックフィールドに対し、悪性リスト抽出処理を繰り返し行う(ステップS62)。
悪性リスト抽出処理として、他のトラヒックフィールドに含まれないマルウェア識別子を含む場合は採用とし、付与された識別子が、他のトラヒックフィールドに含まれるマルウェア識別子に全て包含される場合は不採用とする(ステップS63)。以上の処理により、最終的な悪性リストが得られる。
(プログラム)
また、上記実施形態に係る悪性通信パターン抽出装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成し、実行することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、悪性通信パターン抽出装置10と同様の機能を実現する制御プログラムを実行するコンピュータの一例を説明する。
また、上記実施形態に係る悪性通信パターン抽出装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成し、実行することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータに読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、悪性通信パターン抽出装置10と同様の機能を実現する制御プログラムを実行するコンピュータの一例を説明する。
図19は、悪性通信パターン抽出プログラムを実行するコンピュータを示す図である。図19に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図19に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
また、悪性通信パターン抽出プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明した悪性通信パターン抽出装置10が実行する各処理が記述されたプログラムモジュールが、ハードディスクドライブ1090に記憶される。
また、悪性通信パターン抽出プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、悪性通信パターン抽出プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、制御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。また、ネットワークインタフェース1070等によりリアルタイムにパケットを収集することでデータを収集してもよい。
10 悪性通信パターン抽出装置
11 入出力部
12 記憶部
13 制御部
131 トラヒック入力受付部
132 統計値算出部
133 マージ部
134 悪性リスト候補抽出部
135 閾値設定部
136 識別子設定部
137 悪性リスト抽出部
11 入出力部
12 記憶部
13 制御部
131 トラヒック入力受付部
132 統計値算出部
133 マージ部
134 悪性リスト候補抽出部
135 閾値設定部
136 識別子設定部
137 悪性リスト抽出部
Claims (5)
- マルウェアによるトラヒックの検知を行うための悪性通信パターンを抽出する悪性通信パターン抽出装置であって、
前記マルウェアによるトラヒックから得られる第一のトラヒックログと、所定の通信環境におけるトラヒックから得られる第二のトラヒックログとから、フィールドおよび値の組である通信パターン毎の出現頻度についての統計値を算出する統計値算出部と、
前記統計値算出部によって算出された統計値をもとに、前記通信パターン毎に、前記第一のトラヒックログの出現頻度と前記第二のトラヒックログの出現頻度とを比較し、両者の出現頻度の差が所定の閾値以上である場合には、該通信パターンを、前記悪性通信パターンとして抽出する抽出部と、
前記抽出部によって抽出された前記悪性通信パターンを適用した場合において、前記マルウェアによるトラヒックであるか否かを検知するために、少なくとも一種類の該悪性通信パターンに一致する回数、または、該悪性通信パターンに一致した場合の該悪性通信パターンの種類数の閾値として、前記マルウェアによるトラヒックを誤って検知する確率である誤検知率が一定値以下かつ前記マルウェアによるトラヒックを検知する確率である検知率が一定値以上となるように、前記閾値を設定する閾値設定部と、
を有することを特徴とする悪性通信パターン抽出装置。 - 前記通信パターンに対し、悪性通信パターンとして抽出された場合に検知可能なマルウェアを識別するためのマルウェア識別子を付与する識別子設定部と、
前記識別子設定部によって前記マルウェア識別子が付与された前記通信パターンのうち、付与された前記マルウェア識別子が、他の通信パターンに付与された前記マルウェア識別子に包含されない前記通信パターンを悪性通信パターンとして抽出する識別子設定済悪性リスト抽出部と、
をさらに有することを特徴とする請求項1に記載の悪性通信パターン抽出装置。 - マルウェアによるトラヒックの検知を行うための悪性通信パターンを抽出する悪性通信パターン抽出装置と、前記マルウェアによるトラヒックから得られる第一のトラヒックログを発生させる第一のネットワークと、所定の通信環境におけるトラヒックから得られる第二のトラヒックログを発生させる第二のネットワークと、を有する悪性通信パターン抽出システムであって、
前記悪性通信パターン抽出装置は、
前記第一のトラヒックログと、前記第二のトラヒックログとから、フィールドおよび値の組である通信パターン毎の出現頻度についての統計値を算出する統計値算出部と、
前記統計値算出部によって算出された統計値をもとに、前記通信パターン毎に、前記第一のトラヒックログの出現頻度と前記第二のトラヒックログの出現頻度とを比較し、両者の出現頻度の差が所定の閾値以上である場合には、該通信パターンを、前記悪性通信パターンとして抽出する抽出部と、
前記抽出部によって抽出された前記悪性通信パターンを適用した場合において、前記マルウェアによるトラヒックであるか否かを検知するために、少なくとも一種類の該悪性通信パターンに一致する回数、または、該悪性通信パターンに一致した場合の該悪性通信パターンの種類数の閾値として、前記マルウェアによるトラヒックを誤って検知する確率である誤検知率が一定値以下かつ前記マルウェアによるトラヒックを検知する確率である検知率が一定値以上となるように、前記閾値を設定する閾値設定部と、
を有することを特徴とする悪性通信パターン抽出システム。 - マルウェアによるトラヒックの検知を行うための悪性通信パターンを抽出する悪性通信パターン抽出方法であって、
前記マルウェアによるトラヒックから得られる第一のトラヒックログを発生させる第一のトラヒックログ発生工程と、
所定の通信環境におけるトラヒックから得られる第二のトラヒックログを発生させる第二のトラヒックログ発生工程と、
前記第一のトラヒックログと、前記第二のトラヒックログと、から、フィールドおよび値の組である通信パターン毎の出現頻度についての統計値を算出する統計値算出工程と、
前記統計値算出工程によって算出された統計値をもとに、前記通信パターン毎に、前記第一のトラヒックログの出現頻度と前記第二のトラヒックログの出現頻度とを比較し、両者の出現頻度の差が所定の閾値以上である場合には、該通信パターンを、前記悪性通信パターンとして抽出する抽出工程と、
前記抽出工程によって抽出された前記悪性通信パターンを適用した場合において、前記マルウェアによるトラヒックであるか否かを検知するために、少なくとも一種類の該悪性通信パターンに一致する回数、または、該悪性通信パターンに一致した場合の該悪性通信パターンの種類数の閾値として、前記マルウェアによるトラヒックを誤って検知する確率である誤検知率が一定値以下かつ前記マルウェアによるトラヒックを検知する確率である検知率が一定値以上となるように、前記閾値を設定する閾値設定工程と、
を含んだことを特徴とする悪性通信パターン抽出方法。 - マルウェアによるトラヒックの検知を行うための悪性通信パターンを抽出するための悪性通信パターン抽出プログラムであって、
前記マルウェアによるトラヒックから得られる第一のトラヒックログと、所定の通信環境におけるトラヒックから得られる第二のトラヒックログとから、フィールドおよび値の組である通信パターン毎の出現頻度についての統計値を算出する統計値算出ステップと、
前記統計値算出ステップによって算出された統計値をもとに、前記通信パターン毎に、前記第一のトラヒックログの出現頻度と前記第二のトラヒックログの出現頻度とを比較し、両者の出現頻度の差が所定の閾値以上である場合には、該通信パターンを、前記悪性通信パターンとして抽出する抽出ステップと、
前記抽出ステップによって抽出された前記悪性通信パターンを適用した場合において、前記マルウェアによるトラヒックであるか否かを検知するために、少なくとも一種類の該悪性通信パターンに一致する回数、または、該悪性通信パターンに一致した場合の該悪性通信パターンの種類数の閾値として、前記マルウェアによるトラヒックを誤って検知する確率である誤検知率が一定値以下かつ前記マルウェアによるトラヒックを検知する確率である検知率が一定値以上となるように、前記閾値を設定する閾値設定ステップと、
をコンピュータに実行させるための悪性通信パターン抽出プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015020156 | 2015-02-04 | ||
| JP2015020156 | 2015-02-04 | ||
| PCT/JP2016/053262 WO2016125837A1 (ja) | 2015-02-04 | 2016-02-03 | 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2016125837A1 true JPWO2016125837A1 (ja) | 2017-08-03 |
| JP6386593B2 JP6386593B2 (ja) | 2018-09-05 |
Family
ID=56564176
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016573407A Active JP6386593B2 (ja) | 2015-02-04 | 2016-02-03 | 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10348751B2 (ja) |
| EP (1) | EP3242240B1 (ja) |
| JP (1) | JP6386593B2 (ja) |
| CN (1) | CN107209834B (ja) |
| WO (1) | WO2016125837A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022118108A (ja) * | 2021-06-25 | 2022-08-12 | 阿波▲羅▼智▲聯▼(北京)科技有限公司 | ログ監査方法、装置、電子機器、媒体およびコンピュータプログラム |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6693114B2 (ja) * | 2015-12-15 | 2020-05-13 | 横河電機株式会社 | 制御装置及び統合生産システム |
| JP6759572B2 (ja) | 2015-12-15 | 2020-09-23 | 横河電機株式会社 | 統合生産システム |
| GB2574468B (en) * | 2018-06-08 | 2020-08-26 | F Secure Corp | Detecting a remote exploitation attack |
| CN109033404B (zh) * | 2018-08-03 | 2022-03-11 | 北京百度网讯科技有限公司 | 日志数据处理方法、装置和系统 |
| US20230025208A1 (en) * | 2019-12-24 | 2023-01-26 | Nec Corporation | Information processing apparatus, threat information evaluation system, informationprocessing method, and non-transitory computer readable medium |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007013343A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム検出パラメータ設定プログラム及びワーム検出パラメータ設定装置 |
| US20070136455A1 (en) * | 2005-12-09 | 2007-06-14 | Microsoft Corporation | Application behavioral classification |
| US20070240217A1 (en) * | 2006-04-06 | 2007-10-11 | George Tuvell | Malware Modeling Detection System And Method for Mobile Platforms |
| US7500266B1 (en) * | 2002-12-03 | 2009-03-03 | Bbn Technologies Corp. | Systems and methods for detecting network intrusions |
| JP5038888B2 (ja) * | 2004-05-04 | 2012-10-03 | アークサイト,インク. | ネットワーク・セキュリティ・システムにおけるパターン発見方法及びシステム |
| US8302193B1 (en) * | 2008-05-30 | 2012-10-30 | Symantec Corporation | Methods and systems for scanning files for malware |
| US20140047544A1 (en) * | 2012-08-09 | 2014-02-13 | Bjorn Markus Jakobsson | Server-Side Malware Detection and Classification |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7269851B2 (en) * | 2002-01-07 | 2007-09-11 | Mcafee, Inc. | Managing malware protection upon a computer network |
| US8549638B2 (en) * | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
| US8375444B2 (en) * | 2006-04-20 | 2013-02-12 | Fireeye, Inc. | Dynamic signature creation and enforcement |
| US8171553B2 (en) * | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
| US8006305B2 (en) * | 2004-06-14 | 2011-08-23 | Fireeye, Inc. | Computer worm defense system and method |
| US8091127B2 (en) * | 2006-12-11 | 2012-01-03 | International Business Machines Corporation | Heuristic malware detection |
| US7523016B1 (en) | 2006-12-29 | 2009-04-21 | Google Inc. | Detecting anomalies |
| JP5009244B2 (ja) | 2008-07-07 | 2012-08-22 | 日本電信電話株式会社 | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
| US8799450B2 (en) * | 2008-10-14 | 2014-08-05 | Mcafee, Inc. | Server-based system, method, and computer program product for scanning data on a client using only a subset of the data |
| EP2351296A4 (en) * | 2008-10-31 | 2015-01-07 | Hewlett Packard Development Co | METHOD AND DEVICE FOR DETECTING NETWORK IMPACT |
| US20100169972A1 (en) * | 2008-12-31 | 2010-07-01 | Microsoft Corporation | Shared repository of malware data |
| FR2951842B1 (fr) * | 2009-10-28 | 2011-12-30 | Sagem Securite | Identification par controle de donnees d'utilisateur |
| US8280855B2 (en) * | 2009-11-04 | 2012-10-02 | International Business Machines Corporation | Extended logical worm data integrity protection with unique worm identifier in header and database |
| US8356354B2 (en) * | 2009-11-23 | 2013-01-15 | Kaspersky Lab, Zao | Silent-mode signature testing in anti-malware processing |
| JP2012084994A (ja) * | 2010-10-07 | 2012-04-26 | Hitachi Ltd | マルウェア検出方法、およびマルウェア検出装置 |
| EP2650809B1 (en) * | 2010-12-08 | 2016-11-02 | Panasonic Intellectual Property Management Co., Ltd. | Information processing device and information processing method |
| US8839434B2 (en) * | 2011-04-15 | 2014-09-16 | Raytheon Company | Multi-nodal malware analysis |
| IL219499B (en) | 2012-04-30 | 2019-02-28 | Verint Systems Ltd | A system and method for detecting malicious software |
| US10127379B2 (en) * | 2013-03-13 | 2018-11-13 | Mcafee, Llc | Profiling code execution |
| US9171160B2 (en) * | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
| CN103530562A (zh) * | 2013-10-23 | 2014-01-22 | 腾讯科技(深圳)有限公司 | 一种恶意网站的识别方法和装置 |
| CN103559235B (zh) * | 2013-10-24 | 2016-08-17 | 中国科学院信息工程研究所 | 一种在线社交网络恶意网页检测识别方法 |
| CN103761476B (zh) * | 2013-12-30 | 2016-11-09 | 北京奇虎科技有限公司 | 特征提取的方法及装置 |
| US9432393B2 (en) * | 2015-02-03 | 2016-08-30 | Cisco Technology, Inc. | Global clustering of incidents based on malware similarity and online trustfulness |
-
2016
- 2016-02-03 JP JP2016573407A patent/JP6386593B2/ja active Active
- 2016-02-03 WO PCT/JP2016/053262 patent/WO2016125837A1/ja active Application Filing
- 2016-02-03 US US15/548,263 patent/US10348751B2/en active Active
- 2016-02-03 EP EP16746668.9A patent/EP3242240B1/en active Active
- 2016-02-03 CN CN201680008361.8A patent/CN107209834B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7500266B1 (en) * | 2002-12-03 | 2009-03-03 | Bbn Technologies Corp. | Systems and methods for detecting network intrusions |
| JP5038888B2 (ja) * | 2004-05-04 | 2012-10-03 | アークサイト,インク. | ネットワーク・セキュリティ・システムにおけるパターン発見方法及びシステム |
| JP2007013343A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム検出パラメータ設定プログラム及びワーム検出パラメータ設定装置 |
| US20070136455A1 (en) * | 2005-12-09 | 2007-06-14 | Microsoft Corporation | Application behavioral classification |
| US20070240217A1 (en) * | 2006-04-06 | 2007-10-11 | George Tuvell | Malware Modeling Detection System And Method for Mobile Platforms |
| US8302193B1 (en) * | 2008-05-30 | 2012-10-30 | Symantec Corporation | Methods and systems for scanning files for malware |
| US20140047544A1 (en) * | 2012-08-09 | 2014-02-13 | Bjorn Markus Jakobsson | Server-Side Malware Detection and Classification |
Non-Patent Citations (2)
| Title |
|---|
| 中田 健介 ほか: "動的解析結果に基づく共通的なマルウェア通信パターン抽出技術の検討", コンピュータセキュリティシンポジウム 2015 論文集, vol. 2E1−2, JPN7016000919, 14 October 2015 (2015-10-14), JP, pages pp.318−325 * |
| 神谷 和憲 ほか: "Firewallログを用いたマルウェア感染端末の検知手法", 情報処理学会第77回(平成27年)全国大会講演論文集, vol. 4E−03, JPN6016013539, 17 March 2015 (2015-03-17), JP, pages pp.3−433〜3−434 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022118108A (ja) * | 2021-06-25 | 2022-08-12 | 阿波▲羅▼智▲聯▼(北京)科技有限公司 | ログ監査方法、装置、電子機器、媒体およびコンピュータプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107209834A (zh) | 2017-09-26 |
| JP6386593B2 (ja) | 2018-09-05 |
| EP3242240A1 (en) | 2017-11-08 |
| EP3242240B1 (en) | 2018-11-21 |
| US10348751B2 (en) | 2019-07-09 |
| EP3242240A4 (en) | 2018-07-18 |
| US20180020014A1 (en) | 2018-01-18 |
| CN107209834B (zh) | 2020-07-07 |
| WO2016125837A1 (ja) | 2016-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6386593B2 (ja) | 悪性通信パターン抽出装置、悪性通信パターン抽出システム、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム | |
| US11102223B2 (en) | Multi-host threat tracking | |
| US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
| US11089035B2 (en) | Techniques for predicting subsequent attacks in attack campaigns | |
| US9860278B2 (en) | Log analyzing device, information processing method, and program | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| US10303873B2 (en) | Device for detecting malware infected terminal, system for detecting malware infected terminal, method for detecting malware infected terminal, and program for detecting malware infected terminal | |
| US10516671B2 (en) | Black list generating device, black list generating system, method of generating black list, and program of generating black list | |
| JP6306739B2 (ja) | 悪性通信パターン抽出装置、悪性通信パターン抽出方法、および、悪性通信パターン抽出プログラム | |
| JP6159018B2 (ja) | 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム | |
| US10469528B2 (en) | Algorithmically detecting malicious packets in DDoS attacks | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| Giacinto et al. | Alarm clustering for intrusion detection systems in computer networks | |
| US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
| KR20180101868A (ko) | 악성 행위 의심 정보 탐지 장치 및 방법 | |
| KR20110061217A (ko) | 플로우 패턴 정보를 이용한 분산 서비스 거부 공격 검출 시스템 및 그 방법 | |
| US20220070179A1 (en) | Dynamic segmentation apparatus and method for preventing spread of security threat |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170403 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180605 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180724 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180807 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180809 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6386593 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |